10月28日~11月3日に発表された最新のサイバーセキュリティ情報では、リコー、QNAP、Microsoft、Apple製品など多くの企業や個人が利用する製品の深刻な脆弱性が明らかになった。これらの脆弱性は、リモートからの不正アクセス、データ漏えい、システムの停止といったリスクを招く恐れがある。利用者は迅速にセキュリティアップデートを適用し、信頼性のあるWebサイトからのみアプリや拡張機能をインストールすることが推奨される。
10月28日~11月3日最新サイバーセキュリティ情報
10月28日~11月3日のサイバーセキュリティ情報としてリコー、QNAP、Microsoft、WordPressのLiteSpeed Cacheプラグイン、LastPassの警告、ネットワークカメラ、Apple製品などにおける最新の脆弱性情報を取り上げる。これらの脆弱性は、多くの製品が企業や個人で広く利用されており、適切な対応が急務だ。
これらのセキュリティ脆弱性を悪用されると、遠隔からの不正アクセスやデータ漏えい、システムの停止といった重大なリスクが生じる。ユーザーは、これらの製品が抱えるリスクを理解し、各社が提供するセキュリティアップデートを迅速に適用することが推奨される。また、正規のWebサイトや公式ストアからのみのアプリや拡張機能のインストールを徹底することも、リスク低減のために重要だ。
リコー製プリンターと複合機に緊急の脆弱性、確認とアップデートが必要
JPCERTコーディネーションセンター(JPCERT/CC:Japan Computer Emergency Response Team Coordination Center)は10月31日、リコー製プリンターおよび複合機にセキュリティ脆弱性が存在すると発表した。このセキュリティ脆弱性が悪用されると、遠隔から任意のコードを実行されたり、サービス運用妨害(DoS:Denial of Service)を引き起こされるリスクがある(参考「リコー製プリンタと複合機に深刻な脆弱性、ただちに更新を | TECH+(テックプラス)」)。
セキュリティ脆弱性が存在するとされる製品は次のとおり。
- RICOH MP C8003/C6503
- RICOH IM C6500/C8000
- RICOH IM 430F
- RICOH IP 500SF
- RICOH P 501/500
- RICOH MP 3554/2554
- RICOH MP 3554Z SPF
- RICOH IM 2500/3500/4000/5000/6000
- RICOH MP 2555/3555/4055/5055/6055
- RICOH SP 8400/8400M/8400a1/8400M a1
- RICOH MP C3004/C3504
- RICOH MP C2504
- RICOH MP C4504/C5504/C6004
- RICOH IM C3000/C3500
- RICOH IM C4500/C5500/C6000
- RICOH IM C2000/C2500
- RICOH IM C300
- imagio MP 1601/1301
- RICOH IM 7000/8000/9000
- RICOH MP C3003/C3503
- RICOH MP C4503/C5503/C6003
- RICOH MP C1803/C2503
- RICOH MP 305+SPF
- RICOH MP 9003/7503/6503
- RICOH MP CW1201/CW2201
- RICOH IM CW1200/CW2200
- RICOH MP C306
- RICOH MP C307
- RICOH MP C3003Z/C3503Z
- RICOH MP C4503Z/C5503Z/C6003Z
- RICOH MP C2503Z
- RICOH MP W4002
- RICOH SP C750/C750M
- RICOH SP C751/C751M
- RICOH SP C841/C841M/C841a1/C841M a1/C840/C840M/C840a1/C840M a1
- RICOH SP C840ME
- IPSiO SP C730L
- RICOH SP 4510/4500
- RICOH IP C6020/C6020M
- RICOH IP 6530/6530M
- RICOH SP C341
- RICOH SP C342/C342M
- RICOH SP C352
- RICOH P C6010/C6010M
- RICOH P 6520/6520M/6510/6510M/6500
- RICOH SP 6430/6430M/6430LE/6420/6420M/6420LE/6410/6410LE
- RICOH SP 6440/6440M/6440LE
- RICOH SP 6450/6450TE
- RICOH P 6020/6020M/6020LE/6010/6010M/6010LE/6000/6000LE
- RICOH P 6030/6030M/6030LE
- RICOH Pro C9110/C9100
- RICOH Pro C9210/C9200
- RICOH Pro 8320S/8310S/8300S
- RICOH Pro 8320Y/8320HT/8310Y/8310HT
- RICOH Pro C5210S/C5200S
- RICOH Pro C5310S/C5300S
- RICOH Pro C7210S/C7200S/C7210SHT/C7200SHT
多くの企業がこれら製品を使用していると推測される。このセキュリティ脆弱性は深刻度が最高レベルの緊急(Critical)と評価されており、可能な限り迅速に対応することが望まれる。該当する製品を使っていないか確認するとともに、該当する場合には情報の確認とアップデートを実施しよう。
QNAP製品に深刻な脆弱性、アップデートを
QNAP SystemsはQNAP製品に緊急の脆弱性が存在することを発表した。QNAPのネットワークアタッチトストレージ(NAS:Network Attached Storage)製品を使っている場合には確認を行おう。(参考「QNAP製品に深刻な脆弱性、更新を | TECH+(テックプラス)」)。
QNAP製品を使っている場合には特に次の3つのセキュリティアドバイザリーを確認しておきたい。
- Vulnerability in HBS 3 Hybrid Backup Sync (PWN2OWN 2024) - Security Advisory | QNAP
- Vulnerability in SMB Service (PWN2OWN 2024) - Security Advisory | QNAP
- Vulnerability in QuRouter (PWN2OWN 2024) - Security Advisory | QNAP
セキュリティ脆弱性が存在する製品およびバージョンは次のとおり。
- HBS 3 Hybrid Backup Sync 25.1.x
- SMB Service 4.15.x
- SMB Service h4.15.x
- QuRouter 2.4.x
どのセキュリティ脆弱性も深刻度が緊急(Critical)と分析されており迅速な対応が望まれている。QNAPの製品はしばしばセキュリティ脆弱性が発見されている。該当する製品を使っている場合、定期的にセキュリティアドバイザリーを確認し、アップデートをルーティーン化することがセキュリティ対策の要となる。
Microsoft SharePointのバージョン確認とアップデートを
Microsoft SharePointサーバを利用しているのであれば、利用しているバージョンの確認を行い、古いバージョンを使っている場合にはアップデートを実施した方が良い。Rapid7が10月30日(米国時間)にMicrosoft SharePointサーバのセキュリティ脆弱性を利用したサイバー攻撃の詳細情報を明らかにしている(参考「Microsoft SharePointの脆弱性を突いてサーバに侵入する攻撃に注意 | TECH+(テックプラス)」)。
サイバー攻撃者はMicrosoft SharePointのセキュリティ脆弱性(CVE-2024-38094)を利用してリモートコード実行(RCE:Remote Code Execution)を仕掛け、サーバーへ侵入。さらにMicrosoft Exchangeサービスアカウントを使用してネットワーク内を横移動し、アンチウイルスソフトウェアをインストールして衝突を引き起こしセキュリティ対策を無効化するとともに、外部とのアクセスを確立して持続的なアクセスを手に入れている。
Microsoftはすでにこの悪用されたセキュリティ脆弱性を修正するアップデートの提供を行っている。Microsoft SharePointサーバを利用している場合にはセキュリティ脆弱性が修正された最新バージョンへアップグレードを実施しよう。
LiteSpeed Cache Wordpressプラグインのアップデートを実施しよう
世界で広く使われているCMS・WordPress。WordPressはプラグインを使うことでさまざまな機能を実現することができ、高いシェアを獲得している。もしWordPressを使っていて、かつ、LiteSpeed Cacheプラグインを使っているなら注意が必要だ。
Patchstackは10月29日(現地時間)、LiteSpeed Cacheプラグインに特権昇格のセキュリティ脆弱性が存在すると発表した。LiteSpeed Cacheプラグインは600万以上のアクティブインストールを持つ人気の高いキャッシングプラグインだ。このプラグインには特権昇格のセキュリティ脆弱性が存在するとされており、認証されていない第三者が管理者レベルのアクセス権を取得できてしまうとされている(参考「Rare Case of Privilege Escalation Patched in LiteSpeed Cache Plugin - Patchstack」)。
LiteSpeed Cacheは2024年8月にも同等の問題が発見されている。今回は類似しているが8月とは別物であり、8月にアップデートを実施した場合でも再度確認を行い最新版へアップデートしよう。
そのパスワード管理ソフトやセキュリティソフトは本物?
LastPassは偽のWebストアレビューによって顧客データを盗もうとする試みが増加していることを警告した。最近、特定のレビューが意図的に高評価を付け、信頼性の低い拡張機能やアプリをダウンロードさせようとする手口が確認されており、これによりユーザーは偽の拡張機能や悪意あるソフトウェアに触れるリスクがあるとされている。これらの偽レビューは、見た目には通常のレビューと区別が付かないため、多くのユーザーが誤ってインストールしてしまう恐れがある(参考「Fake Web Store Reviews Attempting to Steal Customer Data」)。
LastPassによればこうした偽レビューは特定のパスワード管理ソフトやセキュリティ関連のアプリに多く見られるとされる。攻撃者はユーザーの信頼を得るため、信頼を装う偽レビューや、実際には危険なアプリを魅力的に見せかける手法で評価を操作するなど、巧妙な手段が取られている。ユーザーが何の疑いもなくダウンロードした結果、個人情報が盗まれたり、不正アクセスにさらされたりするリスクが高まっている。このため、特にセキュリティ関連のアプリや拡張機能の選択には慎重を要する。
LastPassはこのようなリスクからユーザーを守るために、信頼性のある公式Webサイトや公式アプリストアからのみアプリや拡張機能をダウンロードするよう強く推奨している。さらに、レビューの内容に注意を払い、他のユーザーからの警告や否定的な意見が含まれていないかを確認することが重要であるとしている。セキュリティに関するアドオンや拡張機能は、定期的にアップデートされるものを選択することで、安全性を確保することができるとアドバイスしている。
サービスごとにユニークなパスワードを使うことが安全の基本とされており、これを実現するためにパスワードマネージャーの利用が推奨されることが多い。一見すると安全のように見えるパスワードマネージャーだが、そういったところにこそ脅威アクターは興味を持ち罠を仕掛けてくる。セキュリティソフトウェアについても同様だ。インストールする前に、本当に正規のソフトウェアなのかよく確認する必要がある。
ネットワークカメラに脆弱性、映像の盗撮や監視システムの停止などの影響
GreyNoiseは2024年10月31日(米国時間)、AIの機能を活用した複数のネットワークカメラにセキュリティ脆弱性が存在することを発見したと発表した。このセキュリティ脆弱性を悪用された場合、サイバー攻撃者によるカメラ制御権の奪取、映像フィードの閲覧や操作、監視カメラの無効化、ボットネットの一部として悪用などが可能になると指摘している(参考「GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI | GreyNoise Blog」)。
-
GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI | GreyNoise Blog
セキュリティ脆弱性が存在するとされる製品は次のとおり。
- PTZOptics製カメラ (6.3.40より前のファームウェア)
- Multicam Systems SAS製カメラ
- SMTAV製カメラ(Hisilicon Hi3516A V600 SoC V60/V61/V63を使用しているもの)
ネットワークに接続されたIPカメラはしばしばサイバー攻撃の標的として悪用されている。該当する製品を使用している場合、ベンダーの発表している情報を確認するとともに、必要に応じてアップデートを適用することが望まれる。
フィッシング - JR西日本ポータル、レイク、ORIX MONEYを使った詐欺に注意
10月28日~11月3日の間にフィッシング対策協議会から3つの緊急情報が発表された。少なくともこの3つの情報は確認し、類似したメールが届いた場合にはフィッシング詐欺を疑い確認を取ろう。
- JR西日本のポータルサイト「WESTER」偽るフィッシング確認、注意を | TECH+(テックプラス)
- レイク (新生フィナンシャル)を偽るフィッシング確認、注意を | TECH+(テックプラス)
- ORIX MONEY(オリックス・クレジット)偽るフィッシング確認、注意を | TECH+(テックプラス)
精度の高い翻訳サービスや生成AIチャットサービスが登場してから、こうしたフィッシング詐欺に使われる文章にはとても自然な日本語が使われるようになっており、文章から詐欺の真偽を判定することは難しくなっている。それ以前であれば、違和感のある日本語や中国語で使われるフォントが使われているなどの点からフィッシング詐欺であると判断できたが、最近のフィッシング詐欺メールにはそうした不自然さはないことが多い。
少しでも内容に不自然な感じや違和感を覚えたら、受信したメールからではなく、正規のサイトやアプリから確認を取ったり連絡を入れるなどして対処することが望まれる。また、「フィッシングの報告」から情報提供を行うなどして情報共有に協力していくことも望ましい。
サイバーセキュリティ教育にはゲーム要素が有効かもしれない
サイバー攻撃は全方位から組織を襲ってくるため、一部の担当者が対応すればよいというものではなく、取締役から現場ワーカーも含めて組織全体で対応する必要があるとの考えが増えている。それには教育が欠かせず、そして社内文化の醸成も必要になる。
しかしながら、実際のところ社内教育で従業員に十分な知識を得てもらい、その知識を活用してもらうのは至難の業だ。資料を渡して誰もが内容を理解し履行してくれれば問題はないが、そんな現実はない。
Recorded Futureは10月28日(米国時間)、「Cybersecurity Awareness Month: Gamifying Cybersecurity Training」においてサイバーセキュリティ教育にはゲーム要素を取り入れることで効果的に進めることができるといった内容を提示した。具体的な方法が詳細に示されているわけではないが、取締役や従業員に行うサイバーセキュリティ教育に頭を悩ませている場合、1つのアイデアとして参考にできる。
7つの産業用制御システムに注意、深刻度が緊急の脆弱性あり
米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、10月28日~11月3日に7つの産業用制御システム(ICS:Industrial Control System)アドバイザリーを発行した。
- CISA Releases Four Industrial Control Systems Advisories | CISA
- CISA Releases Three Industrial Control Systems Advisories | CISA
- Rockwell Automation FactoryTalk ThinManager | CISA
- Mitsubishi Electric FA Engineering Software Products (Update A) | CISA
- Mitsubishi Electric Multiple FA Engineering Software Products (Update A) | CISA
- Mitsubishi Electric MELSEC iQ-R Series/iQ-F Series (Update B) | CISA
- Siemens InterMesh Subscriber Devices | CISA
- Solar-Log Base 15 | CISA
- Delta Electronics InfraSuite Device Master | CISA
セキュリティ脆弱性のいくつかは深刻度が緊急(Critical)と分類されており早急な対応が期待されている。該当する製品を使用している場合、深刻度にもよるが運用状況に合わせて可能な限り早い段階でアップデートや対策の実施を取ることが望ましい。
産業用制御システムは一旦運用が始まるとアップデートが行われないまま使われるケースは少なくない。アップデートによる不具合の発生や挙動の変更などを嫌うためだが、こうした状況はサイバー攻撃者にとって都合のよい状態であり、サイバー攻撃を受けるリスクを伴うことになる。運用計画の中にサイバーセキュリティ対策を目的としたアップデート計画を取り込み実施していくことが大切だ。
Apple製品のアップデートも
10月28日にはAppleからセキュリティアップデートが発表された。対象はiPhoneからMacまで幅広い(参考「iPhoneやMac、Apple Watchなど複数のApple製品に脆弱性、更新を | TECH+(テックプラス)」)。
今回のアップデートで修正対象となっているプロダクトは次のとおり。
- iPhone XSおよびこれ以降のモデル
- iPad Pro 13-inch
- iPad Pro 12.9-inch第3世代およびこれ以降のモデル
- iPad Pro 11-inch第1世代およびこれ以降のモデル
- iPad Pro 10.5-inch
- iPad第7世代およびこれ以降のモデル
- iPad第6世代およびこれ以降のモデル
- iPad Air第3世代およびこれ以降のモデル
- iPad mini第5世代およびこれ以降のモデル
- Mac Studio 2022およびこれ以降のモデル
- Mac Pro 2019およびこれ以降のモデル
- Mac Mini 2018およびこれ以降のモデル
- MacBook Air 2020およびこれ以降のモデル
- MacBook Pro 2018およびこれ以降のモデル
- iMac 2019およびこれ以降のモデル
- iMac Pro 2017およびこれ以降のモデル
- macOS Sonoma
- macOS Ventura
- Apple Watch Series 6およびこれ以降のモデル
- Apple TV HD and Apple TV 4Kのすべてのモデル
- Apple Vision Pro
Apple製品はビジネス用途では必ずしも主流とは言えないものの、日本はiPhoneを含むApple製品の利用が特に多い国であり、かなりの数のビジネスパーソンが個人的にiPhoneやiPad、Apple Watchを使っているといった状況がある。Appleからアップデートが配信されたらアップデートは必須であり、例外的な理由がない限り即座に適用することが推奨される。
* * *
本記事で紹介した各製品の脆弱性情報は、いずれも深刻度が高く、迅速な対応が求められるものだ。リコー製プリンターやQNAP製品の脆弱性は、企業における業務停止やデータ漏えいといったリスクを伴い、Microsoft SharePointの脆弱性は、組織内のサーバー侵入に悪用される可能性がある。また、ネットワークカメラの脆弱性は、不正な映像の覗き見やシステムの乗っ取りといった脅威を招く可能性があるため、特に注意が必要だ。
サイバー攻撃から自分自身や組織を守るためには、提供されるアップデートやセキュリティアドバイザリーに目を向け、日常的なセキュリティ対策を徹底することが重要になる。また、パスワード管理やアプリのインストールにおいても、信頼性の確認を怠らないようにすることが求められる。この記事を参考に、セキュリティ意識を高め、日々の対策を怠らないよう努めていただければと思う。