12月11日週に発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。今週はマイクロソフトの月例セキュリティ更新プログラムや、Apple製品のアップデートなど、更新すべき内容が目白押し。確実にアップデートを実行しておきたい。悪意ある攻撃は後を絶たないので、いまできるセキュリティ対策を万全に。

  • 先週のサイバー事件簿

マイクロソフト、12月のセキュリティ更新プログラムを公開

マイクロソフトは12月13日、12月のセキュリティ更新プログラムを公開した。更新されるのは、Internet Explorer、Microsoft Edge、Microsoft Windows、Microsoft Office、Microsoft Office Services、Web Apps、Microsoft Exchange Server、Chakra Core。

更新プログラムは、緊急4件と重要9件があり、できるだけ早期に更新プラグラムを適用するよう推奨している。ほかにも、11月の月例セキュリティ更新プログラム適用後に発生していた、一部のエプソン製プリンタで印刷に失敗する問題が解決されている。

「悪意のあるソフトウェアの削除ツール」には、Win32/Floxif、Win32/SilverMob、Win32/PlantomStar、Win32/Autophyte、Win32/FoggyBrass、Win32/TangentCobra、MSIL/DarkNeuronに対する定義ファイルが新たに追加された。

Apple、最新のアップデートを公開

Appleは12月14日、OSやアプリケーションの最新アップデートを公開。今回のアップデートを適用することで、悪意ある第三者による任意のコードの実行や、Krack、認証回避など、多くの脆弱性が解消される。対象となるソフトとバージョンは以下の通り。

  • iCloud for Windows 7.2以前
  • tvOS 11.2.1以前
  • iOS 11.2.1以前
  • AirPort Base Station Firmware 7.7.9以前
  • AirPort Base Station Firmware 7.6.9以前
  • iTunes 12.7.2 for Windows以前
  • Mac OS High Sierra 10.13.2以前
  • Mac OS Sierra以前
  • Mac OS X El Capitan以前
  • Safari 11.0.2以前
  • watchOS 4.2以前

Qt for Androidに複数の脆弱性

12月11日の時点で、Qt for Androidに複数の脆弱性が確認されている。OSコマンドインジェクションに関するものと、環境変数が改ざん可能なもの。

影響を受けるのは、Qt for Android 5.9.0以前(環境変数の改ざんの脆弱性は5.9.3以前)で、放置すると悪意ある第三者によりOSコマンドを実行されたり、Qt for Android を使用して作成したアプリケーションの環境変数を改ざんされる可能性がある。

対策は最新版へとアップデートすること。また、Qt for Android 5.7、および 5.8には修正パッチが提供されているので、これを適用すること。

ソニー、Media GoとMusic Center for PCに脆弱性

ソニーが提供するファイル管理ツール「Media Go」と「Music Center for PC」のインストーラに、DLL読み込みに関する脆弱性があることが確認されている。脆弱性があるのは、Media Go 3.2.0.191以前、Music Center for PC 1.0.00。

この脆弱性は、同一ディレクトリにある特定のDLLを読み込んでしまうもので、悪意のある第三者によって任意のコードが実行される可能性がある。Media Goは既に開発・配布が終了しているので、対策はインストールをしないこと。既にインストールしている場合、問題は発生しない。

Music Center for PCでは、最新のインストーラを使用すること。こちらも既にインストールしている場合は問題は発生しない。

Adobe、Flash Playerの脆弱性を解消するアップデートを公開

12月13日の時点で、Adobe Flash Playerに1件の脆弱性が確認されており、アップデートが公開済み。重要度は「中」だが、確実にアップデートしておきたい。対象となるのは以下のバージョン。

  • Adobe Flash Player Desktop Runtime 27.0.0.187以前(Windows、Mac、Linux)
  • Adobe Flash Player for Google Chrome 27.0.0.187以前(Windows、Mac、Linux、Chrome OS)
  • Adobe Flash Player for Microsoft Edge and Internet Explorer 11 27.0.0.187以前(Windows 10 / 8.1)

最新アップデートを適用すると、Adobe Flash Playerのバージョンは28.0.0.126となる。

ディノスオンラインショップで、「なりすまし」による不正アクセス

ディノス・セシールは12月7日、同社の通販サイト「ディノスオンラインショップ」において、「なりすまし」による不正アクセスがあったことを発表した。

不正アクセスは、外部で不正に取得されたとされるID(メールアドレス)やパスワードが使われた。顧客情報の一部改ざん、閲覧、不正注文などが行われたという。不正アクセスは11月4日と11月5日に発生し、11月4日の不正ログインでは「電話番号」「携帯番号」「住所」が改ざんされ、「勤務先情報」を閲覧された可能性がある。

11月5日の不正ログインでは、「電話番号」「FAX 番号」「住所」が改ざんされ、顧客のものではないクレジットカードによって商品の不正注文が試みられた。ただし、属性不一致によりキャンセルとなっている。

これらの顧客情報は、ファイルとして外部に流出していないことが確認されている。

今後の対策として、不正ログインされたアカウントを抹消するほか、不正アクセスを行った特定IPアドレスからのアクセスをブロック。「ディノスオンラインショップ」を利用している人には、注文履歴の確認とパスワード変更をおすすめする。

ヤマケイオンライン、不正アクセスによる会員情報流出を調査

山と溪谷社は12月11日、同社が運営する「ヤマケイオンライン」のWebサーバを経由して、会員データベースに外部からの不正アクセスがあり、一部情報が第三者に取得された可能性があると発表した。

ことの経緯は、まず11月29日に、「ヤマケイオンライン」の登録ユーザーからフィッシングメールが届いたとの報告を受け、調査を開始。システム上に脆弱性があることが発覚した。

この脆弱性は12月5日に解消しているが、不正アクセスと情報流失の詳細については現在も分析中とのこと。状況を確認でき次第、追ってサイトなどで経過を報告する予定としている。