3月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。世間を騒がせたCPUの脆弱性「Spectre」や「Meltdown」だが、同様のものがAMDのCPUとチップセットでも発見された。このニュースは、イスラエルの情報セキュリティ企業「CTSラボ」が公開した。AMDは調査・分析中との声明を出しているが、2018年3月19日の時点では、事実かどうか、詳細はどうなのか不明。今後の情報に注視したいところだ。
AMD製CPUにも乗っ取りの危険性?
前段の続きだが、CTSラボによると、AMD製のCPUを保護する「AMDセキュア・プロセッサー」に「重大な脆弱性」が含まれており、悪意のあるコードを恒久的に埋め込めると説明している。しかもほとんどのセキュリティ対策では、被害に遭っていることさえ検知できないという。
対象となるのはAMD Ryzenなどの最新CPUやチップセット。CTSが公表した報告書によると見つかった脆弱性は13件で、問題のある製品は、一般消費者向け、企業向け、工業向けなど幅広い分野におよぶという。AMDは、この報告について現在調査中としている。
なお、攻撃を成功させるには「ローカルマシンの管理者権限が必要」としていることや、CTSラボがAMDに報告してからそれほど時間をおかずに公開したことなどに対して、批判の声も上がっている。いずれにしても、AMDの公式な見解を待つのが賢明だ。
マイクロソフト、3月のセキュリティ更新プログラムを公開
マイクロソフトは3月14日、3月のセキュリティ更新プログラムを公開した。脆弱性についてのセキュリティ更新プログラムは、緊急4件、重要9件となっている。合わせて、新規のセキュリティアドバイザリを1件公開し、既存のセキュリティアドバイザリを1件更新した。対象ソフトは以下の通り。
- Internet Explorer
- Microsoft Edge
- Microsoft Windows
- Microsoft Office、Microsoft Office Services および Web Apps
- Microsoft Exchange Server
- ASP.NET Core
- .NET Core
- PowerShell Core
- ChakraCore
- Adobe Flash
今月の「悪意のあるソフトウェアの削除ツール」には、Win32/Detrahere、およびWin64/Detrahereに対する定義ファイルが追加された。今回公開されたセキュリティ更新プログラムを、早期に適用するよう注意喚起も行っている。
仮想通貨交換所「ビットフィネックス」へのDDoS攻撃を確認
仮想通貨交換所「ビットフィネックス」へのDDoS攻撃が確認された。攻撃はビットコインの価格が最高値に達するタイミングで行われ、サイバー犯罪者が価格を操作して利益を得ようとしていると推測されているものの、いかなる組織・個人によるものなのかはまだ明らかにはなっていない。
過去、この攻撃は2017年12月4日に行われ、過剰な負荷のため「ビットフィネックス」は一時的に利用不能状態に追い込まれた。この操業停止に先立って、11月26日もう1つ別のDDoS攻撃も確認されていた。
これら2つの攻撃に挟まれる形で「瞬間暴落」が起こり、トレーダーの中には深刻な損失を被った人もいたという。このとき、NEO、OMG、ETPの相場は90%に迫る勢いで下落し、取引停止に至っている。別の大手交換所「コインベース(Coinbase)」も、2017年6月に瞬間的な暴落に見舞われ、最終的に規制をするための監視を行うこととなった。
このように、仮想通貨を巡っての犯罪は後を絶たない。マウントゴックスの経営破綻や、コインチェックの仮想通貨流出事件などの例もあるだけに、仮想通貨の取り扱いには慎重を期して欲しい。
Adobe Flash Playerに脆弱性
アドビシステムズは3月14日、Adobe Flash Playerに脆弱性があることを公表した。この脆弱性は、過去に攻撃リスクが高いとされたことのあるもので、至急、修正プログラムを適用するように注意喚起している。対象バージョンは以下の通り。
- Adobe Flash Player Desktop Runtime 28.0.0.161以前(Windows、Mac、Linux)
- Adobe Flash Player for Google Chrome 28.0.0.161以前(Windows、Mac、Linux、Chrome OS)
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11 28.0.0.161以前(Windows 8.1 / 10)
対策バージョンはすでに公開されているので、それぞれのOSに合わせてブラウザごとにアップデートを適用すること。
PhishWallクライアント、Windows用のFirefox版とChrome版のインストーラに脆弱性
セキュアブレインは3月15日、不正送金やフィッシング対策用ソフト「PhishWall クライアント Windows用 Firefox、Chrome版」のインストーラに、DLL読み込みに関する脆弱性があると発表した。対象バージョンは、PhishWall クライアント Windows用のFirefox版とChrome版のVer. 5.1.26以前。
脆弱性は、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまうというもの。最悪の場合、インストーラを実行している権限で任意のコードを実行される可能性がある。
すでに最新のインストーラが提供されているので、インストールする祭は最新のものを使用すること。すでにインストールが完了している場合、影響はない。