7月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。「Acrobat」と「Reader」のアップデートが予告されたほか、相変わらずフィッシングメールが拡散している。また、関西地方を中心とした豪雨で多くの被害が出ており、災害に便乗するサイバー攻撃やフィッシング詐欺には十分注意してほしい。
Adobe、「Acrobat」と「Reader」の脆弱性に対するアップデートを予告
アドビは7月6日、「Acrobat」と「Reader」に脆弱性があることを発表。脆弱性の悪用は未確認だが、現在セキュリティ更新の準備を進めており、AcrobatとAcrobat Readerのアップデートが予告された。
アップデートのリリースは7月10日の予定。WindowsとmacOS向けに提供される。適用優先度は3段階中の「2」となっており、30日以内にアップデートすることを推奨している。
ロジクール製ソフトのインストーラに脆弱性
7月6日の時点で、ロジクール製品のインストーラに、DLL読み込みの脆弱性が確認されている。対象ソフトは、ロジクール ゲームソフトウェア バージョン 8.87.116以前と、ロジクール接続ユーティリティソフトウェア バージョン 2.30.9以前。
脆弱性は、インストーラと同じディレクトリに存在するDLLファイルを読み込んでしまうというもので、インストーラの実行権限で任意のコードを実行される可能性がある。
対策としては、これからインストールする場合、最新のインストーラを使用すること。すでにソフトをインストールしている場合、脆弱性を悪用されることはない。古いバージョンを所持している場合は、誤って使わないように削除しておくのが望ましい。
対策バージョンは、ロジクール ゲームソフトウェアがバージョン8.87.116、ロジクール接続ユーティリティソフトウェアがバージョン2.30.9となる。
Android アプリ「DHCオンラインショップ」に脆弱性
7月6日の時点で、ディーエイチシーのAndroidアプリ「DHCオンラインショップ」に、SSLサーバー証明書の検証不備の脆弱性が確認されている。対象となるのは、「DHCオンラインショップ」バージョン3.2.0以前。
脆弱性は、SSLサーバー証明書の検証不備によるもので、放置すると暗号通信を盗聴される可能性があるという。すでに対策済みバージョンは提供されているので、このアプリを利用している場合、最新版へとアップデートしてほしい。
ソフトバンクを騙るフィッシングメール
7月4日の時点で、ソフトバンクを騙るフィッシングメールが確認されている。メールの件名は「緊急ご連絡」、「重要なお知らせ!」、「緊急!お知らせ」、「ソフトバンクより重要なお知らせ!」など。ソフトバンクのスマートフォンを契約している人は特に注意だ。
一般論として、飛ばされる先のフィッシングサイトは稼働と停止を繰り返すことがあるため、メール内のURLをクリック/タップするときは細心の注意を払ってほしい。
シャレード文庫のメルマガ会員情報が流出
シャレード文庫は、同社が運営するWebサイトの会員情報が不正アクセスにより流出した可能性があることを発表した。情報の流出時期は4月11日で、調査の結果、会員情報のメールアドレス、ログインパスワードの組み合わせなど3,375件が外部に存在することが確認された。
メールマガジンに登録している人は、メールアドレスとパスワードの組み合わせを見直し、他サイトでも使用している場合は変更することを推奨している。
WordPressの脆弱性を解消するアップデート
7月6日、2017年11月に発覚していたコンテンツマネジメントシステム「WordPress」の脆弱性に対するアップデートがリリースされた。脆弱性を抱えるバージョンはWordPress 4.9.6以前。
脆弱性を悪用されると、画像や動画ファイルの編集などが行える「投稿者(Author)」の権限でファイル操作が可能となる。通常は削除できないファイルを消される可能性や、さらに任意のコードが実行される可能性もあるという。
開発チームは、今回のアップデートをセキュリティアップデートに位置付け、即時アップデートを行うよう強く推奨。アップデートでは脆弱性が修正されたほか、17件のバグも解消している。