8月27日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Windowsのタスクスケジューラにおけるローカル権限昇格の脆弱性

8月28日の時点で、WindowsタスクスケジューラのALPCインタフェースに、ローカル権限昇格が可能になる脆弱性が確認されている。

脆弱性は、タスクスケジューラのアドバンストローカルプロシージャコール(ALPC)に起因。権限のチェックに失敗し、ローカル環境でファイルを呼び出す際にシステム権限が取得できてしまうというもの。

Windows 10 64bit、Windows Server 2016で動作が確認されており、若干の変更を加えることでWindows 10 32bitでも動作するという。これ以外にも、他のバージョンのWindowsでも動作する可能性が高い。

この脆弱性を悪用するマルウェアも確認済み。9月6日の時点でMicrosoftから対策パッチなどはリリースされていない。

ヤマハ製ネットワーク機器にスクリプトインジェクションの脆弱性

ヤマハは8月29日、同社のネットワーク機器にスクリプトインジェクションの脆弱性が存在すると発表した。脆弱性がある製品は以下の通り。

  • ヤマハ ブロードバンドVoIPルーター「RT57i」Rev.8.00.95以前
  • ヤマハ ブロードバンドVoIPルーター「RT58i」Rev.9.01.51以前
  • ヤマハ ブロードバンドVoIPルーター「NVR500」Rev.11.00.36以前
  • ヤマハ ギガアクセスVPNルーター「RTX810」Rev.11.01.33以前
  • ヤマハ ファイアウォール「FWX120」Rev.11.03.25以前

脆弱性はスクリプトインジェクションで、ルーターとファイアウォール製品に実装されている「かんたん設定ページ」において、特定の設定ページにアクセスしたユーザーに不正なスクリプトを実行させることが可能となるもの。

対策済みファームウェアはすでに提供されているので、製品を所持、使用している場合は早急にファームウェアをアップデートしてほしい。

Amazonを騙るフィッシングメール、増加中

Amazonを騙る複数のフィッシングメールが確認されている。メールの件名は複数あり、本物のメールと間違えないように注意したい。メール件名の例は以下の通り。

  • あなたのアカウントを更新
  • あなたのアカウントはブロックされています [日付]
  • [受信者の氏名] Amazonのアカウントが盗まれました。 変更してください [日付時刻]
  • [受信者の氏名] Amazonアカウントの有効期限が切れました。 変更してください [日付時刻]
  • [受信者の氏名] アラート:あなたのアカウントは閉鎖されます。[英数字文字列]
  • [受信者の氏名] 異常な活動 - アカウントを保護して下さい。[英数字文字列]
  • [受信者の氏名] 今すぐあなたのアカウントを確認してください。[英数字文字列]
  • [受信者の氏名] Amazonアカウントのサードパーティのログイン。 変更してください [英数字文字列]

マイクロソフト、TLS 1.0と1.1での接続を無効化

マイクロソフトは2018年10月31日に、Transport Layer Security(TLS) 1.0と1.1の利用を廃止するとしている。今後については、より安全なプロトコルとなるTLS 1.2以降への移行を推奨する。

TLS 1.0と1.1の廃止により、Office 365のサービスに正常に接続するためには、クライアントとサーバー間、ブラウザとサーバー間のすべての組み合わせで、TLSバージョン1.2以降を使用するように設定する必要がある。この設定の期限は2018年10月31日まで。

期日までに設定を終わらせていないと、Office 365を利用するとき、接続できないなどの障害が発生する可能性がある。現在TLS 1.2を使用できないクライアントの一例は以下の通り。継続的にサービスへアクセスするには、クライアント環境を更新すること。

  • Android 4.3以前
  • Firefox 5.0以前
  • Windows 7上のInternet Explorer 8~10以前
  • Windows Phone 8.0上の Internet Explorer 10
  • Safari 6.0.4 / OS X 10.8.4以前

QNAP Photo Stationにクロスサイトスクリプティングの脆弱性

QNAPは8月23日、同社製品「Photo Station」に、クロスサイトスクリプティングの脆弱性が存在すると発表した。影響を受けるのは、Photo Station バージョン 5.7.0以前。脆弱性を悪用されると、Webブラウザ上で任意のスクリプトを実行される可能性がある。

すでに対策済みバージョンは提供されているので、製品を所持している人は早急にアップデートを行うこと。対策済みバージョンは、Photo Station バージョン5.7.1以降となる。

モスバーガーで個人情報が閲覧可能になっていた問題

フジタコーポレーションは8月31日、同社のフランチャイズ企業「モスバーガー」において、販売管理していた顧客情報が、インターネット上で閲覧可能な状態であったと発表した。

同社では、社内において期間中の予約状況の情報を共有するためのサイトを設置。このサイトのセキュリティが不十分だったため、個人情報が閲覧可能となっていた。この案件は、8月29日に顧客からの指摘を受け発覚。同日中に、個人情報を含むデータの削除を行い、現在は閲覧できない状態になっている。

閲覧可能だった個人情報は、モスチキンをファックスで予約購入した顧客情報619件。対象店舗は、北海道内のモスバーガー「苫小牧店」「苫小牧バイパス店」「伊達店」「モルエ中島店」「苫小牧柳町店」。期間は、2015年11月16日~2015年12月18日、2016年11月14日~2016年12月20日、2017年11月15日~2017年12月20日。顧客情報の内容は、氏名、法人名、住所、電話番号、注文内容、注文金額。

調査によると、個人情報を削除した8月29日までに該当ページへの外部からのアクセス件数は1件のみで、個人情報が不正に使用された事実は確認されていない。