9月24日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
スマートフォンアプリ「+メッセージ」に脆弱性
9月27日の時点で、スマートフォンアプリ「+メッセージ(プラスメッセージ)」に脆弱性が確認されている。影響を受けるのはNTTドコモ、KDDI、ソフトバンクの各キャリア対応のiOSアプリ、Androidアプリで、対象となるバージョンは以下の通り。
■NTTドコモ
Android +メッセージ 42.40.2800以前
iOS +メッセージ 1.1.23以前
■KDDI
Android +メッセージ 1.0.6以前
iOS +メッセージ 1.1.23以前
■ソフトバンク
Android +メッセージ 10.1.7以前
iOS +メッセージ 1.1.23以前
脆弱性は、SSLサーバー証明書の検証不備で、中間者攻撃による暗号通信の盗聴などが行なわれる可能性がある。
対策バージョンはすでにリリースされているので、アプリを利用している人は早急にアップデートを行うこと。
シマンテック、フォームジャッキングの増加に注意喚起
シマンテックは9月26日、Web;;site;;のフォームを乗っ取る「フォームジャッキング」攻撃が増加しているとして、公式ブログなどを通じて注意を喚起した。
フォームジャッキングとは、悪意あるJavaスクリプトコードを使い、電子商取引サイトの支払いフォームなどからカード情報などを盗む攻撃のこと。支払いフォームにデータを入力して「送信」などのボタンをクリックすると、カード情報、氏名、住所などが攻撃者に収集される。これらの情報は、以降、クレジットカード詐欺に悪用されたり売買されたりする。最新の攻撃手法というわけではないが、最近はより大規模かつ巧妙になっているという。
フォームジャッキングは8月半ばに増加を続け、もっとも攻撃が顕著だったのは9月13日から20日までの期間。攻撃件数は約248,000件にのぼる。これは前月比でほぼ2倍の増加。標的となっているのは、大手の電子商取引サイトだけでなく、オンラインの小売サイトも含まれる。
フォームジャッキングの怖い点は、フォームがあるWebサイトの動作は通常と変わらないため、被害に気付きにくいこと。攻撃者は巧妙に潜伏し、検出回避の対策も講じているからタチが悪い。Webサイトを自前で運営している企業は、サプライチェーン攻撃に細心の注意を払っていただきたい。
Apple、macOSのアップデートで脆弱性に対処
Appleは9月25日、macOS向けに脆弱性対策を施したアップデートを公開した。脆弱性があるのは、macOS 10.14以前。脆弱性は、任意のコード実行、情報漏えい、アクセス制限回避など。Macを使用している人は最新版へとアップデートを行うこと。
TP-Link、Wi-Fiネットワーク管理ツールに複数の脆弱性
TP-Linkは9月27日、同社の無線LAN管理ツール「TP-Link EAP Controller」に、複数の脆弱性があることを確認した。影響を受けるのは、TP-LINK EAP Controller v2.5.3以前。
脆弱性は2件で、1件はLinux向けの「EAP Controller」によるもの。遠隔制御で認証を必要としない「Java Remote Method Invocation」を利用するとき、デシリアライゼーション攻撃でサーバーを遠隔操作されたり、コードを実行される可能性がある。
もう1件は、同梱ソフト「Apache Commons Collections 3.2.1」によるもの。2015年に確認されたデシリアライズ処理に関する脆弱性の影響を受ける。
これらの脆弱性を完全に解消するアップデートは未提供だが、Apache Commons Collections バージョン 3.2.2、もしくは4.1以上にアップデートすることで、一部対策が可能となっている。
WindowsのJet DBエンジンに未修正の脆弱性
トレンドマイクロ傘下のZero Day Initiative(ZDI)は、Jetデータベースエンジンに未修正の脆弱性があることを発表した。Jetデータベースエンジンとは、MicrosoftのAccessなどで標準的に使用されているリレーショナルデータベース用エンジンの一種。
Jetデータベースエンジンのインデックス管理に問題があり、細工されたファイルを開いて処理すると、範囲外のメモリにデータを書き込んでしまう。これを利用することで、リモートから任意のコードを実行される可能性があるという。
この脆弱性はWindows 7で確認されているが、すべてのWindows OSが影響を受ける可能性がある。実証コードも出回っており、日々の運用では信頼できるファイルのみ開くようにしたい。
