11月5日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

自己暗号化ドライブ製品に脆弱性

オランダのNational Cyber Security Centreにより、ATAセキュリティモードやTCG OPAL規格を実装した自己暗号化ドライブ製品に複数の脆弱製が確認された。

脆弱性は2種類。1つは、ユーザーが設定したパスワードとデータ暗号化に用いる暗号鍵が関連付けされておらず、パスワードを知らなくても復号が可能というもの。影響を受ける製品は以下の通り。

  • Crucial MX100、MX200、MX300
  • Samsung ポータブルドライブ T3、T5
  • Samsung 840 EVO、850 EVO(ATA highモードの場合)

もう1つは、データ暗号化の鍵に関する情報がウェアレベリング機能を持った記憶領域に記録されている場合に生じる。データの更新時、物理的に異なる位置に書き込まれることで、元データが完全には削除されない可能性があるというもの。影響を受ける製品はSamsung 840 EVO。

対策方法は、メーカー提供の最新ファームの適用や修正パッチの適用など。そのほかには、ハードウェアベースだけでなくソフトウェアベースでの暗号化などが挙げられる。

なお、WindowsのBitLockerの初期設定では、使用するドライブがハードウェア暗号化機能を持っている場合、これを使用する設定となっている。しかし、BitLocker自身が暗号化を行うように設定することで、上記の脆弱性対策となる。変更後はソフトウェアベースで暗号化し直すので、BitLockerを一度無効化してから再び有効化する必要がある。

Windows版「Evernote」にクロスサイトスクリプティングの脆弱性

11月7日の時点で、「Evernote for Windows」に脆弱性が確認されている。対象バージョンはEvernote for Windows 6.15以前。

脆弱性は、細工されたノートをプレゼンテーションモードで開くとコマンドを実行される可能性があるというもの。バージョン6.14で脆弱性が確認され、バージョン6.15で確認したところこの脆弱性が発見された。

同社では、10月15日に「Evernote For Windows 6.16.1 beta」をリリース。その後、11月5日に「Evernote for Windows 6.16.4」をリリースした。Evernoteを常用している人は、すみやかにアップデートすること。

Google Play上に不正ファイナンスアプリ

2018年6月ごろ、Google Playで偽ファイナンスアプリが確認された。これら偽アプリは、Googleが削除するまで1,000回以上インストールされていたという。

偽アプリ群は、ニュージーランド、オーストラリア、英国、スイス、ポーランドの銀行6社と、オーストリアの仮想通貨取引所ビットパンダを偽装しており、偽のフォーム画面を使ってクレジットカード情報やログイン情報を窃取しようとする。

偽アプリはそれぞれ別のデベロッパー名でアップロードされていたが、ソースコードが似ていることから同一犯が制作したものである可能性が高いという。ソースコードは難読化処理が施されており、不正を検出するフィルタには検知されなかった模様。現在これらのアプリは削除されている。

もしこのように、不正アプリがGoogle Play上にあった場合、それが偽物かどうかを判断するのは非常に難しい。Google Playにあるアプリなら安全、というのが一般的な認識だからだ。とはいえ今回のようなケースが今後も起こる可能性もある。

インストール前にレビューを熟読したり、メーカーや機関の公式サイトを見て正しいアプリが本当に存在するかを確認したりすることも重要だ。スマートフォンでお金を扱う場合は、毎月のお金の動きをきちんとチェックすることも必須である。

Dockerコンテナの設定不備を悪用したマルウェア拡散攻撃

トレンドマイクロのセキュリティブログによると、コンテナ型仮想環境を提供するソフト「Docker Engine Community版」に、設定不備の脆弱性が確認された。この脆弱性を悪用して、仮想通貨発掘マルウェアを拡散する攻撃が行われていた。脆弱性は無償版にのみ存在し、商用版はこの攻撃の対象外となる。

Docker Engineでは、遠隔のユーザーがDocker APIを利用し、ローカルのDockerクライアントと同様にイメージを管理できる。このDocker APIが使用するポート「2375/TCP」と「2376/TCP」がインターネット上で露出しており、不正活動に悪用された。

Dockerは、ユーザー自身が設定できるセキュリティ機能を備えているので、今回の脆弱性はユーザーの設定不備が直接の原因。まずは、Docker APIにアクセスするポートの外部露出を防ぐこと。外部からアクセスする必要がある場合は、TLS認証を有効化することで対処する。

「Java SE」商用ユーザーに注意喚起

オラクルコーポレーションは、「Java Platform Standard Edition 8」のアップデートが2019年1月に終了することから、商用ユーザーに向けて最新バージョンへのアップデートを行うように呼びかけている

公式アップデートの提供方法の変更に伴うもので、2年に1回提供されてきたメジャー・リリースのサイクルが、変更後は3月と9月という年2回のフィーチャー・リリースとなる。以降は、古いバージョンで脆弱性が発見されても、アップデートされない。