12月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Mozilla、脆弱性11件を修正した「Firefox 71.0」を公開

Mozilla Foundationは12月3日、Firefoxの最新バージョン「71.0」を公開した。今回のアップデートでは、セキュリティ関連11件を修正。

重要度「高」に分類されている脆弱性は、オブジェクトの解放後使用、ワーカー破壊での解放後使用、WebRTCコードの引数の数が正しくないためにスタックが破損するなど。重要度「中」の脆弱性は、解放後のメモリ使用、プレーンテキストシリアライザーのバッファーオーバーフローなど。

新機能も追加されており、統合パスワードマネージャーの「Lockwise」を改良。サブドメインを認識し、Lockwiseからログイン情報を自動入力するようになった。Firefox Monitorと統合された漏洩アラートも、スクリーンリーダー環境から利用可能になっている。

ほかにも、暗号通貨マイニングをブロックしたときの通知機能、保護パネルからブロックされたトラッカーの確認、動画再生の際ウインドウをフローティングできるようになり(Windows版のみ)、ネイティブのMP3デコーダーも内蔵された(Windows、mac OS、Linux版)。

モーターマガジン運営のサイトでクレジットカード情報が流出

モーターマガジンは12月3日、同社運営のコーポレートサイトにおいて、不正アクセスが発生したことを明らかにした。クレジットカード情報を含む個人情報が流出している。

流出の経緯は、2019年6月27日にクレジットカード会社からの連絡を受け発覚。即日クレジットカードによる決済を停止した。不正アクセスはシステムの一部脆弱性をついたもので、2018年8月21日から2019年6月27日の期間に発生。流出したのはクレジットカード情報211件で、詳細はカード名義人、クレジットカード番号、有効期限、セキュリティコード。

該当する顧客にはすでに連絡を行い、サイトを利用した人に対しては、不審な利用がないか利用明細を確認するよう呼びかけている。サイトの再開日は、決定しだい告知する予定。

HPのサーバーやストレージに使われているSSDにデータ復旧が不可能になる不具合

Hewlett Packard Enterpriseのサーバーやストレージに使われている特定のSAS SSDにおいて、復旧が不可能になる不具合が発生するという。これは11月29日に公開されたサポート文書に記載されている。

この不具合は、「HPD8」より前のファームウェアを使用しているSSDにおいて発生。稼働時間が32,768時間に達すると、SSDのデータに不具合が発生しても回復ができなくなる。同時に稼働を開始したドライブでも障害が発生する可能性がある。

同社はすでに「HPD8」ファームウェアを配布して対策。ストレージの稼働時間は、「Smart Storage Administrator」から確認できる。

トレンドマイクロ製品に複数の脆弱性

トレンドマイクロの製品に脆弱性が見つかった。対象となるソフトは以下。

  • Trend Micro Deep Security Manager
  • Trend Micro Deep Security Agent
  • Trend Micro Virtual Patch for Endpoint(TMVP) Manager 2.0 SP2 Patch7 Critical Patch およびそれ以前のバージョン

脆弱性は2種類存在。1つは、LDAP通信において暗号化されていない通信が行われるというもの。Trend Micro Deep Security ManagerとTrend Micro Virtual Patch for Endpoint(TMVP) Managerが対象。

もう1つは、任意のファイルが削除されるというもの。Trend Micro Deep Security Agentが対象となり、この脆弱性はWindows版のみ影響を受ける。

すでに対策済みバージョンが提供されているので、バージョンアップを行うか対応パッチを適用すること。