7月13日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

  • 先週のサイバー事件簿

Windows DNSサーバーに「緊急」レベルの脆弱性

マイクロソフトは7月14日、Windows DNSサーバーの脆弱性を公開した。レーティングが「緊急」と高く、ワーム活動に悪用される可能性もあるので注意が必要だ。

脆弱性はリモートでコードが実行されるというもの。DNSサーバーとして構成しているすべてのバージョンのWindows Serverに影響があり、認証なしで脆弱性の悪用が可能。ワーム転用で拡散することもあり得る。まだ攻撃に使われた実績はないが、将来的にも残しておきたくない脆弱性だ。

脆弱性を解消するには、下記のセキュリティ更新プログラム(7月)を適用すること。マイクロソフトは「Windows Update/Microsoft Updateで自動更新が有効となっているお客様は、特に追加での対応は必要ありません」としているが、すぐに更新プログラムを適用できない場合は、サーバーの再起動を伴わないレジストリベースの回避策(マイクロソフトのWebサイト)を検討してほしい。

マイクロソフト、7月のセキュリティ更新プログラムをリリース

マイクロソフトは7月15日、7月のセキュリティ更新プログラムを公開した。対象ソフトは以下の通り。

  • Microsoft Windows
  • Microsoft Edge(EdgeHTML-based)
  • Microsoft Edge(Chromium -based)
  • ChakraCore
  • Internet Explorer
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • Windows Defender
  • Skype for Business
  • Visual Studio
  • Microsoft OneDrive
  • Open Source Software
  • .NET Framework
  • Azure DevOps

脆弱性についてのセキュリティ更新プログラムは、緊急10件、重要1件。修正内容はリモートでコードが実行される、特権の昇格、なりすましを含む。ほかにも、新規セキュリティアドバイザリ1件を公開、既存の脆弱性情報3件を更新している。

7月の定例リリースでの注意点は、Windows OS向けセキュリティ更新プログラムによる修正を正しく反映するために、最新のSSUの適用が必要なこと。適用すると、RemoteFX vGPUの機能が無効になるが、これはHyper-Vの脆弱性に対応するための処理だ。

SharePointのPerformancePointサービス向けセキュリティ更新プログラムの適用では、信頼できるデータソースの場所、信頼できるコンテンツの場所の既定値を変更する。

Google、Chromeの最新バージョン「84.0.4147.89」を公開

Googleは7月14日、Chromeの最新バージョン「84.0.4147.89」を公開した。アップデートは、Windows、macOS、Linux向けに提供する。

今回のアップデートでは、重要度「緊急」の脆弱性1件として、バックグラウンドフェッチでのヒープバッファーオーバーフローを修正している。ほかにも、「高」7件、「中」8件、「低」10件を含む38件の脆弱性を修正済み。緊急性も高く件数も多いので、Chromeのユーザーはすみやかにアップデートしておくこと。

Apple、iOSやmacOSの脆弱性を解消するアップデートを公開

Appleは7月15日、iOSやmacOSなど複数製品のアップデートを公開した。対象製品とバージョンは以下の通り。

  • iOS 13.6 より前のバージョン
  • iPadOS 13.6 より前のバージョン
  • macOS Catalina 10.15.6 より前のバージョン
  • macOS Mojave(Security Update 2020-004 未適用)
  • macOS High Sierra(Security Update 2020-004 未適用)
  • tvOS 13.4.8 より前のバージョン
  • watchOS 6.2.8 より前のバージョン
  • Safari 13.1.2 より前のバージョン

今回のアップデートで修正した脆弱性は、任意のコード実行、サービス運用妨害(DoS)、情報漏えい、アクセス制限不備、認証不備、情報改ざん、制限回避、任意のスクリプト実行、認証回避、任意のコマンド実行など。対象のOSがインストールされたデバイスを使っている場合は、すみやかにアップデートすること。

城南進学研究社のサイトを管理するWebサーバーに不正アクセス

城南進学研究社は7月16日、同社の公式ホームページを管理しているWebサーバーが不正アクセスを受けたことを明らかにした。

不正アクセスは外部からの攻撃と見られており、ホームページ内のデータが消失し、個人情報も流出した可能性があるという。流失した可能性がある情報は、城南予備校 DUO、城南コベッツ、城南AO推薦塾、デキタス、城南ルミナ保育園立川のホームページ内のコンテンツの全データ。

個人情報は、2016年4月以降に、資料請求画面から資料請求や体験学習などを申し込んで情報を入力をした人のものが流出。現在把握している件数は34,263件となる。個人の成績情報、パスワード、銀行口座、クレジットカードなどの情報は含まれない。対象となるのは、城南予備校、城南予備校DUO、城南コベッツ、くぼたのうけん、城南ブレインパーク、城南ルミナ保育園立川、城南進学研究社。

これらの状況を踏まえ、2020年7月11日20時から該当サーバーを停止。別サーバーで告知を行いつつ、代替サーバーの設定やコンテンツの再構築作業などを進めている。復旧は見通しが立った段階で告知するとのこと。

hatsutoki ONLINE STOREで不正アクセス

島田製織は7月13日、同社が運営するオンラインストア「hatsutoki ONLINE STORE」において、不正アクセスがあったことを明らかにした。これを受け、2020年2月26日にクレジットカード決済を停止している。

同社は2020年1月22日にシステムの入れ替えを行っており、情報流出は2020年1月22日まで利用していた旧システムのオンラインストアの脆弱性をついたもの。現在運用している新システムの環境が安全であることは確認済みとしている。

不正アクセスは、2018年12月25日から2020年1月22日までの期間に発生。同ストアで商品を購入した人のクレジットカード情報138件が流出している。一部のクレジットカードは不正利用の可能性も高いとのこと。流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。同社は、情報が流出した顧客138名に電子メールで個別に連絡を取っている。