4月19日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

Pulse Connect Secureに脆弱性-すでに悪用の事例も

VPN製品「Pulse Connect Secure」の脆弱性が発覚。対象バージョンは「Pulse Connect Secure version 9.0R3 およびそれ以降」で、第三者が認証を回避して任意のコード実行が可能になるというもの。

脆弱性は、搭載機能の「Windows File Share Browser」と「Pulse Secure Collaboration」に存在。この脆弱性は2021年4月21日に「FireEye」が悪用確認をレポートしており、Pulse Connect Secureを運用している組織は注意が必要だ。

4月21日の時点で脆弱性を修正するパッチなどは用意されていないため、影響を少なくするには、提供中のWorkaround-2104.xmlを適用し、Windows File Share BrowserとPulse Secure Collaborationを無効化することとなる。ただし、Workaround-2104.xmlは、Pulse Connect Secureのversion 9.0R1~9.0R4.1、9.1R1~9.1R2では動作しないため、バージョンアップしてから適用する必要がある。

また、Pulse Secure Connectで改ざんなどをチェックするためのツール「Pulse Connect Secure Integrity Tool」も公開中。まずはこのツールを使って状態を確認するとよい。対策済みアップデートの提供は5月上旬ごろになる予定。なお、Pulse Connect Secureへの攻撃は、中国の支援を受けるグループが関与した可能性があるとも言われている。

環境再生保全機構でメールアカウント悪用被害

環境再生保全機構は、第三者によってメールアカウントが悪用され、不審メールの大量送信が行われたことを明らかにした。

不審メールは、環境再生保全機構のメールサーバー経由で送信。環境再生保全機構は事案の発生を確認した後に、メール送信を停止した。調査は継続中だが、現時点では不正送信以外の情報漏洩などは未確認とのことだ。

環境再生保全機構は、不審なメールを受信した場合、すみやかに削除するよう注意を呼びかけている。不審メールかどうかを判断する1つの材料として、環境再生保全機構の正規ドメイン「erca.go.jp」が使われているかどうかを確認のこと。環境再生保全機構は再発防止策として、継続して原因調査を続けるとともに、セキュリティの強化に努めるとしている。

横浜銀行、顧客情報を広告発注先に誤送信

横浜銀行は、顧客情報を広告発注先に誤送信したことを明らかにした。行内点検によって2021年4月12日に判明し、該当するメールは2021年1月8日と2021年4月2日に送信されていた。

メールの送信先は広告発注先(1社)で、誤送信した顧客情報件数は41,729件。情報の詳細は、カナ氏名、性別、生年月日、電話番号、メールアドレス、はまPay ログインID、店番号、口座番号など。キャッシュカード暗証番号、預金口座残高、各種取引用パスワードは含まれていない。

謝って送信した顧客情報については、事案が判明した日に同行の行員が立ち会いのもと、送信先で削除を実行。第三者への転送や送信先以外への流出はないことを確認している。なお、今回の誤送信情報のみでは同行の各種取り引きは行えないため、不正アクセスなどに使われる可能性は低い。

トレンドマイクロの複数製品に脆弱性

トレンドマイクロの各種製品にて複数の脆弱性が判明した。対象ソフトとバージョン、脆弱性は以下の通り。

脆弱性:不適切なハードリンクの処理、アクセス制限不備、境界外読み取り

  • Apex One
  • Apex One SaaS
  • ウイルスバスター コーポレートエディション(以下、CE)XG SP1
  • Apex One(for Mac)
  • Apex One SaaS(for Mac)
  • ウイルスバスター ビジネスセキュリティ 10.0
  • ウイルスバスター ビジネスセキュリティ 9.5
  • Trend Micro Security(for Mac)2.1

脆弱性:不適切なハードリンクの処理、境界外読み取り

  • ウイルスバスター ビジネスセキュリティサービス 6.7

脆弱性:DLL読み込み

  • パスワードマネージャー 5.x Windows版 (5.0.0.1217より前のバージョン)

上記の脆弱性を悪用した攻撃は、第三者による管理者権限の取得後、任意のコード実行、製品のフォルダ操作によるセキュリティの一時的な無効化、Windowsの特定機能の悪用、権限昇格など。

すでに対策済みパッチがリリースされているので、当該製品のユーザーはすみやかにアップデートすること。アクセス制限不備の脆弱性は悪用の実績も確認済みなので、対象ソフトを使用している場合は早急にアップデートを行うように。

Mozilla、脆弱性を修正した「Firefox 88」

Mozilla Foundationは4月19日、Firefoxのメジャーアップデート版「88.0」を公開した。延長サポート版の「Firefox ESR」もバージョン 78.10.0にアップデートしている。

今回のアップデートでは、セキュリティ関連13件を修正。内訳は、高5件、中6件、低2件。脆弱性「高」には、遅延初期化による範囲外のメモリ書き込み、フォントのキャッシュからの解放後メモリ使用、セキュアロックアイコンのなりすましなどが含まれる。

新機能は、PDFフォームで埋め込まれているJavaScriptのサポート。印刷機能では、余白単位のローカライズを行っている。Linuxでは、タッチパッドによるスムーズなピンチ(ズーム)に対応した。

Firefox 88は、macOS 10.9 / 10.10 / 10.11をサポートしていないため、これらのバージョンを利用している場合はFirefox ESRへ移行するよう推奨している。