はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

情報処理推進機構、iPhoneに突然表示される不審なカレンダー通知に注意喚起

情報処理推進機構は3月30日、iPhoneに突然表示される不審なカレンダー通知に対する注意喚起を発表した。

情報処理推進機構では、今年1月から3月にかけて「iPhoneのカレンダーからウイルス感染しているという通知が出る」、「iPhoneのカレンダーに身に覚えのないイベントが入っている」といった相談が複数件寄せられた。これは、iCloudカレンダーの機能を悪用して、他人のカレンダーに不審な書き込みを行う手口だという。

相談があった手口の流れの概要は以下の通り。
(1)iPhoneのカレンダーに身に覚えのないイベントがある
イベントのタイトルには「ウイルスに感染している可能性があります」、「あなたのiPhoneは保護されていません」などと記載されている

(2)イベント内のURLから不審なサイトへ誘導される
イベントに記載されているURLをタップして、不審なサイトにアクセスする

(3)アクセス先の不審サイト経由で被害にあう

この手口はiCloudカレンダーの「共有機能」や、「出席依頼機能」を悪用していると考えられる。自分のiCloudメールアドレスが何らかの方法で知られ、そのアドレスを共有先として設定されると、不審なカレンダーやイベントが自分のiPhoneに登録される可能性がある。イベントに記載されているURLをタップして、アクセス先のサイト経由でアプリをインストールしたり、サイトに個人情報等を入力すると被害が発生する可能性がある。

なお、この手口は、正規のiPhoneカレンダー機能を悪用したものであり、不正なアプリが原因ではない。

対処としては、身に覚えのない共有カレンダーの参加依頼がきた場合は、URLをタップせず、「削除してスパムを報告」の操作を行えばよい。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

「VMware Workstation」「VMware Fusion」に2件の脆弱性

VMwareは3月17日(現地時間)、仮想化製品「VMware Workstation」や「VMware Fusion」に2件の脆弱性が存在するとして注意喚起を発表した。

 今回公表された脆弱性は、setuidの不具合によって特権昇格を引き起こす危険のあるもの(CVE-2020-3950)、「Cortado Thinprint」に存在するDoSを引き起こす危険のあるもの(CVE-2020-3951)。いずれも最新版(バージョン15.5.2)で修正されているため、ユーザはアップデートを適用する必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

Let’s Encrypt、一部の証明書を強制的に無効化すると発表

Let’s Encryptは3月3日(現地時間)、2020年3月4日00時00分(UTC)から一部の証明書を強制的に無効化すると発表した。

今回の措置は、CAA再チェック機構に不具合があったことが原因で採られる。Let’s Encryptで現在アクティブとなっている証明書は約1億1600万個あり、このうち305万個弱の証明書が強制的に無効化される。

影響を受けるLet’s Encrypt証明書のデータはWebサイトに公開されている。サーバで使用している証明書のシリアル番号は、opensslコマンドを利用することで参照できる。また、Let’s Encryptは、今回の問題に該当しているユーザには電子メールで通知を行ったという。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

Core Infrastructure Initiative(CII)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表

Core Infrastructure Initiative(CII)は2月18日(現地時間)、フリー・オープンソースコンポーネントのセキュリティに関するレポートを発表した。

 CIIは、2014年に明らかとなったOpenSSLの脆弱性「Heartbleed」問題の発生が契機となってLinux Foundationが主導で立ち上げたプロジェクト。CIIは今回、ハーバード大学のLaboratory for Innovation Science at Harvardと共同で、広く利用されているフリー・オープンソースコンポーネントの調査を行い、「Vulnerabilities in the Core」というレポートにまとめた。

 調査は分析団体やセキュリティ企業などと協力し、よく使われているオープンソースソフトウェアプロジェクトを200以上割り出し、そのうち20のプロジェクトについて、週毎のコミット数や追加されたコードを調査した。20のプロジェクトは、依存性解析により割り出された「async、inherits、isarray、kind-of、lodash、minimist、natives、qs、readable-stream、string_decoder」と、JavaScript以外のフリー・オープンソースソフトウェアパッケージ「com.fasterxml.jackson.core:jackson-core、com.fasterxml.jackson.core:jackson-databind、com.google.guava:guava、commons-codec、commons-i、httpcomponents-client、httpcomponents-core、logback-core、org.apache.commons:commons-lang3、slf4j」の2種類に大別されている。JavaScriptパッケージはどのランキングでも上位を独占しているため、JavaScriptは選別外としたという。

 調査結果から、1)標準化されたスキーマ名の必要性、2)セキュリティにおける個人開発者の重要性、3)オープンソースにおけるレガシーソフトウェアの存在などが挙げられている。

(川原 龍人/びぎねっと)

[関連リンク]
レポート本文

JVN、トレンドマイクロの「ウイルスバスター クラウド v15」(旧版)に存在する脆弱性に関する注意喚起を発表

JVNは2月14日、トレンドマイクロが提供している統合セキュリティソフト「ウイルスバスター クラウド」の旧版にDoSの脆弱性が存在することを発表した(CVE-2019-19694)。

 この脆弱性は、悪用されると「ウイルスバスター クラウド」が無効化されるなどの被害が出る恐れがある。この脆弱性が存在するのはWindows版の「ウイルスバスター クラウド v15」。なお、最新版となる「v16」にはこの脆弱性は存在しない。

 なお、この脆弱性への対応パッチは配信済みとなっており、ユーザはパッチの適用が強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
JVN

OSブートシステム「systemd」に脆弱性、修正版が公開

 Linuxなどで広く利用されているブートシステム「systemd」にメモリリークを引き起こす可能性のある脆弱性が発見された(CVE-2019-20386)。udevadmトリガーコマンドによって、メモリリークが発生する可能性があるという。

これらの脆弱性を修正したアップデートが各ベンダーからリリースされているため、ユーザはアップデートを適用することが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
CVE-2019-20386(DebianのErrata)

三菱電機が同社への不正アクセス被害を公表

三菱電機は1月20日、同社のネットワークが第三者による不正アクセスを受け、個人情報と企業機密が外部に流出した可能性があると発表した。

発表によると、昨年6月28日に端末の不審な挙動を認識後、速やかに外部からのアクセスを制限するなどの対策を講じたとしている。社内調査の結果、採用応募者や従業員およびグループ企業の退職者ら最大で8122人分の個人情報が流出した可能性があり、防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないと確認したという。プレスリリースの中では、「現在までのところ、本件に関わる被害や影響は確認されていない」としている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース(pdf)

情報処理推進機構、「産業用制御システムのセキュリティ10大脅威と対策」を発表

 情報処理推進機構(IPA)は1月14日、「産業用制御システムのセキュリティ10大脅威と対策」を発表した。これはドイツ連邦政府の情報セキュリティ庁が作成したものをIPAが翻訳したもの。

 産業用制御システムは、電力、ガス、水道、鉄道等の社会インフラや、石油、化学、鉄鋼・自動車・輸送機器、精密機械、食品、製薬、ビル管理等の工場・プラントにおける監視・制御や生産・加工ラインにおいて用いられている。

 ランクインした脅威は、日本国内でも共通の事項が多く、事業者にとってこれらの脅威とその発生要因、具体的な手口、および対策を体系的に理解することに役立つとしている。2019年の順位は、2016年に比べて、制御システムにおける利用増加に伴い、クラウドコンポーネントや外部ネットワークへの攻撃の脅威が上昇しているという。一方で、ソーシャルエンジニアリングやフィッシングの脅威は、相対的に降下している。

2019年産業用制御システムのセキュリティ10大脅威は以下の通り(カッコ内は2016年)

1位 リムーバブルメディアや外部機器経由のマルウェア感染(2位)
2位 インターネットおよびイントラネット経由のマルウェア感染(3位)
3位 ヒューマンエラーと妨害行為(5位)
4位 外部ネットワークやクラウドコンポーネントへの攻撃(8位)
5位 ソーシャルエンジニアリングとフィッシング(1位)
6位 DoS/DDoS攻撃(9位)
7位 インターネットに接続された制御機器(6位)
8位 リモートアクセスからの侵入(4位)
9位 技術的な不具合と不可抗力(7位)
10位 スマートデバイスへの攻撃(10位)

 なお、資料には、制御システムを保有する事業者のセキュリティレベルの自己評価に役立つセルフチェックリストが用意されている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
産業用制御システムのセキュリティ10大脅威と対策

JPCERT/CC、BIND 9のTCPパイプラインに関する脆弱性について注意喚起

JPCERT/CCは11月21日、「BIND 9」にTCPパイプラインに関する脆弱性(CVE-2019-6477)が発見されたとして注意喚起を発表した。

 この脆弱性を悪用された場合、リモートからの攻撃によって、システムリソースを過大に消費し、namedが一時的に停止したり、サービスの品質の低下が発生する危険があるとしている。

 脆弱性の影響を受けるバージョンは「BIND 9.14.1~9.14.7」「BIND 9.12.4-P1 ~ 9.12.4-P2」「BIND 9.11.6-P1 ~ 9.11.12」「BIND Supported Preview Edition 9.11.5-S6 ~ 9.11.12-S1 」となっている。BIND 9.10系以前はサポートが終了しており、脆弱性の影響の有無の評価自体が行われていないという。

この脆弱性は、「BIND 9.14.8」「BIND 9.11.13」「BIND Supported Preview Edition version 9.11.13-S1」などで修正されており、ユーザにはアップデートが強く推奨される。また、keep-response-orderを適切に設定することで回避できるという(BINDの再起動が必要)。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

IPA、Microsoft製品に存在する脆弱性について注意喚起

情報処理推進機構(IPA)は11月13日、Microsoft製品に関する脆弱性のうちCVE-2019-1429(スクリプトエンジンのメモリ破損の脆弱性)についてはMicrosoftが「悪用の事実を確認済み」としている。今後被害が拡大する恐れがあるため、IPAは修正プログラムの適用を呼び掛けている。

 アップデートはWindows Updateなど、公式アップデートプログラムから適用できる。Microsoft製品のユーザは早急なアップデートの適用が強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

 

このページのTOPへ

Powered by Wordpress