情報セキュリティニュース(事故事例)をご案内します。4件
情報セキュリティニュース(事故事例)をご案内します。4件
◆データベース管理ツール「phpMyAdmin」に深刻な脆弱性
データベースの管理ツールである「phpMyAdmin」に深刻な脆弱性
が含まれていることがわかった。アップデートがリリースされて
いる。
開発者チームによれば、「同4.7.x」において「クロスサイトリク
エストフォージェリ(CSRF)」の脆弱性「CVE-2017-1000499」が
存在するという。重要度は「クリティカル(critical)」。
攻撃者が同脆弱性を悪用して、ログインしているユーザーに悪意
あるURLをクリックさせることにより、データベース上のレコード
やテーブルなどを削除させることが可能だとしている。
開発チームでは、バグの修正およびセキュリティ上の問題を解消
するアップデートとして2017年12月23日に「phpMyAdmin」 4.7.7」
をリリース。ユーザーへ早急にアップデートを実施するよう注意を
呼びかけている。
(2018/01/05)
◆MS、CPU脆弱性緩和策で定例外パッチ
- セキュリティ対策ソフトとの互換性問題も
マイクロソフトは、定例外でセキュリティ更新をリリースし、
「Meltdown」「Spectre」への緩和策を提供したほか、32件の
脆弱性を修正した。ただし、セキュリティ対策ソフトによって
は、ブルースクリーンが生じるおそれがあるとし、互換性が確認
された環境に限り、アップデートを配布する方針だ。
研究者より複数ベンダーのCPUに起因する脆弱性が報告されたこと
から、緩和策を用意し、緊急で公開したもの。
同問題以外にも、「Windows」や、同社ブラウザ「Internet Explorer」
「Microsoft Edge」における深刻な脆弱性を解消している。
CPUに起因する脆弱性は、「Meltdown」「Spectre」などと名付けられて
おり、「投機的実行サイドチャネル攻撃」を受けた場合、メモリ情報が
漏洩するおそれがある。同社において悪用は確認されていない。
ただし、今回の更新は、一部セキュリティ対策ソフトと互換性の問題
があり、ブルースクリーンが発生するおそれがあることが判明してい
るという。
同社では互換性が確認されたセキュリティ対策ソフトを実行している
端末のみにアップデートを配信するとしており、セキュリティベンダ
ーに対しては、レジストリキーを設定して互換性を確認したことを明
示するよう求めるとともに、セキュリティ対策ソフトの利用者へ、ベ
ンダーからの情報へ注意するようアナウンスしている。
またセキュリティ対策ソフトを導入していないユーザーに対しては、
「Windows Defender」「Microsoft Security Essentials」などの活
用を推奨。
レジストリキーを手動で設定し、セキュリティ更新プログラムを適用
することを求めた。
さらに同アップデートでは、最大深刻度が4段階中もっとも高い「緊急」
15件、1段階低い「重要」17件のあわせて32件の脆弱性を修正した。
いずれも非公開で同社に報告されたもので、悪用も確認されていない。
脆弱性が悪用された場合、リモートでコードを実行されるおそれがある
ほか、権限の昇格や情報漏洩、サービス拒否などが生じるおそれがある。
今回のアップデートで修正された脆弱性は以下のとおり。
CVE-2018-0741
CVE-2018-0743
CVE-2018-0744
CVE-2018-0745
CVE-2018-0746
CVE-2018-0747
CVE-2018-0748
CVE-2018-0749
CVE-2018-0750
CVE-2018-0751
CVE-2018-0752
CVE-2018-0753
CVE-2018-0754
CVE-2018-0758
CVE-2018-0762
CVE-2018-0766
CVE-2018-0767
CVE-2018-0768
CVE-2018-0769
CVE-2018-0770
CVE-2018-0772
CVE-2018-0773
CVE-2018-0774
CVE-2018-0775
CVE-2018-0776
CVE-2018-0777
CVE-2018-0778
CVE-2018-0780
CVE-2018-0781
CVE-2018-0788
CVE-2018-0800
CVE-2018-0803
(2018/01/05)
◆主要メーカー「CPU」に脆弱性、データ漏洩のおそれ
- クラウド含む幅広い環境へ影響
Intelをはじめ、主要メーカーが提供するプロセッサ「CPU」に脆弱性
が存在し、多くの環境に影響を及ぼすことがわかった。根本的な解決
にはCPUを交換する必要があるが、OSによる影響の緩和も可能とされて
おり、必要に応じてアップデートを実施するよう呼びかけられている。
データを解読する「投機的実行サイドチャネル攻撃」によってメモリ
ロケーションからデータを取得できる脆弱性が明らかになったもの。
2種類の脆弱性が指摘されており、「CVE-2017-5754」は「Meltdown」、
「CVE-2017-5753」「CVE-2017-5715」については「Spectre」と命名
されている。悪用は確認されていない。
いずれも、CPUにおけるアーキテクチャの設計に起因。脆弱性を悪用
することでセキュリティ機能
「KASLR(Kernel Address Space Layout Randomization)」
なども回避し、ユーザー権限で動作するアプリケーションより本来
アクセスできないメモリの内容を取得することが可能になる。
脆弱なCPUを搭載した端末であれば、パソコンはもちろん、モバイル
端末やクラウドなど幅広い環境へ影響。また脆弱性の攻撃を受けた
場合、ログファイルには痕跡が残らず、気が付くことが難しいという。
今回明らかになった脆弱性のひとつである「Meltdown」は、Google
やCyberus Technology、オーストリアのグラーツ工科大学などの研究
者が報告したもの。
研究者によれば、ハードウェアによって本来保護されるべきセキュリ
ティの境界を「溶かす」ことから「Meltdown」と名付けられた。
「OS」と「アプリケーション」間の分離を破壊。カーネルのメモリに
対するアクセスが可能となるという。
「Meltdown」の影響についてIntelの場合、「Itanium」「Atom」を
除き、1995年以降に提供されたプロセッサが影響を受けると指摘。
「ARM」についても「Cortex-A15」「Cortex-A57」「Cortex-A72」
「Cortex-A75」が影響を受ける。ただし「AMD」は、同脆弱性の影響
について否定した。
クラウド環境に関しては、IntelのCPUおよび仮想化技術である
「Xen PV」を使用する場合に影響があるほか、1つのカーネルを共有
するコンテナに依存する場合に影響があるとしている。
一方「Spectre」は、Googleや、グラーツ工科大学、ペンシルバニア
大学、アデレード大学、Rambusなどの研究者によるチームが報告した。
「投機的実行(speculative execution)」を由来としている。アプリ
ケーション間の分離を破壊するもので、「Meltdown」と比較して悪用
が難しい一方、影響を軽減することも難しいとしている。
いずれも脆弱性を根本的に解決するには、CPUを交換する必要があるが、
「Meltdown」については、Linuxにおいてカーネルとユーザーメモリを
分離する「KPTI(KAISER)」など、OSにおける緩和策が提供されており、
「Windows」「Mac OS X」においても対応が進められている。
「Spectre」は、「Intel」「AMD」「ARM」のいずれも製品に影響があり、
一部メーカーは影響についてアナウンスを開始した。
「Spectre」は「Meltdown」より対応が難しく、パッチで特定の問題へ
対策を講じることはできるものの、研究者は今後問題が長期化する可能
性もあると述べている。
(2018/01/05)
◆少なくとも30万台以上でサポート終了の「Office 2007」が稼働
2017年10月に「Office 2007」のサポートが終了したが、引き続き多数
の端末で稼働していることがわかった。11月には危険性が高い脆弱性を
修正できるアップデートが例外的に公開されているが、後継製品への移
行が急がれる状態に変わりはない。
トレンドマイクロが同社製品の利用者において、同意を得た上で
「Office」などの利用動向について継続的に調査を実施しており、
11月末の状況について取りまとめたもの。
サポート終了直前の9月には、「Office」利用者の8.6%にあたる
40万6132台で「Office 2007」の稼働が確認されているが、10月10日を
経過しても引き続き利用されており、稼働台数は11月末の時点で30万
3111台にのぼる。
2カ月間弱で約4分の3に縮小したものの、引き続き多くのユーザーが
「Office 2007」を使用していた。これらはあくまでトレンドマイクロ
製品の利用者における統計であり、調査対象外の環境を含めれば、実際は
より多くの端末が稼働していることになる。
「Office 2007」は10月10日にサポートの終了を迎え、アップデートが
適用できなくなるとして、マイクロソフトでは後継バージョンに移行
するよう注意喚起を行っていた。
しかしその後、例外的な対応も行われている。「Office 2007」のサポ
ート期間中に報告を受けた「CVE-2017-11882」に対し、11月の月例セキ
ュリティ更新で「Office 2007」向けにも修正プログラム「KB4011276」
が提供されている。
月例パッチのリリース当時、同脆弱性は公表されておらず、攻撃も未
確認で悪用の可能性も低いと分析されており、与える影響は小さいと
見られていた。
ところが、その後状況は大きく変化し、脆弱性を悪用する実証コード
が公開。実際に脆弱性を悪用するマルウェアが登場し、脆弱性の悪用
を防ぐため、アップデートを適用する重要性が一段と高まった。
マイクロソフトでは、月例パッチにくわえ、11月28日にも包括的な
修正として「KB4011604」を公開し、あらためて脆弱性への対応を呼
びかけた。
今回、「CVE-2017-11882」に関しては保護できる環境が提供されたも
のの、あくまで同脆弱性に限った例外的な措置に過ぎず、注意が必要だ。
今後別の脆弱性が明らかになった場合、従来のアナウンスのとおりアッ
プデートが提供されない可能性が高く、後継製品への移行が急がれる
状況に変わりはない。
また2017年に関しては、4月に「Windows Vista」のサポートが終了した
が、依然として稼働している状況だ。トレンドマイクロが実施した
「Office」と同様の調査では、6万3513台が稼働。4月の時点の12万5352台
から半減したものの、多くの端末が脆弱性を抱えつつも利用されている。
(2017/12/27)