情報セキュリティニュース(事故事例)をご案内します。4件
情報セキュリティニュース(事故事例)をご案内します。4件

◆Adobe Flash Playerにゼロデイ攻撃が発生
     - 2月5日の週に修正予定

「Adobe Flash Player」に深刻な脆弱性が含まれていること
が明らかになった。ゼロデイ攻撃が発生しており、Adobe
Systemsでは、2月5日の週にアップデートをリリースしたい
考えだ。

今回明らかとなった脆弱性「CVE-2018-4878」は、
「同28.0.0.137」および以前のバージョンに存在。

解放後のメモリへアクセスするいわゆる「Use-after-free」
の脆弱性で、リモートよりコードを実行され、システムの
制御を奪われるおそれがある。

すでに同社では、Windowsを対象とした標的型攻撃で悪用
されているとの報告を受けている。

確認されている攻撃は「限定的」としているが、Office
ドキュメントに悪意ある「Flashコンテンツ」を埋め込まれ、
メールで送信されていたという。

今回の問題を受け、同社では2月5日の週に同脆弱性を修正
するアップデートをリリースできるよう準備を進めている。
また「swfコンテンツ」の再生前にプロンプトを表示させたり、
Officeが備える「保護ビュー」を活用するなど、緩和策の実施
を呼びかけている。

(2018/02/02)

◆偽の仮想通貨「SpriteCoin」で忍び寄るランサムウェア
      - 収益性高いと吹聴

急激な相場上昇などで注目される仮想通貨に便乗した攻撃が
発生している。「SpriteCoin」なる実在しない仮想通貨の
ウォレットとして配布されていたファイルの中身はランサム
ウェアだったという。

同ランサムウェアは、フォーティネットが確認したもの。
仮想通貨に関心を持つ人々が集まるフォーラムなどで拡散され
ていると見られている。

攻撃者は、実在しない「SpriteCoin」なる仮想通貨について
収益性が高いなどと吹聴。ウォレットに見せかけて実行ファ
イル「spritecoind.exe」をダウンロードさせていた。

ダウンロードのリンクには、信用できない場合は、ダウンロ
ードしたファイルを、複数のマルウェア対策エンジンでチェ
ックが行えるオンラインサービス「VirusTotal」でスキャン
してみてほしい、などと記載。あたかも正規のファイルである
かのように装っていた。

同ファイルを誤って実行すると、希望するパスワードを作成
するよう要求されるが、実際にはブロックチェーンをダウン
ロードすることなく、対象ユーザーのファイルを暗号化して
いた。さらにブラウザの認証情報へアクセスを試みるという。

同ランサムウェアは、復号化にあたり仮想通貨「Monero」
による支払いを要求。さらに復号化の過程で証明書を取得し
たり、画像の解析、ウェブカメラの起動など、複数の機能を
備えた別のマルウェアに感染させようとしていた。

同社では、SpriteCoinに関する正規の情報を見つけることは
できず、攻撃の口実としてでっち上げられた実在しない仮想
通貨であると分析。興味を引く言葉でマルウェアへ感染させ
るソーシャルエンジニアリングが使われているとして、注意
を呼びかけている。

(2018/01/31)

◆企業における暗号化製品の導入率は45%
     - 中小3割に満たず

メールやファイル、外部記録メディアを暗号化する製品を導
入している企業は45.7%だった。一方、中小企業に限定する
と28.1%と、3割に満たないことがわかった。

情報処理推進機構(IPA)が、国内企業における暗号の利用
状況や課題について調査を実施し、結果を取りまとめたもの。

情報システム部門やセキュリティ担当部門、システムやサー
ビス開発部門の責任者または担当者を対象に、2017年5月下旬
から6月上旬にかけてウェブアンケート調査を実施。回答数は
1066件だった。

メールやファイル、外部記録メディアなどを暗号化する製品
を導入している企業は45.7%。従業員301人以上の大企業は62
%だったが、300人以下の中小企業は28.1%と低く、企業規模
によって差が見られた。

暗号技術の利用シーンについて聞いたところ、「インターネ
ット通信の暗号化(SSLやVPN)」が65.6%でもっとも高く、
「電子メールの暗号化(50.8%)」「ファイルの暗号化
(39.4%)」「PC、タブレット、スマートフォンの暗号化
(30.5%)」と続く。また16.5%は、「暗号技術は利用し
ていない」と回答した。

システム関連製品の選定、導入時の暗号技術に関する基準に
ついて、「暗号技術の利用、適用に関する基準がある」と答
えた企業は23.1%。また、システム関連製品の開発時の暗号
技術に関する基準では、「暗号技術の利用、適用に関する基
準がある」は17.9%だった。

システム関連製品を選定、導入する際の暗号技術に関する課
題について聞いたところ、「導入、維持管理コストが高い」
が37.5%でもっとも高い。

そのほか「どの製品が安全で導入してよいものかわからない」
との回答が23.5%。「正しくかつセキュアな暗号処理が行わ
れているか確信が持てない」が22.5%と目立っている。

(2018/01/31)

◆「WordPress」向けRetina対応プラグインにXSSの脆弱性

コンテンツマネジメントシステム(CMS)である「Word
Press」向けに提供されているプラグイン「WP Retina 2x」
に脆弱性が含まれていることが判明した。

同製品は、高解像度の端末に対応した画像を生成できるプ
ラグイン。脆弱性情報のポータルサイトであるJVNによれば、
同プラグインにログインしているユーザーのブラウザ上で
任意のスクリプトを実行されるクロスサイトスクリプティ
ング(XSS)の脆弱性「CVE-2018-0511」が含まれているこ
とが判明したという。

同脆弱性は、クリスリュウ氏が情報処理推進機構(IPA)
へ報告したもので、JPCERTコーディネーションセンターが
調整を実施。修正版となる「同5.2.3」では、同脆弱性が
解消されたほか、セキュリティの修正なども実施されている。

(2018/01/30)






株式会社 ビジテック 〒221-0052 神奈川県神奈川区栄町22-10 キャスル松弥3F TEL.045-595-9301
Copyright (C)BUSITEC CO.,LTD. All Rights Reserved.

- Topics Board -