脆弱性 – 業務改善コンサルティング情報ブログ

VPNの認証情報などが流出した

Shingo Takahashi — Thu, 27 Aug 2020 10:40:33 +0900

昨日でしたでしょうか。VPNの認証情報が流出しているニュースが報道されたのは。

あなたの企業は大丈夫でしょうか？

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、冒頭のVPNの認証情報が流出した件、このようなことが起きていてはVPN接続をしている意味がなくなってしまいます。

しかし、この問題はごく単純なものでもあるようです。

VPNの認証情報などが流出した理由

『COVID-19（新型コロナウイルス感染症）』の影響で、社外から組織内部へのアクセスにはVPNが使われています。

しかし、今回は結構な大手企業の情報も流出していると報道されています。

この原因は、脆弱性を修正したパッチを当てていなかったことと報道されています。

メーカーやセキュリティ機関では繰り返し注意喚起を行ってきたようですが、残念ながら修正パッチを当てていなかった企業が狙われてしまったということです。

このように、セキュリティ上の脆弱性は常に最新の修正パッチを適用しておく必要性がありますが、今回のようなことが大手企業でも起こるということは人的リソースに余裕がないのでしょうか？

いずれにしても今後も在宅勤務などのテレワークは続きます。

今一度見直しをされることが必要となりそうです。

ウイルスバスター重大疑惑報道

Shingo Takahashi — Fri, 07 Aug 2020 10:32:49 +0900

今朝新聞に目を通していると、ある週刊誌の見出しに嫌なタイトルを見つけてしまいました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今朝私が目にしたものとは、『ウイルスバスター』に関するネガティブなタイトルです。

新聞に掲載された週刊誌のタイトルしか見てはいませんが、念のためお伝えします。

ウイルスバスターに重大疑惑報道

その新聞広告に掲載されていた週刊誌のタイトルは以下のように書かれていました。

シェアNo.1のウイルス対策ソフト「ウイルスバスター」に重大疑惑

日本中のパソコンから中国にデータが盗まれている

というものです。

さて、この記事の真相は不明ですが、このウイルス対策ソフト『ウイルスバスター』を開発するT社は過去にも少し問題がありました。

一つは元従業員による不正行為により個人ユーザーの情報流出。（2019年11月）

もう一つはある電機メーカーに不正アクセスがあり、その原因となったウイルス対策ソフトが『ウイルスバスター』というものです。（2020年1月）

記憶に新しいところではこの二つですが、これはどちらもT社が認めていることで、今回の週刊誌報道は後者の不正アクセスが他にもあったことで疑いを持たれているのではないか？と勝手に推察しています。

（過去には別の不祥事もあります。）

後者の場合は前者と違い、内部不正によるものではなく第三者に脆弱性を突かれたものとされていることもあり、他社でも同様の事案があったのだとすれば疑惑報道が出てもおかしくないように思えます。

個人的な見解としては、業務で『ウイルスバスター』を使用するのは避けた方が無難に感じますし、私の会社では何を選択したら良いかの質問を受けた際、随分前から同社とは異なるメーカーのウイルス対策ソフトをお勧めするようにしています。

ご参考までに。

MSセキュリティ更新 2020-05

Shingo Takahashi — Thu, 14 May 2020 13:33:20 +0900

Microsoft（マイクロソフト）は5月12日（米国時間）、2020年5月の月例セキュリティ更新プログラムを公開しました。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、久しぶりの投稿にはなりますが、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年5月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows Defender

・Visual Studio

・Microsoft Dynamics

・.NET Framework

・.NET Core

・Power BI

また、深刻度が『緊急』のものには以下のものがあります。

・Microsoft SharePoint のリモートコードが実行される脆弱性

・メディアファンデーションのメモリ破損の脆弱性

・Chakra スクリプトエンジンのメモリ破損の脆弱性

・Microsoft Edge の特権の昇格の脆弱性

・Internet Explorer のメモリ破損の脆弱性

・MSHTML エンジンのリモートでコードが実行される脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・VBScript のリモートでコードが実行される脆弱性

・Microsoft 色の管理のリモートでコードが実行される脆弱性

・Microsoft Graphics コンポーネントのリモートでコードが実行される脆弱性

・Visual Studio Code Python 拡張機能のリモートでコードが実行される脆弱性

以上となります。

セキュリティ更新プログラムの早急な適用が望まれます。

MSセキュリティ更新 2020-04

Shingo Takahashi — Tue, 21 Apr 2020 09:19:23 +0900

Microsoft（マイクロソフト）は4月14日（米国時間）、2020年4月の月例セキュリティ更新プログラムを公開しました。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、『新型コロナウイルス感染症』の影響で在宅勤務を強いられている方々、どのように在宅で業務をこなされていますか？

私は音楽を流しながら行っています。

普段聴いている好きなジャンルではなく、嫌いなジャンルでもない、リラックスできそうなBGMとしてジャズ系のラジオを流しています。

小さ目な音量で♪

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年4月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows Defender

・Visual Studio

・Microsoft Dynamics

・Android 向け Microsoft アプリ

・Mac 向け Microsoft アプリ

また、深刻度が『緊急』のものには以下のものがあります。

・Microsoft Graphics のリモートでコードが実行される脆弱性

・Windows Hyper-V のリモートでコードが実行される脆弱性

・Microsoft SharePoint のリモートコードが実行される脆弱性

・Adobe フォントライブラリでコードがリモートで実行される脆弱性

・メディアファンデーションのメモリ破損の脆弱性

・Microsoft Windows Codecs Library Remote Code Execution Vulnerability

・VBScript のリモートでコードが実行される脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・Chakra スクリプトエンジンのメモリ破損の脆弱性

・Dynamics Business Central のリモートでコードが実行される脆弱性

以上となります。

今回の脆弱性対応の中には既に脆弱性の悪用が確認されているものも含まれているようですので、早急にセキュリティパッチを適用した方が良いでしょう。

定期的にデスクから離れ、ストレッチなどして体をほぐしながら頑張りましょう！

Firefox74で致命的な脆弱性が

Shingo Takahashi — Mon, 06 Apr 2020 10:12:06 +0900

先月、Mozillaのブラウザソフト『Firefox』のデスクトップ向け最新版『Firefox 74』がリリースされていましたが、今回、致命的な脆弱性が発覚しています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

最近、投稿が出来ない日が結構増えてきていますが、世の中の状況などもあり、暫くはこのような状況が続く可能性があります。

さて、冒頭に書いた通り、『Firefox 74』において致命的な脆弱性が発覚し、既に悪用事例も出ているということですのでご紹介します。

Firefox74で致命的な脆弱性発覚

配信されたのは今朝ほどでしょうか。

今回の脆弱性ですが、特定の条件下において解放後メモリ使用（Use-after-free）によって競合状態が発生するというものです。

深刻度は最高の『Critical（クリティカル）』とされており、これを悪用した攻撃も確認済みということで、早急な対応が求められています。

通常版：Firefox 74.0.1

企業向け延長サポート（ESR）版：Firefox 68.6.1 esr

このバージョンにて修正されています。

また、3月にリリースされた『Firefox 74』においては『TLS 1.0/1.1』のサポートが廃止されていることも付け加えておきます。

ご参考までに

私本管理Plus GOOUT等に注意

Shingo Takahashi — Fri, 27 Mar 2020 13:28:50 +0900

JPCERT/CC（一般社団法人JPCERTコーディネーションセンター）とIPA（独立行政法人情報処理推進機構）は、発見された脆弱性の製品開発者と連絡が取れない5つのソフトにへの情報を公開しました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

まず、連日の『新型コロナウイルス感染症』に対して東京都を中心に『自粛要請』が出ています。

若年層であっても死亡事例はあり、他者へ感染させてしまうという二面性がありますので、現時点においては素直に『自粛』されることをお勧めします。

さて、今日はJPCERT/CCとIPAから出ている『連絡不能案件』とされる5つのソフトの脆弱性情報です。

私本管理Plus GOOUT等に使用中止を呼び掛け

以下にご紹介するソフトは、脆弱性が存在するものの開発者と連絡が取れないために公表の調整が不可能とされており、脆弱性の対策状況も不明であることから利用者に使用中止の検討が呼び掛けられています。

・掲示板積木（開発者 Mash room）：脆弱性 OSコマンドインジェクション

・WL-Enq（開発者 WonderLink）：脆弱性 OSコマンドインジェクション、クロスサイトスクリプティング

・Cute News（開発者 CutePHP.com）：脆弱性クロスサイトスクリプティング、任意のPHPコードが実行可能な脆弱性

・メールフォーム（開発者携帯サイトnet）：脆弱性クロスサイトスクリプティング、任意のPHPコードが実行可能な脆弱性

・私本管理 Plus GOOUT（開発者 EKAKIN）：脆弱性 OSコマンドインジェクション、ディレクトリトラバーサル、任意のファイルを操作される脆弱性

以上、ご注意ください。

MSセキュリティ更新 2020-03

Shingo Takahashi — Wed, 11 Mar 2020 14:51:13 +0900

Microsoft（マイクロソフト）は3月10日（米国時間）、2020年3月の月例セキュリティ更新プログラムを公開しました。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年3月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Exchange Server

・Microsoft Office、Microsoft Office Services および Web Apps

・Azure DevOps

・Windows Defender

・Visual Studio

・オープンソースソフトウェア

・Azure

・Microsoft Dynamics

また、深刻度が『緊急』のものには以下のものがあります。

・LNK のリモートでコードが実行される脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・メディアファンデーションのメモリ破損の脆弱性

・Chakra スクリプトエンジンのメモリ破損の脆弱性

・Microsoft Edge のメモリ破損の脆弱性

・Internet Explorer のメモリ破損の脆弱性

・VBScript のリモートでコードが実行される脆弱性

・Microsoft Word のリモートでコードが実行される脆弱性

・GDI+ のリモートコードが実行される脆弱性

・Dynamics Business Central のリモートでコードが実行される脆弱性

以上となります。

今回の月例パッチは過去最大規模となる115件の脆弱性が修正されているということ、ショートカットファイルの処理に含まれている脆弱性は簡単に悪用できるものであるということなどから、早急にセキュリティパッチを適用した方が良いでしょう。

Wi-Fiチップに深刻な脆弱性が

Shingo Takahashi — Wed, 04 Mar 2020 10:11:09 +0900

先月末近く、セキュリティ関連ソフトウェア企業の『ESET（イーセット）』が『Wi-Fiチップ』に安全性を脅かす脆弱性があることを発表しました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『Wi-Fiチップ』の脆弱性、『ESET（イーセット）』は次のように発表しています。

Wi-Fiチップに深刻な脆弱性発覚

PC、スマートフォン、タブレットなどに使われている『Wi-Fiチップ』の脆弱性は、利用されてしまうと通信中のデータの暗号が解読されてしまう危険性があるというものです。

この脆弱性は多くのデバイスで採用されている『Broadcom』と『Cypress』の『Wi-Fiチップ』に存在するとされており、パッチを適用しない限り脆弱性は解消されません。

Wi-Fi（無線）ルーター、アクセスポイントも当然含まれます。

ただし、既にセキュリティパッチをリリース済みのものもあるため、それを適用しているデバイスは特別気にする必要性はありません。

例えばiOS 13.2、iPad OS 13.2、macOS Catalina 10.15.1などはそれが含まれているため、それ以降のOSを使用しているのであればOKです。

また、『Wi-Fiチップ』だけではなく『Bluetooth』にも脆弱性は存在していますが、例えばiOS 12.4、macOS Mojave 10.14.6、Windows系2019年8月のセキュリティパッチにて脆弱性修正は行われているため、それが適用されているのであればOKです。

使用しているデバイスのセキュリティ更新などを放置している方は注意が必要です。

MSセキュリティ更新 2020-02

Shingo Takahashi — Mon, 17 Feb 2020 09:59:18 +0900

Microsoft（マイクロソフト）は2月11日（米国時間）、2020年2月の月例セキュリティ更新プログラムを公開しました。

このセキュリティ更新プログラムには深刻度が『緊急』のものが含まれていますので、早急なアップデートが望まれます。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、今日はMicrosoft（マイクロソフト）からリリースされている月例パッチ（セキュリティ更新プログラム）に関してお伝えします。

（例によって深刻度『緊急』のものが含まれています。）

2020年2月のセキュリティ更新プログラム

前述の通り、今回の月例パッチ（セキュリティ更新プログラム）にも深刻度が『緊急』のものが含まれています。

脆弱性を悪用された場合、リモートからの攻撃により任意のコードが実行されるなどの危険性がありますので、早急なアップデートが望まれます。

以下が今回のアップデート対象製品です。

・Microsoft Windows

・Microsoft Edge (EdgeHTML ベース)

・Microsoft Edge (Chromium ベース)

・ChakraCore

・Internet Explorer

・Microsoft Exchange Server

・Microsoft SQL Server

・Microsoft Office、Microsoft Office Services および Web Apps

・Windows 悪意のあるソフトウェアの削除ツール

・Windows Surface Hub

また、深刻度が『緊急』のものには以下のものがあります。

・Windows のリモートでコードが実行される脆弱性

・スクリプトエンジンのメモリ破損の脆弱性

・リモートデスクトップクライアントのリモートでコードが実行される脆弱性

・LNK のリモートでコードが実行される脆弱性

・メディアファンデーションのメモリ破損の脆弱性

以上となります。

また、今回のセキュリティ更新には2020年1月17日 (米国時間) に公開されたIE（Internet Explorer）の脆弱性修正が含まれています。既に悪用が確認されている脆弱性であるため、セキュリティ更新プログラムの早めの適用がお勧めです。

情報セキュリティ10大脅威公表

Shingo Takahashi — Fri, 31 Jan 2020 10:51:06 +0900

IPA（独立行政法人情報処理推進機構）は、情報セキュリティにおける脅威のうち、2019年に社会的影響が大きかったトピックなどのトップ10を『情報セキュリティ10大脅威2020』として決定し、公表しました。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨年は『情報セキュリティ10大脅威公開』、一昨年は『情報セキュリティ10大脅威決定』という記事にて取り上げましたが、一昨日、IPA（独立行政法人情報処理推進機構）が『情報セキュリティ10大脅威2020』を公表しましたのでご紹介します。

これは、2019年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約140名のメンバーからなる『10大脅威選考会』が脅威候補に対して審議・投票を行い、決定しています。

情報セキュリティ10大脅威2020

＜組織の10大脅威＞

1位：標的型攻撃による被害（昨年順位：1位）

2位：内部不正による情報漏えい（昨年順位：5位）

3位：ビジネスメール詐欺による金銭被害（昨年順位：2位）

4位：サプライチェーンの弱点を悪用した攻撃（昨年順位：4位）

5位：ランサムウェアによる被害（昨年順位：3位）

6位：予期せぬIT基盤の障害に伴う業務停止（昨年順位：16位）

7位：不注意による情報漏えい（規則は遵守）（昨年順位：10位）

8位：インターネット上のサービスからの個人情報の窃取（昨年順位：7位）

9位：IoT機器の不正利用（昨年順位：8位）

10位：サービス妨害攻撃によるサービスの停止（昨年順位：2位）

＜個人の10大脅威＞

1位：スマホ決済の不正利用（初）

2位：フィッシングによる個人情報の詐取（昨年順位：2位）

3位：クレジットカード情報の不正利用（昨年順位：1位）

4位：インターネットバンキングの不正利用（昨年順位：7位）

5位：メールやSMS等を使った脅迫・詐欺の手口による金銭要求（昨年順位：4位）

6位：不正アプリによるスマートフォン利用者への被害（昨年順位：3位）

7位：ネット上の誹謗・中傷・デマ（昨年順位：5位）

8位：インターネット上のサービスへの不正ログイン（昨年順位：8位）

9位：偽警告によるインターネット詐欺（昨年順位：6位）

10位：インターネット上のサービスからの個人情報の窃取（昨年順位：12位）

以上のような内容で公表されています。

組織においては廃棄予定のHDD（ハードディスクドライブ）が社員に不正に持ち出され、ネットオークションなどで転売されたことなど、『内部不正による情報漏えい』の順位が上昇しています。

また、個人においては『キャッシュレス決済』における『セキュリティ対策の不備』などにより『スマホ決済の不正利用』が初登場で1位という結果となりました。

こららの詳細な解説は、2月下旬にIPA 独立行政法人情報処理推進機構のウェブサイトにて公開予定となっています。

参考資料：『IPA プレスリリース『情報セキュリティ10大脅威 2020』を決定（PDFファイル：242KB）*』

（*）資料配布元：IPA 独立行政法人情報処理推進機構