セキュリティ情報 – ページ 40

エムオーテックス株式会社製の複数の製品に権限昇格の脆弱性

最終更新日: 2019/12/11

情報源

Japan Vulnerability Notes JVN#49068796
エムオーテックス株式会社製の複数の製品における権限昇格の脆弱性
https://jvn.jp/jp/JVN49068796/

概要

エムオーテックス株式会社製の複数の製品には、権限昇格の脆弱性があります。結果として、当該製品がインストールされた PC にログイン可能なユーザが、任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

– LanScope Cat Ver.9.2.1.0 より前のバージョン

– LanScope Cat クライアントプログラム (MR)

– LanScope Cat 検知エージェント (DA)

– LanScope Cat Ver.9.2.2.0 より前のバージョン

– LanScope Cat サーバー監視エージェント (SA、SAE)

– LanScope An Ver 2.7.7.0 より前のバージョン (LanScope An 2系)
– LanScope An Ver 3.0.8.1 より前のバージョン (LanScope An 3系)

この問題は、該当する製品をエムオーテックス株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、エムオーテックス株式会社が提供する情報を参照してください。

Wireshark にサービス運用妨害 (DoS) の脆弱性

最終更新日: 2019/12/11

情報源

Wireshark Foundation
Wireshark 3.0.7 and 2.6.13 Released
https://www.wireshark.org/news/20191204.html

概要

Wireshark には、サービス運用妨害 (DoS) 攻撃が可能な脆弱性があります。

対象となるバージョンは次のとおりです。

– Wireshark 3.0.7 より前の 3 系のバージョン
– Wireshark 2.6.13 より前の 2.6 系のバージョン

この問題は、Wireshark を Wireshark Foundation が提供する修正済みのバージョンに更新することで解決します。詳細は、Wireshark Foundation が提供する情報を参照してください。

複数の VMware 製品に脆弱性

最終更新日: 2019/12/11

情報源

US-CERT Current Activity
VMware Releases Security Updates for ESXi and Horizon DaaS
https://www.us-cert.gov/ncas/current-activity/2019/12/06/vmware-releases-security-updates-esxi-and-horizon-daas

概要

複数の VMware 製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。

対象となる製品およびバージョンは次のとおりです。

– VMware ESXi 6.7 系のバージョン (ESXi670-201912001 未適用)
– VMware ESXi 6.5 系のバージョン (ESXi650-201912001 未適用)
– VMware ESXi 6.0 系のバージョン (ESXi600-201912001 未適用)
– VMware Horizon DaaS 8 系のバージョン

この問題は、該当する製品に VMware が提供するパッチを適用することで解決します。ただし、2019年12月10日現在、VMware Horizon DaaS 向けのパッチは提供されていません。
また、VMware はこの問題に対する回避策に関する情報を提供しています。詳細は、VMware が提供する情報を参照してください。

複数の Mozilla 製品に脆弱性

最終更新日: 2019/12/11

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox and Firefox ESR
https://www.us-cert.gov/ncas/current-activity/2019/12/04/mozilla-releases-security-updates-firefox-and-firefox-esr

概要

複数の Mozilla 製品には、脆弱性があります。結果として、第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりするなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Mozilla Firefox 71 より前のバージョン
– Mozilla Firefox ESR 68.3 より前のバージョン
– Mozilla Thunderbird 68.3 より前のバージョン

この問題は、該当する製品を Mozilla が提供する修正済みのバージョンに更新することで解決します。詳細は、Mozilla が提供する情報を参照してください。

警察庁が「PHP-FPMの脆弱性（CVE-2019-11043）を標的としたアクセスの観測等について」を公開

最終更新日: 2019/12/06

2019年11月28日に警察庁から観測レポート「PHP-FPMの脆弱性（CVE-2019-11043)を標的としたアクセスの観測等について」が公開されました。本レポートでは、PHP-FPMの脆弱性（CVE-2019-11043) を標的としたアクセスの観測状況に加え、PostgreSQL 等のデータベースサーバを標的としたアクセスの増加に関する観測状況をまとめています。

参考文献 (日本語)

警察庁
PHP-FPMの脆弱性（CVE-2019-11043）を標的としたアクセスの観測等について
https://www.npa.go.jp/cyberpolice/detect/pdf/20191128.pdf

引用元：JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-12-04」
https://www.jpcert.or.jp/wr/2019/wr194701.html

WordPress 用プラグイン WP Spell Check にクロスサイトリクエストフォージェリの脆弱性

最終更新日: 2019/12/06

情報源

Japan Vulnerability Notes JVN#26838191
WordPress 用プラグイン WP Spell Check におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN26838191/

概要

WordPress 用プラグイン WP Spell Check には、クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔の第三者が、細工したページにユーザをアクセスさせることにより、当該製品の管理画面にログインしているユーザの権限で任意の操作を行う可能性があります。

対象となるバージョンは次のとおりです。

– WP Spell Check 7.1.9 およびそれ以前のバージョン

この問題は、WP Spell Check を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

トレンドマイクロ製品に複数の脆弱性

最終更新日: 2019/12/06

情報源

Japan Vulnerability Notes JVNVU#94282488
トレンドマイクロ株式会社製の複数の製品に複数の脆弱性
https://jvn.jp/vu/JVNVU94282488/

概要

トレンドマイクロ株式会社の製品には、複数の脆弱性があります。結果として、遠隔の第三者が情報を窃取するなどの可能性があります。

対象となる製品およびバージョンは次のとおりです。

– Trend Micro Deep Security Manager
– Trend Micro Deep Security Agent

– Trend Micro Virtual Patch for Endpoint(TMVP) Manager 2.0 SP2 Patch7 Critical Patch およびそれ以前のバージョン

なお、トレンドマイクロ株式会社によると Trend Micro Deep Security Agent
は Windows 版のみ影響を受けるとのことです。

この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。

マルウエア Emotet の感染に関する注意喚起

最終更新日: 2019/12/06

情報源

JPCERT/CC
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

概要

JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相談を多数受けていることを踏まえ、Emotet の感染を防ぐための対策や、感染に気付くためにできること、対応方法などを記載した注意喚起を 2019年11月27日に発行しました。また、具体的な取るべき行動を FAQ 形式で紹介した JPCERT/CC Eyesを 2019年12月2日に発行しています。

詳細は、JPCERT/CC が提供する情報を参照してください。

マルウエア Emotet の感染に関する注意喚起

　JPCERT/CCからの「マルウエア Emotet の感染に関する注意喚起」をお知らせします。

各位

JPCERT-AT-2019-0044
JPCERT/CC
2019-11-27

<<< JPCERT/CC Alert 2019-11-27 >>>
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html

I.概要

JPCERT/CC では、2019年10月後半より、マルウエア Emotet の感染に関する相談を多数受けています。特に実在の組織や人物になりすましたメールに添付された悪性な Word 文書ファイルによる感染被害の報告を多数受けています。

こうした状況から、Emotet の感染拡大を防ぐため、JPCERT/CC は本注意喚起を発行し、Emotet の主な感染経路、Emotet に感染した場合の影響を紹介した後、感染を防ぐための対策や、感染に気付くためにできること、感染後の対応方法などに関する情報を紹介します。

II. 感染経路

JPCERT/CC が確認している事案では、主にメールに添付された Word 形式のファイルを実行し、コンテンツの有効化を実行することで Emotet の感染に繋がることが分かっています。Emotet の感染に繋がる可能性のあるメールの例は次のとおりです。

https://www.jpcert.or.jp/at/2019/at190044_image1.png

[画像1: メール例]

Emotet の感染に繋がる添付ファイル付きのメールは、Emotet が窃取した情報などを元に独自に作成されているものに加え、実際の組織間のメールのやりとりの内容を転用することで、感染元から送信先への返信を装うものがあります。

そのため、取引先の担当者から送られているようにみえるメールでも、実際はEmotet が窃取した情報を元に攻撃者側から送られている「なりすましメール」である可能性があるため、注意が必要です。

添付されたファイルには、コンテンツの有効化を促す内容が記載されており、有効化してしまうと Emotet がダウンロードされます。Word の設定によっては、有効化の警告が表示されずに Emotet がダウンロードされる場合があります。

https://www.jpcert.or.jp/at/2019/at190044_image2.png

[画像2: 添付ファイル例]

III.影響

Emotet に感染した場合、次のような影響が発生する可能性があります。

– 端末やブラウザに保存されたパスワード等の認証情報が窃取される

– 窃取されたパスワードを悪用され SMB によりネットワーク内に感染が広がる
– メールアカウントとパスワードが窃取される
– メール本文とアドレス帳の情報が窃取される
– 窃取されたメールアカウントや本文などが悪用され、Emotet の感染を広げるメールが送信される

このように、Emotet に感染してしまうと、感染端末から情報が窃取された後、攻撃者側から取引先や顧客に対して感染を広げるメールが配信されてしまう恐れがあります。また、感染したままの端末が組織内に残留すると、感染を広げるメールの配信元として攻撃者に利用され、外部に大量の不審メールを送信することになります。

また、Emotet に感染した端末が、Trickbot などの別のマルウエアをダウンロー
ドし、結果としてランサムウエアに感染してデータが暗号化されるなどの被害
に繋がるケースに関する情報も公開されています。

情報の窃取や感染拡大を防ぐためにも、ランサムウエアなどによる業務への影響を防ぐためにも、下記の対策や対処の実施を検討することを推奨いたします。

IV. 対策

Emotet の感染を予防し、感染の被害を最小化するため、次のような対応を実施することを検討してください。

– 組織内への注意喚起の実施

– Word マクロの自動実行の無効化 ※
– メールセキュリティ製品の導入によるマルウエア付きメールの検知
– メールの監査ログの有効化
– OS に定期的にパッチを適用 (SMBの脆弱性をついた感染拡大に対する対策)
– 定期的なオフラインバックアップの取得（標的型ランサムウエア攻撃に対する対策）

※ Microsoft Office Word のセキュリティセンターのマクロの設定で、「警告を表示してすべてのマクロを無効にする」を選択してください。

https://www.jpcert.or.jp/at/2019/at190044_image3.png

[画像3: Microsoft Office のセキュリティセンターのマクロの設定]

V. 事後対応

自組織で使用するウイルス対策ソフトが検知して Emotet の感染を発見する場合に加え、次のような状況を確認した場合は、自組織の端末が Emotet に感染している可能性があります。

– 自組織のメールアドレスになりすまし、Word 形式のファイルを送るメールが届いたと外部組織から連絡を受けた場合

– 自組織のメールサーバなどを確認し、Word 形式のファイルが添付されたメールやなりすましメールが大量に送信されていることを確認した場合

自組織の端末やシステムにおいて Emotet の感染が確認された場合、被害拡大防止の観点より初期対応として次の対処を行うことを推奨します。

– 感染した端末のネットワークからの隔離

– 感染した端末が利用していたメールアカウントのパスワード変更

その後、必要に応じてセキュリティ専門ベンダなどと相談の上、次のような対処を行うことを推奨します。

– 組織内の全端末のウイルス対策ソフトによるフルスキャン

– 感染した端末を利用していたアカウントのパスワード変更
– ネットワークトラフィックログの監視
– 調査後の感染した端末の初期化

また、Emotet の感染が疑われる場合など、本件についてご相談が必要でしたら、次の「JPCERT/CC インシデント報告窓口」までご連絡ください。

JPCERT/CC インシデント報告窓口

メール：
電話：03-6271-8901

VI. 参考情報

US-CERT
Alert (TA18-201A) Emotet Malware
https://www.us-cert.gov/ncas/alerts/TA18-201A

Australian Cyber Security Centre (ACSC)

Advisory 2019-131a: Emotet malware campaign
https://www.cyber.gov.au/threats/advisory-2019-131a-emotet-malware-campaign

今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。

一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL:
TEL:03-6271-0610 FAX: 03-6271-8908
https://www.jpcert.or.jp/

Android 版 Microsoft Outlook にメールスプーフィングによる攻撃が可能な脆弱性

最終更新日: 2019/11/27

情報源

US-CERT Current Activity
Microsoft Releases Outlook for Android Security Update
https://www.us-cert.gov/ncas/current-activity/2019/11/21/microsoft-releases-outlook-android-security-update

概要

Android 版 Microsoft Outlook には、メールスプーフィングによる攻撃が可能な脆弱性があります。結果として、遠隔の第三者が細工したメールを送信することで、メールの受信者の security context 上でスクリプトを実行する可能性があります。

この問題は、Android 版 Microsoft Outlook を Microsoft が提供する修正済みのバージョンに更新することで解決します。詳細は、Microsoft が提供する情報を参照してください。

情報源

概要

関連文書（日本語）

情報源

概要

関連文書（英語）

情報源

概要

関連文書（英語）

情報源

概要

関連文書（英語）

参考文献 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

I.概要

II. 感染経路

III.影響

IV. 対策

V. 事後対応

VI. 参考情報

情報源

概要

関連文書（英語）