先週のサイバー事件簿 - オンライン会議ツール「Zoom」に複数の脆弱性
8月8日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
○Zoomに複数の脆弱性
オンライン会議の定番ツール「Zoom」にて、複数の脆弱性が明らかになった。リスクレベル、対象ソフトウェアとバージョン、脆弱性は以下の通り。
■緊急
・Zoom クライアント 5.11.0より前のバージョン(Android、iOS、Linux、macOS、Windows用)
悪意のあるZoomミーティングのURLが開かれると、ユーザーを任意のネットワークアドレスに接続するように誘導する可能性がある。また、任意のパスから実行ファイルを起動することで、リモートでのコード実行など追加攻撃もあり得る。
■高
・ミーティング用 Zoom クライアント 5.11.3より前のバージョン(macOS用)
更新プロセス中におけるパッケージ署名の検証に脆弱性が含まれる。悪用することで、権限の低いローカルユーザーをroot権限に昇格できる可能性がある。
・Zoomオンプレミス バージョン4.8.129.20220714より前のバージョン
不適切なアクセス制御。他の参加者への表示なく、参加許可を得ている会議に参加したり、待合室から会議に参加したり、主催者になって他の会議に混乱を引き起こす可能性がある。
・Zoom Rooms for Windows 5.11.0より前のバージョン
ローカルの権限昇格。ローカル権限の低いユーザーがシステム権限に昇格する可能性がある。
・Zoom On-Premise 4.8.20220419.112より前のバージョン
Meeting Connectorでのスタックバッファオーバーフローによって、アプリがクラッシュする可能性がある。バージョン4.8.12.20211115より古い場合は、脆弱性を利用して任意のコード実行もあり得る。
以上、すでに脆弱性に対してはアップデートによってし対処済み。緊急度が高い脆弱性が多いため、Zoomを利用している場合は早急にアップデートしておきたい。
○東京都、マンション管理状況届出システムのメール送信サービスに不正アクセス
東京都の住宅政策本部が管理する「マンション管理状況届出システム」のメール送信サービスが不正アクセスを受けた。これにより、実際には利用していないメールアドレスからスパムメールの送信が行われたという。メールアドレスと送信先は以下の通り。
・不正作成のメールアドレス(都では利用していないもの)
***@mansion-todokede.metro.tokyo.lg.jp
(***はランダムな英数字)
・不正作成の送信先メールアドレス
***@icloud.com
(***はランダムな英数字)
2022年7月31日、システムの運用管理受託者が配信不能メールを確認(1時48分ごろに721通、7時1分ごろに715通)。調査をしたところ、システムのメール送信サービスに対する不正アクセスが判明した。
この不正アクセスによって、当該システムで利用していないドメインからのスパムメール2,044通(うちエラーメール1,436通)を送信していた。システムの運用管理受託者は、ただちにメールシステムのIDとパスワードを変更。以降、スパムメールの送信はない。
東京都は、不正作成のメールアドレスからメールが送られてきた場合、メールを開いたり返信したりせず、そのメールを削除するよう呼びかけている。以降も、原因の究明とともに、システムで保存していた情報が流出していないかなどの調査も進めていく方針。
○経済産業省を騙るフィッシングメール
8月9日の時点で、経済産業省 資源エネルギー庁を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。
[経済産業省・電力需給対策] お客様の電力使用情報が不正確なので要確認 (2022/8/8)
フィッシングメールでは、電力需給ひっ迫注意報の発令を受けて検査を行ったところ、電気使用の情報が不正確だったため情報を確認する必要があるなどと記載。フィッシングサイトへと誘導する。リンク先は、全国の電力会社を選択させ、個人情報やクレジットカード情報を窃取するフィッシングサイトだ。
今回のフィッシングメールには日本語がおかしい部分が多々あり、冷静に読めば警戒感がわくはずだ。フィッシングサイトは消失と出現を繰り返すことがあるため、常に注意しておきたい。
○東京都港区立の保育園で園児の写真を保存したSDメモリーカードを紛失
港区の区立保育園において、園児の写真を保存するために使用しているSDメモリーカードを紛失が発生した。このSDメモリーカードには園児25名分の写真データが保存してあった。
経緯は、2022年7月13日に保育園の職員が園児の活動の様子を保護者に配信するため、SDメモリーカード内の写真データをタブレット端末に取り込んだ。その後、SDメモリーカードを事務所内の鍵付き保管庫に返却すべきところカメラに挿入。そのカメラを保育室内に置いたまま帰宅した。翌日、別の保育園職員がカメラを使用しようとしたところ、SDメモリーカードがないことに気付いた。すぐに園内を捜索したものの発見できず、7月15日午前9時30分ごろにも再度捜索したが発見には至っていない。
港区は、カメラおよびSDメモリーカードの持ち出しと返却のルールが徹底されていなかったこと、保管庫への返却を確認する体制が不十分だったことを原因として、今後これらのタスクをマニュアル化する。チェック表を活用して、上司を含めた複数で管理を行うよう徹底するとした。
○マイクロソフト、8月のセキュリティ更新プログラムをリリース
マイクロソフトは8月10日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急7件、重要3件の脆弱性を修正している。
■緊急:リモートでのコード実行
・Windows 11
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016、v20H2(Server Core installationを含む)
・Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Visual Studio
■緊急:特権の昇格
・Microsoft Exchange Server
■重要:リモートでのコード実行
・Microsoft Office
・Microsoft Azure-related software
■重要:なりすまし
・Microsoft.NET
○Zoomに複数の脆弱性
オンライン会議の定番ツール「Zoom」にて、複数の脆弱性が明らかになった。リスクレベル、対象ソフトウェアとバージョン、脆弱性は以下の通り。
■緊急
・Zoom クライアント 5.11.0より前のバージョン(Android、iOS、Linux、macOS、Windows用)
■高
・ミーティング用 Zoom クライアント 5.11.3より前のバージョン(macOS用)
更新プロセス中におけるパッケージ署名の検証に脆弱性が含まれる。悪用することで、権限の低いローカルユーザーをroot権限に昇格できる可能性がある。
・Zoomオンプレミス バージョン4.8.129.20220714より前のバージョン
不適切なアクセス制御。他の参加者への表示なく、参加許可を得ている会議に参加したり、待合室から会議に参加したり、主催者になって他の会議に混乱を引き起こす可能性がある。
・Zoom Rooms for Windows 5.11.0より前のバージョン
ローカルの権限昇格。ローカル権限の低いユーザーがシステム権限に昇格する可能性がある。
・Zoom On-Premise 4.8.20220419.112より前のバージョン
Meeting Connectorでのスタックバッファオーバーフローによって、アプリがクラッシュする可能性がある。バージョン4.8.12.20211115より古い場合は、脆弱性を利用して任意のコード実行もあり得る。
以上、すでに脆弱性に対してはアップデートによってし対処済み。緊急度が高い脆弱性が多いため、Zoomを利用している場合は早急にアップデートしておきたい。
○東京都、マンション管理状況届出システムのメール送信サービスに不正アクセス
東京都の住宅政策本部が管理する「マンション管理状況届出システム」のメール送信サービスが不正アクセスを受けた。これにより、実際には利用していないメールアドレスからスパムメールの送信が行われたという。メールアドレスと送信先は以下の通り。
・不正作成のメールアドレス(都では利用していないもの)
***@mansion-todokede.metro.tokyo.lg.jp
(***はランダムな英数字)
・不正作成の送信先メールアドレス
***@icloud.com
(***はランダムな英数字)
2022年7月31日、システムの運用管理受託者が配信不能メールを確認(1時48分ごろに721通、7時1分ごろに715通)。調査をしたところ、システムのメール送信サービスに対する不正アクセスが判明した。
この不正アクセスによって、当該システムで利用していないドメインからのスパムメール2,044通(うちエラーメール1,436通)を送信していた。システムの運用管理受託者は、ただちにメールシステムのIDとパスワードを変更。以降、スパムメールの送信はない。
東京都は、不正作成のメールアドレスからメールが送られてきた場合、メールを開いたり返信したりせず、そのメールを削除するよう呼びかけている。以降も、原因の究明とともに、システムで保存していた情報が流出していないかなどの調査も進めていく方針。
○経済産業省を騙るフィッシングメール
8月9日の時点で、経済産業省 資源エネルギー庁を騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。
[経済産業省・電力需給対策] お客様の電力使用情報が不正確なので要確認 (2022/8/8)
フィッシングメールでは、電力需給ひっ迫注意報の発令を受けて検査を行ったところ、電気使用の情報が不正確だったため情報を確認する必要があるなどと記載。フィッシングサイトへと誘導する。リンク先は、全国の電力会社を選択させ、個人情報やクレジットカード情報を窃取するフィッシングサイトだ。
今回のフィッシングメールには日本語がおかしい部分が多々あり、冷静に読めば警戒感がわくはずだ。フィッシングサイトは消失と出現を繰り返すことがあるため、常に注意しておきたい。
○東京都港区立の保育園で園児の写真を保存したSDメモリーカードを紛失
港区の区立保育園において、園児の写真を保存するために使用しているSDメモリーカードを紛失が発生した。このSDメモリーカードには園児25名分の写真データが保存してあった。
経緯は、2022年7月13日に保育園の職員が園児の活動の様子を保護者に配信するため、SDメモリーカード内の写真データをタブレット端末に取り込んだ。その後、SDメモリーカードを事務所内の鍵付き保管庫に返却すべきところカメラに挿入。そのカメラを保育室内に置いたまま帰宅した。翌日、別の保育園職員がカメラを使用しようとしたところ、SDメモリーカードがないことに気付いた。すぐに園内を捜索したものの発見できず、7月15日午前9時30分ごろにも再度捜索したが発見には至っていない。
港区は、カメラおよびSDメモリーカードの持ち出しと返却のルールが徹底されていなかったこと、保管庫への返却を確認する体制が不十分だったことを原因として、今後これらのタスクをマニュアル化する。チェック表を活用して、上司を含めた複数で管理を行うよう徹底するとした。
○マイクロソフト、8月のセキュリティ更新プログラムをリリース
マイクロソフトは8月10日(米国時間)、セキュリティ更新プログラムの情報を公開した。緊急7件、重要3件の脆弱性を修正している。
■緊急:リモートでのコード実行
・Windows 11
・Windows 10 v21H2、v21H1、v20H2
・Windows Server 2022(Server Core installationを含む)
・Windows Server 2019、2016、v20H2(Server Core installationを含む)
・Windows 8.1、Windows Server 2012 R2、Windows Server 2012(Server Core installationを含む)
・Microsoft Visual Studio
■緊急:特権の昇格
・Microsoft Exchange Server
■重要:リモートでのコード実行
・Microsoft Office
・Microsoft Azure-related software
■重要:なりすまし
・Microsoft.NET
