Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起
~2020年3月の気になるセキュリティニュース~ セキュリティニュース

2020年4月24日

はじめに

本コラムは、2020年3月に公開されたセキュリティ記事などを基にした「気になるセキュリティニュース」を公開します。
特に注目しているセキュリティ情報を厳選し、簡潔にまとめています。
日々のセキュリティ対策にご活用いただければと思います。

セキュリティニュース一覧

マルウェア・不正アクセス関連

・Pulse Connect Secure の脆弱性を狙った攻撃事案について
JPCERT/CCは、Pulse Connect Secure の脆弱性を狙った攻撃事案に関する記事を公開しました。
テレワークが拡大する中、VPN製品を利用する場面が増えつつありますが、国内には脆弱性の修正パッチが未適用のVPN機器は多く残存しています。
2019年には、複数のSSL-VPN製品の脆弱性に関する注意喚起が公開[1]されましたが、この脆弱性のうち、Pulse Connect Secureの脆弱性(CVE-2019-11510およびCVE-2019-11539)を悪用した攻撃の被害は、依然として複数報告されています。
JPCERT/CCは、この脆弱性についての概要と、Pulse Connect Secureのログから攻撃の痕跡を調査する方法や、国内における脆弱なホスト数の現況についての記事を公開しています[2]。

・ヤマハ製の複数ネットワーク機器の脆弱性について
IPAおよびJPCERT/CCは、ヤマハ製のルータやファイアウォールなどの複数のネットワーク機器にサービス運用妨害(Dos)の脆弱性があることを公開しました[3]。
脆弱性を悪用されると意図せず機器が停止したり、再起動するおそれがあります。
同社では脆弱性を修正するファームウェアのアップデートをリリースし、回避策として、フィルタのログ出力を停止する方法を公開しています[4]。
対象となる製品を利用している場合には、本脆弱性への対策を速やかに実施することが推奨されています。

主要なOS、ミドルウェアにおけるインシデント

・Microsoft SMBv3 の脆弱性(CVE-2020-0796)に関する注意喚起
JPCERT/CCは、Microsoft SMBv3 の脆弱性 (CVE-2020-0796) に関する注意喚起を公開しました[5]。
脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるおそれがあります。
本件は、Microsoft社の3月度月例セキュリティ更新プログラム[6]には当初含まれておらず、後日、定例外として公開されました。
本脆弱性の悪用はまだ確認されていないとのことですが、対象となる製品を利用している場合には、本脆弱性への対策を速やかに実施することが推奨されています。

・Adobe Type Manager ライブラリ の未修正の脆弱性に関する注意喚起
JPCERT/CCは、Adobe Type Manager ライブラリの未修正の脆弱性に関する注意喚起を公開しました[7]。
Microsoft社は、限定的な標的型攻撃に本脆弱性が悪用されていることを明らかにしています。
本脆弱性に対するアップデートはまだ提供されていませんが、脆弱性の影響を緩和するための回避策が提案されていますので、対象となる製品を利用している場合には、回避策の対応を行うことを推奨されています。
なお攻撃を受けたのは「Windows7」であり、「Windows10」は攻撃の対象となっていないことから、Windows10については回避策の実施は推奨しないとしています[8]。

その他

・テレワーク増でサイバー犯罪の危険性! 警視庁が注意呼びかけ
警視庁は、新型コロナウイルスの感染拡大を受けテレワークを急遽導入する企業が増えていることから、不正アクセスなどサイバー犯罪の危険性が高まっているとし注意を呼びかけました。
テレワーク実施時のセキュリティ対策について、「OSやウイルス対策ソフトは最新の状態にし、定期的なウイルススキャンを実施する」ことや、「公衆無線LANを利用する際の注意点」・「IDやパスワードの変更」などの具体的な注意を促しています[9][10]。

・「ビジネスメール詐欺の実態調査報告書」の公開について
JPCERT/CCは、日本国内における警戒の重要性が高まっている「ビジネスメール詐欺(Business Email Compromise:BEC)」の被害を最小化するため、2019年に行ったBECの実態調査をふまえた対策や対応についてのレポートを公開しました[11]。
攻撃を受けた組織の関連国は日本が最も多く、使用言語は英語が突出していますが日本語が用いられたケースもあるとのことです。
IPAでは、BECの手口を5種類に定義[12]していますが、今回の調査ではその内「取引先との請求書の偽装」が約75%を占めていました。
本レポートでは、そうした被害状況に加え、組織がとるべき行動などについても解説しており、JPCERT/CCは、広くBECへの対策に活用してほしいと呼びかけています[13]。

・「サイバーセキュリティ関係法令 Q&Aハンドブック」の公開について
内閣サイバーセキュリティセンター(NISC)は、企業に求められるセキュリティ対策について、参照すべき関係法令をQ&A形式で解説した「サイバーセキュリティ関係法令 Q&Aハンドブック」を公開しました。
同資料は、企業における平時のサイバーセキュリティ対策や、インシデント発生時の対応に関する法令上の事項に加え、情報の取り扱いに関する法的課題などをわかりやすくまとめたものとなっています。
NISCでは、企業実務の参考としてサイバーセキュリティ対策・法令順守に役立ててほしいとしています[14]。

出典

最後に

世の中で起こっているセキュリティニュースの状況をまとめて掲載することで、
読者の皆様がよりセキュリティに興味を持っていただき、セキュリティ対策の推進に活用いただければと考えています。

京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ