<<< JPCERT/CC WEEKLY REPORT 2020-04-30 >>>
■04/19(日)〜04/25(土) のセキュリティ関連情報
目 次
【1】OpenSSL に NULL ポインタ参照の脆弱性
【2】複数の Microsoft 製品にリモートコード実行の脆弱性
【3】Google Chrome に複数の脆弱性
【4】東芝デバイス&ストレージ株式会社製品向けのパスワードツールに脆弱性
【5】複数のシャープ製 Android 端末に情報漏えいの脆弱性
【6】CISA ICS が公開した制御システムの脆弱性
【今週のひとくちメモ】仮想通貨を要求する不審な脅迫メールに注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2020/wr201701.txt
https://www.jpcert.or.jp/wr/2020/wr201701.xml
【1】OpenSSL に NULL ポインタ参照の脆弱性
情報源
US-CERT Current Activity
OpenSSL Releases Security Update
https://www.us-cert.gov/ncas/current-activity/2020/04/22/openssl-releases-security-update
概要
OpenSSL には、NULL ポインタ参照の脆弱性があります。結果として、遠隔の 第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.1.1d - OpenSSL 1.1.1e - OpenSSL 1.1.1f この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参 照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97087254
OpenSSL における NULL ポインタ参照の脆弱性
https://jvn.jp/vu/JVNVU97087254/JPCERT/CC 注意喚起
OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200018.html
関連文書 (英語)
OpenSSL Project
OpenSSL Security Advisory [21 April 2020]
https://www.openssl.org/news/secadv/20200421.txt
【2】複数の Microsoft 製品にリモートコード実行の脆弱性
情報源
US-CERT Current Activity
Microsoft Releases Security Updates for Multiple Products
https://www.us-cert.gov/ncas/current-activity/2020/04/22/microsoft-releases-security-updates-multiple-products
概要
複数の Microsoft 製品には、特別に細工された 3D コンテンツを処理すると きにリモートでコードが実行される脆弱性があります。結果として、遠隔の第 三者がローカルユーザと同等の権限を取得するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Office 2019 for 32-bit editions - Microsoft Office 2019 for 64-bit editions - Office 365 ProPlus for 32-bit Systems - Office 365 ProPlus for 64-bit Systems - Paint 3D - 3D Viewer この問題は、Microsoft が提供する更新プログラムを適用するか、当該製品を 修正済みのバージョンに更新することで解決します。詳細は、Microsoft が提 供する情報を参照してください。
関連文書 (日本語)
マイクロソフト株式会社
ADV200004 | Autodesk FBX ライブラリを利用する Microsoft ソフトウェアの更新プログラムのリリース
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200004
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity
Google Releases Security Updates for Chrome
https://www.us-cert.gov/ncas/current-activity/2020/04/22/google-releases-security-updates-chrome
概要
Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 81.0.4044.122 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。
関連文書 (英語)
Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html
【4】東芝デバイス&ストレージ株式会社製品向けのパスワードツールに脆弱性
情報源
Japan Vulnerability Notes JVN#13467854
東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性
https://jvn.jp/jp/JVN13467854/
概要
東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、 Windows サービスに登録する実行ファイルパスを引用符で囲んでいません。結 果として、第三者が当該サービスの権限で不正なファイルを実行する可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - 次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前 - CANVIO PREMIUM 3TB - HD-MB30TY - HD-MA30TY - HD-MB30TS - HD-MA30TS - CANVIO PREMIUM 2TB - HD-MB20TY - HD-MA20TY - HD-MB20TS - HD-MA20TS - CANVIO PREMIUM 1TB - HD-MB10TY - HD-MA10TY - HD-MB10TS - HD-MA10TS - CANVIO SLIM 1TB - HD-SB10TK - HD-SB10TS - CANVIO SLIM 500GB - HD-SB50GK - HD-SA50GK - HD-SB50GS - HD-SA50GS この問題は、該当製品を東芝デバイス&ストレージ株式会社が提供する修正済 みのバージョンに更新するか、回避策を適用することで解決します。詳細は、 東芝デバイス&ストレージ株式会社が提供する情報を参照してください。
関連文書 (日本語)
株式会社東芝
TDSCSA00699-01:CANVIO シリーズのWindows 用パスワードツールによって登録されるWindows サービスの実行ファイルパスが引用符で囲まれていない脆弱性について
https://www.canvio.jp/news/20200420.htm
【5】複数のシャープ製 Android 端末に情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#93064451
複数のシャープ製 Android 端末における情報漏えいの脆弱性
https://jvn.jp/jp/JVN93064451/
概要
複数のシャープ製 Android 端末には、情報漏えいの脆弱性があります。結果 として、第三者が当該製品内の機微な情報を窃取する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - AQUOS SH-M02 ビルド番号 01.00.05 およびそれ以前 - AQUOS SH-RM02 ビルド番号 01.00.04 およびそれ以前 - AQUOS mini SH-M03 ビルド番号 01.00.04 およびそれ以前 - AQUOS ケータイ SH-N01 ビルド番号 01.00.01 およびそれ以前 - AQUOS L2 (UQ mobile/J:COM) ビルド番号 01.00.05 およびそれ以前 - AQUOS sense lite SH-M05 ビルド番号 03.00.04 およびそれ以前 - AQUOS sense (UQ mobile) ビルド番号 03.00.03 およびそれ以前 - AQUOS compact SH-M06 ビルド番号 02.00.02 およびそれ以前 - AQUOS sense plus SH-M07 ビルド番号 02.00.02 およびそれ以前 - AQUOS sense2 SH-M08 ビルド番号 02.00.05 およびそれ以前 - AQUOS sense2 (UQ mobile) ビルド番号 02.00.06 およびそれ以前 この問題は、該当製品をシャープ株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、シャープ株式会社が提供する情報を参照 してください。
関連文書 (日本語)
シャープ株式会社
弊社が製造した一部のスマートフォン・携帯電話をご利用のお客様へ
https://k-tai.sharp.co.jp/support/info/info036.html
【6】CISA ICS が公開した制御システムの脆弱性
情報源
CISA ICS
ICS-CERT Advisories
https://www.us-cert.gov/ics/advisories
概要
CISA ICS は、制御システムの脆弱性情報を公開しました。 対象となる製品は次のとおりです。 - Inductive Automation - Ignition 8 Gateway 影響を受ける製品のバージョンや脆弱性の詳細は、CISA ICS が提供するアド バイザリ情報や開発者の情報を参照してください。
関連文書 (英語)
ICS Advisory (ICSA-20-112-01)
Inductive Automation Ignition
https://www.us-cert.gov/ics/advisories/icsa-20-112-01
■今週のひとくちメモ
○仮想通貨を要求する不審な脅迫メールに注意
2020年4月前半より、JPCERT/CC は、仮想通貨を要求する不審な脅迫メールを 受信したとの報告を受けています。メールには、メール受信者が実際に使用し ているパスワードが記述されており、仮想通貨を支払うよう脅迫しています。 こうしたメールは、2018年から観測されており、過去には日本語を含むものな ど様々な種類が確認されています。 このようなメールを受信した場合は攻撃者の要求には応じず、冷静に対応を行っ てください。また、メール本文で示されているパスワードを実際に使用してい るサービスがある場合、異なるパスワードを再設定したり、ログイン履歴を確 認したりするなどしてください。
参考文献 (日本語)
JPCERT/CC CyberNewsFlash
仮想通貨を要求する不審な脅迫メールについて
https://www.jpcert.or.jp/newsflash/2018080201.htmlJPCERT/CC CyberNewsFlash
仮想通貨を要求する日本語の脅迫メールについて
https://www.jpcert.or.jp/newsflash/2018091901.html
参考文献 (英語)
US-CERT Current Activity
IC3 Releases Alert on Extortion Email Scams
https://www.us-cert.gov/ncas/current-activity/2020/04/21/ic3-releases-alert-extortion-email-scams
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。
https://www.jpcert.or.jp/form/