セキュアNEWS まとめ

IT関連のセキュリティを中心にPC、ガジェット関連、IT時事に関わるニュースをまとめたブログ。

    2019年01月

    Internet Explorer 10のサポート打ち切りをMicrosoftが発表、期限までにIE11への移行を強力に要請
    2019年01月30日

    00_m


     MicrosoftがWindows Server 2012やWindows Embedded 8 Standardにおけるブラウザ「Internet Explorer 10(IE10)」のサポート打ち切りを発表しました。セキュリティ面も含めてすべてのサポートが終了するとのことで、ユーザーにはサポート終了期限までにIE11やEdgeへ移行するように要請しています。

    Bringing Internet Explorer 11 to Windows Server 2012 and Windows Embedded 8 Standard - Microsoft Tech Community - 325297

     MicrosoftはWindows Server 2012やWindows Embedded 8 Standardユーザーに対して、ブラウザIE10からIE11への移行を強力に押し進めるべく、2020年1月でIE10のセキュリティアップデートやその他の更新、オンライン上の技術サポートなどすべてのサポートを終了させることを発表しました。

     これに伴って、Microsoftは2019年中にWindows Server 2012やWindows Embedded 8 Standardに対してWindows UpdateやWindows Server Update Services(WSUS)を通じてIE11アップグレード・プログラムを提供するそうです。


     Microsoftは2016年1月にブラウザ戦略を変更し、各Windows OSの最新版のIEのみをサポートする方針を打ち出しました。このため、Windows Server 2012やWindows Embedded 8 Standardは最終バージョンのIEであるIE10のサポートをOSサポート期限である2023年1月まで受けられる予定でしたが、2020年2月以降はIE10に関してはあらゆるサポートを受けられなくなります。

     MicrosoftはIE11の機能「Enterprise Mode」を使うことでIE10の互換性を保った状態のまま利用可能であると述べ、またMicrosoft Update Catalogから直接IE11をダウンロードすることで試験的に導入できると述べており、2020年1月以内にIE11へアップデートするようにユーザーに呼びかけています。


    記事元:Gigazine
    http://gigazine.net/news/20190130-ie10-discontinue/

    ※Internet Explorer 10のサポートがきれるそうですが、IE11やEdgeでは対応していないページなどがあり、若干使いにくいのも問題ですね。
    最終バージョンのIEであるIE10のサポートをOSサポート期限である2023年1月まで受けられる予定でしたが、2020年2月以降はIE10に関してはあらゆるサポートを受けられなくなります。
    と、あり半ば強制的にアップデートを促すところに疑問を感じますが、セキュリティ上早めのアップデートをお勧めします。

    ホスティングサービス「アルファメール」で不正アクセス、WordPressを踏み台にウェブサーバーOSの脆弱性を突かれる
    2019年1月25日 

    01
    大塚商会のウェブサイトより

     株式会社大塚商会は、同社が運営するホスティングサービス「アルファメール」および「アルファメールダイレクト」に不正アクセスが発生したことを明らかにした。不正アクセスが発生したのは1月19日午前10時ごろ。個人情報などの情報流出は確認されていないという。

     同社調査の結果、特定のユーザーが設置したWordPressのIDを踏み台にして、ウェブサーバーのOSの脆弱性を突いた不正アクセス攻撃と判明した。

     この攻撃により、他のユーザーの利用領域にも不正なファイルが設置されていたが、1月20日午前1時までに踏み台になったIDを利用停止したほか、不正ファイルを全て削除した。

     同ファイルは静的なファイルで、マルウェアなども検出されていないそうだ。また、ユーザーのIDやパスワードが不正利用された形跡やホームページコンテンツの改ざんがないことも確認したという。なお、同攻撃による被害件数などについては非公開(同社広報)としている。

     該当するウェブサーバーを利用しているユーザーには、メール連絡を行ったとしている。

    記事元:impress watch
    https://internet.watch.impress.co.jp/docs/news/1166488.html

    宅ふぁいる便の利用実態把握出来ていますか?480万件のPW含む個人情報が平文で流出

    2019年 1月29日

    takufairubinlogo


    2019年1月25日、国内ファイル共有サービスで高い利用率を誇る「宅ふぁいる便」が不正アクセスの被害を受け、サービス提供元で有るオージス総研は480万件を超える情報漏洩が発生した可能性が有ると発表した。

     宅ファイル便は無料で利用できる「宅ふぁいる便」と、有料サービスの「宅ファイル便プレミアム」「宅ふぁいる便ビジネスプラス」が有り、今回全てのプランが不正アクセス被害の対象となっている。

    なお、類似サービスの「オフィス宅ふぁいる便」は今回の不正アクセスの影響を受けていない。

    現在不正アクセス被害を受けたサービスは停止中で有り、2019年1月28日23時時点では復旧の目途は立っていない。

     企業の情報システム管理者は今回の「宅ふぁいる便」の不正アクセスについて、単なる1サービス事業者の不正アクセス被害と軽く受け止めるべきでは無い。

    まずは自社のプロキシサーバのアクセスログ等を調査し、自社の社員が「宅ふぁいる便」を「無断で利用していなかったか?」を調査し、利用実態を把握すべきと考える。そして利用者が確認出来た場合には、その利用者が「宅ふぁいる便」で利用しているID/PWを他で使いまわしていないかを確認し、使いまわしていた場合には即座に変更させるべきで有る。

    ■情報漏洩の影響範囲

    現在、情報漏えいが確認された内容について以下に記載する。

    1.現時点で漏洩が確定したお客さま情報 (下線部分は新たに漏洩が確定した情報)

    (1)2005年以降、全期間を通じてお客さまにご回答いただいている情報

    ・氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3

    (2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報

    ・居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※



    また、同発表のFAQによれば、今回流出した同サービスのパスワードは暗号化されておらず、同サービスの利用者が「宅ふぁいる便」と共通のID/PWを使いまわしている場合には、すみやかに変更するようアナウンスしている。

    risukuチャ


    ■セキュリティリスクの高い「宅ふぁいる便」
    筆者が普段利用しているクラウドのリスクアセスメントに利用するCASBというツールを用いると、無料で利用可能な「宅ふぁいる便」は「ハイリスク」に分類される。ハイリスクに分類される主要な理由は以下の点で有る。

    ・保存されているデータが暗号化されていない
    ・ISO27001等の情報セキュリティに関する認証を取得していない
    ・利用者が各種監査ログを参照出来ない

    保存データが暗号化されていないため、もし「宅ふぁいる便」に保管されているデータをサイバー攻撃者が入手した場合には、中身を容易に盗み見られる可能性が有る。また、不正アクセスの被害状況を調べようにも監査ログを参照する機能は提供されていない。
    中略

     また、オージス総研はFAQに以下の記載をしている。

    Q3. 過去に会員登録したことがあるが、漏洩対象となっているのか?

    A. 退会済であっても過去に会員登録したことがある方については漏洩対象になっている可能性があります。

    オージス総研はFAQ一覧は下記になります。
    https://www.ogis-ri.co.jp/news/takufile_faq.html


     この回答から読み取れることは「利用者情報が削除されていない」ということで有る。過去に「宅ふぁいる便」を利用していたけれども、既に退会した人の情報までもが「暗号化」されていない状態で保持され続けていたということだ。クラウドサービスで見過ごされがちなセキュリティリスクとして、サービス退会後のアカウントやデータ削除をサービス提供者が実施しているか?という観点が有るが、「宅ふぁいる便」は退会者の情報が削除されていなかったことが今回の件で明らかになった。

    ■多くの企業でシャドーITとして検出される「宅ふぁいる便」
     無料で社外の人とファイルを共有出来るサービスとして、古くから「宅ふぁいる便」は日本の多くの企業で利用されてきた。今回のサービス停止で早急なサービス復旧を望む声も多い。利用者視点では便利なサービスで有る一方で、情報管理責任者の立場では悩みの種で有ることも多い。

     筆者は普段企業内で管理部門に無断で利用されている「シャドーITの実態調査」を実施しているが、多くの企業で検出されるのが、この「宅ふぁいる便」で有る。そもそも「宅ふぁいる便」はファイルを保管可能な「クラウドストレージ」に分類される。従業員の利用方法次第で機密情報や個人情報を「宅ふぁいる便」で共有するということが簡単に出来てしまうのだ。


     「シャドーITの実態調査」で、この「宅ふぁいる便」が検出された企業の情報管理責任者の反応は様々だ。即座に利用を停止する企業やガイドラインを整備する企業が有る一方で、「昔から利用しているから問題無い」「機密情報をアップロードする社員なんていない」「数名利用しているだけだから問題ない」と言った、社員の性善説で利用を容認する企業も存在する。情報セキュリティ対策レベルは企業によりバラツキが有るので温度感が異なってくるのが実態だ。

    中略

    ■利用実態を企業側が把握出来ていないのが一番の問題
     今回480万件という大規模な不正アクセス被害となった「宅ふぁいる便」だが、多くの利用企業で「宅ふぁいる便」の正確な利用実態が把握出来ていないと推測される。前述した通り、企業側としては「無料の宅ふぁいる便」を正式採用しているケースは少なく、従業員が無断で利用しているケースが多いと推測されるからだ。

     筆者の経験では、多くの企業で検出されるサービスで有り、「うちは大丈夫」と根拠の無い自信を持つよりは、自社のプロキシサーバのアクセスログを精査することを推奨する。本来利用が認められていないにも関わらず「宅ふぁいる便」の利用が認められた場合には、今回の件を契機に、社員が無断で利用する「シャドーITの実態調査」を実施することを推奨する。


    記事元:yhaooニュース
    https://news.yahoo.co.jp/byline/ohmototakashi/20190129-00112784/

    ※「宅ふぁいる便」ではセキュリティリスクは「情報漏洩は企業経営の大きなリスク」と大々的に広告しているにもかかわらずこの失態はさすがにダメかと思います。「宅ふぁいる便」をご利用の企業様はぜひ一度、オージス総研はFAQ一覧を一読することをお勧めします。

    ファーウェイ関連会社 他社情報入手にボーナス支給か
    2019年1月29日 

    shutterstock_1208286232-650x401

     アメリカの司法当局は中国の通信機器大手、ファーウェイの副会長と法人としてのファーウェイなどを詐欺や企業秘密を盗んだ罪で起訴しました。司法当局は、他社から情報を盗み出した社員に特別ボーナスを支給するなど、ファーウェイが組織的に企業秘密を盗み出そうとしていたとみて実態の解明を進めています。

    kiチャ

     アメリカ司法省は28日、ファーウェイの孟晩舟副会長と法人としてのファーウェイなどを詐欺の罪で起訴するとともに、関連会社2社を他社の企業秘密を盗んだ罪で起訴したと発表しました。

     起訴状によりますと、このうちファーウェイの関連会社2社は、アメリカの携帯電話大手、Tモバイルが開発したスマートフォンのテストに使うロボットの写真を許可無く撮影したり、研究室から無断で部品を持ち出したりしたということです。

     また関連会社では、競合する他社の機密情報を入手するために、社員どうしを競わせ、毎月、最も貴重な情報を盗み出すことに成功した社員には特別ボーナスが支給されていたと指摘しています。

    asチャ

     FBI=連邦捜査局のレイ長官は「ファーウェイは、意図的にアメリカ企業の知的財産を盗もうとしていた」とコメントしていて、アメリカの司法当局はファーウェイが組織的に企業秘密を盗み出そうとしていたとみて実態の解明を進めています。

    起訴内容
     公開された起訴状によりますと、ファーウェイに関わる罪は合わせて23にのぼります。ファーウェイはスカイコムを通じてアメリカの制裁下にあるイランと取り引きを行ったうえ、制裁を逃れるため金融機関などに対して、ファーウェイとスカイコムは無関係だなどと虚偽の説明をしたとされています。

     このうち、ファーウェイの孟晩舟副会長と、法人としてのファーウェイ、関連会社のファーウェイデバイスUSA、それに香港で登記され主にイランで活動していた関連会社のスカイコムは、詐欺や資金洗浄など合わせて13の罪で今月24日付けで、起訴されています。
     中国に拠点を置くファーウェイデバイスと、ファーウェイデバイスUSAは、企業秘密を盗んだ罪など合わせて10の罪で今月16日付けで、起訴されています。

     起訴状によりますと両社の社員は、アメリカ西部ワシントン州にある携帯電話大手のTモバイルの施設で、スマートフォンのテストに使うロボットの写真を許可無く撮影したり、部品を持ち出したりしたということです。

    中国 外務省報道官「米国は正当な経営を圧殺」
     アメリカの司法当局が、中国の通信機器大手、ファーウェイの孟晩舟副会長らを起訴したことについて、中国外務省の耿爽報道官は談話を発表し、「アメリカは国家の力で特定の中国企業をねらってイメージダウンを図り正当な経営を圧殺しようとしている」などとアメリカを非難しました。

    そして「ファーウェイを含む中国企業への不当な抑圧をやめるようアメリカに強く求める」と述べて、起訴は不当だという立場を示しました。


    記事元:NHK NEWS WEB

    ※あまりにもえげつないニュースだったので紹介してみました。もしこれが本当の事であれば、会社だけではなく、国家ぐるみでの犯行のようですね。
    一民間企業がしている事とは思えない・・・。

    米アップル「フェイスタイム」で相手の応答なくとも声が聞こえる不具合

    2019年 1月29日
    300x153xth_Facetime.001.jpg.pagespeed.ic.eANP3Sst0R

     米メディアによると、米アップルの通話アプリ「フェイスタイム」で28日、通話した相手が着信に応答しなくても、相手側の音声が聞こえるというバグ(不具合)が相次いで見つかった。音声だけでなく、相手側の端末のカメラがとらえた映像を見ることができるトラブルも一部で確認されたという。

     米メディアによると、アップル社は同日、声明で不具合を認め「週後半にはソフトウエアを更新する」とした。プライバシー保護に関わる重大な問題として、利用者の間で混乱が広がっている。

     フェイスタイムは、アップル社の端末に搭載されているビデオ通話アプリ。アップル社の情報を扱うニュースサイト「9to5Mac」によると、「iPhone X(テン)」から「iPhone XR(テン・アール)」に電話をかけた場合にバグが起きることが確認されたという。アップル社の修理が実施されるまでアプリを無効化するよう呼びかけている。

     28日夜(日本時間29日午後)には、ソーシャルメディアでバグの内容を報告する利用者が相次いだ。

    記事元:yhaooニュース・産経新聞


    ※軽くホラーですが、現在報告を受けて「フェイスタイム」は利用できな状態のようです。
    米アップルは「バグを修正するため「週内に」更新版ソフトウエアを公開する」と表明しているそうです。

    このページのトップヘ