2020年9月から12月にかけて、脆弱性を放置したままSSL VPN製品が稼働していることに起因する問題をはじめとして、多くの注意喚起等を公表してきました。しかし、脆弱性の公表や各専門機関等からの注意喚起がなされたあとも、未対応の機器が稼働しているケースが数多く確認されています。また、利用者数の多い複数の製品について2020年内のサポート終了が告知されており、脆弱性の修正だけでなく、必要なサポートが継続されるかという点も確認が必要です。
こうした状況に加え、リモートワーク下の運用の変化を踏まえ、従来の長期休暇前に公表していた「長期休暇に備えて」のお知らせにかわり、今後は、各四半期末に注意が必要な脆弱性や攻撃情報などについてお知らせいたします。
今回は、2020年9月以降に確認された影響範囲の広い脆弱性情報や脅威情報などをまとめました。以下を参考に対策をご検討ください。
I. Fortinet社製FortiOSのSSL VPNアカウント情報などの公開について
[1] 概要
JPCERT/CCは、2020年11月19日以降、Fortinet社製FortiOSのSSL VPN機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。 公開された情報にはSSL VPN接続を利用するユーザーアカウント名や平文のパスワードなどの情報が含まれていることを確認しています。
JPCERT/CC
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
https://www.jpcert.or.jp/newsflash/2020112701.html
[2] 対策
下記の対策をご検討ください。
- 脆弱性の影響を受けるか、製品およびバージョンを含めた利用状況を確認する
- 脆弱性の影響を受ける場合、開発者が提供している情報をもとに対策を実施する
- 対策済みの場合も、対策実施前にパスワードを窃取された可能性を考慮し、該当機器のパスワードを変更する
- 外部からシステムにアクセス可能なIPアドレス、ポートを必要最小限に制限する
- 新たな脆弱性が公表された際に、アップデートや回避策を早期に適用するために対応手順や体制などを整備する
II. SolarWinds社製SolarWinds Orion Platformの脆弱性について
[1] 概要
2020年12月13日(米国時間)、SolarWindsは、SolarWinds Orion Platformソフトウェアに関するセキュリティアドバイザリを公開しました。SolarWindsによるとSolarWinds Orion Platformソフトウェアを利用するシステムがネットワーク侵害などの攻撃に利用されているとのことです。SolarWindsは、対策としてOrion Platformのバージョン2019.4 HF 6や2020.2.1 HF 1へのアップデートを推奨しています。
JPCERT/CC
SolarWinds 社製 SolarWinds Orion Platform ソフトウェアのアップデートについて
https://www.jpcert.or.jp/newsflash/2020121501.html
[2] 対策
下記の対策をご検討ください。
- 脆弱性の影響を受けるか、製品およびバージョンを含めた利用状況を確認する
- 脆弱性の影響を受ける場合、開発者が提供している情報をもとに対策を実施する
III. サポート終了製品について
[1] 概要
2020年に複数の製品でサポートが終了します。サポートを終了した製品は、新たな脆弱性が発見された場合であっても、一般的に修正パッチなどの提供は行われません。そのため、脆弱性を悪用した攻撃の被害を受ける可能性が高くなります。 該当製品を利用している場合は、代替製品への移行を推奨します。早期の移行が難しい場合、移行が完了するまで最新版の状態での利用を推奨します。
[2] ソフトウェア一例
- CentOS 6
CentOS
CentOS Community Newsletter, December 2020 (#2012)
https://blog.centos.org/2020/12/centos-community-newsletter-december-2020-2012/
- Adobe Flash Player
アドビ
Adobe Flash Playerサポート終了情報ページ
https://www.adobe.com/jp/products/flashplayer/end-of-life.html
- Microsoft Office 2010
Microsoft
Office 2010 のサポートの終了
https://support.microsoft.com/ja-jp/office/office-2010-%E3%81%AE%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E7%B5%82%E4%BA%86-3a3e45de-51ac-4944-b2ba-c2e415432789
IV. JPCERT/CCからのお願い
JPCERT/CCでは、改ざんされたWebサイトや不正なプログラムの配布サイトなどに対して、関係機関を通じて調整活動を行っています。 もし、これらに関する情報をお持ちの場合は、以下のWebフォーム、または電子メールで、JPCERT/CCまでご連絡ください。
JPCERT/CC インシデント報告(発見報告・被害報告・被害対応依頼) | |
---|---|
info@jpcert.or.jp | |
Webフォーム | https://www.jpcert.or.jp/form/#web_form |
※インシデント報告、対応依頼の詳細はhttps://www.jpcert.or.jp/form/をご覧ください。
V. 修正プログラム情報
最近公開された重要な修正プログラムは以下をご参照ください。
- [マイクロソフト]
2020 年 11 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Nov
2020 年 12 月のセキュリティ更新プログラム
https://portal.msrc.microsoft.com/ja-JP/security-guidance/releasenotedetail/2020-Dec
Microsoft Update Catalog
https://www.catalog.update.microsoft.com/
Windows Update: FAQ
https://support.microsoft.com/ja-jp/help/12373/windows-update-faq
- [アドビ]
Adobe Prelude に関するセキュリティアップデート公開 | APSB20-70
https://helpx.adobe.com/jp/security/products/prelude/apsb20-70.html
Adobe Experience Manager に関するセキュリティアップデート公開 | APSB20-72
https://helpx.adobe.com/jp/security/products/experience-manager/apsb20-72.html
Adobe Lightroom に関するセキュリティアップデート公開 | APSB20-74
https://helpx.adobe.com/jp/security/products/lightroom/apsb20-74.html
Adobe Acrobat および Reader に関するセキュリティアップデート公開 | APSB20-75
https://helpx.adobe.com/jp/security/products/acrobat/apsb20-75.html
VI. 参考情報
- [JPCERT/CC]
インシデント報告対応レポート
https://www.jpcert.or.jp/ir/report.html
STOP! パスワード使い回し!
https://www.jpcert.or.jp/pr/stop-password.html
適切なパスワードの設定・管理方法について
https://www.jpcert.or.jp/newsflash/2018040401.html
ログを活用したActive Directoryに対する攻撃の検知と対策
https://www.jpcert.or.jp/research/AD.html
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
- [IPA]
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報
https://www.ipa.go.jp/security/announce/sw_security_info.html
年末年始における情報セキュリティに関する注意喚起
https://www.ipa.go.jp/security/topics/alert20201217.html
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email: ew-info@jpcert.or.jp