-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2020-1701 JPCERT/CC 2020-04-30 <<< JPCERT/CC WEEKLY REPORT 2020-04-30 >>> ―――――――――――――――――――――――――――――――――――――― ■04/19(日)〜04/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】OpenSSL に NULL ポインタ参照の脆弱性 【2】複数の Microsoft 製品にリモートコード実行の脆弱性 【3】Google Chrome に複数の脆弱性 【4】東芝デバイス&ストレージ株式会社製品向けのパスワードツールに脆弱性 【5】複数のシャープ製 Android 端末に情報漏えいの脆弱性 【6】CISA ICS が公開した制御システムの脆弱性 【今週のひとくちメモ】仮想通貨を要求する不審な脅迫メールに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2020/wr201701.html https://www.jpcert.or.jp/wr/2020/wr201701.xml ============================================================================ 【1】OpenSSL に NULL ポインタ参照の脆弱性 情報源 US-CERT Current Activity OpenSSL Releases Security Update https://www.us-cert.gov/ncas/current-activity/2020/04/22/openssl-releases-security-update 概要 OpenSSL には、NULL ポインタ参照の脆弱性があります。結果として、遠隔の 第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - OpenSSL 1.1.1d - OpenSSL 1.1.1e - OpenSSL 1.1.1f この問題は、OpenSSL を OpenSSL Project が提供する修正済みのバージョン に更新することで解決します。詳細は、OpenSSL Project が提供する情報を参 照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97087254 OpenSSL における NULL ポインタ参照の脆弱性 https://jvn.jp/vu/JVNVU97087254/ JPCERT/CC 注意喚起 OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起 https://www.jpcert.or.jp/at/2020/at200018.html 関連文書 (英語) OpenSSL Project OpenSSL Security Advisory [21 April 2020] https://www.openssl.org/news/secadv/20200421.txt 【2】複数の Microsoft 製品にリモートコード実行の脆弱性 情報源 US-CERT Current Activity Microsoft Releases Security Updates for Multiple Products https://www.us-cert.gov/ncas/current-activity/2020/04/22/microsoft-releases-security-updates-multiple-products 概要 複数の Microsoft 製品には、特別に細工された 3D コンテンツを処理すると きにリモートでコードが実行される脆弱性があります。結果として、遠隔の第 三者がローカルユーザと同等の権限を取得するなどの可能性があります。 対象となる製品は次のとおりです。 - Microsoft Office 2019 for 32-bit editions - Microsoft Office 2019 for 64-bit editions - Office 365 ProPlus for 32-bit Systems - Office 365 ProPlus for 64-bit Systems - Paint 3D - 3D Viewer この問題は、Microsoft が提供する更新プログラムを適用するか、当該製品を 修正済みのバージョンに更新することで解決します。詳細は、Microsoft が提 供する情報を参照してください。 関連文書 (日本語) マイクロソフト株式会社 ADV200004 | Autodesk FBX ライブラリを利用する Microsoft ソフトウェアの更新プログラムのリリース https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200004 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Google Releases Security Updates for Chrome https://www.us-cert.gov/ncas/current-activity/2020/04/22/google-releases-security-updates-chrome 概要 Google Chrome には、複数の脆弱性があります。 対象となるバージョンは次のとおりです。 - Google Chrome 81.0.4044.122 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョンに更 新することで解決します。詳細は、Google が提供する情報を参照してくださ い。 関連文書 (英語) Google Stable Channel Update for Desktop https://chromereleases.googleblog.com/2020/04/stable-channel-update-for-desktop_21.html 【4】東芝デバイス&ストレージ株式会社製品向けのパスワードツールに脆弱性 情報源 Japan Vulnerability Notes JVN#13467854 東芝デバイス&ストレージ株式会社製品によって登録される Windows サービスの実行ファイルパスが引用符で囲まれていない脆弱性 https://jvn.jp/jp/JVN13467854/ 概要 東芝デバイス&ストレージ株式会社が提供する一部のアプリケーションは、 Windows サービスに登録する実行ファイルパスを引用符で囲んでいません。結 果として、第三者が当該サービスの権限で不正なファイルを実行する可能性が あります。 対象となる製品およびバージョンは次のとおりです。 - 次の製品に搭載および 2020年3月10日以前にダウンロードされた Windows 用パスワードツールのバージョン 1.20.6620 およびそれ以前 - CANVIO PREMIUM 3TB - HD-MB30TY - HD-MA30TY - HD-MB30TS - HD-MA30TS - CANVIO PREMIUM 2TB - HD-MB20TY - HD-MA20TY - HD-MB20TS - HD-MA20TS - CANVIO PREMIUM 1TB - HD-MB10TY - HD-MA10TY - HD-MB10TS - HD-MA10TS - CANVIO SLIM 1TB - HD-SB10TK - HD-SB10TS - CANVIO SLIM 500GB - HD-SB50GK - HD-SA50GK - HD-SB50GS - HD-SA50GS この問題は、該当製品を東芝デバイス&ストレージ株式会社が提供する修正済 みのバージョンに更新するか、回避策を適用することで解決します。詳細は、 東芝デバイス&ストレージ株式会社が提供する情報を参照してください。 関連文書 (日本語) 株式会社東芝 TDSCSA00699-01:CANVIO シリーズのWindows 用パスワードツールによって登録されるWindows サービスの実行ファイルパスが引用符で囲まれていない脆弱性について https://www.canvio.jp/news/20200420.htm 【5】複数のシャープ製 Android 端末に情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#93064451 複数のシャープ製 Android 端末における情報漏えいの脆弱性 https://jvn.jp/jp/JVN93064451/ 概要 複数のシャープ製 Android 端末には、情報漏えいの脆弱性があります。結果 として、第三者が当該製品内の機微な情報を窃取する可能性があります。 対象となる製品およびバージョンは次のとおりです。 - AQUOS SH-M02 ビルド番号 01.00.05 およびそれ以前 - AQUOS SH-RM02 ビルド番号 01.00.04 およびそれ以前 - AQUOS mini SH-M03 ビルド番号 01.00.04 およびそれ以前 - AQUOS ケータイ SH-N01 ビルド番号 01.00.01 およびそれ以前 - AQUOS L2 (UQ mobile/J:COM) ビルド番号 01.00.05 およびそれ以前 - AQUOS sense lite SH-M05 ビルド番号 03.00.04 およびそれ以前 - AQUOS sense (UQ mobile) ビルド番号 03.00.03 およびそれ以前 - AQUOS compact SH-M06 ビルド番号 02.00.02 およびそれ以前 - AQUOS sense plus SH-M07 ビルド番号 02.00.02 およびそれ以前 - AQUOS sense2 SH-M08 ビルド番号 02.00.05 およびそれ以前 - AQUOS sense2 (UQ mobile) ビルド番号 02.00.06 およびそれ以前 この問題は、該当製品をシャープ株式会社が提供する修正済みのバージョンに 更新することで解決します。詳細は、シャープ株式会社が提供する情報を参照 してください。 関連文書 (日本語) シャープ株式会社 弊社が製造した一部のスマートフォン・携帯電話をご利用のお客様へ https://k-tai.sharp.co.jp/support/info/info036.html 【6】CISA ICS が公開した制御システムの脆弱性 情報源 CISA ICS ICS-CERT Advisories https://www.us-cert.gov/ics/advisories 概要 CISA ICS は、制御システムの脆弱性情報を公開しました。 対象となる製品は次のとおりです。 - Inductive Automation - Ignition 8 Gateway 影響を受ける製品のバージョンや脆弱性の詳細は、CISA ICS が提供するアド バイザリ情報や開発者の情報を参照してください。 関連文書 (英語) ICS Advisory (ICSA-20-112-01) Inductive Automation Ignition https://www.us-cert.gov/ics/advisories/icsa-20-112-01 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○仮想通貨を要求する不審な脅迫メールに注意 2020年4月前半より、JPCERT/CC は、仮想通貨を要求する不審な脅迫メールを 受信したとの報告を受けています。メールには、メール受信者が実際に使用し ているパスワードが記述されており、仮想通貨を支払うよう脅迫しています。 こうしたメールは、2018年から観測されており、過去には日本語を含むものな ど様々な種類が確認されています。 このようなメールを受信した場合は攻撃者の要求には応じず、冷静に対応を行っ てください。また、メール本文で示されているパスワードを実際に使用してい るサービスがある場合、異なるパスワードを再設定したり、ログイン履歴を確 認したりするなどしてください。 参考文献 (日本語) JPCERT/CC CyberNewsFlash 仮想通貨を要求する不審な脅迫メールについて https://www.jpcert.or.jp/newsflash/2018080201.html JPCERT/CC CyberNewsFlash 仮想通貨を要求する日本語の脅迫メールについて https://www.jpcert.or.jp/newsflash/2018091901.html 参考文献 (英語) US-CERT Current Activity IC3 Releases Alert on Extortion Email Scams https://www.us-cert.gov/ncas/current-activity/2020/04/21/ic3-releases-alert-extortion-email-scams ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJeqhaGAAoJEKntH+qu5CT/YQ8P/i3ytWrFTh9Y9tkzsN0B85rK oo4tjjaGYGpCH9+gcoDdMpsVkp82bdcp6cFqV1uwYke/gQEgn842y5jN8w6OQPlU QshHyx4EaScfUYLTirbL57nn20RhH29INNqify5Y0rPoYQHGwEF6oSa6ThyXAyJV +V7cHU9haFPN0xV80lL3eM+7ezmXHUKlnv8zyMQrQGNQH15ERjPypfm4nIdxgAYC FQoP6TOhJcYhC3qh6Mg4H+LT8ynO+mamQosY4RaD5/ynEZxlBwdpBAjyAtJs24CT zOCVXjNkSC/KVWnMLI6ZaL5jddLKHZ14jLc+63jI+8N3hY/29rhBTPP04W+RF6hM TNsB1hlDxuTkewTo4YFsM2iQb3dI4hJHidURibAKQU/4rr+WaNgKMf0JVaS1swKG /B8JNPyC9OTkfH88oCz1QCFGP6mOE7E3S6K6GOAa2t0DCCwSnb28j4VNwZ5PLSvs nbZ74TedsOPac01qwqLvny4fhtfnOm/W5UZXFKkX/1kcOtprig9DTsUdKBZLBdmx 3TwNt9G7uB0SEwEg92xM93Rfv7e5ORb28qvXrrdC0M/yHYjpQwmLIRUAl8+KaSKP 5V8iUWQvaKvwW71IcHIUzcc3vxq80qObm1USkYgTIjK9yy388HjFA4liZAaSz9lU 4rS4LrX6oCeXgJYIIWCa =0rGE -----END PGP SIGNATURE-----