「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Microsoft「MSHTML」にゼロデイ脆弱性、Officeファイルを使った標的型攻撃も確認
~2021年9月の気になるセキュリティニュース~ セキュリティニュース

2021年10月11日

セキュリティニュース一覧

トピックスを紹介します。

Microsoft社は、細工されたMicrosoft Officeファイルを開くとコードを実行されるゼロデイ脆弱性についての情報を公開しました[1]。既に本脆弱性を悪用した標的型攻撃を確認しているとしています。今後、本脆弱性を悪用し、Microsoft Officeのファイルを用いた攻撃が増加する可能性もあるため、同社では利用企業に対し必要な回避策を適用することを推奨しています。

・Officeファイルを開くとコード実行されるゼロデイ脆弱性、すでに標的型攻撃に悪用も
Microsoft社は、Windowsに含まれるブラウザのレンダリングエンジン「MSHTML」にゼロデイ脆弱性(CVE-2021-40444)があることを公開しました。細工したActiveXコントロールが埋め込まれたOfficeファイルを開くと、リモートよりコードを実行されるおそれがあり、既に標的型攻撃による悪用も確認されているとしています[2]。9月の月例セキュリティ更新は、本脆弱性についても修正されており、同社では利用企業に対し、速やかに適用するよう呼びかけています[3]。

主なマルウェア・不正アクセス関連の記事を紹介します。

・オリンパス海外法人にサイバー攻撃
医療機器大手のオリンパス株式会社は、ヨーロッパや中東・アフリカ地域の同社サーバーへ外部からの不正アクセスが検出されたことを公表しました[4]。同社では、影響を受けたシステムの通信を遮断。調査の結果、製造・販売ネットワークの一部に影響を及ぼすマルウェアによるものだったことが判明したとしています。当該地域以外のシステムへの影響は確認されておらず、データの損失や不正使用、漏えいなどの痕跡は検出されていないとしています[5]。

・FortiGate VPNデバイスの認証情報 約8万7,000台分漏えいか
米Fortinet社は、「FortiGate」のSSL-VPNデバイスの認証情報約8万7,000台分が情報漏えいしたことを公表しました[6]。同社では、認証情報が漏えいした原因については、2019年に修正された脆弱性(CVE-2018-13379)をアップデートしていないシステムから窃取されたものとし、利用企業に対し速やかにアップデートを適用するよう呼びかけています[7]。

主要なOS、ミドルウェアにおけるインシデントを紹介します。

該当する製品を利用されている場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

・Microsoft MSHTMLの脆弱性(CVE-2021-40444)に関する注意喚起
JPCERTコーディネーションセンター(JPCERT/CC)は、Microsoft MSHTMLの脆弱性(CVE-2021-40444)に関する注意喚起を公開しました[8]。本脆弱性が悪用された場合、遠隔の第三者が、細工したMicrosoft Officeのファイルをユーザーに開かせることで、任意のコードを実行するなどの可能性があるとし、速やかに修正プログラムを適用するよう推奨しています。

・Ghostscriptの任意のコマンド実行が可能な脆弱性(CVE-2021-3781)に関する注意喚起
JPCERT/CCは、PostScriptファイルやPDFを処理するインタプリタ「Ghostscript」に、任意のコマンドを実行されるおそれがあるとして、注意喚起を公開しました[9]。同ソフトや依存するソフトウェアを利用している場合には、速やかに対策を講じるよう推奨しています[10]。

・Apache Tomcatにおけるサービス運用妨害(DoS)についての注意喚起
Japan Vulnerability Notes(JVN)は、Apache Tomcatの脆弱性に対するアップデートが公開されたことを発表しました[11]。本アップデートは既に3月にリリースされていますが、この脆弱性が悪用されると、遠隔の第三者によって細工されたパケットを受信させられた場合にサービス運用妨害(DoS)状態にされる可能性があるとし、利用企業に対し速やかにアップデートを適用するよう推奨しています。

・Confluence ServerおよびData Centerの脆弱性(CVE-2021-26084)に関する注意喚起
JPCERT/CCは、Confluence ServerおよびData Centerの脆弱性(CVE-2021-26084)に関する注意喚起を公開しました[12]。Atlassian社の業務支援ソフトウェア「Confluence」において、8月下旬に修正された脆弱性が悪用されており、認証を必要とせず任意のコードを実行されるおそれがあるとし、速やかにアップデートを適用するよう推奨しています[13][14]

その他、政府・業界動向などに関連する記事を紹介します。

・警察庁、令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について発表
警察庁は、令和3年(2021年)上半期におけるサイバー空間をめぐる脅威の情勢等について発表しました[15]。ランサムウェアによる被害やサイバー攻撃の増加など、サイバー空間をめぐる脅威は、極めて深刻な情勢が続いているとしています。警察では引き続き、注意喚起や不正サイトの検挙、サイバー攻撃発生を想定した訓練などのさまざまなサイバーセキュリティ対策を推進し、国家の関与が疑われるケースの解明などにも、力を入れる方針としています。

出典

最後に

本記事は、2021年9月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ