2019年3月30日、セキュリティリサーチャのJames Lee氏によって現行バージョンのMicrosoft EdgeおよびInternet Explorerのゼロデイ脆弱性が報告されました。これらの脆弱性は「同一生成元ポリシー違反」と呼ばれるもので、不正なWebサイトに埋め込まれたJavaScriptが、ユーザが訪問した別のWebサイトに関連した情報を収集することが可能になります。ユーザがMicrosoft EdgeまたはInternet Explorerを使用して不正なWebサイトを訪問した場合、これらの脆弱性が利用され、ブラウザのセッションに関する機密情報が攻撃者に転送される恐れがあります。Lee氏はそれぞれの脆弱性に対する簡単な概念実証(Proof of Concept、PoC)サイトも公開しています。
続きを読むMicrosoft社は、2017年4月12日(日本時間)、月例のセキュリティ更新プログラムを公開しました。この更新プログラムに含まれる脆弱性の中でも、特に Microsoft Office の脆弱性「CVE-2017-0199」に関しトレンドマイクロでは、4月10日以降にゼロデイ攻撃が発生していたことを確認しています。脆弱性を攻撃する RTF形式文書ファイルを添付したメールが海外を中心に拡散していました。
図1:全世界における「CVE-2017-0199」の脆弱性攻撃ファイルが添付されたメールの通数推移
(トレンドマイクロ「Smart Protection Network(SPN)」による)
Microsoft Internet Information Services(IIS)6.0 に、バッファオーバーフローのゼロデイ脆弱性「CVE-2017-7269」が確認されました。PROPFIND リクエストのヘッダー「IF」の検証不備に起因するものです。
続きを読むゼロデイ脆弱性を利用する攻撃ツールは、その脆弱性が修正されればたちまち威力を失います。攻撃者は、更新プログラムが公開されてしまう前に、自身の攻撃ツールを最大限に活用しようと考えるようです。そのような例として、トレンドマイクロは、2016年10月末と 11月初旬に、諜報活動を目的とした集団「Pawn Storm」が、世界中の政府機関や大使館を狙った標的型攻撃を活発化するのを確認しました。標的型サイバー攻撃キャンペーン活動で知られる Pawn Storm は、「Fancy Bear」、「APT28」、「Sofacy」、「STRONTIUM」という別名でも知られています。Pawn Storm は、Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2016-7855」を、Microsoft Windows のオペレーティングシステム(OS)の抱える権限昇格の脆弱性「CVE-2016-7255」と組み合わせて攻撃に利用します。なお、「CVE-2016-7855」の更新プログラムは 2016年10月26日に、「CVE-2016-7255」の更新プログラムは 2016年11月8日に公開されました。
続きを読むAdobe は、2016年10月26日(米国時間)、同社製品 Flash Player に存在するゼロデイ脆弱性「CVE-2016-7855」に対応する定例外更新プログラムを緊急に公開しました。同社セキュリティ情報「APSB16-36」によると、問題の脆弱性の影響を受けるバージョンは、今月11日にリリースされた 23.0.0.185、およびそれ以前のバージョンとなります。詳細は、以下の通りとなります。
影響を受ける OS:Windows、Macintosh、Linux、Chrome OS
23.0.0.185 以前のバージョン
- Adobe Flash Player Desktop Runtime
- Adobe Flash Player for Microsoft Edge and Internet Explorer 11
- Adobe Flash Player for Google Chrome
11.2.202.637 以前のバージョン
- Adobe Flash Player for Linux
同社製品の利用者は、直ちに更新プログラムを適用してください。
続きを読む2016年9月12日、MySQL に存在する深刻な脆弱性が個人のリサーチャーにより公表されました。MySQL は、オープンソースで公開されているデータベース管理システム(Database Management System、DBMS)で、多くの企業や組織がバックエンドデータベースや Webサイトの管理に使用しています。公表の際、脆弱利用の概念実証(Proof of Concept、POC)コードも提供されました。
この脆弱性は、今回確認された2つの深刻な欠陥の内の1つで、「CVE-2016-6662」として識別されています。この脆弱性が悪用されると、攻撃者は、権限を取得せずに MySQLの環境設定ファイルを作成でき、効率的なサーバ乗っ取りが可能になります。もう1つの脆弱性「CVE-2016-6663」の詳細はまだ公表されていません。
続きを読むAdobeは、2016年4月5日(米国時間)、セキュリティアドバイザリを公開。4月7日(米国時間)、Adobe Flash Player に存在するゼロデイ脆弱性「CVE-2016-1019」に対応する緊急の更新プログラムをリリースしました。問題の脆弱性の影響を受けるバージョンは、20.0.0.306およびそれ以前のバージョンとなり、トレンドマイクロでは、脆弱性攻撃ツール(エクスプロイトキット)である「Magnitude Exploit Kit」が攻撃に利用可能であることも確認しています。利用者は、直ちに更新プログラムを適用してください。
続きを読むトレンドマイクロは、2014年10月に標的型サイバー攻撃キャンペーン「Pawn Storm 作戦」を報告しました。この作戦は、遅くとも 2007年頃から活動していると弊社の調査から明らかになっています。
今回、「Pawn Storm 作戦」を仕掛ける攻撃者が Adobe Flash Player に存在するゼロデイ脆弱性を自身の攻撃に利用していることを確認しました。問題のゼロデイ脆弱性は、いまだ更新プログラムがリリースされておらず、Adobe Flash Player は、現時点では、この攻撃に対して脆弱な状況にあります。
続きを読むイタリア企業「Hacking Team」への攻撃で漏えいした情報から、トレンドマイクロは、Windows に存在する新たなゼロデイ脆弱性を確認しました。弊社から報告を受けた Microsoft は、その後、定例外のセキュリティ情報となる「MS15-078」で、この脆弱性「CVE-2015-2426」を修正する更新プログラムを公開しました。この脆弱性は、Windows Vista、Server 2008以降のサポート中のすべてのバージョンに影響を与えます。セキュリティ情報によると、この脆弱性を利用することにより、権限昇格の他、任意のコードが実行される恐れがあります。なお、今回の更新プログラムは、すでに公開された「MS15-077」の置き換えとなります。「MS15-077」は、今回の更新プログラムでは対象外の Windows Server 2003 が含まれているため、この更新により、サポートが終了したサーバ用OS も危険にさらされる可能性があります。
続きを読む2015年7月、イタリア企業「Hacking Team」が攻撃を受け、大量の機密情報が漏えいした事例で、Adobe Flash Player に存在するゼロデイ脆弱性はすでに 3件が確認されていますが、今回、Internet Explorer(IE)に存在する脆弱性が新たに確認されました。Microsoft は、この脆弱性を確認しており、2015年7月の定例セキュリティ情報で、この脆弱性に対する更新プログラムを「MS15-65」で公開しました(「CVE-2015-2425」)。なお、トレンドマイクロは、「Proof-of-concept(PoC、概念実証型エクスプロイト。実際に有効な攻撃ができることを実証している攻撃コード)」を確認していますが、この脆弱性を利用した攻撃は今のところ確認していません。
続きを読む