セキュリティホール memo - 2015.06

Last modified: Mon Mar 30 12:18:31 2015 +0900 (JST)


 このページの情報を利用される前に、注意書きをお読みください。


2015.06.30

追記

2015 年 5 月のマイクロソフト セキュリティ情報の概要 (2015.05.18)

 更新プログラム 3045171 (MS15-044 / MS015-051) で不具合が出ていたんですね。

  • このセキュリティ更新プログラム (3045171) をインストールした後で、Windows 7 以前のバージョンの Windows が搭載されているコンピューターで Windows GDI+ を使用してテキスト アウトラインベースのパス オブジェクトを作成すると、クラッシュします。

    この問題を解決するには、更新プログラム 3065979 をインストールします。

  • Windows Vista または Windows Server 2008 を搭載しているコンピューターにこのセキュリティ更新プログラムをインストールした後で、[サービス] Microsoft 管理コンソール (MMC) で [FontCache] サービスに関する次のようなエラー メッセージが表示されることがあります。

    説明を読むことができません。エラー コード: 15100

    [サービス] MMC の [FontCache] サービスを開くと、次のようなエラー メッセージが表示されることがあります。

    Configuration Manager: 一般的なエラーが発生しました。
    リソース ローダーが MUI ファイルを見つけることができません

    この問題を解決するには、更新プログラム 971512 をインストールします。

 関連:


2015.06.29


2015.06.26


2015.06.25

Wireshark 1.12.6 Release Notes
(Wireshark, 2015.06.17)

 Wireshark 1.12.6 公開。2 件のセキュリティ欠陥が修正されています。水野さん情報ありがとうございます。

 Wireshark 2 に向けての開発版 Wireshark 1.99.7 も公開されてますね。

ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した
(徳丸浩の日記, 2015.06.25)

 メールアドレスの打ち間違いは、割とありますからねえ……。

追記

OpenSSL Security Advisory [11 Jun 2015] (2015.06.17)

 OpenSSL 1.0.1n と 1.0.2b における HMAC ABI の互換性に問題があり、 OpenSSL 1.0.1o と 1.0.2c が 2015.06.12 付で公開されていました。


2015.06.24

いろいろ (2015.06.24)
(various)

Symantec Data Loss Prevention

ePO

Symfony

ESET アンチウイルス製品

cURL

APSB15-14 - Security updates available for Adobe Flash Player
(Adobe, 2015.06.23)

 Flash Player に 0-day 欠陥 CVE-2015-3113。Windows 7 以前用の IE、および Windows XP 用の Firefox に対する、限定的な標的型攻撃が確認されている。 Priority rating は Linux 版 Flash Player が 3、他は 1。

 更新版が公開されている。

プラットホーム バージョン
Desktop Runtime (Windows, Mac) 18.0.0.194
Extended Support Release (Windows, Mac) 13.0.0.296
Linux 11.2.202.468
Google Chrome 18.0.0.194
Windows 8 / Server 2012 / RT の Internet Explorer 10 18.0.0.194
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 18.0.0.194

 関連:

2015.07.01 追記:

 関連:


2015.06.23

Chrome Stable Update
(Google, 2015.06.22)

 Chrome 43.0.2357.130 公開。少なくとも 4 件のセキュリティ修正を含む。


2015.06.22


2015.06.20

SYM15-005 - Security Advisories Relating to Symantec Products - Symantec Endpoint Protection Manager and Client Issues
(Symantec, 2015.06.17)

 Symantec Endpoint Protection (SEP) 12.1.5 (12.1 RU5) 以前に複数の欠陥。 SEP x 2、SEP Manager x 1。

 SEP 12.1.6 (12.1 RU6) で修正されている。

追記

APSB15-11 - Security updates available for Adobe Flash Player (2015.06.10)

 CVE-2015-3105 が悪用されているそうです。

いろいろ (2015.06.19) - CUPS


2015.06.19

追記

Samsung Galaxyに深刻な脆弱性、6億台に影響か (2015.06.17)

 関連:

いろいろ (2015.06.19)
(various)

Cacti

CUPS

2015.06.20 追記:

Drupal

rsyslog

PHP

OSSEC

Paperclip


2015.06.18

Duqu 2.0 の存在を確認、Kaspersky に侵入、Foxconn の証明書を使用
(various, 2015.06.11)

 Kaspersky:

 関連:

水面下で侵攻するサイバースパイ活動急増に関する注意喚起
(LAC, 2015.06.16)

 Emdivi の件。

当社調査によると、Emdiviによる感染被害は最近始まったのではなく、昨年末より徐々に増え始めました。(中略) 当社が調査した案件では、感染時期は昨年末とみられるケースがほとんどであり、感染してから数ヶ月して発見されたことになります。このことを踏まえると、日本国内において、「Emdivi」に感染していながらまだ気付いていない企業が多く存在している可能性があります。実際に、サイバー攻撃の被害を検知した公的機関(警察やJPCERT/CCなど)から指摘を受けて初めてサイバー攻撃の被害を受けたことに気付いたと推測される報道も急増していることからも、その実態をうかがい知ることができます。

 半年が経過して、徐々に実態が明らかになってきていると。

 関連:

2015.06.29 追記:

 【注意喚起】潜伏しているかもしれないウイルスの感染検査を今すぐ! (IPA, 2015.06.29)


2015.06.17

OpenSSL Security Advisory [11 Jun 2015]
(OpenSSL, 2015.06.11)

 OpenSSL 0.9.8zg, 1.0.0s, 1.0.1n, 1.0.2b 公開。 iida さん情報ありがとうございます。

概要 CVE 0.9.8zg 1.0.0s 1.0.1n 1.0.2b 注記
DHE man-in-the-middle protection (Logjam) CVE-2015-4000 N/A N/A 768 ビットよりも小さい DH パラメータでのハンドシェイクを拒否するようになった
Malformed ECParameters causes infinite loop CVE-2015-1788 欠陥があるのは OpenSSL 0.9.8r / 1.0.0d 以前と 1.0.[12] 系列
Exploitable out-of-bounds read in X509_cmp_time CVE-2015-1789
PKCS7 crash with missing EnvelopedContent CVE-2015-1790
CMS verify infinite loop with unknown hash function CVE-2015-1792
Race condition handling NewSessionTicket CVE-2015-1791
Invalid free in DTLS CVE-2014-8176 N/A

 OpenSSL 0.9.8 系および 1.0.0 系のサポートは 2015.12.31 まで。

 関連:

2015.06.25 追記:

 OpenSSL 1.0.1n と 1.0.2b における HMAC ABI の互換性に問題があり、 OpenSSL 1.0.1o と 1.0.2c が 2015.06.12 付で公開されていました。

追記

TLSに新たな脆弱性「Logjam」、多数のサーバーや主要ブラウザーに影響 (2015.05.21)

 OpenSSL Security Advisory [11 Jun 2015] (OpenSSL, 2015.06.11)。OpenSSL 1.0.1n, 1.0.2b で修正されました。

OpenSSL has added protection for TLS clients by rejecting handshakes with DH parameters shorter than 768 bits. This limit will be increased to 1024 bits in a future release.

APSB15-13 - Security update available for Adobe Bridge CC
(Adobe, 2015.06.16)

 Windows 版および Mac 版の Adobe Bridge CC 6.1 以前に 3 つの欠陥 CVE-2015-3110 CVE-2015-3111 CVE-2015-3112 。いずれも任意のコードの実行を招く。Priority rating: 3

 Adobe Bridge CC 6.1.1 で修正されている。

 日本語版: APSB15-13 - Adobe Bridge CC用セキュリティアップデート公開 (Adobe)

APSB15-12 - Security update available for Adobe Photoshop CC
(Adobe, 2015.06.16)

 Windows 版および Mac 版の Adobe Photoshop CC 2014.2.2 (15.2.2) 以前に 4 つの欠陥 CVE-2015-3109 CVE-2015-3110 CVE-2015-3111 CVE-2015-3112 。いずれも任意のコードの実行を招く。Priority rating: 3

 最新の Photoshop CC 2015.0.0 (16.0) で修正されている。 関連:

 日本語版: APSB15-12 - Adobe Photoshop CC用セキュリティアップデート公開 (Adobe)

Samsung Galaxyに深刻な脆弱性、6億台に影響か
(ITmedia, 2015.06.17)

 Samsung Galaxy S6, S5, S4, S4 Min にプリインストールされている SwiftKey 製のキーボードアプリケーションに欠陥。キーボードの更新が HTTP で行われ、署名検証も不十分なため、これを悪用することで、remote からシステム権限で任意のコードを実行できる。

 当該キーボードアプリケーションをアンインストールすることはできない。

 Samsung は既に patch を各携帯電話会社に送付しているそうだが、 対応がそこで止まってしまっている模様。

2015.06.19 追記:

 関連:

2015.07.01 追記:

 JVNVU#94598171: Samsung Galaxy S にプリインストールされた Swiftkey が言語パックのアップデートを正しく検証しない脆弱性 (JVN) が 2015.06.30 付で改訂された。

国内携帯大手 3社によると、3社で販売している日本国内向けのこれらの製品は、本脆弱性の影響を受けないとのことです。

2015.06.16

 リハビリ中。


2015.06.15

 リハビリ中。

いろいろ (2015.06.15)
(various)

Ask Toolbar

FFmpeg

VMware Workstation, Fusion, Horizon View Client


2015.06.10

いろいろ (2015.06.10)
(various)

一部の Mac (Mac Pro Late 2013, MacBook Pro Mid 2012 等)

 スタンバイモード (S3 sleep state) から復帰する時の処理に欠陥があり、BIOS ロックが無効になる。そのため、BIOS に bootkit を植えつけることが可能に。

APSB15-11 - Security updates available for Adobe Flash Player
(Adobe, 2015.06.09)

 Flash Player / AIR 新版 18.x 公開。Flash Player の計 13 件のセキュリティ欠陥 CVE-2015-3096 CVE-2015-3097 CVE-2015-3098 CVE-2015-3099 CVE-2015-3100 CVE-2015-3101 CVE-2015-3102 CVE-2015-3103 CVE-2015-3104 CVE-2015-3105 CVE-2015-3106 CVE-2015-3107 CVE-2015-3108 を修正。0-day はないみたい。 Priority rating は Linux 版 Flash Player と AIR が 3、他は 1。

プラットホーム バージョン
Desktop Runtime (Windows, Mac) 18.0.0.160
Extended Support Release (Windows, Mac) 13.0.0.292
Linux 11.2.202.466
Google Chrome 18.0.0.160 (Windows, Linux)
18.0.0.161 (Mac)
Windows 8 / Server 2012 / RT の Internet Explorer 10 18.0.0.160
Windows 8.1 / Server 2012 R2 / RT 8.1 の Internet Explorer 11 18.0.0.160
AIR Desktop Runtime 18.0.0.143 (Mac)
18.0.0.144 (Windows)
AIR SDK 18.0.0.143 (Mac)
18.0.0.144 (Windows)
AIR SDK & Compiler 18.0.0.143 (Mac)
18.0.0.144 (Windows)
AIR for Android 18.0.0.143

 関連:

2015.06.20 追記:

 CVE-2015-3105 が悪用されているそうです。


2015.06.09


2015.06.08

いろいろ (2015.06.08)
(various)

Django

マカフィー ePolicy Orchestrator


2015.06.05

追記

PostgreSQL 9.4.2, 9.3.7, 9.2.11, 9.1.16, and 9.0.20 released! (2015.05.22)


2015.06.04


2015.06.03

追記

[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用  ルール上は「個人情報の格納は原則禁止」 (2015.06.02)

 日本年金機構の情報漏えい、本当に必要な再発防止策とは? (@IT, 2015.06.03)。高橋睦美記者。

 元々年金加入者に関する個人情報は、基幹システム(社会保険オンラインシステム)上でのみ扱われる原則となっていた。やむを得ず、インターネットと接続可能な情報系システムにCD-ROMを用いてコピーする際には、パスワードを使って保護するというポリシーが設けられていたという。
 しかし、このポリシーを実施するかどうかは現場の担当者に委ねられ、システム的に担保する仕組みとはなっていなかった。もし例外的な運用が常態化するのであれば、ポリシーが強制的(自動的)に実行されるシステムを、相応の投資をしてでも導入すべきだろう。あるいは、目的と利便性のバランスが取れるようにポリシーそのものを見直すか、運用手順や業務プロセスの方を見直し、ルールを実態に即したものとしていくべきところだ。だが複数の報道によると、「なぜそのポリシーがあるのか」という目的(例えば「個人情報を守るため)を理解した上で運用されておらず、ポリシーが形骸化していた恐れがある。

いろいろ (2015.06.03)
(various)

Hola

Android WebView

PCRE

Blue Coat SSL Visibility Appliance


2015.06.02

[続報]日本年金機構、ファイル共有サーバーを5年以上前から運用  ルール上は「個人情報の格納は原則禁止」
(日経 IT Pro, 2015.06.02)

 うわー……

 基幹システムから個人情報を抽出するには、権限のある職員による申請が必要だった。抽出データは暗号化された上でCD-ROMに格納されて職員に渡されていたという。同機構は回答を控えたが、職員がパソコンでCD-ROMの内容を複合し、ファイル共有サーバーに移していたと見られる。

 これ、まんま、JCO のバケツじゃん……

2015.06.03 追記:

 日本年金機構の情報漏えい、本当に必要な再発防止策とは? (@IT, 2015.06.03)。高橋睦美記者。

 元々年金加入者に関する個人情報は、基幹システム(社会保険オンラインシステム)上でのみ扱われる原則となっていた。やむを得ず、インターネットと接続可能な情報系システムにCD-ROMを用いてコピーする際には、パスワードを使って保護するというポリシーが設けられていたという。
 しかし、このポリシーを実施するかどうかは現場の担当者に委ねられ、システム的に担保する仕組みとはなっていなかった。もし例外的な運用が常態化するのであれば、ポリシーが強制的(自動的)に実行されるシステムを、相応の投資をしてでも導入すべきだろう。あるいは、目的と利便性のバランスが取れるようにポリシーそのものを見直すか、運用手順や業務プロセスの方を見直し、ルールを実態に即したものとしていくべきところだ。だが複数の報道によると、「なぜそのポリシーがあるのか」という目的(例えば「個人情報を守るため)を理解した上で運用されておらず、ポリシーが形骸化していた恐れがある。

追記

ロジテック製300Mbps無線LANブロードバンドルータ (LAN-W300N/R、LAN-W300N/RS、LAN-W300N/RU2) に関するお詫びとお願い (2012.05.17)


2015.06.01

日本年金機構から個人情報 125 万件が流出
(various, 2015.06.01)

 随時更新中。

 警告: ふつうの人は、日本年金機構の情報漏えいについてまとめてみた (piyolog, 2015.06.01) を読んだ方が遥かに有益。

流出経緯

流出した情報

内容 件数 人数
基礎年金番号、氏名 約 31,000 件 [a] 調査中 [ko1]
基礎年金番号、氏名、生年月日 約 1,167,000 件 [a] 調査中 [ko1]
基礎年金番号、氏名、生年月日、住所 約 52,000 件 [a] 受給者 9,000 人、被保険者 7,000 人 [ko1]

 注記:

timeline

日付 できごと
2015.05.08 最初の感染 [5][6][8]
NISC から [ko1] 「パソコンが外部と不正な通信をしている」と連絡が [8]。
当該 PC の利用を停止、システムから切り離し [8]
しかし既に個人情報へアクセスされていた
2015.05.18 まで 同様のメールが大量に [4][8] / 十数件 [5] 届き、 最初に開封した職員とは別の複数の職員が開封 [4] / 1 件を別の職員が開封 [7]
再び不正アクセスされる
2015.05.19 警視庁に捜査を依頼 [1]
2015.05.28 警視庁から「ここにこういう情報がある」という連絡があり [ko1] 情報流出が判明 [1]
担当大臣に情報が上がる (5/28 夕) [ko1]
2015.05.29 厚生労働委員会が開催されるが情報は公開されず
厚生労働省 → 内閣官房 → 総務省に報告 (住基ネットへの影響懸念) (5/29 夜) [ko1]
2015.06.01 情報公開

日本年金機構の対応

政府の対応

国会の対応

問いあわせ窓口

日本年金機構 オフィシャル

  1. 日本年金機構の個人情報流出について (日本年金機構, 2015.06.01)

政府機関

  1. サイバーセキュリティ対策推進会議(CISO等連絡会議) 第3回会合(平成27年6月1日)

  2. 日本年金機構の個人情報流出について (厚生労働省)

報道等

  1. 日本年金機構:個人情報125万件流出 ウイルスメールで (毎日, 2015.06.01)

  2. 住所など125万件の個人情報が流出--日本年金機構 (ZDNet, 2015.06.01)

  3. 日本年金機構にサイバー攻撃、ファイル共有サーバーから125万件の年金情報が流出 (日経 IT Pro, 2015.06.01)

  4. 年金情報125万件流出 大量メールで不正アクセス 警視庁捜査 (産経, 2015.06.01)

  5. 日本年金機構:生年月日や住所も…情報流出3種125万件 (毎日, 2015.06.01)

  6. 不正アクセスで年金情報125万件が流出か (NHK, 2015.06.01)

  7. 年金個人情報125万件流出…職員がメール開封 (読売, 2015.06.01)

  8. 年金システム、件名偽装メールから感染 個人情報流出 (朝日, 2015.06.02) (朝日新聞 2015.06.02 朝刊 2 面)

  9. 年金情報流出で苦情殺到「見込み甘かった」 体制拡充へ (朝日, 2015.06.02)

  10. 2ch.net

  11. 年金に広がる不安 問い合わせ・苦情15万件超 (中日, 2015.06.03)

  12. 日本年金機構 問い合わせ対応強化へ (NHK, 2015.06.03)

  13. 年金情報流出:遮断遅れ感染拡大 新種ウイルス検知できず (毎日, 2015.06.01)

  14. [続報]日本年金機構、ファイル共有サーバーを5年以上前から運用  ルール上は「個人情報の格納は原則禁止」 (日経 IT Pro, 2015.06.02)

  15. 年金個人情報流出 都内会社サーバー経由か (NHK, 2015.06.02)

  16. 年金情報“流出” 不審メールの内容入手 (NNN / Yahoo, 2015.06.03)

  17. 個人情報流出、4日間公表遅らす 年金機構・厚労省 (朝日, 2015.06.03)

  18. 年金機構への不正メール 少なくとも2種類 (NHK「かぶん」ブログ, 2015.06.03)

  19. 年金情報流出:不審メール4種類 件名周知、感染17日後 (毎日, 2015.06.03)

  20. 日本年金機構への標的型メール、複数の職員を直接攻撃  機構のなりすましメールに注意 (日経 IT Pro, 2015.06.03)

  21. 日本年金機構、標的型攻撃で年金情報流出  社保庁時代からの情報共有方法があだに (日経 IT Pro, 2015.06.04)

  22. 「異常通信」 大臣報告20日前に連絡 (NHK, 2015.06.04)

  23. 年金情報流出 非公開アドレスに100通のメール (NHK, 2015.06.04)

  24. 年金情報流出:感染対策、時代遅れ 確認後もネット接続/パスワードなし (毎日, 2015.06.04)

  25. 年金情報流出:感染10日後、機構に不審メール100通 (毎日, 2015.06.04)

  26. 年金情報流出、PW設定1%未満 ずさんな管理浮き彫り (朝日, 2015.06.04)

関連ツイート


[セキュリティホール memo]
[私について]