セキュリティセキュリティ
2023年3月 セキュリティ情報(Microsoft Outlook の脆弱性[CVE-2023-23397]など)
目次
ご挨拶
「セキュリティの町医者」を目指している三浦です。早速ですが、2023年3月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Microsoft Outlook Elevation of Privilege Vulnerability [CVE-2023-23397])
一次情報元(引用元) | https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23397 https://msrc.microsoft.com/update-guide/ja-JP/vulnerability/CVE-2023-23397 |
その他、情報ソース | https://www.cybersecurity-help.cz/vdb/SB2023031428 https://msrc.microsoft.com/blog/2023/03/microsoft-mitigates-outlook-elevation-of-privilege-vulnerability/ |
情報公開日 | 2023/3/14(現地時間) |
CVE番号及び深刻度 | CVE番号:CVE-2023-23397 深刻度:Critical (CVSSv3.1スコア 9.8) |
脆弱性内容 | Microsoft Outlook for Windowsの権限昇格の脆弱性で、脆弱性を悪用する細工されたメッセージを受信すると、ユーザーが操作することなく、攻撃者が用意したサーバーに認証情報を含むデータが送信されるなどの可能性があります。 なお、OutlookのWebサービスやその他のMicrosoft 365サービスは影響を受けません。 |
想定される影響 | 攻撃対象ネットワークのアカウントと認証情報が窃取される、またはマルウェアが送り込まれる可能性があります。 |
影響を受ける製品 | Microsoft Outlook 2016 (64-bit edition) Microsoft Outlook 2013 Service Pack 1 (32-bit editions) Microsoft Outlook 2013 RT Service Pack 1 Microsoft Outlook 2013 Service Pack 1 (64-bit editions) Microsoft Office 2019 for 32-bit editions Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Office 2019 for 64-bit editions Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft Office LTSC 2021 for 64-bit editions Microsoft Outlook 2016 (32-bit edition) Microsoft Office LTSC 2021 for 32-bit editions |
解決策 | 当該脆弱性に対応したバージョンへのUpdate 詳細については「一次情報元(引用元)」でご確認ください。 緩和策についても「一次情報元(引用元)」の『緩和策』または『Mitigations』項目で公開されておりますので、ご確認ください。 |
コメント | 注目した理由はメールや予定管理等で広く利用されているソフトウェアであり、ユーザの操作による介在が不要[ゼロタッチ]な 脆弱性である点です。細工したメッセージを当該ソフトウェアが処理するだけで攻撃が成立します。 既に悪用されていることが確認されております。優先度を上げUpdateを行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
日付 | ソフトウエア | 情報/コメント |
2023/2/28 | Sudo | Sudo開発チームは、コマンドごとの chroot 機能で二重解放の脆弱性に対応したバージョン「1.9.13p2」を公開した。 "Stable Release | Sudo [Sudo 1.9.13p2]" https://www.sudo.ws/releases/stable/#1.9.13p2 |
2023/3/7 | Apache HTTP Server | The Apache Software Foundationは複数脆弱性に対応したバージョン「2.4.56」を公開した。 "Apache HTTP Server 2.4 vulnerabilities(Fixed in Apache HTTP Server 2.4.56)" https://httpd.apache.org/security/vulnerabilities_24.html |
2023/3/14 | Adobe 社複数製品 |
Adobe 社は、複数のソフトウェアに対するセキュリティアップデートを公開。なお、Adobe ColdFusion では悪用が確認された脆弱性[CVE-2023-26360]についても対応されている。 "Security updates available for Adobe ColdFusion | APSB23-25" https://helpx.adobe.com/security/products/coldfusion/apsb23-25.html "Security update available for Adobe Photoshop | APSB23-23" https://helpx.adobe.com/security/products/photoshop/apsb23-23.html "Security updates available for Substance 3D Stager | APSB23-22" https://helpx.adobe.com/security/products/substance3d_stager/apsb23-22.html "Security update available for Adobe Creative Cloud Desktop Application | APSB23-21" https://helpx.adobe.com/security/products/creative-cloud/apsb23-21.html "Security updates available for Dimension | APSB23-20" https://helpx.adobe.com/security/products/dimension/apsb23-20.html "Security Updates Available for Adobe Illustrator | APSB23-19" https://helpx.adobe.com/security/products/illustrator/apsb23-19.html "Security updates available for Adobe Experience Manager | APSB23-18" https://helpx.adobe.com/security/products/experience-manager/apsb23-18.html "Security update available for Adobe Commerce | APSB23-17" https://helpx.adobe.com/security/products/magento/apsb23-17.html |
2023/3/14 | Microsoft 社複数製品 |
Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、悪用が確認された脆弱性2件についても対応されている。
"2023 年 3 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-Mar "2023 年 3 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/03/202303-security-update/ 悪用が確認されている脆弱性 "Microsoft Outlook Elevation of Privilege Vulnerability (CVE-2023-23397)" https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2023-23397 "Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 (CVE-2023-24880)" https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2023-24880 |
2023/3/14 | Mozilla Firefox | Mozilla 社は、ブラウザFirefox /Firefox ESRのセキュリティアップデートを公開。影響度は双方とも「High」に設定されている。 "Mozilla Foundation Security Advisory 2023-09 [Security Vulnerabilities fixed in Firefox 111]" https://www.mozilla.org/en-US/security/advisories/mfsa2023-09/ "Mozilla Foundation Security Advisory 2023-10 [Security Vulnerabilities fixed in Firefox ESR 102.9]" https://www.mozilla.org/en-US/security/advisories/mfsa2023-10/ |
2023/3/14 | Mozilla Thunderbird | Mozzila 社は、メールソフト Thunderbirdのセキュリティアップデートを公開。影響度は「High」に設定されている。 "Mozilla Foundation Security Advisory 2023-11 [Security Vulnerabilities fixed in Thunderbird 102.9]" https://www.mozilla.org/en-US/security/advisories/mfsa2023-11/ |
2023/3/21 | Google Chrome | Google 社はPC版及びiOS版のWeb ブラウザ Google Chromeのアップデートを公開。PC版のGoogle Chromeでは深刻度「High」を含む8件の脆弱性を修正している。
"Chrome Releases :Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop_21.html "Chrome Releases :Chrome Stable for iOS Update" https://chromereleases.googleblog.com/2023/03/chrome-stable-for-ios-update_21.html |
2023/3/22 | Apache Tomcat | The Apache Software Foundationは保護されていない認証情報の送信の脆弱性(CVE-2023-28708)に対応したバージョンを公開。
"[SECURITY] CVE-2023-28708 Apache Tomcat - Information Disclosure" https://lists.apache.org/thread/hdksc59z3s7tm39x0pp33mtwdrt8qr67 |
2023/3/27 | Apple 社複数製品 | Apple 社は複数製品に存在する脆弱性に対するセキュリティアップデートを公開。なお、iOS 15.7.4 /iPadOS 15.7.4 では、悪用が確認されているWebkit(HTMLレンダリングエンジン)にRCE(リモートコード実行)脆弱性[CVE-2023-23529]も対応している。
"Apple security updates" https://support.apple.com/en-us/HT201222 |
注目したインシデント
2023年2月下旬のインシデント情報も含まれております。公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
2023/2/23 | 情報・通信業 | メール誤送信による個人情報流出 | 関東の放送事業者が運営するサイトにて、商品購入者への通知メールで誤りがあった事が判明。訂正メール送信時、「BCC」に購入者のメールアドレスを入力すべきところ「宛先」に入力してしまい、購入者間でお互いのメールアドレスが閲覧できる事態が発生。約45件のメールアドレスが閲覧可能となった。原因は事前確認不足とし、注意喚起により再発防止に努めるとコメントしている。 |
2023/2/24 | コンサルタント | 不正アクセスによる社内システム不具合 | コンサルタント企業のネットワークで異常を検知し不正アクセスが判明。不正アクセスにより社内システムに不具合が生じ、一部商品の提供が出来ない状況となっているとのこと。原因や不正アクセスの経路については調査中であるとコメントしている。 |
2023/2/24 | 自治体 | 設定不備による情報漏えい | 市民からの通報により、自治体のイベント参加応募フォームから応募者の個人情報が閲覧できる状態になっていたことが判明。原因は委託事業者の設定不備によるもので、今後、監理・監督を厳にし、作業進捗確認を徹底するとコメントしている。 |
2023/2/27 | レジャーサービス/アミューズメント | 不正アクセスによるWebページ改ざん | レジャー/アミューズメント企業のWEBサイトにおいて第三者からの不正アクセスがあり、不適切なWebページに誘導されるようになっていたことが判明。個人情報等の流出はないことを確認している。 |
2023/2/27 | 大学 | パソコンへの不正アクセスによるSPAMメール送信/情報漏えい | 教職員複数名のパソコンが不正アクセス(遠隔操作)に遭い、SPAMメール等の送信が行われた。なお、不正アクセスを受けた教職員のメールサーバ内にある過去の送受信メールは閲覧された可能性があるとのこと。 本インシデントを受け、大学は改めて全教職員及び学生向けにセキュリティ点検の実施及びシステムのセキュリティの強化を実施したとコメントしている。 (同大学は定期的にセキュリティ点検/研修を実施) |
2023/2/28 | 科学/化粧品 | サーバへの不正アクセス | 自社データセンター内にあるサーバが2/26に不正アクセスを受けたことを公表。不正アクセス確認後、速やかにサーバ停止及びネットワーク遮断などの対応を実施。 基幹システムや関連システムにも被害が及んでいるとのこと。なお、不正アクセスに関する詳細は調査中であるため公開されていない。 |
2023/3/3 | エネルギー | 不正アクセスによる個人情報漏えいの可能性 | 個人情報を保管しているパソコン1台に不明ファイルが作成されていることを確認。調査した結果、不正アクセスを受け、氏名や住所等の個人情報が漏えいした可能性があることが判明。 現在はネットワーク遮断をしており、原因調査中とのこと。 |
2023/3/12 | 物流・倉庫 | ランサムウェアによるファイルサーバ暗号化及情報漏えいの可能性 | ファイルサーバがランサムウェア感染したことを従業員が確認。すぐにファイルサーバの停止及び外部とのネットワーク遮断を実施。現在も感染原因や経路、被害範囲等を調査しているが、取引先情報や退職者を含む従業員情報等が漏えいした可能性があるとのこと。 |
2023/3/13 | 住宅 | 元従業員による顧客情報持ち出し | 外部からの情報提供により調査した結果、元従業員が転職先に顧客情報を提供していたことが判明。警察への被害を申告するとともに、元従業員の転職先企業に対し、データ返却及びデータの利用停止を申し入れているとのこと。 |
2023/3/15 | 情報・通信業 | ランサムウェアによるデータ暗号化及び情報漏えいの可能性 | 映像制作等を取り扱う会社にてランサムウェア被害が発生。調査したところ、第三者からの不正アクセスの痕跡があり、業務にかかわる情報も含まれていたことが判明。また、情報漏えいの可能性も完全に否定することが難しい状態であるとコメントしている。 |
2023/3/15 | 大学 | ドッペルゲンガードメインへの誤送信による情報漏えい | 本来「@gmail.com」とすべきところ、ドッペルゲンガードメイン「@gmai.com」に誤送信していたことが判明。学生1名の個人情報が漏えいしたとのこと。2月に他機関の事例を受け、調査を実施したところ本インシデントを発見したとコメントしている。 |
2023/3/17 | 電気機器 | ゼロデイ攻撃による情報漏えいの可能性 | 運用していたサードパーティソフトウェアがゼロデイ攻撃被害に遭い、従業員データへの不正アクセスが発生した可能性があることが判明。なお、プレスリリース時点において、同社のネットワーク運用や顧客データについては侵害されていないとコメントしている。 |
2023/3/22 | 生活用品の企画・販売 | ペイメントアプリケーションの改ざんによる情報漏えいの可能性 | ECサイトが不正アクセスを受け、約400名分のクレジットカード情報が漏えいした可能性があること、一部のクレジットカード情報が不正利用された可能性があることを公表した。また、データベースで管理していた顧客情報も漏えいした可能性があるとコメントしており、該当する顧客については個別で連絡を行っている。 |
2023/3/23 | キッズアパレルショップ | ペイメントアプリケーションの改ざんによる情報漏えいの可能性 | ECサイトが不正アクセスを受け、約5,000名分のクレジットカード情報が漏えいした可能性があること、一部のクレジットカード情報が不正利用された可能性があることを公表。クレジット会社からの連絡を受け調査した結果、不正アクセスを受けていたことが判明。不正アクセスを受けたサイトは旧サイトで連絡を受けた時には新サイトに移行済であったとコメントしている。なお、本インシデントを受け、新サイトでも安全を考慮しカード決済を停止しており、再開はまだ決まっていない。 |
2023/3/23 | 公益法人 | サポート詐欺による不正アクセス | 業務PCにセキュリティサポートを偽装した詐欺画面が表示され、職員が騙されかけたという事案が発生したことを公表。なお、報道では相手の指示に従い操作したところ、業務PCが乗っ取られ、約20分ほど遠隔操作が行われたと掲載されている。 (その後、詐欺に気付きインターネットを切断したことも掲載されていた) |