セキュリティ
2023年5月 セキュリティ情報(Apple 社製品【WebKit】の脆弱性[CVE-2023-32409]など)
目次
ご挨拶
「セキュリティの町医者」を目指している三浦です。
早速ですが、2023年5月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Apple 社製品【WebKit】の脆弱性[CVE-2023-32409]など)
情報公開日2023/5/18(現地時間)
| 一次情報元(引用元) | https://support.apple.com/ja-jp/HT213762 https://support.apple.com/ja-jp/HT213757 https://support.apple.com/ja-jp/HT213761 https://support.apple.com/ja-jp/HT213764 https://support.apple.com/ja-jp/HT213765 https://support.apple.com/ja-jp/HT213758 |
| その他、情報ソース | https://www.cybersecurity-help.cz/vdb/SB2023051906 https://www.cybersecurity-help.cz/vdb/SB2023051905 https://www.cybersecurity-help.cz/vdb/SB2023051904 https://www.cybersecurity-help.cz/vdb/SB2023051860 https://www.cybersecurity-help.cz/vdb/SB2023051859 https://www.cybersecurity-help.cz/vdb/SB2023051854 |
| CVE番号及び深刻度 | CVE番号:CVE-2023-32409 深刻度:無し (CVSSv3スコア 無し) CVE番号:CVE-2023-28204 深刻度:無し (CVSSv3スコア 無し) CVE番号:CVE-2023-32373 深刻度:無し (CVSSv3スコア 無し) |
| 脆弱性内容 | Apple 社製品で広く利用されているHTMLレンダリングエンジン(ウェブページ記述用言語で書かれたデータを解釈し、実際に画面に表示する文字や画像などの配置を計算するプログラム)の脆弱性。 想定される攻撃手口はターゲットを騙し、細工した悪意のあるサイトにアクセスさせることになります。 なお、当該脆弱性は既に悪用が確認されております。 |
| 想定される影響 | Web コンテンツ用のサンドボックスを回避される可能性があります。(CVE-2023-32409) システム上のメモリの内容を読み取られる可能性があります。(CVE-2023-28204) 任意のコードが実行される可能性があります。(CVE-2023-32373) |
| 影響を受ける製品 | どの脆弱性に該当するかは詳細については「一次情報元(引用元)」でご確認ください。 Safari 16.5 より前のバージョン iOS 16.5 より前のバージョン iOS 15.7.6 より前のバージョン iPadOS 16.5 より前のバージョン iPadOS 15.7.6 より前のバージョン tvOS 16.5 より前のバージョン watchOS 9.5 より前のバージョン macOS Ventura 13.4 より前のバージョン |
| 解決策 | 当該脆弱性に対応したバージョンへのUpdate 詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 注目した理由は複数のApple 社製品に影響を及ぼす脆弱性であり悪用が確認されている点、 ビジネス/プライベート両面において脅威がある点、 悪意のサイトを閲覧するのみで攻撃が成立する点となります。 優先度を上げUpdateを行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2023/5/1 | Apache Log4j2 / Oracle WebLogic Server | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称)は悪用が確認された脆弱性としてApache Log4j2 の脆弱性「CVE-2021-45046」、Oracle WebLogic Server の脆弱性「CVE-2023-21839」などを周知した。 "CISA Adds Three Known Exploited Vulnerabilities to Catalog" https://www.cisa.gov/news-events/alerts/2023/05/01/cisa-adds-three-known-exploited-vulnerabilities-catalog |
| 2023/5/2 | Google Chrome | Google 社はPC版及びAndroid版/iOS版のWeb ブラウザ Google Chromeのアップデートを公開。PC版のGoogle Chromeでは深刻度「Medium」の脆弱性を含む15件のセキュリティ修正を行っている。 "Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop.html "Chrome for Android Update" https://chromereleases.googleblog.com/2023/05/chrome-for-android-update.html "Chrome Stable for iOS Update" https://chromereleases.googleblog.com/2023/05/chrome-stable-for-ios-update_01369435730.html |
| 2023/5/9 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。なお、悪用が確認された脆弱性2件、第三者から情報公開された脆弱性1件についても対応されている。 "2023 年 5 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-May "2023 年 5 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/05/202305-security-update/ 悪用が確認されている脆弱性 "Win32k の特権の昇格の脆弱性 CVE-2023-29336" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29336 "セキュア ブートのセキュリティ機能のバイパスの脆弱性 CVE-2023-24932" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932 第三者から情報公開された脆弱性 "Windows OLE のリモートでコードが実行される脆弱性 CVE-2023-29325" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29325 |
| 2023/5/9 | Adobe 社複数製品 | Adobe 社は、自社製品に対するセキュリティアップデートを公開した。 "Security updates available for Substance 3D Painter | APSB23-29" https://helpx.adobe.com/security/products/substance3d_painter/apsb23-29.html |
| 2023/5/9 | Mozilla Firefox | Mozilla 社は、ブラウザFirefox /Firefox ESR のセキュリティアップデートを公開。影響度は全て「High」に設定されている。また、悪用が行えた可能性がある脆弱性についても今回のアップデートで修正されている。 "Mozilla Foundation Security Advisory 2023-16 Security Vulnerabilities fixed in Firefox 113" https://www.mozilla.org/en-US/security/advisories/mfsa2023-16/ "Mozilla Foundation Security Advisory 2023-17 Security Vulnerabilities fixed in Firefox ESR 102.11" https://www.mozilla.org/en-US/security/advisories/mfsa2023-17/ |
| 2023/5/12 | Linux Kernel /Oracle Java SE and JRockit /Apache Tomcat など | CISAは悪用が確認された脆弱性としてLinux Kernel の脆弱性「CVE-2014-0196」「CVE-2010-3904」、Oracle Java SE and JRockit の脆弱性「CVE-2016-3427」、Apache Tomcat の脆弱性「CVE-2016-8735」など、他の脆弱性を含め7件を周知した。 "CISA Adds Seven Known Exploited Vulnerabilities to Catalog" https://www.cisa.gov/news-events/alerts/2023/05/12/cisa-adds-seven-known-exploited-vulnerabilities-catalog |
| 2023/5/11 | PHPの複数バージョン | PHPの複数バージョン「8.1.19」「8.1.16」「8.2.6」をリリース。 "PHP 8.1.19 Released!" https://www.php.net/archive/2023.php#2023-05-11-2 "PHP 8.2.6 Released!" https://www.php.net/archive/2023.php#2023-05-11-1 |
| 2023/5/16 | Google Chrome | Google 社はPC版[拡張安定版含む]及びiOS版のWeb ブラウザ Google Chromeのアップデートを公開。PC版のGoogle Chromeでは深刻度「Critical」の脆弱性を含む12件のセキュリティ修正を行っている。 "Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html "Extended Stable Channel Update for Desktop" https://chromereleases.googleblog.com/2023/05/extended-stable-channel-update-for_16.html "Chrome Stable for iOS Update" https://chromereleases.googleblog.com/2023/05/chrome-stable-for-ios-update_16.html |
| 2023/5/16 | WordPress | WordPress Foundation はセキュリティ/メンテナンスアップデートとなる「WordPress 6.2.1」を公開。コア部分において20件、ブロックエディタに関する10件のバグを解消。セキュリティに関する5件の修正も含まれている。 "WordPress 6.2.1 Maintenance & Security Release" https://wordpress.org/news/2023/05/wordpress-6-2-1-maintenance-security-release/ |
| 2023/5/20 | WordPress | WordPress Foundation はセキュリティアップデートとなる「WordPress 6.2.2」を公開。1件のバグを解消。セキュリティに関する1件の修正も含まれている。 "WordPress 6.2.2 Security Release" https://wordpress.org/news/2023/05/wordpress-6-2-2-security-release/ |
| 2023/5/23 | Barracuda Email Security Gateway Appliance (ESG) | Barracuda Networks, Inc.は同社製品であるBarracuda Email Security Gateway Appliance (ESG) の脆弱性を5/19に特定し、翌5/20にパッチを同製品に適用したことを公開。なお、当該脆弱性は悪用が確認されている。 "Barracuda Email Security Gateway Appliance (ESG) Vulnerability" https://www.barracuda.com/company/legal/esg-vulnerability "CISA Adds One Known Exploited Vulnerability to Catalog" https://www.cisa.gov/news-events/alerts/2023/05/26/cisa-adds-one-known-exploited-vulnerability-catalog |
注目したインシデント
2023年4月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
| 2023/4/25 | 出版 | スミッシングによる不正アクセス | 同社取締役がSMSを使ったフィッシング(スミッシング)によりID/パスワードが詐取され、同取締役が利用していた社用スマートフォンに登録されていた個人情報が流出したことを公表した。再発防止策としては、あらためて全社に対してアカウントの適切な管理や個人情報の取扱いについて指導を徹底するとともに、セキュリティ対策の継続的な強化に努めるとコメントしている。 |
| 2023/4/26 | 設備工事/建設 | 不正取得されたID/パスワードによる不正アクセス | 同社が利用してる名刺管理システムに何らかの手口で不正取得した同社従業員のID/パスワードを使い不正アクセスが行われ、約20,000人の名刺情報が閲覧された可能性があることを公表した。なお、ID及びパスワードが第三者に漏れた事実は確認できず、当該サービスへの不正アクセスに至った原因は特定できていないと同社はコメントしている。 |
| 2023/4/27 | 行政 | メール送信ミスによる情報流出 | 行政から委託されたコンサルティング・リサーチ会社が調査開始連絡を行う際、本来BCCにメールアドレスを入力すべきところをTOにメールアドレスを入力し送信。最大194名の個人情報(メールアドレス)が流出したとのこと。 | 2023/4/28 | 大学 | メールアカウントへの不正アクセスによる情報流出 | 2023年3月に同大学職員のメールアカウントへの不正アクセスが2件あったことを公表。大量のメール送信が行われたほか、メールボックス内にあるメールが閲覧された可能性があるとしている。 | 2023/5/2 | 総合エネルギー | 会員サイトへの不正アクセスによるメールアドレス流出 | 同社が運営する会員サイトにて不正アクセスが発生。一部会員のメールアドレスが流出したことを公表。詳細については現在調査中とのこと。(その後、追加報で不正アクセスは脆弱性を悪用し行われたことを公表した) | 2023/5/11 | 行政 | DDoSと思われる攻撃によるサービス障害 | ある省庁のホームページがDDoSと思われる攻撃で5/8夜から5/9までの間、繋がりにくくなったことが報道された。ツイッターには法改正に関する抗議による攻撃と思われる声明があった。 | 2023/5/11 | 医療 | 不正アクセスによるホームページ改ざん | 病院のホームページに不正アクセスがあり、複数ページに不正な書き込み(外部リンクURL掲載)があったことを公表した。なお、電子カルテ等はインターネットから分離しているため診療影響は無いこと、個人情報の流出は確認されていないとコメントしている。 | 2023/5/12 | 自動車製造業 | クラウド環境誤設定による情報流出の可能性 | 同社の子会社に管理委託していたデータの一部がクラウド環境の誤設定により2013年から公開状態になっていたことが判明。公開されていた情報については車載端末ID、車台番号、車両の位置情報、時刻の4データとコメントしており当該データのみで個人特定されるものでは無いとコメントしている。 | 2023/5/15 | 自治体 | プログラム不具合による情報誤交付 | 2023年3月以降、地方公共団体向けの住民情報ソリューションのコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生。サービス提供元の企業は原因を同ソリューションサービスのプログラム不具合であることを公表した。 | 2023/5/16 | EC/通販 | 不正アクセスによるデータ流出 | 手芸用品のECサイトにて不正アクセスが行われ、個人情報及びクレジットカード情報が流出したことを公表した。不正アクセスはシステムの脆弱性をついたことにより行われ、ペイメントアプリケーションが改ざんされていたとのこと。 | 2023/5/17 | EC/通販 | 不正アクセスによるデータ流出 | 革製品のECサイトにて不正アクセスが行われ、個人情報及びクレジットカード情報が流出したことを公表した。不正アクセスはシステムの脆弱性をついたことにより行われ、ペイメントアプリケーションが改ざんされていたとのこと。 | 2023/5/17 | 旅客業 | 設定不備による個人情報流出 | 同社のプレゼント応募フォームの設定不備により、応募者の個人情報が閲覧出来る状態が発生した。流出した情報は氏名、住所、電話番号、メールアドレス、自由意見とのこと。 | 2023/5/19 | 医薬品 | 不正アクセスによるデータ流出 | 医薬品メーカーのグループが横断的に利用していたクラウドサービスに不正アクセスがあり、約10,000件の取引先情報が漏えいした可能性があることを公表した。不正アクセスは同社グループの海外法人社員のアカウントが不正利用されたとコメントしている。 | 2023/5/23 | 自治体 | 設定不備によるメールサーバ不正利用 | ファイアウォールの設定不備によりメールサーバが不正利用されたことを公表。なお、メールサーバは不正中継可能な状態(オープンリレー)であったとのこと。 | 2023/5/29 | 行政 | メールサーバ不正利用 | メールサーバが不正利用(不正中継)されたことを公表。原因については精査中であるため現時点では非公開としている。 |
