セキュリティ
2023年12月 セキュリティ情報(Google Chrome及びMicrosoft Edgeの脆弱性 [CVE-2023-7024]など)
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。
2023年12月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Google Chrome及びMicrosoft Edgeの脆弱性 [CVE-2023-7024])
情報公開日:Google Chrome 2023/12/20(現地時間)
Microsoft Edge 2023/12/21(現地時間)
| 一次情報元(引用元) |
"Google"Stable Channel Update for Desktop
[Wednesday, December 20, 2023] "Google"Chrome for Android Update [Wednesday, December 20, 2023] "Microsoft"Release notes for Microsoft Edge Security Updates (December 21, 2023) "Microsoft"Chromium: CVE-2023-7024 Heap buffer overflow in WebRTC |
| その他、情報ソース |
"Bleeping Computer" Google fixes 8th Chrome zero-day exploited in attacks this year
"Cybersecurity Help s.r.o." Remote code execution in Google Chrome "Cybersecurity Help s.r.o." Remote code execution in Microsoft Edge |
| CVE番号及び深刻度 | CVE番号:CVE-2023-7024 深刻度:High (CVSSv3スコア 無し) |
| 脆弱性内容 | Google 社及びMicrosoft 社は自社のブラウザ「Google Chrome」「Microsoft Edge」にて見つかった
悪用が確認された脆弱性「CVE-2023-7024」を公開した。当該脆弱性はリモートから悪用可能で、攻撃が成立すると、任意コードが実行される恐れがあります。 想定される攻撃手口はターゲットを騙し、細工した悪意のあるサイトに当該ブラウザでアクセスさせることになります。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 | Google Chrome (PC版) : 120.0.6099.129より前のバージョン Google Chrome (Android版) : 120 (120.0.6099.144) より前のバージョン Microsoft Edge : 120.0.2210.91より前のバージョン |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 注目した理由は日本国内でも広く利用されているブラウザの悪用確認済み脆弱性であり、 悪意のサイトを閲覧するのみで攻撃が成立する点です。 日頃利用するブラウザであるため、優先度を上げUpdateを行うこと、もしくは自動Update設定を行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
2023年11月下旬の情報も含まれております。
| 日付 | ソフトウエア | 情報/コメント |
| 2023/11/29 | Microsoft Edge | Microsoft 社はMicrosoft Edge のセキュリティアップデートを実施。悪用が確認されている脆弱性「CVE-2023-6345」が修正されている。
"Release notes for Microsoft Edge Security Updates (November 29, 2023)" https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#november-29-2023 "Chromium: CVE-2023-6345 Integer overflow in Skia (CVE-2023-6345)" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-6345 |
| 2023/11/30 | Apple 社複数製品 | Apple 社は、「Safari 」「iOS、iPadOS 」「macOS Sonoma 」のセキュリティUpdateを公開。悪用された可能性がある脆弱性の修正が行われている。
"About the security content of Safari 17.1.2" https://support.apple.com/en-us/HT214033 "About the security content of iOS 17.1.2 and iPadOS 17.1.2" https://support.apple.com/en-us/HT214031 "About the security content of macOS Sonoma 14.1.2" https://support.apple.com/en-us/HT214032 |
| 2023/12/4 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。
"Android Security Bulletin--December 2023" https://source.android.com/docs/security/bulletin/2023-12-01 |
| 2023/12/5 | Cisco Adaptive Security Appliance and Firepower Threat Defense | Cisco Systems 社は、Cisco Adaptive Security Appliance 及び Firepower Threat Defense のAnyConnect SSL VPN機能の脆弱性に対応した。なお、当該脆弱性は第三者から情報が公開されていることを認識しているとコメントしている。
"Cisco Adaptive Security Appliance and Firepower Threat Defense Software VPN Packet Validation Vulnerability" https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asa-ssl-vpn-Y88QOm77 |
| 2023/12/11 | Apple 社複数製品 | Apple 社は、同社の複数製品のセキュリティUpdate を公開。なお、「watchOS 」「iOS 16.x系、iPadOS 16.x系」「tvOS 」については悪用された可能性がある脆弱性の修正が行われている。
"About the security content of watchOS 10.2" https://support.apple.com/en-us/HT214041 "About the security content of tvOS 17.2" https://support.apple.com/en-us/HT214040 "About the security content of iOS 16.7.3 and iPadOS 16.7.3" https://support.apple.com/en-us/HT214034 "About the security content of macOS Monterey 12.7.2" https://support.apple.com/en-us/HT214037 "About the security content of macOS Ventura 13.6.3" https://support.apple.com/en-us/HT214038 "About the security content of macOS Sonoma 14.2" https://support.apple.com/en-us/HT214036 "About the security content of iOS 17.2 and iPadOS 17.2" https://support.apple.com/en-us/HT214035 "About the security content of Safari 17.2" https://support.apple.com/en-us/HT214039 |
| 2023/12/12 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。AMDの特定プロセッサモデル用の修正プログラムについては第三者からの情報公開があったとされている。
"2023 年 12 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec "2023 年 12 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2023/12/202312-security-update/ 第三者から情報公開された脆弱性 "AMD: CVE-2023-20588 AMD Speculative Leaks Security Notice" https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-20588 |
| 2023/12/20 | Mozilla Firefox 各製品/Thunderbird | Mozilla 社はFirefox /Firefox ESR /Thunderbird のセキュリティアップデートを公開。影響度は全て「high」に設定されており、悪用が行えた可能性がある脆弱性も修正している。
"Mozilla Foundation Security Advisory 2023-56 Security Vulnerabilities fixed in Firefox 121" https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/ "Mozilla Foundation Security Advisory 2023-54 Security Vulnerabilities fixed in Firefox ESR 115.6" https://www.mozilla.org/en-US/security/advisories/mfsa2023-54/ "Mozilla Foundation Security Advisory 2023-55 Security Vulnerabilities fixed in Thunderbird 115.6" https://www.mozilla.org/en-US/security/advisories/mfsa2023-55/ |
| 2023/12/24 | Barracuda Email Security Gateway Appliance | バラクーダネットワークス 社は、同社製品「Barracuda Email Security Gateway Appliance」の脆弱性に対応した。なお、当該脆弱性は既に攻撃で悪用されていることを認識しているとコメントしている。
"Barracuda Email Security Gateway Appliance (ESG) Vulnerability" https://www.barracuda.com/company/legal/esg-vulnerability |
注目したインシデント
2023年11月下旬のインシデント情報も含まれております。
| 公表日 | 発生組織の業種 | インシデント内容 | 情報/コメント |
| 2023/11/28 第二報公表 | 自動車メーカー | 不正アクセスによる個人情報流出の可能性 | 不正アクセスを受けたサーバは同社及びグループ会社や協力会社の社員、取引先担当者情報を保管していたとのこと。なお、対策としてはASMや多要素認証の実装を加速させるとコメントしている。 |
| 2023/11/29 報道 | 政府機関 | 不正アクセス(影響は未公開) | 同機関の一般業務用アクティブディレクトリサーバが不正アクセスされた可能性があると報道。個人情報などが外部へ流出した可能性はあるが、同機関の機密情報の高い情報は含まわていないと説明している。 |
| 2023/11/29 | 商社など(複数業種) | ランサムウェアによる関係者情報流出の可能性 | 外部から同社グループのサーバに不正アクセスがありファイルサーバに脅迫文が置かれた上でファイルの毀損が発生していることを確認。不正アクセスの原因は調査した結果、VPN接続やWebサーバの脆弱性を悪用し侵入された可能性が高いことが判明。 |
| 2023/11/29 | 大学附属中学校 | サポート詐欺による遠隔操作 | 指示に従ったところ遠隔操作が行われたため同大学CSIRTにより通信ログ解析を開始。その結果、ファイル等の流出が無かったことが確認されたとのこと。 |
| 2023/11/30 報道 | 地方自治体 | サポート詐欺(情報流出は確認されていない) | 偽警告画面に騙され記載された番号に電話をし、指示に従い操作を実施していたが、周囲にいた職員が異変に気付き当該端末のLANケーブルを抜線し通信を中断。電話を切らせたという。 |
| 2023/12/01 | 地方自治体 | 個人情報の私的利用 | 住民基本台帳事務担当者が私的理由により住民情報システムを用いて、知人女性の住所情報を不正に収集。収集したデータは待ち伏せ行為などで使用したとのこと。 |
| 2023/12/05 | 電機メーカー | 退職した元従業員によるデータ不正持ち出し | 元従業員は同社から貸与されたPCから社内サーバにアクセスし設計データをPCに保存、その後、私物のハードディスクに複製した疑いで逮捕された。なお、発覚は元従業員退職後のログ調査によるものであった。 |
| 2023/12/05 報道 | 地方自治体 | 市長の個人LINE乗っ取り | 市長(74歳)にヒアリングした結果、知人のアカウント経由で詐欺サイトに誘導され、電話番号や暗証番号を詐取され乗っ取られたとのこと。 |
| 2023/12/05 | 地方自治体 | 設定不備による個人情報流出 | 事業の受付フォーム設定ミスにより、個人情報が閲覧可能な状態になっていたとのこと。再発防止策としてはダブルチェック及びチェックリストを用いた体制の構築/運用などを挙げている。 |
| 2023/12/07 | ECサイト | 不正アクセスによる顧客クレジットカード情報流出の可能性 | 不正アクセスはシステムの脆弱性をついたもので、ペイメントアプリケーションの改ざんが行われたとコメントしている。 |
| 2023/12/12 | 病院 | サポート詐欺による遠隔操作 | 遠隔操作は金銭目的であったとコメント。当該PCには7~10年以上前の研究目的の学会発表資料やレントゲン写真等のデータが保存されており、要配慮個人情報(診療内容等)の漏洩に該当する可能性があるため、国の機関である個人情報保護委員会へ報告を行ったとのこと。 |
| 2023/12/18 | 省庁(地方支分部局) | メール誤送信による個人情報流出 | 誤送信はメールアドレスをBccに付与すべきところを宛先にして送信したものとなる。なお、送信前にダブルチェックを行っていたが気付かなかったとコメントしている。 |
| 2023/12/22 | 新聞社 | ランサムウェア感染による業務影響 | ランサムウェアに感染したサーバには公開を前提として紙面に使用する記事と写真データが蓄積されていたが、個人情報の流出は無いとのこと。但し、新聞製作に影響を及ぼしており、本インシデント公表日は通常よりページ数を減らした特別紙面として発行しているとのこと。 |
