セキュリティ
2024年3月 セキュリティ情報(Google Chrome及びMicrosoft Edgeの脆弱性 [CVE-2024-2883]など)
目次
ご挨拶
インフラ業務と並行しつつ「セキュリティの町医者」を目指し日々精進している三浦です。
2024年3月に収集した脆弱性/インシデント情報から注目いたしました各種情報を掲載いたします。
セキュリティ対策や推進に少しでもご活用いただければ幸いです。
注目した脆弱性(Google Chrome及びMicrosoft Edgeの脆弱性 [CVE-2024-2883])
情報公開日:Google Chrome 2024/3/26(現地時間)
Microsoft Edge 2024/3/27(現地時間)
| 一次情報元(引用元) |
"Google"Stable Channel Update for Desktop
[Tuesday, March 26, 2024] "Google"Chrome for Android Update [Tuesday, March 26, 2024] "Microsoft"Release notes for Microsoft Edge Security Updates (March 27, 2024) "Microsoft"Chromium: CVE-2024-2883 Use after free in ANGLE |
| その他、情報ソース |
"Cybersecurity Help s.r.o." Multiple vulnerabilities in Google Chrome "Cybersecurity Help s.r.o." Multiple vulnerabilities in Microsoft Edge |
| CVE番号及び深刻度 | CVE番号:CVE-2024-2883 深刻度:Critical (CVSSv3スコア 無し) |
| 脆弱性内容 | Google 社及びMicrosoft 社は自社のブラウザ「Google Chrome」「Microsoft Edge」にて
Chromium チームによって悪用が行われていると報告された脆弱性「CVE-2024-2883」を公開した。当該脆弱性はリモートから悪用可能で、攻撃が成立すると、任意コードが実行される恐れがあります。 想定される攻撃手口はターゲットを騙し、細工した悪意のあるサイトに当該ブラウザでアクセスさせることになります。 |
| 想定される影響 | 悪意のあるコードが実行され、当該製品の乗っ取り、DoS、情報漏えいなど不特定多数の影響を受ける可能性があります。 |
| 影響を受ける製品 | Google Chrome (PC版[Windows版及びMac版) : 123.0.6312.86/.87より前のバージョン Google Chrome (Linux版) : 123.0.6312.86より前のバージョン Google Chrome (Android版) : 123 (123.0.6312.80) より前のバージョン Microsoft Edge (Stable版) : 123.0.2420.65より前のバージョン Microsoft Edge (Extended Stable版) : 122.0.2365.113より前のバージョン |
| 解決策 | ・当該脆弱性に対応したバージョンへのUpdate ⇒詳細については「一次情報元(引用元)」でご確認ください。 |
| コメント | 注目した理由は日本国内でも広く利用されているブラウザの悪用が報告されている脆弱性であり、 悪意のサイトを閲覧するのみで攻撃が成立する点です。 日頃利用するブラウザであるため、優先度を上げUpdateを行うこと、もしくは自動Update設定を行うことを強くお勧めいたします。 |
その他、注目した脆弱性/ソフトウェアUpdate情報
| 日付 | ソフトウエア | 情報/コメント |
| 2024/3/4 | Windows OS | アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(以降、CISAと略称)は2024/2/13[現地時間]に公開されたWindows OS の脆弱性悪用確認を公開した。
"CISA Adds One Known Exploited Vulnerability to Catalog [Release DateMarch 04, 2024]" https://www.cisa.gov/news-events/alerts/2024/03/04/cisa-adds-one-known-exploited-vulnerability-catalog |
| 2024/3/4 | Android | Google 社は、Androidのセキュリティ更新プログラムを公開。
"Android Security Bulletin--March 2024" https://source.android.com/docs/security/bulletin/2024-03-01 |
| 2024/3/5 | Apple 社 iOS /iPad OS | Apple 社は、iOS及びiPad OSのセキュリティUpdate を公開。なお、悪用された可能性がある脆弱性の修正も行われている。(後日、CISAから悪用が確認されたという情報が公開されました)
"About the security content of iOS 16.7.6 and iPadOS 16.7.6" https://support.apple.com/en-us/HT214082 "About the security content of iOS 17.4 and iPadOS 17.4" https://support.apple.com/en-us/HT214081 "CISA Adds Two Known Exploited Vulnerabilities to Catalog [Release DateMarch 06, 2024]" https://www.cisa.gov/news-events/alerts/2024/03/06/cisa-adds-two-known-exploited-vulnerabilities-catalog |
| 2024/3/7 | Apple 社複数製品 | Apple 社は、同社の複数製品のセキュリティUpdate を公開。なお、悪用された可能性がある脆弱性の修正も行われている。
"About the security content of visionOS 1.1" https://support.apple.com/en-us/HT214087 "About the security content of tvOS 17.4" https://support.apple.com/en-us/HT214086 "About the security content of watchOS 10.4" https://support.apple.com/en-us/HT214088 "About the security content of macOS Monterey 12.7.4" https://support.apple.com/en-us/HT214083 "About the security content of macOS Ventura 13.6.5" https://support.apple.com/en-us/HT214085 "About the security content of macOS Sonoma 14.4" https://support.apple.com/en-us/HT214084 "About the security content of Safari 17.4" https://support.apple.com/en-us/HT214089 |
| 2024/3/12 | Microsoft 社複数製品 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開。悪用が確認された脆弱性の公開は無い。
"2024 年 3 月のセキュリティ更新プログラム" https://msrc.microsoft.com/update-guide/releaseNote/2024-Mar "2024 年 3 月のセキュリティ更新プログラム (月例)" https://msrc.microsoft.com/blog/2024/03/202403-security-update/ |
| 2024/3/12 | Zoomビデオコミュニケーションズ 複数製品 | Zoomビデオコミュニケーションズ社は、同社複数製品のセキュリティUpdateを公開。
"Zoom Rooms Client for Windows - Race Condition (Bulletin: ZSB-24009)" https://www.zoom.com/en/trust/security-bulletin/zsb-24009/ "Zoom Rooms Client for Windows - Improper Access Control (Bulletin: ZSB-24010)" https://www.zoom.com/en/trust/security-bulletin/zsb-24010/ |
| 2024/3/19 | Mozilla 社複数製品 | Mozilla 社はFirefox /Firefox ESR /Thunderbird のセキュリティアップデートを公開。影響度は全て「high」に設定されており、悪用が行えた可能性がある脆弱性も修正している。
"Mozilla Foundation Security Advisory 2024-12 Security Vulnerabilities fixed in Firefox 124" https://www.mozilla.org/en-US/security/advisories/mfsa2024-12/ "Mozilla Foundation Security Advisory 2024-13 Security Vulnerabilities fixed in Firefox ESR 115.9" https://www.mozilla.org/en-US/security/advisories/mfsa2024-13/ "Mozilla Foundation Security Advisory 2024-14 Security Vulnerabilities fixed in Thunderbird 115.9" https://www.mozilla.org/en-US/security/advisories/mfsa2024-14/ |
注目したインシデント
| 公表日 | 発生組織/業種 | インシデント内容 | 情報/コメント |
| 2024/3/1 | 大学 | Webサーバへの不正アクセスによる個人情報漏えいの可能性 | Webサーバ経由でデータベース内にある個人情報が漏えいした可能性があるとのこと。本インシデント判明後、データベースと切り離した新たなWebサーバを稼働させているとコメントしている。 |
| 2024/3/1 | 高校 | サポート詐欺による私用PCからの情報漏えいの可能性 | 高校職員の私用PCがサポート詐欺により不正な遠隔操作が行われた。私用PCには過去に勤務した学校で入手した個人情報が含まれていた。 |
| 2024/3/2 | 地方自治体 | ホームページ更新ミスによる住民の個人情報誤掲載 | 住民の氏名/住所/生年月日の他に、一部、不動産収入額等の情報が約半月の間、閲覧可能な状態となっていた。なお、当該インシデント発覚後、同自治体は会見を開き謝罪した。 |
| 2024/3/4 | ECサイト | 不正アクセスによるクレジットカード情報漏えいの可能性 | クレジットカード会社からの連絡により調査した結果、不正アクセスが判明。原因はシステムの脆弱性をついたことによるペイメントアプリケーションの改ざんであると説明している。 |
| 2024/3/6 2024/3/7 |
ホテル | ID/パスワード窃取によるSaaSサービス不正アクセス及び顧客情報漏えいの可能性 | ID/パスワードの窃取はフィッシングメールに誘導され、窃取されたと発表。 |
| 2024/3/7 | 地方自治体 | 不正アクセスによる個人情報漏えいの可能性 | 不正アクセスはテストサーバから行われたとのこと。メールアドレスや口座番号については暗号化した状態で保管していたとコメントしている。 |
| 2024/3/11 報道 | 地方自治体 | ID/パスワード推測による不正アクセス | 内部犯行によるインシデント。ID/パスワードは自身のID/初期パスワードから推測し不正アクセスを行ったとのこと。 |
| 2024/3/12 報道 | その他 | 不正アクセスを実施し、殺害予告メール送信 | 中学生の犯行。不正アクセスされたサーバや侵入に必要な情報はインターネット上の掲示板に掲載されていた状態だったと報道している。 |
| 2024/3/13 | 金融 | オペレーションミスによる顧客情報滅失 | 消失したのはとあるサービス申し込みの加盟店代表者または担当者の本人確認資料画像データ。当該データの不正持ち出し及び外部漏えいはなく二次被害発生の恐れはないとコメントしている。 |
| 2024/3/13 | 放送局 | ランサムウェア攻撃によるデータ暗号化 | 被害を受けたのは情報システム/番組制作関連のシステムで放送への影響は無いと説明。なお、情報漏えいに関しては現在調査中とのこと。 |
| 2024/3/13 | 一般社団法人 | アカウント乗っ取りによるデータ漏えいの可能性 | 委託先のアカウントが乗っ取られ、当該アカウントに紐づいているオンラインストレージにあるイベント画像などが漏えいした可能性があるとのこと。 |
| 2024/3/13 | 報道機関 | 表計算ファイル確認ミスによる個人情報漏えい | イベント参加者に送付した表計算ファイルの非表示箇所に参加者ほぼ全員の個人情報が掲載されていたとのこと。 |
| 2024/3/14 | アパレル | ランサムウェア攻撃による情報漏えい | ランサムウェア「Lockbit」による攻撃であったと説明。対策としてはフルタイムの監視体制を導入したとコメントしている。 | 2024/3/15 | 総合ITベンダー | 複数PCがマルウェア感染 | 社内調査の結果、個人情報やお客様に関する情報を含むファイルを不正に持ち出すことができる状態になっていたことが判明。現在もマルウェアの侵入経緯や情報流出の有無等について継続調査している。 |
| 2024/3/15 | レジャー・アミューズメント | フィッシング被害による業界関係者情報の漏えい | 海外事務所にてフィッシング被害に遭い、メールアカウントのID/パスワードが窃取され、第三者から不正閲覧されたとのこと。 |
| 2024/3/15 | インフラ | USBメモリ紛失 | USBメモリ内のデータは暗号化していたが、復号化用のパスワードは本体に貼り付けていたとのこと。 |
| 2024/3/15 | サービス業 | QRコードからの個人情報漏えい | 応募用のQRコードから応募者の個人情報が閲覧可能であったことを公表。原因等についてはコメントされていない。 |
| 2024/3/18 | 地方自治体 | 不適切アクセスによる人事情報漏えい | 複数の内部犯行インシデントが発生。1件は不適正アクセスし人事担当職員PCにある人事情報を閲覧/情報漏えい。もう1件は不正入手したID/パスワードを使い人事情報を閲覧していたとのこと。 |
