情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆Adobe Flash Playerにゼロデイ攻撃が発生
　　　　 - 2月5日の週に修正予定

「Adobe Flash Player」に深刻な脆弱性が含まれていること
が明らかになった。ゼロデイ攻撃が発生しており、Adobe
Systemsでは、2月5日の週にアップデートをリリースしたい
考えだ。

今回明らかとなった脆弱性「CVE-2018-4878」は、
「同28.0.0.137」および以前のバージョンに存在。

解放後のメモリへアクセスするいわゆる「Use-after-free」
の脆弱性で、リモートよりコードを実行され、システムの
制御を奪われるおそれがある。

すでに同社では、Windowsを対象とした標的型攻撃で悪用
されているとの報告を受けている。

確認されている攻撃は「限定的」としているが、Office
ドキュメントに悪意ある「Flashコンテンツ」を埋め込まれ、
メールで送信されていたという。

今回の問題を受け、同社では2月5日の週に同脆弱性を修正
するアップデートをリリースできるよう準備を進めている。
また「swfコンテンツ」の再生前にプロンプトを表示させたり、
Officeが備える「保護ビュー」を活用するなど、緩和策の実施
を呼びかけている。

（2018/02/02）

◆偽の仮想通貨「SpriteCoin」で忍び寄るランサムウェア
　　　　　 - 収益性高いと吹聴

急激な相場上昇などで注目される仮想通貨に便乗した攻撃が
発生している。「SpriteCoin」なる実在しない仮想通貨の
ウォレットとして配布されていたファイルの中身はランサム
ウェアだったという。

同ランサムウェアは、フォーティネットが確認したもの。
仮想通貨に関心を持つ人々が集まるフォーラムなどで拡散され
ていると見られている。

攻撃者は、実在しない「SpriteCoin」なる仮想通貨について
収益性が高いなどと吹聴。ウォレットに見せかけて実行ファ
イル「spritecoind.exe」をダウンロードさせていた。

ダウンロードのリンクには、信用できない場合は、ダウンロ
ードしたファイルを、複数のマルウェア対策エンジンでチェ
ックが行えるオンラインサービス「VirusTotal」でスキャン
してみてほしい、などと記載。あたかも正規のファイルである
かのように装っていた。

同ファイルを誤って実行すると、希望するパスワードを作成
するよう要求されるが、実際にはブロックチェーンをダウン
ロードすることなく、対象ユーザーのファイルを暗号化して
いた。さらにブラウザの認証情報へアクセスを試みるという。

同ランサムウェアは、復号化にあたり仮想通貨「Monero」
による支払いを要求。さらに復号化の過程で証明書を取得し
たり、画像の解析、ウェブカメラの起動など、複数の機能を
備えた別のマルウェアに感染させようとしていた。

同社では、SpriteCoinに関する正規の情報を見つけることは
できず、攻撃の口実としてでっち上げられた実在しない仮想
通貨であると分析。興味を引く言葉でマルウェアへ感染させ
るソーシャルエンジニアリングが使われているとして、注意
を呼びかけている。

（2018/01/31）

◆企業における暗号化製品の導入率は45％
　　　　 - 中小3割に満たず

メールやファイル、外部記録メディアを暗号化する製品を導
入している企業は45.7％だった。一方、中小企業に限定する
と28.1％と、3割に満たないことがわかった。

情報処理推進機構（IPA）が、国内企業における暗号の利用
状況や課題について調査を実施し、結果を取りまとめたもの。

情報システム部門やセキュリティ担当部門、システムやサー
ビス開発部門の責任者または担当者を対象に、2017年5月下旬
から6月上旬にかけてウェブアンケート調査を実施。回答数は
1066件だった。

メールやファイル、外部記録メディアなどを暗号化する製品
を導入している企業は45.7％。従業員301人以上の大企業は62
％だったが、300人以下の中小企業は28.1％と低く、企業規模
によって差が見られた。

暗号技術の利用シーンについて聞いたところ、「インターネ
ット通信の暗号化（SSLやVPN）」が65.6％でもっとも高く、
「電子メールの暗号化（50.8％）」「ファイルの暗号化
（39.4％）」「PC、タブレット、スマートフォンの暗号化
（30.5％）」と続く。また16.5％は、「暗号技術は利用し
ていない」と回答した。

システム関連製品の選定、導入時の暗号技術に関する基準に
ついて、「暗号技術の利用、適用に関する基準がある」と答
えた企業は23.1％。また、システム関連製品の開発時の暗号
技術に関する基準では、「暗号技術の利用、適用に関する基
準がある」は17.9％だった。

システム関連製品を選定、導入する際の暗号技術に関する課
題について聞いたところ、「導入、維持管理コストが高い」
が37.5％でもっとも高い。

そのほか「どの製品が安全で導入してよいものかわからない」
との回答が23.5％。「正しくかつセキュアな暗号処理が行わ
れているか確信が持てない」が22.5％と目立っている。

（2018/01/31）

◆「WordPress」向けRetina対応プラグインにXSSの脆弱性

コンテンツマネジメントシステム（CMS）である「Word
Press」向けに提供されているプラグイン「WP Retina 2x」
に脆弱性が含まれていることが判明した。

同製品は、高解像度の端末に対応した画像を生成できるプ
ラグイン。脆弱性情報のポータルサイトであるJVNによれば、
同プラグインにログインしているユーザーのブラウザ上で
任意のスクリプトを実行されるクロスサイトスクリプティ
ング（XSS）の脆弱性「CVE-2018-0511」が含まれているこ
とが判明したという。

同脆弱性は、クリスリュウ氏が情報処理推進機構（IPA）
へ報告したもので、JPCERTコーディネーションセンターが
調整を実施。修正版となる「同5.2.3」では、同脆弱性が
解消されたほか、セキュリティの修正なども実施されている。

（2018/01/30）