情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆Find Job！で一部求職者情報が外部よりアクセス可能な状態に

ミクシィ・リクルートメントが運営する求人情報サイト
「Find Job！」において、求職者の履歴書情報が第三者より一時
閲覧可能な状態だったことがわかった。

同社によれば、2017年5月12日から12月25日にかけて、ウェブサ
イトへ登録されている求職者491人分の履歴書情報が、URLを指
定することで外部より閲覧できる状態だったという。履歴書には、
氏名や住所、電話番号、生年月日、性別、メールアドレス、最終
学歴などの情報が含まれるという。

5月12日に実施した管理画面の機能追加の際、アクセス権限の設定
に不備があったもので、12月23日に利用者より指摘を受け、調査
を行ったところ問題が発覚した。

同社では12月25日にアクセス権限を修正。対象となる求職者に対し
て事情を説明し、謝罪した。現時点では不正利用などの報告は受け
ていないという。

（2018/01/12）

◆ログイン情報だまし取る「偽Uberアプリ」
　　- 正規アプリ表示で詐取を隠ぺい

Android向けに提供されている「Uberアプリ」の利用者を狙った不正
アプリが出回っている。アカウント情報の詐取を狙っており、被害
を気が付かせないソーシャルエンジニアリングを用いていた。

Symantecによれば、問題のアプリは正規の「Uberアプリ」のユーザ
ーインターフェースを偽装。アカウント情報を入力させて詐取し、
警告表示で犯行に気が付かれないよう、正規アプリの画面でユーザ
ーの現在位置を表示していた。

現在位置を表示させる手法として、正規のアプリで「配車リクエス
ト」の動作を開始させるURIを悪用。乗車地点に現在位置が自動で
入力される性質を利用していたという。

また問題のアプリには、正規画面へオーバーレイ表示させることで
クレジットカード情報を詐取する機能なども備えていた。

（2018/01/12）

◆アーカイバ「Lhaplus」に脆弱性、意図しないファイルが生成
　　されるおそれ

アーカイバ「Lhaplus」において、ファイルを展開する際、意図し
ないファイルが生成される脆弱性が含まれていることが明らかに
なった。

開発者や脆弱性情報のポータルサイトであるJVNによれば、
「ZIP64形式」のファイル展開処理において検証不備の脆弱性
「CVE-2017-2158」が存在するという。

細工された圧縮ファイルを処理する際、本来のファイル内容とは
異なるデータで解凍処理が行われ、意図しないファイルが作成さ
れるおそれがある。

同脆弱性は、ラックの安藤弘治氏が情報処理推進機構（IPA）
へ報告したもので、JPCERTコーディネーションセンターが調整を
実施。開発者は脆弱性を修正した「同1.74」を公開しており、
アップデートを呼びかけている。

（2018/01/11）

◆MS、ゼロデイ脆弱性の修正含む月例パッチを公開
　　　 - 公開済み定例外パッチにも注意を

マイクロソフトは、2018年1月の月例セキュリティ更新を公開し、
「Adobe Flash Player」に関する脆弱性を除き、CVEベースで
23件の脆弱性に対処した。ただし、1月3日にも脆弱性32件を修正
する定例外のパッチを公開しており、あわせて注意が必要だ。

今回のアップデートでは、「Windows」や同社ブラウザの
「Internet Explorer」「Microsoft Edge」をはじめ、「Office」
「SQL Server」「.NET Framework」「.NET Core」「ASP.NET Core」
「Chakra Core」に関する脆弱性を修正した。

脆弱性の最大深刻度は、4段階中もっとも高い「緊急」の脆弱性が1件。
次いで深刻度が高い「重要」が20件。「警告」「注意」がそれぞれ1件
だった。

脆弱性によって影響は異なるが、悪用されると、リモートからのコード
実行や権限の昇格のほか、セキュリティ機能のバイパス、サービス拒否、
情報漏洩、改ざん、なりすましなどが生じるおそれがある。

今回のアップデートでは、数式エディタ機能に起因する脆弱性
「CVE-2018-0802」に対処した。「Word」や「WordPad」において細工
されたファイルを開くとメモリ破壊が生じ、リモートでコードが実行
されるおそれがある。

悪用はすでに確認済みとされているが、悪用可能性指標に関しては
「悪用される可能性は非常に低い」とレーティング。同社では数式
エディタ機能を削除することで脆弱性を解消した。

さらにすでに公開済みである「Outlook for MAC」においてメール
アドレスのエンコーディング処理に問題があり、なりすましが行われる
おそれがある脆弱性「CVE-2018-0819」に対処している。

また同社は今回のアップデートに先立ち、年明けとなる1月3日の定例外
アップデートで「Meltdown」「Spectre」への緩和策を含め、32件の
脆弱性を修正しており、あわせて注意が必要となる。

今回の月例セキュリティ更新で修正した脆弱性は以下のとおり。

CVE-2018-0764
CVE-2018-0784
CVE-2018-0785
CVE-2018-0786
CVE-2018-0789
CVE-2018-0790
CVE-2018-0791
CVE-2018-0792
CVE-2018-0793
CVE-2018-0794
CVE-2018-0795
CVE-2018-0796
CVE-2018-0797
CVE-2018-0798
CVE-2018-0799
CVE-2018-0801
CVE-2018-0802
CVE-2018-0804
CVE-2018-0805
CVE-2018-0806
CVE-2018-0807
CVE-2018-0812
CVE-2018-0819

（2018/01/10）