【日刊】忙しい人のためのセキュリティニュース(2017/10/16) 先週のうちにマイクロソフト社がKRACKをこっそりパッチ、AdobeFlashPlayerのゼロデイ脆弱性にAdobeが対処 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
それでは早速、参りましょう!
先週のうちにマイクロソフト社がKRACKをこっそりパッチ
昨日セキュリティ界隈を賑わしたKRACKsですが、マイクロソフトは事前報告を元にパッチを公開していました。
パッチは10月10日のWindows Autoアップデートに含まれていたので、「定期アップデートを行なったユーザーは既に安全」という見解を出しています。
昨日の公式発表までは公表できなかった事に加え、「他のベンダがパッチ準備に時間を確保できるように発表していなかった」と公表しています。
「KRACKそこまで心配必要ない」
この記事によれば、世間で騒がれている程KRACKを心配する必要は無いと言っています。
そもそもKRACKを実行するためには、ターゲットが参加しようとするネットワークに事前に参加している必要があります。
(追記2017/10/21)whogeさんよりコメント欄で指摘頂きましたが、ネットワークに参加している必要はありません。whogeさんありがとうございます。
ですので攻撃者はCertificateをダウンロードし、ユーザーネームやパスワードを入力してネットワークに参加しなければなりません。
つまりKRACKを行うまでにソーシャルエンジニアリング等の攻撃を行う必要があると言う事です。その段階でネットワークに侵入できたらKRACKが行われる可能性は減りますよね。
また、KRACKを実行するためには攻撃者とターゲットが物理的に同じ環境(WiFiの電波が届く距離)にいなくてはなりません。
簡単に言えば、地球の裏側から遠隔操作してターゲットを攻撃する事は不可能という事になります。
私が思うに、この記事を書いたWeaver氏は、「セキュリティはレイヤーを何層にも重ねて脅威から情報を守っており、KRACKを行うまでに何回か攻撃を成功させ、更にKRACKを成功させた後も何層かレイヤーをかい潜る必要がある」という観点から「KRACKは心配の必要はない」と主張しているんだと思います。
AdobeFlashPlayerのゼロデイにAdobeがアップデート提供
本日AdobeはAdobe Flash Playerのアップデート版をリリースしました。
アップデート版には、10月10日にKaspersky Labsが発見した同製品ののゼロデイ脆弱性に対するパッチが含まれています。
Adobeは該当するゼロデイ脆弱性にCVE-2017-11292をアサインし、Adobe Flash Playerのアップデートを促しているようです。
CVE-2017-11292をエクスプロイトした攻撃も既に検知されており、主にサイバー攻撃グループであるBlackOasisによって悪用されているようです。(BlackOasisについては、いずれ別記事を作成して動向を追っていきたいと思います。)
影響のある製品
プロダクト | バージョン | プラットフォーム |
Adobe Flash Player Desktop Runtime | 27.0.0.159 | Windows, Macintosh |
Adobe Flash Player for Google Chrome | 27.0.0.159 | Windows, Macintosh, Linux and Chrome OS |
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 | 27.0.0.130 | Windows 10 and 8.1 |
Adobe Flash Player Desktop Runtime | 27.0.0.159 | Linux |
影響を受けた地域とターゲットについて
BlackOasisによるCVE-2017-11292をエクスプロイトした攻撃が確認されています。
影響を受けた地域は以下。
また、ターゲットとされているのは以下。
Adobe Flash Playerの今後について
Adobeは2020年にはAdobe Flash Playerのサービス提供終了を公表しています。
Appleの前CEOであるSteve Jobsは、Flash Playerに対して”バグが多い””SPU食い””セキュリティホール”等と激しい批判を繰り返していました。
実際にAdobe Flash Playerを使った攻撃も多い事や、代替のHTML5が多く使われるようになった事から、Flash Playerはどんどん時代遅れになってきています。
Googleが公表した、Chrome使用状況データによれば、DesktopユーザーでFlash Playerの使用率は、2014年に80%だったのに対して、現在は17%にまで下がっているようです。
- BlackOasis APT and new targeted attacks leveraging zero-day exploit
- Adobe warns that hackers are exploiting its Flash software
- Security updates available for Flash Player | APSB17-32
- S・ジョブズ氏、「Flash」をまたも批判か--米報道
- Adobe Flash(Wikipedia)
その他のセキュリティニュース
セキュリティ業界では毎日膨大なニュースが配信されています。
今回の記事では紹介しきれなかった記事も多くありますので、以下ではニュースのタイトルとリンクを貼っておきます。
「マルウェア・脆弱性関連」のニュース
「情報漏えい・インシデント」関連のニュース