PixelスマートフォンとWindows、スクリーンショット機能の脆弱性報告

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 3/28号 目次 –

01. PixelスマートフォンとWindows、スクリーンショット機能の脆弱性報告


02. 大阪急性期・総合医療センターのランサムウェア感染に関する報告書公開


03. 家庭用ルーターのVPN・DDNS・外部からの管理画面アクセス設定に注意

PixelスマートフォンとWindows、スクリーンショット機能の脆弱性報告…切り取り&黒塗り箇所復元の可能性

– 3月18日(日本時間)、海外のエンジニアにより、Google製Pixelスマートフォンのスクリーンショット編集機能「Markup」に脆弱性「aCropalypse(CVE-2023-21036)」が存在すると発表されました。

– 脆弱性はMarkupによるスクリーンショット画像の切り抜きやマスク処理の際に発生するもので、画像ファイルから切り抜き・マスクされた箇所を復元される可能性があるとされています。

– 同22日には、同じ機能をもつWindows 10に附属する「切り取り&スケッチ」および11に附属する「Snipping Tool」においても同様の脆弱性(CVE-2023-28303)の存在が報告されています。

– Pixelにおいては3月6日リリースのセキュリティアップデートで、Windowsにおいても3月24日リリースの「切り取り&スケッチ」バージョン10.2008.3001.0および「Snipping Tool」バージョン11.2302.20.0において脆弱性が修正されているとのことです。

[ 出典 ]
https://www.techno-edge.net/article/2023/03/20/1040.html
https://www.techno-edge.net/article/2023/03/22/1048.html
https://twitter.com/ItsSimonTime/status/1636857478263750656

AUSからの所感 AUSからの所感

脆弱性は、画像の修正時に本来ファイルサイズが削減されるところで、サイズの切り詰め処理を行わないために、修正前のデータが一部残ってしまうことが原因とされています。

Androidやツールのアップデートおよび安全なバージョンかの確認の他、過去にそれらを用いて作成した画像をWebにアップロードしたり、Word等Office文書やPDFに貼り付けて公開していた場合に情報を復元される恐れがあるとされ、可能な限り差し替えを行うことも推奨されています。

今回の脆弱性はソフトウェア上の問題に起因したものですが、例えばOffice文書において黒く塗りつぶした図形を文章・画像の上からかぶせるマスク処理では、マスクの下に隠れた部分を容易に読み取られてしまうため、隠れた文字部分も適切に削除する等に注意すること、またPDF文書についても同様の問題に対応する有償・無償のツールが提供されているので利用することが重要です。

大阪急性期・総合医療センターのランサムウェア感染に関する報告書公開…ホスト間でパスワード共有等の問題

– 3月28日(日本時間)、大阪急性期・総合医療センターより、2022年10月31日に同センターで発生したサイバー攻撃に関する調査報告書が公開されました。

– 同センターの電子カルテシステムがランサムウェア感染等の被害を受け、復旧まで約2ヶ月かかる等の事態となっています。

– まず同センターから患者給食業務を委託されていた業者のシステムが侵入されており、ここから閉域網を経由して同センターが不正アクセスを受けたことが報告書で明らかになっています。

– また今回、同センター内のシステムにおいても、「電子カルテサーバーにアンチウイルスソフトが導入されていなかった」「Windowsのパスワードがサーバー・端末毎に全て共通」等、運用上の問題が多く存在していたことが指摘されています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2303/28/news179.html
https://www.gh.opho.jp/important/785.html

AUSからの所感 AUSからの所感

他に指摘されていた問題点として「アカウントロック設定がなかった」「ユーザー全てに管理者権限を与えていたため、攻撃者にアンチウイルスソフトをアンインストールされた」等があり、これらが原因で各サーバー間への「横展開」を許す結果となっています。

攻撃の舞台となったのは大規模な医療機関とはいえ、直接的な攻撃ではなく、内部ネットワークと相互に接続されている別の拠点あるいは組織のネットワークから攻撃を受ける可能性はどの組織でも決してあり得ないものではなく、調査報告書に記載されている原因と対策を既に実行しているか否かに拘わらず確認し直し、全ての端末・サーバーへのアンチウイルスの導入・有効化はもちろん、一般ユーザーから管理者までのアカウント運用状態の点検、適宜UTM等を用いてのネットワークの分割等、とり得るべき各種対策を計画的に実行していくことが肝要です。

家庭用ルーターのVPN・DDNS・外部からの管理画面アクセス設定に注意…警視庁より呼び掛け

– 3月28日(日本時間)、警視庁より、家庭用ルーターがサイバー攻撃に悪用される可能性に対し注意喚起が出されています。

– 従来の対策、例えば「初期設定の単純なIDやパスワードは変更する」「常に最新のファームウェアを使用する」「サポートが終了したルーターは買い替えを検討する」のみでは対応できないケースがあるとし、メーカーと協力しての今回の注意喚起となったとしています。

– 今回新たなポイントとして、「見覚えのない設定変更がなされていないか」、例えば「VPN機能設定」「DDNS機能設定」あるいは「インターネット(外部)からルーターの管理画面への接続設定」が有効になっていないかの確認を呼び掛けています。

[ 出典 ]
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html

AUSからの所感 AUSからの所感

警視庁では上記のような設定変更の有無を「定期的に確認する」よう呼び掛けており、今後メーカー各社からも確認してほしい箇所の解説情報が提供されるとみられるため、利用しているルーターのベンダーサイトの確認を行うことを推奨致します。

一方、企業向けルーターでの設定内容をテキストファイルに出力する等の機能が一般の家庭用ルーターには実装されておらず、家庭のネット利用者や、企業で家庭用ルーターを使用するケースでこのような設定の確認はかなりの手間となることが指摘されています。

警視庁で着目しているサイバー攻撃の詳細な情報の提供、また家庭用ルーターにおける設定の確認を容易に行うツール等の提供が今後メーカーから行われるか等が注目されます。