〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 10/4号 目次 –
01. パスワードの文字を入れ替えた程度の使い回しを推測する攻撃手法、中国の研究者発表
02. 9月はWordPressの25のプラグインに脆弱性…Sucuri社発表
03. VP8動画の処理における脆弱性報告、各ブラウザーが緊急アップデート
パスワードの文字を入れ替えた程度の使い回しを推測する攻撃手法、中国の研究者発表
– 2023年8月、中国の大学研究者により、あるパスワードから文字を入れ替えたりした程度のパスワードを比較的高い精度で推測する手法についての論文が発表されています。
– 既に全く同じパスワードを複数のサービスで使い回すことは「パスワードリスト攻撃」による連鎖的な不正ログインに繋がり得ることが知られていますが、論文で参照されている調査結果によれば、あるパスワードをベースに文字を入れ替えたり追加・削除したりする等の「微調整」を行ったパスワードをサービス毎に使用するやり方をユーザーの21~33%が行っているとされています。
– 今回発表された「Pass2Edit」と呼ばれる手法では、過去に流出した約48億個のパスワードをデータセットとし、微調整されたパスワードに対する最大100回の推測実験を行ったところ、一般ユーザーが設定したものに対しては平均24.18%、セキュリティーに精通したユーザーのものに対しても11.68%が成功したとしています
– さらに推測回数を最大1000回とした場合には、一般ユーザー・セキュリティーに精通したユーザーそれぞれに対する成功率は30.34%・15.32%に上昇したとのことです。
https://www.itmedia.co.jp/news/articles/2309/21/news014.html
https://xtech.nikkei.com/atcl/nxt/column/18/00676/093000150/
https://www.usenix.org/conference/usenixsecurity23/presentation/wang-ding-pass2edit
AUS便りからの所感
論文で挙げられている、推測に成功したパスワードの微調整の例としては、「1~3文字挿入・削除」「大文字小文字の切り替え」程度にとどまらず「a⇔@」「!2#⇔123」といった文字替えや「電話番号から数字部分のみ抽出」等、及びこれらの複数のパターンの組合せを含むものが挙げられています。
サービス毎に設定するパスワードの作り方として、ベースとなるパスワードから数文字変えて使用することを推奨するケースは少なからずみられていますが、この手法が本格的に使われた場合、全く同じパスワードでなかったとしても、連鎖的な不正ログインの被害を受ける可能性が出てくるでしょう。
可能な限り、パスワード管理ツール等によりランダムなパスワードをサービス毎に生成することや、多要素認証やパスキーを用いた認証を設定することが、今後さらに強く推奨されるとみられます。
9月はWordPressの25のプラグインに脆弱性…Sucuri社発表
– 9月28日(現地時間)、WordPress用セキュリティプラグイン等を提供する米Sucuri社より、9月に報告された25のWordPressプラグインに存在する脆弱性のまとめ記事が発表されました。
– 特に危険なものである「緊急(Critical)」レベルの脆弱性はありませんが、SQLインジェクションが2件、クロスサイトスクリプティング(XSS)が5件等とされています。
https://news.mynavi.jp/techplus/article/20231002-2781740/
https://blog.sucuri.net/2023/09/wordpress-vulnerability-patch-roundup-september-2023.html
AUS便りからの所感
WordPressにおいては、提供されるプラグインも、またそれらで報告される脆弱性も数多く存在しており、Sucuri社による月毎のまとめでは、毎月20件台の報告がまとめられています。
またWordPress本体においても不定期にセキュリティアップデートがリリースされることがあるため、インストールした状態のままで放置するようなことは決してせず、随時本体・プラグインを最新に保つよう努めること、セキュリティを強化する何らかのプラグインを導入すること、並行して(もしくは本体・プラグインのアップデートが困難な場合を鑑みて)WAFや、IDS・IPSの導入を検討することを強く推奨致します。
VP8動画の処理における脆弱性報告、各ブラウザーが緊急アップデート
– 9月27日(現地時間)、米Googleより、同社開発のChromeブラウザーのセキュリティアップデート117.0.5938.132がリリースされました(10/4現在の最新バージョンは117.0.5938.150です)。
– 対応された複数の脆弱性のうち、VP8動画フォーマットの処理における脆弱性(CVE-2023-5217)はChrome自体ではなくlibvpxライブラリに存在するとされ、Chrome以外のWebブラウザーやツールにも影響するとされています。
– 9月28日にはFirefox 118.0.1、同29日にはEdge 117.0.2045.47がリリースされ、それぞれ当該脆弱性を含む複数の脆弱性に対応しており、いずれもアップデートが強く推奨されています。
https://forest.watch.impress.co.jp/docs/news/1534946.html
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html
https://forest.watch.impress.co.jp/docs/news/1535316.html
https://forest.watch.impress.co.jp/docs/news/1535748.html
AUS便りからの所感
VP8はYouTube等で利用されていた動画フォーマットで、攻撃者が悪意のあるWebページやメール・メッセージ等から不正なVP8動画を再生させるよう誘導する、などの攻撃シナリオが考えられます。
VP8を画像フォーマットに応用したWebPについても9月前半に脆弱性(CVE-2023-4863)が指摘され、Chrome・Firefox・Edge等でセキュリティアップデートがリリースされたばかりです。
VP8は既に後継のVP9やAV-1に取って代わられていますが、libvpxにおけるVP9の処理にも脆弱性(CVE-2023-44488)が存在するとの情報があり、各ブラウザー等に影響する可能性、これによるさらなるアップデートが行われる可能性がありますので、ブラウザー等が最新バージョンとなっているか随時確認することが重要です。
