〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 9/26号 目次 –
01. NTT東日本のHGW・ひかり電話ルータに脆弱性…機種、ファームウェアバージョン確認を
02. ディスプレイからノイズ音を発生、エアギャップを通して情報を奪取する手口「PIXHELL」
03. 8月度フィッシング報告は166,556件、フィッシングサイト件数は過去最多
NTT東日本のHGW・ひかり電話ルータに脆弱性…機種、ファームウェアバージョン確認を
– 9月24日(日本時間)、IPA・JPCERT/CCが運営する脆弱性情報サイト「JVN」より、NTT東日本が提供する複数のホームゲートウェイ(HGW)・ひかり電話ルータに脆弱性(CVE-2024-47044)が存在するとして注意喚起が出されています。
– 脆弱性の悪用により、「WAN側から当該製品の設定画面にアクセスされる」可能性があるとされています。
– 該当する機種はRT-400MI・PR-400MI・RV-440MI・PR-500MI・RS-500MI・RT-500MI・PR-600MI・RX-600MIで、7月29日から8月26日にかけてファームウェアのアップデートがリリースされています。
https://internet.watch.impress.co.jp/docs/news/1626046.html
https://jvn.jp/jp/JVN78356367/index.html
https://web116.jp/ced/support/version/
AUSからの所感
JVNに掲載された情報によれば、脆弱性の影響を受けるのはNTT東日本エリアで契約している場合に限られ、かつ攻撃者が機器のWAN側IPv6アドレスを特定する必要があるとしています。
管理画面へのログイン自体はさらにパスワードの入力が必要とみられるとはいえ、LAN側からのみアクセス・ログインが可能であるという前提が破れるということが問題と言えます。
多くの機器ではデフォルトでファームウェアの自動更新を行うよう設定されており、現時点では更新済みのはずですが、機器の管理者においては、もし手動で行うよう設定を変更していた場合に必ず速やかに更新を実施するとともに、設定に拘らず可能な限り実際に更新されているか確認することを推奨致します。
さらには機種が今回の発表に該当していなかったとしても、NTT東日本(および西日本)が提供するファームウェアのバージョンアップ情報に目を通し、使用している機器のファームウェアが最新か確認する体制をとることが重要です。
ディスプレイからノイズ音を発生、エアギャップを通して情報を奪取する手口「PIXHELL」
– 9月10日(現地時間)、「The Hacker News」にて、イスラエルのセキュリティ研究者が発表した、エアギャップ(ネットワークに接続されていない)状態のPCから情報を奪取する攻撃手法が取り上げられています。
– 「PIXHELL」と名付けられたこの手法では、PCに接続されたディスプレイ上で映像が表示される際にディスプレイから生じるノイズ音(いわゆるコイル鳴き)を用いて情報を外部に流出させるもので、流出させるデータの内容に応じたピクセルパターンを表示して0~22kHzの周波数のノイズ音を発生するとしています。
– ただし攻撃の実行には、ターゲットとなるディスプレイの機種に合わせたピクセルパターンを用意し、ノイズ音を聞き取ってデータを入手するため近くにマイクやスマートフォンを設置する必要があるとし、また不審な映像の表示や人間の可聴域でのノイズ音の生成で攻撃に気付かれる可能性はあるとされています。
https://news.mynavi.jp/techplus/article/20240912-3023125/
https://www.itmedia.co.jp/news/articles/2409/17/news052.html
https://thehackernews.com/2024/09/new-pixhell-attack-exploits-screen.html
https://arxiv.org/abs/2409.04930
AUSからの所感
ディスプレイのみならずキーボード・マウスおよびそれらを接続するケーブルから生じる電磁波を分析して情報を読み取る「テンペスト攻撃」等が、2000年代の時点で問題視されています。
前述した準備以外にも、エアギャップ状態のPC上でピクセルパターンを表示させるために、別途マルウェア感染等の侵入を行う必要があるとみられますが、一見成功しづらいと思われる手法こそ成立し得る可能性があると心得、LAN等に接続されていないPCであってもUSBメモリー等からのマルウェア感染の恐れに対しアンチウイルス等による防御を確実に行うことは肝要と言えます。
8月度フィッシング報告は166,556件、フィッシングサイト件数は過去最多
– 9月19日(日本時間)、フィッシング対策協議会より、8月に寄せられたフィッシング報告状況が発表されました。
– 8月度の報告件数は166,556件で、過去最高を記録した7月度(https://www.antiphishing.jp/report/monthly/202407.html )の177,855件からは11,288件減少しているものの、歴代2位の多さとなります。
– フィッシングサイトのURL件数は85,768件で7月度(38,591件)から47,177件増加、過去最高となった一方、悪用されたブランド件数は68件で7月度(73件)から5件減少となっています。
– Amazonを騙るフィッシングが全体の約20.2%を占め、次いで20,000件以上の報告を受けたイオンカード、ヤマト運輸、東京電力と合わせて約62.7%、さらに1,000件以上報告された16ブランドまで含めると約89.9%を占めたとのことです。
– スミッシング(SMSによるフィッシング)は東京電力を騙るものが多かった一方、これまで多かった宅配便を騙るものが減少しているとのことです。
AUSからの所感
フィッシングサイトURL件数が急増したことについて、大量メール配信を行うタイプのフィッシングでサブドメインにランダム文字列を使ったURLへの誘導が多かったためと分析しています(なお使用されるトップレベルドメイン名は.cnと.comのものが依然突出しています)。
調査用メールアドレスに届いたフィッシングメールにおけるなりすましの割合は2月の約22.8%から上昇、5~7月に50%台だったものが8月には急増して約77.1%となっている一方、DMARC(SPF・DKIMでの検証に失敗したメールの取り扱いの指定)のポリシーがreject(受信拒否)またはquarantine(迷惑メールフォルダー等への隔離)となっているものも約63.5%となり、DMARCによるチェックでフィルタリングを行えるケースが多くなっているとのことで、メールサーバー管理者においては取引相手等を保護するべく、各種フィッシング対策機構を有効にするのはもちろん、導入の初期段階で緩いポリシーとしていたものについても、着実な検証の上で厳しいものに設定していくことを検討すべきでしょう。
