ITコンサルティング・構築・開発・保守・教育までサポートする株式会社エイペクス

APEX NEWS Vol.65(2023年 冬号)

◆―◇―◆―◇―◆―◇―◆
APEX NEWS
2023年 冬号 Vol.65
◇―◆―◇―◆―◇―◆―◇
平素よりお世話になっております。株式会社エイペクスでございます。
本メールでは、弊社と保守契約を締結して頂いているユーザーの皆様へ、
保守サポートの一環として、パッチ情報を中心とした情報を
配信しております。
※3か月に1度(春号:4月 夏号:7月 秋号:10月 冬号:1月)の定期的な配信を
予定しております。
より一層のサービス向上を目指し、弊社社員一同邁進してまいりますので、
これからもよろしくお願いいたします。
※配信停止をご希望されるお客様は、末尾をご覧下さい。
※本メールは等幅フォントで最適化しております

◆━ 目次 ━━━━━━━━━━━━━━━━━━━━━━━━━━━
○ PICKUP
「DDoS攻撃 – 世界的イベントを狙うサイバー攻撃」
○ ITトレンド情報
Windows 10のサポート終了まであと3年、
機能更新プログラム「2022 Update」では何が変わるのか? など
○ 技術情報
1. Microsoft 月例更新セキュリティ情報(2022年10月~12月分)
2. APEXセキュリティ情報
○ お知らせ
お問い合わせ窓口に関するご案内
DM配信スケジュール
ご質問受付について
次号配信予定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━◆

━━★PICKUP 「DDoS攻撃 – 世界的イベントを狙うサイバー攻撃」 ★━━
情報社会がますます進む昨今、
Webサービスとしてコンテンツが提供され、
そのサービスを利用する機会が増えてきています。
また、世界情勢の不安定化やコロナ禍でありつつも
オリンピックやサッカーW杯など世界的なイベントも開催されつつあり、
世界的な動向にも変化が訪れています。
そんな世界的な変化に合わせるように増加するのがサイバー攻撃です。

有名なサイバー攻撃のひとつとして、DDoS攻撃が挙げられます。
Webサイトやサーバーに対して大量のデータを送信し、
対象の処理能力をパンクさせることによって
サービス停止に追い込む攻撃をDoS攻撃と呼びます。
さらに攻撃元となる端末を複数かつ大量、同時にデータを送信することによって
処理能力の高いサーバーに対してもサービス停止に追い込むことを目的とするのが
DDoS攻撃(分散型サービス拒否攻撃)です。
攻撃元が複数となることで、攻撃元の特定や被害者側の防衛が困難となり、
その悪質性は高くなります。

インターネットコンテンツを配信する事業者に向けて
世界各地にキャッシュサーバーを分散配置して提供する
CDN(コンテンツ配信ネットワーク)。
そのCDN大手のCloudFlareでは、
DDoS攻撃の対策として
検出・応答・ルーティング・適応の4段階に分けて対応しています。

検出では、大量のトラフィックを通常アクセスなのか攻撃なのか
見分ける必要があります。
正当なアクセスを阻止してしまうと
サービス利用者へ悪影響を与えてしまうことになり、
提供者としては避けなければなりません。
見分ける基準としては、アクセス元のIPアドレスを確認することや、
攻撃パターンを理解しておく必要があります。

応答では、悪意のあるトラフィックを遮断し、
その他のトラフィックを吸収することで特定の着信方向の脅威に応答します。
レイヤーごとに対策を施すことによって、
ネットワークの混乱を軽減させることができます。

ルーティングでは、応答で吸収したトラフィックを
管理可能な単位に分割することによって、サービス拒否を防止します。

適応では、攻撃パターンを分析します。問題を起こすIPアドレスのブロック、
特定の地域からの攻撃、プロトコルの不正使用などのトラフィックを
分析することによって、攻撃パターンに適応し、将来の攻撃に備えることができます。

このように、CloudFlareでは多段階でトラフィックを確認・分析・判断して
正当なアクセスかどうかを見分けています。

2023年に入っても、東京都渋谷区のWebサイトがDDoS攻撃を受け、
閲覧しにくい状況が続きました。
今後の世界情勢や大規模イベントの開催によっては、
DDoS攻撃を含めたサイバー攻撃がさらに活発化する可能性がありますので、
平時よりセキュリティの有効性を確認し、
ITを含む世界の動向に目を配っておくことも大切です。

<参考URL>
・ウクライナ侵攻やサッカーW杯に関連したサイバー攻撃、その手口と対策をNTT
データが解説
INTERNET Watch (impress.co.jp)
https://internet.watch.impress.co.jp/docs/news/1464076.html

・【データセンター用語集】DDoS攻撃とは
クラウド Watch (impress.co.jp)
https://cloud.watch.impress.co.jp/docs/wdc/1453735.html

・DDoS対策とは?
Cloudflare
https://www.cloudflare.com/ja-jp/learning/ddos/ddos-mitigation/

・渋谷区、ハッカー集団「アノニマス」を名乗るアクターによるDDoS攻撃を報告
ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/2301/06/news037.html

━━★IT トレンド情報★━

1.Windows 10のサポート終了まであと3年、機能更新プログラム「2022 Update」では何
が変わるのか?
Windows 10の機能更新プログラムの「Windows 10 2022 Update(バージョン22H2)」
の提供が開始された。この機能更新プログラムでは何が変わったのか、またWindows 10
のサポートはいつまで続くのかなどについてまとめてみた。
https://atmarkit.itmedia.co.jp/ait/articles/2210/25/news029.html
※全文を読むには会員登録が必要となります。

2.IPA、日本企業をだましたビジネスメール詐欺事例を公開 休み前に従業員への周知を
情報処理推進機構(IPA)は2022年12月26日、同機構が確認している
ビジネスメール詐欺(BEC)に関する事例を紹介した。
取り上げた事例を通じて同様の被害の早期発見や未然防止などセキュリティ対策に
役立ててほしい。
https://www.itmedia.co.jp/enterprise/articles/2212/28/news121.html
※全文を読むには会員登録が必要となります。

3.Officeアプリが「Microsoft 365アプリ」に、ExcelやWordがどう変わるのか
Microsoft 365にWebブラウザーからサインインすると、
「Officeアプリは、コンテンツやアイデアを検索、作成、共有するための
新しいMicrosoft 365アプリになり始めます」
というメッセージが表示されるようになった。すでに気づいている人もいるだろう。
このメッセージを見て、
「ExcelやWordなどのOfficeのデスクトップ版アプリが大きく変わる」
と勘違いする人がいるかもしれない。そうではない。
今回変わるのは、アプリの起動やサービスの切り替えなどを行う部分だ。
Officeアプリとは何か、何が変わるのかを見ていこう
https://xtech.nikkei.com/atcl/nxt/column/18/01787/010600071/?i_cid=nbpnxt_ranking
※全文を読むには会員登録が必要となります。

4.2023年に注意すべきサイバー攻撃とシステム障害、前年振り返りからピックアップ
2023年に注意すべきサイバー攻撃とシステム障害とは何か。
今回は、2022年に発生したインシデント(事故)を踏まえ、
2023年も引き続き注意が必要なサイバー攻撃やシステム障害を取り上げる
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100197/?i_cid=nbpnxt_ranking
※全文を読むには会員登録が必要となります。

━━★マイクロソフト セキュリティ情報★━━
~Microsoft 月例更新セキュリティ情報~(2022年 10月分)
深刻度:緊急「8件」重要「3件」
詳細情報:https://msrc-blog.microsoft.com/2022/10/11/202210-security-updates/

~Microsoft 月例更新セキュリティ情報~(2022年 11月分)
深刻度:緊急「7件」重要「5件」
詳細情報:https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/

~Microsoft 月例更新セキュリティ情報~(2022年 12月分)
深刻度:緊急「8件」重要「5件」
詳細情報:https://msrc-blog.microsoft.com/2022/12/13/202212-security-update/

━━★APEX セキュリティ情報★━━
■はじめに APEXセキュリティ情報とは
APEXセキュリティ情報は、各セキュリティ情報や製品情報を
弊社が特選し掲載をするものです。
Microsoft社に限らず、重要だと判断した情報は展開しておりますので
ご活用頂ければ幸いでございます。

情報源は、JPCERT/CCを主としております。
JPCERT/CC : https://www.jpcert.or.jp/

【1】Adobe AcrobatおよびReaderの脆弱性(APSB22-46)に関する注意喚起
(2022/10/12)

●概要
アドビからPDFファイル作成・変換ソフトウェアAdobe Acrobatおよび
PDFファイル閲覧ソフトウェアAdobe Acrobat Readerにおける
脆弱性に関する情報(APSB22-46)が公開されました。
脆弱性を悪用したコンテンツをユーザーが開いた場合、
実行ユーザーの権限で任意のコードが実行されるなどの可能性があります。
脆弱性の詳細については、アドビの情報を確認してください。

アドビ
Security update available for Adobe Acrobat and Reader | APSB22-46
https://helpx.adobe.com/security/products/acrobat/apsb22-46.html

●対象
対象となる製品とバージョンは次のとおりです。

– Adobe Acrobat DC Continuous(22.002.20212)およびそれ以前(Windows、macOS)
– Adobe Acrobat Reader DC Continuous(22.002.20212)およびそれ以前(Windows、macOS)
– Adobe Acrobat 2020 Classic 2020(20.005.30381)およびそれ以前(Windows、macOS)
– Adobe Acrobat Reader 2020 Classic 2020(20.005.30381)およびそれ以前(Windows、
macOS)

●対策
Adobe AcrobatおよびReaderを次の最新のバージョンに更新してください。

– Adobe Acrobat DC Continuous(22.003.20258)(Windows、macOS)
– Adobe Acrobat Reader DC Continuous(22.003.20258)(Windows、macOS)
– Adobe Acrobat 2020 Classic 2020(20.005.30407)(Windows、macOS)
– Adobe Acrobat Reader 2020 Classic 2020(20.005.30407)(Windows、macOS)

更新は、Adobe AcrobatおよびReaderの起動後、
メニューより “ヘルプ” の次に
“アップデートの有無をチェック” をクリックすることで実施できます。
メニューからの更新が不可能な場合は、
以下のURLから最新のAdobe AcrobatおよびReaderをダウンロードしてください。
詳細は、アドビの情報をご確認ください。

アドビ
Adobe Acrobat Reader DC ダウンロード
https://get2.adobe.com/jp/reader/

アドビ
Acrobat 2020 のダウンロード
https://helpx.adobe.com/jp/download-install/kb/acrobat-2020-downloads.html

●参考情報
アドビ
Latest Product Security Updates
https://helpx.adobe.com/security.html

●情報源
Adobe AcrobatおよびReaderの脆弱性(APSB22-46)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220027.html

【2】OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
(2022/11/2)

●概要
2022年11月1日(現地時間)、OpenSSL Projectから、
重要度「High」とされるOpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に
関する情報が公開されました。
OpenSSLには、X.509証明書の検証処理を通じて
バッファオーバーフローが発生する脆弱性があります。
脆弱性が悪用された場合、攻撃者が用意した悪意のある証明書により、
4バイト(CVE-2022-3602)あるいは任意のバイト数(CVE-2022-3786)の
オーバーフローを発生させられる可能性があります。
結果として、サービス運用妨害(DoS)状態にされたり(CVE-2022-3602, CVE-2022-3786)、
遠隔からのコード実行が行われたりする可能性があります(CVE-2022-3602)。

脆弱性の詳細については、OpenSSL Projectの情報を確認してください。

OpenSSL Project
OpenSSL Security Advisory [01 November 2022]
https://www.openssl.org/news/secadv/20221101.txt

OpenSSLによると本アドバイザリ公開時点(2022年11月1日)において、
本脆弱性の悪用を認識していないとのことです。
JPCERT/CCにおいても、現時点で本脆弱性に関する悪用の情報は確認していませんが、
対象となるバージョンを使用している場合には、
「III. 対策」を参考に、早期の対応を行うことを強く推奨します。

●対象
対象となるバージョンは次のとおりです。

– OpenSSL 3.0.7より前の3.0系のバージョン

OpenSSL 1.1.1および1.0.2は、この問題の影響を受けません。

●対策
OpenSSLを次の最新のバージョンに更新してください。

– OpenSSL 3.0.7

●参考情報
OpenSSL blog
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/

JVNVU#92673251
OpenSSLに複数の脆弱性
https://jvn.jp/vu/JVNVU92673251/

NCSC-NL/OpenSSL-2022
https://github.com/NCSC-NL/OpenSSL-2022
– オランダのNational Cyber Security Centre(NCSC)がGitHubにて、
本脆弱性の概要や脆弱性の影響を受ける製品一覧などの情報をまとめたページを
公開しています。

●情報源
OpenSSLの脆弱性(CVE-2022-3602、CVE-2022-3786)に関する注意喚起
https://www.jpcert.or.jp/at/2022/at220030.html

【3】FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)
に関する注意喚起
(2022/12/19更新)
●概要
2022年12月12日(現地時間)、FortinetはFortiOS SSL-VPNにおける
ヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に
関するアドバイザリ(FG-IR-22-398)を公開しました。
本脆弱性が悪用されると、認証されていない遠隔の第三者が、
細工したリクエストを送信し、任意のコードやコマンドを実行する可能性があります。

Fortinet
FortiOS – heap-based buffer overflow in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-22-398

Fortinetは、本脆弱性を悪用する攻撃を確認しています。
影響を受ける製品を利用している場合、
Fortinetが提供する最新の情報をご確認の上、
対策の適用に加え、脆弱性を悪用する攻撃の被害を受けていないか確認するための
速やかな調査実施を推奨します。

●対象
対象となる製品およびバージョンは次のとおりです。

– FortiOS バージョン 7.2.0から7.2.2まで
– FortiOS バージョン 7.0.0から7.0.8まで
– FortiOS バージョン 6.4.0から6.4.10まで
– FortiOS バージョン 6.2.0から6.2.11まで
– FortiOS バージョン 6.0.0から6.0.15まで
– FortiOS バージョン 5.6.0から5.6.14まで
– FortiOS バージョン 5.4.0から5.4.13まで
– FortiOS バージョン 5.2.0から5.2.15まで
– FortiOS バージョン 5.0.0から5.0.14まで
– FortiOS-6K7K バージョン 7.0.0から7.0.7まで
– FortiOS-6K7K バージョン 6.4.0から6.4.9まで
– FortiOS-6K7K バージョン 6.2.0から6.2.11まで
– FortiOS-6K7K バージョン 6.0.0から6.0.14まで

更新: 2022年12月14日追記
2022年12月13日(現地時間)、Fortinetのアドバイザリが更新され、
本脆弱性の影響を受ける対象バージョンとして、
FortiOSバージョン6.0系、5系が追加されたため、
上記の一覧の情報も更新しました。

●対策
Fortinetから本脆弱性を修正したバージョンへのアップグレードが推奨されています。
修正済みバージョンの適用をご検討ください。

– FortiOS バージョン 7.2.3あるいはそれ以降
– FortiOS バージョン 7.0.9あるいはそれ以降
– FortiOS バージョン 6.4.11あるいはそれ以降
– FortiOS バージョン 6.2.12あるいはそれ以降
– FortiOS バージョン 6.0.16あるいはそれ以降
– FortiOS-6K7K バージョン 7.0.8あるいはそれ以降
– FortiOS-6K7K バージョン 6.4.10あるいはそれ以降
– FortiOS-6K7K バージョン 6.2.12あるいはそれ以降
– FortiOS-6K7K バージョン 6.0.15あるいはそれ以降

更新: 2022年12月19日追記
Fortinetのアドバイザリが更新され、修正済みバージョンとしてFortiOSバージョン6.0系
に関する情報が追加されたため、上記一覧の情報も更新しました。
最新の情報はFortinetのアドバイザリをご確認ください。

●推奨対応
Fortinetは、本脆弱性を悪用する攻撃を確認しており、
対策の適用に加えて、脆弱性を悪用する攻撃の被害を受けていないか確認するため、
次のような調査の実施を推奨しています。

– 機器ログに脆弱性の悪用を示すログが記録されていないか
– 機器に不審なファイルが設置されていないか
– 機器から不審な通信先への通信が発生していないか

Fortinetが公開するアドバイザリには、
本脆弱性が悪用された可能性を示すログ、攻撃で確認された痕跡であるファイル名や
通信先が掲載されています。
調査を行う上で参考にしてください。
詳細および最新の情報については、Fortinetが提供する情報をご確認ください。

更新: 2022年12月14日追記
2022年12月13日(現地時間)、Fortinetのアドバイザリが更新され、
本脆弱性の回避策としてSSL-VPN機能の無効化が追加されています。

更新: 2022年12月19日追記
Fortinet Community
Technical Tip: [Critical vulnerability] Protect against heap-based buffer overflow in sslvpnd
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Critical-vulnerability-Protect-against-heap-based/ta-p/239420

●参考情報
Fortinet
FortiOS – heap-based buffer overflow in sslvpnd
https://www.fortiguard.com/psirt/FG-IR-22-398

●情報源
FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に
関する注意喚起
https://www.jpcert.or.jp/at/2022/at220032.html

今回の件につきまして提供いただける情報がございましたら、
JPCERT/CCまでご連絡ください。

━━★お知らせ★━━

~DM配信スケジュール~
3か月に1度(春号:4月 夏号:7月 秋号:10月 冬号:1月)配信予定

~次号配信予定~
2023年4月26日(水)

【編集後記】
冬の寒さが厳しくなって参りましたが、
皆様いかがお過ごしでしょうか。

2023年が始まりました。
今年の干支は「癸卯(みずのと・う)」

癸には「ひとつの物事が終わり、次の物事が始まる」
卯には「温和・飛躍」
などの意味があり、癸卯の年には
「これまでの努力が実を結び、大きく成長する年」
という意味があるそうです。

私自身も、これまで学んだ知識や経験を通して
大きく成長できる1年となるよう精進して参ります。

本年がより良い1年となりますように。
皆様もお体に気を付けて、お過ごしくださいませ。

◆◇————————————-
【文責】 APEX ソリューション推進部
APEX NEWS 編集者 新屋
—————————————◇◆

編集責任者: 新屋 亨真
発行責任者: 堀 智紀