先週ニュースになっていたRyzenやEPYCサーバ、X370チップセットの脆弱性問題についてです。AMDはまだ調査の結果などの続報を公表していませんが、脆弱性情報そのものに疑問の声が上がっているそうです。
[ITmedia]
AMDに連絡するとほぼ同時に脆弱性情報が一般公開されたことについては、AMDも”一般的ではない”という表現で指摘をしていましたが、それとは別に攻撃成功の前提条件として管理者権限が必要となっている点について、専用サイトを作って大々的に公表するほど深刻な脆弱性なのかという疑問の声が上がっているようです。
AMDの見解を見てみないと何とも言えませんが、前提条件が困難なのに宣伝の仕方が派手というのは言われてみると納得の指摘です。
RyzenにはCPUとは別にセキュリティチップが内蔵されていますが、そのセキュリティチップに脆弱性が見つかったとのことです。
[PC Watch]
脆弱性を利用するためにはローカルの管理者権限が必要らしいのですが、心配になる情報です。
AMD側も対応する旨を発表していますが、事前に連絡なく脆弱性が公表されたことについて”unusual”(普通でない)との表現で指摘をしています。
確かにJPCERT/CCの脆弱性情報ハンドリングのプロセスを見ると、脆弱性情報の一般公開前には関係するベンダとの慎重な調整が行われていることが分かります。
似たような例では、Googleが既に悪用されているWindowsの脆弱性情報をパッチ提供前に公表し、Microsoftが批判するということも過去にありました。ただしこの時はむやみに公開をしたものではなく、Googleの情報公開ポリシにてらして重大な事案であると判断したために公表したようです。
[ITmedia]
少々ただ事でない感じで情報が伝わってきましたが、今後の情報アップデートは注意してチェックしていきたいです。
IPAが毎年公開している情報セキュリティ10大脅威の2018年版順位が公開されました。
[IPA 情報処理推進機構]
これは情報セキュリティの各種脅威について、個人部門と企業部門でそれぞれ10位までランキング形式でまとめてあるものです。
ランキングの変動を見ると、各脅威のトレンド感を知ることができます。
また、3月に公表される解説資料が分かりやすいので、とても重宝します。出典を明示すれば引用も可となっているので、助かります。
2018版は個人部門では”ネット上の誹謗中傷”が順位を上げました。これは以前は匿名での誹謗中傷とされていたものです。最近のネット上での犯罪予告の増加や、SNSのいわゆる炎上なども含めての脅威となっています。私もささやかながらブログで発信をする身なので、発信内容には十分注意していきたいところです。
その他個人部門では”偽警告”がランク外からランクインしてきました。手法自体は昔からありますが、最近のものはモバイルに最適化されており、いきなり全画面をジャックするようなものも出てきているので悪質になって来ていると思います。
企業部門では3~5位がランク外からのランクインとなっています。特に4位の”脆弱性情報の公開に伴い公知となる悪用の増加”は気になります。当ブログのWordPressは自分でインストールしたものなので、アップデートなどの保守は自分で行わないといけません。脆弱性修正の対応も自己の責任になるので、しっかり管理をしていきたいところです。
新年からCPUの投機的実行に関する脆弱性の話題がニュースなどでも大きく取り上げられています。x86系のCPUからARMに至るまで影響があるので、取り扱いも大きくなっているようです。
[PC Watch]
AMDもこの件については個別に情報提供をしており、3つ報告されている脆弱性のうち、Bounds Check BypassについてはOSのアップデートによる対策が必要としています。アップデートによるパフォーマンスへの影響は無視できるレベルだそうです。
Branch Target Injectionについてはアーキテクチャの違いによりリスクはほぼゼロとの認識で、AMD側ではこの脆弱性を突いた攻撃の成功を確認できなかったそうです。
Rogue Data Cache Loadについては同様にアーキテクチャの違いでゼロリスクとしています。
一消費者としてできるのはやはり適切なパッチ適用ということなので、配布があり次第早速更新しようと思っています。
昨日の夕方に見た時には限定的な状況での話なのかと思っていたのですが、今日になって広汎に影響があるらしいという情報が様々なニュース提供元から入ってきたので驚きました。
[Internet Watch]
[情報処理推進機構]
17日の夜にこのエントリを書いている時点で実証コードが発見されたり、実際の被害が発生してはいないようなのですが、影響範囲が広いのとモバイルOSについてはパッチ提供までに若干の時間を要するということもあって心配です。
とりあえず念には念をということで、当面はWi-Fi抜き生活で行こうと思います。
Wannacryの一件があったのはついこの前のように感じますが、直近で新しいランサムウェアの感染が拡大しているそうです。
[情報処理推進機構]
[Internet Watch]
通称”GoldenEye”というそうですが、元々確認されていた”Petya”というランサムウェアの亜種だそうです。Wannacryの感染経路とされているSMBの脆弱性(MS17-010)によって感染を広げていくとの報告があるそうです。
最初の感染経路としてはOfficeのマクロウイルスの形態を取っているという情報もあるそうですので、引き続き各種最新のアップデート適用と不審なメールへの警戒は怠らないようにしたいものです。
マイクロソフト・日本のセキュリティチームのblogに興味深いエントリが投稿されていました。
[マイクロソフト 日本のセキュリティチーム]
Windowsに組み込まれているWindows Defenderと、セキュリティチームの活動状況についてのレポートです。
Windows Defenderは当初はアンチスパイウェアソフトでしたが、いまやアンチウイルス機能も統合し、OSに完全に組み込まれています。
紹介されているレポートを見てみると今やウイルスと疑われる挙動はクラウド保護システムで判定されるようになっているんだそうです。
もちろん人の手が必要な部分もあるそうですがそれはごくわずかで、大半の脅威への対応はクラウド保護システムが対応しているんだそうです。よく流行るウイルスが出回ると亜種も出現すると言いますが、現代に流通しているウイルスは1個1個が異なる亜種と言っても良いレベルで異なるものとのことです。当然これらはパターンマッチングで判定することはできませんから、対策もこのように進化しているそうです。
Windows Defenderは元がアンチスパイウェアソフトだったというのもあって、アンチウイルス機能も当初は有償のウイルスソフトを用意できない人向けに最低限の機能を提供しているというイメージがありましたが、今回レポートを読んでみて想像以上に進化していることに驚きました。Windows Defenderに対する認識が改まりました。
レポートでは実際にマイクロソフトが日夜処理している脅威が数字とともに示されているので、分かりやすく、面白い内容になっていると思います。
今月は既に悪用されているコードもあるということで、サポート切れOSにもパッチが提供されています。
[窓の杜]
[日本マイクロソフト 日本のセキュリティチーム]
サポート切れOSにパッチが配信されるのはマルウェア”WannaCrypt”の対応に続いてですが、
”国家レベルでの攻撃および情報開示による悪用の危険性が高まっているため、”
というなかなか見ない強い表現も気になります。毎度のことですが早めのアップデートが吉でしょう。
ちょうど日本は週末にかかっているので”海外での情報”という形で多数報道されていますが、大変な被害になっているようです。
[ITmedia]
上記記事にある通り、Microsofはサポート切れOSに対しても異例のパッチ提供を行っています。
また、マイクロソフトの日本のセキュリティチームのblogに分かりやすく情報がまとまっています。
[マイクロソフト 日本のセキュリティチーム]
対策として、マルウェア対策製品の定義ファイルのアップデートと、当該マルウェアが利用するWindowsの脆弱性修正パッチの適用が挙げられています。改めてですが、マルウェア対策製品やWindowsを最新の状態に保つことには気を配っておきたいところです。
国内でもコンテンツ改ざん被害が出ているようで、IPAから緊急の情報が出ています。
[(独)情報処理推進機構]
情報を読んでいて考えさせられたのが以下の内容です。
開発者は本脆弱性を 1 月 26 日に更新された「4.7.2」で修正しましたが、利用者の安全を確保するため、脆弱性の内容については 2 月 1 日まで公開を遅らせていたとのことです。今回のケースを教訓に、今後も最新版が公開された場合は早急にアップデートを実施してください。
今まではなんとなく「新しいものが最良」という認識で即時アップデートをしていたのですが、「アップデートが出ている以上、既に何かの危険がある」と思っておいた方が良さそうです。
WordPressはかなりのシェアを持つCMSなので、脆弱性が発見されると狙われがちです。
ささやかなblogではありますが、自分で管理している以上こういったところもきっちりやっていきたいところです。