Struts 2の脆弱性、三度目の正直なのか:セキュリティクラスタ まとめのまとめ 2017年9月版(3/3 ページ)
2017年9月のセキュリティクラスタ、話題の中心は「Apache Struts 2」でした。リモートからサーバOSのコマンドが実行できる脆弱(ぜいじゃく)性が見つかったのは、2017年に限っても3度目です。未成年者のネットを使った犯罪では、中学生とは思えないほど手の込んでいたチケットの販売詐欺と、メルカリを使ったウイルス情報販売が話題になりました。またBluetoothをオンにしているだけで乗っ取られるという「BlueBorne」脆弱性が公表されてAndroidユーザーを中心に騒ぎとなりました。
Bluetoothをオンにしているだけで乗っ取られる? 「BlueBorne」脆弱性
9月12日に米国のセキュリティ企業ArmisがBluetoothに関する脆弱性「BlueBorne」を公開しました。Bluetoothはキーボードやマウス、ヘッドフォンなどと、PCやスマートフォンを無線接続するために広く使われています。Bluetooth設定をオンにしていると、攻撃者に近寄られるだけで機器が乗っ取られてしまう脆弱性だということです。
特設サイトや乗っ取りのデモ動画など準備万端で公開された「BlueBorne」は、1つの脆弱性ではなく幾つかの脆弱性の総称でした(Armisの発表資料)。
発表によれはAndroidの他、Windows、Linux、iOS、Apple TVのtvOSにも影響があるということで、82億台ものデバイスが影響を受けるということです。既に機器を乗っ取るPoC(Proof of Concept)も出回っているため、Bluetoothをオンにして歩き回っているだけで、悪意を持った人物が知らないうちに端末を乗っ取ってしまう危険性があるということです。Armisは脆弱性があるかどうか簡単にチェックできるツールを公開しています。心配な方はチェックしてみるといいでしょう。
Bluetoothを使用しているデバイス全体に関わる問題とはいえ、特に騒ぎになっているのはAndroidユーザーかいわいです。WindowsやLinux、macOS、iOSでは既に脆弱性に対応したアップデートが行われており、知らないうちに自動アップデートされていることも多いでしょう。
Androidに関してもGoogleからアップデートは公開されています。しかし、Android端末には都合が悪いところがあります。端末を販売した事業者がすぐにアップデートを公開するとは限らないのです。現在でも脆弱性が残ったままになっている端末が多く、安全を確保するにはBluetoothを使用しない以外の選択肢がないようです。
容易にアップデートできないIoTや組み込み機器のことを心配するツイートも多く見られました。
この他にも9月のセキュリティクラスタは次のような話題で盛り上がっていました。10月はどのようなことが起きるのでしょうね。
- 北朝鮮からミサイルが発射されたので標的型攻撃メールの訓練やるなら今じゃないか?
- DoCoMoのWi-Fiルーターにバックドアが埋め込まれていたことが判明
- 新しいChromeで使えるようになるWebUSB APIって安全性はどうなの?
- CCleanerの公式ファイルが改ざんされてマルウェア入りで配布されていた
- 多数の金融機関のWebサイトに対してDDoS攻撃が行われる
- Androidスマホ14万台が乗っ取られている!?
著者プロフィール
山本洋介山(NTTコミュニケーションズ株式会社)
Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。
Copyright © ITmedia, Inc. All Rights Reserved.