セキュリティ対応に課題が残るVMware製品【セキュリティニュースまとめ】：週刊セキュリティニュース

2024年10月21日週は、VMware vCenter Serverのセキュリティアップデートに失敗したBroadの他、Fortinetの「FortiManager」に深刻な脆弱性が見つかったことなどが報じられた。

[畑陽一郎，キーマンズネット]

　2024年10月21日週は、ソフトウェアの脆弱（ぜいじゃく）性対応と、ランサムウェアの被害が目立った。VMwareを買収したBroadcomの他、FortinetやCisco Systemsが脆弱性情報を発表した。

　ランサムウェアでは日本郵船グループのMTIの事例が示唆に富む。同社は従業員数70人と小規模だが、船舶に関する技術で多数の受賞歴がある。高度な技術を持つ企業が狙われた事例だと捉えられるかもしれない。

次々見つかる深刻な脆弱性

　Broadcomの課題はセキュリティアップデートに手間取ったことだ。いったん公開した「VMware vCenter Server」のアップデートに問題が見つかったことから再度修正版を発表した。脆弱性の問題解決まで1カ月以上かかったことになる。

●2024年10月21日

　Broadcomは「VMware vCenter Server」のアップデートについて発表した。DCERPCプロトコルの実装に問題があり、ヒープオーバーフローが生じて悪用されるとリモートからコードを実行される恐れがある脆弱性「CVE-2024-38812」と「CVE-2024-38813」が見つかった結果、2024年9月17日にセキュリティアドバイザリを公開した。しかし、2024年9月20日に公開された「VMware vCenter Server 8.0 U3b」に問題があることが分かり、CVE-2024-38812を正しく修正できる「VMware vCenter Server 8.0 U3d」を同年10月21日公開し、併せて同じ問題が見つかったために「VMware vCenter Server 7.0 U3t」の提供も始めた。CVE-2024-38812のCVSSv3.1のベーススコアは9.8、重要度はクリティカル（Critical）だ。

　MTIはランサムウェア攻撃を受けて個人情報が漏えいした可能性があると発表した。同社は日本郵船グループで無人運行船や船舶IoTなどの技術開発を手掛ける。攻撃者が何らかの方法で正規の認証情報を入手して、2024年8月22日〜25日に不正アクセスを試みた結果、同年8月25日にサーバがランサムウェア攻撃を受けたことが発覚した。外部へ流出した可能性がある個人情報は、同社の従業員（退職者や採用応募者を含む）の氏名や会社名、生年月日、性別、住所、電話番号、電子メールアドレス（個人、会社）、銀行口座情報、学歴、職歴、要配慮個人情報の他、取引先の従業員に関する氏名や会社名、生年月日、性別、住所、電子メールアドレス（個人、会社）だ。

---

●2024年10月22日

　バーガーキングを運営するビーケー・ジャパンは公式アプリへの不正アクセスにより、個人情報が漏えいしたと発表した。2024年8月15日に30件、同10月8日に8件の漏えいが分かった。アプリ会員の電子メールアドレス、アプリのパスワード、登録クレジットカードのブランドと有効期限が対象だ。なお、クレジットカード番号や暗証番号は漏えいしていないという。

　キッザニアを運営するKCJ GROUPは不正アクセスによる顧客の個人情報流出の恐れがあることを発表した。2024年10月16日に不正アクセスを検知して防御措置をとったものの、同10月17日に個人情報流出の恐れがあることが判明し、即日、情報流出の遮断措置を実施した。キッザニアの予約の際に登録した氏名や電子メールアドレス、電話番号、郵便番号などが対象だ。件数は調査中だが、クレジットカード情報は流出していないという。

　国立遺伝学研究所情報・システム研究機構DDBJは同機構のデータを盗んだとする国際的な攻撃者からの脅迫について発表した。同機構は世界中の研究者から提供されたヒトや動植物のDNAなどの塩基配列データを国際塩基配列データベース「DDBJ」を共同利用（INSDC）として公開している。同機構によれば2024年10月8日にXで「CyberVolk」と自称する犯罪グループから盗み出したDDBJの5％を公開しており、1万ドルを支払わなければ残りの95％を公開するという脅迫を受けた。同機構によれば、犯人が公開したデータは、誰でも無料でダウンロードできるBioSampleデータベースの一部であり、脅迫には意味がないという。内部調査の結果、システムへの不正侵入や内部システムの改ざん、データ消失などは確認されなかったという。

　情報処理推進機構（IPA）は情報セキュリティ安心相談窓口の相談状況を発表した。2024年7〜9月に2804件の相談を受けた。前年同期と比較して相談件数は約30％増加しており、手口別ではその他に分類される項目が1797件（64％）と最も多く、次いでウイルス検出の偽警告（835件）が約34％を占めた。問い合わせでは個人からのもの（81％）が最も多かった。

　Holly's Cafeを運営するホリーズはサイバー攻撃を受けてWebページが改ざんされたと発表した。同社は関西圏に約90店舗のカフェを展開している。同社によれば2024年9月19日に改ざんが起こり、不正プログラムを挿入された結果、無関係なWebサイトへのリダイレクトの他、検索サイトへ不正インデックスが追加されていた。メールサーバへの不正アクセスはなく、データベースに個人情報を保管していないため、流出のリスクはないという。

---

●2024年10月23日

　Fortinetは「FortiManager」に深刻な脆弱性が見つかったと発表した。公開されたセキュリティアドバイザリによれば、重要な機能に対する認証が欠落する脆弱性「CVE-2024-47575」を悪用されると、リモートの認証されていない攻撃者に、特別に細工されたリクエストを経由して任意のコードまたはコマンドを実行される可能性がある。共通脆弱性評価システム「CVSSv3.1」のベーススコアは9.8、重要度は4段階中で最も高いクリティカル（Critical）だ。影響がある製品のバージョンはFortiManager 6.2、6.4、7.0、7.2、7.4、7.6と、「FortiManager Cloud」の6.4、7.0、7.2、7.4、7.6。この脆弱性についてはJPCERT/CCが2024年10月25日に注意喚起を発表した。

　Cisco Systemsはセキュリティアドバイザリを36件発表した。重要度別では、4段階中最も高いクリティカル（Critical）3件、高（High）が11件、中（Medium）が21件に分かれる。クリティカルのうちの一つ、「Cisco Adaptive Security Appliance Software SSH Remote Command Injection Vulnerability」では、リモートから悪用が可能なコマンドインジェクションの脆弱性「CVE-2024-20329」がある。CVSSv3.1のベーススコアは9.9だ。