Windows Updateを無効化する新たな手口が登場【セキュリティニュースまとめ】：週刊セキュリティニュース

Windows Updateを無効化する新たな手口が発表された他、ServiceNowやQNAPのソフトウェアに脆弱性が見つかった。シャープの複合機の脆弱性も報じられた。

[畑陽一郎，キーマンズネット]

　2024年10月28日を含む前後の週は、「Windows Update」を無効化して既存の脆弱（ぜいじゃく）性を復活させてしまうダウングレード攻撃の発表が関心を集めた。この攻撃は2024年8月に発表されて、Microsoftが対応したものの、新たな攻撃方法が見つかった。

　脆弱性ではService Nowの「Now Platform」やQNAPのNAS製品が使うソフトウェアの他、シャープの複合機（コピー機）で大量の発見があった。

あらゆる方面で見つかる脆弱性

　Windows Updateを攻撃する手法は研究者によって発表されたものであり、いまだに攻撃グループに悪用されたという報告はない。ただし、国家が支援する攻撃グループの「隠し球」として使われる可能性があるため、Microsoftの対応を待つ必要がある。

　企業が利用するさまざまなソフトウェアの他、複合機のような一見ハードウェアに見える機器にも脆弱性が見つかるため、脆弱性のアンテナを広く張ることが必要だ。

●2024年10月25日

　シャープは複合機に9つの脆弱性が見つかったと発表した。143モデルの複合機が対象だが、うち73モデルはサポートを終了しているため、ファームウェアのアップデートはない。「CVE-2024-47406」は複合機内部のWebサーバで認証機能を迂回できる経路が存在するというもので、CVSSv3.1のベーススコアは9.1と高い。なお、東芝テックも同日にCVE-2024-47406を含む6つの脆弱性が北米市場向きの複合機3モデルで確認できたと発表した。

　シーサート協議会は「脆弱性管理の手引き書 システム管理者編1.0版を公開した。同協議会の脆弱性管理ワーキンググループが、脆弱性管理に必要な事項を立場ごとに、ユーザ（システム管理者）、ITサービス／製品の提供者、システムインテグレーターに分類し、第1弾としてシステム管理者編を公開した。

---

●2024年10月26日

　SafeBreachはWindows Updateを乗っ取り、対策済みの脆弱性を元に戻してしまうダウングレード攻撃について発表した。この攻撃手法の初期版は2024年8月に開催されたセキュリティカンファレンス「Black Hat USA 2024」で同社のアーロン・レヴィ氏が発表済みだ。8月時点の技術は「Windows」の仮想化スタック全体に影響を及ぼす特権昇格の脆弱性「CVE-2024-21302」と「CVE-2024-38202」を利用したもので、Microsoftは8月にセキュリティ更新プログラムを公開済みだ。今回発表した技術はWindowsのセキュリティ機能の一つ「Driver Signature Enforcement」をバイパスすることで機能するため、8月時点のMicrosoftの更新プログラムでは対応できない。

---

●2024年10月29日

　ServiceNowは同社の「Now Platform」に関する2つの脆弱性に対応したセキュリティアドバイザリを発表した。「CVE-2024-8923」は共通脆弱性評価システム「CVSSv3.1」のベーススコアが9.8と高く、重大な脆弱性（critical）とされている。同脆弱性は入力検証に不備があり、サンドボックスからエスケープできるため認証せずにリモートから任意のコードを実行できる。この脆弱性は2024年8月に公開したホットフィックスなどで修正済みだ。もう一つの脆弱税「CVE-2024-8924」は2024年10月に修正済み。

　フィッシング対策協議会は「WESTER」をかたるフィッシング攻撃についての緊急情報を発表した。JR西日本グループが提供する会員サービスでポイントをプレゼントするという偽のメールを使ってカード情報などを入力させる攻撃だ。

　飲食物の宅配デリバリーサービスを提供する出前館はマルウェアによるシステム障害と復旧について発表した。2024年10月25日にサーバが高負荷となったため、サービスを提供したのち、問題のサーバを切り離してサービスを再開した。同年10月26日に他のサーバが高負荷となり、サービスを停止した後、暗号資産をマイニングするクリプトマイナー型のマルウェア「RedTail」に感染していたことが分かったという。同年10月29日に宅配デリバリーサービスを再開した。

　KADOKAWAはグループポータルサイトを再開したと発表した。2024年6月の攻撃から復旧した。すでに動画サービス「ニコニコ」などは再開済みだ。

---

●2024年10月30日

　QNAPは同社のNAS製品が利用するファイル共有ツールやバックアップツールに2つの脆弱性が見つかったと発表した。同年10月29日と同年10月30日にセキュリティアドバイザリを公表済みだ。「CVE-2024-50387」はSMBサービスの脆弱性で重大な脆弱性（critical）に分類された。「CVE-2024-50388」はバックアップ機能を提供する「HBS 3 Hybrid Backup Sync」の脆弱性で、同じく重大な脆弱性（critical）だ。

　紅茶専門店を運営するカレルチャペックは第三者による不正アクセスのために個人情報が漏えいした可能性があると発表した。カレルチャペック紅茶店公式通販サイトから顧客の個人情報10万3289件とクレジットカード情報延べ5万8407件の漏えいが疑われるという。2024年5月22日に同社が契約するシステム会社からクレジットカード情報の漏えいの懸念があるという連絡を受け、同年5月30日に通販サイトを停止し、同年6月5日に公開した情報の続報だ。

　同年9月9日に調査機関による調査が終了した結果、通販サイトのシステムの脆弱性を利用した不正アクセスにより、サイトのアプリケーションが改ざんされていた。2020年4月26〜2024年5月21日の4年間に公式通販サイトで会員登録をした顧客の氏名と住所、電話番号、生年月日、電子メールアドレス、ログインID、ログインパスワード、配送先情報が漏えいした可能性がある。同期間にクレジットカード決済した顧客延べ58407人のカード名義人名とクレジットカード番号、有効期限、セキュリティコードの漏えいも疑われている。問題の発覚から5カ月以上を要したことと、クレジットカード情報の漏えいが疑われることが課題だ。

---

●2024年10月31日

　コールセンターを事業を運営するベルシステム24は海外の子会社のサーバが不正アクセスを受けたと発表した。2024年6月17日にベトナムの子会社BELLSYSTEM24 VIETNAM（BSV）が利用するサーバが不正アクセスを受けていたことが発覚し、外部企業のフォレンジック調査を進めたところ、同年9月17日に同社の退職者を含む従業員の個人情報にアクセスされていたことが分かった。氏名と社用メールアドレス、社用電話番号が漏えいした可能性があるという。