既知の調査では発見できない厄介な脆弱性とは【セキュリティ注目トピック】：週刊セキュリティニュース

今回発表されたWindowsの月例セキュリティ更新プログラムでは、4件の重大な脆弱性を含む、92件の脆弱性に対応した。これ以外にWindows Server 2025へユーザーの同意なくアップグレードされる事例が見つかった。

[畑陽一郎，キーマンズネット]

　2024年11月11日を含む前後の週は、脆弱（ぜいじゃく）性の発表が相次いだ。MicrosoftやAdobe Systems、Fortinet、Ivantiなどだ。

　この他、米国や英国などのサイバーセキュリティ機関は共同で2023年に悪用された最も危険な15の脆弱性と、利用されやすい32の脆弱性を発表した。勤務先で利用している製品が該当しないかどうかを確認した方がよさそうだ。

JPCERT/CCも注意喚起　既知の調査では見つからない脆弱性が

　脆弱性の発表以外にもランサムウェア攻撃の被害や、テレビ局へのサイバー攻撃が報道された。1週間のセキュリティインシデントを振り返ってみよう。

---

●2024年11月9日

　Microsoftは「Windows Server 2022」と「Windows Server 2019」がユーザーの意図に反して「Windows Server 2025」にアップグレードされる場合があると発表した。Windows Server 2025はすでに「Windows Update」でオプションとして提供されている。Microsoftによると、特定環境下で意図せずWindows Server 2025へアップグレードされる事象が2種類確認できたという。暫定的な措置として、MicrosoftはWindows Update設定パネル経由でのアップグレード提供を一時停止した。

---

●2024年11月11日

　Ivantiは同社のネットワークアクセス管理製品の脆弱性についてセキュリティアドバイザリを発表した。対象製品は「Ivanti Connect Secure」と「Ivanti Policy Secure」「Ivanti Secure Access Client」で、脆弱性は25件ある。そのうち共通脆弱性評価システム「CVSSv3.1」のベーススコアが9.1と評価された脆弱性は認証された管理者権限を持つ攻撃者がリモートでコードを実行する可能性がある「CVE-2024-38655」や「CVE-2024-38656」など8件あり、いずれも重大な脆弱性（critical）だとした。

---

●2024年11月12日

　Microsoftは「2024年11月のセキュリティ更新プログラム (月例)」を発表した。脆弱性は92件あり、そのうち重大な脆弱性（critical）は4件だった。「.NET」と「Visual Studio」でリモートコードが実行される「CVE-2024-43498」と、「Airlift.microsoft.com」で特権の昇格が起こる「CVE-2024-49056」、Windows Kerberos認証のKDCでリモートコードが実行される「CVE-2024-43639」、Windows VMSwitchで特権昇格が起こる「CVE-2024-43625」だ。

　米国のCISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）や連邦捜査局（FBI）、国家安全保障局（NSA）の他、オーストラリアやカナダ、ニュージーランド、英国のサイバーセキュリティ機関は共同で2023年に頻繁に悪用された上位15件の脆弱性を発表した。悪意のあるサイバー攻撃者が公開から2年以内の脆弱性を悪用することに成功した例が多いという。ベンダー名を見ると、Cisco SystemsとCitrix Systems、Microsoftが2件ずつある他、Atlassian、Barracuda Networks、Fortinet、JetBrains、Progress Software、PaperCut Software、Zohoが1件ずつ、オープンソース系のApacheとownCloudも1件ずつ挙がっている。発表資料にはこの他、犯罪者が日常的に悪用する32件の脆弱性も挙がっている。

　Adobe Systemsは「Adobe Commerce」や「Magento」「Adobe Photoshop」「Adobe Illustrator」「Adobe InDesign」「Adobe After Effects」「Adobe Substance 3D Painter」についてセキュリティアドバイザリを発表した。これら6件は同社による評価でプライオリティが3段階中最も高い「クリティカル」とされた。例えばAdobe Photoshopの脆弱性「CVE-2024-49514」を利用すると、任意のコードが実行される可能性がある。

---

●2024年11月15日

　テレビ埼玉は不正アクセスによって個人情報の漏えいが起こる可能性があると発表した。テレビ埼玉のWebサイト用のサーバが2024年11月11日22時ごろから同12日0時ごろにかけて外部から不正アクセスを受けたことで、番組プレゼントやご意見投稿フォームなどから投稿された氏名や住所、電話番号、メールアドレス、ニックネーム、年齢、性別、ご意見などのコメント内容の情報が漏えいした可能性があるという。件数は2024年11月13日に第1報を公開した時点では3万9000件としていたが、重複があり、正しくは約1万2000件だという。クレジットカード情報は漏えいの対象に含まれていない。

　JPCERT/CCはFortinetの「FortiManager」について注意喚起を発表した。「CVE-2024-47575」について実証コードが公開されており、認証を経ずに、リモートで任意のコードを実行することが可能になる。すでに2024年6月から攻撃に利用されており、同9月には大規模な攻撃に発展した。この脆弱性について詳細な情報の他、実証コード（PoC）が公開されていること、さらにこの脆弱性とは別の脆弱性がFortiManagerに存在するという指摘や、既知の調査方法で検出されないような脆弱性の悪用方法を解説する情報が見つかったため、注意喚起に及んだ。日本国内の組織によってこの脆弱性が利用された可能性を示すログが複数確認されたという情報も確認したという。

　AISはランサムウェア攻撃によって情報漏えいの恐れがあると発表した。同社は海運システム用の製品などを開発、販売している。2024年11月8日に第一報として、同年11月15日に一部のサーバがランサムウェア攻撃によって暗号化されたことを報告していた。調査の結果、ランサムウェア攻撃によって暗号化されたり、閲覧もしくは持ち出しされたりした可能性があるファイルには、顧客を含めた取引先の企業情報や個人情報が含まれていたことが判明した。なお、同年11月13日にフォレンジック調査を開始した。