最新コンピュータウィルス・セキュリティ情報
NEWS
- マルウェアEmotet感染の確認方法と対策
Emotet感染有無確認ツールEmoCheck
https://github.com/JPCERTCC/EmoCheck/releases
※ EmoCheckは最新バージョンのものをご利用ください。
JPCERT/CC 解説動画
Emotet感染の確認方法と対策(2022年3月7日公開)
https://www.youtube.com/watch?v=nqxikr1x2ag - 複数のCisco製品に脆弱性(2023年2月8日)
複数のCisco製品には、脆弱性があります。結果として、当該製品のユーザーが製品が動作しているOS上でroot権限で任意のコマンドを実行するなどの可能性があります。
影響を受ける製品、バージョンは多岐にわたります。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。
なお、一部の製品はサポート終了のため、修正済みのバージョンは提供されていません。詳細は、Ciscoが提供する情報を参照してください。 - 複数のApple製品に脆弱性(2023年2月1日)
複数のApple製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Safari 16.3より前のバージョン
- iOS 12.5.7より前の12系バージョン
- iOS 15.7.3より前の15系バージョン
- iOS 16.3より前の16系バージョン
- iPadOS 15.7.3より前の15系バージョン
- iPadOS 16.3より前の16系バージョン
- macOS Big Sur 11.7.3より前のバージョン
- macOS Monterey 12.6.3より前のバージョン
- macOS Ventura 13.2より前のバージョン
- watchOS 9.3より前のバージョン
この問題は、該当する製品を Apple が提供する修正済みのバージョンに更新することで解決します。
詳細は、Apple が提供する情報を参照してください。 - Google Chromeに複数の脆弱性(2023年2月1日)
Google Chromeには、複数の脆弱性があります。
対象となるバージョンは次のとおりです。
- Google Chrome 109.0.5414.119より前のバージョン
この問題は、Google Chrome を Google が提供する修正済みのバージョンに更新することで解決します。
詳細は、Google が提供する情報を参照してください。 - Firefoxに複数の脆弱性(2023年1月25日)
Firefoxには、複数の脆弱性があります。結果として、遠隔の第三者が任意のファイルを読み取るなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 109より前のバージョン
- Mozilla Firefox ESR 102.7より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新することで解決します。
詳細は、Mozillaが提供する情報を参照してください。 - 複数のマイクロソフト製品に脆弱性(2023年1月18日)
複数のマイクロソフト製品には、脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、マイクロソフト株式会社が提供する情報を参照してください。
マイクロソフト株式会社
2023年1月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2023/1/10/202301-security-update/
JPCERT/CC 注意喚起
2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起
https://www.jpcert.or.jp/at/2023/at230002.html - Windows 8.1サポートは2023年1月10日に終了しました(2023年1月18日)
Windows 8.1は2023年1月10日にサポートが終了しました。この時点で、テクニカルアシスタンスとソフトウェア更新プログラムは提供されなくなります。Windows 8.1を実行しているデバイスがある場合は、より最新のサービスおよびサポートされているWindowsリリースにアップグレードすることをお勧めします。デバイスがWindowsのより最新のリリースを実行するための技術的な要件を満たしていない場合は、デバイスをWindows 11をサポートするデバイスに置き換えるこ とをお勧めします。
また、同社が提供するWindows 7 ESU、Windows Server 2008 ESU、Windows Server 2008 R2 ESUのサポートも終了しました。 - 複数の Adobe 製品に脆弱性(2023年1月18日)
複数のアドビ製品には、脆弱性があります。結果として、攻撃者が用意した悪意のあるコンテンツをユーザーが開いた場合、任意のコードが実行されるなどの可能性があります。
対象となる製品は次のとおりです。
- Adobe Acrobat
- Adobe Acrobat Reader
- Adobe InDesign
- Adobe InCopy
- Adobe Dimension
この問題は、該当する製品をアドビが提供する修正済みのバージョンに更新することで解決します。
詳細は、アドビが提供する情報を参照してください。 - 2023年1月マイクロソフトセキュリティ更新プログラムに関する注意喚起(2023年1月11日)
マイクロソフトから同社製品の脆弱性を修正する2023年1月のセキュリティ更新プログラムが公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。マイ クロソフトが提供する情報を参照し、早急に更新プログラムを適用してください。
マイクロソフト株式会社
2023 年 1 月のセキュリティ更新プログラム
https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2023-Jan
マイクロソフト株式会社
2023 年 1 月のセキュリティ更新プログラム (月例)
https://msrc-blog.microsoft.com/2023/1/10/202301-security-update/ - Adobe AcrobatおよびReaderの脆弱性(APSB23-01)に関する注意喚起(2023年1月11日)
アドビからPDFファイル作成・変換ソフトウェアAdobe AcrobatおよびPDFファイル閲覧ソフトウェアAdobe Acrobat Readerにおける脆弱性に関する情報 (APSB23-01)が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、実行ユーザーの権限で任意のコードが実行されるなどの可能性があります。脆弱性の詳細については、アドビの情報を確認してください。
対象となる製品とバージョンは次のとおりです。
- Adobe Acrobat DC Continuous(22.003.20282)およびそれ以前(Windows)
- Adobe Acrobat DC Continuous(22.003.20281)およびそれ以前(macOS)
- Adobe Acrobat Reader DC Continuous(22.003.20282)およびそれ以前(Windows)
- Adobe Acrobat Reader DC Continuous(22.003.20281)およびそれ以前(macOS)
- Adobe Acrobat 2020 Classic 2020(20.005.30418)およびそれ以前(Windows、macOS)
- Adobe Acrobat Reader 2020 Classic 2020(20.005.30418)およびそれ以前(Windows、macOS)
Adobe AcrobatおよびReaderを次の最新のバージョンに更新してください。
- Adobe Acrobat DC Continuous(22.003.20310)(Windows、macOS)
- Adobe Acrobat Reader DC Continuous(22.003.20310)(Windows、macOS)
- Adobe Acrobat 2020 Classic 2020(20.005.30436)(Windows、macOS)
- Adobe Acrobat Reader 2020 Classic 2020(20.005.30436)(Windows、macOS)
更新は、Adobe AcrobatおよびReaderの起動後、メニューより "ヘルプ" の次に "アップデートの有無をチェック" をクリックすることで実施できます。メニューからの更新が不可能な場合は、以下のURLから最新のAdobe AcrobatおよびReaderをダウンロードしてください。詳細は、アドビの情報をご確認ください。
アドビシステムズ
Adobe Acrobat Reader DC ダウンロード
https://get.adobe.com/jp/reader/ - Mozilla Thunderbirdにコード実行の脆弱性(2022年12月28日)
Mozilla Thunderbirdでは、名前の長いファイルをドラッグ&ドロップした場合、ファイル名が切り捨てられる脆弱性があります。結果として、遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Thunderbird 102.6.1より前のバージョン
この問題は、Mozilla ThunderbirdをMozillaが提供する修正済みのバージョンに更新することで解決します。詳細は、Mozillaが提供する情報を参照してください。
詳細は、Mozillaが提供する情報を参照してください。 - 複数のMozilla製品に脆弱性(2022年12月21日)
複数のMozilla製品には、複数の脆弱性があります。結果として、攻撃者が対象のMozilla製品をクラッシュさせるなどの可能性があります。
対象となる製品およびバージョンは次のとおりです。
- Mozilla Firefox 108より前のバージョン
- Mozilla Firefox ESR 102.6より前のバージョン
- Mozilla Thunderbird 102.6より前のバージョン
この問題は、該当する製品をMozillaが提供する修正済みのバージョンに更新することで解決します。
詳細は、Mozillaが提供する情報を参照してください。 - バッファロー製ネットワーク機器に複数の脆弱性(2022年12月14日)
バッファロー製ネットワーク機器には、複数の脆弱性があります。結果として、隣接するネットワーク上から当該機器の管理画面にログイン可能な第三者が、デバッグ機能を不正に有効化し、任意のコマンドを実行するなどの可能性があ ります。
対象となる製品は多岐にわたります。詳細は、株式会社バッファローが提供する情報を参照してください。
この問題は、該当する製品を株式会社バッファローが提供する修正済みのバージョンに更新することで解決します。詳細は、株式会社バッファローが提供する情報を参照してください。
株式会社バッファロー
ルーター等の一部商品における複数の脆弱性とその対処方法 https://www.buffalo.jp/news/detail/20221205-01.html - WordPressに複数の脆弱性(2022年11月16日)
WordPressには、複数の脆弱性があります。結果として、当該製品を使用するサイトを閲覧しているユーザーのWebブラウザー上で、任意のスクリプトが実行されるなどの可能性があります。
対象となるバージョンは次のとおりです。
- WordPress 6.0.3より前のバージョン
この問題は、該当する製品をWordPressが提供する修正済みのバージョンに更新することで解決します。詳細は、WordPressが提供する情報を参照してください。 - マルウェアEmotetの感染再拡大に関する注意喚起(2022年11月4日)
I. 概要
JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けています。特に2022年2月の第一週よりEmotetの感染が急速に拡大していることを確認しています。Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。感染や被害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や点検を推奨します。
https://www.jpcert.or.jp/at/2022/at220006_fig1.png
[ Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)(2022年3月3日更新)]
** 更新: 2022年3月3日追記 ********************************************
2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。国内感染組織から国内組織に対するメール配信も増えています。
感染のさらなる拡大を防ぐため、改めて、取引先などから送られているようにみえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないようご注意いただき、組織内で注意を呼び掛けるなど警戒を高めていただくことを推奨します。また、感染の恐れがある場合、EmoCheckやFAQの内容を参考に、感染被疑端末や自組織での感染有無やインフラの悪用有無などの調査や対応を実施してください。
**********************************************************************
** 更新: 2022年11月4日追記 *******************************************
2022年7月中旬よりEmotetの感染に至るメールは国内では観測されておりませ んでしたが、11月2日よりメールの配布が観測されています。基本的な攻撃手 口は変わらず、メールには悪性なxlsファイルあるいはxlsファイルを含むパス ワード付きのZIPファイルが添付されています。引き続き警戒いただき、対策 や対応時には本注意喚起の情報をご参照ください。 **********************************************************************
II. 確認しているEmotetの特徴/動向
2021年11月後半より観測されているEmotetは、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がります。このような手法の他にも、メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染をねらうケースも観測しています。
メールの本文には添付ファイルの開封を、ExcelやWordファイルにはマクロの実行を促す内容が記述されています。JPCERT/CCで確認しているメールのサンプルは次のとおりです。
https://www.jpcert.or.jp/at/2022/at220006_fig2.png
[Emotetメールサンプル]
https://www.jpcert.or.jp/at/2022/at220006_fig3.png
[添付ファイルを開いた際に表示されるマクロ実行を促すメッセージ例]
** 更新: 2022年11月4日追記 *******************************************
2022年11月、Emotetの感染に至るxlsファイルで、xlsファイルを特定のフォル ダにコピーして実行するよう促すものが観測されています。Officeの設定で 「信頼できる場所」に登録されているようなフォルダパスにxlsファイルをコ ピーさせた後に実行させることで、警告を表示させずに悪性なマクロを実行す ることを試みていると考えられます。
https://www.jpcert.or.jp/at/2022/at220006_fig3-1.png
[図3-1:特定の場所にコピーして実行することを求めるxlsファイル(2022年11月4日追記)] **********************************************************************
** 更新: 2022年3月3日追記 ********************************************
2022年3月3日、なりすましの新たな手法として、メールの添付ファイル名やメール本文中に、なりすまし元の組織名や署名などが掲載されるケースを確認しています。Emotetが感染端末内のメーラーのアドレス帳から窃取したとみられる情報が用いられていると考えられ、後述のパターンの通り、なりすまされている担当者がEmotetに感染しているとは限りません。
https://www.jpcert.or.jp/at/2022/at220006_fig2-1.png
[Emotetメールサンプル(2022年3月3日追記)]
**********************************************************************
** 更新: 2022年4月26日追記 *******************************************
2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。
WordやExcelのマクロやコンテンツ有効化を必要としない方法での感染を目的とした手法の変化である可能性があります。引き続き、不審なメールの添付ファイルやリンクは開かぬようご注意ください。
**********************************************************************
一見すると業務に関係がありそうな内容で、取引先や知り合いから送付されているようにみえる添付ファイルであっても、Emotetの感染に繋がるメールや添付ファイルである可能性があるため、信頼できるものと判断できない限りは添付ファイルやリンクは開かず、確実な手段で送信元へ確認するといった対応を行うようご注意ください。
本注意喚起公開後、複数の組織よりEmotet感染に関するお問い合わせをいただいております。Emotetの感染によってメールが送信されるケースは、感染者とその関係者を巻き込む形で複数のパターンに分かれます。
1)自組織がEmotetに感染し、なりすましメールが配信されるケース
Emotetに感染すると、感染端末に保存されていたメールの情報やアドレス帳に登録されていた担当者名などの情報が窃取されます。窃取された情報は、その後のEmotetの感染に繋がるなりすましメールで悪用されることがあります。
https://www.jpcert.or.jp/at/2022/at220006_fig4.png
[自組織がEmotetに感染し、なりすましメールが配信されるケース]
2)取引先がEmotetに感染し、なりすましメールが配信されるケース
自組織の職員になりすましたメールが飛んでいるからといって、その職員の端末がEmotetに感染しているとは限りません。職員が過去にメールのやりとりを行った取引先の端末がEmotetに感染し、その端末から窃取された情報に含まれていた当該職員の情報が悪用されているというケースの可能性があります。
https://www.jpcert.or.jp/at/2022/at220006_fig5.png
[取引先がEmotetに感染し、なりすましメールが配信されるケース]
また、国内メールサーバーからの感染に繋がるメールの配信の増加傾向も確認されています。自組織で管理するメールサーバーなどのインフラが悪用されていないか、ご確認ください。もし自組織のインフラが悪用されていた場合、Emotet感染に繋がるメールの配信先が存在しないなどの理由で、大量のバウンスメールを受信している可能性があります。
https://www.jpcert.or.jp/at/2022/at220006_fig6.png
[Emotet感染による大量のバウンスメールを受信するケース]
自組織の職員になりすましたメールが送られているという場合でも、送られているメールの内容や状況を関係者間で確認および整理の上、後述のEmoCheckやFAQの内容などを参考に自組織の感染有無をご確認いただくことを推奨します。
III. 対策、対応
Emotet感染時の対応については次の資料を参照してください。
マルウエアEmotetへの対応FAQ
https://blogs.jpcert.or.jp/ja/2019/12/emotetfaq.html
Emotet感染有無確認ツールEmoCheck
https://github.com/JPCERTCC/EmoCheck/releases
※ EmoCheckは最新バージョンのものをご利用ください。
2022年5月24日、EmoCheck v2.3.1をリリースしました。
※ EmoCheckの使用方法や更新履歴などはこちらをご参照ください。
https://github.com/JPCERTCC/EmoCheck/blob/master/README_jp.md
JPCERT/CC 解説動画
Emotet感染の確認方法と対策(2022年3月7日公開)
https://www.youtube.com/watch?v=nqxikr1x2ag
IV. 参考情報
JPCERT/CC Analysis Center
https://twitter.com/jpcert_ac/status/1491259846616023044
情報処理推進機構(IPA)
Emotetの攻撃活動の急増
https://www.ipa.go.jp/security/announce/20191202.html#L18
JPCERT/CC 注意喚起
マルウエア Emotet の感染に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190044.html
JPCERT/CC 解説動画
日本中で感染が広がるマルウェアEmotet(2022年3月7日公開)
https://www.youtube.com/watch?v=wvu9sWiB2_U - 複数のCisco製品に脆弱性(2022年9月14日)
複数のCisco製品には、影響度Highを含む複数の脆弱性があります。結果として、隣接するネットワーク上の第三者が構成を変更するなどの可能性があります。
影響度Highの脆弱性情報に記載されている製品は次のとおりです。
- Cisco SD-WAN vManage Software
- Cisco Catalyst 8000V Edge Software
- Adaptive Security Virtual Appliance (ASAv)
- Secure Firewall Threat Defense Virtual (formerly FTDv)
上記製品以外にも、影響度Mediumの脆弱性情報が公開されています。
詳細はCiscoが提供する情報を参照してください。
この問題は、該当する製品をCiscoが提供する修正済みのバージョンに更新することで解決します。詳細は、Ciscoが提供するアドバイザリ情報を参照してください。
感染を防ぐための予防策
BOTやウイルス感染を予防するための対策としては、以下の内容が考えられます。
1)Windows UPDATEを定期的に行う
参考:マイクロソフト Service Pack および更新センター
http://windows.microsoft.com/ja-jp/windows/downloads/service-packs
2)セキュリティソフトを導入する
セキュリティ対策ソフトを導入し、最新のウイルス定義ファイルを入れておくと安心です。
ウィルスバスター クラウド 月額版
詳細はこちら
群馬インターネットのメールアドレスについて
詳細はこちら
3)ブロードバンドルータを導入する
接続するパソコンが1台のみの場合でも、インターネット接続にブロードバンドルータを用いると、NAT(ネットワークアドレス変換)機能により、外部の攻撃から効果的に守ることができます。
4)不審なサイト・メールを開かない
予防策を講じていれば、BOTやウィルスに感染しないわけではありません。
「アダルトサイトを閲覧していてウィルスに感染してしまった」、「送り付けられたメールを開いたら、パソコンの調子がおかしくなった」など、
利用者の行動から感染する可能性が高いため、不審なサイトやメールには近づかないことが大切です。
万が一感染してしまったら
急にパソコンの動きが遅くなった、なぜか再起動してしまう、などウィルス感染の疑いがあるときには、無料で診断を行ってくれる下記のサイトなどでご確認ください。
※ これらの作業については、お客様の責任において行って下さい。
その他、こちらのページもご参照ください。
■IPAホームページ
https://www.ipa.go.jp/security/
■警察庁セキュリティポータルサイト@police
https://www.npa.go.jp/cyberpolice/
■群馬県警察 サイバー犯罪対策
https://www.police.pref.gunma.jp/seianbu/01seiki/haiteku/index_hai.html
■Symantecホームページ
https://www.symantec.com/ja/jp/security_response/landing/azlisting.jsp
■トレンドマイクロホームページ
https://www.trendmicro.com/vinfo/jp/threat-encyclopedia/
