以下について,各社からセキュリティ更新プログラムが公開されています。 

  • Apache Log4j (オープンソース)
  • Microsoft Windows,Officeなど (Microsoft社)
  • Adobe Acrobat 及び Reader (Adobe Systems社)
  • Zoomクライアント 及び モバイルアプリ (Zoom社)

攻撃が行われた場合の影響が大きい脆弱性も含まれています。
当該製品をご利用の場合は,下記の情報を参考いただき,各自修正プログラムを適用してください。

また,新型コロナウイルスの話題に乗じて,マルウェアを拡散する動きが活発化しています。
これら以外のOSやソフトウェアについても適宜,最新の更新プログラムを適用していただき,セキュリティ対策の実施をお願いします。

❶ Apache Log4j の脆弱性対策(21/12/13更新)

<概要>

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。

2021年12月11日現在、JPCERT/CCは、本脆弱性を悪用する実証コードが公開されていること、および国内にて本脆弱性の悪用を試みる通信を確認しています。
Apache Log4jを利用している場合には、The Apache Software Foundationなどが提供する最新の情報を確認し、バージョンアップや回避策の適用をしてください。
また、Apache Log4jを使用するアプリケーションやソフトウェアなどで、今後セキュリティアップデートが公開される可能性があります。関連する情報を注視し、必要な対策や対応の実してください。

<対策>

The Apache Software Foundationから本脆弱性を修正したバージョンが公開されています。速やかな対策の適用を実施してください。次のバージョン以降では、Lookup機能がデフォルトでは無効になりました。

– Apache Log4j 2.15.0

使用するアプリケーションやソフトウェアなどについて関連情報を注視し、本脆弱性の影響を受けることが判明した場合も、速やかにアップデートなどの対応を行ってください。

また、すでに本脆弱性の悪用を試みる通信が確認されていることから、対策の適用実施とあわせて、不審なファイルおよびプロセスの有無や、通信ログ等を確認し、攻撃の有無を確認することを推奨します。

<参考情報>

❷ Microsoft社製品の脆弱性対策(20/8/13更新)

<概要>

マイクロソフトから 2020年8月のセキュリティ更新プログラムが公開されました。本更新には,深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。

これらの脆弱性について,Microsoft 社は「悪用の事実を確認済み」と公表しており、今後被害が拡大するおそれがあるため、至急、修正プログラムを適用して下さい。

<対策>

Microsoft 社から提供されている修正プログラム(Windows Update)を適用して下さい。

<参考情報>

Adobe社製品の脆弱性対策(21/5/12更新)

<概要>

Adobe Systems社からAdobe Acrobat および Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合,実行ユーザの権限で任意のコードが実行されるなどの可能性があります。

<対策>

Adobe Acrobat および Reader を最新のバージョンに更新してください。

(更新方法)

1.Adobe Acrobat および Reader の起動
2.メニューより “ヘルプ (H)”を選択
3.”アップデートの有無をチェック (U)” をクリック

<参考情報>

Zoom社製品の脆弱性対策(20/8/13更新)

<概要>

Zoom社からZoomデスクトップクライアント および Zoomモバイルアプリの更新プログラムが公開されています。新機能のリリースやバグを修正しますので,最新バージョンにアップグレードすることを推奨しています。

<対策>

Zoomデスクトップクライアント および モバイルアプリを最新のバージョンに更新してください。

<参考情報>