以下について,各社からセキュリティ更新プログラムが公開されています。
- Apache Log4j (オープンソース)
- Microsoft Windows,Officeなど (Microsoft社)
- Adobe Acrobat 及び Reader (Adobe Systems社)
- Zoomクライアント 及び モバイルアプリ (Zoom社)
攻撃が行われた場合の影響が大きい脆弱性も含まれています。
当該製品をご利用の場合は,下記の情報を参考いただき,各自修正プログラムを適用してください。
また,新型コロナウイルスの話題に乗じて,マルウェアを拡散する動きが活発化しています。
これら以外のOSやソフトウェアについても適宜,最新の更新プログラムを適用していただき,セキュリティ対策の実施をお願いします。
❶ Apache Log4j の脆弱性対策(21/12/13更新)
<概要>
JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。
2021年12月11日現在、JPCERT/CCは、本脆弱性を悪用する実証コードが公開されていること、および国内にて本脆弱性の悪用を試みる通信を確認しています。
Apache Log4jを利用している場合には、The Apache Software Foundationなどが提供する最新の情報を確認し、バージョンアップや回避策の適用をしてください。
また、Apache Log4jを使用するアプリケーションやソフトウェアなどで、今後セキュリティアップデートが公開される可能性があります。関連する情報を注視し、必要な対策や対応の実施してください。
<対策>
The Apache Software Foundationから本脆弱性を修正したバージョンが公開されています。速やかな対策の適用を実施してください。次のバージョン以降では、Lookup機能がデフォルトでは無効になりました。
– Apache Log4j 2.15.0
使用するアプリケーションやソフトウェアなどについて関連情報を注視し、本脆弱性の影響を受けることが判明した場合も、速やかにアップデートなどの対応を行ってください。
また、すでに本脆弱性の悪用を試みる通信が確認されていることから、対策の適用実施とあわせて、不審なファイルおよびプロセスの有無や、通信ログ等を確認し、攻撃の有無を確認することを推奨します。
<参考情報>
❷ Microsoft社製品の脆弱性対策(20/8/13更新)
<概要>
マイクロソフトから 2020年8月のセキュリティ更新プログラムが公開されました。本更新には,深刻度が「緊急」のセキュリティ更新プログラムが含まれています。脆弱性を悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御されたりして、様々な被害が発生するおそれがあります。
これらの脆弱性について,Microsoft 社は「悪用の事実を確認済み」と公表しており、今後被害が拡大するおそれがあるため、至急、修正プログラムを適用して下さい。
<対策>
Microsoft 社から提供されている修正プログラム(Windows Update)を適用して下さい。
<参考情報>
- 2020 年 8 月のセキュリティ更新プログラム (月例) / マイクロソフト社
- Microsoft 製品の脆弱性対策について(2020年8月) /IPA情報処理推進機構
➌ Adobe社製品の脆弱性対策(21/5/12更新)
<概要>
Adobe Systems社からAdobe Acrobat および Adobe Acrobat Reader に関する脆弱性が公開されました。脆弱性を悪用したコンテンツをユーザが開いた場合,実行ユーザの権限で任意のコードが実行されるなどの可能性があります。
<対策>
Adobe Acrobat および Reader を最新のバージョンに更新してください。
(更新方法)
1.Adobe Acrobat および Reader の起動
2.メニューより “ヘルプ (H)”を選択
3.”アップデートの有無をチェック (U)” をクリック
<参考情報>
- Adobe Security Bulletin/ Adobe Systems社
- Adobe Acrobat および Reader の脆弱性対策について / JPCERT CC
➍ Zoom社製品の脆弱性対策(20/8/13更新)
<概要>
Zoom社からZoomデスクトップクライアント および Zoomモバイルアプリの更新プログラムが公開されています。新機能のリリースやバグを修正しますので,最新バージョンにアップグレードすることを推奨しています。
<対策>
Zoomデスクトップクライアント および モバイルアプリを最新のバージョンに更新してください。
- 最新バージョンへのアップグレード/アップデート / Zoom社
<参考情報>
- New Updates for Zoom Client / Zoom社