3月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

○トレンドマイクロの企業向けセキュリティ製品に脆弱性

トレンドマイクロは3月16日、ウイルスバスター ビジネスセキュリティなど複数の製品に、深刻度の高い脆弱性があることを明らかにした。

これらの脆弱性を悪用するには、管理サーバーにネットワーク経由でアクセスすることが必要。一部の脆弱性は実際の攻撃事例が確認されているとのこと。すでに修正パッチは提供済みなので、ユーザーは早急に適用すること。
ウイルスバスター ビジネスセキュリティ

対象のバージョンと脆弱性の概要は以下の通り。

ウイルスバスター ビジネスセキュリティ 10.0 SP1
ウイルスバスター ビジネスセキュリティ 9.5
ウイルスバスター ビジネスセキュリティ 9.0 SP3

コンポーネントのダウンロード時の整合性チェック回避
システム権限レベルでサーバー上の任意のファイルを削除可能
管理サーバーの脆弱性のあるDLLを悪用することでリモートで任意コードを実行可能
ディレクトリトラバーサル

今回の脆弱性は、ウイルスバスター ビジネスセキュリティサービスには影響しない。

Trend Micro Apex Oneとウイルスバスター コーポレートエディション

対象のバージョンと脆弱性の概要は以下の通り。

Apex One バージョン2019
ウイルスバスター Corp. バージョンXG SP1

管理サーバーに含まれているマイグレーションツールにリモートコード実行が可能になる脆弱性
コンポーネントのダウンロード時に整合性チェックを回避
システム権限レベルでサーバー上の任意ファイルを削除可能

○Adobe、AcrobatとReaderの脆弱性を定例外で修正

アドビシステムズは3月17日、Adobe AcrobatとAdobe Readerに存在する脆弱性を修正したセキュリティアップデートを公開した。対象のバージョンは以下の通り。

Acrobat DC 2020.006.20034、およびそれ以前のバージョン Windows/macOS
Acrobat Reader DC 2020.006.20034、およびそれ以前のバージョン Windows/macOS
Acrobat 2017 2017.011.30158以前のバージョン Windows/macOS
Acrobat Reader 2017 2017.011.30158以前のバージョン Windows/macOS
Acrobat 2015 2015.006.30510、およびそれ以前のバージョン Windows/macOS
Acrobat Reader 2015 2015.006.30510、およびそれ以前のバージョン Windows/macOS

脆弱性は、メモリの範囲外読み取り・書き込み、メモリの解放後使用、スタックベースのバッファオーバーフロー、DLLハイジャックなど。クリティカル5件、重要3件が含まれるなど、深刻度は高い。適用優先度は3段階目中の「2」だが、対象ソフトを使用している場合は早急にアップデートすること。
○Adobe、複数の製品にセキュリティアップデートをリリース

アドビシステムズは3月17日、同社の複数の製品に対するセキュリティアップデートを公開した。対象のソフトとバージョンは以下の通り。

ColdFusion 2016 13以前のバージョン
ColdFusion 2018 7以前のバージョン
Photoshop CC 2019 20.0.8、およびそれ以前 Windows/macOS
Photoshop 2020 21.1、およびそれ以前 Windows/macOS
Adobe Bridge 10.0 Windows
Adobe Experience Manager 6.5以前のバージョン
Adobe Genuine Integrity Service 6.4、およびそれ以前 Windows

脆弱性はソフトによって異なるが、リモートファイル読み取り、メモリ範囲外の読み取り/書き込み、ヒープベースのバッファオーバーフロー、サーバー側リクエストフォージェリ、安全でないファイル許可、などとなる。適用優先度は3段階目中の「2」〜「3」となっているので、対象ソフトを使用している場合は早急にアップデートすること。
○読売テレビの子会社を名乗る不審メールに注意

読売テレビのグループ会社、ytv Nextryの社員メールアドレスを発信元とした不審なメールが複数送信されている。

このメールでは、送信元アドレスがytv Nextry社員のアドレスとなっており、本文に記載されているURLがウイルスをダウンロードするサイトへ誘導するものだった。同社は社員のメールアカウントが不正アクセスされたかも含め、現在調査を進めている。
○Google、Chromeの最新バージョン「80.0.3987.149」を公開

Googleは3月18日、Chromeの最新バージョン「80.0.3987.149」を公開した。アップデートは、Windows、macOS、Linux向けに提供される。

今回のアップデートでは、セキュリティ関連13件を修正。「高(High)」に分類されているのは、WebGLを無料で使用できる、拡張機能でのポリシー施行が不十分、V8での不適切な実装など合計9件となる。修正件数と深刻度「高」が多いため、Chromeのユーザーはすぐにアップデートをしておくこと。