Yukishi log. 
東京では桜が開花しましたね。春は美しい花を楽しめる季節であると同時に花粉症が心配な季節でもありますよね。店頭にも、たくさんの花粉症対策グッズが並んでいます。
花粉症の対策として重要な事は、花粉をできるだけ室内へ持ち込まないことと言われていますが、それはコンピュータの世界でも同じです。今回は、2017年3月上旬から中旬にかけて収集した3件のセキュリティ関連情報をご紹介します。
2017年3月14日、Adobe Systems社は「Adobe Flash Player」と「Adobe Shockwave Player」の脆弱性を修正するセキュリティアップデートを公開しました。
Flash Playerの最新バージョンの「25.0.0.127」を利用していた場合、CVE番号ベースで7件の脆弱性が修正せます。脆弱性のレベルは3段階中で最も高い「Critical」と設定されています。これは攻撃者にシステムを乗っ取られる可能性がある危険なレベルに位置します。
Shockwave Playerの最新バージョンは「12.2.8.198」。対象の修正はCVE番号ベースで1件。脆弱性のレベルは3段階中で2番目の「Important」です。急ぐ必要はありませんが、既存システムへの影響がなければ早急にアップデートしたい脆弱性レベルです。
3月15日、日本マイクロソフト社は3月のセキュリティ更新プログラム(修正パッチ)として18件を公開しました。 公開前に問題が発見され公開延期となっていた修正パッチも3月の修正パッチに含まれています。
3月の更新プログラムを脆弱性のレベル別に見ると、4段階で最も高い「緊急」が9件、次の 「重要」が9件と高いレベルでの修正パッチとなっています。米国のCERT/CCなどが注意喚起しているSMBに関する脆弱性の修正や、すでに悪用が確認されている脆弱性なども今回の修正パッチに含まれているので忘れずに適応することをお勧めします。
Apache Struts 2 の脆弱性への攻撃が急増しているようです。ラック社やJPCERT/CC が注意喚起を行っています。
この脆弱性は、multipart/form-data 形式のリクエストを処理する 「Jakarta Multipart parser」の処理に起因するもので、パケットに細工を施したユーザーからリモートで任意のコートが実行される可能性があり、既に実証コードも公開されているとのことです。
本脆弱性を利用した都税支払いサイトへの不正アクセス、日本郵便が運営している「国際郵便マイページサービス」のというWebサイトへの不正アクセスなどが発生しており情報漏洩の可能性もあるようです。 影響を受けるバージョンは「2.3.5~2.3.31」と「2.5~2.5.10」です。影響を受ける前に対応をお勧めします。
自分が利用するパソコンは万全でも、家族や親戚など身近なところにセキュリティ対策が施されていないパソコンが潜んでいる可能性もあります。
パソコンやスマホに使い慣れた我々は、ときにITに疎い身近な存在にセキュリティの大切さを伝えるエバンジェリストになることも必要ではないでしょうか。まずはご家庭のパソコン環境を再確認するところから始めてみてはいかがでしょう。
