スマホ、ＰＣのバージョン更新をサボっている人は要注意！世界１０億台以上のデバイスに深刻な脆弱性が見つかる

●Kr00kの影響を受けるデバイスは10億台以上！

サイバーセキュリティ分野におけるグローバル企業の1つとして知られるESET（イーセット）社は、2月26日、多くのスマートフォンやPC、ネットワーク機器が採用しているWi-Fiチップに、ネットワーク利用の安全性を脅かす脆弱性があることを発表した。攻撃者がこの脆弱性を利用すると、伝送するデータの暗号を解読される危険性があるという。

「Kr00k（CVE-2019-15126）」と名付けられたこの脆弱性は、多くのクライアントデバイスが採用するBroadcomおよびCypressのWi-Fiチップに存在。脆弱性を解消するためのパッチの適用が必要となるデバイスの総数は、実に10億を超えているとみられる。

同社によれば、著名な製品としては、Amazon（Echo、Kindle）、Apple（iPhone、iPad、MacBook）、Google（Nexus）、Samsung（Galaxy）などが含まれており、アクセスポイントやルーターにも対策が必要なものがあるようだ。

●対象デバイスは早急に脆弱性対策パッチの適用を

ESETは、チップメーカーであるBroadcom、Cypressやデバイスメーカーに脆弱性を開示しており、すでにパッチのリリースは始まっている。主要製品の修正版リリースには例えば下記のようなものがある。

■iOS 13.2/iPad OS 13.2（2019年10月28日）
■macOS Catalina 10.15.1 セキュリティアップデート2019-001/2019-006（2019年10月29日）
■シスコセキュリティアドバイザリ 20200226（2020年2月27日）
■Huawei Security Notice 20200228-01（2020年2月28日）
※他メーカーについては問い合わせを

Kr00kを狙った攻撃を防ぐためには、対象となるすべてのWi-Fi対応デバイスを、最新のオペレーティングシステム、ソフトウェア、ファームウェアバージョンに更新したことを確認しよう。クライアントデバイスだけでなく、アクセスポイントやルーターなどネットワーク機器についても各メーカーに確認したい。

●Bluetoothにも複数の脆弱性が

Bluetoothの脆弱性というと、昨年夏に発覚した「KNOB Attac」が、iPhone、Mac、Windows10などが対象となっていることから、影響が大きいと思われる。

この脆弱性は、デバイス間の接続を行う際に用いる暗号鍵の長さを攻撃者側で短く設定できるというもの。攻撃者は鍵の長さを1バイトにした上で総当たり攻撃をかけることができるので、通信内容を傍受される恐れがあるというのだ。

こちらもすでに、Apple（iOS 12.4、MacOS Mojave 10.14.6）、Microsoft（2019年8月の定期アップデート）によって脆弱性の修正が行われているので、未対応の方は速やかに適応したい。

参考 : 「Bluetooth BR/EDRでの暗号鍵エントロピーのネゴシエーションにおける問題」（JPCERT/CC）
参考 : 「Key Negotiation of Bluetooth」（Bluetooth SIG）

また、WIREDによれば、シンガポール工科デザイン大学（SUTD）の研究チームが、Bluetoothの省エネ版であるBluetooth Low Energy（BLE）における実装レベルでの脆弱性12個を発見し「SweynTooth」と命名したという。

同研究チームによれば、SweynToothによって医療機器を含むスマートデバイスが危険にさらされる可能性があるようだ。

これら12個のバグは、大手ベンダー7社のSoC（System-On-a-Chip）のソフトウェア開発キットに含まれていることから、家庭用・業務用スマート機器のほか、ペースメーカーなどの医療機器にも影響が懸念されている。

すでに一部の製造元では修正プログラムを配布を実施しているが、SoCを用いたデバイスメーカーがそれぞれの修正プログラムを自社製品用に適用させて配布する必要があるため、最終的な問題解決にはしばらく時間がかかりそうだ。

スマートフォンやIoT機器など、ネットワークの利用が当たり前となった現在、ネットワークに潜む危険の検出・解消は、これまで以上に重要性を増している。ユーザー一人ひとりも、より一層脆弱性対策に注意したいものだ。

3/4(水) 7:05配信
https://headlines.yahoo.co.jp/article?a=20200304-00010000-finders-bus_all
https://amd.c.yimg.jp/amd/20200304-00010000-finders-000-1-view.jpg

クラックするならやってみろ！　
ウソ嘘うそです、見逃してくださいm(_ _)m

世界中のスマホにパソコンの利用者はそのソフトで時間とカレンダーを見ている

＊

アマゾンや楽天、apple,LINEやその他の企業、銀行などを騙った偽メールの送信が急増しています。
これらのメールが「メールをhtml形式で表示させる事で特殊なコードを実行させてスマホやPCを強制的にウイルス感染させる」
というのも行っていた事が今回明らかとなりました。

実際に有志による検証動画も動画投稿サイトにいくつもアップロードされており、最新のアンチウイルスソフトを
入れた状態でも、OSが最新でないandroidスマホやWINDOWS　PCが、それらの偽メールをhtml形式で表示しただけで、
一瞬でウイルス感染し、その後はemotetやその他のランサムウェアなども自動でダウンロードされる様子が検証動画
で確認できます。
また、この手法でウイルス感染した端末自身がユーザーの知らないうちに不正な偽メールを大量送信する様子も確認されています。

これを受け、セキュリティの専門家達は、

「メールソフトやwebメールではhtml形式ではなくテキスト形式で表示するよう設定し、
今後は本当に安全を確認できたメール以外は絶対にhtml形式では表示しないように。
また、自分だけでなく家族や知り合い、twitterやブログ、掲示板などで一人でも多くの人にこの事を至急伝えてください」

と注意を呼び掛けています。

従来は、企業を騙った偽メールは添付ファイルを開く事でウイルス感染させたり、メール内のリンクを開かせて
偽サイトでパスワード情報など入力させてパスワードを抜き取る物と考えられていました。
しかし、実際はメールをhtml形式で表示させる事で特殊なコードを実行させ、OSが最新でない場合はアンチウイルスソフトを
入れた状態でも強制的にウイルス感染させられる事が今回明らかとなりました。

androidスマホやタブレットなどでは、最新のOSが適用できず昔のOSのまま使っているユーザーが非常に多く、
OSの脆弱性が放置されている端末で不正なメールをhtml形式で表示すると強制的にウイルス感染させられる事になります。

・次のニュースを読む

コッチでもウィルスばら撒いてるのか

Androidにしようかな。