更新を怠ったあなた・・面倒でも今すぐアップデートして下さい。
情報社会で生き抜くには、個人レベルでも会社レベルでも、更新プログラムのアップデートを怠らぬことが肝要。
各々方(おのおのがた)、ご油断召さるな!
関連記事
日立もJR東も・・ランサムウェア「WannaCry」の餌食:Windows更新怠った結果??
サイバー攻撃:悪名高き『米・国家安全保障局』開発の官製ハッキングソフトを盗用!?
警察庁も警告! PCごと乗っ取り=「ランサムウェア」より怖い!インテル「AMT」の脆弱性
日本経済新聞より
スマホ乗っ取りに注意を 短距離無線通信にもろさ
【 人混みの中、ハッカーが短距離無線通信「ブルートゥース」を使って行き交う人々のスマートフォン(スマホ)を次々と乗っ取っていく――。
こんな危機が世界的に広がる可能性があることが明らかになった。原因は「BlueBorne」と名付けられたブルートゥースの不具合(脆弱性)。日本では内閣サイバーセキュリティセンターが12日夜からツイッターで注意警戒情報を流すなど、関係者は大流行する前の危機封じ込めを急いでいる。
現在、ブルートゥースは大抵のスマホやパソコンに標準搭載されている。コードレスのヘッドホンやキーボード、マウス、ハンズフリーの通話装置、スマホ画面をテレビ画面に映すシステムなど、多様な使われ方をしている。
ブルートゥースの不具合に気付き、最初に警鐘を鳴らしたのは米カリフォルニアに拠点を置く情報セキュリティー会社のArmis。2分弱のパソコン操作で簡単にスマホを乗っ取り、写真などの情報を抜き去るデモンストレーション動画を12日に公開した。
同社によると不具合は8点あり、これらを無線通信を通じてハッカーに突かれると、持ち主に気付かれることなくスマホ内の情報が抜き取られたり、遠隔操作されたりするという。
一般的にハッカーがパソコンなどの情報端末を乗っ取る場合は、悪意のあるソフトウエアを相手に送りつけ起動させるといった前作業が必要だが、BlueBorneでは不要。ブルートゥースの機器同士を認証し合ってつなぐ「ペアリング」という作業も不要だ。
ハッカーの無線が届く範囲に、ブルートゥース機能を有効にしたスマホがあるだけでよく、駅のホーム、ホテルのロビー、喫茶店など日常の生活エリアでハッキングにあう危険性がある。
さらにハッカーは、乗っ取ったスマホを踏み台にして、ブルートゥース機能が付いている周辺機器を次々と乗っ取ることもできる。ビルの受付ロビーから、複数の社員のスマホを介して企業のネットワークに忍び込み、機密データを盗み出したり、情報システムを破壊したりするといった工作も理論上は可能だ。
同社は乗っ取られる可能性が高い具体的な端末として、基本ソフト「アンドロイド」搭載のスマホ、最新の基本ソフト(iOS10)を使用していないiPhoneのほか、タブレット端末やウィンドウズのパソコンを挙げている。
既に端末メーカーは対策に乗り出したもようだが、対策ソフトなどが配布され利用者に行き渡るまでには時間がかかる可能性がある。内閣サイバーセキュリティセンターでは、基本ソフトを最新のものに更新すること、安全が確認されるまではブルートゥースの機能をオフにすることなどを当面の対応として推奨している。】
JPCERT コーディネーションセンターより
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
【I. 概要
複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne"
に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され
た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり
するなどの可能性があります。
II. 対象
"BlueBorne" として報告されている一連の脆弱性は、複数の OS やデバイスが
対象となります。報告者からは、影響を受ける対象の OS として次が挙げられ
ています。
- Android
- セキュリティ パッチ レベル 2017年 9月を適用していない Android
(CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)
- Windows
- 2017年 9月マイクロソフトセキュリティ更新プログラムを適用してい
ない Windows Vista 以降の Windows (CVE-2017-8628)
- Linux
- Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251)
- BlueZ すべてのバージョン (CVE-2017-1000250)
- iOS, tvOS
- iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前
(CVE-2017-14315)
脆弱性の報告者によれば、iOS について、iOS 10 は、既に対策が施されている
とのことです。
脆弱性の影響を受ける製品は、今後拡大する可能性があります。各製品の開発
者からの情報に注意してください。
III. 対策
OS の開発者より、本脆弱性に関する情報が提供されています。開発者からの情
報に注意し、アップデート等の対策を行ってください。
- Android
Android Security Bulletin―September 2017
https://source.android.com/security/bulletin/2017-09-01
- Windows
CVE-2017-8628 | Microsoft Bluetooth ドライバーのなりすましの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628
- Linux
- RedHat
Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251
https://access.redhat.com/security/vulnerabilities/blueborne
CVE-2017-1000250
https://access.redhat.com/security/cve/CVE-2017-1000250
- ubuntu
Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250, CVE-2017-1000251 aka BlueBorne)
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne】
android.comより
Androidセキュリティ情報 - 2017年9月(Google翻訳)
【2017年9月5日公開| 2017年9月13日更新
Androidセキュリティ掲示板には、Androidデバイスに影響を及ぼすセキュリティ脆弱性の詳細が含まれています。2017年9月5日以降のセキュリティパッチレベルでは、これらの問題がすべて解決されています。デバイスのセキュリティパッチレベルを確認する方法については、PixelおよびNexusアップデートスケジュールを参照してください。
パートナーは、少なくとも1ヶ月前に同誌に記載されている問題を通知されました。これらの問題のソースコードパッチは、Android Open Source Project(AOSP)リポジトリに公開され、この掲示板からリンクされています。この掲示板には、AOSP以外のパッチへのリンクも含まれています。
これらの問題の中で最も重大なものは、特別に細工されたファイルを使用するリモートの攻撃者が特権プロセスのコンテキスト内で任意のコードを実行できるようにする、メディアフレームワークにおける重大な重大な脆弱性です。 深刻度の評価は脆弱性を悪用する可能性のプラットフォームとサービス緩和策は、開発目的のためにオフになったり、正常にバイパス場合されていると仮定すると、影響を受けるデバイス上で持っているであろうと効果に基づいています。
これらの新たに報告された問題の積極的な顧客搾取や不正使用の報告はありませんでした。Androidプラットフォームのセキュリティを強化するAndroidセキュリティプラットフォームの保護とGoogle Play Protectの詳細については、 AndroidとGoogle Playの保護の緩和のセクションを参照してください。
すべてのお客様がこれらのアップデートをデバイスに受け入れることをお勧めします。
注:最新の無線アップデート(OTA)およびGoogleデバイス用のファームウェアイメージに関する情報は、Googleデバイスアップデートのセクションで確認でき ます。】
情報社会で生き抜くには、個人レベルでも会社レベルでも、更新プログラムのアップデートを怠らぬことが肝要。
各々方(おのおのがた)、ご油断召さるな!
関連記事
日立もJR東も・・ランサムウェア「WannaCry」の餌食:Windows更新怠った結果??
サイバー攻撃:悪名高き『米・国家安全保障局』開発の官製ハッキングソフトを盗用!?
警察庁も警告! PCごと乗っ取り=「ランサムウェア」より怖い!インテル「AMT」の脆弱性
日本経済新聞より
スマホ乗っ取りに注意を 短距離無線通信にもろさ
【 人混みの中、ハッカーが短距離無線通信「ブルートゥース」を使って行き交う人々のスマートフォン(スマホ)を次々と乗っ取っていく――。
こんな危機が世界的に広がる可能性があることが明らかになった。原因は「BlueBorne」と名付けられたブルートゥースの不具合(脆弱性)。日本では内閣サイバーセキュリティセンターが12日夜からツイッターで注意警戒情報を流すなど、関係者は大流行する前の危機封じ込めを急いでいる。
現在、ブルートゥースは大抵のスマホやパソコンに標準搭載されている。コードレスのヘッドホンやキーボード、マウス、ハンズフリーの通話装置、スマホ画面をテレビ画面に映すシステムなど、多様な使われ方をしている。
ブルートゥースの不具合に気付き、最初に警鐘を鳴らしたのは米カリフォルニアに拠点を置く情報セキュリティー会社のArmis。2分弱のパソコン操作で簡単にスマホを乗っ取り、写真などの情報を抜き去るデモンストレーション動画を12日に公開した。
同社によると不具合は8点あり、これらを無線通信を通じてハッカーに突かれると、持ち主に気付かれることなくスマホ内の情報が抜き取られたり、遠隔操作されたりするという。
一般的にハッカーがパソコンなどの情報端末を乗っ取る場合は、悪意のあるソフトウエアを相手に送りつけ起動させるといった前作業が必要だが、BlueBorneでは不要。ブルートゥースの機器同士を認証し合ってつなぐ「ペアリング」という作業も不要だ。
ハッカーの無線が届く範囲に、ブルートゥース機能を有効にしたスマホがあるだけでよく、駅のホーム、ホテルのロビー、喫茶店など日常の生活エリアでハッキングにあう危険性がある。
さらにハッカーは、乗っ取ったスマホを踏み台にして、ブルートゥース機能が付いている周辺機器を次々と乗っ取ることもできる。ビルの受付ロビーから、複数の社員のスマホを介して企業のネットワークに忍び込み、機密データを盗み出したり、情報システムを破壊したりするといった工作も理論上は可能だ。
同社は乗っ取られる可能性が高い具体的な端末として、基本ソフト「アンドロイド」搭載のスマホ、最新の基本ソフト(iOS10)を使用していないiPhoneのほか、タブレット端末やウィンドウズのパソコンを挙げている。
既に端末メーカーは対策に乗り出したもようだが、対策ソフトなどが配布され利用者に行き渡るまでには時間がかかる可能性がある。内閣サイバーセキュリティセンターでは、基本ソフトを最新のものに更新すること、安全が確認されるまではブルートゥースの機能をオフにすることなどを当面の対応として推奨している。】
JPCERT コーディネーションセンターより
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
【I. 概要
複数の OS やデバイスに対して、Bluetooth の実装における脆弱性 "BlueBorne"
に関する情報が、脆弱性の報告者により公開されています。脆弱性を悪用され
た場合、攻撃者により遠隔から情報が窃取されたり、デバイスが操作されたり
するなどの可能性があります。
II. 対象
"BlueBorne" として報告されている一連の脆弱性は、複数の OS やデバイスが
対象となります。報告者からは、影響を受ける対象の OS として次が挙げられ
ています。
- Android
- セキュリティ パッチ レベル 2017年 9月を適用していない Android
(CVE-2017-0781, CVE-2017-0782, CVE-2017-0783, CVE-2017-0785)
- Windows
- 2017年 9月マイクロソフトセキュリティ更新プログラムを適用してい
ない Windows Vista 以降の Windows (CVE-2017-8628)
- Linux
- Kernel 3.3-rc1 以降のバージョン (CVE-2017-1000251)
- BlueZ すべてのバージョン (CVE-2017-1000250)
- iOS, tvOS
- iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前
(CVE-2017-14315)
脆弱性の報告者によれば、iOS について、iOS 10 は、既に対策が施されている
とのことです。
脆弱性の影響を受ける製品は、今後拡大する可能性があります。各製品の開発
者からの情報に注意してください。
III. 対策
OS の開発者より、本脆弱性に関する情報が提供されています。開発者からの情
報に注意し、アップデート等の対策を行ってください。
- Android
Android Security Bulletin―September 2017
https://source.android.com/security/bulletin/2017-09-01
- Windows
CVE-2017-8628 | Microsoft Bluetooth ドライバーのなりすましの脆弱性
https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2017-8628
- Linux
- RedHat
Blueborne - Linux Kernel Remote Denial of Service in Bluetooth subsystem - CVE-2017-1000251
https://access.redhat.com/security/vulnerabilities/blueborne
CVE-2017-1000250
https://access.redhat.com/security/cve/CVE-2017-1000250
- ubuntu
Bluetooth/BlueZ information disclosure in BlueZ and remote code execution in the bluetooth L2CAP stack in the Linux kernel (CVE-2017-1000250, CVE-2017-1000251 aka BlueBorne)
https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/BlueBorne】
android.comより
Androidセキュリティ情報 - 2017年9月(Google翻訳)
【2017年9月5日公開| 2017年9月13日更新
Androidセキュリティ掲示板には、Androidデバイスに影響を及ぼすセキュリティ脆弱性の詳細が含まれています。2017年9月5日以降のセキュリティパッチレベルでは、これらの問題がすべて解決されています。デバイスのセキュリティパッチレベルを確認する方法については、PixelおよびNexusアップデートスケジュールを参照してください。
パートナーは、少なくとも1ヶ月前に同誌に記載されている問題を通知されました。これらの問題のソースコードパッチは、Android Open Source Project(AOSP)リポジトリに公開され、この掲示板からリンクされています。この掲示板には、AOSP以外のパッチへのリンクも含まれています。
これらの問題の中で最も重大なものは、特別に細工されたファイルを使用するリモートの攻撃者が特権プロセスのコンテキスト内で任意のコードを実行できるようにする、メディアフレームワークにおける重大な重大な脆弱性です。 深刻度の評価は脆弱性を悪用する可能性のプラットフォームとサービス緩和策は、開発目的のためにオフになったり、正常にバイパス場合されていると仮定すると、影響を受けるデバイス上で持っているであろうと効果に基づいています。
これらの新たに報告された問題の積極的な顧客搾取や不正使用の報告はありませんでした。Androidプラットフォームのセキュリティを強化するAndroidセキュリティプラットフォームの保護とGoogle Play Protectの詳細については、 AndroidとGoogle Playの保護の緩和のセクションを参照してください。
すべてのお客様がこれらのアップデートをデバイスに受け入れることをお勧めします。
注:最新の無線アップデート(OTA)およびGoogleデバイス用のファームウェアイメージに関する情報は、Googleデバイスアップデートのセクションで確認でき ます。】