月別アーカイブ: 2018年7月

続報:IoT ボット「VPNFilter」に感染したデバイスで 19 件の脆弱性を確認

本ブログで 2018 年 5 月末に報告したように、IoT ボット「VPNFilter」は、少なくとも 54 カ国にわたる 50 万台のネットワークデバイスに感染したと言われています。トレンドマイクロは、多段階の攻撃における各マルウェアを、「ELF_VPNFILT.A」、「ELF_VPNFILT.B」、「ELF_VPNFILT.C」、「ELF_VPNFILT.D」として検出対応しています。2018 年 5 月の時点で、VPNFilter は、「Linksys」、「MikroTik」、「Netgear」、そして「TP-Link」製のネットワークデバイスおよび「QNAP」製の「Network Attached Storage(NAS)」を対象に、Web サイトの認証情報の窃取、「監視制御データ収集(Supervisory Control And Data Acquisition、SCADA)プロトコル」の傍受、機器を使用不可にする「kill」コマンドの実行などの機能を備えていました。

2018 年 6 月上旬に新たに公開された情報によると、さらに多くの製造業者およびモデルが VPNFilter の攻撃対象になっていることが確認されました。米連邦捜査局(FBI)は、VPNFilter が、世界中のネットワークを侵害しようとしている米国外からの攻撃だと警告する「Public Service Announcement(公共広告、PSA)」を公開しています。

■VPNFilter の影響を受ける製造業者およびモデルがさらに増加

VPNFilter は、表 1 のように、10 社以上の製造業者による 70 種類以上のモデルに影響を与えることが知られています。

製造業者 モデル デバイスの種類
ASUS RT-AC66U、 RT-N10、RT-N10E、RT-N10U、RT-N56U、RT-N66U ルータ
D-Link DES-1210-08P、DIR-300、DIR-300A、DSR-250N、DSR-500N、DSR-1000、DSR-1000N イーサネット・スイッチ

およびルータ

Huawei HG8245 ルータ
Linksys E1200、E2500、E3000、E3200、E4200、RV082、WRVS4400N ルータ
MikroTik CCR1009、CCR1016、CCR1036、CCR1072、CRS109、CRS112、CRS125、RB411、RB450、RB750、RB911、RB921、RB941、 RB951、 RB952、RB960、RB962、RB1100、 RB1200、RB2011、RB3011、RB Groove、RB Omnitik、STX5 ルータ
Netgear DG834、DGN1000、DGN2200、DGN3500、FVS318N、MBRN3000、R6400、R7000、R8000、WNR1000、WNR2000、WNR2200、WNR4000、WNDR3700、WNDR4000、WNDR4300、WNDR4300-TN、UTM50 ルータ
QNAP TS251、TS439 Pro、QTS(※1)を使用するその他の NAS NAS
TP-Link R600VPN、TL-WR741ND、TL-WR841N ルータ
Ubiquiti NSM2 および PBE M5 無線アクセスポイント
ZTE ZXHN H108N ルータ

※ 1:Linux ベースのオペレーティングシステム(OS)

表 1:VPNFilter の影響を受けるデバイスの例

2018 年 6 月 1 日から 7 月 12 日のトレンドマイクロの情報に基づくと、依然として多くのデバイスが古いバージョンのファームウェアを利用し続けています。事実、19 件の既知の脆弱性が、VPNFilter およびその他のマルウェアによって利用されており、本記事執筆時点(2018 年 7 月 13 日)においても検出されています。

調査の結果、家庭用ネットワークの 34% で、既知の脆弱性を持つデバイスが少なくとも 1 つ確認されました。これらの脆弱なデバイスのうち、約 9% が VPNFilter に感染している可能性があります。

脆弱性 影響を受けるデバイス/サービス
認証回避の脆弱性

「CVE-2015-7261」

QNAP 製デバイスの File Transfer Protocol(FTP)サービス
Reaper が利用する、遠隔でのコード実行(RCE)脆弱性

「CVE-2011-4723」

D-Link 製 DIR-300
RCE脆弱性

「CVE-2014-9583」

ASUS 製 RT-AC66U、RT-N66U
Reaper が利用する、OS コマンドインジェクション脆弱性

「CVE-2013-2678」

Linksys E2500
バッファオーバーフロー脆弱性

「CVE-2013-0229」

脆弱な UPnP サービス

例:Netgear、TP-Link、D-Link

スタックオーバーフロー脆弱性

「CVE-2013-0230」

脆弱な UPnP サービス

例:Netgear、TP-Link、D-Link

RCE脆弱性

「CVE-2017-6361」

4.2.4 Build 20170313 より前の QNAP QTS
ルータの JSONP 情報露出脆弱性

「CVE-2017-8877」

ASUS RT-AC* および RT-N*
ルータのパスワード露出脆弱性

「CVE-2017-5521」

Netgear 製 R6400、R7000、R8000
スタックオーバーフロー脆弱性

「CVE-2012-5958」

脆弱性を持つ Universal Plug and Play(UPnP)サービス

例:Netgear/TP-Link/D-Link 製デバイス

スタックオーバーフロー脆弱性

「CVE-2012-5959」

脆弱性を持つ UPnP サービス

例:Netgear/TP-Link/D-Link 製デバイス

Reaper Router Remote Code Execution D-Link 製 DIR-300
ルータのパスワードの漏えい Netgear 製 WNR2000
RCE脆弱性

「CVE-2016-6277」

Netgear 製 R6400、R7000
ルータのセッションハイジャック脆弱性

「CVE-2017-6549」

ASUS 製 RT-N66U
OS コマンドインジェクション脆弱性

「CVE-2013-2679」

Linksys 製 E4200
認証回避の脆弱性 Netgear 製 WNR1000
ルータのパスワード露出 Netgear 製 WNR1000
ルータの非認証アクセス脆弱性 TP-Link 製 TL-WR841N

表 2:VPNFilter に感染したデバイスで検出された 19 件の脆弱性

これら 19 件の脆弱性は、主にルータに影響を与えます。しかし、興味深いことに、QNAP 製 NAS のファームウェアにおける FTP サービスの認証回避脆弱性「CVE-2015-7261」を利用する攻撃は、主にプリンタで検出されました。背景として考えられる理由を調査する過程で、攻撃が検出されたプリンタの多くで、FTP サービスが認証無しでネットワークから接続できることを確認しました。機種の中には、これを初期設定としているものもあるかもしれません。しかし、そのような設定は、セキュリティリスクを高めるものと言えます。

オンライン検索エンジン「Shodan」で認証無しに FTP 接続が可能なプリンタを検索した結果

図 1:オンライン検索エンジン「Shodan」で認証無しに FTP 接続が可能なプリンタを検索した結果

バッファオーバーフロー脆弱性「CVE-2013-0229」は「Denial of Service(DoS、サービス拒否)攻撃」を、スタックオーバーフロー脆弱性「CVE-2013-0230」は、任意のコード実行を可能にします。また、確認された UPnP サービスの脆弱性は、Netgear/TP-Link/D-Link 製以外のデバイスにも存在している可能性があります。その場合、検出はさらに増加すると予測されます。

■被害に遭わないためには

VPNFilter の対象デバイスが持つ既知の脆弱性は、この脅威の危険度を増大させています。すべてのデバイス製造業者が、新しく確認された脆弱性に対処する修正プログラムを即座に提供できるわけではなく、また、すべてのユーザが定期的に更新プログラムを適用しているわけでもないため、自身のデバイスとネットワークを守るために、各自が以下のようなセキュリティ対策を実施する必要があります。

  • 既知の脆弱性を利用する攻撃に対処するために、更新プログラムが利用可能になり次第ファームウェアを更新すること
  • 家庭または企業ネットワークに接続する機器では、公共の Wi-Fi の利用を避けること
  • 不正アクセスを防ぐために、デバイスの認証情報を初期設定から変更し、強力なパスワードを使用すること
  • ネットワークに接続したデバイスを感染させる恐れのある不審な URL や添付ファイルに注意すること

■トレンドマイクロの対策

トレンドマイクロのホームネットワークセキュリティ「ウイルスバスター™ for Home Network」は、ルータとルータに接続されたすべてのデバイスとの間のトラフィックを監視することが可能です。「オンラインスキャン for Home Network」 は、ネットワークに接続しているデバイスの確認、ルータやネットワーク機器のセキュリティ設定の確認、ネットワーク内のデバイスの脆弱性診断などの機能を備えた無料ツールです。

ネットワーク挙動監視ソリューション「Trend Micro™ Deep Discovery™ Inspector」は、すべてのポートとネットワークプロトコルを監視し、標的型攻撃の影響を緩和することが可能です。

ウイルスバスター™ for Home Network」をご利用のお客様は以下のルールによって、対応する脆弱性から保護されています。

  • 1058981 WEB Directory Traversal -21
  • 1130327 EXPLOIT ASUSWRT 3.0.0.4.376_1071 LAN Backdoor Command Execution (CVE-2014-9583)

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

バンキングトロジャンのメール経由拡散を支える「スパムボット」

本ブログの 7 月 3 日の記事ではオンライン銀行詐欺ツール(バンキングトロジャン)による日本国内におけるクレジットカード情報詐取被害の一端を、7 月 17 日の記事ではバンキングトロジャンの情報詐取活動を実現する Web インジェクションツールの存在について報告してまいりました。今回はバンキングトロジャンを拡散させる電子メールによる攻撃の状況とその攻撃メールの送信を行う「スパムボット」の存在について報告いたします。不正プログラム(マルウェア)を拡散させるための主な攻撃手法には、電子メール経由と Web 経由があります。電子メール経由の攻撃の中でも、不特定多数のインターネット利用者を狙い、マルウェア拡散を目的とするものを特に「マルウェアスパム」と呼びます。現在、日本のインターネット利用者を狙う日本語のマルウェアスパムのほとんどは、バンキングトロジャン「URSNIF」の拡散を目的としたものであることがわかっています。このことから、バンキングトロジャンは日本国内を狙うメール経由の攻撃で最も多い脅威と言えます。

6月に確認されたバンキングトロジャンの拡散を目的とするマルウェアスパムの例

図:6 月に確認されたバンキングトロジャンの拡散を目的とするマルウェアスパムの例

■マルウェアスパムによるバンキングトロジャンの拡散状況

トレンドマイクロでは日夜多くのマルウェアスパムの攻撃を監視しています。マルウェアスパムの攻撃では、類似の件名や本文を持つ攻撃メールが短時間のうちに大量送信されます。ここでは類似の攻撃メールの大量送信事例をマルウェアスパム攻撃1件と定義して計算したところ、2018 年の 1 月~6 月の期間において 58 件の日本語マルウェアスパムの攻撃を確認しました。これはだいたい 3 日に 1 件の割合でマルウェアスパムの攻撃が発生していた計算になります。そして、この 2018 年上半期に確認された 58 件の攻撃のうち、最終的にバンキングトロジャンの侵入に繋がることが確認できたのは 55 件に及びました。つまり、日本語マルウェアスパムの約 95%はバンキングトロジャン拡散目的だったと言えます。これらのマルウェアスパム攻撃について、トレンドマイクロのクラウド型次世代セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計で攻撃規模が特定できたものについては、1 件あたりの平均で約 3 万件、最大では 1 件で 13 万件の攻撃メール拡散が確認できました。

2018年1~6月にトレンドマイクロが確認した日本語マルウェアスパム事例における脅威種別割合(n=58)

図:2018 年 1~6 月にトレンドマイクロが確認した日本語マルウェアスパム事例における脅威種別割合(n=58)

■バンキングトロジャンのマルウェアスパム送信を担う「スパムボット」

闇市場などのサイバーアンダーグラウンドには、不正なメールの大規模送信を請け負うスパムメール業者が存在しています。各スパム業者は「スパムボット」と呼ばれるメール送信用のボットネットを管理し、マルウェアスパムのような不正メールの送信を行っています。このようなスパムメール業者が使用するスパムボットの活動については 2017 年のブログ記事でも言及しています。当時のスパムボットに対する監視では、1 ヵ月の間に複数言語に及ぶ 50 種類以上のメール送信の命令が送られていたことがわかっています。これに対し、この 5 月~6 月の 2 か月間に行ったスパムボットに対する同様の監視においては、2 台の C&C サーバから合わせて 34 件の日本語マルウェアスパム送信の命令があったことが確認できました。スパムボットはスパム業者ごとに存在するものと考えられますが、特に日本を狙う日本語マルウェアスパムについては「CUTWAIL」と呼ばれるスパムボットが中心的に利用されています。前出の今年上半期の 6 カ月間に確認された 58 件の日本語マルウェアスパムのうち、実に 98% にあたる 57 件が CUTWAIL による送信であることがわかっています。

2018年1~6月にトレンドマイクロが確認した日本語マルウェアスパム事例における送信元スパムボット別割合(n=58)

図:2018 年 1~6 月にトレンドマイクロが確認した日本語マルウェアスパム事例における送信元スパムボット別割合(n=58)

バンキングトロジャンは既に定着したサイバー犯罪として、変化しながらも攻撃を継続させています。このバンキングトロジャンの攻撃の背後にはアンダーグラウンドの闇市場などで提供される Web インジェクションツールや関連サービス、そして不特定多数を狙うばらまき型の攻撃に欠かせないスパムメール業者の存在があります。このような裏の「ビジネスモデル」が既に確立しているバンキングトロジャンの攻撃は今後も継続して発生する可能性が高く、注意が必要です。

※調査協力 日本リージョナルトレンドラボ(RTL)、サイバー攻撃レスポンスチーム(CART)

標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい

標的型サイバー攻撃キャンペーン「BLACKGEAR」(別名:「Topgear」、「Comnie」)におけるサイバー諜報活動は、バックドア型マルウェア「Protux(プロタックス)」の確認状況に基づくと、少なくとも2008 年までさかのぼることができます。BLACKGEAR は、日本、韓国、台湾の公的機関、通信企業、その他の技術系企業を標的としてきました。例えば 2016 年の活動では、バックドア型マルウェア「Elirks」を始め、さまざまなマルウェアやツールを利用し、日本の組織を攻撃していたことが確認されています。BLACKGEAR の攻撃者は、独自のツールを開発し、非常に組織的な活動を行います。最新の攻撃ではそれらのツールに微調整が加えられていることが確認されました。

BLACKGEAR の特徴は、検出を回避するために、ブログ、ミニブログ、そしてソーシャルメディアを悪用し、コマンド&コントロール(C&C)サーバの情報を隠ぺいする点です。この手法は、事前に設定した C&C サーバの情報がマルウェア内に埋め込まれている場合に比べ、必要に応じて C&C サーバを切り替えることが可能なため検出が困難です。これにより、攻撃者は、侵入した PC に築いた足がかりを長持ちさせ、さらなる情報探索が可能になります。

最新の BLACKGEAR で利用されたダウンローダ「Marade(マレード)」(「TSPY_MARADE.ZTBC」として検出)とバックドア型マルウェア「Protux」(「BKDR_PROTUX.ZTBC」として検出)を解析したところ、図 1 のようなソーシャルメディアやブログへの投稿で、これら 2 つのマルウェアが利用する暗号化された C&C サーバの情報を確認することができました。同一投稿内に、それぞれのマルウェアが利用する情報が確認されたことは、これらのマルウェアが同じ集団によって開発されたことを示唆しています。

Facebook の投稿で確認された、暗号化された Marade の設定情報

図 1:Facebook の投稿で確認された、暗号化された Marade の設定情報

■攻撃の流れ

BLACKGEAR の攻撃の流れ

図 2:BLACKGEAR の攻撃の流れ

BLACKGEAR における攻撃の全体像を把握するために、トレンドマイクロは最新の活動で利用されたツールと手法を関連づけながら分析しました。以下はその概要です。

  1. スパムメールによっておとり文書または偽のインストーラファイルを標的に送信し、クリックさせる。
  2. おとり文書がダウンローダ Marade を抽出。Marade は PC の「Temp」フォルダに自身を作成し、従来のサンドボックス技術による検出を回避するためにファイルサイズを 50 MB 以上に増やす。
  3. Marade が、インターネット接続およびウイルス対策ソフトの有無を確認
  4. インターネット接続が利用可能かつウイルス対策ソフトがインストールされていない場合、BLACKGEAR が管理する公開ブログまたはソーシャルメディアの投稿にアクセスし、暗号化された C&C サーバの設定を取得。そうでない場合、Marade は自身のコードに埋め込まれた C&C 情報を利用。
  5. 暗号化された文字列は、ウイルス対策ソフトによって不正なトラフィックが検出されないようにマグネットリンクに偽装。Marade は暗号化された文字列を復号し C&C サーバの情報を取得。
  6. C&C サーバは、よく知られたバックドア型マルウェア Protux を対象 PC に送り込み、「ダイナミック・リンク・ライブラリ(Dynamic LinkLibrary、DLL)」内の関数を呼び出す実行ファイル「rundll32」を利用して実行。
  7. Protux は、 PC のネットワークを確認し、C&C サーバの情報を別のブログから取得。次に、RSA 暗号化アルゴリズムで生成したセッションキーを使用して、収集した情報を C&C サーバに送信。

BLACKGEAR で利用されるマルウェアは、RAR 形式で圧縮した自己解凍型実行ファイル(拡張子:SFX)、または 「Visual Basic Script(VBScript)」を利用したおとり文書の形で対象に送り込まれます。図 3 および図 4 は、最近の活動で利用された SFX ファイルとおとり文書のスクリーンショットです。

BLACKGEAR で利用された不正な SFX ファイルのコンテンツ、Flash Player のインストーラに偽装している

図 3:BLACKGEAR で利用された不正な SFX ファイルのコンテンツ、Flash Player のインストーラに偽装している

BLACKGEAR で利用されたおとり文書

図 4:BLACKGEAR で利用されたおとり文書

Marade を実行するおとり文書に含まれた VBScript

図 5:Marade を実行するおとり文書に含まれた VBScript

■Marade と Protux の関係

Protux および Marade が利用する暗号化された設定情報は、どちらも同一のブログ投稿で確認されました。各マルウェアは、図 6 の赤枠内の文字列を目印として、黄色で囲った部分の暗号化された設定情報を取得します。

同一ブログ投稿内で確認された暗号化された設定<br />Protux (上部)、Marade(下部)</a></center>” width=”500″></p>
<p><small><font color=図 6:同一ブログ投稿内で確認された暗号化された設定
Protux (上部)、Marade(下部)

設定情報の目印となる文字列は、前回の活動から変更されています。例えば、Protux の古いバージョンは、図 6 上部のように「++a++」という文字列を目印として設定情報を検索していましたが、最新バージョンでは、図 7 のように Marade と同様のマグネットリンク形式になっています。

図

図 7 :公開ブログ上の Protux の暗号化された設定
6 つのマグネット URL のうち 3 つ目が Protux の設定

最新バージョンの Protux をリバースエンジニアリングしたところ、以下の python のコードによって C&C サーバの情報を復号していることが確認できました。リサーチャ、システム管理者、情報セキュリティ専門家が最新の Protux を解析する際も、このコードが利用可能です。

#!/usr/bin/env python2

#-*-coding:utf-8 -*-

import os, sys, datetime, operator, base64

def decrypt():

  if len(sys.argv) != 2:

  print "Usegae : ./decrypt_protux_magnet.py <Full magnet strings>"

  sys.exit(0)

  
  str = sys.argv[1]

  head = str.find("magnet:?xt=urn:bhih:")

  tail = str.find("&xl=")

  if -1 == tail:

  tail = str.find("&amp;xl=")

  if -1 == head or -1 == tail:

  print("can’t find delimiter")

  sys.exit()

  

  b64_data = str[len("magnet:?xt=urn:bhih:"): tail]

  b64_decode = base64.b64decode(b64_data)

  key = ord(b64_decode[2])

  data = b64_decode[4:]

  output_file = open("C2_info", "wb")

  for single_byte in data:

    output_file.write(chr(ord(single_byte) ^ key))

  output_file.close()

if __name__ == ‘__main__’:

decrypt()

■新しい遠隔操作ツール

トレンドマイクロは、Protux を遠隔から操作するツールの検体も入手することができました。攻撃者は、このツールが提供するユーザインターフェイス(UI)を通して感染 PC に指示を送り、監視します。遠隔から Marade を操作することも可能です。

Marade に関連した情報を取得する画面

図 8:Marade に関連した情報を取得する画面

図 9:Protux に関連した情報を取得する画面

このツールの挙動から、Marade と Protux はどちらも同一の攻撃者によって作成されたと断定することができます。これらのマルウェアは、対象 PC 内でそれぞれ特定の役割を果たします。Marade は攻撃の第一段階を担い、侵入した PC の情報を C&C サーバに送信し、攻撃者からの指示を待機します。Marade による監視に基づき、攻撃者は、感染 PC が興味を引く対象であるかどうかを確認します。攻撃に値すると判断した場合、次の段階として Protux をダウンロードおよび実行します。この遠隔操作ツールは、攻撃者と Protux との間のリアルタイム通信を管理することが可能です。以下は、Protux の注目すべきコンポーネントとその機能の一覧です。

  • FileManage:ドライバとフォルダの一覧情報を取得
  • ProcManage:プロセス、モジュール、スレッド、ポートの一覧情報を取得
  • ServiceManage:サービスの一覧情報を取得
  • RegManage:レジストリの一覧情報を取得
  • ScreenManage:スクリーンショットの取得
  • ShellManage:シェルの起動

■Protux の変遷

Protux は、2005 年に最初のバージョンが開発された、古くから確認されているバックドア型マルウェアです。トレンドマイクロは、DLL インジェクションによって自身の機能を実行する挙動を基に、利用されたダウンローダとおとり文書の関係を対応づけることができました。Portux を実行するコマンドの形式は「%system32/rundll32.exe <Protux のファイル名>,<エクスポート関数>」です。

表 1 のように、Protux の更新履歴において、注目すべき変化が 2 度確認されています。

エクスポート関数 確認された期間 C&C サーバの情報を取得する手法
TStartUp 2005 年~2012年 C&C サーバに直接アクセスし、DNS サーバを使用して C&C サーバの IP アドレスを取得
CRestart 2009 年~2014年 DNS 問合せによって C&C サーバの IP アドレスを取得

例:ip 138[.]com

CReset 2013 年~2018年 目印となる文字列に基づき、ブログから暗号化された C&C サーバの情報を取得

表 1:Protux が利用するエクスポート関数名とその機能

BLACKGEAR で利用されたさまざまなバージョンの Protux

BLACKGEAR で利用されたさまざまなバージョンの Protux

BLACKGEAR で利用されたさまざまなバージョンの Protux

図 10:BLACKGEAR で利用されたさまざまなバージョンの Protux

Protux は OpenCSP の暗号化機能を利用

図 11:Protux は OpenCSP の暗号化機能を利用

■被害に遭わないためには

BLACKGEAR は約 10 年前の登場以来、さまざまな産業を標的に活動してきました。長期間にわたって活動を継続してこられた要因の 1 つは、従来のセキュリティ対策技術を回避する隠ぺい手法にあると言うことができるでしょう。例えば、BLACKGEAR は 2 段階でマルウェアに感染させる手法を採用しています。第 1 段階のマルウェアは、情報収集のみを担うため、対象はマルウェアの侵入に気付くことができないかもしれません。また、第 2 段階のバックドア型マルウェアはミニブログやソーシャルメディアを利用して C&C 通信に必要な情報を取得するため、C&C サーバの情報に基づいた検出を困難にします。

BLACKGEAR は、法人組織が積極的に脅威に対処するセキュリティ戦略を策定し、実施することの必要性を示す良い例です。例えば、脅威の検出だけにとどまらず対応や回復までをカバーする「Managed Detection and Response(MDR)」は、多層的な脅威の解析と相関分析により、ネットワークからサーバ、そしてエンドポイントにいたる標的型攻撃の全体像を把握するのに有効です。MDR がもたらすこのような可視性により、法人組織は脅威の挙動を「文脈」に沿って分析し、そこから得られた洞察を通してスレットインテリジェンスを行動に落とし込むことが可能になります。

BLACKGEAR に関連した侵入の痕跡(Indicators of Compromise、IoC)はこちらを参照してください。

■トレンドマイクロの対策

トレンドマイクロのネットワーク挙動監視ソリューション「Deep Discovery™」は、今日の気づけない標的型攻撃や巧妙化する脅威をリアルタイムで検出および分析し、対処します。専用のエンジンとカスタムサンドボックス機能を使用し、攻撃のライフサイクル全体で相関分析を行い、エンジンやパターンの更新無しで BLACKGEAR のような集団による攻撃を検知します。

BLACKGEAR は侵入経路の 1 つとしてメールを利用します。そのため、メールゲートウェイの防御が重要です。仮想アプライアンスのメールセキュリティゲートウェイ製品「Trend Micro Hosted Email Security™」は、トレンドマイクロがクラウド上で運営しているサービスを利用するため、機能が継続的にアップデートされ、スパムメール、マルウェア、スピアフィッシング、ランサムウェア、標的型サイバー攻撃などを常に最新の情報でブロックすることが可能です。

メール攻撃対策製品「Deep Discovery™ Email Inspector」やWebゲートウェイ対策製品「InterScan Web Security™」は、ユーザをマルウェアから保護します。

個人利用者向けエンドポイントセキュリティ対策製品「ウイルスバスター™ クラウド」、エンドポイントセキュリティ対策製品「ウイルスバスター™ コーポレートエディション XG」、エンドポイントセキュリティ対策製品「ウイルスバスター™ ビジネスセキュリティ」などのエンドポイント製品は、BLACKGEAR における攻撃の影響を軽減するさまざまな機能を備えています。

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

JVN: Bluetooth 実装の楕円曲線ディフィー・ヘルマン鍵共有において公開鍵を適切に検証していない問題

Bluetooth デバイスのファームウエアや OS のドライバが、ディフィー・ヘルマン鍵共有において公開鍵を適切に検証していない場合、遠隔の第三者により、通信内容を取得される可能性が存在します。続きを読む

PHP 7.1.20 Released

The PHP development team announces the immediate availability of PHP 7.1.20. This is a security release. Several security bugs have been fixed in this release. All PHP 7.1 users are encouraged to upgrade to this version.

For source downloads of PHP 7.1.20 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 5.6.37 Released

The PHP development team announces the immediate availability of PHP 5.6.37. This is a security release. Several security bugs have been fixed in this release. All PHP 5.6 users are encouraged to upgrade to this version.

For source downloads of PHP 5.6.37 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 7.0.31 Released

The PHP development team announces the immediate availability of PHP 7.0.31. This is a security release. Several security bugs have been fixed in this release. All PHP 7.0 users are encouraged to upgrade to this version.

For source downloads of PHP 7.0.31 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 7.2.8 Released

The PHP development team announces the immediate availability of PHP 7.2.8. This is a security release which also contains several minor bug fixes.

All PHP 7.2 users are encouraged to upgrade to this version.

For source downloads of PHP 7.2.8 please visit our downloads page, Windows source and binaries can be found on windows.php.net/download/. The list of changes is recorded in the ChangeLog.

PHP 7.3.0alpha4 Released

The PHP team is glad to announce the release of the fourth PHP 7.3.0 version, PHP 7.3.0alpha4. The rough outline of the PHP 7.3 release cycle is specified in the PHP Wiki.

For source downloads of PHP 7.3.0alpha4 please visit the download page. Windows sources and binaries can be found on windows.php.net/qa/.

Please carefully test this version and report any issues found in the bug reporting system.

THIS IS A DEVELOPMENT PREVIEW - DO NOT USE IT IN PRODUCTION!

For more information on the new features and other changes, you can read the NEWS file, or the UPGRADING file for a complete list of upgrading notes. These files can also be found in the release archive.

The next release would be Beta 1, planned for August 2nd.

The signatures for the release can be found in the manifest or on the QA site.

Thank you for helping us make PHP better.

主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続

本ブログで 2017 年 2 月に解説したように、2016 年には、主要な脆弱性攻撃ツール(エクスプロイトキット、EK)の活動停止や減少が確認されました。しかし、エクスプロイトキットの活動は完全に停止したわけではありません。「malvertisement(不正広告)」や、スパムメール内の不正リンク、あるいは侵害した Web サイトのように、以前と同様の手口の利用を続けているものの、最近再び脅威状況の中で重要な位置を占めるようになってきました。「Rig EK」、「GrandSoft EK」、そして非公開の「Magnitude EK」がその良い例です。これらのエクスプロイトキットは、比較的最近確認された脆弱性を利用し、仮想通貨発掘マルウェアランサムウェア、ボットのローダ、そしてオンライン銀行詐欺ツール(バンキングトロジャン)などのマルウェアを送り込みます。

エクスプロイトキットによる最近の活動を概観すると、不正な仮想通貨発掘活動や既製のマルウェアの利用のように、戦術の変化を確認することができます。仮想通貨人気や既製マルウェアの利用の簡便性を考えると、2018 年には引き続きこのような傾向が見られると考えられます。また、Microsoft Word や Internet Explorer を介して利用可能な脆弱性「CVE-2018-8174」のように、複数のソフトウェアに対して有効な脆弱性の利用も予測されます。

2018 年前半に確認された各エクスプロイトキットの活動

図 1:2018 年前半に確認された各エクスプロイトキットの活動(6 月の数値は 25 日までを集計)

■各エクスプロイトキットの変遷

Rig EK

Rig EK は、2017 年以来、現在に至るまで、最も活発なエクスプロイトキットです。2018 年 7 月時点で、4 番目のバージョンが確認されています。Rig EK が最も活発なエクスプロイトキットになった背景には、以下のような要因があります。

  • 2015 年にもっとも活発であった「Angler EK」の活動が 2016 年に停滞したこと
  • 「Neutrino EK」が非公開になったこと
  • 2017 年後半に「Sundown EK」のソースコードが流出し、サービスの提供を停止したこと
  • Rig EK の他に、よく利用されるエクスプロイトキットとして残っていた「Disdain EK」と「Terror EK」が、2017 年の終わりまでに活動を終了したこと

Magnitude EK

Magnitude EK は、2014 年からアンダーグラウンドで提供されていましたが、2016 年に非公開となってからは、攻撃の対象を台湾と韓国に限定していました。2017 年 10 月には、暗号化型ランサムウェア「MAGNIBER」を韓国に拡散するために利用されていたことが確認されています。

GrandSoft EK

2012 年に登場した GrandSoft EK は、2014 年以降しばらく確認されていませんでしたが、2017 年 9 月に再び確認されました。トレンドマイクロは、GrandSoft EK が、Rig EK を利用してマルウェアを拡散しているのと同じ攻撃者によって頻繁に利用されていることを確認しています。彼らは、攻撃活動ごとに利用するエクスプロイトキットを切り替えているようです。あるいはこれは、GrandSoft EK が、アンダーグランドでサービスとして提供されていることを示しているのかもしれません。

各エクスプロイトキットによる攻撃の国別分布

図 2:各エクスプロイトキットによる攻撃の国別分布

■脆弱性「CVE-2018-8174」の利用

Microsoft Windows の VBScript エンジンにおけるメモリ破損の脆弱性「CVE-2018-8174」は、2018 年 4 月に報告され、その 1 カ月後に更新プログラムが提供されています。CVE-2018-8174 は、不正なOffice Word 文書を介して実際の攻撃で活発に利用されています。この脆弱性は、Internet Explorer(IE)のようなその他の手段でも利用可能です。

Rig EK は、脆弱な VBScript エンジンを使用する IE と Office 文書を通して、早い段階でこの脆弱性を利用したエクスプロイトキットの 1 つです。Rig EK に続き、その他のエクスプロイトキットもこの脆弱性を利用しています。脆弱性を攻撃するコードの実装は、一般に公開された概念実証(Proof of Concept、PoC)と類似しています。図 3 は各エクスプロイトキットのコードを比較したものですが、変数名のランダムな文字列にわずかな違いが確認できます。

各エクスプロイトキットが「CVE-2018-8174」を利用するコード

図 3:各エクスプロイトキットが「CVE-2018-8174」を利用するコード
※VBScript の関数「Class_Terminate」を比較

各エクスプロイトキットの「CVE-2018-8174」を利用する攻撃の流れ

図 4:各エクスプロイトキットの「CVE-2018-8174」を利用する攻撃の流れ

■エクスプロイトキットは依然としてさまざまな脅威の拡散に利用

Rig EK および GrandSoft EK は、不正な仮想通貨発掘活動の流行に乗り、コインマイナーを直接送り込むか、あるいはコインマイナーを作成するボットを読み込むローダをインストールします。コインマイナーの他にも、暗号化型ランサムウェア「GandCrab」が好んで利用されています。80 以上の提携先に対してランサムウェアサービス(Ransomware as a Service、RaaS)として提供されていたという報告を踏まえると、GandCrab の利用は驚くべきことではありません。

エクスプロイトキットは、ボットネットの構築やバンキングトロジャンの拡散にも利用されています。中でも、バンキングトロジャン「Karius」(「TROJ_KARIUS.A」として検出)は、Rig EKによって拡散されていました。Karius の実装は悪名高いバンキングトロジャン「Ramnit」に類似していることが確認されています。Ramnit もまた、Rig EK を利用して拡散されていました。トレンドマイクロが Kariusを確認した時点で、このバンキングトロジャンの攻撃は、認証情報の窃取や支払い処理の乗っ取りを行うために、銀行や仮想通貨に関連した Web サイトにインジェクション攻撃を仕掛けるというものでした。

バンキングトロジャン「Karius」の管理画面

図 5:バンキングトロジャン「Karius」の管理画面

ローダ「Ascentor Loader」(「TROJ_DLOADR.SULQ」として検出)は、GrandSoft EK によって拡散されていました。Ascentor Loader で確認された文字列の中には、2 人のセキュリティリサーチャの氏名/ハンドル名がありました。これが、彼らが GrandSoft EK の活動を監視していたためであるかどうかは不明です。今のところ、Ascentor Loader はランサムウェア「GandCrab」(「RANSOM_HPGANDCRAB.SMG」として検出)のダウンロードおよび実行に利用されています。

「Ascentor Loader」で確認された特筆すべき文字列

「Ascentor Loader」で確認された特筆すべき文字列

図 6:「Ascentor Loader」で確認された特筆すべき文字列
(リサーチャの氏名/ハンドル名および「Ascentor Loader」という文字列)

CVE-2018-8174 に対処する更新プログラム公開の 1 カ月後、IE の脆弱性のみを狙うことが知られている GrandSoft EK は、利用する脆弱性を「CVE-2016-0189」から「CVE-2018-8174」に変更しました。脆弱性を利用するコードの実装は、 PoC を修正したものだと考えられています。

Rig EK は、CVE-2018-8174 を 利用して仮想通貨「Monero」を発掘するコインマイナーを拡散していました。しかし、この脆弱性は Rig EK の背後にいる攻撃者にとって最適のものではなかったようです。彼らは、IE に影響を与える脆弱性「CVE-2016-0189」および「CVE-2015-2419」、そして Adobe Flash における遠隔でのコード実行(RCE)脆弱性「CVE-2018-4878」を再び採用しました。

Rig EK は、CVE-2018-8174 を攻撃するコードの追加の他に、サイバー犯罪者のためのオンライン掲示板などで販売されているローダ「Kardon Loader」(「TROJ_KARDONLDR.A」として検出)を利用していることも確認されています。Kardon Loader は、仮想通貨「Monero」を発掘するマルウェア(「COINMINER_MALXMR.SM4-WIN32」として検出)のダウンロードに利用されました。これは、Rig EK が非常に活発なエクスプロイトキットであることを示す一例です。他にも、「QuantLoader」や「Smoke Loader」のようなさまざまなローダを利用し、ランサムウェアやコインマイナー、「Pony」のような情報窃取型マルウェア、そして「ZeuS」などのバンキングトロジャンをダウンロードしていることも確認されています。

ローダ「Kardon Loader」の広告(左)、「Kardon Loader」を利用するボットネットの管理画面(右)

図 7:ローダ「Kardon Loader」の広告(左)、「Kardon Loader」を利用するボットネットの管理画面(右)

Rig EK が、CVE-2018-8174 の利用を開始した数日後、「Magnitude EK」もまた、暗号化型ランサムウェア「MAGNIBER」を送り込むために CVE-2018-8174 を利用する独自の攻撃コードを実装しました。この変更は、それまで利用していた IE のメモリ破損脆弱性「CVE-2016-0189」を CVE-2018-8174 に置き換えたものです。以前の活動と同様に、攻撃対象は韓国に限定されていました。これは、対象を限定することで検出を逃れ感染率を上げようとしているか、あるいは法執行機関およびセキュリティリサーチャの目につかないようにしているものと考えられます。

Magnitude EK が CVE-2018-8174 を利用するコード

図 8:Magnitude EK が CVE-2018-8174 を利用するコード

■被害に遭わないためには

製作者の逮捕、ゼロデイ脆弱性の不足、そしてベンダーによる自社製品のセキュリティ向上などの理由からエクスプロイトキットの活動は減少傾向にありました。しかし、エクスプロイトキットは、依然として注意を払うべき脅威です。攻撃者は、新しい脆弱性を狙うコードを統合したり、PoC が公開されるやいなやハッシュ値を変更して悪用するなど、次々に新しい手法を取り入れます。また、古い脆弱性の利用を続けるエクスプロイトキットの存在は、そのような手法であっても一定の成果を収められていることの間接的な証拠だと言えます。

2017 年には、119 のゼロデイ脆弱性が確認されました。攻撃を実行する足掛かりを得るためには、そのうち 1 つを利用するだけで十分です。そのような脆弱性に対処するために、定期的に更新プログラムを適用し、レガシーシステムの場合は仮想パッチの利用を検討してください。企業は、即時対応が必要な脆弱性を判断するために、より厳重な更新プログラム管理ポリシーを実施することで、エクスプロイトキットの影響をさらに軽減することが可能です。

最小権限の原則を適用してください。また、ファイアウォール侵入防御および検知システムからアプリケーションコントロール、そして挙動監視にいたる、多層的なセキュリティを実装することも有効です。

■トレンドマイクロの対策

ゲートウェイやエンドポイントから、ネットワークそしてサーバにいたる、多層的でプロアクティブなセキュリティ対策が、脆弱性を利用する脅威に対処する鍵です。

トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター™ コーポレートエディション XG」は、「Trend Micro Virtual Patch for Endpoint(旧Trend Micro 脆弱性対策オプション)」機能を備えており、更新プログラム適用前であっても既知および未知の脆弱性からエンドポイントを防御します。

上述の「ウイルスバスター™ コーポレートエディション XG」や、中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ ビジネスセキュリティ」は、不正なファイルや、関連する不正な URL をブロックすることにより、強固な保護を提供します。

■侵入の痕跡(Indicators of Compromise、IoC)

関連する SHA256 は以下の通りです。

  • Ascentor Loader(TROJ_DLOADR.SULQ):
    69ec63646a589127c573fed9498a11d3e75009751ac5e16a80e7aa684ad66240
  • GandCrab(RANSOM_HPGANDCRAB.SMG):
    f75c442895e7b8c005d420759dfcd4414ac037cf6bdd5771e23cedd73693a075
  • Kardon Loader(TROJ_KARDONLDR.A):
    aca8e9ecb7c8797c1bc03202a738a0ad586b00968f6c21ab83b9bb43b5c49243
  • Karius(TROJ_KARIUS.A):
    5f7d3d7bf2ad424b8552ae78682a4f89080b41fedbcc34edce2b2a2c8baf47d4
  • MAGNIBER(RANSOM_MAGNIBER.Q):
    24d17158531180849f5b0819ac965d796886b8238d8a690e2a7ecb3d7fd3bf2b
  • Monero を発掘するコインマイナー(COINMINER_MALXMR.SM4-WIN32):
    a0bff2cf5497d9b36c384e2410cb63f17b127e1b10d76263bb37eced93a73b66

Rig EK に関連する不正なドメイン/IPアドレスは以下の通りです。

  • 188[.]225[.]37[.]242(Rig EKと Kardon Loaderをダウンロード)
  • 193[.]23[.]181[.]154
  • 193[.]23[.]181[.]154/crypto/?placement=198395354
  • hxxp[:]//193[.]23[.]181[.]154/dl/miner/ipodservice2[.]exe(Monero を発掘するコインマイナー)
  • hxxp[:]//proxyservice[.]site/updates/gateway[.]php(Karius)

Magnitude EK に関連する不正なドメイン/IP アドレスは以下の通りです。

  • [ID].bitslot[.]website(MAGNIBER の支払いサーバ)
  • [ID].carefly[.]space(MAGNIBER の支払いサーバ)
  • [ID].farmand[.]site(MAGNIBER の支払いサーバ)
  • [ID].trapgo[.]host(MAGNIBER の支払いサーバ)
  • 54[.]37[.]57[.]152(MAGNIBER の支払いサーバ)
  • 64[.]188[.]10[.]44(MAGNIBER の支払いサーバ)
  • 139[.]60[.]161[.]51(MAGNIBER の支払いサーバ)
  • 149[.]56[.]159[.]203(2 つ目の Magnigate)
  • 167[.]114[.]191[.]124(Magnitude EK)
  • 167[.]114[.]33[.]110(2 つ目の Magnigate)
  • 185[.]244[.]150[.]110(MAGNIBER の支払いサーバ)
  • fedpart[.]website(2 つ目の Magnigate)
  • addrole[.]space(Magnitude EK のランディングページ)
  • taxhuge[.]com(1 つ目の Magnigate)

GrandSoft EK に関連する不正なドメイン/IPアドレスは以下の通りです。

  • 91[.]210[.]104[.]247/debug[.]txt
  • 91[.]210[.]104[.]247/putty.exe(GandCrab)
  • 200[.]74[.]240[.]219(BlackTDS)
  • carder[.]bit(GandCrab のC&C サーバ)
  • ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz
  • ethical-buyback[.]lesbianssahgbrewingqzw[.]xyz/masking_celebration-skies
  • papconnecting[.]net/wp-content/traffic[.]php

謝辞:Kafeine 氏(Magnitude EK に関連した IoC の情報を提供)

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

EMET サポート終了 – Windows Defender Exploitation Guard へ移行を

こんにちは、垣内ゆりかです。

 

2009 年にリリースされて以来、最先端の攻撃緩和を追加する無償のツールとして、多くのユーザーに利用されてきた脆弱性緩和ツール Enhanced Mitigation Experience Toolkit (EMET)。いよいよ、今月、2018 7 31 日をもって製品サポートが終了となります。

 

EMET の機能は、Windows 10 Windows Defender Exploitation Guard 機能に統合されています。(補足 1)

OS の標準機能になったことで、ツールをインストールすることなく、これまで EMET が提供してきた保護機能を利用でき、より利便性と保護技術が高くなりました。保護の構成は、これまでの EMET GUI のように、Windows Defender セキュリティ センター (WDSC) (英語情報) から直接行うことができます。また、Windows 10 上で動作するセキュリティが十分ではないレガシー アプリも、これまでの EMET と同様、緩和策を適用し保護することが可能です。詳細はこちらのブログ ポストも参考にしてください。

 

2018 7 31 日のサポート終了後は、EMET における問題を修正するアップデートの提供、技術サポートの提供が終了します。

EMET の環境設定は、PowerShell を使って Windows 10 に移行することができます。(参考: EMET の XML 設定ファイルを Windows 10 の軽減策ポリシーに変換する) 現在 EMET をご利用の方は、ぜひ早急に Windows 10 へ移行を行ってください。

 

 

 

 


補足 1: Windows Defender Exploitation Guard は、Windows 10 Fall Creators Update (バージョン 1709) から利用可能です。

2018 年 7 月のセキュリティ更新プログラム (月例)

20187 11 (日本時間)、マイクロソフトは以下のソフトウェアのセキュリティ更新プログラムを公開しました。

  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office、Microsoft Office Servers および Web Apps
  • ChakraCore
  • Adobe Flash Player
  • .NET Framework
  • ASP.NET
  • Microsoft Research JavaScript Cryptography Library
  • Skype for Business and Microsoft Lync
  • Visual Studio
  • Microsoft Wireless Display Adapter V2 Software
  • PowerShell Editor Services
  • PowerShell Extension for Visual Studio Code
  • Web Customizations for Active Directory Federation Services

 

新規セキュリティ更新プログラムを公開すると共に、新規のセキュリティ アドバイザリ 1 件の公開、既存のセキュリティ アドバイザリ 4 件の更新、既存の脆弱性情報 1 件の更新を行いました。なお、今月の「悪意のあるソフトウェアの削除ツール」では、対応を追加したファミリはありません。

 

お客様はできるだけ早期に、今月公開のセキュリティ更新プログラムを適用するようお願いします。

 

■ お知らせ

  • (7 月 20 日追記) 7 月 11 日 (日本時間) に公開した Windows OS のセキュリティ更新プログラムにて、いくつかの既知の問題を確認しています。詳しくは、Windows プラットフォーム サポート チームのブログを参照してください。
  • Windows Server 2008 は、8 月の月例の品質ロールアップ プレビューのリリースを皮切りに、ロールアップ モデルに移行する予定です。9 月のセキュリティ更新プログラムはロールアップ モデルとなりますので、必要に応じて展開方法などの変更を事前にご準備ください。詳細はWindows Server のブログ「Windows Server 2008 SP2 servicing changes (英語情報)」をご参考ください。Windows Server 2008 のロールアップ モデルへの移行は、2016 年 10 月に行われた Windows 7 および Windows 8.1 のサービス モデルの変更と同様のものになる予定です。

 

■ セキュリティ更新プログラム・セキュリティ アドバイザリに関する主な注意点

  • アドバイザリ ADV180016 を更新し、CVE-2018-3665 (Lazy FP State Restore) に対する緩和策を含んだセキュリティ更新プログラムをリリースし関連する FAQ を追加しました。詳細はアドバイザリをご参照ください。
  • アドバイザリ ADV180012 を更新し、Intel プロセッサ向けの Speculative Store Bypass (Variant 4) の無効化を含んだセキュリティ更新プログラムを、Windows Server 2008Windows Server 2012Windows 8.1Windows Server 2012 R2 向けにリリースしました。詳細はアドバイザリをご参照ください。
  • アドバイザリ ADV180002 を更新し、AMD プロセッサ向けの CVE-2017-5715 (Variant 2) に対する追加の緩和策を含むセキュリティ更新プログラムを、Windows 8.1Windows Server 2012 R2 向けにリリースしました。詳細はアドバイザリをご参照ください。
  • アドバイザリ ADV170017 を更新し、Office 201020132016 向けにセキュリティをさらに強化した新規のセキュリティ更新プログラムをリリースしました。詳細はアドバイザリをご参照ください。

 

■ 既存の脆弱性情報の更新 (1 )

下記の脆弱性情報のセキュリティ更新プログラムの一部が再リリースされています。再リリースされたセキュリティ更新プログラムは既に適用済みのコンピューターにも再インストールする必要があります。詳細は下記脆弱性情報を参照してください

  • CVE-2016-7279
    Windows 10 向けにセキュリティ更新プログラムをリリースしました。この脆弱性から完全に保護するために、最新の更新プログラムをインストールすることをお勧めします。

 

2018 7 月のセキュリティ更新プログラム

セキュリティの脆弱性および更新プログラムの情報を、CVEKB 番号、製品、またはリリース日別に並べ替えたりフィルターをかけたりすることができます。

セキュリティ更新プログラム ガイド

各月のセキュリティ更新プログラムを絞り込むには、日付範囲に絞り込む月の第 2 火曜日を指定して検索してください。

なお、セキュリティ更新プログラム ガイド API を活用して、自社に特化したカスタム レポートを作成することができます。API の活用方法を紹介する 6 つのビデオ (API の情報 (GitHub)API へのアクセスHTML ファイルの出力Excel へのエクスポートCVE リストの取得KB リストの取得) を公開していますので、是非ご活用ください。

 

マイクロソフトは新たに確認した脆弱性について、下記の新しいセキュリティ更新プログラムを公開しました。

製品ファミリ 最大深刻度 最も大きな影響 関連するサポート技術情報またはサポートの Web ページ
Windows 10 および Windows Server 2016 (Microsoft Edge を含まない) 重要 特権の昇格 Windows 10 v1803: 4338819、Windows 10 v1709: 4338825、Windows 10 v1703: 4338826、Windows 10 v1607: 4338814、Windows 10: 4338829、Windows Server 2016: 4338814
Microsoft Edge 緊急 リモートでコードが実行される Microsoft Edge: 43388194338825433882643388294338814
Windows 8.1 および Windows Server 2012 R2 重要 特権の昇格 Windows 8.1 および Windows Server 2012 R2 マンスリー ロールアップ: 4338815

Windows 8.1 および Windows Server 2012 R2 セキュリティのみ: 4338824

Windows Server 2012 重要 特権の昇格 Windows Server 2012 マンスリー ロールアップ: 4338830

Windows Server 2012 セキュリティのみ: 4338820

Windows RT 8.1 重要 特権の昇格 Windows RT 8.1: 4284815

注: Windows RT 8.1 の更新プログラムは Windows Update からのみ入手できます。

Windows 7 および Windows Server 2008 R2 重要 特権の昇格 Windows 7 および Windows Server 2008 R2 マンスリー ロールアップ: 4338818

Windows 7 および Windows Server 2008 R2 セキュリティのみ: 4338823

Windows Server 2008 重要 特権の昇格 Windows Server 2008 の更新プログラムは累計的な更新プログラムやロールアップとして提供されません。次の記事は Windows Server 2008 のバージョンを参照しています。4293756433985442913914339291429565643395034340583
Internet Explorer 緊急 リモートでコードが実行される Internet Explorer 9 IE 累積的: 4339093

Internet Explorer 10 マンスリー ロールアップ: 4338830

Internet Explorer 10 IE 累積的: 4339093

Internet Explorer 11 マンスリー ロールアップ: 43388154338818

Internet Explorer 11 IE 累積的: 4339093

Internet Explorer 11 セキュリティ更新プログラム:43388194338825433882643388294338814

Microsoft Office 関連のソフトウェア 重要 リモートでコードが実行される マンスリー セキュリティ更新プログラムのリリースの Microsoft Office に関連するサポート技術情報の記事の数は、CVE の数、および影響を受けるコンポーネントの数によって変わります。今月リリースされる Office の更新プログラムに関連するサポート技術情報は 20 件を超えます。概要をお知らせする目的から、ここでは一部のみを掲載します。資料の詳細については、「セキュリティ更新プログラム ガイド」を参照してください。
Microsoft SharePoint 関連のソフトウェア 重要 リモートでコードが実行される Microsoft SharePoint 関連のソフトウェア: 402223540222284022243
Skype for BusinessMicrosoft Lync 重要 リモートでコードが実行される Skype for Business: 4022221

Microsoft Lync: 4022225

.NET.NET CoreASP.NETASP.NET Core 重要 リモートでコードが実行される .NET Framework のセキュリティ更新プログラムのリリースに関連するサポート情報の記事数は、CVE の数と影響を受けるコンポーネントの数によって変わります。今月リリースされる .NET Framework の更新プログラムに関連するサポート情報の記事は 20 件を超えます。概要をお知らせする目的から、ここでは一部のみを掲載します。.NET Core は、Microsoft GitHub .NET コミュニティが保守している汎用開発プラットフォームです。
Microsoft Visual Studio 重要 リモートでコードが実行される Microsoft Visual Studio: 4336919433694643369864336999
Microsoft Research JavaScript Cryptography ライブラリ 重要 セキュリティ機能のバイパス MSR JavaScript Cryptography ライブラリ は、HTML5 に準拠し、将来を考慮した方法でクラウド サービスに使用するために開発されました。このライブラリは現在も開発中です。更新プログラムについては、ダウンロード センターを参照してください。
Microsoft Wireless Display Adapter 重要 リモートでコードが実行される ソフトウェアとドライバーの情報については、「Microsoft Wireless Display Adapter」を参照してください。
PowerShell Editor ServicesVisual Studio Code PowerShell 拡張機能 緊急 リモートでコードが実行される PowerShell は、.NET Framework に基づいて構築され、オープンソースでタスクベースのコマンドライン シェルおよびスクリプト言語です。Visual Studio Code 用 PowerShell 拡張機能PowerShell Editor Services の更新プログラムについては、GitHub を参照してください。
AD FS 向け Web カスタマイズ 重要 なりすまし AD FS には、管理者が企業のニーズに合わせてエンドユーザーのエクスペリエンスをカスタマイズし、調整することができるさまざまなオプションが用意されています。「AD FS ユーザーのサインインのカスタマイズ」を参照してください。AD FS Web Customization リポジトリについては GitHub を参照してください。
ChakraCore 緊急 リモートでコードが実行される ChakraCore は Chakra のコア部分であり、HTML/CSS/JS で記述された Microsoft Edge Windows アプリケーションを強化する高パフォーマンスの JavaScript エンジンです。詳細については、https://github.com/Microsoft/ChakraCore/wiki を参照してください。
Adobe Flash Player 緊急 リモートでコードが実行される Adobe Flash Player のサポート技術情報: 4338832

Adobe Flash Player のアドバイザリ: ADV180017

 

更新履歴

2018/07/20: 「お知らせ」に今月のセキュリティ更新プログラム公開後に確認した既知の問題を追加しました。

PHP 7.3.0 alpha 3 Released

The PHP team is glad to announce the release of the third PHP 7.3.0 version, PHP 7.3.0 Alpha 3. The rough outline of the PHP 7.3 release cycle is specified in the PHP Wiki.

For source downloads of PHP 7.3.0 Alpha 3 please visit the download page. Windows sources and binaries can be found on windows.php.net/qa/.

Please carefully test this version and report any issues found in the bug reporting system.

THIS IS A DEVELOPMENT PREVIEW - DO NOT USE IT IN PRODUCTION!

For more information on the new features and other changes, you can read the NEWS file, or the UPGRADING file for a complete list of upgrading notes. These files can also be found in the release archive.

The next release would be Beta 1, planned for July 19th.

The signatures for the release can be found in the manifest or on the QA site.

Thank you for helping us make PHP better.