脆弱性

FeliCaの2017年以前の古いICチップに脆弱性が見つかる！

ソニーは28日、同社が開発・提供する非接触ICカード技術「FeliCa」のICチップのうちの2017年以前に出荷された一部についてデータの読み取りや改ざんが実行される可能性があることを確認したと発表しています。同社では独立行政法人情報処理推進機構（IPA）の「情報セキュリティ早期警戒パートナーシップガイドライン」に基づいて外部から指摘を受け、報告された操作によってこの脆弱性を確認したということです。

この脆弱性は対象のICチップにおいてFeliCaの暗号システムを突破し、セキュリティーを管理する暗号鍵を取り出せるものだとのこと。これを受けてFeliCaを利用したサービスを提供している各社からも対応状況が案内され、非接触ICサービス「Suica」や「PASMO」、「楽天Edy」、「QUICPay」、「iD」、「WAON」、「[[nanaco」のほか、スマートフォン（スマホ）などで利用できる「おサイフケータイ」についてはこの脆弱性の影響を受けず、問題なく安心して利用できるということです。

一方、脆弱性を利用してFeliCaの古いICチップを使った身分証などでは改ざんなどが可能だとし、現時点ではソニーは対策方法を明らかにしておらず、抜本的な対策としてはこれらの対象チップを使わないことになりそうです。ただし、ソニーではFeliCaを利用するサービスのセキュリティーがICチップのセキュリティーに加え、サービスごとにシステム全体で構築されており、一部のサービス事業者や公的機関とも連携し、それらの情報から安心して利用できるとしています。

続きを読む

シャープの一部のルーターに複数の脆弱性を修正するソフトウェア更新が提供中！

シャープは16日、同社が開発・製造した一部のルーター製品について複数のセキュリティー上の脆弱性が存在することが判明したとお知らせしています。すでに対象製品に対してそれらの脆弱性を修正するソフトウェア更新を配信開始しているため、当該製品を持っている人は速やかにソフトウェア更新を行うように案内しています。

対象機種はNTTドコモ向けモバイルルーター「Wi-Fi STATION SH-54C」および「Wi-Fi STATION SH-52B」、「Wi-Fi STATION SH-05L」、ホームルーター「home 5G HR02」、KDDIおよび沖縄セルラー電話向け「Speed Wi-Fi NEXT W07」、ソフトバンク向け「Pocket Wifi 809SH」となっており、脆弱性識別番号は「JVN#61635834」とのこと。

CVE IDとしては「CVE-2024-45721」および「CVE-2024-52321」、「CVE-2024-54082」、「CVE-2024-46873」、「CVE-2024-47864」の5つの脆弱性となっており、それぞれ影響をうける製品は異なっています。なお、シャープではこれらの脆弱性の発見および連絡頂きましたJPCERT/CCおよび発見者に感謝する旨を掲載しています。

続きを読む

Android向けLINEアプリのKeep機能にアップロードしたデータの一部が他のアカウントから閲覧できる不具合！

LINE Corp.は15日、同社が提供するコミュニケーションサービス「LINE（ライン）」のAndroid向けアプリにおいて特定の条件下でアップロードしたデータの一部が他のLINEアカウントから閲覧可能な状態になっていた不具合が判明したとお知らせしています。

不具合はLINEのAndroidアプリにおけるKeep機能にて発生していたものの、2022年10月25日にリリースされたLINEのAndroidアプリのバージョン12.18.0にて解消しているとし、同社では現時点で個人情報の不正利用などの二次被害の発生は確認されていないとしています。

同社では不具合の概要について報告するとともに利用者に多大な迷惑と心配をかけたとして深く謝罪しています。なお、この不具合に関する問い合わせは専用Webフォーム（ https://contact-cc.line.me/detailId/14758 ）より連絡するように案内されています。

続きを読む

QualcommのSoC「Snapdragon」に400以上の脆弱性「Achilles」が見つかる！

イスラエルのセキュリティー企業であるCheck Point Software Technologies（以下、チェック・ポイント）は6日（現地時間）、Qualcomm Technologiesが提供するチップセット（SoC）「Snapdragon」シリーズに400以上の脆弱性が見つかったと発表しています。

これらの脆弱性をまとめて「Achilles（アキレス）」と名付け、Qualcomm Technologiesに調査結果を報告したほか、関連するメーカーに通知し、脆弱性情報データベースにCVE-2020-11201およびCVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209として登録されたとしています。

なお、同社では脆弱性の概要や影響、対策方法などを8月13日（現地時間）に開催したウェビナーで紹介しつつ、脆弱性を悪用したリスクを軽減するために包括的なソリューションを提供するまでは、これらの脆弱性の技術的な詳細を公開しないということです。

続きを読む

iPhone 4S〜Xなどに脆弱性！脱獄ツール「checkm8」に対して沈黙を続けるApple

CERT Coordination Centerは19日（現地時間）、Apple製プロセッサー「A5」から「A11」までを搭載した製品において起動用ROM（Appleでは「SecureROM」と呼称）に解放済みメモリーを使用する脆弱性（CWE-416）が存在すると発表しています。

これにより、製品を手にできる状態であれば、起動時にこの脆弱性を利用して第3者によって任意のコードが実行される可能性があるとしており、SecureROMは読取専用なのでソフトウェア更新によって修正することができないと注意喚起しています。

対象製品はiPhone 4SからiPhone X、iPad 2からiPad（第7世代）、iPad mini 2およびiPad mini 3、iPad AirおよびiPad Air 2、10.5インチiPad Proから12.9インチiPad Pro（第2世代）、Apple Watch Series 1からApple Watch Series 3、Apple TV（第3世代）およびApple TV 4K、iPod touch（第5世代）からiPod touch（第7世代）。

そのため、解決策は脆弱性のない製品への移行しかないとしており、Apple製品であれば「iPhone XS」や「iPhone XS Max」、「iPhone XR」、「iPhone 11」シリーズ、「12.9インチiPad Pro（第3世代）」などとなるとのこと。なお、現時点ではAppleからこの脆弱性に関する情報は公開されていないということです。

続きを読む