今週気になったIT関連のニュース

Mar 30, 2021 01:45 · 1292 words · 3 minute read 今週のニュース

2021年3月22日~2021年3月28日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

遠隔授業で使われるソフトウェアの脆弱性

What

  • オンライン授業で利用するシステムに複数の脆弱性が見つかった
    • これらの脆弱性を悪用すると、同じネットワーク内にいる攻撃者が生徒のパソコンを完全に操作できる可能性がある
  • 今回問題が見つかったソフトはNetop Vision Pro
    • 教師は生徒のパソコンに対して下記のような操作ができる
      • コンピュータのロック
      • Webアクセスのブロック
      • デスクトップのリモート制御
      • アプリケーションの実行
      • ドキュメントの共有
    • 本来管理下にあるネットワーク内(おそらく教室内)で利用することを想定したソフトだが、世界的なコロナウイルスの影響により遠隔授業が必要になり、生徒の自宅など管理外のネットワークでも使われる状況になった
  • 発見者であるMcAfeeのブログ
  • 今回見つかった問題のCVEは下記
  • 「授業に使う」というソフトの特性上、生徒向けのソフトウェアはパソコン起動と同時に自動で起動して、サービスを無効にできない仕様になっていた
    • このようなソフトウェアの利用特性による特徴はとても興味深い
    • 今回の場合は、攻撃者にとってはとてもありがたい特徴になっている
  • 近年教育分野が攻撃対象になることが多く、学校に対するランサムウェアの事例が複数報告されているらしい

When

  • 2020年12月11日にMcAfeeからNetopに報告
  • 2021年2月にNetopから脆弱性修正の更新を配布
    • 修正バージョンはNetop Vision Proバージョン9.7.2

Why

  • Netop Vision Proを本来の想定から外れた環境(管理外のネットワーク環境)で利用しなければならない状況になったため
  • 教室内という管理下にあるネットワークで利用することを想定して開発されており(おそらく)、各種セキュリティに関わる仕様が甘かったため

How

関連記事

Google Project Zeroがテロ対策で実施されていたゼロデイ攻撃を検知して対策していた話

What

  • GoogleのProject Zeroが複数のゼロデイ攻撃を発見し、対策した
    • これらの攻撃は、某国がテロ対策のために実施していたものであることがわかった
  • このようなツイートもあったので、類似した活動は他にも沢山ありそう

When

  • 2020年10月Google Project Zeroが攻撃に活用されている新しい脆弱性を発見し、対策を実施

関連記事

最後に

先週分のニュースまとめ記事にも教育分野のセキュリティに関する情報があった。
教育のみならず環境が変化している分野では、変化によって生じた歪が狙われるんだろうな。

悪い人たちはとても賢いので、歪を見つけるのが上手い。
自分も悪い人たちに負けないように歪を見つけられるようになっていきたい。

tweet Share