にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2017年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

……(´;ω;`)

 

はい、私事ながら、11月のはじめから食中毒の腸炎が原因で発熱と腹痛で10日間ほどぶっ倒れておりました。

仕事関係の皆様には本当にご迷惑をおかけ致しました。申し訳ございませんでした。

 

また、多くの皆様から体調について励ましのメッセージやコメント等も頂きました。

ありがとうございました。おかげで元気になりました。

 

今までは食中毒関連のニュースを見ても他人事のように感じていましたが、まさか自分が食中毒になるとは思ってもいませんでした。

この時期はインフルエンザ等も流行っているため、皆さんも体調管理には十分お気をつけください。

 

本ブログも全て先月中にまとめてはいたのですが公開しようと思ったタイミングで体調が悪くなってしまい公開が遅れてしまいました。

大分時間が経ってしまいましたが、先月のまとめです。

 

 

脆弱性のアレコレ

Dnsmasqに複数の脆弱性

【概要】
Dnsmasqに複数の脆弱性が存在し、第三者によって任意のコード実行や、情報の漏えい、サービス運用妨害 (DoS) 攻撃が行われる可能性がある。
※Dnsmasqは、DNSDHCPなどのサービスを提供するオープンソースソフトウェア

 

【CVE番号】
CVE-2017-14491(ヒープベースのバッファオーバーフロー (CWE-122))

CVE-2017-14492(ヒープベースのバッファオーバーフロー (CWE-122))

CVE-2017-14493(スタックベースのバッファオーバーフロー (CWE-121))

CVE-2017-14494(情報漏えい (CWE-200))

CVE-2017-14495(無制限なリソースの消費(リソース枯渇) (CWE-400))

CVE-2017-14496, CVE-2017-13704(整数アンダーフロー (CWE-191))

 

【対象】
Dnsmasq バージョン 2.77 およびそれ以前

 

【対策】
○アップデートする(以下脆弱性修正済みバージョン)

Dnsmasq バージョン 2.78

 

【参考情報】

Vulnerability Note VU#973527 - Dnsmasq contains multiple vulnerabilities

JVNVU#93453933: Dnsmasq に複数の脆弱性

Dnsmasqに複数の脆弱性 - Google指摘 | マイナビニュース

オープンソースのDNSソフトウェア「Dnsmasq」、3件のRCE脆弱性など7件の脆弱性 -INTERNET Watch

Dnsmasqに7件の脆弱性、AndroidやLinuxなど広範に影響の恐れ パッチ適用を - ITmedia エンタープライズ

DNS ソフトウェア「Dnsmasq」に複数の脆弱性、攻撃可能な条件と対策を解説 | トレンドマイクロ セキュリティブログ

 
Adobe Flash Playerに脆弱性

【概要】
Adobe Flash Player に型の混同 (Type Confusion) の脆弱性が存在し、第三者によって任意のコードを実行される可能性がある
※型の混同 (Type Confusion):同じメモリ領域を2つの異なる型で通信した際にデータの処理に問題が発生すること

【CVE番号】

CVE-2017-11292
Adobe識別ID:APSB17-32

 

【対象】
Adobe Flash Player Desktop Runtime 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版)
Adobe Flash Player for Google Chrome 27.0.0.159 およびそれ以前 (Windows 版、Macintosh 版、Linux 版、Chrome OS 版)
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 27.0.0.130 およびそれ以前 (Windows 10、Windows 8.1)

 

【対策】
○アップデートする(以下脆弱性修正済みバージョン)
バージョン 27.0.0.170

 

【参考情報】

https://helpx.adobe.com/jp/security/products/flash-player/apsb17-32.html

JVNVU#92489697: Adobe Flash Player に型の混同 (Type Confusion) の脆弱性

Adobe Flash Player の脆弱性対策について(APSB17-32)(CVE-2017-11292):IPA 独立行政法人 情報処理推進機構

Adobe Flash Player の脆弱性 (APSB17-32) に関する注意喚起

アドビ、「Flash Player」の脆弱性を修正--ゼロディ攻撃が発生 - ZDNet Japan

「Flash Player」にゼロデイ脆弱性、セキュリティアップデートを緊急公開 -INTERNET Watch

 

 

WPA2 (Wi-Fi Protected Access II) に脆弱性(KRACKs)

【概要】
無線 LAN (Wi-Fi) の通信規格である、WPA2 (Wi-Fi Protected Access II) に脆弱性が存在し、無線LANの通信範囲に存在する第三者により、通信の盗聴が行われる可能性がある
脆弱性名は『KRACKs』

 

【CVE番号】

CVE-2017-13077(4-way ハンドシェイクにおける Pairwise Key の再利用)

CVE-2017-13078(4-way ハンドシェイクにおける Group Key の再利用)

CVE-2017-13079(4-way ハンドシェイクにおける Integrity Group Key の再利用)

CVE-2017-13080(Group-key ハンドシェイクにおける Group Key の再利用)

CVE-2017-13081(Group-key ハンドシェイクにおける Integrity Group Key の再利用)

CVE-2017-13082(Fast BSS Transition 再接続リクエストの再送許可とその処理における Pairwise Key の再利用)

CVE-2017-13084(PeerKey ハンドシェイクにおける STK Key の再利用)

CVE-2017-13086(Tunneled Direct-Link Setup (TDLS) ハンドシェイクにおける TDLS PeerKey (TPK) Key の再利用)

CVE-2017-13087(Wireless Network Management (WNM) Sleep Mode レスポンスフレーム処理時の Group Key (GTK) の再利用)

CVE-2017-13088(Wireless Network Management (WNM) Sleep Mode レスポンスフレーム処理時の Integrity Ggroup Key (IGTK) の再利用)

 

【対象】
WPA2 プロトコルを実装している製品
攻撃の前提条件として、『利用者の使用している無線LANの通信範囲内にいる』必要がある

 

【対策】
○アップデートする
各ベンダーが提供する情報を元にアップデートする
各ベンダー情報は以下を参照
http://jvn.jp/vu/JVNVU90609033/
http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=228519&SearchOrder=4

 

【参考情報】

KRACK Attacks: Breaking WPA2

WPA2 における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構

JVNVU#90609033: Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題

WPA2の脆弱性 KRACKsについてまとめてみた - piyolog

WPA2の脆弱性は“大げさ”だった? 「初報だけ盛り上がる問題」を考える (1/3) - ITmedia NEWS

WPA2の脆弱性対策が本格化--週末にユーザーがすべきこと - ZDNet Japan

Wi-FiのWPA2脆弱性「KRACKs」 - 各社の対応は? | マイナビニュース

WPA2の脆弱性「KRACKs」公開、多数のWi-Fi機器に影響の恐れ - CNET Japan

WPA2脆弱性、Androidの対策パッチは11月6日提供予定、iOSの対策済みベータ配布が開始 -INTERNET Watch

Wi-Fi通信内容が盗み見される?「WPA2に弱点」情報まとめ : 科学 : 読売新聞(YOMIURI ONLINE)

WPA2の脆弱性「KRACKs」、ほぼすべてのWi-Fi通信可能な端末機器に影響 | トレンドマイクロ セキュリティブログ

 

 

Oracle Javaに複数の脆弱性

【概要】
Oracle Java SE JDKJREに複数の脆弱性が存在し、第三者によってJavaを不正終了されたり任意のコードが実行される可能性がある
※四半期に1度のCritical Patch Update

 

【CVE番号】
複数のため割愛
参考はコチラ→http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixJAVA

 

【対象】
Oracle Java SE 9
Oracle Java SE 8 Update 144
Oracle Java SE 7 Update 151
Oracle Java SE 6 Update 161
Oracle Java SE Embedded 8 Update 144

 

【対策】
○アップデートする
Oracle 社から提供されている最新版にアップデートする

 

【参考情報】

Oracle Java の脆弱性対策について(CVE-2017-10346等):IPA 独立行政法人 情報処理推進機構

2017年 10月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Oracle Critical Patch Update - October 2017

米Oracleの四半期パッチ公開、Javaなどの脆弱性に対処 - ITmedia エンタープライズ

Java SEやMySQLなどのセキュリティアップデート公開、計252件の脆弱性を修正、Oracleが四半期ごとの定期パッチ配布 -INTERNET Watch

Oracle Java SEに複数の脆弱性、アップデート推奨 | マイナビニュース

 

 

Oracleの「Identity Manager」に脆弱性

【概要】
Oracleが提供する「Identity Manager」に脆弱性が存在し、第三者に認証無しでデフォルトアカウントを利用してHTTP経由でログインされ、Oracle Identity Managerにアクセスされてしまう可能性がある

 

【CVE番号】
CVE-2017-10151

 

【対象】
Oracle Identity Manager(Versionは以下の通り)
11.1.1.7
11.1.1.9
11.1.2.1.0
11.1.2.2.0
11.1.2.3.0
12.2.1.3.0


【対策】
◯アップデートする

 

【参考情報】

Oracle Security Alert CVE-2017-10151

Oracleの「Identity Manager」に重大な脆弱性、緊急パッチ公開 すぐに適用を - ITmedia NEWS

オラクルのID管理製品に深刻な脆弱性、修正パッチを臨時公開 - ZDNet Japan

 


マイクロソフト、10月のセキュリティ更新プログラムに「早期適用」のものあり

【概要】
マイクロソフト、10月のセキュリティ更新プログラムに「早期適用」のものがあり、脆弱性を悪用された場合、リモートから任意のコードを実行される可能性がある

 

【CVE番号】
複数のため割愛
参考はコチラ→https://blogs.technet.microsoft.com/jpsecurity/2017/10/11/201710-security-bulletin/
※CVE-2017-11826ついては脆弱性の悪用を確認済み

 

【対象】
Microsoft 製品

 

【対策】
セキュリティ更新プログラムの適用

 

【参考情報】

2017 年 10 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム

Microsoft 製品の脆弱性対策について(2017年10月):IPA 独立行政法人 情報処理推進機構

2017年 10月マイクロソフトセキュリティ更新プログラムに関する注意喚起

米Microsoft、10月の月例セキュリティ更新プログラム公開 IEやWindowsなど62件の脆弱性を修正 - ITmedia エンタープライズ

MSの10月更新プログラムは「緊急」「早期の適用を」 JPCERT/CCが呼び掛け - ITmedia NEWS

マイクロソフト、10月のセキュリティ更新プログラム - Office 2007は最後 | マイナビニュース

 

 

GNU Wget脆弱性

【概要】
GNU Wget に複数のバッファオーバーフロー脆弱性が存在し、第三者から任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2017-13089
CVE-2017-13090

 

【対象】
GNU Wget 1.19.2 より前のバージョン

 

【対策】
○アップデートする

 

【参考情報】

JVNVU#99266133: GNU Wget における複数のバッファオーバーフローの脆弱性

「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

【セキュリティ ニュース】「Wget」に深刻な脆弱性 - チャンクエンコードの処理に問題(1ページ目 / 全1ページ):Security NEXT

 

 

「楽々はがき」および「楽々はがき セレクト for 一太郎」に脆弱性

【概要】
「楽々はがき」および「 楽々はがき セレクト for 一太郎」にメモリ破壊の脆弱性が存在し、第三者から任意のコードが実行される可能性がある

 

【CVE番号】
CVE-2017-10870

 

【対象】
▼個人ユーザ向け製品
一太郎2017
一太郎2016
一太郎2015
楽々はがき2018
楽々はがき2017
楽々はがき2016

▼法人ユーザ向け製品
一太郎Pro3
一太郎Pro2
一太郎Pro
一太郎2011
一太郎Government 8
一太郎Government 7
一太郎Government 6

▼体験版製品
一太郎2017 体験版

 

【対策】
○アップデートする

 

【参考情報】

楽々はがき および 楽々はがき セレクト for 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について

JVNVU#93703434: 「楽々はがき」および「楽々はがき セレクト for 一太郎」にメモリ破壊の脆弱性

「楽々はがき」にメモリ破壊の脆弱性、「一太郎」シリーズにも影響 - 窓の杜

 

 注意喚起やニュースのアレコレ

 

米ヤフー、2013年の情報流出で30億人分の情報が流出したと発表

【概要】
米ヤフーで2013年8月に発生した情報流出では、30億人分の情報が流出したと発表した

 

【参考情報】

Yahoo provides notice to additional users affected by previously disclosed 2013 data theft

ニュース - 米Yahoo!が起こした2013年の情報流出、全30億ユーザー分漏洩との調査結果:ITpro

米ヤフーへのハッキング、30億件の全アカウントに影響の可能性 - CNET Japan

 

 

TOKYO MX不正アクセスがあり、最大37万件の個人情報流出

【概要】
TOKYO MXの公式サイトサーバが不正アクセスを受け、最大37万件の個人情報が流出した

 

【参考情報】
東京メトロポリタンテレビジョンTOKYO MX)のプレスリリース(下記PDF2件)
http://s.mxtv.jp/company/press/pdf/press2017_510001.pdf
http://s.mxtv.jp/company/press/pdf/press2017_520001.pdf

「TOKYO MX」公式サイトに不正アクセス 視聴者のメアド最大37万件流出か - ITmedia NEWS

TOKYO MXに不正アクセス 30万人以上の個人情報流出の可能性 - ねとらぼ

 

 

Kasperskyカスペルスキー)が同社製品について内部調査結果を発表

【概要】
国家安全保障局NSA)の極秘情報が盗まれた方法として、Kasperskyカスペルスキー)のウイルス対策ソフトウェアが用いられたという疑惑に対し、Kasperskyカスペルスキー)が同社製品について内部調査結果を発表した。

 

【参考情報】

Kaspersky Lab、ソースコードを第三者機関提供など透明性への取り組み強化 | マイナビニュース

Kaspersky、独立機関によるソースコードの検証を発表 - ITmedia エンタープライズ

「ロシアがKaspersky経由でNSAの情報盗んだ」、米紙報道 - ITmedia エンタープライズ

渦中のカスペルスキーが調査報告--NSA職員のPCはすでにマルウェア感染していた - CNET Japan

カスペルスキーはいかにして米政府の機嫌を損ねたか - CNET Japan

NSAのハッキングコード、米パソコンから取得=カスペルスキー | ロイター

カスペルスキー、信用回復に向けソースコードなど外部監査へ - ZDNet Japan

 

 
新種のランサムウェア「Bad Rabbit」の感染が拡大

【概要】
新種のランサムウェア「Bad Rabbit」の感染が拡大。感染経路は改ざんされた正規ウェブサイトから、偽のFlashアップデートなどをインストールすると感染する。

 

【参考情報】

感染が拡大中のランサムウェア「Bad Rabbit」の対策について:IPA 独立行政法人 情報処理推進機構

新たなランサムウエア「Bad Rabbit」について

Bad Rabbit:新たな大規模ランサムウェア攻撃の兆し – カスペルスキー公式ブログ

新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される | トレンドマイクロ セキュリティブログ

ランサムウェア「Bad Rabbit」の内部構造を紐解く | MBSD Blog

ロシアとウクライナに潜む ランサムウェア「BadRabbit」

注目の脅威:Bad Rabbitを追いかけろ

「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か - CNET Japan

新種のランサムウェア「Bad Rabbit」--知っておくべき10のこと - ZDNet Japan

ランサムウェア「Bad Rabbit」配布目的で、国内企業サイトが改ざん被害 -INTERNET Watch

ニュース - アイカ工業がファイル改ざんの痕跡を確認、Bad Rabbit拡散の可能性強まる:ITpro

ランサムウェアBadRabbitに関する情報についてまとめてみた - piyolog

 

 

GMOインターネットの「サイトM&A」から顧客情報1万4612件が流出

【概要】
GMOインターネットが運営する、サイトを売買する仲介サービス「サイトM&A」が不正アクセスを受け、登録されている顧客情報1万4612件が流出した

 

【参考情報】

サイトM&A(サイト売買仲介サービス)ご登録会員様情報流出のお詫びとお知らせ(2017年10月30日) - GMOインターネット株式会社

ニュース - GMOインターネットの「サイトM&A」、顧客情報1万4612件が流出:ITpro

GMO、1万4612件の顧客情報が流出--サイト売買サービスに不正アクセス - CNET Japan

GMO、1万4612件の顧客情報が流出--サイト売買サービスに不正アクセス - ZDNet Japan

サイトM&Aの情報漏えいについてまとめてみた - piyolog

 

Google Chrome 62」の最新安定版が公開

【概要】
GoogleのWebブラウザ「Google Chrome 62」の最新安定版が公開され、複数の脆弱性に対処されたものとなった

 
【参考情報】

ブラウザに『保護されていません』の表示が出ても慌てずに(Chrome新バージョンでのセキュリティ警告の条件が変更)

https://www.ipa.go.jp/security/anshin/mgdayori20171031.html

「Google Chrome 62」が正式版に ~HTTP接続のフォームはすべて“非セキュア”扱いへ - 窓の杜

「Google Chrome 62」に脆弱性、修正を施したv62.0.3202.75が公開 - 窓の杜

「Google Chrome 62」が安定版に、35件の脆弱性を修正 - ITmedia エンタープライズ

Google、「Chrome 62」の脆弱性を修正 DoS誘発の恐れ - ITmedia NEWS

 

 

楽天カード』を騙るウイルス付きメールが増加

【概要】
楽天カード』を騙るウイルス付きメールが増加しており、注意が必要。
日本サイバー犯罪対策センター(JC3)で、2017年10月にウイルス付きメールとして報告されたメールの件名は以下の通り。

 

口座振替日のご案内【楽天カード株式会社】(楽天カード)
楽天カード】ご請求予定金額のご案内
【重要】カスタマセンターからのご案内【楽天カード株式会社】

 

【参考情報】

情報提供|一般財団法人日本サイバー犯罪対策センター

注意情報|一般財団法人日本サイバー犯罪対策センター

 

 セキュリティレポートのアレコレ

 

Webサイトの改ざんに伴う仮想通貨マイニングスクリプトの埋め込み事例 – wizSafe Security Signal -安心・安全への道標- IIJ

【発信元】
wizSafe Security Signal(IIJ)

 

暗号化しないランサムウェア「ShinigamiLocker」と、スクリーンロッカー/偽ランサムウェアの脅威 | MBSD Blog

【発信元】

三井物産セキュアディレクション株式会社

 

AWSの侵入テスト申請フォームが変更された件 - とある診断員の備忘録

【発信元】

とある診断員さん(https://twitter.com/tigerszk

 

10月のpiyologまとめ

WPA2の脆弱性 KRACKsについてまとめてみた - piyolog

ランサムウェアBadRabbitに関する情報についてまとめてみた - piyolog

サイトM&Aの情報漏えいについてまとめてみた - piyolog

【発信元】

piyokangoさん(https://twitter.com/piyokango

 

以上です。

ではでは( ˘ω˘)

ランサムウェア『Bad Rabbit』について超絶簡単にまとめてみた。 #BadRabbit

どもどもにゃんたくです(「・ω・)「ガオー

 

新しいランサムウェア『Bad Rabbit(バッドラビット)』について話題になっているため、現時点(2017/10/25 AM09:30時点ですが都度更新予定)で、僕が収集できた情報をまとめておきます。

※とりいそぎ、ですので悪しからずm(_ _)m

 

今回の感染ですが、

・Webサイトに悪意のあるjavascriptが埋め込まれてしまい、サイトにアクセスした利用者はドライブバイダウンロードで感染する

 

・悪意のあるjavascriptが埋め込まれたサイトでは偽のFlash Player用のアップデートをダウンロードするよう求めるポップアップが表示される

 

・上記のアップデートを『インストール』するとランサムウェアに感染してしまう

 

という流れで感染してしまうようです。

 

 

偽のFlash Player用のアップデートでインストールされる『install_flash_player.exe』情報

▼ファイル名

install_flash_player.exe

 

▼Hash値

・SHA-256

630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da

MD5

fbbdc39af1139aebba4da004475e8839

SHA-1

de5c8d858e6e41da715dca1c019df0bfb92d32c0

 

Virustotal結果

https://www.virustotal.com/#/file/630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da/details

 

▼install_flash_player.exeのインストール先のドメイン

1dnscontrol [.] com

Virustotal結果→https://www.virustotal.com/#/domain/1dnscontrol.com

※URLは、hxxp://1dnscontrol[.]com/flash_install[.]php

 

『install_flash_player.exe』をインストールしたあとにコンピュータ上で作成されるファイル一覧

 

C:\Windows\infpub.dat

C:\Windows\cscc.dat

C:\Windows\dispci.exe

C:\Windows\System32\Tasks\drogon

C:\Windows\System32\Tasks\rhaegal

 

▼infpub.dat

Hash値:579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648

Virustotal結果

https://www.virustotal.com/#/file/579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648/detection

※SMB経由で他のコンピュータに広がる機能も含む

 

▼cscc.dat

Hash値:0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6

Virustotal結果

https://www.virustotal.com/#/file/0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6/detection

 

▼dispci.exe

Hash値:8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93

Virustotal結果

https://www.virustotal.com/#/file/8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93/detection

 

▼drogonやvise rionについて

これらは、

・ログイン時に他のプログラムを実行

Windowsが起動する前にブートロック画面を表示

・コンピュータをシャットダウンして再起動

の機能を含んでいる

 

感染後の通信先

hxxp://caforssztxqzf2nm[.]onion

Virustotal結果

https://www.virustotal.com/#/url/215c51377722653ecdc9f422c5c88525922524170f8ec1df9d81c828d043fce0/detection

 

暗号化される拡張子まとめ

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

 

参考情報

www.bleepingcomputer.com

 

www.welivesecurity.com

 

d.hatena.ne.jp

 

 

Bad Rabbit ransomware - Securelist

Bad Rabbit ransomware: A new variant of Petya is spreading, warn researchers | ZDNet

https://gizmodo.com/bad-rabbit-ransomware-strikes-russia-and-ukraine-1819814538

ランサムウェア「BadRabbit」が猛威、交通機関やメディアに被害 - ITmedia エンタープライズ

Return of Not Petya as Bad Rabbit Diskcoder, yes those two are the same! – Mjolnir Security

データを暗号化して身代金を要求するマルウェア「Bad Rabbit」の感染被害が急拡大 - GIGAZINE

「Bad Rabbit」ランサムウェアの感染拡大、ロシアなどで報告--「Petya」亜種か - ZDNet Japan

https://otx.alienvault.com/pulse/59effcdc7b645929152518a9/

https://securingtomorrow.mcafee.com/mcafee-labs/badrabbit-ransomware-burrows-russia-ukraine/

新たなランサムウエア「Bad Rabbit」について

新しい暗号化型ランサムウェア「Bad Rabbit」、ネットワーク経由で拡散、ウクライナとロシアなどで確認される | トレンドマイクロ セキュリティブログ

ランサムウエア「Bad Rabbit」、ファイルや変数の名前に「ゲーム・オブ・スローンズ」のキャラクターを使用 -INTERNET Watch

ランサムウェア「Bad Rabbit」、日本の被害情報は“錯綜” - ZDNet Japan

新種ランサムウェア「Bad Rabbit」、国内でも感染か - JPCERT/CC | マイナビニュース

【セキュリティ ニュース】「Petya」類似の新種ランサム「Bad Rabbit」 - ニュースサイト経由で感染誘導(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か(1ページ目 / 全2ページ):Security NEXT

【セキュリティ ニュース】ランサム「Bad Rabbit」拡散、国内サイトも踏み台に - 3.8%を日本で検出(1ページ目 / 全2ページ):Security NEXT 

感染が拡大中のランサムウェア「Bad Rabbit」の対策について:IPA 独立行政法人 情報処理推進機構

 

以上です。何かの参考にしていただけたら幸いです。

 

<更新履歴>

2017/10/25 10:20 公開

2017/10/25 11:50 参考情報追記、暗号化される拡張子まとめの項目追加

2017/10/25 20:00 参考情報追記

 

仮想通貨をマイニングするコードが埋め込まれているChromeの拡張機能(エクステンション)を見つけた話。

どもどもにゃんたくです(「・ω・)「ガオー

 

いきなりですが、最近こんな報道が増えていますよね。

news.mynavi.jp

 

japan.cnet.com

 

今回はそんな悪意のある(まぁ見方によっては、ですけど)Chrome拡張機能(エクステンション)を見つけたって話をします。

 

 

まずは見つけたChrome拡張機能(エクステンション)情報を載せておきます。

なにかの参考にしてみて下さい。

 

見つけたChrome拡張機能(エクステンション)情報

Google URL Shortener

hxxps://chrome.google.com/webstore/detail/google-url-shortener/bmnjjjinhhbgfapfngmpekkbhefjfblj

※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています

 

▼内容

現在公開されているVersion1.7に含まれる「bg.min.js」のコード内にマイニングコードが記載されている。
※Version1.6以前の「bg.min.js」にはマイニングコード無し

 

▼Version1.7に含まれる「bg.min.js」のVirustotal結果

Hash値(SHA-256):f2be9a3a279d5d11ee3a50a084c4b4c9a5bddf2ec9a293c5a594c322eb09a056
File size:105.63 KB
検知率:16 / 57

https://www.virustotal.com/#/file/f2be9a3a279d5d11ee3a50a084c4b4c9a5bddf2ec9a293c5a594c322eb09a056/detection

 

Chrome Extensions Archive(Google URL Shortener

Google URL Shortener - Chrome Extensions Archive

※Version1.7のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)

Chrome Extensions Archiveとは、Chrome拡張機能(エクステンション)のソースコードアーカイブされているサイト

 

②クイックダウンロード

hxxps://chrome.google.com/webstore/detail/quick-downloads/hakhgnibnkpibkhlccbkhdgikiockaib?hl=ja

※直接Chrome ウェブストアにアクセス出来ないようにhttpsの箇所をhxxpsと改変しています 

 

▼内容

現在公開されているVersion1.14の「bg.min.js」にはマイニングするコードの記載無し
※Version1.11の「bg.min.js」にはマイニングコードあり

 

▼Version1.11に含まれる「bg.min.js」のVirustotal結果
Hash値(SHA-256):a4fdd07528dad620c50d267c6ca5187b57f2bccd04aeb56d25e324a9f7887bd8
File size 105.16 KB
検知率:17 / 58

https://www.virustotal.com/#/file/a4fdd07528dad620c50d267c6ca5187b57f2bccd04aeb56d25e324a9f7887bd8/detection

 

Chrome Extensions Archive(Quick Downloads)

Quick Downloads - Chrome Extensions Archive

※Version1.11のZipをダウンロードしようとするとWindows defenderによってダウンロードできないことを確認(Windows8.1)

Chrome Extensions Archiveとは、Chrome拡張機能(エクステンション)のソースコードアーカイブされているサイト

 

見つけた経緯とかその他もろもろ

冒頭に書いた最近Chrome拡張機能(エクステンション)を装った悪性のエクステンションが増えてるのかー、そんなんあるのかーくらいしか思ってなかったんですよね。

 

そんなある日のこと、セキュリティ情報を収集していて、リンク集みたいのを作っていた時に、「あーリンク先のURLを短縮したいなぁ。そんなツールないかなぁ」とググってたんですよ。

 

そしたらGoogleが提供している短縮URLを作成するためのツール『Google URL Shortener』というのを見つけてラッキー!と思っていたんです。

 

f:id:mkt_eva:20171022050840p:plain

 

この時ふと、検索結果一覧の上位に『Google URL Shortener』のChrome拡張機能Chrome ウェブストアで配信されていることを見つけたんです。(上記画像の上から4つ目)

 

…もしや(; ・`ω・´)

 

そしたらインストールページのユーザーコメント欄に明らかアカンよ的なコメントがあることを確認したんですよね↓

f:id:mkt_eva:20171022051313p:plain

 

ちょうど2つ目のコメントにVirustotalのURLが貼ってあったので実際にアクセスしてみたところ、「bg.min.js」というjsファイルのレピュテーションが悪いという結果が書いてありました。

そこで実際にChrome Extensions Archiveという、Chrome拡張機能(エクステンション)のソースコードアーカイブされているサイトから、このGoogle URL Shortenerのページを探して、かつ「bg.min.js」というファイルの中身を見てみたんです。

 

ソースコードとかほとんど読めない(プログラミングもほぼできない)にゃんたくさん。

あまりにもコードの行が多くて読むの諦めていた時に、コードの下の方にどこかで見たことのある文字列を見つけました。

 

そう、「Coinhive」

 

この記事で読んだなぁということをふと思い出したんですよね。

www.itmedia.co.jp

 

ちなみにCoinhiveとは、『サイトの運営者が、閲覧者に仮想通貨を採掘させ、その収益を受け取るサービスだ。専用のJavaScriptコードをサイトに埋め込むと、そのサイトを閲覧した人のPCのCPUパワーを使い、仮想通貨「Monero」を採掘。』

(参照:http://www.itmedia.co.jp/news/articles/1710/11/news084.html

 

というわけで、実際に「Coinhive」をマイニングするためのコードを調べてみました。

どうやら以下のコードをサイトに埋め込む必要があるようです。

 

<script src="https://coin-hive.com/lib/coinhive.min.js"></script>
<script>
var miner = new CoinHive.User('<site-key>', 'john-doe');
miner.start();
</script>

※色の付いた箇所は改変出来る場所のようです

 

で、実際に「bg.min.js」のコード内を見てみると…

f:id:mkt_eva:20171022054139p:plain

 ※ちょっと画像見にくくてすみません(; ・`ω・´)

はい、マイニングするためのコードが存在しましたね。

&なんだか「気味の悪い」プロキシのURLなんかも書いてありました。

 

この時点で怪しさMAXだと感じたので、この『Google URL Shortener』というChrome拡張機能の作成者が他にもChrome拡張機能を作成していないかを調べてみたところ、『Quick Downloads』という拡張機能も作成しており、『Google URL Shortener』の「bg.min.js」の中身を調べた方法と同じように『Quick Downloads』の「bg.min.js」の中身をの調べたら、ほぼ同じコードが記載されたVersionも見つけることができました。

 

さてさてさて、今回見つけたような仮想通貨をマイニングするようなモノは一体マルウェアと言えるのだろうか、という話ですが。。。。答えは正直グレーだと僕は思っています。

ただ、勝手に自分のCPUのリソースを使われるのは釈然としないですよね。

 

どちらかというと、不審なChrome拡張機能Chrome ウェブストア上でまだまだインストールできる可能性がある、ということの方を気にしなくてはいけないではと思います。

ただ、なかなかChrome ウェブストア上で不審な拡張機能を見つけるということ自体難しい気もします。

 

ですので、拡張機能を利用する際は、その機能をインストールしたユーザーのコメントを見てみたり、その拡張機能についてインターネット検索してみて、不審ではないか調べてみることをオススメします。

 

また、仕事などでChromeを使っている方は、会社等のポリシーなどでChrome拡張機能について定められていると思いますので、確認してみて下さい。

 

今回もここまで読んでいただきありがとうございました。

何かの参考にしていただけら幸いです。

 

今回このブログを書くにあたり参考にしたページもまとめておきます。

 

参考情報

http://news.mynavi.jp/news/2017/10/17/066/

https://japan.cnet.com/article/35105920/

http://www.itmedia.co.jp/news/articles/1710/11/news084.html

https://japan.cnet.com/article/35108804/

http://tetsuyaimagawa.hatenablog.com/entry/2017/09/21/coinhive

http://nmi.jp/2017-10-10-About-coinhive

https://www.nasnem.xyz/entry/coinhive-mining-apologize

https://the01.jp/p0005920/

http://gigazine.net/news/20170920-pirate-bay-mining/

https://bitcoin-matome.info/altcoin/whats-monero/

https://bitflyer.jp/ja/bitcoinmining

 

ではでは~。

  ∠ \
  | \
  ∠ニニニ>
  ( ・∀・)
  /~~ハヽつ┓_ /
  / OO|(・∀・) ―
  `~uu′ ̄ ̄ \

2017年9月に起こったセキュリティニュースのアレコレをまとめてみた。

 どもども、にゃんたくです(「・ω・)「ガオー

 

なんだかこないだまで雨ばっかりの夏だったのがすっかり終わってしまい、気づけばもう10月…今年ももう100日を切ってしまいましたね。

 

9月はヤバめな脆弱性の情報が報告されたり、DDoS攻撃やリスト型攻撃が多かったのかなという感じです。

 

そうそう余談ですが、リスト型攻撃については、そろそろ呼び方を「パスワード使い回され攻撃」に変えたほうが良いような気がするんですよね。その方がどういった攻撃なのかをパッと理解できるんではないかな、なんて思うんです。

あ、リスト型攻撃についてはこの記事が結構わかりやすく書いてあるのでオススメです→ポイント不正利用が相次ぐ 「リスト型攻撃」対策を : 科学 : 読売新聞(YOMIURI ONLINE)

 

さてさて、先月2017年9月のまとめです。

今回はちょっとレポート系多めです。

 


脆弱性のアレコレ

Apache Struts2脆弱性(S2-052)

【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある

※(S2-052)以外の脆弱性も報告されています、別途以下のブログでまとめてありますのでそちらをご参照下さい

Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと

 

【CVE番号】
CVE-2017-9805

 

【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン

 

【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Apache Struts 2.5.13
Apache Struts 2.3.34

 

【参考情報】

Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起

JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)

Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと

 


NTTドコモの「Wi-Fi STATION L-02F」に複数の脆弱性

【概要】
NTTドコモが提供する LG Electronics 製の「Wi-Fi STATION L-02F」にバックドアの問題やアクセス制限不備の脆弱性が存在
※該当機器は2014年2月に発売され、現在は生産が終了している

 

【CVE番号】
CVE-2017-10845
CVE-2017-10846

 

【対象】(CVE別)
・CVE-2017-10845(バックドアの問題)
Wi-Fi STATION L-02F ソフトウェアバージョン V10g およびそれ以前

 

・CVE-2017-10846(アクセス制限不備の脆弱性
Wi-Fi STATION L-02F ソフトウェアバージョン V10b およびそれ以前

 

【対策】
▼アップデートする(両脆弱性ともに下記バージョンにアップデート)
Wi-Fi STATION L-02F ソフトウェアバージョン V10h

 

【参考情報】

Wi-Fi STATION L-02Fの製品アップデート情報 | お客様サポート | NTTドコモ

「Wi-Fi STATION L-02F」にバックドアの問題(JVN#68922465):IPA 独立行政法人 情報処理推進機構

NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起

JVN#68922465: Wi-Fi STATION L-02F にバックドアの問題

JVN#03044183: Wi-Fi STATION L-02F におけるアクセス制限不備の脆弱性

2014年発売のドコモ「Wi-Fi STATION」にバックドアなどの脆弱性 | マイナビニュース

 

 

Bluetooth の実装に複数の脆弱性脆弱性名:BlueBorne)

【概要】
Bluetooth の実装に複数の脆弱性が存在し、約数十億台の機器に影響がある可能性がある(脆弱性名:BlueBorne)
※該当の脆弱性についてチェックできるAndoridアプリあり
BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ

 

【CVE番号】
CVE-2017-0781
CVE-2017-0782
CVE-2017-0783
CVE-2017-0785
CVE-2017-1000250
CVE-2017-1000251
CVE-2017-14315
CVE-2017-8628

 

【対象】(CVE番号別)
・CVE-2017-0781(ヒープベースのバッファオーバーフロー
・CVE-2017-0782(整数アンダーフロー)
・CVE-2017-0783(中間者攻撃 (man-in-the-middle attack) )
・CVE-2017-0785(領域外読み込み)
Android セキュリティパッチレベル 2017年 9月を適用していないバージョン

 

・CVE-2017-1000250(領域外メモリ参照)
Linux BlueZ すべてのバージョン

 

・CVE-2017-1000251(バッファオーバーフロー
Linux Kernel 3.3-rc1 以降のバージョン

 

・CVE-2017-14315(ヒープベースのバッファオーバーフロー
iOS version 9.3.5 およびそれ以前 、tvOS version 7.2.2 およびそれ以前

 

・CVE-2017-8628(中間者攻撃 (man-in-the-middle attack) )
Windows Vista 以降の2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないバージョン

 

【対策】
▼アップデートする
WindowsiOSLinux kernel、Android では、本脆弱性の対策がおこなわれている

ワークアラウンドを実施する
機器の Bluetooth 接続をオフにすることで、本脆弱性の影響を軽減することが可能

 

【参考情報】

Bluetooth の実装における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構

Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起

JVNVU#95513538: 様々な Bluetooth 実装に複数の脆弱性

Vulnerability Note VU#240311 - Multiple Bluetooth implementation vulnerabilities affect many devices

脆弱性「BlueBorne」:Bluetooth機能をオフ、そして直ちに更新プログラム適用を | トレンドマイクロ セキュリティブログ

Bluetoothの脆弱性「BlueBorne」で50億台以上のデバイスにセキュリティリスクあり : マカフィー株式会社 公式ブログ

Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ (1/2) - ITmedia エンタープライズ

BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ

 

 

Apache Tomcat に複数の脆弱性

【概要】
Apache Tomcat に複数の脆弱性が存在し、遠隔からの任意のコード実行や情報漏えいなどの影響を受ける可能性がある

 

【CVE番号】
CVE-2017-12615
CVE-2017-12616
CVE-2017-12617

 

【対象】(CVE番号別)
・CVE-2017-12615
Apache Tomcat 7.0.0 から 7.0.79 まで

 

・CVE-2017-12616
Apache Tomcat 7.0.0 から 7.0.80 まで

 

・CVE-2017-12617

Apache Tomcat 9.0.0.M1 から 9.0.0 まで
Apache Tomcat 8.5.0 から 8.5.22 まで
Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
Apache Tomcat 7.0.0 から 7.0.81 まで

→影響を受けるバージョン不明(2017年9月30日現在)
Apache Tomcat の readonly パラメータを false に設定し、HTTP PUT メソッドを有効にしている場合に、遠隔から任意のコードが実行される可能性がある

 

【対策】
▼アップデートする(以下脆弱性修正済みバージョン)

Apache Tomcat 9.0.1

Apache Tomcat 8.5.23

Apache Tomcat 8.0.47

Apache Tomcat 7.0.82

※ 8.0系および 7系については 10月4日時点で、修正済みのバージョンは
提供されておりません

 

▼回避策
Apache Tomcat において、readonly パラメータを true に設定するか、HTTP PUT リクエストを受け付けないよう設定
※readonly パラメータは、デフォルトでは、true に設定

 

【参考情報】

Apache Tomcat における脆弱性に関する注意喚起

JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート

「Apache Tomcat」にゼロデイ脆弱性、JPCERT/CCが回避策を案内 -INTERNET Watch

Tomcat 7.xの複数の脆弱性 ( CVE-2017-12617(Windows), CVE-2017-12615 (Windows), CVE-2017-12616 ) — | サイオスOSS | サイオステクノロジー

 


Sambaに複数の脆弱性

【概要】
Sambaに複数の脆弱性が存在し、悪用されると機密情報を窃取される可能性がある

 

【CVE番号】
CVE-2017-12150
CVE-2017-12151
CVE-2017-12163

 

【対象】(CVE番号別)
・CVE-2017-12150
→Samba 3.0.25?4.6.7

 

・CVE-2017-12151
→Samba 4.1.0?4.6.7

 

・CVE-2017-12163
→Sambaのすべてのバージョン


【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Samba 4.6.8
Samba 4.5.14
Samba 4.4.16

 

【参考情報】

https://www.samba.org/samba/security/CVE-2017-12150.html

https://www.samba.org/samba/security/CVE-2017-12151.html

https://www.samba.org/samba/security/CVE-2017-12163.html

Sambaに複数の脆弱性 - US-CERT | マイナビニュース

Sambaに複数の脆弱性(CVE-2017-12150, CVE-2017-12151, CVE-2017-12163) — | サイオスOSS | サイオステクノロジー

 

 

注意喚起やニュースのアレコレ

東京ガスの「myTOKYOGAS」にリスト型攻撃

【概要】
東京ガスのガス・電気料金情報Web照会サービス「myTOKYOGAS」がリスト型攻撃を受け、不正アクセスされる

 

【参考情報】

東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出について

東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出ならびにポイントの不正使用について

ニュース - 東京ガスに再びリスト型攻撃、個人情報流出とポイント不正使用の疑い:ITpro

 


ロート製薬の「ココロートパーク」にリスト型攻撃

【概要】
ロート製薬の会員サイト「ココロートパーク」がリスト型攻撃を受け、不正アクセスされる

 

【参考情報】

【セキュリティ ニュース】ロート製薬の会員サイトに不正アクセス - パスワードなど閲覧被害(1ページ目 / 全1ページ):Security NEXT

弊社会員サイトへの不正アクセスと対応のお知らせ | ロート製薬株式会社

弊社会員サイトへの断続的な不正アクセスと弊社対応のお知らせ | ロート製薬株式会社

 

 

「CCleaner」が改ざんされ、マルウェアが混入される

【概要】
CCleanerが改ざんされ、ユーザの PCにインストールされているソフトウェア一覧やMACアドレスなどの情報がUSのサーバに送信されていた。すでにサーバは停止。
※CCleanerとは、Windowsの不要ファイルや不要レジストリを簡単に削除できるフリーソフト

 

【影響をうける対象】
・32bit版の CCleaner v5.33.6162(8/15リリース)
・CCleaner Cloud v1.07.3191(8/24リリース)

 

【対策】
▼アップデートする(以下対策済みバージョン)
CCleaner v5.35

 

【参考情報】

マルウエアが仕込まれた「CCleaner」が配布されていた問題

システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 - 窓の杜

改竄の発表以降「CCleaner」が初めての更新。新しい電子署名を施したv5.35が公開 - 窓の杜

CCleanerのマルウェア混入問題はIntel・ソニー・Microsoftなど大企業を狙ったターゲット型攻撃だったと判明 - GIGAZINE

CCleanerマルウェア汚染、被害を受けた国・地域トップ10といくつかの謎 | マイナビニュース

「CCleaner」悪用の攻撃者、NECや富士通、ソニーにマルウェアを配信か - ZDNet Japan

 

 

WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース

【概要】
WordPressに複数の脆弱性が存在し、クロスサイトスクリプティングSQLインジェクションを受ける可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるWordPressのバージョンは「4.8.1」以前である。

 

【参考情報】

WordPress 4.8.2 Security and Maintenance Release

WordPressが「4.8.2」にアップデート、5件のXSS脆弱性、2件のパストラバーサル脆弱性などを修正 -INTERNET Watch

【セキュリティ ニュース】「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ(1ページ目 / 全1ページ):Security NEXT

 


Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース

【概要】
Joomla!に複数の脆弱性が存在し、情報漏えいを引き起こす可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるJoomla!のバージョンは、Joomla 1.5.0から3.7.5までのバージョンである。

 

【参考情報】

Joomla! 3.8.0 Release

オープンソースのCMS「Joomla! 3.8.0」リリース | Think IT(シンクイット)

【セキュリティ ニュース】「Joomla! 3.8」がリリース、脆弱性2件を解消(1ページ目 / 全1ページ):Security NEXT

 

 

Appleが「macOS High Sierra 10.13」をリリース

【概要】
Apple脆弱性43件を解消した「macOS High Sierra 10.13」をリリースした。
なお、限定的ではあるがゼロデイの脆弱性も報告されている
※その他Apple製品でもアップデート情報あり

 

【参考情報】

macOS High Sierra - Apple

JVNVU#99806334: 複数の Apple 製品における脆弱性に対するアップデート

「macOS High Sierra 10.13」では脆弱性43件を修正 -INTERNET Watch

公開されたmacOS High Sierraに脆弱性、パスワード窃取のおそれ | マイナビニュース

「macOS High Sierra」、パスワード盗まれるゼロデイ脆弱性の指摘--リリース直前に - CNET Japan

 

 

iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意

【概要】
2017年6月にランサムウェア作成の容疑で逮捕された日本の未成年者が作成・拡散した不正プロファイル「YJSNPI(ヤジュウセンパイ)ウイルス)」(別名:「iXintpwn(アイシントポウン)」)が拡散しており、トレンドマイクロが解説をおこなった

 

【参考情報】

iOS 上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」を解説 | トレンドマイクロ セキュリティブログ

iPhone上に大量のアイコンを作成する「YJSNPI ウイルス」とは? | マイナビニュース

【注意】iPhoneの画面に大量のアイコンが増殖、「YJSNPI ウイルス」が拡散中 - iPhone Mania

 


大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出

【概要】
アメリカの大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出した。なお、悪用されたのはApache Struts脆弱性(CVE-2017-5638)とのこと。

 

【参考情報】

Equifaxの情報流出、「Apache Struts」の脆弱性に起因--パッチ適用怠る? - ZDNet Japan

ハッキングで苦境のEquifax、ついにCEOも辞任 - CNET Japan

サンフランシスコ市が、情報漏洩の影響を受けた1500万人のカリフォルニア州住民を代表して、Equifaxを提訴 | TechCrunch Japan

Equifax、インシデント報告サイトが逆にフィッシング詐欺に使われる危険性 | マイナビニュース

 

 

「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出

【概要】
「Dirty COW」(CVE-2016-5195)の脆弱性を突くAndroidマルウェア「ZNIU」が日本で検出された。感染を防ぐにはGoogle Playや、信頼できるサードパーティーのアプリストアからアプリのインストールを行うこと。
※「Dirty COW」(CVE-2016-5195)とは、Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構には、競合状態が発生する脆弱性

 

【参考情報】

「ZNIU」:脆弱性Dirty COWを突くAndroid端末向け不正アプリを確認 | トレンドマイクロ セキュリティブログ

「Dirty COW」の脆弱性を突くAndroidマルウェア出現、日本でも感染 - ITmedia NEWS

脆弱性「Dirty COW」を悪用したAndroidマルウェアが日本でも検出 -INTERNET Watch

JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性

 


金融業者やFX事業者へのDDoS攻撃が多発

【概要】
金融業者やFX事業者へのDDoS攻撃が多発しており、一時的にサービスが利用しにくくなる障害が発生。攻撃元が同一かは不明。

 

【参考情報】

ニュース - ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らかに:ITpro

ニュース - FX事業者などを狙ったDDoS攻撃が多発、外為どっとコムや東洋証券が被害:ITpro

仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた - piyolog

 


フィッシングメールのアレコレ

【概要】
▼フィッシング対策協議会の緊急情報(9月)で報告されたサイトまとめ
・OMC Plus
Amazon
Apple
・セゾン Net アンサー
マイクロソフト

▼佐川急便の偽メールも増加しており、注意が必要

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/22)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/09/19)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] セゾン Net アンサーをかたるフィッシング (2017/09/11)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/11)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/09/04)

佐川急便を装った迷惑メールにご注意くださ...│お知らせ│佐川急便株式会社<SGホールディングスグループ>

 

 

セキュリティレポートのアレコレ

【注意喚起】Windowsアプリケーションの利用における注意

【公開ページ】

https://www.ipa.go.jp/security/ciadr/vul/20170928_dll.html

【企業・団体】

IPA独立行政法人情報処理推進機構

 

Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報

【公開ページ】

http://www.jpcert.or.jp/newsflash/2017092101.html

【企業・団体】

JPCERT コーディネーションセンター

 

マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)

【公開ページ】

http://www.jpcert.or.jp/magazine/acreport-search-datper.html

【企業・団体】

JPCERT コーディネーションセンター

 

2017年上半期 Tokyo SOC 情報分析レポート 公開

【公開ページ】

https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2017_h1/

【企業・団体】

Tokyo SOC Report(IBM)

 

JSOC INSIGHT vol.17

【公開ページ】

https://www.lac.co.jp/lacwatch/report/20170925_001387.html

【企業・団体】

LAC

 

Mirai 亜種の活動状況について

【公開ページ】

https://sect.iij.ad.jp/d/2017/09/145930.html

【企業・団体】

IIJ-SECT(株式会社インターネットイニシアティブ)


WannaCry まだ終わってなくない?

【公開ページ】

https://sect.iij.ad.jp/d/2017/09/192258.html

【企業・団体】

IIJ-SECT(株式会社インターネットイニシアティブ)


Apache Struts 2のStruts RESTプラグイン脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート

【公開ページ】

https://www.softbanktech.jp/information/2017/20170908-01/

【企業・団体】

ソフトバンク・テクノロジー株式会社


徳島県警察の誤認逮捕事件についてまとめてみた

【公開ページ】

http://d.hatena.ne.jp/Kango/20170910/1505065248

【企業・団体・作成者】

piyokangoさん(https://twitter.com/piyokango


仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた

【公開ページ】

http://d.hatena.ne.jp/Kango/20170918/1505751604

【企業・団体・作成者】

piyokangoさん(https://twitter.com/piyokango

 

以上です。

とりっくおあとりーと!

    /〉
  /⌒⌒⌒\
 | ○..○|/――、
  \_ww// ̄ヽ |
  /( ゚Д゚)/ ̄ ̄)ノ
_/ / フつO
\ //  /|
 \   /ノ
   ̄ ̄ ̄
 ―=≡=―

 

※更新履歴※

2017/010/04:『Apache Tomcat に複数の脆弱性』の内容を一部更新

 

Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

Apache Software Foundationから、2017年9月5日、9月7日に脆弱性を修正した最新版のバージョン情報が公開されました。

 

特に、公開された脆弱性(S2-052)(CVE-2017-9805)については対策をしていない場合、攻撃されやすいという事から多数の報道機関より注意喚起がでております。

 

今回表題の脆弱性情報を収集していた際に参考になった情報をまとめました。

 

※注意※
下記情報の中にPoC情報も記載しておりますが、こちらを試行する際はあくまでもクローズドな自環境で行うことを勧めます

 


Apache Software Foundationが公開した最新版情報

▼07 September 2017 - Struts 2.3.34 General Availability

http://struts.apache.org/announce.html#a20170907

 

▼05 September 2017 - Struts 2.5.13 General Availability

http://struts.apache.org/announce.html#a20170905

 


Apache Struts脆弱性番号

S2-050

S2-051

S2-052

S2-053

 


S2-052

【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2017-9805

CVE - CVE-2017-9805

 

【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン


【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34

【参考情報】

S2-052

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構

Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起

JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)

CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 | セキュリティ対策のラック

Apache Strutsに新たな脆弱性「CVE-2017-9805」。企業は直ちに更新プログラムの適用を。 | トレンドマイクロ セキュリティブログ

CVE-2017-9805 - Red Hat Customer Portal

ニュース - Struts 2にまたも深刻な脆弱性、至急対応を:ITpro

Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia NEWS

Apache Strutsに重大な脆弱性 - アップデート推奨 | マイナビニュース

Apache Struts 2が更新--脆弱性は3件 - ZDNet Japan

「Apache Struts」に重大な脆弱性、広範に影響する恐れも--パッチ適用を - ZDNet Japan

 


【PoC情報】

Apache Struts 2.5 < 2.5.12 - REST Plugin XStream Remote Code Execution

 

 

S2-053

【概要】
Freemarkerのタグの処理に脆弱性が存在し、コーディングにおいて意図しない式を使用していた場合、リモートからコードを実行される可能性がある

 

【CVE番号】
CVE-2017-12611

CVE - CVE-2017-12611

 

【対象】
Apache Struts 2.0.1から2.3.33までのバージョン
Apache Struts 2.5から2.5.10までのバージョン


【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34

【参考情報】

S2-053

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構

【セキュリティ ニュース】深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も(1ページ目 / 全1ページ):Security NEXT

「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate” -INTERNET Watch

CVE-2017-12611 - Red Hat Customer Portal


【PoC情報】

GitHub - brianwrf/S2-053-CVE-2017-12611: A simple script for exploit RCE for Struts 2 S2-053(CVE-2017-12611)

 

調査や検証系ブログまとめ

調査やPoC検証を行ったブログやレポートをまとめました。

Struts2のS2-052(CVE-2017-9805)脆弱性のPOCを検証する - conf t

Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する - conf t

今月のApache Strtus 2 のリモートコード実行の脆弱性(S2-052/S2-053) - 生産性のない話

Struts2の脆弱性とPoC(S2-052: CVE-2017-9805, S2-053: CVE-2017-12611) — | サイオスOSS | サイオステクノロジー

CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー

S2-052: CVE-2017-9805(Struts2) PoC with SELinux · OSSセキュリティ技術の会(Secure OSS SIG)

 

 

ちょっと関連性のあるブログ

表題の脆弱性が公開されるちょっと前に偶然(必然?)公開されたブログの内容も今回の脆弱性対策に繋がるものだと思ったので載せておきます。参考にしてみて下さい。

Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog

僕が調べたApacheバージョン判定の小ネタ - とある診断員の備忘録

 

 

以上です。

 

<2017/09/11 AM 新規作成>

<2017/09/14 AM 【調査や検証系ブログまとめ】の項目を追加>

2017年8月に起こったセキュリティニュースのアレコレをまとめてみた。

 どもども、にゃんたくです(「・ω・)「ガオー

 

今年は雨ばっかりで夏らしい夏って感じではない8月でしたね。

8月のにゃんたくは、セキュリティ・キャンプ2017にお邪魔したり、@ITのセキュリティセミナーに参加してみたり、自社のセキュリティインターンシップでLTしてみたりな8月でした。

f:id:mkt_eva:20170901034449j:plain

 

8月の一番の心残りはssmjp100回記念に参加できなかったことだけですね…初参加できそうだったのに…今年もまだssmjpは開催されるみたいですのでそこには参加していこうかと思っております。

(どうやら9月のssmjpはいろいろ『ヤバイ』みたいですよ…→#ssmjp 2017/09 - connpass

 

では、先月2017年8月のまとめです。

 

 

脆弱性のアレコレ

MaLionに複数の脆弱性

【概要】
株式会社インターコムが提供する「MaLion」のエージェントやサーバに、複数の脆弱性が存在。

 

【CVE番号】
CVE-2017-10815
CVE-2017-10816
CVE-2017-10817
CVE-2017-10818
CVE-2017-10819

 

【対象】(CVE番号別)
・CVE-2017-10815
Windows 版 MaLion 5.2.1 以前のバージョン (リモートコントロールをインストールしている場合)
Mac版 MaLion 4.0.1 から 5.2.1 まで (リモートコントロールをインストールしている場合)

・CVE-2017-10816, CVE-2017-10817
Windows 版 および Mac版 MaLion 5.0.0 から 5.2.1 まで

・CVE-2017-10818
Windows 版 および Mac版 MaLion 3.2.1 から 5.2.1 まで

・CVE-2017-10819
Mac 版 MaLion 4.3.0 から 5.2.1 まで

 

【対策】
◯アップデートする
最新版(Ver.5.2.2)へのアップデートを行う

 

【参考情報】

MaLion シリーズの脆弱性につきまして

JVNVU#91587298: MaLion における複数の脆弱性

インターコムの「MaLion」に複数の脆弱性、深刻度は「最大」 - ZDNet Japan

 


Adobe ReaderおよびAdobe Acrobat脆弱性

【概要】
Adobe ReaderおよびAdobe Acrobat に深刻の脆弱性が存在。
※8月8日、29日の2回にわたりアップデート情報が公開された

 

【CVE番号】
多数のため割愛
CVE情報はこちらを参照してください↓

https://helpx.adobe.com/security/products/acrobat/apsb17-24.html

 

【対象】
※各製品別の影響を受けるバージョン情報

Acrobat DC (Continuous Track)
Acrobat Reader DC (Continuous Track)
→バージョン(2017.009.20058) およびそれ以前

Acrobat 2017
Acrobat Reader 2017
→バージョン(2017.008.30051) およびそれ以前

Acrobat DC (Classic Track)
Acrobat Reader DC (Classic Track)
→バージョン(2015.006.30306) およびそれ以前

Acrobat XI
・Reader XI
→バージョン(11.0.20)およびそれ以前


【対策】
◯アップデートする
※各製品別のアップデートバージョン情報

Acrobat DC (Continuous Track)
Acrobat Reader DC (Continuous Track)
→バージョン(2017.012.20098) にアップデート

Acrobat 2017
Acrobat Reader 2017
→バージョン(2017.011.30066)にアップデート

Acrobat DC (Classic Track)
Acrobat Reader DC (Classic Track)
→バージョン(2015.006.30355) にアップデート

Acrobat XI
・Reader XI
→バージョン(11.0.21)にアップデート
※なおAdobe Acrobat XI とReader XIは、2017年10月15日にサポートが終了します

Adobe Acrobat XI と Reader XI のサポートの終了


【参考情報】

Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起

https://helpx.adobe.com/security/products/acrobat/apsb17-24.html

AdobeがAcrobatとReaderをアップデート、8月8日の更新でリグレッション - ITmedia NEWS

Adobe、「Acrobat DC」「Acrobat Reader DC」の定例セキュリティ更新をリリース - 窓の杜

「Flash Player」「Adobe Acrobat」などのセキュリティアップデート公開 -INTERNET Watch

 


Microsoft Windowsのショートカットファイル処理に脆弱性

【概要】
Microsoft Windowsのショートカットファイル処理に脆弱性が存在し、リモートより任意のコードが実行される可能性がある。

 

【CVE番号】
CVE-2017-8464

 

【対象】
Microsoft Windows

 

【対策】
◯アップデートする
Microsoft Update で修正するプログラムがリリース済み
参考情報:https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8464

 

◯SMB通信の遮断
139/tcp、139/udp、445/tcp および、445/udp の外向きの通信を遮断することで緩和

 

【参考情報】

JVNVU#92360223: Microsoft Windows のショートカットファイルで指定されたコードが自動的に実行される脆弱性

Vulnerability Note VU#824672 - Microsoft Windows automatically executes code specified in shortcut files

Windows、任意コード実行のセキュリティ脆弱性 | マイナビニュース

Windowsの脆弱性突くコード公開、米セキュリティ機関が注意喚起 - ITmedia エンタープライズ

 


Apache Tomcat に複数の脆弱性

【概要】
Apache Tomcat に複数の脆弱性が存在し、キャッシュポイズニングや認証回避の影響を受ける可能性がある

 

【CVE番号】
CVE-2017-7674
CVE-2017-7675

 

【対象】(CVE番号別)
・CVE-2017-7674
Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
Apache Tomcat 8.5.0 から 8.5.15 まで
Apache Tomcat 8.0.0.RC1 から 8.0.44 まで
Apache Tomcat 7.0.41 から 7.0.78 まで

 

・CVE-2017-7675
Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
Apache Tomcat 8.5.0 から 8.5.15 まで

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Apache Tomcat 9.0.0.M22
Apache Tomcat 8.5.16
Apache Tomcat 8.0.45
Apache Tomcat 7.0.79

 

【参考情報】

JVNVU#91991349: Apache Tomcat の複数の脆弱性に対するアップデート

【セキュリティ ニュース】「Apache Tomcat」のキャッシュ処理などに脆弱性 - 既存のアップデートで対応済み(1ページ目 / 全1ページ):Security NEXT

 


Drupalに複数の脆弱性

【概要】
Drupalに複数の脆弱性が存在し、エンティティの表示、作成、更新、削除が行われてしまう可能性がある

DrupalコンテンツマネジメントシステムCMS)の一種

 

【CVE番号】
CVE-2017-6925
CVE-2017-6924
CVE-2017-6923

 

【対象】
Drupal 8.3.7よりも以前のバージョン(Drupal 8.x)

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Drupal 8.3.7

 

【参考情報】

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004 | Drupal.org

危険度の高いものを含む複数の脆弱性を修正した Drupal 8.3.7 がリリース | ≡ Drupal Japan ≡

【セキュリティ ニュース】「Drupal」に深刻な脆弱性 - 更新を強く推奨(1ページ目 / 全1ページ):Security NEXT

 


baserCMSに複数の脆弱性

【概要】
baserCMSに複数の脆弱性が存在し、SQLインジェクションや任意のファイル削除やPHPコードが実行されるなどの可能性がある。

 

【CVE番号】
CVE-2017-10842
CVE-2017-10843
CVE-2017-10844

 

【対象】
baserCMS 3.0.14 およびそれ以前のバージョン
baserCMS 4.0.5 およびそれ以前のバージョン

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
baserCMS 3.0.15
baserCMS 4.0.6

 

【参考情報】

「baserCMS」における SQL インジェクションの脆弱性(JVN#78151490):IPA 独立行政法人 情報処理推進機構

JVN#78151490: baserCMS における複数の脆弱性

SQLインジェクションをはじめとする複数の脆弱性 | baser CMS - 国産オープンソース!フリー(無料)でコンテンツ管理に強いCMS

2017年8月23日配布 修正パッチ一覧 | baser CMS - 国産オープンソース!フリー(無料)でコンテンツ管理に強いCMS

【セキュリティ ニュース】「baserCMS」にPHPコードの実行やDB操作が可能となる脆弱性(1ページ目 / 全1ページ):Security NEXT

 


Rufusのアップデート処理に脆弱性

【概要】
Akeo Consultingが提供するRufusのアップデート処理に脆弱性が存在し、外部から任意のコードを実行される可能性がある。
Rufus:起動可能なISOイメージを元にブートUSBを作成することができるソフト

 

【CVE番号】
CVE-2017-13083

 

【対象】
Akeo Consulting Rufus 2.16

 

【対策】
ワークアラウンドを行う
当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベンダサイトより更新データを取得してアップデートを行

 

【参考情報】

JVNVU#98866977: Rufus に更新がセキュアに行われない脆弱性

 


Wiresharkに複数の脆弱性

【概要】
Wiresharkのバージョン2.4.1が公開され、いくつかの不具合や脆弱性が修正された
※旧安定版のバージョン2.2や2.0でもアップデート情報が公開されている

 

【CVE番号】
CVE-2017-13764
CVE-2017-13765
CVE-2017-13766
CVE-2017-13767

 

【対象】(CVE番号別)
・CVE-2017-13764
Wireshark2.4.0

 

・CVE-2017-13765
Wireshark2.4.0,2.2.0〜2.2.8,2.0.0〜2.0.14

 

・CVE-2017-13766
Wireshark2.4.0,2.2.0〜2.2.8

 

・CVE-2017-13767
Wireshark 2.4.0,2.2.0〜2.2.8,2.0.0〜2.0.14

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Wireshark 2.4.1
Wireshark 2.2.9
Wireshark 2.0.15

 

【参考情報】

Wireshark · Wireshark 2.4.1, 2.2.9, and 2.0.15 Released

Wireshark · Wireshark 2.4.1 Release Notes

「Wireshark」v2.4系に初めてのアップデート 〜オープンソースのネットワーク解析ツール - 窓の杜

 

WordPressプラグイン脆弱性まとめ

【概要】
8月にJVN脆弱性レポートで公開されたWordPressプラグイン脆弱性まとめ

 

【参考情報】

JVN#58559719: WordPress 用プラグイン BackupGuard におけるクロスサイトスクリプティングの脆弱性

 

 

注意喚起やニュースのアレコレ

「STOP!!パスワード使い回し!!キャンペーン2017」がスタート

【概要】
複数のインターネットサービスで同じパスワードを使い回さないよう呼びかける「STOP!!パスワード使い回し!!キャンペーン2017」がスタート。

 

【参考情報】

STOP!!パスワード使い回し!!キャンペーン2017

 


ディノス・セシールが複数回パスワードリスト攻撃を受ける

【概要】
ディノス・セシール、が複数回にわたりパスワードリスト攻撃を受けたことを発表した。

 

【参考情報】
弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて(PDF)

https://www.dinos-cecile.co.jp/pdf/topics_20170824-2.pdf

【セキュリティ ニュース】わずか1分11回のみの不正ログイン攻撃受ける - ディノス・セシールが公表(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ディノス・セシール、再度パスワードリスト攻撃を検知(1ページ目 / 全2ページ):Security NEXT

 


日本シーサート協議会が初のイベントを開催

【概要】
日本シーサート協議会が設立10周年の記念イベント「NCA 10th Anniversary Conference『絆』」を開催した

 

【参考情報】

NCA 10th Anniversary Conference

CSIRT - 日本シーサート協議会

【セキュリティ ニュース】日本シーサート協議会の初イベント、新旧の交流の場に - テーマは「絆」(1ページ目 / 全3ページ):Security NEXT

 


ITパスポート試験」に9歳が合格

【概要】
国家試験である「ITパスポート試験」に9歳が合格し、最年少合格記録を更新

 

【参考情報】

プレス発表 ITパスポート試験に9歳(小学4年生)が2名合格:IPA 独立行政法人 情報処理推進機構

IT国家試験「ITパスポート試験」に9歳が合格 - ねとらぼ

「ITパスポート試験」9歳が合格 最年少記録更新 - ITmedia NEWS

【やじうまPC Watch】IPAの「ITパスポート試験」に小学4年生が合格 ~最年少記録を更新 - PC Watch

 


韓国のNetSarang Computerが提供するツールにマルウェアが仕込まれる

【概要】
韓国のNetSarang Computerが提供するサーバ管理ソフトウェアのアップデートが改ざんされ、バックドアマルウェアが仕込まれてしまうことが判明した。
なお、本脆弱性を修正したビルドは公開されており、アップデートが推奨される。

 

【参考情報】

Security Exploit in July 18, 2017 Build | News & Notice

Kaspersky Lab、世界数百の大企業が使用する正規ソフトウェアのアップデートにバックドアを仕込んだ「ShadowPad」を発見 | カスペルスキー

正規のソフトウェアアップデートにマルウェア、法人顧客に配信 - ITmedia エンタープライズ

ShadowPad in corporate networks - Securelist

サーバ管理ツールにバックドア--香港で被害発生 - ZDNet Japan

 


「OpenSSL」の脆弱性が存在する岡山県真庭市のサーバに不正アクセス

【概要】
「OpenSSL」の脆弱性が存在する岡山県真庭市DNSサーバやメールサーバとして公開されているサーバに不正アクセスを受けた。
鳥取・岡山自治体情報セキュリティクラウド業務実施共同企業体」からの監視報告により被害に気づいたとのこと。

 

【参考情報】
8月21日付プレスリリース - 岡山県真庭市(PDF)

http://www.city.maniwa.lg.jp/webapps/open_imgs/info//0000001297_0000038083.pdf

真庭市サーバーに不正アクセス 情報漏えいや業務に影響なし: 山陽新聞デジタル|さんデジ

【セキュリティ ニュース】真庭市のサーバに不正アクセス - 「OpenSSL」の脆弱性が標的に(1ページ目 / 全1ページ):Security NEXT

 


エイチ・アイ・エス(HIS)の国内バスツアー予約サイトから約1.2万人分の予約個人情報が流出

【概要】
エイチ・アイ・エス(HIS)の国内バスツアー予約サイトのリニューアル作業(予約データの移行)に問題があり、約1.2万人分の予約個人情報が流出した。

 

【参考情報】
国内バスツアーサイトからのお客様情報流出について(PDF)

http://www.his.co.jp/material/pdf/n_co_20170822.pdf

HIS、最大1万人超の個人情報流出 バスツアー予約サイトから - ITmedia NEWS

ニュース - HISで情報漏洩、バスツアー客の予約情報が流出:ITpro

HISが個人情報流出、最大1万1975人分 住所など:朝日新聞デジタル

 


2017年8月25日に日本国内で大規模な通信障害が発生

【概要】
2017年8月25日に日本国内で大規模な通信障害が発生し、多数のWebサイトに接続ができない、つながらない等の事象が発生した。

 

【参考情報】

ニュース解説 - 米グーグルの設定ミス、なぜ日本の大規模ネット障害を引き起こしたのか?:ITpro

ニュース解説 - 大規模ネット障害になっても不思議じゃない?「BGP」の仕組みとリスク:ITpro

大規模な接続障害、Googleが謝罪 「ネットワークの誤設定」原因 - ITmedia NEWS

米グーグルが謝罪=原因は誤設定-ネット接続障害:時事ドットコム

8月25日に発生した大規模通信障害をまとめてみた - piyolog

20170825_大規模障害 - Hack japan

Yoshinobu Matsuzaki on Twitter: "08/25の通信障害の件、これまでに調べたことを資料にまとめてみたよ。
https://t.co/8xtGBHgPmf"

https://www.attn.jp/maz/p/t/pdf/20170825-routeleakage.pdf

 


OpKillingBayの2017年度ターゲットリストが公開

【概要】
アノニマスのオペレーション名「OpKillingBay」の2017年度のターゲットリストが公開された。
※ただし、ターゲットリスト以外にも攻撃を行う可能性あり

 

【参考情報】

OpKillingBay 2017 メモ | (n)inja csirt

2017年の海洋動物保護のオペレーションに係る動きについてまとめてみた - piyolog

2017/08 - Hack japan

 


「Black Hat USA 2017」「Defcon 25」が開催(開催は2017年7月末)

【概要】
セキュリティカンファレンスの「Black Hat USA 2017」「Defcon 25」がアメリカのラスベガスで開催された

Black Hat USA 2017

DEF CON® 25 Hacking Conference

 

【参考情報】
※参加報告の記事やブログが8月に公開されていることが多かった

ASCII.jp:自作攻撃再現ツールを引っさげDEF CONへ、マクニカネットワークス凌氏|Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート

ASCII.jp:Black Hatの大舞台で自作ツールを発表、NTTセキュリティ羽田氏|Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート

2017年のBlack HatとDEF CONで発表された恐るべきハッキングの数々 - ZDNet Japan

Blackhat USA 2017 | MBSD Blog

Black Hat USA 2017 & Defcon 25 参加報告(Web編) | MBSD Blog

Black Hat USA 2017とDEFCON 25に参加してきました。 | セキュリティ対策のラック

 

 

セキュリティレポートやブログのアレコレ

仮想通貨取引所等のウェブサイトがインターネットバンキングマルウェア「DreamBot」の標的となるおそれについて

【公開ページ】

https://www.jc3.or.jp/topics/dces.html


【企業・団体】
日本サイバー犯罪対策センター(JC3)

 

Microsoft Windows 製品の Windows Shell の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-8464)に関する調査レポート

【公開ページ】

https://www.softbanktech.jp/information/2017/20170815-01/

 

【企業・団体】
ソフトバンク・テクノロジー株式会社

 

セキュリティ知識分野(SecBoK)人材スキルマップ2017年版

【公開ページ】

http://www.jnsa.org/result/2017/skillmap/index.html

 

【企業・団体】
日本ネットワークセキュリティ協会JNSA


インターネット上に公開されてしまったデータベースのダンプファイル(2017-08-08)

【公開ページ】

http://www.jpcert.or.jp/magazine/irreport-Unsecured_Databases.html

 

【企業・団体】
JPCERT コーディネーションセンター


マルウエアDatperをプロキシログから検知する(2017-08-17)

【公開ページ】

http://www.jpcert.or.jp/magazine/acreport-datper.html


【企業・団体】
JPCERT コーディネーションセンター


TheShadowBrokersの "Data Dump of the Month" サービス

【公開ページ】

http://negi.hatenablog.com/entry/2017/08/31/222308


【企業・団体・作成者】
Masafumi Negishiさん(https://twitter.com/MasafumiNegishi

 

 

以上です。

季節の変わり目なので風邪など引かないように!

.  ∧∧      
  (*・ω・) 
  _| ⊃/(___    
/ └-(____/

 

 

セキュリティで大事なのはロシア語なのかもしれない?

Очень много, это NyanTaku(「・ω・)「ガオー

(※どうも、にゃんたくです(「・ω・)「ガオー)

f:id:mkt_eva:20170815085901j:plain

 

 

はい、今とっても頭が回っていないのですが、なんとなくブログが書きたくなったから書いています。ブログってそういうもんですよね?( ˘ω˘)スヤァ

あ、今回のブログ、ゴールが特に無いです。(おいおい)

 

さていきなりですが、先日Twitterでこんなリプライをいただきました。 

 

※この場をお借りしてですが、Autumn Good さん(@autumn_good_35)、リプありがとうございました。

 

まずこのニュース内容はなにかというと、今年6月後半に世間を騒がせたNotPetya(Goldeneye)というマルウェアを拡散させたという疑いでウクライナの警察が51歳の男を逮捕したというニュース内容でした。

 

このニュースについて日本語で報道されているのは現在(現在時刻:2017年8月15日AM9時)ITmediaのこちらの記事だけではないでしょうか。

www.itmedia.co.jp

 

実はこのニュースを僕が知ったのは以下の記事を読んだ8月10日の夜遅くでした。

www.zdnet.com

 

 

僕はこの時てっきりこのニュースが「最初の」報道だと勝手に思っていたんです。

しかしながら、冒頭にも載せましたが、Autumn Good さんのリプライで実はもっと前に報道されていたということが判明しました。それがこちらの記事です。

podrobnosti.ua

 

Autumn Good さんのつぶやきでもこの報道の同日にツイートされていました。

 

この時点で「Autumn Good さん凄すぎないか!!!」と思う方もいらっしゃるのではないでしょうか。その意見、まったくもって同意見です。

 

つまりなにがいいたいかを時系列で並べてみます。

 

2017年8月7日に現地(ロシア語)で報道される

2017年8月10日、11日に英語で報道される

2017年8月14日に日本語で報道される

 

つまり、実際の報道から日本語報道されるまで1週間のタイムラグがあったということです。

ただ、今回日本では8月11日の金曜日が祝日だったため、日本の報道各社がお休みであったことももちろん原因の1つであることはわかっています。

 

こんなことを書くと「何だお前、日本の報道各社に喧嘩売ってんのか」と思われるかもしれませんが、決してそうではありません。むしろ、一番僕が頼っているのは日本の報道各社が報道してくれるセキュリティニュースや記事なんです。

 

じゃあなにがいいたいのか。

 

このセキュリティ業界で仕事していくには色んな能力や知識が必要であることは言わずと知れたことかと思います。

 

その中で「英語力」が必要なんてことがよく言われています。(ロシア語どこいった)

 

僕もそう思いますし、セキュリティ情報の殆どが英語で書かれているため、英語力は必須かと思われます。(ロシア語どこいったPart2)

 

まぁ僕は英語が苦手なんですが、最近はなるべく英語に触れるようにしています。(ロシア語どこいったPart3)

 

そうすることで英語の記事もなんとなくですが内容つかめるようになってきた感があります。もちろんGoogle先生には毎回お世話になっていますけどね、ははは。(白目)

 

と、思っていたんですが、今回の報道の流れを見るとちょっとロシア語なんかもかじってたたほうが良いのかななんて思ったり思わなかったりしました。

 

(そもそも英語でもロシア語でも日本語ではない言語の報道を収集できるか、が大事なことでもあるような気もしますが)

 

いやほら、APT28(Fancy Bear、Sofacy)関連のニュースとかもよく見るじゃないですか、ね?

 

そういやほらカスペルスキーもロシアでしょ?

 コミケにまで出展してるじゃないですかヤダー

 

それにたまに攻撃コードにロシア語が含ま(ここで文章が途切れている

 

というわけで、今日はこのへんで。

最後までグダグダで申し訳なかったです。

 

До свидания!(ダ スヴィダーニャ!)

(また、会うときまで!)