読者です 読者をやめる 読者になる 読者になる

にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

Rig Exploit Kitが稼働していると思われるIPアドレス等の調査メモ(2017/04/29更新)

どもども、にゃんたくです(「・ω・)「ガオー

 

先日、IIJがこのようなブログを公開していました。

IIJ Security Diary: Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭

 

最近Rig Exploit Kitを経由してマルウェアがダウンロードされるということが増えているようです。

上記記事にもありますが、ランサムウェアの「Matrix」「CERBER」等に感染してしまう可能性があるとのことです。

なお、以前このようなブログも当ブログで公開しております。

Rig Exploit Kitの稼働する不正サーバーのIPをまとめてみた。 - にゃんたくのひとりごと

 


運用や監視等で使用する目的で今回以下のメモを作成致しました。

ただあくまでも『思われる』リストですので、正当性については保証致しません。

 

調査概要は以下の通りです。 

①【Rig Exploit Kitが稼働していると思われるIPアドレス】について

調査概要:2017年に下記参考サイトで公開されているRig Exploit Kit関連の記事から、Rig Exploit Kitの稼働していると思われるIPアドレスとを抽出

参考サイト:http://malware-traffic-analysis.net/index.html

参考サイト:http://www.broadanalysis.com/ (2017/04/29追記)

 

②【Rig Exploit Kitが稼働していると思われるWebサイト】

調査概要:2017年に下記参考サイトで公開されているRig Exploit Kit関連の記事から、Rig Exploit Kitの稼働していると思われるWebサイト(Compromised website)を抽出
参考サイト:http://malware-traffic-analysis.net/index.html

参考サイト:http://www.broadanalysis.com/(2017/04/29追記)

 

※RigEKに感染している、もしくはRigEKが稼働していると疑われるサイトやドメインについてまとめています

※RigEKが稼働するサイトから遷移してマルウェア等をダウンロードしてしまうサイトのURLやドメインについては当ブログでは記載しておりません、なおそのような情報は下記【参考情報】で確認することは可能です

 ※ BROADANALYSIS.COMからの引用は2017年4月29日以降のものとしますが、今後2017年1月から4月29日までに公開されたものを追記する可能性はあります


※注意※
以下記載しているIPアドレスドメインには直接アクセスしないことをおすすめします。
なお、アクセスし被害などを受けた場合でも当ブログでは一切の責任を負いませんのでご了承ください。

 

 

【Rig Exploit Kitが稼働していると思われるIPアドレス】(2017/04/29更新)

188.225.73.230
188.225.72.88
92.53.119.52
92.53.104.104
188.225.72.22
185.158.112.49
86.106.102.17
185.58.225.60
217.23.1.61
185.159.128.247
109.234.36.165
46.173.214.185
92.53.104.78
188.227.75.37
5.200.52.37
217.23.2.108
139.162.203.5
188.225.32.10
81.177.140.75
81.177.140.74
81.177.140.149
188.225.35.79
81.177.6.153
92.53.97.102
217.107.34.154
107.191.62.136
194.87.94.37
194.87.92.210
194.97.234.96
194.87.234.28
88.225.35.86
195.133.144.228

 

【Rig Exploit Kitが稼働していると思われるWebサイト】(2017/04/29更新)

※『.(ドット)』を[]で囲ってあります

www[.]1tajrobe[.]com
hurtmehard[.]net
saywitzproperties[.]com
serialeshqip[.]com
tanaakk[.]net
cardgameheaven[.]com
alooki[.]accountant
microfitsecuretest[.]info
microfitsecuretest[.]trade
www[.]trackingsharks[.]com 
www[.]everythingcebu[.]com
www[.]mojdehstudio[.]ir
www[.]activaclinics[.]com
www[.]simply-vegan[.]org 
regenairgy[.]com
www[.]jesuisanimateur[.]fr
xbox360torrent[.]com
hurtmehard[.]net
www[.]zonadjsperu[.]com
biversum[.]com
protoday[.]uz
www[.]sunlab[.]org
www[.]simplyconfess[.]com
www[.]caltech[.]fr
www[.]stephanemalka[.]com
www[.]phoenixkiosk[.]com
activaclinics[.]com
holinergroup[.]com

 


【参考情報】(2017/04/29更新)

http://www.broadanalysis.com/2017/04/28/rig-exploit-kit-via-eitest-campaign-delivers-mole-ransomware/

http://malware-traffic-analysis.net/2017/04/25/index.html

http://malware-traffic-analysis.net/2017/04/20/index.html

http://malware-traffic-analysis.net/2017/04/18/index.html

http://malware-traffic-analysis.net/2017/04/16/index.html

http://malware-traffic-analysis.net/2017/04/15/index.html

http://malware-traffic-analysis.net/2017/04/14/index.html

http://malware-traffic-analysis.net/2017/04/13/index.html

http://malware-traffic-analysis.net/2017/04/07/index.html

http://malware-traffic-analysis.net/2017/04/06/index2.html

http://malware-traffic-analysis.net/2017/04/03/index3.html

http://malware-traffic-analysis.net/2017/03/28/index.html

http://malware-traffic-analysis.net/2017/03/20/index2.html

http://malware-traffic-analysis.net/2017/03/20/index.html

http://malware-traffic-analysis.net/2017/03/15/index3.html

http://malware-traffic-analysis.net/2017/03/15/index2.html

http://malware-traffic-analysis.net/2017/03/15/index.html

http://malware-traffic-analysis.net/2017/03/13/index3.html

http://malware-traffic-analysis.net/2017/03/09/index.html

http://malware-traffic-analysis.net/2017/03/07/index2.html

http://malware-traffic-analysis.net/2017/02/28/index.html

http://malware-traffic-analysis.net/2017/02/27/index.html

http://malware-traffic-analysis.net/2017/02/23/index.html

http://malware-traffic-analysis.net/2017/02/22/index.html

http://malware-traffic-analysis.net/2017/02/14/index.html

http://malware-traffic-analysis.net/2017/02/06/index4.html

http://malware-traffic-analysis.net/2017/02/06/index3.html

http://malware-traffic-analysis.net/2017/02/06/index.html

http://malware-traffic-analysis.net/2017/01/31/index2.html

2017年3月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです。

いよいよ新しい年度になってしまいましたね。

僕も社会人3年目に突入いたしました。なんかいよいよって感じですね。(語彙力の無さ!!!笑)

 

ちなみに僕は自分の誕生月と4月がわりと好きなんです。

4月って暖かいし、なんか新年度!って感じで日本全体がワクワク感に満ち溢れてる気がするんですよね!(語彙力の無さ!!!パート2笑)

 

そうだココで1つだけ言いたいことがあります。

@ITでやっていた「セキュリティのアレ」という動画連載がとうとう先日最終回をむかえてしまいました。

www.atmarkit.co.jp

2015年11月からはじまり、動画でのセキュリティ連載という新しい発想の連載、とっても面白かったです。

そしてなによりも、僕が「ブログを書いてみよう!」というきっかけを作ってくれた連載でした。

「セキュリティのアレを見てみた。」というブログを書く時に、ただ文字おこしするだけではなく、自分なりにやってみた。とか考えてみた。をこのブログを読んでくれた方々に「どうやったら伝わるかな」ということを考える勉強になったかなと感じています(まだまだ修行していきますが!)。

もちろんですが、セキュリティの勉強にもなりました。

この場をお借りしてですが、根岸征史さん、辻伸弘さん、宮田健さん、そしてセキュリティのアレを連載してくれた@ITの皆さん、ありがとうございました。また面白い企画を楽しみに待っています!

 


さてさて、今回も先月のセキュリティのアレコレをまとめていきたいと思います。

もう2017年の3月は「Struts2月」といっても過言ではないのでしょうか!(でもStruts2月だから2月にも見えるな!ややこしいな!)

 

今月から(から、になるかはわかりませんが)、セキュリティに関するレポートやブログで気になったものも載せるようにしました。関連情報などでかぶるものあると思いますが、そこはあしからずで。

 

では、3月のまとめいってみましょー!!!

 

 

脆弱性のアレコレ

Apache Struts2脆弱性

【概要】
Apache Struts 2の「Jakarta Multipart parser」というファイルアップロード時に使用するマルチパーサーに起因する脆弱性で、外部から任意のコードが実行される可能性があります。なお、本脆弱性をついた攻撃が容易であることから多数の被害報告が確認されています。

 

【対象】
Apache Struts 2.3.5 から 2.3.31
Apache Struts 2.5 から 2.5.10

 

【対策】
①本脆弱性を修正したバージョン (Struts 2.3.32 および Struts 2.5.10.1) へアップデートする

②本脆弱性を解消したプラグインを導入する
Apache Struts 2.3.8から2.5.5までのバージョンで使用可能なプラグイン→「Secure Jakarta Multipart parser plugin」
Apache Struts 2.3.20から2.5.5までのバージョンで使用可能なプラグイン→「Secure Jakarta Stream Multipart parser plugin」

 

修正バージョン情報やプラグイン情報はこちら↓

https://struts.apache.org/download.cgi#struts-extras


【参考情報】

JVNVU#93610402: Apache Struts2 に任意のコードが実行可能な脆弱性

更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

S2-045 - Apache Struts 2 Documentation - Apache Software Foundation

S2-046 - Apache Struts 2 Documentation - Apache Software Foundation

CVE-2017-5638 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Struts2の脆弱性 CVE-2017-5638 (S2-045/S2-046)についてまとめてみた - piyolog

Apache Struts 2 のマルチパーサー「jakarta」(CVE-2017-5638)(S2-045)(S2-046)の脆弱性を利用した攻撃情報メモ | (n)inja csirt

 

 

「安全なウェブサイト運営入門」に脆弱性

【概要】

IPAが無料で提供していた「安全なウェブサイト運営入門」というゲームにOSコマンドインジェクションの脆弱性があり、任意の OS コマンドを実行される可能性がある

 

【対象】
安全なウェブサイト運営入門」というゲーム

 

【対策】
安全なウェブサイト運営入門」というゲームを使用しない

 

【参考情報】

JVN#11448789: 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性

「安全なウェブサイト運営入門」に脆弱性 使用停止を - ITmedia NEWS

 


Cisco IOS脆弱性

【概要】
Cisco IOS」と「Cisco IOS XE Software」に脆弱性があり、影響は数百のCiscoのスイッチに及ぶ模様。
この脆弱性は、WikiLeaksによって公開された「Vault 7」という文書内で明らかになった。

 

【対象】
対象が多数のため、下記参考情報の「Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability」のページよりご確認ください。

 

【対策】
2017年3月21日現在、対策案(アップデートなど)は無し。
ただし、一部回避策として、TelnetのCMP指定オプションを無効化する等はあり。

 

【参考情報】

Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability

「Cisco IOS」に脆弱性、300種類超のスイッチ製品に影響--WikiLeaks文書で明らかに - ZDNet Japan

Cisco IOSの重大な脆弱性、WikiLeaks情報で発覚 数百種類のスイッチに影響 - ITmedia NEWS

ニュース解説 - CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性:ITpro

Cisco製スイッチ318モデルに外部から制御可能な致命的な脆弱性 | マイナビニュース

 


ntpdに脆弱性

【概要】
時刻の同期に使われるntpd(Network Time Protocol daemon)に脆弱性があり、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性がある

 

【対象】
ntp-4.2.8p10 より前のバージョン
ntp-4.3.0 から ntp-4.3.93 まで

 

【対策】
アップデートする
※本脆弱性を修正したバージョン(ntp-4.2.8p10)がリリースされています(下記リンク)

SoftwareDownloads < Main < NTP

 

【参考情報】

JVNVU#95549222: NTP.org の ntpd に複数の脆弱性

NTPの更新版公開、DoSなどの脆弱性に対処 - ITmedia NEWS

NTPに脆弱性、早急にアップデートを | マイナビニュース

 

 

注意喚起やニュースのアレコレ

Apache Struts 2の脆弱性を悪用され、多数のサイトが不正アクセスの被害を報告

【概要】
Apache Struts 2の脆弱性を悪用されたことによる不正アクセスを受け個人情報などが流出。
被害を受けたサイトは以下の通り。
※()は運営元。
※2017年3月31日現在

・都税クレジットカードお支払いサイト(GMOペイメントゲートウェイ
独立行政法人住宅金融支援機構 団体信用生命保険特約料クレジットカード支払いサイト(GMOペイメントゲートウェイ
・相談利用者登録ページ(JETRO
J-STAGEサービス(国立研究開発法人科学技術振興機構
・特許情報プラットフォーム(J-PlatPat)サービス(独立行政法人工業所有権情報・研修館
・国際郵便マイページサービス(日本郵便
・停電情報公開サービス(沖縄電力
・音声サービス「Radital(ラジタル)」サイト(ニッポン放送
・おかやまオープンデータカタログ(岡山県
JINSオンラインショップ(JINS


【各サービスサイトのApache Struts 2に関するリリース情報】

ご報告 | GMOペイメントゲートウェイ株式会社

「都税クレジットカードお支払サイト」で不正アクセス|東京都

当機構Webサイト攻撃によるメールアドレス情報の窃取の可能性について | お知らせ 2017年 - お知らせ - お知らせ・記者発表 - ジェトロ

[INPIT]特許情報プラットフォーム(J-PlatPat)サービスの再開のお知らせとお詫びについて | 独立行政法人 工業所有権情報・研修館

「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について - 日本郵便

http://www.okiden.co.jp/shared/pdf/news_release/2016/170315.pdf

http://www.radital.jp/

当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) 3/24 | お知らせ | JINS - 眼鏡(メガネ・めがね)


【参考情報】

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性 - ITmedia エンタープライズ

ニュース解説 - GMO72万件流出危機の原因、Struts2に「意のままに操られる」深刻な脆弱性:ITpro

ニュース - 都税と住宅金融支援機構のクレジット払いサイトに不正アクセス、約72万件流出か:ITpro

ニュース - 岡山県のStruts2稼動サイト、不正アクセスでDoS攻撃の踏み台に:ITpro

ニュース - JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害:ITpro

 


Microsoft、2月と3月の月例更新プログラムを公開

【概要】
Microsoftは公開を延長していた2月の更新プログラムと併せて3月の月例更新プログラムを公開した。
最大深刻度が“緊急”のセキュリティ情報は9件公開された、

 

【参考情報】

Microsoft Security Bulletin Summary for March 2017

MSが3月の月例パッチ公開、2月の公開延期分も含む計18件 -INTERNET Watch

【セキュリティ ニュース】MS、1カ月ぶりの月例パッチを公開 - 公開済み脆弱性や複数ゼロデイ脆弱性に対処(1ページ目 / 全3ページ):Security NEXT

 


「DMM. com」を騙り、料金を要求する詐欺に注意

【概要】
DMMを騙った偽DMMからSMSや電話を用いて未払料金支払いという名目で金銭を支払わせようとする詐欺が増加している。
なお、実際のDMMの有料サービスでは会員登録が必要で、料金は前払いのため、未払い料金が発生することはないとしている。

 

【参考情報】
SMSを用いて有料動画サイトの未払料金などの名目で金銭を支払わせようとする「株式会社DMM.comをかたる事業者」に関する注意喚起

http://www.caa.go.jp/policies/policy/consumer_policy/information/pdf/170228adjustments_1.pdf

DMMを装った架空請求について - DMM.com

恐怖の「DMM」偽メール拡散中 次々にむしり取られ……「被害総額1億9100万円」 (1/3) - ITmedia NEWS

【セキュリティ ニュース】動画料金を請求する偽DMMのSMSに注意 - プリカ番号要求詐欺(1ページ目 / 全2ページ):Security NEXT

 


法政大学が不正アクセスを受け、全アカウント情報が漏洩

【概要】
昨年12月、法政大学のアカウント管理サーバが不正アクセスを受け、学生や教職員、委託業者の全アカウント情報(約4万件)が漏洩した。

 

【参考情報】

法政大学への不正アクセスによる情報漏えい被害に関するお詫びとお知らせ|法政大学

ニュース - 法政大学で不正アクセス、学生や職員など4万3103件のアカウント情報が漏洩:ITpro

【セキュリティ ニュース】学生や職員などアカウント情報4.3万件が漏洩 - 法政大(1ページ目 / 全1ページ):Security NEXT

 


JC3が不正送金マルウェアの感染状況を確認できるサイトを試験公開

【概要】
日本サイバー犯罪対策センター(JC3)は、不正送金マルウェア(DreamBot・Gozi)の感染状況を簡単にチェックできるサイトを試験公開した。

 

【参考情報】

DreamBot・Gozi感染チェックサイト|一般財団法人日本サイバー犯罪対策センター

注意情報|一般財団法人日本サイバー犯罪対策センター

流行りの銀行ウイルスに感染していないかワンクリックでチェックしてくれるサイト、日本サイバー犯罪対策センターが試験公開 -INTERNET Watch

 


正規サービスを騙るフィッシングサイトが稼動

【概要】
以下サービスを騙るフィッシングサイトが稼動報告される。
ウェブマネーをかたるフィッシング
Google Play をかたるフィッシング
マイクロソフトをかたるフィッシング(3月2回)

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/03/31)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ウェブマネーをかたるフィッシング (2017/03/24)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Google Play をかたるフィッシング (2017/03/15)

【ご注意】ウェブマネー(WebMoney)をかたる偽メールにご注意ください:電子マネーWebMoney(ウェブマネー)

 


GoogleSymantecの発行したTLS証明書に不信感

【概要】
Googleの「Chrome」チームは、Symantecが発行するサーバー証明書TLS/SSL証明書)には問題点が多いことから、ChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。

 

【参考情報】

ニュース - グーグルの開発チーム、シマンテック発行の証明書に激しい不信感:ITpro

グーグル、シマンテックが発行したTLS証明書に不信感 - ZDNet Japan

Google Chromeチーム、Symantec証明書の段階的失効を提案 - ITmedia エンタープライズ

 

 

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

【概要】
クローズドネットワーク内のデータが、USBストレージを介して窃取されるサイバー攻撃の手口を確認したとして、注意喚起がなされた。

 

【参考情報】

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

ネットワーク隔離PCからUSBメモリを介して情報を窃取する手口を確認、警察庁とJPCERT/CCが注意喚起 -INTERNET Watch

 

 

IIS 6」にゼロデイの脆弱性

【概要】
すでにサポートが終了している「IIS 6」のヘッダの検証が不適切な問題に起因する、IISWebDAVコンポーネントに存在する脆弱性により、リモートの攻撃者に任意のコードを実行される可能性がある。

 

【参考情報】

サポート切れの「IIS 6」でゼロデイ脆弱性が発見される--パッチ提供の予定はなし - ZDNet Japan

MicrosoftのIIS 6に未解決の脆弱性、2016年から攻撃横行 - ITmedia エンタープライズ

Microsoft IISのゼロデイ脆弱性、古いバージョンは修正されず | マイナビニュース

Microsoft IIS 6.0のゼロデイ脆弱性、遠隔で任意のコード実行が可能に | トレンドマイクロ セキュリティブログ

 

 

セキュリティ系のレポートやブログのアレコレ

 

情報セキュリティ10大脅威 2017(IPA)

【公開ページ】

https://www.ipa.go.jp/security/vuln/10threats2017.html

【企業・団体】

IPA(独立行政法人情報処理推進機構)

 

重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開(IPA)

【公開ページ】

https://www.ipa.go.jp/security/fy28/reports/vuln_handling/index.html

【企業・団体】
IPA(独立行政法人情報処理推進機構)


ログを活用したActive Directoryに対する攻撃の検知と対策(JPCERT/CC)

【公開ページ】

https://www.jpcert.or.jp/research/AD.html

【企業・団体】
JPCERT/CC

 

Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について(JSOC/LAC)

【公開ページ】

https://www.lac.co.jp/lacwatch/alert/20170310_001246.html

https://www.lac.co.jp/lacwatch/alert/20170317_001252.html

【企業・団体】

JSOCアナリストチーム(ラック)

 

Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート(ソフトバンク・テクノロジー)

【公開ページ】

https://www.softbanktech.jp/information/2017/20170308-01/

【企業・団体】
ソフトバンク・テクノロジー

 

Apache Struts 2 のマルチパーサー「jakarta」および「jakarta-stream」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-046)に関する調査レポート(ソフトバンク・テクノロジー)

【公開ページ】

https://www.softbanktech.jp/information/2017/20170328-01/

【企業・団体】
ソフトバンク・テクノロジー

 

2016年下半期 Tokyo SOC 情報分析レポート(IBM)

【公開ページ】

https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2016_h2/

【企業・団体】

日本アイ・ビー・エム株式会社(マネージド・セキュリティー・サービス)

 

Internet Infrastructure Review (IIR) Vol.34(IIJ)

【公開ページ】

http://www.iij.ad.jp/company/development/report/iir/034.html

【企業・団体】
インターネットイニシアティブIIJ

 

Struts2が危険である理由(スキュータム)

【公開ページ】

https://www.scutum.jp/information/waf_tech_blog/2017/03/waf-blog-046.html

【企業・団体】
WAF Tech Blog(クラウド型WAF「Scutum(スキュータム)」の開発者/エンジニアによるブログ)

 

 

今月は以上です!

ではでは!

.    (⌒)
  ∧__∧ (~)
 (。・ω・。)( )
 { ̄ ̄ ̄ ̄}
 {~ ̄お__} ぬるい
 {~ ̄茶__}
 {____}
  ┗━━┛

 

 

 

2017年2月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくですー(n*´ω`*n)

さてさてもう3月ですよ。年度末でひっじょーに忙しい時期ですので、皆さん体調管理が第一ですよ!!!

 

さて、今回も前月(2017年2月)のセキュリティのアレコレをまとめてみました。

なにかの参考にしていただけたら幸いです。

脆弱性のアレコレ

 

WordPress脆弱性

【概要】
WordPressのRESTAPIに脆弱性が存在し、その脆弱性を利用されることで第三者により非常に容易にコンテンツが改ざんされてしまう。
なお、この脆弱性を突いた攻撃は150万を超えるサイトが受けたもよう。

 

【対象】
WordPress 4.7.0
WordPress 4.7.1

 

【対策】
WordPress 4.7.2以上にアップデートする(最新版は公開ずみ)
REST APIを無効化するプラグインをインストールする
※①もしくは②を実施することで対策可

 

【参考情報】

WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

WordPress の脆弱性に関する注意喚起

WordPress REST API Vulnerability Abused in Defacement Campaigns

WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート | ソフトバンク・テクノロジー

 


ISC BIND 9 にサービス運用妨害(DoS)の脆弱性

【概要】

ISC BIND 9 サービス運用妨害(DoS)の脆弱性が存在し、脆弱性を突かれた場合、リモートからの攻撃によって named が終了する可能性がある。

 

【対象】
・DNS64 と RPZ の双方を有効に設定している場合にのみ、本脆弱性の影響をうける
※RPZとは…Response Policy Zoneの略であり、キャッシュDNSサーバーがクライアントに返す応答内容を、キャッシュDNSサーバーの運用者のポリシーにより制御する機能

影響を受けるバージョンは以下のとおり
・BIND 9.8.8
・BIND 9.9.3 から 9.9.9-P5 まで
・BIND 9.9.10b1
・BIND 9.9.3-S1 から 9.9.9-S7 まで
・BIND 9.10.0 から 9.10.4-P5 まで
・BIND 9.10.5b1
・BIND 9.11.0 から 9.11.0-P2 まで
・BIND 9.11.1b1

 

【対策】
①DNS64 もしくは RPZ を設定から削除
②RPZ におけるポリシーゾーンのコンテンツを適切に制限
③アップデートする
※①~③のいずれかを実施することで対策可

脆弱性修正済みバージョンは以下のとおり
・BIND 9.9.9-P6
・BIND 9.10.4-P6
・BIND 9.11.0-P3
・BIND 9.9.9-S8

 

【参考情報】

JVNVU#93384765: ISC BIND にサービス運用妨害 (DoS) の脆弱性

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2017-3135) に関する注意喚起

CVE-2017-3135: Combination of DNS64 and RPZ Can Lead to Crash | Internet Systems Consortium Knowledge Base

 


Cisco Prime Home(Cisco家庭ネットワーク管理製品)に脆弱性

【概要】
Cisco Prime HomeのWebベースのGUIは、URLのロールベースアクセス制御に不備があるため、認証を回避され、管理者権限で操作が行われる可能性がある。
※本脆弱性Cisco Security Advisoryで『Critical』レベルで発表された
※ロールベースアクセス制御:認められたユーザーのシステムアクセスを制限するコンピュータセキュリティの手法の一種

 

【対象および対策】
バージョンごとの対策は以下のとおり。

5.2:影響を受けない。しかし、本脆弱性ではない「CVE-2016-6452」の影響を受けるため『5.2.2.3』および『5.1.1.7』がリリースされている
6.3:影響を受ける。『6.5.0.1』へアップデート
6.4:影響を受ける。『6.5.0.1』へアップデート
6.5:影響を受ける。『6.5.0.1』へアップデート

 

【参考情報】

Cisco Prime Home Authentication Bypass Vulnerability

JVNDB-2017-001400 - JVN iPedia - 脆弱性対策情報データベース

【セキュリティ ニュース】Ciscoの家庭ネットワーク管理製品にリモート操作が可能となる脆弱性(1ページ目 / 全1ページ):Security NEXT

 


OpenSSLに脆弱性

【概要】

OpenSSLの認証暗号化方式「Encrypt-Then-Mac」(EtM)の拡張機能脆弱性が存在し、その脆弱性を突かれるとクライアントまたはサーバがクラッシュする可能性がある。
※「Encrypt-Then-Mac」(EtM):認証つき暗号、平文を暗号化し、暗号文から MAC を計算し、暗号文と MAC を連結して送信する手法

 

【対象】
OpenSSL 1.1.0eより前のバージョン

 

【対策】
・アップデートする

脆弱性修正済みバージョンは以下のとおり
・OpenSSL 1.1.0e

 

【参考情報】

https://www.openssl.org/news/secadv/20170216.txt

JVNVU#90017300: OpenSSL にサービス運用妨害 (DoS) の脆弱性

OpenSSLに深刻な脆弱性、最新版にアップデートを | マイナビニュース

OpenSSLの更新版公開、危険度「高」の脆弱性に対処 - ITmedia NEWS

 

 

一太郎シリーズに脆弱性

【概要】
一太郎シリーズに、複数のバッファオーバーフロー脆弱性が存在しており、悪用されることでアプリケーションが異常終了する可能性がある。
また、任意のコードを実行される可能性もあるとのこと。(実証動画あり)

 

【対象】
一太郎2016
一太郎2015
一太郎Pro 3
一太郎Pro 2
一太郎Pro
一太郎Government 8
一太郎Government 7
一太郎Government 6
一太郎2011 創/一太郎2011
一太郎2010
一太郎ガバメント2010
一太郎Pro 3 体験版
一太郎ビューアは今回の脆弱性の影響を受けない

 

【対策】
・アップデートする(アップデートモジュールが配布されている、下記参考情報のジャストシステムのお知らせへのリンクで確認できます)
一太郎Pro 3 体験版に関してはアンインストールし、最新版をアップデートする

 

【参考情報】

「一太郎」を安心してお使いいただくために

JVNVU#98045645: 一太郎シリーズにバッファオーバーフローの脆弱性

Cisco's Talos Intelligence Group Blog: Vulnerability Spotlight: Multiple Ichitaro Office Vulnerabilities

「一太郎」に複数の脆弱性、任意のコードを実行される恐れも - ZDNet Japan



注意喚起やニュース、レポートのアレコレ

 

【注意喚起】「Office 2007」および「Windows Vista」の延長サポートが2017年で終了

【概要】

「Office 2007」および「Windows Vista」の延長サポートが2017年で終了することにより、サポート終了後も継続して利用する場合は様々なリスクが発生する可能性がある。

 

【対象】
Windows Vista
 延長サポート終了日:2017年4月11日
 
■Office 2007
 延長サポート終了日:2017年10月10日

 

【参考情報】

延長サポート終了を控える「Office 2007」および「Windows Vista」の速やかな移行を:IPA 独立行政法人 情報処理推進機構

ご存じですか? OS にはサポート期限があります! - Microsoft atLife

サポート終了の重要なお知らせ - Office 2007、Exchange Server 2007、SharePoint Server 2007、Visio 2007、Project 2007


Rig Exploit Kitによる感染被害が増加

【概要】
正規サイトが改ざんされ、Rig Exploit Kitによるドライブバイダウンロード攻撃により不正送金マルウェアランサムウェアへ感染させる攻撃が急増している。改ざんサイトの無効化推進のため、警察庁やJC3(日本サイバー犯罪対策センター)が注意喚起をおこなった。

 

【参考情報】

注意情報|一般財団法人日本サイバー犯罪対策センター

【セキュリティ ニュース】「RIG EK」による感染被害が急増 - 警察が約300の踏み台サイトに指導(1ページ目 / 全2ページ):Security NEXT

Rig Exploit Kitの稼働する不正サーバーのIPをまとめてみた。 - にゃんたくのひとりごと

 


ラック(LAC)の次期代表取締役社長に西本逸郎氏が就任

【概要】

ラック(LAC)は次期代表取締役社長に西本逸郎氏が2017年4月1日付で就任することを発表。
なお、現代表取締役社長の髙梨輝彦氏は同日付けで退任。取締役会長へ就任する予定。

 

【参考情報】

代表取締役の異動に関するお知らせ | ニュースリリース | 株式会社ラック

 


JPCERTコーディネーションセンターの類似ドメインに注意

【概要】

JPCERTコーディネーションセンターは、同センターのドメインに類似したドメインが無関係の第三者によって取得されていることについて注意喚起をおこなった。

 

【対策】
正当なドメインであるかを確認する。

JPCERTコーディネーションセンターが取得しているドメイン:jpcert.or.jp

類似ドメイン:jpcert[.]org

 

【参考情報】

JPCERT コーディネーションセンター jpcert.or.jp に類似するドメインに関するお知らせ

 

 

フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが再開

【概要】

フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが「Shin0bi H4x0r」を名乗る攻撃者によって改ざんされたため公開をストップしていたが、安全に利用できる準備が整ったため、再開された。
なお、改ざんされた原因は、管理者権限を与えられた関係者の ID、パスワード情報を特定し、本人になりすましてログインし改ざんされたとのこと。

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 日本版 「STOP. THINK. CONNECT.」 Web サイト再開に関するお知らせ

ようこそ ¦ Stop Think Connect

 


Microsoftの2月月例セキュリティ更新プログラムの公開を急遽延期(定例外としてAdobe Flash Playerの脆弱性修正パッチはリリース)

【概要】
2017年2月14日に公開される予定だった2月月例セキュリティ更新プログラムを「一部顧客に影響を与えかねない問題が直前に見つかり、公開日までに解決できなかった」という理由から公開を延期した。なお、今回延期になった脆弱性の修正については来月3月14日の3月月例更新とあわせて対応する予定とのこと。
なお、2017年2月22日に定例外としてAdobe Flash Playerの脆弱性に対する修正パッチをリリースした。

 

【参考情報】

2017 年 2 月のセキュリティ更新プログラム リリース – 日本のセキュリティチーム

Adobe Flash Player の脆弱性を修正するセキュリティ更新プログラムを定例外で公開 – 日本のセキュリティチーム

Microsoft、2月の月例更新プログラムは3月分と併せて公開 - ITmedia NEWS

 


SHA-1」衝突攻撃が初めて実証成功

【概要】
ハッシュアルゴリズムSHA-1」の衝突攻撃(コリジョン攻撃)が実証攻撃に成功。また、「SHA-1」のハッシュ値が同じだが中身が異なる2つのPDFファイルも公表した。
またこの攻撃名は「SHAttered」と名づけられた。

 

【参考情報】

Google Online Security Blog: Announcing the first SHA1 collision

SHAttered

SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開 - ITmedia NEWS

ニュース - ついに破られた「SHA-1」、Googleが衝突攻撃に成功:ITpro

5分で分かる、「SHA-1衝突攻撃」が騒がれているわけ (1/2) - ITmedia エンタープライズ

 

 

【注意喚起】学術組織を狙ったウェブサイト改ざんに注意

【概要】

研究室やサークルの独自ウェブサイトの役割が終了しても閉鎖されないことがあり、またウェブサイトの把握・管理もできていないことから、セキュリティ対策が不十分なウェブサイトが放置されたままになっており、これがウェブサイト改ざんを招く原因となっていることへの注意喚起をIPAが行った。

 

【参考情報】

【注意喚起】学術組織を狙ったウェブサイト改ざんに注意:IPA 独立行政法人 情報処理推進機構

研究室・サークルなどの“放置サイト”一掃に向け集中管理を、学術組織を狙ったサイト改ざん多発 -INTERNET Watch

 

 

以上です!

今回もここまで読んでいただきありがとうございました。

 

ではでは!!ヽ(´◇`)ノ ファ~♪

 

「第2回情報セキュリティ事故対応アワード」に行ってみた。 #事故対応アワード

どもどもにゃんたくです。

 

今年の2月は寒かったり暖かかったりとよくわかんないですね。僕は絶賛体調絶不調です(●´ω`●)

 

さて、今回はこちらに行ってきました!

第2回情報セキュリティ事故対応アワード

news.mynavi.jp

 

ちなみに当日はTwitterと連動しながらすすめる場面もありました。

その時のハッシュタグは「#事故対応アワード」

このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。

togetter.com

 

 

僕は昨年の第1回にも行ったのですが、今回は昨年以上に聴講しにきてる人が多かった気がします。というか今年は満席になって抽選になったということみたいですね。。。。なお、第2回からは経済産業省が後援になっています。

ちなみに昨年の感想ブログはこちら

『セキュリティ BIG 5が選ぶ セキュリティ事故対応アワード』に行ってみた! #セキュリティ事故対応アワード - にゃんたくのひとりごと

 

 

まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。

 

▼情報セキュリティ事故対応アワードとは

セキュリティ事故後の対応(インシデント・レスポンス)が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。

ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

 

▼部門賞一覧

 最優秀賞、優秀賞、特別賞、報道賞

※報道賞は今回から新設。有識者が「良かったと感じた記事」を讃える賞

 

▼評価軸

・事故発覚から、第一報までの時間(事故報告するまでの期間、頻度)

・発表内容(原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等)

・自主的にプレスリリースを出したか(報道だけではなく、自社発信)

 

▼集計期間

・昨年1年間

※第2回の場合2016年1月から2016年12月まで。 

 

なんとなくですが、どんなアワードかわかっていただけたかと思います。

そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。

 

この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。

 

 では、なぜ褒めるのか。

それは「情報セキュリティ事故対応アワードとは」にも書いた、

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

 の一言に尽きるのでは無いでしょうか。

 

もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。

しかしながら、インシデントは「起きてしまう」ものです。

インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。

 

さて、今回の事故対応アワードでは、アワードとパネルディスカッションの2段階構成で行われていました。

アワードの内容、パネルディスカッションの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。

 

第2回情報セキュリティ事故対応アワード

最優秀賞(1社)

【受賞】

パイプドHD株式会社

 

【インシデント内容】

ECシステムの設定不備を突かれた不正アクセスによる個人情報流出

 

 【プレスリリース】

アパレル特化型ECプラットフォーム「スパイラルEC(R)」における不正アクセスによる個人情報流出に関するお知らせとお詫び|パイプドHD株式会社

 

 【インシデントレスポンス内容】

・プレスリリースを第1報~第4報までだした

・インシデント内容報告が非常に詳細報告されている

Youtubeを用い、社長自らが出演し報告をおこなった

 ※このような報告方法は極めて稀

 

 【コメント(僕が聞き取れた部分のみとなります)】

・ユーザーや関係者の不安解消を第一に考えた

パブリックコメントに関してはパートナー各社やお客様に説明できるよう配慮した
・インシデントについては技術的調査と並行して具体的な情報開示の方法も検討した
・情報公開をしながら質問を集約し、問い合わせ一覧を社内共有することでグループ社員のお客様対応を均質化した
・日々進化する攻撃手法に対してさらなるシステム環境の堅牢性強化、安全性強化の体制整備にあたっていく

※登壇に関しては辞退、受賞コメントは辻さんが代理で朗読

 

 【その他関連情報】

パイプドビッツのECサイト基盤から個人情報流出、システムの設定不備でバックドア置かれる (1/2) - ITmedia エンタープライズ

「スパイラルEC」の脆弱性が悪用され「ViVi」通販サイトで会員情報流出、同一プラットフォーム利用の他社で最大42サイト約98万件に拡大するおそれ(パイプドHD) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

 

 

優秀賞(2社)

【受賞】

とある2社(辞退のため不明)

 

 

特別賞(2社)

1社目

【受賞】

富山大学

 

【インシデント内容】

富山大学 研究推進機構 水素同位体科学研究センターで標的型攻撃による情報漏えい

 

【プレスリリース】

富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について|富山大学

 

【インシデントレスポンス内容】

 ・攻撃手法や C&Cサーバ に関する情報を報告、セキュリティ専門家の調査に役立つ

 ※攻撃手法の情報を載せたのは2016年度全体で唯一このインシデントだけだった 

 

【その他関連情報】

富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた - piyolog

富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ | (n)inja csirt

記者の眼 - 富山大を誰が襲ったのか、民間で進むサイバー攻撃の全容解明:ITpro

 

2社目 

【受賞】

株式会社スクウェア・エニックス

 

【インシデント内容】

オンラインゲーム「ドラゴンクエストX」でチート行為をおこなったユーザーが書類送検

 

【プレスリリース】

不正行為および、それを拡散する行為について (2016/10/13 更新)|目覚めし冒険者の広場

 

【インシデントレスポンス内容】

・チート行為を行ったユーザーの処罰、ゲームへの影響についての詳細情報を継続公開

・ユーザーの不安を払拭し、チート行為を受けた際の情報公開のあり方を示す好例

 

【コメント(僕が聞き取れた部分のみとなります)】

スクエニ、テクニカルディレクターの青山さんが登壇し、質問に回答

 

■公開への経緯は?

チート行為は確認したところ実際に行われていたため、チート行為を行ったアカウントは停止させた。

チート行為の内容等がネット等で実際の話に尾ひれがつき、真実と虚偽の情報が混同してきたため、正規ユーザーにとっても世間にも良くないと感じ報告することにした。生配信でまずは直接説明したが大炎上した。

 

■ユーザーの反応はどうだった?

多くのユーザーがいるということ等もあり、生放送では大炎上した。

 

■リリースするにあたり、第一に考えていることはなにか?

ユーザーにとって安心、安全にそして楽しく遊んでいただくことが第一である。

リリース文には、ユーザー向けに難しい事や技術的な事はあえて記載しなかった。

このような事故が起こるのは当たり前、大前提である。
また、今回のような対応ができたのは、普段からセキュリティに尽力しているため。

 

【その他関連情報】

「ドラゴンクエストX オンライン」でチート行為に関わったユーザーが書類送検に(スクウェア・エニックス) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

「ドラクエX」、チート行為で5人書類送検 運営「ゲームの規約違反だけでなく現実で罪に問われる場合も」 - ねとらぼ

「ドラクエX」チート容疑 SEら書類送検 レアアイテム不正入手 (1/2) - ITmedia NEWS

 

報道賞(1社) 

【受賞】

ITpro(株式会社 日経BP

 

【報道記事】

News & Trend - JTBの事故対応手順が明らかに、非公開の報告書を読み解く:ITpro

 

【コメント(僕が聞き取れた部分のみとなります)】

※ITProの井上 英明さんが登壇し、質問に回答

※上記の富山大学の件についてもITproで記事を書いている方でした

 

■記事(報道)としての狙いは?
前提としてマスメディアはニュースを追いかけるのは当たり前である。

今回のJTBの記者会見では、オブザーバーとして会場にいたため質問できなかった。

ただ、内容が全国紙として載せれる情報なのか、ということが問題であり、資料は最初非公開だったが、交渉して公開可能になった。紙では書けないWebの記事という特性を活かした。


■記事を書く時の着眼点は?

大事なことは一番最初に書く。

なので今回の記事は時系列を追って書いたりしたので普通はNGである。

文章を書く時、「おこなう」はつかわない。受け身は使わない。

 

【その他関連情報】

News & Trend - 「経営課題という認識が不足」、679万人のJTB情報漏洩可能性が残す教訓:ITpro

JTBへの不正アクセスについてまとめてみた - piyolog

JTBへの攻撃の考察・推測メモ | (n)inja csirt

 

  

パネルディスカッション

※ココで列挙した内容は、ディスカッション内容で話されていた内容のごく一部ですので悪しからず。

 

■今年のアワード、わりと選びやすかった

→インシデント後の対応が良いところが多かった

→報告書がテンプレ化して時系列、事実を報告するところが増えてきた

 

JTBの会見内容が評価できた

→2016年を代表するインシデントだったのではないか

→ウイルスと思われるファイルを開いてしまった人に対して責めなかった事が評価できた 

 

■インシデントが発生し、第三者委員会が設置されて報告したとこがあったがわりと良かった

→日テレWebサイトへの不正アクセスによる個人情報流出について

http://www.ntv.co.jp/oshirase/20160714.pdf(個人情報不正アクセスに関する調査報告書)

日本テレビWebサイトへの不正アクセスについてまとめてみた - piyolog

→第三者委員会を設置するということは、経営者が自社を擁護することはできない

→ただし第三者委員会が設置されたからといって良いというわけではない

 

■情報公開の理想形は?
→誰に向けて書いているのか、ユーザーなのかセキュリティ専門家なのかによって中身が変わってくるよね

→第一報で出すものリストとかあると良いよね
 ただし初期でわかること、被害範囲もわからない場合もある

→時間が経つとリリース文を削除してしまう企業があるのが残念

→情報をどう伝えるか、って大事。

 OpKillingBayの攻撃を受けウェブサイトがダウンした、浅虫水族館とあぶらたにマリンパークはTwitter等で状況を逐一報告していたのは評価できた

→攻撃者が狙っているものが個人情報だけではない可能性がある

 個人情報以外のものが漏れてて、なにが狙われたのかを知るべきである

 

マイナビさんに感謝

 →セミナーエントリーする際のアカウントサービスにおいて使えるパスワードが最初文字数が少なかったが、最終的に64文字まで設定できるように対応してくれたマイナビさんを評価

 

 

 ふぅ(;´Д`)

結構長文になってしまいましたね。

僕のまとめは以上です。

ここに書いてある内容以外にもたくさんあったかと思います。

 

最後にここまで読んでいただいた方に僕がどうしてこのようなまとめを書いたか、を教えます。

それは単純にこのセキュリティ事故対応アワードを多くの人に知ってもらいたいからです。

冒頭にも書いた、このアワードの意図を多くの方にしっかり知ってもらい、来年度のセキュリティ事故対応アワードを聞きに来てくれる人が一人でも増えたら嬉しいです。

セキュリティ事故対応アワード、来年も楽しみにしています!

 

今回もここまで読んでいただきありがとうございました。

ではでは(「・ω・)「ガオー

Amazonが2段階認証に対応したのでパソコンから設定してみた。

どもどもにゃんたくです。

 

今日は朝からこのニュースが話題になっていましたね!

internet.watch.impress.co.jp

 

様々なサービスで2段階認証が導入されてきていますが、Amazonはやっとという感じでしょうか。

 

ちなみにスマホAmazonアプリを使った2段階認証の設定方法はこちらの記事が参考になりますので、まずスマホで設定してみたいという方はこちらを参考にしてみてください。

www.appps.jp

 

さて今回はパソコンからの設定方法を僕なりにまとめてみましたので、まだ設定してないって人は是非参考にしてみてください。

 

まずは、普通にAmazon.co.jpにアクセスし通常通りログインします。

「アカウントサービス」をクリックし、アカウントサービスの画面に移ります。

 

『アカウント設定の変更』をクリックします

f:id:mkt_eva:20170220124046p:plain

 

 

『高度なセキュリティ設定』の『編集』をクリックします。

f:id:mkt_eva:20170220131246p:plain

 

 

『設定を開始』をクリックします。

f:id:mkt_eva:20170220124353p:plain

 

 

SMSでコードを受け取るために携帯電話番号を入力し、『コードを送信をクリックします。

f:id:mkt_eva:20170220124452p:plain

 

 

入力した携帯電話宛にSMSが届き、中にセキュリティコードが記載されているか確認します。

f:id:mkt_eva:20170220124614p:plain

 

 

確認できたセキュリティコードを入力し、『コードを確認して続行』をクリックします。

f:id:mkt_eva:20170220124724p:plain

 

 

次にバックアップ手順を追加します。

今回は認証アプリ(Google Authenticator)を用いて行います。

f:id:mkt_eva:20170220125513p:plain

 

 

Google Authenticator』を起動します。

f:id:mkt_eva:20170220125039p:plain

 

 

Google Authenticatorで上記QRコードを読み取ります。

読み取るとコードが生成されます。

f:id:mkt_eva:20170220125634p:plain

 

 

生成されたコードを入力し、『コードを確認して続行』をクリックします。

f:id:mkt_eva:20170220125513p:plain

 

 

サインイン画面に切り替わるので、登録しているメールアドレス、パスワードを入力し、サインインします。

f:id:mkt_eva:20170220125918p:plain

 

 

よく使う端末ではコード入力を不要にする場合は、『この端末ではコードの入力は不要です』にチェックを入れ『同意して2段階認証を設定にする』をクリックします。

f:id:mkt_eva:20170220130026p:plain

 

 

これで設定は完了です!!!お疲れ様でした!!\(^o^)/

f:id:mkt_eva:20170220130310p:plain

 

 

なお、設定が完了すると登録しているメールアドレスにメールが届きます。

f:id:mkt_eva:20170220130418p:plain

 

 

ここまで設定するのに大体5分位でしたね。

Google Authenticatorをインストールしてどう使うのかを確認するのを合わせても10分位でしょうか。

 

たったこれだけを設定するだけでもセキュリティ対策はグッと上がるはずです。

みなさんも是非設定してみてください!

ここまで読んでいただきありがとうございました。

 

ではでは(●´ω`●)

 

北海道大学「風」のメールアドレスから変なメールが来ていたから調べてみた。

どもどもにゃんたくです。

 

もうバレンタインですか、そうですか。。。。(´;ω;`)ウッ…

 

さてさてさて、求人を装ったメール(ほとんど英語)はたまに来ていたんですが、添付がzipだったりURLのリンクだったりしていたのでその先は見ないようにしていました。

 

昨晩こんなメールが来ていました。

内容が日本語で書かれており、

差出人のメールアドレスが「hokudai[.]ac[.]jp(北海道大学)」風なトコからきているというのははじめて見ました。

f:id:mkt_eva:20170213075135p:plain

 

件名が「Re:」を使っていかにも返信風を装っているのもアレですが、内容もおかしいなと感じる部分が多いので変だなと感じざるをえません。

 

せっかくなのでこのメールに添付されたリンク(『私たちのサイト』の部分)はなんなのか調べてみました。

 

Gmailでメール内容を確認し、リンクにマウスカーソルを合わせるとリンク先のURLが見えますね。実際はこんな感じです。↓↓↓

f:id:mkt_eva:20170213082356p:plain

 

直接アクセスする気はないので、右クリックで「リンクのアドレスをコピー」し、メモ帳にでも貼り付けておきます。

ちなみに僕はこの後、必ず信頼するサイトや適当な文字列を『Ctrl + C』しておくようにしてます。後でなにか『Ctrl + V』して貼り付ける作業をする時このURLを覚えておくのが嫌だからです。

 

さて、リンク先の情報は得たので以下の3つのサイトを使って実際に調べてみます。

www.virustotal.com

 

urlquery.net

 

www.aguse.jp

 

まずはVirustotalから、

f:id:mkt_eva:20170213084845p:plain

ダウンロードしたファイルの分析、が気になりますね。

その結果はこちら。

f:id:mkt_eva:20170213084928p:plain

1週間前にも誰かが調査したみたいですね。

検出率だけをみると特に問題はなさそうです。

 

さて次。

urlqueryとaguseはサイトに実際に繋がなくても調べてくれるサイトです。

僕は変だなとかおかしいなってサイトを見つけたら必ずこれで調べるようにしています。

 

では各々の結果はこちらです。

urlqueryの結果

f:id:mkt_eva:20170213085348p:plain

 

f:id:mkt_eva:20170213085403p:plain

 

aguseの結果

f:id:mkt_eva:20170213090034p:plain

 

さて、全てで判明したIPアドレスもついでなのでVirusutotalで調べてみましょう。

f:id:mkt_eva:20170213090134p:plain

 

URLは異なりますが、IPに紐づく他のサイトはClean siteとは言われてはいませんね。

まぁこれはあくまでも補足情報ってことで。

 

さてまとめですが、今回このリンク先については良いとも悪いとも僕は正直判断はできませんでした。

ただ、メールアドレスが北海道大学風なアドレスである点は良くないかなと感じました。

 

みなさんもこのような不審なメールが来たらリンク先や添付されているファイルなどは決して開かず即ゴミ箱に入れて完全削除しておくことをオススメします。

 

今回はココまで!(´ε` )

ここまで読んでいただきありがとうございました。

 

ではでは~~~(●´ω`●)

 

2017年1月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

今年ももう一ヶ月経ってしまった。。。。(;´Д`)

 

もういくつ寝ると節分ですよ!節分!!!!

。  鬼はソトォ~~
。゜
 \   ∧_∧
    ∩(∀` )
   ヽ[工]⊂)
    |ヽ |
    (_(_)

 

さて、2017年1月にあったセキュリティのアレコレをまとめてみたのでなにかの参考にしてみてください!

 

 

脆弱性のアレコレ

 

BIND 9に複数のサービス運用妨害 (DoS) の脆弱性

【概要】

BIND 9に複数のサービス運用妨害 (DoS) の脆弱性が存在することが判明した。

JVN(Japan Vulnerability Notes)では『緊急』とし情報公開されている

 

【対象】

各CVE毎に影響のあるBINDのバージョンは以下のとおり

■CVE-2016-9131

 BIND 9.4.0 から 9.6-ESV-R11-W1 まで
 BIND 9.8.5 から 9.8.8 まで
 BIND 9.9.3 から 9.9.9-P4 まで
 BIND 9.9.9-S1 から 9.9.9-S6 まで
 BIND 9.10.0 から 9.10.4-P4 まで
 BIND 9.11.0 から 9.11.0-P1 まで

■CVE-2016-9147
 BIND 9.9.9-P4
 BIND 9.9.9-S6
 BIND 9.10.4-P4
 BIND 9.11.0-P1

■CVE-2016-9444
 BIND 9.6-ESV-R9 から 9.6-ESV-R11-W1 まで
 BIND 9.8.5 から 9.8.8 まで
 BIND 9.9.3 から 9.9.9-P4 まで
 BIND 9.9.9-S1 から 9.9.9-S6 まで
 BIND 9.10.0 から 9.10.4-P4 まで
 BIND 9.11.0 から 9.11.0-P1 まで

■CVE-2016-9778
 BIND 9.9.8-S1 から 9.9.8-S3 まで
 BIND 9.9.9-S1 から 9.9.9-S6 まで
 BIND 9.11.0 から 9.11.0-P1 まで

 

【対策】

最新版へアップデートする
脆弱性の修正されたバージョンは以下のとおり
・BIND 9.9.9-P5
・BIND 9.10.4-P5
・BIND 9.11.0-P2
・BIND 9.9.9-S7

 

【参考情報】

JVNVU#94085539: ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

【セキュリティ ニュース】「BIND 9」に複数の深刻な脆弱性 - キャッシュDNSサーバに影響(1ページ目 / 全1ページ):Security NEXT

 


OpenSSL に複数の脆弱性

【概要】

OpenSSL に複数の脆弱性が存在し、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性がある。

なお、本脆弱性の影響を受けるバージョン「OpenSSL 1.0.1」は2016年末にサポート終了している。

 

【対象】
各CVE毎に影響のあるバージョンは以下のとおり

■CVE-2017-3730
 OpenSSL 1.1.0d より前のバージョン

■CVE-2017-3731
 OpenSSL 1.1.0d より前のバージョン
 OpenSSL 1.0.2k より前のバージョン

■CVE-2017-3732
 OpenSSL 1.1.0d より前のバージョン
 OpenSSL 1.0.2k より前のバージョン

■CVE-2016-7055
 OpenSSL 1.0.2k より前のバージョン

 

【対策】

脆弱性を修正した OpenSSL 1.1.0d および 1.0.2kにアップデートする

 

【参考情報】

JVNVU#92830136: OpenSSL に複数の脆弱性

【セキュリティ ニュース】OpenSSL、複数の脆弱性へ対処したアップデートを公開(1ページ目 / 全1ページ):Security NEXT

 

 

ウェブブラウザ向けCisco WebExの拡張機能脆弱性

【概要】
Windows環境におけるChromeFirefoxInternet Explorer向けの Cisco WebEx拡張機能に第三者による任意のコマンドが実行可能な脆弱性が存在。


【対策】
最新版にアップデートを行う。
ブラウザ毎の最新版情報はこちら。「」内が最新版の番号です。

Google Chrome
 Cisco WebEx Extension:「1.0.7」

Firefox
 ActiveTouch General Plugin Container:「106」

Internet Explorer
 GpcContainer Class ActiveX コントロール:「10031.6.2017.0127」


【参考情報】

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170124-webex

JVNVU#90868591: ウェブブラウザ向け Cisco WebEx 拡張機能に任意のコマンドが実行可能な脆弱性

Cisco WebExのブラウザーアドオンに脆弱性、Google Chrome、Firefox、IEに影響 -INTERNET Watch

 

 

注意喚起やニュース、レポートのアレコレ

 

「Mirai」ボットの亜種等からの感染活動と見られるアクセスが急増

【概要】
警察庁のサイバーフォースセンター(サイバーテロ対策技術室)の定点観測において、「Mirai」の亜種の感染活動と思われる顕著な動きがあったことを発表した。

 

【対象】

「Mirai」ボットや亜種からのアクセスが確認できたポートは以下のとおり

22/TCP
23/TCP
2222/TCP
2323/TCP
6789/TCP
19058/TCP
23231/TCP
37777/TCP

 

【参考情報】

警察庁セキュリティポータルサイト@police

「Mirai」亜種の感染活動に注意、今一度IoT機器の設定確認を - @police | マイナビニュース

 

 

MongoDBを狙ったランサムウェア攻撃が急増

【概要】
貧弱な設定のままで運用(外部公開)されている「MongoDB」データベースに攻撃者が侵入し、データを消去したうえで、復元料として最高1ビットコインを要求する攻撃が急増している。


【参考情報】

HadoopやMongoDBのデータ消去被害が続出、世界各国で - ITmedia ニュース

MongoDB、ハイジャックが急遽に増加 | マイナビニュース

「MongoDB」狙うランサムウェア攻撃で2万7000超のデータベースが被害に--研究者ら報告 - ZDNet Japan

【セキュリティ ニュース】セキュリティ甘い「MongoDB」狙ったランサム攻撃が発生中(1ページ目 / 全2ページ):Security NEXT

 


「OFFICE のプロダクトキーが不正コピーされています」フィッシングメールが出回る

【概要】
「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」という件名で、マイクロソフトを騙るフィッシングメールが出回り、メールに記載されているURLにアクセスすると、フィッシングサイトにつながり、利用者がフィッシングサイトだと気づかず個人情報を入力してしまうと、情報が盗まれる危険性がある。

出回ったのは、1月11日~12日、1月30日~31日の大きく2回で、1月31日に 当該サイトは停止している模様だが、類似サイトが公開される可能性があるため注意が必要。

 

【参考情報】

マイクロソフトを装った不審メールの配信について [1月31日] | News Center Japan

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] マイクロソフトをかたるフィッシング (2017/01/31)

「OFFICEのプロダクトキーが不正コピーされています」、Microsoftをかたるフィッシングメールが出回る -INTERNET Watch

再び出回る「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」、Microsoftをかたるフィッシングメール -INTERNET Watch

「ご注意!!OFFICEのプロダクトキーが不正コピーされています。」に要注意、偽サイトに誘導 - ITmedia エンタープライズ

ご注意!!OFFICEのプロダクトキーが不正コピーされています。フィッシングサイトメモ | (n)inja csirt

 

 

インターネットバンキングマルウェアに感染させるウイルス付メールに注意

【概要】
添付ファイルに写真や文書等を装ったマルウェアを添付し、かつ件名が「注文書」「請求書」「発注書」「様写真」「Re:」「Fwd:」(その他多数)などになっているウイルス付メールが拡散されているとして、JC3(日本サイバー犯罪対策センター)や警視庁が注意喚起をだしている。

 

【対策】
添付ファイルを開かない

 

【参考情報】

注意情報|一般財団法人日本サイバー犯罪対策センター

ウイルス付きメールが今週も拡散中、件名は「事故写真です」「キャンセル完了のお知らせ」「Re:」「Fwd:」などいろいろ、警視庁がTwitterで注意呼び掛け -INTERNET Watch

2017年1月にJC3が注意喚起したウイルス付メール(URSNIF)についてまとめてみた - piyolog

 


フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが改ざんされる

【概要】
フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが「Shin0bi H4x0r」を名乗る攻撃者によって改ざんされた。
フィッシング対策協議会では、対応が完了するまで同サイトへアクセスしないよう注意を呼びかけている。(2017/01/26に中間報告あり)
※日本語版STOP.THINK.CONNECT. ウェブサイトのURLにアクセスすると「Webサイト改ざんに関するお詫び」のページにリダイレクトされる。

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 日本版 「STOP. THINK. CONNECT.」ウェブサイト改ざん被害に関する中間報告

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 日本版 「STOP. THINK. CONNECT.」Webサイト改ざんに関するお詫び

【セキュリティ ニュース】フィッシング対策の啓発サイトが改ざん被害 - アクセス控えるよう注意喚起(1ページ目 / 全1ページ):Security NEXT

「STOP. THINK. CONNECT.」日本版サイト、第三者からの不正アクセスで改ざん -INTERNET Watch

 


大陽日酸サイバー攻撃受け、従業員情報が流出

【概要】
ガス大手の大陽日酸が昨年のはじめごろサイバー攻撃を受け、従業員情報(会社名、氏名、職位、所属先、メアド)約11,000件が流出。

【参考情報】
弊社へのサイバー攻撃に関するお知らせ(大陽日酸
https://www.tn-sanso.co.jp/jp/_documents/info_07830547.pdf

産業ガス大手の情報漏えい事件 : 科学 : 読売新聞(YOMIURI ONLINE)

大陽日酸への不正アクセスについてまとめてみた - piyolog

 


文部科学省が人事情報を省内全職員へ誤送信

【概要】
1月上旬、文科省人事課の職員が、新しく導入したばかりのメールシステムでミスを生じさせたことで、機密の人事情報が同省全職員に誤送信される。
なお、今後秘密保持を要する情報は、メールを使わないようにして紙や口頭でのやり取りに切り替えるとのこと。

 

【参考情報】

「今後、機密情報は紙で」文科省のメール誤送信対策に驚きの声、話を聞いてみた

【セキュリティ ニュース】機密の人事情報を誤って省内全職員へ誤送信 - 文科省(1ページ目 / 全1ページ):Security NEXT

 

 

内閣サイバーセキュリティセンター(NISC)やIPAと「劇場版ソードアート・オンライン・オーディナル・スケール」がタイアップ

【概要】
内閣サイバーセキュリティセンターは、サイバーセキュリティについて、国民一人一人の関心を高め、理解を深めていただくために、『劇場版 ソードアート・オンライン -
オーディナル・スケール-』とタイアップ企画を実施することを決定。サイバーセキュリティ月間(2/1~3/18)のタイアップポスターなども作成、配布された。

 

【参考情報】

『劇場版 ソードアート・オンライン -オーディナル・スケール-』と 内閣サイバーセキュリティセンターがタイアップ![みんなでしっかりサイバーセキュリティ]

サイバーセキュリティ月間[みんなでしっかりサイバーセキュリティ]

 


ソフトバンクコマース&サービスが、IoTデバイス状態を可視化する米ZingBox(ジングボックス)製ソリューションを開始

【概要】
ソフトバンクコマース&サービスが、IoTデバイス状態を可視化する米ZingBox(ジングボックス)製ソリューションを2017年2月10日より提供を開始。
「ZingBox(ジングボックス)」は、企業で使われているIoTデバイス(制御システムや医療機器、監視カメラなど)とその通信の状況を可視化することができるソリューション。

 

【参考情報】

IoT特化型セキュリティソリューション「ZingBox」を国内で初めて提供開始 | ソフトバンク コマース&サービス株式会社 | グループ企業 | 企業・IR | ソフトバンクグループ

【セキュリティ ニュース】ソフトバンクC&S、機械学習でIoT機器の異常を検知「ZingBox」(1ページ目 / 全1ページ):Security NEXT

 

 

SQLインジェクション脆弱性がある日本のサイト400件の情報が中国サイトに投稿されていたことが判明

【概要】
中国の脆弱性情報ポータルサイトWooYunというポータルサイトで、SQLインジェクション脆弱性が存在する日本のウェブサイトが約400件登録されていることが判明し、IPAが注意喚起を行った。なおIPAは、248件のウェブサイトの運営者に対し、ひとまず脆弱性の存在を連絡しているとのこと。
※中国の脆弱性情報ポータルサイトは現在、閉鎖状態

 

【参考情報】

【注意喚起】SQLインジェクションをはじめとしたウェブサイトの脆弱性の再点検と速やかな改修を:IPA 独立行政法人 情報処理推進機構

IPA、Webサイトの脆弱性点検を呼び掛け 中国サイトに約400件の情報登録 - ITmedia エンタープライズ

SQLインジェクションの脆弱性がある日本のサイト400件の情報が中国サイトに投稿されていたことが判明、IPAが注意喚起 -INTERNET Watch

 

今回もここまで読んでいただきありがとうございました。

ではでは~~(「・ω・)「

 

 福はウチィ~~ 。
       ゜。
  ∧_∧  /
 (´∀`)∩
 (つ[工]ノ
 | / |
 (_)_)