にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

Apache Software Foundationから、2017年9月5日、9月7日に脆弱性を修正した最新版のバージョン情報が公開されました。

 

特に、公開された脆弱性(S2-052)(CVE-2017-9805)については対策をしていない場合、攻撃されやすいという事から多数の報道機関より注意喚起がでております。

 

今回表題の脆弱性情報を収集していた際に参考になった情報をまとめました。

 

※注意※
下記情報の中にPoC情報も記載しておりますが、こちらを試行する際はあくまでもクローズドな自環境で行うことを勧めます

 


Apache Software Foundationが公開した最新版情報

▼07 September 2017 - Struts 2.3.34 General Availability

http://struts.apache.org/announce.html#a20170907

 

▼05 September 2017 - Struts 2.5.13 General Availability

http://struts.apache.org/announce.html#a20170905

 


Apache Struts脆弱性番号

S2-050

S2-051

S2-052

S2-053

 


S2-052

【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2017-9805

CVE - CVE-2017-9805

 

【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン


【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34

【参考情報】

S2-052

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構

Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起

JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)

CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 | セキュリティ対策のラック

Apache Strutsに新たな脆弱性「CVE-2017-9805」。企業は直ちに更新プログラムの適用を。 | トレンドマイクロ セキュリティブログ

CVE-2017-9805 - Red Hat Customer Portal

ニュース - Struts 2にまたも深刻な脆弱性、至急対応を:ITpro

Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia NEWS

Apache Strutsに重大な脆弱性 - アップデート推奨 | マイナビニュース

Apache Struts 2が更新--脆弱性は3件 - ZDNet Japan

「Apache Struts」に重大な脆弱性、広範に影響する恐れも--パッチ適用を - ZDNet Japan

 


【PoC情報】

Apache Struts 2.5 < 2.5.12 - REST Plugin XStream Remote Code Execution

 

 

S2-053

【概要】
Freemarkerのタグの処理に脆弱性が存在し、コーディングにおいて意図しない式を使用していた場合、リモートからコードを実行される可能性がある

 

【CVE番号】
CVE-2017-12611

CVE - CVE-2017-12611

 

【対象】
Apache Struts 2.0.1から2.3.33までのバージョン
Apache Struts 2.5から2.5.10までのバージョン


【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34

【参考情報】

S2-053

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構

【セキュリティ ニュース】深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も(1ページ目 / 全1ページ):Security NEXT

「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate” -INTERNET Watch

CVE-2017-12611 - Red Hat Customer Portal


【PoC情報】

GitHub - brianwrf/S2-053-CVE-2017-12611: A simple script for exploit RCE for Struts 2 S2-053(CVE-2017-12611)

 

調査や検証系ブログまとめ

調査やPoC検証を行ったブログやレポートをまとめました。

Struts2のS2-052(CVE-2017-9805)脆弱性のPOCを検証する - conf t

Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する - conf t

今月のApache Strtus 2 のリモートコード実行の脆弱性(S2-052/S2-053) - 生産性のない話

Struts2の脆弱性とPoC(S2-052: CVE-2017-9805, S2-053: CVE-2017-12611) — | サイオスOSS | サイオステクノロジー

CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー

S2-052: CVE-2017-9805(Struts2) PoC with SELinux · OSSセキュリティ技術の会(Secure OSS SIG)

 

 

ちょっと関連性のあるブログ

表題の脆弱性が公開されるちょっと前に偶然(必然?)公開されたブログの内容も今回の脆弱性対策に繋がるものだと思ったので載せておきます。参考にしてみて下さい。

Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog

僕が調べたApacheバージョン判定の小ネタ - とある診断員の備忘録

 

 

以上です。

 

<2017/09/11 AM 新規作成>

<2017/09/14 AM 【調査や検証系ブログまとめ】の項目を追加>

2017年8月に起こったセキュリティニュースのアレコレをまとめてみた。

 どもども、にゃんたくです(「・ω・)「ガオー

 

今年は雨ばっかりで夏らしい夏って感じではない8月でしたね。

8月のにゃんたくは、セキュリティ・キャンプ2017にお邪魔したり、@ITのセキュリティセミナーに参加してみたり、自社のセキュリティインターンシップでLTしてみたりな8月でした。

f:id:mkt_eva:20170901034449j:plain

 

8月の一番の心残りはssmjp100回記念に参加できなかったことだけですね…初参加できそうだったのに…今年もまだssmjpは開催されるみたいですのでそこには参加していこうかと思っております。

(どうやら9月のssmjpはいろいろ『ヤバイ』みたいですよ…→#ssmjp 2017/09 - connpass

 

では、先月2017年8月のまとめです。

 

 

脆弱性のアレコレ

MaLionに複数の脆弱性

【概要】
株式会社インターコムが提供する「MaLion」のエージェントやサーバに、複数の脆弱性が存在。

 

【CVE番号】
CVE-2017-10815
CVE-2017-10816
CVE-2017-10817
CVE-2017-10818
CVE-2017-10819

 

【対象】(CVE番号別)
・CVE-2017-10815
Windows 版 MaLion 5.2.1 以前のバージョン (リモートコントロールをインストールしている場合)
Mac版 MaLion 4.0.1 から 5.2.1 まで (リモートコントロールをインストールしている場合)

・CVE-2017-10816, CVE-2017-10817
Windows 版 および Mac版 MaLion 5.0.0 から 5.2.1 まで

・CVE-2017-10818
Windows 版 および Mac版 MaLion 3.2.1 から 5.2.1 まで

・CVE-2017-10819
Mac 版 MaLion 4.3.0 から 5.2.1 まで

 

【対策】
◯アップデートする
最新版(Ver.5.2.2)へのアップデートを行う

 

【参考情報】

MaLion シリーズの脆弱性につきまして

JVNVU#91587298: MaLion における複数の脆弱性

インターコムの「MaLion」に複数の脆弱性、深刻度は「最大」 - ZDNet Japan

 


Adobe ReaderおよびAdobe Acrobat脆弱性

【概要】
Adobe ReaderおよびAdobe Acrobat に深刻の脆弱性が存在。
※8月8日、29日の2回にわたりアップデート情報が公開された

 

【CVE番号】
多数のため割愛
CVE情報はこちらを参照してください↓

https://helpx.adobe.com/security/products/acrobat/apsb17-24.html

 

【対象】
※各製品別の影響を受けるバージョン情報

Acrobat DC (Continuous Track)
Acrobat Reader DC (Continuous Track)
→バージョン(2017.009.20058) およびそれ以前

Acrobat 2017
Acrobat Reader 2017
→バージョン(2017.008.30051) およびそれ以前

Acrobat DC (Classic Track)
Acrobat Reader DC (Classic Track)
→バージョン(2015.006.30306) およびそれ以前

Acrobat XI
・Reader XI
→バージョン(11.0.20)およびそれ以前


【対策】
◯アップデートする
※各製品別のアップデートバージョン情報

Acrobat DC (Continuous Track)
Acrobat Reader DC (Continuous Track)
→バージョン(2017.012.20098) にアップデート

Acrobat 2017
Acrobat Reader 2017
→バージョン(2017.011.30066)にアップデート

Acrobat DC (Classic Track)
Acrobat Reader DC (Classic Track)
→バージョン(2015.006.30355) にアップデート

Acrobat XI
・Reader XI
→バージョン(11.0.21)にアップデート
※なおAdobe Acrobat XI とReader XIは、2017年10月15日にサポートが終了します

Adobe Acrobat XI と Reader XI のサポートの終了


【参考情報】

Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起

https://helpx.adobe.com/security/products/acrobat/apsb17-24.html

AdobeがAcrobatとReaderをアップデート、8月8日の更新でリグレッション - ITmedia NEWS

Adobe、「Acrobat DC」「Acrobat Reader DC」の定例セキュリティ更新をリリース - 窓の杜

「Flash Player」「Adobe Acrobat」などのセキュリティアップデート公開 -INTERNET Watch

 


Microsoft Windowsのショートカットファイル処理に脆弱性

【概要】
Microsoft Windowsのショートカットファイル処理に脆弱性が存在し、リモートより任意のコードが実行される可能性がある。

 

【CVE番号】
CVE-2017-8464

 

【対象】
Microsoft Windows

 

【対策】
◯アップデートする
Microsoft Update で修正するプログラムがリリース済み
参考情報:https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8464

 

◯SMB通信の遮断
139/tcp、139/udp、445/tcp および、445/udp の外向きの通信を遮断することで緩和

 

【参考情報】

JVNVU#92360223: Microsoft Windows のショートカットファイルで指定されたコードが自動的に実行される脆弱性

Vulnerability Note VU#824672 - Microsoft Windows automatically executes code specified in shortcut files

Windows、任意コード実行のセキュリティ脆弱性 | マイナビニュース

Windowsの脆弱性突くコード公開、米セキュリティ機関が注意喚起 - ITmedia エンタープライズ

 


Apache Tomcat に複数の脆弱性

【概要】
Apache Tomcat に複数の脆弱性が存在し、キャッシュポイズニングや認証回避の影響を受ける可能性がある

 

【CVE番号】
CVE-2017-7674
CVE-2017-7675

 

【対象】(CVE番号別)
・CVE-2017-7674
Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
Apache Tomcat 8.5.0 から 8.5.15 まで
Apache Tomcat 8.0.0.RC1 から 8.0.44 まで
Apache Tomcat 7.0.41 から 7.0.78 まで

 

・CVE-2017-7675
Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
Apache Tomcat 8.5.0 から 8.5.15 まで

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Apache Tomcat 9.0.0.M22
Apache Tomcat 8.5.16
Apache Tomcat 8.0.45
Apache Tomcat 7.0.79

 

【参考情報】

JVNVU#91991349: Apache Tomcat の複数の脆弱性に対するアップデート

【セキュリティ ニュース】「Apache Tomcat」のキャッシュ処理などに脆弱性 - 既存のアップデートで対応済み(1ページ目 / 全1ページ):Security NEXT

 


Drupalに複数の脆弱性

【概要】
Drupalに複数の脆弱性が存在し、エンティティの表示、作成、更新、削除が行われてしまう可能性がある

DrupalコンテンツマネジメントシステムCMS)の一種

 

【CVE番号】
CVE-2017-6925
CVE-2017-6924
CVE-2017-6923

 

【対象】
Drupal 8.3.7よりも以前のバージョン(Drupal 8.x)

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Drupal 8.3.7

 

【参考情報】

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004 | Drupal.org

危険度の高いものを含む複数の脆弱性を修正した Drupal 8.3.7 がリリース | ≡ Drupal Japan ≡

【セキュリティ ニュース】「Drupal」に深刻な脆弱性 - 更新を強く推奨(1ページ目 / 全1ページ):Security NEXT

 


baserCMSに複数の脆弱性

【概要】
baserCMSに複数の脆弱性が存在し、SQLインジェクションや任意のファイル削除やPHPコードが実行されるなどの可能性がある。

 

【CVE番号】
CVE-2017-10842
CVE-2017-10843
CVE-2017-10844

 

【対象】
baserCMS 3.0.14 およびそれ以前のバージョン
baserCMS 4.0.5 およびそれ以前のバージョン

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
baserCMS 3.0.15
baserCMS 4.0.6

 

【参考情報】

「baserCMS」における SQL インジェクションの脆弱性(JVN#78151490):IPA 独立行政法人 情報処理推進機構

JVN#78151490: baserCMS における複数の脆弱性

SQLインジェクションをはじめとする複数の脆弱性 | baser CMS - 国産オープンソース!フリー(無料)でコンテンツ管理に強いCMS

2017年8月23日配布 修正パッチ一覧 | baser CMS - 国産オープンソース!フリー(無料)でコンテンツ管理に強いCMS

【セキュリティ ニュース】「baserCMS」にPHPコードの実行やDB操作が可能となる脆弱性(1ページ目 / 全1ページ):Security NEXT

 


Rufusのアップデート処理に脆弱性

【概要】
Akeo Consultingが提供するRufusのアップデート処理に脆弱性が存在し、外部から任意のコードを実行される可能性がある。
Rufus:起動可能なISOイメージを元にブートUSBを作成することができるソフト

 

【CVE番号】
CVE-2017-13083

 

【対象】
Akeo Consulting Rufus 2.16

 

【対策】
ワークアラウンドを行う
当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベンダサイトより更新データを取得してアップデートを行

 

【参考情報】

JVNVU#98866977: Rufus に更新がセキュアに行われない脆弱性

 


Wiresharkに複数の脆弱性

【概要】
Wiresharkのバージョン2.4.1が公開され、いくつかの不具合や脆弱性が修正された
※旧安定版のバージョン2.2や2.0でもアップデート情報が公開されている

 

【CVE番号】
CVE-2017-13764
CVE-2017-13765
CVE-2017-13766
CVE-2017-13767

 

【対象】(CVE番号別)
・CVE-2017-13764
Wireshark2.4.0

 

・CVE-2017-13765
Wireshark2.4.0,2.2.0〜2.2.8,2.0.0〜2.0.14

 

・CVE-2017-13766
Wireshark2.4.0,2.2.0〜2.2.8

 

・CVE-2017-13767
Wireshark 2.4.0,2.2.0〜2.2.8,2.0.0〜2.0.14

 

【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Wireshark 2.4.1
Wireshark 2.2.9
Wireshark 2.0.15

 

【参考情報】

Wireshark · Wireshark 2.4.1, 2.2.9, and 2.0.15 Released

Wireshark · Wireshark 2.4.1 Release Notes

「Wireshark」v2.4系に初めてのアップデート 〜オープンソースのネットワーク解析ツール - 窓の杜

 

WordPressプラグイン脆弱性まとめ

【概要】
8月にJVN脆弱性レポートで公開されたWordPressプラグイン脆弱性まとめ

 

【参考情報】

JVN#58559719: WordPress 用プラグイン BackupGuard におけるクロスサイトスクリプティングの脆弱性

 

 

注意喚起やニュースのアレコレ

「STOP!!パスワード使い回し!!キャンペーン2017」がスタート

【概要】
複数のインターネットサービスで同じパスワードを使い回さないよう呼びかける「STOP!!パスワード使い回し!!キャンペーン2017」がスタート。

 

【参考情報】

STOP!!パスワード使い回し!!キャンペーン2017

 


ディノス・セシールが複数回パスワードリスト攻撃を受ける

【概要】
ディノス・セシール、が複数回にわたりパスワードリスト攻撃を受けたことを発表した。

 

【参考情報】
弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて(PDF)

https://www.dinos-cecile.co.jp/pdf/topics_20170824-2.pdf

【セキュリティ ニュース】わずか1分11回のみの不正ログイン攻撃受ける - ディノス・セシールが公表(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ディノス・セシール、再度パスワードリスト攻撃を検知(1ページ目 / 全2ページ):Security NEXT

 


日本シーサート協議会が初のイベントを開催

【概要】
日本シーサート協議会が設立10周年の記念イベント「NCA 10th Anniversary Conference『絆』」を開催した

 

【参考情報】

NCA 10th Anniversary Conference

CSIRT - 日本シーサート協議会

【セキュリティ ニュース】日本シーサート協議会の初イベント、新旧の交流の場に - テーマは「絆」(1ページ目 / 全3ページ):Security NEXT

 


ITパスポート試験」に9歳が合格

【概要】
国家試験である「ITパスポート試験」に9歳が合格し、最年少合格記録を更新

 

【参考情報】

プレス発表 ITパスポート試験に9歳(小学4年生)が2名合格:IPA 独立行政法人 情報処理推進機構

IT国家試験「ITパスポート試験」に9歳が合格 - ねとらぼ

「ITパスポート試験」9歳が合格 最年少記録更新 - ITmedia NEWS

【やじうまPC Watch】IPAの「ITパスポート試験」に小学4年生が合格 ~最年少記録を更新 - PC Watch

 


韓国のNetSarang Computerが提供するツールにマルウェアが仕込まれる

【概要】
韓国のNetSarang Computerが提供するサーバ管理ソフトウェアのアップデートが改ざんされ、バックドアマルウェアが仕込まれてしまうことが判明した。
なお、本脆弱性を修正したビルドは公開されており、アップデートが推奨される。

 

【参考情報】

Security Exploit in July 18, 2017 Build | News & Notice

Kaspersky Lab、世界数百の大企業が使用する正規ソフトウェアのアップデートにバックドアを仕込んだ「ShadowPad」を発見 | カスペルスキー

正規のソフトウェアアップデートにマルウェア、法人顧客に配信 - ITmedia エンタープライズ

ShadowPad in corporate networks - Securelist

サーバ管理ツールにバックドア--香港で被害発生 - ZDNet Japan

 


「OpenSSL」の脆弱性が存在する岡山県真庭市のサーバに不正アクセス

【概要】
「OpenSSL」の脆弱性が存在する岡山県真庭市DNSサーバやメールサーバとして公開されているサーバに不正アクセスを受けた。
鳥取・岡山自治体情報セキュリティクラウド業務実施共同企業体」からの監視報告により被害に気づいたとのこと。

 

【参考情報】
8月21日付プレスリリース - 岡山県真庭市(PDF)

http://www.city.maniwa.lg.jp/webapps/open_imgs/info//0000001297_0000038083.pdf

真庭市サーバーに不正アクセス 情報漏えいや業務に影響なし: 山陽新聞デジタル|さんデジ

【セキュリティ ニュース】真庭市のサーバに不正アクセス - 「OpenSSL」の脆弱性が標的に(1ページ目 / 全1ページ):Security NEXT

 


エイチ・アイ・エス(HIS)の国内バスツアー予約サイトから約1.2万人分の予約個人情報が流出

【概要】
エイチ・アイ・エス(HIS)の国内バスツアー予約サイトのリニューアル作業(予約データの移行)に問題があり、約1.2万人分の予約個人情報が流出した。

 

【参考情報】
国内バスツアーサイトからのお客様情報流出について(PDF)

http://www.his.co.jp/material/pdf/n_co_20170822.pdf

HIS、最大1万人超の個人情報流出 バスツアー予約サイトから - ITmedia NEWS

ニュース - HISで情報漏洩、バスツアー客の予約情報が流出:ITpro

HISが個人情報流出、最大1万1975人分 住所など:朝日新聞デジタル

 


2017年8月25日に日本国内で大規模な通信障害が発生

【概要】
2017年8月25日に日本国内で大規模な通信障害が発生し、多数のWebサイトに接続ができない、つながらない等の事象が発生した。

 

【参考情報】

ニュース解説 - 米グーグルの設定ミス、なぜ日本の大規模ネット障害を引き起こしたのか?:ITpro

ニュース解説 - 大規模ネット障害になっても不思議じゃない?「BGP」の仕組みとリスク:ITpro

大規模な接続障害、Googleが謝罪 「ネットワークの誤設定」原因 - ITmedia NEWS

米グーグルが謝罪=原因は誤設定-ネット接続障害:時事ドットコム

8月25日に発生した大規模通信障害をまとめてみた - piyolog

20170825_大規模障害 - Hack japan

Yoshinobu Matsuzaki on Twitter: "08/25の通信障害の件、これまでに調べたことを資料にまとめてみたよ。
https://t.co/8xtGBHgPmf"

https://www.attn.jp/maz/p/t/pdf/20170825-routeleakage.pdf

 


OpKillingBayの2017年度ターゲットリストが公開

【概要】
アノニマスのオペレーション名「OpKillingBay」の2017年度のターゲットリストが公開された。
※ただし、ターゲットリスト以外にも攻撃を行う可能性あり

 

【参考情報】

OpKillingBay 2017 メモ | (n)inja csirt

2017年の海洋動物保護のオペレーションに係る動きについてまとめてみた - piyolog

2017/08 - Hack japan

 


「Black Hat USA 2017」「Defcon 25」が開催(開催は2017年7月末)

【概要】
セキュリティカンファレンスの「Black Hat USA 2017」「Defcon 25」がアメリカのラスベガスで開催された

Black Hat USA 2017

DEF CON® 25 Hacking Conference

 

【参考情報】
※参加報告の記事やブログが8月に公開されていることが多かった

ASCII.jp:自作攻撃再現ツールを引っさげDEF CONへ、マクニカネットワークス凌氏|Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート

ASCII.jp:Black Hatの大舞台で自作ツールを発表、NTTセキュリティ羽田氏|Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート

2017年のBlack HatとDEF CONで発表された恐るべきハッキングの数々 - ZDNet Japan

Blackhat USA 2017 | MBSD Blog

Black Hat USA 2017 & Defcon 25 参加報告(Web編) | MBSD Blog

Black Hat USA 2017とDEFCON 25に参加してきました。 | セキュリティ対策のラック

 

 

セキュリティレポートやブログのアレコレ

仮想通貨取引所等のウェブサイトがインターネットバンキングマルウェア「DreamBot」の標的となるおそれについて

【公開ページ】

https://www.jc3.or.jp/topics/dces.html


【企業・団体】
日本サイバー犯罪対策センター(JC3)

 

Microsoft Windows 製品の Windows Shell の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-8464)に関する調査レポート

【公開ページ】

https://www.softbanktech.jp/information/2017/20170815-01/

 

【企業・団体】
ソフトバンク・テクノロジー株式会社

 

セキュリティ知識分野(SecBoK)人材スキルマップ2017年版

【公開ページ】

http://www.jnsa.org/result/2017/skillmap/index.html

 

【企業・団体】
日本ネットワークセキュリティ協会JNSA


インターネット上に公開されてしまったデータベースのダンプファイル(2017-08-08)

【公開ページ】

http://www.jpcert.or.jp/magazine/irreport-Unsecured_Databases.html

 

【企業・団体】
JPCERT コーディネーションセンター


マルウエアDatperをプロキシログから検知する(2017-08-17)

【公開ページ】

http://www.jpcert.or.jp/magazine/acreport-datper.html


【企業・団体】
JPCERT コーディネーションセンター


TheShadowBrokersの "Data Dump of the Month" サービス

【公開ページ】

http://negi.hatenablog.com/entry/2017/08/31/222308


【企業・団体・作成者】
Masafumi Negishiさん(https://twitter.com/MasafumiNegishi

 

 

以上です。

季節の変わり目なので風邪など引かないように!

.  ∧∧      
  (*・ω・) 
  _| ⊃/(___    
/ └-(____/

 

 

セキュリティで大事なのはロシア語なのかもしれない?

Очень много, это NyanTaku(「・ω・)「ガオー

(※どうも、にゃんたくです(「・ω・)「ガオー)

f:id:mkt_eva:20170815085901j:plain

 

 

はい、今とっても頭が回っていないのですが、なんとなくブログが書きたくなったから書いています。ブログってそういうもんですよね?( ˘ω˘)スヤァ

あ、今回のブログ、ゴールが特に無いです。(おいおい)

 

さていきなりですが、先日Twitterでこんなリプライをいただきました。 

 

※この場をお借りしてですが、Autumn Good さん(@autumn_good_35)、リプありがとうございました。

 

まずこのニュース内容はなにかというと、今年6月後半に世間を騒がせたNotPetya(Goldeneye)というマルウェアを拡散させたという疑いでウクライナの警察が51歳の男を逮捕したというニュース内容でした。

 

このニュースについて日本語で報道されているのは現在(現在時刻:2017年8月15日AM9時)ITmediaのこちらの記事だけではないでしょうか。

www.itmedia.co.jp

 

実はこのニュースを僕が知ったのは以下の記事を読んだ8月10日の夜遅くでした。

www.zdnet.com

 

 

僕はこの時てっきりこのニュースが「最初の」報道だと勝手に思っていたんです。

しかしながら、冒頭にも載せましたが、Autumn Good さんのリプライで実はもっと前に報道されていたということが判明しました。それがこちらの記事です。

podrobnosti.ua

 

Autumn Good さんのつぶやきでもこの報道の同日にツイートされていました。

 

この時点で「Autumn Good さん凄すぎないか!!!」と思う方もいらっしゃるのではないでしょうか。その意見、まったくもって同意見です。

 

つまりなにがいいたいかを時系列で並べてみます。

 

2017年8月7日に現地(ロシア語)で報道される

2017年8月10日、11日に英語で報道される

2017年8月14日に日本語で報道される

 

つまり、実際の報道から日本語報道されるまで1週間のタイムラグがあったということです。

ただ、今回日本では8月11日の金曜日が祝日だったため、日本の報道各社がお休みであったことももちろん原因の1つであることはわかっています。

 

こんなことを書くと「何だお前、日本の報道各社に喧嘩売ってんのか」と思われるかもしれませんが、決してそうではありません。むしろ、一番僕が頼っているのは日本の報道各社が報道してくれるセキュリティニュースや記事なんです。

 

じゃあなにがいいたいのか。

 

このセキュリティ業界で仕事していくには色んな能力や知識が必要であることは言わずと知れたことかと思います。

 

その中で「英語力」が必要なんてことがよく言われています。(ロシア語どこいった)

 

僕もそう思いますし、セキュリティ情報の殆どが英語で書かれているため、英語力は必須かと思われます。(ロシア語どこいったPart2)

 

まぁ僕は英語が苦手なんですが、最近はなるべく英語に触れるようにしています。(ロシア語どこいったPart3)

 

そうすることで英語の記事もなんとなくですが内容つかめるようになってきた感があります。もちろんGoogle先生には毎回お世話になっていますけどね、ははは。(白目)

 

と、思っていたんですが、今回の報道の流れを見るとちょっとロシア語なんかもかじってたたほうが良いのかななんて思ったり思わなかったりしました。

 

(そもそも英語でもロシア語でも日本語ではない言語の報道を収集できるか、が大事なことでもあるような気もしますが)

 

いやほら、APT28(Fancy Bear、Sofacy)関連のニュースとかもよく見るじゃないですか、ね?

 

そういやほらカスペルスキーもロシアでしょ?

 コミケにまで出展してるじゃないですかヤダー

 

それにたまに攻撃コードにロシア語が含ま(ここで文章が途切れている

 

というわけで、今日はこのへんで。

最後までグダグダで申し訳なかったです。

 

До свидания!(ダ スヴィダーニャ!)

(また、会うときまで!) 

 

2017年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

とうとう8月になってしまいましたね。

夏ですよ、夏。

夏好きな僕としては8月に入った瞬間から「もう夏終わっちゃうじゃん・・・」なんてブルーな気持ちになっちゃったりしてますよ。

 

そうそう、ありがたいことにこのブログですが、Google検索で「セキュリティ ニュース」や「セキュリティ ニュース 2017」でググってみると、1ページ目に載るようになってきました。

これもひとえに、読んでくれている皆さんやTwitter等で拡散していただく皆さんのおかげであると、心から感謝しております。

より一層、皆さんにとってなにかの参考になれるようなブログを発信していきたいと思っておりますので、今後ともなにとぞ「にゃんたくのひとりごと」をよろしくお願いいたします。

 

では、先月2017年7月のまとめです。

 


脆弱性のアレコレ

Apache Struts 2 に脆弱性 (S2-048)

【概要】
Apache Struts2 において、Struts1 プラグインを使用するアプリケーションには任意のコードが実行可能な脆弱性が存在し、アプリケーションの権限で任意のコードを実行される可能性がある

【CVE番号】
CVE-2017-9791

【対象】
Struts 2.3 系で Struts1 プラグインを使用して動作するアプリケーション

【対策】
ワークアラウンドを実施する
showcase アプリケーションの修正方法を参考に、ActionMessage クラス(のコンストラクタ)への入力処理を適切に行う

【参考情報】

Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起

JVNVU#99376481: Apache Struts2 の Struts1 プラグインを使用するアプリケーションに任意のコードが実行可能な脆弱性

JVNDB-2017-004912 - JVN iPedia - 脆弱性対策情報データベース

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構



Cisco WebEx Browser Extension に脆弱性

【概要】

WebExのAPIレスポンスパーサーの設計に脆弱性が存在し、ユーザーに不正なウェブページを閲覧させることで、リモートから任意のコードを実行される可能性がある

【CVE番号】
CVE-2017-6753

【対象】
Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)

※以下対象は本脆弱性の影響を受けない
Cisco WebEx Productivity Tools
Cisco WebEx browser extensions for Mac or Linux
Cisco WebEx on Microsoft Edge or Internet Explorer

【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Cisco WebEx extension on Google Chrome (1.0.12)
Cisco WebEx extension on Mozilla Firefox (1.0.12)

【参考情報】

Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起

Cisco WebEx Browser Extension Remote Code Execution Vulnerability

Cisco WebExのブラウザーアドオンに脆弱性、Google Chrome、Firefox、IEに影響 -INTERNET Watch

「WebEx」プラグインの脆弱性はFirefoxとIEにも影響、Ciscoが更新版で対処 - ITmedia エンタープライズ



Oracle Java脆弱性

【概要】
JRE脆弱性が存在し、攻撃者に悪用されると、任意のコード(命令)が実行され、コンピュータを制御される可能性がある
JRE (Java Runtime Environment) は、Java プログラムを実行するためのソフトウェア実行環境です。

【CVE番号】
CVE-2017-10110等

【対象】
Oracle Java SE 8 Update 131
Oracle Java SE 7 Update 141
Oracle Java SE 6 Update 151
Oracle Java SE Embedded 8 Update 131

 

【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Java SE JDK/JRE 8 Update 141

Java SE - Downloads | Oracle Technology Network | Oracle

 

【参考情報】

2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Oracle Java の脆弱性対策について(CVE-2017-10110等):IPA 独立行政法人 情報処理推進機構

Oracle、32件の脆弱性を修正した「Java SE 8 Update 141」を公開 - 窓の杜

【セキュリティ ニュース】「Java SE」の脆弱性31件を解消するアップデート - Oracle(1ページ目 / 全1ページ):Security NEXT

 

 

Sambaに脆弱性(Orpheus’ Lyre)

【概要】

 SambaのHeimdal Kerbarosの実装に脆弱性が存在し、リモートから攻撃を受ける可能性がある
この脆弱性名は「Orpheus’ Lyre(オルフェウスの竪琴)」と名づけられた

 

【CVE番号】
CVE-2017-11103

 

【対象】
Samba 4.0.0以降のすべてのバージョン

 

【対策】

アップデートする

 

【参考情報】

【セキュリティ ニュース】MS、脆弱性「Orpheus’ Lyre」に7月の月例パッチで対応済み(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Samba 4.0」以降に深刻な脆弱性「Orpheus’ Lyre」 - 「Heimdal」実装で影響(1ページ目 / 全1ページ):Security NEXT

Sambaに権限昇格の脆弱性(CVE-2017-11103) — | サイオスOSS | サイオステクノロジー

Orpheus' Lyre

Sambaに脆弱性 - Heimdal Kerbarosの影響はほかにも | マイナビニュース

 


WordPressプラグイン脆弱性まとめ

【概要】

7月にJVN脆弱性レポートで公開されたWordPressプラグイン脆弱性まとめ

 

【参考情報】

JVN#39819446: WordPress 用プラグイン Responsive Lightbox におけるクロスサイトスクリプティングの脆弱性

JVN#63249051: WordPress 用プラグイン Shortcodes Ultimate におけるディレクトリトラバーサルの脆弱性

JVN#92921024: WordPress 用プラグイン Popup Maker におけるクロスサイトスクリプティングの脆弱性

JVN#31459091: WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティングの脆弱性

 

 

注意喚起やニュースのアレコレ

「675」から始まる不審な着信に注意

【概要】
「+675」から始まるパプアニューギニアからの不審な国際電話の着信が相次ぎ、携帯各社が着信履歴に心当たりがない場合は折り返しの電話をしないように呼びかけた

【参考情報】

「+675」から始まる不審な国際電話の着信に関するご注意 | 個人のお客さまへのお知らせ | お知らせ | モバイル | ソフトバンク

「+675」、パプアニューギニアからの不審な電話に要注意 | マイナビニュース

【セキュリティ ニュース】「675」から始まる着信履歴に注意 - 折返電話で高額料金のおそれ(1ページ目 / 全2ページ):Security NEXT



「Joomla! 3.7.4」がリリース

【概要】
「Joomla! 3.7.3」および以前のバージョンに見つかった重要度は「高(high)」の脆弱性2件を修正した「Joomla! 3.7.4」がリリースされた

 

【参考情報】

Joomla! 3.7.4 Release

【セキュリティ ニュース】2件の脆弱性を解消した「Joomla! 3.7.4」がリリース - 複数バグにも対応(1ページ目 / 全1ページ):Security NEXT

 

「Yahoo!ツールバー」が10月31日にサポート終了

【概要】
ブラウザ向け拡張機能「Yahoo!ツールバー」のサポートを10月31日に終了するとヤフーが発表した。
※なお、「Yahoo!ツールバー」のインストーラ脆弱性が存在していることが2017年7月に発表されている

【参考情報】

「Yahoo!ツールバー」の提供が10月で終了 数年前からChrome、Firefoxなどで利用できない状態に - ねとらぼ

ヤフー、Yahoo!ツールバーを10月31日で終了 | マイナビニュース

【セキュリティ ニュース】「Yahoo!ツールバー」のインストーラに脆弱性(1ページ目 / 全1ページ):Security NEXT

JVN#02852421: Yahoo!ツールバー (Internet explorer 版) のインストーラにおける任意の DLL 読み込みの脆弱性

 


「ネットワークビギナーのための情報セキュリティハンドブック」が国内27の電子書店で無料配布

【概要】
政府が「ネットワークビギナーのための情報セキュリティハンドブック」の電子書籍を国内27の電子書店で無料配布を行い、夏休みを控えた小中高生がセキュリティ対策について学べれるようにとのこと。

【参考情報】

「ネットワークビギナーのための情報セキュリティハンドブック」電子書籍の無料配信を開始[みんなでしっかりサイバーセキュリティ]

NISC、「ネットワークビギナーのための情報セキュリティハンドブック」を全154ページに改訂し、無料で提供 -INTERNET Watch

 


ランサムウェア対策ツール「Cybereason RansomFree」の日本語版が無償提供

【概要】
サイバーリーズン・ジャパンはランサムウェア対策ツール「Cybereason RansomFree」の日本語版の無償提供を開始した。

【参考情報】

RansomFree by Cybereason

無償ランサムウェア対策ツール「Cybereason RansomFree」に日本語版が登場 - 窓の杜

RansomFree(ランサムフリー)日本語版をリリース | サイバーリーズン公式ブログ

サイバーリーズンのRansomFree (ランサムフリー)が WannaCry を駆除する動画 | サイバーリーズン公式ブログ

 

 

無償のアンチウイルスソフトKaspersky Free」が全世界リリース

【概要】
Kaspersky Labが、無償のアンチウイルスソフトKaspersky Free」を全世界リリースに提供すると発表

 

【参考情報】

Kaspersky Free antivirus launches globally to secure the whole world – Kaspersky Lab official blog

カスペルスキー、無償アンチウイルスソフトを全世界リリース - 窓の杜

カスペルスキー、無料のウイルス対策ソフトを世界でリリースへ - ZDNet Japan

Kaspersky、無償のアンチウイルスソフト「Kaspersky Free」公開 | マイナビニュース

 


Appleが「iOS 10.3.3」をリリース

【概要】
CVE番号ベースで47件の脆弱性を修正した、「iOS 10.3.3」がリリースされた。

 

【参考情報】

iOS 10.3.3 のセキュリティコンテンツについて - Apple サポート

Apple、「iOS 10.3.3」をリリース ~CVE番号ベースで47件の脆弱性を修正 - 窓の杜

「iOS 10.3.3」がリリース--バグ修正、セキュリティ改善 - CNET Japan

JVNVU#91410779: 複数の Apple 製品における脆弱性に対するアップデート

 

 

Apple、複数のMac向けのセキュリティアップデートをリリース

【概要】
CVEベースで37件の脆弱性を修正した、Mac向けのセキュリティアップデートがリリースされた。
リリースされたものは以下のとおり
macOS Sierra 10.12.6
・Security Update 2017-003 El Capitan
・Security Update 2017-003 Yosemite

 

【参考情報】

macOS Sierra 10.12.6、セキュリティアップデート 2017-003 El Capitan、セキュリティアップデート 2017-003 Yosemite のセキュリティコンテンツについて - Apple サポート

Apple、「macOS Sierra 10.12.6」をリリース ~CVE番号ベースで37件の脆弱性を修正 - 窓の杜

【セキュリティ ニュース】Apple、「macOS Sierra 10.12.6」などセキュリティアップデート(1ページ目 / 全1ページ):Security NEXT

JVNVU#91410779: 複数の Apple 製品における脆弱性に対するアップデート

 


ソフトバンク・テクノロジー不正アクセス、「仮想通貨採掘プログラム」のインストールを目的とした攻撃か

【概要】
ソフトバンク・テクノロジーの保有する保守契約管理システムの検証サーバで仮想通貨採掘プログラムによる不正アクセスが見つかったが、情報流出の形跡は確認されなかった

 

【参考情報】

不正アクセスによる情報流出の可能性に関するお知らせとお詫び(第一報)|ソフトバンク・テクノロジー株式会社 企業情報

不正アクセスによる情報流出の可能性に関する詳細調査のご報告(第二報)|ソフトバンク・テクノロジー株式会社 企業情報

ソフトバンク・テクノロジー、不正アクセスで調査報告 - ZDNet Japan

ニュース - ソフトバンク・テクノロジーに不正アクセス、4071社の情報が流出の可能性:ITpro

ソフトバンク・テクノロジーに不正アクセス、仮想通貨マイニング目的か | マイナビニュース

仮想通貨マイニング目的か 不正アクセスで採掘プログラム仕込まれる ソフトバンク・テクノロジー - ITmedia NEWS

 


マイクロソフトが、定例外でOutlook向け臨時パッチを緊急公開

【概要】
Outlook向けに、脆弱性3件を修正する定例外のセキュリティ更新プログラム(臨時パッチ)を公開した。

【対象】
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2010 Service Pack 2
Microsoft Outlook 2013 Service Pack 1
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2016

 

【参考情報】

Outlook の脆弱性を修正するセキュリティ更新プログラムを定例外で公開 – 日本のセキュリティチーム

Outlookに脆弱性、マイクロソフトが臨時パッチ公開 - ZDNet Japan

Microsoft、定例外でOutlook向けパッチを緊急公開、脆弱性3件を修正 -INTERNET Watch

 


総務省、史上初のルートゾーンKSKの更新に伴いDNSの設定更新を呼びかけ

【概要】
総務省ICANNが、史上初の電子署名の正当性を検証するために使う暗号鍵の中で最上位の鍵であるルートゾーンKSKの更改を実施するため、キャッシュDNSサーバの設定更新を行うように呼びかけた。

 

【参考情報】

総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

ルートゾーンKSKのロールオーバー - ICANN

https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf

ルートゾーンKSKロールオーバーによる影響とその確認方法について(2017年7月25日更新)

ニュース解説 - DNSが使えなくなるトラブル、9月19日に発生する恐れ:ITpro

ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意 - INTERNET Watch

 


ユーザーに電子マネーの送金求める、警察庁装う偽サイトが出現

【概要】
ユーザーが違法行為をしたとして「罰金」を要求する、警察庁を装った偽サイトが出現した。
全画面表示をOFFにする「F11 」キーを押せば解除できる。

 

【参考情報】

警察を偽装したネット詐欺を国内で新たに確認 | トレンドマイクロ セキュリティブログ

警察庁の偽サイト現る 「違反行為した」と“罰金”要求 - ITmedia NEWS

警察庁の偽サイトが見つかる、幼児猥褻・動物虐待コンテンツを見ようとした違反金として2~5万円をiTuneカードで請求 -INTERNET Watch

 


macOSをターゲットにしたマルウェア「FruitFly」の存在が明らかに

【概要】
「FruitFly」と呼ばれる、Mac端末を標的にしたマルウェアが数年間検知されずにいたことが明らかになった

 

【参考情報】

macOS向けバックドア「FruitFly」に注意 | マイナビニュース

Macに感染する「謎のウイルス」 ウェブカメラで人々を監視 | Forbes JAPAN(フォーブス ジャパン)

専門家からも数年間気づかれなかったMac向けスパイウェア「Fruitfly」 - iPhone Mania

数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」 - GIGAZINE

 

 

Nortonノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になる

【概要】
シマンテック製セキュリティーソフトのNortonノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になった

【参考情報】

ノートンが「Impress Watch」を誤ブロック - ITmedia NEWS

 

 

 

 

 


セキュリティレポートやブログのアレコレ


組織における標的型攻撃メール訓練は実施目的を明確に

【公開ページ】

http://www.ipa.go.jp/security/anshin/mgdayori20170731.html

 

【企業・団体・作成者】
IPA独立行政法人情報処理推進機構

 

 

WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境

【公開ページ】

http://www.ipa.go.jp/security/anshin/mgdayori20170713.html

 

【企業・団体・作成者】
IPA独立行政法人情報処理推進機構

 

MBR破壊型ランサムウェアの特徴比較

【公開ページ】

MBR破壊型ランサムウェアの特徴比較 | MBSD Blog

【企業・団体・作成者】
三井物産セキュアディレクション

 


日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン)

【公開ページ】

日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン) | サイバーリーズン公式ブログ

 

【企業・団体・作成者】
サイバーリーズン・ジャパン株式会社

 


JSOC INSIGHT vol.16

【公開ページ】

JSOC INSIGHT vol.16 | LAC WATCH | 株式会社ラック

 

【企業・団体・作成者】
LAC

 


訓練やっても意味がない!?
~標的型攻撃メール訓練を実施する目的~

【公開ページ】

訓練やっても意味がない!?~標的型攻撃メール訓練を実施する目的~ | LAC WATCH | 株式会社ラック

 

【企業・団体・作成者】
LAC

 


(翻訳)セキュリティで飯食いたい人向けの行動指針

【公開ページ】

(翻訳)セキュリティで飯食いたい人向けの行動指針 - Got Some \W+ech?

 

【企業・団体・作成者】
Ken¥dさん(https://twitter.com/ken5scal

 

 

以上です。

ではでは皆さん夏バテしないように。

      _________
      /     \
    /   ⌒  ⌒\
   /   ( ⌒)  (⌒)\
   i  ::::::⌒ (__人__) ⌒:: i   
   ヽ、    `ー '   /
     /     ┌─┐
     i   丶 ヽ{ .茶 }ヽ
     r     ヽ、__)一(_丿
     ヽ、___   ヽ ヽ 
     と_____ノ_ノ

 

SAUCS(脆弱性管理サイト)を実際に使ってみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

Twitterをぽけーっと見ていたらこんなツイートが目に入ってきました。

 

 

 

 


(・ω・)『脆弱性管理サイト…なんか面白そうだぞ…(ざわ…ざわ…)』

 


というわけでユーザ登録してみて早速どんなサイトなのかチェックしてみました。

ユーザ登録に必要なのは、ID、パスワード、メールアドレスになります。

 

ログイン先URLはこちら↓

https://www.saucs.com/login

 

登録が完了し、ログインするとこんなページが表示されます。

f:id:mkt_eva:20170712015321p:plain

 

なんもないじゃん!!!!!!!(;´Д`)

 

というわけで、「VENDORS」と「PRODUCTS」を設定をまずは設定していきます。

上記画面に載っている「vendors and products」のリンク先に飛ぶと、VENDORSのTOP20やVENDERSの検索画面がありますので、そこから自分の気になったものをチョイスしてみます。

 

僕なりにチョイスしてみた感じはこんな感じです。

f:id:mkt_eva:20170712021840p:plain

 

それっぽくなってきましたね。

ただ、「Trendmicro」と「Trend Micro」があったり、McafeeKasperskyも2種類くらいあったりと1つのベンダー情報が1つに統一されていない感じがしました。

あ、「PRODUCTS」については、とりあえずStrutsだけ登録しておきました。

 

とりあえずDashboardはこれで完成です。これで登録した「VENDORS」と「PRODUCTS」の情報だけは自動的に引っこ抜くことができました。

 

ちなみにこのDashboard以外にも、CVE,、Vendors、CWEの情報を見ることができます。

f:id:mkt_eva:20170712022210p:plain

 

あ、、、ちなみにCWEってしっかり理解できていなかったのでこちらを参考にしてみました。

www.ipa.go.jp

 

 

さて、せっかくなので話題になった脆弱性の情報を調べてみました。

今回調べてみた脆弱性(CVE番号)は以下の2つです。

・CVE-2017-5638

JVNVU#93610402: Apache Struts2 に任意のコードが実行可能な脆弱性

・CVE-2014-0160

JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

 

どちらも話題になった脆弱性ですよね。

 

SAUCSで調べる場合は、SAUCS画面右上のSearchにCVE番号を入れて検索するのが一番手っ取り早く情報を引っ張れる方法だと感じました。

(※Vulnerabilities (CVE)からFILTERで検索をかけてもうまくいきませんでした(´;ω;`)ウッ…僕の検索能力が低いのかな…)

 

では、上記2つの脆弱性について得られた結果です。

・CVE-2017-5638

f:id:mkt_eva:20170712023446p:plain

 

・CVE-2014-0160

f:id:mkt_eva:20170712023542p:plain

 

画面が小さくて申し訳ないですが、脆弱性の情報やCVSSスコア、影響を受けるバージョン情報、参考情報のリンク等を確認することができました。

 

さて、最後に。

プロフィールでは、パスワードの変更、メールアドレスの変更、メールで通知を受け取るかの有無を設定することができます。

また、「VENDORS」と「PRODUCTS」で自分がチョイスしたものを一括で管理することが可能です。

こんな感じ↓(画面小さくてすいません)

f:id:mkt_eva:20170712024208p:plain

 

 

SAUCSの使い方はまだまだあるかと思いますが、まずはどんな感じで使えるのかを今回はまとめてみました。

僕もまだ使い出したばっかりなので、これから試行錯誤しながら使ってみますね。

 

SAUCSを使ってみたい!って人のなにかの参考にしていただけたら幸いです。

 

ではでは!( ˘ω˘)スヤァ

 

 

 

 

2017年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

今年ももう半分終わってしまいましたね、上半期はやすぎワロエナイ(;´∀`)

じめじめした梅雨もさっさと明けてほしいものです…

 

さて、今回も前月6月のセキュリティのアレコレをまとめてみました。

6月は後半にPetya(Goldeneye)の件がセキュリティ業界を騒がせましたね…

それ以外にもいろいろあった6月。まとめてみたら結構ありました。

今回はいつもよりもちょっと量多めです。

 

では、まとめです。

 


脆弱性のアレコレ

Tera Termインストーラ脆弱性

【概要】
Tera Termインストーラに意図しないDLLを読み込む脆弱性が存在し、インストーラを実行している権限で任意のコードを実行される可能性があります。

 

【CVE番号】
CVE-2017-2193

 

【対象】
Tera Term バージョン 4.94、 およびそれ以前のバージョンのインストーラ
※ZIP アーカイブ版は影響を受けません。

 

【対策】
最新のインストーラを使用する
※本脆弱性インストーラの起動時のみに影響するため、インストール済みの Tera Term の利用には影響がありません。

 

【参考情報】

Tera Term インストーラにおける意図しない DLL 読み込みの脆弱性

JVN#06770361: Tera Term のインストーラにおける DLL 読み込みに関する脆弱性

JVNDB-2017-000108 - JVN iPedia - 脆弱性対策情報データベース


Apache Tomcat脆弱性

【概要】
Apache Tomcat には、セキュリティ制限回避の脆弱性が存在し、細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる可能性がある

 

【CVE番号】
CVE-2017-5664

 

【対象】
Apache Tomcat 9.0.0.M1 から 9.0.0.M20 まで
Apache Tomcat 8.5.0 から 8.5.14 まで
Apache Tomcat 8.0.0.RC1 から 8.0.43 まで
Apache Tomcat 7.0.0 から 7.0.77 まで

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
Apache Tomcat 9.0.0.M21
Apache Tomcat 8.5.15
Apache Tomcat 8.0.44
Apache Tomcat 7.0.78

 

【参考情報】

JVNVU#95420726: Apache Tomcat にセキュリティ制限回避の脆弱性

Apache Tomcat® - Welcome!


Linuxやその他のUNIXシステムに脆弱性

【概要】
Linuxやその他のUNIXシステムに脆弱性があり、第三者によってローカル権限昇格を行われ、管理者権限を取得され任意のコードを実行される可能性がある
※この脆弱性は『Stack Clash』と名づけられた
※この脆弱性の概念は2005年、2010年から存在しており、「ガードページ」と呼ばれる防護手段を導入していたが、この防護手段では不十分であった

 

【CVE番号】
CVE-2017-1000364
CVE-2017-1000365
CVE-2017-1000367

 

【対象】
LinuxOpenBSDNetBSDFreeBSDSolarisi386版またはamd64
※他のアーキテクチャーにも問題がある可能性あり

 

【対策】
各ベンダーからのアップデート情報やパッチ情報を確認し、処理を行う

 

【参考情報】

https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt

Stack Guard Page Circumvention Affecting Multiple Packages - Red Hat Customer Portal

Linuxなどに「Stack Clash」脆弱性、権限昇格の恐れ - ZDNet Japan

Linuxなどにローカル権限昇格の可能性、管理者権限取得に利用される恐れも - ITmedia エンタープライズ

Linux、*BSD、Solarisに特権昇格の脆弱性 | マイナビニュース

sudoに完全な特権昇格の脆弱性( CVE-2017-1000367 ) — | サイオスOSS | サイオステクノロジー


Drupal脆弱性

【概要】
CMSコンテンツマネジメントシステム)のDrupal(ドルーパル)に脆弱性が存在し、リモートよりコードを実行される可能性がある

 

【CVE番号】
CVE-2017-6920
※「PECL YAMLパーサー」の脆弱性
CVE-2017-6921
※ファイルをアップロードされ、ファイルの配布などに悪用されるおそれがある脆弱性
CVE-2017-6922
※「RESTfulウェブサービスモジュール」利用時に影響を受ける脆弱性

 

【対象】
Drupal 7.x
Drupal 8.x

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
Drupal core 7.56
Drupal core 8.3.4

 

【参考情報】

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003 | Drupal.org

【セキュリティ ニュース】「Drupal」に複数の脆弱性 - リモートよりコード実行のおそれ(1ページ目 / 全1ページ):Security NEXT

セキュリティー報告:Drupal 7 および 8 コア、Search 404 | WebGoGo!


OpenVPNに複数の脆弱性

【概要】
OpenVPNに複数の脆弱性が存在し、リモートより悪用される可能性がある
OpenVPNVPNを実施するためのソフトウェア

 

【CVE番号】
CVE-2017-7508
CVE-2017-7520
CVE-2017-7521
CVE-2017-7522

 

【対象】
OpenVPN 2.4以降
サーバー側で「--x509-track」オプションを使用している環境
※影響を受けるにはいくつかの条件あり

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
OpenVPN 2.4.3
OpenVPN 2.3.17

 

【参考情報】

OpenVPN 2.4.3 リリース | OpenVPN.JP

https://openvpn.net/index.php/open-source/downloads.html

オープンソースのVPNソフト「OpenVPN」、4件の脆弱性を修正 -INTERNET Watch


Apache HTTP Web Serverに複数の脆弱性

【概要】
Apache HTTP Web Server に複数の脆弱性が存在し、サービス運用妨害 (DoS) などの影響を受ける可能性がある

 

【CVE番号】
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679

 

【対象】
Apache HTTP Web Server 2.2.0 から 2.2.32 まで (CVE-2017-3167, CVE-2017-3169, CVE-2017-7679)
Apache HTTP Web Server 2.2.32 (CVE-2017-7668)
Apache HTTP Web Server 2.4.0 から 2.4.25 まで (CVE-2017-3167, CVE-2017-3169, CVE-2017-7679)
Apache HTTP Web Server 2.4.25 (CVE-2017-7659, CVE-2017-7668)

 

【対策】
アップデートまたはパッチを適用する
2.4 系の対策版として 2.4.26 がリリース済み
2.2 系では、各脆弱性に対応したパッチがリリース済み

 

【参考情報】

JVNVU#98416507: Apache HTTP Web Server における複数の脆弱性に対するアップデート

httpd 2.4 vulnerabilities - The Apache HTTP Server Project

httpd 2.2 vulnerabilities - The Apache HTTP Server Project

「Apache HTTP Web Server」の複数モジュールにDoSなど5件の脆弱性 -INTERNET Watch


BIND 9に脆弱性

【概要】

BIND 9の、TSIG認証に関して複数の脆弱性が存在し、ゾーン情報の漏えいや書き換えを実行される可能性がある
※TSIG(Transaction SIGnature):DNSの通信に共有鍵を用いた署名を付加し、通信の安全性を高めるための仕組み

 

【CVE番号】
CVE-2017-3142
CVE-2017-3143

 

【対象】
BIND 9.4.0 から 9.8.8 まで
BIND 9.9.0 から 9.9.10-P1 まで
BIND 9.10.0 から 9.10.5-P1 まで
BIND 9.11.0 から 9.11.1-P1 まで
BIND 9.9.3-S1 から 9.9.10-S2 まで
BIND 9.10.5-S1 から 9.10.5-S2 まで

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
BIND 9.9.10-P2
BIND 9.10.5-P2
BIND 9.11.1-P2
BIND 9.9.10-S3
BIND 9.10.5-S3

 

【参考情報】

JVNVU#99015104: ISC BIND に複数の脆弱性

ISC BIND 9 の脆弱性に関する注意喚起

「BIND 9」にTSIG認証回避の脆弱性2件、最新バージョンへの更新を -INTERNET Watch


シャープ製住民基本台帳用 IC カードリーダライタ関連の複数のソフトウェアに脆弱性

【概要】

シャープ株式会社が提供する複数の住民基本台帳用 IC カードリーダライタのドライバソフトインストーラおよび動作確認ツールには、DLL 読み込みに関する脆弱性が存在

 

【CVE番号】
CVE-2017-2189
CVE-2017-2190
CVE-2017-2191
CVE-2017-2192

 

【対象】
RW-4040 ドライバソフトインストーラ Windows 7 用 バージョン 2.27 (RW4040V2.27_win7V.exe)
RW-5100 ドライバソフトインストーラ Windows 7 用 バージョン 1.0.0.9 (RW5100V1.0.0.9_win.exe)
RW-5100 ドライバソフトインストーラ Windows 8.1 用 バージョン 1.0.1.0 (RW5100V1.0.1.0_win8.exe)
RW-4040 動作確認ツール Windows 7 用 バージョン 1.2.0.0 (RW4040Test_win7V.exe)
RW-5100 動作確認ツール Windows 7 用 バージョン 1.1.0.0 (RW5100Test_win7.exe)
RW-5100 動作確認ツール Windows 8.1 用 バージョン 1.2.0.0 (RW5100Test_win8.exe)

 

【対策】
○最新のインストーラを使用する(以下脆弱性修正済みバージョン)
RW-4040 ドライバソフトインストーラ Windows 7 用 バージョン 2.27A (RW4040V2.27_A_win7V.exe)
RW-5100 ドライバソフトインストーラ Windows 7 用 バージョン 1.0.0.9A (RW5100V1.0.0.9_A_win.exe)
RW-5100 ドライバソフトインストーラ Windows 8.1 用 バージョン 1.0.1.0A (RW5100V1.0.1.0_A_win8.exe)
※ドライバソフトが本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザはドライバソフトをアップデートする必要はありません。

 

○最新の動作確認ツールを使用する(以下脆弱性修正済みバージョン)
RW-4040 動作確認ツール Windows 7 用 バージョン 1.2.0.0A (RW4040Test_A_win7V.exe)
RW-5100 動作確認ツール Windows 7 用 バージョン 1.1.0.0A (RW5100Test_A_win7.exe)
RW-5100 動作確認ツール Windows 8.1 用 バージョン 1.2.0.0A (RW5100Test_A_win8.exe)

 

【参考情報】

住民基本台帳用 ICカードリーダライタ|サポート・お問い合わせ:シャープ

JVN#51274854: シャープ製住民基本台帳用 IC カードリーダライタ関連の複数のソフトウェアにおける DLL 読み込みに関する脆弱性

複数の住民基本台帳用 IC カードリーダライタに任意コード実行の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]


国土地理院が提供する複数のソフトウェアのインストーラ脆弱性

 【概要】
国土地理院が提供する複数のソフトウェアのインストーラには、DLL 読み込みに関する脆弱性が存在

 

【CVE番号】
CVE-2017-2210
CVE-2017-2211
CVE-2017-2212
CVE-2017-2213

 

【対象】
座標補正ソフトウェア PatchJGD ver. 1.0.1
標高補正ソフトウェア PatchJGD(標高版) ver. 1.0.1
座標変換ソフトウェア TKY2JGD ver. 1.3.79
セミ・ダイナミック補正支援ソフトウェア SemiDynaEXE ver. 1.0.2

 

【対策】
○当該製品をインストールしない
※既に当該製品をインストールしている場合は本脆弱性の影響を受けません。

 

○今後は以下のサイトおよびソフトウェアをインストールして利用すればいいとのこと

測量計算サイト トップページ

座標標高補正ソフトウェア PatchJGD HV|国土地理院

 

【参考情報】

ソフトウェア「TKY2JGD」「SemiDynaEXE」「PatchJGD」「PatchJGD(標高版)」の脆弱性及び提供終了に関するお知らせ|国土地理院

【セキュリティ ニュース】国土地理院が提供する複数ソフトのインストーラに脆弱性 - 使用せずに削除を(1ページ目 / 全1ページ):Security NEXT


防衛装備庁が提供する電子入札・開札システムのインストーラ脆弱性

【概要】

防衛装備庁が提供する電子入札・開札システムのインストーラに意図しない実行ファイルの呼び出しに関する脆弱性が存在
※本件2017年5月25日にJVNで公開された以下脆弱性とは異なるものです

JVN#75514460: 防衛装備庁が提供する電子入札・開札システムのインストーラにおける DLL 読み込みに関する脆弱性

 

【CVE番号】
CVE-2017-2208

 

【対象】
電子入札・開札システムのインストーラ

 

【対策】
最新のインストーラを使用する(以下リンク先に最新版のインストーラをダウンロードするリンクが記載されています)

防衛装備庁 : 中央調達(装備品等及び役務)における電子入札

 

【参考情報】

防衛装備庁 : 中央調達(装備品等及び役務)における電子入札

JVN#27198823: 防衛装備庁が提供する電子入札・開札システムのインストーラにおける実行ファイル呼び出しに関する脆弱性


ソースコードセキュリティ検査ツール iCodeChecker に脆弱性

【概要】

ソースコードセキュリティ検査ツール iCodeChecker には、クロスサイトスクリプティング脆弱性が存在し、任意のスクリプトを実行される可能性がある

 

【CVE番号】
CVE-2017-2194

 

【対象】
ソースコードセキュリティ検査ツール iCodeChecker

 

【対策】
ソースコードセキュリティ検査ツール iCodeChecker を使用しない

 

【参考情報】

ソースコードセキュリティ検査ツール iCodeChecker:IPA 独立行政法人 情報処理推進機構

JVN#25078144: ソースコードセキュリティ検査ツール iCodeChecker におけるクロスサイトスクリプティングの脆弱性

 

文部科学省が提供する電子入札設定チェックツールに脆弱性

【概要】

文部科学省が提供する電子入札設定チェックツールにDLL 読み込みに関する脆弱性が存在し、任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2017-2225

 

【対象】
文部科学省電子入札設定チェックツール.exe(ファイルバージョン:1.0.0.0)

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
文部科学省電子入札設定チェックツール Ver1.1.0.0

 

【参考情報】

JVN#01775119: 文部科学省が提供する電子入札設定チェックツールにおける DLL 読み込みに関する脆弱性

文部科学省 電子入札 :: トップ

 

WordPressプラグイン脆弱性まとめ

【概要】

6月にJVN脆弱性レポートで公開されたWordPressプラグイン脆弱性まとめ

 

【参考情報】

JVN#70951878: WordPress 用プラグイン WP Live Chat Support におけるクロスサイトスクリプティングの脆弱性

JVN#98617234: WordPress 用プラグイン Multi Feed Reader における SQL インジェクションの脆弱性

JVN#51355647: WordPress 用プラグイン WP-Members におけるクロスサイトスクリプティングの脆弱性

JVN#79738260: WordPress 用プラグイン WordPress Download Manager における複数の脆弱性

JVN#56787058: WordPress 用プラグイン WP Job Manager におけるアクセス制限不備の問題

JVN#73550134: WordPress 用プラグイン Event Calendar WD におけるクロスサイトスクリプティングの脆弱性

WordPress 用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について(JVN#56787058):IPA 独立行政法人 情報処理推進機構

 

 注意喚起やニュースのアレコレ

 

ランサムウェア「Petya (GoldenEye)」が欧州各国を中心に大流行

 【概要】
ランサムウェア「Petya (GoldenEye)」がウクライナを中心とする欧州各国を中心に大流行する

 

【参考情報】(情報過多のため一部抜粋)

更新:感染が拡大中のランサムウェアの対策について:IPA 独立行政法人 情報処理推進機構

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた - piyolog

Petya (GoldenEye)についてのネット記事をまとめてみた。(2017年6月30日AM3時時点) - にゃんたくのひとりごと


国立環境研究所が運用するWebメールサーバへの不正アクセス

【概要】
国立環境研究所の職員のメールアカウントが乗っ取られ、迷惑メールを送信するための踏み台に悪用された

 

【参考情報】

国立環境研究所が運用するWebメールサーバへの不正アクセスについて|2017年度|国立環境研究所

【茨城新聞】国立環境研に不正アクセス 情報流出確認されず

 

団信特約料クレジットカード払い専用サイトが再開

【概要】

Apache Struts 2」の脆弱性を突かれ、不正アクセスを受けた「団体信用生命保険特約料クレジットカード支払いサイト(住宅金融支援機構)」が3月10日ぶりに再開した

 

【参考情報】

事務委託先であるGMOペイメントゲートウェイ株式会社のシステムの不正アクセス及び個人情報流出について<続報4>「団信特約料クレジットカード払い専用サイトの再開について」 :住宅金融支援機構(旧住宅金融公庫)

【セキュリティ ニュース】不正アクセス被害の住宅金融支援機構関連サイト、約3カ月ぶりに再開(1ページ目 / 全1ページ):Security NEXT

 

男子中学生がランサムウェアを作成し、逮捕

【概要】
大阪府内の男子中学生がランサムウェアを作成した容疑(不正指令電磁的記録作成・保管の疑い)で神奈川県警に逮捕された

 

【参考情報】

国内初のランサムウェア作成事案と他に関連が疑われる作成物についてまとめてみた - piyolog

未成年者がランサムウェアを作る時代、日本初の逮捕事例を読み解く | トレンドマイクロ セキュリティブログ

ランサムウェア作成容疑で中3を逮捕 「暗号化ソフト組み合わせて自作」 (1/2) - ITmedia NEWS


ブリトニー・スピアーズの公式Instagramに不正なコメント

【概要】
米歌手ブリトニー・スピアーズの公式Instagramページに投稿されたコメントが「水飲み場型攻撃」に利用されている事例を発見

 

【参考情報】

ブリトニーのInstagramに不正なコメント、水飲み場型攻撃に利用 - ITmedia NEWS

Turla’s watering hole campaign: An updated Firefox extension abusing Instagram


ラック、無料のセキュリティ自己診断サービス「自診くん」を公開

【概要】
ラックが、無料のセキュリティ自己診断サービス「自診くん」を公開した。
ランサムウェア「WannaCry」、「SKYSEA Client View」の脆弱性SSH/TELNET/NETBIOS/RDP/VNCの接続状況についてを診断してくれるサービス

 

【参考情報】

自診くん | 自己診断サービス『自診くん』

「自診くん」公開で見えてきた、引き続きWannaCryに注意が必要な理由 | LAC WATCH | 株式会社ラック

ラック、無料の企業向けセキュリティ自己診断サービス「自診くん」公開 | マイナビニュース

約3%のユーザーがSMBポートをインターネットに開放、ラックが注意喚起 -INTERNET Watch

 

日本語版 「STOP. THINK. CONNECT.」の Web サイトがリニューアル

【概要】
セキュリティ啓発キャンペーン日本版サイト「STOP. THINK. CONNECT.」 が全面リニューアルされた

 

【参考情報】

STOP. THINK. CONNECT. | インターネットを 安全に楽しむための合言葉です

日本語版 「STOP. THINK. CONNECT.」 Web サイトリニューアルのお知らせ | STOP. THINK. CONNECT.

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 日本語版 「STOP. THINK. CONNECT.」 Web サイトリニューアルのお知らせ

 

ランサムウェア「Jaff」が、国内で多数検知

【概要】
2017年6月7日から8日にかけて、ランサムウェア「Jaff」の亜種が添付されたスパムメールの拡散があり、日本の検知件数が突出して多かった
※なお、Jaffランサムウェアの復号化ツールあり

 

【参考情報】

日本で検知が急増中のランサムウェア – カスペルスキー公式ブログ

【セキュリティ ニュース】国内で検知急増のランサム「Jaff」に復号化ツール(1ページ目 / 全1ページ):Security NEXT

The No More Ransom Project

Jaffランサムウェアのもろもろについての調査メモ(2017/06/19更新) - にゃんたくのひとりごと

 

日本マクドナルドのシステムがマルウェア感染

【概要】
日本マクドナルドのシステムがマルウェアに感染し、全国の店舗において電子マネーやポイントなどが一時利用できない状態になった

 

【参考情報】

http://www.mcdonalds.co.jp/news/170616.html

日本マクドナルド、システム不具合から5日ぶりに復旧--マルウェア感染の影響で - CNET Japan

日本マクドナルド、マルウェア感染で不具合 一部電子マネーやポイントが利用できず - ねとらぼ

【セキュリティ ニュース】日本マクドナルドのシステム障害がほぼ復旧 - 一部店舗で調査継続中(1ページ目 / 全1ページ):Security NEXT

 

オンラインゲーム「剣と魔法のログレスいにしえの女神」の開発会社従業員が逮捕

【概要】

スマートフォン向けオンラインゲーム「剣と魔法のログレス いにしえの女神」のアカウントを不正に入手し、販売して現金をだまし取ったとして開発会社従業員が逮捕。利用者情報が分かる社内の「管理ツール」を悪用し、一定期間遊んでいない利用者を検索し、アカウントを不正入手して販売した模様。

 

【参考情報】

無断でゲームのアカウント販売 容疑の契約社員逮捕 :日本経済新聞

【from SankeiBiz】「剣と魔法のログレス」アカウント不正入手、転売 詐欺容疑で開発会社の従業員逮捕 大阪 - PC Watch

 

ファイナルファンタジー XIV(FF14)」のサーバにDDoS攻撃

【概要】
2017年6月17、19、21日に、オンラインRPGファイナルファンタジー XIV(FF14)」のサーバにDDoS攻撃が行われ、ネットワーク障害が発生した

 

【参考情報】

第三者からの攻撃によるネットワーク障害について | FINAL FANTASY XIV, The Lodestone

「FF14」DDoS攻撃で障害 17日から断続的に - ITmedia NEWS

 

フリマアプリ「メルカリ」で一時利用者の個人情報が他社から閲覧できる状態になる

【概要】
フリマアプリ「メルカリ」で一部の個人情報が他者から閲覧できる状態になっていたことが判明し、最大で5万4180名の個人情報がWeb版のメルカリで閲覧可能な状態になっていた。
原因は、CDNのプロバイダ切り替え作業ミス
CDN(Content Delivery Network(コンテンツ・デリバリ・ネットワーク)):キャッシュサーバーを世界中に配置してWebサイトの読み込み時間を短縮させるためのサービス

 

【参考情報】

Web版のメルカリにおける個人情報流出に関するお詫びとご報告 ※6/23追記あり

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

メルカリの情報漏えい、理由は「CDNプロバイダの切り替え処理ミス」 - エンジニアブログで詳細を公表|セキュリティ|IT製品の事例・解説記事

「メルカリ」の個人情報漏えい、原因はCDNキャッシュの仕様、技術的な詳細情報を公表 -INTERNET Watch

 

ホンダ、社内ネットワークがランサムウェアに感染し、1日操業停止

【概要】
2017年6月18日に本田技研工業(ホンダ)の社内ネットワークがランサムウェア「WannaCry」に感染し、その影響から19日に同社の狭山工場が1日操業停止となった

 

【参考情報】

Honda Shut Down Plant Impacted by WannaCry | Threatpost | The first stop for security news

ホンダ、狭山工場の操業を一時停止 サーバー攻撃でウイルス汚染 | ロイター

ホンダ、WannaCryの攻撃受け狭山工場を一部停止 | マイナビニュース

 

警察庁ポータルサイト「サイバーポリスエージェンシー」を開設

【概要】
警察庁は、サイバー犯罪やサイバー攻撃の情報を取りまとめたポータルサイト「サイバーポリスエージェンシー」を開設した

 

【参考情報】

"サイバーポリスエージェンシー"

警察庁が「サイバーポリスエージェンシー」開設、サイバー犯罪・サイバー攻撃情報を発信 -INTERNET Watch

 

カブドットコム証券にDDoS攻撃

【概要】
2017年6月29日、カブドットコム証券のWebサイトがDDoS攻撃を受け、同日午前9時2分~9時38分の間アクセスしづらい状態となった

 

【参考情報】

6月29日(木)に発生したサイバー攻撃について

カブドットコム、DDoS攻撃でサイト不通に - ITmedia NEWS

 

世界で2億5000万台以上のコンピュータがアドウェア「Fireball」に感染

【概要】
セキュリティ企業のCheck Pointが世界で2億5000万台以上のコンピュータがWebブラウザを乗っ取る中国発のアドウェア「Fireball」に感染していると注意を呼びかけた。
しかし、Microsoftは「誇張されすぎ」と反論している


【参考情報】

Fireball – 2億5,000万台のコンピュータが感染した中国製のマルウェア - Check Point Blog:チェック・ポイント・ソフトウェア・テクノロジーズ | Check Point Software

Understanding the true size of “Fireball” – Windows Security

ブラウザを乗っ取るマルウェア「Fireball」、Microsoftなどが注意呼び掛け - ITmedia エンタープライズ

アドウェア「Fireball」:大惨事につながる危険性 – カスペルスキー公式ブログ

 

韓国のホスティングサービス企業「NAYANA」が、ランサムウェア攻撃の被害を受ける

【概要】

韓国のホスティングサービス会社「NAYANA」が、2017年6月10日に攻撃され、153台のLinuxサーバがランサムウェアに感染した。なお、攻撃者と交渉を行い、会社を身売りすることでサービス復旧作業を現在も進めている。

 

【参考情報】

http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=960

ランサムウェア被害の韓国企業、身売りと引き換えにサービスを復旧 - ZDNet Japan

趙 章恩「Korea on the Web」 - ランサムウエア身代金に1億3000万円払った韓国IT企業、データは戻ったか:ITpro

Linuxサーバを狙ったランサムウェア「Erebus」とその対策 | トレンドマイクロ セキュリティブログ

続報:暗号化型ランサムウェア「Erebus」が Linux を標的に | トレンドマイクロ セキュリティブログ



セキュリティレポートやブログのアレコレ

ウイルス付メール INDEX版

https://www.jc3.or.jp/topics/vm_index.html

【企業・団体・作成者】
日本サイバー犯罪対策センター(JC3)

 

Armada Collective を名乗る攻撃者からの DDoS 攻撃に関する情報

http://www.jpcert.or.jp/newsflash/2017062901.html

【企業・団体・作成者】
一般社団法人 JPCERT コーディネーションセンター


フィッシングレポート 2017 の掲載 ~ 普及が進むユーザ認証の新しい潮流 ~

https://www.antiphishing.jp/report/wg/phishing_report2017.html

【企業・団体・作成者】

フィッシング対策協議会

 

Internet Infrastructure Review (IIR) Vol.35

https://www.iij.ad.jp/company/development/report/iir/035.html

【企業・団体・作成者】

株式会社インターネットイニシアティブ

 

Windows XPおよびWindows Server 2003におけるリモートデスクトップサービスの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9073)に関する調査レポート

https://www.softbanktech.jp/information/2017/20170605-01/

【企業・団体・作成者】
ソフトバンク・テクノロジー株式会社

 


国内初のランサムウェア作成事案と他に関連が疑われる作成物についてまとめてみた

http://d.hatena.ne.jp/Kango/20170611/1497198757

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた

http://d.hatena.ne.jp/Kango/20170627/1498584138

【企業・団体・作成者】

piyokangoさん(https://twitter.com/piyokango


ランサムウェア Jaff Ransomwareの感染と暗号化されたファイルの復号手順メモ

http://csirt.ninja/?p=1269

OpWhalesのターゲットリスト(2017年06月21日公開版)メモ

http://csirt.ninja/?p=1293

【企業・団体・作成者】

辻 伸弘さん(https://twitter.com/ntsuji

 


クラウドサービスを脆弱性診断する時のお作法

http://tigerszk.hatenablog.com/entry/2017/06/20/202335

【企業・団体・作成者】

とある診断員さん(https://twitter.com/tigerszk


『 IoT診断入門 』について

http://r00tapple.hatenablog.com/entry/2017/06/19/221337

【企業・団体・作成者】
黒林檎さん(https://twitter.com/r00tapple

 

 

以上です。

ではでは!

 

暑い…
    ____
  /  \ / \
 / し (>  <) \
( ∪  (_人_) J )
 / u  `⌒´ ヽ 
 | |        | |

Petya (GoldenEye)についてのネット記事をまとめてみた。(2017年7月3日更新)

どもども、にゃんたくです(「・ω・)「ガオー

 

 

Twitterやセキュリティサイトは見ていたのですが、5月に起こったWannaCryのときと同様に多くの情報が流れてきたため、リアルタイムに情報を追うことが出来なかったというのが現実です。(体調悪くて追える気力もなかったですが…)

 

体調が少し良くなったので、「さて、情報追うか!」となってもどこから追ってもいいかわからなかったこと、頭の中を整理したかったことなどなどありまして、自分のメモ要素的な感じで申し訳ないですが、日本語で今回のPetyaの件について書かれている記事やブログ等をまとめてみました。

 

何かの参考にしていただければ幸いです。

今後更新するかはわかりませんが、現状は2017年6月27日~6月30日午前3時現在までの記事のまとめとなっております。

 

では、まとめです。

 


IPA情報処理推進機構

更新:感染が拡大中のランサムウェアの対策について:IPA 独立行政法人 情報処理推進機構


Security NEXT

【セキュリティ ニュース】「Petya」拡散、「WannaCrypt」と同じ脆弱性を悪用 - 犯人と連絡取れず、身代金支払いは無駄に(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Petya」も狙う「MS17-010」の脆弱性、少なくとも4000万台弱の未修正端末が稼働(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「WannaCrypt」より巧妙? 「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Petya」亜種、複数ベンダーがメールによる拡散を確認 - 会計ソフトの更新機能も標的に(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ランサムウェア「Petya」、わずか1日足らずで65カ国へ拡大(1ページ目 / 全1ページ):Security NEXT


ITpro

ニュース - IPAが感染拡大するランサムウエアの対策を呼びかけ、日本では被害確認なし:ITpro

ニュース - 新たなランサムウエア攻撃が世界で拡大中、「WannaCry」より危険との声も:ITpro

ニュース解説 - ロシアで猛威のPetyaで分かった、セキュリティ会社の不確かさ:ITpro


ITmedia

世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害 - ITmedia NEWS

世界で攻撃多発のランサムウェア、WannaCryと同じNSAのハッキングツールを利用 - ITmedia NEWS

Petya亜種による世界サイバー攻撃、65カ国に拡大 会計ソフト更新の仕組みを悪用か - ITmedia NEWS

大規模攻撃の新型マルウェア、破壊活動が目的か 復号は不可能 - ITmedia NEWS

総務省、ランサムウェア「Petya」に注意喚起 海外で大規模な被害 - ITmedia NEWS


マイナビニュース(セキュリティ)

ランサムウェア「Petya」の亜種が欧州で猛威 | マイナビニュース

WannaCryを超えるおそれ、ランサムウェア「Petya」爆発的感染 | マイナビニュース

Petya、ランサムウェアではなく破壊目的のワイパーである可能性が浮上 | マイナビニュース

Petyaにワクチン? 動きを停止するファイルの作成方法が公開 | マイナビニュース


tech crunch

Petyaの蔓延を受け、下院議員がNSAに要請、「方法を知っているなら攻撃を阻止してほしい」 | TechCrunch Japan

Petyaはデータ破壊が目的――ランサムウェアではないと専門家が指摘 | TechCrunch Japan

 

ZDNet Japan

また大規模ランサムウェア攻撃、世界各地で被害--今度は「GoldenEye」 - ZDNet Japan

ランサムウェア「GoldenEye」の感染源は会計ソフト? 未確認情報で混乱も - ZDNet Japan

「Petya」系ランサムウェア、ファイル1つで感染防止?--米研究者 - ZDNet Japan

マルウェア「GoldenEye」、身代金要求を装うデータ破壊が目的か - ZDNet Japan


Internet Watch

ランサムウェア「GoldenEye」、侵入後は脆弱性以外の手法で感染拡大、暗号化されたファイルの復号は不能? -INTERNET Watch


Trend Microトレンドマイクロ

続報・欧州を中心に甚大な被害、暗号化ランサムウェア「PETYA」の活動を詳細解析 | トレンドマイクロ セキュリティブログ

大規模な暗号化型ランサムウェア攻撃が欧州で進行中、被害甚大 | トレンドマイクロ セキュリティブログ


McAfeeマカフィー

ランサムウェアPetyaの新しい亜種が大流行中 : マカフィー株式会社 公式ブログ

WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場 : マカフィー株式会社 公式ブログ

【緊急】Petyaランサムウェア亜種への注意喚起 ~ 欧州を中心に感染拡大中 : マカフィー株式会社 公式ブログ

Threat Landscape Dashboard | McAfee


Kasperskyカスペルスキー

ExPetr/Petya/NotPetya:ランサムウェアではなくワイパー – カスペルスキー公式ブログ

大規模ランサムウェア攻撃:技術的詳細 – カスペルスキー公式ブログ

ExPetr(New Petya、NotPetya)の大発生 – カスペルスキー公式ブログ


Symantecシマンテック

Petya ランサムウェアの猛威: 現時点で知っておくべきこと | Symantec Connect


LAC(ラック)

WannaCryの危機再び。新たな拡大感染型ランサムウェアGoldenEye/Petyaが全世界で拡散中。 | LAC WATCH | 株式会社ラック


MBSD(三井物産セキュアディレクション

WannaCry 2.0(+亜種)におけるワーム活動の詳細と残存するDoublePulsarについて | MBSD Blog

話題のMBR破壊型ワームランサムウェアの内部構造を紐解く | MBSD Blog


Cisco Japan Blog

新しいランサムウェアの亜種「Nyetya」が世界中でシステムを侵害(Petya の亜種)


Microsoftマイクロソフト

Petya マルウェア攻撃に関する最新情報 – 日本のセキュリティチーム


piyolog

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた - piyolog


(n)inja csirt

 

ランサムウェア Petya & Mischaに感染してみました。 | (n)inja csirt

ランサムウェア Petya に感染してみました。 | (n)inja csirt

ランサムウェア「Petya」に感染してみたという過去ブログ

 

 

※今回のランサムウェアに感染してみたという辻さん(@ntsuji)のTweet

 

Hack Japan

20170627_Cyber Attack - Hack japan

 

NTT DATA

ランサムウエア「Petya」亜種の大規模感染に関する緊急調査レポートを公開 | NTTデータ

 

 

■付録(リンクコピー用)

IPA情報処理推進機構
http://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html
■Security NEXT
http://www.security-next.com/083190
http://www.security-next.com/083205
http://www.security-next.com/083225
http://www.security-next.com/083236
http://www.security-next.com/083320
■ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/062801796/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/062801782/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/062901039/?ST=security&itp_list_theme
ITmedia

http://www.itmedia.co.jp/news/articles/1706/28/news058.html
http://www.itmedia.co.jp/news/articles/1706/28/news059.html
http://www.itmedia.co.jp/news/articles/1706/29/news057.html
http://www.itmedia.co.jp/news/articles/1706/29/news059.html
http://www.itmedia.co.jp/news/articles/1707/03/news073.html

マイナビニュース(セキュリティ)

http://news.mynavi.jp/news/2017/06/28/076/
http://news.mynavi.jp/news/2017/06/28/253/
http://news.mynavi.jp/news/2017/06/30/051/
http://news.mynavi.jp/news/2017/06/30/078/

■tech crunch
http://jp.techcrunch.com/2017/06/29/20170628ted-lieu-petya-notpetya-no-kill-switch/
http://jp.techcrunch.com/2017/06/29/20170628analysts-think-petya-ransomware-was-built-for-targeted-destruction-not-profit/
ZDNet Japan
https://japan.zdnet.com/article/35103415/
https://japan.zdnet.com/article/35103435/
https://japan.zdnet.com/article/35103489/
https://japan.zdnet.com/article/35103496/

Internet Watch
http://internet.watch.impress.co.jp/docs/news/1067949.html

Trend Microトレンドマイクロ
http://blog.trendmicro.co.jp/archives/15353
http://blog.trendmicro.co.jp/archives/15339

McAfeeマカフィー
http://blogs.mcafee.jp/mcafeeblog/2017/06/petya-26ca.html
http://blogs.mcafee.jp/mcafeeblog/2017/06/wannacrypetya-7ff2.html
http://blogs.mcafee.jp/mcafeeblog/2017/06/petya-ca93.html
http://tld.mcafee.com/Ransomware/436.html

Kasperskyカスペルスキー
https://blog.kaspersky.co.jp/expetrpetyanotpetya-is-a-wiper-not-ransomware/16707/
https://blog.kaspersky.co.jp/schroedingers-petya/16695/
https://blog.kaspersky.co.jp/new-ransomware-epidemics/16631/

Symantecシマンテック
https://www.symantec.com/connect/ja/blogs/petya

■LAC(ラック)
https://www.lac.co.jp/lacwatch/people/20170628_001319.html

■MBSD(三井物産セキュアディレクション

http://www.mbsd.jp/blog/20170629.html
http://www.mbsd.jp/blog/20170630.html

Cisco Japan Blog
https://gblogs.cisco.com/jp/2017/06/worldwide-ransomware-variant/

Microsoftマイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2017/06/29/update-on-petya-malware-attacks/

■piyolog
http://d.hatena.ne.jp/Kango/20170627/1498584138

■(n)inja csirt
http://csirt.ninja/?p=554
http://csirt.ninja/?p=409
ランサムウェア「Petya」に感染してみたという過去ブログ

https://twitter.com/ntsuji/status/880036084305993729
※今回のランサムウェアに感染してみたという辻さん(@ntsuji)のTweet

■Hack Japan

https://sites.google.com/site/0hack0japan0/memo/20170627_cyber-attack

■NTT DATE

http://www.nttdata.com/jp/ja/news/information/2017/2017062901.html