にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

セキュリティで大事なのはロシア語なのかもしれない?

Очень много, это NyanTaku(「・ω・)「ガオー

(※どうも、にゃんたくです(「・ω・)「ガオー)

f:id:mkt_eva:20170815085901j:plain

 

 

はい、今とっても頭が回っていないのですが、なんとなくブログが書きたくなったから書いています。ブログってそういうもんですよね?( ˘ω˘)スヤァ

あ、今回のブログ、ゴールが特に無いです。(おいおい)

 

さていきなりですが、先日Twitterでこんなリプライをいただきました。 

 

※この場をお借りしてですが、Autumn Good さん(@autumn_good_35)、リプありがとうございました。

 

まずこのニュース内容はなにかというと、今年6月後半に世間を騒がせたNotPetya(Goldeneye)というマルウェアを拡散させたという疑いでウクライナの警察が51歳の男を逮捕したというニュース内容でした。

 

このニュースについて日本語で報道されているのは現在(現在時刻:2017年8月15日AM9時)ITmediaのこちらの記事だけではないでしょうか。

www.itmedia.co.jp

 

実はこのニュースを僕が知ったのは以下の記事を読んだ8月10日の夜遅くでした。

www.zdnet.com

 

 

僕はこの時てっきりこのニュースが「最初の」報道だと勝手に思っていたんです。

しかしながら、冒頭にも載せましたが、Autumn Good さんのリプライで実はもっと前に報道されていたということが判明しました。それがこちらの記事です。

podrobnosti.ua

 

Autumn Good さんのつぶやきでもこの報道の同日にツイートされていました。

 

この時点で「Autumn Good さん凄すぎないか!!!」と思う方もいらっしゃるのではないでしょうか。その意見、まったくもって同意見です。

 

つまりなにがいいたいかを時系列で並べてみます。

 

2017年8月7日に現地(ロシア語)で報道される

2017年8月10日、11日に英語で報道される

2017年8月14日に日本語で報道される

 

つまり、実際の報道から日本語報道されるまで1週間のタイムラグがあったということです。

ただ、今回日本では8月11日の金曜日が祝日だったため、日本の報道各社がお休みであったことももちろん原因の1つであることはわかっています。

 

こんなことを書くと「何だお前、日本の報道各社に喧嘩売ってんのか」と思われるかもしれませんが、決してそうではありません。むしろ、一番僕が頼っているのは日本の報道各社が報道してくれるセキュリティニュースや記事なんです。

 

じゃあなにがいいたいのか。

 

このセキュリティ業界で仕事していくには色んな能力や知識が必要であることは言わずと知れたことかと思います。

 

その中で「英語力」が必要なんてことがよく言われています。(ロシア語どこいった)

 

僕もそう思いますし、セキュリティ情報の殆どが英語で書かれているため、英語力は必須かと思われます。(ロシア語どこいったPart2)

 

まぁ僕は英語が苦手なんですが、最近はなるべく英語に触れるようにしています。(ロシア語どこいったPart3)

 

そうすることで英語の記事もなんとなくですが内容つかめるようになってきた感があります。もちろんGoogle先生には毎回お世話になっていますけどね、ははは。(白目)

 

と、思っていたんですが、今回の報道の流れを見るとちょっとロシア語なんかもかじってたたほうが良いのかななんて思ったり思わなかったりしました。

 

(そもそも英語でもロシア語でも日本語ではない言語の報道を収集できるか、が大事なことでもあるような気もしますが)

 

いやほら、APT28(Fancy Bear、Sofacy)関連のニュースとかもよく見るじゃないですか、ね?

 

そういやほらカスペルスキーもロシアでしょ?

 コミケにまで出展してるじゃないですかヤダー

 

それにたまに攻撃コードにロシア語が含ま(ここで文章が途切れている

 

というわけで、今日はこのへんで。

最後までグダグダで申し訳なかったです。

 

До свидания!(ダ スヴィダーニャ!)

(また、会うときまで!) 

 

2017年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

とうとう8月になってしまいましたね。

夏ですよ、夏。

夏好きな僕としては8月に入った瞬間から「もう夏終わっちゃうじゃん・・・」なんてブルーな気持ちになっちゃったりしてますよ。

 

そうそう、ありがたいことにこのブログですが、Google検索で「セキュリティ ニュース」や「セキュリティ ニュース 2017」でググってみると、1ページ目に載るようになってきました。

これもひとえに、読んでくれている皆さんやTwitter等で拡散していただく皆さんのおかげであると、心から感謝しております。

より一層、皆さんにとってなにかの参考になれるようなブログを発信していきたいと思っておりますので、今後ともなにとぞ「にゃんたくのひとりごと」をよろしくお願いいたします。

 

では、先月2017年7月のまとめです。

 


脆弱性のアレコレ

Apache Struts 2 に脆弱性 (S2-048)

【概要】
Apache Struts2 において、Struts1 プラグインを使用するアプリケーションには任意のコードが実行可能な脆弱性が存在し、アプリケーションの権限で任意のコードを実行される可能性がある

【CVE番号】
CVE-2017-9791

【対象】
Struts 2.3 系で Struts1 プラグインを使用して動作するアプリケーション

【対策】
ワークアラウンドを実施する
showcase アプリケーションの修正方法を参考に、ActionMessage クラス(のコンストラクタ)への入力処理を適切に行う

【参考情報】

Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起

JVNVU#99376481: Apache Struts2 の Struts1 プラグインを使用するアプリケーションに任意のコードが実行可能な脆弱性

JVNDB-2017-004912 - JVN iPedia - 脆弱性対策情報データベース

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構



Cisco WebEx Browser Extension に脆弱性

【概要】

WebExのAPIレスポンスパーサーの設計に脆弱性が存在し、ユーザーに不正なウェブページを閲覧させることで、リモートから任意のコードを実行される可能性がある

【CVE番号】
CVE-2017-6753

【対象】
Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)

※以下対象は本脆弱性の影響を受けない
Cisco WebEx Productivity Tools
Cisco WebEx browser extensions for Mac or Linux
Cisco WebEx on Microsoft Edge or Internet Explorer

【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Cisco WebEx extension on Google Chrome (1.0.12)
Cisco WebEx extension on Mozilla Firefox (1.0.12)

【参考情報】

Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起

Cisco WebEx Browser Extension Remote Code Execution Vulnerability

Cisco WebExのブラウザーアドオンに脆弱性、Google Chrome、Firefox、IEに影響 -INTERNET Watch

「WebEx」プラグインの脆弱性はFirefoxとIEにも影響、Ciscoが更新版で対処 - ITmedia エンタープライズ



Oracle Java脆弱性

【概要】
JRE脆弱性が存在し、攻撃者に悪用されると、任意のコード(命令)が実行され、コンピュータを制御される可能性がある
JRE (Java Runtime Environment) は、Java プログラムを実行するためのソフトウェア実行環境です。

【CVE番号】
CVE-2017-10110等

【対象】
Oracle Java SE 8 Update 131
Oracle Java SE 7 Update 141
Oracle Java SE 6 Update 151
Oracle Java SE Embedded 8 Update 131

 

【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Java SE JDK/JRE 8 Update 141

Java SE - Downloads | Oracle Technology Network | Oracle

 

【参考情報】

2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Oracle Java の脆弱性対策について(CVE-2017-10110等):IPA 独立行政法人 情報処理推進機構

Oracle、32件の脆弱性を修正した「Java SE 8 Update 141」を公開 - 窓の杜

【セキュリティ ニュース】「Java SE」の脆弱性31件を解消するアップデート - Oracle(1ページ目 / 全1ページ):Security NEXT

 

 

Sambaに脆弱性(Orpheus’ Lyre)

【概要】

 SambaのHeimdal Kerbarosの実装に脆弱性が存在し、リモートから攻撃を受ける可能性がある
この脆弱性名は「Orpheus’ Lyre(オルフェウスの竪琴)」と名づけられた

 

【CVE番号】
CVE-2017-11103

 

【対象】
Samba 4.0.0以降のすべてのバージョン

 

【対策】

アップデートする

 

【参考情報】

【セキュリティ ニュース】MS、脆弱性「Orpheus’ Lyre」に7月の月例パッチで対応済み(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Samba 4.0」以降に深刻な脆弱性「Orpheus’ Lyre」 - 「Heimdal」実装で影響(1ページ目 / 全1ページ):Security NEXT

Sambaに権限昇格の脆弱性(CVE-2017-11103) — | サイオスOSS | サイオステクノロジー

Orpheus' Lyre

Sambaに脆弱性 - Heimdal Kerbarosの影響はほかにも | マイナビニュース

 


WordPressプラグイン脆弱性まとめ

【概要】

7月にJVN脆弱性レポートで公開されたWordPressプラグイン脆弱性まとめ

 

【参考情報】

JVN#39819446: WordPress 用プラグイン Responsive Lightbox におけるクロスサイトスクリプティングの脆弱性

JVN#63249051: WordPress 用プラグイン Shortcodes Ultimate におけるディレクトリトラバーサルの脆弱性

JVN#92921024: WordPress 用プラグイン Popup Maker におけるクロスサイトスクリプティングの脆弱性

JVN#31459091: WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティングの脆弱性

 

 

注意喚起やニュースのアレコレ

「675」から始まる不審な着信に注意

【概要】
「+675」から始まるパプアニューギニアからの不審な国際電話の着信が相次ぎ、携帯各社が着信履歴に心当たりがない場合は折り返しの電話をしないように呼びかけた

【参考情報】

「+675」から始まる不審な国際電話の着信に関するご注意 | 個人のお客さまへのお知らせ | お知らせ | モバイル | ソフトバンク

「+675」、パプアニューギニアからの不審な電話に要注意 | マイナビニュース

【セキュリティ ニュース】「675」から始まる着信履歴に注意 - 折返電話で高額料金のおそれ(1ページ目 / 全2ページ):Security NEXT



「Joomla! 3.7.4」がリリース

【概要】
「Joomla! 3.7.3」および以前のバージョンに見つかった重要度は「高(high)」の脆弱性2件を修正した「Joomla! 3.7.4」がリリースされた

 

【参考情報】

Joomla! 3.7.4 Release

【セキュリティ ニュース】2件の脆弱性を解消した「Joomla! 3.7.4」がリリース - 複数バグにも対応(1ページ目 / 全1ページ):Security NEXT

 

「Yahoo!ツールバー」が10月31日にサポート終了

【概要】
ブラウザ向け拡張機能「Yahoo!ツールバー」のサポートを10月31日に終了するとヤフーが発表した。
※なお、「Yahoo!ツールバー」のインストーラ脆弱性が存在していることが2017年7月に発表されている

【参考情報】

「Yahoo!ツールバー」の提供が10月で終了 数年前からChrome、Firefoxなどで利用できない状態に - ねとらぼ

ヤフー、Yahoo!ツールバーを10月31日で終了 | マイナビニュース

【セキュリティ ニュース】「Yahoo!ツールバー」のインストーラに脆弱性(1ページ目 / 全1ページ):Security NEXT

JVN#02852421: Yahoo!ツールバー (Internet explorer 版) のインストーラにおける任意の DLL 読み込みの脆弱性

 


「ネットワークビギナーのための情報セキュリティハンドブック」が国内27の電子書店で無料配布

【概要】
政府が「ネットワークビギナーのための情報セキュリティハンドブック」の電子書籍を国内27の電子書店で無料配布を行い、夏休みを控えた小中高生がセキュリティ対策について学べれるようにとのこと。

【参考情報】

「ネットワークビギナーのための情報セキュリティハンドブック」電子書籍の無料配信を開始[みんなでしっかりサイバーセキュリティ]

NISC、「ネットワークビギナーのための情報セキュリティハンドブック」を全154ページに改訂し、無料で提供 -INTERNET Watch

 


ランサムウェア対策ツール「Cybereason RansomFree」の日本語版が無償提供

【概要】
サイバーリーズン・ジャパンはランサムウェア対策ツール「Cybereason RansomFree」の日本語版の無償提供を開始した。

【参考情報】

RansomFree by Cybereason

無償ランサムウェア対策ツール「Cybereason RansomFree」に日本語版が登場 - 窓の杜

RansomFree(ランサムフリー)日本語版をリリース | サイバーリーズン公式ブログ

サイバーリーズンのRansomFree (ランサムフリー)が WannaCry を駆除する動画 | サイバーリーズン公式ブログ

 

 

無償のアンチウイルスソフトKaspersky Free」が全世界リリース

【概要】
Kaspersky Labが、無償のアンチウイルスソフトKaspersky Free」を全世界リリースに提供すると発表

 

【参考情報】

Kaspersky Free antivirus launches globally to secure the whole world – Kaspersky Lab official blog

カスペルスキー、無償アンチウイルスソフトを全世界リリース - 窓の杜

カスペルスキー、無料のウイルス対策ソフトを世界でリリースへ - ZDNet Japan

Kaspersky、無償のアンチウイルスソフト「Kaspersky Free」公開 | マイナビニュース

 


Appleが「iOS 10.3.3」をリリース

【概要】
CVE番号ベースで47件の脆弱性を修正した、「iOS 10.3.3」がリリースされた。

 

【参考情報】

iOS 10.3.3 のセキュリティコンテンツについて - Apple サポート

Apple、「iOS 10.3.3」をリリース ~CVE番号ベースで47件の脆弱性を修正 - 窓の杜

「iOS 10.3.3」がリリース--バグ修正、セキュリティ改善 - CNET Japan

JVNVU#91410779: 複数の Apple 製品における脆弱性に対するアップデート

 

 

Apple、複数のMac向けのセキュリティアップデートをリリース

【概要】
CVEベースで37件の脆弱性を修正した、Mac向けのセキュリティアップデートがリリースされた。
リリースされたものは以下のとおり
macOS Sierra 10.12.6
・Security Update 2017-003 El Capitan
・Security Update 2017-003 Yosemite

 

【参考情報】

macOS Sierra 10.12.6、セキュリティアップデート 2017-003 El Capitan、セキュリティアップデート 2017-003 Yosemite のセキュリティコンテンツについて - Apple サポート

Apple、「macOS Sierra 10.12.6」をリリース ~CVE番号ベースで37件の脆弱性を修正 - 窓の杜

【セキュリティ ニュース】Apple、「macOS Sierra 10.12.6」などセキュリティアップデート(1ページ目 / 全1ページ):Security NEXT

JVNVU#91410779: 複数の Apple 製品における脆弱性に対するアップデート

 


ソフトバンク・テクノロジー不正アクセス、「仮想通貨採掘プログラム」のインストールを目的とした攻撃か

【概要】
ソフトバンク・テクノロジーの保有する保守契約管理システムの検証サーバで仮想通貨採掘プログラムによる不正アクセスが見つかったが、情報流出の形跡は確認されなかった

 

【参考情報】

不正アクセスによる情報流出の可能性に関するお知らせとお詫び(第一報)|ソフトバンク・テクノロジー株式会社 企業情報

不正アクセスによる情報流出の可能性に関する詳細調査のご報告(第二報)|ソフトバンク・テクノロジー株式会社 企業情報

ソフトバンク・テクノロジー、不正アクセスで調査報告 - ZDNet Japan

ニュース - ソフトバンク・テクノロジーに不正アクセス、4071社の情報が流出の可能性:ITpro

ソフトバンク・テクノロジーに不正アクセス、仮想通貨マイニング目的か | マイナビニュース

仮想通貨マイニング目的か 不正アクセスで採掘プログラム仕込まれる ソフトバンク・テクノロジー - ITmedia NEWS

 


マイクロソフトが、定例外でOutlook向け臨時パッチを緊急公開

【概要】
Outlook向けに、脆弱性3件を修正する定例外のセキュリティ更新プログラム(臨時パッチ)を公開した。

【対象】
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2010 Service Pack 2
Microsoft Outlook 2013 Service Pack 1
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2016

 

【参考情報】

Outlook の脆弱性を修正するセキュリティ更新プログラムを定例外で公開 – 日本のセキュリティチーム

Outlookに脆弱性、マイクロソフトが臨時パッチ公開 - ZDNet Japan

Microsoft、定例外でOutlook向けパッチを緊急公開、脆弱性3件を修正 -INTERNET Watch

 


総務省、史上初のルートゾーンKSKの更新に伴いDNSの設定更新を呼びかけ

【概要】
総務省ICANNが、史上初の電子署名の正当性を検証するために使う暗号鍵の中で最上位の鍵であるルートゾーンKSKの更改を実施するため、キャッシュDNSサーバの設定更新を行うように呼びかけた。

 

【参考情報】

総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性

ルートゾーンKSKのロールオーバー - ICANN

https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf

ルートゾーンKSKロールオーバーによる影響とその確認方法について(2017年7月25日更新)

ニュース解説 - DNSが使えなくなるトラブル、9月19日に発生する恐れ:ITpro

ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意 - INTERNET Watch

 


ユーザーに電子マネーの送金求める、警察庁装う偽サイトが出現

【概要】
ユーザーが違法行為をしたとして「罰金」を要求する、警察庁を装った偽サイトが出現した。
全画面表示をOFFにする「F11 」キーを押せば解除できる。

 

【参考情報】

警察を偽装したネット詐欺を国内で新たに確認 | トレンドマイクロ セキュリティブログ

警察庁の偽サイト現る 「違反行為した」と“罰金”要求 - ITmedia NEWS

警察庁の偽サイトが見つかる、幼児猥褻・動物虐待コンテンツを見ようとした違反金として2~5万円をiTuneカードで請求 -INTERNET Watch

 


macOSをターゲットにしたマルウェア「FruitFly」の存在が明らかに

【概要】
「FruitFly」と呼ばれる、Mac端末を標的にしたマルウェアが数年間検知されずにいたことが明らかになった

 

【参考情報】

macOS向けバックドア「FruitFly」に注意 | マイナビニュース

Macに感染する「謎のウイルス」 ウェブカメラで人々を監視 | Forbes JAPAN(フォーブス ジャパン)

専門家からも数年間気づかれなかったMac向けスパイウェア「Fruitfly」 - iPhone Mania

数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」 - GIGAZINE

 

 

Nortonノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になる

【概要】
シマンテック製セキュリティーソフトのNortonノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になった

【参考情報】

ノートンが「Impress Watch」を誤ブロック - ITmedia NEWS

 

 

 

 

 


セキュリティレポートやブログのアレコレ


組織における標的型攻撃メール訓練は実施目的を明確に

【公開ページ】

http://www.ipa.go.jp/security/anshin/mgdayori20170731.html

 

【企業・団体・作成者】
IPA独立行政法人情報処理推進機構

 

 

WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境

【公開ページ】

http://www.ipa.go.jp/security/anshin/mgdayori20170713.html

 

【企業・団体・作成者】
IPA独立行政法人情報処理推進機構

 

MBR破壊型ランサムウェアの特徴比較

【公開ページ】

MBR破壊型ランサムウェアの特徴比較 | MBSD Blog

【企業・団体・作成者】
三井物産セキュアディレクション

 


日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン)

【公開ページ】

日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン) | サイバーリーズン公式ブログ

 

【企業・団体・作成者】
サイバーリーズン・ジャパン株式会社

 


JSOC INSIGHT vol.16

【公開ページ】

JSOC INSIGHT vol.16 | LAC WATCH | 株式会社ラック

 

【企業・団体・作成者】
LAC

 


訓練やっても意味がない!?
~標的型攻撃メール訓練を実施する目的~

【公開ページ】

訓練やっても意味がない!?~標的型攻撃メール訓練を実施する目的~ | LAC WATCH | 株式会社ラック

 

【企業・団体・作成者】
LAC

 


(翻訳)セキュリティで飯食いたい人向けの行動指針

【公開ページ】

(翻訳)セキュリティで飯食いたい人向けの行動指針 - Got Some \W+ech?

 

【企業・団体・作成者】
Ken¥dさん(https://twitter.com/ken5scal

 

 

以上です。

ではでは皆さん夏バテしないように。

      _________
      /     \
    /   ⌒  ⌒\
   /   ( ⌒)  (⌒)\
   i  ::::::⌒ (__人__) ⌒:: i   
   ヽ、    `ー '   /
     /     ┌─┐
     i   丶 ヽ{ .茶 }ヽ
     r     ヽ、__)一(_丿
     ヽ、___   ヽ ヽ 
     と_____ノ_ノ

 

SAUCS(脆弱性管理サイト)を実際に使ってみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

Twitterをぽけーっと見ていたらこんなツイートが目に入ってきました。

 

 

 

 


(・ω・)『脆弱性管理サイト…なんか面白そうだぞ…(ざわ…ざわ…)』

 


というわけでユーザ登録してみて早速どんなサイトなのかチェックしてみました。

ユーザ登録に必要なのは、ID、パスワード、メールアドレスになります。

 

ログイン先URLはこちら↓

https://www.saucs.com/login

 

登録が完了し、ログインするとこんなページが表示されます。

f:id:mkt_eva:20170712015321p:plain

 

なんもないじゃん!!!!!!!(;´Д`)

 

というわけで、「VENDORS」と「PRODUCTS」を設定をまずは設定していきます。

上記画面に載っている「vendors and products」のリンク先に飛ぶと、VENDORSのTOP20やVENDERSの検索画面がありますので、そこから自分の気になったものをチョイスしてみます。

 

僕なりにチョイスしてみた感じはこんな感じです。

f:id:mkt_eva:20170712021840p:plain

 

それっぽくなってきましたね。

ただ、「Trendmicro」と「Trend Micro」があったり、McafeeKasperskyも2種類くらいあったりと1つのベンダー情報が1つに統一されていない感じがしました。

あ、「PRODUCTS」については、とりあえずStrutsだけ登録しておきました。

 

とりあえずDashboardはこれで完成です。これで登録した「VENDORS」と「PRODUCTS」の情報だけは自動的に引っこ抜くことができました。

 

ちなみにこのDashboard以外にも、CVE,、Vendors、CWEの情報を見ることができます。

f:id:mkt_eva:20170712022210p:plain

 

あ、、、ちなみにCWEってしっかり理解できていなかったのでこちらを参考にしてみました。

www.ipa.go.jp

 

 

さて、せっかくなので話題になった脆弱性の情報を調べてみました。

今回調べてみた脆弱性(CVE番号)は以下の2つです。

・CVE-2017-5638

JVNVU#93610402: Apache Struts2 に任意のコードが実行可能な脆弱性

・CVE-2014-0160

JVNVU#94401838: OpenSSL の heartbeat 拡張に情報漏えいの脆弱性

 

どちらも話題になった脆弱性ですよね。

 

SAUCSで調べる場合は、SAUCS画面右上のSearchにCVE番号を入れて検索するのが一番手っ取り早く情報を引っ張れる方法だと感じました。

(※Vulnerabilities (CVE)からFILTERで検索をかけてもうまくいきませんでした(´;ω;`)ウッ…僕の検索能力が低いのかな…)

 

では、上記2つの脆弱性について得られた結果です。

・CVE-2017-5638

f:id:mkt_eva:20170712023446p:plain

 

・CVE-2014-0160

f:id:mkt_eva:20170712023542p:plain

 

画面が小さくて申し訳ないですが、脆弱性の情報やCVSSスコア、影響を受けるバージョン情報、参考情報のリンク等を確認することができました。

 

さて、最後に。

プロフィールでは、パスワードの変更、メールアドレスの変更、メールで通知を受け取るかの有無を設定することができます。

また、「VENDORS」と「PRODUCTS」で自分がチョイスしたものを一括で管理することが可能です。

こんな感じ↓(画面小さくてすいません)

f:id:mkt_eva:20170712024208p:plain

 

 

SAUCSの使い方はまだまだあるかと思いますが、まずはどんな感じで使えるのかを今回はまとめてみました。

僕もまだ使い出したばっかりなので、これから試行錯誤しながら使ってみますね。

 

SAUCSを使ってみたい!って人のなにかの参考にしていただけたら幸いです。

 

ではでは!( ˘ω˘)スヤァ

 

 

 

 

2017年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

今年ももう半分終わってしまいましたね、上半期はやすぎワロエナイ(;´∀`)

じめじめした梅雨もさっさと明けてほしいものです…

 

さて、今回も前月6月のセキュリティのアレコレをまとめてみました。

6月は後半にPetya(Goldeneye)の件がセキュリティ業界を騒がせましたね…

それ以外にもいろいろあった6月。まとめてみたら結構ありました。

今回はいつもよりもちょっと量多めです。

 

では、まとめです。

 


脆弱性のアレコレ

Tera Termインストーラ脆弱性

【概要】
Tera Termインストーラに意図しないDLLを読み込む脆弱性が存在し、インストーラを実行している権限で任意のコードを実行される可能性があります。

 

【CVE番号】
CVE-2017-2193

 

【対象】
Tera Term バージョン 4.94、 およびそれ以前のバージョンのインストーラ
※ZIP アーカイブ版は影響を受けません。

 

【対策】
最新のインストーラを使用する
※本脆弱性インストーラの起動時のみに影響するため、インストール済みの Tera Term の利用には影響がありません。

 

【参考情報】

Tera Term インストーラにおける意図しない DLL 読み込みの脆弱性

JVN#06770361: Tera Term のインストーラにおける DLL 読み込みに関する脆弱性

JVNDB-2017-000108 - JVN iPedia - 脆弱性対策情報データベース


Apache Tomcat脆弱性

【概要】
Apache Tomcat には、セキュリティ制限回避の脆弱性が存在し、細工された HTTP リクエストを処理することで、エラーページの削除や上書きが行われる可能性がある

 

【CVE番号】
CVE-2017-5664

 

【対象】
Apache Tomcat 9.0.0.M1 から 9.0.0.M20 まで
Apache Tomcat 8.5.0 から 8.5.14 まで
Apache Tomcat 8.0.0.RC1 から 8.0.43 まで
Apache Tomcat 7.0.0 から 7.0.77 まで

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
Apache Tomcat 9.0.0.M21
Apache Tomcat 8.5.15
Apache Tomcat 8.0.44
Apache Tomcat 7.0.78

 

【参考情報】

JVNVU#95420726: Apache Tomcat にセキュリティ制限回避の脆弱性

Apache Tomcat® - Welcome!


Linuxやその他のUNIXシステムに脆弱性

【概要】
Linuxやその他のUNIXシステムに脆弱性があり、第三者によってローカル権限昇格を行われ、管理者権限を取得され任意のコードを実行される可能性がある
※この脆弱性は『Stack Clash』と名づけられた
※この脆弱性の概念は2005年、2010年から存在しており、「ガードページ」と呼ばれる防護手段を導入していたが、この防護手段では不十分であった

 

【CVE番号】
CVE-2017-1000364
CVE-2017-1000365
CVE-2017-1000367

 

【対象】
LinuxOpenBSDNetBSDFreeBSDSolarisi386版またはamd64
※他のアーキテクチャーにも問題がある可能性あり

 

【対策】
各ベンダーからのアップデート情報やパッチ情報を確認し、処理を行う

 

【参考情報】

https://www.qualys.com/2017/06/19/stack-clash/stack-clash.txt

Stack Guard Page Circumvention Affecting Multiple Packages - Red Hat Customer Portal

Linuxなどに「Stack Clash」脆弱性、権限昇格の恐れ - ZDNet Japan

Linuxなどにローカル権限昇格の可能性、管理者権限取得に利用される恐れも - ITmedia エンタープライズ

Linux、*BSD、Solarisに特権昇格の脆弱性 | マイナビニュース

sudoに完全な特権昇格の脆弱性( CVE-2017-1000367 ) — | サイオスOSS | サイオステクノロジー


Drupal脆弱性

【概要】
CMSコンテンツマネジメントシステム)のDrupal(ドルーパル)に脆弱性が存在し、リモートよりコードを実行される可能性がある

 

【CVE番号】
CVE-2017-6920
※「PECL YAMLパーサー」の脆弱性
CVE-2017-6921
※ファイルをアップロードされ、ファイルの配布などに悪用されるおそれがある脆弱性
CVE-2017-6922
※「RESTfulウェブサービスモジュール」利用時に影響を受ける脆弱性

 

【対象】
Drupal 7.x
Drupal 8.x

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
Drupal core 7.56
Drupal core 8.3.4

 

【参考情報】

Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-003 | Drupal.org

【セキュリティ ニュース】「Drupal」に複数の脆弱性 - リモートよりコード実行のおそれ(1ページ目 / 全1ページ):Security NEXT

セキュリティー報告:Drupal 7 および 8 コア、Search 404 | WebGoGo!


OpenVPNに複数の脆弱性

【概要】
OpenVPNに複数の脆弱性が存在し、リモートより悪用される可能性がある
OpenVPNVPNを実施するためのソフトウェア

 

【CVE番号】
CVE-2017-7508
CVE-2017-7520
CVE-2017-7521
CVE-2017-7522

 

【対象】
OpenVPN 2.4以降
サーバー側で「--x509-track」オプションを使用している環境
※影響を受けるにはいくつかの条件あり

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
OpenVPN 2.4.3
OpenVPN 2.3.17

 

【参考情報】

OpenVPN 2.4.3 リリース | OpenVPN.JP

https://openvpn.net/index.php/open-source/downloads.html

オープンソースのVPNソフト「OpenVPN」、4件の脆弱性を修正 -INTERNET Watch


Apache HTTP Web Serverに複数の脆弱性

【概要】
Apache HTTP Web Server に複数の脆弱性が存在し、サービス運用妨害 (DoS) などの影響を受ける可能性がある

 

【CVE番号】
CVE-2017-3167
CVE-2017-3169
CVE-2017-7659
CVE-2017-7668
CVE-2017-7679

 

【対象】
Apache HTTP Web Server 2.2.0 から 2.2.32 まで (CVE-2017-3167, CVE-2017-3169, CVE-2017-7679)
Apache HTTP Web Server 2.2.32 (CVE-2017-7668)
Apache HTTP Web Server 2.4.0 から 2.4.25 まで (CVE-2017-3167, CVE-2017-3169, CVE-2017-7679)
Apache HTTP Web Server 2.4.25 (CVE-2017-7659, CVE-2017-7668)

 

【対策】
アップデートまたはパッチを適用する
2.4 系の対策版として 2.4.26 がリリース済み
2.2 系では、各脆弱性に対応したパッチがリリース済み

 

【参考情報】

JVNVU#98416507: Apache HTTP Web Server における複数の脆弱性に対するアップデート

httpd 2.4 vulnerabilities - The Apache HTTP Server Project

httpd 2.2 vulnerabilities - The Apache HTTP Server Project

「Apache HTTP Web Server」の複数モジュールにDoSなど5件の脆弱性 -INTERNET Watch


BIND 9に脆弱性

【概要】

BIND 9の、TSIG認証に関して複数の脆弱性が存在し、ゾーン情報の漏えいや書き換えを実行される可能性がある
※TSIG(Transaction SIGnature):DNSの通信に共有鍵を用いた署名を付加し、通信の安全性を高めるための仕組み

 

【CVE番号】
CVE-2017-3142
CVE-2017-3143

 

【対象】
BIND 9.4.0 から 9.8.8 まで
BIND 9.9.0 から 9.9.10-P1 まで
BIND 9.10.0 から 9.10.5-P1 まで
BIND 9.11.0 から 9.11.1-P1 まで
BIND 9.9.3-S1 から 9.9.10-S2 まで
BIND 9.10.5-S1 から 9.10.5-S2 まで

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
BIND 9.9.10-P2
BIND 9.10.5-P2
BIND 9.11.1-P2
BIND 9.9.10-S3
BIND 9.10.5-S3

 

【参考情報】

JVNVU#99015104: ISC BIND に複数の脆弱性

ISC BIND 9 の脆弱性に関する注意喚起

「BIND 9」にTSIG認証回避の脆弱性2件、最新バージョンへの更新を -INTERNET Watch


シャープ製住民基本台帳用 IC カードリーダライタ関連の複数のソフトウェアに脆弱性

【概要】

シャープ株式会社が提供する複数の住民基本台帳用 IC カードリーダライタのドライバソフトインストーラおよび動作確認ツールには、DLL 読み込みに関する脆弱性が存在

 

【CVE番号】
CVE-2017-2189
CVE-2017-2190
CVE-2017-2191
CVE-2017-2192

 

【対象】
RW-4040 ドライバソフトインストーラ Windows 7 用 バージョン 2.27 (RW4040V2.27_win7V.exe)
RW-5100 ドライバソフトインストーラ Windows 7 用 バージョン 1.0.0.9 (RW5100V1.0.0.9_win.exe)
RW-5100 ドライバソフトインストーラ Windows 8.1 用 バージョン 1.0.1.0 (RW5100V1.0.1.0_win8.exe)
RW-4040 動作確認ツール Windows 7 用 バージョン 1.2.0.0 (RW4040Test_win7V.exe)
RW-5100 動作確認ツール Windows 7 用 バージョン 1.1.0.0 (RW5100Test_win7.exe)
RW-5100 動作確認ツール Windows 8.1 用 バージョン 1.2.0.0 (RW5100Test_win8.exe)

 

【対策】
○最新のインストーラを使用する(以下脆弱性修正済みバージョン)
RW-4040 ドライバソフトインストーラ Windows 7 用 バージョン 2.27A (RW4040V2.27_A_win7V.exe)
RW-5100 ドライバソフトインストーラ Windows 7 用 バージョン 1.0.0.9A (RW5100V1.0.0.9_A_win.exe)
RW-5100 ドライバソフトインストーラ Windows 8.1 用 バージョン 1.0.1.0A (RW5100V1.0.1.0_A_win8.exe)
※ドライバソフトが本脆弱性の影響を受けるのはインストーラの起動時のみのため、既存のユーザはドライバソフトをアップデートする必要はありません。

 

○最新の動作確認ツールを使用する(以下脆弱性修正済みバージョン)
RW-4040 動作確認ツール Windows 7 用 バージョン 1.2.0.0A (RW4040Test_A_win7V.exe)
RW-5100 動作確認ツール Windows 7 用 バージョン 1.1.0.0A (RW5100Test_A_win7.exe)
RW-5100 動作確認ツール Windows 8.1 用 バージョン 1.2.0.0A (RW5100Test_A_win8.exe)

 

【参考情報】

住民基本台帳用 ICカードリーダライタ|サポート・お問い合わせ:シャープ

JVN#51274854: シャープ製住民基本台帳用 IC カードリーダライタ関連の複数のソフトウェアにおける DLL 読み込みに関する脆弱性

複数の住民基本台帳用 IC カードリーダライタに任意コード実行の脆弱性(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]


国土地理院が提供する複数のソフトウェアのインストーラ脆弱性

 【概要】
国土地理院が提供する複数のソフトウェアのインストーラには、DLL 読み込みに関する脆弱性が存在

 

【CVE番号】
CVE-2017-2210
CVE-2017-2211
CVE-2017-2212
CVE-2017-2213

 

【対象】
座標補正ソフトウェア PatchJGD ver. 1.0.1
標高補正ソフトウェア PatchJGD(標高版) ver. 1.0.1
座標変換ソフトウェア TKY2JGD ver. 1.3.79
セミ・ダイナミック補正支援ソフトウェア SemiDynaEXE ver. 1.0.2

 

【対策】
○当該製品をインストールしない
※既に当該製品をインストールしている場合は本脆弱性の影響を受けません。

 

○今後は以下のサイトおよびソフトウェアをインストールして利用すればいいとのこと

測量計算サイト トップページ

座標標高補正ソフトウェア PatchJGD HV|国土地理院

 

【参考情報】

ソフトウェア「TKY2JGD」「SemiDynaEXE」「PatchJGD」「PatchJGD(標高版)」の脆弱性及び提供終了に関するお知らせ|国土地理院

【セキュリティ ニュース】国土地理院が提供する複数ソフトのインストーラに脆弱性 - 使用せずに削除を(1ページ目 / 全1ページ):Security NEXT


防衛装備庁が提供する電子入札・開札システムのインストーラ脆弱性

【概要】

防衛装備庁が提供する電子入札・開札システムのインストーラに意図しない実行ファイルの呼び出しに関する脆弱性が存在
※本件2017年5月25日にJVNで公開された以下脆弱性とは異なるものです

JVN#75514460: 防衛装備庁が提供する電子入札・開札システムのインストーラにおける DLL 読み込みに関する脆弱性

 

【CVE番号】
CVE-2017-2208

 

【対象】
電子入札・開札システムのインストーラ

 

【対策】
最新のインストーラを使用する(以下リンク先に最新版のインストーラをダウンロードするリンクが記載されています)

防衛装備庁 : 中央調達(装備品等及び役務)における電子入札

 

【参考情報】

防衛装備庁 : 中央調達(装備品等及び役務)における電子入札

JVN#27198823: 防衛装備庁が提供する電子入札・開札システムのインストーラにおける実行ファイル呼び出しに関する脆弱性


ソースコードセキュリティ検査ツール iCodeChecker に脆弱性

【概要】

ソースコードセキュリティ検査ツール iCodeChecker には、クロスサイトスクリプティング脆弱性が存在し、任意のスクリプトを実行される可能性がある

 

【CVE番号】
CVE-2017-2194

 

【対象】
ソースコードセキュリティ検査ツール iCodeChecker

 

【対策】
ソースコードセキュリティ検査ツール iCodeChecker を使用しない

 

【参考情報】

ソースコードセキュリティ検査ツール iCodeChecker:IPA 独立行政法人 情報処理推進機構

JVN#25078144: ソースコードセキュリティ検査ツール iCodeChecker におけるクロスサイトスクリプティングの脆弱性

 

文部科学省が提供する電子入札設定チェックツールに脆弱性

【概要】

文部科学省が提供する電子入札設定チェックツールにDLL 読み込みに関する脆弱性が存在し、任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2017-2225

 

【対象】
文部科学省電子入札設定チェックツール.exe(ファイルバージョン:1.0.0.0)

 

【対策】
アップデートする(以下脆弱性修正済みバージョン)
文部科学省電子入札設定チェックツール Ver1.1.0.0

 

【参考情報】

JVN#01775119: 文部科学省が提供する電子入札設定チェックツールにおける DLL 読み込みに関する脆弱性

文部科学省 電子入札 :: トップ

 

WordPressプラグイン脆弱性まとめ

【概要】

6月にJVN脆弱性レポートで公開されたWordPressプラグイン脆弱性まとめ

 

【参考情報】

JVN#70951878: WordPress 用プラグイン WP Live Chat Support におけるクロスサイトスクリプティングの脆弱性

JVN#98617234: WordPress 用プラグイン Multi Feed Reader における SQL インジェクションの脆弱性

JVN#51355647: WordPress 用プラグイン WP-Members におけるクロスサイトスクリプティングの脆弱性

JVN#79738260: WordPress 用プラグイン WordPress Download Manager における複数の脆弱性

JVN#56787058: WordPress 用プラグイン WP Job Manager におけるアクセス制限不備の問題

JVN#73550134: WordPress 用プラグイン Event Calendar WD におけるクロスサイトスクリプティングの脆弱性

WordPress 用プラグイン「WP Job Manager」におけるアクセス制限不備の問題について(JVN#56787058):IPA 独立行政法人 情報処理推進機構

 

 注意喚起やニュースのアレコレ

 

ランサムウェア「Petya (GoldenEye)」が欧州各国を中心に大流行

 【概要】
ランサムウェア「Petya (GoldenEye)」がウクライナを中心とする欧州各国を中心に大流行する

 

【参考情報】(情報過多のため一部抜粋)

更新:感染が拡大中のランサムウェアの対策について:IPA 独立行政法人 情報処理推進機構

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた - piyolog

Petya (GoldenEye)についてのネット記事をまとめてみた。(2017年6月30日AM3時時点) - にゃんたくのひとりごと


国立環境研究所が運用するWebメールサーバへの不正アクセス

【概要】
国立環境研究所の職員のメールアカウントが乗っ取られ、迷惑メールを送信するための踏み台に悪用された

 

【参考情報】

国立環境研究所が運用するWebメールサーバへの不正アクセスについて|2017年度|国立環境研究所

【茨城新聞】国立環境研に不正アクセス 情報流出確認されず

 

団信特約料クレジットカード払い専用サイトが再開

【概要】

Apache Struts 2」の脆弱性を突かれ、不正アクセスを受けた「団体信用生命保険特約料クレジットカード支払いサイト(住宅金融支援機構)」が3月10日ぶりに再開した

 

【参考情報】

事務委託先であるGMOペイメントゲートウェイ株式会社のシステムの不正アクセス及び個人情報流出について<続報4>「団信特約料クレジットカード払い専用サイトの再開について」 :住宅金融支援機構(旧住宅金融公庫)

【セキュリティ ニュース】不正アクセス被害の住宅金融支援機構関連サイト、約3カ月ぶりに再開(1ページ目 / 全1ページ):Security NEXT

 

男子中学生がランサムウェアを作成し、逮捕

【概要】
大阪府内の男子中学生がランサムウェアを作成した容疑(不正指令電磁的記録作成・保管の疑い)で神奈川県警に逮捕された

 

【参考情報】

国内初のランサムウェア作成事案と他に関連が疑われる作成物についてまとめてみた - piyolog

未成年者がランサムウェアを作る時代、日本初の逮捕事例を読み解く | トレンドマイクロ セキュリティブログ

ランサムウェア作成容疑で中3を逮捕 「暗号化ソフト組み合わせて自作」 (1/2) - ITmedia NEWS


ブリトニー・スピアーズの公式Instagramに不正なコメント

【概要】
米歌手ブリトニー・スピアーズの公式Instagramページに投稿されたコメントが「水飲み場型攻撃」に利用されている事例を発見

 

【参考情報】

ブリトニーのInstagramに不正なコメント、水飲み場型攻撃に利用 - ITmedia NEWS

Turla’s watering hole campaign: An updated Firefox extension abusing Instagram


ラック、無料のセキュリティ自己診断サービス「自診くん」を公開

【概要】
ラックが、無料のセキュリティ自己診断サービス「自診くん」を公開した。
ランサムウェア「WannaCry」、「SKYSEA Client View」の脆弱性SSH/TELNET/NETBIOS/RDP/VNCの接続状況についてを診断してくれるサービス

 

【参考情報】

自診くん | 自己診断サービス『自診くん』

「自診くん」公開で見えてきた、引き続きWannaCryに注意が必要な理由 | LAC WATCH | 株式会社ラック

ラック、無料の企業向けセキュリティ自己診断サービス「自診くん」公開 | マイナビニュース

約3%のユーザーがSMBポートをインターネットに開放、ラックが注意喚起 -INTERNET Watch

 

日本語版 「STOP. THINK. CONNECT.」の Web サイトがリニューアル

【概要】
セキュリティ啓発キャンペーン日本版サイト「STOP. THINK. CONNECT.」 が全面リニューアルされた

 

【参考情報】

STOP. THINK. CONNECT. | インターネットを 安全に楽しむための合言葉です

日本語版 「STOP. THINK. CONNECT.」 Web サイトリニューアルのお知らせ | STOP. THINK. CONNECT.

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 日本語版 「STOP. THINK. CONNECT.」 Web サイトリニューアルのお知らせ

 

ランサムウェア「Jaff」が、国内で多数検知

【概要】
2017年6月7日から8日にかけて、ランサムウェア「Jaff」の亜種が添付されたスパムメールの拡散があり、日本の検知件数が突出して多かった
※なお、Jaffランサムウェアの復号化ツールあり

 

【参考情報】

日本で検知が急増中のランサムウェア – カスペルスキー公式ブログ

【セキュリティ ニュース】国内で検知急増のランサム「Jaff」に復号化ツール(1ページ目 / 全1ページ):Security NEXT

The No More Ransom Project

Jaffランサムウェアのもろもろについての調査メモ(2017/06/19更新) - にゃんたくのひとりごと

 

日本マクドナルドのシステムがマルウェア感染

【概要】
日本マクドナルドのシステムがマルウェアに感染し、全国の店舗において電子マネーやポイントなどが一時利用できない状態になった

 

【参考情報】

http://www.mcdonalds.co.jp/news/170616.html

日本マクドナルド、システム不具合から5日ぶりに復旧--マルウェア感染の影響で - CNET Japan

日本マクドナルド、マルウェア感染で不具合 一部電子マネーやポイントが利用できず - ねとらぼ

【セキュリティ ニュース】日本マクドナルドのシステム障害がほぼ復旧 - 一部店舗で調査継続中(1ページ目 / 全1ページ):Security NEXT

 

オンラインゲーム「剣と魔法のログレスいにしえの女神」の開発会社従業員が逮捕

【概要】

スマートフォン向けオンラインゲーム「剣と魔法のログレス いにしえの女神」のアカウントを不正に入手し、販売して現金をだまし取ったとして開発会社従業員が逮捕。利用者情報が分かる社内の「管理ツール」を悪用し、一定期間遊んでいない利用者を検索し、アカウントを不正入手して販売した模様。

 

【参考情報】

無断でゲームのアカウント販売 容疑の契約社員逮捕 :日本経済新聞

【from SankeiBiz】「剣と魔法のログレス」アカウント不正入手、転売 詐欺容疑で開発会社の従業員逮捕 大阪 - PC Watch

 

ファイナルファンタジー XIV(FF14)」のサーバにDDoS攻撃

【概要】
2017年6月17、19、21日に、オンラインRPGファイナルファンタジー XIV(FF14)」のサーバにDDoS攻撃が行われ、ネットワーク障害が発生した

 

【参考情報】

第三者からの攻撃によるネットワーク障害について | FINAL FANTASY XIV, The Lodestone

「FF14」DDoS攻撃で障害 17日から断続的に - ITmedia NEWS

 

フリマアプリ「メルカリ」で一時利用者の個人情報が他社から閲覧できる状態になる

【概要】
フリマアプリ「メルカリ」で一部の個人情報が他者から閲覧できる状態になっていたことが判明し、最大で5万4180名の個人情報がWeb版のメルカリで閲覧可能な状態になっていた。
原因は、CDNのプロバイダ切り替え作業ミス
CDN(Content Delivery Network(コンテンツ・デリバリ・ネットワーク)):キャッシュサーバーを世界中に配置してWebサイトの読み込み時間を短縮させるためのサービス

 

【参考情報】

Web版のメルカリにおける個人情報流出に関するお詫びとご報告 ※6/23追記あり

CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog

メルカリの情報漏えい、理由は「CDNプロバイダの切り替え処理ミス」 - エンジニアブログで詳細を公表|セキュリティ|IT製品の事例・解説記事

「メルカリ」の個人情報漏えい、原因はCDNキャッシュの仕様、技術的な詳細情報を公表 -INTERNET Watch

 

ホンダ、社内ネットワークがランサムウェアに感染し、1日操業停止

【概要】
2017年6月18日に本田技研工業(ホンダ)の社内ネットワークがランサムウェア「WannaCry」に感染し、その影響から19日に同社の狭山工場が1日操業停止となった

 

【参考情報】

Honda Shut Down Plant Impacted by WannaCry | Threatpost | The first stop for security news

ホンダ、狭山工場の操業を一時停止 サーバー攻撃でウイルス汚染 | ロイター

ホンダ、WannaCryの攻撃受け狭山工場を一部停止 | マイナビニュース

 

警察庁ポータルサイト「サイバーポリスエージェンシー」を開設

【概要】
警察庁は、サイバー犯罪やサイバー攻撃の情報を取りまとめたポータルサイト「サイバーポリスエージェンシー」を開設した

 

【参考情報】

"サイバーポリスエージェンシー"

警察庁が「サイバーポリスエージェンシー」開設、サイバー犯罪・サイバー攻撃情報を発信 -INTERNET Watch

 

カブドットコム証券にDDoS攻撃

【概要】
2017年6月29日、カブドットコム証券のWebサイトがDDoS攻撃を受け、同日午前9時2分~9時38分の間アクセスしづらい状態となった

 

【参考情報】

6月29日(木)に発生したサイバー攻撃について

カブドットコム、DDoS攻撃でサイト不通に - ITmedia NEWS

 

世界で2億5000万台以上のコンピュータがアドウェア「Fireball」に感染

【概要】
セキュリティ企業のCheck Pointが世界で2億5000万台以上のコンピュータがWebブラウザを乗っ取る中国発のアドウェア「Fireball」に感染していると注意を呼びかけた。
しかし、Microsoftは「誇張されすぎ」と反論している


【参考情報】

Fireball – 2億5,000万台のコンピュータが感染した中国製のマルウェア - Check Point Blog:チェック・ポイント・ソフトウェア・テクノロジーズ | Check Point Software

Understanding the true size of “Fireball” – Windows Security

ブラウザを乗っ取るマルウェア「Fireball」、Microsoftなどが注意呼び掛け - ITmedia エンタープライズ

アドウェア「Fireball」:大惨事につながる危険性 – カスペルスキー公式ブログ

 

韓国のホスティングサービス企業「NAYANA」が、ランサムウェア攻撃の被害を受ける

【概要】

韓国のホスティングサービス会社「NAYANA」が、2017年6月10日に攻撃され、153台のLinuxサーバがランサムウェアに感染した。なお、攻撃者と交渉を行い、会社を身売りすることでサービス復旧作業を現在も進めている。

 

【参考情報】

http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=960

ランサムウェア被害の韓国企業、身売りと引き換えにサービスを復旧 - ZDNet Japan

趙 章恩「Korea on the Web」 - ランサムウエア身代金に1億3000万円払った韓国IT企業、データは戻ったか:ITpro

Linuxサーバを狙ったランサムウェア「Erebus」とその対策 | トレンドマイクロ セキュリティブログ

続報:暗号化型ランサムウェア「Erebus」が Linux を標的に | トレンドマイクロ セキュリティブログ



セキュリティレポートやブログのアレコレ

ウイルス付メール INDEX版

https://www.jc3.or.jp/topics/vm_index.html

【企業・団体・作成者】
日本サイバー犯罪対策センター(JC3)

 

Armada Collective を名乗る攻撃者からの DDoS 攻撃に関する情報

http://www.jpcert.or.jp/newsflash/2017062901.html

【企業・団体・作成者】
一般社団法人 JPCERT コーディネーションセンター


フィッシングレポート 2017 の掲載 ~ 普及が進むユーザ認証の新しい潮流 ~

https://www.antiphishing.jp/report/wg/phishing_report2017.html

【企業・団体・作成者】

フィッシング対策協議会

 

Internet Infrastructure Review (IIR) Vol.35

https://www.iij.ad.jp/company/development/report/iir/035.html

【企業・団体・作成者】

株式会社インターネットイニシアティブ

 

Windows XPおよびWindows Server 2003におけるリモートデスクトップサービスの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9073)に関する調査レポート

https://www.softbanktech.jp/information/2017/20170605-01/

【企業・団体・作成者】
ソフトバンク・テクノロジー株式会社

 


国内初のランサムウェア作成事案と他に関連が疑われる作成物についてまとめてみた

http://d.hatena.ne.jp/Kango/20170611/1497198757

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた

http://d.hatena.ne.jp/Kango/20170627/1498584138

【企業・団体・作成者】

piyokangoさん(https://twitter.com/piyokango


ランサムウェア Jaff Ransomwareの感染と暗号化されたファイルの復号手順メモ

http://csirt.ninja/?p=1269

OpWhalesのターゲットリスト(2017年06月21日公開版)メモ

http://csirt.ninja/?p=1293

【企業・団体・作成者】

辻 伸弘さん(https://twitter.com/ntsuji

 


クラウドサービスを脆弱性診断する時のお作法

http://tigerszk.hatenablog.com/entry/2017/06/20/202335

【企業・団体・作成者】

とある診断員さん(https://twitter.com/tigerszk


『 IoT診断入門 』について

http://r00tapple.hatenablog.com/entry/2017/06/19/221337

【企業・団体・作成者】
黒林檎さん(https://twitter.com/r00tapple

 

 

以上です。

ではでは!

 

暑い…
    ____
  /  \ / \
 / し (>  <) \
( ∪  (_人_) J )
 / u  `⌒´ ヽ 
 | |        | |

Petya (GoldenEye)についてのネット記事をまとめてみた。(2017年7月3日更新)

どもども、にゃんたくです(「・ω・)「ガオー

 

 

Twitterやセキュリティサイトは見ていたのですが、5月に起こったWannaCryのときと同様に多くの情報が流れてきたため、リアルタイムに情報を追うことが出来なかったというのが現実です。(体調悪くて追える気力もなかったですが…)

 

体調が少し良くなったので、「さて、情報追うか!」となってもどこから追ってもいいかわからなかったこと、頭の中を整理したかったことなどなどありまして、自分のメモ要素的な感じで申し訳ないですが、日本語で今回のPetyaの件について書かれている記事やブログ等をまとめてみました。

 

何かの参考にしていただければ幸いです。

今後更新するかはわかりませんが、現状は2017年6月27日~6月30日午前3時現在までの記事のまとめとなっております。

 

では、まとめです。

 


IPA情報処理推進機構

更新:感染が拡大中のランサムウェアの対策について:IPA 独立行政法人 情報処理推進機構


Security NEXT

【セキュリティ ニュース】「Petya」拡散、「WannaCrypt」と同じ脆弱性を悪用 - 犯人と連絡取れず、身代金支払いは無駄に(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Petya」も狙う「MS17-010」の脆弱性、少なくとも4000万台弱の未修正端末が稼働(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「WannaCrypt」より巧妙? 「Petya」亜種、「Mimikatz」など「攻撃者御用達ツール」でも感染拡大(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】「Petya」亜種、複数ベンダーがメールによる拡散を確認 - 会計ソフトの更新機能も標的に(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ランサムウェア「Petya」、わずか1日足らずで65カ国へ拡大(1ページ目 / 全1ページ):Security NEXT


ITpro

ニュース - IPAが感染拡大するランサムウエアの対策を呼びかけ、日本では被害確認なし:ITpro

ニュース - 新たなランサムウエア攻撃が世界で拡大中、「WannaCry」より危険との声も:ITpro

ニュース解説 - ロシアで猛威のPetyaで分かった、セキュリティ会社の不確かさ:ITpro


ITmedia

世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害 - ITmedia NEWS

世界で攻撃多発のランサムウェア、WannaCryと同じNSAのハッキングツールを利用 - ITmedia NEWS

Petya亜種による世界サイバー攻撃、65カ国に拡大 会計ソフト更新の仕組みを悪用か - ITmedia NEWS

大規模攻撃の新型マルウェア、破壊活動が目的か 復号は不可能 - ITmedia NEWS

総務省、ランサムウェア「Petya」に注意喚起 海外で大規模な被害 - ITmedia NEWS


マイナビニュース(セキュリティ)

ランサムウェア「Petya」の亜種が欧州で猛威 | マイナビニュース

WannaCryを超えるおそれ、ランサムウェア「Petya」爆発的感染 | マイナビニュース

Petya、ランサムウェアではなく破壊目的のワイパーである可能性が浮上 | マイナビニュース

Petyaにワクチン? 動きを停止するファイルの作成方法が公開 | マイナビニュース


tech crunch

Petyaの蔓延を受け、下院議員がNSAに要請、「方法を知っているなら攻撃を阻止してほしい」 | TechCrunch Japan

Petyaはデータ破壊が目的――ランサムウェアではないと専門家が指摘 | TechCrunch Japan

 

ZDNet Japan

また大規模ランサムウェア攻撃、世界各地で被害--今度は「GoldenEye」 - ZDNet Japan

ランサムウェア「GoldenEye」の感染源は会計ソフト? 未確認情報で混乱も - ZDNet Japan

「Petya」系ランサムウェア、ファイル1つで感染防止?--米研究者 - ZDNet Japan

マルウェア「GoldenEye」、身代金要求を装うデータ破壊が目的か - ZDNet Japan


Internet Watch

ランサムウェア「GoldenEye」、侵入後は脆弱性以外の手法で感染拡大、暗号化されたファイルの復号は不能? -INTERNET Watch


Trend Microトレンドマイクロ

続報・欧州を中心に甚大な被害、暗号化ランサムウェア「PETYA」の活動を詳細解析 | トレンドマイクロ セキュリティブログ

大規模な暗号化型ランサムウェア攻撃が欧州で進行中、被害甚大 | トレンドマイクロ セキュリティブログ


McAfeeマカフィー

ランサムウェアPetyaの新しい亜種が大流行中 : マカフィー株式会社 公式ブログ

WannaCryを手掛かりにしたPetyaランサムウェアの新しい亜種が登場 : マカフィー株式会社 公式ブログ

【緊急】Petyaランサムウェア亜種への注意喚起 ~ 欧州を中心に感染拡大中 : マカフィー株式会社 公式ブログ

Threat Landscape Dashboard | McAfee


Kasperskyカスペルスキー

ExPetr/Petya/NotPetya:ランサムウェアではなくワイパー – カスペルスキー公式ブログ

大規模ランサムウェア攻撃:技術的詳細 – カスペルスキー公式ブログ

ExPetr(New Petya、NotPetya)の大発生 – カスペルスキー公式ブログ


Symantecシマンテック

Petya ランサムウェアの猛威: 現時点で知っておくべきこと | Symantec Connect


LAC(ラック)

WannaCryの危機再び。新たな拡大感染型ランサムウェアGoldenEye/Petyaが全世界で拡散中。 | LAC WATCH | 株式会社ラック


MBSD(三井物産セキュアディレクション

WannaCry 2.0(+亜種)におけるワーム活動の詳細と残存するDoublePulsarについて | MBSD Blog

話題のMBR破壊型ワームランサムウェアの内部構造を紐解く | MBSD Blog


Cisco Japan Blog

新しいランサムウェアの亜種「Nyetya」が世界中でシステムを侵害(Petya の亜種)


Microsoftマイクロソフト

Petya マルウェア攻撃に関する最新情報 – 日本のセキュリティチーム


piyolog

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「Petya」についてまとめてみた - piyolog


(n)inja csirt

 

ランサムウェア Petya & Mischaに感染してみました。 | (n)inja csirt

ランサムウェア Petya に感染してみました。 | (n)inja csirt

ランサムウェア「Petya」に感染してみたという過去ブログ

 

 

※今回のランサムウェアに感染してみたという辻さん(@ntsuji)のTweet

 

Hack Japan

20170627_Cyber Attack - Hack japan

 

NTT DATA

ランサムウエア「Petya」亜種の大規模感染に関する緊急調査レポートを公開 | NTTデータ

 

 

■付録(リンクコピー用)

IPA情報処理推進機構
http://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html
■Security NEXT
http://www.security-next.com/083190
http://www.security-next.com/083205
http://www.security-next.com/083225
http://www.security-next.com/083236
http://www.security-next.com/083320
■ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/062801796/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/062801782/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/062901039/?ST=security&itp_list_theme
ITmedia

http://www.itmedia.co.jp/news/articles/1706/28/news058.html
http://www.itmedia.co.jp/news/articles/1706/28/news059.html
http://www.itmedia.co.jp/news/articles/1706/29/news057.html
http://www.itmedia.co.jp/news/articles/1706/29/news059.html
http://www.itmedia.co.jp/news/articles/1707/03/news073.html

マイナビニュース(セキュリティ)

http://news.mynavi.jp/news/2017/06/28/076/
http://news.mynavi.jp/news/2017/06/28/253/
http://news.mynavi.jp/news/2017/06/30/051/
http://news.mynavi.jp/news/2017/06/30/078/

■tech crunch
http://jp.techcrunch.com/2017/06/29/20170628ted-lieu-petya-notpetya-no-kill-switch/
http://jp.techcrunch.com/2017/06/29/20170628analysts-think-petya-ransomware-was-built-for-targeted-destruction-not-profit/
ZDNet Japan
https://japan.zdnet.com/article/35103415/
https://japan.zdnet.com/article/35103435/
https://japan.zdnet.com/article/35103489/
https://japan.zdnet.com/article/35103496/

Internet Watch
http://internet.watch.impress.co.jp/docs/news/1067949.html

Trend Microトレンドマイクロ
http://blog.trendmicro.co.jp/archives/15353
http://blog.trendmicro.co.jp/archives/15339

McAfeeマカフィー
http://blogs.mcafee.jp/mcafeeblog/2017/06/petya-26ca.html
http://blogs.mcafee.jp/mcafeeblog/2017/06/wannacrypetya-7ff2.html
http://blogs.mcafee.jp/mcafeeblog/2017/06/petya-ca93.html
http://tld.mcafee.com/Ransomware/436.html

Kasperskyカスペルスキー
https://blog.kaspersky.co.jp/expetrpetyanotpetya-is-a-wiper-not-ransomware/16707/
https://blog.kaspersky.co.jp/schroedingers-petya/16695/
https://blog.kaspersky.co.jp/new-ransomware-epidemics/16631/

Symantecシマンテック
https://www.symantec.com/connect/ja/blogs/petya

■LAC(ラック)
https://www.lac.co.jp/lacwatch/people/20170628_001319.html

■MBSD(三井物産セキュアディレクション

http://www.mbsd.jp/blog/20170629.html
http://www.mbsd.jp/blog/20170630.html

Cisco Japan Blog
https://gblogs.cisco.com/jp/2017/06/worldwide-ransomware-variant/

Microsoftマイクロソフト
https://blogs.technet.microsoft.com/jpsecurity/2017/06/29/update-on-petya-malware-attacks/

■piyolog
http://d.hatena.ne.jp/Kango/20170627/1498584138

■(n)inja csirt
http://csirt.ninja/?p=554
http://csirt.ninja/?p=409
ランサムウェア「Petya」に感染してみたという過去ブログ

https://twitter.com/ntsuji/status/880036084305993729
※今回のランサムウェアに感染してみたという辻さん(@ntsuji)のTweet

■Hack Japan

https://sites.google.com/site/0hack0japan0/memo/20170627_cyber-attack

■NTT DATE

http://www.nttdata.com/jp/ja/news/information/2017/2017062901.html

 

 

2017年5月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

もう6月なわけですよ!!!

梅雨の時期なわけですよ!!!(雨嫌い!!!)

ジューンブライドな時期なわけですよ!!!(最近僕の周りで結婚する人が増えてるんですよ!!!泣)

 

さて。(一旦落ち着こうな自分。)

今月も毎月書いている前月に起こったセキュリティのアレコレを自分なりにまとめました。

今年の5月はWannaCry月間と言ってもいいほど、世間がこのランサムウェアに振り回されたんじゃないかと感じました。ただまぁ1週間くらいでだいぶ落ち着いたような気がしますけどね。

もちろん僕もWannaCryの件は興味があったので、WannaCryのネット記事まとめなんかを書いたりしました。良ければ参考にしてみてくださいね!(結局番宣かよ)

mkt-eva.hateblo.jp

 

ただ、もちろん今月もWannaCry以外にも様々なセキュリティのアレコレが起こっていましたよね。

大きな問題に目が行きがちですが、こういうときこそ広くモノを見ないといけないな、と感じました。

 

では、先月のまとめいってみましょー!

 

 

脆弱性のアレコレ

Intel Active Management Technology (AMT) 等に脆弱性

【概要】

Intel Active Management Technology (AMT) 等にリモートから対象へ乗っ取りが可能な特権昇格の脆弱性があることを明らかにした。

 

【CVE番号】
CVE-2017-5689

 

【対象】

Intel manageability ファームウェア バージョン 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5 および 11.6 を使用しているハードウェア
・次の機能を有効にしている場合に影響が確認されています。
 Intel Active Management Technology
 Intel Small Business Technology
 Intel Standard Manageability

 

【対策】
ファームウェアをアップデートする
Intelから対策版ファームウェアがリリース済み
 ※https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
→また、システムが脆弱性の影響を受けるかどうかを確認できる「INTEL-sa-00075検出ガイド」および関連ドキュメントはこちら
 ※https://downloadcenter.intel.com/download/26754

【参考情報】

JVNVU#92793783: Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性

インテルの「AMT」や「ISM」に脆弱性--緩和策など公開 - ZDNet Japan

リモート管理機能「Intel AMT」、リモートから任意のコードが実行可能な権限昇格の脆弱性 -INTERNET Watch

 

Sambaに脆弱性

【概要】
Sambaに、リモートから任意のコードを実行可能な脆弱性が見つかった。
Sambaとは、Windows以外のOS(UNIX系OS)でWindowsネットワークの諸機能を利用できるようにするソフトウェア

 

【CVE番号】
CVE-2017-7494

 

【対象】
・バージョン4.4.14、4.5.10および4.6.4を除くSamba 3.5.0以降のバージョン

 

【対策】
・アップデートする

 

【参考情報】

CVE-2017-7494 - Red Hat Customer Portal

Critical Vulnerability in Samba from 3.5.0 onwards - SANS Internet Storm Center

Sambaにリモートからのコード実行の脆弱性(CVE-2017-7494) — | サイオスOSS | サイオステクノロジー

Samba、リモートから任意のコードを実行可能な脆弱性、「3.5.0」以降に影響 -INTERNET Watch

Samba - opening windows to a wider world

CVE-2017-7494 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

注意喚起やニュースのアレコレ

ランサムウェアの「WannaCry」が世界で大流行

【概要】
ランサムウェアの「WannaCry」が世界で大流行し、世間を騒がせた。
感染方法や対策などは下記参考情報を参考にしていただけると幸いです。

 

【参考情報】

ランサムウェア「WannaCry」流行の理由 : 科学 : 読売新聞(YOMIURI ONLINE)

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

WannaCryについてのネット記事をまとめてみた。 - にゃんたくのひとりごと

更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

 

Cisco、「Apache Struts 2」脆弱性の影響受ける製品リストを更新

【概要】
Apache Struts 2」に深刻な脆弱性「CVE-2017-5638」が見つかった問題で、Cisco Systemsは、同脆弱性の影響を受ける同社製品のリストを更新した。

 

【参考情報】

Apache Struts2 Jakarta Multipart Parser File Upload Code Execution Vulnerability Affecting Cisco Products

【セキュリティ ニュース】Cisco、「Apache Struts 2」脆弱性の影響受ける製品リストを更新(1ページ目 / 全1ページ):Security NEXT

 

マイクロソフトが、5月の月例セキュリティ更新プログラムを公開

【概要】
マイクロソフトは5月の月例セキュリティ更新プログラムを公開した。
今回の月例セキュリティ更新プログラムはIE、Edge、Windows、Office/Office Services/Web Apps、.NET Framework、およびAdobe Flash Playerが対象となっている。

 

【参考情報】

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/bc365363-f51e-e711-80da-000d3a32fc99

Microsoft 製品の脆弱性対策について(2017年5月):IPA 独立行政法人 情報処理推進機構

2017年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起

マイクロソフト、月例セキュリティ更新(5月) - "緊急"含む複数の脆弱性に対策 | マイナビニュース

Microsoft、5月の月例パッチ公開、Creators Update以外のWindowsでもSHA-1証明書サイトをブロック -INTERNET Watch


業務PC でアダルトサイト閲覧をしていた神戸大職員が懲戒処分

【概要】
神戸大学は、1年間で約150時間、業務用パソコンでアダルトサイトを閲覧したとして、50代の男性事務職員を停職2カ月の懲戒処分にしたと発表した。

 

【参考情報】

【セキュリティ ニュース】業務PCでアダルトサイト閲覧、職員を懲戒処分 - 神戸大(1ページ目 / 全1ページ):Security NEXT

神戸新聞NEXT|社会|大学PCでアダルトサイト閲覧 神戸大職員処分


JPCERT/CCが、jpcert[.]org ドメインを取得

【概要】
第三者に2017年2月9日に取得されていた、jpcert[.]orgというドメインを2017年5月9日にJPCERT/CCが取得した。

 

【参考情報】

jpcert.org ドメインに関するお知らせ

偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~


Google DocsGmailのユーザーを狙うフィッシング攻撃が急増

【概要】

Google DocsGmailのユーザーを狙ったフィッシング攻撃が急増し、偽装されたGoogleのURLをクリックすると、攻撃を受けたユーザーのGmailをすべて読めるようになり、かつユーザーの連絡先リストに登録されている人へ同じものを転送してしまうという内容。

 

【参考情報】

Google Docsを悪用したフィッシング攻撃に注意 | マイナビニュース

SOPHOS INSIGHT|Google Docs を騙ったフィッシングメール/ワームの問題 – 経緯と対策

Gmailアカウントに対する巧妙なフィッシング攻撃 | トレンドマイクロ セキュリティブログ

ニュース - Google Docsを悪用したフィッシング攻撃が発生、すでに対処済み:ITpro

急速に広まったGmail/Google Docsのフィッシング詐欺に対してGoogleが公式声明を発表 | TechCrunch Japan

 

MicrosoftのEdgeとIE11で「SHA-1」利用サイトをブロック

【概要】
MicrosoftのEdgeとIE11では、SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するように変更された。

 

【参考情報】

マイクロソフト セキュリティ アドバイザリ 4010323

SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に - ITmedia NEWS

【セキュリティ ニュース】「IE」や「Edge」でも「SHA-1」利用サイトの読み込みをブロック - 警告を表示(1ページ目 / 全2ページ):Security NEXT

「Edge」「IE」も「SHA-1」証明書の利用サイトをブロック - ZDNet Japan


「Shadow Brokers」が毎月有料で新たな流出情報の提供を予告

【概要】
ランサムウェアの「WannaCry」騒動のきっかけをつくった攻撃者集団の「Shadow Brokers」が毎月有料で新たな流出情報の提供を予告した。

 

【参考情報】

OH LORDY! Comey Wanna Cry Edition — Steemit

NSAのツールを盗み出したハッカー集団、さらなる流出を予告--毎月有料で - ZDNet Japan

「WannaCry」大規模攻撃発端のShadow Brokers、新たな流出情報の提供を予告 - ITmedia エンタープライズ


複数の脆弱性を修正した「WordPress 4.7.5」が公開

【概要】
クロスサイトスクリプティング (XSS) やクロスサイトリクエストフォージェリ (CRSF)などの脆弱性を解消した「WordPress 4.7.5」が公開された。
WordPress 4.7.5」への更新は、ダッシュボード>更新メニュー、から行えるとのこと。自動更新を有効にしていれば自動的にアップデートされる。


【参考情報】

日本語 « WordPress 4.7.5 セキュリティ・メンテナンスリリース

「WordPress 4.7.5」公開、XSSやCSRFの脆弱性など修正 -INTERNET Watch

WordPressに脆弱性、アップデート推奨 | マイナビニュース

 

ウイルスつきスパムメールが大量に拡散

【概要】
ウイルスつきスパムメールが大量に拡散している。以下件名のまとめ。

(※JC3のサイト参照)
・Fwd:
・Fw:
・FW:
・05.17
・05/17
・28.05
・ご注文ありがとうございました
・入庫分の画像を
・本日 写真
・Re: 2017下期仕入料金について
・Fwd: 支払条件確認書
・全景写真添付
・駐禁報告書
・クリエイツ顔写真
・請求書「invoice」
・請求書
・請求書払い
・保安検査
・【賃貸管理部】【解約】・駐車場番
・Fwd: 領収書添付させていただきます。
・【配信】
・【017/05】請求額のご連絡
・予約完了[るるぶトラベル]


【参考情報】

注意情報|一般財団法人日本サイバー犯罪対策センター

「駐禁報告書」に注意-43万件規模のメール拡散の狙いは37以上の金融・ネットサービス | トレンドマイクロ セキュリティブログ

「駐禁報告書」「保安検査」……ウイルスメール拡散 警視庁が注意喚起 - ITmedia NEWS

WannaCryの裏で「駐禁報告書」メール21万件超が大量拡散、添付ファイルはウイルス、銀行・カード情報など盗み取る -INTERNET Watch

「るるぶトラベル」の予約完了メールを装ったウイルス付きメールが拡散中 -INTERNET Watch

件名「Fw:」 「発送完了通知」装うウイルスメール出回る - ITmedia NEWS

 

「サイバーセキュリティに関する総務大臣奨励賞」に個人2人と団体1人が初受賞

【概要】
「サイバーセキュリティに関する総務大臣奨励賞」に個人2人と団体1人が初受賞した。受賞者は以下のとおり。
・株式会社 日立製作所 Hitachi Incident Response Team チーフコーディネーションデザイナー 寺田 真敏氏
・セキュリティリサーチャー piyokango氏
・「SECCON実行委員会」

 

【参考情報】

総務省|平成29年度「電波の日・情報通信月間」記念中央式典における表彰

piyokango氏に総務大臣奨励賞 ブログ「piyolog」で「セキュリティ向上に貢献」 - ITmedia NEWS

 

PCI DSS」の日本語版を公開

【概要】
PCI SSC(Payment Card Industry Security Standards Council)によって運用されている、「PCI DSS v3.2」および「PCI DSS SAQ v3.2 Rev.1.0」の日本語版が公開された。

【参考情報】

安全なカード社会の実現をめざして日本カード情報セキュリティ協議会

【セキュリティ ニュース】PCI SSC、クレカのセキュリティ基準「PCI DSS」日本語版を公開(1ページ目 / 全1ページ):Security NEXT

5分で絶対に分かる:5分で絶対に分かるPCI DSS (1/6) - @IT

 

フィッシングメールのアレコレ

【概要】
フィッシング対策協議会の緊急情報(5月)に記載のあった正規サイトを騙られたのは以下のとおりです。
・セゾン Net アンサー
MUFG カード
・LINE

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] MUFG カードをかたるフィッシング (2017/05/15)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] セゾン Net アンサーをかたるフィッシング (2017/05/15)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | LINE をかたるフィッシング (2017/05/29) 


セキュリティレポートのアレコレ

 

WannaCry系のレポートはコチラを参考にしてください

WannaCryについてのネット記事をまとめてみた。 - にゃんたくのひとりごと

 


「再発防止委員会の調査報告等に関するお知らせ」(GMOペイメントゲートウェイ

ご報告 | GMOペイメントゲートウェイ株式会社

https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf

【企業・団体】

GMOペイメントゲートウェイ

 


サイバーセキュリティ戦略本部長の勧告に対する報告書について(厚生労働省

http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_170428-01.pdf

【企業・団体】

厚生労働省


偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~(JPCERT/CC

偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~

【企業・団体】

JPCERT/CC


日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者(LAC)

日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者 | LAC WATCH | 株式会社ラック

【企業・団体】
LAC

 

Sambaの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-7494)に関する調査レポート(ソフトバンク・テクノロジー)

CVE-2017-7494 - 脆弱性調査レポート | ソフトバンク・テクノロジー

【企業・団体】

ソフトバンク・テクノロジー

 

情報セキュリティ早期警戒パートナーシップガイドラインIPA

情報セキュリティ早期警戒パートナーシップガイドライン:IPA 独立行政法人 情報処理推進機構

【企業・団体】
IPA独立行政法人 情報処理推進機構

 

 以上です!

今月もここまで読んでいただきありがとうございました!

ではでは!

 

 

    ∧_∧
   (´ω`)
梅雨明けてないじゃないすか!


   n ∧_∧n
   ヽ( ;ω;)ノ
   〉  )
   <_< ̄>_>
  
  やだ―――!

 

 

Jaffランサムウェアのもろもろについての調査メモ(2017/06/19更新)

どもども、にゃんたくです(「・ω・)「ガオー

 

世間を騒がせているWannaCryランサムウェアの裏で、「Jaffランサムウェア」というランサムウェアが流行していることを5月の中旬ごろから確認しています。

 

だんだんと日本でも報道されるようになってきました。

www.itmedia.co.jp

 

gblogs.cisco.com

 

blog.kaspersky.co.jp

 

blogs.yahoo.co.jp

 


ちなみに、Jaffランサムウェアに感染するフローはこんな感じです。

 

①不審なPDFが添付されたスパムメールが届く

②受信者は添付されたPDFを開く

③受信者がPDFを開くと、PDFに埋め込まれたWordファイルを開くよう促される

④受信者がPDFに埋め込まれたWordファイルを開くと「コンテンツを表示するために編集を有効化する」ように促される

⑤受信者が編集を有効化すると、Wordファイルに埋め込まれたランサムウェアダウンローダが起動し、ランサムウェアに感染する

 
今後、Jaffランサムウェアによる攻撃が日本にも来る可能性を考え、現段階でJaffランサムウェアについて判明しているデータをまとめてみました。
監視などを行う際の役に立てていただければ幸いです。

 

【Jaffランサムウェアの復号化ツール情報(2017/06/19更新)】

Jaffランサムウェアの復号化ツールがどうやらリリースされたようです。

復号化ツール名はRakhni Decryptorです。

以下、ツールをダウンロードできるリンクを記載しておきます。

http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip

http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip

※上記どちらからでもダウンロードできます。

 

上記のダウンロードリンクのあるページも載せておきます。

https://noransom.kaspersky.com/

https://www.nomoreransom.org/decryption-tools.html

 

 

 

また、セキュリティリサーチャーの辻伸弘さんのブログに復号化の仕方について書いてありますので、復号化する際の参考にしてみてください。

csirt.ninja

 

 


【調査概要】
■参考サイト

Malware-Traffic-Analysis.net

Internet Storm Center - SANS Internet Storm Center

Cisco's Talos Intelligence Group Blog

 

■調査期間

2017年5月中旬~

■抽出するデータ
PDFファイルのハッシュ値
Wordファイルのハッシュ値
Jaffランサムウェアハッシュ値
Jaffランサムウェアのダウンロード先URL
感染後にTorブラウザで接続する先のドメイン

 


※注意※
以下記載しているURLやドメインには直接アクセスしないことをおすすめします。
なお、アクセスし被害などを受けた場合でも当ブログでは一切の責任を負いませんのでご了承ください。

 

 

PDFファイルのハッシュ値まとめ(2017/06/07更新)

スパムメールに添付されているPDFファイルのハッシュ値まとめです。
※いくつかのハッシュ値の後ろについている「~.pdf」はPDFファイル名です。

 

  • 0a265c366932405a3247508a1a1a65241681e9d698acf31c828f0b6c68a04be0 - nm.pdf
  • 1100f0d5e11ef9177c6b45b58999f86a2f1451668721ae6b2e73135cf3e487c8 - nm.pdf
  • 235b8bf934ba5a562a7f47e8f622092ef6492bab644eb9a0b63f1aa9cb685d84 - nm.pdf
  • 3028117d9773d4f978abd6ac6d14f17593e69297efec757104c4098ea5ad1768 - nm.pdf
  • 358a6decd42df41c0234e5f14f5ad572e4da50ee030b8a9569821f4ffb6c8cd3 - nm.pdf
  • 372adf1cdf70c716da09c5b2aa2ab1f3d48a6e3d1a7a969eb847d6562e0e0a3b - nm.pdf
  • 3b7cd88cf3acb5e617b5bfdaab43413e96147393dc6fae264a8ca361381344c9 - nm.pdf
  • 3e4bd555d5eb34cf3b79d21ab7788c9cf3c6be3eccff48655c265e31dceaf599 - nm.pdf
  • 47e81d1de081e4e435bdbdd0df2857055fffdf749ddf7c1bb1f2e0040241724f - nm.pdf
  • 57bfe19f9615f026765825689cdc26725f4f24f23123bdcc35aeddbdc5274fc4 - nm.pdf
  • 6c4c5a1500a014aba0b5a01193abe9dd22c960028fa77ab9f3f8a678ad42dd03 - nm.pdf
  • 8a3070bf1c86dfa86650e717c2d466f62ff253f28797a42bff819ed17571cbb0 - nm.pdf
  • ac5c2c47c4cf28ee8336a51ed33eec40ef76b7990691f23eade0b240cd61c40b - nm.pdf
  • ad454b174bc2d2903fc3063da2c918daf9c2bb9ffa1e13f6db42ad82f549cefe - nm.pdf
  • b0f475e09e82891cbcd6c2a823000161191ea6d899f9d610f508ab26dee59584 - nm.pdf
  • c3cf407f5c6269d79aef3f2e8bcf296a325fa067aa1af3f44c6e53189f66e111 - nm.pdf
  • eb41eb3aa7d96ceebefa633cb519fae84ca66dd434cf3303576e9aff86a02f61 - nm.pdf
  • f712e08b8020c5a0615a0f128ea9a891d2d45deafe7446c11f9227bd77dd28b3 - nm.pdf
  • 5968b7a89e5d1db8447b5343f20362ab713551a94226fb905fff7a067c770c79
  • 279bd153041b64966147eb7d036f570199e2d068c92746eb3e571d49fd7e3805 - Invoice.pdf
  • 5b10d2ae464ec1b3c5d62d70d452d205419c0892fa2d21892767f8f30a6b8e98 - Invoice.pdf
  • 5da7c8bf86dc71531b2cd34e565385dae7b080cde104e5abe29577ed03787a71 - Invoice.pdf
  • 66c406bbe06a7804508e39eb3822b0a4f27b14a9d4c5dff970d559bcd88d6abc - Invoice.pdf
  • 728174eddaf20492bfc3d85df3148aad3ff2677c88c901d727272c0f1aa4a0dd - Invoice.pdf
  • 85640107aec9c21f6fdcf62ef79046aa57c18da35d29795febb7ac634165f93c - Invoice.pdf
  • bd5cc7c63481cb6f54b8ddd3b459976021839119f2f57a2f60e52159ac0c184d - Invoice.pdf
  • ebcdc058e4d7d7e2d9bcf59042c50814c335e3aa18b59f76a9eccc9918c78bb7 - Invoice.pdf
  • 10321320369049daf9e10a898d44d489c5c1eba376c4ee9144257e2285634aa8
  • 11f02f894bd5773bf5a6b6da6336881d30f525f16bfc938c42d6e305de6b2f46
  • 476d6c030f56b9727abd5da5322efb08063a50e6b71562fb40eb779b1d3689ff
  • 4967779ed93e178ad3e5d895a434f4866f77ddc3df9e9f3c0c69d9c6419835d6
  • 6df458c9e52d9b104f8419a5bdfe320730b07642af007972b0fa72200e4949ad
  • 7b007efc9a703bbaeebd9bc443efb9f8c6300c3f1480a040a81a2120dc5c97cb
  • 7cd7a975ac42b409d97161c5fb3e100552bc5c2eaeb6e196b45e2a55c5086b17
  • 9e31d8584c3d281bb264e6cccd38eb25ec8d1b7a11af85b2e42c335a06c78bfd
  • d36aa76aa38e01bdc5d1ce3c83bffb402e0b8e7ff5200e79ca700864ac9abdee
  • e08a6331873d1aea6d6ec8178d550a56a98895fb268c430948af9bc1098a9762
  • e1aab160d59b83a9b62dc2609c2d55b7f07387f4b84041c18efe068e05f9b9dd
  • 23b8ff79b843ec1b7b963bd7bff5d30161bf805bb2b8904c336d2da3dcf41dcb - img_9117.pdf
  • 6faa78da1d6d8028d61ea96e16089893e3ba93e4dc357d552edd58df0bcfe2cd - img_5426.pdf
  • 9580f0eb3807e78ec876fb1b439a3455113d5e66d2d3470bf0eca06748fc9ee1 - IMG_8010.pdf
  • eb3cee41ccabe1449d99d36c255dc9d6162fe5931f32a9f73464be67df8b80cb - IMG_6943.pdf
  • 0218178eec35acad7909a413d94d84ae3d465a6ea37e932093ec4c7a9b6a7394
  • 0a326eb9a416f039be104bb5f199b7f3442515f88bd5c7ad1492b1721c174b8e
  • 21da9eeded9581f6f032dea0f21b45aa096b0330ddacbb8a7a3942a2026cc8ca
  • 4458f43127bb514b19c45e086d48aba34bf31baf1793e3d0611897c2ff591843
  • 66320f4e85e3d6bd46cf00da43ca421e4d50c2218cb57238abb2fb93bef37311
  • 7dd248652f2b42f3e1ad828e686c8ba458b6bb5b06cea46606ceccdd6b6e823c
  • 8a474cdd4c03dd4a6ba6ad8945bf22f74f2f41830203f846d5437f02292bb037
  • 956e43ece563fd46e6995fae75a0015559f0a63af5059290a40c64b906be5b9b
  • 9beb67a68396375f14099055b712e22673c9a1d307a76125186127e289ab41a2
  • b2b9c02080ae6fbe1845c779e31b5f6014ec20db74d21bd9dd02c444a0d0dd9b
  • c126e731c1c43d52b52a44567de45796147aca1b331567ed706bf21b6be936b4
  • cde2ff070e86bc1d72642cb3a48299080395f1df554e948fd6e8522579dfe861
  • daf01a1f7e34e0d47ecdfcef5d27b2f7a8b096b4e6bc67fb805d4da59b932411
  • e477300e8f8954ee95451425035c7994b984d8bc1f77b4ccf2a982bb980806fe
  • 0237ae2520a441751b224d56aa776ba3758d07073b5164c5174ea2e4990f8462 - 4163.pdf
  • 0d33a0f086710c812794dc20c6057d422c74c582b6bb737b3c3ade0fd369c801 - 2317.pdf
  • 454d5ec8cac7915ab1b02852007d28a65a5076fbc28e5b6ffbb6bca290596a9e - 4022.pdf
  • 4f332611fe30a155fcd73aff87135035436196acbb8ccf219efdc8a3c3b7ae14 - 74332.pdf
  • 2ac01c6385135cc695abdf4e9e34d7618a7e0b81285e1f3123df54a9572982fd - 79443215.pdf
  • 753550a1aa18b506693af9e1dd3af81de174cd88e820a7c87e9a8474456d3deb - 77586054.pdf
  • 7cf89ac46a7bfcb8657c8b7bfa9f39c5396ec62ef9e86416f4780138c72e9040 - 41021119.pdf
  • 81ef38b0fb7c395c05f593847074021743b4b2a4b1b45478e25cf64194a67aef - 35418461.pdf
  • 3d42c848fca91239bbf1e922943c6466aa44be43ebf7ca0ebcab59bb2e27eb38
  • 49ac12934894982da7654a10e8d5cc3f5df500f7bde58481cce63f8b1ce5d969
  • 4e781c648bb0aa0b1d41b61932d4935b3b5d0c9473d13a1b6a1cf4d8ff85e14a
  • 5be7c72e40d26e2df89d3aa0d590bb5af51248e4cab27dde444dec4d1e76364c
  • 8db8b32eaca86182497b83614e15c0693ed6a4d42443e0cdb779c5d6035633f4
  • b6727793ddc9c4ac6baf600834b38b54de23628b3bec631cfb6705c6fecabf2e
  • c8fb245c25e7091489f26c538658637f9bfb82a5434282690aebe99015b42070
  • f8a75a98f671644d6ee626a8920b41e4843f018b479ec82a090d01a8986b70d5

 

Wordファイルのハッシュ値まとめ(2017/06/07更新)

※PDFファイルに埋め込まれている悪意のあるWordファイルのハッシュ値まとめです。

※いくつかのハッシュ値の後ろについている「~.docm」はWordファイル名です。

 

  • 1b33cc35011ddee5766342ba26f9964712f6531c6c057138890e36a58404d5b0 - OASOC.docm
  • 20c7800aa15b5d378ff3b39e9c901dc68a12489a4a1800a6ec9b59f16ba1bafc - VRAQJFN.docm
  • 219485c2dd60f9cb70a1c787802551f77e6cb1b421568372d425ffa49772fca8 - UG6F2EG.docm
  • 29c027a3386083974b6dbf51d1e0c2e3f89b78c44bda350a543af4c5a813f456 - R5ZWWKW.docm
  • 2efcffff5c144f8397da3df815f15145a0600a85a612ede9e0ae6846b7bf5388 - KJBXFNG.docm
  • 4792532defb4431aa399f649a3e443a62f062e4a99458c7ee240c2ae5d6716f4 - DAM869G7.docm
  • 517b9cb82b4d4e7e8af5ec96cc832bcd0ec6d1203bc8046c8e3d546e3b283e65 - NFSX8YGD.docm
  • 59959df33f904f32046e4f79830f574862e8fe9edae75f88f91064bebb5f4d8c - UOX22.docm
  • 59be1462a0d8fe2dcb88f6174e9d671bba7d8969a46dc5f566e006acec4df671 - YVFUI6ANI.docm
  • 641b2ad3d345b97a8c92d152bb3f9b4b8a98af41ce3d1a9454fb804cce8f26dc - W7NXLMV.docm
  • 6d31108908dc891f1c784831acfc69c5da65d982d8928da5ccfd0b15351aa3db - KUM1PQ.docm
  • 6e7ff200d849d8594ddb72d4840daefa78d0d025f28d26c6c96f2eaccfba19ba - GCWJ9Z.docm
  • 713e492aa212eb265de9dfc1d615dd57940aa3bde5293aef15165da027e28d3c - OWZGY.docm
  • 7c550b82d112e065890a8e7efe862832b32cfeeb4f6a9ce85151525147a7cb9d - JXMDE8A.docm
  • 9e441538b51c24f8f1e32411a52b58c1aaf6a591e96b5a17eebd3550da185baf - CAFZIVO.docm
  • aa576e4bd47c41c783a20b41920601bfe092dd10ec262917e50b363eb132f958 - KFIG8EHN.docm
  • b6c2f3466a76a56d0e0a373130e6f147fa1e11a0faa9f146d3418b4c477fc7ea - BMBU5E.docm
  • c20562703066886685e5980ebc9f94499f9a152e628777f15592e4092348b9e8 - XQHPYQ.docm
  • a5008680100ec970009eb68b5e8bb98af5fb58aef5b8f043e1517390245e0edd
  • 1bc1196f611d2c6e5bd904160354fe1374c39b907411a5a15592bbc80bd4c4c4 - VEZLGKVC.docm
  • 349365e97bba0377c960894ddcdb9939e386b55e764b7d3f8257aa538866167d - LNJ9DNIJ.docm
  • 4da60d4278f4996163f5ffa28196919369d4ca365245ce8c60dc46bd9d816667 - HSOTN2JI.docm
  • 4ff07b88668dfc828f18859b84805aae9c06b485594d029e42c1b0c9255988e6 - U4HKZVPRL.docm
  • 9c9e0e6900b82b14816ccd7dd3f3269c44bb752a63c63afe652feaf090c551c2 - UCER2Q.docm
  • a7810d1b9d50e78157ee43d2c6f34dddd70f11bc0c76311a0e223fbd9ee20165 - HBTEJ.docm
  • b8ddb998befb348bbc242ed66757b8024f4fceec1f5b5b145f8aac5874d9e81f - GUMHSZUM.docm
  • d30b4f0c787794a838b3cf34bdaee77bc95f42fe84bef67c5283033ee4265111 - UTTNNVW6V.docm
  • 2fe146a9b8857e4c8fb8feb41952ec58c7bfc2c4c8fba2ac3c8bce28ce8bd468 - DLYX3.docm
  • 43c96848e38431c5b9d90622808733cfe011e6b1a04b0c8f5e4e50a205ea95f9 - LOASWA.docm
  • 5406916f81e8c20f61d0ff8f3242642d6d04ffb0c0c2d351bfd166aa3b62a44b - VWJEPFUGN.docm
  • 56db9d583df62c240576b372e0ddfaadd8adb2e40d0af974d8b7cd33bc06443a - VNNCTVG.docm
  • 8f04b9cd61543f8211285cd72f3a73d55cc2035da5e9abd44ec82f6a6b820ba6 - XJ3ZKWN.docm
  • a358fb67469ea758d100fe42423b6b8c1085b47efa701e441fc20af11dc9d307 - BMUC3LI.docm
  • a5563ae47b4aefdc8ce88dc82bd920446abdd7bcdf9c0c0196ee534aeebd2c5b - HMFQD7F.docm
  • b657ee84e4358187091ae49dbecade191418624d0ec1958524fc9d2740b0d623 - WBLYJOFBR.docm
  • cbd9fc0ee67a1edd2511773cb013d2db55f4f42c15b1fe37b417bf096ca7f029 - HC5TMRFS.docm
  • cc18fd9d51b01cd3dc5f6a07403a933baa8ec648e0b65835bf10a8efdc583217 - LXC9UU.docm
  • f3a3299f3ff1e51b5d52c99c78df7a6a585c1a2686a8468a3dfacde9a6fe6b4e - SOBFSGAUV.docm
  • 018c0c2a56bcc94364aed07341e529c45f52c1e011b84fe5603a10d3f59e6f85 - T9PIQ.doc
  • 3084e31a061f6adf56486e959450166671072c5503e35703a70f8f40424d7188 - U2MH1.doc
  • a9eeb194ea0cfa3fb46a651b328e56fdd4428a13c893a4066a75bf407a14ab65 - GWM2CKV.doc
  • df85f57b904273a5f14ee5f7f3aabdcb1f3c882f30e05caa05dc76c138f878e2 - XXZSTFDB.doc
  • 084ee31e69053e66fafe6e1c2a69ffec015f95801ce6020f7765c56d6f3c23ff - PQQIDNQM.docm
  • 0855061389b62ec6a9b95552357ff7571ae5c034b304978a533c6cba06c3f9e8 - GYTKPVM.docm
  • 1f2598dc7a7b8f84307d8c2fa41f5550c320f8192cd41e50b47570d3836e6fcc - RNJSMOVS.docm
  • 2dbf9e1c412aa1ffd32a91043642eb9cc80772c87dbbce3dd098c57d917277fb - DLDD7LH.docm
  • 3f95a7eeb1965193a4e92862c10897e04708b37b793b8e45f890d019358214c0 - DC2ZPQ.docm
  • 56cd249ff82e9bb96a73262090bc6a299ead64d6c75161520e745c2066f22430 - KAR6WLU.docm
  • 795d8312749c122fa10a93c9f3aa1c0f4ffc081714c0ddb66c141334f8ef0633 - M4SQLA2.docm
  • 8906d10a48487d8240bddd0c0cb5c076e88104c86bdf871b0143d74b6df3cc98 - NQBCXP4.docm
  • 91aa966e837c4144a1294aa912a2162397f3a6df98cf336891d234e267cd919f - RNOHLIAFU.docm
  • 933fcc1bf90716abf7c4eaf29b520d2276df895fb4dd5a76be2a55028a4da94e - PCHLUPL.docm
  • a98782bd10004bef221e58abcecc0de81747e97910b8bbaabfa0b6b30a93b66b - Q1DOEY13.docm
  • ae244ca170b6ddc285da0598d9e108713b738034119bae09eaa69b0c5d7635f8 - TH1DZZPT.docm
  • bc0b2fbe4225e544c6c9935171a7d6162bc611a82d0c6a5f3d62a3f5df71cf8c - OLZNKWSOW.docm
  • c702deaa2fe03f188a670d46401e7db71628e74b0e5e2718a19e2944282e05cd - VUG3FBFO.docm
  • 549acec1f738a40d4097ba096ff2827bc76481b3f4dd73ef0fab437eb476be29 - U9P2HY9.doc
  • 8abb70a36f99ee613f65535aeaaf28a3d0e79df7129110f4f9ef50833f664354 - NCVH2PL.doc
  • 9383ade91f05af3f350831ac76ba218e42fc033964753e6db71c0fded5b0b832 - WXEVIR.doc
  • c47090ad7c20f9cafee4e162985f6a2d8b60c4e3b3327d532e70a167b8a1a9e8 - W2X2PEW.doc
  • 5db77f4e40f002917e99670f23976d883e67b17cffbba0b5801328b6c49c81f8 - YLRZLH.doc
  • 830de9a72c138440482d0b7049f8d1a4de4906574043e721cd7d1487f2de2100 - XKDQK1N.doc
  • 990ec28dd5d11e294910e2ed1e7bae6cc57272af402d6bf7bd3db9fd5dc89c3a - FXCHG1Y.doc
  • b4304a0346bae39f2e158d2ad404f8b45aba2640fd903b26c5d6ca07ea9611ff - YVQEG23K.doc
  • 1b5882d4a1feaa522ebbf056b5e25885511a979204f570bd54853d8f343ae6e9
  • 308c2b5fa10c32adbfc4d878b864a9daefbdca679ad5b2016a311476caea0e9a
  • 48c89d083f6a73cf48b6c345e1ff20671a944e9905d95a50f8aa865e74e175c1
  • 691f30943872f5a1037d774942f4e41141bdd3f12c5b78d3dc7bdf9f0471a349
  • 813d2d846de303fd5231b43a69102c54936d8e4649aa25263d6287faac806fd7
  • a57c3a2c291048a7b8968f81fb24aeb91f6c50130665389115ea9abc0506180b
  • e77f5822dfaedae8a44ff1f77c5f074c6fb4e6492d8a7debcddb1629bcd02323

 

ZIPファイルのハッシュ値まとめ(2017/06/15更新)

  • 6643ae22814b118da4af55b365d62ba5c032b66e9717cde499c4e578d6fe3aa7 - invoicepis0413254.zip
  • 8be825e2a658d5c23bf434cf4b52fd6c7d6b8ff7184274622b4fd1178e72d738 - invoicepis1314074.zip
  • b8fce962dea3d0f76f020bc89402b69df272ed81569bdd302ace4ff4a054e0ac - invoicepis1695072.zip
  • 7f7423a76c055116f55a424fb5fa03069a63db3d06b764bba057bb9678e95a32 - invoicepis2233669.zip
  • b808ab2a7be1c153fb3511c5dff97a9cd1c645628933c545edf91001af52bdfe - invoicepis2436728.zip
  • 5bc0649ae27083ba74eddd3d9f98cd1d1733cb1c1a5a1790f0fa979c0604db38 - invoicepis2511038.zip
  • 62ff866da9576e2b178f6385465c45f4773ce37fcae0c101865d71d1c4500ea3 - invoicepis5416591.zip
  • 0daffeae3bba397f66565872c0a97f436f23deac3e5d1ee1eb76d67006e1956e - invoicepis6680000.zip
  • 51d30e6b11a2a1b0e963644d50bb43fc4ba58e4f5864c0999a69ad7001256b28 - invoicepis8938690.zip
  • ff788450fff963c894cdc4eb909e7b59a2a4896c325d44164ccc9acc93122c00 - invoicepis9587975.zip

 

WSFファイルのハッシュ値まとめ(2017/06/15更新)

  • 78559cb2823bcc6652ce6d5b9b4049b8b3a1147373d310f820ce6a943d107f9b - AXQ4CXPA.wsf
  • 88fedc4d8bae75ff479f279d32c347b9fc46db34aad8548322e8b343b5f1f36d - B9UHRNO5.wsf
  • 00055a1a81ca4522d0c849843dd82482beb0c0a11e077eab92ce29500e699ab5 - FTOZTGYDZ.wsf
  • cf8236b8f144ccb425d031d2cf00aaedba438718eccf878ddf52c23c56c8ae2a - HF4YIDIIL.wsf
  • e6e83f833b75e15437611c0b3ba0ff074861f47641e9807b9fd80cfcedc535e0 - JODUBWOOW.wsf
  • 3bca60bc39b2477fe678c5ae42d3d9b3e6a4c841005e513544f18d82b5808fdd - JPS8FFO1.wsf
  • 67cf8484de51cc971cea3b83abc6a1faf4eee5bed13fd1278a6c94382be8027e - MTSUQM4J.wsf
  • be22ebcc446ca3c537256f14ae114bf4e2e2a131e8bbc153d6605a0e089493a9 - N82QC77I.wsf
  • 07e014544fa7c3f6553dfb8ad82e0c83c7bbab5f60558fa3f64a70ea0d7cc1f1 - OEOOWNGE.wsf
  • 4d581ef9c463ab6496d340335cec683833794b2efb1edde70a3c63726bcd008c - OOJVFMYO2.wsf 


Jaffランサムウェアハッシュ値と配置されるファイルパスまとめ(2017/06/15更新)

・1be07198c324c9732d4e2676945ec021eeacd78775aea2100f49ca0483d3f901
  C:Users[username]AppDataLocaTemppitupi20.exe
・41bce3e382cee06aa65fbee15fd38f7187fb090d5da78d868f57c84197689287
  C:Users[username]AppDataLocalTempdrefudre20.exe
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
  C:Users[username]AppDataLocalTempgalaperidol8.exe
・3105bf7916ab2e8bdf32f9a4f798c358b4d18da11bcc16f8f063c4b9c200f8b4
  C:Users[username]AppDataLocalTempuzinat8.exe
・077b498d9cc163e1ff5547e1abd625b8655f0339cb5e79d64c2ded17abb9e425
  C:Users[username]AppDataLocalTempruhadson8.exe
・557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
  C:Users[username]AppDataLocalTemplevinsky8.exe
・2cc1d8edc318e0e09aad6afbc48999980f8e39e54734bca4c1a95c7b5db39569
  C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe
・824901dd0b1660f00c3406cb888118c8a10f66e3258b5020f7ea289434618b13
  C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe

・03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
・d8bb054fa738d7ba1b88f65e2b7dcf40a234bec8ec318e472380b603ed9ba0dc
・b9434c5fd5eefb8fb182024ecd3da4888222cae8a230fc0a778a7b712746f9f3
・64580b7bb2eedf6e2d2f5e773b34a62f5065c4cb167cd4ed0791050f425c546e
・8dbaab384ecd5386d960d1dddd7fd50ab3a30389dd5b8e516c5d873d77a1bbf9
・aca726cb504599206e66823ff2863eb80c6a5f16ff71ca9fcdd907ad39b2d852
・341267f4794a49e566c9697c77e974a99e41445cf41d8387040049ee1b8b2f3b
・e081c4557f4153d2fc9102fabc55aa6acdf8e1e11062529c728f4506b0d981b9
・5f1fcdfb951dc4642ce136a5d3e6bc42021f8e0cd631975a5eb3842da020531c
・0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f
・f61d07cd7d32a6cb9ead8e82f43ef84cf54a89ef571d9b2a9cb0ecaf5319f5db
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
・a0f72a7e67bfed40031c52a706b45de3787958729a308b5f15e754341022ed8e
・6b5759c6c3d7c7c21859023b4fcc443aa5343759a7a08c3870c5269e5c34a958
・94195aa110563ab1bd2542fb71806df5921c4c730036aa8faeaf537dcc01162c
・2bc87f1bbfdb23fe503ef89bcbf6908ffd7218433e0fbfa51282c0dc51dece01
・d1537972d7ac8f5f7c675c14027336715cb0bf91fe440d792e990d0efbd52710
  \TEMP\ratchet20.exe(上記17個のHash値と関係するファイルパス)

・3377cbe4f2618e65f778d029e654a4cf07537c6cfb6b87c668ba2882d9bb4b44
  C:\User\[username]\AppData\Local\Temp\miniramon8.exe

・001268d7fad7806705b3710ccc8cfffb2c2cfb830a273d7a0f87a5fa6422b9f5

 

 

Jaffランサムウェアのダウンロード先URLまとめ(2017/06/15更新)

※悪意のあるWordファイルに仕組まれたマクロが実行され、Jaffランサムウェアダウンローダが実行された際の通信(ダウンロード)先URLです

※『.(ドット)』を[]で囲ってあります

※下記では、(例)【xxxxyyyyzzzz[.]com - GET /123456】と表記していますが、実際のURLは(例)xxxxyyyyzzzz[.]com/123456】という意味です

  • 5hdnnd74fffrottd[.]com - GET /af/f87346b
  • babil117[.]com - GET /f87346b
  • boaevents[.]com - GET /f87346b
  • byydei74fg43ff4f[.]net - GET /af/f87346b
  • easysupport[.]us - GET /f87346b
  • edluke[.]com - GET /f87346b
  • julian-g[.]ro - GET /f87346b
  • phinamco[.]com - GET /f87346b
  • takanashi[.]jp - GET /f87346b
  • techno-kar[.]ru - GET /f87346b
  • tending[.]info - GET /f87346b
  • tiskr[.]com - GET /f87346b
  • trans-atm[.]com - GET /f87346b
  • trialinsider[.]com - GET /f87346b
  • vscard[.]net - GET /f87346b
  • wipersdirect[.]com - GET /f87346b
  • urachart[.]com - GET /hHGFjd
  • fotografikum[.]com - GET /hHGFjd
  • 5hdnnd74fffrottd[.]com - GET /af/hHGFjd
  • byydei74fg43ff4f[.]net - GET /af/hHGFjd
  • sjffonrvcik45bd[.]info - GET /af/hHGFjd
  • herrossoidffr6644qa[.]top - GET /af/Nbiyure3
  • jsplast[.]ru - GET /Nbiyure3
  • juvadent[.]de - GET /Nbiyure3
  • opearl[.]net - GET /Nbiyure3
  • playmindltd[.]com - GET /Nbiyure3
  • sjffonrvcik45bd[.]info - GET /af/Nbiyure3
  • tidytrend[.]com - GET /Nbiyure3
  • titanmachinery[.]com.au - GET /Nbiyure3
  • tomcarservice[.]it - GET /Nbiyure3
  • ventrust[.]ro - GET /Nbiyure3
  • vipan-photography[.]com - GET /Nbiyure3
  • wizbam[.]com - GET /Nbiyure3
  • brotexxshferrogd[.]net - GET /af/jhg6fgh
  • datadunyasi[.]com - GET /jhg6fgh
  • dewatch[.]de - GET /jhg6fgh
  • electua[.]org - GET /jhg6fgh
  • essensworld[.]cz - GET /jhg6fgh
  • everstruct[.]com[.]au - GET /jhg6fgh
  • f1toh1[.]com - GET /jhg6fgh
  • herrossoidffr6644qa[.]top - GET /af/jhg6fgh
  • joesrv[.]com - GET /jhg6fgh
  • knowyourmarketing[.]com - GET /jhg6fgh
  • pattumalamatha[.]com - GET /jhg6fgh
  • primary-ls[.]ru - GET /jhg6fgh
  • tayangfood[.]com - GET /jhg6fgh
  • tipografia[.]by - GET /jhg6fgh
  • way2lab[.]com - GET /jhg6fg
  • better57toiuydof[.]net - GET /af/FsMflooY
  • david-faber[.]de - GET /FsMflooY
  • digital-helpdesk[.]com - GET /FsMflooY
  • dogplay[.]co[.]kr - GET /FsMflooY
  • ecoeventlogistics[.]com - GET /FsMflooY
  • elateplaza[.]com - GET /FsMflooY
  • minnessotaswordfishh[.]com - GET /af/FsMflooY
  • pcflame[.]com[.]au - GET /FsMflooY
  • tdtuusula[.]com - GET /FsMflooY
  • uslugitransportowe-warszawa[.]pl - GET /FsMflooY
  • billiginurlaub[.]com - GET /fgJds2U
  • david-faber[.]de - GET /fgJds2U
  • elateplaza[.]com - GET /fgJds2U
  • electron-trade[.]ru - GET /fgJds2U
  • fjjslyw[.]com - GET /fgJds2U
  • hr991[.]com - GET /fgJds2U
  • jinyuxuan[.]de - GET /fgJds2U
  • khaosoklake[.]com - GET /fgJds2U
  • minnessotaswordfishh[.]com - GET /af/fgJds2U
  • oliverkuo[.]com[.]au - GET /fgJds2U
  • pcflame[.]com[.]au - GET /fgJds2U
  • tdtuusula[.]com - GET /fgJds2U
  • williams-fitness[.]com - GET /fgJds2U
  • better57toiuydof[.]net - GET /af/TrfHn4
  • blackstoneconsultants[.]com - GET /TrfHn4
  • derossigroup[.]it - GET /TrfHn4
  • dianagaertner[.]com - GET /TrfHn4
  • hunter[.]cz - GET /TrfHn4
  • youtoolgrabeertorse[.]org - GET /af/TrfHn4
  • dsopro[.]com - GET /7rvmnb
  • fabriquekorea[.]com - GET /7rvmnb
  • katoconsulting[.]ro - GET /7rvmnb
  • newserniggrofg[.]net - GET /af/7rvmnb
  • praktikum-marketing[.]de - GET /7rvmnb
  • resevesssetornument[.]com - GET /af/7rvmnb
  • tasfirin-ustasi[.]net - GET /7rvmnb
  • theexcelconsultant[.]com - GET /7rvmnb
  • 10minutesto1[.]net - GET /jt7677g6
  • cafe-bg[.]com - GET /jt7677g6
  • community-gaming[.]de - GET /jt7677g6
  • cor-huizer[.]nl - GET /jt7677g6
  • essentialnulidtro[.]com/af - GET /jt7677g6
  • lcpinternational[.]fr - GET /jt7677g6
  • luxurious-ss[.]com - GET /jt7677g6
  • makh[.]ch - GET /jt7677g6
  • myinti[.]com - GET /jt7677g6
  • mymobimarketing[.]com - GET /jt7677g6
  • oneby1[.]jp - GET /jt7677g6
  • seoulhome[.]net - GET /jt7677g6
  • sextoygay[.]be - GET /jt7677g6
  • squidincdirect[.]com[.]au - GET /jt7677g6
  • studyonazar[.]com - GET /jt7677g6
  • supplementsandfitness[.]com - GET /jt7677g6
  • zechsal[.]pl - GET /jt7677g6
  • 16892[.]net - GET /984hvxd?[short string of characters]
  • 78tguyc876wwirglmltm[.]net - GET /af/984hvxd?[short string of characters]
  • aarontax[.]com - GET /984hvxd?[short string of characters]
  • abyzon[.]com - GET /984hvxd?[short string of characters]
  • careermag[.]in - GET /984hvxd?[short string of characters]
  • ciiltire[.]com - GET /984hvxd?[short string of characters]
  • cinema-strasbourg[.]com - GET /984hvxd?[short string of characters]
  • e67tfgc4uybfbnfmd[.]org - GET /af/984hvxd?[short string of characters]
  • makkahhaj[.]com - GET /984hvxd?[short string of characters]
  • mseconsultant[.]com - GET /984hvxd?[short string of characters]
  • oscarbenson[.]com - GET /984hvxd?[short string of characters]
  • qiyuner[.]com - GET /984hvxd?[short string of characters]
  • scjjh[.]cn - GET /984hvxd?[short string of characters]
  • sock[.]lt - GET /984hvxd?[short string of characters]
  • speedgrow[.]com - GET /984hvxd?[short string of characters]
  • yes2malaysia[.]com - GET /984hvxd?[short string of characters]
  • zabandan[.]com - GET /984hvxd?[short string of characters]
  • zebtex[.]com - GET /984hvxd?[short string of characters]

 

Jaffランサムウェアに感染し暗号化されたファイルの拡張子まとめ(2017/06/15更新)

  • 「.jaff」
  • 「.wlu」
  • 「.sVn

 

感染後にTorブラウザで接続する先のドメインまとめ(2017/05/26更新)

※Jaffランサムウェアに感染した後にビットコイン等の支払い方などを示したサイトのドメイン
※『.(ドット)』を[]で囲ってあります

rktazuzi7hbln7sy[.]onion

 

 

参考情報(2017/06/19更新)

http://malware-traffic-analysis.net/2017/06/13/index.html

http://malware-traffic-analysis.net/2017/06/06/index2.html

http://blog.talosintelligence.com/2017/05/threat-roundup-0519-0526.html

http://malware-traffic-analysis.net/2017/06/01/index2.html

https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446

http://malware-traffic-analysis.net/2017/05/11/index3.html

http://malware-traffic-analysis.net/2017/05/15/index.html

http://malware-traffic-analysis.net/2017/05/16/index.html

http://malware-traffic-analysis.net/2017/05/22/index.html

http://malware-traffic-analysis.net/2017/05/24/index2.html

http://malware-traffic-analysis.net/2017/05/25/index2.html

https://noransom.kaspersky.com/

https://www.nomoreransom.org/decryption-tools.html