にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2018年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

夏本番な8月になってしまいましたね。

なんだかここ1ヶ月、関西の豪雨や台風の急激な進路変更、 連続する猛暑日などなど他人事ではない『災害』が多発していた気がします。

 

地震などの災害の多い日本では『いつ起きるかわからない』災害に対して、時間やお金、人を導入して対策しておくことを常に考えている国でもあります。

しかし、対策をしていたとしても被害は出てしまいます。

どう対策をとっておくか、という先を見据えた投資をするかしないかで被害を少しでも減らせるかどうかが大事なポイントになってくるわけです。そしてもちろん被害を受けた後にどうするか、まで考えないといけないと思います。

 

セキュリティも全く同じで、組織であれば、いつどのタイミングでサイバー攻撃を受けるかわかりません。個人であっても、例えばスマホやPCがマルウェアにいつ感染するかわかりませんし、Webサービスのアカウントがいつのっとられるかもわかりません。

そうなってしまう前に対策できることは多少のコストはかかるかもしれないけれど、対策はとっておくべきだと思います。そして、もし被害を受けてしまった場合に備え、被害後にどう動くかまでの仕組みを考えておくべきだと思います。

 

というわけで前月のまとめです。


脆弱性のアレコレ

Oracle WebLogic Serverに複数の脆弱性

【概要】
Oracleが四半期に1度の定例アップデート「クリティカルパッチアップデート(CPU)」をリリースし、「Oracle WebLogic Server」における複数の脆弱性を修正した。ただし、既に一部の脆弱性については攻撃に悪用されていることが確認された。なお本脆弱性を悪用することにより、第三者からリモートで情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性がある。

 

【CVE番号】
CVE-2018-2893
CVE-2018-2894

 

【対象】
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3

 

【対策】
・対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認
・T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定する
⇒ネットワーク接続フィルタの使い方
ネットワーク接続フィルタの使い方

 

【参考情報】
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JVNDB-2018-005568 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2018-005569 - JVN iPedia - 脆弱性対策情報データベース
CPU July 2018
【セキュリティ ニュース】複数「WebLogic Server」脆弱性、早くも悪用や実証コード(1ページ目 / 全2ページ):Security NEXT
2018年7月の定期パッチで修正されたOracle WebLogic Server の脆弱性(CVE-2018-2894)について - 生産性のない話
Weblogicの任意のコード実行(CVE-2018-2894)
ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」 at www.morihi-soc.net

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
取引情報が更新されました
【発注書受信】
備品発注依頼書の送付
依頼書を
送付しますので
発注依頼書
㈱ 発注書
18/07 製造依頼
のご注文ありがとうございます
ダイレクトメール発注
7月
Fw: 資料
ご確認ください
上記書類を送付します。
表題の資料を送付いたします。
再送
申込書類の送付
資料添付します。
カード利用のお知らせ
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】
楽天市場】注文内容ご確認(自動配信メール)
楽天カード】カードご請求金額のご案内
【速報版】カード利用のお知らせ(本人ご利用分)
写真送付の件
写真添付
イメージ送付
7月度発注書送付
注文書をお送りいたします
invoice/証明書

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年7月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
[更新] MyJCB をかたるフィッシング (2018/07/24)
[更新] ソフトバンクをかたるフィッシング (2018/07/04)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

豪雨被災地支援「Yahoo!ネット募金」の偽サイトについて注意喚起

【概要】
今年7月上旬に西日本に被害を与えた「平成30年7月豪雨」を支援する「Yahoo!ネット募金」の偽サイトが作成され、ヤフーが注意喚起を行った

 

【参考情報】
【重要】当社をかたるフィッシングメール、不正メールにご注意ください。 - お知らせ - Yahoo!ネット募金
豪雨被災地支援「Yahoo!ネット募金」の偽サイト確認、注意喚起 - ITmedia NEWS
西日本豪雨「Yahoo!募金」の偽サイトにご注意 中国で取得か

 

 

Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示

【概要】
Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示。
また、加えて、“iframe”リダイレクトの仕組みを悪用してユーザーを不審なサイトへ誘導する悪質な広告をブロックする機構が導入。

 

【参考情報】
Chrome Releases: Stable Channel Update for Desktop
全てのHTTPサイトに「保護されていません」の警告、「Chrome 68」リリース - ITmedia エンタープライズ
HTTP接続のサイトが「保護されていません」と表示されるGoogle Chrome 68安定版リリース - GIGAZINE
HTTP接続サイトは“安全でない”サイト扱いに ~「Google Chrome 68」が正式公開 - 窓の杜

 

 

マイクロソフト脆弱性緩和ツール「EMET」のサポートが7月31日で終了

【概要】
マイクロソフトが無償で提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了。
なお、「Windows 10」では「EMET」の機能が“Windows Defender Exploitation Guard”として統合されている

 

【参考情報】
EMET サポート終了 – Windows Defender Exploitation Guard へ移行を – 日本のセキュリティチーム
Microsoftが無償提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了 - 窓の杜
脆弱性緩和ツールEMET今月でサポート終了、Windows Defender Exploit Guardへ - 日本マイクロソフト セキュリティチーム | マイナビニュース

 


多摩都市モノレールでサイバーセキュリティ被害が発生

【概要】
多摩都市モノレールの業務用ファイルサーバが、ランサムウェアに感染したことが判明
モノレールの運行については、別のシステムで管理しており、影響なかった

 

【参考情報】
http://www.tama-monorail.co.jp/info/list/mt_img/180713%20press.pdf
多摩モノレールにサイバー攻撃 :日本経済新聞
【セキュリティ ニュース】ランサムウェアの感染被害が発生、運行には影響なし - 多摩都市モノレール(1ページ目 / 全1ページ):Security NEXT

 


電子マニュアル作成支援のスタディスト、マニュアル作成サービスへの不正アクセスは作業ミスによるものと発表

【概要】
電子マニュアル作成支援のスタディスト、マニュアル作成サービス「Teachme Biz」への不正アクセスは所属するインフラ技術者が開発環境構築の過程で誤って本番環境のDBを参照してコマンドを実行した作業ミスにより発生したと発表

 

【参考情報】
不正アクセスによる一部データ流出の可能性に関する詳細調査のご報告(最終報) - 株式会社スタディスト
スタディスト事件、作業ミスを不正アクセスと検知し情報流出はなかったと報告 | 日経 xTECH(クロステック)
【セキュリティ ニュース】マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因(1ページ目 / 全1ページ):Security NEXT

 


産総研不正アクセスについて被害状況の調査結果や再発防止策を公表

【概要】
産業技術総合研究所のシステムが不正アクセスを受けた問題で、産総研は被害状況の調査結果や再発防止策を公表

 

【参考情報】
産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について
【セキュリティ ニュース】産総研への不正アクセス、職員ID約8000件でPW試行 - 平日夕方から深夜に活動(1ページ目 / 全4ページ):Security NEXT
産総研を襲った謎の手口、セキュリティ対策に新たな教訓 | 日経 xTECH(クロステック)
産総研のセキュリティインシデント--被害が拡大したマネジメントの課題 - ZDNet Japan

 


ロシアワールドカップでは、サイバー攻撃が2500万件発生

【概要】
ロシアワールドカップの期間中(6月14日~7月15日)、サイバー攻撃が2500万件発生していた事を、ロシアのプーチン大統領が明かした。
だが、サイアー攻撃の性質や攻撃元の情報などは明かされていない。

 

【参考情報】
サイバー攻撃2500万回=サッカーW杯期間中、ロシアヘ-プーチン大統領:サッカーロシアW杯2018:時事ドットコム
W杯期間中のロシアにサイバー攻撃2500万件、プーチン氏明かす 写真1枚 国際ニュース:AFPBB News
ワールドカップロシア大会期間中に約2,500万回のサイバー攻撃、プーチン氏が発表

 

 

「佐川急便」をかたる偽SMSが急増

【概要】
「佐川急便」をかたる偽SMSが急増しており、偽SMSから偽サイトに誘導され不審なアプリをインストールしてしまう可能性がある

 

【対策・注意点】
・佐川急便はSMSを不在通知に使わない
・佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外のURLは偽サイトである
※ただし「sagawa-●●.com」という偽ドメインも第三者により大量に取得されているため注意が必要
Android端末で「提供元不明のアプリのインストールを許可する」という設定項目を『許可しない(無効にする)』に設定する
・不正のアプリをインストールしてしまった場合はスマホ機内モードにして大事なファイルのバックアップ等をとっておき、アプリの削除や携帯会社のサポートに相談する

 

【参考情報】
「佐川急便」をかたる偽SMSが横行 不正アプリを導入しないで! : 科学 : 読売新聞(YOMIURI ONLINE)
「佐川急便の偽サイト」に学ぶAndroidの防御法 見直す設定はたった1つ (1/2) - ITmedia NEWS
佐川急便装う迷惑メール急増 「不在通知」「1340万円配達します」など、23の事例で注意喚起 - ITmedia NEWS
佐川急便を名乗るスパムが急増、SMSから偽サイトに誘導 自動でプリペイドカードを買わされるなどの被害も - ねとらぼ
News Up 本物そっくり!?「偽・佐川」に厳重注意を! | NHKニュース
大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取 | トレンドマイクロ セキュリティブログ
実例で学ぶネットの危険:「通知 お客様宛にお荷物のお届きました」 | トレンドマイクロ セキュリティブログ
ドコモからのお知らせ : 運送会社などを装った迷惑SMS・メールにご注意ください | お知らせ | NTTドコモ
【再周知】運送会社などを装った不審なメールにご注意ください
運送会社などを装った不審なメールに関するご注意 | モバイル | ソフトバンク

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

サイバーレスキュー隊(J-CRAT)活動状況[2017年度下半期]
https://www.ipa.go.jp/files/000067854.pdf
サイバー情報共有イニシアティブ(J-CSIP) 運用状況
[2018年4月~6月]
https://www.ipa.go.jp/files/000068064.pdf
情報セキュリティ白書2018:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JPCERT/CC 感謝状 2018
JPCERT/CC 活動概要 [2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/PR20180712.pdf
JPCERT/CC インシデント報告対応レポート[2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20180712.pdf
Webサイトへのサイバー攻撃に備えて 2018年7月
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]
http://www.jpcert.or.jp/press/2018/vulnREPORT_2018q2.pdf
Cisco Webex Teams の脆弱性 (CVE-2018-0387) について
FIRST PSIRT Services Framework
ランサムウエアの脅威動向および被害実態調査報告書
Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31)

 

Trend Micro

バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 | トレンドマイクロ セキュリティブログ
巧妙なバンキングトロジャンの活動を実現する「Web インジェクションツール」とは? | トレンドマイクロ セキュリティブログ
SSH サービスを狙うボットを確認、不正サイトを介して仮想通貨発掘ツールをインストール | トレンドマイクロ セキュリティブログ
主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続 | トレンドマイクロ セキュリティブログ
標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい | トレンドマイクロ セキュリティブログ
バンキングトロジャンのメール経由拡散を支える「スパムボット」 | トレンドマイクロ セキュリティブログ

 

McAfee

McAfee Labs 2018年第1四半期 脅威レポートを発表(サマリー)
SIEMと他ソリューション連携による運用効率化例
不正アクセスされないために!手口と被害例から見る対策と対処方法
2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80選
サイバー攻撃|日本の現状―増える件数とセキュリティ人材不足の対策
ファイルレスの脅威 CactusTorchが.NETを悪用し標的に感染

 

MBSD

Burp Suite Japan LT Carnivalイベントレポート

 

IIJ

wizSafe Security Signal 2018年6月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

piyolog

経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog
2018年7月に発生した国内サイト、メールの障害報告についてまとめてみた - piyolog
多摩都市モノレールのランサムウェア被害についてまとめてみた - piyolog

 

 

というわけで今回もココまで読んでいただきありがとうございました。

ではでは!

 

夏だ! ___
   /⌒ ⌒\
  /(⌒) (⌒)ヽ
(⌒) ⌒(_人_)⌒ (⌒)
`\ \ |┬| / /
  \  ヽノ  /
  | ・  ・ |
  |    |
  | ̄ ̄ ̄ ̄ ̄|
  |__/\__|
  ( (  ) )
  (__) (__)

 

<更新履歴>

2018/08/02 AM 公開

2018年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

今回のブログを公開する頃にはまだ梅雨明けてないと思っていたんですがとっくに明けましたね。今年の梅雨は史上初の短さ(6月6日~29日)だったそうです。まぁ僕は梅雨好きじゃないので嬉しさMAXなんですけどね笑

 

そういえば今朝ロシアワールドカップ8強を決める日本×ベルギー戦が行われたわけですが…

www.youtube.com

 

すごいじゃん日本!お疲れ様!!

4年後のカタールワールドカップが楽しみです!

 

ではではブログ本題です。今回はいつもよりちょっと少なめかもしれませんがあしからず。。。。

前月のまとめです。


脆弱性のアレコレ

アーカイブファイルの展開処理に脆弱性脆弱性名:Zip Slip)

【概要】
アーカイブファイルの展開処理に脆弱性が存在し、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを置くことができ、第三者により実行ファイルの上書きや、設定ファイルの書き換えが可能となり、任意のコードを実行される可能性がある

 

【参考情報】
Zip Slip Vulnerability | Snyk
アーカイブファイルの展開処理における脆弱性「Zip Slip」について
書庫形式の書類に脆弱性 コンテンツ改ざんに注意 :日本経済新聞
アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 - ITmedia エンタープライズ
【セキュリティ ニュース】アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響(1ページ目 / 全2ページ):Security NEXT

 


OpenSSLに脆弱性

【概要】
OpenSSLのTLSハンドシェイク時に鍵生成に長い時間を消費させる脆弱性が存在し、第三者によりサービス運用妨害 (DoS) 攻撃を実行される可能性がある

 

【CVE番号】
CVE-2018-0732

 

【対象】
OpenSSL 1.1.0 系列
OpenSSL 1.0.2 系列

 

【対策】
OpenSSL 1.1.0i および OpenSSL 1.0.2p にて本脆弱性を修正する予定
なお、修正パッチが公開済み
OpenSSL 1.1.0 用
https://github.com/openssl/openssl/commit/ea7abeeab
OpenSSL 1.0.2 用
https://github.com/openssl/openssl/commit/3984ef0b7

 

【参考情報】
https://www.openssl.org/news/secadv/20180612.txt
OpenSSL の脆弱性 (CVE-2018-0732) について
【セキュリティ ニュース】「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで(1ページ目 / 全1ページ):Security NEXT

 


ISC BIND 9に脆弱性

【概要】
ISC BIND 9に再帰的クエリが不適切に許可される脆弱性が存在し、第三者によってDNSリフレクタ攻撃に使われたり、ネームサーバのキャッシュの状況を外部から取得されたりする可能性がある

 

【CVE番号】
CVE-2018-5738

 

【対象】
・ ISC BIND 9.12.0~9.12.1-P2、9.11.3、9.10.7、9.9.12 を使用している (ISC が 2017年10月 のアップデート #4777 を適用している)

再帰問い合わせの受け付けを有効にしている (設定ファイル (named.conf) で "recursion yes;" を設定している、または recursion を設定していない)

・ オプション (allow-recursion, allow-query, allow-query-cache) を設定していない

 

【対策】
・ named.conf に オプション (allow-recursion, allow-query, allow-query-cache) を適切に設定し、再帰問い合わせの受け付けを許可する対象に限定する

再帰問い合わせの受け付けが不要な場合は named.conf に "recursion no;" を設定する

 

【参考情報】
ISC BIND 9 の脆弱性 (CVE-2018-5738) について
JVNVU#92227071: ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
JPCERT/CC、ISC BIND 9の脆弱性について注意喚起 | マイナビニュース
【セキュリティ ニュース】「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を(1ページ目 / 全2ページ):Security NEXT

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【速報版】カード利用のお知らせ(本人ご利用分)
アラート:あなたのアカウントは閉鎖されます。
写真
写真送付の件
写真添付
スナップ写真
添付写真あり
写真送ります。
楽天カード】カードご請求金額のご案内
注文書の送付(2018.06.26)
注文書よろしくお願いします。
【振込み確認書】18.06.14
メールに添付された請求書デー
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
添付ファイルをご確認下さい。
6月請求データ.xls
注文書の件
Fwd: 6月分請求書リスト
請求書を送ります
カード利用のお知らせ
楽天市場】注文内容ご確認(自動配信メール)
6月分請求データ送付の件
2018.5月分請求データ送付の件.6月請求データ.xls
のご注文について
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
RE: 請求書XLSについて
請書及び請求書のご送付

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター

情報提供|一般財団法人日本サイバー犯罪対策センター

bomb_log

外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年6月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
Amazon をかたるフィッシング (2018/06/29)
MUFG カードをかたるフィッシング (2018/06/21)
[更新] LINE をかたるフィッシング (2018/06/06)
Apple および Amazon をかたるフィッシング (2018/06/04)
セゾン Net アンサーをかたるフィッシング (2018/06/04)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

タチコマ・セキュリティ・エージェント」が無償配布

【概要】
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始に伴い、開発されたセキュリティソフト「タチコマ・セキュリティ・エージェント」の無償配布を2018年6月1日より実施した。

 

【参考情報】
WarpDrive
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始について | NICT-情報通信研究機構
タチコマたちが並列化してサイバー攻撃に対応するソフト無償配布、「WarpDrive」プロジェクトが実証実験 - INTERNET Watch

 


フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報流出

【概要】
フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報が流出した。
なお、不正アクセスが発生したのは、英語と韓国語、中国語の予約システムが稼働するサーバで発生した。

 

【参考情報】
【セキュリティ ニュース】委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル(1ページ目 / 全3ページ):Security NEXT
ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩 | 日経 xTECH(クロステック)
マイステイズ・ホテルから約4万件の個人情報が流出か、被害広がるファストブッキング問題 | 日経 xTECH(クロステック)
プリンスホテルの委託先サイトに不正アクセス、12.5万件の情報漏えい - ZDNet Japan
ファストブッキングへの不正アクセスについてまとめてみた - piyolog

 


りそな銀行のインターネットバンキングシステムで障害が発生

【概要】
りそな銀行のインターネットバンキングシステムで障害が発生。米シマンテックが提供するサービスで不具合が発生したことが原因でワンタイムパスワードが入力できない状態になった。

 

【参考情報】
りそな銀などのシステム障害が復旧 発生から約4時間:朝日新聞デジタル
りそな銀行などインターネット振り込み 復旧 | NHKニュース
りそな銀行、セブン銀行でシステム障害。パスワードを入力できず

 


警察庁は仮想通貨マイニングツール(Coinhive等)を無断で設置していた容疑で複数名を摘発

【概要】
警察庁は仮想通貨マイニングツール(Coinhive等)を利用者に無断で設置していた容疑(「不正指令電磁的記録作成・提供罪」)で複数名を逮捕・書類送検した。

 

【参考情報】
仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
「マイニングツールを明示せずに設置、犯罪になる可能性」 警察庁の注意喚起、ネット上で波紋 - ITmedia NEWS
Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」 - ITmedia NEWS
「Coinhive」で家宅捜索を受けたサイト運営者が刑事裁判を起こすことを表明、支援の声続々【やじうまWatch】 - INTERNET Watch
サイト閲覧者リソースでマイニングを行うCoinhive利用者の摘発事件における真の問題点とは|CoinChoice
仮想通貨マイニングツール事案をまとめてみた - piyolog

 

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について:IPA 独立行政法人 情報処理推進機構

脆弱性関連情報として取り扱えない場合の考え方の解説:IPA 独立行政法人 情報処理推進機構

サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報:IPA 独立行政法人 情報処理推進機構

「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

アーカイブファイルの展開処理における脆弱性「Zip Slip」について

OpenSSL の脆弱性 (CVE-2018-0732) について

ISC BIND 9 の脆弱性 (CVE-2018-5738) について

2018年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起

LinuxとWindowsを狙うマルウエアWellMess(2018-06-28)

 

@police

宛先ポート80/TCP に対するMirai ボットの特徴を有するアクセスの増加について | 警察庁 @police

 

JC3(日本サイバー犯罪対策センター)

APWG・JC3共同レポート|一般財団法人日本サイバー犯罪対策センター

JC3 Forum 2018 report|一般財団法人日本サイバー犯罪対策センター

 

Trend Micro

「Drupal」の脆弱性「CVE-2018-7602」を利用した攻撃を確認、仮想通貨「Monero」発掘ツールを拡散 | トレンドマイクロ セキュリティブログ

不正なウイルス検索サービス「Scan4You」運営者に有罪判決、トレンドマイクロも捜査に協力 | トレンドマイクロ セキュリティブログ

脆弱性攻撃ツール「Rig EK」、次は脆弱性「CVE-2018-8174」を利用して仮想通貨発掘マルウェアを拡散 | トレンドマイクロ セキュリティブログ

 

McAfee

マルウェアに感染した?注意したい5つの症状、確認方法と初期対応

ランサムウェア、具体的な対策をとるために知っておくべき感染経路

サイバー攻撃リアルタイム可視化ツール9選、国境なき攻撃を把握する

家族で活用したい「2段階認証」設定

止まらない迷惑メールを今すぐ遮断するために知っておきたい対策3選

結局何をすべき?GDPR対応3つの優先事項と解消すべき6つの疑問

SQLインジェクション攻撃への対策|脆弱性を悪用する仕組みと具体例


NTTデータ先端技術株式会社

セキュリティコラムの新着記事「IoTセキュリティの各国比較 (日米欧のガイドラインから) ~第1回 IoTの定義と特徴」を掲載しました | NTTデータ先端技術株式会社

PCI DSS徹底解説の新着記事「クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~」を掲載しました | NTTデータ先端技術株式会社

セキュリティコラムの新着記事「コールセンターに対するPCI DSSの視点...Part.1」を掲載しました | NTTデータ先端技術株式会社


LAC

ルータのDNS設定を変更するサイバー攻撃にご用心 | セキュリティ対策のラック

サイバー救急センターレポート 第3号 | セキュリティ対策のラック


MBSD

オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今 | MBSD Blog


IIJ

wizSafe Security Signal 2018年5月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ


piyolog

2018年2月のデータリークに関連する国内サイトの被害についてまとめてみた - piyolog

仮想通貨マイニングツール事案をまとめてみた - piyolog

ファストブッキングへの不正アクセスについてまとめてみた - piyolog

 

high-hill.html

第8回tktkセキュリティ勉強会に参加しました - high-hill.html

⇒Maltegoの使い方についてわかりやすかったので共有です

 

 

以上です。

今回もココまでy…あ!そうそう。僕海外デビューしてました。

speakerdeck.com

資料にしれっといれてくれたmoto_sato(@58_158_177_102)さん、ありがとうございますた!

 

というわけで今回もココまで読んでいただきありがとうございました。

ではでは!

・ 。
☆。∴。。 ☆ ・
 ・゚*。★・
  ・ 。・*・゚。   ・
  ・ ゚*。・゚★。・
   ☆゚・。・。*・ ゚
    ゚。・*・。 ゚・
   ゚ *・。☆。・★ ・
  ・ ☆ 。・゚・*。・ ゚
    ・ ★ ゚・。七夕~
    ・  ゚
`/ ̄三\  / ̄三\
|  三| /   三|
/  三三V/|  三三)
L| 三三|∪ | 三三|

 

<更新履歴>

2018/07/03 AM 公開

 

Windowsイベントログについてのにゃんたくメモ

どもどもにゃんたくです(「・ω・)「ガオー

 

皆さんいかがお過ごしでしょうか。

最近雨ばっかりでちょっといつもよりおセンチさを感じているにゃんたくです。 

 

なんかブログでも書こうかなぁなんて思ってたんですけど、文章力や語彙力のNASAを常に感じて生きているので、どうしても書けなくて、でも書きたくて…

 

まるで好きな人にラブレターでも書く前の人間みたいになってしまったんですけど、やっぱり久々書きたくなったので、今回はあくまでもブログというより、

ぼくがあとで『Windowsイベントログの件そういや前に書いたよな、ちょっと見返してみるか』くらいの感覚のメモを書いていきます。単純に言うと、アルファ世界線のにゃんたくが牧瀬紅莉栖を救うためにシュタインズ・ゲート世界線に行ってしまってもこのメモを読めば『こ、これがリーディングシュタイナーか!』となるようにするためのメモです。は?

※このネタを知りたければシュタインズ・ゲートというアニメを見てください。東京オタク大学、間違えた東京電機大学というリアルに存在するにゃんたくの母校の学生が主人公として出てくるアニメです。くっそ面白いです。

 

さて、メモを書く前に一言。

コレを見てくれている人のことなんか全く考えていないメモなのであしからず。

あ、メモは読みたくないけど、参考情報だけ欲しい人は下記目次の参考資料一覧だけでも見ておくと良いかもしれませんよよよ。

 

今回メモを書こうと思ったきっかけ

Hal PomeranzさんのWindowsイベントログについての講演を聴きに行ったから。

twitter.com

 

あ、あとこのスライドを見たから。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

ほんとそれだけ(●´ω`●)

 

 

Windowsイベントログってなんぞや

Windowsイベントログとは、『Windowsシステム内で起こった特定の現象や動作の記録(Windowsの中で起きたあれやこれやのうち、大事そうなことを記録したもの)』

参照:http://wa3.i-3-i.info/word11494.html

 

ちなみにイベントログは通常ココ↓にあるよ、エクスプローラーで見てみようね

C:\Windows\System32\Winevt\Logs\

 

 

ラテラルムーブメントってバズってるよな

ラテラルムーブメントとは、マルウェアがOSの正規機能を使って、侵入した組織のネットワーク内の偵察や情報収集、感染拡大する行動のこと。

▼参考情報

https://www.cybereason.co.jp/blog/cyberattack/2239/

http://www.atmarkit.co.jp/ait/articles/1803/20/news043.html

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130730/495464/

https://www.ca.com/content/dam/ca/jp/files/white-paper/sec-white-paper-breaking-the-kill-chain-CS200-162063-jpn.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

 

 

Hal Pomeranzさんが言ってたアレコレ

Hal Pomeranzさんが言ってた話を列挙していくよ。

コレ↓を見ながらこっから先読むとわかりやすいよ。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

 

アレコレ①(スライド4~15)

⇒ラテラルムーブメントのログを見てみよう

⇒もうめんどくさいときはスライド15だけでも見よう、スライド15が重要まとめスライドになってる

 

■スライド4

攻撃者はこんな感じでラテラルムーブメントしようとするよ。

スケジュールタスクを起動してなにか実行してるログは注意してみたほうがいいぞ。

1.ターゲットとなるシステムに対しマルウェアをアップロードする

2.マルウェアを活性化させるための実行を設定する(結構すぐに) 

 

 

■スライド5~14

実際のログをこっから見ていくぞぞぞ。

Windowsイベントログでは『Event ID』と呼ばれる識別子がつけられるぞ。

Event ID:4624(意味:アカウントがログオンした)

⇒TargetUserName、TargetDomainName、IPアドレスが書いてある

⇒特に気にして見てみるのは、『Logon Type』の数字

 この数字で、どうやって『ログオン』したかわかる

 例:LogonType = 3 ⇒ネットワークからログオンした

 例:LogonType = 10 ⇒RDPからリモートでログオンした

⇒『Anonymous』ログオンの場合、怪しいか怪しくないかを判断するには、

 ・通常ログオン時の挙動と比べる

 ・時系列を追う、時間も一つのファクターである

 

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt634186(v=vs.85).aspx

 

Event ID:4672(意味:特権(Admin)を利用された)

⇒このEventIDが記録されていた場合は注意

⇒大体はEvent ID:4624、と同じタイミングで発生する

⇒『Privilege List』と呼ばれるそのIDに与えられている権限一覧を確認することができる

 

▼参考情報https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4672

 

Event ID:5140(意味:ネットワーク共有オブジェクトにアクセスがあった)

⇒このイベントが記録されていた場合は注意

⇒『ShareName』に共有されたファイルパスが記載される

 不可思議なパスがシェアされていたら注意

 (Cドライブ配下(もしくは全体)が共有されてたら注意。。。かも)

⇒ このイベントがファイルサーバー上で発生すれば問題はないが、ファイルサーバー以外のPCで発生してた場合は不可思議

 

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt431793(v=vs.85).aspx

 

TaskSchedulerの動き

 ・Task Schedule ID:106(意味:タスクの新規登録)

 ・Task Schedule ID:200(意味:タスクの実行)

 ・Task Schedule ID:201(意味:タスクの実行終了)

 ・Task Schedule ID:141(意味:タスクの登録削除)

⇒106、を見ればスケジュールタスクを動かした時間、ユーザ情報がわかる(マシン名は不明だが)

⇒TaskSchedulerが動く前のEventID(例えば5140以前等)を見れば時系列的にユーザーがどう『行動』してるかがわかる(推測)

⇒106から200へ数分で発生していたら怪しい

⇒141、のようにタスクを削除する動きは怪しい可能性がある

 

▼参考情報

https://mnaoumov.wordpress.com/2014/05/15/task-scheduler-event-ids/

https://attack.mitre.org/wiki/Technique/T1053

 

Event ID:4688(意味:新しいプロセスが作成された) 

⇒実行ユーザー、プロセス名などが分かる。
⇒この場合、m.exe(mimikatz)でクレデンシャル情報を摂取しようとしている

Windowsイベントログ取得のデフォルト設定では4688は生成されない。
⇒実行された追加の情報が確認できる。

 

▼参考情報

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing

 

Event ID:4634(意味:アカウントがログオフした) 

⇒あえてスケジュールタスクを削除しなかったり、正式にセッションを終了しない場合もある

 

▼参考情報

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4634

 

アレコレ②(スライド16~18)

⇒RDPのイベントログを見てみよう

⇒Security.evtx は、一定のサイズを超えると別のファイルに上書きされてしまう

 数時間程度のログしか残っていないので、ログ自体を別のシステムに保管しておき、辿れるようにしておく必要がある。

 

Event ID:1149(意味:リモートデスクトップサービスでユーザー認証に成功しました) 

⇒このイベントの次に『Local Session Manager』のログを見てみるよ

⇒『Local Session Manager』のログはココにあるよ↓ 

\Microsoft\Windows\TerminalServices-LocalSessionManager\Operational

 

Local Session Managerの動き

Event ID:21(意味:リモートデスクトップ セッション ログオン成功) 

Event ID:23(意味:リモートデスクトップ セッション ログオフ成功)

Event ID:25(意味:リモートデスクトップ セッション 再ログオン) 

Event ID:24(意味:リモートデスクトップ セッション 切断) 

 

⇒通常の動きの場合

1149→21→ログオンして作業→23→24

 

⇒ちょっと不可思議な場合

1149→21→1149→25→24

 

▼おかしいポイント①

1149でRDPのユーザー認証設定しているのに、再度1149のイベントが発生している

 

▼おかしいポイント②

2回目の1149を行っているIPが1回目の1149を行っているIPと異なっている

 

▼おかしいポイント③

2回目の1149の後に『25』というセッション再ログオンが発生し、かつ1回目の1149を行っているIPが次の『24』でセッション切断されている

 

▼参考情報

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee907328(v=ws.10)

https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/mstsc.htm

http://blog.trendmicro.co.jp/archives/14451

https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/

 

 

アレコレ③(スライド20)

Event ID:7045(意味:サービスがシステムにインストールされました) 

⇒起動させられたファイルのファイルパスが書かれている

⇒新しいサービスが開始させられたことがわかる

⇒このイベントを見つけた場合『何が実行されたのか』を確認するのが大事

⇒C:\Windows\Temp\~、のようにTemp配下から起動させていたら怪しいを感じるべき

 

 

参考資料一覧

http://deer-run.com/~hal/

http://deer-run.com/~hal/IREventLogAnalysis.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

https://support.microsoft.com/ja-jp/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

 

 

 

最後に。

ここまでもし読んでくれた方がいたら、ぜひマサカリを僕に投げてくれると最高に嬉しいです。『お前言ってること間違ってるぞ』とか言ってください♡

あ、Hal Pomeranzさんの講演情報を教えてくれた僕の上司に感謝。大好きです♡

 

<更新履歴>

2018/06/22 PM 公開

2018/06/24 AM 追記:Event ID:4688、その他もろもろ

2018年5月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

いきなりちょっとまじめな話なんですが、最近『時間』について考えたりするようになりまして。

 

人間生きてる時間って、『有限』なものじゃないですか。

だったら、自分がやってみたい、会ってみたい、話してみたい、勉強したい、遊びたい、そういうことに対して億劫になっちゃいけないのかなって。

もちろん、全部を叶えようとするのはなかなか難しいので、あくまでも自分がやれる範囲で、ってことですけどね。

 

なので最近なるべく自分が『会ってみたい』もしくは『会いたい』という人には時間の許す限り会ってみようって思っています。

 

5月も色々なトコに顔を出してみたんですけど、色んな人と会話ができるってとっても刺激になるし、ある意味自分の良くない部分も見えてきてなんだかちょっと成長してる(ような)気がしています。

・・・あ、そのせいで会社の名刺が切れかけています笑

 

こないだセキュリティ以外の人にも会ってみたいなーとふと思い、ちょうど見つけたこの企画にフラッと行ってみたんです。

www.huffingtonpost.jp

 

ライターさんやTV関係の方々とお話することができて非常に楽しかったなか、僕なりに日常のセキュリティの話(例えば不審なメールが来た時の対処とかSNSのアカウントがのっとられない様にするにはどうしたらいいか等)をしていたら、

『知らなかった』『実際どうしていいかわからなかった』『教えてくれてありがとう』という言葉を直に聞くことができました。

そういう言葉を聞けて嬉しかった反面、セキュリティの『発信者』としては、もっとセキュリティを知らない、セキュリティに疎い人達に情報を届けれるような発信方法をもっと考えないといけない!、という気づきも得ることができました。

 

これを読んでくれているセキュリティの皆さん、まずは小さなことからでも僕と一緒に発信していきましょう!ぼくもがんばりますので!

 

今回はちょっと『前説』が長くなってしまいましたね、すみません。

では、前月のまとめです。

 

脆弱性のアレコレ

OpenPGP および S/MIME メールクライアントに脆弱性(EFAIL)

【概要】
OpenPGP および S/MIME メールクライアントに脆弱性が存在し、暗号化されたメッセージを第三者が平文で入手できてしまう可能性がある
脆弱性名:EFAIL

 

【CVE番号】
CVE-2017-17688: OpenPGP CFB Attacks
CVE-2017-17689: S/MIME CBC Attacks

 

【対象】
OpenPGP および S/MIME をサポートする電子メールクライアント
影響を受けるメールクライアントは以下参照
https://www.kb.cert.org/vuls/id/122919

 

【対策】
ワークアラウンドを実施する
→メールクライアントとは別のアプリケーションを使って復号する
→メールクライアントの HTML レンダリングを無効化する
→メールクライアントのリモートコンテンツの読み込みを無効化する

 

【参考情報】
JVNVU#95575473: OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性
メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起
暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (1/2) - ITmedia エンタープライズ
多くのメールソフトに受信トレイの内容がすべて読み取られる深刻な脆弱性が発覚、PGPとS/MIMEに関連 - GIGAZINE


Adobe ReaderおよびAcrobat脆弱性 (APSB18-09)

【概要】
Adobe AcrobatおよびReaderに脆弱性が存在し、第三者により任意のコードが実行される可能性がある

 

【CVE番号】
CVE-2018-4990
CVE-2018-4993

 

【対象】
Adobe Acrobat Reader DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat Reader DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat Reader 2017 (2017.011.30079) およびそれ以前
Adobe Acrobat 2017 (2017.011.30079) およびそれ以前

 

【対策】
・アップデートする(以下本脆弱性修正済みバージョン)
Adobe Acrobat Reader DC Consumer (2018.011.20040)
Adobe Acrobat Reader DC Classic 2015 (2015.006.30418)
Adobe Acrobat DC Consumer (2018.011.20040)
Adobe Acrobat DC Classic 2015 (2015.006.30418)
Adobe Acrobat Reader 2017 (2017.011.30080)
Adobe Acrobat 2017 (2017.011.30080)

 

【参考情報】
Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起
更新:Adobe Acrobat および Reader の脆弱性対策について(APSB18-09)(CVE-2018-4990等):IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力(1ページ目 / 全2ページ):Security NEXT


Red Hat Enterprise LinuxDHCPクライアントに脆弱性

【概要】
Red Hat Enterprise LinuxDHCPクライアントに脆弱性が存在し、第三者によりリモートから任意のコードが実行される可能性がある

 

【CVE番号】
CVE-2018-1111

 

【対象】
Red Hat Enterprise Linux Server バージョン 6, 7
Fedora バージョン 26, 27, 28
CentOS バージョン 6, 7
Scientific Linux バージョン 6, 7
Oracle Linux バージョン 6, 7 および Oracle VM バージョン 3.3, 3.4
Red Hat Enterprise Linux 5、Red Hat Enterprise Virtualization 3.6では影響は受けない

 

【対策】
・修正プログラムの適用

 

【参考情報】
DHCP Client Script Code Execution Vulnerability - CVE-2018-1111 - Red Hat Customer Portal
RHELにクリティカルレベルのコード実行の脆弱性、修正パッチが公開 - ZDNet Japan
【セキュリティ ニュース】RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ(1ページ目 / 全1ページ):Security NEXT
CVE-2018-1111 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

BIND 9に複数の脆弱性

【概要】
BIND 9に複数の脆弱性が存在し、namedが予期しない動作をしたり停止したりする可能性がある

 

【CVE番号】
CVE-2018-5736
CVE-2018-5737

 

【対象】
BIND 9.12.0
BIND 9.12.1

 

【対策】
・アップデートする(以下本脆弱性修正済みバージョン)
BIND 9.12.1-P2

 

【参考情報】
BIND 9.12における動作停止となる二つの脆弱性について(2018年5月) - JPNIC
ISC BIND 9 の脆弱性 (CVE-2018-5736、CVE-2018-5737) について
JVNVU#91301831: BIND に複数のサービス運用妨害 (DoS) の脆弱性
「BIND 9」に脆弱性、リモートからnamedが異常終了、JPRSやJPCERT/CCが注意喚起 - INTERNET Watch
【セキュリティ ニュース】「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース(1ページ目 / 全2ページ):Security NEXT

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年5月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
【速報版】カード利用のお知らせ(本人ご利用分)
Airdrop申請内容をご確認ください
Apple IDアカウントを回復してください
指定請求書
注文書、請書及び請求書のご送付
発注分
印鑑の発注について
カード利用のお知らせ
注文請書・
請求書をお送り致します。
注文請書・請求書をお送り致します。
楽天市場】注文内容ご確認(自動配信メール)

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年5月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

bitFlyer をかたるフィッシング (2018/05/24)
Amazon をかたるフィッシング (2018/05/17)
MyEtherWallet をかたるフィッシング (2018/05/15)
Apple をかたるフィッシング (2018/05/07)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

Twitter、社内システムのバグでユーザーのパスワードを平文で保存

【概要】
Twitter、社内システムのバグでユーザーのパスワードを平文で保存していることが判明し、Twitterの全ユーザーに対し、パスワードを変更するよう告知した

 

【参考情報】
Keeping your account secure
Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で - ITmedia NEWS
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ
Twitterが全ユーザーにパスワード変更呼びかけ、どうすべきか? | マイナビニュース


森永乳業の健康食品通販サイトが不正アクセスを受け、利用者のカード情報などが流出

【概要】
森永乳業の健康食品通販サイトが不正アクセスを受け、利用者約2.3万人のカード情報(カード番号、名義、有効期限、セキュリティコードなど)が流出

 

【参考情報】
健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社
森永乳業のECサイト、カード番号も含めたカード情報流出の恐れ - ねとらぼ
森永乳業の通販サイトからカード情報流出の可能性 セキュリティコードも - ITmedia NEWS
森永乳業の情報漏洩、正確な情報が少ない訳 | 日経 xTECH(クロステック)


MS&Consulting子会社が運営するサイトが不正アクセスを受け、会員情報が流出

【概要】
MS&Consulting子会社が運営するサイト「ミステリーショッピングリサーチ」が不正アクセスを受け、約6000件約57万件の会員情報が流出。
WAF(ウェブ・アプリケーション・ファイアウオール)の設定ミスによりSQLインジェクション攻撃を受けてしまったとのこと。

 

【参考情報】
MS&Consultingで会員情報6000件流出か、WAF設定ミスでSQLインジェクション攻撃防げず | 日経 xTECH(クロステック)
MSコンサルで会員情報6000件流出か 設定ミスが原因 :日本経済新聞
【セキュリティ ニュース】覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず(1ページ目 / 全1ページ):Security NEXT
流出の恐れがある個人情報は6000件ではなく57万件、MS&Consultingが公表 | 日経 xTECH(クロステック)


Yahoo! JAPAN、パスワードでのログインを無効にする機能を提供開始

【概要】
Yahoo! JAPANは、ユーザーが「Yahoo! JAPAN ID」で設定しているパスワードでのログインを無効にし、代わりにSMS等で送られた確認コードでログインできる機能を提供開始した。

 

【参考情報】
セキュリティ向上の新たな取り組みとして、パスワードでのログインを無効にする機能を提供開始 - プレスルーム - ヤフー株式会社
ヤフー、「パスワード無効」設定可能に セキュリティ向上のため - ITmedia NEWS
ヤフー、セキュリティ向上でパスワードでのログインを無効にする機能を提供開始:日経 xTECH Active
ヤフー、ログイン時のパスワード廃止を段階的に開始 - ケータイ Watch


中国の闇サイトで2億件以上の日本人個人情報が販売

【概要】
セキュリティ企業のファイア・アイは、中国の闇サイトで2億件以上の日本人個人情報が販売されているという調査結果を明らかにした

 

【参考情報】
https://www.fireeye.jp/blog/jp-threat-research/2018/05/japan-pii-finding.html
中国でのべ2億件超の日本人情報が販売、企業流出も確認--ファイア・アイ - ZDNet Japan
日本人の個人情報2億件、中国の闇サイトで販売か - ITmedia ビジネスオンライン
日本人の2億件以上の個人情報、中国の闇サイトで販売を確認 | マイナビニュース

 

GDPR(EU一般データ保護規則)が5月25日から施行

【概要】
GDPRGeneral Data Protection RegulationEU一般データ保護規則)が2018年5月25日から施行された。
対象となる個人データは、対象となる個人データは氏名や所在地、メールアドレス、クレジットカード番号、パスポート情報、Cookieといったオンライン識別子なども含む。
なお、GDPRについて不安を煽る詐欺も増える可能性があり、注意が必要。

 

【参考情報】
EU一般データ保護規則(GDPR)の適用範囲について | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の概要(後編) | NTTデータ先端技術株式会社
GDPRとは | セキュリティ用語解説 | 日立ソリューションズの情報セキュリティブログ
GDPR 施行直後の対応に伴うリスクや、便乗したサイバー犯罪の可能性とは? | トレンドマイクロ セキュリティブログ
GDPR施行で一部米メディアがEUで閲覧不能に Instapaperも停止中 - ITmedia NEWS


北朝鮮ハッカーが利用するマルウェア情報を、米政府が公開

【概要】
北朝鮮ハッカー(HIDDEN COBRA)が利用するマルウェア情報を、米政府が公開。
公開したマルウェア名は以下2つ
・リモートアクセスツール(RAT)の「Joanap」
・「Server Message Block」(SMB)ワームの「Brambul」

 

【参考情報】
HIDDEN COBRA - North Korean Malicious Cyber Activity | US-CERT
米政府、「北朝鮮のマルウェア」2件の情報を新たに公開 - ITmedia NEWS
米政府、北朝鮮のハッカーが使用する2種類のマルウェアについて情報公開 - ZDNet Japan
【セキュリティ ニュース】米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開(1ページ目 / 全4ページ):Security NEXT

 

ネットワーク機器に感染するマルウェア「VPNFilter」の感染拡大

【概要】
ネットワーク機器に感染するマルウェア「VPNFilter」の感染が拡大しており、少なくとも54カ国50万台が感染している恐れがある

 

【参考情報】
ネットワーク機器を標的とするマルウェア「VPNFilter」について
FBI、マルウェア「VPNFilter」対策としてSOHO用ルータ再起動呼びかけ | マイナビニュース
高度なマルウェア「VPNFilter」、54カ国で感染拡大 一斉攻撃の恐れも - ITmedia エンタープライズ
ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染 | トレンドマイクロ セキュリティブログ

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構
IPAテクニカルウォッチ「ウェブサイト開設等における運営形態の選定方法に関する手引き」:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28)
ネットワーク機器を標的とするマルウェア「VPNFilter」について
ISC BIND 9 の脆弱性 (CVE-2018-5736、CVE-2018-5737) について
メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起

 

Trend Micro

ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染 | トレンドマイクロ セキュリティブログ
サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ、2018 年第 1 四半期の脅威動向を分析 | トレンドマイクロ セキュリティブログ
家庭用 GPON ルータの脆弱性を狙う「Mirai」の亜種、メキシコ発のネットワークスキャン活動で確認 | トレンドマイクロ セキュリティブログ
Oracle WebLogic の修正済み脆弱性を狙うトラフィックを確認、サーバを侵害し仮想通貨を発掘 | トレンドマイクロ セキュリティブログ
闇市場とサイバー犯罪:「RaaS」 ランサムウェアのサービス化 | トレンドマイクロ セキュリティブログ
知らないとマズい - 最大約 26 億円の制裁金や個人情報利用停止措置を伴う「GDPR」施行まであと一週間 | トレンドマイクロ セキュリティブログ
Twitter がパスワードの変更を呼びかけ、不具合によりユーザのパスワードが社内システムに露出 | トレンドマイクロ セキュリティブログ

 

McAfee

Facebook乗っ取りの対処方法|原因と安全に使うための6つの対策
ボットネットマルウェア VPNFilterがネットワークデバイスを標的に
新たなマルウェアVPNFilter、50万台以上のルーターに感染
マルウェアとは?初心者も簡単理解!基本から対策、ウイルスとの違い
ソーシャルエンジニアリングとは?手口・被害例・実践的な対策を知る
新世代ハニーポット、Cyber Deceptionで攻撃の見える化を実現する
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ

 

NTTデータ先端技術株式会社

Spring Data Commonsに含まれるリモートコード実行に関する脆弱性(CVE-2018-1273)についての検証レポート | NTTデータ先端技術株式会社
Drupalに含まれるリモートコード実行に関する脆弱性(CVE-2018-7600)についての検証レポート | NTTデータ先端技術株式会社
Oracle WebLogic Serverに含まれるリモートコード実行に関する脆弱性(CVE-2018-2628)についての検証レポート | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の適用範囲について | NTTデータ先端技術株式会社

 

LAC

APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認 | セキュリティ対策のラック
ASUS社 無線LANルータ(RT-AC87U)におけるクロスサイトスクリプティングの脆弱性(JVN#33901663) | セキュリティ対策のラック

 

MBSD

Drupalの脆弱性に関する検証レポート(CVE-2018-7602)
セキュリティ関連キーワード調査 (2018年4月度) | MBSD

 

IIJ

wizSafe Security Signal 2018年4月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

ソフトバンク・テクノロジー

CVE-2018-1111 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

piyolog

国内組織のキャンペーンやアンケートに偽装したなりすましメールについてまとめてみた - piyolog

日本経済研究所のなりすましメールについてまとめてみた - piyolog

 

以上です。
今回もココまで読んでいただきありがとうございました。

 

ではでは!

 

 

梅雨あけないかな~
   _ヘ_
  //|\\
 ∠∠∠|\\\
  ∧_∧∥ ̄ ̄
 (´Д`∥
 ( つ つ
 人 ヽノ
(__(_)

 

<更新履歴>

2018/06/01 AM 公開

2018/06/01 PM 一部修正

2018年4月に起こったセキュリティニュースのアレコレをまとめてみた。

 どもどもにゃんたくです(「・ω・)「ガオー

 

ゴールデンウィークも終わり、長い連休明けの月曜はちょっと出社が億劫になってしまうものですよね。

そういえば『平成』という元号も来年5月1日に変わってしまうため、今年が『平成最後の』ゴールデンウィークでしたね。

・・・僕はお酒ばっかり呑んでいましたが(゚Д゚;)

 

さてさて。

Twitterを利用しているユーザーの方々はご存知かと思われますが、Twitterが全ユーザーに対しパスワードを変更するよう告知がされましたね。

f:id:mkt_eva:20180507072851j:plain


参考情報:Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で - ITmedia NEWS

 

Twitterユーザーの方々は、

・パスワードを変更する

・他のサービスと同じパスワードを設定しない
Twitterで複数のアカウントを分けて利用してるユーザーもいると思うので、他のアカウントと同じパスワードを設定しない

・2要素認証を設定する

を、行うことをオススメします。

最近レイバン広告のアカウントのっとりも増えているので、これも良い機会と捉えて設定を見直してみるのも良いんじゃないかと思います。

※その時、ぜひ設定の『アプリ連携』も確認してみて、不要なアプリ連携をしていた場合は許可を取り消すことをオススメします。

 

 では、前月のまとめです。

 

脆弱性のアレコレ

Spring Frameworkに複数の脆弱性

【概要】
Spring Frameworkに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1270)も含まれている
Spring FrameworkJava Webアプリ開発を行うためのフレームワーク

 

【CVE番号】
CVE-2018-1270
CVE-2018-1271
CVE-2018-1272
CVE-2018-1275

 

【対象】
Spring Framework 5.0 から 5.0.4
Spring Framework 4.3 から 4.3.15
※すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受ける

 

【対策】
・アップデートする(下記本脆弱性修正バージョン)
Spring Framework 5.0.5
Spring Framework 4.3.16

 

【参考情報】
Spring Framework の脆弱性に関する注意喚起
Spring Frameworkに含まれるリモートコード実行に関する脆弱性(CVE-2018-1270)についての検証レポート | NTTデータ先端技術株式会社
Spring Frameworkの脆弱性に注意 | マイナビニュース
【セキュリティ ニュース】「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度(1ページ目 / 全2ページ):Security NEXT

 

 

Spring Data Commonsに複数の脆弱性

【概要】
Spring Data Commonsに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1273)も含まれている

 

【CVE番号】
CVE-2018-1273
CVE-2018-1274

 

【対象】
Spring Data Commons 1.13 から 1.13.10 (Ingalls SR10)
Spring Data Commons 2.0 から 2.0.5 (Kay SR5)
Spring Data REST 2.6 から 2.6.10 (Ingalls SR10)
Spring Data REST 3.0 から 3.0.5 (Kay SR5)

 

【対策】(下記本脆弱性修正バージョン)
Spring Data Commons 1.13.11
Spring Data Commons 2.0.6
Spring Data REST 2.6.11 (Ingalls SR11)
Spring Data REST 3.0.6 (Kay SR6)
Spring Boot 1.5.11
Spring Boot 2.0.1

 

【参考情報】
Spring Data Commons の脆弱性に関する注意喚起
Spring Data Commonsに含まれるリモートコード実行に関する脆弱性(CVE-2018-1273)についての検証レポート | NTTデータ先端技術株式会社
【セキュリティ ニュース】「Spring Data Commons」に深刻な脆弱性 - REST処理などでコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT

 


Drupal脆弱性

【概要】
Drupal脆弱性が存在し、第三者によってリモートから任意のコードが実行される可能性がある
DrupalオープンソースCMS

 

【CVE番号】
CVE-2018-7602

 

【対象】
Drupal 7.59 より前のバージョン
Drupal 8.4.8 より前のバージョン
Drupal 8.5.3 より前のバージョン

 

【対策】(下記本脆弱性修正バージョン)
Drupal 8.5.3
Drupal 7.59
Drupal 8.4.8

 

【参考情報】
Drupal の脆弱性対策について(CVE-2018-7602):IPA 独立行政法人 情報処理推進機構
Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起
Drupalの脆弱性を突く攻撃を確認、直ちに対応を - ITmedia エンタープライズ

 

▼関連するDrupal脆弱性(CVE-2018-7600)については下記を参考にしてください。既に攻撃コードが公開されています
更新:Drupal の脆弱性対策について(CVE-2018-7600):IPA 独立行政法人 情報処理推進機構
http://mkt-eva.hateblo.jp/#Drupal脆弱性:title

 


Oracle Java脆弱性

【概要】
Oracle社が提供する JRE (Java Runtime Environment) に脆弱性が存在し、外部より第三者から任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2018-2814

 

【対象】
Oracle Java SE 10
Oracle Java SE 8 Update 162
Oracle Java SE 7 Update 171
Oracle Java SE 6 Update 181
Oracle Java SE Embedded 8 Update 161
Oracle Java SE Embedded 8 Update 152

 

【対策】
・アップデートする

 

【参考情報】
Oracle Critical Patch Update - April 2018
Oracle Java の脆弱性対策について(CVE-2018-2814等):IPA 独立行政法人 情報処理推進機構
Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処 - ITmedia エンタープライズ
Oracle、「Java SE 10.0.1」「Java SE 8 Update 171」を公開 ~脆弱性を修正 - 窓の杜

 


Microsoft Outlook脆弱性

【概要】
Microsoft Outlook のOLE(Object Linking and Embedding )コンテンツ取得に問題があり、第三者により個人情報が奪取される可能性がある

 

【CVE番号】
CVE-2018-0950

 

【対象】
Microsoft Outlook

 

【対策】
・アップデートする
・インバウンドおよびアウトバウンドのSMB コネクションをブロックする
・NTLM シングルサインオン (SSO) 認証を無効にする
・複雑なパスワードを設定する

 

【参考情報】
JVNVU#95312708: Microsoft Outlook の OLE コンテンツ取得における問題
Microsoft Outlookに情報窃取の脆弱性 | マイナビニュース
マイクロソフト、「Outlook」の情報流出につながるバグを修正 - ZDNet Japan
Microsoft Outlookに情報窃取の脆弱性 | マイナビニュース

 


不審なメールや偽サイトのアレコレ

不審なメール情報

2018年4月に出回った不審なメールの件名は以下のとおり

【件名一覧】
・【楽天市場】注文内容ご確認(自動配信メール)
・8月、原価請求書です。
・注文書、請書及び請求書のご送付
・あなたのApple IDのセキュリティ質問を再設定してください。
・カード利用のお知らせ
・①Re: Re: 2月度発注書送付
・②Fwd: Re: 2月度発注書送付
・③RE: Re: 2月度発注書送付
・④FWD: Re: 2月度発注書送付
・お振込頂きます

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 


不審な偽サイト(フィッシングサイト)情報

2018年4月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
Apple をかたるフィッシング (2018/04/25)
・[更新] セゾン Net アンサーをかたるフィッシング (2018/04/23)
ソフトバンクをかたるフィッシング (2018/04/18)
・[更新] MUFG カードをかたるフィッシング (2018/04/16)
・[更新] Apple をかたるフィッシング (2018/04/11)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

無料のパブリックDNSサービス「1.1.1.1」をCloudflareが提供開始

【概要】
無料のパブリックDNSサービス「1.1.1.1」をCloudflareが提供を開始した。IPアドレスを記録されることがなくセキュアに利用が可能。

 

【参考情報】
1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver
Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service
Cloudflare、セキュアで最速な一般向けDNSサービス「1.1.1.1」提供開始 - ITmedia NEWS
プライバシー面を重視したDNSサービス「1.1.1.1」をCloudflareが提供開始 - GIGAZINE
IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、APNICとCloudflareが無料提供 - INTERNET Watch

 


プレミアム・アウトレット、会員情報約27万件が流出

【概要】
三菱地所・サイモンが運営する「プレミアム・アウトレット」のショッパークラブに登録された会員情報約27万件が流出した。
内訳は、メールアドレスとログインパスワードの両方が約24万件、メールアドレスのみが約3万件

 

【参考情報】
プレミアム・アウトレット、会員情報27万件流出 :日本経済新聞
プレミアム・アウトレット事件の真相、登録情報以外が流出した可能性も | 日経 xTECH(クロステック)
【セキュリティ ニュース】会員約24万件のアカウント情報が外部データと一致 - プレミアム・アウトレット(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「プレミアム・アウトレット」の一部メルマガ会員情報が流出か - 使い回しパスワードに注意を(1ページ目 / 全1ページ):Security NEXT

 

 

Minecraftの「スキン」を装ったマルウェアが出回る

【概要】
Minecraftの「スキン」を装ったマルウェアが出回り、5万アカウントが感染した可能性がある

 

【参考情報】
Minecraft players exposed to malicious code in modified “skins” | Avast
スキンを媒介したマルウェアがマインクラフトで広がっている問題、Mojangが声明を発表 - 窓の杜
【セキュリティ ニュース】「Minecraft」の脆弱性狙う破壊型マルウェア - 5万アカウント以上で被害か(1ページ目 / 全2ページ):Security NEXT

 


世界最大のDDoS攻撃請負サイトが摘発される

【概要】
世界最大のDDoS攻撃請負サイト「webstresser . org」が摘発され、サービスが停止になった。

 

【参考情報】
世界最大のDDoSサービスが摘発される 月額わずか15ユーロで攻撃実行 - ITmedia NEWS
世界最大のDDoS攻撃請負サイト「webstresser.org」が閉鎖される - GIGAZINE
【セキュリティ ニュース】会員13万人以上の低価格DDoS攻撃サービスが検挙 - 1カ月約2000円、攻撃は400万回以上(1ページ目 / 全2ページ):Security NEXT

 


NTTグループ3社が海賊版サイトに対してブロッキングを実施することを発表

【概要】
NTTグループ3社(NTTコミュニケーションズNTTドコモNTTぷらら)が海賊版サイトに対して準備が整い次第ブロッキングを実施することを発表した

 

【参考情報】
インターネット上の海賊版サイトに対するブロッキングの実施について:NTT持株会社ニュースリリース:NTT HOME
NTTグループ3社、「漫画村」など海賊版サイトをブロッキングへ - ITmedia Mobile
一問一答完全収録 NTTグループのブロッキング、なぜ実施? (1/2) - ITmedia Mobile
NTT、海賊版サイトへのブロッキング実施を発表 - ZDNet Japan

 

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)):IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月):IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

JPCERT コーディネーションセンター インシデント報告対応レポート
JPCERT コーディネーションセンター 活動四半期レポート
Cisco Smart Install Client を悪用する攻撃に関する注意喚起
適切なパスワードの設定・管理方法について

 

Trend Micro

iPhone セットが 100 円?不正広告で誘導する日本郵便を偽装した当選詐欺サイトを確認 | トレンドマイクロ セキュリティブログ
「Magento」上のECサイト改ざんにより、カード情報漏えいやマルウェア感染が発生 | トレンドマイクロ セキュリティブログ
日本にも流通する IoT デバイスで遠隔操作が可能な脆弱性を確認 | トレンドマイクロ セキュリティブログ
日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」、新しく確認された活動とツールを解説 | トレンドマイクロ セキュリティブログ
「ファイル感染型コインマイナー」を確認。既存ランサムウェアのコードを再利用 | トレンドマイクロ セキュリティブログ
DNS 設定書き換え攻撃によって拡散する Android 端末向け不正アプリ「XLOADER」を確認 | トレンドマイクロ セキュリティブログ

 

McAfee

サイバーセキュリティの脅威を明確に見極めるための6つの要素
サイバー攻撃の目的|効果的対策のために知るべき分類と攻撃者の種類
ウイルスにはどんな種類があるのか?分類・特徴・マルウェアとの違い
Twitter乗っ取り被害にあったときの確認方法・解除法の全手順と予防策
ランサムウェアとは?社員が知っておきたいセキュリティの基本

 

LAC

セキュリティ診断レポート 2018 陽春 | セキュリティ対策のラック
"すごうで 2017" レポート | セキュリティ対策のラック
JSOC INSIGHT vol.19 | セキュリティ対策のラック
やりっぱなしにしない「標的型攻撃メール訓練」【第4回】改善編 | セキュリティ対策のラック
攻撃者グループ "BlackTech"による "PLEAD"を使った日本への攻撃を確認 | セキュリティ対策のラック

 

MBSD

https://www.mbsd.jp/blog/20180420.htm:titlel

 

IIJ

GhostMinerの感染拡大 – wizSafe Security Signal -安心・安全への道標- IIJ
wizSafe Security Signal 2018年3月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
IIJ Security Diary: 国内 Mirai 亜種感染機器からのスキャン通信が再び増加 (2018年2-3月の観測状況)

 

piyolog

監視カメラへの不正アクセスについて調べてみた - piyolog
前橋市教育委員会への不正アクセスについてまとめてみた - piyolog 

 

以上です。
今回もココまで読んでいただきありがとうございました。

 

ではでは!

.∩___( ̄`ヽ
/ ⌒  ⌒ヽ |
| >  < | |
|  (_●_) ミノ
彡、 |∪| ノ /
 _ノ ̄)ノ  /
___ノ  /

 

2018年3月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

いよいよ新年度ですね!今年度もどうぞにゃんたくをよろしくお願いいたします。

 

さてさて、桜もすっかり満開の時期が過ぎつつあり、自宅の目の前の桜は既に葉桜になってしまっております。。。今年桜の時期あっという間だったな…(´;ω;`)ウッ…

 

話は変わって、いつも参考にしている@ITの「セキュリティクラスタ まとめのまとめ」の2016年1月~2017年12月の連載がまとまったものが公開されております。

www.atmarkit.co.jp

ぜひ皆さん参考にしてみてください。

僕のTweetなんかも取り上げていただいた回もあり、なんだかそれがPDFとしてDLできるってすごく嬉しかったんですよよよ。

 


そうそう、3月1日に「第3回セキュリティ事故対応アワード」を聴講してきたんですけど、行ってきた感想やどういったないようだったかをまとめたブログも書いたので、そちらもぜひ参考にしてみてください。

mkt-eva.hateblo.jp

 

 では、前月のまとめです。


脆弱性のアレコレ

Drupal脆弱性

【概要】

Drupal脆弱性が存在し、第三者によってリモートから任意のコードが実行される可能性がある
DrupalオープンソースCMS

 

【CVE番号】
CVE-2018-7600

 

【対象】
Drupal 8.5.1 より前のバージョン
Drupal 7.58 より前のバージョン
※サポートが終了しているDrupal 6系やDrupal 8.4 系以前も本脆弱性の影響を受ける

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
Drupal 8.5.1
Drupal 7.58
Drupal 8.4.6
Drupal 8.3.9

 

【参考情報】
Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起
Drupal の脆弱性対策について(CVE-2018-7600):IPA 独立行政法人 情報処理推進機構
Drupalの重大な脆弱性情報公開、直ちにアップデートを | マイナビニュース
Drupal、極めて重大な脆弱性を修正 直ちに対応を - ITmedia NEWS

 


Apache Struts 2に脆弱性(S2-056)

【概要】

Apache Struts 2に含まれるRESTプラグインの「XStreamライブラリ」に脆弱性が存在し、第三者からサービス運用妨害 (DoS) 攻撃を実行されてしまう可能性がある

 

【CVE番号】
CVE-2018-1327
S2-056

 

【対象】
Struts 2.1.1 から 2.5.14.1

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
Struts 2.5.16

 

【参考情報】
S2-056 - Apache Struts 2 Documentation - Apache Software Foundation
Apache Struts 2 の脆弱性 (S2-056 / CVE-2018-1327) について
Apache Struts 2に脆弱性、最新版に更新を - JPCERT/CC | マイナビニュース
【セキュリティ ニュース】「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃受けるおそれ(1ページ目 / 全1ページ):Security NEXT

 


OpenSSLに複数の脆弱性

【概要】

OpenSSLに複数の脆弱性が存在し、第三者からサービス運用妨害 (DoS) 攻撃を実行されてしまう可能性などがある
再帰的な定義を持つASN.1型を構築するとスタックを超えてしまい、DoS攻撃を受ける可能性がある(CVE-2018-0739)
※実装上のバグによりメッセージを偽造することができ、試行よりも少ない試行で認証される(CVE-2018-0733)

 

【CVE番号】
CVE-2018-0739
CVE-2018-0733
CVE-2018-3738

 

【対象】(以下CVE別に記載)
▼CVE-2018-0739
OpenSSL 1.1.0h より前の 1.1.0 系列, OpenSSL 1.0.2o より前の 1.0.2 系列

 

▼CVE-2018-0733
OpenSSL 1.1.0h より前の 1.1.0 系列 (HP-UX PA-RISC のみ影響をうける)
HP-UX PA-RISC:HPが開発したマイクロプロセッサ アーキテクチャ

 

▼CVE-2017-3738
OpenSSL 1.1.0h より前の 1.1.0 系列, OpenSSL 1.0.2n より前の 1.0.2 系列

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
OpenSSL 1.0.2o
OpenSSL 1.1.0h

 

【参考情報】
[openssl-announce] OpenSSL Security Advisory
JVNVU#93502675: OpenSSL に複数の脆弱性
OpenSSL のアップデートについて
OpenSSLがセキュリティアップデート - 脆弱性に対応 | マイナビニュース

 

 

プロセッサの脆弱性「Meltdown」のマイクロソフト修正パッチに脆弱性

【概要】

マイクロソフトが提供した「Meltdown」の修正パッチに脆弱性が存在し、非特権ユーザでコードを実行できる

 

【CVE番号】
CVE-2018-1038

 

【対象】(※2018年1月にリリースされたこのパッチをインストールした場合)
Windows 7 x64
Windows Server 2008 R2 x64

 

【対策】
・アップデートする

 

【参考情報】
Vulnerability Note VU#277400 - Windows 7 and Windows Server 2008 R2 x64 fail to protect kernel memory when the Microsoft patch for meltdown is installed
JVNVU#97712677: Meltdown 向けパッチが適用された Windows 7 x64 および Windows Server 2008 R2 x64 でカーネルメモリが適切に保護されない脆弱性
Windows 7のMeltdown修正パッチに脆弱性、最新アップデート適用を | マイナビニュース
【セキュリティ ニュース】MSのMeltdown緩和パッチ、適用で権限昇格おそれ - 悪用は未確認(1ページ目 / 全2ページ):Security NEXT
CPU“脆弱性問題”の現状と対策 ~セキュリティは? パフォーマンスは? ユーザーへの影響を確認する - PC Watch

 


製品開発者への連絡不能脆弱性

【概要】

製品開発者への連絡を実施したが一定期間 (9カ月以上) 応答がなかった脆弱性についてJVNで公表された

 

【公開された脆弱性一覧】
QQQ SYSTEMS におけるクロスサイトスクリプティング脆弱性
PHP 2chBBS におけるクロスサイトスクリプティング脆弱性
ViX における DLL 読み込みに関する脆弱性
Tiny FTP Daemon におけるバッファオーバーフロー脆弱性
QQQ SYSTEMS における OS コマンドインジェクションの脆弱性
WebProxy におけるディレクトリトラバーサル脆弱性

 

【参考情報】
JVN#64990648: QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
JVN#96655441: QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
JVN#46471407: QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
JVN#48774168: PHP 2chBBS におけるクロスサイトスクリプティングの脆弱性
JVN#56764650: ViX における DLL 読み込みに関する脆弱性
JVN#92259864: Tiny FTP Daemon におけるバッファオーバーフローの脆弱性
JVN#22536871: QQQ SYSTEMS における OS コマンドインジェクションの脆弱性
JVN#87226910: WebProxy におけるディレクトリトラバーサルの脆弱性

 


memcachedを悪用したDDoS攻撃が多数報告

【概要】

memcachedを悪用したDDoS攻撃が多数報告された。悪用された理由は以下2つ
・認証が必要ないキャッシュシステムで、返答が、中断のないストリームになっていること
・デフォルトで、UDPTCPの両方でListenしていること
※こちらの記事(http://www.atmarkit.co.jp/ait/articles/1803/28/news018.html)より転載

 

【CVE番号】
CVE-2018-1000115

 

【対象】
Memcached 1.5.5

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
Memcached 1.5.6

 

【参考情報】
memcached のアクセス制御に関する注意喚起
Memcachedの脆弱性(CVE-2018-1000115) — | サイオスOSS | サイオステクノロジー
memcachedをDDoS攻撃に使われないための基本的な心掛け:OSS脆弱性ウォッチ(3) - @IT
memchachedを利用したUDPリフレクションDDoS - Akamai Japan Blog
memcachedを悪用する攻撃、「キルスイッチ」で抑制できる可能性 - ZDNet Japan

 

 

注意喚起やニュースのアレコレ

Wi-fiルータDNS設定情報が改竄され、マルウェア配布サイトに誘導されてしまう

【概要】

Wi-fiルータDNS情報が書き換えられてしまい、ユーザーが意図せずマルウェア配布サイトに誘導されてしまう事案が発生。なお、マルウェア配布サイトに誘導されると下記メッセージが表示され、OKをクリックするとマルウェアがDLされてしまう
Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。
・閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。

 

【対象】
▼Logitecのルーター対象機種((報告が上がっているもの)
LAN-W300N

 

▼Buffaloのルーター対象機種(報告が上がっているもの)
WHR-1166DHP4
WHR-G301N

 

NTT東日本NTT西日本ルーター対象機種
⇒法人向けに販売されているものです
Netcommunity OG410Xa
Netcommunity OG410Xi
Netcommunity OG810Xa
Netcommunity OG810Xi

 

【参考情報】
NICTER Blog
ルーターの設定情報改ざんについてまとめてみた - piyolog
続報:ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認 | トレンドマイクロ セキュリティブログ

 


ITパスポート試験で申込者情報が漏えい

【概要】

ITパスポート試験の団体申込者が利用するシステムに不具合があり、ITパスポート試験の申込者の個人情報137件が漏洩したと情報処理推進機構が発表した

 

【参考情報】
プレス発表 ITパスポート試験における個人情報等の漏えいについて:IPA 独立行政法人 情報処理推進機構
ITパスポート試験で個人情報漏えい 団体申込者のシステムに不具合 - ITmedia NEWS
IPA、ITパスポート試験における個人情報漏洩について発表 | マイナビニュース

 


情報セキュリティハンドブックがスマートフォンアプリとして公開

【概要】

NISC(内閣サイバーセキュリティセンター)作成の「ネットワークビギナーのための情報セキュリティハンドブック」が読めるスマートフォンアプリとして公開された

 

【参考情報】
「ネットワークビギナーのための情報セキュリティハンドブック」公式アプリを無料配信します[みんなでしっかりサイバーセキュリティ]
情報セキュリティハンドブック[みんなでしっかりサイバーセキュリティ]
かわいいイラストで「情報セキュリティ」学べる 政府のハンドブック、スマホ版公開 - ITmedia NEWS

 

play.google.com

 

Facebookの個人情報5000万人分が不正に利用される

【概要】

Facebookの個人情報5000万人分が、ケンブリッジ・アナリティカによって不正に利用されていたとが判明した。
FB上で性格診断クイズ(ケンブリッジ大学の教授が学術調査目的で行ったもの)を行ったユーザー、および「いいね!」をクリックしたユーザーの情報が利用された模様

【参考情報】
フェイスブックは個人情報悪用の張本人 | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
5000万人分の個人情報を不正利用されたFacebookはユーザーだけでなく従業員への対応にも四苦八苦 - GIGAZINE
米Facebookの個人情報漏えい きっかけは性格診断クイズ - ライブドアニュース
フェイスブックCEO、個人情報取り扱いの過ち認める 対策強化へ | ロイター

 


不正アクセスを受けたマイネットが報告書を公開

【概要】

2018年3月初旬に不正アクセスを受け、13タイトルのゲームを一時休止したマイネットが、不正アクセスの報告書を公開した。
なお、犯人により事前に「特権ID」を入手され、それを利用し不正侵入され、サーバー上のデータが削除された模様。

 

【参考情報】
当社サーバーへの不正アクセスに関する中間報告書 | 株式会社マイネット
https://mynet.co.jp/assets/uploads/sites/4/2018/03/report_0326.pdf
マイネット、不正アクセスの報告書公開 サーバのパスワード、チャットツールから流出か VPN経由で侵入受け、データ削除される - ITmedia NEWS
ゲームに不正アクセスのマイネット、「サーバの特権ID」流出が判明 - ITmedia ビジネスオンライン

 


Coincheck」から流出したNEMの全額が完売

【概要】
仮想通貨取引所Coincheckコインチェック)」から盗まれた約580億円分(当時価格)の仮想通貨「NEM」が全額完売した。

 

【参考情報】
流出NEM「完売」 資金洗浄完了か 販売サイトに金正恩氏の写真と「Thank you!!!」 - ITmedia NEWS
盗まれた仮想通貨「NEM」がほぼ完売。ビットコインなどほかの仮想通貨と交換される(篠原修司) - 個人 - Yahoo!ニュース

 


Apple、「iOS 11.3」をリリース

【概要】
Appleが、計43件の脆弱性を修正した「iOS 11.3」をリリースした。

 

【参考情報】
About the security content of iOS 11.3 - Apple サポート
「iOS 11.3」のセキュリティ情報公開、カーネルやWebKitの深刻な脆弱性に対処 - ITmedia NEWS
【セキュリティ ニュース】Apple、「iOS 11.3」をリリース - 脆弱性43件を修正(1ページ目 / 全1ページ):Security NEXT
Apple、ARKitの拡張やバッテリ管理機能を改善した「iOS 11.3」提供開始 - PC Watch

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年3月に出回った不審なメールの件名は以下のとおり

 

【件名一覧】
Microsoftアカウントの不審なサインイン
カード利用のお知らせ
楽天市場】注文内容ご確認(自動配信メール)
発注書
- 発注書
FWD: 発注書
Fwd: 発注書
RE: 発注書
Re: 発注書
・Re: Re: 2月度発注書送付
・Fwd: Re: 2月度発注書送付
・RE: Re: 2月度発注書送付
・FWD: Re: 2月度発注書送付"
Re: - 1 Re: 2月度発注書送付
Re: - 2 Re: 2月度発注書送付"
・Fwd:
・Re: Fw:
■【重要】
Re: ご注文ありがとうございます。
2月請求書

 

【参考情報】
情報提供|一般財団法人日本サイバー犯罪対策センター
注意情報|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年3月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

MUFG カードをかたるフィッシング (2018/03/26)
楽天をかたるフィッシング (2018/03/23)
Netflix をかたるフィッシング (2018/03/22)
マイクロソフトをかたるフィッシング (2018/03/22)
セゾン Net アンサーをかたるフィッシング (2018/03/19)
bitbank をかたるフィッシング (2018/03/07)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
診断学習TOP:IPA 独立行政法人 情報処理推進機構
「サイバーレスキュー隊(J-CRAT)技術レポート2017」を公開:IPA 独立行政法人 情報処理推進機構
「データ利活用における重要情報共有管理に関する調査」報告書について:IPA 独立行政法人 情報処理推進機構
「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について:IPA 独立行政法人 情報処理推進機構
「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」報告書について:IPA 独立行政法人 情報処理推進機構
「第四次産業革命を踏まえた秘密情報の管理と利活用におけるリスクと対策に関する調査」報告書について:IPA 独立行政法人 情報処理推進機構
IoT製品・サービス開発者のセキュリティ対策と意識の調査結果などを公開:IPA 独立行政法人 情報処理推進機構
不正ログイン対策特集ページ:IPA 独立行政法人 情報処理推進機構
IPA 独立行政法人 情報処理推進機構:

 

 

JPCERT コーディネーションセンター

BIND の "update-policy local;" の動作仕様変更について
制御システムセキュリティカンファレンス 2018
実証実験:インターネットリスク可視化サービス―Mejiro―
プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01)

 


Trend Micro

「Meltdown」および「Spectre」を狙う攻撃の検出手法を検証 | トレンドマイクロ セキュリティブログ
GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 | トレンドマイクロ セキュリティブログ
なぜ流出?国内でも発生した仮想通貨取引所を狙う攻撃を振り返る | トレンドマイクロ セキュリティブログ
Android 端末向け不正アプリ「AndroRAT」の新しい亜種、古い権限昇格脆弱性を利用し端末をルート化 | トレンドマイクロ セキュリティブログ

 


Mcafee

感染の第一歩となる「トロイの木馬」とは?発見・駆除・対策のすべて
ハッキングとは何か?手口と具体例から見る管理者側とユーザ側の対策
シャドーITのリスク|クラウドセキュリティの穴となる具体例と対策
DDoS攻撃・DoS攻撃のやり方|フラッド型と脆弱性型の攻撃手法
世界のスパム トラフィックのトップに立つボットネット「Necurs」
過熱する仮想通貨のダーク サイド: マカフィーの研究者がサイバー犯罪への影響を分析
マルウェアとは?セキュリティ対策上知るべき種類14選と3つの特徴
過去最大級のDDoS攻撃!memcachedの脆弱性から考えるDDoS対策
バンキングマルウェアの脅威!不正送金被害を回避するための対策3選
ファイルレスマルウェアの脅威!仕組みと感染経路からみる実践的対策

 

 

LAC

セキュリティ診断レポート 2018 早春 | セキュリティ対策のラック
CYBER GRID JOURNAL Vol.5 | セキュリティ対策のラック
サイバー救急センターレポート 第2号 | セキュリティ対策のラック

 


MBSD

2017年度ペネトレーションテスト結果の考察

 


IIJ

wizSafe Security Signal 2018年2月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
memcachedを用いたUDP Amplification攻撃 – wizSafe Security Signal -安心・安全への道標- IIJ
IIJ Security Diary: Hajime ボットによる 8291/tcp へのスキャン活動

 


piyolog

ルーターの設定情報改ざんについてまとめてみた - piyolog
マイネットへの不正アクセスについてまとめてみた - piyolog
2018年3月の内閣府のなりすましメールについてまとめてみた - piyolog
平昌五輪のサイバー関連の出来事をまとめてみた - piyolog
memcached を悪用したDDoS攻撃についてまとめてみた - piyolog

 

 

以上です。
今回もココまで読んでいただきありがとうございました。

ではでは・・・・・

あ、そうだ!!!
日本SOCアナリスト情報共有会(SOCYETI ソサイエティ)という有志の会のサイトが公開されたようです。

SOCYETI

SOCYETI(ソサイエティ)について | SOCYETI

ぼくも現在、SOCアナリストとして仕事をしているので、こういった会にはぜひ参加してみたいと思っておりますよよよ!!!


ではでは(●´ω`●)

 

<更新履歴>

2018/04/02 PM 公開

「第3回情報セキュリティ事故対応アワード」に行ってみた。 #事故対応アワード

どもどもにゃんたくです。

 

さて、今回はこちらに行ってきました!

第3回情報セキュリティ事故対応アワード

news.mynavi.jp

 

当日はTwitterと連動しながらすすめる場面もありました。
その時のハッシュタグは「#事故対応アワード」

このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。

togetter.com

 

 =================================================

<2018/03/26>

第3回セキュリティ事故対応アワードの開催レポートが公開されたので追加

 

news.mynavi.jp

==================================================

 

 

僕は、第1回、第2回と参加しており、幸運にも今回も参加することができました。

 

第1回と第2回の受賞一覧はコチラです。

news.mynavi.jp

news.mynavi.jp

 


なお、昨年の「第2回」の僕の感想ブログはこちら

mkt-eva.hateblo.jp

 

 

まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。

※一部前回の内容と同じ部分あり

 

▼情報セキュリティ事故対応アワードとは

セキュリティ事故後の対応(インシデント・レスポンス)が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。

ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

 

▼部門賞一覧

最優秀賞、優秀賞、特別賞、報道賞

※報道賞は第2回から新設。有識者が「良かったと感じた記事」を讃える賞

 

▼評価軸

・事故発覚から、第一報までの時間(事故報告するまでの期間、頻度)

・発表内容(原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等)

・自主的にプレスリリースを出したか(報道だけではなく、自社発信)

 

▼集計期間

・昨年1年間

※第3回の場合2017年1月から2017年12月まで。

 

▼ 審査員

・徳丸 浩 氏 (Twitter : @ockeghem

・北河 拓士 氏 (Twitter : @kitagawa_takuji

・根岸 征史 氏(Twitter : @MasafumiNegishi

・辻 伸弘 氏(Twitter : @ntsuji

・piyokango 氏(Twitter : @piyokango

・・・セキュリティのBIG 5の皆様です。ちなみにアワード委員長は、辻さんです。

 

さてなんとなくですが、どんなアワードかわかっていただけたかと思います。

 

そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。

 

この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。

 

では、なぜ褒めるのか。

それは「情報セキュリティ事故対応アワードとは」にも書いた、

今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

の一言に尽きるのでは無いでしょうか。

 

もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。

しかしながら、インシデントは「起きてしまう」ものです。

インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。

 

ここまでの内容はほぼ「第2回」の内容と変わりません。(もうしわけ)

ただ今回の第3回から大きく2つ変わったところがありました。

 

①事故対応アワードのツイッターアカウントができた

twitter.com

アワード中はハッシュタグの「 #事故対応アワード」で参加者のリアルタイムの意見をTwitterで観測できるという部分は第1回、第2回と変わらずでしたが、第3回からまさかのアカウントができるとは思いませんでした。

このアカウントではアワード中に話題なった内容のニュース情報やプレスリリース文、ハッシュタグの「 #事故対応アワード」でつぶやかれた参加者のツイートをRTしたりしてくれる非常にありがたいアカウントでした。

 

②アワード中にリアルタイムに記事が公開された

これはなかなかに驚きました。

このブログ後半のネタバレになってしまいますが、リアルタイムに公開された記事はこちらの2つです。

news.mynavi.jp

news.mynavi.jp

被害を受けてわかったこと、感じたことが非常に「リアル」に書かれていて興味深いです。

ただ、結構な分量があるので、アワード中に読むことは「僕は」できませんでした。

どちらかというとアワード審査員5名の話の内容を聞きたかったので。。。

 

 

さてさて、今回の事故対応アワードは、アワードとパネルディスカッション、質問コーナーの3段階構成で行われていました。

アワードの内容、パネルディスカッション。質問コーナーの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。

 

第3回情報セキュリティ事故対応アワード

選考概要

・調査件数、数百件

・ノミネート21件

・最終候補4件

 

最優秀賞(0社)

該当なし。

まさかの、「該当なし」でした。

第1回、第2回ともに1社選ばれていましたが、今回は無しということでした。

ただ、対応が良かった件がなかったというわけではなく、審査員の中で「推しインシデント」が割れたそうです。

ただ、「審査員のなかで割れるくらい、事故対応が良い企業が増えたのではないか」というコメントもされていました。

 

 

優秀賞(2社)

1社目

【受賞】

ディノス・セシール

 

【インシデント内容】

・1年で4回、”なりすまし”による不正アクセス被害の情報を公開

・なりすまし不正アクセス回数が10回程度でも検知し、自主的にプレスリリースに掲載

 

【プレスリリース】

https://www.dinos-cecile.co.jp/whatsnew/topics_20170925.pdf

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20170919.pdf

https://www.dinos-cecile.co.jp/pdf/topics_20170824-2.pdf

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20170823.pdf

https://www.dinos-cecile.co.jp/whatsnew/topics_20170731.pdf

 

【受賞理由(審査員コメント含む)】

・多くのサイトで頻発しているであろう小規模の不正ログインに対して、都度情報公開して真摯に対応している。
・また、試行数10~20回程度の不正ログインを検知し、自ら対応している点は素晴らしい

・ 企業では被害にあったユーザにだけ被害の周知をしているが、公にはしてない企業が多いなか、公にしている

・リスト型攻撃など最近あまり聞かないが(減ってきているのかもしれないが)、発生していないということではないということを発信してくれている

・事故についてのプレスリリース内容の情報が少ない企業が多いなか、具体的な情報を発信してくれているところがよかった

 

【その他関連情報】

【セキュリティ ニュース】わずか1分11回のみの不正ログイン攻撃受ける - ディノス・セシールが公表(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ディノス・セシール、再度パスワードリスト攻撃を検知(1ページ目 / 全2ページ):Security NEXT

ASCII.jp:ディノス・セシール通販サイトに「なりすまし」による不正アクセス

 

 

2社目

【受賞】

ぴあ / B.LEAGUE

 

【インシデント内容】

・ぴあが受託開発したB.LEAGUEチケットサイトにおいて、Apache Struts2脆弱性を突かれ、クレジットカードを含む個人情報が漏洩

 

【プレスリリース】

http://corporate.pia.jp/news/files/security_incident20170425.pdf

http://corporate.pia.jp/news/files/security_incident20170518.pdf

B.LEAGUEチケット等でのクレジットカード決済再開のお知らせ|ぴあ株式会社

(3/27・16:00追記)「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせ - B.LEAGUE(Bリーグ)公式サイト

「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせに関する4月11日(火)時点の追加のお知らせ - B.LEAGUE(Bリーグ)公式サイト

B.LEAGUEチケット等でのクレジットカード決済再開に関する、現状のご報告 - B.LEAGUE(Bリーグ)公式サイト

 

【受賞理由(審査員コメント含む)】

・問題発覚後、対応状況を都度公開

・サービスの停止もすばやく行い、事故対応が的確、迅速であった

Apache Struts2脆弱性を突かれた、という情報をメディアで発信した

・カード被害額の公表は史上初

・被害者へのお詫びの手紙ではプレスリリースよりも詳細な情報を記載した

 

 

 

【その他関連情報】

ぴあ だからできた! チケット事業の経験を活かした事故対応 [事故対応アワード受賞レポート]|セキュリティ|IT製品の事例・解説記事

事故対応でB.LEAGUEが得た2つの教訓 [事故対応アワード受賞レポート]|セキュリティ|IT製品の事例・解説記事

またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害 | 日経 xTECH(クロステック)

ぴあ運営のB.LEAGUEチケットサイトに不正アクセス--クレカ情報流出とされる被害も - CNET Japan

ぴあ、B.LEAGUE関連サイト不正アクセス問題で新たに約6500件のクレカ情報流出の恐れ - CNET Japan

ぴあ、Bリーグ不正アクセス問題 新たにカード情報6500件の流出可能性を発表 計4万件弱に - ねとらぼ

 

 

特別賞(0社)

該当無し

※実際にはあったが、辞退されたとのこと

 

報道賞(0社)

該当無し

 


パネルディスカッション

※パネルディスカッションで話題になった内容を列挙します

 

・今回の事故対応アワードの事象選出にあたって思ったこと

→今回受賞しなかった企業で、事故対応は早かったのに、内容がいまいちのものがあった

→早ければ良い、ってものでもない、中身との兼ね合い(バランス)が大事

→ただ、早いっていうのは「アワード的には」加点要素

 

ソフトバンク・テクノロジー不正アクセス事故について

→事故が発生した時、辻さんの頭の中ですぐに「事故対応アワードのことが頭に浮かんだ」とのこと
(辻さんの「頭の中でハッシュタグつけちゃいましたよ!」の一言は笑った)

→実際の事故が発生し、事故対応アワードで得た知見を、広報との連携やプレスリリースの作成に役立たせることができた

→今回の事故対応アワードのノミネートに21件上がったがソフトバンクテクノロジーはノミネートされず

【参考情報】

不正アクセスによる情報流出の可能性に関する詳細調査のご報告(最終報)|ソフトバンク・テクノロジー株式会社 企業情報

不正アクセスのその後、ソフトバンク・テクノロジー 辻氏が語った体験談 (1) ミスが積み重なって起きた不正アクセス | マイナビニュース

 

・「付録C」について

→「付録C」とは、経済産業省が公開している『サイバーセキュリティ経営ガイドライン』についてくる「付録C インシデント発生時に組織内で整理しておくべき事項」という付録の略称(※2017年11月16日公開)

→インシデントが発生した時に組織内で整理しておくべき事項をまとめたもの

→「事故が発生した後」に使うものではなく、セキュリティ事故が発生する「前」から利用してもらいたい

 

【参考情報】

サイバーセキュリティ経営ガイドラインを改訂しました(METI/経済産業省)

サイバーセキュリティ経営ガイドライン(METI/経済産業省)

 

 

・パスワードリスト攻撃について

→パスワードリスト攻撃って、言うほど「企業側」に責任ないのではないか。犯人が一番悪いが、ユーザー自身にも責任があるのではないか。

→ただ、システム的に「2段階認証」を導入していないのも企業として責任を果たしているとは言い切れないのではないか

→安易にパスワード変更するよりも、2段階認証したほうがおすすめ

 


質問コーナー

※事前に参加登録者からの質問に答えていこうコーナー

質問1:事故を起こす要因となった担当者は、社内でどうなってしまうのか?

ソフトバンクテクノロジーの事故のときは、個人の問題(責任)でなはく、会社、組織の問題として扱い、処遇の変更は行わなかった

→ただ、一般論として、処分や処罰されたという報告は見るし、海外では解雇されるケ

ースもある

→2015年の年金機構の事故付近に「標的型攻撃訓練メール」が話題になり、開いたらクビだ!と言われた企業もあった模様

→一番の問題は、事故が起きたときに、「すぐ報告できる」かどうか(社内の雰囲気や運用のフローもあるけど)

 

質問2:経営陣と現場担当者で意見が別れたときにどうするべきか?

ソフトバンクテクノロジーの事故のときは、出せるものは出すという方針と最初に取り決めた

→現場は「事故対応」のプロではないので、経営陣の判断に足る情報を収集し、報告し、経営陣の判断に従うという姿勢が大事

→可能性、とか不確定な情報は出すべきではないが、発表するときの折り合いは大事

→こういうときに「付録C」が役に立つ

 

質問3:事故対応で絶対にやっちゃいけないこととは?

→某社で、サイトが改ざんされていると報告されたが、社長が「風説の流布」だと一蹴したことがあった、OMG!!!!

→「非常に高度な攻撃を受けた」など、被害を受けた側があたかも問題がなかったとアピールするのは逆効果

→責任の擦り付け合いはNG

 

全体的にアワードに対して僕が感じたコト

・第1回、第2回と徐々に参加者の人数が増えてきたな、という感じ。それだけこの事故対応アワードの知名度が上がってきたんだなと感じました

 

Twitterなどを見ていると、アワードに対する懐疑的な意見もありました。それは、事故によって被害を受けたユーザーにしてみれば、「被害を与えた企業が表彰されるのってどうなの?」と感じてしまうという点です。これは僕も感じたことでした。ただ、このアワードは決して「事故を起こしたこと」を表彰しているわけではなく、「事故を起こしたことへの対応」を表彰しています。

ですので、アワードを聞きに来た方々が、個々に所属する組織で同じことが起こらないようにするために活用するものなんです。事故が起こらない、起こさないということが一番目指すところだと僕は感じています。

 

 

 

そうそう、ステマではないですが、今回表彰されたB.LEAGUEの方が講演をしてくれるセミナーが今月3月16日に開催されるそうです。(辻さんの講演もありますね)

news.mynavi.jp

時間があれば聞きに行くのもいいかもしれませんね。

 

 

最後に。

サイバー攻撃は日々増加しています。攻撃の種類も日々進化、増加しています。

セキュリティ事故やインシデントは対策をとっていても、されてしまう時はされてしまうと思っています。

「起きたときに考えればいいや」では、被害が大きくなる可能性もあるので、起きる前から対応フローや対策は考えておくべきだと思います。

ぼくも企業でセキュリティの仕事(SOCアナリスト)をしていますが、一手先、2手先を見据えて準備しておこうと改めて感じました。

 

来年も「セキュリティ事故対応アワード」楽しみにしています!

 

ここまで読んでいただきありがとうございました。

ではでは。