にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

なんだか最近は天候がバグってるようで、寒かったと思ったら暑かったり、暑かったと思ったら寒かったり。。。よくわからない天候が続いていますので、皆さん体調管理等には気をつけてくださいね!

※というか昨日(9月30日夜~10月1日朝)は台風の影響で風がすごくてほとんど眠れませんでしたよ…

 

さて、今日から10月1日ですね。

弊社では今日、都内の某ホテルで内定式がとりおこなわれているようです。

思い返してみると、4年前の10月1日は緊張して内定式に行ったよなぁってことをふと思い出しましたよ。

 

あれから4年経って、僕は何が変わったんだろうな、と。

仕事環境、人間関係、体重、、、変わったことは沢山ありました。

楽しいこと、嬉しいこと、悲しいこと、くやしいこと、沢山経験してきました。

でもまだまだこういう『こと』は経験していくでしょう。

 

社会人になって3年半、いまだに変わっていないことがあります。

それは、『仕事を楽しもう』という気持ちです。

 

ぼくは仕事について考えることが大好きです。

どうやったら仕事がうまくいくか、どうやったら一緒に仕事をしてるメンバーが効率よく仕事ができるか、どうやったら会社が成長できるか、そういうことを考える時間が大好きなんです。まぁめっちゃ悩みますけどね笑

 

その根底にあるもの、それが『仕事を楽しもう』という気持ち、なんです。

そういう気持ちをぜひ持って、これからの若い人たちには頑張ってほしいなと思ってます。

 

さ、先輩風をビュービューに吹かせたところで、前月のまとめです。

  

脆弱性のアレコレ

Microsoft Windowsのタスクスケジューラに脆弱性

【概要】
Microsoft WindowsのタスクスケジューラのALPC インターフェースに脆弱性が存在し、
ローカルユーザによって、権限昇格が可能になり、SYSTEM権限が取得される可能性がある。

 

【CVE番号】
CVE-2018-8440

 

【対象】
Microsoft Windows タスクスケジューラ

 

【対策】
▼アップデートする

ワークアラウンドを実施する
Microsoft Sysmon を使用して攻撃コードの実行を検知する
ディレクトリ C:\Windows\Tasks にアクセス制御リストを設定する


【参考情報】
JVNVU#96222149: Microsoft Windows タスクスケジューラの ALPC インターフェースにおけるローカル権限昇格の脆弱性
2018年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
PowerPool malware exploits zero-day vulnerability
マイクロソフト、9月の月例パッチ公開--Windowsタスクスケジューラの脆弱性も修正 - ZDNet Japan
「Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan
Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る - ITmedia エンタープライズ
Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る - ITmedia NEWS

 


スマートフォンアプリ「+メッセージ(プラスメッセージ)」に脆弱性

【概要】
スマートフォンアプリ「+メッセージ(プラスメッセージ)」にSSLサーバ証明書の検証不備の脆弱性が存在し、暗号通信の盗聴などが行なわれる可能性がある。


【CVE番号】
CVE-2018-0691

 

【対象】
▼株式会社NTTドコモ
Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン
iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

KDDI株式会社
Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン
iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

SoftBank
Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン
iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

 

【対策】
▼アップデートする

 

【参考情報】
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch
【セキュリティ ニュース】携帯キャリアの「+メッセージ」に脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT
ドコモからのお知らせ : 「+メッセージ」アプリをご利用のお客さまへ、アップデート実施のお願い | お知らせ | NTTドコモ
「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い | スマートフォン・携帯電話 | au
「+メッセージ」セキュリティ対策のためのアプリアップデートのお願い | モバイル | ソフトバンク

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年9月に出回った不審なメールの件名は以下のとおり

※9月はウイルス付きばらまきメールはほとんど観測されず、そのかわりに『ばらまき型脅迫詐欺メール(sextortion(性的脅迫))』のメールがばらまかれていました

 

【件名一覧】

・ あなたの秘密の生活
・ セキュリティ警告
・ アカウントの問題
・ 読んだ後に電子メールを削除!
・ 緊急のメッセージ
・ 私はあなたのアカウントをハックしている
・ あなたのアカウントは亀裂です
・ それはあなたの安全の問題です。
・ あなたのアカウントについて。
・ あなたの安全は危険にさらされています!

・あなたの心の安らぎの問題。
・AVアラート
・緊急対応!
・すぐにお読みください!

 

【参考情報】

仮想通貨を要求する日本語の脅迫メールについて

【2018/9/29】ばらまき型脅迫詐欺メールに関する注意喚起 - 情報基盤センターからのお知らせ

【2018/9/28】ばらまき型脅迫詐欺メールに関する注意喚起 - 情報基盤センターからのお知らせ

【2018/9/26】ばらまき型脅迫詐欺メールに関する注意喚起 - 情報基盤センターからのお知らせ

 


不審な偽サイト(フィッシングサイト)情報

2018年9月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

MyJCB をかたるフィッシング (2018/09/19)

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 


注意喚起やニュースのアレコレ

東京オリンピックを騙るフィッシングメールが出回る

【概要】
2020年の東京オリンピックパラリンピックに便乗したフィッシングメールが出回り、日本や米国など約17万人以上にフィッシングメールが送信されたとのこと。


【参考情報】
【セキュリティ ニュース】東京オリンピックの便乗フィッシングメール、17万4000人に送信か(1ページ目 / 全1ページ):Security NEXT
東京五輪に便乗した標的型攻撃が発生か--「無料チケット」で不正サイトに誘導 - ZDNet Japan
先週のサイバー事件簿 - 東京五輪を騙るフィッシングメール拡散中 | マイナビニュース


「OpenSSL 1.1.1」がリリース

【概要】
TLS 1.3」がサポートされた「OpenSSL 1.1.1」がリリースされた。旧バージョンの「OpenSSL 1.0.2」は2019年末でサポート終了予定。


【参考情報】
/news/openssl-1.1.1-notes.html
「TLS 1.3」正式リリース、Firefoxなど主要ブラウザが対応 - ITmedia エンタープライズ
「OpenSSL 1.1.1」がリリース--「TLS 1.3」をサポート - ZDNet Japan
【セキュリティ ニュース】「TLS 1.3」サポートした「OpenSSL 1.1.1」がリリース - 「同1.0.2」は2019年末にサポート終了(1ページ目 / 全1ページ):Security NEXT
安全で高速なTLS 1.3が登場、2019年内に対応を | 日経 xTECH(クロステック)


App Storeからトレンドマイクロ製のアプリが削除される

【概要】
Appleの公式ストア『App Store』からトレンドマイクロ製のアプリが削除された。利用者のWeb閲覧履歴を「Trend Micro Inc. DD」と呼ばれるサーバに転送していた可能性があるとして指摘を受けたが、トレンドマイクロは否定している。

 

【参考情報】
サポート情報 : トレンドマイクロ
macOS、iOS向け当社アプリに関する重要なお知らせ | トレンドマイクロ
Answers to Your Questions on Our Apps in the Mac App Store -
トレンドマイクロ製品がAppleのApp Storeで公開停止に ~Web閲覧履歴を送信していた問題が原因か - 窓の杜
ウイルスバスターなど、App Storeから消える トレンドマイクロは確認中 - ITmedia NEWS
トレンドマイクロ、国内のApp Storeからアプリが消滅--中国への閲覧データ送信は否定 - CNET Japan
【セキュリティ ニュース】トレンドマイクロ製アプリ、Apple公式ストアから削除(1ページ目 / 全1ページ):Security NEXT


仮想通貨取引所Zaif」が不正アクセスを受け、約70億円の被害にあう

【概要】
仮想通貨取引所Zaif」の入出金用のホットウォレットを管理するサーバが外部からの不正アクセスを受け、約70億円の被害にあった

 

【参考情報】
9月に発出された業務改善命令に対する業務改善計画書を提出いたしました。 | Zaif Exchange
近畿財務局から本日発出された業務改善命令について | Zaif Exchange
仮想通貨流出事件に関する状況報告、及び顧客対応状況について|テックビューロ株式会社のプレスリリース
仮想通貨の入出金停止に関するご報告、及び弊社対応について|テックビューロ株式会社のプレスリリース
Zaif、70億円流出の前日に利用規約を変更か 法的に有効か弁護士が解説 (1/3) - ITmedia NEWS
Zaifの仮想通貨流出、70億円に 当初発表から3億円拡大 - ITmedia NEWS
今週のブロックチェーン:Zaif暗号通貨流出のまとめ【iNTERNET magazine Reboot】 - INTERNET Watch


ソフトバンクが約1030万通のメールを誤って削除

【概要】
9月17日11時前から9月18日午前9時過ぎにかけて送信され、送信元ドメインに「.co.jp」が含まれる約1030万件の受信メールを誤ってソフトバンクが削除したと発表した

 

【参考情報】
迷惑メールフィルターの不具合による特定ドメインからのメールの一部消失についてのおわび | プレスリリース | ニュース | 企業情報 | ソフトバンク
ソフトバンク、迷惑メールのフィルタ不具合で約1,030万通のメールを消失 | マイナビニュース
ソフトバンク、約1030万通のメールを誤って消失--迷惑メールフィルタに不具合 - CNET Japan
ソフトバンク、迷惑メールフィルターの不具合で約1030万通のメールが消失 - ITmedia NEWS

 

Facebook脆弱性により約5000万人のアカウント情報が影響を受ける

【概要】
Facebook脆弱性により約5000万人のアカウント情報が影響を受けることが判明し、Facebookは約9000万人分のアクセストークンをリセットした

 

【参考情報】

Security Update | Facebook Newsroom

Facebook、約5000万人分のアクセストークン流出 「特定のユーザーへのプレビュー」機能に脆弱性 - ITmedia エンタープライズ

Facebook、5000万人の情報が流出か 脆弱性突かれアクセストークン流出 - ITmedia NEWS

5000万人が影響を受けたFacebookのデータ漏洩について知っておくべきこと | TechCrunch Japan

Facebookにサイバー攻撃--約5000万人の利用者に影響 - ZDNet Japan

 

セキュリティレポートのアレコレ

 

JPCERT コーディネーションセンター

Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)
仮想通貨を要求する日本語の脅迫メールについて
ISC BIND 9 の脆弱性 (CVE-2018-5741) について


Trend Micro

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散 | トレンドマイクロ セキュリティブログ

サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ

すぐ役立つ!電子メールを利用した脅威への対策 | トレンドマイクロ セキュリティブログ

「クラウド時代の認証情報」を狙いフィッシング詐欺が急増、2018年上半期の脅威動向を分析 | トレンドマイクロ セキュリティブログ

日本語の使用が確認された「ビジネスメール詐欺」、その背景に迫る | トレンドマイクロ セキュリティブログ


McAfee

Equifax 情報漏洩事件を振り返る
スマホもランサムウェアに感染します!感染の対処方法と4つの対策
セキュリティ担当者が知っておくと便利な無料のセキュリティ関連ツール10種

 

LAC

セキュリティ診断レポート 2018 秋 | セキュリティ対策のラック
DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認 | セキュリティ対策のラック
第2回CTF for SchoolGIRLSでハンズオン講師を担当 | セキュリティ対策のラック
CYBER GRID JOURNAL Vol.6 | セキュリティ対策のラック


MBSD

ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog
隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog
ImageMagickを使うWebアプリのセキュリティ - 3. XSS・アクセス制御 | MBSD Blog


NTTデータ先端技術株式会社

脆弱性検証レポートの新着記事「Apache Struts 2におけるリモートコード実行に関する脆弱性(CVE-2018-11776)(S2-057)についての検証レポート」を更新しました | NTTデータ先端技術株式会社
オラクル散歩道~やっぱりオラクルが好き!~の新着記事「なんとなくを腑に落とすシリーズ ~第1回 UNDO(前編)」を掲載しました | NTTデータ先端技術株式会社
Oracleサポート通信の新着記事「Oracle Database 12c 以降のパスワード管理で気をつけるべき事例」を掲載しました | NTTデータ先端技術株式会社
オラクル散歩道~やっぱりオラクルが好き!~の新着記事「なんとなくを腑に落とすシリーズ ~第1回 UNDO(後編)」を掲載しました | NTTデータ先端技術株式会社

 

IIJ

wizSafe Security Signal 2018年8月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

piyolog

Yahoo!募金のフィッシングサイトをまとめてみた - piyolog
日経ビジネスが報じたパスワード16億件流出についてまとめてみた - piyolog
Zaifで発生した不正送金事案についてまとめてみた - piyolog

 

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 


  / ̄ヽ
  / ●●|
 |( ゚Д) Trick or
_ノ  へへ  Treat!
\___ノ_ノ

 

 

<更新履歴>

2018/10/01 PM 公開

2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

平成最後の夏は皆さんいかがだったでしょうか。

にしても猛暑な夏でしたね・・・今年の夏は暑かったという印象しか正直ありません。

 

さて、そんな今年の夏、去年に引き続きコチラにお邪魔させていただきました。

f:id:mkt_eva:20180902223212j:plain

 

セキュリティ・キャンプ全国大会2018です!

セキュリティ・キャンプ全国大会2018 ホーム:IPA 独立行政法人 情報処理推進機構

 

今年も企業のお仕事紹介の時間にお邪魔し、参加者の皆様の前でお話させていただきました。

また、その後のグループワーク時にも多くの学生さんとお話させていただき、こちらとしても非常に刺激を受けました。さすがキャンプに参加するだけにセキュリティに対する『愛』を持っている皆さんばかりでした。

話してくれた皆さん、ありがとうございました。

 

そうそう、今年から『にゃん☆たく』の名刺も作って持参してました。笑

 

セキュリティキャンプに参加していた皆さんの体験記を収集して載せようと準備してたのですが、、、、

467さん(467 (@srn221B) | Twitter)がこのようなまとめを公開してくれていたので、セキュリティキャンプに興味のある方はぜひ読んでみてください。

467.hatenablog.com

 

各自のこういうアウトプットって僕は大事だと思っています。

僕はまだまだセキュリティの「セ」の字もわかっていない人間ですが、ブログやTwitterではどんどんアウトプットするようにして、色んな意見(特に悪い意見)を聞くようにしています。

アウトプットすることで自分では気づけないことに「気づける」ということが、セキュリティ関係なく大事だとぼくは思っています。

 

というわけで前月のまとめです。

 

脆弱性のアレコレ

Apache Struts2脆弱性(S2-057)

【概要】
Apache Struts2にはユーザ入力の不十分な検証に起因する脆弱性が存在し、リモートから第三者により細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性がある

※本脆弱性は、Apache Struts 2 の処理に起因し、Struts の設定ファイル(struts.xmlなど) で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URL タグの記述において value かaction の値が指定されていない場合に、本脆弱性の影響を受ける(IPAの『Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起』より抜粋)

 

【CVE番号】
CVE-2018-11776
S2-057

 

【対象】
Struts 2.3 系列: Struts 2.3.35 より前のバージョン
Struts 2.5 系列: Struts 2.5.17 より前のバージョン

 

【対策】
▼アップデートする
脆弱性修正済みバージョンは以下のとおり
Struts 2.3.35
Struts 2.5.17

ワークアラウンドを実施する
Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する


【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構

JVNVU#93295516: Apache Struts2 に任意のコードが実行可能な脆弱性

【セキュリティ ニュース】WordPressの脆弱な追加機能狙う攻撃 - サイト間感染のおそれも(1ページ目 / 全2ページ):Security NEXT

「Apache Struts 2」に重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを - INTERNET Watch

CVE-2018-11776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apache Struts 2におけるリモートコード実行に関する脆弱性(CVE-2018-11776)(S2-057)についての検証レポート | NTTデータ先端技術株式会社


Ghostscriptに脆弱性

【概要】
Ghostscript には -dSAFER オプションによる保護が回避される複数の脆弱性が存在し、リモートから第三者によって、任意のコマンドを実行される可能性がある

 

【CVE番号】
無し

 

【対象】
Ghostscript9.23およびそれ以前
⇒ImageMagick7.0.8-10 およびそれ以前
ImageMagickはデフォルトでGhostscriptを使用しています

 

【対策】(※9月1日現在)
ワークアラウンドを実施する
ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする
⇒Ghostscript を削除する
⇒修正パッチを適用して Ghostscript をコンパイルしなおす


【参考情報】
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
JVNVU#90390242: Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性
【セキュリティ ニュース】「Ghostscript」に保護機能回避の脆弱性が再び - 「ImageMagick」などにも影響(1ページ目 / 全1ページ):Security NEXT
Ghostscriptに任意のコマンド実行可能な脆弱性 | マイナビニュース
Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている


BIND 9に脆弱性

【概要】
BIND 9に脆弱性が存在し、第三者によるリモートからの攻撃によってnamedが終了する可能性がある

 

【CVE番号】
CVE-2018-5740

 

【対象】
BIND 9.7.0 から 9.8.8
BIND 9.9.0 から 9.9.13
BIND 9.10.0 から 9.10.8
BIND 9.11.0 から 9.11.4
BIND 9.12.0 から 9.12.2
BIND 9.13.0 から 9.13.2

 

【対策】
▼アップデートする
脆弱性修正済みバージョンは以下のとおり
・9.9.13-P1

・9.10.8-P1

・9.11.4-P1

・9.12.2-P1

ワークアラウンドを実施する
⇒"deny-answer-aliases" 機能を無効にする


【参考情報】
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740)
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
JVNDB-2018-006248 - JVN iPedia - 脆弱性対策情報データベース
BIND 9にDoSの脆弱性、アップデートを | マイナビニュース
【セキュリティ ニュース】「BIND 9」にDoS攻撃を受けるおそれ - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料
インボイス Re: 進捗
注文書[※]
※:任意の数字列
<要返信:FAX>営業○・出荷×
お世話になります
ご確認ください
写真添付
写真送付の件

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター

外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年8月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

Amazon をかたるフィッシング (2018/08/27)
LINE をかたるフィッシング (2018/08/24)
セゾン Net アンサーをかたるフィッシング (2018/08/20)
[更新] MUFG カードをかたるフィッシング (2018/08/13)
佐川急便をかたるフィッシング (2018/08/10)


【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

仮想通貨を要求する脅迫メールに注意

【概要】
英文でメール本文に、メール受信者のパスワードが記載され、「ポルノ動画を閲覧している姿をWebカメラで撮影した」「拡散されたくなければ仮想通貨を支払え」などと脅迫してくる不審なメールが出回っており、注意が必要。要求には応じず、メール本文に記載されたパスワードを利用してるサービスがあれば、パスワードの変更などを行っておくこと。

 

【参考情報】
仮想通貨を要求する不審な脅迫メールについて
仮想通貨を要求する脅迫メールが拡散 - ITmedia ビジネスオンライン
「ポルノを見ているお前を盗撮した」と脅迫し、動画を人質に身代金を要求するサイバー攻撃が急増中 - GIGAZINE

 

拡張子「.iqy」のファイルが添付された不審メールが出回る

【概要】
拡張子「.iqy」のファイルが添付された不審メールが国内で約29万通出回った。なお出回った期間は、2018年8月6日と2018年8月8日。

 

【参考情報】
新手口のメール攻撃、国内で確認 大量送信、6日に29万件 - 共同通信
拡張子「.iqy」のファイルが添付されたスパムメール、国内で29万通確認 | マイナビニュース
拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散 - INTERNET Watch
【セキュリティ ニュース】拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通(1ページ目 / 全2ページ):Security NEXT
拡張子「iqy」のファイルを使う攻撃に注意--Excelを悪用 - ZDNet Japan
拡張子 ".iqy" のファイルとは? 1 日でメール 29 万通が日本国内に拡散 | トレンドマイクロ セキュリティブログ
IQY and PowerShell Abused by Spam Campaign to Infect Users in Japan with BEBLOH and URSNIF - TrendLabs Security Intelligence Blog
https://www.ipa.go.jp/files/000068065.pdf
2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査 - bomb_log
2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査 - bomb_log


佐川急便をかたるショートメッセージサービス(SMS)に注意

【概要】
佐川急便をかたるショートメッセージサービス(SMS)が急増し、注意が必要。
Android端末→不審なアプリをインストールさせる
Andorid端末以外→フィッシングサイトに誘導、キャリア決済の情報を盗まれる

 

【参考情報】
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か 携帯番号・認証コード詐取 - ITmedia NEWS
佐川急便かたるSMSの相談急増 IPAが対策公開 - ITmedia NEWS
Androidで方法が異なる「不審なアプリ」対策の注意点 - ZDNet Japan
偽の「佐川急便」SMSに新たな手口か--携帯電話番号を窃取 - ZDNet Japan
IPA、佐川急便を名乗る偽のショートメッセージに注意喚起 | マイナビニュース

 

JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定

【概要】
JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定され一時的にアクセスできない事案が発生した

 

【参考情報】
JPCERT/CC Webサイトにアクセスできない事象について
セキュリティサイト“JPCERT/CC”が一時不通に ~アンチウイルス製品がフィッシング判定 - 窓の杜
セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan
【セキュリティ ニュース】セキュリティ製品によるJPCERT/CCサイトの誤検知が復旧(1ページ目 / 全1ページ):Security NEXT

 

日本語のビジネスメール詐欺(BEC)に注意

【概要】
日本語のビジネスメール詐欺(BEC)について初めてIPAに対し情報提供が行われた。

 

【参考情報】
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報):IPA 独立行政法人 情報処理推進機構
日本語のビジネスメール詐欺がついに発生、IPAが注意喚起 | 日経 xTECH(クロステック)
「ビジネスメール詐欺」は差し迫った脅威--IPAが注意喚起 - ZDNet Japan
日本のビジネスメール詐欺被害は1000万円以上が過半数--トレンドマイクロ調査 - ZDNet Japan
【セキュリティ ニュース】「機密扱いで頼む」との社長メール、実は詐欺 - 日本語「BEC」見つかる(1ページ目 / 全3ページ):Security NEXT
ドルチェ&ガッバーナの日本法人が元社長を提訴 3億円の詐欺被害で - ライブドアニュース

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報):IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

STOP! パスワード使い回し!キャンペーン2018
仮想通貨を要求する不審な脅迫メールについて
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
JPCERT/CC Webサイトにアクセスできない事象について
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

 

Trend Micro

「スパムボット」化した不正アプリにより、7 月に偽装 SMS 拡散が急拡大 | トレンドマイクロ セキュリティブログ
「タイポスクワッティング」により Mac ユーザに迷惑アプリをダウンロードさせる攻撃を確認 | トレンドマイクロ セキュリティブログ
拡張子 ".iqy" のファイルとは? 1 日でメール 29 万通が日本国内に拡散 | トレンドマイクロ セキュリティブログ
検出が困難になる標的型サイバー攻撃に必要な防御アプローチとは? | トレンドマイクロ セキュリティブログ
新しく確認された暗号化型ランサムウェア「PRINCESS EVOLUTION」が RaaS 利用者を募集 | トレンドマイクロ セキュリティブログ
VBScript エンジンのメモリ解放後使用(Use After Free)の脆弱性「CVE-2018-8373」により、IE でシェルコードの実行が可能に | トレンドマイクロ セキュリティブログ
韓国を狙うサプライチェーン攻撃「Red Signature作戦」について解説 | トレンドマイクロ セキュリティブログ


McAfee

インスタグラム乗っ取り確認・対処法と安全に使うための3つの予防策
北朝鮮のマルウェアファミリーの“コード再利用”がサイバー犯罪グループを特定
スパムとは|メール・Twitterなどへの迷惑メッセージの原因と対処
ワンクリック詐欺とは?表示画面を無視して良い理由と手口・対処法
トロイの木馬の種類を徹底解説|7つの代表例から感染の影響を知る

 

LAC

サイバー救急センターレポート 第4号 | セキュリティ対策のラック
JSOC INSIGHT vol.20 | セキュリティ対策のラック

 

MBSD

Black Hat USA2018参加レポート
Black Hat USA 2018 (Day Zero)
Black Hat USA 2018 (Keynote, Briefings, Arsenal)
Black Hat USA 2018 トレーニング参加記
Black Hat USA 2018 & DEF CON 26! の登壇
Black Hat USA2018参加レポート(その2)

 

NTTデータ先端技術株式会社

「PCI DSS徹底解説」の新着記事「当社が翻訳協力した「PCI DSS v3.2.1 日本語版」が公開されました」を掲載しました | NTTデータ先端技術株式会社

Apache Struts 2におけるリモートコード実行に関する脆弱性(CVE-2018-11776)(S2-057)についての検証レポート | NTTデータ先端技術株式会社

IIJ

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

ソフトバンク・テクノロジー

CVE-2018-11776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

piyolog

TSMCのWannaCry被害についてまとめてみた - piyolog
甲南学園のマイニングマルウェア感染についてまとめてみた - piyolog
国会議員公式サイトなどの改ざん(画像設置)についてまとめてみた - piyolog
docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた - piyolog
2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 

   / ̄ ̄\
  /   ⊂二二⊃
 |    |⊂二⊃
⊂二⊃   /
  \__/
      ∧∧
      ( 三)
      /⌒ 三ヽ
――――-/ / 三||-
    (_人_三ノ_)

 

<更新履歴>

2018/09/03 AM 公開

2018年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

夏本番な8月になってしまいましたね。

なんだかここ1ヶ月、関西の豪雨や台風の急激な進路変更、 連続する猛暑日などなど他人事ではない『災害』が多発していた気がします。

 

地震などの災害の多い日本では『いつ起きるかわからない』災害に対して、時間やお金、人を導入して対策しておくことを常に考えている国でもあります。

しかし、対策をしていたとしても被害は出てしまいます。

どう対策をとっておくか、という先を見据えた投資をするかしないかで被害を少しでも減らせるかどうかが大事なポイントになってくるわけです。そしてもちろん被害を受けた後にどうするか、まで考えないといけないと思います。

 

セキュリティも全く同じで、組織であれば、いつどのタイミングでサイバー攻撃を受けるかわかりません。個人であっても、例えばスマホやPCがマルウェアにいつ感染するかわかりませんし、Webサービスのアカウントがいつのっとられるかもわかりません。

そうなってしまう前に対策できることは多少のコストはかかるかもしれないけれど、対策はとっておくべきだと思います。そして、もし被害を受けてしまった場合に備え、被害後にどう動くかまでの仕組みを考えておくべきだと思います。

 

というわけで前月のまとめです。


脆弱性のアレコレ

Oracle WebLogic Serverに複数の脆弱性

【概要】
Oracleが四半期に1度の定例アップデート「クリティカルパッチアップデート(CPU)」をリリースし、「Oracle WebLogic Server」における複数の脆弱性を修正した。ただし、既に一部の脆弱性については攻撃に悪用されていることが確認された。なお本脆弱性を悪用することにより、第三者からリモートで情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性がある。

 

【CVE番号】
CVE-2018-2893
CVE-2018-2894

 

【対象】
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3

 

【対策】
・対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認
・T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定する
⇒ネットワーク接続フィルタの使い方
ネットワーク接続フィルタの使い方

 

【参考情報】
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JVNDB-2018-005568 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2018-005569 - JVN iPedia - 脆弱性対策情報データベース
CPU July 2018
【セキュリティ ニュース】複数「WebLogic Server」脆弱性、早くも悪用や実証コード(1ページ目 / 全2ページ):Security NEXT
2018年7月の定期パッチで修正されたOracle WebLogic Server の脆弱性(CVE-2018-2894)について - 生産性のない話
Weblogicの任意のコード実行(CVE-2018-2894)
ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」 at www.morihi-soc.net

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
取引情報が更新されました
【発注書受信】
備品発注依頼書の送付
依頼書を
送付しますので
発注依頼書
㈱ 発注書
18/07 製造依頼
のご注文ありがとうございます
ダイレクトメール発注
7月
Fw: 資料
ご確認ください
上記書類を送付します。
表題の資料を送付いたします。
再送
申込書類の送付
資料添付します。
カード利用のお知らせ
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】
楽天市場】注文内容ご確認(自動配信メール)
楽天カード】カードご請求金額のご案内
【速報版】カード利用のお知らせ(本人ご利用分)
写真送付の件
写真添付
イメージ送付
7月度発注書送付
注文書をお送りいたします
invoice/証明書

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年7月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
[更新] MyJCB をかたるフィッシング (2018/07/24)
[更新] ソフトバンクをかたるフィッシング (2018/07/04)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

豪雨被災地支援「Yahoo!ネット募金」の偽サイトについて注意喚起

【概要】
今年7月上旬に西日本に被害を与えた「平成30年7月豪雨」を支援する「Yahoo!ネット募金」の偽サイトが作成され、ヤフーが注意喚起を行った

 

【参考情報】
【重要】当社をかたるフィッシングメール、不正メールにご注意ください。 - お知らせ - Yahoo!ネット募金
豪雨被災地支援「Yahoo!ネット募金」の偽サイト確認、注意喚起 - ITmedia NEWS
西日本豪雨「Yahoo!募金」の偽サイトにご注意 中国で取得か

 

 

Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示

【概要】
Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示。
また、加えて、“iframe”リダイレクトの仕組みを悪用してユーザーを不審なサイトへ誘導する悪質な広告をブロックする機構が導入。

 

【参考情報】
Chrome Releases: Stable Channel Update for Desktop
全てのHTTPサイトに「保護されていません」の警告、「Chrome 68」リリース - ITmedia エンタープライズ
HTTP接続のサイトが「保護されていません」と表示されるGoogle Chrome 68安定版リリース - GIGAZINE
HTTP接続サイトは“安全でない”サイト扱いに ~「Google Chrome 68」が正式公開 - 窓の杜

 

 

マイクロソフト脆弱性緩和ツール「EMET」のサポートが7月31日で終了

【概要】
マイクロソフトが無償で提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了。
なお、「Windows 10」では「EMET」の機能が“Windows Defender Exploitation Guard”として統合されている

 

【参考情報】
EMET サポート終了 – Windows Defender Exploitation Guard へ移行を – 日本のセキュリティチーム
Microsoftが無償提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了 - 窓の杜
脆弱性緩和ツールEMET今月でサポート終了、Windows Defender Exploit Guardへ - 日本マイクロソフト セキュリティチーム | マイナビニュース

 


多摩都市モノレールでサイバーセキュリティ被害が発生

【概要】
多摩都市モノレールの業務用ファイルサーバが、ランサムウェアに感染したことが判明
モノレールの運行については、別のシステムで管理しており、影響なかった

 

【参考情報】
http://www.tama-monorail.co.jp/info/list/mt_img/180713%20press.pdf
多摩モノレールにサイバー攻撃 :日本経済新聞
【セキュリティ ニュース】ランサムウェアの感染被害が発生、運行には影響なし - 多摩都市モノレール(1ページ目 / 全1ページ):Security NEXT

 


電子マニュアル作成支援のスタディスト、マニュアル作成サービスへの不正アクセスは作業ミスによるものと発表

【概要】
電子マニュアル作成支援のスタディスト、マニュアル作成サービス「Teachme Biz」への不正アクセスは所属するインフラ技術者が開発環境構築の過程で誤って本番環境のDBを参照してコマンドを実行した作業ミスにより発生したと発表

 

【参考情報】
不正アクセスによる一部データ流出の可能性に関する詳細調査のご報告(最終報) - 株式会社スタディスト
スタディスト事件、作業ミスを不正アクセスと検知し情報流出はなかったと報告 | 日経 xTECH(クロステック)
【セキュリティ ニュース】マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因(1ページ目 / 全1ページ):Security NEXT

 


産総研不正アクセスについて被害状況の調査結果や再発防止策を公表

【概要】
産業技術総合研究所のシステムが不正アクセスを受けた問題で、産総研は被害状況の調査結果や再発防止策を公表

 

【参考情報】
産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について
【セキュリティ ニュース】産総研への不正アクセス、職員ID約8000件でPW試行 - 平日夕方から深夜に活動(1ページ目 / 全4ページ):Security NEXT
産総研を襲った謎の手口、セキュリティ対策に新たな教訓 | 日経 xTECH(クロステック)
産総研のセキュリティインシデント--被害が拡大したマネジメントの課題 - ZDNet Japan

 


ロシアワールドカップでは、サイバー攻撃が2500万件発生

【概要】
ロシアワールドカップの期間中(6月14日~7月15日)、サイバー攻撃が2500万件発生していた事を、ロシアのプーチン大統領が明かした。
だが、サイアー攻撃の性質や攻撃元の情報などは明かされていない。

 

【参考情報】
サイバー攻撃2500万回=サッカーW杯期間中、ロシアヘ-プーチン大統領:サッカーロシアW杯2018:時事ドットコム
W杯期間中のロシアにサイバー攻撃2500万件、プーチン氏明かす 写真1枚 国際ニュース:AFPBB News
ワールドカップロシア大会期間中に約2,500万回のサイバー攻撃、プーチン氏が発表

 

 

「佐川急便」をかたる偽SMSが急増

【概要】
「佐川急便」をかたる偽SMSが急増しており、偽SMSから偽サイトに誘導され不審なアプリをインストールしてしまう可能性がある

 

【対策・注意点】
・佐川急便はSMSを不在通知に使わない
・佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外のURLは偽サイトである
※ただし「sagawa-●●.com」という偽ドメインも第三者により大量に取得されているため注意が必要
Android端末で「提供元不明のアプリのインストールを許可する」という設定項目を『許可しない(無効にする)』に設定する
・不正のアプリをインストールしてしまった場合はスマホ機内モードにして大事なファイルのバックアップ等をとっておき、アプリの削除や携帯会社のサポートに相談する

 

【参考情報】
「佐川急便」をかたる偽SMSが横行 不正アプリを導入しないで! : 科学 : 読売新聞(YOMIURI ONLINE)
「佐川急便の偽サイト」に学ぶAndroidの防御法 見直す設定はたった1つ (1/2) - ITmedia NEWS
佐川急便装う迷惑メール急増 「不在通知」「1340万円配達します」など、23の事例で注意喚起 - ITmedia NEWS
佐川急便を名乗るスパムが急増、SMSから偽サイトに誘導 自動でプリペイドカードを買わされるなどの被害も - ねとらぼ
News Up 本物そっくり!?「偽・佐川」に厳重注意を! | NHKニュース
大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取 | トレンドマイクロ セキュリティブログ
実例で学ぶネットの危険:「通知 お客様宛にお荷物のお届きました」 | トレンドマイクロ セキュリティブログ
ドコモからのお知らせ : 運送会社などを装った迷惑SMS・メールにご注意ください | お知らせ | NTTドコモ
【再周知】運送会社などを装った不審なメールにご注意ください
運送会社などを装った不審なメールに関するご注意 | モバイル | ソフトバンク

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

サイバーレスキュー隊(J-CRAT)活動状況[2017年度下半期]
https://www.ipa.go.jp/files/000067854.pdf
サイバー情報共有イニシアティブ(J-CSIP) 運用状況
[2018年4月~6月]
https://www.ipa.go.jp/files/000068064.pdf
情報セキュリティ白書2018:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JPCERT/CC 感謝状 2018
JPCERT/CC 活動概要 [2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/PR20180712.pdf
JPCERT/CC インシデント報告対応レポート[2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20180712.pdf
Webサイトへのサイバー攻撃に備えて 2018年7月
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]
http://www.jpcert.or.jp/press/2018/vulnREPORT_2018q2.pdf
Cisco Webex Teams の脆弱性 (CVE-2018-0387) について
FIRST PSIRT Services Framework
ランサムウエアの脅威動向および被害実態調査報告書
Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31)

 

Trend Micro

バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 | トレンドマイクロ セキュリティブログ
巧妙なバンキングトロジャンの活動を実現する「Web インジェクションツール」とは? | トレンドマイクロ セキュリティブログ
SSH サービスを狙うボットを確認、不正サイトを介して仮想通貨発掘ツールをインストール | トレンドマイクロ セキュリティブログ
主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続 | トレンドマイクロ セキュリティブログ
標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい | トレンドマイクロ セキュリティブログ
バンキングトロジャンのメール経由拡散を支える「スパムボット」 | トレンドマイクロ セキュリティブログ

 

McAfee

McAfee Labs 2018年第1四半期 脅威レポートを発表(サマリー)
SIEMと他ソリューション連携による運用効率化例
不正アクセスされないために!手口と被害例から見る対策と対処方法
2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80選
サイバー攻撃|日本の現状―増える件数とセキュリティ人材不足の対策
ファイルレスの脅威 CactusTorchが.NETを悪用し標的に感染

 

MBSD

Burp Suite Japan LT Carnivalイベントレポート

 

IIJ

wizSafe Security Signal 2018年6月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

piyolog

経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog
2018年7月に発生した国内サイト、メールの障害報告についてまとめてみた - piyolog
多摩都市モノレールのランサムウェア被害についてまとめてみた - piyolog

 

 

というわけで今回もココまで読んでいただきありがとうございました。

ではでは!

 

夏だ! ___
   /⌒ ⌒\
  /(⌒) (⌒)ヽ
(⌒) ⌒(_人_)⌒ (⌒)
`\ \ |┬| / /
  \  ヽノ  /
  | ・  ・ |
  |    |
  | ̄ ̄ ̄ ̄ ̄|
  |__/\__|
  ( (  ) )
  (__) (__)

 

<更新履歴>

2018/08/02 AM 公開

2018年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

今回のブログを公開する頃にはまだ梅雨明けてないと思っていたんですがとっくに明けましたね。今年の梅雨は史上初の短さ(6月6日~29日)だったそうです。まぁ僕は梅雨好きじゃないので嬉しさMAXなんですけどね笑

 

そういえば今朝ロシアワールドカップ8強を決める日本×ベルギー戦が行われたわけですが…

www.youtube.com

 

すごいじゃん日本!お疲れ様!!

4年後のカタールワールドカップが楽しみです!

 

ではではブログ本題です。今回はいつもよりちょっと少なめかもしれませんがあしからず。。。。

前月のまとめです。


脆弱性のアレコレ

アーカイブファイルの展開処理に脆弱性脆弱性名:Zip Slip)

【概要】
アーカイブファイルの展開処理に脆弱性が存在し、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを置くことができ、第三者により実行ファイルの上書きや、設定ファイルの書き換えが可能となり、任意のコードを実行される可能性がある

 

【参考情報】
Zip Slip Vulnerability | Snyk
アーカイブファイルの展開処理における脆弱性「Zip Slip」について
書庫形式の書類に脆弱性 コンテンツ改ざんに注意 :日本経済新聞
アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 - ITmedia エンタープライズ
【セキュリティ ニュース】アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響(1ページ目 / 全2ページ):Security NEXT

 


OpenSSLに脆弱性

【概要】
OpenSSLのTLSハンドシェイク時に鍵生成に長い時間を消費させる脆弱性が存在し、第三者によりサービス運用妨害 (DoS) 攻撃を実行される可能性がある

 

【CVE番号】
CVE-2018-0732

 

【対象】
OpenSSL 1.1.0 系列
OpenSSL 1.0.2 系列

 

【対策】
OpenSSL 1.1.0i および OpenSSL 1.0.2p にて本脆弱性を修正する予定
なお、修正パッチが公開済み
OpenSSL 1.1.0 用
https://github.com/openssl/openssl/commit/ea7abeeab
OpenSSL 1.0.2 用
https://github.com/openssl/openssl/commit/3984ef0b7

 

【参考情報】
https://www.openssl.org/news/secadv/20180612.txt
OpenSSL の脆弱性 (CVE-2018-0732) について
【セキュリティ ニュース】「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで(1ページ目 / 全1ページ):Security NEXT

 


ISC BIND 9に脆弱性

【概要】
ISC BIND 9に再帰的クエリが不適切に許可される脆弱性が存在し、第三者によってDNSリフレクタ攻撃に使われたり、ネームサーバのキャッシュの状況を外部から取得されたりする可能性がある

 

【CVE番号】
CVE-2018-5738

 

【対象】
・ ISC BIND 9.12.0~9.12.1-P2、9.11.3、9.10.7、9.9.12 を使用している (ISC が 2017年10月 のアップデート #4777 を適用している)

再帰問い合わせの受け付けを有効にしている (設定ファイル (named.conf) で "recursion yes;" を設定している、または recursion を設定していない)

・ オプション (allow-recursion, allow-query, allow-query-cache) を設定していない

 

【対策】
・ named.conf に オプション (allow-recursion, allow-query, allow-query-cache) を適切に設定し、再帰問い合わせの受け付けを許可する対象に限定する

再帰問い合わせの受け付けが不要な場合は named.conf に "recursion no;" を設定する

 

【参考情報】
ISC BIND 9 の脆弱性 (CVE-2018-5738) について
JVNVU#92227071: ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
JPCERT/CC、ISC BIND 9の脆弱性について注意喚起 | マイナビニュース
【セキュリティ ニュース】「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を(1ページ目 / 全2ページ):Security NEXT

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【速報版】カード利用のお知らせ(本人ご利用分)
アラート:あなたのアカウントは閉鎖されます。
写真
写真送付の件
写真添付
スナップ写真
添付写真あり
写真送ります。
楽天カード】カードご請求金額のご案内
注文書の送付(2018.06.26)
注文書よろしくお願いします。
【振込み確認書】18.06.14
メールに添付された請求書デー
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
添付ファイルをご確認下さい。
6月請求データ.xls
注文書の件
Fwd: 6月分請求書リスト
請求書を送ります
カード利用のお知らせ
楽天市場】注文内容ご確認(自動配信メール)
6月分請求データ送付の件
2018.5月分請求データ送付の件.6月請求データ.xls
のご注文について
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
RE: 請求書XLSについて
請書及び請求書のご送付

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター

情報提供|一般財団法人日本サイバー犯罪対策センター

bomb_log

外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年6月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
Amazon をかたるフィッシング (2018/06/29)
MUFG カードをかたるフィッシング (2018/06/21)
[更新] LINE をかたるフィッシング (2018/06/06)
Apple および Amazon をかたるフィッシング (2018/06/04)
セゾン Net アンサーをかたるフィッシング (2018/06/04)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

タチコマ・セキュリティ・エージェント」が無償配布

【概要】
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始に伴い、開発されたセキュリティソフト「タチコマ・セキュリティ・エージェント」の無償配布を2018年6月1日より実施した。

 

【参考情報】
WarpDrive
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始について | NICT-情報通信研究機構
タチコマたちが並列化してサイバー攻撃に対応するソフト無償配布、「WarpDrive」プロジェクトが実証実験 - INTERNET Watch

 


フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報流出

【概要】
フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報が流出した。
なお、不正アクセスが発生したのは、英語と韓国語、中国語の予約システムが稼働するサーバで発生した。

 

【参考情報】
【セキュリティ ニュース】委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル(1ページ目 / 全3ページ):Security NEXT
ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩 | 日経 xTECH(クロステック)
マイステイズ・ホテルから約4万件の個人情報が流出か、被害広がるファストブッキング問題 | 日経 xTECH(クロステック)
プリンスホテルの委託先サイトに不正アクセス、12.5万件の情報漏えい - ZDNet Japan
ファストブッキングへの不正アクセスについてまとめてみた - piyolog

 


りそな銀行のインターネットバンキングシステムで障害が発生

【概要】
りそな銀行のインターネットバンキングシステムで障害が発生。米シマンテックが提供するサービスで不具合が発生したことが原因でワンタイムパスワードが入力できない状態になった。

 

【参考情報】
りそな銀などのシステム障害が復旧 発生から約4時間:朝日新聞デジタル
りそな銀行などインターネット振り込み 復旧 | NHKニュース
りそな銀行、セブン銀行でシステム障害。パスワードを入力できず

 


警察庁は仮想通貨マイニングツール(Coinhive等)を無断で設置していた容疑で複数名を摘発

【概要】
警察庁は仮想通貨マイニングツール(Coinhive等)を利用者に無断で設置していた容疑(「不正指令電磁的記録作成・提供罪」)で複数名を逮捕・書類送検した。

 

【参考情報】
仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
「マイニングツールを明示せずに設置、犯罪になる可能性」 警察庁の注意喚起、ネット上で波紋 - ITmedia NEWS
Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」 - ITmedia NEWS
「Coinhive」で家宅捜索を受けたサイト運営者が刑事裁判を起こすことを表明、支援の声続々【やじうまWatch】 - INTERNET Watch
サイト閲覧者リソースでマイニングを行うCoinhive利用者の摘発事件における真の問題点とは|CoinChoice
仮想通貨マイニングツール事案をまとめてみた - piyolog

 

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について:IPA 独立行政法人 情報処理推進機構

脆弱性関連情報として取り扱えない場合の考え方の解説:IPA 独立行政法人 情報処理推進機構

サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報:IPA 独立行政法人 情報処理推進機構

「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

アーカイブファイルの展開処理における脆弱性「Zip Slip」について

OpenSSL の脆弱性 (CVE-2018-0732) について

ISC BIND 9 の脆弱性 (CVE-2018-5738) について

2018年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起

LinuxとWindowsを狙うマルウエアWellMess(2018-06-28)

 

@police

宛先ポート80/TCP に対するMirai ボットの特徴を有するアクセスの増加について | 警察庁 @police

 

JC3(日本サイバー犯罪対策センター)

APWG・JC3共同レポート|一般財団法人日本サイバー犯罪対策センター

JC3 Forum 2018 report|一般財団法人日本サイバー犯罪対策センター

 

Trend Micro

「Drupal」の脆弱性「CVE-2018-7602」を利用した攻撃を確認、仮想通貨「Monero」発掘ツールを拡散 | トレンドマイクロ セキュリティブログ

不正なウイルス検索サービス「Scan4You」運営者に有罪判決、トレンドマイクロも捜査に協力 | トレンドマイクロ セキュリティブログ

脆弱性攻撃ツール「Rig EK」、次は脆弱性「CVE-2018-8174」を利用して仮想通貨発掘マルウェアを拡散 | トレンドマイクロ セキュリティブログ

 

McAfee

マルウェアに感染した?注意したい5つの症状、確認方法と初期対応

ランサムウェア、具体的な対策をとるために知っておくべき感染経路

サイバー攻撃リアルタイム可視化ツール9選、国境なき攻撃を把握する

家族で活用したい「2段階認証」設定

止まらない迷惑メールを今すぐ遮断するために知っておきたい対策3選

結局何をすべき?GDPR対応3つの優先事項と解消すべき6つの疑問

SQLインジェクション攻撃への対策|脆弱性を悪用する仕組みと具体例


NTTデータ先端技術株式会社

セキュリティコラムの新着記事「IoTセキュリティの各国比較 (日米欧のガイドラインから) ~第1回 IoTの定義と特徴」を掲載しました | NTTデータ先端技術株式会社

PCI DSS徹底解説の新着記事「クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~」を掲載しました | NTTデータ先端技術株式会社

セキュリティコラムの新着記事「コールセンターに対するPCI DSSの視点...Part.1」を掲載しました | NTTデータ先端技術株式会社


LAC

ルータのDNS設定を変更するサイバー攻撃にご用心 | セキュリティ対策のラック

サイバー救急センターレポート 第3号 | セキュリティ対策のラック


MBSD

オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今 | MBSD Blog


IIJ

wizSafe Security Signal 2018年5月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ


piyolog

2018年2月のデータリークに関連する国内サイトの被害についてまとめてみた - piyolog

仮想通貨マイニングツール事案をまとめてみた - piyolog

ファストブッキングへの不正アクセスについてまとめてみた - piyolog

 

high-hill.html

第8回tktkセキュリティ勉強会に参加しました - high-hill.html

⇒Maltegoの使い方についてわかりやすかったので共有です

 

 

以上です。

今回もココまでy…あ!そうそう。僕海外デビューしてました。

speakerdeck.com

資料にしれっといれてくれたmoto_sato(@58_158_177_102)さん、ありがとうございますた!

 

というわけで今回もココまで読んでいただきありがとうございました。

ではでは!

・ 。
☆。∴。。 ☆ ・
 ・゚*。★・
  ・ 。・*・゚。   ・
  ・ ゚*。・゚★。・
   ☆゚・。・。*・ ゚
    ゚。・*・。 ゚・
   ゚ *・。☆。・★ ・
  ・ ☆ 。・゚・*。・ ゚
    ・ ★ ゚・。七夕~
    ・  ゚
`/ ̄三\  / ̄三\
|  三| /   三|
/  三三V/|  三三)
L| 三三|∪ | 三三|

 

<更新履歴>

2018/07/03 AM 公開

 

Windowsイベントログについてのにゃんたくメモ

どもどもにゃんたくです(「・ω・)「ガオー

 

皆さんいかがお過ごしでしょうか。

最近雨ばっかりでちょっといつもよりおセンチさを感じているにゃんたくです。 

 

なんかブログでも書こうかなぁなんて思ってたんですけど、文章力や語彙力のNASAを常に感じて生きているので、どうしても書けなくて、でも書きたくて…

 

まるで好きな人にラブレターでも書く前の人間みたいになってしまったんですけど、やっぱり久々書きたくなったので、今回はあくまでもブログというより、

ぼくがあとで『Windowsイベントログの件そういや前に書いたよな、ちょっと見返してみるか』くらいの感覚のメモを書いていきます。単純に言うと、アルファ世界線のにゃんたくが牧瀬紅莉栖を救うためにシュタインズ・ゲート世界線に行ってしまってもこのメモを読めば『こ、これがリーディングシュタイナーか!』となるようにするためのメモです。は?

※このネタを知りたければシュタインズ・ゲートというアニメを見てください。東京オタク大学、間違えた東京電機大学というリアルに存在するにゃんたくの母校の学生が主人公として出てくるアニメです。くっそ面白いです。

 

さて、メモを書く前に一言。

コレを見てくれている人のことなんか全く考えていないメモなのであしからず。

あ、メモは読みたくないけど、参考情報だけ欲しい人は下記目次の参考資料一覧だけでも見ておくと良いかもしれませんよよよ。

 

今回メモを書こうと思ったきっかけ

Hal PomeranzさんのWindowsイベントログについての講演を聴きに行ったから。

twitter.com

 

あ、あとこのスライドを見たから。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

ほんとそれだけ(●´ω`●)

 

 

Windowsイベントログってなんぞや

Windowsイベントログとは、『Windowsシステム内で起こった特定の現象や動作の記録(Windowsの中で起きたあれやこれやのうち、大事そうなことを記録したもの)』

参照:http://wa3.i-3-i.info/word11494.html

 

ちなみにイベントログは通常ココ↓にあるよ、エクスプローラーで見てみようね

C:\Windows\System32\Winevt\Logs\

 

 

ラテラルムーブメントってバズってるよな

ラテラルムーブメントとは、マルウェアがOSの正規機能を使って、侵入した組織のネットワーク内の偵察や情報収集、感染拡大する行動のこと。

▼参考情報

https://www.cybereason.co.jp/blog/cyberattack/2239/

http://www.atmarkit.co.jp/ait/articles/1803/20/news043.html

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130730/495464/

https://www.ca.com/content/dam/ca/jp/files/white-paper/sec-white-paper-breaking-the-kill-chain-CS200-162063-jpn.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

 

 

Hal Pomeranzさんが言ってたアレコレ

Hal Pomeranzさんが言ってた話を列挙していくよ。

コレ↓を見ながらこっから先読むとわかりやすいよ。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

 

アレコレ①(スライド4~15)

⇒ラテラルムーブメントのログを見てみよう

⇒もうめんどくさいときはスライド15だけでも見よう、スライド15が重要まとめスライドになってる

 

■スライド4

攻撃者はこんな感じでラテラルムーブメントしようとするよ。

スケジュールタスクを起動してなにか実行してるログは注意してみたほうがいいぞ。

1.ターゲットとなるシステムに対しマルウェアをアップロードする

2.マルウェアを活性化させるための実行を設定する(結構すぐに) 

 

 

■スライド5~14

実際のログをこっから見ていくぞぞぞ。

Windowsイベントログでは『Event ID』と呼ばれる識別子がつけられるぞ。

Event ID:4624(意味:アカウントがログオンした)

⇒TargetUserName、TargetDomainName、IPアドレスが書いてある

⇒特に気にして見てみるのは、『Logon Type』の数字

 この数字で、どうやって『ログオン』したかわかる

 例:LogonType = 3 ⇒ネットワークからログオンした

 例:LogonType = 10 ⇒RDPからリモートでログオンした

⇒『Anonymous』ログオンの場合、怪しいか怪しくないかを判断するには、

 ・通常ログオン時の挙動と比べる

 ・時系列を追う、時間も一つのファクターである

 

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt634186(v=vs.85).aspx

 

Event ID:4672(意味:特権(Admin)を利用された)

⇒このEventIDが記録されていた場合は注意

⇒大体はEvent ID:4624、と同じタイミングで発生する

⇒『Privilege List』と呼ばれるそのIDに与えられている権限一覧を確認することができる

 

▼参考情報https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4672

 

Event ID:5140(意味:ネットワーク共有オブジェクトにアクセスがあった)

⇒このイベントが記録されていた場合は注意

⇒『ShareName』に共有されたファイルパスが記載される

 不可思議なパスがシェアされていたら注意

 (Cドライブ配下(もしくは全体)が共有されてたら注意。。。かも)

⇒ このイベントがファイルサーバー上で発生すれば問題はないが、ファイルサーバー以外のPCで発生してた場合は不可思議

 

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt431793(v=vs.85).aspx

 

TaskSchedulerの動き

 ・Task Schedule ID:106(意味:タスクの新規登録)

 ・Task Schedule ID:200(意味:タスクの実行)

 ・Task Schedule ID:201(意味:タスクの実行終了)

 ・Task Schedule ID:141(意味:タスクの登録削除)

⇒106、を見ればスケジュールタスクを動かした時間、ユーザ情報がわかる(マシン名は不明だが)

⇒TaskSchedulerが動く前のEventID(例えば5140以前等)を見れば時系列的にユーザーがどう『行動』してるかがわかる(推測)

⇒106から200へ数分で発生していたら怪しい

⇒141、のようにタスクを削除する動きは怪しい可能性がある

 

▼参考情報

https://mnaoumov.wordpress.com/2014/05/15/task-scheduler-event-ids/

https://attack.mitre.org/wiki/Technique/T1053

 

Event ID:4688(意味:新しいプロセスが作成された) 

⇒実行ユーザー、プロセス名などが分かる。
⇒この場合、m.exe(mimikatz)でクレデンシャル情報を摂取しようとしている

Windowsイベントログ取得のデフォルト設定では4688は生成されない。
⇒実行された追加の情報が確認できる。

 

▼参考情報

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing

 

Event ID:4634(意味:アカウントがログオフした) 

⇒あえてスケジュールタスクを削除しなかったり、正式にセッションを終了しない場合もある

 

▼参考情報

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4634

 

アレコレ②(スライド16~18)

⇒RDPのイベントログを見てみよう

⇒Security.evtx は、一定のサイズを超えると別のファイルに上書きされてしまう

 数時間程度のログしか残っていないので、ログ自体を別のシステムに保管しておき、辿れるようにしておく必要がある。

 

Event ID:1149(意味:リモートデスクトップサービスでユーザー認証に成功しました) 

⇒このイベントの次に『Local Session Manager』のログを見てみるよ

⇒『Local Session Manager』のログはココにあるよ↓ 

\Microsoft\Windows\TerminalServices-LocalSessionManager\Operational

 

Local Session Managerの動き

Event ID:21(意味:リモートデスクトップ セッション ログオン成功) 

Event ID:23(意味:リモートデスクトップ セッション ログオフ成功)

Event ID:25(意味:リモートデスクトップ セッション 再ログオン) 

Event ID:24(意味:リモートデスクトップ セッション 切断) 

 

⇒通常の動きの場合

1149→21→ログオンして作業→23→24

 

⇒ちょっと不可思議な場合

1149→21→1149→25→24

 

▼おかしいポイント①

1149でRDPのユーザー認証設定しているのに、再度1149のイベントが発生している

 

▼おかしいポイント②

2回目の1149を行っているIPが1回目の1149を行っているIPと異なっている

 

▼おかしいポイント③

2回目の1149の後に『25』というセッション再ログオンが発生し、かつ1回目の1149を行っているIPが次の『24』でセッション切断されている

 

▼参考情報

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee907328(v=ws.10)

https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/mstsc.htm

http://blog.trendmicro.co.jp/archives/14451

https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/

 

 

アレコレ③(スライド20)

Event ID:7045(意味:サービスがシステムにインストールされました) 

⇒起動させられたファイルのファイルパスが書かれている

⇒新しいサービスが開始させられたことがわかる

⇒このイベントを見つけた場合『何が実行されたのか』を確認するのが大事

⇒C:\Windows\Temp\~、のようにTemp配下から起動させていたら怪しいを感じるべき

 

 

参考資料一覧

http://deer-run.com/~hal/

http://deer-run.com/~hal/IREventLogAnalysis.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

https://support.microsoft.com/ja-jp/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

 

 

 

最後に。

ここまでもし読んでくれた方がいたら、ぜひマサカリを僕に投げてくれると最高に嬉しいです。『お前言ってること間違ってるぞ』とか言ってください♡

あ、Hal Pomeranzさんの講演情報を教えてくれた僕の上司に感謝。大好きです♡

 

<更新履歴>

2018/06/22 PM 公開

2018/06/24 AM 追記:Event ID:4688、その他もろもろ

2018年5月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

いきなりちょっとまじめな話なんですが、最近『時間』について考えたりするようになりまして。

 

人間生きてる時間って、『有限』なものじゃないですか。

だったら、自分がやってみたい、会ってみたい、話してみたい、勉強したい、遊びたい、そういうことに対して億劫になっちゃいけないのかなって。

もちろん、全部を叶えようとするのはなかなか難しいので、あくまでも自分がやれる範囲で、ってことですけどね。

 

なので最近なるべく自分が『会ってみたい』もしくは『会いたい』という人には時間の許す限り会ってみようって思っています。

 

5月も色々なトコに顔を出してみたんですけど、色んな人と会話ができるってとっても刺激になるし、ある意味自分の良くない部分も見えてきてなんだかちょっと成長してる(ような)気がしています。

・・・あ、そのせいで会社の名刺が切れかけています笑

 

こないだセキュリティ以外の人にも会ってみたいなーとふと思い、ちょうど見つけたこの企画にフラッと行ってみたんです。

www.huffingtonpost.jp

 

ライターさんやTV関係の方々とお話することができて非常に楽しかったなか、僕なりに日常のセキュリティの話(例えば不審なメールが来た時の対処とかSNSのアカウントがのっとられない様にするにはどうしたらいいか等)をしていたら、

『知らなかった』『実際どうしていいかわからなかった』『教えてくれてありがとう』という言葉を直に聞くことができました。

そういう言葉を聞けて嬉しかった反面、セキュリティの『発信者』としては、もっとセキュリティを知らない、セキュリティに疎い人達に情報を届けれるような発信方法をもっと考えないといけない!、という気づきも得ることができました。

 

これを読んでくれているセキュリティの皆さん、まずは小さなことからでも僕と一緒に発信していきましょう!ぼくもがんばりますので!

 

今回はちょっと『前説』が長くなってしまいましたね、すみません。

では、前月のまとめです。

 

脆弱性のアレコレ

OpenPGP および S/MIME メールクライアントに脆弱性(EFAIL)

【概要】
OpenPGP および S/MIME メールクライアントに脆弱性が存在し、暗号化されたメッセージを第三者が平文で入手できてしまう可能性がある
脆弱性名:EFAIL

 

【CVE番号】
CVE-2017-17688: OpenPGP CFB Attacks
CVE-2017-17689: S/MIME CBC Attacks

 

【対象】
OpenPGP および S/MIME をサポートする電子メールクライアント
影響を受けるメールクライアントは以下参照
https://www.kb.cert.org/vuls/id/122919

 

【対策】
ワークアラウンドを実施する
→メールクライアントとは別のアプリケーションを使って復号する
→メールクライアントの HTML レンダリングを無効化する
→メールクライアントのリモートコンテンツの読み込みを無効化する

 

【参考情報】
JVNVU#95575473: OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性
メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起
暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (1/2) - ITmedia エンタープライズ
多くのメールソフトに受信トレイの内容がすべて読み取られる深刻な脆弱性が発覚、PGPとS/MIMEに関連 - GIGAZINE


Adobe ReaderおよびAcrobat脆弱性 (APSB18-09)

【概要】
Adobe AcrobatおよびReaderに脆弱性が存在し、第三者により任意のコードが実行される可能性がある

 

【CVE番号】
CVE-2018-4990
CVE-2018-4993

 

【対象】
Adobe Acrobat Reader DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat Reader DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat Reader 2017 (2017.011.30079) およびそれ以前
Adobe Acrobat 2017 (2017.011.30079) およびそれ以前

 

【対策】
・アップデートする(以下本脆弱性修正済みバージョン)
Adobe Acrobat Reader DC Consumer (2018.011.20040)
Adobe Acrobat Reader DC Classic 2015 (2015.006.30418)
Adobe Acrobat DC Consumer (2018.011.20040)
Adobe Acrobat DC Classic 2015 (2015.006.30418)
Adobe Acrobat Reader 2017 (2017.011.30080)
Adobe Acrobat 2017 (2017.011.30080)

 

【参考情報】
Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起
更新:Adobe Acrobat および Reader の脆弱性対策について(APSB18-09)(CVE-2018-4990等):IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力(1ページ目 / 全2ページ):Security NEXT


Red Hat Enterprise LinuxDHCPクライアントに脆弱性

【概要】
Red Hat Enterprise LinuxDHCPクライアントに脆弱性が存在し、第三者によりリモートから任意のコードが実行される可能性がある

 

【CVE番号】
CVE-2018-1111

 

【対象】
Red Hat Enterprise Linux Server バージョン 6, 7
Fedora バージョン 26, 27, 28
CentOS バージョン 6, 7
Scientific Linux バージョン 6, 7
Oracle Linux バージョン 6, 7 および Oracle VM バージョン 3.3, 3.4
Red Hat Enterprise Linux 5、Red Hat Enterprise Virtualization 3.6では影響は受けない

 

【対策】
・修正プログラムの適用

 

【参考情報】
DHCP Client Script Code Execution Vulnerability - CVE-2018-1111 - Red Hat Customer Portal
RHELにクリティカルレベルのコード実行の脆弱性、修正パッチが公開 - ZDNet Japan
【セキュリティ ニュース】RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ(1ページ目 / 全1ページ):Security NEXT
CVE-2018-1111 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

BIND 9に複数の脆弱性

【概要】
BIND 9に複数の脆弱性が存在し、namedが予期しない動作をしたり停止したりする可能性がある

 

【CVE番号】
CVE-2018-5736
CVE-2018-5737

 

【対象】
BIND 9.12.0
BIND 9.12.1

 

【対策】
・アップデートする(以下本脆弱性修正済みバージョン)
BIND 9.12.1-P2

 

【参考情報】
BIND 9.12における動作停止となる二つの脆弱性について(2018年5月) - JPNIC
ISC BIND 9 の脆弱性 (CVE-2018-5736、CVE-2018-5737) について
JVNVU#91301831: BIND に複数のサービス運用妨害 (DoS) の脆弱性
「BIND 9」に脆弱性、リモートからnamedが異常終了、JPRSやJPCERT/CCが注意喚起 - INTERNET Watch
【セキュリティ ニュース】「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース(1ページ目 / 全2ページ):Security NEXT

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年5月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
【速報版】カード利用のお知らせ(本人ご利用分)
Airdrop申請内容をご確認ください
Apple IDアカウントを回復してください
指定請求書
注文書、請書及び請求書のご送付
発注分
印鑑の発注について
カード利用のお知らせ
注文請書・
請求書をお送り致します。
注文請書・請求書をお送り致します。
楽天市場】注文内容ご確認(自動配信メール)

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年5月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

bitFlyer をかたるフィッシング (2018/05/24)
Amazon をかたるフィッシング (2018/05/17)
MyEtherWallet をかたるフィッシング (2018/05/15)
Apple をかたるフィッシング (2018/05/07)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

Twitter、社内システムのバグでユーザーのパスワードを平文で保存

【概要】
Twitter、社内システムのバグでユーザーのパスワードを平文で保存していることが判明し、Twitterの全ユーザーに対し、パスワードを変更するよう告知した

 

【参考情報】
Keeping your account secure
Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で - ITmedia NEWS
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ
Twitterが全ユーザーにパスワード変更呼びかけ、どうすべきか? | マイナビニュース


森永乳業の健康食品通販サイトが不正アクセスを受け、利用者のカード情報などが流出

【概要】
森永乳業の健康食品通販サイトが不正アクセスを受け、利用者約2.3万人のカード情報(カード番号、名義、有効期限、セキュリティコードなど)が流出

 

【参考情報】
健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社
森永乳業のECサイト、カード番号も含めたカード情報流出の恐れ - ねとらぼ
森永乳業の通販サイトからカード情報流出の可能性 セキュリティコードも - ITmedia NEWS
森永乳業の情報漏洩、正確な情報が少ない訳 | 日経 xTECH(クロステック)


MS&Consulting子会社が運営するサイトが不正アクセスを受け、会員情報が流出

【概要】
MS&Consulting子会社が運営するサイト「ミステリーショッピングリサーチ」が不正アクセスを受け、約6000件約57万件の会員情報が流出。
WAF(ウェブ・アプリケーション・ファイアウオール)の設定ミスによりSQLインジェクション攻撃を受けてしまったとのこと。

 

【参考情報】
MS&Consultingで会員情報6000件流出か、WAF設定ミスでSQLインジェクション攻撃防げず | 日経 xTECH(クロステック)
MSコンサルで会員情報6000件流出か 設定ミスが原因 :日本経済新聞
【セキュリティ ニュース】覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず(1ページ目 / 全1ページ):Security NEXT
流出の恐れがある個人情報は6000件ではなく57万件、MS&Consultingが公表 | 日経 xTECH(クロステック)


Yahoo! JAPAN、パスワードでのログインを無効にする機能を提供開始

【概要】
Yahoo! JAPANは、ユーザーが「Yahoo! JAPAN ID」で設定しているパスワードでのログインを無効にし、代わりにSMS等で送られた確認コードでログインできる機能を提供開始した。

 

【参考情報】
セキュリティ向上の新たな取り組みとして、パスワードでのログインを無効にする機能を提供開始 - プレスルーム - ヤフー株式会社
ヤフー、「パスワード無効」設定可能に セキュリティ向上のため - ITmedia NEWS
ヤフー、セキュリティ向上でパスワードでのログインを無効にする機能を提供開始:日経 xTECH Active
ヤフー、ログイン時のパスワード廃止を段階的に開始 - ケータイ Watch


中国の闇サイトで2億件以上の日本人個人情報が販売

【概要】
セキュリティ企業のファイア・アイは、中国の闇サイトで2億件以上の日本人個人情報が販売されているという調査結果を明らかにした

 

【参考情報】
https://www.fireeye.jp/blog/jp-threat-research/2018/05/japan-pii-finding.html
中国でのべ2億件超の日本人情報が販売、企業流出も確認--ファイア・アイ - ZDNet Japan
日本人の個人情報2億件、中国の闇サイトで販売か - ITmedia ビジネスオンライン
日本人の2億件以上の個人情報、中国の闇サイトで販売を確認 | マイナビニュース

 

GDPR(EU一般データ保護規則)が5月25日から施行

【概要】
GDPRGeneral Data Protection RegulationEU一般データ保護規則)が2018年5月25日から施行された。
対象となる個人データは、対象となる個人データは氏名や所在地、メールアドレス、クレジットカード番号、パスポート情報、Cookieといったオンライン識別子なども含む。
なお、GDPRについて不安を煽る詐欺も増える可能性があり、注意が必要。

 

【参考情報】
EU一般データ保護規則(GDPR)の適用範囲について | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の概要(後編) | NTTデータ先端技術株式会社
GDPRとは | セキュリティ用語解説 | 日立ソリューションズの情報セキュリティブログ
GDPR 施行直後の対応に伴うリスクや、便乗したサイバー犯罪の可能性とは? | トレンドマイクロ セキュリティブログ
GDPR施行で一部米メディアがEUで閲覧不能に Instapaperも停止中 - ITmedia NEWS


北朝鮮ハッカーが利用するマルウェア情報を、米政府が公開

【概要】
北朝鮮ハッカー(HIDDEN COBRA)が利用するマルウェア情報を、米政府が公開。
公開したマルウェア名は以下2つ
・リモートアクセスツール(RAT)の「Joanap」
・「Server Message Block」(SMB)ワームの「Brambul」

 

【参考情報】
HIDDEN COBRA - North Korean Malicious Cyber Activity | US-CERT
米政府、「北朝鮮のマルウェア」2件の情報を新たに公開 - ITmedia NEWS
米政府、北朝鮮のハッカーが使用する2種類のマルウェアについて情報公開 - ZDNet Japan
【セキュリティ ニュース】米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開(1ページ目 / 全4ページ):Security NEXT

 

ネットワーク機器に感染するマルウェア「VPNFilter」の感染拡大

【概要】
ネットワーク機器に感染するマルウェア「VPNFilter」の感染が拡大しており、少なくとも54カ国50万台が感染している恐れがある

 

【参考情報】
ネットワーク機器を標的とするマルウェア「VPNFilter」について
FBI、マルウェア「VPNFilter」対策としてSOHO用ルータ再起動呼びかけ | マイナビニュース
高度なマルウェア「VPNFilter」、54カ国で感染拡大 一斉攻撃の恐れも - ITmedia エンタープライズ
ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染 | トレンドマイクロ セキュリティブログ

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構
IPAテクニカルウォッチ「ウェブサイト開設等における運営形態の選定方法に関する手引き」:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

攻撃グループBlackTechが使うマルウエアPLEADダウンローダ (2018-05-28)
ネットワーク機器を標的とするマルウェア「VPNFilter」について
ISC BIND 9 の脆弱性 (CVE-2018-5736、CVE-2018-5737) について
メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起

 

Trend Micro

ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染 | トレンドマイクロ セキュリティブログ
サイバー犯罪の狙いは「ランサムウェア」から「不正マイニング」へ、2018 年第 1 四半期の脅威動向を分析 | トレンドマイクロ セキュリティブログ
家庭用 GPON ルータの脆弱性を狙う「Mirai」の亜種、メキシコ発のネットワークスキャン活動で確認 | トレンドマイクロ セキュリティブログ
Oracle WebLogic の修正済み脆弱性を狙うトラフィックを確認、サーバを侵害し仮想通貨を発掘 | トレンドマイクロ セキュリティブログ
闇市場とサイバー犯罪:「RaaS」 ランサムウェアのサービス化 | トレンドマイクロ セキュリティブログ
知らないとマズい - 最大約 26 億円の制裁金や個人情報利用停止措置を伴う「GDPR」施行まであと一週間 | トレンドマイクロ セキュリティブログ
Twitter がパスワードの変更を呼びかけ、不具合によりユーザのパスワードが社内システムに露出 | トレンドマイクロ セキュリティブログ

 

McAfee

Facebook乗っ取りの対処方法|原因と安全に使うための6つの対策
ボットネットマルウェア VPNFilterがネットワークデバイスを標的に
新たなマルウェアVPNFilter、50万台以上のルーターに感染
マルウェアとは?初心者も簡単理解!基本から対策、ウイルスとの違い
ソーシャルエンジニアリングとは?手口・被害例・実践的な対策を知る
新世代ハニーポット、Cyber Deceptionで攻撃の見える化を実現する
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ

 

NTTデータ先端技術株式会社

Spring Data Commonsに含まれるリモートコード実行に関する脆弱性(CVE-2018-1273)についての検証レポート | NTTデータ先端技術株式会社
Drupalに含まれるリモートコード実行に関する脆弱性(CVE-2018-7600)についての検証レポート | NTTデータ先端技術株式会社
Oracle WebLogic Serverに含まれるリモートコード実行に関する脆弱性(CVE-2018-2628)についての検証レポート | NTTデータ先端技術株式会社
EU一般データ保護規則(GDPR)の適用範囲について | NTTデータ先端技術株式会社

 

LAC

APT攻撃者グループ menuPass(APT10) による新たな攻撃を確認 | セキュリティ対策のラック
ASUS社 無線LANルータ(RT-AC87U)におけるクロスサイトスクリプティングの脆弱性(JVN#33901663) | セキュリティ対策のラック

 

MBSD

Drupalの脆弱性に関する検証レポート(CVE-2018-7602)
セキュリティ関連キーワード調査 (2018年4月度) | MBSD

 

IIJ

wizSafe Security Signal 2018年4月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

ソフトバンク・テクノロジー

CVE-2018-1111 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

piyolog

国内組織のキャンペーンやアンケートに偽装したなりすましメールについてまとめてみた - piyolog

日本経済研究所のなりすましメールについてまとめてみた - piyolog

 

以上です。
今回もココまで読んでいただきありがとうございました。

 

ではでは!

 

 

梅雨あけないかな~
   _ヘ_
  //|\\
 ∠∠∠|\\\
  ∧_∧∥ ̄ ̄
 (´Д`∥
 ( つ つ
 人 ヽノ
(__(_)

 

<更新履歴>

2018/06/01 AM 公開

2018/06/01 PM 一部修正

2018年4月に起こったセキュリティニュースのアレコレをまとめてみた。

 どもどもにゃんたくです(「・ω・)「ガオー

 

ゴールデンウィークも終わり、長い連休明けの月曜はちょっと出社が億劫になってしまうものですよね。

そういえば『平成』という元号も来年5月1日に変わってしまうため、今年が『平成最後の』ゴールデンウィークでしたね。

・・・僕はお酒ばっかり呑んでいましたが(゚Д゚;)

 

さてさて。

Twitterを利用しているユーザーの方々はご存知かと思われますが、Twitterが全ユーザーに対しパスワードを変更するよう告知がされましたね。

f:id:mkt_eva:20180507072851j:plain


参考情報:Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で - ITmedia NEWS

 

Twitterユーザーの方々は、

・パスワードを変更する

・他のサービスと同じパスワードを設定しない
Twitterで複数のアカウントを分けて利用してるユーザーもいると思うので、他のアカウントと同じパスワードを設定しない

・2要素認証を設定する

を、行うことをオススメします。

最近レイバン広告のアカウントのっとりも増えているので、これも良い機会と捉えて設定を見直してみるのも良いんじゃないかと思います。

※その時、ぜひ設定の『アプリ連携』も確認してみて、不要なアプリ連携をしていた場合は許可を取り消すことをオススメします。

 

 では、前月のまとめです。

 

脆弱性のアレコレ

Spring Frameworkに複数の脆弱性

【概要】
Spring Frameworkに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1270)も含まれている
Spring FrameworkJava Webアプリ開発を行うためのフレームワーク

 

【CVE番号】
CVE-2018-1270
CVE-2018-1271
CVE-2018-1272
CVE-2018-1275

 

【対象】
Spring Framework 5.0 から 5.0.4
Spring Framework 4.3 から 4.3.15
※すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受ける

 

【対策】
・アップデートする(下記本脆弱性修正バージョン)
Spring Framework 5.0.5
Spring Framework 4.3.16

 

【参考情報】
Spring Framework の脆弱性に関する注意喚起
Spring Frameworkに含まれるリモートコード実行に関する脆弱性(CVE-2018-1270)についての検証レポート | NTTデータ先端技術株式会社
Spring Frameworkの脆弱性に注意 | マイナビニュース
【セキュリティ ニュース】「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度(1ページ目 / 全2ページ):Security NEXT

 

 

Spring Data Commonsに複数の脆弱性

【概要】
Spring Data Commonsに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性(CVE-2018-1273)も含まれている

 

【CVE番号】
CVE-2018-1273
CVE-2018-1274

 

【対象】
Spring Data Commons 1.13 から 1.13.10 (Ingalls SR10)
Spring Data Commons 2.0 から 2.0.5 (Kay SR5)
Spring Data REST 2.6 から 2.6.10 (Ingalls SR10)
Spring Data REST 3.0 から 3.0.5 (Kay SR5)

 

【対策】(下記本脆弱性修正バージョン)
Spring Data Commons 1.13.11
Spring Data Commons 2.0.6
Spring Data REST 2.6.11 (Ingalls SR11)
Spring Data REST 3.0.6 (Kay SR6)
Spring Boot 1.5.11
Spring Boot 2.0.1

 

【参考情報】
Spring Data Commons の脆弱性に関する注意喚起
Spring Data Commonsに含まれるリモートコード実行に関する脆弱性(CVE-2018-1273)についての検証レポート | NTTデータ先端技術株式会社
【セキュリティ ニュース】「Spring Data Commons」に深刻な脆弱性 - REST処理などでコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT

 


Drupal脆弱性

【概要】
Drupal脆弱性が存在し、第三者によってリモートから任意のコードが実行される可能性がある
DrupalオープンソースCMS

 

【CVE番号】
CVE-2018-7602

 

【対象】
Drupal 7.59 より前のバージョン
Drupal 8.4.8 より前のバージョン
Drupal 8.5.3 より前のバージョン

 

【対策】(下記本脆弱性修正バージョン)
Drupal 8.5.3
Drupal 7.59
Drupal 8.4.8

 

【参考情報】
Drupal の脆弱性対策について(CVE-2018-7602):IPA 独立行政法人 情報処理推進機構
Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起
Drupalの脆弱性を突く攻撃を確認、直ちに対応を - ITmedia エンタープライズ

 

▼関連するDrupal脆弱性(CVE-2018-7600)については下記を参考にしてください。既に攻撃コードが公開されています
更新:Drupal の脆弱性対策について(CVE-2018-7600):IPA 独立行政法人 情報処理推進機構
http://mkt-eva.hateblo.jp/#Drupal脆弱性:title

 


Oracle Java脆弱性

【概要】
Oracle社が提供する JRE (Java Runtime Environment) に脆弱性が存在し、外部より第三者から任意のコードを実行される可能性がある

 

【CVE番号】
CVE-2018-2814

 

【対象】
Oracle Java SE 10
Oracle Java SE 8 Update 162
Oracle Java SE 7 Update 171
Oracle Java SE 6 Update 181
Oracle Java SE Embedded 8 Update 161
Oracle Java SE Embedded 8 Update 152

 

【対策】
・アップデートする

 

【参考情報】
Oracle Critical Patch Update - April 2018
Oracle Java の脆弱性対策について(CVE-2018-2814等):IPA 独立行政法人 情報処理推進機構
Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処 - ITmedia エンタープライズ
Oracle、「Java SE 10.0.1」「Java SE 8 Update 171」を公開 ~脆弱性を修正 - 窓の杜

 


Microsoft Outlook脆弱性

【概要】
Microsoft Outlook のOLE(Object Linking and Embedding )コンテンツ取得に問題があり、第三者により個人情報が奪取される可能性がある

 

【CVE番号】
CVE-2018-0950

 

【対象】
Microsoft Outlook

 

【対策】
・アップデートする
・インバウンドおよびアウトバウンドのSMB コネクションをブロックする
・NTLM シングルサインオン (SSO) 認証を無効にする
・複雑なパスワードを設定する

 

【参考情報】
JVNVU#95312708: Microsoft Outlook の OLE コンテンツ取得における問題
Microsoft Outlookに情報窃取の脆弱性 | マイナビニュース
マイクロソフト、「Outlook」の情報流出につながるバグを修正 - ZDNet Japan
Microsoft Outlookに情報窃取の脆弱性 | マイナビニュース

 


不審なメールや偽サイトのアレコレ

不審なメール情報

2018年4月に出回った不審なメールの件名は以下のとおり

【件名一覧】
・【楽天市場】注文内容ご確認(自動配信メール)
・8月、原価請求書です。
・注文書、請書及び請求書のご送付
・あなたのApple IDのセキュリティ質問を再設定してください。
・カード利用のお知らせ
・①Re: Re: 2月度発注書送付
・②Fwd: Re: 2月度発注書送付
・③RE: Re: 2月度発注書送付
・④FWD: Re: 2月度発注書送付
・お振込頂きます

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 


不審な偽サイト(フィッシングサイト)情報

2018年4月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
Apple をかたるフィッシング (2018/04/25)
・[更新] セゾン Net アンサーをかたるフィッシング (2018/04/23)
ソフトバンクをかたるフィッシング (2018/04/18)
・[更新] MUFG カードをかたるフィッシング (2018/04/16)
・[更新] Apple をかたるフィッシング (2018/04/11)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

無料のパブリックDNSサービス「1.1.1.1」をCloudflareが提供開始

【概要】
無料のパブリックDNSサービス「1.1.1.1」をCloudflareが提供を開始した。IPアドレスを記録されることがなくセキュアに利用が可能。

 

【参考情報】
1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver
Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service
Cloudflare、セキュアで最速な一般向けDNSサービス「1.1.1.1」提供開始 - ITmedia NEWS
プライバシー面を重視したDNSサービス「1.1.1.1」をCloudflareが提供開始 - GIGAZINE
IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、APNICとCloudflareが無料提供 - INTERNET Watch

 


プレミアム・アウトレット、会員情報約27万件が流出

【概要】
三菱地所・サイモンが運営する「プレミアム・アウトレット」のショッパークラブに登録された会員情報約27万件が流出した。
内訳は、メールアドレスとログインパスワードの両方が約24万件、メールアドレスのみが約3万件

 

【参考情報】
プレミアム・アウトレット、会員情報27万件流出 :日本経済新聞
プレミアム・アウトレット事件の真相、登録情報以外が流出した可能性も | 日経 xTECH(クロステック)
【セキュリティ ニュース】会員約24万件のアカウント情報が外部データと一致 - プレミアム・アウトレット(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「プレミアム・アウトレット」の一部メルマガ会員情報が流出か - 使い回しパスワードに注意を(1ページ目 / 全1ページ):Security NEXT

 

 

Minecraftの「スキン」を装ったマルウェアが出回る

【概要】
Minecraftの「スキン」を装ったマルウェアが出回り、5万アカウントが感染した可能性がある

 

【参考情報】
Minecraft players exposed to malicious code in modified “skins” | Avast
スキンを媒介したマルウェアがマインクラフトで広がっている問題、Mojangが声明を発表 - 窓の杜
【セキュリティ ニュース】「Minecraft」の脆弱性狙う破壊型マルウェア - 5万アカウント以上で被害か(1ページ目 / 全2ページ):Security NEXT

 


世界最大のDDoS攻撃請負サイトが摘発される

【概要】
世界最大のDDoS攻撃請負サイト「webstresser . org」が摘発され、サービスが停止になった。

 

【参考情報】
世界最大のDDoSサービスが摘発される 月額わずか15ユーロで攻撃実行 - ITmedia NEWS
世界最大のDDoS攻撃請負サイト「webstresser.org」が閉鎖される - GIGAZINE
【セキュリティ ニュース】会員13万人以上の低価格DDoS攻撃サービスが検挙 - 1カ月約2000円、攻撃は400万回以上(1ページ目 / 全2ページ):Security NEXT

 


NTTグループ3社が海賊版サイトに対してブロッキングを実施することを発表

【概要】
NTTグループ3社(NTTコミュニケーションズNTTドコモNTTぷらら)が海賊版サイトに対して準備が整い次第ブロッキングを実施することを発表した

 

【参考情報】
インターネット上の海賊版サイトに対するブロッキングの実施について:NTT持株会社ニュースリリース:NTT HOME
NTTグループ3社、「漫画村」など海賊版サイトをブロッキングへ - ITmedia Mobile
一問一答完全収録 NTTグループのブロッキング、なぜ実施? (1/2) - ITmedia Mobile
NTT、海賊版サイトへのブロッキング実施を発表 - ZDNet Japan

 

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)):IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構
ICS-CERTが公開した制御システムの脆弱性情報(直近の1ヶ月):IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

JPCERT コーディネーションセンター インシデント報告対応レポート
JPCERT コーディネーションセンター 活動四半期レポート
Cisco Smart Install Client を悪用する攻撃に関する注意喚起
適切なパスワードの設定・管理方法について

 

Trend Micro

iPhone セットが 100 円?不正広告で誘導する日本郵便を偽装した当選詐欺サイトを確認 | トレンドマイクロ セキュリティブログ
「Magento」上のECサイト改ざんにより、カード情報漏えいやマルウェア感染が発生 | トレンドマイクロ セキュリティブログ
日本にも流通する IoT デバイスで遠隔操作が可能な脆弱性を確認 | トレンドマイクロ セキュリティブログ
日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」、新しく確認された活動とツールを解説 | トレンドマイクロ セキュリティブログ
「ファイル感染型コインマイナー」を確認。既存ランサムウェアのコードを再利用 | トレンドマイクロ セキュリティブログ
DNS 設定書き換え攻撃によって拡散する Android 端末向け不正アプリ「XLOADER」を確認 | トレンドマイクロ セキュリティブログ

 

McAfee

サイバーセキュリティの脅威を明確に見極めるための6つの要素
サイバー攻撃の目的|効果的対策のために知るべき分類と攻撃者の種類
ウイルスにはどんな種類があるのか?分類・特徴・マルウェアとの違い
Twitter乗っ取り被害にあったときの確認方法・解除法の全手順と予防策
ランサムウェアとは?社員が知っておきたいセキュリティの基本

 

LAC

セキュリティ診断レポート 2018 陽春 | セキュリティ対策のラック
"すごうで 2017" レポート | セキュリティ対策のラック
JSOC INSIGHT vol.19 | セキュリティ対策のラック
やりっぱなしにしない「標的型攻撃メール訓練」【第4回】改善編 | セキュリティ対策のラック
攻撃者グループ "BlackTech"による "PLEAD"を使った日本への攻撃を確認 | セキュリティ対策のラック

 

MBSD

https://www.mbsd.jp/blog/20180420.htm:titlel

 

IIJ

GhostMinerの感染拡大 – wizSafe Security Signal -安心・安全への道標- IIJ
wizSafe Security Signal 2018年3月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
IIJ Security Diary: 国内 Mirai 亜種感染機器からのスキャン通信が再び増加 (2018年2-3月の観測状況)

 

piyolog

監視カメラへの不正アクセスについて調べてみた - piyolog
前橋市教育委員会への不正アクセスについてまとめてみた - piyolog 

 

以上です。
今回もココまで読んでいただきありがとうございました。

 

ではでは!

.∩___( ̄`ヽ
/ ⌒  ⌒ヽ |
| >  < | |
|  (_●_) ミノ
彡、 |∪| ノ /
 _ノ ̄)ノ  /
___ノ  /