・Intel manageability ファームウェアバージョン 6.x, 7.x, 8.x, 9.x, 10.x, 11.0, 11.5 および 11.6 を使用しているハードウェア
・次の機能を有効にしている場合に影響が確認されています。
　Intel Active Management Technology
　Intel Small Business Technology
　Intel Standard Manageability

【対策】
・ファームウェアをアップデートする
→Intelから対策版ファームウェアがリリース済み
　※https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr
→また、システムが脆弱性の影響を受けるかどうかを確認できる「INTEL-sa-00075検出ガイド」および関連ドキュメントはこちら
　※https://downloadcenter.intel.com/download/26754

【参考情報】

JVNVU#92793783: Intel Active Management Technology (AMT) にアクセス制限不備の脆弱性

インテルの「AMT」や「ISM」に脆弱性--緩和策など公開 - ZDNet Japan

リモート管理機能「Intel AMT」、リモートから任意のコードが実行可能な権限昇格の脆弱性 -INTERNET Watch

Sambaに脆弱性

【概要】
Sambaに、リモートから任意のコードを実行可能な脆弱性が見つかった。
Sambaとは、Windows以外のOS（UNIX系OS）でWindowsネットワークの諸機能を利用できるようにするソフトウェア

【CVE番号】
CVE-2017-7494

【対象】
・バージョン4.4.14、4.5.10および4.6.4を除くSamba 3.5.0以降のバージョン

【対策】
・アップデートする

【参考情報】

CVE-2017-7494 - Red Hat Customer Portal

Critical Vulnerability in Samba from 3.5.0 onwards - SANS Internet Storm Center

Sambaにリモートからのコード実行の脆弱性(CVE-2017-7494) — | サイオスOSS | サイオステクノロジー

Samba、リモートから任意のコードを実行可能な脆弱性、「3.5.0」以降に影響 -INTERNET Watch

Samba - opening windows to a wider world

CVE-2017-7494 - 脆弱性調査レポート | ソフトバンク・テクノロジー

注意喚起やニュースのアレコレ

ランサムウェアの「WannaCry」が世界で大流行

【概要】
ランサムウェアの「WannaCry」が世界で大流行し、世間を騒がせた。
感染方法や対策などは下記参考情報を参考にしていただけると幸いです。

【参考情報】

ランサムウェア「ＷａｎｎａＣｒｙ」流行の理由 : 科学 : 読売新聞（YOMIURI ONLINE）

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

WannaCryについてのネット記事をまとめてみた。 - にゃんたくのひとりごと

更新：世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について：IPA 独立行政法人情報処理推進機構

Cisco、「Apache Struts 2」脆弱性の影響受ける製品リストを更新

【概要】
「Apache Struts 2」に深刻な脆弱性「CVE-2017-5638」が見つかった問題で、Cisco Systemsは、同脆弱性の影響を受ける同社製品のリストを更新した。

【参考情報】

Apache Struts2 Jakarta Multipart Parser File Upload Code Execution Vulnerability Affecting Cisco Products

【セキュリティニュース】Cisco、「Apache Struts 2」脆弱性の影響受ける製品リストを更新（1ページ目 / 全1ページ）：Security NEXT

マイクロソフトが、5月の月例セキュリティ更新プログラムを公開

【概要】
マイクロソフトは5月の月例セキュリティ更新プログラムを公開した。
今回の月例セキュリティ更新プログラムはIE、Edge、Windows、Office／Office Services／Web Apps、.NET Framework、およびAdobe Flash Playerが対象となっている。

【参考情報】

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/bc365363-f51e-e711-80da-000d3a32fc99

Microsoft 製品の脆弱性対策について(2017年5月)：IPA 独立行政法人情報処理推進機構

2017年 5月マイクロソフトセキュリティ更新プログラムに関する注意喚起

マイクロソフト、月例セキュリティ更新(5月) - "緊急"含む複数の脆弱性に対策 | マイナビニュース

Microsoft、5月の月例パッチ公開、Creators Update以外のWindowsでもSHA-1証明書サイトをブロック -INTERNET Watch

業務PC でアダルトサイト閲覧をしていた神戸大職員が懲戒処分

【概要】
神戸大学は、１年間で約１５０時間、業務用パソコンでアダルトサイトを閲覧したとして、５０代の男性事務職員を停職２カ月の懲戒処分にしたと発表した。

【参考情報】

【セキュリティニュース】業務PCでアダルトサイト閲覧、職員を懲戒処分 - 神戸大（1ページ目 / 全1ページ）：Security NEXT

神戸新聞NEXT｜社会｜大学ＰＣでアダルトサイト閲覧神戸大職員処分

JPCERT/CCが、jpcert[.]org ドメインを取得

【概要】
第三者に2017年2月9日に取得されていた、jpcert[.]orgというドメインを2017年5月9日にJPCERT/CCが取得した。

【参考情報】

jpcert.org ドメインに関するお知らせ

偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~

Google DocsとGmailのユーザーを狙うフィッシング攻撃が急増

【概要】

Google DocsとGmailのユーザーを狙ったフィッシング攻撃が急増し、偽装されたGoogleのURLをクリックすると、攻撃を受けたユーザーのGmailをすべて読めるようになり、かつユーザーの連絡先リストに登録されている人へ同じものを転送してしまうという内容。

【参考情報】

Google Docsを悪用したフィッシング攻撃に注意 | マイナビニュース

SOPHOS INSIGHT｜Google Docs を騙ったフィッシングメール/ワームの問題 – 経緯と対策

Gmailアカウントに対する巧妙なフィッシング攻撃 | トレンドマイクロセキュリティブログ

ニュース - Google Docsを悪用したフィッシング攻撃が発生、すでに対処済み：ITpro

急速に広まったGmail/Google Docsのフィッシング詐欺に対してGoogleが公式声明を発表 | TechCrunch Japan

MicrosoftのEdgeとIE11で「SHA-1」利用サイトをブロック

【概要】
MicrosoftのEdgeとIE11では、SHA-1 証明書で保護されているサイトの読み込みをブロックし、無効な証明書の警告を表示するように変更された。

【参考情報】

マイクロソフトセキュリティアドバイザリ 4010323

SHA-1証明書、MicrosoftのEdgeとIE 11でも無効に - ITmedia NEWS

【セキュリティニュース】「IE」や「Edge」でも「SHA-1」利用サイトの読み込みをブロック - 警告を表示（1ページ目 / 全2ページ）：Security NEXT

「Edge」「IE」も「SHA-1」証明書の利用サイトをブロック - ZDNet Japan

｢Shadow Brokers｣が毎月有料で新たな流出情報の提供を予告

【概要】
ランサムウェアの「WannaCry」騒動のきっかけをつくった攻撃者集団の｢Shadow Brokers｣が毎月有料で新たな流出情報の提供を予告した。

【参考情報】

OH LORDY! Comey Wanna Cry Edition — Steemit

NSAのツールを盗み出したハッカー集団、さらなる流出を予告--毎月有料で - ZDNet Japan

「WannaCry」大規模攻撃発端のShadow Brokers、新たな流出情報の提供を予告 - ITmedia エンタープライズ

複数の脆弱性を修正した「WordPress 4.7.5」が公開

【概要】
クロスサイトスクリプティング (XSS) やクロスサイトリクエストフォージェリ (CRSF)などの脆弱性を解消した「WordPress 4.7.5」が公開された。
「WordPress 4.7.5」への更新は、ダッシュボード>更新メニュー、から行えるとのこと。自動更新を有効にしていれば自動的にアップデートされる。

【参考情報】

日本語 « WordPress 4.7.5 セキュリティ・メンテナンスリリース

「WordPress 4.7.5」公開、XSSやCSRFの脆弱性など修正 -INTERNET Watch

WordPressに脆弱性、アップデート推奨 | マイナビニュース

ウイルスつきスパムメールが大量に拡散

【概要】
ウイルスつきスパムメールが大量に拡散している。以下件名のまとめ。

（※JC3のサイト参照）
・Fwd:
・Fw:
・FW:
・05.17
・05/17
・28.05
・ご注文ありがとうございました
・入庫分の画像を
・本日写真
・Re: 2017下期仕入料金について
・Fwd: 支払条件確認書
・全景写真添付
・駐禁報告書
・クリエイツ顔写真
・請求書「invoice」
・請求書
・請求書払い
・保安検査
・【賃貸管理部】【解約】・駐車場番
・Fwd: 領収書添付させていただきます。
・【配信】
・【017/05】請求額のご連絡
・予約完了[るるぶトラベル]

【参考情報】

注意情報｜一般財団法人日本サイバー犯罪対策センター

「駐禁報告書」に注意－43万件規模のメール拡散の狙いは37以上の金融・ネットサービス | トレンドマイクロセキュリティブログ

「駐禁報告書」「保安検査」……ウイルスメール拡散警視庁が注意喚起 - ITmedia NEWS

WannaCryの裏で「駐禁報告書」メール21万件超が大量拡散、添付ファイルはウイルス、銀行・カード情報など盗み取る -INTERNET Watch

「るるぶトラベル」の予約完了メールを装ったウイルス付きメールが拡散中 -INTERNET Watch

件名「Fw:」「発送完了通知」装うウイルスメール出回る - ITmedia NEWS

「サイバーセキュリティに関する総務大臣奨励賞」に個人2人と団体1人が初受賞

【概要】
「サイバーセキュリティに関する総務大臣奨励賞」に個人2人と団体1人が初受賞した。受賞者は以下のとおり。
・株式会社日立製作所　Hitachi Incident Response Team　チーフコーディネーションデザイナー　寺田真敏氏
・セキュリティリサーチャー　piyokango氏
・「SECCON実行委員会」

【参考情報】

総務省｜平成29年度「電波の日・情報通信月間」記念中央式典における表彰

piyokango氏に総務大臣奨励賞ブログ「piyolog」で「セキュリティ向上に貢献」 - ITmedia NEWS

「PCI DSS」の日本語版を公開

【概要】
PCI SSC（Payment Card Industry Security Standards Council）によって運用されている、「PCI DSS v3.2」および「PCI DSS SAQ v3.2 Rev.1.0」の日本語版が公開された。

【参考情報】

安全なカード社会の実現をめざして日本カード情報セキュリティ協議会

【セキュリティニュース】PCI SSC、クレカのセキュリティ基準「PCI DSS」日本語版を公開（1ページ目 / 全1ページ）：Security NEXT

5分で絶対に分かる：5分で絶対に分かるPCI DSS (1/6) - ＠IT

フィッシングメールのアレコレ

【概要】
フィッシング対策協議会の緊急情報（5月）に記載のあった正規サイトを騙られたのは以下のとおりです。
・セゾン Net アンサー
・MUFG カード
・LINE

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] MUFG カードをかたるフィッシング (2017/05/15)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] セゾン Net アンサーをかたるフィッシング (2017/05/15)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | LINE をかたるフィッシング (2017/05/29)

セキュリティレポートのアレコレ

WannaCry系のレポートはコチラを参考にしてください

WannaCryについてのネット記事をまとめてみた。 - にゃんたくのひとりごと

「再発防止委員会の調査報告等に関するお知らせ」（GMOペイメントゲートウェイ）

ご報告 | GMOペイメントゲートウェイ株式会社

https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf

【企業・団体】

GMOペイメントゲートウェイ

サイバーセキュリティ戦略本部長の勧告に対する報告書について（厚生労働省）

http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_170428-01.pdf

【企業・団体】

厚生労働省

偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~（JPCERT/CC）

偽JPCERTドメイン名を取り戻すための60日間~ドメイン名紛争処理をしてみた~

【企業・団体】

JPCERT/CC

日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者（LAC）

日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者 | LAC WATCH | 株式会社ラック

【企業・団体】
LAC

Sambaの脆弱性により、リモートから任意のコードが実行可能な脆弱性（CVE-2017-7494）に関する調査レポート（ソフトバンク･テクノロジー）

CVE-2017-7494 - 脆弱性調査レポート | ソフトバンク・テクノロジー

【企業・団体】

ソフトバンク･テクノロジー

情報セキュリティ早期警戒パートナーシップガイドライン（IPA）

情報セキュリティ早期警戒パートナーシップガイドライン：IPA 独立行政法人情報処理推進機構

【企業・団体】
IPA（独立行政法人情報処理推進機構）

以上です！

今月もここまで読んでいただきありがとうございました！

ではでは！

　　　 ∧＿∧
　　　(´ω｀)
梅雨明けてないじゃないすか！

　　ｎ ∧_∧ｎ
　　ヽ( ;ω;)ﾉ
　　　〉　　)
　　 <_<￣>_>
　　
　　やだ―――！

2017-05-26

19更新）

セキュリティ

どもども、にゃんたくです(｢・ω・)｢ｶﾞｵｰ

世間を騒がせているWannaCryランサムウェアの裏で、｢Jaffランサムウェア｣というランサムウェアが流行していることを5月の中旬ごろから確認しています。

だんだんと日本でも報道されるようになってきました。

ちなみに、Jaffランサムウェアに感染するフローはこんな感じです。

①不審なPDFが添付されたスパムメールが届く
↓
②受信者は添付されたPDFを開く
↓
③受信者がPDFを開くと、PDFに埋め込まれたWordファイルを開くよう促される
↓
④受信者がPDFに埋め込まれたWordファイルを開くと｢コンテンツを表示するために編集を有効化する｣ように促される
↓
⑤受信者が編集を有効化すると、Wordファイルに埋め込まれたランサムウェアダウンローダが起動し、ランサムウェアに感染する

今後、Jaffランサムウェアによる攻撃が日本にも来る可能性を考え、現段階でJaffランサムウェアについて判明しているデータをまとめてみました。
監視などを行う際の役に立てていただければ幸いです。

【Jaffランサムウェアの復号化ツール情報（2017/06/19更新）】

Jaffランサムウェアの復号化ツールがどうやらリリースされたようです。

復号化ツール名は『Rakhni Decryptor』です。

以下、ツールをダウンロードできるリンクを記載しておきます。

http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip

http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip

※上記どちらからでもダウンロードできます。

上記のダウンロードリンクのあるページも載せておきます。

https://noransom.kaspersky.com/

https://www.nomoreransom.org/decryption-tools.html

また、セキュリティリサーチャーの辻伸弘さんのブログに復号化の仕方について書いてありますので、復号化する際の参考にしてみてください。

csirt.ninja

【調査概要】
■参考サイト

Malware-Traffic-Analysis.net

Internet Storm Center - SANS Internet Storm Center

Cisco's Talos Intelligence Group Blog

■調査期間

2017年5月中旬～

■抽出するデータ
PDFファイルのハッシュ値
Wordファイルのハッシュ値
Jaffランサムウェアのハッシュ値
Jaffランサムウェアのダウンロード先URL
感染後にTorブラウザで接続する先のドメイン

※注意※
以下記載しているURLやドメインには直接アクセスしないことをおすすめします。
なお、アクセスし被害などを受けた場合でも当ブログでは一切の責任を負いませんのでご了承ください。

【Jaffランサムウェアの復号化ツール情報（2017/06/19更新）】
PDFファイルのハッシュ値まとめ（2017/06/07更新）
Wordファイルのハッシュ値まとめ（2017/06/07更新）
ZIPファイルのハッシュ値まとめ（2017/06/15更新）
WSFファイルのハッシュ値まとめ（2017/06/15更新）
Jaffランサムウェアのハッシュ値と配置されるファイルパスまとめ（2017/06/15更新）
Jaffランサムウェアのダウンロード先URLまとめ（2017/06/15更新）
Jaffランサムウェアに感染し暗号化されたファイルの拡張子まとめ（2017/06/15更新）
感染後にTorブラウザで接続する先のドメインまとめ（2017/05/26更新）
参考情報（2017/06/19更新）

PDFファイルのハッシュ値まとめ（2017/06/07更新）

※スパムメールに添付されているPDFファイルのハッシュ値まとめです。
※いくつかのハッシュ値の後ろについている｢~.pdf｣はPDFファイル名です。

0a265c366932405a3247508a1a1a65241681e9d698acf31c828f0b6c68a04be0 - nm.pdf
1100f0d5e11ef9177c6b45b58999f86a2f1451668721ae6b2e73135cf3e487c8 - nm.pdf
235b8bf934ba5a562a7f47e8f622092ef6492bab644eb9a0b63f1aa9cb685d84 - nm.pdf
3028117d9773d4f978abd6ac6d14f17593e69297efec757104c4098ea5ad1768 - nm.pdf
358a6decd42df41c0234e5f14f5ad572e4da50ee030b8a9569821f4ffb6c8cd3 - nm.pdf
372adf1cdf70c716da09c5b2aa2ab1f3d48a6e3d1a7a969eb847d6562e0e0a3b - nm.pdf
3b7cd88cf3acb5e617b5bfdaab43413e96147393dc6fae264a8ca361381344c9 - nm.pdf
3e4bd555d5eb34cf3b79d21ab7788c9cf3c6be3eccff48655c265e31dceaf599 - nm.pdf
47e81d1de081e4e435bdbdd0df2857055fffdf749ddf7c1bb1f2e0040241724f - nm.pdf
57bfe19f9615f026765825689cdc26725f4f24f23123bdcc35aeddbdc5274fc4 - nm.pdf
6c4c5a1500a014aba0b5a01193abe9dd22c960028fa77ab9f3f8a678ad42dd03 - nm.pdf
8a3070bf1c86dfa86650e717c2d466f62ff253f28797a42bff819ed17571cbb0 - nm.pdf
ac5c2c47c4cf28ee8336a51ed33eec40ef76b7990691f23eade0b240cd61c40b - nm.pdf
ad454b174bc2d2903fc3063da2c918daf9c2bb9ffa1e13f6db42ad82f549cefe - nm.pdf
b0f475e09e82891cbcd6c2a823000161191ea6d899f9d610f508ab26dee59584 - nm.pdf
c3cf407f5c6269d79aef3f2e8bcf296a325fa067aa1af3f44c6e53189f66e111 - nm.pdf
eb41eb3aa7d96ceebefa633cb519fae84ca66dd434cf3303576e9aff86a02f61 - nm.pdf
f712e08b8020c5a0615a0f128ea9a891d2d45deafe7446c11f9227bd77dd28b3 - nm.pdf
5968b7a89e5d1db8447b5343f20362ab713551a94226fb905fff7a067c770c79
279bd153041b64966147eb7d036f570199e2d068c92746eb3e571d49fd7e3805 - Invoice.pdf
5b10d2ae464ec1b3c5d62d70d452d205419c0892fa2d21892767f8f30a6b8e98 - Invoice.pdf
5da7c8bf86dc71531b2cd34e565385dae7b080cde104e5abe29577ed03787a71 - Invoice.pdf
66c406bbe06a7804508e39eb3822b0a4f27b14a9d4c5dff970d559bcd88d6abc - Invoice.pdf
728174eddaf20492bfc3d85df3148aad3ff2677c88c901d727272c0f1aa4a0dd - Invoice.pdf
85640107aec9c21f6fdcf62ef79046aa57c18da35d29795febb7ac634165f93c - Invoice.pdf
bd5cc7c63481cb6f54b8ddd3b459976021839119f2f57a2f60e52159ac0c184d - Invoice.pdf
ebcdc058e4d7d7e2d9bcf59042c50814c335e3aa18b59f76a9eccc9918c78bb7 - Invoice.pdf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 - img_9117.pdf
6faa78da1d6d8028d61ea96e16089893e3ba93e4dc357d552edd58df0bcfe2cd - img_5426.pdf
9580f0eb3807e78ec876fb1b439a3455113d5e66d2d3470bf0eca06748fc9ee1 - IMG_8010.pdf
eb3cee41ccabe1449d99d36c255dc9d6162fe5931f32a9f73464be67df8b80cb - IMG_6943.pdf
0218178eec35acad7909a413d94d84ae3d465a6ea37e932093ec4c7a9b6a7394
0a326eb9a416f039be104bb5f199b7f3442515f88bd5c7ad1492b1721c174b8e
21da9eeded9581f6f032dea0f21b45aa096b0330ddacbb8a7a3942a2026cc8ca
4458f43127bb514b19c45e086d48aba34bf31baf1793e3d0611897c2ff591843
66320f4e85e3d6bd46cf00da43ca421e4d50c2218cb57238abb2fb93bef37311
7dd248652f2b42f3e1ad828e686c8ba458b6bb5b06cea46606ceccdd6b6e823c
8a474cdd4c03dd4a6ba6ad8945bf22f74f2f41830203f846d5437f02292bb037
956e43ece563fd46e6995fae75a0015559f0a63af5059290a40c64b906be5b9b
9beb67a68396375f14099055b712e22673c9a1d307a76125186127e289ab41a2
b2b9c02080ae6fbe1845c779e31b5f6014ec20db74d21bd9dd02c444a0d0dd9b
c126e731c1c43d52b52a44567de45796147aca1b331567ed706bf21b6be936b4
cde2ff070e86bc1d72642cb3a48299080395f1df554e948fd6e8522579dfe861
daf01a1f7e34e0d47ecdfcef5d27b2f7a8b096b4e6bc67fb805d4da59b932411
e477300e8f8954ee95451425035c7994b984d8bc1f77b4ccf2a982bb980806fe
0237ae2520a441751b224d56aa776ba3758d07073b5164c5174ea2e4990f8462 - 4163.pdf
0d33a0f086710c812794dc20c6057d422c74c582b6bb737b3c3ade0fd369c801 - 2317.pdf
454d5ec8cac7915ab1b02852007d28a65a5076fbc28e5b6ffbb6bca290596a9e - 4022.pdf
4f332611fe30a155fcd73aff87135035436196acbb8ccf219efdc8a3c3b7ae14 - 74332.pdf
2ac01c6385135cc695abdf4e9e34d7618a7e0b81285e1f3123df54a9572982fd - 79443215.pdf
753550a1aa18b506693af9e1dd3af81de174cd88e820a7c87e9a8474456d3deb - 77586054.pdf
7cf89ac46a7bfcb8657c8b7bfa9f39c5396ec62ef9e86416f4780138c72e9040 - 41021119.pdf
81ef38b0fb7c395c05f593847074021743b4b2a4b1b45478e25cf64194a67aef - 35418461.pdf
3d42c848fca91239bbf1e922943c6466aa44be43ebf7ca0ebcab59bb2e27eb38
49ac12934894982da7654a10e8d5cc3f5df500f7bde58481cce63f8b1ce5d969
4e781c648bb0aa0b1d41b61932d4935b3b5d0c9473d13a1b6a1cf4d8ff85e14a
5be7c72e40d26e2df89d3aa0d590bb5af51248e4cab27dde444dec4d1e76364c
8db8b32eaca86182497b83614e15c0693ed6a4d42443e0cdb779c5d6035633f4
b6727793ddc9c4ac6baf600834b38b54de23628b3bec631cfb6705c6fecabf2e
c8fb245c25e7091489f26c538658637f9bfb82a5434282690aebe99015b42070
f8a75a98f671644d6ee626a8920b41e4843f018b479ec82a090d01a8986b70d5

Wordファイルのハッシュ値まとめ（2017/06/07更新）

※PDFファイルに埋め込まれている悪意のあるWordファイルのハッシュ値まとめです。

※いくつかのハッシュ値の後ろについている｢~.docm｣はWordファイル名です。

1b33cc35011ddee5766342ba26f9964712f6531c6c057138890e36a58404d5b0 - OASOC.docm
20c7800aa15b5d378ff3b39e9c901dc68a12489a4a1800a6ec9b59f16ba1bafc - VRAQJFN.docm
219485c2dd60f9cb70a1c787802551f77e6cb1b421568372d425ffa49772fca8 - UG6F2EG.docm
29c027a3386083974b6dbf51d1e0c2e3f89b78c44bda350a543af4c5a813f456 - R5ZWWKW.docm
2efcffff5c144f8397da3df815f15145a0600a85a612ede9e0ae6846b7bf5388 - KJBXFNG.docm
4792532defb4431aa399f649a3e443a62f062e4a99458c7ee240c2ae5d6716f4 - DAM869G7.docm
517b9cb82b4d4e7e8af5ec96cc832bcd0ec6d1203bc8046c8e3d546e3b283e65 - NFSX8YGD.docm
59959df33f904f32046e4f79830f574862e8fe9edae75f88f91064bebb5f4d8c - UOX22.docm
59be1462a0d8fe2dcb88f6174e9d671bba7d8969a46dc5f566e006acec4df671 - YVFUI6ANI.docm
641b2ad3d345b97a8c92d152bb3f9b4b8a98af41ce3d1a9454fb804cce8f26dc - W7NXLMV.docm
6d31108908dc891f1c784831acfc69c5da65d982d8928da5ccfd0b15351aa3db - KUM1PQ.docm
6e7ff200d849d8594ddb72d4840daefa78d0d025f28d26c6c96f2eaccfba19ba - GCWJ9Z.docm
713e492aa212eb265de9dfc1d615dd57940aa3bde5293aef15165da027e28d3c - OWZGY.docm
7c550b82d112e065890a8e7efe862832b32cfeeb4f6a9ce85151525147a7cb9d - JXMDE8A.docm
9e441538b51c24f8f1e32411a52b58c1aaf6a591e96b5a17eebd3550da185baf - CAFZIVO.docm
aa576e4bd47c41c783a20b41920601bfe092dd10ec262917e50b363eb132f958 - KFIG8EHN.docm
b6c2f3466a76a56d0e0a373130e6f147fa1e11a0faa9f146d3418b4c477fc7ea - BMBU5E.docm
c20562703066886685e5980ebc9f94499f9a152e628777f15592e4092348b9e8 - XQHPYQ.docm
a5008680100ec970009eb68b5e8bb98af5fb58aef5b8f043e1517390245e0edd
1bc1196f611d2c6e5bd904160354fe1374c39b907411a5a15592bbc80bd4c4c4 - VEZLGKVC.docm
349365e97bba0377c960894ddcdb9939e386b55e764b7d3f8257aa538866167d - LNJ9DNIJ.docm
4da60d4278f4996163f5ffa28196919369d4ca365245ce8c60dc46bd9d816667 - HSOTN2JI.docm
4ff07b88668dfc828f18859b84805aae9c06b485594d029e42c1b0c9255988e6 - U4HKZVPRL.docm
9c9e0e6900b82b14816ccd7dd3f3269c44bb752a63c63afe652feaf090c551c2 - UCER2Q.docm
a7810d1b9d50e78157ee43d2c6f34dddd70f11bc0c76311a0e223fbd9ee20165 - HBTEJ.docm
b8ddb998befb348bbc242ed66757b8024f4fceec1f5b5b145f8aac5874d9e81f - GUMHSZUM.docm
d30b4f0c787794a838b3cf34bdaee77bc95f42fe84bef67c5283033ee4265111 - UTTNNVW6V.docm
2fe146a9b8857e4c8fb8feb41952ec58c7bfc2c4c8fba2ac3c8bce28ce8bd468 - DLYX3.docm
43c96848e38431c5b9d90622808733cfe011e6b1a04b0c8f5e4e50a205ea95f9 - LOASWA.docm
5406916f81e8c20f61d0ff8f3242642d6d04ffb0c0c2d351bfd166aa3b62a44b - VWJEPFUGN.docm
56db9d583df62c240576b372e0ddfaadd8adb2e40d0af974d8b7cd33bc06443a - VNNCTVG.docm
8f04b9cd61543f8211285cd72f3a73d55cc2035da5e9abd44ec82f6a6b820ba6 - XJ3ZKWN.docm
a358fb67469ea758d100fe42423b6b8c1085b47efa701e441fc20af11dc9d307 - BMUC3LI.docm
a5563ae47b4aefdc8ce88dc82bd920446abdd7bcdf9c0c0196ee534aeebd2c5b - HMFQD7F.docm
b657ee84e4358187091ae49dbecade191418624d0ec1958524fc9d2740b0d623 - WBLYJOFBR.docm
cbd9fc0ee67a1edd2511773cb013d2db55f4f42c15b1fe37b417bf096ca7f029 - HC5TMRFS.docm
cc18fd9d51b01cd3dc5f6a07403a933baa8ec648e0b65835bf10a8efdc583217 - LXC9UU.docm
f3a3299f3ff1e51b5d52c99c78df7a6a585c1a2686a8468a3dfacde9a6fe6b4e - SOBFSGAUV.docm
018c0c2a56bcc94364aed07341e529c45f52c1e011b84fe5603a10d3f59e6f85 - T9PIQ.doc
3084e31a061f6adf56486e959450166671072c5503e35703a70f8f40424d7188 - U2MH1.doc
a9eeb194ea0cfa3fb46a651b328e56fdd4428a13c893a4066a75bf407a14ab65 - GWM2CKV.doc
df85f57b904273a5f14ee5f7f3aabdcb1f3c882f30e05caa05dc76c138f878e2 - XXZSTFDB.doc
084ee31e69053e66fafe6e1c2a69ffec015f95801ce6020f7765c56d6f3c23ff - PQQIDNQM.docm
0855061389b62ec6a9b95552357ff7571ae5c034b304978a533c6cba06c3f9e8 - GYTKPVM.docm
1f2598dc7a7b8f84307d8c2fa41f5550c320f8192cd41e50b47570d3836e6fcc - RNJSMOVS.docm
2dbf9e1c412aa1ffd32a91043642eb9cc80772c87dbbce3dd098c57d917277fb - DLDD7LH.docm
3f95a7eeb1965193a4e92862c10897e04708b37b793b8e45f890d019358214c0 - DC2ZPQ.docm
56cd249ff82e9bb96a73262090bc6a299ead64d6c75161520e745c2066f22430 - KAR6WLU.docm
795d8312749c122fa10a93c9f3aa1c0f4ffc081714c0ddb66c141334f8ef0633 - M4SQLA2.docm
8906d10a48487d8240bddd0c0cb5c076e88104c86bdf871b0143d74b6df3cc98 - NQBCXP4.docm
91aa966e837c4144a1294aa912a2162397f3a6df98cf336891d234e267cd919f - RNOHLIAFU.docm
933fcc1bf90716abf7c4eaf29b520d2276df895fb4dd5a76be2a55028a4da94e - PCHLUPL.docm
a98782bd10004bef221e58abcecc0de81747e97910b8bbaabfa0b6b30a93b66b - Q1DOEY13.docm
ae244ca170b6ddc285da0598d9e108713b738034119bae09eaa69b0c5d7635f8 - TH1DZZPT.docm
bc0b2fbe4225e544c6c9935171a7d6162bc611a82d0c6a5f3d62a3f5df71cf8c - OLZNKWSOW.docm
c702deaa2fe03f188a670d46401e7db71628e74b0e5e2718a19e2944282e05cd - VUG3FBFO.docm
549acec1f738a40d4097ba096ff2827bc76481b3f4dd73ef0fab437eb476be29 - U9P2HY9.doc
8abb70a36f99ee613f65535aeaaf28a3d0e79df7129110f4f9ef50833f664354 - NCVH2PL.doc
9383ade91f05af3f350831ac76ba218e42fc033964753e6db71c0fded5b0b832 - WXEVIR.doc
c47090ad7c20f9cafee4e162985f6a2d8b60c4e3b3327d532e70a167b8a1a9e8 - W2X2PEW.doc
5db77f4e40f002917e99670f23976d883e67b17cffbba0b5801328b6c49c81f8 - YLRZLH.doc
830de9a72c138440482d0b7049f8d1a4de4906574043e721cd7d1487f2de2100 - XKDQK1N.doc
990ec28dd5d11e294910e2ed1e7bae6cc57272af402d6bf7bd3db9fd5dc89c3a - FXCHG1Y.doc
b4304a0346bae39f2e158d2ad404f8b45aba2640fd903b26c5d6ca07ea9611ff - YVQEG23K.doc
1b5882d4a1feaa522ebbf056b5e25885511a979204f570bd54853d8f343ae6e9
308c2b5fa10c32adbfc4d878b864a9daefbdca679ad5b2016a311476caea0e9a
48c89d083f6a73cf48b6c345e1ff20671a944e9905d95a50f8aa865e74e175c1
691f30943872f5a1037d774942f4e41141bdd3f12c5b78d3dc7bdf9f0471a349
813d2d846de303fd5231b43a69102c54936d8e4649aa25263d6287faac806fd7
a57c3a2c291048a7b8968f81fb24aeb91f6c50130665389115ea9abc0506180b
e77f5822dfaedae8a44ff1f77c5f074c6fb4e6492d8a7debcddb1629bcd02323

ZIPファイルのハッシュ値まとめ（2017/06/15更新）

6643ae22814b118da4af55b365d62ba5c032b66e9717cde499c4e578d6fe3aa7 - invoicepis0413254.zip
8be825e2a658d5c23bf434cf4b52fd6c7d6b8ff7184274622b4fd1178e72d738 - invoicepis1314074.zip
b8fce962dea3d0f76f020bc89402b69df272ed81569bdd302ace4ff4a054e0ac - invoicepis1695072.zip
7f7423a76c055116f55a424fb5fa03069a63db3d06b764bba057bb9678e95a32 - invoicepis2233669.zip
b808ab2a7be1c153fb3511c5dff97a9cd1c645628933c545edf91001af52bdfe - invoicepis2436728.zip
5bc0649ae27083ba74eddd3d9f98cd1d1733cb1c1a5a1790f0fa979c0604db38 - invoicepis2511038.zip
62ff866da9576e2b178f6385465c45f4773ce37fcae0c101865d71d1c4500ea3 - invoicepis5416591.zip
0daffeae3bba397f66565872c0a97f436f23deac3e5d1ee1eb76d67006e1956e - invoicepis6680000.zip
51d30e6b11a2a1b0e963644d50bb43fc4ba58e4f5864c0999a69ad7001256b28 - invoicepis8938690.zip
ff788450fff963c894cdc4eb909e7b59a2a4896c325d44164ccc9acc93122c00 - invoicepis9587975.zip

WSFファイルのハッシュ値まとめ（2017/06/15更新）

78559cb2823bcc6652ce6d5b9b4049b8b3a1147373d310f820ce6a943d107f9b - AXQ4CXPA.wsf
88fedc4d8bae75ff479f279d32c347b9fc46db34aad8548322e8b343b5f1f36d - B9UHRNO5.wsf
00055a1a81ca4522d0c849843dd82482beb0c0a11e077eab92ce29500e699ab5 - FTOZTGYDZ.wsf
cf8236b8f144ccb425d031d2cf00aaedba438718eccf878ddf52c23c56c8ae2a - HF4YIDIIL.wsf
e6e83f833b75e15437611c0b3ba0ff074861f47641e9807b9fd80cfcedc535e0 - JODUBWOOW.wsf
3bca60bc39b2477fe678c5ae42d3d9b3e6a4c841005e513544f18d82b5808fdd - JPS8FFO1.wsf
67cf8484de51cc971cea3b83abc6a1faf4eee5bed13fd1278a6c94382be8027e - MTSUQM4J.wsf
be22ebcc446ca3c537256f14ae114bf4e2e2a131e8bbc153d6605a0e089493a9 - N82QC77I.wsf
07e014544fa7c3f6553dfb8ad82e0c83c7bbab5f60558fa3f64a70ea0d7cc1f1 - OEOOWNGE.wsf
4d581ef9c463ab6496d340335cec683833794b2efb1edde70a3c63726bcd008c - OOJVFMYO2.wsf

Jaffランサムウェアのハッシュ値と配置されるファイルパスまとめ（2017/06/15更新）

・1be07198c324c9732d4e2676945ec021eeacd78775aea2100f49ca0483d3f901
　　C:Users[username]AppDataLocaTemppitupi20.exe
・41bce3e382cee06aa65fbee15fd38f7187fb090d5da78d868f57c84197689287
　　C:Users[username]AppDataLocalTempdrefudre20.exe
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
　　C:Users[username]AppDataLocalTempgalaperidol8.exe
・3105bf7916ab2e8bdf32f9a4f798c358b4d18da11bcc16f8f063c4b9c200f8b4
　　C:Users[username]AppDataLocalTempuzinat8.exe
・077b498d9cc163e1ff5547e1abd625b8655f0339cb5e79d64c2ded17abb9e425
　　C:Users[username]AppDataLocalTempruhadson8.exe
・557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
　　C:Users[username]AppDataLocalTemplevinsky8.exe
・2cc1d8edc318e0e09aad6afbc48999980f8e39e54734bca4c1a95c7b5db39569
　　C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe
・824901dd0b1660f00c3406cb888118c8a10f66e3258b5020f7ea289434618b13
　　C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe

・03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
・d8bb054fa738d7ba1b88f65e2b7dcf40a234bec8ec318e472380b603ed9ba0dc
・b9434c5fd5eefb8fb182024ecd3da4888222cae8a230fc0a778a7b712746f9f3
・64580b7bb2eedf6e2d2f5e773b34a62f5065c4cb167cd4ed0791050f425c546e
・8dbaab384ecd5386d960d1dddd7fd50ab3a30389dd5b8e516c5d873d77a1bbf9
・aca726cb504599206e66823ff2863eb80c6a5f16ff71ca9fcdd907ad39b2d852
・341267f4794a49e566c9697c77e974a99e41445cf41d8387040049ee1b8b2f3b
・e081c4557f4153d2fc9102fabc55aa6acdf8e1e11062529c728f4506b0d981b9
・5f1fcdfb951dc4642ce136a5d3e6bc42021f8e0cd631975a5eb3842da020531c
・0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f
・f61d07cd7d32a6cb9ead8e82f43ef84cf54a89ef571d9b2a9cb0ecaf5319f5db
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
・a0f72a7e67bfed40031c52a706b45de3787958729a308b5f15e754341022ed8e
・6b5759c6c3d7c7c21859023b4fcc443aa5343759a7a08c3870c5269e5c34a958
・94195aa110563ab1bd2542fb71806df5921c4c730036aa8faeaf537dcc01162c
・2bc87f1bbfdb23fe503ef89bcbf6908ffd7218433e0fbfa51282c0dc51dece01
・d1537972d7ac8f5f7c675c14027336715cb0bf91fe440d792e990d0efbd52710
　　\TEMP\ratchet20.exe（上記17個のHash値と関係するファイルパス）

・3377cbe4f2618e65f778d029e654a4cf07537c6cfb6b87c668ba2882d9bb4b44
　　C:\User\[username]\AppData\Local\Temp\miniramon8.exe

・001268d7fad7806705b3710ccc8cfffb2c2cfb830a273d7a0f87a5fa6422b9f5

Jaffランサムウェアのダウンロード先URLまとめ（2017/06/15更新）

※悪意のあるWordファイルに仕組まれたマクロが実行され、Jaffランサムウェアのダウンローダが実行された際の通信（ダウンロード）先URLです

※『.（ドット）』を［］で囲ってあります

※下記では、(例)【xxxxyyyyzzzz[.]com - GET /123456】と表記していますが、実際のURLは(例)【xxxxyyyyzzzz[.]com/123456】という意味です

5hdnnd74fffrottd[.]com - GET /af/f87346b
babil117[.]com - GET /f87346b
boaevents[.]com - GET /f87346b
byydei74fg43ff4f[.]net - GET /af/f87346b
easysupport[.]us - GET /f87346b
edluke[.]com - GET /f87346b
julian-g[.]ro - GET /f87346b
phinamco[.]com - GET /f87346b
takanashi[.]jp - GET /f87346b
techno-kar[.]ru - GET /f87346b
tending[.]info - GET /f87346b
tiskr[.]com - GET /f87346b
trans-atm[.]com - GET /f87346b
trialinsider[.]com - GET /f87346b
vscard[.]net - GET /f87346b
wipersdirect[.]com - GET /f87346b
urachart[.]com - GET /hHGFjd
fotografikum[.]com - GET /hHGFjd
5hdnnd74fffrottd[.]com - GET /af/hHGFjd
byydei74fg43ff4f[.]net - GET /af/hHGFjd
sjffonrvcik45bd[.]info - GET /af/hHGFjd
herrossoidffr6644qa[.]top - GET /af/Nbiyure3
jsplast[.]ru - GET /Nbiyure3
juvadent[.]de - GET /Nbiyure3
opearl[.]net - GET /Nbiyure3
playmindltd[.]com - GET /Nbiyure3
sjffonrvcik45bd[.]info - GET /af/Nbiyure3
tidytrend[.]com - GET /Nbiyure3
titanmachinery[.]com.au - GET /Nbiyure3
tomcarservice[.]it - GET /Nbiyure3
ventrust[.]ro - GET /Nbiyure3
vipan-photography[.]com - GET /Nbiyure3
wizbam[.]com - GET /Nbiyure3
brotexxshferrogd[.]net - GET /af/jhg6fgh
datadunyasi[.]com - GET /jhg6fgh
dewatch[.]de - GET /jhg6fgh
electua[.]org - GET /jhg6fgh
essensworld[.]cz - GET /jhg6fgh
everstruct[.]com[.]au - GET /jhg6fgh
f1toh1[.]com - GET /jhg6fgh
herrossoidffr6644qa[.]top - GET /af/jhg6fgh
joesrv[.]com - GET /jhg6fgh
knowyourmarketing[.]com - GET /jhg6fgh
pattumalamatha[.]com - GET /jhg6fgh
primary-ls[.]ru - GET /jhg6fgh
tayangfood[.]com - GET /jhg6fgh
tipografia[.]by - GET /jhg6fgh
way2lab[.]com - GET /jhg6fg
better57toiuydof[.]net - GET /af/FsMflooY
david-faber[.]de - GET /FsMflooY
digital-helpdesk[.]com - GET /FsMflooY
dogplay[.]co[.]kr - GET /FsMflooY
ecoeventlogistics[.]com - GET /FsMflooY
elateplaza[.]com - GET /FsMflooY
minnessotaswordfishh[.]com - GET /af/FsMflooY
pcflame[.]com[.]au - GET /FsMflooY
tdtuusula[.]com - GET /FsMflooY
uslugitransportowe-warszawa[.]pl - GET /FsMflooY
billiginurlaub[.]com - GET /fgJds2U
david-faber[.]de - GET /fgJds2U
elateplaza[.]com - GET /fgJds2U
electron-trade[.]ru - GET /fgJds2U
fjjslyw[.]com - GET /fgJds2U
hr991[.]com - GET /fgJds2U
jinyuxuan[.]de - GET /fgJds2U
khaosoklake[.]com - GET /fgJds2U
minnessotaswordfishh[.]com - GET /af/fgJds2U
oliverkuo[.]com[.]au - GET /fgJds2U
pcflame[.]com[.]au - GET /fgJds2U
tdtuusula[.]com - GET /fgJds2U
williams-fitness[.]com - GET /fgJds2U
better57toiuydof[.]net - GET /af/TrfHn4
blackstoneconsultants[.]com - GET /TrfHn4
derossigroup[.]it - GET /TrfHn4
dianagaertner[.]com - GET /TrfHn4
hunter[.]cz - GET /TrfHn4
youtoolgrabeertorse[.]org - GET /af/TrfHn4
dsopro[.]com - GET /7rvmnb
fabriquekorea[.]com - GET /7rvmnb
katoconsulting[.]ro - GET /7rvmnb
newserniggrofg[.]net - GET /af/7rvmnb
praktikum-marketing[.]de - GET /7rvmnb
resevesssetornument[.]com - GET /af/7rvmnb
tasfirin-ustasi[.]net - GET /7rvmnb
theexcelconsultant[.]com - GET /7rvmnb
10minutesto1[.]net - GET /jt7677g6
cafe-bg[.]com - GET /jt7677g6
community-gaming[.]de - GET /jt7677g6
cor-huizer[.]nl - GET /jt7677g6
essentialnulidtro[.]com/af - GET /jt7677g6
lcpinternational[.]fr - GET /jt7677g6
luxurious-ss[.]com - GET /jt7677g6
makh[.]ch - GET /jt7677g6
myinti[.]com - GET /jt7677g6
mymobimarketing[.]com - GET /jt7677g6
oneby1[.]jp - GET /jt7677g6
seoulhome[.]net - GET /jt7677g6
sextoygay[.]be - GET /jt7677g6
squidincdirect[.]com[.]au - GET /jt7677g6
studyonazar[.]com - GET /jt7677g6
supplementsandfitness[.]com - GET /jt7677g6
zechsal[.]pl - GET /jt7677g6
16892[.]net - GET /984hvxd?[short string of characters]
78tguyc876wwirglmltm[.]net - GET /af/984hvxd?[short string of characters]
aarontax[.]com - GET /984hvxd?[short string of characters]
abyzon[.]com - GET /984hvxd?[short string of characters]
careermag[.]in - GET /984hvxd?[short string of characters]
ciiltire[.]com - GET /984hvxd?[short string of characters]
cinema-strasbourg[.]com - GET /984hvxd?[short string of characters]
e67tfgc4uybfbnfmd[.]org - GET /af/984hvxd?[short string of characters]
makkahhaj[.]com - GET /984hvxd?[short string of characters]
mseconsultant[.]com - GET /984hvxd?[short string of characters]
oscarbenson[.]com - GET /984hvxd?[short string of characters]
qiyuner[.]com - GET /984hvxd?[short string of characters]
scjjh[.]cn - GET /984hvxd?[short string of characters]
sock[.]lt - GET /984hvxd?[short string of characters]
speedgrow[.]com - GET /984hvxd?[short string of characters]
yes2malaysia[.]com - GET /984hvxd?[short string of characters]
zabandan[.]com - GET /984hvxd?[short string of characters]
zebtex[.]com - GET /984hvxd?[short string of characters]

Jaffランサムウェアに感染し暗号化されたファイルの拡張子まとめ（2017/06/15更新）

「.jaff」
「.wlu」
「.sVn」

感染後にTorブラウザで接続する先のドメインまとめ（2017/05/26更新）

※Jaffランサムウェアに感染した後にビットコイン等の支払い方などを示したサイトのドメイン
※『.（ドット）』を［］で囲ってあります

rktazuzi7hbln7sy[.]onion

参考情報（2017/06/19更新）

http://malware-traffic-analysis.net/2017/06/13/index.html

http://malware-traffic-analysis.net/2017/06/06/index2.html

http://blog.talosintelligence.com/2017/05/threat-roundup-0519-0526.html

http://malware-traffic-analysis.net/2017/06/01/index2.html

https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446

http://malware-traffic-analysis.net/2017/05/11/index3.html

http://malware-traffic-analysis.net/2017/05/15/index.html

http://malware-traffic-analysis.net/2017/05/16/index.html

http://malware-traffic-analysis.net/2017/05/22/index.html

http://malware-traffic-analysis.net/2017/05/24/index2.html

http://malware-traffic-analysis.net/2017/05/25/index2.html

https://noransom.kaspersky.com/

https://www.nomoreransom.org/decryption-tools.html

2017-05-21

WannaCryについてのネット記事をまとめてみた。（2017年5月31日更新終了）

セキュリティ

どもども、にゃんたくです(｢・ω・)｢ｶﾞｵｰ

現在世間を大きく騒がせているランサムウェアのWannaCry（Wanna Decryptor、
WanaCrypt0r 2.0、WanaCrypt、WCry）ですが、ITやセキュリティにかかわる仕事や勉強をしていなくても｢どんなものか知りたい！｣と感じた人は多いのではないでしょうか。

もちろん僕もそのうちの1人です。

今回は本当に多くの記事やブログ、ツイッター、TV等から情報を収集しました。

また、テレビなどでも大々的に報道されたため、非常に沢山の情報が流れました。

その中で｢自分が欲しい｣と思えるような情報にたどり着けるという事が実は一番大変だったのではないかと感じます。

僕は現在、毎月の月初めに先月のセキュリティニュース等のまとめというブログを書いているのですが、各内容について必ず参考情報というものも載せています。

今回のWannaCryに関しては、相当数の参考情報があったため、通常のブログとは別に『WannaCry特別編』ということで、僕が参考にしたり、収集したWannaCry関連のものをまとめました。

ただし、あくまでも僕視点ですので、抜け漏れがある場合もあります。その点についてはご了承ください。また、あくまでも『日本語の記事』だけに絞りました。

なお、まとめたものは、2017年5月31日23時59分までに収集したものとなっております。

では、まずWannaCryについてサクッと知りたい方にはコチラをオススメします。

今回の攻撃の中身や方法、対策などがまるっと書かれています。コレだけでも読んでおくと良いかなと僕は思っています。

www.yomiuri.co.jp

そしてもう1つ、WannaCryについてのまとめは正直コレに勝るものは無いと思っています。

d.hatena.ne.jp

いわずと知れたpiyologですね。これだけのまとめを作れるpiyokangoさんはやはり人ではない『なにか』なんでしょうね。。。

ここからは各ネット記事をまとめていきます。

今回は大きく分けて二つにわけました。

・報道機関（主にネット系、新聞社系は除外）の記事まとめ（報道系）

・セキュリティ系の団体、会社が出している発表資料まとめ（団体系）

なお、公開された日時が古いものを上から並べていますので一番下にあるものが最新の記事となっております。

また、今回のまとめを『メモ帳などにコピーしておきたい』という方もいらっしゃるかと思いますのでブログの下部にコピー用のまとめも付録としてつけておきます。そちらも合わせて活用していただければと思います。

最後に1つだけ。

今回の攻撃で『サイバー攻撃は怖い』という印象を感じた方も大勢いると思います。

サイバー攻撃には今回以外の攻撃手法も沢山あります。これからもっと恐ろしい攻撃がくるかもしれません。

だからこそ、『今回の攻撃だけ』に注目して欲しくないんです。

今回のことをきっかけにして、サイバー攻撃やセキュリティに少しでも興味をもってくれる人が少しでも増えて、対策をしてみたり、友達や恋人や家族に自分が知ったセキュリティの話をほんのちょっとでもしてくれたらな、と感じています。

では、まとめです。

報道系
団体系
付録（コピー用）
更新履歴

報道系

Securty NEXT

【セキュリティニュース】MS、「Windows XP」などサポート終了OS向けに緊急パッチ - LAN内端末狙う「WannaCrypt」対策で（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】ランサムウェア「WannaCrypt」が拡散、国内で感染も - 週明けのメールチェック時に注意を（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】トレンド、週末24時間に「WannaCrypt」を数百件検出（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】ランサム「WannaCrypt」は「CryptXXX」亜種 - 標的型攻撃ではなく無差別攻撃（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」のトラブル相談、週明け15日に急増（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」も関連する「EternalBlue」による脆弱性狙ったアクセス、4月下旬より増加（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」で被害報告9件、明確な感染経路わからず - RaaS利用は未確認（1ページ目 / 全3ページ）：Security NEXT

【セキュリティニュース】注目事件へ便乗するマルウェアメールに注意を - 「WannaCrypt」騒ぎにも便乗か（1ページ目 / 全3ページ）：Security NEXT

【セキュリティニュース】週明け始業前までに国内で「WannaCrypt」1万3645件を検出 - トレンドまとめ（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」に北朝鮮の攻撃グループ「Lazarus」関与か - 使用ツールに共通コード（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】NSA由来の「EternalBlue」、悪用は「WannaCrypt」より「Adylkuzz」が先 - 狙いは仮想通貨（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」感染端末からの通信、一時減少するも再度増加（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】【特別企画】「WannaCrypt」を徹底検証、シマンテックとSecurity NEXTが緊急対談（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」の復号キーをメモリから取得する「WannaKey」（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「WannaCrypt」感染の9割超が「Windows 7」- 「Windows 10」でも（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用（1ページ目 / 全4ページ）：Security NEXT

【セキュリティニュース】ラック、複数顧客環境で「WannaCrypt」被害を確認 - 百数十台規模（1ページ目 / 全2ページ）：Security NEXT

【セキュリティニュース】Google Playに複数の偽「WannaCry対策アプリ」 - 便乗アプリに注意を（1ページ目 / 全1ページ）：Security NEXT

【セキュリティニュース】「EternalBlue」によるアクセス、5月後半も引き続き発生（1ページ目 / 全2ページ）：Security NEXT

ITmedia

週明け始業時、不審なメールに注意ランサムウェア「WannaCry」世界で猛威、日本でも拡大のおそれ - ITmedia NEWS

「被害の大きさ、過去に類を見ない」日本も標的ランサムウェア「WannaCry」 (1/2) - ITmedia NEWS

世界で猛威ランサムウェア「WannaCry」とは？シマンテックが解説 - ITmedia NEWS

Microsoft、「WannaCry」攻撃で米連邦政府に苦言 - ITmedia NEWS

「WannaCry」大規模攻撃発端のShadow Brokers、新たな流出情報の提供を予告 - ITmedia NEWS

WannaCry着弾、日本で1万6000件以上拡散経路は「メールばらまき」ではない？トレンドマイクロ - ITmedia NEWS

「WannaCry」騒動とは何だったのか？感染理由とその対策 (1/2) - ITmedia NEWS

ランサムウェア「WannaCry」、医療機器メーカーも独自パッチを準備 - ITmedia NEWS

「WannaCry」感染の98％は「Windows 7」で「XP」はほぼゼロ - ITmedia NEWS

ランサムウェア「WannaCry」の攻撃から世界を救った22歳の青年「自分はヒーローではない」 (1/2) - ITmedia NEWS

「WannaCry」の拡散、電子メールが原因ではなかったセキュリティ企業が分析結果公表 - ITmedia NEWS

WannaCryは序章？ NSAツールを悪用したマルウェアが相次ぎ出現 - ITmedia NEWS

WannaCryに感染！その時、絶対にやってはいけないこと (1/2) - ITmedia エンタープライズ

「WannaCry」拡散そのとき情シスはどうすべきだったのか (1/3) - ITmedia エンタープライズ

ITpro

ニュース - 15日の始業時に不審なメールを開かないで、IPAが世界的なランサムウエア攻撃に警告：ITpro

ニュース - 世界規模のサイバー攻撃、「被害拡大に警戒を」当局が呼びかけ：ITpro

シリコンバレーNextレポート - 米NSAが隠蔽したXPの脆弱性、WannaCryが狙う：ITpro

ニュース解説 - ランサムウエア「WannaCry」が感染拡大した理由：ITpro

ニュース - 「XPにも例外的にパッチ提供」、マイクロソフトがWannaCryで対処策：ITpro

ニュース解説 - 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染：ITpro

ニュース - 「日本はルーターに守られた」、WannaCry流行でトレンドマイクロが分析：ITpro

ITproアーカイブス - ランサムウエア「WannaCry」関連記事：ITpro

ニュース - WannaCryにWindows 7機が感染、川崎市上下水道局：ITpro

ニュース - アジア・太平洋地域へのランサムウエア攻撃、大半が中国の13グループと発表：ITpro

記者の眼 - WannaCry、ランサムウエアというよりむしろワームと考えるべきだった：ITpro

ITpro Report - 「WannaCry」が悪用したというNSA製のバックドアツールを試した：ITpro

趙章恩「Korea on the Web」 - 韓国でもWannaCry被害、映画館やバス停の案内が中止に：ITpro

今日も誰かが狙われる - WannaCryの活動を緊急停止、「キルスイッチ」とは何だったのか：ITpro

@IT

山市良のうぃんどうず日記（94：緊急特別編）：ランサムウェア「Wanna Cryptor」に対し、異例のセキュリティパッチをWindows XPに提供する意味 - ＠IT

XP対応パッチも“緊急”配布：世界中のITシステムが混乱「Wanna Cryptor」の脅威から身を守るために今すぐできること - ＠IT

セキュリティパッチ適用詳説：今すぐできるWannaCry対策 (1/2) - ＠IT

山市良のうぃんどうず日記（95：特別編）：ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindowsの脆弱性対策 (1/2) - ＠IT

もう泣かなくていいよ：「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 - ＠IT

マイナビニュース

世界で感染拡大中のランサムウェア「WannaCrypt」の脆弱性対策を - IPA | マイナビニュース

JPCERT/CC、WannaCryptの国内における被害確認 - 休日明けに対策を | マイナビニュース

マイクロソフト、WannaCryptの対策公開 - Windows XP/8の修正パッチも | マイナビニュース

ランサムウェア「WannaCrypt」について知っておくべきこと - シマンテック | マイナビニュース

ランサムウェア「WannaCrypt」の特徴とは? - トレンドマイクロ | マイナビニュース

Microsoft、Windows XP向けにランサムウェア「WannaCrypt」のパッチを提供 | マイナビニュース

ランサムウェア「WannaCry」、キルスイッチを回避した亜種登場で"いたちごっこ" | マイナビニュース

チェック・ポイント、亜種にも有効なWannaCryのキルスイッチ・ドメイン公開 | マイナビニュース

トレンドマイクロ、ランサムウェア「WannaCry」の国内への攻撃1万6千件確認 | マイナビニュース

ランサムウェア「WannaCry」の感染活動の仕組みとは? - トレンドマイクロ | マイナビニュース

JPCERT/CC、ランサムウエア "WannaCrypt"に関する注意喚起を更新 - 不要なポートやサービスの停止を | マイナビニュース

止まらないWannaCry被害、感染しないためにすべきこととは? | マイナビニュース

「WannaCry」は攻撃の前日から拡散していた - カスペルスキー川合社長 | マイナビニュース

組織がとるべきランサムウェア「WannaCry」対策ガイド - ラック | マイナビニュース

WannaCryに感染したWindows XP、支払いせずとも復号に成功 | マイナビニュース

偽のWannaCry対策アプリがGoogle Playストアに登場 - マカフィー | マイナビニュース

ランサムウェア「WannaCry」、背後に中国のサイバー攻撃者の可能性 | マイナビニュース

ZDNet Japan

MS、ランサムウェア攻撃で米当局を批判--「トマホークミサイルが盗まれたのと同じ」 - ZDNet Japan

ランサムウェア「WannaCry」騒動、根本対策は2016年9月から存在 - ZDNet Japan

ランサムウェア「WannaCry」の被害、国内の状況は錯綜 - ZDNet Japan

段階的に機能が追加--写真で見るランサムウェア「WannaCry」の脅迫画面 - ZDNet Japan

ランサムウェア「WannaCry」、キルスイッチをなくした亜種「Uiwix」が登場 - ZDNet Japan

ランサムウェア「WannaCry」被害、複数の英病院で収束せず--第2の波に注意喚起も - ZDNet Japan

ランサムウェア「WannaCry」で疑われるNSA製バックドアとの関係 - ZDNet Japan

ランサムウェア「WannaCry」感染状況のリアルタイムマップが公開中 - ZDNet Japan

「WannaCry」攻撃の標的となった古いWindows、利用実態は？ - ZDNet Japan

ランサムウェア「WannaCry」、持ち出し端末でも感染を確認 - ZDNet Japan

ランサムウェア「WannaCry」の感染でバックドアも--新たな脅威の温床に - ZDNet Japan

NSA流出の攻撃手法を使う仮想通貨マルウェア--日本の感染先で採掘か - ZDNet Japan

ランサムウェア「Wannacry」感染の恐れがあるWindow端末、国内に数万台が存在 - ZDNet Japan

WannaCryのフォレンジクス分析とキルスイッチ・ドメインを公開--チェック・ポイント - ZDNet Japan

誰が何のために？--マルウェア「Wannacry」で残る3つの謎 - ZDNet Japan

「WannaCry」感染コンピュータの大多数は「Windows 7」--Kaspersky Lab - ZDNet Japan

「Wannacry」の初期侵入はバックドア経由--Malwarebytesが指摘 - ZDNet Japan

次の「WannaCry」を防ぐ5つの方法（劇薬2案を含む） - ZDNet Japan

ランサムウェア「WannaCry」、支払われた身代金額は小規模？ - ZDNet Japan

「WannaCry」への恐怖心につけ込む技術サポート詐欺が登場 - ZDNet Japan

「WannaCry」は未熟との見方も次なるランサムウェアの脅威に要警戒 - ZDNet Japan

「WannaCry」脅迫文は中国語ネイティブが執筆か--言語分析で新たな手がかり - ZDNet Japan

INTERNET Watch(窓の杜含む)

「WannaCry」ランサムウェアについて知っておくべきこと、シマンテックが解説 -INTERNET Watch

被害拡大のランサムウェア「WannaCryptor」は「SMB v1」の脆弱性を悪用、サポート終了のWindows XP向けにも緊急パッチ提供 -INTERNET Watch

ランサムウェア「WannaCry」の侵入経路は？トレンドマイクロが解説 -INTERNET Watch

ランサムウェア「WannaCry」は複数経路で侵入、グローバルIPアドレスの445番ポート直接スキャンも？ -INTERNET Watch

ランサムウェア「WannaCry」の現状をKasperskyが解説 -INTERNET Watch

「サイバーセキュリティ最悪の日になり得た」WannaCryが悪用する脆弱性情報の流出 -INTERNET Watch

ランサムウェア詐欺電話に注意、警視庁が呼び掛け -INTERNET Watch

「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェアファイル復号ツール」 - 窓の杜

偽「WannaCry」対策アプリがGoogle Playストアに、マカフィーが注意喚起 -INTERNET Watch

TechCrunch

イギリスの健康保険システムを麻痺させたランサムウェアはNSAのハッキングツールが起源だった | TechCrunch Japan

ランサム・ウェアWannaCryはまだ急速に拡大中、でも今では‘キルスイッチ’対策が有効だ | TechCrunch Japan

全世界的なランサム・ウェアの攻撃を偶然の発見で停止できたようだ | TechCrunch Japan

THE ZERO ONE（スプラウト）

Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か？ | THE ZERO/ONE

ランサムウェアWannaCryの犯人は「北朝鮮」なのか | THE ZERO/ONE

EnterpriseZine（エンタープライズジン）

OSのアップデートを忘れずに！ランサムウェア「WannaCry」が世界各地に拡大：EnterpriseZine（エンタープライズジン）

ランサムウェア「WannaCry」騒動が残した教訓：EnterpriseZine（エンタープライズジン）

GIGAZINE(ギガジン)

ファイル暗号化・身代金要求の「WannaCry」が世界的大流行でWindows XPにまで緊急パッチが配布される異常事態に突入、現状＆対応策まとめ - GIGAZINE

20万人以上が感染したランサムウェア「WannaCry」は身代金として約300万円をゲットしていることが明らかに - GIGAZINE

ランサムウェア「WannaCry」に感染したWindows XPの暗号解読に研究者が成功、解除ツール「Wannakey」を公開 - GIGAZINE

Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」 - GIGAZINE

Business Insider Japan

世界大混乱のランサムウェア「WannaCry」攻撃、原因は米国家安全保障局のハッキングツールか？ | BUSINESS INSIDER JAPAN

英国でも猛威 Windows XPでランサムウェア広まる —— 全世界で被害150カ国20万人以上 | BUSINESS INSIDER JAPAN

[緊急企画]サイバー攻撃「WannaCry」実際に感染してみた —— 対策もチェック | BUSINESS INSIDER JAPAN

いますぐできるランサムウェア「WannaCry」の対策 | BUSINESS INSIDER JAPAN

ランサムウェアの拡大から世界を救った22歳 | BUSINESS INSIDER JAPAN

団体系

JPCERT/CC

ランサムウエア "WannaCrypt" に関する注意喚起

IPA(情報処理推進機構)

▼新着情報

安心相談窓口だより：IPA 独立行政法人情報処理推進機構

情報セキュリティ安心相談窓口：IPA 独立行政法人情報処理推進機構

▼重要なセキュリティ情報

更新：世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について：IPA 独立行政法人情報処理推進機構

Microsoft(マイクロソフト)

マイクロソフトセキュリティ情報 MS17-010 - 緊急

[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS) – Japan WSUS Support Team Blog

MS17-010 がインストールされていることを確認する方法↓

https://support.microsoft.com/ja-jp/help/4023262/how-to-verify-that-ms17-010-is-installed

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – 日本のセキュリティチーム

LAC(ラック)

ランサムウェア「WannaCry」の感染被害と考えられる通信を検知しました | LAC WATCH | 株式会社ラック

ランサムウェア「WannaCry」対策ガイド rev.1 | LAC WATCH | 株式会社ラック

TREND MICRO(トレンドマイクロ)

大規模な暗号化型ランサムウェア「WannaCry／Wcry」の攻撃、世界各国で影響 | トレンドマイクロセキュリティブログ

週明け国内でも要注意－暗号化型ランサムウェア「WannaCry／Wcry」 | トレンドマイクロセキュリティブログ

ランサムウェア「WannaCry／Wcry」による国内への攻撃を 16,436件確認 | トレンドマイクロセキュリティブログ

ランサムウェア「WannaCry／Wcry」のワーム活動を解析：侵入／拡散手法に迫る | トレンドマイクロセキュリティブログ

「WannaCry／Wcry」に追従したランサムウェア「UIWIX」 | トレンドマイクロセキュリティブログ

☆複合ツール☆

ランサムウェアファイル復号ツール | サポート Q&A：トレンドマイクロ

McAfee(マカフィー)

WannaCryランサムウェアが世界中で拡大、74ヵ国を攻撃 : マカフィー株式会社公式ブログ

拡大するWannaCryランサムウェアの分析 : マカフィー株式会社公式ブログ

WannaCry: 旧来のワームと新しいワーム : マカフィー株式会社公式ブログ

ランサムウェアWannaCryに関するさらなる分析 : マカフィー株式会社公式ブログ

ランサムウェア WannaCryとこれから : マカフィー株式会社公式ブログ

Adylkuzz CoinMinerマルウェアがWannaCryのように拡散中 : マカフィー株式会社公式ブログ

WannaCry : 理論が現実になったとき : マカフィー株式会社公式ブログ

偽物のWannaCry対策アプリがGoogle Playストアに出現 : マカフィー株式会社公式ブログ

Kaspersky(カスペルスキー)

WannaCryから身を守る方法 – カスペルスキー公式ブログ

WannaCry：企業が取るべき対策 – カスペルスキー公式ブログ

WannaCryとLazarusグループ – 両者をつなぐものは？ – カスペルスキー公式ブログ

WannaCry：情報まとめ – カスペルスキー公式ブログ

WindowsをアップデートしてWannaCryからコンピューターを守る方法 – カスペルスキー公式ブログ

WannaCryと組み込みシステム – カスペルスキー公式ブログ

Symantec(シマンテック)

WannaCry ランサムウェアについて知っておくべきこと | Symantec Connect

暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別 | Symantec Connect

WannaCry ランサムウェア: Lazarus グループとの関係が濃厚に | Symantec Connect

ソフトバンク・テクノロジー株式会社

Microsoft Windows 製品のSMBv1 サーバーの脆弱性により、リモートから任意のコードが実行可能な脆弱性（MS17-010）に関する調査レポート | ソフトバンク・テクノロジー

三井物産セキュアディレクション株式会社

「WannaCry 2.0」の内部構造を紐解く | MBSD Blog

マクニカネットワークス株式会社

セキュリティ研究センターブログ: マルウェア解析奮闘記 WannaCryの解析

ソフォス株式会社

Wanna Decrypter 2.0 ランサムウェアによる大規模な攻撃について↓

http://sophos-insight.jp/blog/20170515

SOPHOS INSIGHT｜WannaCry の感染拡大についてこれまでに分かっていること

SOPHOS INSIGHT｜WannaCry ランサムウェア – 生かされなかった Slammer、Conflicker の教訓

SOPHOS INSIGHT｜WannaCry と同じ NSA のエクスプロイトを使用した暗号通貨マイニングマルウェア

SOPHOS INSIGHT｜WannaCry: フィッシングメールを介さず感染を拡大させたランサムウェアワーム

キヤノンITソリューションズ株式会社

世界的な規模で感染拡大したランサムウェア「WannaCryptor」について | マルウェア情報局

株式会社インターリンク

インターリンク、ランサムウェアの攻撃から「世界を救ってみた」｜株式会社インターリンクのプレスリリース

付録（コピー用）

☆報道系☆

■Securty NEXT

■ITmedia

■ITpro

■＠IT

http://www.atmarkit.co.jp/ait/articles/1705/16/news026.html
http://www.atmarkit.co.jp/ait/articles/1705/16/news039.html
http://www.atmarkit.co.jp/ait/articles/1705/17/news043.html
http://www.atmarkit.co.jp/ait/articles/1705/24/news022.html
http://www.atmarkit.co.jp/ait/articles/1705/30/news029.html

■マイナビニュース

■ZDNet Japan

■INTERNET Watch(窓の杜含む)

■TechCrunch
http://jp.techcrunch.com/2017/05/13/20170512ransomware-based-on-leaked-nsa-tools-spreads-to-dozens-of-countries/
http://jp.techcrunch.com/2017/05/16/20170515wannacry-ransomware-is-still-spreading-fast-but-kill-switch-defenses-hold-for-now/
http://jp.techcrunch.com/2017/05/16/20170513that-global-ransomware-attack-was-halted-apparently-by-accident/

■THE ZERO ONE（スプラウト）

https://the01.jp/p0005012/
https://the01.jp/p0005043/

■EnterpriseZine（エンタープライズジン）

http://enterprisezine.jp/article/detail/9276
http://enterprisezine.jp/article/detail/9314

■GIGAZINE(ギガジン)

http://gigazine.net/news/20170515-wannacry/
http://gigazine.net/news/20170515-wannacry-ransom-money/
http://gigazine.net/news/20170519-wannacry-windows-xp-wannakey/
http://gigazine.net/news/20170531-windows-xp-wannacry-immune/

■Business Insider Japan
https://www.businessinsider.jp/post-33589
https://www.businessinsider.jp/post-33600
https://www.businessinsider.jp/post-33641
https://www.businessinsider.jp/post-33635
https://www.businessinsider.jp/post-33623

☆団体系☆
■JPCERT/CC
http://www.jpcert.or.jp/at/2017/at170020.html

■Microsoft(マイクロソフト)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/
https://support.microsoft.com/ja-jp/help/4023262/how-to-verify-that-ms17-010-is-installed
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/

■LAC(ラック)
https://www.lac.co.jp/lacwatch/alert/20170515_001288.html
https://www.lac.co.jp/lacwatch/report/20170519_001289.html

■TREND MICRO(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/14873
http://blog.trendmicro.co.jp/archives/14884
http://blog.trendmicro.co.jp/archives/14906
http://blog.trendmicro.co.jp/archives/14920
http://blog.trendmicro.co.jp/archives/14934

複合ツール↓

https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx

■McAfee(マカフィー)

http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry74-c59a.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-f851.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-c0b0.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-651e.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-59a1.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/adylkuzz-coinmi-1b35.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wanna.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacrygoogle--ab08.html

■Kaspersky(カスペルスキー)

https://blog.kaspersky.co.jp/wannacry-ransomware/15524/
https://blog.kaspersky.co.jp/wannacry-for-b2b/15605/
https://blog.kaspersky.co.jp/wannacry-and-lazarus-group-the-missing-link/15559/
https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594/
https://blog.kaspersky.co.jp/wannacry-windows-update/15761/
https://blog.kaspersky.co.jp/wannacry-and-embedded/15798/

■Symantec(シマンテック)

https://www.symantec.com/connect/ja/blogs/wannacry-1
https://www.symantec.com/connect/ja/blogs/adylkuzz-wannacry-0
https://www.symantec.com/connect/ja/blogs/wannacry-lazarus

■ソフトバンク・テクノロジー株式会社
https://www.softbanktech.jp/information/2017/20170508-01/

■三井物産セキュアディレクション株式会社
http://www.mbsd.jp/blog/20170518.html

■マクニカネットワークス株式会社
http://blog.macnica.net/blog/2017/05/wanacry-8ff1.html

■ソフォス株式会社

http://sophos-insight.jp/blog/20170515
http://sophos-insight.jp/blog/20170518
http://sophos-insight.jp/blog/20170529
http://sophos-insight.jp/blog/20170530
http://sophos-insight.jp/blog/20170531

■キヤノンITソリューションズ株式会社
https://eset-info.canon-its.jp/malware_info/news/detail/170517.html

■株式会社インターリンク
 https://prtimes.jp/main/html/rd/p/000000333.000006942.html

以上です。

ではでは(」・ω・)」わぁー!(/・ω・)/なぁー!

更新履歴

▼2017年5月21日

　ブログ公開

▼2017年5月22日

　■＠ITの記事を3点追記（項目として＠ITを追加）
　■ITproの記事を2点追記
　■ITmediaの記事を1点追記
　■ZDNet Japanの記事を2点追記
　■Security Nextの記事を2点追記
　■THE ZERO ONE（スプラウト）の記事を1点追加

▼2017年5月23日

　■Security Nextの記事を1点追記
　■ITmediaの記事を2点追記
　■ZDNet Japanの記事を2点追記
　■INTERNET Watchの記事を2点追記
　■Kaspersky(カスペルスキー)の記事を1点追記
　■Symantec(シマンテック)の記事を1点追記
　■TREND MICRO(トレンドマイクロ)の複合ツールを1点追記

▼2017年5月24日

　■Security Nextの記事を2点追記
　■EnterpriseZine（エンタープライズジン）の記事を1点追記

▼2017年5月25日

　■ITproの記事を1点追記
　■ZDNet Japanの記事を1点追記
　■＠ITの記事を1点追記

▼2017年5月26日

　■ZDNet Japanの記事を2点追記
　■ITmediaの記事を1点追記
　■Security Nextの記事を1点追記
　■INTERNET Watchの記事を1点追記
　■McAfee(マカフィー)の記事を1点追記

▼2017年5月30日
　■Security Nextの記事を1点追記
　■マイナビニュースの記事を1点追記
　■＠ITの記事を1点追記
　■ソフォス株式会社の記事を2点追記

▼2017年5月31日
　■マイナビニュースの記事を1点追記
　■GIGAZINE(ギガジン)の記事を1点追記
　■ソフォス株式会社の記事を2点追記

2017-05-01

2017年4月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもども、にゃんたくです(｢・ω・)｢ｶﾞｵｰ

そういえば先日仕事の関係でコチラに行ってきたんですが、なんだかちょっと頭良くなった気分になりましたね。（もうこのコメント自体、頭悪いのが露呈している件）

f:id:mkt_eva:20170501022902j:plain

さて、世間はゴールデンウィーク中ですが今月も先月のセキュリティのアレコレをまとめてみました。

あ、ひとつだけ宣伝。

先月よりこんなまとめメモを公開することにしました。

監視や運用の参考にしていただけたら幸いです。

mkt-eva.hateblo.jp

ではでは、2017年4月のまとめ、いってみましょー！ヽ(ﾟ∀ﾟ)ﾉﾊﾟｯ☆

脆弱性のアレコレ
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Apache Tomcat に複数の脆弱性

【概要】
Apache Tomcat に複数の脆弱性（情報漏えい、サービス運用妨害 (DoS) ）が存在し、外部から攻撃者によって情報などが窃取される可能性がある。

【対象】

Apache Tomcat 9.0.0.M1 から 9.0.0.M18 まで
Apache Tomcat 8.5.0 から 8.5.12 まで
Apache Tomcat 8.0.0.RC1 から 8.0.42 まで
Apache Tomcat 7.0.0 から 7.0.76 まで
Apache Tomcat 6.0.0 から 6.0.52 まで

【対策】

・アップデートする
・本脆弱性を修正した次のバージョンをリリースしています
Apache Tomcat 9.0.0.M19
Apache Tomcat 8.5.13
Apache Tomcat 8.0.43
Apache Tomcat 7.0.77
Apache Tomcat 6.0.53

【参考情報】

JVNVU#90211511: Apache Tomcat の複数の脆弱性に対するアップデート

Apache Tomcatに情報窃取の脆弱性 | マイナビニュース

「Apache Tomcat」に複数の脆弱性、最新版への更新を - 窓の杜

ISC BIND 9 に複数の脆弱性

【概要】
ISC BIND 9 に複数の脆弱性が存在し、外部から攻撃者によってサービス運用妨害 (DoS) が行われる可能性がある。

【対象】
■CVE-2017-3136

（※DNS64 を有効にし "break-dnssec yes;" を設定しているサーバにおいてクエリの処理における assertion failure）

　BIND 9.8.0 から 9.8.8-P1 まで
　BIND 9.9.0 から 9.9.9-P6 まで
　BIND 9.9.10b1 から 9.9.10rc1 まで
　BIND 9.10.0 から 9.10.4-P6 まで
　BIND 9.10.5b1 から 9.10.5rc1 まで
　BIND 9.11.0 から 9.11.0-P3 まで
　BIND 9.11.1b1 から 9.11.1rc1 まで
　BIND 9.9.3-S1 から 9.9.9-S8 まで

■CVE-2017-3137

（※CNAME または DNAME を含むレスポンスの answer セクションの処理における assertion failure）
　BIND 9.9.9-P6
　BIND 9.9.10b1 から 9.9.10rc1 まで
　BIND 9.10.4-P6
　BIND 9.10.5b1 から 9.10.5rc1まで
　BIND 9.11.0-P3
　BIND 9.11.1b1 から 9.11.1rc1まで
　BIND 9.9.9-S8

■CVE-2017-3138

（※control channel の入力処理における REQUIRE assertion failure）

　BIND 9.9.9 から 9.9.9-P7 まで
　BIND 9.9.10b1 から 9.9.10rc2 まで
　BIND 9.10.4 から 9.10.4-P7 まで
　BIND 9.10.5b1 から 9.10.5rc2 まで
　BIND 9.11.0 から 9.11.0-P4 まで
　BIND 9.11.1b1 から 9.11.1rc2 まで
　BIND 9.9.9-S1 から 9.9.9-S9 まで

【対策】
・アップデートする
・本脆弱性を修正した次のバージョンをリリースしています
BIND 9.9.9-P8
BIND 9.10.4-P8
BIND 9.11.0-P5
BIND 9.9.9-S10

また、今後リリースが予定されている次の RC 版においても本脆弱性を修正しているとのことです。
BIND 9.9.10rc3
BIND 9.10.5rc3
BIND 9.11.1rc3

【参考情報】

JVNVU#97322649: ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

BIND 9における複数の脆弱性について(2017年4月) - JPNIC

bind 9 に複数の脆弱性 ( CVE-2017-3136 , CVE-2017-3137 , CVE-2017-3138 ) — | サイオスOSS | サイオステクノロジー

Ghostscript に脆弱性

【概要】
Ghostscriptに含まれる.rsdparamsには、type confusionの脆弱性が存在し、任意のコードを実行される可能性がある。
※Ghostscriptとは、PostScriptやPDFなどアドビシステムズのページ記述言語用のインタプリタおよび、それを基にしたソフトウェアパッケージのこと

【対象】
Ghostscript 9.21 およびそれ以前

【対策】
パッチを適用する

【参考情報】

JVNVU#98641178: Ghostscript に任意のコードが実行可能な脆弱性

Ghostscriptに緊急レベルの脆弱性、悪用攻撃も発生 - ZDNet Japan

【セキュリティニュース】「Ghostscript」にコード実行の脆弱性 - 悪用コードが流通（1ページ目 / 全1ページ）：Security NEXT

Ghostscriptに任意コード実行の脆弱性 - JPCERT/CC | マイナビニュース

注意喚起やニュースのアレコレ

Oracle 定例セキュリティパッチを公開

【概要】

Oracleがクリティカルパッチアップデートを公開し、様々な製品に存在する深刻な脆弱性を修正した

【参考情報】

2017年 4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Oracle Java の脆弱性対策について(CVE-2017-3512等)：IPA 独立行政法人情報処理推進機構

Oracle Critical Patch Update - April 2017

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - April 2017) — | サイオスOSS | サイオステクノロジー

米Oracle、Javaなどの定例パッチを公開 FusionやMySQLに極めて深刻な脆弱性 - ITmedia NEWS

偽口座への送金を促す“ビジネスメール詐欺”の注意喚起

【概要】

“ビジネスメール詐欺”と呼ばれる、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺が増えている事への注意喚起
ビジネスメール詐欺：通称BEC（Business E-mail Compromise）とも呼ばれる

【参考情報】

【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口：IPA 独立行政法人情報処理推進機構

セキュアIoTプラットフォーム協議会が発足

【概要】

活動方針としては『IoTセキュリティガイドラインの標準化/デファクト化に向けて、①オープンイノベーション環境でのIoTプラットフォームの研究・開発および、②高品質かつ定期的な情報発信を展開。』していくとのこと

【参考情報】

一般社団法人セキュアIoTプラットフォーム協議会

25の企業・団体による「セキュア IoT プラットフォーム協議会」が発足 | マイナビニュース

「No More Ransom」に30組織があらたに参加

【概要】

国際的なプロジェクト「No More Ransom（ノーモアランサム）」に新たに30組織が加わり、計76組織になった。なお、2017年4月5日よりJPCERT/CCがサポートパートナーとして協力していくことを発表

【参考情報】

The No More Ransom Project

JPCERT/CCがランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」にサポートパートナーとして協力

公正取引委員会の「審決等データベース」がスパムメールの踏み台にされる

【概要】

公正取引委員会の「審決等データベース」のサーバが、スパムメールを送信するための踏み台として悪用されていたことが判明しサーバを停止させ調査中である

【参考情報】

(平成29年4月7日)「審決等データベース」サーバの不正利用による公開停止について：公正取引委員会

【セキュリティニュース】公取委の審決DBサーバに不正アクセス - スパムの踏み台に（1ページ目 / 全1ページ）：Security NEXT

「Microsoft Office」にゼロデイな脆弱性が存在

【概要】
「Microsoft Office」の「OLE2Linkオブジェクト」の処理に脆弱性が存在し、外部から任意のコードを実行されるおそれがある。
「Office」に用意されている「保護ビュー」を利用することで攻撃を防ぐことが可能である。
また、2017年4月11日、Microsoft から、本脆弱性に対するセキュリティアップデートが公開されています。
→https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

【参考情報】

JVNVU#98665451: Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理

「Microsoft Office」に未修正の脆弱性、任意コードを実行される恐れ - 窓の杜

CVE-2017-0199 - 脆弱性調査レポート | ソフトバンク・テクノロジー