2018-06-22

Windowsイベントログについてのにゃんたくメモ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

皆さんいかがお過ごしでしょうか。

最近雨ばっかりでちょっといつもよりおセンチさを感じているにゃんたくです。

なんかブログでも書こうかなぁなんて思ってたんですけど、文章力や語彙力のNASAを常に感じて生きているので、どうしても書けなくて、でも書きたくて…

まるで好きな人にラブレターでも書く前の人間みたいになってしまったんですけど、やっぱり久々書きたくなったので、今回はあくまでもブログというより、

ぼくがあとで『Windowsイベントログの件そういや前に書いたよな、ちょっと見返してみるか』くらいの感覚のメモを書いていきます。単純に言うと、アルファ世界線のにゃんたくが牧瀬紅莉栖を救うためにシュタインズ・ゲート世界線に行ってしまってもこのメモを読めば『こ、これがリーディングシュタイナーか！』となるようにするためのメモです。は？

※このネタを知りたければシュタインズ・ゲートというアニメを見てください。東京オタク大学、間違えた東京電機大学というリアルに存在するにゃんたくの母校の学生が主人公として出てくるアニメです。くっそ面白いです。

さて、メモを書く前に一言。

コレを見てくれている人のことなんか全く考えていないメモなのであしからず。

あ、メモは読みたくないけど、参考情報だけ欲しい人は下記目次の参考資料一覧だけでも見ておくと良いかもしれませんよよよ。

今回メモを書こうと思ったきっかけ
Windowsイベントログってなんぞや
ラテラルムーブメントってバズってるよな
Hal Pomeranzさんが言ってたアレコレ
参考資料一覧

今回メモを書こうと思ったきっかけ

Hal PomeranzさんのWindowsイベントログについての講演を聴きに行ったから。

twitter.com

あ、あとこのスライドを見たから。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

ほんとそれだけ(●´ω｀●)

Windowsイベントログってなんぞや

Windowsイベントログとは、『Windowsシステム内で起こった特定の現象や動作の記録（Windowsの中で起きたあれやこれやのうち、大事そうなことを記録したもの）』

参照：http://wa3.i-3-i.info/word11494.html

ちなみにイベントログは通常ココ↓にあるよ、エクスプローラーで見てみようね

C:\Windows\System32\Winevt\Logs\

ラテラルムーブメントってバズってるよな

ラテラルムーブメントとは、マルウェアがOSの正規機能を使って、侵入した組織のネットワーク内の偵察や情報収集、感染拡大する行動のこと。

▼参考情報

https://www.cybereason.co.jp/blog/cyberattack/2239/

http://www.atmarkit.co.jp/ait/articles/1803/20/news043.html

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130730/495464/

https://www.ca.com/content/dam/ca/jp/files/white-paper/sec-white-paper-breaking-the-kill-chain-CS200-162063-jpn.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

Hal Pomeranzさんが言ってたアレコレ

Hal Pomeranzさんが言ってた話を列挙していくよ。

コレ↓を見ながらこっから先読むとわかりやすいよ。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

アレコレ①（スライド4～15）

⇒ラテラルムーブメントのログを見てみよう

⇒もうめんどくさいときはスライド15だけでも見よう、スライド15が重要まとめスライドになってる

■スライド4

攻撃者はこんな感じでラテラルムーブメントしようとするよ。

スケジュールタスクを起動してなにか実行してるログは注意してみたほうがいいぞ。

1．ターゲットとなるシステムに対しマルウェアをアップロードする

2．マルウェアを活性化させるための実行を設定する（結構すぐに）

■スライド5～14

実際のログをこっから見ていくぞぞぞ。

Windowsイベントログでは『Event ID』と呼ばれる識別子がつけられるぞ。

Event ID：4624（意味：アカウントがログオンした）

⇒TargetUserName、TargetDomainName、IPアドレスが書いてある

⇒特に気にして見てみるのは、『Logon Type』の数字

　この数字で、どうやって『ログオン』したかわかる

　例：LogonType = 3　⇒ネットワークからログオンした

　例：LogonType = 10　⇒RDPからリモートでログオンした

⇒『Anonymous』ログオンの場合、怪しいか怪しくないかを判断するには、

　・通常ログオン時の挙動と比べる

　・時系列を追う、時間も一つのファクターである

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt634186(v=vs.85).aspx

Event ID：4672（意味：特権（Admin）を利用された)

⇒このEventIDが記録されていた場合は注意

⇒大体はEvent ID:4624、と同じタイミングで発生する

⇒『Privilege List』と呼ばれるそのIDに与えられている権限一覧を確認することができる

▼参考情報https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4672

Event ID：5140（意味：ネットワーク共有オブジェクトにアクセスがあった)

⇒このイベントが記録されていた場合は注意

⇒『ShareName』に共有されたファイルパスが記載される

　不可思議なパスがシェアされていたら注意

　（Cドライブ配下（もしくは全体）が共有されてたら注意。。。かも）

⇒ このイベントがファイルサーバー上で発生すれば問題はないが、ファイルサーバー以外のPCで発生してた場合は不可思議

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt431793(v=vs.85).aspx

TaskSchedulerの動き

　・Task Schedule ID：106（意味：タスクの新規登録）

　・Task Schedule ID：200（意味：タスクの実行）

　・Task Schedule ID：201（意味：タスクの実行終了）

　・Task Schedule ID：141（意味：タスクの登録削除）

⇒106、を見ればスケジュールタスクを動かした時間、ユーザ情報がわかる（マシン名は不明だが）

⇒TaskSchedulerが動く前のEventID（例えば5140以前等）を見れば時系列的にユーザーがどう『行動』してるかがわかる（推測）

⇒106から200へ数分で発生していたら怪しい

⇒141、のようにタスクを削除する動きは怪しい可能性がある

▼参考情報

https://mnaoumov.wordpress.com/2014/05/15/task-scheduler-event-ids/

https://attack.mitre.org/wiki/Technique/T1053

Event ID：4688（意味：新しいプロセスが作成された)

⇒実行ユーザー、プロセス名などが分かる。
⇒この場合、m.exe(mimikatz)でクレデンシャル情報を摂取しようとしている

⇒Windowsイベントログ取得のデフォルト設定では4688は生成されない。
⇒実行された追加の情報が確認できる。

▼参考情報

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing

Event ID：4634（意味：アカウントがログオフした)

⇒あえてスケジュールタスクを削除しなかったり、正式にセッションを終了しない場合もある

▼参考情報

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4634

アレコレ②（スライド16～18）

⇒RDPのイベントログを見てみよう

⇒Security.evtx は、一定のサイズを超えると別のファイルに上書きされてしまう

　数時間程度のログしか残っていないので、ログ自体を別のシステムに保管しておき、辿れるようにしておく必要がある。

Event ID：1149（意味：リモートデスクトップサービスでユーザー認証に成功しました)

⇒このイベントの次に『Local Session Manager』のログを見てみるよ

⇒『Local Session Manager』のログはココにあるよ↓

\Microsoft\Windows\TerminalServices-LocalSessionManager\Operational

Local Session Managerの動き

Event ID：21（意味：リモートデスクトップセッションログオン成功)

Event ID：23（意味：リモートデスクトップセッションログオフ成功)

Event ID：25（意味：リモートデスクトップセッション再ログオン)

Event ID：24（意味：リモートデスクトップセッション切断)

⇒通常の動きの場合

1149→21→ログオンして作業→23→24

⇒ちょっと不可思議な場合

1149→21→1149→25→24

▼おかしいポイント①

1149でRDPのユーザー認証設定しているのに、再度1149のイベントが発生している

▼おかしいポイント②

2回目の1149を行っているIPが1回目の1149を行っているIPと異なっている

▼おかしいポイント③

2回目の1149の後に『25』というセッション再ログオンが発生し、かつ1回目の1149を行っているIPが次の『24』でセッション切断されている

▼参考情報

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee907328(v=ws.10)

https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/mstsc.htm

http://blog.trendmicro.co.jp/archives/14451

https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/

アレコレ③（スライド20）

Event ID：7045（意味：サービスがシステムにインストールされました)

⇒起動させられたファイルのファイルパスが書かれている

⇒新しいサービスが開始させられたことがわかる

⇒このイベントを見つけた場合『何が実行されたのか』を確認するのが大事

⇒C:\Windows\Temp\～、のようにTemp配下から起動させていたら怪しいを感じるべき

参考資料一覧

http://deer-run.com/~hal/

http://deer-run.com/~hal/IREventLogAnalysis.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

https://support.microsoft.com/ja-jp/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

最後に。

ここまでもし読んでくれた方がいたら、ぜひマサカリを僕に投げてくれると最高に嬉しいです。『お前言ってること間違ってるぞ』とか言ってください♡

あ、Hal Pomeranzさんの講演情報を教えてくれた僕の上司に感謝。大好きです♡

＜更新履歴＞

2018/06/22 PM　公開

2018/06/24 AM　追記：Event ID：4688、その他もろもろ

2018-06-01

2018年5月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

いきなりちょっとまじめな話なんですが、最近『時間』について考えたりするようになりまして。

人間生きてる時間って、『有限』なものじゃないですか。

だったら、自分がやってみたい、会ってみたい、話してみたい、勉強したい、遊びたい、そういうことに対して億劫になっちゃいけないのかなって。

もちろん、全部を叶えようとするのはなかなか難しいので、あくまでも自分がやれる範囲で、ってことですけどね。

なので最近なるべく自分が『会ってみたい』もしくは『会いたい』という人には時間の許す限り会ってみようって思っています。

5月も色々なトコに顔を出してみたんですけど、色んな人と会話ができるってとっても刺激になるし、ある意味自分の良くない部分も見えてきてなんだかちょっと成長してる（ような）気がしています。

･･･あ、そのせいで会社の名刺が切れかけています笑

こないだセキュリティ以外の人にも会ってみたいなーとふと思い、ちょうど見つけたこの企画にフラッと行ってみたんです。

www.huffingtonpost.jp

ライターさんやTV関係の方々とお話することができて非常に楽しかったなか、僕なりに日常のセキュリティの話（例えば不審なメールが来た時の対処とかSNSのアカウントがのっとられない様にするにはどうしたらいいか等）をしていたら、

『知らなかった』『実際どうしていいかわからなかった』『教えてくれてありがとう』という言葉を直に聞くことができました。

そういう言葉を聞けて嬉しかった反面、セキュリティの『発信者』としては、もっとセキュリティを知らない、セキュリティに疎い人達に情報を届けれるような発信方法をもっと考えないといけない！、という気づきも得ることができました。

これを読んでくれているセキュリティの皆さん、まずは小さなことからでも僕と一緒に発信していきましょう！ぼくもがんばりますので！

今回はちょっと『前説』が長くなってしまいましたね、すみません。

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

OpenPGP および S/MIME メールクライアントに脆弱性（EFAIL）

【概要】
OpenPGP および S/MIME メールクライアントに脆弱性が存在し、暗号化されたメッセージを第三者が平文で入手できてしまう可能性がある
脆弱性名：EFAIL

【CVE番号】
CVE-2017-17688: OpenPGP CFB Attacks
CVE-2017-17689: S/MIME CBC Attacks

【対象】
OpenPGP および S/MIME をサポートする電子メールクライアント
影響を受けるメールクライアントは以下参照
https://www.kb.cert.org/vuls/id/122919

【対策】
・ワークアラウンドを実施する
→メールクライアントとは別のアプリケーションを使って復号する
→メールクライアントの HTML レンダリングを無効化する
→メールクライアントのリモートコンテンツの読み込みを無効化する

【参考情報】
JVNVU#95575473: OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性
 メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起
 暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (1/2) - ITmedia エンタープライズ
 多くのメールソフトに受信トレイの内容がすべて読み取られる深刻な脆弱性が発覚、PGPとS/MIMEに関連 - GIGAZINE

Adobe ReaderおよびAcrobatに脆弱性 (APSB18-09)

【概要】
Adobe AcrobatおよびReaderに脆弱性が存在し、第三者により任意のコードが実行される可能性がある

【CVE番号】
CVE-2018-4990
CVE-2018-4993

【対象】
Adobe Acrobat Reader DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat Reader DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat Reader 2017 (2017.011.30079) およびそれ以前
Adobe Acrobat 2017 (2017.011.30079) およびそれ以前

【対策】
・アップデートする（以下本脆弱性修正済みバージョン）
Adobe Acrobat Reader DC Consumer (2018.011.20040)
Adobe Acrobat Reader DC Classic 2015 (2015.006.30418)
Adobe Acrobat DC Consumer (2018.011.20040)
Adobe Acrobat DC Classic 2015 (2015.006.30418)
Adobe Acrobat Reader 2017 (2017.011.30080)
Adobe Acrobat 2017 (2017.011.30080)

【参考情報】
Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起
 更新：Adobe Acrobat および Reader の脆弱性対策について(APSB18-09)(CVE-2018-4990等)：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力（1ページ目 / 全2ページ）：Security NEXT

Red Hat Enterprise LinuxのDHCPクライアントに脆弱性

【概要】
Red Hat Enterprise LinuxのDHCPクライアントに脆弱性が存在し、第三者によりリモートから任意のコードが実行される可能性がある

【CVE番号】
CVE-2018-1111

【対象】
Red Hat Enterprise Linux Server バージョン 6, 7
Fedora バージョン 26, 27, 28
CentOS バージョン 6, 7
Scientific Linux バージョン 6, 7
Oracle Linux バージョン 6, 7　および　Oracle VM バージョン 3.3, 3.4
※Red Hat Enterprise Linux 5、Red Hat Enterprise Virtualization 3.6では影響は受けない

【対策】
・修正プログラムの適用

【参考情報】
DHCP Client Script Code Execution Vulnerability - CVE-2018-1111 - Red Hat Customer Portal
RHELにクリティカルレベルのコード実行の脆弱性、修正パッチが公開 - ZDNet Japan
【セキュリティニュース】RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ（1ページ目 / 全1ページ）：Security NEXT
CVE-2018-1111 - 脆弱性調査レポート | ソフトバンク・テクノロジー

BIND 9に複数の脆弱性

【概要】
BIND 9に複数の脆弱性が存在し、namedが予期しない動作をしたり停止したりする可能性がある

【CVE番号】
CVE-2018-5736
CVE-2018-5737

【対象】
BIND　9.12.0
BIND　9.12.1

【対策】
・アップデートする（以下本脆弱性修正済みバージョン）
BIND　9.12.1-P2

【参考情報】
BIND 9.12における動作停止となる二つの脆弱性について(2018年5月) - JPNIC
ISC BIND 9 の脆弱性 (CVE-2018-5736、CVE-2018-5737) について
 JVNVU#91301831: BIND に複数のサービス運用妨害 (DoS) の脆弱性
 「BIND 9」に脆弱性、リモートからnamedが異常終了、JPRSやJPCERT/CCが注意喚起 - INTERNET Watch
【セキュリティニュース】「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース（1ページ目 / 全2ページ）：Security NEXT

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年5月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
【速報版】カード利用のお知らせ(本人ご利用分)
Airdrop申請内容をご確認ください
Apple IDアカウントを回復してください
指定請求書
注文書、請書及び請求書のご送付
発注分
印鑑の発注について
カード利用のお知らせ
注文請書・
請求書をお送り致します。
注文請書・請求書をお送り致します。
【楽天市場】注文内容ご確認（自動配信メール）

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年5月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時

bitFlyer をかたるフィッシング (2018/05/24)
Amazon をかたるフィッシング (2018/05/17)
MyEtherWallet をかたるフィッシング (2018/05/15)
Apple をかたるフィッシング (2018/05/07)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

Twitter、社内システムのバグでユーザーのパスワードを平文で保存

【概要】
Twitter、社内システムのバグでユーザーのパスワードを平文で保存していることが判明し、Twitterの全ユーザーに対し、パスワードを変更するよう告知した

【参考情報】
Keeping your account secure
Twitter、全3.3億人のユーザーにパスワード変更勧める告知社内バグ発見で - ITmedia NEWS
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ
 Twitterが全ユーザーにパスワード変更呼びかけ、どうすべきか? | マイナビニュース

森永乳業の健康食品通販サイトが不正アクセスを受け、利用者のカード情報などが流出

【概要】
森永乳業の健康食品通販サイトが不正アクセスを受け、利用者約2.3万人のカード情報（カード番号、名義、有効期限、セキュリティコードなど）が流出

【参考情報】
健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社
 森永乳業のECサイト、カード番号も含めたカード情報流出の恐れ - ねとらぼ
 森永乳業の通販サイトからカード情報流出の可能性セキュリティコードも - ITmedia NEWS
森永乳業の情報漏洩、正確な情報が少ない訳 | 日経 xTECH（クロステック）

MS＆Consulting子会社が運営するサイトが不正アクセスを受け、会員情報が流出

【概要】
MS＆Consulting子会社が運営するサイト「ミステリーショッピングリサーチ」が不正アクセスを受け、約6000件約57万件の会員情報が流出。
WAF（ウェブ・アプリケーション・ファイアウオール）の設定ミスによりSQLインジェクション攻撃を受けてしまったとのこと。

【参考情報】
MS＆Consultingで会員情報6000件流出か、WAF設定ミスでSQLインジェクション攻撃防げず | 日経 xTECH（クロステック）
ＭＳコンサルで会員情報6000件流出か設定ミスが原因：日本経済新聞
 【セキュリティニュース】覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず（1ページ目 / 全1ページ）：Security NEXT
流出の恐れがある個人情報は6000件ではなく57万件、MS＆Consultingが公表 | 日経 xTECH（クロステック）

Yahoo! JAPAN、パスワードでのログインを無効にする機能を提供開始

【概要】
Yahoo! JAPANは、ユーザーが「Yahoo! JAPAN ID」で設定しているパスワードでのログインを無効にし、代わりにSMS等で送られた確認コードでログインできる機能を提供開始した。

【参考情報】
セキュリティ向上の新たな取り組みとして、パスワードでのログインを無効にする機能を提供開始 - プレスルーム - ヤフー株式会社
 ヤフー、「パスワード無効」設定可能にセキュリティ向上のため - ITmedia NEWS
ヤフー、セキュリティ向上でパスワードでのログインを無効にする機能を提供開始：日経 xTECH Active
ヤフー、ログイン時のパスワード廃止を段階的に開始 - ケータイ Watch

中国の闇サイトで2億件以上の日本人個人情報が販売

【概要】
セキュリティ企業のファイア・アイは、中国の闇サイトで2億件以上の日本人個人情報が販売されているという調査結果を明らかにした

【参考情報】
https://www.fireeye.jp/blog/jp-threat-research/2018/05/japan-pii-finding.html
中国でのべ2億件超の日本人情報が販売、企業流出も確認--ファイア・アイ - ZDNet Japan
日本人の個人情報2億件、中国の闇サイトで販売か - ITmedia ビジネスオンライン
 日本人の2億件以上の個人情報、中国の闇サイトで販売を確認 | マイナビニュース

GDPR(EU一般データ保護規則)が5月25日から施行

【概要】
GDPR（General Data Protection Regulation：EU一般データ保護規則）が2018年5月25日から施行された。
対象となる個人データは、対象となる個人データは氏名や所在地、メールアドレス、クレジットカード番号、パスポート情報、Cookieといったオンライン識別子なども含む。
なお、GDPRについて不安を煽る詐欺も増える可能性があり、注意が必要。

北朝鮮のハッカーが利用するマルウェア情報を、米政府が公開

【概要】
北朝鮮のハッカー(HIDDEN COBRA)が利用するマルウェア情報を、米政府が公開。
公開したマルウェア名は以下2つ
・リモートアクセスツール（RAT）の「Joanap」
・「Server Message Block」（SMB）ワームの「Brambul」

【参考情報】
HIDDEN COBRA - North Korean Malicious Cyber Activity | US-CERT
米政府、「北朝鮮のマルウェア」2件の情報を新たに公開 - ITmedia NEWS
米政府、北朝鮮のハッカーが使用する2種類のマルウェアについて情報公開 - ZDNet Japan
【セキュリティニュース】米政府、北朝鮮攻撃グループが悪用したマルウェア「Joanap」「Brambul」の情報を公開（1ページ目 / 全4ページ）：Security NEXT

ネットワーク機器に感染するマルウェア「VPNFilter」の感染拡大

【概要】
ネットワーク機器に感染するマルウェア「VPNFilter」の感染が拡大しており、少なくとも54カ国50万台が感染している恐れがある

【参考情報】
ネットワーク機器を標的とするマルウェア「VPNFilter」について
 FBI、マルウェア「VPNFilter」対策としてSOHO用ルータ再起動呼びかけ | マイナビニュース
 高度なマルウェア「VPNFilter」、54カ国で感染拡大一斉攻撃の恐れも - ITmedia エンタープライズ
 ネットワーク機器を狙う IoT ボット「VPNFilter」、世界で 50 万台以上に感染 | トレンドマイクロセキュリティブログ

セキュリティレポートのアレコレ

以上です。
今回もココまで読んでいただきありがとうございました。

ではでは！

梅雨あけないかな～
　　　＿ﾍ＿
　　／／|＼＼
　∠∠∠|＼＼＼
　 ∧_∧∥￣￣
　(´Д`∥
　(　つつ
　人ヽﾉ
（__(＿)

＜更新履歴＞

2018/06/01 AM　公開

2018/06/01 PM　一部修正

2018-05-07

2018年4月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

ゴールデンウィークも終わり、長い連休明けの月曜はちょっと出社が億劫になってしまうものですよね。

そういえば『平成』という元号も来年5月1日に変わってしまうため、今年が『平成最後の』ゴールデンウィークでしたね。

･･･僕はお酒ばっかり呑んでいましたが(ﾟДﾟ;)

さてさて。

Twitterを利用しているユーザーの方々はご存知かと思われますが、Twitterが全ユーザーに対しパスワードを変更するよう告知がされましたね。

f:id:mkt_eva:20180507072851j:plain

参考情報：Twitter、全3.3億人のユーザーにパスワード変更勧める告知社内バグ発見で - ITmedia NEWS

Twitterユーザーの方々は、

・パスワードを変更する

・他のサービスと同じパスワードを設定しない
※Twitterで複数のアカウントを分けて利用してるユーザーもいると思うので、他のアカウントと同じパスワードを設定しない

・2要素認証を設定する

を、行うことをオススメします。

最近レイバン広告のアカウントのっとりも増えているので、これも良い機会と捉えて設定を見直してみるのも良いんじゃないかと思います。

※その時、ぜひ設定の『アプリ連携』も確認してみて、不要なアプリ連携をしていた場合は許可を取り消すことをオススメします。

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Spring Frameworkに複数の脆弱性

【概要】
Spring Frameworkに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性（CVE-2018-1270）も含まれている
Spring Framework→Java　Webアプリ開発を行うためのフレームワーク

【CVE番号】
CVE-2018-1270
CVE-2018-1271
CVE-2018-1272
CVE-2018-1275

【対象】
Spring Framework 5.0 から 5.0.4
Spring Framework 4.3 から 4.3.15
※すでにサポートが終了している過去のバージョンにおいても本脆弱性の影響を受ける

【対策】
・アップデートする（下記本脆弱性修正バージョン）
Spring Framework 5.0.5
Spring Framework 4.3.16

【参考情報】
Spring Framework の脆弱性に関する注意喚起
 Spring Frameworkに含まれるリモートコード実行に関する脆弱性(CVE-2018-1270)についての検証レポート | NTTデータ先端技術株式会社
 Spring Frameworkの脆弱性に注意 | マイナビニュース
 【セキュリティニュース】「Spring Framework」の脆弱性、2017年の「Struts」脆弱性を想起させる危険度（1ページ目 / 全2ページ）：Security NEXT

Spring Data Commonsに複数の脆弱性

【概要】
Spring Data Commonsに複数の脆弱性が存在し、第三者がリモートでコードを実行されてしまう脆弱性（CVE-2018-1273）も含まれている

【CVE番号】
CVE-2018-1273
CVE-2018-1274

【対象】
Spring Data Commons 1.13 から 1.13.10 (Ingalls SR10)
Spring Data Commons 2.0 から 2.0.5 (Kay SR5)
Spring Data REST 2.6 から 2.6.10 (Ingalls SR10)
Spring Data REST 3.0 から 3.0.5 (Kay SR5)

【対策】（下記本脆弱性修正バージョン）
Spring Data Commons 1.13.11
Spring Data Commons 2.0.6
Spring Data REST 2.6.11 (Ingalls SR11)
Spring Data REST 3.0.6 (Kay SR6)
Spring Boot 1.5.11
Spring Boot 2.0.1

【参考情報】
Spring Data Commons の脆弱性に関する注意喚起
 Spring Data Commonsに含まれるリモートコード実行に関する脆弱性(CVE-2018-1273)についての検証レポート | NTTデータ先端技術株式会社
 【セキュリティニュース】「Spring Data Commons」に深刻な脆弱性 - REST処理などでコード実行のおそれ（1ページ目 / 全2ページ）：Security NEXT

Drupalに脆弱性

【概要】
Drupalに脆弱性が存在し、第三者によってリモートから任意のコードが実行される可能性がある
※Drupal：オープンソースのCMS

【CVE番号】
CVE-2018-7602

【対象】
Drupal 7.59 より前のバージョン
Drupal 8.4.8 より前のバージョン
Drupal 8.5.3 より前のバージョン

【対策】（下記本脆弱性修正バージョン）
Drupal 8.5.3
Drupal 7.59
Drupal 8.4.8

【参考情報】
Drupal の脆弱性対策について(CVE-2018-7602)：IPA 独立行政法人情報処理推進機構
 Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起
 Drupalの脆弱性を突く攻撃を確認、直ちに対応を - ITmedia エンタープライズ

▼関連するDrupalの脆弱性（CVE-2018-7600）については下記を参考にしてください。既に攻撃コードが公開されています
更新：Drupal の脆弱性対策について(CVE-2018-7600)：IPA 独立行政法人情報処理推進機構
 http://mkt-eva.hateblo.jp/#Drupalに脆弱性:title

Oracle Javaに脆弱性

【概要】
Oracle社が提供する JRE (Java Runtime Environment) に脆弱性が存在し、外部より第三者から任意のコードを実行される可能性がある

【CVE番号】
CVE-2018-2814

【対象】
Oracle Java SE 10
Oracle Java SE 8 Update 162
Oracle Java SE 7 Update 171
Oracle Java SE 6 Update 181
Oracle Java SE Embedded 8 Update 161
Oracle Java SE Embedded 8 Update 152

【対策】
・アップデートする

【参考情報】
Oracle Critical Patch Update - April 2018
Oracle Java の脆弱性対策について(CVE-2018-2814等)：IPA 独立行政法人情報処理推進機構
 Oracleの四半期パッチ公開、データベースやJavaなどの脆弱性に対処 - ITmedia エンタープライズ
 Oracle、「Java SE 10.0.1」「Java SE 8 Update 171」を公開～脆弱性を修正 - 窓の杜

Microsoft Outlookに脆弱性

【概要】
Microsoft Outlook のOLE（Object Linking and Embedding ）コンテンツ取得に問題があり、第三者により個人情報が奪取される可能性がある

【CVE番号】
CVE-2018-0950

【対象】
Microsoft Outlook

【対策】
・アップデートする
・インバウンドおよびアウトバウンドのSMB コネクションをブロックする
・NTLM シングルサインオン (SSO) 認証を無効にする
・複雑なパスワードを設定する

【参考情報】
JVNVU#95312708: Microsoft Outlook の OLE コンテンツ取得における問題
 Microsoft Outlookに情報窃取の脆弱性 | マイナビニュース
 マイクロソフト、「Outlook」の情報流出につながるバグを修正 - ZDNet Japan
Microsoft Outlookに情報窃取の脆弱性 | マイナビニュース

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年4月に出回った不審なメールの件名は以下のとおり

【件名一覧】
・【楽天市場】注文内容ご確認（自動配信メール）
・8月、原価請求書です。
・注文書、請書及び請求書のご送付
・あなたのApple IDのセキュリティ質問を再設定してください。
・カード利用のお知らせ
・①Re: Re: 2月度発注書送付
・②Fwd: Re: 2月度発注書送付
・③RE: Re: 2月度発注書送付
・④FWD: Re: 2月度発注書送付
・お振込頂きます

不審な偽サイト（フィッシングサイト）情報

2018年4月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時
・Apple をかたるフィッシング (2018/04/25)
・[更新] セゾン Net アンサーをかたるフィッシング (2018/04/23)
・ソフトバンクをかたるフィッシング (2018/04/18)
・[更新] MUFG カードをかたるフィッシング (2018/04/16)
・[更新] Apple をかたるフィッシング (2018/04/11)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

無料のパブリックDNSサービス「1.1.1.1」をCloudflareが提供開始

【概要】
無料のパブリックDNSサービス「1.1.1.1」をCloudflareが提供を開始した。IPアドレスを記録されることがなくセキュアに利用が可能。

【参考情報】
1.1.1.1 — the Internet’s Fastest, Privacy-First DNS Resolver
Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service
Cloudflare、セキュアで最速な一般向けDNSサービス「1.1.1.1」提供開始 - ITmedia NEWS
プライバシー面を重視したDNSサービス「1.1.1.1」をCloudflareが提供開始 - GIGAZINE
IPアドレスを保存しない高速パブリックDNSサービス「1.1.1.1」、APNICとCloudflareが無料提供 - INTERNET Watch

プレミアム・アウトレット、会員情報約27万件が流出

【概要】
三菱地所・サイモンが運営する「プレミアム・アウトレット」のショッパークラブに登録された会員情報約27万件が流出した。
内訳は、メールアドレスとログインパスワードの両方が約24万件、メールアドレスのみが約3万件

【参考情報】
プレミアム・アウトレット、会員情報２７万件流出：日本経済新聞
 プレミアム・アウトレット事件の真相、登録情報以外が流出した可能性も | 日経 xTECH（クロステック）
【セキュリティニュース】会員約24万件のアカウント情報が外部データと一致 - プレミアム・アウトレット（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】「プレミアム・アウトレット」の一部メルマガ会員情報が流出か - 使い回しパスワードに注意を（1ページ目 / 全1ページ）：Security NEXT

Minecraftの「スキン」を装ったマルウェアが出回る

【概要】
Minecraftの「スキン」を装ったマルウェアが出回り、5万アカウントが感染した可能性がある

【参考情報】
Minecraft players exposed to malicious code in modified “skins” | Avast
スキンを媒介したマルウェアがマインクラフトで広がっている問題、Mojangが声明を発表 - 窓の杜
 【セキュリティニュース】「Minecraft」の脆弱性狙う破壊型マルウェア - 5万アカウント以上で被害か（1ページ目 / 全2ページ）：Security NEXT

世界最大のDDoS攻撃請負サイトが摘発される

【概要】
世界最大のDDoS攻撃請負サイト「webstresser . org」が摘発され、サービスが停止になった。

【参考情報】
世界最大のDDoSサービスが摘発される月額わずか15ユーロで攻撃実行 - ITmedia NEWS
世界最大のDDoS攻撃請負サイト「webstresser.org」が閉鎖される - GIGAZINE
【セキュリティニュース】会員13万人以上の低価格DDoS攻撃サービスが検挙 - 1カ月約2000円、攻撃は400万回以上（1ページ目 / 全2ページ）：Security NEXT

NTTグループ3社が海賊版サイトに対してブロッキングを実施することを発表

【概要】
NTTグループ3社(NTTコミュニケーションズ、NTTドコモ、NTTぷらら)が海賊版サイトに対して準備が整い次第ブロッキングを実施することを発表した

【参考情報】
インターネット上の海賊版サイトに対するブロッキングの実施について：NTT持株会社ニュースリリース：NTT HOME
NTTグループ3社、「漫画村」など海賊版サイトをブロッキングへ - ITmedia Mobile
一問一答完全収録 NTTグループのブロッキング、なぜ実施？ (1/2) - ITmedia Mobile
NTT、海賊版サイトへのブロッキング実施を発表 - ZDNet Japan

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

情報セキュリティ10大脅威 2018：IPA 独立行政法人情報処理推進機構
 コンピュータウイルス・不正アクセスの届出状況および相談状況［2018年第1四半期（1月～3月）］：IPA 独立行政法人情報処理推進機構
 ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第1四半期（1月～3月）]：IPA 独立行政法人情報処理推進機構
 サイバー情報共有イニシアティブ（J-CSIP（ジェイシップ））：IPA 独立行政法人情報処理推進機構
 脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第1四半期（1月～3月）]：IPA 独立行政法人情報処理推進機構
 ICS-CERTが公開した制御システムの脆弱性情報（直近の1ヶ月）：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

JPCERT コーディネーションセンターインシデント報告対応レポート
 JPCERT コーディネーションセンター活動四半期レポート
 Cisco Smart Install Client を悪用する攻撃に関する注意喚起
 適切なパスワードの設定・管理方法について

Trend Micro

iPhone セットが 100 円？不正広告で誘導する日本郵便を偽装した当選詐欺サイトを確認 | トレンドマイクロセキュリティブログ
 「Magento」上のECサイト改ざんにより、カード情報漏えいやマルウェア感染が発生 | トレンドマイクロセキュリティブログ
 日本にも流通する IoT デバイスで遠隔操作が可能な脆弱性を確認 | トレンドマイクロセキュリティブログ
 日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」、新しく確認された活動とツールを解説 | トレンドマイクロセキュリティブログ
 「ファイル感染型コインマイナー」を確認。既存ランサムウェアのコードを再利用 | トレンドマイクロセキュリティブログ
 DNS 設定書き換え攻撃によって拡散する Android 端末向け不正アプリ「XLOADER」を確認 | トレンドマイクロセキュリティブログ

McAfee

サイバーセキュリティの脅威を明確に見極めるための6つの要素
 サイバー攻撃の目的｜効果的対策のために知るべき分類と攻撃者の種類
 ウイルスにはどんな種類があるのか？分類・特徴・マルウェアとの違い
 Twitter乗っ取り被害にあったときの確認方法・解除法の全手順と予防策
 ランサムウェアとは？社員が知っておきたいセキュリティの基本

LAC

MBSD

https://www.mbsd.jp/blog/20180420.htm:titlel

IIJ

GhostMinerの感染拡大 – wizSafe Security Signal -安心・安全への道標- IIJ
wizSafe Security Signal 2018年3月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
IIJ Security Diary: 国内 Mirai 亜種感染機器からのスキャン通信が再び増加 (2018年2-3月の観測状況)

piyolog

監視カメラへの不正アクセスについて調べてみた - piyolog
前橋市教育委員会への不正アクセスについてまとめてみた - piyolog

以上です。
今回もココまで読んでいただきありがとうございました。

ではでは！

.∩＿＿＿(￣`ヽ
/　⌒　　⌒ヽ |
|　＞　　＜ | |
|　 (_●_)　ミﾉ
彡､　|∪|　ノ /
　＿ﾉ￣)ﾉ　 /
＿＿_ノ　 /

2018-04-02

2018年3月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

いよいよ新年度ですね！今年度もどうぞにゃんたくをよろしくお願いいたします。

さてさて、桜もすっかり満開の時期が過ぎつつあり、自宅の目の前の桜は既に葉桜になってしまっております。。。今年桜の時期あっという間だったな…(´；ω；｀)ｳｯ…

話は変わって、いつも参考にしている@ITの「セキュリティクラスタまとめのまとめ」の2016年1月～2017年12月の連載がまとまったものが公開されております。

www.atmarkit.co.jp

ぜひ皆さん参考にしてみてください。

僕のTweetなんかも取り上げていただいた回もあり、なんだかそれがPDFとしてDLできるってすごく嬉しかったんですよよよ。

そうそう、3月1日に「第3回セキュリティ事故対応アワード」を聴講してきたんですけど、行ってきた感想やどういったないようだったかをまとめたブログも書いたので、そちらもぜひ参考にしてみてください。

mkt-eva.hateblo.jp

では、前月のまとめです。

脆弱性のアレコレ
注意喚起やニュースのアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
セキュリティレポートのアレコレ

脆弱性のアレコレ

Drupalに脆弱性

【概要】

Drupalに脆弱性が存在し、第三者によってリモートから任意のコードが実行される可能性がある
※Drupal：オープンソースのCMS

【CVE番号】
CVE-2018-7600

【対象】
Drupal 8.5.1 より前のバージョン
Drupal 7.58 より前のバージョン
※サポートが終了しているDrupal 6系やDrupal 8.4 系以前も本脆弱性の影響を受ける

【対策】
・アップデートする（以下本脆弱性修正バージョン）
Drupal 8.5.1
Drupal 7.58
Drupal 8.4.6
Drupal 8.3.9

【参考情報】
Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起
 Drupal の脆弱性対策について(CVE-2018-7600)：IPA 独立行政法人情報処理推進機構
 Drupalの重大な脆弱性情報公開、直ちにアップデートを | マイナビニュース
 Drupal、極めて重大な脆弱性を修正直ちに対応を - ITmedia NEWS

Apache Struts 2に脆弱性（S2-056）

【概要】

Apache Struts 2に含まれるRESTプラグインの「XStreamライブラリ」に脆弱性が存在し、第三者からサービス運用妨害 (DoS) 攻撃を実行されてしまう可能性がある

【CVE番号】
CVE-2018-1327
S2-056

【対象】
Struts 2.1.1 から 2.5.14.1

【対策】
・アップデートする（以下本脆弱性修正バージョン）
Struts 2.5.16

【参考情報】
S2-056 - Apache Struts 2 Documentation - Apache Software Foundation
Apache Struts 2 の脆弱性 (S2-056 / CVE-2018-1327) について
 Apache Struts 2に脆弱性、最新版に更新を - JPCERT/CC | マイナビニュース
 【セキュリティニュース】「Apache Struts 2」の「RESTプラグイン」利用時にDoS攻撃受けるおそれ（1ページ目 / 全1ページ）：Security NEXT

OpenSSLに複数の脆弱性

【概要】

OpenSSLに複数の脆弱性が存在し、第三者からサービス運用妨害 (DoS) 攻撃を実行されてしまう可能性などがある
※再帰的な定義を持つASN.1型を構築するとスタックを超えてしまい、DoS攻撃を受ける可能性がある（CVE-2018-0739）
※実装上のバグによりメッセージを偽造することができ、試行よりも少ない試行で認証される（CVE-2018-0733）

【CVE番号】
CVE-2018-0739
CVE-2018-0733
CVE-2018-3738

【対象】（以下CVE別に記載）
▼CVE-2018-0739
OpenSSL 1.1.0h より前の 1.1.0 系列, OpenSSL 1.0.2o より前の 1.0.2 系列

▼CVE-2018-0733
OpenSSL 1.1.0h より前の 1.1.0 系列 (HP-UX PA-RISC のみ影響をうける)
※HP-UX PA-RISC：HPが開発したマイクロプロセッサアーキテクチャ

▼CVE-2017-3738
OpenSSL 1.1.0h より前の 1.1.0 系列, OpenSSL 1.0.2n より前の 1.0.2 系列

【対策】
・アップデートする（以下本脆弱性修正バージョン）
OpenSSL 1.0.2o
OpenSSL 1.1.0h

【参考情報】
[openssl-announce] OpenSSL Security Advisory
JVNVU#93502675: OpenSSL に複数の脆弱性
 OpenSSL のアップデートについて
 OpenSSLがセキュリティアップデート - 脆弱性に対応 | マイナビニュース

プロセッサの脆弱性「Meltdown」のマイクロソフト修正パッチに脆弱性

【概要】

マイクロソフトが提供した「Meltdown」の修正パッチに脆弱性が存在し、非特権ユーザでコードを実行できる

【CVE番号】
CVE-2018-1038

【対象】（※2018年1月にリリースされたこのパッチをインストールした場合）
Windows 7 x64
Windows Server 2008 R2 x64

【対策】
・アップデートする

【参考情報】
Vulnerability Note VU#277400 - Windows 7 and Windows Server 2008 R2 x64 fail to protect kernel memory when the Microsoft patch for meltdown is installed
JVNVU#97712677: Meltdown 向けパッチが適用された Windows 7 x64 および Windows Server 2008 R2 x64 でカーネルメモリが適切に保護されない脆弱性
 Windows 7のMeltdown修正パッチに脆弱性、最新アップデート適用を | マイナビニュース
 【セキュリティニュース】MSのMeltdown緩和パッチ、適用で権限昇格おそれ - 悪用は未確認（1ページ目 / 全2ページ）：Security NEXT
CPU“脆弱性問題”の現状と対策～セキュリティは？パフォーマンスは？ユーザーへの影響を確認する - PC Watch

製品開発者への連絡不能の脆弱性

【概要】

製品開発者への連絡を実施したが一定期間 (9カ月以上) 応答がなかった脆弱性についてJVNで公表された

【公開された脆弱性一覧】
QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
 PHP 2chBBS におけるクロスサイトスクリプティングの脆弱性
ViX における DLL 読み込みに関する脆弱性
Tiny FTP Daemon におけるバッファオーバーフローの脆弱性
QQQ SYSTEMS における OS コマンドインジェクションの脆弱性
WebProxy におけるディレクトリトラバーサルの脆弱性

【参考情報】
JVN#64990648: QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
 JVN#96655441: QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
 JVN#46471407: QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性
 JVN#48774168: PHP 2chBBS におけるクロスサイトスクリプティングの脆弱性
 JVN#56764650: ViX における DLL 読み込みに関する脆弱性
 JVN#92259864: Tiny FTP Daemon におけるバッファオーバーフローの脆弱性
 JVN#22536871: QQQ SYSTEMS における OS コマンドインジェクションの脆弱性
 JVN#87226910: WebProxy におけるディレクトリトラバーサルの脆弱性

memcachedを悪用したDDoS攻撃が多数報告

【概要】

memcachedを悪用したDDoS攻撃が多数報告された。悪用された理由は以下2つ
・認証が必要ないキャッシュシステムで、返答が、中断のないストリームになっていること
・デフォルトで、UDP、TCPの両方でListenしていること
※こちらの記事（http://www.atmarkit.co.jp/ait/articles/1803/28/news018.html）より転載

【CVE番号】
CVE-2018-1000115

【対象】
Memcached 1.5.5

【対策】
・アップデートする（以下本脆弱性修正バージョン）
Memcached 1.5.6

【参考情報】
memcached のアクセス制御に関する注意喚起
 Memcachedの脆弱性(CVE-2018-1000115) — | サイオスOSS | サイオステクノロジー
 memcachedをDDoS攻撃に使われないための基本的な心掛け：OSS脆弱性ウォッチ（3） - ＠IT
memchachedを利用したUDPリフレクションDDoS - Akamai Japan Blog
memcachedを悪用する攻撃、「キルスイッチ」で抑制できる可能性 - ZDNet Japan

注意喚起やニュースのアレコレ

Wi-fiルータのDNS設定情報が改竄され、マルウェア配布サイトに誘導されてしまう

【概要】

Wi-fiルータのDNS情報が書き換えられてしまい、ユーザーが意図せずマルウェア配布サイトに誘導されてしまう事案が発生。なお、マルウェア配布サイトに誘導されると下記メッセージが表示され、OKをクリックするとマルウェアがDLされてしまう
・Facebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。
・閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。

【対象】
▼Logitecのルーター対象機種（（報告が上がっているもの）
LAN-W300N

▼Buffaloのルーター対象機種（報告が上がっているもの）
WHR-1166DHP4
WHR-G301N

▼NTT東日本・NTT西日本のルーター対象機種
⇒法人向けに販売されているものです
Netcommunity OG410Xa
Netcommunity OG410Xi
Netcommunity OG810Xa
Netcommunity OG810Xi

【参考情報】
NICTER Blog
ルーターの設定情報改ざんについてまとめてみた - piyolog
続報：ルータの DNS 設定変更による不正アプリ感染事例で新たな不正サイトを確認 | トレンドマイクロセキュリティブログ

ITパスポート試験で申込者情報が漏えい

【概要】

ITパスポート試験の団体申込者が利用するシステムに不具合があり、ITパスポート試験の申込者の個人情報137件が漏洩したと情報処理推進機構が発表した

【参考情報】
プレス発表 ITパスポート試験における個人情報等の漏えいについて：IPA 独立行政法人情報処理推進機構
 ITパスポート試験で個人情報漏えい団体申込者のシステムに不具合 - ITmedia NEWS
IPA、ITパスポート試験における個人情報漏洩について発表 | マイナビニュース

情報セキュリティハンドブックがスマートフォンアプリとして公開

【概要】

NISC（内閣サイバーセキュリティセンター）作成の「ネットワークビギナーのための情報セキュリティハンドブック」が読めるスマートフォンアプリとして公開された

【参考情報】
「ネットワークビギナーのための情報セキュリティハンドブック」公式アプリを無料配信します[みんなでしっかりサイバーセキュリティ]
情報セキュリティハンドブック[みんなでしっかりサイバーセキュリティ]
かわいいイラストで「情報セキュリティ」学べる政府のハンドブック、スマホ版公開 - ITmedia NEWS

play.google.com

Facebookの個人情報5000万人分が不正に利用される

【概要】

Facebookの個人情報5000万人分が、ケンブリッジ・アナリティカによって不正に利用されていたとが判明した。
FB上で性格診断クイズ（ケンブリッジ大学の教授が学術調査目的で行ったもの）を行ったユーザー、および「いいね！」をクリックしたユーザーの情報が利用された模様

【参考情報】
フェイスブックは個人情報悪用の張本人 | ワールド | 最新記事 | ニューズウィーク日本版オフィシャルサイト
 5000万人分の個人情報を不正利用されたFacebookはユーザーだけでなく従業員への対応にも四苦八苦 - GIGAZINE
米Facebookの個人情報漏えいきっかけは性格診断クイズ - ライブドアニュース
 フェイスブックＣＥＯ、個人情報取り扱いの過ち認める対策強化へ | ロイター

不正アクセスを受けたマイネットが報告書を公開

【概要】

2018年3月初旬に不正アクセスを受け、13タイトルのゲームを一時休止したマイネットが、不正アクセスの報告書を公開した。
なお、犯人により事前に「特権ID」を入手され、それを利用し不正侵入され、サーバー上のデータが削除された模様。

【参考情報】
当社サーバーへの不正アクセスに関する中間報告書 | 株式会社マイネット
 https://mynet.co.jp/assets/uploads/sites/4/2018/03/report_0326.pdf
マイネット、不正アクセスの報告書公開サーバのパスワード、チャットツールから流出か VPN経由で侵入受け、データ削除される - ITmedia NEWS
ゲームに不正アクセスのマイネット、「サーバの特権ID」流出が判明 - ITmedia ビジネスオンライン

「Coincheck」から流出したNEMの全額が完売

【概要】
仮想通貨取引所「Coincheck（コインチェック）」から盗まれた約580億円分（当時価格）の仮想通貨「NEM」が全額完売した。

【参考情報】
流出NEM「完売」資金洗浄完了か販売サイトに金正恩氏の写真と「Thank you!!!」 - ITmedia NEWS
盗まれた仮想通貨「NEM」がほぼ完売。ビットコインなどほかの仮想通貨と交換される(篠原修司) - 個人 - Yahoo!ニュース

Apple、「iOS 11.3」をリリース

【概要】
Appleが、計43件の脆弱性を修正した「iOS 11.3」をリリースした。

【参考情報】
About the security content of iOS 11.3 - Apple サポート
 「iOS 11.3」のセキュリティ情報公開、カーネルやWebKitの深刻な脆弱性に対処 - ITmedia NEWS
【セキュリティニュース】Apple、「iOS 11.3」をリリース - 脆弱性43件を修正（1ページ目 / 全1ページ）：Security NEXT
Apple、ARKitの拡張やバッテリ管理機能を改善した「iOS 11.3」提供開始 - PC Watch

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年3月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Microsoftアカウントの不審なサインイン
カード利用のお知らせ
【楽天市場】注文内容ご確認（自動配信メール）
発注書
- 発注書
FWD: 発注書
Fwd: 発注書
RE: 発注書
Re: 発注書
・Re: Re: 2月度発注書送付
・Fwd: Re: 2月度発注書送付
・RE: Re: 2月度発注書送付
・FWD: Re: 2月度発注書送付"
Re: - 1 Re: 2月度発注書送付
Re: - 2 Re: 2月度発注書送付"
・Fwd:
・Re: Fw:
■【重要】
Re: ご注文ありがとうございます。
２月請求書

【参考情報】
情報提供｜一般財団法人日本サイバー犯罪対策センター
 注意情報｜一般財団法人日本サイバー犯罪対策センター
 外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年3月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時

MUFG カードをかたるフィッシング (2018/03/26)
楽天をかたるフィッシング (2018/03/23)
Netflix をかたるフィッシング (2018/03/22)
マイクロソフトをかたるフィッシング (2018/03/22)
セゾン Net アンサーをかたるフィッシング (2018/03/19)
bitbank をかたるフィッシング (2018/03/07)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

JPCERT コーディネーションセンター

BIND の "update-policy local;" の動作仕様変更について
 制御システムセキュリティカンファレンス 2018
実証実験:インターネットリスク可視化サービス―Mejiro―
プラグインをダウンロードして実行するマルウエアTSCookie (2018-03-01)

Trend Micro

「Meltdown」および「Spectre」を狙う攻撃の検出手法を検証 | トレンドマイクロセキュリティブログ
 GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 | トレンドマイクロセキュリティブログ
 なぜ流出？国内でも発生した仮想通貨取引所を狙う攻撃を振り返る | トレンドマイクロセキュリティブログ
 Android 端末向け不正アプリ「AndroRAT」の新しい亜種、古い権限昇格脆弱性を利用し端末をルート化 | トレンドマイクロセキュリティブログ

Mcafee

感染の第一歩となる「トロイの木馬」とは？発見・駆除・対策のすべて
 ハッキングとは何か？手口と具体例から見る管理者側とユーザ側の対策
 シャドーITのリスク｜クラウドセキュリティの穴となる具体例と対策
 DDoS攻撃・DoS攻撃のやり方｜フラッド型と脆弱性型の攻撃手法
 世界のスパムトラフィックのトップに立つボットネット「Necurs」
過熱する仮想通貨のダークサイド: マカフィーの研究者がサイバー犯罪への影響を分析
 マルウェアとは？セキュリティ対策上知るべき種類14選と3つの特徴
 過去最大級のDDoS攻撃！memcachedの脆弱性から考えるDDoS対策
 バンキングマルウェアの脅威！不正送金被害を回避するための対策３選
 ファイルレスマルウェアの脅威！仕組みと感染経路からみる実践的対策

LAC

セキュリティ診断レポート 2018 早春 | セキュリティ対策のラック
 CYBER GRID JOURNAL Vol.5 | セキュリティ対策のラック
 サイバー救急センターレポート第2号 | セキュリティ対策のラック

MBSD

2017年度ペネトレーションテスト結果の考察

IIJ

wizSafe Security Signal 2018年2月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
memcachedを用いたUDP Amplification攻撃 – wizSafe Security Signal -安心・安全への道標- IIJ
IIJ Security Diary: Hajime ボットによる 8291/tcp へのスキャン活動

piyolog

ルーターの設定情報改ざんについてまとめてみた - piyolog
マイネットへの不正アクセスについてまとめてみた - piyolog
2018年3月の内閣府のなりすましメールについてまとめてみた - piyolog
平昌五輪のサイバー関連の出来事をまとめてみた - piyolog
memcached を悪用したDDoS攻撃についてまとめてみた - piyolog

以上です。
今回もココまで読んでいただきありがとうございました。

ではでは・・・・・

あ、そうだ！！！
日本SOCアナリスト情報共有会（SOCYETI ソサイエティ）という有志の会のサイトが公開されたようです。

SOCYETI

SOCYETI（ソサイエティ）について | SOCYETI

ぼくも現在、SOCアナリストとして仕事をしているので、こういった会にはぜひ参加してみたいと思っておりますよよよ！！！

ではでは(●´ω｀●)

＜更新履歴＞

2018/04/02 PM　公開

2018-03-05

「第3回情報セキュリティ事故対応アワード」に行ってみた。 #事故対応アワード

セキュリティ

どもどもにゃんたくです。

さて、今回はこちらに行ってきました！

第3回情報セキュリティ事故対応アワード

news.mynavi.jp

当日はTwitterと連動しながらすすめる場面もありました。
その時のハッシュタグは「#事故対応アワード」

このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。

togetter.com

=================================================

<2018/03/26>

第3回セキュリティ事故対応アワードの開催レポートが公開されたので追加

news.mynavi.jp

==================================================

僕は、第1回、第2回と参加しており、幸運にも今回も参加することができました。

第1回と第2回の受賞一覧はコチラです。

news.mynavi.jp

なお、昨年の「第2回」の僕の感想ブログはこちら

mkt-eva.hateblo.jp

まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。

※一部前回の内容と同じ部分あり

▼情報セキュリティ事故対応アワードとは

セキュリティ事故後の対応（インシデント・レスポンス）が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。

ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

▼部門賞一覧

最優秀賞、優秀賞、特別賞、報道賞

※報道賞は第2回から新設。有識者が「良かったと感じた記事」を讃える賞

▼評価軸

・事故発覚から、第一報までの時間（事故報告するまでの期間、頻度）

・発表内容（原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等）

・自主的にプレスリリースを出したか（報道だけではなく、自社発信）

▼集計期間

・昨年1年間

※第3回の場合2017年1月から2017年12月まで。

▼ 審査員

・徳丸浩氏（Twitter : @ockeghem）

・北河拓士氏（Twitter : @kitagawa_takuji）

・根岸征史氏（Twitter : @MasafumiNegishi）

・辻伸弘氏（Twitter : @ntsuji）

・piyokango 氏（Twitter : @piyokango）

･･･セキュリティのBIG 5の皆様です。ちなみにアワード委員長は、辻さんです。

さてなんとなくですが、どんなアワードかわかっていただけたかと思います。

そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。

この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。

では、なぜ褒めるのか。

それは「情報セキュリティ事故対応アワードとは」にも書いた、

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

の一言に尽きるのでは無いでしょうか。

もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。

しかしながら、インシデントは「起きてしまう」ものです。

インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。

ここまでの内容はほぼ「第2回」の内容と変わりません。（もうしわけ）

ただ今回の第3回から大きく2つ変わったところがありました。

①事故対応アワードのツイッターアカウントができた

twitter.com

アワード中はハッシュタグの「 #事故対応アワード」で参加者のリアルタイムの意見をTwitterで観測できるという部分は第1回、第2回と変わらずでしたが、第3回からまさかのアカウントができるとは思いませんでした。

このアカウントではアワード中に話題なった内容のニュース情報やプレスリリース文、ハッシュタグの「 #事故対応アワード」でつぶやかれた参加者のツイートをRTしたりしてくれる非常にありがたいアカウントでした。

②アワード中にリアルタイムに記事が公開された

これはなかなかに驚きました。

このブログ後半のネタバレになってしまいますが、リアルタイムに公開された記事はこちらの2つです。

news.mynavi.jp

被害を受けてわかったこと、感じたことが非常に「リアル」に書かれていて興味深いです。

ただ、結構な分量があるので、アワード中に読むことは「僕は」できませんでした。

どちらかというとアワード審査員5名の話の内容を聞きたかったので。。。

さてさて、今回の事故対応アワードは、アワードとパネルディスカッション、質問コーナーの3段階構成で行われていました。

アワードの内容、パネルディスカッション。質問コーナーの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。

第3回情報セキュリティ事故対応アワード
パネルディスカッション
質問コーナー
全体的にアワードに対して僕が感じたコト

第3回情報セキュリティ事故対応アワード

選考概要

・調査件数、数百件

・ノミネート21件

・最終候補4件

最優秀賞（0社）

該当なし。

まさかの、「該当なし」でした。

第1回、第2回ともに1社選ばれていましたが、今回は無しということでした。

ただ、対応が良かった件がなかったというわけではなく、審査員の中で「推しインシデント」が割れたそうです。

ただ、「審査員のなかで割れるくらい、事故対応が良い企業が増えたのではないか」というコメントもされていました。

優秀賞（2社）

1社目

【受賞】

ディノス・セシール

【インシデント内容】

・1年で4回、”なりすまし”による不正アクセス被害の情報を公開

・なりすまし不正アクセス回数が10回程度でも検知し、自主的にプレスリリースに掲載

【プレスリリース】

https://www.dinos-cecile.co.jp/whatsnew/topics_20170925.pdf

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20170919.pdf

https://www.dinos-cecile.co.jp/pdf/topics_20170824-2.pdf

https://www.dinos-cecile.co.jp/whatsnew/pdf/topics_20170823.pdf

https://www.dinos-cecile.co.jp/whatsnew/topics_20170731.pdf

【受賞理由（審査員コメント含む）】

・多くのサイトで頻発しているであろう小規模の不正ログインに対して、都度情報公開して真摯に対応している。
・また、試行数10~20回程度の不正ログインを検知し、自ら対応している点は素晴らしい

・企業では被害にあったユーザにだけ被害の周知をしているが、公にはしてない企業が多いなか、公にしている

・リスト型攻撃など最近あまり聞かないが（減ってきているのかもしれないが）、発生していないということではないということを発信してくれている

・事故についてのプレスリリース内容の情報が少ない企業が多いなか、具体的な情報を発信してくれているところがよかった

【セキュリティニュース】ディノス・セシール、再度パスワードリスト攻撃を検知（1ページ目 / 全2ページ）：Security NEXT

ASCII.jp：ディノス・セシール通販サイトに「なりすまし」による不正アクセス

2社目

【受賞】

ぴあ / B.LEAGUE

【インシデント内容】

・ぴあが受託開発したB.LEAGUEチケットサイトにおいて、Apache Struts2の脆弱性を突かれ、クレジットカードを含む個人情報が漏洩

【プレスリリース】

http://corporate.pia.jp/news/files/security_incident20170425.pdf

http://corporate.pia.jp/news/files/security_incident20170518.pdf

B.LEAGUEチケット等でのクレジットカード決済再開のお知らせ｜ぴあ株式会社

（3/27・16:00追記）「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせ - B.LEAGUE（Bリーグ）公式サイト

「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせに関する4月11日（火）時点の追加のお知らせ - B.LEAGUE（Bリーグ）公式サイト

B.LEAGUEチケット等でのクレジットカード決済再開に関する、現状のご報告 - B.LEAGUE（Bリーグ）公式サイト

【受賞理由（審査員コメント含む）】

・問題発覚後、対応状況を都度公開

・サービスの停止もすばやく行い、事故対応が的確、迅速であった

・Apache Struts2の脆弱性を突かれた、という情報をメディアで発信した

・カード被害額の公表は史上初

・被害者へのお詫びの手紙ではプレスリリースよりも詳細な情報を記載した

事故対応でB.LEAGUEが得た2つの教訓 [事故対応アワード受賞レポート]｜セキュリティ｜IT製品の事例・解説記事

またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害 | 日経 xTECH（クロステック）

ぴあ運営のB.LEAGUEチケットサイトに不正アクセス--クレカ情報流出とされる被害も - CNET Japan

ぴあ、Bリーグ不正アクセス問題新たにカード情報6500件の流出可能性を発表計4万件弱に - ねとらぼ

特別賞（0社）

該当無し

※実際にはあったが、辞退されたとのこと

報道賞（0社）

該当無し

パネルディスカッション

※パネルディスカッションで話題になった内容を列挙します

・今回の事故対応アワードの事象選出にあたって思ったこと

→今回受賞しなかった企業で、事故対応は早かったのに、内容がいまいちのものがあった

→早ければ良い、ってものでもない、中身との兼ね合い（バランス）が大事

→ただ、早いっていうのは「アワード的には」加点要素

・ソフトバンク・テクノロジーの不正アクセス事故について

→事故が発生した時、辻さんの頭の中ですぐに「事故対応アワードのことが頭に浮かんだ」とのこと
（辻さんの「頭の中でハッシュタグつけちゃいましたよ！」の一言は笑った）

→実際の事故が発生し、事故対応アワードで得た知見を、広報との連携やプレスリリースの作成に役立たせることができた

→今回の事故対応アワードのノミネートに21件上がったがソフトバンクテクノロジーはノミネートされず

【参考情報】

不正アクセスによる情報流出の可能性に関する詳細調査のご報告（最終報）｜ソフトバンク・テクノロジー株式会社企業情報

不正アクセスのその後、ソフトバンク・テクノロジー辻氏が語った体験談 (1) ミスが積み重なって起きた不正アクセス | マイナビニュース

・「付録C」について

→「付録C」とは、経済産業省が公開している『サイバーセキュリティ経営ガイドライン』についてくる「付録C インシデント発生時に組織内で整理しておくべき事項」という付録の略称（※2017年11月16日公開）

→インシデントが発生した時に組織内で整理しておくべき事項をまとめたもの

→「事故が発生した後」に使うものではなく、セキュリティ事故が発生する「前」から利用してもらいたい

【参考情報】

サイバーセキュリティ経営ガイドラインを改訂しました（METI/経済産業省）

サイバーセキュリティ経営ガイドライン（METI/経済産業省）

「付録C」は事故の情報公開の際や事件事故を取材する方々にも整理のために活用いただきたいですよ。 / サイバーセキュリティ経営ガイドラインを改訂しました（METI/経済産業省） https://t.co/C4Py25mtT1
— 辻伸弘(nobuhiro tsuji) (@ntsuji) 2017年11月16日

・パスワードリスト攻撃について

→パスワードリスト攻撃って、言うほど「企業側」に責任ないのではないか。犯人が一番悪いが、ユーザー自身にも責任があるのではないか。

→ただ、システム的に「2段階認証」を導入していないのも企業として責任を果たしているとは言い切れないのではないか

→安易にパスワード変更するよりも、2段階認証したほうがおすすめ

質問コーナー

※事前に参加登録者からの質問に答えていこうコーナー

質問1：事故を起こす要因となった担当者は、社内でどうなってしまうのか？

→ソフトバンクテクノロジーの事故のときは、個人の問題（責任）でなはく、会社、組織の問題として扱い、処遇の変更は行わなかった

→ただ、一般論として、処分や処罰されたという報告は見るし、海外では解雇されるケ

ースもある

→2015年の年金機構の事故付近に「標的型攻撃訓練メール」が話題になり、開いたらクビだ！と言われた企業もあった模様

→一番の問題は、事故が起きたときに、「すぐ報告できる」かどうか（社内の雰囲気や運用のフローもあるけど）

質問2：経営陣と現場担当者で意見が別れたときにどうするべきか？

→ソフトバンクテクノロジーの事故のときは、出せるものは出すという方針と最初に取り決めた

→現場は「事故対応」のプロではないので、経営陣の判断に足る情報を収集し、報告し、経営陣の判断に従うという姿勢が大事

→可能性、とか不確定な情報は出すべきではないが、発表するときの折り合いは大事

→こういうときに「付録C」が役に立つ

質問3：事故対応で絶対にやっちゃいけないこととは？

→某社で、サイトが改ざんされていると報告されたが、社長が「風説の流布」だと一蹴したことがあった、OMG!!!!

→「非常に高度な攻撃を受けた」など、被害を受けた側があたかも問題がなかったとアピールするのは逆効果

→責任の擦り付け合いはNG

全体的にアワードに対して僕が感じたコト

・第1回、第2回と徐々に参加者の人数が増えてきたな、という感じ。それだけこの事故対応アワードの知名度が上がってきたんだなと感じました

・Twitterなどを見ていると、アワードに対する懐疑的な意見もありました。それは、事故によって被害を受けたユーザーにしてみれば、「被害を与えた企業が表彰されるのってどうなの？」と感じてしまうという点です。これは僕も感じたことでした。ただ、このアワードは決して「事故を起こしたこと」を表彰しているわけではなく、「事故を起こしたことへの対応」を表彰しています。

ですので、アワードを聞きに来た方々が、個々に所属する組織で同じことが起こらないようにするために活用するものなんです。事故が起こらない、起こさないということが一番目指すところだと僕は感じています。

そうそう、ステマではないですが、今回表彰されたB.LEAGUEの方が講演をしてくれるセミナーが今月3月16日に開催されるそうです。（辻さんの講演もありますね）

news.mynavi.jp

時間があれば聞きに行くのもいいかもしれませんね。

最後に。

サイバー攻撃は日々増加しています。攻撃の種類も日々進化、増加しています。

セキュリティ事故やインシデントは対策をとっていても、されてしまう時はされてしまうと思っています。

「起きたときに考えればいいや」では、被害が大きくなる可能性もあるので、起きる前から対応フローや対策は考えておくべきだと思います。

ぼくも企業でセキュリティの仕事（SOCアナリスト）をしていますが、一手先、2手先を見据えて準備しておこうと改めて感じました。

来年も「セキュリティ事故対応アワード」楽しみにしています！

ここまで読んでいただきありがとうございました。

ではでは。