にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2018年11月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

最近、寒暖差がよくわからず外出するとき何着ればいいかわからない日が続いていますよね。そのせいなのか僕は最近喉をやられて(風邪かな?)しまったりしたので、この時期は皆さん風邪等にはお気をつけくださいませ。

 

あ、忘年会シーズンですので酔っ払って風邪引くだけではなく、『落とし物』にも気をつけてくださいね。

財布、社員証スマホ…『〇〇を落としただけなのに』にならないようにしてくださいませ!

※先日映画の『スマホを落としだけなのに』を観ましたが、「セキュリティ的にそれはおかしい」って思う箇所が実は映画の真相を解く鍵になっていたってとこがあって観ていてニヤニヤできました。セキュリティに興味のある方、ない方かかわらずオススメの映画です。

 

さてさてさて。

もう一つお伝えしたいことがあります。

実は先日McAfeeのカンファレンス、「MPOWER2018」で登壇させていただいたんですが…

それをメディアに取り上げていただきました(´;ω;`)ウッ…

しかもヤフーニュースにまで…

www.itmedia.co.jp

headlines.yahoo.co.jp

 

こういった大きな場で登壇させていただけたのは僕一人の力では決してありません。

いつも僕に協力してくださる多くの方々のおかげだと思っています。

 

僕一人ではなにもできません。

僕自身まだまだ経験も知識も少ないので、たくさんの人達の力を借りるしか無いんです。

嫌な顔せずに協力してくださる皆さん、いつも本当にありがとうございます。

そしてこれからもどうぞ「にゃん☆たく」をよろしくお願いいたします。

  

そしてこの記事を書いてくださった宮田さんにも感謝しています。記事にしていただくことで自分たちがやっているコミュニティに一人でも多くの人が興味をもってくれることもあると思います。そういう広がりを大切にしていきたいと僕は思っています。

 

では前月のまとめです。

脆弱性のアレコレ

Adobe Flash Playerに脆弱性

【概要】
Adobe Flash Playerに脆弱性が存在しm脆弱性を悪用したコンテンツをユーザが開いた場合、リモートからの攻撃によって、任意のコードが実行される可能性がある

【CVE番号】
CVE-2018-15981
APSB18-44

 

【対象】
Adobe Flash Player Desktop Runtime (31.0.0.148) およびそれ以前
 (Windows, macOS および Linux)

Adobe Flash Player for Google Chrome (31.0.0.148) およびそれ以前
 (Windows, macOS, Linux および Chrome OS)

Adobe Flash Player for Microsoft Edge and Internet Explorer 11 (31.0.0.148) およびそれ以前
 (Windows 10 および Windows 8.1)

【対策】
アップデートする

【参考情報】
Adobe Flash Player の脆弱性 (APSB18-44) に関する注意喚起
Adobe Flash Player の脆弱性対策について(APSB18-44)(CVE-2018-15981):IPA 独立行政法人 情報処理推進機構
「Adobe Flash Player 31」に“Critical”な脆弱性 ~修正版が定例外で緊急公開 - 窓の杜
【セキュリティ ニュース】「Adobe Flash Player」に深刻な脆弱性 - 定例外アップデートが緊急リリース(1ページ目 / 全1ページ):Security NEXT


Apache Struts 2に脆弱性

【概要】
Apache Struts 2の「Commons FileUpload」ライブラリに脆弱性が存在しリモートよりコードを実行される可能性がある

 

【CVE番号】
CVE-2016-1000031

 

【対象】
Apache Struts 2.3.36」および以前のバージョン

【対策】
・アップデート
3月に公開された同ライブラリの最新版となる「同1.3.3」で脆弱性は解消されており、同版が同梱された「Apache Struts 2.5.12」では影響を受けない

 

【参考情報】
JVNDB-2016-005626 - JVN iPedia - 脆弱性対策情報データベース
[FILEUPLOAD-279] CVE-2016-1000031 - Apache Commons FileUpload DiskFileItem File Manipulation Remote Code Execution - ASF JIRA
「Apache Struts 2」のライブラリに脆弱性、直ちに更新を - ITmedia NEWS
【セキュリティ ニュース】「Apache Struts」のアップロード機能に深刻な脆弱性 - リモートよりコード実行のおそれ(1ページ目 / 全1ページ):Security NEXT

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年11月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Your invoice from [会社名と人名]
NTT-X Store】商品発送のお知らせ
楽天市場】注文内容ご確認(自動配信メール)
/発注-181112
支払依頼書
【連絡 ※請求書】
注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します"
"10月5日日付の管理費請求書
10月課金請求リスト
10月請求書 郵送のご連絡
11月請求書連絡
【再送】30年10月分請求書
〜請求書11月1日〜
ご請求書
別注お支払いの件
請求書"
【請求書、見積書送付】30/10-11
請求書送信のご連絡
RE: 10月分WO
10月請求書の件
再)ご請求書~
預かり金依頼書の送付(追い金)
2018年10月度 御請求書
請求データ送付します

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年11月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

Amazon をかたるフィッシング (2018/11/30)
Apple をかたるフィッシング (2018/11/13)
PayPal をかたるフィッシング (2018/11/12)
3D セキュア (本人認証サービス) の認証情報を詐取することを目的としたフィッシング (2018/11/09)


【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 


注意喚起やニュースのアレコレ

NICTが国内のIPアドレスに対し調査目的でポートスキャンを実施

【概要】
NICTが国内のIPアドレスに対しIoT機器に関する調査目的でポートスキャンを実施。
調査を行なうポート→22/TCP(SSH)、23/TCP(Telnet)、80/TCP(HTTP)
調査をする際にNICTがしようするIPは「210.150.186.238」「122.1.4.87」「122.1.4.88」の3つ

 

【参考情報】
日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について | NICT-情報通信研究機構
国内のIPアドレスが対象、TCP 22/23/80番へのポートスキャンをNICTが実施へ、11月1日の改正法令施行を受け - INTERNET Watch
【セキュリティ ニュース】NICT、脆弱IoT機器調査の検討に向け事前調査 - 11月14日から(1ページ目 / 全2ページ):Security NEXT

 

気象庁を騙る迷惑メールが出回る

【概要】
気象庁を騙る「津波警報発表」という件名の迷惑メールが出回り、気象庁は注意を呼びかけた
なお、偽サイトでは、正規ドメインである「jma.go.jp」と類似している「jma-go[.]jp」というドメインが使用された。

 

【参考情報】
気象庁|報道発表資料
気象庁のなりすましメールについてまとめてみた - piyolog
【セキュリティ ニュース】偽「津波警報発表」メールに注意 - 不安煽って偽サイトへ誘導(1ページ目 / 全1ページ):Security NEXT


IntelのCPUに新たな脆弱性「PortSmash」

【概要】
IntelのCPUに新たな脆弱性が発見され「PortSmash」と名づけられた。
この脆弱性は標的と同じ物理コア上で不正なプロセスを実行する必要があるという点で、ローカル攻撃と位置付けられるものである。

 

【参考情報】
IntelのCPUに新たな脆弱性、研究チームが実証コード公開 - ITmedia NEWS
Hyper-Threading有効時にスレッド上の情報が盗まれる「PortSmash」 ~Intel製品のほかRyzenにも影響か - PC Watch
IntelのCPUで新たな脆弱性「Portsmash」が発見される、ハイパースレッディングに関する2つ目の脆弱性 - GIGAZINE
【セキュリティ ニュース】同一コアのスレッド同時実行技術に脆弱性 - サイドチャネル攻撃「PORTSMASH」が明らかに(1ページ目 / 全2ページ):Security NEXT


Skype for Businessに絵文字処理の脆弱性

【概要】
Skype for Businessに絵文字処理の脆弱性が存在し、大量の絵文字を送りつけると数秒間利用できないという状態になることがわかった。

【参考情報】
猫800匹でSkype for Businessがフリーズ 絵文字処理の脆弱性に関する詳細、セキュリティ企業が公表 - ITmedia NEWS
Skypeに子猫の絵文字で攻撃可能な脆弱性 | マイナビニュース
Skype for Business、大量の絵文字で遅くなったりフリーズする脆弱性 | 財経新聞


トレンドマイクロiOSアプリ「ウイルスバスター モバイル」が配信再開

【概要】
トレンドマイクロiOSアプリ「ウイルスバスター モバイル」がApp Storeで配信再開になった。

 

【参考情報】

iOS版ウイルスバスター、App Storeで公開再開 - ITmedia NEWS
トレンドマイクロの「ウイルスバスター」iOS版、App Storeで配信再開 | マイナビニュース
トレンドマイクロ、公開停止となっていたアプリの一部が再公開されたことを発表 - 窓の杜
トレンドマイクロ社はiOS版「ウイルスバスター」などの詐欺的ビジネスの総括をするべき(山本一郎) - 個人 - Yahoo!ニュース

 

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

▼サイバーレスキュー隊(J-CRAT)活動状況[2018年度上半期]
https://www.ipa.go.jp/files/000070034.pdf
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構


JPCERT コーディネーションセンター

“渡り鳥”Mejiro モンゴル~バリ島10,000kmの旅 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
事務所移転のお知らせ(2018-11-26)


Trend Micro

日本語化される法人向け詐欺と個人への脅迫、2018年第3四半期の脅威動向を分析 | トレンドマイクロ セキュリティブログ
Linux を狙う仮想通貨発掘マルウェアを確認、ルートキットを利用し活動を隠ぺい | トレンドマイクロ セキュリティブログ
Pawn Stormによる攻撃キャンペーンを日本国内でも確認 | トレンドマイクロ セキュリティブログ
10月も継続した「セクストーション」スパム、総被害額は1,000万円を突破か | トレンドマイクロ セキュリティブログ
日本のユーザを狙うスパムメール送信活動を確認、ステガノグラフィを利用し「BEBLOH」を拡散 | トレンドマイクロ セキュリティブログ
Docker コンテナの設定不備を悪用し仮想通貨発掘マルウェアを拡散する攻撃を確認 | トレンドマイクロ セキュリティブログ


McAfee

ワームとは?ウイルスとの違い|特徴・感染経路・被害例・対策を解説
今知るべきATT&CK|攻撃者の行動に注目したフレームワーク徹底解説
ロシアの仮想通貨マイニングマルウェア WebCobraを発見
あなたのアカウント、ボットに狙われているかも?

 

LAC

JSOC INSIGHT vol.21 | セキュリティ対策のラック
「Yahoo! JAPAN」実践型セキュリティ総合演習に技術協力しました(2018年版) | セキュリティ対策のラック
iPhoneやiPadのメールアプリが動かなくなる恐れ。利用者は最新版iOSへの更新を(JVN#96551318) | セキュリティ対策のラック


IIJ

wizSafe Security Signal 2018年10月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ


Tokyo SOC Report

Drupalの脆弱性(CVE-2018-7600)を悪用したWebサイトへの広範囲な攻撃を観測 - Tokyo SOC Report

 

piyolog

国内のTwitter認証済みアカウントののっとりについてまとめてみた - piyolog
気象庁のなりすましメールについてまとめてみた - piyolog

 

(n)inja csirt

OpKillingBay 2018 を含む海洋生物保護関連オペレーション メモ | (n)inja csirt

 

今回もココまで読んでいただきありがとうございました。

ではでは!

って年内のブログ更新はコレで終わりかもしれませんので、皆さん良いお年を!

            _о
           (:∴:)
        -'''"´ ̄ ̄`"''''-、
      / /       \ \
     /   ● ,,.  .,, ●    ヽ
     |.     (__人__)     |
     ''-、、,,,,,,______,,,,,,、、-''
     -'''"´ ̄ ̄ ̄ ̄ ̄ ̄`"''''-、
   /   /        \    \
  /      ● ,,.  .,, ●        ヽ
  |.        (__人__)         |
  ''-、、,,,,,,__________,,,,,,、、-''

 

 

 

<更新履歴>

2018/12/03  AM 公開

2018年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

今年も残り2ヶ月を切りましたね・・・2018年もあっという間に終わりそうです。

そうそう、そんな僕は今年初めてこちらに参加してきました!

codeblue.jp

 

海外のカンファレンスなどにもまだ参加したことない自分にとって、外国のセキュリティリサーチャー等の話が聴けたのは本当にタメになりました。。。。。

 

え?抽象的すぎるって?ごめんて。。。

 

実は今回話を聴きながら、彼らがどうやって講演するのか(話し方やスライドの作り方)を実はチェックしていました。

 

なぜかって?それは来月のまとめブログまで内緒でお願いします(〃´・ω・`)ゞえへへっ♪

 

さ、前月のまとめにさっさといっちゃいましょー!


脆弱性のアレコレ

「FileZen」に複数の脆弱性

【概要】
株式会社ソリトンシステムズが提供する「FileZen(ファイル受け渡し専用アプライアンス)」に複数の脆弱性が存在し、
三者からリモートで任意のコマンドを実行されたり、任意のファイルをアップロードされる可能性がある。

 

【CVE番号】
CVE-2018-0693
CVE-2018-0694

 

【対象】
FileZen V3.0.0 から V4.2.1 まで

 

【対策】
・アップデートする

 

【参考情報】
FileZenのための緊急パッチ(V4.2.2)適用のお願い | サポートからのお知らせ | サポート | ソリトンシステムズ
株式会社ソリトンシステムズ製の「FileZen」における複数の脆弱性について(JVN#95355683):IPA 独立行政法人 情報処理推進機構
JVN#95355683: FileZen における複数の脆弱性
【セキュリティ ニュース】ファイル送受信用アプライアンス「FileZen」に複数の脆弱性(1ページ目 / 全1ページ):Security NEXT

 


Cisco Webex」に脆弱性

【概要】
Cisco Webexに脆弱性が存在し、第三者によりローカルのユーザがシステム権限で任意のコマンドを実行する可能性がある。

 

【CVE番号】
CVE-2018-15442

 

【対象】
Cisco Webex Meetings Desktop App 33.5.6 より前のバージョン
Cisco Webex Productivity Tools 32.6.0 から 33.0.5 まで (33.0.5 を除く)

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
Cisco Webex Meetings Desktop App 33.5.6 およびそれ以降
Cisco Webex Productivity Tools 33.0.5 およびそれ以降

 

【参考情報】
Cisco Webex Meetings Desktop App Update Service Command Injection Vulnerability
Cisco Webex Meetings Desktop App および Cisco Webex Productivity Tools の脆弱性 (CVE-2018-15442) に関する注意喚起
【セキュリティ ニュース】ビデオ会議ツール「Cisco Webex」に脆弱性 - 実証コード公開済み(1ページ目 / 全2ページ):Security NEXT

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年10月に出回った不審なメールの件名は以下のとおり

【件名一覧】
10月請求書の件
2018年10月度 御請求書
RE: 10月分WO
【請求書、見積書送付】30/10-11
再)ご請求書~
請求書送信のご連絡
預かり金依頼書の送付(追い金)
注文書の件
申請書類の提出
立替金報告書の件です。
納品書フォーマットの送付
請求データ送付します

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート


不審な偽サイト(フィッシングサイト)情報

2018年10月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
[更新] MUFG カードをかたるフィッシング (2018/10/24)
Amazon をかたるフィッシング (2018/10/19)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

2018年インターネット検索で最もリスクの高い有名人が発表

【概要】
マカフィーが2018年インターネット検索で最もリスクの高い有名人について発表し、1位に女優の『ルビー・ローズ』が選ばれた。

 

【参考情報】
オージー ルビー・ローズがインターネット検索で最も危険なセレブに
Aussie Ruby Rose is McAfee's Most Dangerous Celebrity | McAfee Blogs
マカフィー、2018年版「インターネット検索で最もリスクの高い有名人」を発表 ~今年の1位は女優のルビー・ローズ~|マカフィー株式会社のプレスリリース


日本気象協会を騙る偽メールに注意

【概要】
日本気象協会は天気予報専門メディア「tenki.jp」を騙ったメールが出回っているとして注意喚起を行なった。

 

【参考情報】
日本気象協会を装った迷惑メールにご注意ください | ニュースリリース・日本気象協会からのお知らせ | 日本気象協会
日本気象協会かたる迷惑メールに注意 「台風は最悪のコースへ」など気象情報装う - ねとらぼ
気象協会装い迷惑メール ウイルス感染の恐れ :日本経済新聞
【セキュリティ ニュース】日本気象協会の偽メールに注意 - 災害で不安煽りURLや添付ファイル開かせる手口(1ページ目 / 全1ページ):Security NEXT

 

性的脅迫(セクストーション)の手口を利用した詐欺メールが増加

【概要】
性的脅迫(セクストーション)の手口を利用したビットコインを要求する詐欺メールが増加しており注意が必要。
セクストーションとは、「sex(性的な)」と「extortion(ゆすり)」を掛け合わせた造語

 

【参考情報】
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
「アダルトサイト経由のハッキング」で脅す詐欺メール、12日間で250万円を詐取か | トレンドマイクロ セキュリティブログ
ビットコイン要求する詐欺メール出回る 「アダルトサイトアクセス時のビデオばらまく」と脅迫 - ITmedia NEWS

 

Oracleが四半期毎の定期パッチを公開

【概要】
Oracleが四半期毎の定期パッチを公開し、301件の脆弱性を修正した。
次回は、2019年1月15日に公開予定。

 

【参考情報】
CPU Oct 2018
オラクルが10月の定例パッチ公開--301件の脆弱性を修正 - ZDNet Japan
Oracle、Javaやデータベースなど301件の脆弱性を修正 速やかに適用を - ITmedia NEWS
【セキュリティ ニュース】Oracle、四半期定例パッチをリリース - 脆弱性301件を修正(1ページ目 / 全1ページ):Security NEXT


「libssh」に認証回避の脆弱性

【概要】
「libssh」に認証回避の脆弱性が存在しており、アップデートすることが推奨された。
なお、OpenSSHにはこの問題は存在しておらず、libsshとOpenSSH、libssh2とlibsshとはまったくの別物である。

 

【参考情報】
libssh 0.8.4 and 0.7.6 security and bugfix release – libssh
libsshに認証回避の脆弱性、要注意 | マイナビニュース
「libssh」に認証手順を迂回する脆弱性--パッチがリリース - ZDNet Japan
libsshの脆弱性情報(Important: CVE-2018-10933) - 脆弱性ブログ

 

ランサムウェア「GandCrab」の復号ツールが公開

【概要】
ランサムウェア「GandCrab(ガンクラブ)」の復号ツールが公開
GandCrab(ガンクラブ):支払いに仮想通貨「DASH」を使用する身代金請求型のマルウェア

 

【参考情報】
The No More Ransom Project
ランサムウェア「GandCrab」対応復号ツール、100万ドル超の被害回避--Bitdefender報告 - ZDNet Japan
ランサムウェア「GandCrab」対応の復号ツール公開、複数バージョンに対応 - ZDNet Japan
宇陀市立病院がランサムウエア被害、身代金は支払わず :日本経済新聞
【セキュリティ ニュース】ランサムウェア「GandCrab」に無料の復号ツール - 被害者は推計50万人(1ページ目 / 全2ページ):Security NEXT

 

Windowsのゼロデイ脆弱性Twitterユーザーにより公開される

【概要】
「SandboxEscaper」と名乗るTwitterユーザーが、この2ヶ月の間にWindowsのゼロデイ脆弱性を2回公開した。
 

【参考情報】
Windowsのゼロデイ脆弱性、またもやTwitterユーザーが公開 - ZDNet Japan
Windows 10に未解決の脆弱性、任意のファイルが削除される恐れ - ITmedia エンタープライズ
Windows 10にゼロデイ脆弱性、“GitHub”でデモコードが公開される - 窓の杜
【セキュリティ ニュース】「Windows」にゼロデイ脆弱性、PoCが公開 - 8月の「ALPC脆弱性」公表と同一人物(1ページ目 / 全2ページ):Security NEXT

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブ(J-CSIP(ジェイシップ)):IPA 独立行政法人 情報処理推進機構
「情報セキュリティ対策ベンチマーク バージョン4.7」と「診断の基礎データの統計情報」を公開:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構


JPCERT コーディネーションセンター

JPCERT/CC インシデント報告対応レポート [2018年7月1日~2018年9月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20181016.pdf

JPCERT/CC 活動概要[2018年7月1日~2018年9月30日]
http://www.jpcert.or.jp/pr/2018/PR20181016.pdf

インターネット定点観測レポート(2018年 7~9月)
JPCERTコーディネーションセンター公式ブログ 「JPCERT/CC Eyes」を開設しました! - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
マルウエアTSCookieの設定情報を正常に読み込めないバグ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


Trend Micro

「Locky」を模倣した新種の暗号化型ランサムウェア「PyLocky」について解説 | トレンドマイクロ セキュリティブログ
ボットネットによる拡散機能を備えた暗号化型ランサムウェア「Viro」を確認 | トレンドマイクロ セキュリティブログ
VBScript エンジンのメモリ解放後使用脆弱性「CVE-2018-8373」を利用する新しい攻撃を確認 | トレンドマイクロ セキュリティブログ
「アダルトサイト経由のハッキング」で脅す詐欺メール、12日間で250万円を詐取か | トレンドマイクロ セキュリティブログ
乗っ取ったメールアカウントを利用し、既存スレッドへの返信で「URSNIF」を拡散するスパムメール送信活動を確認 | トレンドマイクロ セキュリティブログ
Java Usage Tracker の脆弱性「CVE-2018-3211」を発見、Windows 環境で検証 | トレンドマイクロ セキュリティブログ
Windows の正規機能 WMI および CertUtil を利用しブラジルのユーザを狙うマルウェアを確認 | トレンドマイクロ セキュリティブログ

 

McAfee

アドウェアとは?迷惑な広告を表示するマルウェアの検出・駆除・対策
Facebook 新たに発見されたセキュリティ上の欠陥を発表
パソコンが重いと感じた時すぐできる解決策!動作を軽くする対策8選
マカフィー、 中国のハッカーグループのソースコードを使用した新たなサイバー攻撃キャンペーンを発見
新手のブラウザハイジャッカーの攻撃とそれに対する防御について
あなたのアカウント、ボットに狙われているかも?


LAC

IT/OTの融合における「人」の重要性 | セキュリティ対策のラック

 

MBSD

CSS2018登壇 & Black Hat EUROPE 2018登壇予告

 

IIJ

wizSafe Security Signal 2018年9月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

piyolog

上位ISPで発生したとみられる通信障害についてまとめみた - piyolog
2018年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog
FINAL FANTASY XIVへのDDoS攻撃による接続障害についてまとめてみた - piyolog

 

徳丸浩の日記

クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記

 

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 .  ∧_∧
 ( ´・ω・)
 //\ ̄ ̄旦\
// ※ \___\
\\  ※  ※  ※ ヽ
  \ヽ-___–___ヽ

 

<更新履歴>

2018/11/06  AM 公開

2018/11/08  AM 【MBSD】の項目修正 

2018年9月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

なんだか最近は天候がバグってるようで、寒かったと思ったら暑かったり、暑かったと思ったら寒かったり。。。よくわからない天候が続いていますので、皆さん体調管理等には気をつけてくださいね!

※というか昨日(9月30日夜~10月1日朝)は台風の影響で風がすごくてほとんど眠れませんでしたよ…

 

さて、今日から10月1日ですね。

弊社では今日、都内の某ホテルで内定式がとりおこなわれているようです。

思い返してみると、4年前の10月1日は緊張して内定式に行ったよなぁってことをふと思い出しましたよ。

 

あれから4年経って、僕は何が変わったんだろうな、と。

仕事環境、人間関係、体重、、、変わったことは沢山ありました。

楽しいこと、嬉しいこと、悲しいこと、くやしいこと、沢山経験してきました。

でもまだまだこういう『こと』は経験していくでしょう。

 

社会人になって3年半、いまだに変わっていないことがあります。

それは、『仕事を楽しもう』という気持ちです。

 

ぼくは仕事について考えることが大好きです。

どうやったら仕事がうまくいくか、どうやったら一緒に仕事をしてるメンバーが効率よく仕事ができるか、どうやったら会社が成長できるか、そういうことを考える時間が大好きなんです。まぁめっちゃ悩みますけどね笑

 

その根底にあるもの、それが『仕事を楽しもう』という気持ち、なんです。

そういう気持ちをぜひ持って、これからの若い人たちには頑張ってほしいなと思ってます。

 

さ、先輩風をビュービューに吹かせたところで、前月のまとめです。

  

脆弱性のアレコレ

Microsoft Windowsのタスクスケジューラに脆弱性

【概要】
Microsoft WindowsのタスクスケジューラのALPC インターフェースに脆弱性が存在し、
ローカルユーザによって、権限昇格が可能になり、SYSTEM権限が取得される可能性がある。

 

【CVE番号】
CVE-2018-8440

 

【対象】
Microsoft Windows タスクスケジューラ

 

【対策】
▼アップデートする

ワークアラウンドを実施する
Microsoft Sysmon を使用して攻撃コードの実行を検知する
ディレクトリ C:\Windows\Tasks にアクセス制御リストを設定する


【参考情報】
JVNVU#96222149: Microsoft Windows タスクスケジューラの ALPC インターフェースにおけるローカル権限昇格の脆弱性
2018年 9月マイクロソフトセキュリティ更新プログラムに関する注意喚起
PowerPool malware exploits zero-day vulnerability
マイクロソフト、9月の月例パッチ公開--Windowsタスクスケジューラの脆弱性も修正 - ZDNet Japan
「Windows」タスクスケジューラの脆弱性を悪用するマルウェア見つかる - ZDNet Japan
Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る - ITmedia エンタープライズ
Windowsタスクスケジューラに発覚した脆弱性、たった2日で悪用マルウェアが出回る - ITmedia NEWS

 


スマートフォンアプリ「+メッセージ(プラスメッセージ)」に脆弱性

【概要】
スマートフォンアプリ「+メッセージ(プラスメッセージ)」にSSLサーバ証明書の検証不備の脆弱性が存在し、暗号通信の盗聴などが行なわれる可能性がある。


【CVE番号】
CVE-2018-0691

 

【対象】
▼株式会社NTTドコモ
Android アプリ「+メッセージ(プラスメッセージ)」 42.40.2800 より前のバージョン
iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

KDDI株式会社
Android アプリ「+メッセージ(プラスメッセージ)」 1.0.6 より前のバージョン
iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

SoftBank
Android アプリ「+メッセージ(プラスメッセージ)」 10.1.7 より前のバージョン
iOS アプリ 「+メッセージ(プラスメッセージ)」バージョン 1.1.23 より前のバージョン

 

【対策】
▼アップデートする

 

【参考情報】
JVN#37288228: スマートフォンアプリ「+メッセージ(プラスメッセージ)」における SSL サーバ証明書の検証不備の脆弱性
3キャリア提供の「+メッセージ」アプリ、サーバー通信に脆弱性 - ケータイ Watch
【セキュリティ ニュース】携帯キャリアの「+メッセージ」に脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT
ドコモからのお知らせ : 「+メッセージ」アプリをご利用のお客さまへ、アップデート実施のお願い | お知らせ | NTTドコモ
「+メッセージ」アプリをご利用のお客様へ アプリアップデートのお願い | スマートフォン・携帯電話 | au
「+メッセージ」セキュリティ対策のためのアプリアップデートのお願い | モバイル | ソフトバンク

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年9月に出回った不審なメールの件名は以下のとおり

※9月はウイルス付きばらまきメールはほとんど観測されず、そのかわりに『ばらまき型脅迫詐欺メール(sextortion(性的脅迫))』のメールがばらまかれていました

 

【件名一覧】

・ あなたの秘密の生活
・ セキュリティ警告
・ アカウントの問題
・ 読んだ後に電子メールを削除!
・ 緊急のメッセージ
・ 私はあなたのアカウントをハックしている
・ あなたのアカウントは亀裂です
・ それはあなたの安全の問題です。
・ あなたのアカウントについて。
・ あなたの安全は危険にさらされています!

・あなたの心の安らぎの問題。
・AVアラート
・緊急対応!
・すぐにお読みください!

 

【参考情報】

仮想通貨を要求する日本語の脅迫メールについて

【2018/9/29】ばらまき型脅迫詐欺メールに関する注意喚起 - 情報基盤センターからのお知らせ

【2018/9/28】ばらまき型脅迫詐欺メールに関する注意喚起 - 情報基盤センターからのお知らせ

【2018/9/26】ばらまき型脅迫詐欺メールに関する注意喚起 - 情報基盤センターからのお知らせ

 


不審な偽サイト(フィッシングサイト)情報

2018年9月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

MyJCB をかたるフィッシング (2018/09/19)

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 


注意喚起やニュースのアレコレ

東京オリンピックを騙るフィッシングメールが出回る

【概要】
2020年の東京オリンピックパラリンピックに便乗したフィッシングメールが出回り、日本や米国など約17万人以上にフィッシングメールが送信されたとのこと。


【参考情報】
【セキュリティ ニュース】東京オリンピックの便乗フィッシングメール、17万4000人に送信か(1ページ目 / 全1ページ):Security NEXT
東京五輪に便乗した標的型攻撃が発生か--「無料チケット」で不正サイトに誘導 - ZDNet Japan
先週のサイバー事件簿 - 東京五輪を騙るフィッシングメール拡散中 | マイナビニュース


「OpenSSL 1.1.1」がリリース

【概要】
TLS 1.3」がサポートされた「OpenSSL 1.1.1」がリリースされた。旧バージョンの「OpenSSL 1.0.2」は2019年末でサポート終了予定。


【参考情報】
/news/openssl-1.1.1-notes.html
「TLS 1.3」正式リリース、Firefoxなど主要ブラウザが対応 - ITmedia エンタープライズ
「OpenSSL 1.1.1」がリリース--「TLS 1.3」をサポート - ZDNet Japan
【セキュリティ ニュース】「TLS 1.3」サポートした「OpenSSL 1.1.1」がリリース - 「同1.0.2」は2019年末にサポート終了(1ページ目 / 全1ページ):Security NEXT
安全で高速なTLS 1.3が登場、2019年内に対応を | 日経 xTECH(クロステック)


App Storeからトレンドマイクロ製のアプリが削除される

【概要】
Appleの公式ストア『App Store』からトレンドマイクロ製のアプリが削除された。利用者のWeb閲覧履歴を「Trend Micro Inc. DD」と呼ばれるサーバに転送していた可能性があるとして指摘を受けたが、トレンドマイクロは否定している。

 

【参考情報】
サポート情報 : トレンドマイクロ
【App Store上の当社アプリに関する重要なお知らせ】2018年12月26日更新 | トレンドマイクロ
Answers to Your Questions on Our Apps in the Mac App Store -
トレンドマイクロ製品がAppleのApp Storeで公開停止に ~Web閲覧履歴を送信していた問題が原因か - 窓の杜
ウイルスバスターなど、App Storeから消える トレンドマイクロは確認中 - ITmedia NEWS
トレンドマイクロ、国内のApp Storeからアプリが消滅--中国への閲覧データ送信は否定 - CNET Japan
【セキュリティ ニュース】トレンドマイクロ製アプリ、Apple公式ストアから削除(1ページ目 / 全1ページ):Security NEXT


仮想通貨取引所Zaif」が不正アクセスを受け、約70億円の被害にあう

【概要】
仮想通貨取引所Zaif」の入出金用のホットウォレットを管理するサーバが外部からの不正アクセスを受け、約70億円の被害にあった

 

【参考情報】
9月に発出された業務改善命令に対する業務改善計画書を提出いたしました。 | Zaif Exchange
近畿財務局から本日発出された業務改善命令について | Zaif Exchange
仮想通貨流出事件に関する状況報告、及び顧客対応状況について|テックビューロ株式会社のプレスリリース
仮想通貨の入出金停止に関するご報告、及び弊社対応について|テックビューロ株式会社のプレスリリース
Zaif、70億円流出の前日に利用規約を変更か 法的に有効か弁護士が解説 (1/3) - ITmedia NEWS
Zaifの仮想通貨流出、70億円に 当初発表から3億円拡大 - ITmedia NEWS
今週のブロックチェーン:Zaif暗号通貨流出のまとめ【iNTERNET magazine Reboot】 - INTERNET Watch


ソフトバンクが約1030万通のメールを誤って削除

【概要】
9月17日11時前から9月18日午前9時過ぎにかけて送信され、送信元ドメインに「.co.jp」が含まれる約1030万件の受信メールを誤ってソフトバンクが削除したと発表した

 

【参考情報】
迷惑メールフィルターの不具合による特定ドメインからのメールの一部消失についてのおわび | プレスリリース | ニュース | 企業・IR | ソフトバンク
ソフトバンク、迷惑メールのフィルタ不具合で約1,030万通のメールを消失 | マイナビニュース
ソフトバンク、約1030万通のメールを誤って消失--迷惑メールフィルタに不具合 - CNET Japan
ソフトバンク、迷惑メールフィルターの不具合で約1030万通のメールが消失 - ITmedia NEWS

 

Facebook脆弱性により約5000万人のアカウント情報が影響を受ける

【概要】
Facebook脆弱性により約5000万人のアカウント情報が影響を受けることが判明し、Facebookは約9000万人分のアクセストークンをリセットした

 

【参考情報】

Security Update | Facebook Newsroom

Facebook、約5000万人分のアクセストークン流出 「特定のユーザーへのプレビュー」機能に脆弱性 - ITmedia エンタープライズ

Facebook、5000万人の情報が流出か 脆弱性突かれアクセストークン流出 - ITmedia NEWS

5000万人が影響を受けたFacebookのデータ漏洩について知っておくべきこと | TechCrunch Japan

Facebookにサイバー攻撃--約5000万人の利用者に影響 - ZDNet Japan

 

セキュリティレポートのアレコレ

 

JPCERT コーディネーションセンター

Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
仮想通貨を要求する日本語の脅迫メールについて
ISC BIND 9 の脆弱性 (CVE-2018-5741) について


Trend Micro

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散 | トレンドマイクロ セキュリティブログ

サイバー諜報活動集団「Urpage」について調査、「Bahamut」、「Confucius」、および「Patchwork」との共通点を確認 | トレンドマイクロ セキュリティブログ

すぐ役立つ!電子メールを利用した脅威への対策 | トレンドマイクロ セキュリティブログ

「クラウド時代の認証情報」を狙いフィッシング詐欺が急増、2018年上半期の脅威動向を分析 | トレンドマイクロ セキュリティブログ

日本語の使用が確認された「ビジネスメール詐欺」、その背景に迫る | トレンドマイクロ セキュリティブログ


McAfee

Equifax 情報漏洩事件を振り返る
スマホもランサムウェアに感染します!感染の対処方法と4つの対策
セキュリティ担当者が知っておくと便利な無料のセキュリティ関連ツール10種

 

LAC

セキュリティ診断レポート 2018 秋 | セキュリティ対策のラック
DropboxをC2サーバとして悪用する、日本を狙った新たなマルウェアを確認 | セキュリティ対策のラック
第2回CTF for SchoolGIRLSでハンズオン講師を担当 | セキュリティ対策のラック
CYBER GRID JOURNAL Vol.6 | セキュリティ対策のラック


MBSD

ImageMagickを使うWebアプリのセキュリティ - 2. DoS | MBSD Blog
隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog
ImageMagickを使うWebアプリのセキュリティ - 3. XSS・アクセス制御 | MBSD Blog


NTTデータ先端技術株式会社

脆弱性検証レポートの新着記事「Apache Struts 2におけるリモートコード実行に関する脆弱性(CVE-2018-11776)(S2-057)についての検証レポート」を更新しました | NTTデータ先端技術株式会社
オラクル散歩道~やっぱりオラクルが好き!~の新着記事「なんとなくを腑に落とすシリーズ ~第1回 UNDO(前編)」を掲載しました | NTTデータ先端技術株式会社
Oracleサポート通信の新着記事「Oracle Database 12c 以降のパスワード管理で気をつけるべき事例」を掲載しました | NTTデータ先端技術株式会社
オラクル散歩道~やっぱりオラクルが好き!~の新着記事「なんとなくを腑に落とすシリーズ ~第1回 UNDO(後編)」を掲載しました | NTTデータ先端技術株式会社

 

IIJ

wizSafe Security Signal 2018年8月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

piyolog

Yahoo!募金のフィッシングサイトをまとめてみた - piyolog
日経ビジネスが報じたパスワード16億件流出についてまとめてみた - piyolog
Zaifで発生した不正送金事案についてまとめてみた - piyolog

 

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 


  / ̄ヽ
  / ●●|
 |( ゚Д) Trick or
_ノ  へへ  Treat!
\___ノ_ノ

 

 

<更新履歴>

2018/10/01 PM 公開

2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

平成最後の夏は皆さんいかがだったでしょうか。

にしても猛暑な夏でしたね・・・今年の夏は暑かったという印象しか正直ありません。

 

さて、そんな今年の夏、去年に引き続きコチラにお邪魔させていただきました。

f:id:mkt_eva:20180902223212j:plain

 

セキュリティ・キャンプ全国大会2018です!

セキュリティ・キャンプ全国大会2018 ホーム:IPA 独立行政法人 情報処理推進機構

 

今年も企業のお仕事紹介の時間にお邪魔し、参加者の皆様の前でお話させていただきました。

また、その後のグループワーク時にも多くの学生さんとお話させていただき、こちらとしても非常に刺激を受けました。さすがキャンプに参加するだけにセキュリティに対する『愛』を持っている皆さんばかりでした。

話してくれた皆さん、ありがとうございました。

 

そうそう、今年から『にゃん☆たく』の名刺も作って持参してました。笑

 

セキュリティキャンプに参加していた皆さんの体験記を収集して載せようと準備してたのですが、、、、

467さん(467 (@srn221B) | Twitter)がこのようなまとめを公開してくれていたので、セキュリティキャンプに興味のある方はぜひ読んでみてください。

467.hatenablog.com

 

各自のこういうアウトプットって僕は大事だと思っています。

僕はまだまだセキュリティの「セ」の字もわかっていない人間ですが、ブログやTwitterではどんどんアウトプットするようにして、色んな意見(特に悪い意見)を聞くようにしています。

アウトプットすることで自分では気づけないことに「気づける」ということが、セキュリティ関係なく大事だとぼくは思っています。

 

というわけで前月のまとめです。

 

脆弱性のアレコレ

Apache Struts2脆弱性(S2-057)

【概要】
Apache Struts2にはユーザ入力の不十分な検証に起因する脆弱性が存在し、リモートから第三者により細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性がある

※本脆弱性は、Apache Struts 2 の処理に起因し、Struts の設定ファイル(struts.xmlなど) で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URL タグの記述において value かaction の値が指定されていない場合に、本脆弱性の影響を受ける(IPAの『Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起』より抜粋)

 

【CVE番号】
CVE-2018-11776
S2-057

 

【対象】
Struts 2.3 系列: Struts 2.3.35 より前のバージョン
Struts 2.5 系列: Struts 2.5.17 より前のバージョン

 

【対策】
▼アップデートする
脆弱性修正済みバージョンは以下のとおり
Struts 2.3.35
Struts 2.5.17

ワークアラウンドを実施する
Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する


【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構

JVNVU#93295516: Apache Struts2 に任意のコードが実行可能な脆弱性

【セキュリティ ニュース】WordPressの脆弱な追加機能狙う攻撃 - サイト間感染のおそれも(1ページ目 / 全2ページ):Security NEXT

「Apache Struts 2」に重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを - INTERNET Watch

CVE-2018-11776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apache Struts 2におけるリモートコード実行に関する脆弱性(CVE-2018-11776)(S2-057)についての検証レポート | NTTデータ先端技術株式会社


Ghostscriptに脆弱性

【概要】
Ghostscript には -dSAFER オプションによる保護が回避される複数の脆弱性が存在し、リモートから第三者によって、任意のコマンドを実行される可能性がある

 

【CVE番号】
無し

 

【対象】
Ghostscript9.23およびそれ以前
⇒ImageMagick7.0.8-10 およびそれ以前
ImageMagickはデフォルトでGhostscriptを使用しています

 

【対策】(※9月1日現在)
ワークアラウンドを実施する
ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする
⇒Ghostscript を削除する
⇒修正パッチを適用して Ghostscript をコンパイルしなおす


【参考情報】
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
JVNVU#90390242: Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性
【セキュリティ ニュース】「Ghostscript」に保護機能回避の脆弱性が再び - 「ImageMagick」などにも影響(1ページ目 / 全1ページ):Security NEXT
Ghostscriptに任意のコマンド実行可能な脆弱性 | マイナビニュース
Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている


BIND 9に脆弱性

【概要】
BIND 9に脆弱性が存在し、第三者によるリモートからの攻撃によってnamedが終了する可能性がある

 

【CVE番号】
CVE-2018-5740

 

【対象】
BIND 9.7.0 から 9.8.8
BIND 9.9.0 から 9.9.13
BIND 9.10.0 から 9.10.8
BIND 9.11.0 から 9.11.4
BIND 9.12.0 から 9.12.2
BIND 9.13.0 から 9.13.2

 

【対策】
▼アップデートする
脆弱性修正済みバージョンは以下のとおり
・9.9.13-P1

・9.10.8-P1

・9.11.4-P1

・9.12.2-P1

ワークアラウンドを実施する
⇒"deny-answer-aliases" 機能を無効にする


【参考情報】
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2018-5740)
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
JVNDB-2018-006248 - JVN iPedia - 脆弱性対策情報データベース
BIND 9にDoSの脆弱性、アップデートを | マイナビニュース
【セキュリティ ニュース】「BIND 9」にDoS攻撃を受けるおそれ - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料
インボイス Re: 進捗
注文書[※]
※:任意の数字列
<要返信:FAX>営業○・出荷×
お世話になります
ご確認ください
写真添付
写真送付の件

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター

外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年8月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時

Amazon をかたるフィッシング (2018/08/27)
LINE をかたるフィッシング (2018/08/24)
セゾン Net アンサーをかたるフィッシング (2018/08/20)
[更新] MUFG カードをかたるフィッシング (2018/08/13)
佐川急便をかたるフィッシング (2018/08/10)


【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

仮想通貨を要求する脅迫メールに注意

【概要】
英文でメール本文に、メール受信者のパスワードが記載され、「ポルノ動画を閲覧している姿をWebカメラで撮影した」「拡散されたくなければ仮想通貨を支払え」などと脅迫してくる不審なメールが出回っており、注意が必要。要求には応じず、メール本文に記載されたパスワードを利用してるサービスがあれば、パスワードの変更などを行っておくこと。

 

【参考情報】
仮想通貨を要求する不審な脅迫メールについて
仮想通貨を要求する脅迫メールが拡散 - ITmedia ビジネスオンライン
「ポルノを見ているお前を盗撮した」と脅迫し、動画を人質に身代金を要求するサイバー攻撃が急増中 - GIGAZINE

 

拡張子「.iqy」のファイルが添付された不審メールが出回る

【概要】
拡張子「.iqy」のファイルが添付された不審メールが国内で約29万通出回った。なお出回った期間は、2018年8月6日と2018年8月8日。

 

【参考情報】
新手口のメール攻撃、国内で確認 大量送信、6日に29万件 - 共同通信
拡張子「.iqy」のファイルが添付されたスパムメール、国内で29万通確認 | マイナビニュース
拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散 - INTERNET Watch
【セキュリティ ニュース】拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通(1ページ目 / 全2ページ):Security NEXT
拡張子「iqy」のファイルを使う攻撃に注意--Excelを悪用 - ZDNet Japan
拡張子 ".iqy" のファイルとは? 1 日でメール 29 万通が日本国内に拡散 | トレンドマイクロ セキュリティブログ
IQY and PowerShell Abused by Spam Campaign to Infect Users in Japan with BEBLOH and URSNIF - TrendLabs Security Intelligence Blog
https://www.ipa.go.jp/files/000068065.pdf
2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査 - bomb_log
2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査 - bomb_log


佐川急便をかたるショートメッセージサービス(SMS)に注意

【概要】
佐川急便をかたるショートメッセージサービス(SMS)が急増し、注意が必要。
Android端末→不審なアプリをインストールさせる
Andorid端末以外→フィッシングサイトに誘導、キャリア決済の情報を盗まれる

 

【参考情報】
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か 携帯番号・認証コード詐取 - ITmedia NEWS
佐川急便かたるSMSの相談急増 IPAが対策公開 - ITmedia NEWS
Androidで方法が異なる「不審なアプリ」対策の注意点 - ZDNet Japan
偽の「佐川急便」SMSに新たな手口か--携帯電話番号を窃取 - ZDNet Japan
IPA、佐川急便を名乗る偽のショートメッセージに注意喚起 | マイナビニュース

 

JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定

【概要】
JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定され一時的にアクセスできない事案が発生した

 

【参考情報】
JPCERT/CC Webサイトにアクセスできない事象について
セキュリティサイト“JPCERT/CC”が一時不通に ~アンチウイルス製品がフィッシング判定 - 窓の杜
セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan
【セキュリティ ニュース】セキュリティ製品によるJPCERT/CCサイトの誤検知が復旧(1ページ目 / 全1ページ):Security NEXT

 

日本語のビジネスメール詐欺(BEC)に注意

【概要】
日本語のビジネスメール詐欺(BEC)について初めてIPAに対し情報提供が行われた。

 

【参考情報】
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報):IPA 独立行政法人 情報処理推進機構
日本語のビジネスメール詐欺がついに発生、IPAが注意喚起 | 日経 xTECH(クロステック)
「ビジネスメール詐欺」は差し迫った脅威--IPAが注意喚起 - ZDNet Japan
日本のビジネスメール詐欺被害は1000万円以上が過半数--トレンドマイクロ調査 - ZDNet Japan
【セキュリティ ニュース】「機密扱いで頼む」との社長メール、実は詐欺 - 日本語「BEC」見つかる(1ページ目 / 全3ページ):Security NEXT
ドルチェ&ガッバーナの日本法人が元社長を提訴 3億円の詐欺被害で - ライブドアニュース

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報):IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

STOP! パスワード使い回し!キャンペーン2018
仮想通貨を要求する不審な脅迫メールについて
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
JPCERT/CC Webサイトにアクセスできない事象について
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

 

Trend Micro

「スパムボット」化した不正アプリにより、7 月に偽装 SMS 拡散が急拡大 | トレンドマイクロ セキュリティブログ
「タイポスクワッティング」により Mac ユーザに迷惑アプリをダウンロードさせる攻撃を確認 | トレンドマイクロ セキュリティブログ
拡張子 ".iqy" のファイルとは? 1 日でメール 29 万通が日本国内に拡散 | トレンドマイクロ セキュリティブログ
検出が困難になる標的型サイバー攻撃に必要な防御アプローチとは? | トレンドマイクロ セキュリティブログ
新しく確認された暗号化型ランサムウェア「PRINCESS EVOLUTION」が RaaS 利用者を募集 | トレンドマイクロ セキュリティブログ
VBScript エンジンのメモリ解放後使用(Use After Free)の脆弱性「CVE-2018-8373」により、IE でシェルコードの実行が可能に | トレンドマイクロ セキュリティブログ
韓国を狙うサプライチェーン攻撃「Red Signature作戦」について解説 | トレンドマイクロ セキュリティブログ


McAfee

インスタグラム乗っ取り確認・対処法と安全に使うための3つの予防策
北朝鮮のマルウェアファミリーの“コード再利用”がサイバー犯罪グループを特定
スパムとは|メール・Twitterなどへの迷惑メッセージの原因と対処
ワンクリック詐欺とは?表示画面を無視して良い理由と手口・対処法
トロイの木馬の種類を徹底解説|7つの代表例から感染の影響を知る

 

LAC

サイバー救急センターレポート 第4号 | セキュリティ対策のラック
JSOC INSIGHT vol.20 | セキュリティ対策のラック

 

MBSD

Black Hat USA2018参加レポート
Black Hat USA 2018 (Day Zero)
Black Hat USA 2018 (Keynote, Briefings, Arsenal)
Black Hat USA 2018 トレーニング参加記
Black Hat USA 2018 & DEF CON 26! の登壇
Black Hat USA2018参加レポート(その2)

 

NTTデータ先端技術株式会社

「PCI DSS徹底解説」の新着記事「当社が翻訳協力した「PCI DSS v3.2.1 日本語版」が公開されました」を掲載しました | NTTデータ先端技術株式会社

Apache Struts 2におけるリモートコード実行に関する脆弱性(CVE-2018-11776)(S2-057)についての検証レポート | NTTデータ先端技術株式会社

IIJ

wizSafe Security Signal 2018年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

ソフトバンク・テクノロジー

CVE-2018-11776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

 

piyolog

TSMCのWannaCry被害についてまとめてみた - piyolog
甲南学園のマイニングマルウェア感染についてまとめてみた - piyolog
国会議員公式サイトなどの改ざん(画像設置)についてまとめてみた - piyolog
docomo Online Shopへの不正ログインとiPhoneの不正購入についてまとめてみた - piyolog
2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 

   / ̄ ̄\
  /   ⊂二二⊃
 |    |⊂二⊃
⊂二⊃   /
  \__/
      ∧∧
      ( 三)
      /⌒ 三ヽ
――――-/ / 三||-
    (_人_三ノ_)

 

<更新履歴>

2018/09/03 AM 公開

2018年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

夏本番な8月になってしまいましたね。

なんだかここ1ヶ月、関西の豪雨や台風の急激な進路変更、 連続する猛暑日などなど他人事ではない『災害』が多発していた気がします。

 

地震などの災害の多い日本では『いつ起きるかわからない』災害に対して、時間やお金、人を導入して対策しておくことを常に考えている国でもあります。

しかし、対策をしていたとしても被害は出てしまいます。

どう対策をとっておくか、という先を見据えた投資をするかしないかで被害を少しでも減らせるかどうかが大事なポイントになってくるわけです。そしてもちろん被害を受けた後にどうするか、まで考えないといけないと思います。

 

セキュリティも全く同じで、組織であれば、いつどのタイミングでサイバー攻撃を受けるかわかりません。個人であっても、例えばスマホやPCがマルウェアにいつ感染するかわかりませんし、Webサービスのアカウントがいつのっとられるかもわかりません。

そうなってしまう前に対策できることは多少のコストはかかるかもしれないけれど、対策はとっておくべきだと思います。そして、もし被害を受けてしまった場合に備え、被害後にどう動くかまでの仕組みを考えておくべきだと思います。

 

というわけで前月のまとめです。


脆弱性のアレコレ

Oracle WebLogic Serverに複数の脆弱性

【概要】
Oracleが四半期に1度の定例アップデート「クリティカルパッチアップデート(CPU)」をリリースし、「Oracle WebLogic Server」における複数の脆弱性を修正した。ただし、既に一部の脆弱性については攻撃に悪用されていることが確認された。なお本脆弱性を悪用することにより、第三者からリモートで情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性がある。

 

【CVE番号】
CVE-2018-2893
CVE-2018-2894

 

【対象】
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3

 

【対策】
・対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認
・T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定する
⇒ネットワーク接続フィルタの使い方
ネットワーク接続フィルタの使い方

 

【参考情報】
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JVNDB-2018-005568 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2018-005569 - JVN iPedia - 脆弱性対策情報データベース
CPU July 2018
【セキュリティ ニュース】複数「WebLogic Server」脆弱性、早くも悪用や実証コード(1ページ目 / 全2ページ):Security NEXT
2018年7月の定期パッチで修正されたOracle WebLogic Server の脆弱性(CVE-2018-2894)について - 生産性のない話
Weblogicの任意のコード実行(CVE-2018-2894)
ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」 at www.morihi-soc.net

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
取引情報が更新されました
【発注書受信】
備品発注依頼書の送付
依頼書を
送付しますので
発注依頼書
㈱ 発注書
18/07 製造依頼
のご注文ありがとうございます
ダイレクトメール発注
7月
Fw: 資料
ご確認ください
上記書類を送付します。
表題の資料を送付いたします。
再送
申込書類の送付
資料添付します。
カード利用のお知らせ
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】
楽天市場】注文内容ご確認(自動配信メール)
楽天カード】カードご請求金額のご案内
【速報版】カード利用のお知らせ(本人ご利用分)
写真送付の件
写真添付
イメージ送付
7月度発注書送付
注文書をお送りいたします
invoice/証明書

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年7月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
[更新] MyJCB をかたるフィッシング (2018/07/24)
[更新] ソフトバンクをかたるフィッシング (2018/07/04)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

 

注意喚起やニュースのアレコレ

豪雨被災地支援「Yahoo!ネット募金」の偽サイトについて注意喚起

【概要】
今年7月上旬に西日本に被害を与えた「平成30年7月豪雨」を支援する「Yahoo!ネット募金」の偽サイトが作成され、ヤフーが注意喚起を行った

 

【参考情報】
【重要】当社をかたるフィッシングメール、不正メールにご注意ください。 - お知らせ - Yahoo!ネット募金
豪雨被災地支援「Yahoo!ネット募金」の偽サイト確認、注意喚起 - ITmedia NEWS
西日本豪雨「Yahoo!募金」の偽サイトにご注意 中国で取得か

 

 

Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示

【概要】
Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示。
また、加えて、“iframe”リダイレクトの仕組みを悪用してユーザーを不審なサイトへ誘導する悪質な広告をブロックする機構が導入。

 

【参考情報】
Chrome Releases: Stable Channel Update for Desktop
全てのHTTPサイトに「保護されていません」の警告、「Chrome 68」リリース - ITmedia エンタープライズ
HTTP接続のサイトが「保護されていません」と表示されるGoogle Chrome 68安定版リリース - GIGAZINE
HTTP接続サイトは“安全でない”サイト扱いに ~「Google Chrome 68」が正式公開 - 窓の杜

 

 

マイクロソフト脆弱性緩和ツール「EMET」のサポートが7月31日で終了

【概要】
マイクロソフトが無償で提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了。
なお、「Windows 10」では「EMET」の機能が“Windows Defender Exploitation Guard”として統合されている

 

【参考情報】
EMET サポート終了 – Windows Defender Exploitation Guard へ移行を – 日本のセキュリティチーム
Microsoftが無償提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了 - 窓の杜
脆弱性緩和ツールEMET今月でサポート終了、Windows Defender Exploit Guardへ - 日本マイクロソフト セキュリティチーム | マイナビニュース

 


多摩都市モノレールでサイバーセキュリティ被害が発生

【概要】
多摩都市モノレールの業務用ファイルサーバが、ランサムウェアに感染したことが判明
モノレールの運行については、別のシステムで管理しており、影響なかった

 

【参考情報】
http://www.tama-monorail.co.jp/info/list/mt_img/180713%20press.pdf
多摩モノレールにサイバー攻撃 :日本経済新聞
【セキュリティ ニュース】ランサムウェアの感染被害が発生、運行には影響なし - 多摩都市モノレール(1ページ目 / 全1ページ):Security NEXT

 


電子マニュアル作成支援のスタディスト、マニュアル作成サービスへの不正アクセスは作業ミスによるものと発表

【概要】
電子マニュアル作成支援のスタディスト、マニュアル作成サービス「Teachme Biz」への不正アクセスは所属するインフラ技術者が開発環境構築の過程で誤って本番環境のDBを参照してコマンドを実行した作業ミスにより発生したと発表

 

【参考情報】
不正アクセスによる一部データ流出の可能性に関する詳細調査のご報告(最終報) - 株式会社スタディスト
スタディスト事件、作業ミスを不正アクセスと検知し情報流出はなかったと報告 | 日経 xTECH(クロステック)
【セキュリティ ニュース】マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因(1ページ目 / 全1ページ):Security NEXT

 


産総研不正アクセスについて被害状況の調査結果や再発防止策を公表

【概要】
産業技術総合研究所のシステムが不正アクセスを受けた問題で、産総研は被害状況の調査結果や再発防止策を公表

 

【参考情報】
産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について
【セキュリティ ニュース】産総研への不正アクセス、職員ID約8000件でPW試行 - 平日夕方から深夜に活動(1ページ目 / 全4ページ):Security NEXT
産総研を襲った謎の手口、セキュリティ対策に新たな教訓 | 日経 xTECH(クロステック)
産総研のセキュリティインシデント--被害が拡大したマネジメントの課題 - ZDNet Japan

 


ロシアワールドカップでは、サイバー攻撃が2500万件発生

【概要】
ロシアワールドカップの期間中(6月14日~7月15日)、サイバー攻撃が2500万件発生していた事を、ロシアのプーチン大統領が明かした。
だが、サイアー攻撃の性質や攻撃元の情報などは明かされていない。

 

【参考情報】
サイバー攻撃2500万回=サッカーW杯期間中、ロシアヘ-プーチン大統領:サッカーロシアW杯2018:時事ドットコム
W杯期間中のロシアにサイバー攻撃2500万件、プーチン氏明かす 写真1枚 国際ニュース:AFPBB News
ワールドカップロシア大会期間中に約2,500万回のサイバー攻撃、プーチン氏が発表

 

 

「佐川急便」をかたる偽SMSが急増

【概要】
「佐川急便」をかたる偽SMSが急増しており、偽SMSから偽サイトに誘導され不審なアプリをインストールしてしまう可能性がある

 

【対策・注意点】
・佐川急便はSMSを不在通知に使わない
・佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外のURLは偽サイトである
※ただし「sagawa-●●.com」という偽ドメインも第三者により大量に取得されているため注意が必要
Android端末で「提供元不明のアプリのインストールを許可する」という設定項目を『許可しない(無効にする)』に設定する
・不正のアプリをインストールしてしまった場合はスマホ機内モードにして大事なファイルのバックアップ等をとっておき、アプリの削除や携帯会社のサポートに相談する

 

【参考情報】
「佐川急便」をかたる偽SMSが横行 不正アプリを導入しないで! : 科学 : 読売新聞(YOMIURI ONLINE)
「佐川急便の偽サイト」に学ぶAndroidの防御法 見直す設定はたった1つ (1/2) - ITmedia NEWS
佐川急便装う迷惑メール急増 「不在通知」「1340万円配達します」など、23の事例で注意喚起 - ITmedia NEWS
佐川急便を名乗るスパムが急増、SMSから偽サイトに誘導 自動でプリペイドカードを買わされるなどの被害も - ねとらぼ
News Up 本物そっくり!?「偽・佐川」に厳重注意を! | NHKニュース
大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取 | トレンドマイクロ セキュリティブログ
実例で学ぶネットの危険:「通知 お客様宛にお荷物のお届きました」 | トレンドマイクロ セキュリティブログ
ドコモからのお知らせ : 運送会社などを装った迷惑SMS・メールにご注意ください | お知らせ | NTTドコモ
【再周知】運送会社などを装った不審なメールにご注意ください
運送会社などを装った不審なメールに関するご注意 | モバイル | ソフトバンク

 


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

サイバーレスキュー隊(J-CRAT)活動状況[2017年度下半期]
https://www.ipa.go.jp/files/000067854.pdf
サイバー情報共有イニシアティブ(J-CSIP) 運用状況
[2018年4月~6月]
https://www.ipa.go.jp/files/000068064.pdf
情報セキュリティ白書2018:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JPCERT/CC 感謝状 2018
JPCERT/CC 活動概要 [2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/PR20180712.pdf
JPCERT/CC インシデント報告対応レポート[2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20180712.pdf
Webサイトへのサイバー攻撃に備えて 2018年7月
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]
http://www.jpcert.or.jp/press/2018/vulnREPORT_2018q2.pdf
Cisco Webex Teams の脆弱性 (CVE-2018-0387) について
FIRST PSIRT Services Framework
ランサムウエアの脅威動向および被害実態調査報告書
Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31)

 

Trend Micro

バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 | トレンドマイクロ セキュリティブログ
巧妙なバンキングトロジャンの活動を実現する「Web インジェクションツール」とは? | トレンドマイクロ セキュリティブログ
SSH サービスを狙うボットを確認、不正サイトを介して仮想通貨発掘ツールをインストール | トレンドマイクロ セキュリティブログ
主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続 | トレンドマイクロ セキュリティブログ
標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい | トレンドマイクロ セキュリティブログ
バンキングトロジャンのメール経由拡散を支える「スパムボット」 | トレンドマイクロ セキュリティブログ

 

McAfee

McAfee Labs 2018年第1四半期 脅威レポートを発表(サマリー)
SIEMと他ソリューション連携による運用効率化例
不正アクセスされないために!手口と被害例から見る対策と対処方法
2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80選
サイバー攻撃|日本の現状―増える件数とセキュリティ人材不足の対策
ファイルレスの脅威 CactusTorchが.NETを悪用し標的に感染

 

MBSD

Burp Suite Japan LT Carnivalイベントレポート

 

IIJ

wizSafe Security Signal 2018年6月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

piyolog

経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog
2018年7月に発生した国内サイト、メールの障害報告についてまとめてみた - piyolog
多摩都市モノレールのランサムウェア被害についてまとめてみた - piyolog

 

 

というわけで今回もココまで読んでいただきありがとうございました。

ではでは!

 

夏だ! ___
   /⌒ ⌒\
  /(⌒) (⌒)ヽ
(⌒) ⌒(_人_)⌒ (⌒)
`\ \ |┬| / /
  \  ヽノ  /
  | ・  ・ |
  |    |
  | ̄ ̄ ̄ ̄ ̄|
  |__/\__|
  ( (  ) )
  (__) (__)

 

<更新履歴>

2018/08/02 AM 公開