読者です 読者をやめる 読者になる 読者になる

にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2016年11月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

さて今年も残り1ヶ月を切りましたね!

そして12月はクリスマスや忘年会等で皆さん外出して呑みに行く機会も多いのではないでしょうか。

会社帰りに呑みに行き、注意散漫になって社用スマホやPC、社員証などなど落としてはいけないものを落とす時期でもありますので、皆さん気をつけてくださいね。

こういう物理的なセキュリティ対策も非常に大事ってコトですね。

 

さてさて、今月も書いてみました、「前月のセキュリティニュースのアレコレ」。

もちろん僕目線で集めているところはあしからず。

なにかの参考にしてくれたら幸いです。

というかコレまとめてる最中(12月入ってから)にも色々とニュースが増えてきてびっくりしています。まぁそれは12月のアレコレで。笑

 

 

脆弱性、注意喚起☆

▼BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864)

【概要】
DNAMEを含むDNS応答の処理に不具合があり、 再帰的な名前解決のための処理をしている途中でBIND 9が動作を停止する可能性がある。 

【対象】
9.9系列 9.9.9-P3 より以前のバージョン
9.10系列 9.10.4-P3 より以前のバージョン
9.11系列 9.11.0
※なお、既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受けるとのことです。

【対策】

修正済みのバージョンに更新する。
修正済みバージョンはこちら↓
BIND 9 version 9.9.9-P4
BIND 9 version 9.10.4-P4
BIND 9 version 9.11.0-P1

【参考情報】

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起

DNAMEを含む応答の処理に関わるBIND 9の脆弱性について(2016年11月) - JPNIC

 


▼Web サイト改ざんに関する注意喚起

【概要】
攻撃者が、ウェブサーバーに不正なファイル「index_old.php」を設置し、これを読み込ませるスクリプト「<script type="text/javascript" src="./index_old.php"></script>」をウェブサイトのトップページに追加することにより、ウェブサイトの閲覧者のIPアドレスや閲覧日時などがログとして記録されてしまう。

【対策】
■サーバの点検等
①Web サイトのトップページに<script type=“text/javascript” src=“./index_old.php”></script>等の身に覚えの無い命令文が書き込まれていないかを確認する。
②サーバ内の点検やファイルの差分等の確認により、サーバ内に「index_old.php」等の不審なファイルが蔵置されてないかを確認する。
③上記の状況が確認された場合は、サーバが攻撃者の制御下にあると認められることから、保全した後に、サーバに係る全 ID 及びパスワードを変更し、警察に相談する。
④サーバの再構築を実施する。

 

■被害防止対策

①OS 及び IIS(Internet Information Service)、Apache 等のミドルウェアのバージョンアップ等によりぜい弱性を解消する。
ウイルス対策ソフトによる検索を定期的に実施する。
③20 番(FTP データ)、21 番(FTP コントロール)及び 23 番(telnet)ポートを無効化する。
④管理者による Web サイトへのアクセスを SSH(Secure Shell)プロトコルにより実施する。
⑤不正通信の早期発見のため、プロキシサーバログの点検を定期的に実施する。
⑥Web サイトの差分確認を定期的に実施する。

【参考情報】

Web サイト改ざんに関する注意喚起

http://Web サイト改ざんに関する注意喚起について (PDF) https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

【セキュリティ ニュース】複数サイトで改ざん被害 - 身に覚えのない「index_old.php」に注意(1ページ目 / 全2ページ):Security NEXT

JPCERT/CC、意図しないindex_old.php設置への注意喚起 | マイナビニュース

 

 

▼NTPの脆弱性により、リモートからサービス拒否攻撃を実行可能な脆弱性(CVE-2016-7434)

【概要】

mrulistのクエリ要求を受け入れるよう設定している場合、外部からの細工された単一のUDPパケットにより、クラッシュしてしまう。

【対象】
NTP 4.2.7p22 から 4.2.8p8 までの全てのバージョン
NTP 4.3.0 から 4.3.93 までの全てのバージョン

【対策】
■修正済みのバージョンに更新する。
ntp 4.2.8p9
■mrulistクエリの要求を制限する
※MRU (Most Recently Used items) :なんらかのファイルを開いたり操作したり等の行った操作の記録

【参考情報】

CVE-2016-7434 - 脆弱性調査レポート | ソフトバンク・テクノロジー

【セキュリティ ニュース】「ntp」脆弱性の実証コードが公開、単一パケットでサービス停止(1ページ目 / 全1ページ):Security NEXT

 

 


☆フィッシングサイト増加☆


フィッシングサイト対策協議会の緊急情報で一ヶ月で5件も注意喚起が公開されるのは久々でしたので11月分をまとめました。

▼LINE

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | LINE をかたるフィッシング (2016/11/30)

▼セゾンNetアンサー

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2016/11/28)

NEXON

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | NEXON をかたるフィッシング (2016/11/21)

ハンゲーム

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ハンゲームをかたるフィッシング (2016/11/14)

Amazon

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2016/11/08)

 

特にセゾンNetアンサーのフィッシングサイトでは、
フィッシングサイトとして4件のURLが確認されており、ドメイン以下の文字列は正規サイトと同じ文字列を用いていたという点や正規サイトとそっくりであることから
注意が必要であると考えられます。

 

 

☆その他ニュース☆

日本経済新聞出版社の取引先約1200件の情報が流出

【概要】

日本経済新聞出版社の社内の端末が不審な外部のウェブサイトと通信し、約1200件の取引先の個人情報などが流出した

【参考情報】

日経出版社で個人情報流出 取引先など :日本経済新聞

【セキュリティ ニュース】業務PCが外部と不正通信、個人情報など流出 - 日経出版社(1ページ目 / 全1ページ):Security NEXT

 

▼「Ameba」の約58万件のアカウントに対してパスワードリスト攻撃が発生

【概要】

サイバーエージェントSNSサービスである「Ameba(アメーバ)」が不正アクセスを受け、約58万件のアカウントに対して不正にログインされた

【参考情報】

「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い | 株式会社サイバーエージェント

【セキュリティ ニュース】「Ameba」にPWリスト攻撃 - 3754万回に及ぶ試行で59万IDに不正ログイン(1ページ目 / 全1ページ):Security NEXT

 


防衛省自衛隊が運用する防衛情報通信基盤における不正アクセス

【概要】
防衛省自衛隊が共同で利用する通信ネットワーク「防衛情報通信基盤(DII)」接続する防衛大と防衛医大のパソコンが不正アクセスの被害に遭った

【参考情報】

陸自システムに侵入、情報流出か サイバー攻撃、高度な手法 - 共同通信 47NEWS

陸自ネット侵入許す 高度なサイバー攻撃、情報流出か - 西日本新聞

防衛情報通信基盤への不正アクセスについてまとめてみた - piyolog

 

経団連事務局コンピュータのマルウェア感染

【概要】
経団連事務局のコンピュータがマルウェア(PlugX(プラグエックス)、Elirks(エリクス))に感染し外部との不審な通信を行っていた

【参考情報】

経団連事務局コンピュータのマルウェア感染 | お知らせ | 一般社団法人 日本経済団体連合会 / Keidanren

経団連事務局端末の不審な通信発生についてまとめてみた - piyolog

 

PlugX(プラグエックス)、Elirks(エリクス)というマルウェア名から今年6月におきたJTB不正アクセス事件を思い出した人も多いのではないかなって思いましたよ。
→  JTBへの不正アクセスについてまとめてみた - piyolog

 

 

▼警視庁がスパムメール速報 ツイッターで注意喚起

警視庁がスパムメール速報 ツイッターで注意喚起 - 産経ニュース

 

 どうやらこの2つのアカウントがメインのようですね。

 

 

▼「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了

「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了:IPA 独立行政法人 情報処理推進機構

RED HAT | Enterprise Linux 4 End of Support

 

▼ 脆弱性緩和ツール「EMET」、2018年7月31日にサポート終了予定

【セキュリティ ニュース】脆弱性緩和ツール「EMET」、2018年7月31日にサポート終了予定(1ページ目 / 全1ページ):Security NEXT

サポート終了予定のMSの脆弱性緩和ツール「EMET」、CERT/CCが重要性を説明 - ZDNet Japan

 

 

以上です!

今回もここまで読んでいただきありがとうございました。

 

ではではヾ(*´∀`*)ノキャッキャ