にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2017年3月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです。

いよいよ新しい年度になってしまいましたね。

僕も社会人3年目に突入いたしました。なんかいよいよって感じですね。(語彙力の無さ!!!笑)

 

ちなみに僕は自分の誕生月と4月がわりと好きなんです。

4月って暖かいし、なんか新年度!って感じで日本全体がワクワク感に満ち溢れてる気がするんですよね!(語彙力の無さ!!!パート2笑)

 

そうだココで1つだけ言いたいことがあります。

@ITでやっていた「セキュリティのアレ」という動画連載がとうとう先日最終回をむかえてしまいました。

www.atmarkit.co.jp

2015年11月からはじまり、動画でのセキュリティ連載という新しい発想の連載、とっても面白かったです。

そしてなによりも、僕が「ブログを書いてみよう!」というきっかけを作ってくれた連載でした。

「セキュリティのアレを見てみた。」というブログを書く時に、ただ文字おこしするだけではなく、自分なりにやってみた。とか考えてみた。をこのブログを読んでくれた方々に「どうやったら伝わるかな」ということを考える勉強になったかなと感じています(まだまだ修行していきますが!)。

もちろんですが、セキュリティの勉強にもなりました。

この場をお借りしてですが、根岸征史さん、辻伸弘さん、宮田健さん、そしてセキュリティのアレを連載してくれた@ITの皆さん、ありがとうございました。また面白い企画を楽しみに待っています!

 


さてさて、今回も先月のセキュリティのアレコレをまとめていきたいと思います。

もう2017年の3月は「Struts2月」といっても過言ではないのでしょうか!(でもStruts2月だから2月にも見えるな!ややこしいな!)

 

今月から(から、になるかはわかりませんが)、セキュリティに関するレポートやブログで気になったものも載せるようにしました。関連情報などでかぶるものあると思いますが、そこはあしからずで。

 

では、3月のまとめいってみましょー!!!

 

 

脆弱性のアレコレ

Apache Struts2脆弱性

【概要】
Apache Struts 2の「Jakarta Multipart parser」というファイルアップロード時に使用するマルチパーサーに起因する脆弱性で、外部から任意のコードが実行される可能性があります。なお、本脆弱性をついた攻撃が容易であることから多数の被害報告が確認されています。

 

【対象】
Apache Struts 2.3.5 から 2.3.31
Apache Struts 2.5 から 2.5.10

 

【対策】
①本脆弱性を修正したバージョン (Struts 2.3.32 および Struts 2.5.10.1) へアップデートする

②本脆弱性を解消したプラグインを導入する
Apache Struts 2.3.8から2.5.5までのバージョンで使用可能なプラグイン→「Secure Jakarta Multipart parser plugin」
Apache Struts 2.3.20から2.5.5までのバージョンで使用可能なプラグイン→「Secure Jakarta Stream Multipart parser plugin」

 

修正バージョン情報やプラグイン情報はこちら↓

https://struts.apache.org/download.cgi#struts-extras


【参考情報】

JVNVU#93610402: Apache Struts2 に任意のコードが実行可能な脆弱性

更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046):IPA 独立行政法人 情報処理推進機構

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

S2-045 - Apache Struts 2 Documentation - Apache Software Foundation

S2-046 - Apache Struts 2 Documentation - Apache Software Foundation

CVE-2017-5638 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Struts2の脆弱性 CVE-2017-5638 (S2-045/S2-046)についてまとめてみた - piyolog

Apache Struts 2 のマルチパーサー「jakarta」(CVE-2017-5638)(S2-045)(S2-046)の脆弱性を利用した攻撃情報メモ | (n)inja csirt

 

 

「安全なウェブサイト運営入門」に脆弱性

【概要】

IPAが無料で提供していた「安全なウェブサイト運営入門」というゲームにOSコマンドインジェクションの脆弱性があり、任意の OS コマンドを実行される可能性がある

 

【対象】
安全なウェブサイト運営入門」というゲーム

 

【対策】
安全なウェブサイト運営入門」というゲームを使用しない

 

【参考情報】

JVN#11448789: 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性

「安全なウェブサイト運営入門」に脆弱性 使用停止を - ITmedia NEWS

 


Cisco IOS脆弱性

【概要】
Cisco IOS」と「Cisco IOS XE Software」に脆弱性があり、影響は数百のCiscoのスイッチに及ぶ模様。
この脆弱性は、WikiLeaksによって公開された「Vault 7」という文書内で明らかになった。

 

【対象】
対象が多数のため、下記参考情報の「Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability」のページよりご確認ください。

 

【対策】
2017年3月21日現在、対策案(アップデートなど)は無し。
ただし、一部回避策として、TelnetのCMP指定オプションを無効化する等はあり。

 

【参考情報】

Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability

「Cisco IOS」に脆弱性、300種類超のスイッチ製品に影響--WikiLeaks文書で明らかに - ZDNet Japan

Cisco IOSの重大な脆弱性、WikiLeaks情報で発覚 数百種類のスイッチに影響 - ITmedia NEWS

ニュース解説 - CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性:ITpro

Cisco製スイッチ318モデルに外部から制御可能な致命的な脆弱性 | マイナビニュース

 


ntpdに脆弱性

【概要】
時刻の同期に使われるntpd(Network Time Protocol daemon)に脆弱性があり、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性がある

 

【対象】
ntp-4.2.8p10 より前のバージョン
ntp-4.3.0 から ntp-4.3.93 まで

 

【対策】
アップデートする
※本脆弱性を修正したバージョン(ntp-4.2.8p10)がリリースされています(下記リンク)

SoftwareDownloads < Main < NTP

 

【参考情報】

JVNVU#95549222: NTP.org の ntpd に複数の脆弱性

NTPの更新版公開、DoSなどの脆弱性に対処 - ITmedia NEWS

NTPに脆弱性、早急にアップデートを | マイナビニュース

 

 

注意喚起やニュースのアレコレ

Apache Struts 2の脆弱性を悪用され、多数のサイトが不正アクセスの被害を報告

【概要】
Apache Struts 2の脆弱性を悪用されたことによる不正アクセスを受け個人情報などが流出。
被害を受けたサイトは以下の通り。
※()は運営元。
※2017年3月31日現在

・都税クレジットカードお支払いサイト(GMOペイメントゲートウェイ
独立行政法人住宅金融支援機構 団体信用生命保険特約料クレジットカード支払いサイト(GMOペイメントゲートウェイ
・相談利用者登録ページ(JETRO
J-STAGEサービス(国立研究開発法人科学技術振興機構
・特許情報プラットフォーム(J-PlatPat)サービス(独立行政法人工業所有権情報・研修館
・国際郵便マイページサービス(日本郵便
・停電情報公開サービス(沖縄電力
・音声サービス「Radital(ラジタル)」サイト(ニッポン放送
・おかやまオープンデータカタログ(岡山県
JINSオンラインショップ(JINS


【各サービスサイトのApache Struts 2に関するリリース情報】

ご報告 | GMOペイメントゲートウェイ株式会社

「都税クレジットカードお支払サイト」で不正アクセス|東京都

当機構Webサイト攻撃によるメールアドレス情報の窃取の可能性について | お知らせ 2017年 - お知らせ - お知らせ・記者発表 - ジェトロ

[INPIT]特許情報プラットフォーム(J-PlatPat)サービスの再開のお知らせとお詫びについて | 独立行政法人 工業所有権情報・研修館

「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について - 日本郵便

http://www.okiden.co.jp/shared/pdf/news_release/2016/170315.pdf

http://www.radital.jp/

当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) 3/24 | お知らせ | JINS - 眼鏡(メガネ・めがね)


【参考情報】

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性 - ITmedia エンタープライズ

ニュース解説 - GMO72万件流出危機の原因、Struts2に「意のままに操られる」深刻な脆弱性:ITpro

ニュース - 都税と住宅金融支援機構のクレジット払いサイトに不正アクセス、約72万件流出か:ITpro

ニュース - 岡山県のStruts2稼動サイト、不正アクセスでDoS攻撃の踏み台に:ITpro

ニュース - JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害:ITpro

 


Microsoft、2月と3月の月例更新プログラムを公開

【概要】
Microsoftは公開を延長していた2月の更新プログラムと併せて3月の月例更新プログラムを公開した。
最大深刻度が“緊急”のセキュリティ情報は9件公開された、

 

【参考情報】

Microsoft Security Bulletin Summary for March 2017

MSが3月の月例パッチ公開、2月の公開延期分も含む計18件 -INTERNET Watch

【セキュリティ ニュース】MS、1カ月ぶりの月例パッチを公開 - 公開済み脆弱性や複数ゼロデイ脆弱性に対処(1ページ目 / 全3ページ):Security NEXT

 


「DMM. com」を騙り、料金を要求する詐欺に注意

【概要】
DMMを騙った偽DMMからSMSや電話を用いて未払料金支払いという名目で金銭を支払わせようとする詐欺が増加している。
なお、実際のDMMの有料サービスでは会員登録が必要で、料金は前払いのため、未払い料金が発生することはないとしている。

 

【参考情報】
SMSを用いて有料動画サイトの未払料金などの名目で金銭を支払わせようとする「株式会社DMM.comをかたる事業者」に関する注意喚起

http://www.caa.go.jp/policies/policy/consumer_policy/information/pdf/170228adjustments_1.pdf

DMMを装った架空請求について - DMM.com

恐怖の「DMM」偽メール拡散中 次々にむしり取られ……「被害総額1億9100万円」 (1/3) - ITmedia NEWS

【セキュリティ ニュース】動画料金を請求する偽DMMのSMSに注意 - プリカ番号要求詐欺(1ページ目 / 全2ページ):Security NEXT

 


法政大学が不正アクセスを受け、全アカウント情報が漏洩

【概要】
昨年12月、法政大学のアカウント管理サーバが不正アクセスを受け、学生や教職員、委託業者の全アカウント情報(約4万件)が漏洩した。

 

【参考情報】

法政大学への不正アクセスによる情報漏えい被害に関するお詫びとお知らせ|法政大学

ニュース - 法政大学で不正アクセス、学生や職員など4万3103件のアカウント情報が漏洩:ITpro

【セキュリティ ニュース】学生や職員などアカウント情報4.3万件が漏洩 - 法政大(1ページ目 / 全1ページ):Security NEXT

 


JC3が不正送金マルウェアの感染状況を確認できるサイトを試験公開

【概要】
日本サイバー犯罪対策センター(JC3)は、不正送金マルウェア(DreamBot・Gozi)の感染状況を簡単にチェックできるサイトを試験公開した。

 

【参考情報】

DreamBot・Gozi感染チェックサイト|一般財団法人日本サイバー犯罪対策センター

注意情報|一般財団法人日本サイバー犯罪対策センター

流行りの銀行ウイルスに感染していないかワンクリックでチェックしてくれるサイト、日本サイバー犯罪対策センターが試験公開 -INTERNET Watch

 


正規サービスを騙るフィッシングサイトが稼動

【概要】
以下サービスを騙るフィッシングサイトが稼動報告される。
ウェブマネーをかたるフィッシング
Google Play をかたるフィッシング
マイクロソフトをかたるフィッシング(3月2回)

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/03/31)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ウェブマネーをかたるフィッシング (2017/03/24)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Google Play をかたるフィッシング (2017/03/15)

【ご注意】ウェブマネー(WebMoney)をかたる偽メールにご注意ください:電子マネーWebMoney(ウェブマネー)

 


GoogleSymantecの発行したTLS証明書に不信感

【概要】
Googleの「Chrome」チームは、Symantecが発行するサーバー証明書TLS/SSL証明書)には問題点が多いことから、ChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。

 

【参考情報】

ニュース - グーグルの開発チーム、シマンテック発行の証明書に激しい不信感:ITpro

グーグル、シマンテックが発行したTLS証明書に不信感 - ZDNet Japan

Google Chromeチーム、Symantec証明書の段階的失効を提案 - ITmedia エンタープライズ

 

 

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

【概要】
クローズドネットワーク内のデータが、USBストレージを介して窃取されるサイバー攻撃の手口を確認したとして、注意喚起がなされた。

 

【参考情報】

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

ネットワーク隔離PCからUSBメモリを介して情報を窃取する手口を確認、警察庁とJPCERT/CCが注意喚起 -INTERNET Watch

 

 

IIS 6」にゼロデイの脆弱性

【概要】
すでにサポートが終了している「IIS 6」のヘッダの検証が不適切な問題に起因する、IISWebDAVコンポーネントに存在する脆弱性により、リモートの攻撃者に任意のコードを実行される可能性がある。

 

【参考情報】

サポート切れの「IIS 6」でゼロデイ脆弱性が発見される--パッチ提供の予定はなし - ZDNet Japan

MicrosoftのIIS 6に未解決の脆弱性、2016年から攻撃横行 - ITmedia エンタープライズ

Microsoft IISのゼロデイ脆弱性、古いバージョンは修正されず | マイナビニュース

Microsoft IIS 6.0のゼロデイ脆弱性、遠隔で任意のコード実行が可能に | トレンドマイクロ セキュリティブログ

 

 

セキュリティ系のレポートやブログのアレコレ

 

情報セキュリティ10大脅威 2017(IPA)

【公開ページ】

https://www.ipa.go.jp/security/vuln/10threats2017.html

【企業・団体】

IPA(独立行政法人情報処理推進機構)

 

重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開(IPA)

【公開ページ】

https://www.ipa.go.jp/security/fy28/reports/vuln_handling/index.html

【企業・団体】
IPA(独立行政法人情報処理推進機構)


ログを活用したActive Directoryに対する攻撃の検知と対策(JPCERT/CC)

【公開ページ】

https://www.jpcert.or.jp/research/AD.html

【企業・団体】
JPCERT/CC

 

Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について(JSOC/LAC)

【公開ページ】

https://www.lac.co.jp/lacwatch/alert/20170310_001246.html

https://www.lac.co.jp/lacwatch/alert/20170317_001252.html

【企業・団体】

JSOCアナリストチーム(ラック)

 

Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート(ソフトバンク・テクノロジー)

【公開ページ】

https://www.softbanktech.jp/information/2017/20170308-01/

【企業・団体】
ソフトバンク・テクノロジー

 

Apache Struts 2 のマルチパーサー「jakarta」および「jakarta-stream」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-046)に関する調査レポート(ソフトバンク・テクノロジー)

【公開ページ】

https://www.softbanktech.jp/information/2017/20170328-01/

【企業・団体】
ソフトバンク・テクノロジー

 

2016年下半期 Tokyo SOC 情報分析レポート(IBM)

【公開ページ】

https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2016_h2/

【企業・団体】

日本アイ・ビー・エム株式会社(マネージド・セキュリティー・サービス)

 

Internet Infrastructure Review (IIR) Vol.34(IIJ)

【公開ページ】

http://www.iij.ad.jp/company/development/report/iir/034.html

【企業・団体】
インターネットイニシアティブIIJ

 

Struts2が危険である理由(スキュータム)

【公開ページ】

https://www.scutum.jp/information/waf_tech_blog/2017/03/waf-blog-046.html

【企業・団体】
WAF Tech Blog(クラウド型WAF「Scutum(スキュータム)」の開発者/エンジニアによるブログ)

 

 

今月は以上です!

ではでは!

.    (⌒)
  ∧__∧ (~)
 (。・ω・。)( )
 { ̄ ̄ ̄ ̄}
 {~ ̄お__} ぬるい
 {~ ̄茶__}
 {____}
  ┗━━┛