にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2017年4月に起こったセキュリティニュースのアレコレをまとめてみた。

どもども、にゃんたくです(「・ω・)「ガオー

 

そういえば先日仕事の関係でコチラに行ってきたんですが、なんだかちょっと頭良くなった気分になりましたね。(もうこのコメント自体、頭悪いのが露呈している件)

f:id:mkt_eva:20170501022902j:plain

 

 

さて、世間はゴールデンウィーク中ですが今月も先月のセキュリティのアレコレをまとめてみました。

 

あ、ひとつだけ宣伝。

先月よりこんなまとめメモを公開することにしました。

監視や運用の参考にしていただけたら幸いです。

mkt-eva.hateblo.jp

 

ではでは、2017年4月のまとめ、いってみましょー!ヽ(゚∀゚)ノ パッ☆

 

 


脆弱性のアレコレ

Apache Tomcat に複数の脆弱性

【概要】
Apache Tomcat に複数の脆弱性(情報漏えい、サービス運用妨害 (DoS) )が存在し、外部から攻撃者によって情報などが窃取される可能性がある。

 

【対象】

Apache Tomcat 9.0.0.M1 から 9.0.0.M18 まで
Apache Tomcat 8.5.0 から 8.5.12 まで
Apache Tomcat 8.0.0.RC1 から 8.0.42 まで
Apache Tomcat 7.0.0 から 7.0.76 まで
Apache Tomcat 6.0.0 から 6.0.52 まで

 

【対策】

・アップデートする
・本脆弱性を修正した次のバージョンをリリースしています
Apache Tomcat 9.0.0.M19
Apache Tomcat 8.5.13
Apache Tomcat 8.0.43
Apache Tomcat 7.0.77
Apache Tomcat 6.0.53

 

【参考情報】

JVNVU#90211511: Apache Tomcat の複数の脆弱性に対するアップデート

Apache Tomcatに情報窃取の脆弱性 | マイナビニュース

「Apache Tomcat」に複数の脆弱性、最新版への更新を - 窓の杜

 

 

ISC BIND 9 に複数の脆弱性

【概要】
ISC BIND 9 に複数の脆弱性が存在し、外部から攻撃者によってサービス運用妨害 (DoS) が行われる可能性がある。

 

【対象】
■CVE-2017-3136

(※DNS64 を有効にし "break-dnssec yes;" を設定しているサーバにおいてクエリの処理における assertion failure)

 BIND 9.8.0 から 9.8.8-P1 まで
 BIND 9.9.0 から 9.9.9-P6 まで
 BIND 9.9.10b1 から 9.9.10rc1 まで
 BIND 9.10.0 から 9.10.4-P6 まで
 BIND 9.10.5b1 から 9.10.5rc1 まで
 BIND 9.11.0 から 9.11.0-P3 まで
 BIND 9.11.1b1 から 9.11.1rc1 まで
 BIND 9.9.3-S1 から 9.9.9-S8 まで

 

■CVE-2017-3137

(※CNAME または DNAME を含むレスポンスの answer セクションの処理における assertion failure)
 BIND 9.9.9-P6
 BIND 9.9.10b1 から 9.9.10rc1 まで
 BIND 9.10.4-P6
 BIND 9.10.5b1 から 9.10.5rc1まで
 BIND 9.11.0-P3
 BIND 9.11.1b1 から 9.11.1rc1まで
 BIND 9.9.9-S8

 

■CVE-2017-3138

(※control channel の入力処理における REQUIRE assertion failure)

 BIND 9.9.9 から 9.9.9-P7 まで
 BIND 9.9.10b1 から 9.9.10rc2 まで
 BIND 9.10.4 から 9.10.4-P7 まで
 BIND 9.10.5b1 から 9.10.5rc2 まで
 BIND 9.11.0 から 9.11.0-P4 まで
 BIND 9.11.1b1 から 9.11.1rc2 まで
 BIND 9.9.9-S1 から 9.9.9-S9 まで

 

【対策】
・アップデートする
・本脆弱性を修正した次のバージョンをリリースしています
BIND 9.9.9-P8
BIND 9.10.4-P8
BIND 9.11.0-P5
BIND 9.9.9-S10

また、今後リリースが予定されている次の RC 版においても本脆弱性を修正しているとのことです。
BIND 9.9.10rc3
BIND 9.10.5rc3
BIND 9.11.1rc3

 

【参考情報】

JVNVU#97322649: ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性

ISC BIND 9 に対する複数の脆弱性に関する注意喚起

BIND 9における複数の脆弱性について(2017年4月) - JPNIC

bind 9 に複数の脆弱性 ( CVE-2017-3136 , CVE-2017-3137 , CVE-2017-3138 ) — | サイオスOSS | サイオステクノロジー

 


Ghostscript に脆弱性

【概要】
Ghostscriptに含まれる.rsdparamsには、type confusionの脆弱性が存在し、任意のコードを実行される可能性がある。
※Ghostscriptとは、PostScriptやPDFなどアドビシステムズのページ記述言語用のインタプリタおよび、それを基にしたソフトウェアパッケージのこと

 

【対象】
Ghostscript 9.21 およびそれ以前

 

【対策】
パッチを適用する

 

【参考情報】

JVNVU#98641178: Ghostscript に任意のコードが実行可能な脆弱性

Ghostscriptに緊急レベルの脆弱性、悪用攻撃も発生 - ZDNet Japan

【セキュリティ ニュース】「Ghostscript」にコード実行の脆弱性 - 悪用コードが流通(1ページ目 / 全1ページ):Security NEXT

Ghostscriptに任意コード実行の脆弱性 - JPCERT/CC | マイナビニュース


注意喚起やニュースのアレコレ

Oracle 定例セキュリティパッチを公開

【概要】

Oracleがクリティカルパッチアップデートを公開し、様々な製品に存在する深刻な脆弱性を修正した

 

【参考情報】

2017年 4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Oracle Java の脆弱性対策について(CVE-2017-3512等):IPA 独立行政法人 情報処理推進機構

Oracle Critical Patch Update - April 2017

Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - April 2017) — | サイオスOSS | サイオステクノロジー

米Oracle、Javaなどの定例パッチを公開 FusionやMySQLに極めて深刻な脆弱性 - ITmedia NEWS

 

偽口座への送金を促す“ビジネスメール詐欺”の注意喚起

【概要】

“ビジネスメール詐欺”と呼ばれる、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺が増えている事への注意喚起
ビジネスメール詐欺:通称BEC(Business E-mail Compromise)とも呼ばれる

 

【参考情報】

【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口:IPA 独立行政法人 情報処理推進機構


セキュアIoTプラットフォーム協議会が発足

【概要】

活動方針としては『IoTセキュリティガイドラインの標準化/デファクト化に向けて、①オープンイノベーション環境でのIoTプラットフォームの研究・開発 および、②高品質かつ定期的な情報発信を展開。』していくとのこと

 

【参考情報】

一般社団法人セキュアIoTプラットフォーム協議会

25の企業・団体による「セキュア IoT プラットフォーム協議会」が発足 | マイナビニュース


「No More Ransom」に30組織があらたに参加

【概要】

国際的なプロジェクト「No More Ransom(ノーモアランサム)」に新たに30組織が加わり、計76組織になった。なお、2017年4月5日よりJPCERT/CCがサポートパートナーとして協力していくことを発表

 

【参考情報】

The No More Ransom Project

JPCERT/CCがランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」にサポートパートナーとして協力


公正取引委員会の「審決等データベース」がスパムメールの踏み台にされる

【概要】

公正取引委員会の「審決等データベース」のサーバが、スパムメールを送信するための踏み台として悪用されていたことが判明しサーバを停止させ調査中である

 

【参考情報】

(平成29年4月7日)「審決等データベース」サーバの不正利用による公開停止について:公正取引委員会

【セキュリティ ニュース】公取委の審決DBサーバに不正アクセス - スパムの踏み台に(1ページ目 / 全1ページ):Security NEXT


Microsoft Office」にゼロデイな脆弱性が存在

【概要】
Microsoft Office」の「OLE2Linkオブジェクト」の処理に脆弱性が存在し、外部から任意のコードを実行されるおそれがある。
「Office」に用意されている「保護ビュー」を利用することで攻撃を防ぐことが可能である。
また、2017年4月11日、Microsoft から、本脆弱性に対するセキュリティアップデートが公開されています。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

 

【参考情報】

JVNVU#98665451: Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理

「Microsoft Office」に未修正の脆弱性、任意コードを実行される恐れ - 窓の杜

CVE-2017-0199 - 脆弱性調査レポート | ソフトバンク・テクノロジー


マイクロソフト、4月の月例パッチ公開

【概要】
今回より、新規のセキュリティ情報は公開されなくなり、セキュリティ更新プログラム ガイドからの情報提供となった。
また、Windows VistaExchange Server 2007の延長サポートが終了になり、新たなセキュリティの問題について修正はされない。

 

【参考情報】

2017 年 4 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム

2017年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoft、4月の月例更新を公開 Windows Vistaの更新は今回が最後 - ITmedia エンタープライズ

マイクロソフト、4月の月例パッチ公開 - Vistaは最後の提供 | マイナビニュース

 

ヤフーがSMSを活用したログイン認証を導入

【概要】
ヤフーは、Yahoo! JAPANで提供する各サービスにSMSを使って本人確認をする、パスワードを利用しないログイン方法を導入したと発表した

 

【参考情報】

ヤフー、パスワードを使わないログイン方法を導入 「パスワード忘れ」だけでなく「リスト型攻撃」にも対応 - ITmedia NEWS

ヤフー、パスワードレスのログイン方法を導入 - ZDNet Japan


ぴあ運営の「B.LEAGUE」サイトで情報流出

【概要】

ぴあ運営の「B.LEAGUE」サイトで「Apache Struts 2」の脆弱性を突かれ、不正アクセスされたことにより、クレジットカード情報や個人情報が流出した。

 

【参考情報】
ぴあ社がプラットフォームを提供するB.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告

http://corporate.pia.jp/news/files/security_incident20170425.pdf

ニュース解説 - ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」:ITpro

ぴあ運営の「B.LEAGUE」サイトで情報流出、特別損失も計上へ - ZDNet Japan


無線LANの「ただ乗り」に無罪判決

【概要】

近所の家の無線LANルータのWEPキーを解析してただ乗りし、サイバー攻撃や不正送金を行っていた被告に対し、「ただ乗りは電波法違反に当たらない」という無罪判決が下された。なお、不正アクセス禁止法違反などの罪で、懲役8年の判決は下されている。

 

【参考情報】

ニュース解説 - 無線LANの「ただ乗り」はやはり罪に問えない?有識者に聞く:ITpro

「無線LANただ乗り」無罪判決の衝撃 | THE ZERO/ONE

無線LANただ乗りは「電波法違反に当たらず」 地裁が初判断 - ITmedia NEWS

無線LANただ乗り、無罪 地裁「電波法違反問えず」 :日本経済新聞


アノニマスによる日本の様々なサイトへの攻撃が増加

【概要】

アノニマスによるOpKillingBayやOpWhalesと呼ばれるオペレーションによって、日本の様々なサイトが被害を受けた。

 

【参考情報】

OpKillingBay 2016および、OpWhales、OpSeaWorld メモ | (n)inja csirt

警視庁ホームページ閲覧障害の発生について 警視庁

裁判所|裁判所ウェブサイトが閲覧しにくくなる障害が発生した件について


フィッシングメールのアレコレ

【概要】

フィッシング対策協議会の緊急情報(4月)に記載のあった正規サイトを騙られたのは以下のとおりです。
Amazon
MUFG カード
Apple

 

【参考情報】

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/04/07)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | MUFG カードをかたるフィッシング (2017/04/10)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/04/19)

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | MUFG カードをかたるフィッシング (2017/04/24)

 

セキュリティレポートのアレコレ

Windows Server 2003 R2 のインターネット インフォメーション サービス(IIS)6.0におけるWebDAVサービスの脆弱性により、リモートから任意のコードか?実行可能な脆弱性(CVE-2017-7269)に関する調査レポート

【公開ページ】

https://www.softbanktech.jp/information/2017/20170403-01/

【企業・団体】
ソフトバンク・テクノロジー株式会社

 

Microsoft Officeおよびワードパッドの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-0199)に関する調査レポート

【公開ページ】

https://www.softbanktech.jp/information/2017/20170428-01/

【企業・団体】

ソフトバンク・テクノロジー株式会社


Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭

【公開ページ】

IIJ Security Diary: Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭

【企業・団体】
IIJ-SECT


コンピュータウイルス・不正アクセスの届出状況および相談状況[2017年第1四半期(1月~3月)]

【公開ページ】

http://www.ipa.go.jp/security/txt/2017/q1outline.html

【企業・団体】
独立行政法人情報処理推進機構IPA


脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]

【公開ページ】

http://www.ipa.go.jp/security/vuln/report/JVNiPedia2017q1.html
【企業・団体】
独立行政法人情報処理推進機構IPA


ソフトウェア等の脆弱性関連情報に関する届出状況[2017年第1四半期(1月~3月)]

【公開ページ】

https://www.ipa.go.jp/security/vuln/report/vuln2017q1.html
【企業・団体】
独立行政法人情報処理推進機構IPA


IPA情報セキュリティ安心相談窓口に寄せられた相談の分析(2016年)」報告書

【公開ページ】

http://www.ipa.go.jp/security/anshin/info/2016soudan-analysis-report.html
【企業・団体】
独立行政法人情報処理推進機構IPA


セキュリティ更新プログラム適用前に、遠隔操作ウイルスに感染していた事案に関して

【公開ページ】

https://www.lac.co.jp/lacwatch/alert/20170427_001282.html
【企業・団体】
コーポレート・コミュニケーション室(LAC)

 

 今月は以上です!

ではでは!

_人人人人人人_
> パオンヌ <
 ̄Y^Y^Y^Y^Y ̄ 

    ∧∧
   (・ω・`)
    // )
  / ̄ ̄<< ̄ヽ
 |・ U   |
 ||(ノ    |つ
  L||_| ̄ ̄|_|