にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2018年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

今回のブログを公開する頃にはまだ梅雨明けてないと思っていたんですがとっくに明けましたね。今年の梅雨は史上初の短さ(6月6日~29日)だったそうです。まぁ僕は梅雨好きじゃないので嬉しさMAXなんですけどね笑

 

そういえば今朝ロシアワールドカップ8強を決める日本×ベルギー戦が行われたわけですが…

www.youtube.com

 

すごいじゃん日本!お疲れ様!!

4年後のカタールワールドカップが楽しみです!

 

ではではブログ本題です。今回はいつもよりちょっと少なめかもしれませんがあしからず。。。。

前月のまとめです。


脆弱性のアレコレ

アーカイブファイルの展開処理に脆弱性脆弱性名:Zip Slip)

【概要】
アーカイブファイルの展開処理に脆弱性が存在し、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを置くことができ、第三者により実行ファイルの上書きや、設定ファイルの書き換えが可能となり、任意のコードを実行される可能性がある

 

【参考情報】
Zip Slip Vulnerability | Snyk
アーカイブファイルの展開処理における脆弱性「Zip Slip」について
書庫形式の書類に脆弱性 コンテンツ改ざんに注意 :日本経済新聞
アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 - ITmedia エンタープライズ
【セキュリティ ニュース】アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響(1ページ目 / 全2ページ):Security NEXT

 


OpenSSLに脆弱性

【概要】
OpenSSLのTLSハンドシェイク時に鍵生成に長い時間を消費させる脆弱性が存在し、第三者によりサービス運用妨害 (DoS) 攻撃を実行される可能性がある

 

【CVE番号】
CVE-2018-0732

 

【対象】
OpenSSL 1.1.0 系列
OpenSSL 1.0.2 系列

 

【対策】
OpenSSL 1.1.0i および OpenSSL 1.0.2p にて本脆弱性を修正する予定
なお、修正パッチが公開済み
OpenSSL 1.1.0 用
https://github.com/openssl/openssl/commit/ea7abeeab
OpenSSL 1.0.2 用
https://github.com/openssl/openssl/commit/3984ef0b7

 

【参考情報】
https://www.openssl.org/news/secadv/20180612.txt
OpenSSL の脆弱性 (CVE-2018-0732) について
【セキュリティ ニュース】「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで(1ページ目 / 全1ページ):Security NEXT

 


ISC BIND 9に脆弱性

【概要】
ISC BIND 9に再帰的クエリが不適切に許可される脆弱性が存在し、第三者によってDNSリフレクタ攻撃に使われたり、ネームサーバのキャッシュの状況を外部から取得されたりする可能性がある

 

【CVE番号】
CVE-2018-5738

 

【対象】
・ ISC BIND 9.12.0~9.12.1-P2、9.11.3、9.10.7、9.9.12 を使用している (ISC が 2017年10月 のアップデート #4777 を適用している)

再帰問い合わせの受け付けを有効にしている (設定ファイル (named.conf) で "recursion yes;" を設定している、または recursion を設定していない)

・ オプション (allow-recursion, allow-query, allow-query-cache) を設定していない

 

【対策】
・ named.conf に オプション (allow-recursion, allow-query, allow-query-cache) を適切に設定し、再帰問い合わせの受け付けを許可する対象に限定する

再帰問い合わせの受け付けが不要な場合は named.conf に "recursion no;" を設定する

 

【参考情報】
ISC BIND 9 の脆弱性 (CVE-2018-5738) について
JVNVU#92227071: ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
JPCERT/CC、ISC BIND 9の脆弱性について注意喚起 | マイナビニュース
【セキュリティ ニュース】「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を(1ページ目 / 全2ページ):Security NEXT

 

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【速報版】カード利用のお知らせ(本人ご利用分)
アラート:あなたのアカウントは閉鎖されます。
写真
写真送付の件
写真添付
スナップ写真
添付写真あり
写真送ります。
楽天カード】カードご請求金額のご案内
注文書の送付(2018.06.26)
注文書よろしくお願いします。
【振込み確認書】18.06.14
メールに添付された請求書デー
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
添付ファイルをご確認下さい。
6月請求データ.xls
注文書の件
Fwd: 6月分請求書リスト
請求書を送ります
カード利用のお知らせ
楽天市場】注文内容ご確認(自動配信メール)
6月分請求データ送付の件
2018.5月分請求データ送付の件.6月請求データ.xls
のご注文について
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
RE: 請求書XLSについて
請書及び請求書のご送付

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター

情報提供|一般財団法人日本サイバー犯罪対策センター

bomb_log

外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年6月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
Amazon をかたるフィッシング (2018/06/29)
MUFG カードをかたるフィッシング (2018/06/21)
[更新] LINE をかたるフィッシング (2018/06/06)
Apple および Amazon をかたるフィッシング (2018/06/04)
セゾン Net アンサーをかたるフィッシング (2018/06/04)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

タチコマ・セキュリティ・エージェント」が無償配布

【概要】
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始に伴い、開発されたセキュリティソフト「タチコマ・セキュリティ・エージェント」の無償配布を2018年6月1日より実施した。

 

【参考情報】
WarpDrive
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始について | NICT-情報通信研究機構
タチコマたちが並列化してサイバー攻撃に対応するソフト無償配布、「WarpDrive」プロジェクトが実証実験 - INTERNET Watch

 


フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報流出

【概要】
フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報が流出した。
なお、不正アクセスが発生したのは、英語と韓国語、中国語の予約システムが稼働するサーバで発生した。

 

【参考情報】
【セキュリティ ニュース】委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル(1ページ目 / 全3ページ):Security NEXT
ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩 | 日経 xTECH(クロステック)
マイステイズ・ホテルから約4万件の個人情報が流出か、被害広がるファストブッキング問題 | 日経 xTECH(クロステック)
プリンスホテルの委託先サイトに不正アクセス、12.5万件の情報漏えい - ZDNet Japan
ファストブッキングへの不正アクセスについてまとめてみた - piyolog

 


りそな銀行のインターネットバンキングシステムで障害が発生

【概要】
りそな銀行のインターネットバンキングシステムで障害が発生。米シマンテックが提供するサービスで不具合が発生したことが原因でワンタイムパスワードが入力できない状態になった。

 

【参考情報】
りそな銀などのシステム障害が復旧 発生から約4時間:朝日新聞デジタル
りそな銀行などインターネット振り込み 復旧 | NHKニュース
りそな銀行、セブン銀行でシステム障害。パスワードを入力できず

 


警察庁は仮想通貨マイニングツール(Coinhive等)を無断で設置していた容疑で複数名を摘発

【概要】
警察庁は仮想通貨マイニングツール(Coinhive等)を利用者に無断で設置していた容疑(「不正指令電磁的記録作成・提供罪」)で複数名を逮捕・書類送検した。

 

【参考情報】
仮想通貨マイニング(Coinhive)で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
「マイニングツールを明示せずに設置、犯罪になる可能性」 警察庁の注意喚起、ネット上で波紋 - ITmedia NEWS
Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」 - ITmedia NEWS
「Coinhive」で家宅捜索を受けたサイト運営者が刑事裁判を起こすことを表明、支援の声続々【やじうまWatch】 - INTERNET Watch
サイト閲覧者リソースでマイニングを行うCoinhive利用者の摘発事件における真の問題点とは|CoinChoice
仮想通貨マイニングツール事案をまとめてみた - piyolog

 

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について:IPA 独立行政法人 情報処理推進機構

脆弱性関連情報として取り扱えない場合の考え方の解説:IPA 独立行政法人 情報処理推進機構

サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報:IPA 独立行政法人 情報処理推進機構

「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

アーカイブファイルの展開処理における脆弱性「Zip Slip」について

OpenSSL の脆弱性 (CVE-2018-0732) について

ISC BIND 9 の脆弱性 (CVE-2018-5738) について

2018年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起

LinuxとWindowsを狙うマルウエアWellMess(2018-06-28)

 

@police

宛先ポート80/TCP に対するMirai ボットの特徴を有するアクセスの増加について | 警察庁 @police

 

JC3(日本サイバー犯罪対策センター)

APWG・JC3共同レポート|一般財団法人日本サイバー犯罪対策センター

JC3 Forum 2018 report|一般財団法人日本サイバー犯罪対策センター

 

Trend Micro

「Drupal」の脆弱性「CVE-2018-7602」を利用した攻撃を確認、仮想通貨「Monero」発掘ツールを拡散 | トレンドマイクロ セキュリティブログ

不正なウイルス検索サービス「Scan4You」運営者に有罪判決、トレンドマイクロも捜査に協力 | トレンドマイクロ セキュリティブログ

脆弱性攻撃ツール「Rig EK」、次は脆弱性「CVE-2018-8174」を利用して仮想通貨発掘マルウェアを拡散 | トレンドマイクロ セキュリティブログ

 

McAfee

マルウェアに感染した?注意したい5つの症状、確認方法と初期対応

ランサムウェア、具体的な対策をとるために知っておくべき感染経路

サイバー攻撃リアルタイム可視化ツール9選、国境なき攻撃を把握する

家族で活用したい「2段階認証」設定

止まらない迷惑メールを今すぐ遮断するために知っておきたい対策3選

結局何をすべき?GDPR対応3つの優先事項と解消すべき6つの疑問

SQLインジェクション攻撃への対策|脆弱性を悪用する仕組みと具体例


NTTデータ先端技術株式会社

セキュリティコラムの新着記事「IoTセキュリティの各国比較 (日米欧のガイドラインから) ~第1回 IoTの定義と特徴」を掲載しました | NTTデータ先端技術株式会社

PCI DSS徹底解説の新着記事「クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~」を掲載しました | NTTデータ先端技術株式会社

セキュリティコラムの新着記事「コールセンターに対するPCI DSSの視点...Part.1」を掲載しました | NTTデータ先端技術株式会社


LAC

ルータのDNS設定を変更するサイバー攻撃にご用心 | セキュリティ対策のラック

サイバー救急センターレポート 第3号 | セキュリティ対策のラック


MBSD

オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今 | MBSD Blog


IIJ

wizSafe Security Signal 2018年5月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ


piyolog

2018年2月のデータリークに関連する国内サイトの被害についてまとめてみた - piyolog

仮想通貨マイニングツール事案をまとめてみた - piyolog

ファストブッキングへの不正アクセスについてまとめてみた - piyolog

 

high-hill.html

第8回tktkセキュリティ勉強会に参加しました - high-hill.html

⇒Maltegoの使い方についてわかりやすかったので共有です

 

 

以上です。

今回もココまでy…あ!そうそう。僕海外デビューしてました。

speakerdeck.com

資料にしれっといれてくれたmoto_sato(@58_158_177_102)さん、ありがとうございますた!

 

というわけで今回もココまで読んでいただきありがとうございました。

ではでは!

・ 。
☆。∴。。 ☆ ・
 ・゚*。★・
  ・ 。・*・゚。   ・
  ・ ゚*。・゚★。・
   ☆゚・。・。*・ ゚
    ゚。・*・。 ゚・
   ゚ *・。☆。・★ ・
  ・ ☆ 。・゚・*。・ ゚
    ・ ★ ゚・。七夕~
    ・  ゚
`/ ̄三\  / ̄三\
|  三| /   三|
/  三三V/|  三三)
L| 三三|∪ | 三三|

 

<更新履歴>

2018/07/03 AM 公開