にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2019年2月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

アニメってぼくあまり観ないんですけど、今年のサイバーセキュリティ月間でタイアップしているアニメ『約束のネバーランド』はせっかくだから観てみるかって思って観だしたんですが…

 

 

どハマリしました(゚A゚;)ゴクリ

 

アマゾンプライム会員なら現在見放題のようですので、ぜひ1話だけでも観てみてくださいませませ。

www.amazon.co.jp

 

 

というわけで、前月のまとめです。


脆弱性のアレコレ

Drupal脆弱性

【概要】
オープンソースCMSDrupal脆弱性が存在し、RESTful Web Services等のREST APIを利用するモジュールを有効にしている場合、第三者から任意のコードを外部から実行される可能性がある。

 

【CVE番号】
CVE-2019-6340

 

【対象】
Drupal 8.6.10 より前の 8.6 系のバージョン
Drupal 8.5.11 より前の 8.5 系のバージョン

▼有効にしていると本脆弱性の影響を受けるモジュール
Drupal 8系で "RESTful Web Services" モジュールを有効にしている
Drupal 8系で "JSON:API" モジュールを有効にしている
Drupal 7系で "RESTful Web Services" モジュールを有効にしている
Drupal 7系で "Services" モジュールを有効にしている

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
Drupal 8.6.10
Drupal 8.5.11

 

【参考情報】
https://www.drupal.org/sa-core-2019-003
Drupal の脆弱性対策について(CVE-2019-6340):IPA 独立行政法人 情報処理推進機構
Drupal の脆弱性 (CVE-2019-6340) に関する注意喚起
【注意喚起】CMSのDrupal 、RCEで危険度の高い脆弱性(CVE-2019-6340)。至急、最新版への更新を | セキュリティ対策のラック
【セキュリティ ニュース】脆弱性判明後、「Drupal」調査アクセスが増加 - 攻撃対象を探索か(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】コインマイナー埋込狙う「Drupal」への脆弱性攻撃が発生 - 当初の一部緩和策に誤りも(1ページ目 / 全2ページ):Security NEXT
Drupalに脆弱性、アップデート公開直後から攻撃横行 早急に更新を - ITmedia NEWS


WinRARに脆弱性

【概要】
圧縮、解凍ソフトの「WinRAR」のunacev2.dllにディレクトリトラバーサル脆弱性が存在し、任意のコードが実行されてしまう可能性がある

 

【CVE番号】
CVE-2018-20250
CVE-2018-20251
CVE-2018-20252
CVE-2018-20253

 

【対象】
WinRAR 5.60 およびそれ以前

 

【対策】
現状なし
※「WinRAR」(v5.61)では本脆弱性は未対応

 

【参考情報】
WinRAR download and support: Whats New
JVNDB-2018-013409 - JVN iPedia - 脆弱性対策情報データベース
圧縮・解凍ソフト「WinRAR」にコード実行の脆弱性 19年前から存在 - ITmedia NEWS
老舗の圧縮解凍ソフト「WinRAR」に19年以上前から存在する脆弱性が発覚 - GIGAZINE
圧縮・解凍ソフト「WinRAR」に脆弱性、全バージョンに影響--修正済み - ZDNet Japan
人気の圧縮・解凍ソフト「WinRAR」に脆弱性、アップデートを | マイナビニュース
19年前から存在か ~圧縮・解凍ソフト「WinRAR」にゼロデイ脆弱性 - 窓の杜


Nablarch(ナブラーク)に脆弱性

【概要】
Javaアプリケーションフレームワーク「Nablarch(ナブラーク)」に脆弱性が存在し、悪用されると情報漏洩や情報の改ざんにつながる可能性がある

 

【CVE番号】
CVE-2019-5918
CVE-2019-5919

 

【対象】
ナブラーク5系(5、および5u1から5u13まで)

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
ナブラーク 5u14

 

【参考情報】
「ナブラーク」における汎⽤データフォーマット機能における XML 外部実体参照 (XXE) の脆弱性について(JVN#56542712):IPA 独立行政法人 情報処理推進機構
JVN#56542712: ナブラークにおける複数の脆弱性
【セキュリティ ニュース】Javaフレームワーク「Nablarch」に深刻な脆弱性 - 早急に対応を(2ページ目 / 全2ページ):Security NEXT


runcに脆弱性

【概要】
コンテナランタイム「runc」に脆弱性脆弱性が存在し、DockerやKubernetesに影響を及ぼす可能性がある。

 

【CVE番号】
CVE-2019-5736

 

【対象】
runc 1.0-rc6 およびそれ以前

▼各ディストリビューションの影響を受けるバージョンは以下の通り
Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン
Debian : runc 0.1.1+dfsg1-2 より前のバージョン
RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
Docker : docker 18.09.2 より前のバージョン


【対策】
・アップデートする(以下各ディストリビューション脆弱性修正バージョン)
Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1
Debian : runc 0.1.1+dfsg1-2
RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7
Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64
Docker : docker 18.09.2

 

【参考情報】
runc の権限昇格の脆弱性 (CVE-2019-5736) に関する注意喚起
Docker 等で使用する runc の権限昇格に関する脆弱性 (CVE-2019-5736) について
runcの脆弱性情報(Important: CVE-2019-5736) - OSS脆弱性ブログ
「Docker」「Kubernetes」などに使われるコンテナランタイム「runc」に脆弱性 - ZDNet Japan
コンテナランタイム「runc」に脆弱性、DockerやKubernetesに影響 - ITmedia エンタープライズ
コンテナランタイム「runc」に脆弱性、Dockerなどに影響 - JPCERT/CC | マイナビニュース


BIND 9に複数の脆弱性

【概要】
BIND 9に複数の脆弱性が存在し、脆弱性を悪用された場合、システムのメモリが枯渇する可能性などがある。

 

【CVE番号】
CVE-2018-5744
CVE-2018-5745
CVE-2018-6465

 

【対象】
各CVE毎に影響を受けるバージョンは以下の通り
※既にサポートが終了している 9.9系及び 9.10系も各脆弱性の影響を受ける

CVE-2018-5744
・9.12系列 9.12.0 から 9.12.3-P1 まで
・9.11系列 9.11.3 から 9.11.5-P1 まで
※9.9系は対象外

CVE-2018-5745
・9.12系列 9.12.0 から 9.12.3-P1 まで
・9.11系列 9.11.0 から 9.11.5-P1 まで

CVE-2019-6465
・9.12系列 9.12.0 から 9.12.3-P2 まで
・9.11系列 9.11.0 から 9.11.5-P2 まで

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
BIND 9 version 9.12.3-P4

 

【参考情報】
ISC BIND 9 に対する複数の脆弱性 (CVE-2018-5744, CVE-2018-5745, CVE-2019-6465) に関する注意喚起
JVNVU#92881878: ISC BIND 9 に複数の脆弱性
BIND 9における複数の脆弱性について(2019年2月) - JPNIC
「ISC BIND 9」に複数の脆弱性、修正バージョンの適用を推奨(JPCERT/CC) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
【セキュリティ ニュース】「BIND 9」に複数の脆弱性 - DoS攻撃受けるおそれ(1ページ目 / 全1ページ):Security NEXT
BINDに複数の脆弱性、アップデートを | マイナビニュース


OpenSSLに脆弱性

【概要】
OpenSSLに脆弱性が存在し、リモートから第三者が通信情報を窃取する可能性がある

 

【CVE番号】
CVE-2019-1559

 

【対象】
OpenSSL 1.0.2 から 1.0.2q まで

 

【対策】
・アップデートする(以下本脆弱性修正バージョン)
OpenSSL 1.0.2r

 

【参考情報】
OpenSSL の脆弱性 (CVE-2019-1559) について
OpenSSLの脆弱性情報(Moderate: CVE-2019-1559)と修正版(OpenSSL 1.0.2r)、及び新規リリース(OpenSSL 1.1.1b) - OSS脆弱性ブログ
OpenSSLに情報窃取の脆弱性、アップデートを | マイナビニュース
【セキュリティ ニュース】脆弱性を修正した「OpenSSL 1.0.2r」がリリース(1ページ目 / 全1ページ):Security NEXT


Windows 7脆弱性

【概要】
Windows 7脆弱性が存在し、細工されたDLLファイルが実行ファイルと同一のディレクトリに置かれていた場合、任意のコードを実行される可能性がある。

 

【CVE番号】
CVE-2019-5921

 

【対象】
Windows 7

 

【対策】
Windows 10 にアップグレードする

ワークアラウンドを実施する
→システムディレクトリへの書き込みは管理者にのみ許可する (Windows の初期設定)
Windows PC は管理者権限を持たない標準ユーザアカウントで操作することを原則とし、必要なときのみ管理者アカウントで操作する
→アプリケーションをインストールしたディレクトリに信用できないファイルが存在しないことを確認する
→社内でアプリケーションを共有ディレクトリに置き、各 Windows PC から実行させるような運用を行っている場合は、当該ディレクトリを読み取り専用にする

 

【参考情報】
JVN#69181574: Windows 7 における DLL 読み込みに関する脆弱性
【セキュリティ ニュース】「Windows 7」のライブラリに不正ファイル読込問題 - 修正予定なし(1ページ目 / 全1ページ):Security NEXT
Windows 7にDLL読み込みの脆弱性、更新プログラムの提供はなし | マイナビニュース



不審なメールや偽サイトのアレコレ

不審なメール情報

2019年2に出回った不審なメールの件名は以下のとおり

【件名一覧】
▼JC3報告件名
(※)指定請求書
(※)注文書、請書及び請求書のご送付
 (※){Re: ,Fwd: ,Fw:,RE: , , -}のいずれか
工程表
2/1 【追加】
クレームです。
確認事項とお願い
2月入金の残り
RE: 【依頼】
【お願い】
添付用納品書
RE: 【発注分】
2/26 フォロー申請
Re: 再送
御見積書
2/26送り状
送り状番号ご{nnnn}
 ※nnnnは数字4桁
Fw: Re:
添付ファイル
このメールにはファイルを1件、添付しています
添付がコストです
【追加②】
回答:
20190218
2/18送り状No.
修正版
出荷明細添付
紙看板送付の件
券類発注書
(修正依頼)
2月分
発注分 追加
営業
Re:
2月度 請求書 
御見積書
請求書送付
営業
Fwd: Re:
アカウント情報検証を完成してください。


ランサムウェアのGandCrabに感染させる不審メール件名(一部)
Satoshi Tsumabuki!
Takeru Sato!
Haruma Miura!
Miki Imai!
Emi Hinouchi!
Jin Akanishi!
Takeshi Kitano!

※(日本の有名人の名前)!
※件名は140種類

 

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
ばらまき型メールカレンダー - Google スライド
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート
2019/02/20(水) 添付ファイル付不審メール(FlawedAmmyy)の調査 - bomb_log
2019/02/20(水) 添付ファイル付不審メール(bebloh/ursnif-A)の調査 - bomb_log
2019/02/25(月) 添付ファイル付不審メール(GandCrab/Phorpiex)の調査 - bomb_log
2019/02/26(火) 添付ファイル付不審メール(bebloh/ursnif-A)の調査 - bomb_log
2019/02/28(木) 添付ファイル付不審メール(bebloh/ursnif-A)の調査 - bomb_log


不審な偽サイト(フィッシングサイト)情報

2019年2月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※()は報告日時
PayPal をかたるフィッシング (2019/02/28)
三井住友カードをかたるフィッシング (2019/02/19)
Amazon をかたるフィッシング (2019/02/18)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 


注意喚起やニュースのアレコレ

政府のIoT機器調査「NOTICE」が2月20日からスタート

【概要】
政府のIoT機器調査「NOTICE(National Operation Towards IoT Clean Environment)」が2月20日からスタートした。

 

【参考情報】
https://notice.go.jp/
IoT機器調査及び利用者への注意喚起の取組「NOTICE」の実施 | NICT-情報通信研究機構
IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) | NICT-情報通信研究機構
国によるIoT機器”侵入”調査、その名も「NOTICE」サイト公開 「不正アクセスではない」と理解求める - ITmedia NEWS
政府のIoT機器調査、無差別の「力業」に踏み切った背景は (1/4) - ITmedia NEWS
IoT機器を侵入調査、ついに始まったNOTICEの実態 | 日経 xTECH(クロステック)
【それってネット詐欺ですよ!】 総務省から「NOTICE」で検知されたので対応するようにメールが来た 【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch
総務省、攻撃に悪用のおそれあるIoT機器を調査する取り組み「NOTICE」 | マイナビニュース

 

Coinhive」がサービス終了

【概要】
仮想通貨マイニングのサービス「Coinhive」が2019年3月8日をもってサービスを終了することを発表した。

 

【参考情報】
Blog – Coinhive – Monero Mining Club
仮想通貨マイニングツール「Coinhive」、サービス終了へ - ねとらぼ
仮想通貨マイニングサービス「Coinhive」が3月8日に停止--経済的に継続が不可能 - CNET Japan
【セキュリティ ニュース】ブラウザ上で仮想通貨を発掘する「Coinhive」がサービス終了へ(1ページ目 / 全1ページ):Security NEXT


「サイバーセキュリティに関する総務大臣奨励賞」の受賞者が発表

【概要】
「サイバーセキュリティに関する総務大臣奨励賞」の受賞者が発表され、2月25日に表彰式が行われた。
受賞者および団体は以下の通り。
・中島 明日香(NTTセキュアプラットフォーム研究所 研究員)
・神薗 雅紀(PwCサイバーサービス合同会社サイバーセキュリティ研究所 所長)
島根県邑南町(代表:石橋 良治 町長)

 

【参考情報】
総務省|「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表
【セキュリティ ニュース】「サイバーセキュリティに関する総務大臣奨励賞」が決定 - 2名1団体が受賞(1ページ目 / 全1ページ):Security NEXT
サイバーセキュリティ総務大臣奨励賞:中島明日香氏、神薗雅紀氏、島根県邑南町など受賞(総務省) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]


米セキュリティコンサルタントがパスワード管理ツールの調査結果を公表

【概要】
米セキュリティコンサルタントのIndependent Security Evaluators(ISE)がパスワード管理ツールに関する調査結果を公表し、注意を促した。
なお調査対象は以下のとおり。
「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass

 

【参考情報】
Password Managers: Under the Hood of Secrets Management - Independent Security Evaluators
Password managers leaking data in memory, but you should still use one – Naked Security
パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論 - ITmedia NEWS
人気の複数パスワードマネージャにメモリリークの問題、対処後に利用を | マイナビニュース


セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

情報セキュリティ10大脅威 2019:IPA 独立行政法人 情報処理推進機構
▼情報セキュリティ10大脅威 2019詳細資料
https://www.ipa.go.jp/files/000071831.pdf

IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

Japan Security Analyst Conference 2019開催レポート~後編~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
世界のCSIRTから ~ベトナム(VNCERT, AIS)~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
QNAP 社製 NAS に影響を与えるマルウエアに関する情報について
攻撃グループTickによる日本の組織をターゲットにした攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

 

Trend Micro

2018年「個人」を狙う三大脅威:偽装SMS、セクストーションスパム | トレンドマイクロ セキュリティブログ
Webアプリの脆弱性を利用するボット型マルウェア「Yowai」および「Hakai」を確認 | トレンドマイクロ セキュリティブログ
Google Playでスパイウェアを確認、偽のログイン画面を利用したフィッシング攻撃も実行 | トレンドマイクロ セキュリティブログ
トレンドマイクロ製品を詐称する「偽警告」を確認 | トレンドマイクロ セキュリティブログ
MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード | トレンドマイクロ セキュリティブログ
「顔文字」、「LoveYou」スパムの背後に凶悪スパムボット、ランサムウェア遠隔攻撃も実行 | トレンドマイクロ セキュリティブログ
「RADMIN」と「MIMIKATZ」を利用して仮想通貨発掘マルウェアを送り込む攻撃を確認、SMBの脆弱性を利用して拡散 | トレンドマイクロ セキュリティブログ
騙しの手口の多様化と急増するメールの脅威、2018年の年間脅威動向を分析 | トレンドマイクロ セキュリティブログ
検出回避を狙いExcel 4.0マクロを利用する攻撃を国内初確認 | トレンドマイクロ セキュリティブログ

 

McAfee

LA地元紙で配送作業を混乱させたランサムウエア Ryukの分析は続く
公共のWi-Fiのリスクとセキュリティ上の欠陥を補う6つのポイント

 

Kaspersky

日本政府、国内の脆弱なIoTデバイスを調査へ | カスペルスキー公式ブログ
SharePointフィッシングの被害に遭わないために | カスペルスキー公式ブログ
SOCスタッフの燃え尽き症候群 | カスペルスキー公式ブログ
YouTubeのダイレクトメッセージを利用したフィッシング | カスペルスキー公式ブログ
サイバー犯罪者はスピアフィッシングに使う情報をどうやって収集するのか | カスペルスキー公式ブログ

 

LAC

【注意喚起】CMSのDrupal 、RCEで危険度の高い脆弱性(CVE-2019-6340)。至急、最新版への更新を | セキュリティ対策のラック
オープンソースのツール「PoshC2」を悪用した新たな標的型攻撃を確認 | セキュリティ対策のラック
JSOC INSIGHT vol.22 | セキュリティ対策のラック

 

IIJ

wizSafe Security Signal 2019年1月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
IIJ Security Diary: Masscan と ZMap によるスキャンの違い
IIJ Security Diary: IoT 機器を踏み台として利用する SYN/ACK リフレクション攻撃

 

piyolog

2019年2月のCARDNETセンターの障害についてまとめてみた - piyolog
GOMPlayer終了後の不正広告表示について調べてみた - piyolog
福岡県警本部で発生したマルウェア感染についてまとめてみた - piyolog
公式サイトと錯覚させる広告表示について調べてみた - piyolog
オーストラリア連邦議事堂ネットワークへの攻撃についてまとめてみた - piyolog
不適切動画騒動についてまとめてみた - piyolog
JALマイレージ 不正アクセス事案についてまとめてみた - piyolog
JR旅客販売総合システムのシステム障害についてまとめてみた - piyolog
トヨタモーターオーストラリアへのサイバー攻撃についてまとめてみた - piyolog
北海道胆振地方地震のデマ・うわさについてまとめてみた - piyolog
日本貸金業協会の情報漏えいについてまとめてみた - piyolog

 

徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

 

とある診断員の備忘録

Drupal の脆弱性 (CVE-2019-6340) に関して検証してみた - とある診断員の備忘録

 

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 

 

|\/|\/∥\/|\/|
| | ∩| ∥ | | | |
| ∧甘∧ ∥ |Ж | |
|(´∀`)∥ ∧⇔∧ |
| 厂ヽΠ∧∥( ^ー^*) |
|/  ̄|∞Г\ /b▽d\ |
|\< ̄人 ̄>/(ノ人ヾ_)|
|四四四四四四四四四四|

 

<更新履歴>

2019/03/04 AM 公開