2021年3月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今月は公開が遅れてしまいました…(＞人＜;)

さてさてさて、今年3月に1つ嬉しい事がありました。

それがこちらです↓

東京電機大学の現役学生の皆さんへ

大学時代にTwitterのハンドルネームを考える際には注意してください。
下手すると国からハンドルネームで呼ばれ、ツイートされるようになりますので。 https://t.co/y74JYaEvKl
— にゃん☆たく (@taku888infinity) 2021年3月18日

サイバーセキュリティ月間、第１１回コラムを公開しました。
フィッシングハンターのにゃん☆たくさんより、「フィッシング詐欺被害を減らすたった２つの方法」と題して執筆いただいています。https://t.co/SYxGC2LoRU #サイバーセキュリティは全員参加
— NISC内閣サイバーセキュリティセンター (@cas_nisc) 2021年3月18日

いや、RTやファボが多かった！ってところが嬉しかったポイントではなく、「にゃん☆たく」の名前でサイバーセキュリティ月間のコラムを書かせていただいた点が嬉しかったです。

実際のコラムはこちらです↓フィッシング詐欺についての思いの丈をぶつけました。

2021年3月18日[みんなでしっかりサイバーセキュリティ]

まだセキュリティツイッタラーとしての活動は5年ほどですが、こういう発信をもっともっとしていきたいです。僕のゴールは一人でもスマホやパソコンを使用していてサイバー攻撃、サイバー犯罪に対して不安を感じる事ない世の中がくる事です。

もちろんここまで自分一人で来れたわけでもないですし、今だに多くの方に協力していただいている事、迷惑をかけている事があります。感謝しかないです。

今後もこんな僕ですがどうぞよろしくお願いいたします。

では前月のまとめです。

脆弱性のアレコレ
- Microsoft Exchange Serverに脆弱性
- OpenSSLに脆弱性
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Microsoft Exchange Serverに脆弱性

【概要】
Microsoft Exchange Serverに脆弱性が存在し、外部から第三者により任意のコードを実行できる可能性がある。（すでに悪用が確認されている状態）

【CVE番号】
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858

【対象】
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013

【対策】
・セキュリティ更新プログラムを適用する
▼セキュリティ更新プログラムを適用する以外の対策
・IIS Re-Write ルールを導入して、悪意のある https リクエストをフィルターする
・ユニファイドメッセージング (UM) を無効にする
・Exchange Control Panel (ECP) VDir を無効にする
・オフラインアドレス帳 (OAB) VDir サービスを無効にする

【参考情報】
Exchange Server の脆弱性の緩和策 – Microsoft Security Response Center
オンプレミス Exchange Server の脆弱性の調査や修復に対応する方向けのガイダンス – Microsoft Security Response Center
オンプレミス Exchange 緩和ツール (ワンクリックの緩和ツール) – Microsoft Security Response Center
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
 更新：Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等)：IPA 独立行政法人情報処理推進機構
 Microsoft Exchange Serverの脆弱性の修復手順
 【注意喚起】Microsoft Exchange Server製品に関する複数の脆弱性について | セキュリティ対策のラック

【参考Tweet】

悪用が確認されているExchangeの脆弱性。インターネット接続のExchangeの92%がパッチか緩和策済み、先週から４３％改善。該当環境管理者さま始め、様々な形での尽力がありここまで進んでこれております。みな皆様、ご協力本当に有難うございます。まだ少し、引続き頑張って参ります。 https://t.co/Sk5ICbDbof
— Yurika (@EurekaBerry) 2021年3月22日

先日定例外で公開したゼロデイ攻撃が確認されているExchangeの脆弱性に対するセキュリティパッチ。パッチ適用に時間がかかる環境にて、当面の対策として活用頂ける緩和策の日本語ブログを出しました。早急に何卒早急に対応のほどどうぞどうぞよろしくお願いいたします。https://t.co/JAWDBhP0lC pic.twitter.com/pMcvCA73gW
— Yurika (@EurekaBerry) 2021年3月8日

OpenSSLに脆弱性

【概要】
OpenSSLに脆弱性が存在し、検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害（DoS）を受ける可能性がある。

【CVE番号】
CVE-2021-3450
CVE-2021-3449

【対象】
OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j
OpenSSL 1.1.1kより前の1.1.1系のバージョン
※OpenSSL 1.0.2、OpenSSL 1.1.0については既に公式サポートが終了

【対策】
修正済みバージョンの適用（下記本脆弱性修正済みバージョン）
OpenSSL 1.1.1k

【参考情報】
OpenSSLの脆弱性（CVE-2021-3450、CVE-2021-3449）に関する注意喚起
 OpenSSLに重要な脆弱性、OpenSSL 1.1.1kへアップデートを | TECH+
「OpenSSL」に2件の脆弱性、深刻度は“高” ～「OpenSSL 1.1.1k」への更新を - 窓の杜
 OpenSSLの脆弱性情報(High: CVE-2021-3449, CVE-2021-3450 ) - security.sios.com

【参考Tweet】

おっと、OpenSSLの脆弱性 CVE-2021-3449 は TLS1.2 の renegotiation 時に sig_alg から sig_alg_cert へ入れ替えを仕込んじゃうとサーバが落ちちゃうのか。TLS1.2のrenegotiationを有効にしているところは注意です。 / “https://t.co/as4iDmIt1q” https://t.co/tFPArxe81A
— Shigeki Ohtsu (@jovi0608) 2021年3月25日

OpenSSLの脆弱性アップデートの予告。
severityは最大のものでHIGH。

『This release will be made available on Thursday 25th March 2021 between 1300-1700 UTC.』

Forthcoming OpenSSL releasehttps://t.co/LXVgcMq7hv pic.twitter.com/FQ8ChRL9JC
— Autumn Good (@autumn_good_35) 2021年3月22日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2021年3月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
MyJCB をかたるフィッシング (2021/03/18)
ライフカードをかたるフィッシング (2021/03/18)
TS CUBIC CARD をかたるフィッシング (2021/03/17)
楽天をかたるフィッシング (2021/03/03)
アプラスをかたるフィッシング (2021/03/01)

僕の収集できている範囲での結果ですが、2021年3月のフィッシングサイトで確認できたものと2021年2月を対比しみました
※Amazon,LINE,SMBC,楽天は除外

▼3月概要
・Google,ペアーズ Pairs,大塚商会・アルファメールプレミア誕生
・LINE復活
・JCB,docomoは増加#Phishing pic.twitter.com/QNa25hhfjh
— にゃん☆たく (@taku888infinity) 2021年4月2日

注意喚起やニュースのアレコレ

LINE使用者の情報が国外からアクセス可能だった事が判明

【概要】
LINE使用者の一部情報が国外のLINEのアプリシステムを開発する企業からアクセス可能だった事が判明した

【参考情報】
LINEにおける個人情報の取り扱いに関連する主な予定および取り組みについて | ニュース | LINE株式会社
 ユーザーの個人情報に関する一部報道について | ニュース | LINE株式会社
 LINEの個人情報管理に不備中国の委託先が接続可能：朝日新聞デジタル
 中国の4人に接続権限 LINE「日本に人材おらず」：朝日新聞デジタル
 ＜解説＞ＬＩＮＥ、海外流出リスク露呈個人情報、危うい管理：朝日新聞デジタル
 LINE、中国に情報漏れうる実態識者「重大事案だ」：朝日新聞デジタル
 ZHD、LINEのデータ管理問題で外部有識者と初会合座長「一企業・グループを超えた重要な公的課題」 - ITmedia NEWS
LINEがきょう社長会見データ管理問題を説明 - ITmedia NEWS
LINE、ユーザー情報移転先の国名を明記韓国やベトナムで開発運用 - ITmedia NEWS
管理不備と報じられたLINEの問題についてまとめてみた - piyolog

フィッシング詐欺対策としてドコモメール公式アカウントを提供

【概要】
docomoは、フィッシング詐欺対策として「ドコモメール公式アカウント」の提供を今年5月中旬から開始すると発表した

【参考情報】
ドコモからのお知らせ : フィッシング詐欺メール対策の新機能「ドコモメール公式アカウント」を提供 -企業・団体の公式アカウントからの送信メールの確認が可能に- | お知らせ | NTTドコモ
 「ドコモメール」に公式アカウント機能、信頼できる送信元を明示 - ケータイ Watch
【セキュリティニュース】フィッシング対策で「ドコモメール公式アカウント」を提供 - NTTドコモ（1ページ目 / 全1ページ）：Security NEXT

みずほ銀行のATMで障害が発生（2月28日に発生）

【概要】
みずほ銀行のATMで2月28日に障害が発生し、障害時にATMで使用されていたキャッシュカードや通帳が取り込まれ返却できなくなる状態となった。

【参考情報】
2月28日以降に発生した一連のシステム障害について
https://www.mizuhobank.co.jp/release/pdf/20210405_2release_jp.pdf
みずほＡＴＭ障害は「初歩的なミス」…銀行界の「常識」考慮せず、あきれる地銀首脳 : 経済 : ニュース : 読売新聞オンライン
 みずほ銀行のシステム障害、データ更新作業が引き金に | 日経クロステック（xTECH）
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた - piyolog

【参考Tweet】

障害中のみずほ銀行赤坂支店14:45。3組の客がいるが全員ATM脇の電話をかけている。貼り紙が一切ないため客が普通に来てトラブルに巻き込まれている。「カードが飲まれました電話も出ません」と客からと思われる貼り紙も pic.twitter.com/GuuFG9nwnE
— 三上洋 (@mikamiyoh) 2021年2月28日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

「2020年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書：IPA 独立行政法人情報処理推進機構
 安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 「企業における営業秘密管理に関する実態調査2020」報告書について：IPA 独立行政法人情報処理推進機構
 「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開：IPA 独立行政法人情報処理推進機構
 手口検証動画シリーズ：IPA 独立行政法人情報処理推進機構
 ネット接続製品の安全な選定・利用ガイド -詳細版-：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
 日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

フィッシング対策協議会

NICT

NICTER観測統計 - 2020年10月～12月 - NICTER Blog

LAC

【注意喚起】Microsoft Exchange Server製品に関する複数の脆弱性について | セキュリティ対策のラック
 セキュリティ診断レポート 2021 春～情報セキュリティを取り巻く環境が変化する今、求められる対策とは | セキュリティ対策のラック
 CYBER GRID JOURNAL Vol.11 "インテリジェンスで読み解くサイバーセキュリティ" | セキュリティ対策のラック

Trend Micro

McAfee

オペレーション Diànxùn：通信会社を狙ったサイバースパイ活動が明らかに
 SASEへの最短ルート
 TikTokで人気の危険なバイラルチャレンジと年齢制限について
 Androidユーザーはご注意を：無料のVPNアプリから2,100万件のデータが漏洩

Kaspersky

複数VPNアプリの利用者データが漏洩
https://blog.kaspersky.co.jp/supervpn-geckovpn-chatvopn-leak/30226/
A41APT：日本企業を標的とする情報窃取活動
https://blog.kaspersky.co.jp/a41apt-threat-for-japanese-organizations/30219/
「プレステ5を勝ち取ろう！」詐欺
https://blog.kaspersky.co.jp/scam-with-playstation-5-giveaway/30265/
この1年でCOVID-19がサイバーセキュリティに及ぼした影響を振り返る
https://blog.kaspersky.co.jp/pandemic-year-in-infosec/30292/
RTMの新たな攻撃：古いトロイの木馬と新種のランサムウェア
https://blog.kaspersky.co.jp/rtm-quoter-campaign/30157/

今回もココまで読んでいただきありがとうございました。

ではでは！

花粉撒いてやんよ

　　∧_∧
　 ( ･ω･)/)ﾟ+｡∴ﾟ
　Ｃ□　／ﾟ｡∴ﾟ｡+ﾟ
　 /　　|
　(ノ￣∪

＜更新履歴＞
2021/04/13 AM公開

2021-03-04

2021年2月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

僕は今、フィッシングハンターの一人としてフィッシング詐欺の被害を1件でも減らしたいと思って活動を行っています。

昨年2020年に僕が集めたフィッシングサイトのドメイン、IPのリストをまとめて公開しましたので、よければ参考にしてください。

IPs and domains used in 2020 on Japanese phishing sites (within my research）https://t.co/0gBtSgPtZS
僕の調査範囲内で確認できた日本企業のフィッシングサイトで2020年1月〜12月に使用されたIPやドメイン等の情報をまとめてみました。何かの参考にしていただけたら幸いです#Phishing
— にゃん☆たく (@taku888infinity) 2021年2月4日

僕の公開したリストがどこの企業を騙られてたのかを一覧化してまとめてみました。 https://t.co/Mqi39ad7QV pic.twitter.com/rKA2hXQ6vP
— にゃん☆たく (@taku888infinity) 2021年2月8日

では前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

FileZenに脆弱性

【概要】
FileZenに脆弱性が存在し、リモートの第三者によりシステム管理者アカウントを取得され、任意のOSコマンドを実行される可能性がある

【CVE番号】
CVE-2021-20655

【対象】
FileZen V3.0.0からV4.2.7までの各バージョン
FileZen V5.0.0からV5.0.2までの各バージョン

【対策】
・回避策を実行する
→初期管理者アカウント「admin」を無効化する
→システム管理者アカウントのIDおよびPasswordを変更する
→システム管理者アカウントに対し、インターネットからのログインができないよう設定する

【参考情報】
【重要】FileZen設定内容確認のお願い | サポートからのお知らせ | サポート | ソリトンシステムズ
 FileZenの脆弱性（CVE-2021-20655）に関する注意喚起
 「FileZen」における OS コマンドインジェクションの脆弱性について（JVN#58774946）：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】ファイル送受信製品「FileZen」に脆弱性 - アップデートは準備中、緩和策の実施を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

『FileZenに新たな脆弱性が存在することを確認しました。』

FileZenをご利用のお客様は、必ず以下に記す設定をご確認いただき、必要な対策を実施いただきますようお願い申し上げます。 pic.twitter.com/At2Nd5imW0
— hiro_ (@papa_anniekey) 2021年2月16日

FileZenにはゼロデイの脆弱性が存在、パッチは3月提供予定。
緩和策は即時適用です！#zeroday #0day https://t.co/jXjdk1kEHC pic.twitter.com/7b4psX59hb
— hiro_ (@papa_anniekey) 2021年2月16日

ISC BIND 9に脆弱性

【概要】
ISC BIND 9にバッファオーバーフローの脆弱性が存在し、リモートの第三者によりサービス運用妨害（DoS）などが引き起こされる可能性がある

【CVE番号】
CVE-2020-8625

【対象】
BIND 9.16系9.16.0から9.16.11まで
BIND 9.11系9.11.0から9.11.27まで
BIND 9 Supported Preview Edition 9.16.8-S1から9.16.11-S1まで
BIND 9 Supported Preview Edition 9.11.3-S1から9.11.27-S1まで

【対策】
・脆弱性修正済みバージョンを適用する（下記本脆弱性修正済バージョン）
BIND 9.16.12
BIND 9.11.28
BIND 9 Supported Preview Edition 9.16.12-S1
BIND 9 Supported Preview Edition 9.11.28-S1

【参考情報】
（緊急）BIND 9.xの脆弱性（DNSサービスの停止・リモートコード実行）について（CVE-2020-8625）
ISC BIND 9の脆弱性（CVE-2020-8625）に関する注意喚起
 ISC BINDに深刻な脆弱性、アップデートを | TECH+
【セキュリティニュース】「BIND 9」にリモートより悪用可能な脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

ISC BIND 9の脆弱性（CVE-2020-8625）に関する注意喚起https://t.co/1Ym1GtIsYQ

最も広く普及しているDNSサーバソフトウェアのひとつ「BIND」

脆弱性の悪用は確認されていませんが、悪用された場合、システムクラッシュ。理論的には遠隔からのコード実行も可能。早めのアップデートが無難です。😌
— ヴェロ👥🖥セキュリティVtuber (@VELO_ch) 2021年2月18日

SonicWall製SMA100シリーズに脆弱性

【概要】
SonicWall製SMA100シリーズに脆弱性が存在し、リモートの第三者により同製品を経由して組織内のネットワークに侵入される可能性がある

【CVE番号】
CVE-2021-20016

【対象】
ファームウェア 10系のバージョンで稼働する次のSMA100シリーズ製品
SMA 200
SMA 210
SMA 400
SMA 410
SMA 500v

【対策】
・脆弱性修正済みバージョンを適用する（下記本脆弱性修正済みバージョン）
ファームウェア 10系 10.2.0.6-32sv
ファームウェア 9系 9.0.0.10-28sv
▼その他回避策
MFA（多要素認証）の有効化
パスワードリセット

【参考情報】
SonicWall製SMA100シリーズの脆弱性（CVE-2021-20016）に関する注意喚起
 SonicWall SMA100シリーズ脆弱性、第三者が認証情報窃取可能性 (2021年2月9日) - エキサイトニュース
 【セキュリティニュース】SonicWall、VPN製品のゼロデイ脆弱性に対処 - 早急に更新を（1ページ目 / 全2ページ）：Security NEXT

VMware vCenter Serverに脆弱性

【概要】
VMware vCenter Serverに脆弱性が存在し、リモートの第三者により任意のファイルがアップロードされたり、任意のコマンドを実行される可能性があります。

【CVE番号】
CVE-2021-21972

【対象】
vCenter Server 7.0系 7.0 U1cより前のバージョン
vCenter Server 6.7系 6.7 U3lより前のバージョン
vCenter Server 6.5系 6.5 U3nより前のバージョン
Cloud Foundation (vCenter Server) 4系 4.2より前のバージョン
Cloud Foundation (vCenter Server) 3系 3.10.1.2より前のバージョン

【対策】
・脆弱性修正済みバージョンを適用する（下記本脆弱性修正済みバージョン）
vCenter Server 7.0系 7.0 U1c
vCenter Server 6.7系 6.7 U3l
vCenter Server 6.5系 6.5 U3n
Cloud Foundation (vCenter Server) 4.2
Cloud Foundation (vCenter Server) 3.10.1.2

【参考情報】
VMware vCenter Serverの脆弱性（CVE-2021-21972）に関する注意喚起
 【注意喚起】VMware vCenter Serverの脆弱性（CVE-2021-21972）、早急な対策を | セキュリティ対策のラック
 vCenter Serverの脆弱性まとめとSHODANでの観測状況 - セキュリティ研究センターブログ
 【セキュリティニュース】「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

VMware vCenter Server の脆弱性(CVE-2021-21972)の調査通信が、私のホストにもやってきました。そろそろ大規模なスキャンが始まったのかな。 pic.twitter.com/oadLdEzPzD
— morihi-soc (@morihi_soc) 2021年3月1日

#VMWare のvCenter serverに #脆弱性 (CVE-2021-21972) があり、大変なことになっているようです。このサーバーを探し出すスキャンが精力的に行われているそうです。やばい。 https://t.co/hR2lryUNA9
— OTTOTO (@ottoto2017) 2021年2月25日

VMware vCenterの脆弱性回避策対象のvRealize Operations Plug-in（ROP）の互換性を非互換にする手順：VMware vCenter Server Workaround Instructions for CVE-2021-21972 and CVE-2021-21973 (82374)https://t.co/NZ87lICdFS
— タモ＠＜ハザードマップを再度確認しましょう＞ (@tamosan) 2021年2月23日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2021年2月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
三菱 UFJ ニコスをかたるフィッシング (2021/02/17)

僕の収集できている範囲での結果ですが、2021年2月のフィッシングサイトで確認できたものと2021年1月を対比しみました
※Amazon,LINE,SMBC,楽天は除外

▼2月概要
■TOKYU POINT/東急カード,ASAHIネット,ODN WEBメール,goo,Lifeカード,Oricoカード,ペアーズ Pairs,NTTぷらら/plala誕生#Phishing pic.twitter.com/gaePxrjGwF
— にゃん☆たく (@taku888infinity) 2021年3月3日

注意喚起やニュースのアレコレ

東大総長を騙るスパムメールが出回る

【概要】
東大総長を騙る件名が「見積依頼」などのスパムメールが出回り、東京大学は注意喚起を公開した。

【参考情報】
【注意喚起】東京大学総長を装った迷惑メール（なりすまし）にご注意ください。／Warning about phishing scam spoofing the President of the University of Tokyo | 東京大学
 東大総長かたるなりすましメールに注意「ときょじゃぱん」「地球の世話しなさい！」など本文に - ITmedia NEWS
【セキュリティニュース】東大総長を装う「なりすましメール」に注意（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

【#今日のスパム】東大の学長から自分の見積もりを依頼される(？)という理解不能なメール。住所がふざけすぎてて、もうこれはスパムを装ったネタメールなのかもしれない。#誰のために pic.twitter.com/ma4JD8ka8F
— buzzhead (@buzzzz1970) 2021年2月1日

東京大学を装った雑なスパムが届く。ちょっと笑ってしまった。 pic.twitter.com/mYEg8CU5Y2
— shih (@si2055) 2021年2月1日

北陸先端大で個人情報が流出

【概要】
北陸先端大で学生や教職員1725人分の個人情報が流出。原因はウイルス検査サイトの「VirusTotal（ウイルストータル）」に自動でファイルがアップロードされてしまったための模様。

【参考情報】
外部サイトへの本学構成員に関する個人情報の流出について | JAIST 北陸先端科学技術大学院大学
 マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に【やじうまWatch】 - INTERNET Watch
北陸先端大で学生と職員の個人情報が流出、原因は端末で有効だった「あの機能」 | 日経クロステック（xTECH）
セキュリティーツール「VT4Browsers」の謎、文科省指摘の機密情報流出はこれが原因 | 日経クロステック（xTECH）
【セキュリティニュース】個人情報含むファイルをVirusTotalに誤送信 - 北陸先端大（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

非常にくだらない話なのですが、Virustotalにまつわる情報漏洩系の話、相変わらず多いので個人blogに書いてみました。

[怪談]VirusTotal沼のお話（対策含）｜__aloha__ #note https://t.co/i7HLBMeFrK
— hiro_ (@papa_anniekey) 2021年1月19日

LINEの問合せフォームが不正ログインを受ける

【概要】
LINEの2段階認証が適用されていない問合せフォームが不正ログインを受けた

【参考情報】
LINEアカウントへの不正アクセスに対する注意喚起 | LINE Corporation | セキュリティ＆プライバシー
 LINEアカウントへ不正アクセスを試み、LINEが注意喚起 - ケータイ Watch
【セキュリティニュース】LINEにPWリスト攻撃 - 2段階認証未適用の問合フォームが標的に（1ページ目 / 全1ページ）：Security NEXT

Emotetに感染している機器の利用者に注意喚起を実施

【概要】
総務省、警察庁、ICT-ISACはEmotetに感染している機器の利用者に注意喚起をISP経由で実施する。

【参考情報】
マルウェアに感染している機器の利用者に対する注意喚起の実施
 マルウェアに感染している機器の利用者に対する注意喚起の実施について
 総務省｜マルウェアに感染している機器の利用者に対する注意喚起の実施
 マルウェアEmotetのテイクダウンと感染端末に対する通知 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

【参考Tweet】

コンピューターウイルス「Emotet」被害拡大防止へ注意喚起 #nhk_news https://t.co/XjmKA3NRmf
— NHKニュース (@nhk_news) 2021年2月19日

2020年度のJNSA賞受賞者が決定

【概要】
JNSA（日本ネットワークセキュリティ協会）が毎年セキュリティに貢献した人を表彰するJNSA賞の2020年度の受賞者が決定した。
▼ワーキンググループ（WG）の部
・標準化部会　日本ISMSユーザグループ（リーダー：NTTコムソリューションズ株式会社　魚脇雅晴氏）
▼特別賞
・KesagataMe（@KesaGataMe0）氏
▼JNSA学生賞
・小栗美優氏（静岡大学）
・菅原毬矢氏（一関工業高等専門学校）
・長尾佳高氏（大阪大学）
・二瓶雄貴氏（東京電機大学）

【参考情報】
NPO日本ネットワークセキュリティ協会
 【セキュリティニュース】「JNSA賞」が発表、フィッシングハンターのKesagataMe氏ら受賞（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

同じく御報告がございます。

日本ネットワークセキュリティ協会(JNSA)様より、2020年度JNSA賞の特別賞を受賞致しました。
このような名誉ある賞を頂き、大変光栄です。

これからもフィッシング詐欺による被害を減らす為にも活動を続けて参ります。
継続は力なり。https://t.co/YPDLpLDq5o pic.twitter.com/PTrkZeY5u7
— KesagataMe (@KesaGataMe0) 2021年2月1日

2021年のサイバーセキュリティに関する総務大臣奨励賞の受賞者が決定

【概要】
2021年のサイバーセキュリティに関する総務大臣奨励賞の受賞者が決定した
▼個人
川口洋(株式会社川口設計代表取締役)
登大遊(独立行政法人情報処理推進機構（IPA）サイバー技術研究室長)
▼団体
鳥取県自治体ICT共同化推進協議会

【参考情報】
https://www.soumu.go.jp/main_content/000735771.pdf
総務大臣奨励賞に「シン・テレワークシステム」の登大遊さんらサイバーセキュリティ分野の功績を表彰 - ITmedia NEWS
【セキュリティニュース】セキュリティ分野の総務大臣奨励賞、登大遊氏ら受賞（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

総務大臣奨励賞をいただくことになりました。
けしからんソフトウェア (SoftEther VPN、シン・テレワークシステム、自治体テレワークシステム) を開発したためのようです。
誠にありがとうございます。https://t.co/FWUsFCUkDF
— Daiyuu Nobori (登大遊) (@dnobori) 2021年2月26日

JSAC2021のベストスピーカー賞の受賞者が決定

【概要】
セキュリティアナリストを対象としたJSAC2021のベストスピーカー賞の受賞者が決定した。
▼受賞者
佐條研（JPCERTコーディネーションセンター）
笹田修平（サイバーディフェンス研究所）
※両氏は「ばらまきメール回収の会」のメンバー

【参考情報】
Japan Security Analyst Conference 2021 開催レポート～1ST TRACK～ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 【セキュリティニュース】新型コロナ関連の情報流出で職員処分、経緯は明らかにせず - 新宮市（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

本日のAfter JSAC2021にて #JSAC2021 のベストスピーカー賞を @sugimu_sec さんと一緒に頂きました。
長期的な追跡と共有、詳細な解析が他の分析者の参考になると評価いただき、大変光栄です。

これからもばらまきメールの追跡と情報共有をしていきます！ https://t.co/ecoxei11Qo
— bom (@bomccss) 2021年2月19日

今後、国内の感染端末ユーザ（IPアドレスで2万6千件分）へISP経由で順次通知が行われるようですね。
正直、感染数は多いですが、それでもこの数で抑えられたのは、日々インシデントに対応していた方や、対策にあたっていた方、注意喚起をしていた方など、皆さんの力によるものだと僕は信じています。 https://t.co/OWxnqW4o2z
— sugimu (@sugimu_sec) 2021年2月19日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

コンピュータウイルス・不正アクセスの届出事例［2020年下半期（7月～12月）］(PDF)
https://www.ipa.go.jp/files/000088780.pdf
「情報セキュリティ10大脅威 2021」解説書(PDF)
https://www.ipa.go.jp/files/000088835.pdf

JPCERT コーディネーションセンター

インターネット定点観測レポート（2020年 10～12月）
マルウェアLODEINFOのさらなる進化 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 Japan Security Analyst Conference 2021 開催レポート～3RD TRACK～ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 Japan Security Analyst Conference 2021 開催レポート～2ND TRACK～ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 Japan Security Analyst Conference 2021 開催レポート～1ST TRACK～ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 マルウェアEmotetのテイクダウンと感染端末に対する通知 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/01 フィッシング報告状況

NICT

NICTER観測レポート2020の公開 | NICT-情報通信研究機構

LAC

サイバー救急センターレポート第10号～急増したマルウェア関連のインシデント傾向と対策～ | セキュリティ対策のラック
 【注意喚起】VMware vCenter Serverの脆弱性（CVE-2021-21972）、早急な対策を | セキュリティ対策のラック

Trend Micro

サイバー犯罪の根本解決：EUROPOLによるEMOTETテイクダウン
 活動範囲を拡大するランサムウェア「RansomExx」を事例で解説
 コロナ禍におけるサイバー犯罪者たちの「余暇活動」が判明トレンドマイクロセキュリティブログ
 漏えい情報を悪用するフィッシング詐欺、フランスの事例を解説
 Office 365偽サイトによるフィッシングキャンペーン、日本の経営幹部も標的

McAfee

レビュー：2020年の脅威状況を振り返る
 データ漏えいの疑い？あなたが取るべき6つのセキュリティステップ
 ハッカーによる悪用を阻止: モバイルアプリのビデオ会議の脆弱性から身を守るための3つのヒント
 Android用バーコードスキャンアプリが悪用され数百万台のスマホが感染の恐れ
 Babukランサムウェアを調査：5つの業界が対象に

Kaspersky

自社データがランサムウェアに暗号化されたとき
https://blog.kaspersky.co.jp/ransomware-attack-what-to-do/30083/
ホスティングプロバイダーになりすますフィッシング
https://blog.kaspersky.co.jp/hosting-provider-phishing-web-page/30076/
メーリングリストを探し求めるサイバー犯罪者
https://blog.kaspersky.co.jp/the-hunt-for-mailing-lists/29976/
ダークネット、ダークWeb、ディープWeb、サーフェスWebはどう違うのか
https://blog.kaspersky.co.jp/deep-web-dark-web-darknet-surface-web-difference/29966/
中古品から見つかるプライベートなデータ
https://blog.kaspersky.co.jp/data-on-used-devices/29960/
人事部門を狙うサイバー脅威
https://blog.kaspersky.co.jp/hr-related-threats/29955/
2021年予測：プライバシーはどうなっていくか
https://blog.kaspersky.co.jp/privacy-predictions-for-2021/29945/
Facebookアカウントの乗っ取りを狙う、偽の著作権侵害通知
https://blog.kaspersky.co.jp/facebook-account-hijack-through-notes/29924/

IIJ

wizSafe Security Signal 2021年1月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

NEC セキュリティブログ

ランサムウェアによる第三の脅迫手法: NECセキュリティブログ | NEC
ペネトレーションツールの紹介 ~Ninja C2~: NECセキュリティブログ | NEC
セキュリティアウェアネスとは何か: NECセキュリティブログ | NEC

piyolog

米国で発生した浄水システムの不正操作についてまとめてみた - piyolog

bomb_log

Emotetテイクダウン作戦 Operation LadyBird の成功への感謝 - bomb_log
Emotet - Epochとは - bomb_log

GeT_Pwn3d!

宅配業者を装ったSmishingキャンペーン総括 - GeT_Pwn3d!

午前７時のしなもんぶろぐ

CyberChef 超入門 (例題付き) - 午前７時のしなもんぶろぐ

今回もココまで読んでいただきありがとうございました。

ではでは！

|＼／|＼／∥＼／|＼／|
| ｜ ∩｜ ∥ ｜ | ｜ |
|　∧甘∧ ∥ ｜Ж ｜ |
|（´∀｀)∥ ∧⇔∧　|
| 厂ヽΠ∧∥( ^ー^*) |
|/ ￣|∞Г＼ /b▽d＼ |
|＼<￣人￣>/(ノ人ヾ_)|
|四四四四四四四四四四|

＜更新履歴＞
2021/03/04 AM公開

2021-02-01

2021年1月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

先日嬉しく感じたテレビ番組が放送された話をさせてください。

あなたにも届いてるかも!?フィッシング詐欺の対処方法をハンターが伝授 | 沸騰ワード10 | ニュース | テレビドガッチ https://t.co/TXYrIOhS1t #dogatch https://t.co/cDcY1cTw0S
— にゃん☆たく (@taku888infinity) 2021年1月31日

フィッシングハンターの@ozuma5119 さんが出演されていましたね！
フィッシング詐欺について気をつけないと！とか、フィッシングハンターってかっこよい！って思ってくれる人が1人でも増えてくれたら嬉しいなぁ！
楽しかったー！ https://t.co/FtloHI2McZ
— にゃん☆たく (@taku888infinity) 2021年1月29日

僕は現在、調査のひとつとしてフィッシング詐欺について調査をおこなっています。

日々フィッシングメールやフィッシングサイトを確認したり、騙られてしまう組織の人たちとどうやったらフィッシング詐欺の被害を減らせるかという話し合いもおこなっています。

また、そこで得た知識や経験をフィッシングハンターとして講演等で話させていただく機会も増えました。

組織も頑張って被害を減らす方法を考えて実行はしているのですが、被害をなかなか減らせないのが現状です。原因はどうしても個々のセキュリティ意識の問題にぶつかってしまうからです。

今回のような放送を見た方々がフィッシング詐欺について少しでも『怖い』『対策をとらないといけない』等と感じてくれたら嬉しいです。

いくらインターネットで我々フィッシングハンターが発信をしてもなかなか浸透しないのが現実です。皆さん一人一人が行動を変えてくれたり、知った情報を自分の周りに伝えるという行動が誰か一人を救える事につながってくると感じています。

こういった放送や報道が定期的にテレビなどで行われる事をこれからも願っています。

では前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Apache Tomcatに脆弱性

【概要】
Apache Tomcatに脆弱性が存在し、NTFSファイルシステムを利用しているシステム構成において、ネットワーク上にリソースを提供している場合、JSP（JavaServerPage）のソースコードが漏洩してしまう可能性がある。

【CVE番号】
CVE-2021-24122

【対象】
Apache Tomcat 10.0.0-M1から10.0.0-M9
Apache Tomcat 9.0.0.M1から9.0.39
Apache Tomcat 8.5.0から8.5.59
Apache Tomcat 7.0.0から7.0.106

【対策】
修正済みバージョンの適用（以下本脆弱性修正済みバージョン）
Apache Tomcat 10.0.0-M10
Apache Tomcat 9.0.40
Apache Tomcat 8.5.60
Apache Tomcat 7.0.107

【参考情報】
Apache Tomcatの脆弱性（CVE-2021-24122）に関する注意喚起
 【セキュリティニュース】「Apache Tomcat」にソースコード漏洩のおそれ - 11月更新版で修正済み（1ページ目 / 全1ページ）：Security NEXT
Tomcatに情報窃取の脆弱性、アップデートを | マイナビニュース
 Apache Tomcatの脆弱性情報(Important: CVE-2021-24122) - security.sios.com

sudoに脆弱性

【概要】
sudoに脆弱性（バッファオーバーフロー）が存在し、

【CVE番号】
CVE-2021-3156

【対象】
sudo バージョン 1.8.2 から 1.8.31p2
sudo バージョン 1.9.0 から 1.9.5p1
※上記以外の場合もあるためディストリビューション等が提供する情報を参照

【対策】
各ディストリビュータ情報に沿って対応

【参考情報】
sudoの脆弱性（CVE-2021-3156）に関する注意喚起
 sudoにパスワード不要で特権昇格が可能な脆弱性が見つかる - ITmedia エンタープライズ
 【セキュリティニュース】「sudo」に脆弱性「Baron Samedit」が判明 - root権限奪われるおそれ（1ページ目 / 全1ページ）：Security NEXT
sudoコマンドに特権昇格の脆弱性、アップデートを - JPCERT/CC | マイナビニュース
 sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) - security.sios.com

【参考Tweet】

CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Bloghttps://t.co/uJbexrpTjj
注意喚起がでてるsudoの脆弱性。sudoeditの引数だとエスケープをすり抜けてヒープオーバーフローが成立するのかなるほど。
— とある診断員 (@tigerszk) 2021年1月27日

脆弱性があるかどうかを確認する場合は

①root以外のユーザでログイン
②「sudoedit-s /」を実行
③「sudoedit：」で始まるエラーを返したら脆弱

とのことです。https://t.co/2BIb0XzkNm
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2021年1月27日

iOSとiPadOSに複数の脆弱性

【概要】
Apple（アップル）のiOSとiPadOSに脆弱性が存在し、悪意あるアプリによる特権昇格されたり、リモートから任意のコードを実行される可能性がある

【CVE番号】
CVE-2021-1782
CVE-2021-1871
CVE-2021-1870

【対象機器】
iPhone 6s以降
iPad Air 2以降
iPad mini 4以降
iPod touch（第7世代）

【対策】
アップデートする（以下本脆弱性修正済みバージョン）
iOS14.4
iPadOS14.4

【参考情報】
About the security content of iOS 14.4 and iPadOS 14.4 - Apple Support
iPhoneとiPadに「悪用された可能性がある」複数の脆弱性。iOS/iPadOS 14.4で修正 - PC Watch
AppleがiOS 14.4を公開、ハッカーが悪用した3カ所の脆弱性を修正 | TechCrunch Japan
悪用の報告も～3件のゼロデイ脆弱性に対処した「iOS 14.4」「iPadOS 14.4」が正式公開 - 窓の杜
 iPhoneやiPadに特権昇格と任意コード実行の脆弱性、直ちにアップデートを | マイナビニュース

【参考Tweet】

sudoの脆弱性CVE-2021-3156が多くニュースで流れていますが、それより同日のiOS 14.4未満のWebkit脆弱性に注意した方が良いです。リモートで任意コード実行可能、しかもApple自ら「既に攻撃に使われた可能性」とアナウンス。

まずは目の前のiPhoneをアップデートしましょう。https://t.co/9Xu3UfwGBH
— Osumi, Yusuke😇 (@ozuma5119) 2021年1月28日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2021年1月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
ジャックスをかたるフィッシング (2021/01/27)
エポスカードをかたるフィッシング (2021/01/25)
北海道銀行をかたるフィッシング (2021/01/18)
UC カードをかたるフィッシング (2021/01/15)
エムアイカードをかたるフィッシング (2021/01/12)

僕の収集できている範囲での結果ですが、2021年1月のフィッシングサイトで確認できたものと2020年12月を対比しみました
※Amazon,LINE,SMBC,楽天は除外

▼1月概要
■JACCS/ジャックスカード,大丸松坂屋カード,bitFlyer,七十七銀行のフィッシングサイト誕生

■特別定額給付金が一時期復活#Phishing pic.twitter.com/D7WpNblm6o
— にゃん☆たく (@taku888infinity) 2021年2月1日

注意喚起やニュースのアレコレ

福岡県で新型コロナウイルス陽性者リストが流出

【概要】
福岡県でクラウド（Googleドライブ）で管理していた新型コロナウイルス陽性者リストが流出。原因の一つはアクセス権限の設定ミス。

【参考情報】
【セキュリティニュース】新型コロナ陽性者リストが流出、アクセス権設定でミス - 福岡県（1ページ目 / 全1ページ）：Security NEXT
コロナ陽性者の個人情報9500人分が流出クラウドのアクセス権を誤って公開状態に福岡県が謝罪 - ITmedia NEWS
福岡県が管理する新型コロナ陽性者数千人分の個人情報流出、経緯に不可解な点も | 財経新聞
 約9,500人分ネット上に公開コロナ陽性者情報流出福岡県が謝罪会見
 福岡県の新型コロナ陽性者情報流出についてまとめてみた - piyolog

【参考Tweet】

これどういう事かと思ったら、
Googleスプレッドシートで管理していた陽性者情報をURL共有モードONにして、
あまつさえそのURLを関係ない人に送ってしまったのね。。。

福岡県管理のコロナ陽性者情報氏名・住所など数千人分が流出(TBS系（JNN）)#Yahooニュース https://t.co/gAmSV5iKWa
— zuzu@在宅エンジニア (@zuzu0301) 2021年1月6日

県がG Suiteを使ってたのか、アクセス権を持つ誰かがアップロードしたのか、いずれにしても管理が甘過ぎる上、指摘を受けてからの対応が悪過ぎる / “福岡県管理のコロナ陽性者情報氏名・住所など数千人分が流出｜TBS NEWS” https://t.co/xrUINzbPL2
— Masanori Kusunoki / 楠正憲 (@masanork) 2021年1月6日

アクセス権が付いたメールを誤送信して、それを折角連絡くれたのに対応が不十分だったと。適切にアクセス管理ができたか外からのアクセス確認を怠ったんでしょうね。

新型コロナ: 9500人分のコロナ感染者情報流出　福岡県: 日本経済新聞 https://t.co/m1wGXNh5V9
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2021年1月7日

特別定額給付金を騙るフィッシングメールが出回る

【概要】
今月上旬に「【重要】特別固定給付金の支払い資格をおめでとうございます」という件名の特別定額給付金を騙るフィッシングメールが出回った。

【参考情報】
総務省を騙った特別定額給付金に関するフィッシング｜一般財団法人日本サイバー犯罪対策センター
 【セキュリティニュース】緊急事態宣言の再発令に早くも便乗、「特別定額給付金」フィッシングに注意（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】「特別定額給付金」フィッシング、実際に誘導されるケースも（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

総務省を装う「【重要】特別固定給付金の支払い資格をおめでとうございます」というう件名のメールが、狙いすましたように夕方からばらまかれたようです。昨年と同じ偽のオンライン申請サイトに誘導し、クレカ情報等を騙し取ろうとするのでお気を付けください。https://t.co/V9cLKP3bBX
— Naomi Suzuki (@NaomiSuzuki_) 2021年1月7日

⚠️詐欺サイト⚠️
特別定額給付金のオンライン申請を装った『フィッシング詐欺サイト』が立ち上がっています。

狙いはクレジット情報です。
もし総務省の名を騙った不審なメールが届いても無視し、削除あるのみ。

これから続く可能性があります。
周囲に注意を促して下さい。#総務省 #緊急事態宣言 https://t.co/u9FLxOyXBJ pic.twitter.com/E9vlAx52GM
— KesagataMe (@KesaGataMe0) 2021年1月7日

TM社さん、「同社のクラウド基盤」「同社製品ユーザうんうんと匂わせているけど、実際はPhisingサイトの入力の履歴を調査しただけじゃないかな？

【セキュリティニュース】「特別定額給付金」フィッシング、実際に誘導されるケースも：Security NEXT https://t.co/acrBEYDNQO
— hiro_ (@papa_anniekey) 2021年1月12日

ソフトバンクの元従業員が社外に情報を持ち出し逮捕

【概要】
元ソフトバンク従業員が社外に情報を持ち出し逮捕された。転職先は楽天モバイル。

【参考情報】
楽天モバイルへ転職した元社員の逮捕について | プレスリリース | ニュース | 企業・IR | ソフトバンク
 従業員の逮捕について | 楽天株式会社
 楽天モバイル、社員逮捕巡りソフトバンクに反論「営業秘密を業務に使った事実は確認していない」 - ITmedia NEWS
ソフトバンク元社員逮捕 5Gの営業秘密を転職先・楽天モバイルに持ち出しか - ITmedia NEWS
【セキュリティニュース】楽天モバ、従業員逮捕でコメント - 営業秘密利用は未確認（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】ソフトバンク元従業員が逮捕 - 技術情報を転職先に持ち出しか（1ページ目 / 全1ページ）：Security NEXT
楽天モバイルへ転職したソフトバンク元社員の社外秘情報持ち出しについてまとめてみた - piyolog

DeNAの元従業員が社外に顧客情報を持ち出し

【概要】
DeNAの元従業員が社外にカーシェアサービス「Anyca」の顧客情報を持ち出し不正利用

【参考情報】
当社元従業員による不正行為について | 株式会社ディー・エヌ・エー【DeNA】
DeNAの元従業員、カーシェア「Anyca」の顧客情報を不正利用勝手にカードローン申し込み - ITmedia NEWS
DeNA元従業員、顧客情報を不正持ち出し :日本経済新聞
 【セキュリティニュース】従業員が顧客情報を悪用、カードローンに申込 - DeNA（1ページ目 / 全2ページ）：Security NEXT

今年のサイバーセキュリティ月間は『ラブライブ！サンシャイン!!』とのタイアップが決定

【概要】
政府が主催するサイバーセキュリティ月間（2月1日～3月18日）で『ラブライブ！サンシャイン!!』とタイアップすることが発表された

【参考情報】
『ラブライブ！サンシャイン!!』とのタイアップについて[みんなでしっかりサイバーセキュリティ]
ラブライブ！サンシャイン!! Official Web Site | NEWS
政府、「ラブライブ！サンシャイン!!」とコラボサイバーセキュリティ月間で - ITmedia NEWS
サイバーセキュリティ月間で政府機関と「ラブライブ！サンシャイン!!」がタイアップ - CNET Japan

【参考Tweet】

2月1日から3月18日はサイバーセキュリティ月間です。
2021年は『ラブライブ！サンシャイン!!』とタイアップします。#サイバーセキュリティは全員参加 #lovelive
詳細はこちら https://t.co/0OYjN2rHi1 pic.twitter.com/JBWFfuYXp8
— NISC内閣サイバーセキュリティセンター (@cas_nisc) 2021年1月22日

【ニュース更新】内閣サイバーセキュリティセンター(NISC)と『ラブライブ！サンシャイン!!』がタイアップ！2月1日から開始となるサイバーセキュリティ月間をPR致します！
詳細はこちら→ https://t.co/1YMPpGQrMz #lovelive #Aqours #サイバーセキュリティは全員参加 pic.twitter.com/qdWHdMHylz
— ラブライブ！シリーズ公式 (@LoveLive_staff) 2021年1月22日

情報セキュリティ10大脅威2021のランキングが決定

【概要】
IPA（情報処理推進機構）が例年発表している情報セキュリティ10大脅威の2021が発表された。組織向け脅威としては初めて『テレワーク等のニューノーマルな働き方を狙った攻撃』がランクインした

【参考情報】
情報セキュリティ10大脅威 2021：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「情報セキュリティ10大脅威 2021」が決定 - 研究者が注目した脅威は？（1ページ目 / 全1ページ）：Security NEXT
新型コロナはセキュリティ脅威にも影響？ IPAが「情報セキュリティ10大脅威 2021」を発表：「テレワークを狙った攻撃」が上位に - ＠IT
【速報】IPAが「情報セキュリティ10大脅威2021」を公開｜注目の脅威への適切な対策とは？

「Emotet」の攻撃インフラがテイクダウン

【概要】
マルウェアの「Emotet」の攻撃インフラがEuropolによりテイクダウンされた

【参考情報】
World’s most dangerous malware EMOTET disrupted through global action | Europol
マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信 - ZDNet Japan
【セキュリティニュース】欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも（1ページ目 / 全2ページ）：Security NEXT
【セキュリティニュース】欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも（1ページ目 / 全2ページ）：Security NEXT
【セキュリティニュース】「Emotet」で10億円以上荒稼ぎか - インフラ維持に5000万円（1ページ目 / 全1ページ）：Security NEXT
プレーヤー | NHKラジオらじる★らじる
 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた - piyolog

【参考Tweet】

Bye-bye botnets👋 Huge global operation brings down the world's most dangerous malware.

Investigators have taken control of the Emotet botnet, the most resilient malware in the wild.

Get the full story: https://t.co/NMrBqmhMIf pic.twitter.com/K28A6ixxuM
— Europol (@Europol) 2021年1月27日

#Emotet のボットネットがテイクダウンされたそうです！🎉🎉🎉 https://t.co/eX7EeTSGco
— sugimu (@sugimu_sec) 2021年1月27日

繰り返しにはなりますが、Emotetに感染したままの端末はおそらくZloaderなど他のマルウェアにも感染したままの可能性が高いです。
なので、もともと対策が不十分な組織はEmotetが無効化されたとしても油断は禁物です。

テストに出ますので忘れずに。（え？ https://t.co/AosvTgHJ2c
— Autumn Good (@autumn_good_35) 2021年1月27日

At Cryptolaemus we have always appreciated the tweets/IoCs/info that you & your colleagues share @bomccss, @abel1ma @gorimpthon @sugimu_sec @papa_anniekey @waga_tw @wato_dn @58_158_177_102 have shared!!! Team power! 💪💪Often you had data that no one else saw/had! Thank you!!
— Cryptolaemus (@Cryptolaemus1) 2021年1月28日

Emotetテイクダウン、素晴らしい！

こんなことが出来るなんて思わなかった。2年間の関係者の調整の結果ということで、関係者の方々を尊敬します。

と同時に日本が関われていないことに一抹の悔しさを感じるのだけど。
感染端末の駆除など、やることは沢山あるけれど。https://t.co/iqhQXtY4ac
— S-Owl (@Sec_S_Owl) 2021年1月27日

テイクダウンは知らなかったので含まれてませんが、日本のコミュニティがどうやってEmotetの被害を減らす努力をしてきたか等について、 @sugimu_sec さんと私の @bomccss の活動としてお話します。 https://t.co/sd3cgrNLBW
— S-Owl (@Sec_S_Owl) 2021年1月28日

複数企業のシステム開発に携わったプログラマーがシステムプログラムの一部を外部に公開

【概要】
複数企業のシステム開発に携わったプログラマーがシステムプログラムの一部をGithub（ギットハブ）というサービス丈で外部に公開していた

【参考情報】
SMBC三井住友銀行が流出認める：艦これ発端で発覚したGitHub経由のコード流出(三上洋) - 個人 - Yahoo!ニュース
 GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 | 日経クロステック（xTECH）
SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題 | 日経クロステック（xTECH）
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】 - ITmedia NEWS
大手銀などのプログラム、ネット投稿外注先の関係者か：朝日新聞デジタル
 三井住友銀、プログラム流出外注のＩＴ企業男性、投稿か：朝日新聞デジタル

【参考Tweet】

某社ソースコード流出事件いろんなツイートを見てようやくある程度何が起こってるのか理解できたけど、ワシのようなBBAには、わからんことがたくさんある。ちょっとあげてみる。
— Kyoko HANADA(花田経子) (@cchanabo) 2021年1月28日

最高のタイミングだと思ったので紹介するんですが、Github上に公開されている機密情報を調査することができるツールがあったりします。 #OSINT https://t.co/8gAUUEzLZA
— SttyK (してぃーきっず) (@SttyK) 2021年1月29日

これ組織内のセキュリティ監視側に対してGitHubへの通信の有無とか通信遮断とかの話に繋がっていきそうで怖いなぁ。

特に組織内で立場が上の人に「GitHubは悪」みたいな認識を持たれないように技術側は説明しないといけない事案も発生しそう。 https://t.co/QA8n50015c
— にゃん☆たく (@taku888infinity) 2021年1月28日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

情報セキュリティ安心相談窓口の相談状況［2020年第4四半期（10月～12月）］：IPA 独立行政法人情報処理推進機構
 脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期（10月～12月）]：IPA 独立行政法人情報処理推進機構
 ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第4四半期（10月～12月）]：IPA 独立行政法人情報処理推進機構
 情報セキュリティ10大脅威 2021：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 攻撃グループLazarusが侵入したネットワーク内で使用するツール - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
JPCERT/CC 活動四半期レポート［2020年10月1日～2020年12月31日］（PDF）
https://www.jpcert.or.jp/pr/2021/PR_Report20210121.pdf
JPCERT/CC インシデント報告対応レポート［2020年10月1日～2020年12月31日］（PDF）
https://www.jpcert.or.jp/pr/2021/IR_Report20210121.pdf
ソフトウェア等の脆弱性関連情報に関する届出状況 [2020年第4四半期（10月～12月）]（PDF）
https://www.jpcert.or.jp/pr/2021/vulnREPORT_2020q4.pdf

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/12 フィッシング報告状況

LAC

JNSAの有志によって作成された「CISOハンドブック」とは？ | セキュリティ対策のラック
 JSOC INSIGHT vol.27 | セキュリティ対策のラック
 JSOC INSIGHT vol.28 | セキュリティ対策のラック
 JSOCサイバー攻撃トレンドレポート（2020.10）～Webサーバに向けた脆弱性スキャナ通信を多数観測 | セキュリティ対策のラック
 【注意喚起】「SKYSEA Client View」インストーラに脆弱性（CVE-2021-20616）、最新版の利用を | セキュリティ対策のラック
 日本最大級のセキュリティ国際会議「CODE BLUE 2020」のスピーカーに挑戦しました！ | セキュリティ対策のラック

Trend Micro

オープンソースソフトウェアを悪用した標的型攻撃事例について解説
 サイバー犯罪集団「OceanLotus」に繋がるMacOS向けのバックドア型マルウェアを確認
 領土問題をスピアフィッシングに利用するサイバー犯罪者集団「SideWinder」の手口
 サイバー攻撃の最前線！インシデント対応における基本的対策指針
 「防弾ホスティング」とは？サービス事業者の活動について解説
 標的ネットワークを侵害するクロスプラットフォームのモジュラー型マルウェア「Glupteba」 | トレンドマイクロセキュリティブログ

McAfee

マカフィー 2021年の脅威予測レポート
 SolareWinds-SUNBURSTが警鐘を鳴らすべき攻撃である理由

Kaspersky

ランサムウェアの資金フローを追う
https://blog.kaspersky.co.jp/rc3-bitcoin-ransom-tracing/29908/
Flashよ、さらば
https://blog.kaspersky.co.jp/farewell-flash/29873/

IIJ

wizSafe Security Signal 2020年12月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

NEC セキュリティブログ

パスワード付きzip PPAP 問題について: NECセキュリティブログ | NEC
脅威インテリジェンス共有基盤の取り組み: NECセキュリティブログ | NEC
マルウェア解析プロフェッショナルのための資格 GREM合格体験記: NECセキュリティブログ | NEC

piyolog

福岡県の新型コロナ陽性者情報流出についてまとめてみた - piyolog
楽天モバイルへ転職したソフトバンク元社員の社外秘情報持ち出しについてまとめてみた - piyolog
最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた - piyolog

トリコロールな猫/セキュリティ

2020年下半期に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ

knqyf263's blog

DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog

午前７時のしなもんぶろぐ

セキュリティ情報の集め方～しなもんの場合～ - 午前７時のしなもんぶろぐ

ロシアンブルー飼育日記

長期インターンのリアル/メリット・デメリット - ロシアンブルー飼育日記

今回もココまで読んでいただきありがとうございました。

ではでは！

。　よそはーよそ
。ﾟ
　＼　　ハ_ハ
　　∩(ﾟωﾟ )
　　ヽ[工]⊂)
　　　｜ヽ｜
　　　 (＿(＿)

うちはーうち　。
　　　　　　ﾟ。
　ハ_ハ　／
　( ﾟωﾟ)∩
　(つ[工]ノ
　｜ / ｜
　(＿)＿)

＜更新履歴＞
2021/02/01 AM公開

2021-01-05

2020年12月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

明けましておめでとうございます！

2021年も『にゃん☆たく』をどうぞよろしくお願いいたします。

新年になり気持ち新たに。。。と思っていますが、昨今の新型コロナウイルスの影響がこの年末年始も変わらず、とうとう東京も緊急事態宣言が出されるようです（2021年1月5日午前現在）。

セキュリティ対策もコロナウイルス対策も自分一人の行動次第で変わってくることがあると僕は思っています。今自分ができることはまずやってみる、だけでも世の中全体が変わってくると思います。

では前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Apache Tomcatに脆弱性

【概要】
Apache Tomcatに脆弱性が存在し、ストリームの情報が漏えいする可能性がある。

【CVE番号】
CVE-2020-17527

【対象】
Apache Tomcat 10.0.0-M1 から 10.0.0-M9
Apache Tomcat 9.0.0.M1 から 9.0.39
Apache Tomcat 8.5.0 から 8.5.59

【対策】
・修正済みバージョン適用（下記修正済みバージョン）
Apache Tomcat 10.0.0-M10
Apache Tomcat 9.0.40
Apache Tomcat 8.5.60

【参考情報】
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
 Apache Tomcatの脆弱性情報(Moderate: CVE-2020-17527) - security.sios.com
【セキュリティニュース】「Apache Tomcat」に情報漏洩のおそれ - 11月17日の更新で修正済み（1ページ目 / 全1ページ）：Security NEXT
Apache Tomcatに情報漏洩につながる脆弱性、最新版にアップデートを | マイナビニュース

【参考Tweet】

Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 https://t.co/Ux1iWIRE8x
— IPA （JVNiPedia） (@JVNiPedia) 2020年12月7日

ソリトンシステムズのFileZenに脆弱性

【概要】
ソリトンシステムズの製品「FileZen」に脆弱性が存在し、リモートから任意のファイルをアップロードされる可能性がある。

【CVE番号】
CVE-2020-5639

【対象】
FileZen V3.0.0 から V4.2.2 まで

【対策】
・アップデートする（FileZenをV4.2.3以降）

【参考情報】
【重要】FileZenディレクトリトラバーサルの脆弱性について | サポートからのお知らせ | サポート | ソリトンシステムズ
 ファイル・データ転送アプライアンス FileZen に関する注意喚起
 「FileZen」におけるディレクトリトラバーサルの脆弱性について（JVN#12884935）：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「FileZen」脆弱性、悪用でOSコマンド実行のおそれ - 追加アップデートも（1ページ目 / 全2ページ）：Security NEXT
FileZen にディレクトリトラバーサルの脆弱性、早急なアップデート呼びかけ | ScanNetSecurity
[OSINT]Shodanを使ってFileZenを探せその1｜__aloha__｜note
[OSINT]Shodanを使ってFileZenを探せその2(データ収集テクニック）｜__aloha__｜note

【参考Tweet】

記事、公開します。ソリトンさんごめんなさい。
OSINTツール、shodanを使ってFilezenを探せのお話をまとめました。

[OSINT]Filezenを探せ　 #note https://t.co/u7qSYnwvIT
— hiro_ (@papa_anniekey) 2020年12月8日

昨日に続いてですが、その2を書きました。その1ではshodanの検索テクニックについて、その2はデータ収集のテクニックについて書いてみました。重ね重ね、ソリトンさんごめんなさい。。。
[OSINT]Shodanを使ってFileZenを探せ　その2(データ収集テクニック）https://t.co/coKGBygr7r #shodan https://t.co/6jqsnIa47B
— hiro_ (@papa_anniekey) 2020年12月9日

OpenSSLに脆弱性

【概要】
OpenSSLに脆弱性が存在し、脆弱性を悪用されるとDoS攻撃を受ける可能性がある。

【CVE番号】
CVE-2020-1971

【対象】
OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン

【対策】
・脆弱性修正済みバージョンの適用（下記修正済みバージョン）
OpenSSL 1.1.1i

【参考情報】
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
 OpenSSLの脆弱性情報(High: CVE-2020-1971) - security.sios.com
OpenSSLにDoS攻撃につながる重大な脆弱性、早急にアップデートを | マイナビニュース

Apache Struts 2に脆弱性(S2-061)

【概要】
Apache Struts 2に脆弱性が存在し、脆弱性が悪用されるとリモートから任意のコードが実行される可能性がある。

【対象】
Apache Struts 2
2.0.0 から 2.5.25 まで

【対策】
・脆弱性修正済みバージョンの適用（下記修正済みバージョン）
Apache Struts 2
2.5.26

【参考情報】
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
 「Apache Struts 2」において任意のコードが実行可能な脆弱性 (S2-061)（JVN#43969166）：IPA 独立行政法人情報処理推進機構
 Apache Struts 2 の脆弱性 S2-061（CVE-2020-17530）PoC検証 | yamory Blog
【セキュリティニュース】「Apache Struts 2」にRCE脆弱性が判明 - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT
Apache Struts 2に遠隔から任意コード実行の脆弱性、アップデートを - ITmedia エンタープライズ

【参考Tweet】

ハニーポットにS2-061を悪用した攻撃通信が来ていました。
curl、wget、python、lwp-downloadを使用してhxxp://205.185.116.78/からファイルのダウンロードを試みています。 pic.twitter.com/K5Nd7itiva
— 謎の男 (@secret_return) 2020年12月20日

明日の私さんへ。
S2-061は「vulhub（vulnhubではない）」に用意されているS2-059の検証環境を少し弄れば再現できるって書いてあると思います。→https://t.co/qEfqe4DyVF
構築方法はここに書いてあると思います。→https://t.co/gigqLvWk9T
Mac環境へのPoCは今後の参考に→https://t.co/v3jT35zpoM
— 謎の男 (@secret_return) 2020年12月9日

はてなブログに投稿しました。#ハニポで夜更かし
S2-061/CVE-2020-17530狙いが来たようだ。
2020/12/23 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラhttps://t.co/KASPLTSdCq
— NYAMA (@oubon21120991) 2020年12月24日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年12月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
三菱 UFJ 銀行をかたるフィッシング (2020/12/18)
宅配便の不在通知を装うフィッシング (2020/12/18)
セディナカード・OMC カードをかたるフィッシング (2020/12/14)
三井住友カードをかたるフィッシング (2020/12/10)
オリコをかたるフィッシング (2020/12/08)
UCS カードをかたるフィッシング (2020/12/07)

僕の収集できている範囲での結果ですが、2020年12月のフィッシングサイトで確認できたものと2020年11月と対比しみたものです
※Amazon,LINE,SMBC,楽天は除外しています

▼12月の概要
■ニトリの偽サイトが話題
■地銀（北海道,琉球,沖縄,北陸,静岡,横浜）フィッシングサイト誕生#Phishing pic.twitter.com/xSUXcB9tkf
— にゃん☆たく (@taku888infinity) 2021年1月2日

注意喚起やニュースのアレコレ

セールスフォース製品の設定ミスで情報が流出

【概要】
セールスフォース製品(（Experience Cloud〔旧 Community Cloud〕、Salesforceサイト、Site.com）)を使用していた組織の情報が流出。原因は、ゲストユーザに対する情報の共有に関する設定の不備。

【参考情報】
【お知らせ】当社一部製品をご利用のお客様におけるゲストユーザに対する共有に関する設定について | セールスフォース・ドットコム
 楽天に不正アクセス、最大148万件以上の情報流出の恐れ営業管理用SaaSの設定にミス - ITmedia NEWS
楽天、PayPayの情報漏えい、原因はセールスフォース製品の設定ミス？ - ITmedia ビジネスオンライン
 楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る | 日経クロステック（xTECH）
金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで | 日経クロステック（xTECH）
【セキュリティニュース】クラウド設定ミスで顧客情報が流出 - 楽天グループ3社（1ページ目 / 全2ページ）：Security NEXT
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog

【参考Tweet】

「2016年のシステムアップデートで、設定のデフォルト値が変わった。再設定が必要だったが、できていなかった。」ってのを、楽天サイドの誤りと断じるのはひどくね？
/ 楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る https://t.co/QZmqJ0glwA
— wakatono(JK) (@wakatono) 2020年12月25日

「2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わった」ひえー、こりゃ怖い / “楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る | 日経クロステック（xTECH）” https://t.co/GpZosbclGK
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年12月25日

Salesforceの設定ミスって顧客情報漏洩させた各社さんは、みんな保護委に報告してるんでしょうか？保護委から注意喚起とか出てもいいんじゃないかと思うのですが。
— nov matake (@nov) 2020年12月25日

SolarWindsの製品にバックドアが仕組まれる

【概要】
SolarWindsの製品（SolarWinds Orion Platform）に外部からバックドアが仕組まれ、導入していた企業に影響が出ている。

【参考情報】
SolarWinds社製SolarWinds Orion Platform ソフトウェアに関する政府機関
等への注意喚起の発出について（PDF）
https://www.nisc.go.jp/active/general/pdf/chuikanki201216.pdf
【セキュリティニュース】SolarWinds製品の侵害、米国中心に検出 - 国内でも（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】APT攻撃受けた「SolarWinds Orion Platform」に追加ホットフィクス（1ページ目 / 全1ページ）：Security NEXT
米政府などへの大規模サイバー攻撃、SolarWindsのソフトウェア更新を悪用 - CNET Japan
マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡 - CNET Japan
Microsoft、「SolarWinds悪用攻撃者にソースコードを見られた」 - ITmedia NEWS
SolarWinds悪用攻撃、Intel、Cicso、NVIDIA、VMwareも──Wall Street Journal報道 - ITmedia NEWS
「SolarWinds問題」はより大きな脅威の一端か、当局から新しい警告 - ITmedia エンタープライズ
 Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE
SolarWindsハッキング事件について現在までわかっていること | ギズモード・ジャパン
 SolarWinds製品を悪用したマルウェア、日本でも検出確認 - ZDNet Japan
マイクロソフト、米政府機関などへの攻撃に関連するSolarWindsのソフトウェアを隔離へ - ZDNet Japan
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog

【参考Tweet】

SolarWindsのセキュリティアドバイザリ連日更新されています。SUPERNOVAについても追記されています。https://t.co/mJVe0uMN0J

（できれば更新履歴がほしい。。） pic.twitter.com/7YDilqFIdJ
— piyokango (@piyokango) 2020年12月28日

MSがSolarWindsによる攻撃の影響調査が進んだ結果として製品のソースコードを見られていたと報告。ただしhackされたアカウントには変更権限が無かったという。サービスや顧客データにアクセスされた形跡は無かった。またMS経由で他社に攻撃が行われた形跡も無かったという。 https://t.co/SWnPYZp5Fw
— 高梨陣平 (@jingbay) 2021年1月2日

スマホ用ブラウザ「Smooz」がサービス終了

【概要】
スマホ用ブラウザ「Smooz」が外部に情報を送信している事がわかり修正をおこなったが、最終的にサービス終了になった。

【参考情報】
Smoozのサービス終了のお知らせ | Smooz Blog
Smoozにおけるユーザー情報の取り扱いについて | Smooz Blog
情報を外部に送信している？疑惑のWebブラウザ「Smooz」が配信停止に - ITmedia NEWS
サービス終了となった「Smooz」に未修正の脆弱性？利用の継続は大きなリスクを負うことに - 窓の杜
 ブラウザー「Smooz」がサービス終了、同じ運営元の「在庫速報.com」もアクセス不能に？【やじうまWatch】 - INTERNET Watch

【参考Tweet】

Smoozが現在配信停止されていますが脆弱性の修正を含むバージョンが公開停止されてしまっており、良い判断ではないと思います。運営元のデータ取り扱いが信用ならないという話と「悪意のある第三者に個人情報が盗み取られる」話は別問題であり、配信停止してしまうと既存の利用者は保護されません。
— mala (@bulkneets) 2020年12月20日

一方で自分がSmoozに報告した脆弱性というのは、悪意のあるWebページ側から全自動で入力サポート機能用に登録した住所氏名電話番号メールアドレスを盗み取れるというものです。影響はiOS版のみ(Android版は未実装)
これはバージョンアップしない限り直りません。類似事例 https://t.co/bPzHQ41FUy pic.twitter.com/KvVAetDi4m
— mala (@bulkneets) 2020年12月21日

Adobe Flash Playerのサポートが終了

【概要】
Adobe Flash Playerのサポートが2020年12月31日に終了になった。サポート終了後は全てのユーザーに対しアンインストールすることを推奨している。

【参考情報】
Adobe Flash Playerサポート終了
 Adobe Flash Playerサポート終了、すぐにアンインストールを | マイナビニュース
 2020年末で正式にサポート終了した「Adobe Flash」についてAdobeは「今すぐにFlashを削除することを強く推奨します」とユーザーに通知 - GIGAZINE
Adobe、Flashプレイヤーのアンインストールを強く推奨 - iPhone Mania
【セキュリティニュース】さよなら「Adobe Flash Player」 - 2020年末でサポート終了（1ページ目 / 全3ページ）：Security NEXT

Emotetに感染させるばらまき型メールが再開

【概要】
クリスマスや賞与支給を騙り、Emotetに感染させるばらまき型メールが再開した。

【参考情報】
Emotet などのマルウェア感染に繋がるメールに引き続き警戒を
 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も（1ページ目 / 全2ページ）：Security NEXT
【セキュリティニュース】12月21日より「Emotet」感染メール増加 - あらためて警戒を（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

12月30日6時55分ごろからEmotetへの感染を狙ったメールが来ています
確認できた件名
ご入金額の通知・ご請求書発行のお願い数字-202012月30
請求書の件です。数字-202012月30
払届
ミーティング https://t.co/29yQN9d89Iドメイン名
ビジネス会議への招待 https://t.co/29yQN9d89Iドメイン名
（続く）
— abel (@abel1ma) 2020年12月29日

2020/12/22(木)の日本語 #Emotet の件名まとめhttps://t.co/rx4UY5YSp4

■件名種別
・賞与系
・クリスマス系
・返信型

件名種別はさほど多くは無いですが、docは日本語のものと英語と2種類あります。

E3の日本語向けはdoc添付のみですが、E1はパスワード付きzip、E2はzipとリンクです。 pic.twitter.com/ICSzWBOKVu
— bom (@bomccss) 2020年12月22日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

サイバーレスキュー隊（J-CRAT）活動状況[2020年度上半期]（PDF）
https://www.ipa.go.jp/files/000086892.pdf
年末年始における情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構
 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
※「年末時期に合わせた攻撃の再開」を追記しました。（2020年12月22日）
「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

CNA活動レポート〜日本の2組織が新たにCNAに参加〜 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 Quasar Familyによる攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 2020年9月から12月を振り返って
 Emotet などのマルウェア感染に繋がるメールに引き続き警戒を

JC3

広告表示により誘導する悪質なショッピングサイト｜一般財団法人日本サイバー犯罪対策センター
 様々な金融機関等を狙ったフィッシング｜一般財団法人日本サイバー犯罪対策センター

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/11 フィッシング報告状況

JNSA

NPO日本ネットワークセキュリティ協会

※「2020年セキュリティ十大ニュース」

LAC

【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認 | セキュリティ対策のラック
 JSSECセキュアコーディングガイド最新版～改定内容とAndroid 11対応のノウハウとは？ | セキュリティ対策のラック
 【対談】クラウド×セキュリティの協業があらゆる社会課題を解決に導く-TIS株式会社 | セキュリティ対策のラック

Trend Micro

標的ネットワークを侵害するクロスプラットフォームのモジュラー型マルウェア「Glupteba」 | トレンドマイクロセキュリティブログ
 正規コミュニケーションアプリに便乗する手口について解説 | トレンドマイクロセキュリティブログ
 CVE-2020-17053： Internet Explorerの新たな脆弱性について解説 | トレンドマイクロセキュリティブログ
 「環境寄生」の常態化：2019年国内での標的型攻撃を分析 | トレンドマイクロセキュリティブログ
 SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃 | トレンドマイクロセキュリティブログ
 Operation Earth Kitsune：新たなバックドア2種と連携する攻撃手法について解説 | トレンドマイクロセキュリティブログ
 巧妙化するシェルスクリプトの隠蔽手口について解説 | トレンドマイクロセキュリティブログ

McAfee

デバイスからクラウドへのアーキテクチャがSolarWindsサプライチェーンの侵害をどのように防御するか
 SUNBURSTバックドアの追加分析について
 SUNBURSTマルウェアとSolarWindsに対するサプライチェーン攻撃
 偽の広告を表示するAdrozekマルウェアに注意：Webブラウザを保護するための4つのヒント
 個人情報や金融情報を保護するために個人でできるセキュリティ対策トップ10
ホリデーシーズンに注意すべき4種のフィッシング詐欺

Kaspersky

密かに動画ビューを稼ぐChrome拡張機能
https://blog.kaspersky.co.jp/chrome-plugins-alert/29814/
ドキシング、情報漏洩：個人情報の値段と行く末
https://blog.kaspersky.co.jp/dox-steal-reveal/29671/
バックアップだけでは十分ではない理由
https://blog.kaspersky.co.jp/why-backup-is-not-enough/29769/
Amazon関連のよくある詐欺
https://blog.kaspersky.co.jp/amazon-related-phishing-scam/29644/

IIJ

wizSafe Security Signal 2020年11月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

MBSD

AWS環境における実践的なインシデントレスポンス演習の作成 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

NEC セキュリティブログ

JavaScriptで書ける！APIフックによるマルウェア動的解析 | NEC
ビジネスとして改良が続けられている二重脅迫ランサムウェア | NEC
AWS環境での疑似インシデントレスポンス: NECセキュリティブログ | NEC
情報処理安全確保支援士と(ISC)²の倫理からセキュリティのプロフェッショナルに求められている心得を考える | NEC

NICTER Blog

Emotetに便乗するマルウェア（Zloader，IcedID，Agent Tesla） - NICTER Blog

piyolog

中学生をゲーム内通貨不正購入の実行役にした不正アクセス事件についてまとめてみた - piyolog
FireEyeが被害に遭った一流のサイバー攻撃についてまとめてみた - piyolog
三菱パワーが被害に遭ったMSP経由の不正アクセスについてまとめてみた - piyolog
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog

bomb_log

マルウェアEmotetの活動再開（2020/12/21-）と変更点 - bomb_log

好奇心の足跡

とある母の24時間CTF参加記録と、競技との付き合い方の考察 - 好奇心の足跡
 とある診断員とSecurity-JAWS#02 ~インシデントレスポンス on AWS 疑似体験編~ 参加記録 - 好奇心の足跡

knqyf263's blog

KubernetesのLoadBalancerやClusterIPを用いた中間者攻撃（CVE-2020-8554） - knqyf263's blog

午前７時のしなもんぶろぐ

「urlscan.io 超入門」を公開しました - 午前７時のしなもんぶろぐ

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　∧∞∧
　　　(｡･ω･｡)
　　○━━━○
　　┃ 　あ　┃
　　┃ 　け　┃
　　┃ 　お　┃
　　┃　め　 ┃
　　ﾉ　♪　　ﾉ
　　━━━━′

最後にちょっと番宣ですが、昨年末にこんなブログを書いてみました。

mkt-eva.hateblo.jp

フィッシングハンターに興味があったり、フィッシングメールの情報を仕入れてみたい方は参考にしてみてください。

＜更新履歴＞
2021/01/05 PM公開

2021/01/06 AM一部引用ツイート修正

2020-12-18

不審なメールを収集できる（かもしれない）ポストブログについて書いてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

そういえば最近、外見がアニメ鬼滅の刃の竈門炭治郎役を演じている声優の花江夏樹さんに少し似ていると言われて、意識しだしたにゃん☆たくさんです。ほんとどうでもいい話ですね、全集中して先に進みましょう。

僕のツイートでたまにこういった事をつぶやくのですが、お気づきいただけていますでしょうか。

そいえば今回の特別給付金フィッシングメールの内容もポストブログで確認することができました。 https://t.co/1DD3ngSSAR pic.twitter.com/YJFsTxIHBq
— にゃん☆たく (@taku888infinity) 2020年10月15日

そいえばポストブログに新生銀行のフィッシングメールも着弾し出してくれていてちょっと嬉しみみみみみ。 pic.twitter.com/B2jqq72OFk
— にゃん☆たく (@taku888infinity) 2020年11月18日

実はこの『ポストブログ』について言及したことがなかったなぁとふと感じたので今回ポストブログとはなんなのか、そしてそのポストブログを使ってなにができるかを書いていきます。

今回のブログでは、不審なメール（ばらまきメール、フィッシングメール）を見つけたい、調査したいというリサーチャーやそういった部署にいる担当者に向けて書いています。

1点注意点があります。

このポストブログを使用して情報を収集する場合、本物のフィッシングサイトや悪性サイトにアクセスしてしまう、不審なファイルをダウンロードしてしまう等の可能性がありますので、実際のポストブログを確認しに行く際には十分ご注意ください。

会社等で使用する端末等ではアクセスしないことをおすすめします。

では先に進みましょう。

そもそもポストブログとはなんぞや？と思う方が多いと思います。

ポストブログという言葉（ワード）は勝手に作った造語（略語？）です。意味はざっとこんな感じ↓

『メール内容がポスト（投稿）されたブログ』≒『ポストブログ』

では、このポストブログの仕組みを説明していきます。

ブログを投稿する方法はいくつか存在しますが、メールを使用して投稿する仕組みというものがあります。

はてなブログでもそういった仕組みが存在します。

メールで記事を投稿する - はてなブログヘルプ

投稿用メールアドレスに投稿したいブログ内容（メールの件名が題名になり、メールの本文がブログ本文に変換されます）を送る方法です。

f:id:mkt_eva:20201218200054p:plain

この投稿用メールアドレスが外部に漏れてしまい、フィッシングメールを送りたい攻撃者の手に渡った場合、攻撃者はその投稿用メールアドレスにフィッシングメールを送ってきます。しかし実際はユーザーには届かず、そのままそのメール内容がブログに投稿されてしまうのです。

f:id:mkt_eva:20201218200850p:plain

こういったブログを『ポストブログ』と呼んで、僕やねこさん⚡(ΦωΦ)は継続してウオッチしています。

ポストブログを見つけたきっかけは数年前にさかのぼります。

当時僕はUrsnif等に感染させるばらまきメールの調査をしていたのですが、その時にふと件名を調べていたらたまたまそういったブログが存在する事を知りました。

当時こんなツイートをしています。↓

f:id:mkt_eva:20201218201633p:plain

（もうすぐ3年くらい経つんですね、時が経つのは早いもんだ）

ではこのポストブログ、どうやって見つけ、活用すればいいかを3段階でまとめます。

～①～

まずは不審なメール（ばらまきメールやフィッシングメール）の件名を知る必要があります。知る方法にはいくつかありますが、参考になるのはこちら↓です。

セキュリティ情報アーカイブ - 情報基盤センターからのお知らせ

これでまずは件名の情報をゲットしましょう。

～②～

①でゲットした件名をインターネット検索するだけです。ホントにそれだけです。

できればフィッシングメールが出回っているタイミングで調べると見つけやすい気がします。出回っているタイミングがわからない場合はフィッシングメールについて発信しているTwitterアカウントをフォローして見ておくといいかも知れません。

～③～

ポストブログを見つけたら見つけた以外に投稿されているブログも確認してみましょう。元々探していたフィッシングメール以外のも投稿しているかもしれません。

そういったブログは継続してウオッチしておくことで、いつどんな内容の不審メールが出回ったかを把握する良い指標になります。

自分の扱いやすいRSSリーダーにポストブログを登録してウオッチする事をオススメします。

ちなみに僕が使っているRSSリーダーはInoreaderです。

まとめるとこんな感じです↓

f:id:mkt_eva:20201218202035p:plain

Inoreaderではこんな感じでみることができます↓

f:id:mkt_eva:20201218205238p:plain

では、皆さんもポストブログを見つけてウオッチしてみてくださいね！！！！

と、言いたいところですが、見つけるには少し大変なところがあると思いますので今回は僕とねこさん⚡(ΦωΦ)のInoreaderのフィードを公開します。ご活用ください。

▼ねこさんのフィード

不審メール from ばらまきメールウォッチャー on Inoreader

▼にゃん☆たくのフィード

フィッシング from にゃんたく on Inoreader

さて、ここまでの内容を読んで自分もやってみたい！と思った方も多いのではないでしょうか。（こういう情報を発信してくれるウオッチャーやリサーチャー増えると良いなと本気で思ってるので…）

こういった情報を見つけたら次に何をすれば良いか。

見つけた情報を元に、関係する各所に連絡や報告をおこなったり、より深く調査して欲しいと思っています。そういった手順などについてはこちらでよくまとまっていますのでご活用ください。

github.com

am7cinnamon.hatenablog.com

今回もココまで読んでいただきありがとうございました。

ではでは！よいお年を！

Special Thanks！

ねこさん⚡(ΦωΦ)

＜更新履歴＞
2020/12/18 PM公開

脆弱性のアレコレ

Microsoft Exchange Serverに脆弱性

OpenSSLに脆弱性

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

LINE使用者の情報が国外からアクセス可能だった事が判明

フィッシング詐欺対策としてドコモメール公式アカウントを提供

みずほ銀行のATMで障害が発生（2月28日に発生）

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

フィッシング対策協議会

NICT

LAC

Trend Micro

McAfee

Kaspersky

IIJ

マクニカネットワークスセキュリティ研究センターブログ

NEC セキュリティブログ

piyolog

セキュリティは楽しいかね？ Part 2

好奇心の足跡

午前７時のしなもんぶろぐ

脆弱性のアレコレ

FileZenに脆弱性

ISC BIND 9に脆弱性

SonicWall製SMA100シリーズに脆弱性

VMware vCenter Serverに脆弱性

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

東大総長を騙るスパムメールが出回る

北陸先端大で個人情報が流出

LINEの問合せフォームが不正ログインを受ける

Emotetに感染している機器の利用者に注意喚起を実施

2020年度のJNSA賞受賞者が決定

2021年のサイバーセキュリティに関する総務大臣奨励賞の受賞者が決定

JSAC2021のベストスピーカー賞の受賞者が決定

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

フィッシング対策協議会

NICT

LAC

Trend Micro

McAfee

Kaspersky

IIJ

NEC セキュリティブログ

piyolog

bomb_log

GeT_Pwn3d!

午前７時のしなもんぶろぐ

脆弱性のアレコレ

Apache Tomcatに脆弱性

sudoに脆弱性

iOSとiPadOSに複数の脆弱性

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

福岡県で新型コロナウイルス陽性者リストが流出

特別定額給付金を騙るフィッシングメールが出回る

ソフトバンクの元従業員が社外に情報を持ち出し逮捕

DeNAの元従業員が社外に顧客情報を持ち出し

今年のサイバーセキュリティ月間は『ラブライブ！サンシャイン!!』とのタイアップが決定

情報セキュリティ10大脅威2021のランキングが決定

「Emotet」の攻撃インフラがテイクダウン

複数企業のシステム開発に携わったプログラマーがシステムプログラムの一部を外部に公開

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

フィッシング対策協議会

LAC

Trend Micro

McAfee

Kaspersky

IIJ

NEC セキュリティブログ