2020年9月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今回はブログ投稿が遅れてしまい申し訳ございませんでした(m´・ω・｀)m

…ってだれに謝ってるのかわからないですが（あくまでも自分のペースなのであしからず）

さて最近「タイミングがよければ」ですが、なるべくセキュリティに関係しそうな事案（例えば、普段ネットを使っていていきなり表示される偽警告とか不審なSMSとか…）を体験した場合はなるべく動画に撮ってTwitterに載せるようにしてみています。

とうとうきました『〜.duckdns[.]org』が記載された不審なSMSが！！！！！
せっかくなのでアクセスしてみた動画とったのになにも表示されなかった…

なんにせよこういうSMSが届いてもURLはクリックせずに削除するようにしましょう。ご注意ください！ pic.twitter.com/2d3ZmFyA01
— にゃん☆たく (@taku888infinity) 2020年9月9日

iPhoneのSafari使ってネットサーフィンしてたら、ビジターアンケートに当選したので最後まで動画に撮ってみました。（個人情報入力前のとこまでね）

ちょっとアングラな内容を調べてたら当選したので、そんな感じのサイトにアクセスすると当選するのかもしれませんね。（知らんけど） pic.twitter.com/DiWoVTLU7k
— にゃん☆たく (@taku888infinity) 2020年9月30日

emotetについてSafariで調べていたら、いきなりiPhoneが感染して（してない）、VPNアプリをインストールしなきゃいけなくなった（しなくていい）ので、そっとSafariのタブを閉じたとこまで動画に撮りました。iPhoneが感染したとか表示された瞬間にタブを閉じる事をオススメします。 pic.twitter.com/S4Qj8Y6ihJ
— にゃん☆たく (@taku888infinity) 2020年10月6日

まぁ参考になるかはわかりませんが、セキュリティ対策の1つとしては「知ること」も大事なことですのでそれの足しにでもしてください。

では、前月のまとめです。

脆弱性のアレコレ
- Netlogonに脆弱性（Zerologon）
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Netlogonに脆弱性（Zerologon）

【概要】
ドメインコントローラーで利用されているNetlogonプロトコルに脆弱性が存在し、ネットワーク内に侵害された端末が存在した場合ドメイン管理者の権限が取得される可能性がある。攻撃の実証コードが出回っているため注意が必要。

【CVE番号】
CVE-2020-1472（脆弱性名：Zerologon）

【対象】
▼Microsoft
Microsoft Windows Server version 1903 (Server Core installation)
Microsoft Windows Server version 1909 (Server Core installation)
Microsoft Windows Server version 2004 (Server Core installation)
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation)
Microsoft Windows Server 2012
Microsoft Windows Server 2012 (Server Core installation)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core installation)
Microsoft Windows Server 2016
Microsoft Windows Server 2016 (Server Core installation)
Microsoft Windows Server 2019
Microsoft Windows Server 2019 (Server Core installation)

【対策】
Microsoft製品の場合、2020年8月12日に公開されたセキュリティ更新プログラムを適用

【参考情報】

CVE-2020-1472 に関連する Netlogon セキュアチャネル接続の変更を管理する方法
 Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応を
 更新：Microsoft 製品の脆弱性対策について(2020年8月)：IPA 独立行政法人情報処理推進機構
 [AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 - Microsoft Security Response Center
ドメインコントローラーがのっとられる脆弱性 Zerologon（CVE-2020-1472）についてまとめてみた - piyolog
Zerologon (CVE-2020-1472) 「ドメインコントローラーにパッチ適用を」 - Qiita

【参考Tweet】

Netlogonの脆弱性、ZeroLogonの検出状況の共有とDefender, Azure ATPを利用した検出の解説を、公開しています。AD環境をお持ちの方は是非ご参照を https://t.co/EV6NwA4cIe
— Yurika (@EurekaBerry) 2020年10月1日

ブログでも触れられていますが、他の過去の脆弱性(昨年のSharepoint CVE-2019-0604など)を悪用し、ドメイン内に入りZ今回のNetlogonの脆弱性を悪用するというシナリオもあります。今回のだけではなく、リリースされているパッチは適用することを強く推奨です！
— Yurika (@EurekaBerry) 2020年10月1日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年9月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
BTCBOX をかたるフィッシング (2020/09/28)
日本郵便をかたるフィッシング (2020/09/28)
三井住友銀行および三井住友カードをかたるフィッシング (2020/09/17)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

トレンドマイクロを騙るEmotet感染メールが出回る

【概要】
トレンドマイクロのアンケート調査を騙りEmotetに感染させるメールが出回った

【参考情報】
「EMOTET」がトレンドマイクロのアンケートメールを偽装 | トレンドマイクロセキュリティブログ
 マルウェア「Emotet」、トレンドマイクロのメールを装って拡散中 - ITmedia NEWS
Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口 | 日経クロステック（xTECH）
マルウェア「Emotet」の攻撃拡大--新手法も確認 - ZDNet Japan

【参考Tweet】

【!!注意!!】トレンドマイクロのアンケートを装った #emotet メールが観測されています!!
開封してマクロを実行しないように注意してください!!

件名 : トレンドマイクロ・サポートセンター満足度アンケート調査　ご協力のお願い pic.twitter.com/JCJ9BKImOy
— moto_sato (@58_158_177_102) 2020年9月2日

【注意喚起】2020-09-03 06:35頃から確認されている、トレンドマイクロを騙ったメールについてブログを書きました。

これは #Emotet の感染を狙ったメールですので注意してください。https://t.co/nbjOw9PTS2
— sugimu (@sugimu_sec) 2020年9月3日

ドコモ口座が悪用され不正送金されてしまう事案が発生

【概要】
ドコモ口座が悪用され不正送金（利用）されてしまう事案が発生。第三者がなんらかの方法で得た個人情報を元に「Web口振受付サービス」の抜け穴を利用し銀行口座預金を不正に利用するという流れだった。

【参考Tweet】

『だがSMS認証は、本人確認としての信頼度は低く、特に法的な面で本人確認を強化する手段にはなり得ない。通信事業者と合意したうえで回線契約者の氏名や生年月日などを照合しているわけではないためだ』 / “ドコモ口座問題であらわになった「本人確認」の誤解 | 日経クロ…” https://t.co/EIXBzAM2jT
— 徳丸浩 (@ockeghem) 2020年10月8日

「NOTICE」の調査で用いられるIDとパスワードの種類が増加

【概要】
情報通信研究機構（NICT）が実施している「NOTICE（National Operation Towards IoT Clean Environment）」の調査で用いられるIDとパスワードの種類が約100種類から約600種類に拡大することが確定した。

【参考情報】
総務省｜サイバー攻撃に悪用されるおそれのあるIoT機器の調査（NOTICE）の取組強化
 https://www.soumu.go.jp/main_content/000706574.pdf
【セキュリティニュース】総務省、「NOTICE」調査を拡大 - 試行パスワードを約600種類に（1ページ目 / 全1ページ）：Security NEXT
総務省、IoT機器“侵入”調査を強化ログインに使うID・パスワードの組み合わせを拡大 - ITmedia NEWS

LINEが約7万件のLINEアカウントに不正ログインがあったと発表

【概要】
LINEが今年7月から9月に約7万件のLINEアカウントに不正ログインがあったと発表した。そのうち日本のアカウントは約4万件。

【参考情報】
LINEアカウントへの不正アクセスに対する注意喚起 | LINE Corporation | セキュリティ＆プライバシー
 LINEアカウントに不正アクセスの試み、注意呼びかけ - ケータイ Watch
LINEに不正ログイン7万件「ID・パスワードの有効性確認目的か」 - ITmedia NEWS
【セキュリティニュース】LINE利用者のパスワード約7.4万件が特定 - ログイン連携サービスにPWリスト攻撃（1ページ目 / 全3ページ）：Security NEXT

【参考Tweet】

【一部の方を対象とした、パスワードリセットに関して】
12:33頃より、過去2カ月の間にLINEアカウントに不正なアクセス履歴が確認された一部の方向けに、パスワードリセットを実施いたしました。
ご不安な思いをさせてしまい申し訳ございません。対象の方には、追ってLINE上で個別にご案内いたします。
— LINE (@LINEjp_official) 2020年9月12日

14:56頃までに、対象の方のLINEアカウントに対して、LINE公式アカウントを通じてご連絡いたしました。

※緑の公式バッジが付いた「LINE」アカウントよりメッセージが届きます。

対象の皆さまにはお手数をおかけいたしますが、ご確認の上、ご対応をお願いいたします。 pic.twitter.com/STmAuyzCEA
— LINE (@LINEjp_official) 2020年9月12日

LINEアカウントに対する不正ログイン試行についての注意喚起のアナウンスを発信しました。https://t.co/mN1FrQSzdE
— naohisa ichihara (@nao_ichihara) 2020年9月12日

ゆうちょ銀行で不正現金引き出し問題が発生

【概要】
複数の決済事業者の決済サービスと連携していたゆうちょ銀行で不正現金引き出し問題が発生した。また、ゆうちょ銀行のVISAデビットサービス「mijica」でも不正アクセスが発生し送金の事案が発生している。

【参考情報】
ゆうちょダイレクトの不正利用に対する被害補償について（法人のお客さま）ーゆうちょ銀行
 ゆうちょダイレクトの不正利用に対する被害補償について（個人のお客さま）ーゆうちょ銀行
 ゆうちょ銀の相次ぐ不正送金問題各サービスの被害状況と銀行側の対策まとめ (1/3) - ITmedia NEWS
ゆうちょ銀のVISAデビット「mijica」で不正送金 332万円 - ITmedia NEWS
ゆうちょ銀行の不正引き出し、記者会見の一問一答まとめ (1/3) - ITmedia NEWS
ゆうちょ銀行の不正引き出し、メルペイでも発生被害総額は約50万円 - ITmedia NEWS
「リスク感度が低かった」ゆうちょ銀行が不正送金問題を謝罪 - Impress Watch
不正利用が発生した電子決済サービスについてまとめてみた - piyolog
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog

セキュリティレポートのアレコレ

IPA（独立行政法人情報処理推進機構）

情報セキュリティ白書2020：IPA 独立行政法人情報処理推進機構
 IPAセキュリティエコノミクス（＠ipasecuecono）Twitter 運用方針：IPA 独立行政法人情報処理推進機構
 複数の Microsoft 社製品のサポート終了に伴う注意喚起：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

JPCERT/CC 感謝状 2020～オンライン贈呈式にて - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 JPCERT/CC 感謝状 2020
攻撃グループLazarusが使用するマルウェアBLINDINGCAN - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 マルウェア Emotet の感染拡大および新たな攻撃手法について

フィッシングサイト対策協議会

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　几
　／⌒⌒＼
　｜･vvvv･｜ Trick
　＼二二／　 or
　／( つつ　 Treat
／　人Ｙ＼
`～(_(＿)～′

なんつったりして

　　 ∧_∧　几
　　(´∀／⌒⌒＼
　 /( 二つ･vvvv･｜
　/ ｜ | ＼二二／
　￣(＿)＿)

＜更新履歴＞

2020/10/09 AM公開

2020-09-04

2020年8月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

長かったような短かったような夏が終わり、いよいと食欲の秋に季節が移りかわってきております。今年の秋もどうやら僕は太りそうです。。。（マクドナルドの月見バーガーおいしいし、、、）

さて、そんな話はさておき今年7月末から再開しているマルウェア「Emotet」に感染させようとするメールが9月に入ってからも勢いが止まりません。

今月からパスワード付Zipファイル（不審ファイル）が添付されたり、トレンドマイクロのアンケート調査を騙る等手法が変わってきており、より一層着弾する不審メールに対して対策が取りにくくなっております。

以下を参考に対策や対応を行うことが大切です。

www.jpcert.or.jp

blogs.jpcert.or.jp

よければ僕のこちらのブログも参考にしてみてください。（ステマのごり押し）

mkt-eva.hateblo.jp

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

vBulletinに脆弱性

【概要】
vBulletinに任意のコードが実行されてしまう脆弱性の対策を回避されてしまう脆弱性が存在。

【CVE番号】
CVE-2019-16759

【対象】
・5.x から 5.5.4
・5.6.2
・5.6.1
・5.6.0

【対策】
パッチをあてる

【参考情報】
更新：vBulletin における任意のコード実行の脆弱性(CVE-2019-16759)について：IPA 独立行政法人情報処理推進機構
 vBulletin、脆弱性対策を回避する問題を報告--攻撃発生も - ZDNet Japan
vBulletin におけるCVE-2019-16759への対策を回避可能な脆弱性を確認、攻撃コードも公開（IPA） | ScanNetSecurity
【セキュリティニュース】「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

vBulletinの脆弱性、CVE-2019-16759についてですが、少数ながら観測環境にて複数種キャッチしています。あまり国内では使ってないのか、話題にはあまり上がらないのですが、注意は必要かと思います。#vBulletin #CVE201916759 pic.twitter.com/Mz0LtVLQTq
— hiro_ (@papa_anniekey) 2020年8月19日

SKYSEA Client Viewに脆弱性

【概要】
SKYSEA Client Viewに脆弱性が存在し、インストールされているPCにログイン可能な状態だと任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-5617

【対象】
SKYSEA Client View Ver.12.200.12n から 15.210.05f

【対策】
修正モジュールの適用

【参考情報】
【重要】権限昇格の脆弱性に関する注意喚起（CVE-2020-5617）｜Ｓｋｙ株式会社
 SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起
 SKYSEA Client View に権限昇格の脆弱性、パッチ適用呼びかけ（JVN） | ScanNetSecurity
IT資産管理ツール「SKYSEA Client View」に権限昇格の脆弱性 | マイナビニュース

【参考Tweet】

SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起を公開。Sky 株式会社が提供している修正モジュール適用のご検討を。^YK https://t.co/n1Mod1jSO0
— JPCERTコーディネーションセンター (@jpcert) 2020年8月3日

Apache Struts2に複数の脆弱性

【概要】
Apache Struts2に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。

【CVE番号】
CVE-2019-0230
CVE-2019-0233
S2-059
S2-060

【対象】
Apache Struts 2
- 2.5 系列 2.5.20 およびそれ以前のバージョン
▼補足
・2019年11月に公開された 2.5.22 は本影響を受けない
・既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける

【対策】
本脆弱性修正済みバージョンの適用（下記本脆弱性修正バージョン）
- 2.5 系列 2.5.22 以降のバージョン

【参考情報】
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
 Apache Struts 2にDoSの脆弱性、アップデートを | マイナビニュース
 「Apache Struts 2」に2件の脆弱性、バージョン2.5.22以降の適用を推奨 - INTERNET Watch
Apache Struts 2に2件の脆弱性、コンセプト実証コードも公開 - ITmedia エンタープライズ

ISC BIND 9に複数の脆弱性

【概要】
ISC BIND 9に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。

【CVE番号】
CVE-2020-8620
CVE-2020-8621
CVE-2020-8622
CVE-2020-8623
CVE-2020-8624

【対象】
・CVE-2020-8620
BIND 9.16系 9.16.0 から 9.16.5 まで

・CVE-2020-8621
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで

・CVE-2020-8622
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

・CVE-2020-8623
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで

・CVE-2020-8624
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで

【対策】
本脆弱性修正済みバージョンの適用（下記本脆弱性修正バージョン）
・BIND 9.11.22
・BIND 9.16.6
・BIND 9.17.4
・BIND Supported Preview Edition 9.11.22-S1

【参考情報】
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
 ISC 提供のBINDに複数の脆弱性、アップデートを呼びかけ（JVN、JPRS） | ScanNetSecurity
【セキュリティニュース】「BIND 9」に5件の脆弱性 - 一部脆弱性は公開済み（1ページ目 / 全1ページ）：Security NEXT
BINDにサービス運用妨害の脆弱性が複数、アップデートを - JPCERT/CC | マイナビニュース

【参考Tweet】

ISC BIND 9 に対する複数の脆弱性に関する注意喚起を公開。ISCや各ディストリビュータなどからの情報を確認し、十分なテストを実施の上、修正済みバージョン適用のご検討を。^YK https://t.co/N6HdKg0ESq
— JPCERTコーディネーションセンター (@jpcert) 2020年8月21日

BINDの脆弱性が8月に公開されるの初めてなのか。確かに7月とかが多いイメージ。
— イスラエルいくべぇ (@knqyf263) 2020年8月19日

BINDの脆弱性の事前アナウンス

『the August BIND maintenance releases that will be released on Thursday, 20 August, contain patches for five separate vulnerabilities.』

Pre-announcement of five BIND security issues scheduled for disclosure 20 August 2020https://t.co/RIjlCx9pZ8
— Autumn Good (@autumn_good_35) 2020年8月18日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazon異常は検出されました。
【重要】楽天株式会社から緊急のご連絡

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年8月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
[更新] 宅配便の不在通知を装うフィッシング (2020/08/07) (2020/08/21)

注意喚起やニュースのアレコレ

note利用者のIPアドレスが漏えい

【概要】
コンテンツ配信サービス『note』の利用者のIPアドレスがサイトの不具合により外部から確認できてしまう問題が発生した。

【参考情報】
【再発防止策】IPアドレスが外部から確認できた事態について｜note株式会社
 【お詫び】IPアドレスが他者からも確認できてしまう不具合について｜note株式会社
 noteユーザーのIPアドレスが漏えい、運営会社が謝罪有名人のIPアドレスと一致する5ちゃんねる投稿が検索される事態に - ITmedia NEWS
「note」投稿者のIPアドレスが確認できる不具合発生、他サイトの投稿と紐付けようとするネットユーザーも現れ騒動に - INTERNET Watch
IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね？ (1/2)：こうしす！こちら京姫鉄道広報部システム課＠IT支線（24） - ＠IT
【参考Tweet】

noteから返答ないから書いた。

noteのIPアドレス流出騒動で流出したIPが本当は何なのかよく分からない件｜sheva @sheva_access #note https://t.co/7yzXoxpF4Q
— 脳筋な[SE]シーヴァ (@sheva_access) 2020年8月27日

書いた。２週間経ったのでちゃんとまとめました。
---
noteのIPアドレス漏洩と同様のリスクを持つSNS ID漏洩が修正されたので、何が起きてたかをまとめます。https://t.co/Z31XnWoREk https://t.co/3Am6rpf6iq
— Masahiko Sakakibara (@rdlabo) 2020年8月31日

Yahoo!JAPAN IDで個人情報漏えい

【概要】
Yahoo!JAPAN IDでシステムに不具合があり個人情報が漏えいした

【参考情報】
Yahoo! JAPAN IDで個人情報漏えい氏名や勤務先など他人のIDに上書き最大約39万件 - ITmedia NEWS
登録した情報が他人のIDに上書き--「Yahoo! JAPAN ID」で最大39万規模の障害発生 - CNET Japan
【セキュリティニュース】ヤフー、ID編集結果を他利用者に反映する不具合 - 情報流出や誤配送のおそれ（1ページ目 / 全2ページ）：Security NEXT

VPN機器の脆弱性を突かれ多数の企業情報が流出

【概要】
Pulse Secure（パルスセキュア）のVPN機器「Pulse Connect Secure」の脆弱性（CVE-2019-11510）を突かれ多数の企業情報が流出した

【参考情報】
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」平田機工 - ITmedia NEWS
崩れたネットの「関所」VPN 在宅勤務増で急ごしらえ：朝日新聞デジタル
 企業のテレワーク拡大で懸念されるランサムウェア犯罪の被害 - ZDNet Japan
パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる | 日経クロステック（xTECH）
VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相 | 日経クロステック（xTECH）
【セキュリティニュース】VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ（1ページ目 / 全5ページ）：Security NEXT

【参考Tweet】

境界線防衛モデルを取る限りは、その例外としてアクセスを許すVPNが破られれば後はやりたい放題になるよね。特に脆弱性があったら辛い。ゼロトラストは運用がカギなので情シス部門が弱いと回らない。 / “ＶＰＮ、突かれた欠陥　サイバー攻撃、９００組織の接続情報流出：朝…” https://t.co/gi4oxJWLfp
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月26日

Pulse Secure の件ですが、ゼロデイでもなく、パッチが出てから攻撃が活発化するまでもStruts2のときと違って数ヶ月の猶予もありましたので、これで被害を受けている場合はテレワークやVPNがどうこうの問題ではなく、脆弱性対応の体制自体に問題がありますので、
— Autumn Good (@autumn_good_35) 2020年8月27日

プロバイダー等を騙る当選サイトに注意

【概要】
プロバイダー等を騙りスマートフォン等が当選すると偽ったサイトがネット閲覧中に発生する事象が多数確認された

【参考情報】
オプテージかたる景品当選詐欺ページに注意、個人情報の入力は厳禁 - ケータイ Watch
プロバイダーをかたった当選サイトに注意してください。 | 鍵セキュリティプレイス

【参考Tweet】

【注意喚起】
インターネットを閲覧中に、弊社からの当選通知を装ったポップアップ画面が表示され、不審サイトに誘導した上でクレジットカード情報等の個人情報を入力させる事例が確認されています。
事例は「QTnetよりプレゼント」「一周年記念日」「アンケートに答えてスマホを100円」等です。
(1/2)
— QTnetサポート【公式】 (@qtnet_support) 2020年8月15日

いつの間にかバリエーションが増えてます。。
確認できた範囲で、OCN,SoftBank,AsahiNet,Sony。@ozuma5119 @NaomiSuzuki_ @tiketiketikeke @taku888infinity pic.twitter.com/e7fY5YQHDy
— KesagataMe (@KesaGataMe0) 2020年8月16日

分かってきたこと(一例)
- TLDがxyz
- Registrant Emailが数個のyahoo[.]com
- ターゲットはグローバル
- "hxxps://〜[.]xyz"、"hxxps://eu.〜[.]xyz"と、Domain/FQDNでの2パターンが存在
- 当該キャンペーンを確認した際のURLであれば、別IP(ISP)からアクセスしても同ブランドの画面を確認可能
… https://t.co/2XyWrpmaRN
— KesagataMe (@KesaGataMe0) 2020年8月17日

▼偽当選サイト関連注意喚起

・NTTコミュニケーションズhttps://t.co/3D27nyM4Gw https://t.co/i0X9kl49oQ
— にゃん☆たく (@taku888infinity) 2020年8月21日

不審な当選サイト（今回はSoftBankのを例に利用）にアクセスするとどうなるか動画で撮っておきました。

現在このような当選サイトが多数確認されています。もしインターネット利用中に表示された場合は

・ボタンはクリックせずにブラウザを閉じる
・個人情報の入力はおこなわない

を実施して下さい pic.twitter.com/3UlSN03hmZ
— にゃん☆たく (@taku888infinity) 2020年8月18日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

脆弱性対処に向けた製品開発者向けガイド：IPA 独立行政法人情報処理推進機構
 ネット接続製品の安全な選定・利用ガイド -詳細版-：IPA 独立行政法人情報処理推進機構
 安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 コンピュータウイルスに関する届出について：IPA 独立行政法人情報処理推進機構
 夏休みにおける情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

攻撃グループLazarusがネットワーク侵入後に使用するマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 2020年4月から8月を振り返って
 IPA が「事業継続を脅かす新たなランサムウェア攻撃」に関する注意喚起を公開

LAC

家庭のネットワークから侵入のリスク？安価な高機能Wi-Fiルーターの安全性を調べてみた | セキュリティ対策のラック
 フィッシングサイトを早期発見！被害を最小限に抑え、安心・安全なサイト利用を推進するには | セキュリティ対策のラック
 コロナ禍で見えたテレワークの課題と対策を振り返る緊急レポート「withコロナ」経営者が今やるべきこと | セキュリティ対策のラック

Trend Micro

不正なChrome拡張機能がユーザ情報の窃取に利用される | トレンドマイクロセキュリティブログ
 ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロセキュリティブログ
 米国の地方自治体向けWeb決済プラットフォームを狙う「Magecart」のEスキミング攻撃 | トレンドマイクロセキュリティブログ
 PowerShellの悪用と「ファイルレス活動」を見つけるためにできること | トレンドマイクロセキュリティブログ
 コロナ禍におけるランサムウェアの新戦略：2020年上半期の脅威動向分析 | トレンドマイクロセキュリティブログ

McAfee

ランサムウェアの被害を避ける新たな手段とは
 ランサムウェアの進化－厄介で永続的な脅威の理解と対策
 ランサムウェアは新たなデータ侵害に：安全を維持するための5つのヒント
 Linuxカーネルセキュリティ：FBIとNSAがロシア政府が関与するとされるLinuxマルウェアについて明らかに
 RaaSの進化ー NetWalkerランサムウェアを調査

Kaspersky

アカウントが乗っ取られてしまった。どうすべき？
https://blog.kaspersky.co.jp/tips-for-hacked-account/29034/
中小企業で定期的にチェックすべき5項目
https://blog.kaspersky.co.jp/top5-checkpoints-for-smb/28906/
4周年を迎えた「No More Ransom」
https://blog.kaspersky.co.jp/no-more-ransom-four-years/28995/
偽物のウイルススキャンサイト
https://blog.kaspersky.co.jp/phishing-email-scanner/28963/

IIJ

wizSafe Security Signal 2020年7月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

NEC セキュリティブログ

CTF作問での新たな挑戦と得られた気づき: NECセキュリティブログ | NEC

マクニカネットワークス

活動を再開した「Emotet」マルウェアへの対応について

piyolog

knqyf263's blog

OSSエンジニアを1年やってみた所感 - knqyf263's blog

トリコロールな猫/セキュリティ

2020年上半期に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ

みっきー申す

日本も標的！北朝鮮の攻撃グループ(LazarusおよびBeagleBoyz)による最近の活動 - みっきー申す
 Dharmaランサムウェアを利用し、日本を含む国々を標的にしたイランのハッカーグループの活動について - みっきー申す
 Alexaの脆弱性と悪用の方法について - みっきー申す
 朝鮮系攻撃グループDarkHotelが悪用した可能性のあるMicrosoftの脆弱性CVE-2020-1380について - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　　　　　　　　　 _,.イ~
　　　　　　　　　／　､ ;}
　　　_,,..,,,,_　　 /　､　､;/
　　./ ・ω・ヽoﾉ,;＿;,シ　　いも～
　　l　　　　 l
　　`'ｰ---‐´

＜更新履歴＞

2020/09/04 PM 公開

2020-08-04

2020年7月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

長かった梅雨も明け、やっと夏らしい暑さがやってきましたね。

新型コロナウイルスだけでなく、この時期の熱中症等にも気をつけてくださいね。

さて、私事ですが先日はじめて『にゃん☆たく』として日経クロステックの記事に名前が載りました。

xtech.nikkei.com

はじめて日経BPさんの記事に『にゃん☆たく』の名前が載りました。
この会のきっかけ、実は僕だったのです…
誰かを救いたいという気持ちを持って、メンバーは日々発信をしています。

会員登録が必要な箇所の記事内容、皆さんに読んでいただきたい濃い内容になっておりますので是非ご覧ください。 https://t.co/h5LNXGAeQX
— にゃん☆たく (@taku888infinity) 2020年7月30日

決して自分の力だけではないと心から思っています。この『会』の僕以外がマジでヤバい人たちなのです。ただぼくはそのきっかけを作っただけに過ぎません。

ぼくはこういった活動をこれからも多くの分野でしていきたいと思っています。

そのモチベーションは『セキュリティに困っている人たちを救いたい』という気持ちだけです。

セキュリティの事を知らない人が沢山います。一人でも多くのひとに知ってほしいと思っていますが、発信者（側）も少ないのが現実です。

誰かと同じでもいいです、自分が知った情報や誰かに役立ちそうだなと感じた情報はTwitterでもInstagramでもLINEでもなんでもいいので発信するようにしてみてください。

ひとりでもそういう人が増えれば世の中変わると信じています。

ちょっと長くなりましたね:(；ﾞﾟ''ωﾟ''):すんまそん！

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

複数のBIG-IP製品に脆弱性

【概要】
複数のBIG-IP製品に脆弱性が存在し、任意のコードを実行される、攻撃の踏み台に利用される等の可能性がある

【CVE番号】
CVE-2020-5902

【対象】
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで

【対策】
・アップデートする（以下本脆弱性対応済バージョン）
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2

【参考情報】
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
 JVNVU#90376702: F5 Networks 製 BIG-IP 製品に複数の脆弱性
 【注意喚起】F5 BIG-IP製品の任意コード実行可能な脆弱性（CVE-2020-5902）を狙う攻撃活動を観測 | セキュリティ対策のラック
 F5 Networks「BIG-IP」の脆弱性を狙う攻撃を観測、最新版の適用を - INTERNET Watch

【参考Tweet】

複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起を公開。F5 Networks から脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用を。^YK https://t.co/jaolaBUkGg
— JPCERTコーディネーションセンター (@jpcert) 2020年7月6日

Windows DNS Serverに脆弱性

【概要】
Windows DNS Serverに脆弱性が存在し、任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-1350

【対象】
2003年から2019年までにリリースされた全バージョンのWindows DNS Server

【対策】
・パッチをあてる

【参考情報】
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 - Microsoft Security Response Center
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開 - ITmedia NEWS
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方 (1/2) - ITmedia エンタープライズ
 マイクロソフト、7月の月例パッチ公開--「Windows DNS Server」の重大な脆弱性も修正 - ZDNet Japan
17年前から存在～「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性 - 窓の杜
 【セキュリティニュース】「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

ActiveDirectory使うとWindows serverのDNS機能が自然と使われているはず。ここに悪性のドメイン引かせるだけでExploitできるのでやばい。しかしAD止めてパッチとか計画が大変ね。 / “Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由 | 日経…” https://t.co/JHWq7FJIXW
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月1日

「GRUB2」のブートローダーに脆弱性（脆弱性名：BootHole）

【概要】
「GRUB2」のブートローダーに脆弱性が存在し、管理者権限が必要だが任意のコードが実行されてしまう可能性がある

【CVE番号】
CVE-2020-10713

【対象】
「Linux」や「Windows」などセキュアブートを利用している製品

【対策】
各製品ごとに異なる

【参考情報】
There’s a Hole in the Boot - Eclypsium
ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ - ITmedia エンタープライズ
 レッドハット、「BootHole」脆弱性へのフィックスで一部のシステムが起動不可に - ZDNet Japan
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 - PC Watch
ほぼすべてのLinuxのブートローダーに脆弱性 - PC Watch
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) - OSS脆弱性ブログ
 Linuxで広く使われるブートローダー「GRUB2」にセキュアブートを回避できる脆弱性「BootHole」が見つかる - GIGAZINE
【セキュリティニュース】セキュアブート回避の脆弱性「BootHole」が判明 - LinuxやWindowsに影響（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

ネーミングはさておき凄いことやってくれたな🥶https://t.co/qHX4WGHuV0
— Neutral8✗9eR (@0x009AD6_810) 2020年7月29日

SIOSセキュリティブログを更新しました。

2020/08/03追記：RHEL8/7の修正されたバージョンがリリースされているようです。詳細はこちらを御確認下さい。#sios_tech #security #vulnerability #セキュリティ #脆弱性 #linux #kernel #grub2 #boothole #secureboot https://t.co/9lgFa5oqzB
— Kazuki Omo (@omokazuki) 2020年8月3日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazonアカウントを利用制限しています
【緊急】楽天カードから緊急のご連絡
Amazon異常は検出されました。
お客様のAmazon IDはロックされました
楽天カードから緊急のご連絡
Amazonアカウントを更新する

不審な偽サイト（フィッシングサイト）情報

2020年7月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※（）は報告日時
BTCBOX をかたるフィッシング (2020/07/22)
宅配便の不在通知を装うフィッシング (2020/07/09)
セブン銀行をかたるフィッシング (2020/07/08)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/06 フィッシング報告状況

注意喚起やニュースのアレコレ

Twitterで複数アカウントがハッキングを受ける

【概要】
Twitterで複数アカウントがハッキングされ、著名人のアカウントが乗っ取られBitocoinを要求するツイートが発信されてしまった。

【参考情報】
Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される - GIGAZINE
Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE
Twitterの大規模アカウントハッキング、FBIが捜査開始 - ITmedia NEWS
AppleやマスクCEOなど多数のセレブTwitterアカウントが乗っ取られ、暗号通貨詐欺に悪用される - ITmedia NEWS
Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表 - ITmedia NEWS
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog

【参考Tweet】

Twitter が先日の攻撃についてブログを更新。

(1) 攻撃者は少数の Twitter 社員に対して電話によるソーシャルエンジニアンリング攻撃 (a phone spear phishing attack)
(2) 社内システムに侵入した後、サポートツールへのアクセス権をもつ別の社員を攻撃

という 2段階の攻撃だったようです。
— Masafumi Negishi (@MasafumiNegishi) 2020年7月31日

Twitterの大規模ハッキングで攻撃者は1000万円分のBitcoinを得たが、Coinbaseなどの取引所が送金先のアドレスをブロックして計3000万円の送金を防いでいたことが判明。ハッキングのツイートから1分で気づいたらしいhttps://t.co/qMrY5Ail8h
— Cheena② (@cheena_2nd) 2020年7月21日

Twitter 事件での少年が優れていたのはハッキングスキルというよりも詐欺 (ソーシャル・エンジニアリング) の素質だと思うんですよね、技術というより欺術。話題になったサイバー事件の多くは意外とそういうものが最大の要因だったりする。 > RT
— Neutral8✗9eR (@0x009AD6_810) 2020年8月2日

みずほ総研が250万件の顧客情報を紛失

【概要】
みずほ総合研究所は顧客管理システムのバックアップデータを保存した磁気テープを誤って破棄したことにより、250万件の顧客情報を紛失したと発表した。なお、第三者により情報を解読される可能性は低いとのこと。

【参考情報】
みずほ総合研究所株式会社におけるお客さま情報の紛失について（PDF）
https://www.mizuho-ri.co.jp/company/release/pdf/20200721release.pdf
みずほ総研顧客企業の個人情報など250万件紛失誤って廃棄か | NHKニュース
 【セキュリティニュース】顧客情報約250万件含む磁気テープを紛失 - みずほ総研（1ページ目 / 全1ページ）：Security NEXT
顧客情報、約250万件を紛失みずほ総研と銀行が発表：朝日新聞デジタル

【参考Tweet】

みずほ総研顧客企業の個人情報など250万件紛失誤って廃棄か #nhk_news https://t.co/yFYdozmops
— NHKニュース (@nhk_news) 2020年7月21日

顧客情報２５０万件を紛失　みずほ総研、媒体破棄か https://t.co/WhCpVVLKMM

誤って破棄した可能性が高く、不正に持ち出された形跡はないとしている。
— 産経ニュース (@Sankei_news) 2020年7月21日

Emotetに感染させるメールの配信が再開

【概要】
マルウェアのEmotetに感染させるメールの配信が再開され注意が必要。

【参考情報】
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
 マルウェア「Emotet」、再拡大の恐れ情報窃取やスパムメール拡散の可能性も - ITmedia NEWS
ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - GIGAZINE
Emoいメモ。 #Emotet - にゃんたくのひとりごと

【参考Tweet】

本日 #Emotet の「攻撃再開の観測状況」を公開しました。7月中旬以降に攻撃活動が再開しており、IPAでは国内企業での攻撃事例も確認しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールのWord文書ファイル等の取り扱いに注意してください。https://t.co/u1FGMS1pVs pic.twitter.com/afypVK5LxF
— IPA（情報処理推進機構） (@IPAjp) 2020年7月28日

JPCERT/CC WEEKLY REPORT 2020-07-29を公開。セキュリティ関連情報は4件。ひとくちメモは、JPCERT/CC CyberNewsFlash「マルウエアEmotetの感染に繋がるメールの配布活動の再開について」です。^YK https://t.co/xnquy9NmdK
— JPCERTコーディネーションセンター (@jpcert) 2020年7月29日

Facebookのメッセンジャーで不審な動画リンクが届く

【概要】
Facebookのメッセンジャーで動画を再生させようとする内容のメッセージには注意が必要。

【参考情報】
夏休みにおける情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構
 Facebookメッセンジャーから不審な動画？乗っ取られた友達から届くケースが相次ぐ - INTERNET Watch
「このビデオはいつでしたか？」Facebookで送られてくる動画リンクに注意 | マイナビニュース

【参考Tweet】

【Facebookのメッセンジャーに届く動画に注意！】
「Facebookのメッセンジャーで友達から動画が送られてきた」という相談が増えています。
「このビデオはいつでしたか？」というメッセージは、友達が乗っ取り被害をうけて送信されたものと考えられます。絶対にメッセージに触らないでください！1/3 pic.twitter.com/nV9jvizhoF
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

IPAで検証したところ、動画のようなメッセージをタップしても動画は再生されず、Facebookアカウント情報を詐取する偽ページが表示されました。ここにIDとパスワードを入力すると、今度は自分のアカウントが乗っ取り被害にあう可能性があります。
このような偽ページに情報を入力しないでください。2/3 pic.twitter.com/vKC2wg3tE4
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

偽ページに情報を入力するとその後、不審なアンケートサイトやアプリのインストールに誘導するサイトが表示されました。
このようなアンケートサイトに情報を入力したり、誘導されるまま不用意にアプリをインストールしないでください。3/3 pic.twitter.com/ndtty0KnlM
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～：IPA 独立行政法人情報処理推進機構
 Web会議サービスを使用する際のセキュリティ上の注意事項：IPA 独立行政法人情報処理推進機構
 情報セキュリティ安心相談窓口の相談状況［2020年第2四半期（4月～6月）］：IPA 独立行政法人情報処理推進機構
 脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第2四半期（4月～6月）]：IPA 独立行政法人情報処理推進機構
 ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第2四半期（4月～6月）]：IPA 独立行政法人情報処理推進機構
サイバー情報共有イニシアティブ（J-CSIP）運用状況[2020年4月～6月]（PDF）
https://www.ipa.go.jp/files/000084400.pdf
【付録】EKANSランサムウェアの解析事例（PDF）
https://www.ipa.go.jp/files/000084401.pdf

JPCERT コーディネーションセンター

JPCERT/CC 活動概要 [2020年4月1日～2020年6月30日]（PDF）
https://www.jpcert.or.jp/pr/2020/PR_20200714.pdf
JPCERT/CC インシデント報告対応レポート [2020年4月1日～2020年6月30日]（PDF）
https://www.jpcert.or.jp/pr/2020/IR_Report20200714.pdf
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 インターネット定点観測レポート（2020年 4～6月）
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)

JC3

サポート詐欺等｜一般財団法人日本サイバー犯罪対策センター

Trend Micro

Kaspersky

ユージン・カスペルスキーはどのようなスパムメールを受け取っているのか
https://blog.kaspersky.co.jp/kaspersky-ceo-spam/28853/
ゲームアカウント用に強固なパスワードを作るヒント
https://blog.kaspersky.co.jp/game-accounts-passwords/28785/
企業データが漏れ出る4つの経路
https://blog.kaspersky.co.jp/unusual-ways-to-leak-info/28755/

LAC

新型コロナによる出社禁止、セキュリティ監視センターJSOCはどうピンチを乗り越えたのか？ | セキュリティ対策のラック
 ラックの開発力を支えるヒミツ「2つの道場」とは？ | セキュリティ対策のラック

IIJ

wizSafe Security Signal 2020年6月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

マルウェア情報局（ESET）

2020年6月マルウェアレポート | マルウェア情報局

NEC セキュリティブログ

Microsoft Azureでのディスクフォレンジック: NECセキュリティブログ | NEC
メモリフォレンジックCTF「MemLabs」Lab2のWriteUp: NECセキュリティブログ | NEC
二重脅迫ランサムウェア攻撃の増加について: NECセキュリティブログ | NEC

IBMセキュリティー・インテリジェンス・ブログ

データが語る COVID-19 のパンデミックによるセキュリティー脅威の急増
 サイバー・レジリエンスのある組織とは？ハイ・パフォーマーの秘訣

マクニカネットワークス

マクニカネットワークスと伊藤忠商事がビジネスメール詐欺の実態と対策を共同分析

piyolog

正規番号でファックス誤送信が起きたNTT西の電話サービス故障についてまとめてみた - piyolog
BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた - piyolog
Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
日本郵便のe転居を悪用したストーカー事件についてまとめてみた - piyolog
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog

bomb_log

マルウェアEmotetの活動再開（2020/07/17-） - bomb_log

趣味のぶろぐ。

マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。

Noriaki Hayashi（@v_avenger）のQiita

すぐ貢献できる！偽サイトの探索から通報まで - Qiita

セキュリティ猫の備忘録

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

午前７時のしなもんぶろぐ

確認しろって言われるけれど……。「ドメイン名」って何だろう？ - 午前７時のしなもんぶろぐ

みっきー申す

Torを使ったサイバー攻撃の戦術とその対策案 - みっきー申す
 ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について - みっきー申す
 SIGRed（CVE-2020-1350）WindowsDNSサーバーのRCE脆弱性について - みっきー申す
 Emotetへの感染を試みる活動が5か月ぶりに確認された件 - みっきー申す
 【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　　∧,,∧　　∧,,∧
　∧ 　(´・ω・)　 (・ω・｀) ∧∧
(　´・ω)　つ| ) 　(　|とﾉ(ω・｀ )
｜　　つ|　＊　　　＊　　|と　ﾉ
　ｕ-ｕ＊　´ " ﾊﾟﾁ´ " ＊　-ｕ
　　　 ´ " ﾞ　　　　　ﾊﾟﾁ´ " ﾞ

＜更新履歴＞

2020/08/04 AM 公開および題名の修正

2020-07-22

Emoいメモ。 #Emotet

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

ここ数日、ネットメディアニュースなどで『Emotetが活動再開！』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp

www.itmedia.co.jp

news.mynavi.jp

▼2020年9月4日追記

9月に入ってからパスワード付きのZIPファイルを添付した不審メールも出回るようになりました。ゲートウェイ製品や従来の対策では防げない場合もあるので注意が必要です。

www.jpcert.or.jp

sugitamuchi.hatenablog.com

またトレンドマイクロのアンケートを騙りEmotetに感染させるパターンもありますので注意が必要です。

blog.trendmicro.co.jp

sugitamuchi.hatenablog.com

Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない（マクロを有効化しない）

しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。

さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

Emotetについての注意喚起
EmotetのIoC情報を知りたい
Emotetの情報をTwitterで知りたい
Emotetの情報をブログ等で知りたい

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。

▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について

▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構

▼Emotetに対しての対応FAQ（JPCERT/CC）

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています

EmotetのIoC情報を知りたい

EmotetについてのIoC情報（通信先情報、検体情報など）をまとめました。
監視などを行う際に活用してみてください。

ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

①https://any.run/malware-trends/emotet

f:id:mkt_eva:20200722172631p:plain

Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。

②https://app.any.run/submissions

f:id:mkt_eva:20200722172651p:plain

ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。（ので、気をつけてくださいね）

Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

①https://urlhaus.abuse.ch/browse/tag/emotet/

f:id:mkt_eva:20200722174155p:plain

URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。

②https://urlhaus.abuse.ch/api/

f:id:mkt_eva:20200722174757p:plain

URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

※こちらに登録されているものはEmotetに感染させるものだけ載っているわけではないのでご注意下さい。

・Database dump (CSV)
１：URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)

f:id:mkt_eva:20200722174835p:plain

２：URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

f:id:mkt_eva:20200722174846p:plain

なお、API経由で情報を得たい場合の手法についてはこちらの資料が役に立ちます。

▼100 more behind cockroaches? or how to hunt IoCs with OSINT

https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_4_ogawa-niseki_jp.pdf

Feodo Tracker

Dridex,Emotet,Heodon等に関連するC&Cサーバー等の情報共有を目的とする、abuse.chのプロジェクトです。

Emotet感染では他のマルウェア（Trickbot等）に感染させる挙動があります。

https://feodotracker.abuse.ch/browse/

f:id:mkt_eva:20200729011955p:plain

こちらに登録されているIPへの通信を監視することで『感染したPC』からの通信をキャッチできる可能性があります。感染後という観点で調べる際に活用できると思います。

Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

f:id:mkt_eva:20200722175333p:plain

Pastebin

Pastebin（ペーストビン）でも情報を発信してくれるページがあります。

Pastebinだとこの辺り。

Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o

Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6

Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9
— ねこさん⚡🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) 2020年7月22日

ねこさん情報ありがとうございます！！！

Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

Joseph Roosen@JRoosen

\_(ʘ_ʘ)_/@pollo290987

moto_sato@58_158_177_102

Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ（組織、個人）や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet（エモテット）徹底解説！感染すると何が起こる？ | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ

▼個人ブログ

bomccss.hatenablog.jp

sugitamuchi.hatenablog.com

malware-log.hatenablog.com

piyolog.hatenadiary.jp

hash1da1.hatenablog.com

techblog.securesky-tech.com

以上です。

これ以外もあるぞ！という方はぜひTwitter等で教えてくださると幸いです。

ではでは！

＜更新履歴＞

2020/07/22 PM 公開

2020/07/23 PM 修正（Pastebinの情報を追記）

2020/07/29 AM 修正（URLhausの情報を更新、Feodo Trackerの情報を追記）

2020/07/31 PM 修正（個人ブログに、piyolog、TT Malware Logを追加）

2020/09/04 PM 修正　ブログ前説部分にパスワード付きのZIPファイルを添付してくる、トレンドマイクロを騙る等のEmotet感染メールに関する情報を追記、SSTさんのブログも追記

2020-07-02

2020年6月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

先月も書きましたが、5月末に＠ITセキュリティセミナーで登壇させていただきました。

視聴してくださった皆さん、ご覧頂きありがとうございました。
皆さんにとって貴重な時間を割いていただき本当に感謝しております。

動画内容に対して、良かった点悪かった点、参考になった点ならなかった点あったかと思います。

今後も継続して頑張りますのでどうぞよろしくお願いいたします！ https://t.co/6WQlW1ErLl
— にゃん☆たく (@taku888infinity) 2020年6月23日

はじめてのオンライン登壇で緊張してしまったのと、やはりオフライン登壇のように相手が見えないのはなかなか反応がわからず不安になりましたね。ただ、登壇して気付いたこともあったので、それは次回以降活かせるかなと思いました。

見てくださった方々からはいくつか感想を頂きました。非常に嬉しかったです。励みになります。もし動画内容について、当日聞けなかったから聞いてみたいという方はご相談くださいませ。

そういえば先月僕のTwitterで「伸びた」ものでこちらを読者の皆さんに紹介します。

Abuse of HTTPS on Nearly Three-Fourths of all Phishing Siteshttps://t.co/DHpDorrmlO

とうとうフィッシングサイトのほぼ4分の3が『https』化されてるというレポート。もうほとんど「https」化されてるといっても過言でもないですね。#にゃんたくメモ
— にゃん☆たく (@taku888infinity) 2020年6月17日

日々僕はフィッシングサイトやフィッシングメールの情報を追いかけているのですが、見分け方のひとつとしてメディア等で「https」化されている場合は安心という事が報道される事があります。しかしながら、もうフィッシングサイトのほとんどが「https」化されているのが現状です。このことは是非知っておいてください。

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

BIND9に複数の脆弱性

【概要】
BIND9に複数の脆弱性が存在し、第三者によって外部からnamedを異常終了させられる可能性がある。

【CVE番号】
CVE-2020-8618
CVE-2020-8619

【対象】
▼CVE-2020-8618
BIND 9.16.0から9.16.3までのバージョン

▼CVE-2020-8619
BIND 9.11.14から9.11.19までのバージョン
BIND 9.14.9から9.14.12までのバージョン
BIND 9.16.0から9.16.3までのバージョン
BIND Supported Preview Edition 9.11.14-S1から9.11.19-S1までのバージョン

【対策】
アップデートする（下記本脆弱性対応済みバージョン）
BIND 9.16.4
BIND 9.11.20
BIND 9.11.20-S1

【参考情報】
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8619）
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8618）
ISC BIND 9 における脆弱性 (CVE-2020-8618、CVE-2020-8619) について
 BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2) - OSS脆弱性ブログ
 【セキュリティニュース】「BIND 9」に2件のサービス拒否脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT

IP-in-IPプロトコルに脆弱性

【概要】
IP-in-IP（IP Encapsulation within IP：IPパケットに別のIPパケットをカプセル化することができる）プロトコルでカプセル化されたIPパケットを解除や転送する際の確認を行っていない機器の場合、攻撃者によって任意の宛先にパケットが転送されてしまう可能性がある。

【CVE番号】
CVE-2020-10136

【対象】
IP-in-IP プロトコルをサポートし、送信元や宛先アドレスの制御が適切に行われていない機器

【対策】
アップデートする
IP-in-IP を無効化する
PoC を確認する
侵入検知システムでフィルタリングする

【参考情報】
JVNTA#90492923: IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
 【セキュリティニュース】一部ネットワーク機器に「DDoS攻撃」や「アクセス制御回避」の脆弱性（1ページ目 / 全1ページ）：Security NEXT
IP-in-IPプロトコルにDDoS攻撃や情報漏えいなどを受ける脆弱性（JVN） | ScanNetSecurity
CVE-2020-10136～IP-in-IPに脆弱性… - wakatonoの戯れメモ
【参考Tweet】

久々に書いた。なかなかツボな脆弱性～CVE-2020-10136～IP-in-IPに脆弱性… - wakatonoの戯れメモ https://t.co/lrcRAebEU2
— wakatono(JK) (@wakatono) 2020年6月3日

QNAP製NASに脆弱性

【概要】
QNAP製NASに「Photo Station」の脆弱性が存在し、ランサムウェアに感染する可能性がある

【対象】
QTS 4.4.1: build 20190918 より前のバージョン
QTS 4.3.6: build 20190919 より前のバージョン
QTS 4.4.1: Photo Station 6.0.3 より前のバージョン
QTS 4.3.4 から QTS 4.4.0: Photo Station 5.7.10 より前のバージョン
QTS 4.3.0 から QTS 4.3.3: Photo Station 5.4.9 より前のバージョン
QTS 4.2.6: Photo Station 5.2.11 より前のバージョン

【対策】
アップデートする

【参考情報】
QNAP 社製 NAS および Photo Station に影響を与えるランサムウエアに関する情報について
 QNAP NASの脆弱性悪用して感染するランサムウェア確認、対応を | マイナビニュース
 JPCERT/CC、QNAP製NASの脆弱性を悪用した攻撃に対する注意喚起 | マイナビニュース
 【セキュリティニュース】QNAP製NASの脆弱性狙うランサムウェア「eCh0raix」に注意（1ページ目 / 全3ページ）：Security NEXT

Palo Alto Networks製品に脆弱性

【概要】
Palo Alto Networks製品に脆弱性が存在し、外部から第三者によって認証を回避されSAML認証によって保護されたリソースにアクセスされる可能性がある

【CVE番号】
CVE-2020-2021

【対象】
PAN-OS 9.1.x 系のうち、9.1.3 より前のバージョン
PAN-OS 9.0.x 系のうち、9.0.9 より前のバージョン
PAN-OS 8.1.x 系のうち、8.1.15 より前のバージョン
PAN-OS 8.0.x 系のすべてのバージョン

【対策】
アップデートする（下記本脆弱性対応済みバージョン）
PAN-OS 9.1.3 およびそれ以降のバージョン
PAN-OS 9.0.9 およびそれ以降のバージョン
PAN-OS 8.1.15 およびそれ以降のバージョン

【参考情報】
Palo Alto Networks 製品の脆弱性 (CVE-2020-2021) について
 【セキュリティニュース】Palo Alto Networksの「PAN-OS」に認証回避の脆弱性 - VPNなども影響（1ページ目 / 全2ページ）：Security NEXT
Palo Alto NetworksのPAN-OSに認証回避の脆弱性、アップデートを | マイナビニュース

【参考Tweet】

PAN-OSの認証回避の脆弱性(CVE-2020-2021)ですが

1) SAML認証が有効であること
2) 'Validate Identity Provider Certificate'オプションが無効であること

が条件のようです。https://t.co/9zZvnp2i74
— tike (@tiketiketikeke) 2020年6月30日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
アカウントとオファーは一時的に禁止されます。
アカウントのセキュリティ審査を実施してください。
Apple IDのログイン異常
Amazon異常は検出されました。
Amazonアカウントを利用制限しています
Apple IDについての重要なお知らせ
【重要】楽天株式会社から緊急のご連絡
お客様のAmazon IDはロックされました
異常なログインが見つかり
再度Apple IDアカウントの情報を入力してください。
Amazonアカウントを更新する
Appleアカウントを更新する

【参考情報】

注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年6月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
楽天をかたるフィッシング (2020/06/25)
[更新] au をかたるフィッシング (2020/06/25)
エポスカードをかたるフィッシング (2020/06/11)
楽天をかたるフィッシング (2020/06/05)
メルカリをかたるフィッシング (2020/06/02)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

ドメインレジストラの不具合を利用しドメイン名ハイジャックが発生

【概要】
ドメインレジストラ（お名前.com）の不具合を利用され、Coincheckとbitbankでドメイン名ハイジャックが発生した

【参考情報】
当社利用のドメイン登録サービス「お名前.com」で発生した事象について（最終報告） | コインチェック株式会社
 2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog
当社利用のドメイン登録サービスにおける不正アクセスについて
 2020.06.03【お知らせ】お名前.com Naviで発生した事象につきまして｜お知らせ｜ドメイン取るならお名前.com
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
コインチェックのインシデント対応報告を読み解く - wakatonoの戯れメモ
 コインチェックのドメインハイジャックの手法を調査した - Shooting!!!
セキュリティインシデントの報告書で信頼を高める——コインチェックの対応に学べ (1/2) - ITmedia エンタープライズ

【参考Tweet】

Coincheckが被害を受けたドメイン名ハイジャック、同手口の事例が複数発生しているようだとする未確認情報もあるため、自組織のDNS情報が変更されていないか一度確認されることを推奨します#注意喚起 pic.twitter.com/qZ8D5cTiVS
— piyokango (@piyokango) 2020年6月3日

ドメインレジストラに登録しているDNS情報が不正に書き換えられる件が複数起きているようです。手口は似ていて「https://t.co/18XK3RamrE」だった場合「https://t.co/pi6kAEE0En」と0が付いた劇似ドメインに書き換え。皆さん自社ドメインをWHOISしてDNSが正しいか確認してみて下さい。
— Sen UENO (@sen_u) 2020年6月3日

脆弱性「Ripple20」が数億台の電化製品に影響

【概要】
Treckが開発したTCP/IPプロトコルのライブラリに存在する19件のゼロデイ脆弱性の総称である「Ripple20」が数億台の電化製品に影響することが判明した・

【参考情報】
数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される - GIGAZINE
何百万個ものIoT機器に影響を及ぼす脆弱性群「Ripple20」を確認 | トレンドマイクロセキュリティブログ
 【セキュリティニュース】IoT機器で広く採用されている「Treck TCP/IP Stack」に深刻な脆弱性（1ページ目 / 全3ページ）：Security NEXT
多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報（PDF）
https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf

【参考Tweet】

List of Ripple20 vulnerability advisories, patches, and updates - @Ionut_Ilascu https://t.co/PV8oxpvfbc
— BleepingComputer (@BleepinComputer) 2020年6月25日

ホンダ、サイバー攻撃を受けシステム障害

【概要】
自動車業界の大手のホンダがサイバー攻撃を受けシステム障害が発生した。サイバー攻撃に使用されたのは『EKANS』と呼ばれるランサムウェアの可能性がある。

【参考情報】
ホンダ、サイバー攻撃でシステム障害海外4工場が稼働停止 - ロイターニュース - 経済：朝日新聞デジタル
 ホンダ、サイバー攻撃被害認める身代金ウイルス拡大か：朝日新聞デジタル
 SNAKE(EKANS)ランサムウェアの内部構造を紐解く | MBSD Blog
国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog
ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性 - みっきー申す

【参考Tweet】

At this time Honda Customer Service and Honda Financial Services are experiencing technical difficulties and are unavailable. We are working to resolve the issue as quickly as possible. We apologize for the inconvenience and thank you for your patience and understanding.
— Honda Automobile Customer Service (@HondaCustSvc) 2020年6月8日

サイバー防災、今年も開催

【概要】
NTTドコモ、KDDI、ソフトバンク、ディー・エヌ・エー、メルカリ、グリー、DMM.com、ヤフー、LINEが連携して、ネット啓発を目的とした取り組み「サイバー防災」が今年も6月9日～23日に行われた。

【参考情報】
サイバー防災
 サイバー防災｜一般財団法人日本サイバー犯罪対策センター
 ヤフーら9社、サイバーセキュリティ啓発の『サイバー防災』 | マイナビニュース
 インターネットの安心安全な使い方をWebサイトで学べる「サイバー防災」実施 - ケータイ Watch

【参考Tweet】

サイバー防災呼びかけのLINEさんページにてイラスト参加させていただきました！(￣^￣)ゞ

動画ではアニメーションとして動いているので見てもらえたら嬉しいです( ´ ▽ ` )ﾉ📺https://t.co/TbFJb8YCqu #にゃんこかと思ったら…#くまかと思ったら...#にゃんこは騙されない？#サイバー防災 https://t.co/cKOWlqwYDl
— いがらしゆり/igarashi yuri (@yuri_i_lilium) 2020年6月10日

ブログ更新！！クイズに答えて現場猫のスタンプを手に入れようぜ！！: ネットで散々痛い目にあってきた僕がネットの安全について話そう【PR】https://t.co/v022pRyDZH
— やしろあずき (@yashi09) 2020年6月15日

PRです👮‍♀️サイバー防災のレポートを書かせていただきました！
こちらからみなさんもぜひ👉https://t.co/uenXdT7OH7

"#サイバー防災 #PR pic.twitter.com/Qojmq6DfRg
— ブブ (@bopiyopiyo) 2020年6月12日

ネット詐欺あるある

今回は「#サイバー防災」の啓発活動に参加させて頂きました。
クイズに全問正解するとLINEスタンプが貰えるのでチャレンジしてみてください！
【↓クイズにチャレンジ】https://t.co/HzlQWwgAIy #サイバー防災 #PR pic.twitter.com/y5uRcDcjxv
— BUSON【職業あるある大図鑑発売中!】 (@positiveshikibu) 2020年6月11日

東京都選挙管理委員会の特設サイトに不具合（修正済み）

【概要】
東京都選挙管理委員会の特設サイトに「http」と「https」でアクセスすると違うサイトが表示される不具合が生じた（修正済み）

【参考情報】
TLS非対応の都知事選特設サイトにサイバー攻撃？httpsにすると別サイトに飛ぶ真相 | 日経クロステック（xTECH）

【参考Tweet】

本件、発生しなくなったようですので、これ以上、拡散されませんよう、お願い致します。 https://t.co/2KPrU1IVWD pic.twitter.com/h8wAnp7xLN
— Miyuki Chikara (@harugasumi) 2020年6月22日

2020tochijisen[.]tokyoを引くと3つのIP（153.126.164[.]233、153.126.213[.]97、153.126.130[.]199）が返ってきますがHTTPSで接続をするといずれも別サイトが表示される pic.twitter.com/j6xDydLO0J
— piyokango (@piyokango) 2020年6月19日

都知事選が 2020tochijisen[.]tokyo というけったい(大阪弁)なドメインでしたので、悪用されないように https://t.co/cf9T7H8r2y ドメインを取っておきました。
しかし都知事選が終わったら 2020tochijisen[.]tokyo ドメインはどうするつもりなんだろ? 計画性が見えない😵https://t.co/tRp0e2TgAN
— Osumi, Yusuke😇 (@ozuma5119) 2020年6月21日

警察庁の注意喚起を騙りフィッシングサイトに誘導するSMSが出回る

【概要】
金融機関を騙るSMSに記載されているURLにアクセスすると、警察庁騙るポップアップが表示され、金融機関のフィッシングサイトに誘導するSMSが出回った。

【参考情報】
警察庁のウェブサイトを模倣した偽サイトに注意（PDF）
http://www.npa.go.jp/bureau/info/chuikanki.pdf
注意情報｜一般財団法人日本サイバー犯罪対策センター
 【注意喚起】警察庁を装った偽サイトに注意、銀行を装うフィッシングサイトへ誘導 | トレンドマイクロ is702
【セキュリティニュース】警察庁装うフィッシング攻撃に注意 - SMSで偽サイトに誘導（1ページ目 / 全1ページ）：Security NEXT
【参考Tweet】

【警察庁の偽ウェブサイトに注意】警察庁のウェブサイトを模倣した偽サイトを確認しています。この偽サイトにアクセスすると、金融機関の偽サイトに誘導し、口座情報等を入力させようとします。不正なアドレスにはアクセスせず、口座情報等の入力はしないでください。
詳細→https://t.co/VDUZQ0FMjs
— 警察庁 (@NPA_KOHO) 2020年6月27日

「警察庁のウェブサイトを模倣した偽サイト」とありますが、『スマホでアクセスした場合、警察庁を騙る偽ポップアップが表示され、そのまま進むと銀行のフィッシングサイトにリダイレクトされる』のが現状です。このポップアップを偽サイトと呼んでよいかは悩みますが、なんにせよ注意が必要です。 https://t.co/LzLET5WPbr pic.twitter.com/lnGecsmgSw
— にゃん☆たく (@taku888infinity) 2020年6月27日

LINEの画像用サーバーに不正接続した高校生らが書類送検

【概要】
2019年8月末にLINEの画像用サーバーで見つかった脆弱性を利用し不正接続した高校生らが書類送検された。なお利用された脆弱性は2019年8月31日に修正されている。

【参考情報】
2019年8月のプロフィール画像の改ざん事件に関する報道について | LINE Corporation | セキュリティ＆プライバシー
 LINEサーバーに不正接続容疑の高校生ら書類送検：朝日新聞デジタル
 LINE、プロフ画像が第三者に変更される脆弱性「プロフ画像、変えられてないか確認を」とユーザーに呼び掛け - ITmedia NEWS
LINEアカウントのプロフィール画像を変更可能な脆弱性の修正のお知らせ | LINE Corporation | セキュリティ＆プライバシー

【参考Tweet】

言及しづらいけどとりあえずこれですhttps://t.co/PwXkxNfq4M
— mala (@bulkneets) 2020年6月27日

対応遅いとか書いてる人もいるけど土曜日に発生で当日中修正です
— mala (@bulkneets) 2020年6月27日

「世界一受けたい授業」で紹介された「SIMカードロック」についてトラブルが続出

【概要】
日本テレビの「世界一受けたい授業」でスマホ防犯の一例として紹介された「SIMカードロック」について実際に試したユーザーがSIMが使えなくなった等のトラブルが続出した。

【参考情報】

f:id:mkt_eva:20200702031157p:plain
スマホが使えなくなった……「世界一受けたい授業」が紹介した「SIMカードロック」でトラブル相次ぐ専門家は「危険性の高い機能」と指摘【日テレのコメントを追記】 (1/2) - ITmedia NEWS
「PINロック」でスマホが使用不可に解除コードを今すぐ確認する方法は？ - ITmedia Mobile
てくろぐ: SIMカードがロックされてしまったら (SIMへのPINコード設定)

【参考Tweet】

TV番組で「スマホの安全のためSIMカードにPINを設定しよう」という案内があったと聞きました。確かにそのような機能はありますが、操作を間違えるとスマホが利用できなくなる、極めて危険性の高い機能です。本当に必要な方のみ設定下さい。
前にTVで放送された時の案内(p.9～https://t.co/AiLhklPrvr
— 堂前@IIJ (@IIJ_doumae) 2020年6月27日

スマホの安全性を高めるためにSIMカードに「PINコード」を設定しようとして、誤ってSIMがロックされてしまう事故が発生しています。SIMがロックされるとどのような画面になるのか、ロック解除のための操作はどうすれば良いかご説明しています。https://t.co/C3sXRwPbVJ
— 堂前@IIJ (@IIJ_doumae) 2020年6月30日

「世界一受けたい授業」は打ち合わせ段階からスタッフや出演者の皆さんが一丸となって、有益な情報を1人でも多くの人に伝えたい気持ちが詰まっている素晴らしい番組です！そのような番組で説明不足を露呈し恐縮しております。
— 佐々木成三/元捜査一課/刑事コメンテーター (@narumi_keiji) 2020年6月29日

公安調査庁がサイバーパンフレットを公表

【概要】
公安調査庁がサイバー攻撃の現状として、サイバーパンフレットを公表した。

【参考情報】
サイバー攻撃の現状 2020（PDF）
http://www.moj.go.jp/content/001322280.pdf
サイバーパンフレットサイバー攻撃の現状 2020（公安調査庁） | ScanNetSecurity
公安調査庁「サイバー攻撃」初の報告書｜日テレNEWS24

【参考Tweet】

公安調査庁では，国内外で深刻さを増すサイバー攻撃の現状等について広く周知するため，サイバーパンフレット「サイバー攻撃の現状２０２０」を公表しています。是非ご覧ください→https://t.co/9OI8QfwD5D pic.twitter.com/BGVwhI0ut3
— 公安調査庁 (@MOJ_PSIA) 2020年6月29日

あと資料をPPT(2016)で作ったのは隠しておいたほうが良いですよ。これがdisinformationなら良いのだけど。。。
— hiro_ (@papa_anniekey) 2020年6月30日

Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開

【概要】
Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開した。なお、名称については『Tsunami Early Warning System」（津波早期警戒システム）の略で、津波そのものの名称を意図したものではない』とのこと。

【参考情報】
Googleのセキュリティスキャナー「Tsunami」、名称がGitHubで議論呼ぶ関係者が参加し釈明 - ITmedia NEWS
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開ポートスキャンなどで脆弱性を自動検出 - ITmedia NEWS
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表：数十万のシステムを即座に検査 - ＠IT
セキュリティスキャナー「Tsunami」、名称に関するIssueがクローズ。実は「津波早期警戒システム」が略されたものだったと釈明。ドキュメントで詳細に説明へ－ Publickey
tsunami-security-scannerについて確認してみた - Qiita
Google Tsunami 動かしてみた - Nick Security Log

【参考Tweet】

tsunami動かして見ました。
プラグイン充実するの楽しみだなー！
tomcatのCVE-2020-1938とか、Weblogicのやつとか割と簡単に作れそうだけどどうなんだろう

Google Tsunami 動かしてみた - Nick Security Log https://t.co/81f1F2Y8cN
— Nick (@STUSecInfo) 2020年6月25日

Tsunami の issue はドキュメントに Tsunami の名前について追記する形で閉じられたぽい。https://t.co/RMr5O1JJhi
— mattn (@mattn_jp) 2020年6月27日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

政府情報システムのためのセキュリティ評価制度（ISMAP）：IPA 独立行政法人情報処理推進機構
 「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」報告書について：IPA 独立行政法人情報処理推進機構
 「2019年度中小企業の情報セキュリティマネジメント指導業務」報告書について：IPA 独立行政法人情報処理推進機構
 中小企業向けサイバーセキュリティ事後対応支援実証事業（サイバーセキュリティお助け隊）の報告書について：IPA 独立行政法人情報処理推進機構
サイバーレスキュー隊（J-CRAT）活動状況[2019年度下半期](PDF)
https://www.ipa.go.jp/files/000083013.pdf

JPCERT コーディネーションセンター

Magento に関するアップデート (APSB20-41) について
 マルウエアLODEINFOの進化 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

NISC

テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について（PDF）
https://www.nisc.go.jp/active/general/pdf/telework20200611.pdf
多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報（PDF）
https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf

JC3

警察庁を騙るフィッシング

注意情報｜一般財団法人日本サイバー犯罪対策センター

フィッシングサイト対策協議会

フィッシングレポート 2020（PDF）
https://www.antiphishing.jp/report/phishing_report_2020.pdf
フィッシング対策ガイドラインの改定（PDF）
https://www.antiphishing.jp/report/antiphishing_guideline_2020.pdf

JNSA

NPO日本ネットワークセキュリティ協会
 2019年度国内情報セキュリティ市場調査 | NPO日本ネットワークセキュリティ協会
「緊急事態宣言解除後のセキュリティ・チェックリスト解説書」を掲載
https://www.jnsa.org/telework_support/telework_security/index.html

Trend Micro

McAfee

2020年在宅勤務の増加に伴いクラウドの利用が急増サイバー犯罪者の標的に
 インターネットのプライバシー：オンラインで安全性を保つためのヒントとコツ
 最も狙われているオンラインエンターテイメント作品トップ10を発表
 OneDriveフィッシングに注意

Kaspersky

セキュリティが強化されたZoom 5.0
https://blog.kaspersky.co.jp/zoom-5-security/28741/
データ盗み出し経路としてのGoogleアナリティクス
https://blog.kaspersky.co.jp/web-skimming-with-ga/28712/
自社ネットワークを攻撃しているのはどのハッカーグループか?推測ではなく、確認を！
https://blog.kaspersky.co.jp/kaspersky-threat-attribution-engine/28717/
マルウェアはどのようにしてゲームアカウントを盗むのか
https://blog.kaspersky.co.jp/gaming-password-stealers/28674/
偽の支援：給付金を餌にするオンライン詐欺
https://blog.kaspersky.co.jp/covid-compensation-spam/28626/
内部からのBECに対処する方法
https://blog.kaspersky.co.jp/fighting-internal-bec/28536/

LAC

初めてづくしの「オンライン・インターンシップ」開催。得られた成果は？ | セキュリティ対策のラック
 釘を打つのにドライバーを使ってませんか？正しいプロビジョニングツールを使いましょう | セキュリティ対策のラック

IIJ

wizSafe Security Signal 2020年5月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
てくろぐ: SIMカードがロックされてしまったら (SIMへのPINコード設定)

MBSD(三井物産セキュアディレクション株式会社)

SNAKE(EKANS)ランサムウェアの内部構造を紐解く | MBSD Blog
機械学習モデルの学習データを推論する方法 | MBSD Blog
細工した分類器を利用した任意のコード実行 | MBSD Blog

NECセキュリティブログ

トレーニングコンテンツ：「Hack The Box」を触り始めてみた: NECセキュリティブログ | NEC
Azure Security Virtual Training Day参加記: NECセキュリティブログ | NEC

NTTデータ先端技術株式会社

MITRE ATT&CK その1 ～概要～ | NTTデータ先端技術株式会社
 MITRE ATT&CK その2 ～攻撃手法と緩和策（スピアフィッシング攻撃の場合）～ | NTTデータ先端技術株式会社

piyolog

データ復元と行動履歴分析が行われた公職選挙法違反事件についてまとめてみた - piyolog
国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog
データセンターの電源故障の影響で起きた自治体サイト接続障害についてまとめてみた - piyolog
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog

みっきー申す

Trickbotを起点にCobaltStrikeを活用した潜入活動を行う攻撃手法について - みっきー申す
 アプリケーションのエラーログを装ったファイルを用いる攻撃手法について - みっきー申す
 Windows版Facebook Messengerにてバックドアを実行できる脆弱性について - みっきー申す
 ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性 - みっきー申す

セキュリティコンサルタントの日誌から

金融ISACの講演を公開しました！ - セキュリティコンサルタントの日誌から
 『脅威インテリジェンスの教科書』を公開しました！ - セキュリティコンサルタントの日誌から

knqyf263's blog

CVE-2020-10749（Kubernetesの脆弱性）のPoCについての解説 - knqyf263's blog

wakatonoの戯れメモ

コインチェックのインシデント対応報告を読み解く - wakatonoの戯れメモ
 みんなVPN死ね症候群にかかってないか？ - wakatonoの戯れメモ
 CVE-2020-10136～IP-in-IPに脆弱性… - wakatonoの戯れメモ

午前７時のしなもんぶろぐ

担当者の悪ふざけ！？「US-CERT」のおもしろ Tweet 特集！ - 午前７時のしなもんぶろぐ

今回もココまで読んでいただきありがとうございました。

ではでは！

暑いですねー

　　　冷たい麦茶ドゾー
`＿＿＿＿＿
|￣∥￣￣￣|
|　∥　　　|　 ∧_∧
|　∥([) 　 | 只･ω･`)
|　∥　　　| [冂]□⊂)
|＿∥＿＿＿| [三]ーｕ

＜更新履歴＞

2020/07/02 AM 公開

脆弱性のアレコレ

Netlogonに脆弱性（Zerologon）

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

トレンドマイクロを騙るEmotet感染メールが出回る

ドコモ口座が悪用され不正送金されてしまう事案が発生

「NOTICE」の調査で用いられるIDとパスワードの種類が増加

LINEが約7万件のLINEアカウントに不正ログインがあったと発表

ゆうちょ銀行で不正現金引き出し問題が発生

セキュリティレポートのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

フィッシングサイト対策協議会

LAC

Trend Micro

McAfee

Kaspersky

IIJ

NEC セキュリティブログ

IBMセキュリティー・インテリジェンス・ブログ

マクニカネットワークス

piyolog

こんとろーるしーこんとろーるぶい

マルウェア解析ブログ

セキュリティ猫の備忘録

午前７時のしなもんぶろぐ

みっきー申す

脆弱性のアレコレ

vBulletinに脆弱性

SKYSEA Client Viewに脆弱性

Apache Struts2に複数の脆弱性

ISC BIND 9に複数の脆弱性

不審なメールや偽サイトのアレコレ

不審なメール情報

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

note利用者のIPアドレスが漏えい

Yahoo!JAPAN IDで個人情報漏えい

VPN機器の脆弱性を突かれ多数の企業情報が流出

プロバイダー等を騙る当選サイトに注意

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

LAC

Trend Micro

McAfee

Kaspersky

IIJ

NEC セキュリティブログ

マクニカネットワークス

piyolog

knqyf263's blog

トリコロールな猫/セキュリティ

みっきー申す

脆弱性のアレコレ

複数のBIG-IP製品に脆弱性

Windows DNS Serverに脆弱性

「GRUB2」のブートローダーに脆弱性（脆弱性名：BootHole）

不審なメールや偽サイトのアレコレ

不審なメール情報

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

Twitterで複数アカウントがハッキングを受ける

みずほ総研が250万件の顧客情報を紛失

Emotetに感染させるメールの配信が再開

Facebookのメッセンジャーで不審な動画リンクが届く

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

JC3

Trend Micro

Kaspersky

LAC

IIJ

マルウェア情報局（ESET）

NEC セキュリティブログ

IBMセキュリティー・インテリジェンス・ブログ

マクニカネットワークス

piyolog