2016年11月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

さて今年も残り1ヶ月を切りましたね！

そして12月はクリスマスや忘年会等で皆さん外出して呑みに行く機会も多いのではないでしょうか。

会社帰りに呑みに行き、注意散漫になって社用スマホやPC、社員証などなど落としてはいけないものを落とす時期でもありますので、皆さん気をつけてくださいね。

こういう物理的なセキュリティ対策も非常に大事ってコトですね。

さてさて、今月も書いてみました、「前月のセキュリティニュースのアレコレ」。

もちろん僕目線で集めているところはあしからず。

なにかの参考にしてくれたら幸いです。

というかコレまとめてる最中（12月入ってから）にも色々とニュースが増えてきてびっくりしています。まぁそれは12月のアレコレで。笑

☆脆弱性、注意喚起☆

▼BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864)

【概要】
DNAMEを含むDNS応答の処理に不具合があり、 再帰的な名前解決のための処理をしている途中でBIND 9が動作を停止する可能性がある。 

【対象】
9.9系列 9.9.9-P3 より以前のバージョン
9.10系列 9.10.4-P3 より以前のバージョン
9.11系列 9.11.0
※なお、既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受けるとのことです。

【対策】

修正済みのバージョンに更新する。
修正済みバージョンはこちら↓
BIND 9 version 9.9.9-P4
BIND 9 version 9.10.4-P4
BIND 9 version 9.11.0-P1

【参考情報】

ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起

DNAMEを含む応答の処理に関わるBIND 9の脆弱性について(2016年11月) - JPNIC

▼Web サイト改ざんに関する注意喚起

【概要】
攻撃者が、ウェブサーバーに不正なファイル「index_old.php」を設置し、これを読み込ませるスクリプト「<script type="text/javascript" src="./index_old.php"></script>」をウェブサイトのトップページに追加することにより、ウェブサイトの閲覧者のIPアドレスや閲覧日時などがログとして記録されてしまう。

【対策】
■サーバの点検等
①Web サイトのトップページに<script type=“text/javascript” src=“./index_old.php”></script>等の身に覚えの無い命令文が書き込まれていないかを確認する。
②サーバ内の点検やファイルの差分等の確認により、サーバ内に「index_old.php」等の不審なファイルが蔵置されてないかを確認する。
③上記の状況が確認された場合は、サーバが攻撃者の制御下にあると認められることから、保全した後に、サーバに係る全 ID 及びパスワードを変更し、警察に相談する。
④サーバの再構築を実施する。

■被害防止対策

①OS 及び IIS(Internet Information Service)、Apache 等のミドルウェアのバージョンアップ等によりぜい弱性を解消する。
②ウイルス対策ソフトによる検索を定期的に実施する。
③20 番(FTP データ)、21 番(FTP コントロール)及び 23 番(telnet)ポートを無効化する。
④管理者による Web サイトへのアクセスを SSH(Secure Shell)プロトコルにより実施する。
⑤不正通信の早期発見のため、プロキシサーバログの点検を定期的に実施する。
⑥Web サイトの差分確認を定期的に実施する。

【参考情報】

Web サイト改ざんに関する注意喚起

http://Web サイト改ざんに関する注意喚起について (PDF) https://www.npa.go.jp/cyberpolice/detect/pdf/20161114.pdf

【セキュリティ ニュース】複数サイトで改ざん被害 - 身に覚えのない「index_old.php」に注意（1ページ目 / 全2ページ）：Security NEXT

JPCERT/CC、意図しないindex＿old.php設置への注意喚起 | マイナビニュース

▼NTPの脆弱性により、リモートからサービス拒否攻撃を実行可能な脆弱性（CVE-2016-7434）

【概要】

mrulistのクエリ要求を受け入れるよう設定している場合、外部からの細工された単一のUDPパケットにより、クラッシュしてしまう。

【対象】
NTP 4.2.7p22 から 4.2.8p8 までの全てのバージョン
NTP 4.3.0 から 4.3.93 までの全てのバージョン

【対策】
■修正済みのバージョンに更新する。
ntp 4.2.8p9
■mrulistクエリの要求を制限する
※MRU (Most Recently Used items) ：なんらかのファイルを開いたり操作したり等の行った操作の記録

【参考情報】

CVE-2016-7434 - 脆弱性調査レポート | ソフトバンク・テクノロジー

【セキュリティ ニュース】「ntp」脆弱性の実証コードが公開、単一パケットでサービス停止（1ページ目 / 全1ページ）：Security NEXT

☆フィッシングサイト増加☆

フィッシングサイト対策協議会の緊急情報で一ヶ月で5件も注意喚起が公開されるのは久々でしたので11月分をまとめました。

▼LINE

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | LINE をかたるフィッシング (2016/11/30)

▼セゾンNetアンサー

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セゾン Net アンサーをかたるフィッシング (2016/11/28)

▼NEXON

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | NEXON をかたるフィッシング (2016/11/21)

▼ハンゲーム

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ハンゲームをかたるフィッシング (2016/11/14)

▼Amazon

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2016/11/08)

特にセゾンNetアンサーのフィッシングサイトでは、
フィッシングサイトとして4件のURLが確認されており、ドメイン以下の文字列は正規サイトと同じ文字列を用いていたという点や正規サイトとそっくりであることから
注意が必要であると考えられます。

☆その他ニュース☆

▼日本経済新聞出版社の取引先約1200件の情報が流出

【概要】

日本経済新聞出版社の社内の端末が不審な外部のウェブサイトと通信し、約1200件の取引先の個人情報などが流出した

【参考情報】

日経出版社で個人情報流出 取引先など ：日本経済新聞

【セキュリティ ニュース】業務PCが外部と不正通信、個人情報など流出 - 日経出版社（1ページ目 / 全1ページ）：Security NEXT

▼「Ameba」の約58万件のアカウントに対してパスワードリスト攻撃が発生

【概要】

サイバーエージェントのSNSサービスである「Ameba（アメーバ）」が不正アクセスを受け、約58万件のアカウントに対して不正にログインされた

【参考情報】

「Ameba」への不正ログインに関するご報告とパスワード再設定のお願い | 株式会社サイバーエージェント

【セキュリティ ニュース】「Ameba」にPWリスト攻撃 - 3754万回に及ぶ試行で59万IDに不正ログイン（1ページ目 / 全1ページ）：Security NEXT

▼防衛省と自衛隊が運用する防衛情報通信基盤における不正アクセス

【概要】
防衛省と自衛隊が共同で利用する通信ネットワーク「防衛情報通信基盤（ＤＩＩ）」接続する防衛大と防衛医大のパソコンが不正アクセスの被害に遭った

【参考情報】

陸自システムに侵入、情報流出か サイバー攻撃、高度な手法 - 共同通信 47NEWS

陸自ネット侵入許す 高度なサイバー攻撃、情報流出か - 西日本新聞

防衛情報通信基盤への不正アクセスについてまとめてみた - piyolog

▼経団連事務局コンピュータのマルウェア感染

【概要】
経団連事務局のコンピュータがマルウェア（PlugX(プラグエックス)、Elirks(エリクス)）に感染し外部との不審な通信を行っていた

【参考情報】

経団連事務局コンピュータのマルウェア感染 | お知らせ | 一般社団法人 日本経済団体連合会 / Keidanren

経団連事務局端末の不審な通信発生についてまとめてみた - piyolog

PlugX(プラグエックス)、Elirks(エリクス)というマルウェア名から今年6月におきたJTBの不正アクセス事件を思い出した人も多いのではないかなって思いましたよ。
→  JTBへの不正アクセスについてまとめてみた - piyolog

▼警視庁がスパムメール速報 ツイッターで注意喚起

警視庁がスパムメール速報 ツイッターで注意喚起 - 産経ニュース

【サイバー犯罪対策課】
多発するインターネット利用の不正送金被害。解析の結果、ウイルス付メールの配信を早期に認知し、件名や本文等を把握することが可能となったことから、早期警戒情報として同メールに関する情報を発信していきます。

— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2016年11月6日

【サイバー犯罪対策課】
多発するインターネット利用の不正送金被害。解析の結果、ウイルス付メールの配信を早期に認知し、件名や本文等を把握することが可能になったことから、早期警戒情報として同メールに関する情報を発信していきます。

— 警視庁広報課 (@MPD_koho) 2016年11月7日

 どうやらこの2つのアカウントがメインのようですね。

▼「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了

「Red Hat Enterprise Linux 4および5」が2017年3月31日 同時サポート終了：IPA 独立行政法人 情報処理推進機構

RED HAT | Enterprise Linux 4 End of Support

▼ 脆弱性緩和ツール「EMET」、2018年7月31日にサポート終了予定

【セキュリティ ニュース】脆弱性緩和ツール「EMET」、2018年7月31日にサポート終了予定（1ページ目 / 全1ページ）：Security NEXT

サポート終了予定のMSの脆弱性緩和ツール「EMET」、CERT/CCが重要性を説明 - ZDNet Japan

以上です！

今回もここまで読んでいただきありがとうございました。

ではではヾ(*´∀｀*)ﾉｷｬｯｷｬ

Rig Exploit Kitの稼働する不正サーバーのIPをまとめてみた。

どもどもにゃんたくです。

関東も雪が降るそうで、いよいよ冬到来って感じですね！

さむいのヤダーーー(´；ω；｀)

さて、先月（2016年10月17日）に、IIJ-SECTがリリースした注意喚起が話題になっていましたよね。

IIJ Security Diary: Rig Exploit Kit への誘導サイト拡大に関する注意喚起

そして今月（2016年11月18日）には、IBMのTokyoSOCReportでこんなレポートが発表されていました。

 Rig Exploit Kitによるドライブ・バイ・ダウンロード攻撃の検知状況

Tokyo SOC Report

まず、

 「Rig Exploit Kit」とはなんぞや。

ってかエクスプロイトキットとはなんぞや。

と思った方もいるかもしれないのでこの辺はサラッと書きますね。

まず、エクスプロイトキットとは、簡単に言うと「サイバー犯罪に使えるツールを1つにまとめたお得パック」的なモノです。

アングラサイトなどで売買されていて、犯罪初心者でも使えちゃうってやつです。

そんなエクスプロイトキットには、様々な種類があります。

Angler Exploit Kit、Neutrino Exploit Kit、Sundown Exploit Kit…

いろんなお得パックがあるんですよね。

その中の1つが今回の「Rig Exploit Kit」ってなわけです。

そうそうこのRig Exploit Kit、ランサムウェア（CryptoWall、GOOPIC、Cerber、CrypMIC、Locky）にも利用されるエクスプロイトキットなんですよね。

さてここからは完全に僕の健忘録というかメモとなりますので、興味のある方は引き続き楽しんでってね！

今回の目的としては、両レポートに載ってるIPアドレスに通信しないように設定するため、もしくは過去通信してしまった端末を見つけるため、の両方に役立たせたいと思いまとめてみました。

まずIIJのレポートに載ってるIPアドレス（66IP）と、TokyoSOCReportに載ってるIPアドレス（34IP）をがっちゃんこさせて、重複のあるIPアドレスを排除した一覧はこちらになります。（※）このブログの最後にIPアドレス一覧をコピペできるように貼り付けてあります。

なお、黄色の部分は両レポートで重複していたIPアドレスです。

今度はそのIPアドレス全てをAPNICでWhoisしてみました。

各IPアドレスのIPアドレスの範囲、ネットワーク名、組織名、国名を一覧にまとめていました。

同じIPアドレス範囲だったIPアドレスを色分けしました。

黒で塗りつぶされていたところは確認ができなかったところです。

ホスティングサービスで管理されているものもあるため、具体的な情報を得ることは難しかったですが、なんとなくおそロシアな感じがしましたね。

ちなみにVirustotalでもIPアドレスのレピュテーションを調べたのですが、基本的には良いIPアドレスと言えるものはなかったですね。

まとめてみたこのIPリストや内容、皆さんの何かに役立ててくれればと思います。

今回もここまで読んでいただきありがとうございました。

ではでは(´ε｀ )

IIJのレポートとTokyoSOCReportに掲載されていたIPアドレス一覧まとめ

107.191.63.102
108.61.167.148
109.234.34.144
109.234.34.166
109.234.34.247
109.234.35.124
109.234.35.79
109.234.36.103
109.234.36.151
109.234.36.223
109.234.36.251
109.234.36.33
109.234.36.39
109.234.36.96
109.234.37.218
109.234.37.245
109.234.37.58
109.234.38.100
109.234.38.135
109.234.38.25
109.234.38.80
137.74.61.212
159.203.190.220
162.219.29.77
162.219.29.82
164.132.31.59
164.132.88.54
164.132.88.55
164.132.88.57
164.132.88.58
164.132.88.59
176.31.105.51
182.50.132.242
184.168.221.50
184.168.221.59
185.106.120.177
185.106.120.195
185.106.120.229
185.106.120.243
185.106.120.245
185.106.120.75
185.141.26.108
185.141.26.109
185.141.26.110
185.141.26.111
185.141.27.186
185.141.27.226
185.158.112.49
185.158.152.159
185.158.152.229
185.158.152.45
185.82.202.174
188.227.16.136
188.227.16.62
188.227.72.26
188.227.75.149
188.227.75.79
193.124.117.105
193.124.117.25
193.124.117.4
194.87.145.238
194.87.146.233
194.87.232.25
194.87.236.15
194.87.237.217
194.87.239.147
194.87.239.148
195.133.201.51
195.133.48.234
195.133.48.98
195.133.49.48
206.72.201.56
212.8.246.7
45.32.150.7
5.200.53.44
5.200.55.214
51.255.213.167
52.45.71.223
64.187.225.228
74.208.147.73
74.208.153.241
91.107.105.101
91.107.105.225
91.107.107.247
91.134.160.172
91.134.160.173
91.134.160.175
91.134.226.231
94.23.204.10

Twitterでフォローをしていない鍵アカウントのFacebookアカウントを10分で見つけた話。

どもどもにゃんたくです。

今回は、「Twitterでフォローをしていない鍵アカウントのFacebookアカウントを10分で見つけた話。」というほんとうにあったほんのちょっと怖い話をしていきたいと思います。

気になるところから読んでみてください＼(^o^)／

はじめに

SNSサービスを複数使用するなんて当たり前の時代になっていますよね。
僕もいくつかSNSサービスを利用しています。
もうSNSがリアル（現実世界）と切っては切れないものになっていますよね。

今回はそんなSNSでちょっとだけ怖いなって思った話をします。
これから書く内容は、非常にグレーな話です。
しかしながら、こういうことが実際にできてしまうという警告をしたいと思い、書いてみることにしました。
今回は主に「Twitter」を主軸にして話をしていきます。
※なお、今回特定したアカウントの方は僕の友人の知り合いの方でした。また今回ブログにこの内容を載せる旨も了承していただきました。協力していただきありがとうございました。

みなさんに聞きたいこと

まず、みなさんに聞きたいことがあります。

「あなたは自分の名前、経歴をインターネットで調べられて、特定されても大丈夫ですか」

大丈夫と思う方はここから先読む必要はありません。お疲れ様でした。
大丈夫じゃないと思う方はこの先お付き合いのほどよろしくお願いしますね。

というかそもそもインターネットで個人を特定されると何か悪いんでしょうか。
特定されたとしても名前や経歴を勝手に使われる、SNSに載せた写真を使われる、くらいですよね。
しかもそれは「可能性」の話ですので、使われないというパターンもあります。
別に気にするほどのことでもないかもしれませんが、自分の知らないところで使われるって良い気持ちはしませんよね。

また、自分が意図せずアカウントが炎上してしまうコトも多いのが現実です。
起因が自分だけじゃなく自分の友人が炎上して飛び火するというコトもあると思います。

SNSを使うことは悪いとはまったく思いません。
でも、SNSの危険性も知っておく必要があると僕は思います。

今回のお話

まずは今回のブログ題名についての経緯について書いていきましょう。
ある日のこと、知らない鍵アカウントの方にフォローをされました。
普段なら気にしないのですが（Bot系やアダルト系にフォローされることもあるので）、
プロフィール欄がわりと詳細だった（ハンドルネームは実名ではなかった）のと、
プロフィール内容をひと目見た瞬間に「あ、これ僕の友人の知り合いじゃないか」と感じたのがきっかけでした。
まず僕の友人にそのアカウントについて聞いてみたところ間違いなくその友人の知り合いの方だということがわかりましたが、ふと「これ実名わかるかもしれない」と思い友人にその知り合いの名前を聞かずに当ててみることにしました。

具体性を増すため、ある架空のアカウントを用いて説明していきます。
もしかしたら途中でみなさんだれかわかるかも知れませんよ。（もちろん架空ですが）

では、こんなアカウントがあったとしましょう。

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
ハンドルネーム：やがぬ
TwitterID：＠ihaveappooo(※2016年11月現在IDは存在しておりません)
プロフィール：神になりたいお年頃～＼(^o^)／/大国学園高卒/東応大3年/シスコン/
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

まず、自分がフォローしてない鍵アカウントのためツイート内容は見れません。
ですので、まず検索欄で「＠ihaveappooo」を含むツイートを調べてみました。
すると何人かの鍵のついてないツイッタラーとTwitter上で会話してることがわかりました。
その何人かの鍵のついてないツイッタラーの会話の内容を見ていていくつか気になるツイートを見つけることができました。

Aさん「＠ihaveappooo　大学の授業は大変だと思うけどがんばってね、やがみん！」
Bさん「＠ihaveappooo　らいとー、帰りにリンゴ買ってきてくれないー？よろしく。」
（※もちろんこれらは実際につぶやかれてた内容と同じではありません）

Aさん、Bさんのツイート内容で気になったのは、そうその「呼び方」です。
『やがぬ』というハンドルネームでは呼ばず、ちがう呼び方で呼んでいることがわかりましたか？
ではそれらから想定される名前、、、そう「やがみ　らいと」という氏名が想定できるはずです。
しかしながら、苗字は「矢上」「八神」「矢神」、、、名前「来人」「雷斗」、、、どれかわかりません。
そこでFacebookで「やがみ　らいと　大国学園高校　東応大学」と調べてみました。
すると1件自分の知り合いの知り合いというアカウントを見つけることができました。
その氏名は。。。。。。

「夜神　月」

勘の良いみなさんならこの人物の氏名が途中でなんとなくわかったのではないでしょうか。
今回はあえてキr…夜神月を例に挙げてみましたが、実際にFacebookでアカウントを見つけるまでの流れはこれとまったく同じです。
そしてこのFacebookのアカウントを見つけるまでだいたい10分くらいでした。

さてさてさて、今回のこのことからわかったこと。そして気づいたことをまとめてみました

こんなプロフィールは気をつけよう

Twitterのプロフィールについて、こんなプロフィールじゃいきなり悪用や特定されるよってトコロをまとめました。

□ハンドルネームが実名である
□プロフィールに所属してる（してた）ところが書いてある（例：会社名や学校名）
□アイコンが自分の写真である（自撮り、他撮り含め）

当たり前だろ！！！って思った人もいると思いますが、実際そうです。
ちなみにこの項目で実際に母校の中高の現役学生を探してみたところ、すぐに数人のアカウントが特定できました。

こんなツイート内容には気をつけよう

プロフィールに個人的な情報を載せなくても、特定されてしまう場合があります。こんなツイート内容は気をつけてみましょう。

□フォロワーを実名や実名が推測されそうな名前で呼ぶ
□所属している会社や学校が明らかに判明してしまう写真、もしくは会社や学校から撮った写真を載せる
□同じ場所からの写真を定期的に載せる

2番目や3番目に書いた内容は良く聞く話かと思います。
特に伝えたいのが1番目です。僕が今回アカウントを見つけることのできた方法のひとつでもあります。
実は結構盲点なんじゃないかと思っています。

その他ちょっとしたセキュリティ対策をやってみよう

今回の内容とは少し話が逸れますが、「アカウントを乗っ取られる、不正にログインされた」というニュースが報道されることがしばしばあります。
アカウントを乗っ取られて某メガネ会社の広告ツイートがフォロワーからいきなり飛んできたなんてことを経験した方もいるかと思います。
乗っ取られないようにしたい、アカウントが特定されにくくしたい等いくつか方法をまとめてみました。

①他のSNSやアカウントサービスで利用してるID、パスワードを同じものにしない

コレ、同じにしてしまうと芋づる式にどんどん自分のアカウントが乗っ取られてしまいます。
もちろん難しいパスワードを設定することもオススメしますが、なかなか難しいパスワードって考えるの大変じゃないですか？
なので、まずはパスワードを使いまわさないことをオススメします。

②パスワードは自分の生年月日等の第三者から推測されやすそうなものはやめよう

芸能人のSNSが乗っ取られた等のニュースを見ていると、パスワードが生年月日や名前を模した設定にしていたということが原因の場合がしばしばあります。

今回のようにFBのアカウントが特定された場合、アカウント設定で生年月日が外部公開されていて、かつ生年月日がパスワード等になっていた場合速攻でTwitterはログインされてしまいますよね。そういったことが起こらないように、外部から推測されにくいものを設定しておくことをオススメします。

③2段階認証を設定してみよう（Twitter、Facebookどちらも推奨）

アカウント登録に自分の電話番号を登録する必要がありますが、
自分以外の誰かがログインしようとした際に「ログインしようとしてる！」ということが一目瞭然でわかります。
ただ、このデメリットとしては自分が例えばいつもと違うブラウザや端末からログインしようとした時に、
手元に登録した電話番号のスマホがないとログインすることができません。
（※バックアップコードを使ったログインなど、スマホが無くてもログインする方法もありますが）

④公開範囲を決めよう

【Twitter】
正直Twitterの公開範囲は「鍵をつけるか、つけないか」しかないと思います。
そして大げさかもしれませんが、鍵をつけないということは「全世界の人に自分のツイートが見られている」と言っても過言ではありません。
自分のツイートはあまり知られなくない、友達だけに見せたいと思うのなら、鍵をつけることをオススメします。

【Facebook】
今回僕がFacebookのアカウントを見つけた原因の１つが、そのアカウントのFacebookプロフィールの設定が「外部公開」されていたという点です。
Facebookでは自分のプロフィールや投稿内容の閲覧設定を個々に設定することができます。
例えば、中高大の知り合いには見つけて欲しいから中高大の経歴は外部公開にしたいけど、今の勤務地は外部公開したくない、などという設定をする事もできます。
もちろん全て外部非公開にする事も可能です。
この設定のレベルは個々で違うと思いますので、今一度自分の情報をどこまでの人達に、どこまで公開するかを考えてみてください。

⑤メンションを飛ばそう

これはちょっとまた毛色が違う話ですが、Twitterでフォローしたり、Facebookで友達申請をすることってありますよね。
でも送った相手に気づかれない、怪しまれるなんてこともあるかと思います。
そのときは一言でいいので、
Twitterであればフォローしたというリプライを送る、
Facebookであればメッセンジャーで友達申請した旨を伝える、ということをするといいかもしれません。
ただし、逆にこういったメンションを送られたからといっていきなり「そうですか」と許可するのも危険な場合もあります。
ですのでまずは1往復くらいはやり取りしてみてから許可する、というのも良いかもしれませんね。

おわりに

まずはここまで読んでいただきありがとうございました。

今回の内容で少しでも自分のアカウント管理について考えてみてくれたなら幸いです。

そして1つでも何か対策をしてくれたなら、僕はこのブログを書いて良かったなと感じます。

一人ひとりの対策が、みんなを守る対策につながります。

ではでは(´ε｀ )

2016年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです。

日々Twitterやニュースサイト、ブログなどでセキュリティ情報を収集したりしているのですが、せっかくなので10月に起こったことを僕視点でまとめてみました。

10月のセキュリティニュースを知ったかぶりましょう。笑

「僕視点」なのであしからず。（大事なことなので2回言ってみた）

DNSサーバBINDの脆弱性について

【概要】
ISC BIND 9 にサービス運用妨害 (DoS) の原因となる脆弱性が存在するという問題。

▼ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-2776) に関する注意喚起

　http://www.jpcert.or.jp/at/2016/at160037.html

【対象】

　9.9系列 9.9.9-P2 より以前のバージョン
　9.10系列 9.10.4-P2 より以前のバージョン
※既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受ける

【対策】

修正バージョンの適用
　BIND 9 version 9.9.9-P3
　BIND 9 version 9.10.4-P3

【参考情報】
※JVNVU#90255292: ISC BIND 9 にサービス運用妨害 (DoS) の脆弱性

※CVE-2016-2776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

▼ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2016-8864) に関する注意喚起

　http://www.jpcert.or.jp/at/2016/at160044.html

【対象】

　9.9系列 9.9.9-P3 より以前のバージョン
　9.10系列 9.10.4-P3 より以前のバージョン
　9.11系列 9.11.0
※既にサポートが終了している ISC BIND 9.0系列から9.8系列においても本脆弱性の影響を受ける

【対策】
修正バージョンの適用
　BIND 9 version 9.9.9-P4
　BIND 9 version 9.10.4-P4
　BIND 9 version 9.11.0-P1

【参考情報】
※JVNDB-2016-005674 - JVN iPedia - 脆弱性対策情報データベース

Linuxカーネルの脆弱性『Dirty COW』について

【概要】
Linuxカーネルのメモリサブシステムに実装されているcopy-on-write機能存在する脆弱性を攻撃者に悪用され、
ローカルユーザからroot権限を取得される問題。

【対象】
Linux Kernel 2.6.22 および、それ以降の以下のバージョン
・Linux Kernel 4.8.3 より前のバージョン
・Linux Kernel 4.7.9 より前のバージョン
・Linux Kernel 4.4.26 より前のバージョン
なお、この脆弱性を利用するためには、システムにログインできることが前提条件とのこと。（※下記ソフトバンク・テクノロジー調査レポートより抜粋）

【対策】
パッチの適用
Linux カーネルでは、対策版として
・バージョン 4.8.3
・バージョン 4.7.9
・バージョン 4.4.26
がリリースされている。

【参考情報】
※JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性

※CVE-2016-5195 - 脆弱性調査レポート | ソフトバンク・テクノロジー

IoT機器を踏み台にするマルウェア「Mirai」によるDDoS攻撃が発生

【概要】
攻撃者によりマルウェア「Mirai」に感染したボットネットを使用され、DDoS攻撃が行われた問題。

【攻撃事例】
▼2016年9月20日夜（米国時間）、米セキュリティ情報サイトの「Krebs on Security」へのDDoS攻撃

▼2016年10月21日昼（米国時間）、米DNSサービスを提供するDynのManaged DNSインフラやManaged DNSのプラットフォームへのDDoS攻撃
　→TwitterやNetflix、Reddit、Spotify、Box、Pinterest、PayPal、PSN(PlayStation Network)にアクセスができなくなる状態が断続的に発生した

【Miraiボットネットとは】
・家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダといったIoT機器に感染してボットネットを形成するマルウェア
・ソースコードは公開されたため、亜種等は今後増加する可能性あり
・IoTデバイスのデフォルトのユーザー名とパスワードの組み合わせ62種類を利用し、デフォルト設定のIoT機器を見つけると感染させる仕組み
・感染した端末の挙動としては、2323/TCP および 23/TCPを使用しTelnet接続する。また48101番ポートを使用した定期的な通信あり

【対策】
▼Miraiに感染した場合
①機器をネットワークから切り離し、再起動する。（再起動することで削除されます）
②機器のパスワードを強固なパスワードに変更して、ネットワークに再接続する。（パスワードの変更を行わずに再接続すると、再感染します）

▼Miraiに感染しないようにする場合
・機器のパスワードを強固なものに設定する（初期設定のままには絶対にしない）
・最新のパッチを適用する
・UPnP (ユニバーサルプラグアンドプレイ) 機能を無効化する
　※UPnPとは→http://e-words.jp/w/UPnP.html

【参考情報】
※JVNTA#95530271: Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

※インターネット観測結果等(平成28年９月期)（警察庁）
　http://www.npa.go.jp/cyberpolice/detect/pdf/20161020.pdf

※Linux IoTデバイスを狙う「Mirai」ボットネットの拡散とDDoS攻撃に注意 | マルウェア情報局

※ニュース - DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン：ITpro

Rig Exploit Kitを用いた攻撃が急増

【概要】
Internet Explorer および Adobe Flash の脆弱性を悪用するRig Exploit Kit（Rig 脆弱性攻撃キット）を用いた攻撃が急増

【Rig Exploit Kitとは】
・ Internet Explorer および Adobe Flash の脆弱性を悪用し、 ランサムウェア「Ursnif（別名：Locky、Gozi、Snifula、Papras）」 などのマルウェアをダウンロードさせる
・ Neutrino Exploit Kit やAngler Exploit Kit の誘導元として悪用されていた Web サイト等に誘導される
・誘導元のページではWordPress で運用されている Web サイトが観測されているとのこと

【対策】
・IEやJava、Adobe Flashを適宜アップデートする
・不審なメールに添付されている添付ファイルや添付されているURLを開かない
・アンチウイルスソフトの導入

【参考情報】
※IIJ Security Diary: Rig Exploit Kit への誘導サイト拡大に関する注意喚起

※【セキュリティ ニュース】エクスプロイトキット「RIG」が活発 - 国内サイト経由でランサム誘導（1ページ目 / 全2ページ）：Security NEXT

大学を狙ったサイバー攻撃（情報漏えい）が複数発生

【概要】
不審なメールから大学関係者へのサイバー攻撃（情報漏えい）が複数発生

【攻撃内容】

▼メールにファイル（マルウェア）が添付されており、その添付ファイルを開封したことによりPCがマルウェアに感染し、個人情報や研究情報が漏洩した

※富山大学水素同位体科学研究センターに対する標的型サイバー攻撃について

https://www.u-toyama.ac.jp/news/2016/doc/1011.pdf

※富山大学 水素同位体科学研究センターへの不正アクセスについてまとめてみた - piyolog

※富山大学 水素同位体科学研究センターへの攻撃に利用された通信先調査メモ | (n)inja csirt

▼メールにフィッシングサイトへのURLが貼り付けてあり、そのURLにアクセスしID、パスワードを入力したことでログイン情報が盗まれ、個人情報が漏洩した

※【セキュリティ ニュース】フィッシング被害で個人情報が漏洩 - 関西学院大（1ページ目 / 全1ページ）：Security NEXT

※セキュリティのニュース報道を見て感じたコト～関西学院大情報漏洩ニュース～ - にゃんたくのひとりごと

国家資格「情報処理安全確保支援士制度（RISS）」がスタート

【概要】
新しいセキュリティ国家資格「情報処理安全確保支援士（Registered Information Security Specialist）」がスタート

【情報処理安全確保支援士とは】
組織における情報システムの企画、開発、運用のほか、調査や分析、評価など、セキュリティ面から支援し、指導や助言などを行う人
※通称は「登録情報セキュリティスペシャリスト」

【RISSの概要や登録方法】

サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました （METI/経済産業省）

登録方法はこちら→IPA 独立行政法人 情報処理推進機構

10月はこれくらいでしょうかね！みなさん知ったかぶれそうですか？( ^ω^ )

僕も書いていて、あんなことや、そんなことあったなぁって思い出しましたよ。

以上です。

ではでは～(・ω・)ノ

「あなたのセキュリティ対応間違っています」辻 伸弘 (著)を読んでみた。

どもども、にゃんたくです。

なんだかハロウィンを境に一気に冬が押し寄せてきた感じがありますね。さむいよ！

というわけで温かい飲み物でも飲みながら皆さんに読んでいただきたい本について今回は書いていきます。

あっ、本の具体的な内容には触れません。

本当にただこの本を読んだ僕の感想だけを書いているのであしからず。

coin.nikkeibp.co.jp

「あなたのセキュリティ対応間違っています」という言葉を聞いて、たぶん下記パターンのどれかをみなさんは感じるかと思います。

・間違っているか、間違っていないかわからないな、不安だな。
・間違っているわけないだろ！
・そもそもセキュリティ対応ってなに？

では、この中でどのパターンの人に読んでほしいか。

正直全部です。
たぶん1000％ですけど、この本を読んで「全部知ってた」と胸を張って言える人は一人もいないと思います。
それだけ内容が「濃い」です。
ただ、読みやすい書き方、図の多さがその「濃さ」を感じさせず、セキュリティ初心者の方でも非常に読みやすい本になっていると感じました。

さてさてさて、いきなりですが僕が辻さんと一番最初に出会ったのはこの記事でした。

イケてるセキュリティ男子に、俺はなる！―ソフトバンク・テクノロジー　辻伸弘さん
http://enterprisezine.jp/iti/detail/5777

enterprisezine.jp

ちょうどこの記事が公開された頃、僕は就活中で、いくつかの企業の面接で「セキュリティの仕事がしたい（なんかイマドキだし）」等と話していたりしました。

就職活動も進み、とある企業の二次面接を受けていたときのことでした。

いつもと同じようにセキュリティ関連の仕事がしてみたいと言ったところ、たぶんその面接していただいた方々のなかでも一番えらそうな方がこんなことを僕に聞いてきました。

「セキュリティの辻さんという方を知っていますか？」

正直、僕は当時辻さんをまったく知りませんでした。

素直に「知りません」と答えると、「必ず知っておくように」と言われ、その面接は終了しました。

その帰り道、面接での緊張がやっと解け、面接内容どんなだったけかなと思い出したときに、「あ、そういえばセキュリティの辻さんって人が有名らしいな、ググってみるか」と調べた結果、たどり着いたのが上記の記事でした。

はじめてこの記事を読んだときに、こんなイケてる人がこの世にいるんだ！！イケてるセキュリティ男子とかかっこいい！！でも、an･anはねぇだろ！！と思ったことはいまだに覚えています。

まさか本当に辻さんがan･anの特集に載る日が、この2年後に来るだなんてこの時誰が信じていたでしょうか。

残念ながら、その企業から僕は「お祈り」されてしまいましたが、良いことを教えてもらったと本当に感じています。
その後、辻さんの連載記事やブログを読んでみて、知識があまり無い僕でもわかりやすいものばかりだと感じていました。
そして仕事をはじめて、わからないことがあって読む記事もなぜか昔読んだことのある辻さんの記事だったりして、、、いつでも、何度よんでも勉強になるなぁと不思議に感じています。

おいおいおい。
本の感想じゃなくて自分の昔話じゃねぇかよ。

（まぁそんな荒ぶらないでくださいよ笑（誰に言ってんの？））

つまり、辻さんの書いたものって、初心者が読んでも、ちょっと知識がある人が読んでも、上級者が読んでも、勉強になるということ。そしてそれが何度読んでも。

ではなぜそんなものが辻さんには書けるのか。

それは常にセキュリティ情報を追っかけて、

とにかくセキュリティが大好きで、

そして誰よりも「誰かのためになる」ことを常に考えているから。

僕はそう思っています。

この本はそんな辻さんの思いがぎゅっと詰まった本なんです。

辻さんの記事や連載がタメになるんだろ？

ネットとかで読める記事やブログを読めばいいんでしょ？

だって日経の連載のまとめでしょ？

この本を読まなくてもいいんじゃない？

って思う人もいるかと思います。

いえいえいえ、この本を読んで連載記事やブログ以外でわかることが1つあります。

それは辻さんの「人柄」です。

具体的には書きませんが、とにかくこの本を「はじめ」から「おわり」まで読んでみてください。
また、読み終わった後にこの本のAmazonレビューを必ず読んでみてください。
読みながら飲んでいた暖かい飲み物が冷めていても、たぶん心は温まると思います。

ちなみに僕はこの本を読み終わったときに、辻さんと出会えてよかったと心から思いました。

さて皆さん、読み終わった後、読んで身についたこと、面白かったなと感じたこと、自分だったらこう考えるなと感じたこと、本が面白かった、つまんなかった、とかなんでもいいので誰かに発信してみてください。

その一人ひとりの発信が、見えないだれかのセキュリティ対策につながると僕は思っています。

長くなりましたね。
ここまで読んでいただき、ありがとうございました。

ではでは。

あ、「わたしのセキュリティ対応間違っていました」って本をだれかが書いたら面白いかもね笑

あなたのセキュリティ対応間違っています

• 作者: 辻伸弘
• 出版社/メーカー: 日経BP社
• 発売日: 2016/10/21
• メディア: 単行本
• この商品を含むブログ (1件) を見る