Jaffランサムウェアのもろもろについての調査メモ(2017/06/19更新)
どもども、にゃんたくです(「・ω・)「ガオー
世間を騒がせているWannaCryランサムウェアの裏で、「Jaffランサムウェア」というランサムウェアが流行していることを5月の中旬ごろから確認しています。
だんだんと日本でも報道されるようになってきました。
ちなみに、Jaffランサムウェアに感染するフローはこんな感じです。
①不審なPDFが添付されたスパムメールが届く
↓
②受信者は添付されたPDFを開く
↓
③受信者がPDFを開くと、PDFに埋め込まれたWordファイルを開くよう促される
↓
④受信者がPDFに埋め込まれたWordファイルを開くと「コンテンツを表示するために編集を有効化する」ように促される
↓
⑤受信者が編集を有効化すると、Wordファイルに埋め込まれたランサムウェアダウンローダが起動し、ランサムウェアに感染する
今後、Jaffランサムウェアによる攻撃が日本にも来る可能性を考え、現段階でJaffランサムウェアについて判明しているデータをまとめてみました。
監視などを行う際の役に立てていただければ幸いです。
【Jaffランサムウェアの復号化ツール情報(2017/06/19更新)】
Jaffランサムウェアの復号化ツールがどうやらリリースされたようです。
復号化ツール名は『Rakhni Decryptor』です。
以下、ツールをダウンロードできるリンクを記載しておきます。
http://media.kaspersky.com/utilities/VirusUtilities/EN/rakhnidecryptor.zip
http://media.kaspersky.com/utilities/VirusUtilities/EN/RakhniDecryptor.zip
※上記どちらからでもダウンロードできます。
上記のダウンロードリンクのあるページも載せておきます。
https://noransom.kaspersky.com/
https://www.nomoreransom.org/decryption-tools.html
また、セキュリティリサーチャーの辻伸弘さんのブログに復号化の仕方について書いてありますので、復号化する際の参考にしてみてください。
【調査概要】
■参考サイト
Internet Storm Center - SANS Internet Storm Center
Cisco's Talos Intelligence Group Blog
■調査期間
2017年5月中旬~
■抽出するデータ
PDFファイルのハッシュ値
Wordファイルのハッシュ値
Jaffランサムウェアのハッシュ値
Jaffランサムウェアのダウンロード先URL
感染後にTorブラウザで接続する先のドメイン
※注意※
以下記載しているURLやドメインには直接アクセスしないことをおすすめします。
なお、アクセスし被害などを受けた場合でも当ブログでは一切の責任を負いませんのでご了承ください。
- 【Jaffランサムウェアの復号化ツール情報(2017/06/19更新)】
- PDFファイルのハッシュ値まとめ(2017/06/07更新)
- Wordファイルのハッシュ値まとめ(2017/06/07更新)
- ZIPファイルのハッシュ値まとめ(2017/06/15更新)
- WSFファイルのハッシュ値まとめ(2017/06/15更新)
- Jaffランサムウェアのハッシュ値と配置されるファイルパスまとめ(2017/06/15更新)
- Jaffランサムウェアのダウンロード先URLまとめ(2017/06/15更新)
- Jaffランサムウェアに感染し暗号化されたファイルの拡張子まとめ(2017/06/15更新)
- 感染後にTorブラウザで接続する先のドメインまとめ(2017/05/26更新)
- 参考情報(2017/06/19更新)
PDFファイルのハッシュ値まとめ(2017/06/07更新)
※スパムメールに添付されているPDFファイルのハッシュ値まとめです。
※いくつかのハッシュ値の後ろについている「~.pdf」はPDFファイル名です。
- 0a265c366932405a3247508a1a1a65241681e9d698acf31c828f0b6c68a04be0 - nm.pdf
- 1100f0d5e11ef9177c6b45b58999f86a2f1451668721ae6b2e73135cf3e487c8 - nm.pdf
- 235b8bf934ba5a562a7f47e8f622092ef6492bab644eb9a0b63f1aa9cb685d84 - nm.pdf
- 3028117d9773d4f978abd6ac6d14f17593e69297efec757104c4098ea5ad1768 - nm.pdf
- 358a6decd42df41c0234e5f14f5ad572e4da50ee030b8a9569821f4ffb6c8cd3 - nm.pdf
- 372adf1cdf70c716da09c5b2aa2ab1f3d48a6e3d1a7a969eb847d6562e0e0a3b - nm.pdf
- 3b7cd88cf3acb5e617b5bfdaab43413e96147393dc6fae264a8ca361381344c9 - nm.pdf
- 3e4bd555d5eb34cf3b79d21ab7788c9cf3c6be3eccff48655c265e31dceaf599 - nm.pdf
- 47e81d1de081e4e435bdbdd0df2857055fffdf749ddf7c1bb1f2e0040241724f - nm.pdf
- 57bfe19f9615f026765825689cdc26725f4f24f23123bdcc35aeddbdc5274fc4 - nm.pdf
- 6c4c5a1500a014aba0b5a01193abe9dd22c960028fa77ab9f3f8a678ad42dd03 - nm.pdf
- 8a3070bf1c86dfa86650e717c2d466f62ff253f28797a42bff819ed17571cbb0 - nm.pdf
- ac5c2c47c4cf28ee8336a51ed33eec40ef76b7990691f23eade0b240cd61c40b - nm.pdf
- ad454b174bc2d2903fc3063da2c918daf9c2bb9ffa1e13f6db42ad82f549cefe - nm.pdf
- b0f475e09e82891cbcd6c2a823000161191ea6d899f9d610f508ab26dee59584 - nm.pdf
- c3cf407f5c6269d79aef3f2e8bcf296a325fa067aa1af3f44c6e53189f66e111 - nm.pdf
- eb41eb3aa7d96ceebefa633cb519fae84ca66dd434cf3303576e9aff86a02f61 - nm.pdf
- f712e08b8020c5a0615a0f128ea9a891d2d45deafe7446c11f9227bd77dd28b3 - nm.pdf
- 5968b7a89e5d1db8447b5343f20362ab713551a94226fb905fff7a067c770c79
- 279bd153041b64966147eb7d036f570199e2d068c92746eb3e571d49fd7e3805 - Invoice.pdf
- 5b10d2ae464ec1b3c5d62d70d452d205419c0892fa2d21892767f8f30a6b8e98 - Invoice.pdf
- 5da7c8bf86dc71531b2cd34e565385dae7b080cde104e5abe29577ed03787a71 - Invoice.pdf
- 66c406bbe06a7804508e39eb3822b0a4f27b14a9d4c5dff970d559bcd88d6abc - Invoice.pdf
- 728174eddaf20492bfc3d85df3148aad3ff2677c88c901d727272c0f1aa4a0dd - Invoice.pdf
- 85640107aec9c21f6fdcf62ef79046aa57c18da35d29795febb7ac634165f93c - Invoice.pdf
- bd5cc7c63481cb6f54b8ddd3b459976021839119f2f57a2f60e52159ac0c184d - Invoice.pdf
- ebcdc058e4d7d7e2d9bcf59042c50814c335e3aa18b59f76a9eccc9918c78bb7 - Invoice.pdf
- 10321320369049daf9e10a898d44d489c5c1eba376c4ee9144257e2285634aa8
- 11f02f894bd5773bf5a6b6da6336881d30f525f16bfc938c42d6e305de6b2f46
- 476d6c030f56b9727abd5da5322efb08063a50e6b71562fb40eb779b1d3689ff
- 4967779ed93e178ad3e5d895a434f4866f77ddc3df9e9f3c0c69d9c6419835d6
- 6df458c9e52d9b104f8419a5bdfe320730b07642af007972b0fa72200e4949ad
- 7b007efc9a703bbaeebd9bc443efb9f8c6300c3f1480a040a81a2120dc5c97cb
- 7cd7a975ac42b409d97161c5fb3e100552bc5c2eaeb6e196b45e2a55c5086b17
- 9e31d8584c3d281bb264e6cccd38eb25ec8d1b7a11af85b2e42c335a06c78bfd
- d36aa76aa38e01bdc5d1ce3c83bffb402e0b8e7ff5200e79ca700864ac9abdee
- e08a6331873d1aea6d6ec8178d550a56a98895fb268c430948af9bc1098a9762
- e1aab160d59b83a9b62dc2609c2d55b7f07387f4b84041c18efe068e05f9b9dd
- 23b8ff79b843ec1b7b963bd7bff5d30161bf805bb2b8904c336d2da3dcf41dcb - img_9117.pdf
- 6faa78da1d6d8028d61ea96e16089893e3ba93e4dc357d552edd58df0bcfe2cd - img_5426.pdf
- 9580f0eb3807e78ec876fb1b439a3455113d5e66d2d3470bf0eca06748fc9ee1 - IMG_8010.pdf
- eb3cee41ccabe1449d99d36c255dc9d6162fe5931f32a9f73464be67df8b80cb - IMG_6943.pdf
- 0218178eec35acad7909a413d94d84ae3d465a6ea37e932093ec4c7a9b6a7394
- 0a326eb9a416f039be104bb5f199b7f3442515f88bd5c7ad1492b1721c174b8e
- 21da9eeded9581f6f032dea0f21b45aa096b0330ddacbb8a7a3942a2026cc8ca
- 4458f43127bb514b19c45e086d48aba34bf31baf1793e3d0611897c2ff591843
- 66320f4e85e3d6bd46cf00da43ca421e4d50c2218cb57238abb2fb93bef37311
- 7dd248652f2b42f3e1ad828e686c8ba458b6bb5b06cea46606ceccdd6b6e823c
- 8a474cdd4c03dd4a6ba6ad8945bf22f74f2f41830203f846d5437f02292bb037
- 956e43ece563fd46e6995fae75a0015559f0a63af5059290a40c64b906be5b9b
- 9beb67a68396375f14099055b712e22673c9a1d307a76125186127e289ab41a2
- b2b9c02080ae6fbe1845c779e31b5f6014ec20db74d21bd9dd02c444a0d0dd9b
- c126e731c1c43d52b52a44567de45796147aca1b331567ed706bf21b6be936b4
- cde2ff070e86bc1d72642cb3a48299080395f1df554e948fd6e8522579dfe861
- daf01a1f7e34e0d47ecdfcef5d27b2f7a8b096b4e6bc67fb805d4da59b932411
- e477300e8f8954ee95451425035c7994b984d8bc1f77b4ccf2a982bb980806fe
- 0237ae2520a441751b224d56aa776ba3758d07073b5164c5174ea2e4990f8462 - 4163.pdf
- 0d33a0f086710c812794dc20c6057d422c74c582b6bb737b3c3ade0fd369c801 - 2317.pdf
- 454d5ec8cac7915ab1b02852007d28a65a5076fbc28e5b6ffbb6bca290596a9e - 4022.pdf
- 4f332611fe30a155fcd73aff87135035436196acbb8ccf219efdc8a3c3b7ae14 - 74332.pdf
- 2ac01c6385135cc695abdf4e9e34d7618a7e0b81285e1f3123df54a9572982fd - 79443215.pdf
- 753550a1aa18b506693af9e1dd3af81de174cd88e820a7c87e9a8474456d3deb - 77586054.pdf
- 7cf89ac46a7bfcb8657c8b7bfa9f39c5396ec62ef9e86416f4780138c72e9040 - 41021119.pdf
- 81ef38b0fb7c395c05f593847074021743b4b2a4b1b45478e25cf64194a67aef - 35418461.pdf
- 3d42c848fca91239bbf1e922943c6466aa44be43ebf7ca0ebcab59bb2e27eb38
- 49ac12934894982da7654a10e8d5cc3f5df500f7bde58481cce63f8b1ce5d969
- 4e781c648bb0aa0b1d41b61932d4935b3b5d0c9473d13a1b6a1cf4d8ff85e14a
- 5be7c72e40d26e2df89d3aa0d590bb5af51248e4cab27dde444dec4d1e76364c
- 8db8b32eaca86182497b83614e15c0693ed6a4d42443e0cdb779c5d6035633f4
- b6727793ddc9c4ac6baf600834b38b54de23628b3bec631cfb6705c6fecabf2e
- c8fb245c25e7091489f26c538658637f9bfb82a5434282690aebe99015b42070
- f8a75a98f671644d6ee626a8920b41e4843f018b479ec82a090d01a8986b70d5
Wordファイルのハッシュ値まとめ(2017/06/07更新)
※PDFファイルに埋め込まれている悪意のあるWordファイルのハッシュ値まとめです。
※いくつかのハッシュ値の後ろについている「~.docm」はWordファイル名です。
- 1b33cc35011ddee5766342ba26f9964712f6531c6c057138890e36a58404d5b0 - OASOC.docm
- 20c7800aa15b5d378ff3b39e9c901dc68a12489a4a1800a6ec9b59f16ba1bafc - VRAQJFN.docm
- 219485c2dd60f9cb70a1c787802551f77e6cb1b421568372d425ffa49772fca8 - UG6F2EG.docm
- 29c027a3386083974b6dbf51d1e0c2e3f89b78c44bda350a543af4c5a813f456 - R5ZWWKW.docm
- 2efcffff5c144f8397da3df815f15145a0600a85a612ede9e0ae6846b7bf5388 - KJBXFNG.docm
- 4792532defb4431aa399f649a3e443a62f062e4a99458c7ee240c2ae5d6716f4 - DAM869G7.docm
- 517b9cb82b4d4e7e8af5ec96cc832bcd0ec6d1203bc8046c8e3d546e3b283e65 - NFSX8YGD.docm
- 59959df33f904f32046e4f79830f574862e8fe9edae75f88f91064bebb5f4d8c - UOX22.docm
- 59be1462a0d8fe2dcb88f6174e9d671bba7d8969a46dc5f566e006acec4df671 - YVFUI6ANI.docm
- 641b2ad3d345b97a8c92d152bb3f9b4b8a98af41ce3d1a9454fb804cce8f26dc - W7NXLMV.docm
- 6d31108908dc891f1c784831acfc69c5da65d982d8928da5ccfd0b15351aa3db - KUM1PQ.docm
- 6e7ff200d849d8594ddb72d4840daefa78d0d025f28d26c6c96f2eaccfba19ba - GCWJ9Z.docm
- 713e492aa212eb265de9dfc1d615dd57940aa3bde5293aef15165da027e28d3c - OWZGY.docm
- 7c550b82d112e065890a8e7efe862832b32cfeeb4f6a9ce85151525147a7cb9d - JXMDE8A.docm
- 9e441538b51c24f8f1e32411a52b58c1aaf6a591e96b5a17eebd3550da185baf - CAFZIVO.docm
- aa576e4bd47c41c783a20b41920601bfe092dd10ec262917e50b363eb132f958 - KFIG8EHN.docm
- b6c2f3466a76a56d0e0a373130e6f147fa1e11a0faa9f146d3418b4c477fc7ea - BMBU5E.docm
- c20562703066886685e5980ebc9f94499f9a152e628777f15592e4092348b9e8 - XQHPYQ.docm
- a5008680100ec970009eb68b5e8bb98af5fb58aef5b8f043e1517390245e0edd
- 1bc1196f611d2c6e5bd904160354fe1374c39b907411a5a15592bbc80bd4c4c4 - VEZLGKVC.docm
- 349365e97bba0377c960894ddcdb9939e386b55e764b7d3f8257aa538866167d - LNJ9DNIJ.docm
- 4da60d4278f4996163f5ffa28196919369d4ca365245ce8c60dc46bd9d816667 - HSOTN2JI.docm
- 4ff07b88668dfc828f18859b84805aae9c06b485594d029e42c1b0c9255988e6 - U4HKZVPRL.docm
- 9c9e0e6900b82b14816ccd7dd3f3269c44bb752a63c63afe652feaf090c551c2 - UCER2Q.docm
- a7810d1b9d50e78157ee43d2c6f34dddd70f11bc0c76311a0e223fbd9ee20165 - HBTEJ.docm
- b8ddb998befb348bbc242ed66757b8024f4fceec1f5b5b145f8aac5874d9e81f - GUMHSZUM.docm
- d30b4f0c787794a838b3cf34bdaee77bc95f42fe84bef67c5283033ee4265111 - UTTNNVW6V.docm
- 2fe146a9b8857e4c8fb8feb41952ec58c7bfc2c4c8fba2ac3c8bce28ce8bd468 - DLYX3.docm
- 43c96848e38431c5b9d90622808733cfe011e6b1a04b0c8f5e4e50a205ea95f9 - LOASWA.docm
- 5406916f81e8c20f61d0ff8f3242642d6d04ffb0c0c2d351bfd166aa3b62a44b - VWJEPFUGN.docm
- 56db9d583df62c240576b372e0ddfaadd8adb2e40d0af974d8b7cd33bc06443a - VNNCTVG.docm
- 8f04b9cd61543f8211285cd72f3a73d55cc2035da5e9abd44ec82f6a6b820ba6 - XJ3ZKWN.docm
- a358fb67469ea758d100fe42423b6b8c1085b47efa701e441fc20af11dc9d307 - BMUC3LI.docm
- a5563ae47b4aefdc8ce88dc82bd920446abdd7bcdf9c0c0196ee534aeebd2c5b - HMFQD7F.docm
- b657ee84e4358187091ae49dbecade191418624d0ec1958524fc9d2740b0d623 - WBLYJOFBR.docm
- cbd9fc0ee67a1edd2511773cb013d2db55f4f42c15b1fe37b417bf096ca7f029 - HC5TMRFS.docm
- cc18fd9d51b01cd3dc5f6a07403a933baa8ec648e0b65835bf10a8efdc583217 - LXC9UU.docm
- f3a3299f3ff1e51b5d52c99c78df7a6a585c1a2686a8468a3dfacde9a6fe6b4e - SOBFSGAUV.docm
- 018c0c2a56bcc94364aed07341e529c45f52c1e011b84fe5603a10d3f59e6f85 - T9PIQ.doc
- 3084e31a061f6adf56486e959450166671072c5503e35703a70f8f40424d7188 - U2MH1.doc
- a9eeb194ea0cfa3fb46a651b328e56fdd4428a13c893a4066a75bf407a14ab65 - GWM2CKV.doc
- df85f57b904273a5f14ee5f7f3aabdcb1f3c882f30e05caa05dc76c138f878e2 - XXZSTFDB.doc
- 084ee31e69053e66fafe6e1c2a69ffec015f95801ce6020f7765c56d6f3c23ff - PQQIDNQM.docm
- 0855061389b62ec6a9b95552357ff7571ae5c034b304978a533c6cba06c3f9e8 - GYTKPVM.docm
- 1f2598dc7a7b8f84307d8c2fa41f5550c320f8192cd41e50b47570d3836e6fcc - RNJSMOVS.docm
- 2dbf9e1c412aa1ffd32a91043642eb9cc80772c87dbbce3dd098c57d917277fb - DLDD7LH.docm
- 3f95a7eeb1965193a4e92862c10897e04708b37b793b8e45f890d019358214c0 - DC2ZPQ.docm
- 56cd249ff82e9bb96a73262090bc6a299ead64d6c75161520e745c2066f22430 - KAR6WLU.docm
- 795d8312749c122fa10a93c9f3aa1c0f4ffc081714c0ddb66c141334f8ef0633 - M4SQLA2.docm
- 8906d10a48487d8240bddd0c0cb5c076e88104c86bdf871b0143d74b6df3cc98 - NQBCXP4.docm
- 91aa966e837c4144a1294aa912a2162397f3a6df98cf336891d234e267cd919f - RNOHLIAFU.docm
- 933fcc1bf90716abf7c4eaf29b520d2276df895fb4dd5a76be2a55028a4da94e - PCHLUPL.docm
- a98782bd10004bef221e58abcecc0de81747e97910b8bbaabfa0b6b30a93b66b - Q1DOEY13.docm
- ae244ca170b6ddc285da0598d9e108713b738034119bae09eaa69b0c5d7635f8 - TH1DZZPT.docm
- bc0b2fbe4225e544c6c9935171a7d6162bc611a82d0c6a5f3d62a3f5df71cf8c - OLZNKWSOW.docm
- c702deaa2fe03f188a670d46401e7db71628e74b0e5e2718a19e2944282e05cd - VUG3FBFO.docm
- 549acec1f738a40d4097ba096ff2827bc76481b3f4dd73ef0fab437eb476be29 - U9P2HY9.doc
- 8abb70a36f99ee613f65535aeaaf28a3d0e79df7129110f4f9ef50833f664354 - NCVH2PL.doc
- 9383ade91f05af3f350831ac76ba218e42fc033964753e6db71c0fded5b0b832 - WXEVIR.doc
- c47090ad7c20f9cafee4e162985f6a2d8b60c4e3b3327d532e70a167b8a1a9e8 - W2X2PEW.doc
- 5db77f4e40f002917e99670f23976d883e67b17cffbba0b5801328b6c49c81f8 - YLRZLH.doc
- 830de9a72c138440482d0b7049f8d1a4de4906574043e721cd7d1487f2de2100 - XKDQK1N.doc
- 990ec28dd5d11e294910e2ed1e7bae6cc57272af402d6bf7bd3db9fd5dc89c3a - FXCHG1Y.doc
- b4304a0346bae39f2e158d2ad404f8b45aba2640fd903b26c5d6ca07ea9611ff - YVQEG23K.doc
- 1b5882d4a1feaa522ebbf056b5e25885511a979204f570bd54853d8f343ae6e9
- 308c2b5fa10c32adbfc4d878b864a9daefbdca679ad5b2016a311476caea0e9a
- 48c89d083f6a73cf48b6c345e1ff20671a944e9905d95a50f8aa865e74e175c1
- 691f30943872f5a1037d774942f4e41141bdd3f12c5b78d3dc7bdf9f0471a349
- 813d2d846de303fd5231b43a69102c54936d8e4649aa25263d6287faac806fd7
- a57c3a2c291048a7b8968f81fb24aeb91f6c50130665389115ea9abc0506180b
- e77f5822dfaedae8a44ff1f77c5f074c6fb4e6492d8a7debcddb1629bcd02323
ZIPファイルのハッシュ値まとめ(2017/06/15更新)
- 6643ae22814b118da4af55b365d62ba5c032b66e9717cde499c4e578d6fe3aa7 - invoicepis0413254.zip
- 8be825e2a658d5c23bf434cf4b52fd6c7d6b8ff7184274622b4fd1178e72d738 - invoicepis1314074.zip
- b8fce962dea3d0f76f020bc89402b69df272ed81569bdd302ace4ff4a054e0ac - invoicepis1695072.zip
- 7f7423a76c055116f55a424fb5fa03069a63db3d06b764bba057bb9678e95a32 - invoicepis2233669.zip
- b808ab2a7be1c153fb3511c5dff97a9cd1c645628933c545edf91001af52bdfe - invoicepis2436728.zip
- 5bc0649ae27083ba74eddd3d9f98cd1d1733cb1c1a5a1790f0fa979c0604db38 - invoicepis2511038.zip
- 62ff866da9576e2b178f6385465c45f4773ce37fcae0c101865d71d1c4500ea3 - invoicepis5416591.zip
- 0daffeae3bba397f66565872c0a97f436f23deac3e5d1ee1eb76d67006e1956e - invoicepis6680000.zip
- 51d30e6b11a2a1b0e963644d50bb43fc4ba58e4f5864c0999a69ad7001256b28 - invoicepis8938690.zip
- ff788450fff963c894cdc4eb909e7b59a2a4896c325d44164ccc9acc93122c00 - invoicepis9587975.zip
WSFファイルのハッシュ値まとめ(2017/06/15更新)
- 78559cb2823bcc6652ce6d5b9b4049b8b3a1147373d310f820ce6a943d107f9b - AXQ4CXPA.wsf
- 88fedc4d8bae75ff479f279d32c347b9fc46db34aad8548322e8b343b5f1f36d - B9UHRNO5.wsf
- 00055a1a81ca4522d0c849843dd82482beb0c0a11e077eab92ce29500e699ab5 - FTOZTGYDZ.wsf
- cf8236b8f144ccb425d031d2cf00aaedba438718eccf878ddf52c23c56c8ae2a - HF4YIDIIL.wsf
- e6e83f833b75e15437611c0b3ba0ff074861f47641e9807b9fd80cfcedc535e0 - JODUBWOOW.wsf
- 3bca60bc39b2477fe678c5ae42d3d9b3e6a4c841005e513544f18d82b5808fdd - JPS8FFO1.wsf
- 67cf8484de51cc971cea3b83abc6a1faf4eee5bed13fd1278a6c94382be8027e - MTSUQM4J.wsf
- be22ebcc446ca3c537256f14ae114bf4e2e2a131e8bbc153d6605a0e089493a9 - N82QC77I.wsf
- 07e014544fa7c3f6553dfb8ad82e0c83c7bbab5f60558fa3f64a70ea0d7cc1f1 - OEOOWNGE.wsf
- 4d581ef9c463ab6496d340335cec683833794b2efb1edde70a3c63726bcd008c - OOJVFMYO2.wsf
Jaffランサムウェアのハッシュ値と配置されるファイルパスまとめ(2017/06/15更新)
・1be07198c324c9732d4e2676945ec021eeacd78775aea2100f49ca0483d3f901
C:Users[username]AppDataLocaTemppitupi20.exe
・41bce3e382cee06aa65fbee15fd38f7187fb090d5da78d868f57c84197689287
C:Users[username]AppDataLocalTempdrefudre20.exe
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
C:Users[username]AppDataLocalTempgalaperidol8.exe
・3105bf7916ab2e8bdf32f9a4f798c358b4d18da11bcc16f8f063c4b9c200f8b4
C:Users[username]AppDataLocalTempuzinat8.exe
・077b498d9cc163e1ff5547e1abd625b8655f0339cb5e79d64c2ded17abb9e425
C:Users[username]AppDataLocalTempruhadson8.exe
・557306dc8005f9f6891939b5ceceb35a82efbe11bd1dede755d513fe6b5ac835
C:Users[username]AppDataLocalTemplevinsky8.exe
・2cc1d8edc318e0e09aad6afbc48999980f8e39e54734bca4c1a95c7b5db39569
C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe
・824901dd0b1660f00c3406cb888118c8a10f66e3258b5020f7ea289434618b13
C:\Users\[username]\AppData\Local\Temp\bruhadson8.exe
・03363f9f6938f430a58f3f417829aa3e98875703eb4c2ae12feccc07fff6ba47
・d8bb054fa738d7ba1b88f65e2b7dcf40a234bec8ec318e472380b603ed9ba0dc
・b9434c5fd5eefb8fb182024ecd3da4888222cae8a230fc0a778a7b712746f9f3
・64580b7bb2eedf6e2d2f5e773b34a62f5065c4cb167cd4ed0791050f425c546e
・8dbaab384ecd5386d960d1dddd7fd50ab3a30389dd5b8e516c5d873d77a1bbf9
・aca726cb504599206e66823ff2863eb80c6a5f16ff71ca9fcdd907ad39b2d852
・341267f4794a49e566c9697c77e974a99e41445cf41d8387040049ee1b8b2f3b
・e081c4557f4153d2fc9102fabc55aa6acdf8e1e11062529c728f4506b0d981b9
・5f1fcdfb951dc4642ce136a5d3e6bc42021f8e0cd631975a5eb3842da020531c
・0746594fc3e49975d3d94bac8e80c0cdaa96d90ede3b271e6f372f55b20bac2f
・f61d07cd7d32a6cb9ead8e82f43ef84cf54a89ef571d9b2a9cb0ecaf5319f5db
・387812ee2820cbf49812b1b229b7d8721ee37296f7b6018332a56e30a99e1092
・a0f72a7e67bfed40031c52a706b45de3787958729a308b5f15e754341022ed8e
・6b5759c6c3d7c7c21859023b4fcc443aa5343759a7a08c3870c5269e5c34a958
・94195aa110563ab1bd2542fb71806df5921c4c730036aa8faeaf537dcc01162c
・2bc87f1bbfdb23fe503ef89bcbf6908ffd7218433e0fbfa51282c0dc51dece01
・d1537972d7ac8f5f7c675c14027336715cb0bf91fe440d792e990d0efbd52710
\TEMP\ratchet20.exe(上記17個のHash値と関係するファイルパス)
・3377cbe4f2618e65f778d029e654a4cf07537c6cfb6b87c668ba2882d9bb4b44
C:\User\[username]\AppData\Local\Temp\miniramon8.exe
・001268d7fad7806705b3710ccc8cfffb2c2cfb830a273d7a0f87a5fa6422b9f5
Jaffランサムウェアのダウンロード先URLまとめ(2017/06/15更新)
※悪意のあるWordファイルに仕組まれたマクロが実行され、Jaffランサムウェアのダウンローダが実行された際の通信(ダウンロード)先URLです
※『.(ドット)』を[]で囲ってあります
※下記では、(例)【xxxxyyyyzzzz[.]com - GET /123456】と表記していますが、実際のURLは(例)【xxxxyyyyzzzz[.]com/123456】という意味です
- 5hdnnd74fffrottd[.]com - GET /af/f87346b
- babil117[.]com - GET /f87346b
- boaevents[.]com - GET /f87346b
- byydei74fg43ff4f[.]net - GET /af/f87346b
- easysupport[.]us - GET /f87346b
- edluke[.]com - GET /f87346b
- julian-g[.]ro - GET /f87346b
- phinamco[.]com - GET /f87346b
- takanashi[.]jp - GET /f87346b
- techno-kar[.]ru - GET /f87346b
- tending[.]info - GET /f87346b
- tiskr[.]com - GET /f87346b
- trans-atm[.]com - GET /f87346b
- trialinsider[.]com - GET /f87346b
- vscard[.]net - GET /f87346b
- wipersdirect[.]com - GET /f87346b
- urachart[.]com - GET /hHGFjd
- fotografikum[.]com - GET /hHGFjd
- 5hdnnd74fffrottd[.]com - GET /af/hHGFjd
- byydei74fg43ff4f[.]net - GET /af/hHGFjd
- sjffonrvcik45bd[.]info - GET /af/hHGFjd
- herrossoidffr6644qa[.]top - GET /af/Nbiyure3
- jsplast[.]ru - GET /Nbiyure3
- juvadent[.]de - GET /Nbiyure3
- opearl[.]net - GET /Nbiyure3
- playmindltd[.]com - GET /Nbiyure3
- sjffonrvcik45bd[.]info - GET /af/Nbiyure3
- tidytrend[.]com - GET /Nbiyure3
- titanmachinery[.]com.au - GET /Nbiyure3
- tomcarservice[.]it - GET /Nbiyure3
- ventrust[.]ro - GET /Nbiyure3
- vipan-photography[.]com - GET /Nbiyure3
- wizbam[.]com - GET /Nbiyure3
- brotexxshferrogd[.]net - GET /af/jhg6fgh
- datadunyasi[.]com - GET /jhg6fgh
- dewatch[.]de - GET /jhg6fgh
- electua[.]org - GET /jhg6fgh
- essensworld[.]cz - GET /jhg6fgh
- everstruct[.]com[.]au - GET /jhg6fgh
- f1toh1[.]com - GET /jhg6fgh
- herrossoidffr6644qa[.]top - GET /af/jhg6fgh
- joesrv[.]com - GET /jhg6fgh
- knowyourmarketing[.]com - GET /jhg6fgh
- pattumalamatha[.]com - GET /jhg6fgh
- primary-ls[.]ru - GET /jhg6fgh
- tayangfood[.]com - GET /jhg6fgh
- tipografia[.]by - GET /jhg6fgh
- way2lab[.]com - GET /jhg6fg
- better57toiuydof[.]net - GET /af/FsMflooY
- david-faber[.]de - GET /FsMflooY
- digital-helpdesk[.]com - GET /FsMflooY
- dogplay[.]co[.]kr - GET /FsMflooY
- ecoeventlogistics[.]com - GET /FsMflooY
- elateplaza[.]com - GET /FsMflooY
- minnessotaswordfishh[.]com - GET /af/FsMflooY
- pcflame[.]com[.]au - GET /FsMflooY
- tdtuusula[.]com - GET /FsMflooY
- uslugitransportowe-warszawa[.]pl - GET /FsMflooY
- billiginurlaub[.]com - GET /fgJds2U
- david-faber[.]de - GET /fgJds2U
- elateplaza[.]com - GET /fgJds2U
- electron-trade[.]ru - GET /fgJds2U
- fjjslyw[.]com - GET /fgJds2U
- hr991[.]com - GET /fgJds2U
- jinyuxuan[.]de - GET /fgJds2U
- khaosoklake[.]com - GET /fgJds2U
- minnessotaswordfishh[.]com - GET /af/fgJds2U
- oliverkuo[.]com[.]au - GET /fgJds2U
- pcflame[.]com[.]au - GET /fgJds2U
- tdtuusula[.]com - GET /fgJds2U
- williams-fitness[.]com - GET /fgJds2U
- better57toiuydof[.]net - GET /af/TrfHn4
- blackstoneconsultants[.]com - GET /TrfHn4
- derossigroup[.]it - GET /TrfHn4
- dianagaertner[.]com - GET /TrfHn4
- hunter[.]cz - GET /TrfHn4
- youtoolgrabeertorse[.]org - GET /af/TrfHn4
- dsopro[.]com - GET /7rvmnb
- fabriquekorea[.]com - GET /7rvmnb
- katoconsulting[.]ro - GET /7rvmnb
- newserniggrofg[.]net - GET /af/7rvmnb
- praktikum-marketing[.]de - GET /7rvmnb
- resevesssetornument[.]com - GET /af/7rvmnb
- tasfirin-ustasi[.]net - GET /7rvmnb
- theexcelconsultant[.]com - GET /7rvmnb
- 10minutesto1[.]net - GET /jt7677g6
- cafe-bg[.]com - GET /jt7677g6
- community-gaming[.]de - GET /jt7677g6
- cor-huizer[.]nl - GET /jt7677g6
- essentialnulidtro[.]com/af - GET /jt7677g6
- lcpinternational[.]fr - GET /jt7677g6
- luxurious-ss[.]com - GET /jt7677g6
- makh[.]ch - GET /jt7677g6
- myinti[.]com - GET /jt7677g6
- mymobimarketing[.]com - GET /jt7677g6
- oneby1[.]jp - GET /jt7677g6
- seoulhome[.]net - GET /jt7677g6
- sextoygay[.]be - GET /jt7677g6
- squidincdirect[.]com[.]au - GET /jt7677g6
- studyonazar[.]com - GET /jt7677g6
- supplementsandfitness[.]com - GET /jt7677g6
- zechsal[.]pl - GET /jt7677g6
- 16892[.]net - GET /984hvxd?[short string of characters]
- 78tguyc876wwirglmltm[.]net - GET /af/984hvxd?[short string of characters]
- aarontax[.]com - GET /984hvxd?[short string of characters]
- abyzon[.]com - GET /984hvxd?[short string of characters]
- careermag[.]in - GET /984hvxd?[short string of characters]
- ciiltire[.]com - GET /984hvxd?[short string of characters]
- cinema-strasbourg[.]com - GET /984hvxd?[short string of characters]
- e67tfgc4uybfbnfmd[.]org - GET /af/984hvxd?[short string of characters]
- makkahhaj[.]com - GET /984hvxd?[short string of characters]
- mseconsultant[.]com - GET /984hvxd?[short string of characters]
- oscarbenson[.]com - GET /984hvxd?[short string of characters]
- qiyuner[.]com - GET /984hvxd?[short string of characters]
- scjjh[.]cn - GET /984hvxd?[short string of characters]
- sock[.]lt - GET /984hvxd?[short string of characters]
- speedgrow[.]com - GET /984hvxd?[short string of characters]
- yes2malaysia[.]com - GET /984hvxd?[short string of characters]
- zabandan[.]com - GET /984hvxd?[short string of characters]
- zebtex[.]com - GET /984hvxd?[short string of characters]
Jaffランサムウェアに感染し暗号化されたファイルの拡張子まとめ(2017/06/15更新)
- 「.jaff」
- 「.wlu」
- 「.sVn」
感染後にTorブラウザで接続する先のドメインまとめ(2017/05/26更新)
※Jaffランサムウェアに感染した後にビットコイン等の支払い方などを示したサイトのドメイン
※『.(ドット)』を[]で囲ってあります
rktazuzi7hbln7sy[.]onion
参考情報(2017/06/19更新)
http://malware-traffic-analysis.net/2017/06/13/index.html
http://malware-traffic-analysis.net/2017/06/06/index2.html
http://blog.talosintelligence.com/2017/05/threat-roundup-0519-0526.html
http://malware-traffic-analysis.net/2017/06/01/index2.html
https://isc.sans.edu/forums/diary/Jaff+ransomware+gets+a+makeover/22446
http://malware-traffic-analysis.net/2017/05/11/index3.html
http://malware-traffic-analysis.net/2017/05/15/index.html
http://malware-traffic-analysis.net/2017/05/16/index.html
http://malware-traffic-analysis.net/2017/05/22/index.html
http://malware-traffic-analysis.net/2017/05/24/index2.html
http://malware-traffic-analysis.net/2017/05/25/index2.html
https://noransom.kaspersky.com/
https://www.nomoreransom.org/decryption-tools.html
WannaCryについてのネット記事をまとめてみた。(2017年5月31日更新終了)
どもども、にゃんたくです(「・ω・)「ガオー
現在世間を大きく騒がせているランサムウェアのWannaCry(Wanna Decryptor、
WanaCrypt0r 2.0、WanaCrypt、WCry)ですが、ITやセキュリティにかかわる仕事や勉強をしていなくても「どんなものか知りたい!」と感じた人は多いのではないでしょうか。
もちろん僕もそのうちの1人です。
今回は本当に多くの記事やブログ、ツイッター、TV等から情報を収集しました。
また、テレビなどでも大々的に報道されたため、非常に沢山の情報が流れました。
その中で「自分が欲しい」と思えるような情報にたどり着けるという事が実は一番大変だったのではないかと感じます。
僕は現在、毎月の月初めに先月のセキュリティニュース等のまとめというブログを書いているのですが、各内容について必ず参考情報というものも載せています。
今回のWannaCryに関しては、相当数の参考情報があったため、通常のブログとは別に『WannaCry特別編』ということで、僕が参考にしたり、収集したWannaCry関連のものをまとめました。
ただし、あくまでも僕視点ですので、抜け漏れがある場合もあります。その点についてはご了承ください。また、あくまでも『日本語の記事』だけに絞りました。
なお、まとめたものは、2017年5月31日23時59分までに収集したものとなっております。
では、まずWannaCryについてサクッと知りたい方にはコチラをオススメします。
今回の攻撃の中身や方法、対策などがまるっと書かれています。コレだけでも読んでおくと良いかなと僕は思っています。
そしてもう1つ、WannaCryについてのまとめは正直コレに勝るものは無いと思っています。
いわずと知れたpiyologですね。これだけのまとめを作れるpiyokangoさんはやはり人ではない『なにか』なんでしょうね。。。
ここからは各ネット記事をまとめていきます。
今回は大きく分けて二つにわけました。
・報道機関(主にネット系、新聞社系は除外)の記事まとめ(報道系)
・セキュリティ系の団体、会社が出している発表資料まとめ(団体系)
なお、公開された日時が古いものを上から並べていますので一番下にあるものが最新の記事となっております。
また、今回のまとめを『メモ帳などにコピーしておきたい』という方もいらっしゃるかと思いますのでブログの下部にコピー用のまとめも付録としてつけておきます。そちらも合わせて活用していただければと思います。
最後に1つだけ。
今回の攻撃で『サイバー攻撃は怖い』という印象を感じた方も大勢いると思います。
サイバー攻撃には今回以外の攻撃手法も沢山あります。これからもっと恐ろしい攻撃がくるかもしれません。
だからこそ、『今回の攻撃だけ』に注目して欲しくないんです。
今回のことをきっかけにして、サイバー攻撃やセキュリティに少しでも興味をもってくれる人が少しでも増えて、対策をしてみたり、友達や恋人や家族に自分が知ったセキュリティの話をほんのちょっとでもしてくれたらな、と感じています。
では、まとめです。
報道系
Securty NEXT
【セキュリティ ニュース】ランサムウェア「WannaCrypt」が拡散、国内で感染も - 週明けのメールチェック時に注意を(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】トレンド、週末24時間に「WannaCrypt」を数百件検出(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】ランサム「WannaCrypt」は「CryptXXX」亜種 - 標的型攻撃ではなく無差別攻撃(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」のトラブル相談、週明け15日に急増(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」も関連する「EternalBlue」による脆弱性狙ったアクセス、4月下旬より増加(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」で被害報告9件、明確な感染経路わからず - RaaS利用は未確認(1ページ目 / 全3ページ):Security NEXT
【セキュリティ ニュース】注目事件へ便乗するマルウェアメールに注意を - 「WannaCrypt」騒ぎにも便乗か(1ページ目 / 全3ページ):Security NEXT
【セキュリティ ニュース】週明け始業前までに国内で「WannaCrypt」1万3645件を検出 - トレンドまとめ(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」に北朝鮮の攻撃グループ「Lazarus」関与か - 使用ツールに共通コード(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」感染端末からの通信、一時減少するも再度増加(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】【特別企画】「WannaCrypt」を徹底検証、シマンテックとSecurity NEXTが緊急対談(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」の復号キーをメモリから取得する「WannaKey」(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「WannaCrypt」感染の9割超が「Windows 7」- 「Windows 10」でも(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用(1ページ目 / 全4ページ):Security NEXT
【セキュリティ ニュース】ラック、複数顧客環境で「WannaCrypt」被害を確認 - 百数十台規模(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】Google Playに複数の偽「WannaCry対策アプリ」 - 便乗アプリに注意を(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「EternalBlue」によるアクセス、5月後半も引き続き発生(1ページ目 / 全2ページ):Security NEXT
ITmedia
週明け始業時、不審なメールに注意 ランサムウェア「WannaCry」世界で猛威、日本でも拡大のおそれ - ITmedia NEWS
「被害の大きさ、過去に類を見ない」 日本も標的 ランサムウェア「WannaCry」 (1/2) - ITmedia NEWS
世界で猛威 ランサムウェア「WannaCry」とは? シマンテックが解説 - ITmedia NEWS
Microsoft、「WannaCry」攻撃で米連邦政府に苦言 - ITmedia NEWS
「WannaCry」大規模攻撃発端のShadow Brokers、新たな流出情報の提供を予告 - ITmedia NEWS
WannaCry着弾、日本で1万6000件以上 拡散経路は「メールばらまき」ではない? トレンドマイクロ - ITmedia NEWS
「WannaCry」騒動とは何だったのか? 感染理由とその対策 (1/2) - ITmedia NEWS
ランサムウェア「WannaCry」、医療機器メーカーも独自パッチを準備 - ITmedia NEWS
「WannaCry」感染の98%は「Windows 7」で「XP」はほぼゼロ - ITmedia NEWS
ランサムウェア「WannaCry」の攻撃から世界を救った22歳の青年 「自分はヒーローではない」 (1/2) - ITmedia NEWS
「WannaCry」の拡散、電子メールが原因ではなかった セキュリティ企業が分析結果公表 - ITmedia NEWS
WannaCryは序章? NSAツールを悪用したマルウェアが相次ぎ出現 - ITmedia NEWS
WannaCryに感染! その時、絶対にやってはいけないこと (1/2) - ITmedia エンタープライズ
「WannaCry」拡散 そのとき情シスはどうすべきだったのか (1/3) - ITmedia エンタープライズ
ITpro
ニュース - 15日の始業時に不審なメールを開かないで、IPAが世界的なランサムウエア攻撃に警告:ITpro
ニュース - 世界規模のサイバー攻撃、「被害拡大に警戒を」当局が呼びかけ:ITpro
シリコンバレーNextレポート - 米NSAが隠蔽したXPの脆弱性、WannaCryが狙う:ITpro
ニュース解説 - ランサムウエア「WannaCry」が感染拡大した理由:ITpro
ニュース - 「XPにも例外的にパッチ提供」、マイクロソフトがWannaCryで対処策:ITpro
ニュース解説 - 国内襲い始めたWannaCry、日立やJR東など600カ所2000端末で感染:ITpro
ニュース - 「日本はルーターに守られた」、WannaCry流行でトレンドマイクロが分析:ITpro
ITproアーカイブス - ランサムウエア「WannaCry」関連記事:ITpro
ニュース - WannaCryにWindows 7機が感染、川崎市上下水道局:ITpro
ニュース - アジア・太平洋地域へのランサムウエア攻撃、大半が中国の13グループと発表:ITpro
記者の眼 - WannaCry、ランサムウエアというよりむしろワームと考えるべきだった:ITpro
ITpro Report - 「WannaCry」が悪用したというNSA製のバックドアツールを試した:ITpro
趙 章恩「Korea on the Web」 - 韓国でもWannaCry被害、映画館やバス停の案内が中止に:ITpro
今日も誰かが狙われる - WannaCryの活動を緊急停止、「キルスイッチ」とは何だったのか:ITpro
@IT
山市良のうぃんどうず日記(94:緊急特別編):ランサムウェア「Wanna Cryptor」に対し、異例のセキュリティパッチをWindows XPに提供する意味 - @IT
XP対応パッチも“緊急”配布:世界中のITシステムが混乱 「Wanna Cryptor」の脅威から身を守るために今すぐできること - @IT
セキュリティパッチ適用詳説:今すぐできるWannaCry対策 (1/2) - @IT
山市良のうぃんどうず日記(95:特別編):ランサムウェア「WannaCry」対策で安心してはいけない――いま一度、見直すべきWindowsの脆弱性対策 (1/2) - @IT
もう泣かなくていいよ:「WannaCry」にどう対処する、猛威を振るった「ランサムウェア」を知る記事12選 - @IT
マイナビニュース
世界で感染拡大中のランサムウェア「WannaCrypt」の脆弱性対策を - IPA | マイナビニュース
JPCERT/CC、WannaCryptの国内における被害確認 - 休日明けに対策を | マイナビニュース
マイクロソフト、WannaCryptの対策公開 - Windows XP/8の修正パッチも | マイナビニュース
ランサムウェア「WannaCrypt」について知っておくべきこと - シマンテック | マイナビニュース
ランサムウェア「WannaCrypt」の特徴とは? - トレンドマイクロ | マイナビニュース
Microsoft、Windows XP向けにランサムウェア「WannaCrypt」のパッチを提供 | マイナビニュース
ランサムウェア「WannaCry」、キルスイッチを回避した亜種登場で"いたちごっこ" | マイナビニュース
チェック・ポイント、亜種にも有効なWannaCryのキルスイッチ・ドメイン公開 | マイナビニュース
トレンドマイクロ、ランサムウェア「WannaCry」の国内への攻撃1万6千件確認 | マイナビニュース
ランサムウェア「WannaCry」の感染活動の仕組みとは? - トレンドマイクロ | マイナビニュース
JPCERT/CC、ランサムウエア "WannaCrypt"に関する注意喚起を更新 - 不要なポートやサービスの停止を | マイナビニュース
止まらないWannaCry被害、感染しないためにすべきこととは? | マイナビニュース
「WannaCry」は攻撃の前日から拡散していた - カスペルスキー 川合社長 | マイナビニュース
組織がとるべきランサムウェア「WannaCry」対策ガイド - ラック | マイナビニュース
WannaCryに感染したWindows XP、支払いせずとも復号に成功 | マイナビニュース
偽のWannaCry対策アプリがGoogle Playストアに登場 - マカフィー | マイナビニュース
ランサムウェア「WannaCry」、背後に中国のサイバー攻撃者の可能性 | マイナビニュース
ZDNet Japan
MS、ランサムウェア攻撃で米当局を批判--「トマホークミサイルが盗まれたのと同じ」 - ZDNet Japan
ランサムウェア「WannaCry」騒動、根本対策は2016年9月から存在 - ZDNet Japan
ランサムウェア「WannaCry」の被害、国内の状況は錯綜 - ZDNet Japan
段階的に機能が追加--写真で見るランサムウェア「WannaCry」の脅迫画面 - ZDNet Japan
ランサムウェア「WannaCry」、キルスイッチをなくした亜種「Uiwix」が登場 - ZDNet Japan
ランサムウェア「WannaCry」被害、複数の英病院で収束せず--第2の波に注意喚起も - ZDNet Japan
ランサムウェア「WannaCry」で疑われるNSA製バックドアとの関係 - ZDNet Japan
ランサムウェア「WannaCry」感染状況のリアルタイムマップが公開中 - ZDNet Japan
「WannaCry」攻撃の標的となった古いWindows、利用実態は? - ZDNet Japan
ランサムウェア「WannaCry」、持ち出し端末でも感染を確認 - ZDNet Japan
ランサムウェア「WannaCry」の感染でバックドアも--新たな脅威の温床に - ZDNet Japan
NSA流出の攻撃手法を使う仮想通貨マルウェア--日本の感染先で採掘か - ZDNet Japan
ランサムウェア「Wannacry」感染の恐れがあるWindow端末、国内に数万台が存在 - ZDNet Japan
WannaCryのフォレンジクス分析とキルスイッチ・ドメインを公開--チェック・ポイント - ZDNet Japan
誰が何のために?--マルウェア「Wannacry」で残る3つの謎 - ZDNet Japan
「WannaCry」感染コンピュータの大多数は「Windows 7」--Kaspersky Lab - ZDNet Japan
「Wannacry」の初期侵入はバックドア経由--Malwarebytesが指摘 - ZDNet Japan
次の「WannaCry」を防ぐ5つの方法(劇薬2案を含む) - ZDNet Japan
ランサムウェア「WannaCry」、支払われた身代金額は小規模? - ZDNet Japan
「WannaCry」への恐怖心につけ込む技術サポート詐欺が登場 - ZDNet Japan
「WannaCry」は未熟との見方も次なるランサムウェアの脅威に要警戒 - ZDNet Japan
「WannaCry」脅迫文は中国語ネイティブが執筆か--言語分析で新たな手がかり - ZDNet Japan
INTERNET Watch(窓の杜含む)
「WannaCry」ランサムウェアについて知っておくべきこと、シマンテックが解説 -INTERNET Watch
被害拡大のランサムウェア「WannaCryptor」は「SMB v1」の脆弱性を悪用、サポート終了のWindows XP向けにも緊急パッチ提供 -INTERNET Watch
ランサムウェア「WannaCry」の侵入経路は? トレンドマイクロが解説 -INTERNET Watch
ランサムウェア「WannaCry」は複数経路で侵入、グローバルIPアドレスの445番ポート直接スキャンも? -INTERNET Watch
ランサムウェア「WannaCry」の現状をKasperskyが解説 -INTERNET Watch
「サイバーセキュリティ最悪の日になり得た」WannaCryが悪用する脆弱性情報の流出 -INTERNET Watch
ランサムウェア詐欺電話に注意、警視庁が呼び掛け -INTERNET Watch
「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェア ファイル復号ツール」 - 窓の杜
偽「WannaCry」対策アプリがGoogle Playストアに、マカフィーが注意喚起 -INTERNET Watch
TechCrunch
イギリスの健康保険システムを麻痺させたランサムウェアはNSAのハッキングツールが起源だった | TechCrunch Japan
ランサム・ウェアWannaCryはまだ急速に拡大中、でも今では‘キルスイッチ’対策が有効だ | TechCrunch Japan
全世界的なランサム・ウェアの攻撃を偶然の発見で停止できたようだ | TechCrunch Japan
THE ZERO ONE(スプラウト)
Wanna Cryに攻撃手法を提供した「Shadow Brokers」とは何者か? | THE ZERO/ONE
ランサムウェアWannaCryの犯人は「北朝鮮」なのか | THE ZERO/ONE
EnterpriseZine(エンタープライズジン)
OSのアップデートを忘れずに!ランサムウェア「WannaCry」が世界各地に拡大:EnterpriseZine(エンタープライズジン)
ランサムウェア「WannaCry」騒動が残した教訓:EnterpriseZine(エンタープライズジン)
GIGAZINE(ギガジン)
ファイル暗号化・身代金要求の「WannaCry」が世界的大流行でWindows XPにまで緊急パッチが配布される異常事態に突入、現状&対応策まとめ - GIGAZINE
20万人以上が感染したランサムウェア「WannaCry」は身代金として約300万円をゲットしていることが明らかに - GIGAZINE
ランサムウェア「WannaCry」に感染したWindows XPの暗号解読に研究者が成功、解除ツール「Wannakey」を公開 - GIGAZINE
Windows XPでランサムウェア「WannaCry」の被害が少なかった一因は「ブルースクリーン・オブ・デス」 - GIGAZINE
Business Insider Japan
世界大混乱のランサムウェア「WannaCry」攻撃、原因は米国家安全保障局のハッキングツールか? | BUSINESS INSIDER JAPAN
英国でも猛威 Windows XPでランサムウェア広まる —— 全世界で被害150カ国20万人以上 | BUSINESS INSIDER JAPAN
[緊急企画]サイバー攻撃「WannaCry」実際に感染してみた —— 対策もチェック | BUSINESS INSIDER JAPAN
いますぐできるランサムウェア「WannaCry」の対策 | BUSINESS INSIDER JAPAN
ランサムウェアの拡大から世界を救った22歳 | BUSINESS INSIDER JAPAN
団体系
JPCERT/CC
IPA(情報処理推進機構)
▼新着情報
情報セキュリティ安心相談窓口:IPA 独立行政法人 情報処理推進機構
▼重要なセキュリティ情報
更新:世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
Microsoft(マイクロソフト)
マイクロソフト セキュリティ情報 MS17-010 - 緊急
[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS) – Japan WSUS Support Team Blog
MS17-010 がインストールされていることを確認する方法↓
https://support.microsoft.com/ja-jp/help/4023262/how-to-verify-that-ms17-010-is-installed
ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス – 日本のセキュリティチーム
LAC(ラック)
ランサムウェア「WannaCry」の感染被害と考えられる通信を検知しました | LAC WATCH | 株式会社ラック
ランサムウェア「WannaCry」対策ガイド rev.1 | LAC WATCH | 株式会社ラック
TREND MICRO(トレンドマイクロ)
大規模な暗号化型ランサムウェア「WannaCry/Wcry」の攻撃、世界各国で影響 | トレンドマイクロ セキュリティブログ
週明け国内でも要注意-暗号化型ランサムウェア「WannaCry/Wcry」 | トレンドマイクロ セキュリティブログ
ランサムウェア「WannaCry/Wcry」による国内への攻撃を 16,436件確認 | トレンドマイクロ セキュリティブログ
ランサムウェア「WannaCry/Wcry」のワーム活動を解析:侵入/拡散手法に迫る | トレンドマイクロ セキュリティブログ
「WannaCry/Wcry」に追従したランサムウェア「UIWIX」 | トレンドマイクロ セキュリティブログ
☆複合ツール☆
ランサムウェア ファイル復号ツール | サポート Q&A:トレンドマイクロ
McAfee(マカフィー)
WannaCryランサムウェアが世界中で拡大、74ヵ国を攻撃 : マカフィー株式会社 公式ブログ
拡大するWannaCryランサムウェアの分析 : マカフィー株式会社 公式ブログ
WannaCry: 旧来のワームと新しいワーム : マカフィー株式会社 公式ブログ
ランサムウェアWannaCryに関するさらなる分析 : マカフィー株式会社 公式ブログ
ランサムウェア WannaCryとこれから : マカフィー株式会社 公式ブログ
Adylkuzz CoinMinerマルウェアがWannaCryのように拡散中 : マカフィー株式会社 公式ブログ
WannaCry : 理論が現実になったとき : マカフィー株式会社 公式ブログ
偽物のWannaCry対策アプリがGoogle Playストアに出現 : マカフィー株式会社 公式ブログ
Kaspersky(カスペルスキー)
WannaCryから身を守る方法 – カスペルスキー公式ブログ
WannaCry:企業が取るべき対策 – カスペルスキー公式ブログ
WannaCryとLazarusグループ – 両者をつなぐものは? – カスペルスキー公式ブログ
WindowsをアップデートしてWannaCryからコンピューターを守る方法 – カスペルスキー公式ブログ
WannaCryと組み込みシステム – カスペルスキー公式ブログ
Symantec(シマンテック)
WannaCry ランサムウェアについて知っておくべきこと | Symantec Connect
暗号通貨のマイニングに使われる Adylkuzz が登場: WannaCry の系列とは別 | Symantec Connect
WannaCry ランサムウェア: Lazarus グループとの関係が濃厚に | Symantec Connect
ソフトバンク・テクノロジー株式会社
Microsoft Windows 製品のSMBv1 サーバーの脆弱性により、リモートから任意のコードが実行可能な脆弱性(MS17-010)に関する調査レポート | ソフトバンク・テクノロジー
三井物産セキュアディレクション株式会社
「WannaCry 2.0」の内部構造を紐解く | MBSD Blog
マクニカネットワークス株式会社
セキュリティ研究センターブログ: マルウェア解析奮闘記 WannaCryの解析
ソフォス株式会社
Wanna Decrypter 2.0 ランサムウェアによる大規模な攻撃について↓
http://sophos-insight.jp/blog/20170515
SOPHOS INSIGHT|WannaCry の感染拡大についてこれまでに分かっていること
SOPHOS INSIGHT|WannaCry ランサムウェア – 生かされなかった Slammer、Conflicker の教訓
SOPHOS INSIGHT|WannaCry と同じ NSA のエクスプロイトを使用した暗号通貨マイニングマルウェア
SOPHOS INSIGHT|WannaCry: フィッシングメールを介さず感染を拡大させたランサムウェアワーム
キヤノンITソリューションズ株式会社
世界的な規模で感染拡大したランサムウェア「WannaCryptor」について | マルウェア情報局
株式会社インターリンク
インターリンク、ランサムウェアの攻撃から「世界を救ってみた」|株式会社インターリンクのプレスリリース
付録(コピー用)
☆報道系☆
■Securty NEXT
http://www.security-next.com/081609
http://www.security-next.com/081601
http://www.security-next.com/081633
http://www.security-next.com/081643
http://www.security-next.com/081666
http://www.security-next.com/081673
http://www.security-next.com/081682
http://www.security-next.com/081717
http://www.security-next.com/081724
http://www.security-next.com/081739
http://www.security-next.com/081834
http://www.security-next.com/081890
http://www.security-next.com/081917
http://www.security-next.com/081939
http://www.security-next.com/081966
http://www.security-next.com/082012
http://www.security-next.com/082020
http://www.security-next.com/082113
http://www.security-next.com/082155
http://www.itmedia.co.jp/news/articles/1705/15/news050.html
http://www.itmedia.co.jp/news/articles/1705/15/news056.html
http://www.itmedia.co.jp/news/articles/1705/15/news075.html
http://www.itmedia.co.jp/news/articles/1705/15/news078.html
http://www.itmedia.co.jp/news/articles/1705/17/news058.html
http://www.itmedia.co.jp/news/articles/1705/17/news062.html
http://www.itmedia.co.jp/news/articles/1705/17/news106.html
http://www.itmedia.co.jp/news/articles/1705/19/news048.html
http://www.itmedia.co.jp/news/articles/1705/20/news034.html
http://www.itmedia.co.jp/news/articles/1705/16/news112.html
http://www.itmedia.co.jp/news/articles/1705/22/news057.html
http://www.itmedia.co.jp/news/articles/1705/23/news059.html
http://www.itmedia.co.jp/enterprise/articles/1705/23/news043.html
http://www.itmedia.co.jp/enterprise/articles/1705/25/news048.html
■ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/051401395/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/051501397/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/15/061500148/051500108/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500970/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/051501399/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/051500971/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/051501407/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/17/040700124/051500002/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/051601418/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/news/17/051701434/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/051800839/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/14/090100053/051900247/?ST=security
http://itpro.nikkeibp.co.jp/atcl/column/14/549762/051700147/?ST=security&itp_list_theme
http://itpro.nikkeibp.co.jp/atcl/column/17/050800181/052300002/?ST=security
■@IT
http://www.atmarkit.co.jp/ait/articles/1705/16/news026.html
http://www.atmarkit.co.jp/ait/articles/1705/16/news039.html
http://www.atmarkit.co.jp/ait/articles/1705/17/news043.html
http://www.atmarkit.co.jp/ait/articles/1705/24/news022.html
http://www.atmarkit.co.jp/ait/articles/1705/30/news029.html
■マイナビニュース
http://news.mynavi.jp/news/2017/05/15/052/
http://news.mynavi.jp/news/2017/05/15/064/
http://news.mynavi.jp/news/2017/05/15/089/
http://news.mynavi.jp/news/2017/05/15/160/
http://news.mynavi.jp/news/2017/05/15/243/
http://news.mynavi.jp/news/2017/05/16/071/
http://news.mynavi.jp/news/2017/05/16/107/
http://news.mynavi.jp/news/2017/05/17/169/
http://news.mynavi.jp/news/2017/05/17/199/
http://news.mynavi.jp/news/2017/05/17/228/
http://news.mynavi.jp/news/2017/05/17/255/
http://news.mynavi.jp/news/2017/05/19/093/
http://news.mynavi.jp/articles/2017/05/19/kaspersky/
http://news.mynavi.jp/news/2017/05/19/380/
http://news.mynavi.jp/news/2017/05/20/110/
http://news.mynavi.jp/news/2017/05/29/066/
http://news.mynavi.jp/news/2017/05/31/330/
■ZDNet Japan
https://japan.zdnet.com/article/35101128/
https://japan.zdnet.com/article/35101150/
https://japan.zdnet.com/article/35101174/
https://japan.zdnet.com/article/35101188/
https://japan.zdnet.com/article/35101198/
https://japan.zdnet.com/article/35101196/
https://japan.zdnet.com/article/35101211/
https://japan.zdnet.com/article/35101201/
https://japan.zdnet.com/article/35101224/
https://japan.zdnet.com/article/35101324/
https://japan.zdnet.com/article/35101337/
https://japan.zdnet.com/article/35101358/
https://japan.zdnet.com/article/35101391/
https://japan.zdnet.com/article/35101395/
https://japan.zdnet.com/article/35101453/
https://japan.zdnet.com/article/35101490/
https://japan.zdnet.com/article/35101516/
https://japan.zdnet.com/article/35101436/
https://japan.zdnet.com/article/35101561/
https://japan.zdnet.com/article/35101713/
https://japan.zdnet.com/article/35101728/
https://japan.zdnet.com/article/35101786/
■INTERNET Watch(窓の杜含む)
http://internet.watch.impress.co.jp/docs/news/1059577.html
http://internet.watch.impress.co.jp/docs/news/1059537.html
http://internet.watch.impress.co.jp/docs/news/1059794.html
http://internet.watch.impress.co.jp/docs/news/1060064.html
http://internet.watch.impress.co.jp/docs/news/1060364.html
http://internet.watch.impress.co.jp/docs/news/1060589.html
http://internet.watch.impress.co.jp/docs/news/1060871.html
http://forest.watch.impress.co.jp/docs/news/1061129.html
http://internet.watch.impress.co.jp/docs/news/1061779.html
■TechCrunch
http://jp.techcrunch.com/2017/05/13/20170512ransomware-based-on-leaked-nsa-tools-spreads-to-dozens-of-countries/
http://jp.techcrunch.com/2017/05/16/20170515wannacry-ransomware-is-still-spreading-fast-but-kill-switch-defenses-hold-for-now/
http://jp.techcrunch.com/2017/05/16/20170513that-global-ransomware-attack-was-halted-apparently-by-accident/
https://the01.jp/p0005012/
https://the01.jp/p0005043/
http://enterprisezine.jp/article/detail/9276
http://enterprisezine.jp/article/detail/9314
■GIGAZINE(ギガジン)
http://gigazine.net/news/20170515-wannacry/
http://gigazine.net/news/20170515-wannacry-ransom-money/
http://gigazine.net/news/20170519-wannacry-windows-xp-wannakey/
http://gigazine.net/news/20170531-windows-xp-wannacry-immune/
■Business Insider Japan
https://www.businessinsider.jp/post-33589
https://www.businessinsider.jp/post-33600
https://www.businessinsider.jp/post-33641
https://www.businessinsider.jp/post-33635
https://www.businessinsider.jp/post-33623
☆団体系☆
■JPCERT/CC
http://www.jpcert.or.jp/at/2017/at170020.html
■IPA(情報処理推進機構)
▼新着情報
https://www.ipa.go.jp/security/anshin/mgdayori20170515.html
https://www.ipa.go.jp/security/anshin/index.html
▼重要なセキュリティ情報
https://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html
■Microsoft(マイクロソフト)
https://technet.microsoft.com/ja-jp/library/security/ms17-010.aspx
https://blogs.technet.microsoft.com/jpwsus/2017/05/15/wannacrypt-ms17-010-wsus/
https://support.microsoft.com/ja-jp/help/4023262/how-to-verify-that-ms17-010-is-installed
https://blogs.technet.microsoft.com/jpsecurity/2017/05/14/ransomware-wannacrypt-customer-guidance/
■LAC(ラック)
https://www.lac.co.jp/lacwatch/alert/20170515_001288.html
https://www.lac.co.jp/lacwatch/report/20170519_001289.html
■TREND MICRO(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/14873
http://blog.trendmicro.co.jp/archives/14884
http://blog.trendmicro.co.jp/archives/14906
http://blog.trendmicro.co.jp/archives/14920
http://blog.trendmicro.co.jp/archives/14934
複合ツール↓
https://esupport.trendmicro.com/support/vb/solution/ja-jp/1114210.aspx
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry74-c59a.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-f851.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-c0b0.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-651e.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacry-59a1.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/adylkuzz-coinmi-1b35.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wanna.html
http://blogs.mcafee.jp/mcafeeblog/2017/05/wannacrygoogle--ab08.html
https://blog.kaspersky.co.jp/wannacry-ransomware/15524/
https://blog.kaspersky.co.jp/wannacry-for-b2b/15605/
https://blog.kaspersky.co.jp/wannacry-and-lazarus-group-the-missing-link/15559/
https://blog.kaspersky.co.jp/wannacry-faq-what-you-need-to-know-today/15594/
https://blog.kaspersky.co.jp/wannacry-windows-update/15761/
https://blog.kaspersky.co.jp/wannacry-and-embedded/15798/
https://www.symantec.com/connect/ja/blogs/wannacry-1
https://www.symantec.com/connect/ja/blogs/adylkuzz-wannacry-0
https://www.symantec.com/connect/ja/blogs/wannacry-lazarus
■ソフトバンク・テクノロジー株式会社
https://www.softbanktech.jp/information/2017/20170508-01/
■三井物産セキュアディレクション株式会社
http://www.mbsd.jp/blog/20170518.html
■マクニカネットワークス株式会社
http://blog.macnica.net/blog/2017/05/wanacry-8ff1.html
■ソフォス株式会社
http://sophos-insight.jp/blog/20170515
http://sophos-insight.jp/blog/20170518
http://sophos-insight.jp/blog/20170529
http://sophos-insight.jp/blog/20170530
http://sophos-insight.jp/blog/20170531
■キヤノンITソリューションズ株式会社
https://eset-info.canon-its.jp/malware_info/news/detail/170517.html
■株式会社インターリンク
https://prtimes.jp/main/html/rd/p/000000333.000006942.html
以上です。
ではでは(」・ω・)」わぁー!(/・ω・)/なぁー!
更新履歴
▼2017年5月21日
ブログ公開
▼2017年5月22日
■@ITの記事を3点追記(項目として@ITを追加)
■ITproの記事を2点追記
■ITmediaの記事を1点追記
■ZDNet Japanの記事を2点追記
■Security Nextの記事を2点追記
■THE ZERO ONE(スプラウト)の記事を1点追加
▼2017年5月23日
■Security Nextの記事を1点追記
■ITmediaの記事を2点追記
■ZDNet Japanの記事を2点追記
■INTERNET Watchの記事を2点追記
■Kaspersky(カスペルスキー)の記事を1点追記
■Symantec(シマンテック)の記事を1点追記
■TREND MICRO(トレンドマイクロ)の複合ツールを1点追記
▼2017年5月24日
■Security Nextの記事を2点追記
■EnterpriseZine(エンタープライズジン)の記事を1点追記
▼2017年5月25日
■ITproの記事を1点追記
■ZDNet Japanの記事を1点追記
■@ITの記事を1点追記
▼2017年5月26日
■ZDNet Japanの記事を2点追記
■ITmediaの記事を1点追記
■Security Nextの記事を1点追記
■INTERNET Watchの記事を1点追記
■McAfee(マカフィー)の記事を1点追記
▼2017年5月30日
■Security Nextの記事を1点追記
■マイナビニュースの記事を1点追記
■@ITの記事を1点追記
■ソフォス株式会社の記事を2点追記
▼2017年5月31日
■マイナビニュースの記事を1点追記
■GIGAZINE(ギガジン)の記事を1点追記
■ソフォス株式会社の記事を2点追記
2017年4月に起こったセキュリティニュースのアレコレをまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
そういえば先日仕事の関係でコチラに行ってきたんですが、なんだかちょっと頭良くなった気分になりましたね。(もうこのコメント自体、頭悪いのが露呈している件)
さて、世間はゴールデンウィーク中ですが今月も先月のセキュリティのアレコレをまとめてみました。
あ、ひとつだけ宣伝。
先月よりこんなまとめメモを公開することにしました。
監視や運用の参考にしていただけたら幸いです。
ではでは、2017年4月のまとめ、いってみましょー!ヽ(゚∀゚)ノ パッ☆
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- セキュリティレポートのアレコレ
- Windows Server 2003 R2 のインターネット インフォメーション サービス(IIS)6.0におけるWebDAVサービスの脆弱性により、リモートから任意のコードか?実行可能な脆弱性(CVE-2017-7269)に関する調査レポート
- Microsoft Officeおよびワードパッドの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-0199)に関する調査レポート
- Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭
- コンピュータウイルス・不正アクセスの届出状況および相談状況[2017年第1四半期(1月~3月)]
- 脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]
- ソフトウェア等の脆弱性関連情報に関する届出状況[2017年第1四半期(1月~3月)]
- 「IPA情報セキュリティ安心相談窓口に寄せられた相談の分析(2016年)」報告書
- セキュリティ更新プログラム適用前に、遠隔操作ウイルスに感染していた事案に関して
脆弱性のアレコレ
Apache Tomcat に複数の脆弱性
【概要】
Apache Tomcat に複数の脆弱性(情報漏えい、サービス運用妨害 (DoS) )が存在し、外部から攻撃者によって情報などが窃取される可能性がある。
【対象】
Apache Tomcat 9.0.0.M1 から 9.0.0.M18 まで
Apache Tomcat 8.5.0 から 8.5.12 まで
Apache Tomcat 8.0.0.RC1 から 8.0.42 まで
Apache Tomcat 7.0.0 から 7.0.76 まで
Apache Tomcat 6.0.0 から 6.0.52 まで
【対策】
・アップデートする
・本脆弱性を修正した次のバージョンをリリースしています
Apache Tomcat 9.0.0.M19
Apache Tomcat 8.5.13
Apache Tomcat 8.0.43
Apache Tomcat 7.0.77
Apache Tomcat 6.0.53
【参考情報】
JVNVU#90211511: Apache Tomcat の複数の脆弱性に対するアップデート
Apache Tomcatに情報窃取の脆弱性 | マイナビニュース
「Apache Tomcat」に複数の脆弱性、最新版への更新を - 窓の杜
ISC BIND 9 に複数の脆弱性
【概要】
ISC BIND 9 に複数の脆弱性が存在し、外部から攻撃者によってサービス運用妨害 (DoS) が行われる可能性がある。
【対象】
■CVE-2017-3136
(※DNS64 を有効にし "break-dnssec yes;" を設定しているサーバにおいてクエリの処理における assertion failure)
BIND 9.8.0 から 9.8.8-P1 まで
BIND 9.9.0 から 9.9.9-P6 まで
BIND 9.9.10b1 から 9.9.10rc1 まで
BIND 9.10.0 から 9.10.4-P6 まで
BIND 9.10.5b1 から 9.10.5rc1 まで
BIND 9.11.0 から 9.11.0-P3 まで
BIND 9.11.1b1 から 9.11.1rc1 まで
BIND 9.9.3-S1 から 9.9.9-S8 まで
■CVE-2017-3137
(※CNAME または DNAME を含むレスポンスの answer セクションの処理における assertion failure)
BIND 9.9.9-P6
BIND 9.9.10b1 から 9.9.10rc1 まで
BIND 9.10.4-P6
BIND 9.10.5b1 から 9.10.5rc1まで
BIND 9.11.0-P3
BIND 9.11.1b1 から 9.11.1rc1まで
BIND 9.9.9-S8
■CVE-2017-3138
(※control channel の入力処理における REQUIRE assertion failure)
BIND 9.9.9 から 9.9.9-P7 まで
BIND 9.9.10b1 から 9.9.10rc2 まで
BIND 9.10.4 から 9.10.4-P7 まで
BIND 9.10.5b1 から 9.10.5rc2 まで
BIND 9.11.0 から 9.11.0-P4 まで
BIND 9.11.1b1 から 9.11.1rc2 まで
BIND 9.9.9-S1 から 9.9.9-S9 まで
【対策】
・アップデートする
・本脆弱性を修正した次のバージョンをリリースしています
BIND 9.9.9-P8
BIND 9.10.4-P8
BIND 9.11.0-P5
BIND 9.9.9-S10
また、今後リリースが予定されている次の RC 版においても本脆弱性を修正しているとのことです。
BIND 9.9.10rc3
BIND 9.10.5rc3
BIND 9.11.1rc3
【参考情報】
JVNVU#97322649: ISC BIND に複数のサービス運用妨害 (DoS) の脆弱性
BIND 9における複数の脆弱性について(2017年4月) - JPNIC
bind 9 に複数の脆弱性 ( CVE-2017-3136 , CVE-2017-3137 , CVE-2017-3138 ) — | サイオスOSS | サイオステクノロジー
Ghostscript に脆弱性
【概要】
Ghostscriptに含まれる.rsdparamsには、type confusionの脆弱性が存在し、任意のコードを実行される可能性がある。
※Ghostscriptとは、PostScriptやPDFなどアドビシステムズのページ記述言語用のインタプリタおよび、それを基にしたソフトウェアパッケージのこと
【対象】
Ghostscript 9.21 およびそれ以前
【対策】
パッチを適用する
【参考情報】
JVNVU#98641178: Ghostscript に任意のコードが実行可能な脆弱性
Ghostscriptに緊急レベルの脆弱性、悪用攻撃も発生 - ZDNet Japan
【セキュリティ ニュース】「Ghostscript」にコード実行の脆弱性 - 悪用コードが流通(1ページ目 / 全1ページ):Security NEXT
Ghostscriptに任意コード実行の脆弱性 - JPCERT/CC | マイナビニュース
注意喚起やニュースのアレコレ
Oracle 定例セキュリティパッチを公開
【概要】
Oracleがクリティカルパッチアップデートを公開し、様々な製品に存在する深刻な脆弱性を修正した
【参考情報】
2017年 4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
Oracle Java の脆弱性対策について(CVE-2017-3512等):IPA 独立行政法人 情報処理推進機構
Oracle Critical Patch Update - April 2017
Oracle Javaの脆弱性(Oracle Critical Patch Update Advisory - April 2017) — | サイオスOSS | サイオステクノロジー
米Oracle、Javaなどの定例パッチを公開 FusionやMySQLに極めて深刻な脆弱性 - ITmedia NEWS
偽口座への送金を促す“ビジネスメール詐欺”の注意喚起
【概要】
“ビジネスメール詐欺”と呼ばれる、巧妙に細工したメールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる詐欺が増えている事への注意喚起
ビジネスメール詐欺:通称BEC(Business E-mail Compromise)とも呼ばれる
【参考情報】
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口:IPA 独立行政法人 情報処理推進機構
セキュアIoTプラットフォーム協議会が発足
【概要】
活動方針としては『IoTセキュリティガイドラインの標準化/デファクト化に向けて、①オープンイノベーション環境でのIoTプラットフォームの研究・開発 および、②高品質かつ定期的な情報発信を展開。』していくとのこと
【参考情報】
25の企業・団体による「セキュア IoT プラットフォーム協議会」が発足 | マイナビニュース
「No More Ransom」に30組織があらたに参加
【概要】
国際的なプロジェクト「No More Ransom(ノーモアランサム)」に新たに30組織が加わり、計76組織になった。なお、2017年4月5日よりJPCERT/CCがサポートパートナーとして協力していくことを発表
【参考情報】
JPCERT/CCがランサムウエアの被害低減を目指す国際的なプロジェクト「No More Ransom」にサポートパートナーとして協力
公正取引委員会の「審決等データベース」がスパムメールの踏み台にされる
【概要】
公正取引委員会の「審決等データベース」のサーバが、スパムメールを送信するための踏み台として悪用されていたことが判明しサーバを停止させ調査中である
【参考情報】
(平成29年4月7日)「審決等データベース」サーバの不正利用による公開停止について:公正取引委員会
【セキュリティ ニュース】公取委の審決DBサーバに不正アクセス - スパムの踏み台に(1ページ目 / 全1ページ):Security NEXT
「Microsoft Office」にゼロデイな脆弱性が存在
【概要】
「Microsoft Office」の「OLE2Linkオブジェクト」の処理に脆弱性が存在し、外部から任意のコードを実行されるおそれがある。
「Office」に用意されている「保護ビュー」を利用することで攻撃を防ぐことが可能である。
また、2017年4月11日、Microsoft から、本脆弱性に対するセキュリティアップデートが公開されています。
→https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199
【参考情報】
JVNVU#98665451: Microsoft OLE URL Moniker における遠隔の HTA データに対する不適切な処理
「Microsoft Office」に未修正の脆弱性、任意コードを実行される恐れ - 窓の杜
CVE-2017-0199 - 脆弱性調査レポート | ソフトバンク・テクノロジー
マイクロソフト、4月の月例パッチ公開
【概要】
今回より、新規のセキュリティ情報は公開されなくなり、セキュリティ更新プログラム ガイドからの情報提供となった。
また、Windows VistaとExchange Server 2007の延長サポートが終了になり、新たなセキュリティの問題について修正はされない。
【参考情報】
2017 年 4 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
2017年 4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
Microsoft、4月の月例更新を公開 Windows Vistaの更新は今回が最後 - ITmedia エンタープライズ
マイクロソフト、4月の月例パッチ公開 - Vistaは最後の提供 | マイナビニュース
ヤフーがSMSを活用したログイン認証を導入
【概要】
ヤフーは、Yahoo! JAPANで提供する各サービスにSMSを使って本人確認をする、パスワードを利用しないログイン方法を導入したと発表した
【参考情報】
ヤフー、パスワードを使わないログイン方法を導入 「パスワード忘れ」だけでなく「リスト型攻撃」にも対応 - ITmedia NEWS
ヤフー、パスワードレスのログイン方法を導入 - ZDNet Japan
ぴあ運営の「B.LEAGUE」サイトで情報流出
【概要】
ぴあ運営の「B.LEAGUE」サイトで「Apache Struts 2」の脆弱性を突かれ、不正アクセスされたことにより、クレジットカード情報や個人情報が流出した。
【参考情報】
ぴあ社がプラットフォームを提供するB.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告
http://corporate.pia.jp/news/files/security_incident20170425.pdf
ニュース解説 - ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」:ITpro
ぴあ運営の「B.LEAGUE」サイトで情報流出、特別損失も計上へ - ZDNet Japan
無線LANの「ただ乗り」に無罪判決
【概要】
近所の家の無線LANルータのWEPキーを解析してただ乗りし、サイバー攻撃や不正送金を行っていた被告に対し、「ただ乗りは電波法違反に当たらない」という無罪判決が下された。なお、不正アクセス禁止法違反などの罪で、懲役8年の判決は下されている。
【参考情報】
ニュース解説 - 無線LANの「ただ乗り」はやはり罪に問えない?有識者に聞く:ITpro
「無線LANただ乗り」無罪判決の衝撃 | THE ZERO/ONE
無線LANただ乗りは「電波法違反に当たらず」 地裁が初判断 - ITmedia NEWS
無線LANただ乗り、無罪 地裁「電波法違反問えず」 :日本経済新聞
アノニマスによる日本の様々なサイトへの攻撃が増加
【概要】
アノニマスによるOpKillingBayやOpWhalesと呼ばれるオペレーションによって、日本の様々なサイトが被害を受けた。
【参考情報】
OpKillingBay 2016および、OpWhales、OpSeaWorld メモ | (n)inja csirt
裁判所|裁判所ウェブサイトが閲覧しにくくなる障害が発生した件について
フィッシングメールのアレコレ
【概要】
フィッシング対策協議会の緊急情報(4月)に記載のあった正規サイトを騙られたのは以下のとおりです。
・Amazon
・MUFG カード
・Apple
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/04/07)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | MUFG カードをかたるフィッシング (2017/04/10)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/04/19)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | MUFG カードをかたるフィッシング (2017/04/24)
セキュリティレポートのアレコレ
Windows Server 2003 R2 のインターネット インフォメーション サービス(IIS)6.0におけるWebDAVサービスの脆弱性により、リモートから任意のコードか?実行可能な脆弱性(CVE-2017-7269)に関する調査レポート
【公開ページ】
https://www.softbanktech.jp/information/2017/20170403-01/
【企業・団体】
ソフトバンク・テクノロジー株式会社
Microsoft Officeおよびワードパッドの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-0199)に関する調査レポート
【公開ページ】
https://www.softbanktech.jp/information/2017/20170428-01/
【企業・団体】
ソフトバンク・テクノロジー株式会社
Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭
【公開ページ】
IIJ Security Diary: Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭
【企業・団体】
IIJ-SECT
コンピュータウイルス・不正アクセスの届出状況および相談状況[2017年第1四半期(1月~3月)]
【公開ページ】
http://www.ipa.go.jp/security/txt/2017/q1outline.html
脆弱性対策情報データベースJVN iPediaの登録状況 [2017年第1四半期(1月~3月)]
【公開ページ】
http://www.ipa.go.jp/security/vuln/report/JVNiPedia2017q1.html
【企業・団体】
独立行政法人情報処理推進機構(IPA)
ソフトウェア等の脆弱性関連情報に関する届出状況[2017年第1四半期(1月~3月)]
【公開ページ】
https://www.ipa.go.jp/security/vuln/report/vuln2017q1.html
【企業・団体】
独立行政法人情報処理推進機構(IPA)
「IPA情報セキュリティ安心相談窓口に寄せられた相談の分析(2016年)」報告書
【公開ページ】
http://www.ipa.go.jp/security/anshin/info/2016soudan-analysis-report.html
【企業・団体】
独立行政法人情報処理推進機構(IPA)
セキュリティ更新プログラム適用前に、遠隔操作ウイルスに感染していた事案に関して
【公開ページ】
https://www.lac.co.jp/lacwatch/alert/20170427_001282.html
【企業・団体】
コーポレート・コミュニケーション室(LAC)
今月は以上です!
ではでは!
_人人人人人人_
> パオンヌ <
 ̄Y^Y^Y^Y^Y ̄
∧∧
(・ω・`)
// )
/ ̄ ̄<< ̄ヽ
|・ U |
||(ノ |つ
L||_| ̄ ̄|_|
Rig Exploit Kitが稼働していると思われるIPアドレス等の調査メモ(2017/08/04更新)
どもども、にゃんたくです(「・ω・)「ガオー
先日、IIJがこのようなブログを公開していました。
IIJ Security Diary: Rig Exploit Kit 検知数の増加と Matrix ランサムウェアの台頭
最近Rig Exploit Kitを経由してマルウェアがダウンロードされるということが増えているようです。
上記記事にもありますが、ランサムウェアの「Matrix」「CERBER」等に感染してしまう可能性があるとのことです。
なお、以前このようなブログも当ブログで公開しております。
Rig Exploit Kitの稼働する不正サーバーのIPをまとめてみた。 - にゃんたくのひとりごと
運用や監視等で使用する目的で今回以下のメモを作成致しました。
ただあくまでも『思われる』リストですので、正当性については保証致しません。
調査概要は以下の通りです。
①【Rig Exploit Kitが稼働していると思われるIPアドレス】について
調査概要:2017年に下記参考サイトで公開されているRig Exploit Kit関連の記事から、Rig Exploit Kitの稼働していると思われるIPアドレスとを抽出
参考サイト:http://malware-traffic-analysis.net/index.html
参考サイト:http://www.broadanalysis.com/ (2017/04/29追記)
②【Rig Exploit Kitが稼働していると思われるWebサイト】
調査概要:2017年に下記参考サイトで公開されているRig Exploit Kit関連の記事から、Rig Exploit Kitの稼働していると思われるWebサイト(Compromised website)を抽出
参考サイト:http://malware-traffic-analysis.net/index.html
参考サイト:http://www.broadanalysis.com/(2017/04/29追記)
※RigEKに感染している、もしくはRigEKが稼働していると疑われるサイトやドメインについてまとめています
※RigEKが稼働するサイトから遷移してマルウェア等をダウンロードしてしまうサイトのURLやドメインについては当ブログでは記載しておりません、なおそのような情報は下記【参考情報】で確認することは可能です
※ BROADANALYSIS.COMからの引用は2017年4月29日以降のものとしますが、今後2017年1月から4月29日までに公開されたものを追記する可能性はあります
※注意※
以下記載しているIPアドレスやドメインには直接アクセスしないことをおすすめします。
なお、アクセスし被害などを受けた場合でも当ブログでは一切の責任を負いませんのでご了承ください。
- 【Rig Exploit Kitが稼働していると思われるIPアドレス】(2017/08/04更新)
- 【Rig Exploit Kitが稼働していると思われるWebサイト】(2017/06/08更新)
- 【参考情報】(2017/08/04更新)
【Rig Exploit Kitが稼働していると思われるIPアドレス】(2017/08/04更新)
- 144.76.174.172
- 194.87.95.16
- 81.177.165.194
- 5.101.77.64
- 5.200.52.203
- 81.177.141.40
- 109.234.36.68
- 185.154.53.7
- 185.154.52.254
- 109.234.36.216
- 188.225.73.230
- 188.225.72.88
- 92.53.119.52
- 92.53.104.104
- 188.225.72.22
- 185.158.112.49
- 86.106.102.17
- 185.58.225.60
- 217.23.1.61
- 185.159.128.247
- 109.234.36.165
- 46.173.214.185
- 92.53.104.78
- 188.227.75.37
- 5.200.52.37
- 217.23.2.108
- 139.162.203.5
- 188.225.32.10
- 81.177.140.75
- 81.177.140.74
- 81.177.140.149
- 188.225.35.79
- 81.177.6.153
- 92.53.97.102
- 217.107.34.154
- 107.191.62.136
- 194.87.94.37
- 194.87.92.210
- 194.97.234.96
- 194.87.234.28
- 88.225.35.86
- 195.133.144.228
- 188.225.38.60
- 188.225.73.238
- 188.225.75.148
- 188.225.76.234
- 92.53.119.254
- 80.85.158.121
- 185.159.131.240
- 188.225.79.124
- 188.225.79.167
- 188.225.36.208
- 188.225.78.136
- 185.159.128.207
- 188.225.78.136
- 185.159.128.207
- 188.225.79.167
- 188.225.35.56
- 188.225.78.226
【Rig Exploit Kitが稼働していると思われるWebサイト】(2017/06/08更新)
※『.(ドット)』を[]で囲ってあります
- www[.]redirectforum[.]ru
- free.crystallandis[.]com
- add[.]acceleratinghealthcaretransformation[.]com
- set[.]accumen[.]info
- add[.]akselegance[.]com
- cedar[.]igrooveweb[.]com
- vsa[.]revolution-inspire-water[.]com
- sas[.]siliconsantamonica[.]com
- xzx[.]soulbatical[.]co
- add[.]venicebeachsurflodge[.]com
- top[.]5nerds[.]com
- slotdown[.]info
- free[.]420native[.]org
- www[.]1tajrobe[.]com
- hurtmehard[.]net
- saywitzproperties[.]com
- serialeshqip[.]com
- tanaakk[.]net
- cardgameheaven[.]com
- alooki[.]accountant
- microfitsecuretest[.]info
- microfitsecuretest[.]trade
- www[.]trackingsharks[.]com
- www[.]everythingcebu[.]com
- www[.]mojdehstudio[.]ir
- www[.]activaclinics[.]com
- www[.]simply-vegan[.]org
- regenairgy[.]com
- www[.]jesuisanimateur[.]fr
- xbox360torrent[.]com
- hurtmehard[.]net
- www[.]zonadjsperu[.]com
- biversum[.]com
- protoday[.]uz
- www[.]sunlab[.]org
- www[.]simplyconfess[.]com
- www[.]caltech[.]fr
- www[.]stephanemalka[.]com
- www[.]phoenixkiosk[.]com
- activaclinics[.]com
- holinergroup[.]com
【参考情報】(2017/08/04更新)
http://malware-traffic-analysis.net/2017/08/01/index.html
http://malware-traffic-analysis.net/2017/07/17/index.html
http://malware-traffic-analysis.net/2017/07/10/index2.html
http://malware-traffic-analysis.net/2017/06/30/index.html
http://malware-traffic-analysis.net/2017/06/20/index.html
http://malware-traffic-analysis.net/2017/06/19/index.html
http://malware-traffic-analysis.net/2017/06/16/index2.html
http://malware-traffic-analysis.net/2017/06/15/index.html
http://malware-traffic-analysis.net/2017/06/06/index.html
http://www.malware-traffic-analysis.net/2017/06/02/index2.html
http://malware-traffic-analysis.net/2017/05/30/index3.html
http://malware-traffic-analysis.net/2017/05/12/index2.html
http://malware-traffic-analysis.net/2017/05/09/index.html
http://malware-traffic-analysis.net/2017/04/25/index.html
http://malware-traffic-analysis.net/2017/04/20/index.html
http://malware-traffic-analysis.net/2017/04/18/index.html
http://malware-traffic-analysis.net/2017/04/16/index.html
http://malware-traffic-analysis.net/2017/04/15/index.html
http://malware-traffic-analysis.net/2017/04/14/index.html
http://malware-traffic-analysis.net/2017/04/13/index.html
http://malware-traffic-analysis.net/2017/04/07/index.html
http://malware-traffic-analysis.net/2017/04/06/index2.html
http://malware-traffic-analysis.net/2017/04/03/index3.html
http://malware-traffic-analysis.net/2017/03/28/index.html
http://malware-traffic-analysis.net/2017/03/20/index2.html
http://malware-traffic-analysis.net/2017/03/20/index.html
http://malware-traffic-analysis.net/2017/03/15/index3.html
http://malware-traffic-analysis.net/2017/03/15/index2.html
http://malware-traffic-analysis.net/2017/03/15/index.html
http://malware-traffic-analysis.net/2017/03/13/index3.html
http://malware-traffic-analysis.net/2017/03/09/index.html
http://malware-traffic-analysis.net/2017/03/07/index2.html
http://malware-traffic-analysis.net/2017/02/28/index.html
http://malware-traffic-analysis.net/2017/02/27/index.html
http://malware-traffic-analysis.net/2017/02/23/index.html
http://malware-traffic-analysis.net/2017/02/22/index.html
http://malware-traffic-analysis.net/2017/02/14/index.html
http://malware-traffic-analysis.net/2017/02/06/index4.html
http://malware-traffic-analysis.net/2017/02/06/index3.html
2017年3月に起こったセキュリティニュースのアレコレをまとめてみた。
どもども、にゃんたくです。
いよいよ新しい年度になってしまいましたね。
僕も社会人3年目に突入いたしました。なんかいよいよって感じですね。(語彙力の無さ!!!笑)
ちなみに僕は自分の誕生月と4月がわりと好きなんです。
4月って暖かいし、なんか新年度!って感じで日本全体がワクワク感に満ち溢れてる気がするんですよね!(語彙力の無さ!!!パート2笑)
そうだココで1つだけ言いたいことがあります。
@ITでやっていた「セキュリティのアレ」という動画連載がとうとう先日最終回をむかえてしまいました。
2015年11月からはじまり、動画でのセキュリティ連載という新しい発想の連載、とっても面白かったです。
そしてなによりも、僕が「ブログを書いてみよう!」というきっかけを作ってくれた連載でした。
「セキュリティのアレを見てみた。」というブログを書く時に、ただ文字おこしするだけではなく、自分なりにやってみた。とか考えてみた。をこのブログを読んでくれた方々に「どうやったら伝わるかな」ということを考える勉強になったかなと感じています(まだまだ修行していきますが!)。
もちろんですが、セキュリティの勉強にもなりました。
この場をお借りしてですが、根岸征史さん、辻伸弘さん、宮田健さん、そしてセキュリティのアレを連載してくれた@ITの皆さん、ありがとうございました。また面白い企画を楽しみに待っています!
さてさて、今回も先月のセキュリティのアレコレをまとめていきたいと思います。
もう2017年の3月は「Struts2月」といっても過言ではないのでしょうか!(でもStruts2月だから2月にも見えるな!ややこしいな!)
今月から(から、になるかはわかりませんが)、セキュリティに関するレポートやブログで気になったものも載せるようにしました。関連情報などでかぶるものあると思いますが、そこはあしからずで。
では、3月のまとめいってみましょー!!!
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- セキュリティ系のレポートやブログのアレコレ
- 情報セキュリティ10大脅威 2017(IPA)
- 重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開(IPA)
- ログを活用したActive Directoryに対する攻撃の検知と対策(JPCERT/CC)
- Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について(JSOC/LAC)
- Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート(ソフトバンク・テクノロジー)
- Apache Struts 2 のマルチパーサー「jakarta」および「jakarta-stream」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-046)に関する調査レポート(ソフトバンク・テクノロジー)
- 2016年下半期 Tokyo SOC 情報分析レポート(IBM)
- Internet Infrastructure Review (IIR) Vol.34(IIJ)
- Struts2が危険である理由(スキュータム)
脆弱性のアレコレ
Apache Struts2に脆弱性
【概要】
Apache Struts 2の「Jakarta Multipart parser」というファイルアップロード時に使用するマルチパーサーに起因する脆弱性で、外部から任意のコードが実行される可能性があります。なお、本脆弱性をついた攻撃が容易であることから多数の被害報告が確認されています。
【対象】
Apache Struts 2.3.5 から 2.3.31
Apache Struts 2.5 から 2.5.10
【対策】
①本脆弱性を修正したバージョン (Struts 2.3.32 および Struts 2.5.10.1) へアップデートする
②本脆弱性を解消したプラグインを導入する
Apache Struts 2.3.8から2.5.5までのバージョンで使用可能なプラグイン→「Secure Jakarta Multipart parser plugin」
Apache Struts 2.3.20から2.5.5までのバージョンで使用可能なプラグイン→「Secure Jakarta Stream Multipart parser plugin」
修正バージョン情報やプラグイン情報はこちら↓
https://struts.apache.org/download.cgi#struts-extras
【参考情報】
JVNVU#93610402: Apache Struts2 に任意のコードが実行可能な脆弱性
更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
S2-045 - Apache Struts 2 Documentation - Apache Software Foundation
S2-046 - Apache Struts 2 Documentation - Apache Software Foundation
CVE-2017-5638 - 脆弱性調査レポート | ソフトバンク・テクノロジー
Struts2の脆弱性 CVE-2017-5638 (S2-045/S2-046)についてまとめてみた - piyolog
Apache Struts 2 のマルチパーサー「jakarta」(CVE-2017-5638)(S2-045)(S2-046)の脆弱性を利用した攻撃情報メモ | (n)inja csirt
「安全なウェブサイト運営入門」に脆弱性
【概要】
IPAが無料で提供していた「安全なウェブサイト運営入門」というゲームにOSコマンドインジェクションの脆弱性があり、任意の OS コマンドを実行される可能性がある
【対象】
安全なウェブサイト運営入門」というゲーム
【対策】
安全なウェブサイト運営入門」というゲームを使用しない
【参考情報】
JVN#11448789: 安全なウェブサイト運営入門における OS コマンドインジェクションの脆弱性
「安全なウェブサイト運営入門」に脆弱性 使用停止を - ITmedia NEWS
Cisco IOSに脆弱性
【概要】
「Cisco IOS」と「Cisco IOS XE Software」に脆弱性があり、影響は数百のCiscoのスイッチに及ぶ模様。
この脆弱性は、WikiLeaksによって公開された「Vault 7」という文書内で明らかになった。
【対象】
対象が多数のため、下記参考情報の「Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability」のページよりご確認ください。
【対策】
2017年3月21日現在、対策案(アップデートなど)は無し。
ただし、一部回避策として、TelnetのCMP指定オプションを無効化する等はあり。
【参考情報】
Cisco IOS and IOS XE Software Cluster Management Protocol Remote Code Execution Vulnerability
「Cisco IOS」に脆弱性、300種類超のスイッチ製品に影響--WikiLeaks文書で明らかに - ZDNet Japan
Cisco IOSの重大な脆弱性、WikiLeaks情報で発覚 数百種類のスイッチに影響 - ITmedia NEWS
ニュース解説 - CIAの機密文書で発覚、シスコ製品300種類にパッチ提供未定の危険な脆弱性:ITpro
Cisco製スイッチ318モデルに外部から制御可能な致命的な脆弱性 | マイナビニュース
ntpdに脆弱性
【概要】
時刻の同期に使われるntpd(Network Time Protocol daemon)に脆弱性があり、サービス運用妨害 (DoS) 攻撃を受けるなどの可能性がある
【対象】
ntp-4.2.8p10 より前のバージョン
ntp-4.3.0 から ntp-4.3.93 まで
【対策】
アップデートする
※本脆弱性を修正したバージョン(ntp-4.2.8p10)がリリースされています(下記リンク)
SoftwareDownloads < Main < NTP
【参考情報】
JVNVU#95549222: NTP.org の ntpd に複数の脆弱性
NTPの更新版公開、DoSなどの脆弱性に対処 - ITmedia NEWS
注意喚起やニュースのアレコレ
Apache Struts 2の脆弱性を悪用され、多数のサイトが不正アクセスの被害を報告
【概要】
Apache Struts 2の脆弱性を悪用されたことによる不正アクセスを受け個人情報などが流出。
被害を受けたサイトは以下の通り。
※()は運営元。
※2017年3月31日現在
・都税クレジットカードお支払いサイト(GMOペイメントゲートウェイ)
・独立行政法人住宅金融支援機構 団体信用生命保険特約料クレジットカード支払いサイト(GMOペイメントゲートウェイ)
・相談利用者登録ページ(JETRO)
・J-STAGEサービス(国立研究開発法人科学技術振興機構)
・特許情報プラットフォーム(J-PlatPat)サービス(独立行政法人工業所有権情報・研修館)
・国際郵便マイページサービス(日本郵便)
・停電情報公開サービス(沖縄電力)
・音声サービス「Radital(ラジタル)」サイト(ニッポン放送)
・おかやまオープンデータカタログ(岡山県)
・JINSオンラインショップ(JINS)
【各サービスサイトのApache Struts 2に関するリリース情報】
当機構Webサイト攻撃によるメールアドレス情報の窃取の可能性について | お知らせ 2017年 - お知らせ - お知らせ・記者発表 - ジェトロ
[INPIT]特許情報プラットフォーム(J-PlatPat)サービスの再開のお知らせとお詫びについて | 独立行政法人 工業所有権情報・研修館
「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性について - 日本郵便
http://www.okiden.co.jp/shared/pdf/news_release/2016/170315.pdf
当社WEBサイトへの不正アクセスについて(セキュリティ対策実施済) 3/24 | お知らせ | JINS - 眼鏡(メガネ・めがね)
【参考情報】
2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog
GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性 - ITmedia エンタープライズ
ニュース解説 - GMO72万件流出危機の原因、Struts2に「意のままに操られる」深刻な脆弱性:ITpro
ニュース - 都税と住宅金融支援機構のクレジット払いサイトに不正アクセス、約72万件流出か:ITpro
ニュース - 岡山県のStruts2稼動サイト、不正アクセスでDoS攻撃の踏み台に:ITpro
ニュース - JINSのWebサイトにStruts2の脆弱性突く不正アクセス、4年前にもStruts2で被害:ITpro
Microsoft、2月と3月の月例更新プログラムを公開
【概要】
Microsoftは公開を延長していた2月の更新プログラムと併せて3月の月例更新プログラムを公開した。
最大深刻度が“緊急”のセキュリティ情報は9件公開された、
【参考情報】
Microsoft Security Bulletin Summary for March 2017
MSが3月の月例パッチ公開、2月の公開延期分も含む計18件 -INTERNET Watch
【セキュリティ ニュース】MS、1カ月ぶりの月例パッチを公開 - 公開済み脆弱性や複数ゼロデイ脆弱性に対処(1ページ目 / 全3ページ):Security NEXT
「DMM. com」を騙り、料金を要求する詐欺に注意
【概要】
DMMを騙った偽DMMからSMSや電話を用いて未払料金支払いという名目で金銭を支払わせようとする詐欺が増加している。
なお、実際のDMMの有料サービスでは会員登録が必要で、料金は前払いのため、未払い料金が発生することはないとしている。
【参考情報】
SMSを用いて有料動画サイトの未払料金などの名目で金銭を支払わせようとする「株式会社DMM.comをかたる事業者」に関する注意喚起
http://www.caa.go.jp/policies/policy/consumer_policy/information/pdf/170228adjustments_1.pdf
恐怖の「DMM」偽メール拡散中 次々にむしり取られ……「被害総額1億9100万円」 (1/3) - ITmedia NEWS
【セキュリティ ニュース】動画料金を請求する偽DMMのSMSに注意 - プリカ番号要求詐欺(1ページ目 / 全2ページ):Security NEXT
法政大学が不正アクセスを受け、全アカウント情報が漏洩
【概要】
昨年12月、法政大学のアカウント管理サーバが不正アクセスを受け、学生や教職員、委託業者の全アカウント情報(約4万件)が漏洩した。
【参考情報】
法政大学への不正アクセスによる情報漏えい被害に関するお詫びとお知らせ|法政大学
ニュース - 法政大学で不正アクセス、学生や職員など4万3103件のアカウント情報が漏洩:ITpro
【セキュリティ ニュース】学生や職員などアカウント情報4.3万件が漏洩 - 法政大(1ページ目 / 全1ページ):Security NEXT
JC3が不正送金マルウェアの感染状況を確認できるサイトを試験公開
【概要】
日本サイバー犯罪対策センター(JC3)は、不正送金マルウェア(DreamBot・Gozi)の感染状況を簡単にチェックできるサイトを試験公開した。
【参考情報】
DreamBot・Gozi感染チェックサイト|一般財団法人日本サイバー犯罪対策センター
流行りの銀行ウイルスに感染していないかワンクリックでチェックしてくれるサイト、日本サイバー犯罪対策センターが試験公開 -INTERNET Watch
正規サービスを騙るフィッシングサイトが稼動
【概要】
以下サービスを騙るフィッシングサイトが稼動報告される。
・ウェブマネーをかたるフィッシング
・Google Play をかたるフィッシング
・マイクロソフトをかたるフィッシング(3月2回)
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/03/31)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ウェブマネーをかたるフィッシング (2017/03/24)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Google Play をかたるフィッシング (2017/03/15)
【ご注意】ウェブマネー(WebMoney)をかたる偽メールにご注意ください:電子マネーWebMoney(ウェブマネー)
GoogleがSymantecの発行したTLS証明書に不信感
【概要】
Googleの「Chrome」チームは、Symantecが発行するサーバー証明書(TLS/SSL証明書)には問題点が多いことから、ChromeブラウザでSymantecが発行した証明書の有効期間を短縮するなどの措置を提案した。
【参考情報】
ニュース - グーグルの開発チーム、シマンテック発行の証明書に激しい不信感:ITpro
グーグル、シマンテックが発行したTLS証明書に不信感 - ZDNet Japan
Google Chromeチーム、Symantec証明書の段階的失効を提案 - ITmedia エンタープライズ
USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起
【概要】
クローズドネットワーク内のデータが、USBストレージを介して窃取されるサイバー攻撃の手口を確認したとして、注意喚起がなされた。
【参考情報】
USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起
ネットワーク隔離PCからUSBメモリを介して情報を窃取する手口を確認、警察庁とJPCERT/CCが注意喚起 -INTERNET Watch
「IIS 6」にゼロデイの脆弱性
【概要】
すでにサポートが終了している「IIS 6」のヘッダの検証が不適切な問題に起因する、IIS の WebDAVコンポーネントに存在する脆弱性により、リモートの攻撃者に任意のコードを実行される可能性がある。
【参考情報】
サポート切れの「IIS 6」でゼロデイ脆弱性が発見される--パッチ提供の予定はなし - ZDNet Japan
MicrosoftのIIS 6に未解決の脆弱性、2016年から攻撃横行 - ITmedia エンタープライズ
Microsoft IISのゼロデイ脆弱性、古いバージョンは修正されず | マイナビニュース
Microsoft IIS 6.0のゼロデイ脆弱性、遠隔で任意のコード実行が可能に | トレンドマイクロ セキュリティブログ
セキュリティ系のレポートやブログのアレコレ
情報セキュリティ10大脅威 2017(IPA)
【公開ページ】
https://www.ipa.go.jp/security/vuln/10threats2017.html
【企業・団体】
重要インフラ事業者優先提供や脆弱性情報の取扱い判断基準などの検討結果を公開(IPA)
【公開ページ】
https://www.ipa.go.jp/security/fy28/reports/vuln_handling/index.html
ログを活用したActive Directoryに対する攻撃の検知と対策(JPCERT/CC)
【公開ページ】
https://www.jpcert.or.jp/research/AD.html
【企業・団体】
JPCERT/CC
Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について(JSOC/LAC)
【公開ページ】
https://www.lac.co.jp/lacwatch/alert/20170310_001246.html
https://www.lac.co.jp/lacwatch/alert/20170317_001252.html
【企業・団体】
JSOCアナリストチーム(ラック)
Apache Struts 2 のマルチパーサー「jakarta」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-045)に関する調査レポート(ソフトバンク・テクノロジー)
【公開ページ】
https://www.softbanktech.jp/information/2017/20170308-01/
【企業・団体】
ソフトバンク・テクノロジー
Apache Struts 2 のマルチパーサー「jakarta」および「jakarta-stream」の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-5638)(S2-046)に関する調査レポート(ソフトバンク・テクノロジー)
【公開ページ】
https://www.softbanktech.jp/information/2017/20170328-01/
【企業・団体】
ソフトバンク・テクノロジー
2016年下半期 Tokyo SOC 情報分析レポート(IBM)
【公開ページ】
https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2016_h2/
【企業・団体】
日本アイ・ビー・エム株式会社(マネージド・セキュリティー・サービス)
Internet Infrastructure Review (IIR) Vol.34(IIJ)
【公開ページ】
http://www.iij.ad.jp/company/development/report/iir/034.html
【企業・団体】
インターネットイニシアティブ(IIJ)
Struts2が危険である理由(スキュータム)
【公開ページ】
https://www.scutum.jp/information/waf_tech_blog/2017/03/waf-blog-046.html
【企業・団体】
WAF Tech Blog(クラウド型WAF「Scutum(スキュータム)」の開発者/エンジニアによるブログ)
今月は以上です!
ではでは!
. (⌒)
∧__∧ (~)
(。・ω・。)( )
{ ̄ ̄ ̄ ̄}
{~ ̄お__} ぬるい
{~ ̄茶__}
{____}
┗━━┛