2017年9月に起こったセキュリティニュースのアレコレをまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
なんだかこないだまで雨ばっかりの夏だったのがすっかり終わってしまい、気づけばもう10月…今年ももう100日を切ってしまいましたね。
9月はヤバめな脆弱性の情報が報告されたり、DDoS攻撃やリスト型攻撃が多かったのかなという感じです。
そうそう余談ですが、リスト型攻撃については、そろそろ呼び方を「パスワード使い回され攻撃」に変えたほうが良いような気がするんですよね。その方がどういった攻撃なのかをパッと理解できるんではないかな、なんて思うんです。
あ、リスト型攻撃についてはこの記事が結構わかりやすく書いてあるのでオススメです→ポイント不正利用が相次ぐ 「リスト型攻撃」対策を : 科学 : 読売新聞(YOMIURI ONLINE)
さてさて、先月2017年9月のまとめです。
今回はちょっとレポート系多めです。
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- 東京ガスの「myTOKYOGAS」にリスト型攻撃
- ロート製薬の「ココロートパーク」にリスト型攻撃
- 「CCleaner」が改ざんされ、マルウェアが混入される
- WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース
- Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース
- Appleが「macOS High Sierra 10.13」をリリース
- iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意
- 大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出
- 「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出
- 金融業者やFX事業者へのDDoS攻撃が多発
- フィッシングメールのアレコレ
- セキュリティレポートのアレコレ
- 【注意喚起】Windowsアプリケーションの利用における注意
- Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報
- マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)
- 2017年上半期 Tokyo SOC 情報分析レポート 公開
- JSOC INSIGHT vol.17
- Mirai 亜種の活動状況について
- WannaCry まだ終わってなくない?
- Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート
- 徳島県警察の誤認逮捕事件についてまとめてみた
- 仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた
脆弱性のアレコレ
Apache Struts2に脆弱性(S2-052)
【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある
※(S2-052)以外の脆弱性も報告されています、別途以下のブログでまとめてありますのでそちらをご参照下さい
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと
【CVE番号】
CVE-2017-9805
【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと
NTTドコモの「Wi-Fi STATION L-02F」に複数の脆弱性
【概要】
NTTドコモが提供する LG Electronics 製の「Wi-Fi STATION L-02F」にバックドアの問題やアクセス制限不備の脆弱性が存在
※該当機器は2014年2月に発売され、現在は生産が終了している
【CVE番号】
CVE-2017-10845
CVE-2017-10846
【対象】(CVE別)
・CVE-2017-10845(バックドアの問題)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10g およびそれ以前
・CVE-2017-10846(アクセス制限不備の脆弱性)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10b およびそれ以前
【対策】
▼アップデートする(両脆弱性ともに下記バージョンにアップデート)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10h
【参考情報】
Wi-Fi STATION L-02Fの製品アップデート情報 | お客様サポート | NTTドコモ
「Wi-Fi STATION L-02F」にバックドアの問題(JVN#68922465):IPA 独立行政法人 情報処理推進機構
NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起
JVN#68922465: Wi-Fi STATION L-02F にバックドアの問題
JVN#03044183: Wi-Fi STATION L-02F におけるアクセス制限不備の脆弱性
2014年発売のドコモ「Wi-Fi STATION」にバックドアなどの脆弱性 | マイナビニュース
Bluetooth の実装に複数の脆弱性(脆弱性名:BlueBorne)
【概要】
Bluetooth の実装に複数の脆弱性が存在し、約数十億台の機器に影響がある可能性がある(脆弱性名:BlueBorne)
※該当の脆弱性についてチェックできるAndoridアプリあり
→BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ
【CVE番号】
CVE-2017-0781
CVE-2017-0782
CVE-2017-0783
CVE-2017-0785
CVE-2017-1000250
CVE-2017-1000251
CVE-2017-14315
CVE-2017-8628
【対象】(CVE番号別)
・CVE-2017-0781(ヒープベースのバッファオーバーフロー)
・CVE-2017-0782(整数アンダーフロー)
・CVE-2017-0783(中間者攻撃 (man-in-the-middle attack) )
・CVE-2017-0785(領域外読み込み)
→Android セキュリティパッチレベル 2017年 9月を適用していないバージョン
・CVE-2017-1000250(領域外メモリ参照)
→Linux BlueZ すべてのバージョン
・CVE-2017-1000251(バッファオーバーフロー)
→Linux Kernel 3.3-rc1 以降のバージョン
・CVE-2017-14315(ヒープベースのバッファオーバーフロー)
→iOS version 9.3.5 およびそれ以前 、tvOS version 7.2.2 およびそれ以前
・CVE-2017-8628(中間者攻撃 (man-in-the-middle attack) )
→Windows Vista 以降の2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないバージョン
【対策】
▼アップデートする
→Windows、iOS、Linux kernel、Android では、本脆弱性の対策がおこなわれている
▼ワークアラウンドを実施する
機器の Bluetooth 接続をオフにすることで、本脆弱性の影響を軽減することが可能
【参考情報】
Bluetooth の実装における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
JVNVU#95513538: 様々な Bluetooth 実装に複数の脆弱性
Vulnerability Note VU#240311 - Multiple Bluetooth implementation vulnerabilities affect many devices
脆弱性「BlueBorne」:Bluetooth機能をオフ、そして直ちに更新プログラム適用を | トレンドマイクロ セキュリティブログ
Bluetoothの脆弱性「BlueBorne」で50億台以上のデバイスにセキュリティリスクあり : マカフィー株式会社 公式ブログ
Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ (1/2) - ITmedia エンタープライズ
BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ
Apache Tomcat に複数の脆弱性
【概要】
Apache Tomcat に複数の脆弱性が存在し、遠隔からの任意のコード実行や情報漏えいなどの影響を受ける可能性がある
【CVE番号】
CVE-2017-12615
CVE-2017-12616
CVE-2017-12617
【対象】(CVE番号別)
・CVE-2017-12615
→Apache Tomcat 7.0.0 から 7.0.79 まで
・CVE-2017-12616
→Apache Tomcat 7.0.0 から 7.0.80 まで
・CVE-2017-12617
→Apache Tomcat 9.0.0.M1 から 9.0.0 まで
→Apache Tomcat 8.5.0 から 8.5.22 まで
→Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
→Apache Tomcat 7.0.0 から 7.0.81 まで
→影響を受けるバージョン不明(2017年9月30日現在)
→ Apache Tomcat の readonly パラメータを false に設定し、HTTP PUT メソッドを有効にしている場合に、遠隔から任意のコードが実行される可能性がある
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
※ 8.0系および 7系については 10月4日時点で、修正済みのバージョンは
提供されておりません
▼回避策
→Apache Tomcat において、readonly パラメータを true に設定するか、HTTP PUT リクエストを受け付けないよう設定
※readonly パラメータは、デフォルトでは、true に設定
【参考情報】
JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート
「Apache Tomcat」にゼロデイ脆弱性、JPCERT/CCが回避策を案内 -INTERNET Watch
Sambaに複数の脆弱性
【概要】
Sambaに複数の脆弱性が存在し、悪用されると機密情報を窃取される可能性がある
【CVE番号】
CVE-2017-12150
CVE-2017-12151
CVE-2017-12163
【対象】(CVE番号別)
・CVE-2017-12150
→Samba 3.0.25?4.6.7
・CVE-2017-12151
→Samba 4.1.0?4.6.7
・CVE-2017-12163
→Sambaのすべてのバージョン
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Samba 4.6.8
Samba 4.5.14
Samba 4.4.16
【参考情報】
https://www.samba.org/samba/security/CVE-2017-12150.html
https://www.samba.org/samba/security/CVE-2017-12151.html
https://www.samba.org/samba/security/CVE-2017-12163.html
Sambaに複数の脆弱性 - US-CERT | マイナビニュース
Sambaに複数の脆弱性(CVE-2017-12150, CVE-2017-12151, CVE-2017-12163) — | サイオスOSS | サイオステクノロジー
注意喚起やニュースのアレコレ
東京ガスの「myTOKYOGAS」にリスト型攻撃
【概要】
東京ガスのガス・電気料金情報Web照会サービス「myTOKYOGAS」がリスト型攻撃を受け、不正アクセスされる
【参考情報】
東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出について
東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出ならびにポイントの不正使用について
ニュース - 東京ガスに再びリスト型攻撃、個人情報流出とポイント不正使用の疑い:ITpro
ロート製薬の「ココロートパーク」にリスト型攻撃
【概要】
ロート製薬の会員サイト「ココロートパーク」がリスト型攻撃を受け、不正アクセスされる
【参考情報】
【セキュリティ ニュース】ロート製薬の会員サイトに不正アクセス - パスワードなど閲覧被害(1ページ目 / 全1ページ):Security NEXT
弊社会員サイトへの不正アクセスと対応のお知らせ | ロート製薬株式会社
弊社会員サイトへの断続的な不正アクセスと弊社対応のお知らせ | ロート製薬株式会社
「CCleaner」が改ざんされ、マルウェアが混入される
【概要】
CCleanerが改ざんされ、ユーザの PCにインストールされているソフトウェア一覧やMACアドレスなどの情報がUSのサーバに送信されていた。すでにサーバは停止。
※CCleanerとは、Windowsの不要ファイルや不要レジストリを簡単に削除できるフリーソフト
【影響をうける対象】
・32bit版の CCleaner v5.33.6162(8/15リリース)
・CCleaner Cloud v1.07.3191(8/24リリース)
【対策】
▼アップデートする(以下対策済みバージョン)
CCleaner v5.35
【参考情報】
マルウエアが仕込まれた「CCleaner」が配布されていた問題
システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 - 窓の杜
改竄の発表以降「CCleaner」が初めての更新。新しい電子署名を施したv5.35が公開 - 窓の杜
CCleanerのマルウェア混入問題はIntel・ソニー・Microsoftなど大企業を狙ったターゲット型攻撃だったと判明 - GIGAZINE
CCleanerマルウェア汚染、被害を受けた国・地域トップ10といくつかの謎 | マイナビニュース
「CCleaner」悪用の攻撃者、NECや富士通、ソニーにマルウェアを配信か - ZDNet Japan
WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース
【概要】
WordPressに複数の脆弱性が存在し、クロスサイトスクリプティングやSQLインジェクションを受ける可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるWordPressのバージョンは「4.8.1」以前である。
【参考情報】
WordPress 4.8.2 Security and Maintenance Release
WordPressが「4.8.2」にアップデート、5件のXSS脆弱性、2件のパストラバーサル脆弱性などを修正 -INTERNET Watch
【セキュリティ ニュース】「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ(1ページ目 / 全1ページ):Security NEXT
Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース
【概要】
Joomla!に複数の脆弱性が存在し、情報漏えいを引き起こす可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるJoomla!のバージョンは、Joomla 1.5.0から3.7.5までのバージョンである。
【参考情報】
オープンソースのCMS「Joomla! 3.8.0」リリース | Think IT(シンクイット)
【セキュリティ ニュース】「Joomla! 3.8」がリリース、脆弱性2件を解消(1ページ目 / 全1ページ):Security NEXT
Appleが「macOS High Sierra 10.13」をリリース
【概要】
Appleが脆弱性43件を解消した「macOS High Sierra 10.13」をリリースした。
なお、限定的ではあるがゼロデイの脆弱性も報告されている
※その他Apple製品でもアップデート情報あり
【参考情報】
JVNVU#99806334: 複数の Apple 製品における脆弱性に対するアップデート
「macOS High Sierra 10.13」では脆弱性43件を修正 -INTERNET Watch
公開されたmacOS High Sierraに脆弱性、パスワード窃取のおそれ | マイナビニュース
「macOS High Sierra」、パスワード盗まれるゼロデイ脆弱性の指摘--リリース直前に - CNET Japan
iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意
【概要】
2017年6月にランサムウェア作成の容疑で逮捕された日本の未成年者が作成・拡散した不正プロファイル「YJSNPI(ヤジュウセンパイ)ウイルス)」(別名:「iXintpwn(アイシントポウン)」)が拡散しており、トレンドマイクロが解説をおこなった
【参考情報】
iOS 上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」を解説 | トレンドマイクロ セキュリティブログ
iPhone上に大量のアイコンを作成する「YJSNPI ウイルス」とは? | マイナビニュース
【注意】iPhoneの画面に大量のアイコンが増殖、「YJSNPI ウイルス」が拡散中 - iPhone Mania
大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出
【概要】
アメリカの大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出した。なお、悪用されたのはApache Strutsの脆弱性(CVE-2017-5638)とのこと。
【参考情報】
Equifaxの情報流出、「Apache Struts」の脆弱性に起因--パッチ適用怠る? - ZDNet Japan
ハッキングで苦境のEquifax、ついにCEOも辞任 - CNET Japan
サンフランシスコ市が、情報漏洩の影響を受けた1500万人のカリフォルニア州住民を代表して、Equifaxを提訴 | TechCrunch Japan
Equifax、インシデント報告サイトが逆にフィッシング詐欺に使われる危険性 | マイナビニュース
「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出
【概要】
「Dirty COW」(CVE-2016-5195)の脆弱性を突くAndroidマルウェア「ZNIU」が日本で検出された。感染を防ぐにはGoogle Playや、信頼できるサードパーティーのアプリストアからアプリのインストールを行うこと。
※「Dirty COW」(CVE-2016-5195)とは、Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構には、競合状態が発生する脆弱性
【参考情報】
「ZNIU」:脆弱性Dirty COWを突くAndroid端末向け不正アプリを確認 | トレンドマイクロ セキュリティブログ
「Dirty COW」の脆弱性を突くAndroidマルウェア出現、日本でも感染 - ITmedia NEWS
脆弱性「Dirty COW」を悪用したAndroidマルウェアが日本でも検出 -INTERNET Watch
JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性
金融業者やFX事業者へのDDoS攻撃が多発
【概要】
金融業者やFX事業者へのDDoS攻撃が多発しており、一時的にサービスが利用しにくくなる障害が発生。攻撃元が同一かは不明。
【参考情報】
ニュース - ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らかに:ITpro
ニュース - FX事業者などを狙ったDDoS攻撃が多発、外為どっとコムや東洋証券が被害:ITpro
仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた - piyolog
フィッシングメールのアレコレ
【概要】
▼フィッシング対策協議会の緊急情報(9月)で報告されたサイトまとめ
・OMC Plus
・Amazon
・Apple
・セゾン Net アンサー
・マイクロソフト
▼佐川急便の偽メールも増加しており、注意が必要
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/22)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/09/19)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] セゾン Net アンサーをかたるフィッシング (2017/09/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/09/04)
佐川急便を装った迷惑メールにご注意くださ...│お知らせ│佐川急便株式会社<SGホールディングスグループ>
セキュリティレポートのアレコレ
【注意喚起】Windowsアプリケーションの利用における注意
【公開ページ】
https://www.ipa.go.jp/security/ciadr/vul/20170928_dll.html
【企業・団体】
Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報
【公開ページ】
http://www.jpcert.or.jp/newsflash/2017092101.html
【企業・団体】
JPCERT コーディネーションセンター
マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)
【公開ページ】
http://www.jpcert.or.jp/magazine/acreport-search-datper.html
【企業・団体】
JPCERT コーディネーションセンター
2017年上半期 Tokyo SOC 情報分析レポート 公開
【公開ページ】
https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2017_h1/
【企業・団体】
Tokyo SOC Report(IBM)
JSOC INSIGHT vol.17
【公開ページ】
https://www.lac.co.jp/lacwatch/report/20170925_001387.html
【企業・団体】
LAC
Mirai 亜種の活動状況について
【公開ページ】
https://sect.iij.ad.jp/d/2017/09/145930.html
【企業・団体】
IIJ-SECT(株式会社インターネットイニシアティブ)
WannaCry まだ終わってなくない?
【公開ページ】
https://sect.iij.ad.jp/d/2017/09/192258.html
【企業・団体】
IIJ-SECT(株式会社インターネットイニシアティブ)
Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート
【公開ページ】
https://www.softbanktech.jp/information/2017/20170908-01/
【企業・団体】
ソフトバンク・テクノロジー株式会社
徳島県警察の誤認逮捕事件についてまとめてみた
【公開ページ】
http://d.hatena.ne.jp/Kango/20170910/1505065248
【企業・団体・作成者】
piyokangoさん(https://twitter.com/piyokango)
仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた
【公開ページ】
http://d.hatena.ne.jp/Kango/20170918/1505751604
【企業・団体・作成者】
piyokangoさん(https://twitter.com/piyokango)
以上です。
とりっくおあとりーと!
/〉
/⌒⌒⌒\
| ○..○|/――、
\_ww// ̄ヽ |
/( ゚Д゚)/ ̄ ̄)ノ
_/ / フつO
\ // /|
\ /ノ
 ̄ ̄ ̄
―=≡=―
※更新履歴※
2017/010/04:『Apache Tomcat に複数の脆弱性』の内容を一部更新
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
Apache Software Foundationから、2017年9月5日、9月7日に脆弱性を修正した最新版のバージョン情報が公開されました。
特に、公開された脆弱性(S2-052)(CVE-2017-9805)については対策をしていない場合、攻撃されやすいという事から多数の報道機関より注意喚起がでております。
今回表題の脆弱性情報を収集していた際に参考になった情報をまとめました。
※注意※
下記情報の中にPoC情報も記載しておりますが、こちらを試行する際はあくまでもクローズドな自環境で行うことを勧めます
Apache Software Foundationが公開した最新版情報
▼07 September 2017 - Struts 2.3.34 General Availability
http://struts.apache.org/announce.html#a20170907
▼05 September 2017 - Struts 2.5.13 General Availability
http://struts.apache.org/announce.html#a20170905
Apache Struts脆弱性番号
S2-052
【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある
【CVE番号】
CVE-2017-9805
【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン
【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー
Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 | セキュリティ対策のラック
Apache Strutsに新たな脆弱性「CVE-2017-9805」。企業は直ちに更新プログラムの適用を。 | トレンドマイクロ セキュリティブログ
CVE-2017-9805 - Red Hat Customer Portal
ニュース - Struts 2にまたも深刻な脆弱性、至急対応を:ITpro
Apache Strutsに重大な脆弱性、直ちに更新を - ITmedia NEWS
Apache Strutsに重大な脆弱性 - アップデート推奨 | マイナビニュース
Apache Struts 2が更新--脆弱性は3件 - ZDNet Japan
「Apache Struts」に重大な脆弱性、広範に影響する恐れも--パッチ適用を - ZDNet Japan
Apache Struts 2 の脆弱性 S2-052(CVE-2017-9805)の攻撃通信を確認しました。一例ですが、wgetコマンドで外部のコンテンツの取得を試みています。脆弱性に該当する場合は、速やかにパッチを適用することを推奨いたします。
— NTTセキュリティ・ジャパン株式会社 (@NTTSec_JP) 2017年9月6日
【PoC情報】
Apache Struts 2.5 < 2.5.12 - REST Plugin XStream Remote Code Execution
S2-053
【概要】
Freemarkerのタグの処理に脆弱性が存在し、コーディングにおいて意図しない式を使用していた場合、リモートからコードを実行される可能性がある
【CVE番号】
CVE-2017-12611
【対象】
Apache Struts 2.0.1から2.3.33までのバージョン
Apache Struts 2.5から2.5.10までのバージョン
【対策】
◯アップデートする
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】深刻な脆弱性で「Apache Struts 2.3」系もアップデート - 緩和策も(1ページ目 / 全1ページ):Security NEXT
「Apache Struts 2」のRCE脆弱性、5日に引き続き情報公開、「2.5.10」以前に影響、危険度“Moderate” -INTERNET Watch
CVE-2017-12611 - Red Hat Customer Portal
【PoC情報】
調査や検証系ブログまとめ
調査やPoC検証を行ったブログやレポートをまとめました。
Struts2のS2-052(CVE-2017-9805)脆弱性のPOCを検証する - conf t
Struts2のS2-053(CVE-2017-12611)脆弱性のPOCを検証する - conf t
今月のApache Strtus 2 のリモートコード実行の脆弱性(S2-052/S2-053) - 生産性のない話
Struts2の脆弱性とPoC(S2-052: CVE-2017-9805, S2-053: CVE-2017-12611) — | サイオスOSS | サイオステクノロジー
CVE-2017-9805 (S2-052) - 脆弱性調査レポート | ソフトバンク・テクノロジー
S2-052: CVE-2017-9805(Struts2) PoC with SELinux · OSSセキュリティ技術の会(Secure OSS SIG)
ちょっと関連性のあるブログ
表題の脆弱性が公開されるちょっと前に偶然(必然?)公開されたブログの内容も今回の脆弱性対策に繋がるものだと思ったので載せておきます。参考にしてみて下さい。
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
僕が調べたApacheバージョン判定の小ネタ - とある診断員の備忘録
以上です。
<2017/09/11 AM 新規作成>
<2017/09/14 AM 【調査や検証系ブログまとめ】の項目を追加>
2017年8月に起こったセキュリティニュースのアレコレをまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
今年は雨ばっかりで夏らしい夏って感じではない8月でしたね。
8月のにゃんたくは、セキュリティ・キャンプ2017にお邪魔したり、@ITのセキュリティセミナーに参加してみたり、自社のセキュリティインターンシップでLTしてみたりな8月でした。
8月の一番の心残りはssmjp100回記念に参加できなかったことだけですね…初参加できそうだったのに…今年もまだssmjpは開催されるみたいですのでそこには参加していこうかと思っております。
(どうやら9月のssmjpはいろいろ『ヤバイ』みたいですよ…→#ssmjp 2017/09 - connpass)
では、先月2017年8月のまとめです。
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- 「STOP!!パスワード使い回し!!キャンペーン2017」がスタート
- ディノス・セシールが複数回パスワードリスト攻撃を受ける
- 日本シーサート協議会が初のイベントを開催
- 「ITパスポート試験」に9歳が合格
- 韓国のNetSarang Computerが提供するツールにマルウェアが仕込まれる
- 「OpenSSL」の脆弱性が存在する岡山県真庭市のサーバに不正アクセス
- エイチ・アイ・エス(HIS)の国内バスツアー予約サイトから約1.2万人分の予約個人情報が流出
- 2017年8月25日に日本国内で大規模な通信障害が発生
- OpKillingBayの2017年度ターゲットリストが公開
- 「Black Hat USA 2017」「Defcon 25」が開催(開催は2017年7月末)
- セキュリティレポートやブログのアレコレ
- 仮想通貨取引所等のウェブサイトがインターネットバンキングマルウェア「DreamBot」の標的となるおそれについて
- Microsoft Windows 製品の Windows Shell の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-8464)に関する調査レポート
- セキュリティ知識分野(SecBoK)人材スキルマップ2017年版
- インターネット上に公開されてしまったデータベースのダンプファイル(2017-08-08)
- マルウエアDatperをプロキシログから検知する(2017-08-17)
- TheShadowBrokersの "Data Dump of the Month" サービス
脆弱性のアレコレ
MaLionに複数の脆弱性
【概要】
株式会社インターコムが提供する「MaLion」のエージェントやサーバに、複数の脆弱性が存在。
【CVE番号】
CVE-2017-10815
CVE-2017-10816
CVE-2017-10817
CVE-2017-10818
CVE-2017-10819
【対象】(CVE番号別)
・CVE-2017-10815
Windows 版 MaLion 5.2.1 以前のバージョン (リモートコントロールをインストールしている場合)
Mac版 MaLion 4.0.1 から 5.2.1 まで (リモートコントロールをインストールしている場合)
・CVE-2017-10816, CVE-2017-10817
Windows 版 および Mac版 MaLion 5.0.0 から 5.2.1 まで
・CVE-2017-10818
Windows 版 および Mac版 MaLion 3.2.1 から 5.2.1 まで
・CVE-2017-10819
Mac 版 MaLion 4.3.0 から 5.2.1 まで
【対策】
◯アップデートする
最新版(Ver.5.2.2)へのアップデートを行う
【参考情報】
JVNVU#91587298: MaLion における複数の脆弱性
インターコムの「MaLion」に複数の脆弱性、深刻度は「最大」 - ZDNet Japan
Adobe ReaderおよびAdobe Acrobat に脆弱性
【概要】
Adobe ReaderおよびAdobe Acrobat に深刻の脆弱性が存在。
※8月8日、29日の2回にわたりアップデート情報が公開された
【CVE番号】
多数のため割愛
CVE情報はこちらを参照してください↓
https://helpx.adobe.com/security/products/acrobat/apsb17-24.html
【対象】
※各製品別の影響を受けるバージョン情報
・Acrobat DC (Continuous Track)
・Acrobat Reader DC (Continuous Track)
→バージョン(2017.009.20058) およびそれ以前
・Acrobat 2017
・Acrobat Reader 2017
→バージョン(2017.008.30051) およびそれ以前
・Acrobat DC (Classic Track)
・Acrobat Reader DC (Classic Track)
→バージョン(2015.006.30306) およびそれ以前
・Acrobat XI
・Reader XI
→バージョン(11.0.20)およびそれ以前
【対策】
◯アップデートする
※各製品別のアップデートバージョン情報
・Acrobat DC (Continuous Track)
・Acrobat Reader DC (Continuous Track)
→バージョン(2017.012.20098) にアップデート
・Acrobat 2017
・Acrobat Reader 2017
→バージョン(2017.011.30066)にアップデート
・Acrobat DC (Classic Track)
・Acrobat Reader DC (Classic Track)
→バージョン(2015.006.30355) にアップデート
・Acrobat XI
・Reader XI
→バージョン(11.0.21)にアップデート
※なおAdobe Acrobat XI とReader XIは、2017年10月15日にサポートが終了します
Adobe Acrobat XI と Reader XI のサポートの終了
【参考情報】
Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起
https://helpx.adobe.com/security/products/acrobat/apsb17-24.html
AdobeがAcrobatとReaderをアップデート、8月8日の更新でリグレッション - ITmedia NEWS
Adobe、「Acrobat DC」「Acrobat Reader DC」の定例セキュリティ更新をリリース - 窓の杜
「Flash Player」「Adobe Acrobat」などのセキュリティアップデート公開 -INTERNET Watch
Microsoft Windowsのショートカットファイル処理に脆弱性
【概要】
Microsoft Windowsのショートカットファイル処理に脆弱性が存在し、リモートより任意のコードが実行される可能性がある。
【CVE番号】
CVE-2017-8464
【対策】
◯アップデートする
Microsoft Update で修正するプログラムがリリース済み
参考情報:https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2017-8464
◯SMB通信の遮断
139/tcp、139/udp、445/tcp および、445/udp の外向きの通信を遮断することで緩和
【参考情報】
JVNVU#92360223: Microsoft Windows のショートカットファイルで指定されたコードが自動的に実行される脆弱性
Windows、任意コード実行のセキュリティ脆弱性 | マイナビニュース
Windowsの脆弱性突くコード公開、米セキュリティ機関が注意喚起 - ITmedia エンタープライズ
Apache Tomcat に複数の脆弱性
【概要】
Apache Tomcat に複数の脆弱性が存在し、キャッシュポイズニングや認証回避の影響を受ける可能性がある
【CVE番号】
CVE-2017-7674
CVE-2017-7675
【対象】(CVE番号別)
・CVE-2017-7674
Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
Apache Tomcat 8.5.0 から 8.5.15 まで
Apache Tomcat 8.0.0.RC1 から 8.0.44 まで
Apache Tomcat 7.0.41 から 7.0.78 まで
・CVE-2017-7675
Apache Tomcat 9.0.0.M1 から 9.0.0.M21 まで
Apache Tomcat 8.5.0 から 8.5.15 まで
【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Apache Tomcat 9.0.0.M22
Apache Tomcat 8.5.16
Apache Tomcat 8.0.45
Apache Tomcat 7.0.79
【参考情報】
JVNVU#91991349: Apache Tomcat の複数の脆弱性に対するアップデート
【セキュリティ ニュース】「Apache Tomcat」のキャッシュ処理などに脆弱性 - 既存のアップデートで対応済み(1ページ目 / 全1ページ):Security NEXT
Drupalに複数の脆弱性
【概要】
Drupalに複数の脆弱性が存在し、エンティティの表示、作成、更新、削除が行われてしまう可能性がある
※Drupal:コンテンツマネジメントシステム(CMS)の一種
【CVE番号】
CVE-2017-6925
CVE-2017-6924
CVE-2017-6923
【対象】
Drupal 8.3.7よりも以前のバージョン(Drupal 8.x)
【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Drupal 8.3.7
【参考情報】
Drupal Core - Multiple Vulnerabilities - SA-CORE-2017-004 | Drupal.org
危険度の高いものを含む複数の脆弱性を修正した Drupal 8.3.7 がリリース | ≡ Drupal Japan ≡
【セキュリティ ニュース】「Drupal」に深刻な脆弱性 - 更新を強く推奨(1ページ目 / 全1ページ):Security NEXT
baserCMSに複数の脆弱性
【概要】
baserCMSに複数の脆弱性が存在し、SQLインジェクションや任意のファイル削除やPHPコードが実行されるなどの可能性がある。
【CVE番号】
CVE-2017-10842
CVE-2017-10843
CVE-2017-10844
【対象】
baserCMS 3.0.14 およびそれ以前のバージョン
baserCMS 4.0.5 およびそれ以前のバージョン
【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
baserCMS 3.0.15
baserCMS 4.0.6
【参考情報】
「baserCMS」における SQL インジェクションの脆弱性(JVN#78151490):IPA 独立行政法人 情報処理推進機構
JVN#78151490: baserCMS における複数の脆弱性
SQLインジェクションをはじめとする複数の脆弱性 | baser CMS - 国産オープンソース!フリー(無料)でコンテンツ管理に強いCMS
2017年8月23日配布 修正パッチ一覧 | baser CMS - 国産オープンソース!フリー(無料)でコンテンツ管理に強いCMS
【セキュリティ ニュース】「baserCMS」にPHPコードの実行やDB操作が可能となる脆弱性(1ページ目 / 全1ページ):Security NEXT
Rufusのアップデート処理に脆弱性
【概要】
Akeo Consultingが提供するRufusのアップデート処理に脆弱性が存在し、外部から任意のコードを実行される可能性がある。
※Rufus:起動可能なISOイメージを元にブートUSBを作成することができるソフト
【CVE番号】
CVE-2017-13083
【対象】
Akeo Consulting Rufus 2.16
【対策】
◯ワークアラウンドを行う
当該製品のアップデート機能を使わずに、ウェブブラウザを使って手動でベンダサイトより更新データを取得してアップデートを行
【参考情報】
JVNVU#98866977: Rufus に更新がセキュアに行われない脆弱性
Wiresharkに複数の脆弱性
【概要】
Wiresharkのバージョン2.4.1が公開され、いくつかの不具合や脆弱性が修正された
※旧安定版のバージョン2.2や2.0でもアップデート情報が公開されている
【CVE番号】
CVE-2017-13764
CVE-2017-13765
CVE-2017-13766
CVE-2017-13767
【対象】(CVE番号別)
・CVE-2017-13764
Wireshark2.4.0
・CVE-2017-13765
Wireshark2.4.0,2.2.0〜2.2.8,2.0.0〜2.0.14
・CVE-2017-13766
Wireshark2.4.0,2.2.0〜2.2.8
・CVE-2017-13767
Wireshark 2.4.0,2.2.0〜2.2.8,2.0.0〜2.0.14
【対策】
◯アップデートする(以下脆弱性修正済みバージョン)
Wireshark 2.4.1
Wireshark 2.2.9
Wireshark 2.0.15
【参考情報】
Wireshark · Wireshark 2.4.1, 2.2.9, and 2.0.15 Released
Wireshark · Wireshark 2.4.1 Release Notes
「Wireshark」v2.4系に初めてのアップデート 〜オープンソースのネットワーク解析ツール - 窓の杜
WordPress用プラグインの脆弱性まとめ
【概要】
8月にJVN脆弱性レポートで公開されたWordPress用プラグインの脆弱性まとめ
【参考情報】
JVN#58559719: WordPress 用プラグイン BackupGuard におけるクロスサイトスクリプティングの脆弱性
注意喚起やニュースのアレコレ
「STOP!!パスワード使い回し!!キャンペーン2017」がスタート
【概要】
複数のインターネットサービスで同じパスワードを使い回さないよう呼びかける「STOP!!パスワード使い回し!!キャンペーン2017」がスタート。
【参考情報】
ディノス・セシールが複数回パスワードリスト攻撃を受ける
【概要】
ディノス・セシール、が複数回にわたりパスワードリスト攻撃を受けたことを発表した。
【参考情報】
弊社「セシールオンラインショップ」への“なりすまし”による不正アクセスについて(PDF)
https://www.dinos-cecile.co.jp/pdf/topics_20170824-2.pdf
【セキュリティ ニュース】わずか1分11回のみの不正ログイン攻撃受ける - ディノス・セシールが公表(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】ディノス・セシール、再度パスワードリスト攻撃を検知(1ページ目 / 全2ページ):Security NEXT
日本シーサート協議会が初のイベントを開催
【概要】
日本シーサート協議会が設立10周年の記念イベント「NCA 10th Anniversary Conference『絆』」を開催した
【参考情報】
NCA 10th Anniversary Conference
【セキュリティ ニュース】日本シーサート協議会の初イベント、新旧の交流の場に - テーマは「絆」(1ページ目 / 全3ページ):Security NEXT
「ITパスポート試験」に9歳が合格
【概要】
国家試験である「ITパスポート試験」に9歳が合格し、最年少合格記録を更新
【参考情報】
プレス発表 ITパスポート試験に9歳(小学4年生)が2名合格:IPA 独立行政法人 情報処理推進機構
IT国家試験「ITパスポート試験」に9歳が合格 - ねとらぼ
「ITパスポート試験」9歳が合格 最年少記録更新 - ITmedia NEWS
【やじうまPC Watch】IPAの「ITパスポート試験」に小学4年生が合格 ~最年少記録を更新 - PC Watch
韓国のNetSarang Computerが提供するツールにマルウェアが仕込まれる
【概要】
韓国のNetSarang Computerが提供するサーバ管理ソフトウェアのアップデートが改ざんされ、バックドアマルウェアが仕込まれてしまうことが判明した。
なお、本脆弱性を修正したビルドは公開されており、アップデートが推奨される。
【参考情報】
Security Exploit in July 18, 2017 Build | News & Notice
Kaspersky Lab、世界数百の大企業が使用する正規ソフトウェアのアップデートにバックドアを仕込んだ「ShadowPad」を発見 | カスペルスキー
正規のソフトウェアアップデートにマルウェア、法人顧客に配信 - ITmedia エンタープライズ
ShadowPad in corporate networks - Securelist
サーバ管理ツールにバックドア--香港で被害発生 - ZDNet Japan
「OpenSSL」の脆弱性が存在する岡山県真庭市のサーバに不正アクセス
【概要】
「OpenSSL」の脆弱性が存在する岡山県真庭市のDNSサーバやメールサーバとして公開されているサーバに不正アクセスを受けた。
「鳥取・岡山自治体情報セキュリティクラウド業務実施共同企業体」からの監視報告により被害に気づいたとのこと。
【参考情報】
8月21日付プレスリリース - 岡山県真庭市(PDF)
http://www.city.maniwa.lg.jp/webapps/open_imgs/info//0000001297_0000038083.pdf
真庭市サーバーに不正アクセス 情報漏えいや業務に影響なし: 山陽新聞デジタル|さんデジ
【セキュリティ ニュース】真庭市のサーバに不正アクセス - 「OpenSSL」の脆弱性が標的に(1ページ目 / 全1ページ):Security NEXT
エイチ・アイ・エス(HIS)の国内バスツアー予約サイトから約1.2万人分の予約個人情報が流出
【概要】
エイチ・アイ・エス(HIS)の国内バスツアー予約サイトのリニューアル作業(予約データの移行)に問題があり、約1.2万人分の予約個人情報が流出した。
【参考情報】
国内バスツアーサイトからのお客様情報流出について(PDF)
http://www.his.co.jp/material/pdf/n_co_20170822.pdf
HIS、最大1万人超の個人情報流出 バスツアー予約サイトから - ITmedia NEWS
ニュース - HISで情報漏洩、バスツアー客の予約情報が流出:ITpro
HISが個人情報流出、最大1万1975人分 住所など:朝日新聞デジタル
2017年8月25日に日本国内で大規模な通信障害が発生
【概要】
2017年8月25日に日本国内で大規模な通信障害が発生し、多数のWebサイトに接続ができない、つながらない等の事象が発生した。
【参考情報】
ニュース解説 - 米グーグルの設定ミス、なぜ日本の大規模ネット障害を引き起こしたのか?:ITpro
ニュース解説 - 大規模ネット障害になっても不思議じゃない?「BGP」の仕組みとリスク:ITpro
大規模な接続障害、Googleが謝罪 「ネットワークの誤設定」原因 - ITmedia NEWS
米グーグルが謝罪=原因は誤設定-ネット接続障害:時事ドットコム
8月25日に発生した大規模通信障害をまとめてみた - piyolog
Yoshinobu Matsuzaki on Twitter: "08/25の通信障害の件、これまでに調べたことを資料にまとめてみたよ。
https://t.co/8xtGBHgPmf"
https://www.attn.jp/maz/p/t/pdf/20170825-routeleakage.pdf
OpKillingBayの2017年度ターゲットリストが公開
【概要】
アノニマスのオペレーション名「OpKillingBay」の2017年度のターゲットリストが公開された。
※ただし、ターゲットリスト以外にも攻撃を行う可能性あり
【参考情報】
OpKillingBay 2017 メモ | (n)inja csirt
2017年の海洋動物保護のオペレーションに係る動きについてまとめてみた - piyolog
「Black Hat USA 2017」「Defcon 25」が開催(開催は2017年7月末)
【概要】
セキュリティカンファレンスの「Black Hat USA 2017」「Defcon 25」がアメリカのラスベガスで開催された
DEF CON® 25 Hacking Conference
【参考情報】
※参加報告の記事やブログが8月に公開されていることが多かった
ASCII.jp:自作攻撃再現ツールを引っさげDEF CONへ、マクニカネットワークス凌氏|Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート
ASCII.jp:Black Hatの大舞台で自作ツールを発表、NTTセキュリティ羽田氏|Black Hat USA 2017/DEF CON 25 ラスベガス現地レポート
2017年のBlack HatとDEF CONで発表された恐るべきハッキングの数々 - ZDNet Japan
Black Hat USA 2017 & Defcon 25 参加報告(Web編) | MBSD Blog
Black Hat USA 2017とDEFCON 25に参加してきました。 | セキュリティ対策のラック
セキュリティレポートやブログのアレコレ
仮想通貨取引所等のウェブサイトがインターネットバンキングマルウェア「DreamBot」の標的となるおそれについて
【公開ページ】
https://www.jc3.or.jp/topics/dces.html
【企業・団体】
日本サイバー犯罪対策センター(JC3)
Microsoft Windows 製品の Windows Shell の脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-8464)に関する調査レポート
【公開ページ】
https://www.softbanktech.jp/information/2017/20170815-01/
【企業・団体】
ソフトバンク・テクノロジー株式会社
セキュリティ知識分野(SecBoK)人材スキルマップ2017年版
【公開ページ】
http://www.jnsa.org/result/2017/skillmap/index.html
【企業・団体】
日本ネットワークセキュリティ協会(JNSA)
インターネット上に公開されてしまったデータベースのダンプファイル(2017-08-08)
【公開ページ】
http://www.jpcert.or.jp/magazine/irreport-Unsecured_Databases.html
【企業・団体】
JPCERT コーディネーションセンター
マルウエアDatperをプロキシログから検知する(2017-08-17)
【公開ページ】
http://www.jpcert.or.jp/magazine/acreport-datper.html
【企業・団体】
JPCERT コーディネーションセンター
TheShadowBrokersの "Data Dump of the Month" サービス
【公開ページ】
http://negi.hatenablog.com/entry/2017/08/31/222308
【企業・団体・作成者】
Masafumi Negishiさん(https://twitter.com/MasafumiNegishi)
以上です。
季節の変わり目なので風邪など引かないように!
. ∧∧
(*・ω・)
_| ⊃/(___
/ └-(____/
セキュリティで大事なのはロシア語なのかもしれない?
Очень много, это NyanTaku(「・ω・)「ガオー
(※どうも、にゃんたくです(「・ω・)「ガオー)
はい、今とっても頭が回っていないのですが、なんとなくブログが書きたくなったから書いています。ブログってそういうもんですよね?( ˘ω˘)スヤァ
あ、今回のブログ、ゴールが特に無いです。(おいおい)
さていきなりですが、先日Twitterでこんなリプライをいただきました。
英語の記事が出るのもタイムラグありましたよ。現地では8/7に報道されています。https://t.co/ABpyXNOeGg
— Autumn Good (@autumn_good_35) 2017年8月14日
※この場をお借りしてですが、Autumn Good さん(@autumn_good_35)、リプありがとうございました。
まずこのニュース内容はなにかというと、今年6月後半に世間を騒がせたNotPetya(Goldeneye)というマルウェアを拡散させたという疑いでウクライナの警察が51歳の男を逮捕したというニュース内容でした。
このニュースについて日本語で報道されているのは現在(現在時刻:2017年8月15日AM9時)ITmediaのこちらの記事だけではないでしょうか。
実はこのニュースを僕が知ったのは以下の記事を読んだ8月10日の夜遅くでした。
ウクライナでランサムウェアのPetyaを配布したということで51歳の人が逮捕されたようですね。 https://t.co/jFt646s9zg
— にゃん☆たく (@taku888infinity) 2017年8月11日
僕はこの時てっきりこのニュースが「最初の」報道だと勝手に思っていたんです。
しかしながら、冒頭にも載せましたが、Autumn Good さんのリプライで実はもっと前に報道されていたということが判明しました。それがこちらの記事です。
Autumn Good さんのつぶやきでもこの報道の同日にツイートされていました。
NotPetyaが広まった直後に使い方の説明動画や検体を提供していた51歳の男がウクライナ当局のサイバー部門に逮捕されたようです。 https://t.co/PjSz3ERF50
— Autumn Good (@autumn_good_35) 2017年8月9日
この時点で「Autumn Good さん凄すぎないか!!!」と思う方もいらっしゃるのではないでしょうか。その意見、まったくもって同意見です。
つまりなにがいいたいかを時系列で並べてみます。
2017年8月7日に現地(ロシア語)で報道される
↓
2017年8月10日、11日に英語で報道される
↓
2017年8月14日に日本語で報道される
つまり、実際の報道から日本語報道されるまで1週間のタイムラグがあったということです。
ただ、今回日本では8月11日の金曜日が祝日だったため、日本の報道各社がお休みであったことももちろん原因の1つであることはわかっています。
こんなことを書くと「何だお前、日本の報道各社に喧嘩売ってんのか」と思われるかもしれませんが、決してそうではありません。むしろ、一番僕が頼っているのは日本の報道各社が報道してくれるセキュリティニュースや記事なんです。
じゃあなにがいいたいのか。
このセキュリティ業界で仕事していくには色んな能力や知識が必要であることは言わずと知れたことかと思います。
その中で「英語力」が必要なんてことがよく言われています。(ロシア語どこいった)
僕もそう思いますし、セキュリティ情報の殆どが英語で書かれているため、英語力は必須かと思われます。(ロシア語どこいったPart2)
まぁ僕は英語が苦手なんですが、最近はなるべく英語に触れるようにしています。(ロシア語どこいったPart3)
そうすることで英語の記事もなんとなくですが内容つかめるようになってきた感があります。もちろんGoogle先生には毎回お世話になっていますけどね、ははは。(白目)
と、思っていたんですが、今回の報道の流れを見るとちょっとロシア語なんかもかじってたたほうが良いのかななんて思ったり思わなかったりしました。
(そもそも英語でもロシア語でも日本語ではない言語の報道を収集できるか、が大事なことでもあるような気もしますが)
いやほら、APT28(Fancy Bear、Sofacy)関連のニュースとかもよく見るじゃないですか、ね?
そういやほらカスペルスキーもロシアでしょ?
夏コミ2日目。
— カスペルスキー 公式 (@kaspersky_japan) 2017年8月12日
カスペルスキーのブースは、グリーンベアとカスペルちゃんが目印です。https://t.co/5Zj0TClInt #C92 #カスペC92 pic.twitter.com/7tUyKm9KXa
コミケにまで出展してるじゃないですかヤダー
それにたまに攻撃コードにロシア語が含ま(ここで文章が途切れている
というわけで、今日はこのへんで。
最後までグダグダで申し訳なかったです。
До свидания!(ダ スヴィダーニャ!)
※(また、会うときまで!)
2017年7月に起こったセキュリティニュースのアレコレをまとめてみた。
どもども、にゃんたくです(「・ω・)「ガオー
とうとう8月になってしまいましたね。
夏ですよ、夏。
夏好きな僕としては8月に入った瞬間から「もう夏終わっちゃうじゃん・・・」なんてブルーな気持ちになっちゃったりしてますよ。
そうそう、ありがたいことにこのブログですが、Google検索で「セキュリティ ニュース」や「セキュリティ ニュース 2017」でググってみると、1ページ目に載るようになってきました。
これもひとえに、読んでくれている皆さんやTwitter等で拡散していただく皆さんのおかげであると、心から感謝しております。
より一層、皆さんにとってなにかの参考になれるようなブログを発信していきたいと思っておりますので、今後ともなにとぞ「にゃんたくのひとりごと」をよろしくお願いいたします。
では、先月2017年7月のまとめです。
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- 「675」から始まる不審な着信に注意
- 「Joomla! 3.7.4」がリリース
- 「Yahoo!ツールバー」が10月31日にサポート終了
- 「ネットワークビギナーのための情報セキュリティハンドブック」が国内27の電子書店で無料配布
- ランサムウェア対策ツール「Cybereason RansomFree」の日本語版が無償提供
- 無償のアンチウイルスソフト「Kaspersky Free」が全世界リリース
- Appleが「iOS 10.3.3」をリリース
- Apple、複数のMac向けのセキュリティアップデートをリリース
- ソフトバンク・テクノロジーに不正アクセス、「仮想通貨採掘プログラム」のインストールを目的とした攻撃か
- マイクロソフトが、定例外でOutlook向け臨時パッチを緊急公開
- 総務省、史上初のルートゾーンKSKの更新に伴いDNSの設定更新を呼びかけ
- ユーザーに電子マネーの送金求める、警察庁装う偽サイトが出現
- macOSをターゲットにしたマルウェア「FruitFly」の存在が明らかに
- Norton(ノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になる
- セキュリティレポートやブログのアレコレ
脆弱性のアレコレ
Apache Struts 2 に脆弱性 (S2-048)
【概要】
Apache Struts2 において、Struts1 プラグインを使用するアプリケーションには任意のコードが実行可能な脆弱性が存在し、アプリケーションの権限で任意のコードを実行される可能性がある
【CVE番号】
CVE-2017-9791
【対象】
Struts 2.3 系で Struts1 プラグインを使用して動作するアプリケーション
【対策】
○ワークアラウンドを実施する
showcase アプリケーションの修正方法を参考に、ActionMessage クラス(のコンストラクタ)への入力処理を適切に行う
【参考情報】
Apache Struts 2 の脆弱性 (S2-048) に関する注意喚起
JVNVU#99376481: Apache Struts2 の Struts1 プラグインを使用するアプリケーションに任意のコードが実行可能な脆弱性
JVNDB-2017-004912 - JVN iPedia - 脆弱性対策情報データベース
Apache Struts2 の脆弱性対策情報一覧:IPA 独立行政法人 情報処理推進機構
Cisco WebEx Browser Extension に脆弱性
【概要】
WebExのAPIレスポンスパーサーの設計に脆弱性が存在し、ユーザーに不正なウェブページを閲覧させることで、リモートから任意のコードを実行される可能性がある
【CVE番号】
CVE-2017-6753
【対象】
Cisco WebEx extension on Google Chrome (1.0.12 より前のバージョン)
Cisco WebEx extension on Mozilla Firefox (1.0.12 より前のバージョン)
※以下対象は本脆弱性の影響を受けない
Cisco WebEx Productivity Tools
Cisco WebEx browser extensions for Mac or Linux
Cisco WebEx on Microsoft Edge or Internet Explorer
【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Cisco WebEx extension on Google Chrome (1.0.12)
Cisco WebEx extension on Mozilla Firefox (1.0.12)
【参考情報】
Cisco WebEx Browser Extension の脆弱性 (CVE-2017-6753) に関する注意喚起
Cisco WebEx Browser Extension Remote Code Execution Vulnerability
Cisco WebExのブラウザーアドオンに脆弱性、Google Chrome、Firefox、IEに影響 -INTERNET Watch
「WebEx」プラグインの脆弱性はFirefoxとIEにも影響、Ciscoが更新版で対処 - ITmedia エンタープライズ
Oracle Javaに脆弱性
【概要】
JRE に脆弱性が存在し、攻撃者に悪用されると、任意のコード(命令)が実行され、コンピュータを制御される可能性がある
※JRE (Java Runtime Environment) は、Java プログラムを実行するためのソフトウェア実行環境です。
【CVE番号】
CVE-2017-10110等
【対象】
Oracle Java SE 8 Update 131
Oracle Java SE 7 Update 141
Oracle Java SE 6 Update 151
Oracle Java SE Embedded 8 Update 131
【対策】
○アップデートする(以下脆弱性修正済みバージョン)
Java SE JDK/JRE 8 Update 141
Java SE - Downloads | Oracle Technology Network | Oracle
【参考情報】
2017年 7月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
Oracle Java の脆弱性対策について(CVE-2017-10110等):IPA 独立行政法人 情報処理推進機構
Oracle、32件の脆弱性を修正した「Java SE 8 Update 141」を公開 - 窓の杜
【セキュリティ ニュース】「Java SE」の脆弱性31件を解消するアップデート - Oracle(1ページ目 / 全1ページ):Security NEXT
Sambaに脆弱性(Orpheus’ Lyre)
【概要】
SambaのHeimdal Kerbarosの実装に脆弱性が存在し、リモートから攻撃を受ける可能性がある
この脆弱性名は「Orpheus’ Lyre(オルフェウスの竪琴)」と名づけられた
【CVE番号】
CVE-2017-11103
【対象】
Samba 4.0.0以降のすべてのバージョン
【対策】
アップデートする
【参考情報】
【セキュリティ ニュース】MS、脆弱性「Orpheus’ Lyre」に7月の月例パッチで対応済み(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「Samba 4.0」以降に深刻な脆弱性「Orpheus’ Lyre」 - 「Heimdal」実装で影響(1ページ目 / 全1ページ):Security NEXT
Sambaに権限昇格の脆弱性(CVE-2017-11103) — | サイオスOSS | サイオステクノロジー
Sambaに脆弱性 - Heimdal Kerbarosの影響はほかにも | マイナビニュース
WordPress用プラグインの脆弱性まとめ
【概要】
7月にJVN脆弱性レポートで公開されたWordPress用プラグインの脆弱性まとめ
【参考情報】
JVN#39819446: WordPress 用プラグイン Responsive Lightbox におけるクロスサイトスクリプティングの脆弱性
JVN#63249051: WordPress 用プラグイン Shortcodes Ultimate におけるディレクトリトラバーサルの脆弱性
JVN#92921024: WordPress 用プラグイン Popup Maker におけるクロスサイトスクリプティングの脆弱性
JVN#31459091: WordPress 用プラグイン Simple Custom CSS and JS におけるクロスサイトスクリプティングの脆弱性
注意喚起やニュースのアレコレ
「675」から始まる不審な着信に注意
【概要】
「+675」から始まるパプアニューギニアからの不審な国際電話の着信が相次ぎ、携帯各社が着信履歴に心当たりがない場合は折り返しの電話をしないように呼びかけた
【参考情報】
「+675」から始まる不審な国際電話の着信に関するご注意 | 個人のお客さまへのお知らせ | お知らせ | モバイル | ソフトバンク
「+675」、パプアニューギニアからの不審な電話に要注意 | マイナビニュース
【セキュリティ ニュース】「675」から始まる着信履歴に注意 - 折返電話で高額料金のおそれ(1ページ目 / 全2ページ):Security NEXT
「Joomla! 3.7.4」がリリース
【概要】
「Joomla! 3.7.3」および以前のバージョンに見つかった重要度は「高(high)」の脆弱性2件を修正した「Joomla! 3.7.4」がリリースされた
【参考情報】
【セキュリティ ニュース】2件の脆弱性を解消した「Joomla! 3.7.4」がリリース - 複数バグにも対応(1ページ目 / 全1ページ):Security NEXT
「Yahoo!ツールバー」が10月31日にサポート終了
【概要】
ブラウザ向け拡張機能「Yahoo!ツールバー」のサポートを10月31日に終了するとヤフーが発表した。
※なお、「Yahoo!ツールバー」のインストーラに脆弱性が存在していることが2017年7月に発表されている
【参考情報】
「Yahoo!ツールバー」の提供が10月で終了 数年前からChrome、Firefoxなどで利用できない状態に - ねとらぼ
ヤフー、Yahoo!ツールバーを10月31日で終了 | マイナビニュース
【セキュリティ ニュース】「Yahoo!ツールバー」のインストーラに脆弱性(1ページ目 / 全1ページ):Security NEXT
JVN#02852421: Yahoo!ツールバー (Internet explorer 版) のインストーラにおける任意の DLL 読み込みの脆弱性
「ネットワークビギナーのための情報セキュリティハンドブック」が国内27の電子書店で無料配布
【概要】
政府が「ネットワークビギナーのための情報セキュリティハンドブック」の電子書籍を国内27の電子書店で無料配布を行い、夏休みを控えた小中高生がセキュリティ対策について学べれるようにとのこと。
【参考情報】
「ネットワークビギナーのための情報セキュリティハンドブック」電子書籍の無料配信を開始[みんなでしっかりサイバーセキュリティ]
NISC、「ネットワークビギナーのための情報セキュリティハンドブック」を全154ページに改訂し、無料で提供 -INTERNET Watch
ランサムウェア対策ツール「Cybereason RansomFree」の日本語版が無償提供
【概要】
サイバーリーズン・ジャパンはランサムウェア対策ツール「Cybereason RansomFree」の日本語版の無償提供を開始した。
【参考情報】
無償ランサムウェア対策ツール「Cybereason RansomFree」に日本語版が登場 - 窓の杜
RansomFree(ランサムフリー)日本語版をリリース | サイバーリーズン公式ブログ
サイバーリーズンのRansomFree (ランサムフリー)が WannaCry を駆除する動画 | サイバーリーズン公式ブログ
無償のアンチウイルスソフト「Kaspersky Free」が全世界リリース
【概要】
Kaspersky Labが、無償のアンチウイルスソフト「Kaspersky Free」を全世界リリースに提供すると発表
【参考情報】
Kaspersky Free antivirus launches globally to secure the whole world – Kaspersky Lab official blog
カスペルスキー、無償アンチウイルスソフトを全世界リリース - 窓の杜
カスペルスキー、無料のウイルス対策ソフトを世界でリリースへ - ZDNet Japan
Kaspersky、無償のアンチウイルスソフト「Kaspersky Free」公開 | マイナビニュース
Appleが「iOS 10.3.3」をリリース
【概要】
CVE番号ベースで47件の脆弱性を修正した、「iOS 10.3.3」がリリースされた。
【参考情報】
iOS 10.3.3 のセキュリティコンテンツについて - Apple サポート
Apple、「iOS 10.3.3」をリリース ~CVE番号ベースで47件の脆弱性を修正 - 窓の杜
「iOS 10.3.3」がリリース--バグ修正、セキュリティ改善 - CNET Japan
JVNVU#91410779: 複数の Apple 製品における脆弱性に対するアップデート
Apple、複数のMac向けのセキュリティアップデートをリリース
【概要】
CVEベースで37件の脆弱性を修正した、Mac向けのセキュリティアップデートがリリースされた。
リリースされたものは以下のとおり
・macOS Sierra 10.12.6
・Security Update 2017-003 El Capitan
・Security Update 2017-003 Yosemite
【参考情報】
Apple、「macOS Sierra 10.12.6」をリリース ~CVE番号ベースで37件の脆弱性を修正 - 窓の杜
【セキュリティ ニュース】Apple、「macOS Sierra 10.12.6」などセキュリティアップデート(1ページ目 / 全1ページ):Security NEXT
JVNVU#91410779: 複数の Apple 製品における脆弱性に対するアップデート
ソフトバンク・テクノロジーに不正アクセス、「仮想通貨採掘プログラム」のインストールを目的とした攻撃か
【概要】
ソフトバンク・テクノロジーの保有する保守契約管理システムの検証サーバで仮想通貨採掘プログラムによる不正アクセスが見つかったが、情報流出の形跡は確認されなかった
【参考情報】
不正アクセスによる情報流出の可能性に関するお知らせとお詫び(第一報)|ソフトバンク・テクノロジー株式会社 企業情報
不正アクセスによる情報流出の可能性に関する詳細調査のご報告(第二報)|ソフトバンク・テクノロジー株式会社 企業情報
ソフトバンク・テクノロジー、不正アクセスで調査報告 - ZDNet Japan
ニュース - ソフトバンク・テクノロジーに不正アクセス、4071社の情報が流出の可能性:ITpro
ソフトバンク・テクノロジーに不正アクセス、仮想通貨マイニング目的か | マイナビニュース
仮想通貨マイニング目的か 不正アクセスで採掘プログラム仕込まれる ソフトバンク・テクノロジー - ITmedia NEWS
マイクロソフトが、定例外でOutlook向け臨時パッチを緊急公開
【概要】
Outlook向けに、脆弱性3件を修正する定例外のセキュリティ更新プログラム(臨時パッチ)を公開した。
【対象】
Microsoft Outlook 2007 Service Pack 3
Microsoft Outlook 2010 Service Pack 2
Microsoft Outlook 2013 Service Pack 1
Microsoft Outlook 2013 RT Service Pack 1
Microsoft Outlook 2016
【参考情報】
Outlook の脆弱性を修正するセキュリティ更新プログラムを定例外で公開 – 日本のセキュリティチーム
Outlookに脆弱性、マイクロソフトが臨時パッチ公開 - ZDNet Japan
Microsoft、定例外でOutlook向けパッチを緊急公開、脆弱性3件を修正 -INTERNET Watch
総務省、史上初のルートゾーンKSKの更新に伴いDNSの設定更新を呼びかけ
【概要】
総務省はICANNが、史上初の電子署名の正当性を検証するために使う暗号鍵の中で最上位の鍵であるルートゾーンKSKの更改を実施するため、キャッシュDNSサーバの設定更新を行うように呼びかけた。
【参考情報】
総務省|DNSの世界的な運用変更に伴うキャッシュDNSサーバーの設定更新の必要性
https://www.nisc.go.jp/active/general/pdf/taisaku_170718.pdf
ルートゾーンKSKロールオーバーによる影響とその確認方法について(2017年7月25日更新)
ニュース解説 - DNSが使えなくなるトラブル、9月19日に発生する恐れ:ITpro
ネット史上初めての「KSKロールオーバー」が始まる、名前解決できなくなる前にDNSサーバーなど設定確認を! 今年9月は特に注意 - INTERNET Watch
ユーザーに電子マネーの送金求める、警察庁装う偽サイトが出現
【概要】
ユーザーが違法行為をしたとして「罰金」を要求する、警察庁を装った偽サイトが出現した。
全画面表示をOFFにする「F11 」キーを押せば解除できる。
【参考情報】
警察を偽装したネット詐欺を国内で新たに確認 | トレンドマイクロ セキュリティブログ
警察庁の偽サイト現る 「違反行為した」と“罰金”要求 - ITmedia NEWS
警察庁の偽サイトが見つかる、幼児猥褻・動物虐待コンテンツを見ようとした違反金として2~5万円をiTuneカードで請求 -INTERNET Watch
macOSをターゲットにしたマルウェア「FruitFly」の存在が明らかに
【概要】
「FruitFly」と呼ばれる、Mac端末を標的にしたマルウェアが数年間検知されずにいたことが明らかになった
【参考情報】
macOS向けバックドア「FruitFly」に注意 | マイナビニュース
Macに感染する「謎のウイルス」 ウェブカメラで人々を監視 | Forbes JAPAN(フォーブス ジャパン)
専門家からも数年間気づかれなかったMac向けスパイウェア「Fruitfly」 - iPhone Mania
数百台のMacに感染しているのに数年間気づかれなかったマルウェア「FruitFly」 - GIGAZINE
Norton(ノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になる
【概要】
シマンテック製セキュリティーソフトのNorton(ノートン)ユーザーが一時的にImpress Watch」にアクセスできない状態になった
【参考情報】
ノートンが「Impress Watch」を誤ブロック - ITmedia NEWS
【お知らせ3】下記の問題に関しまして、シマンテックによって潜在的な迷惑アプリと判定されていたものを窓の杜のライブラリから削除することで、サイト全体に対するブロックは解消されました。ご迷惑をおかけした方々にお詫び申し上げます。 https://t.co/mcuAJ7gtRP
— PC Watch (@pc_watch) 2017年7月31日
【お知らせ】特定環境でImpress Watchにアクセスできない問題は解消済
— 窓の杜 (@madonomori) 2017年7月31日
シマンテック社によると、「Auslogics Disk Defrag Free」をPUA(潜在的な迷惑アプリ)と判定しブロックしたとのこと。問題の早期解消のため同ソフトの窓の杜掲載を本日終了しました。
セキュリティレポートやブログのアレコレ
組織における標的型攻撃メール訓練は実施目的を明確に
【公開ページ】
http://www.ipa.go.jp/security/anshin/mgdayori20170731.html
【企業・団体・作成者】
IPA(独立行政法人情報処理推進機構)
WannaCryptorの相談事例から学ぶ一般利用者が注意すべきセキュリティ環境
【公開ページ】
http://www.ipa.go.jp/security/anshin/mgdayori20170713.html
【企業・団体・作成者】
IPA(独立行政法人情報処理推進機構)
MBR破壊型ランサムウェアの特徴比較
【公開ページ】
MBR破壊型ランサムウェアの特徴比較 | MBSD Blog
日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン)
【公開ページ】
日本企業がターゲットのサイバー攻撃を確認(バラマキ型メールによるUrsnifバンキングトロージャン) | サイバーリーズン公式ブログ
【企業・団体・作成者】
サイバーリーズン・ジャパン株式会社
JSOC INSIGHT vol.16
【公開ページ】
JSOC INSIGHT vol.16 | LAC WATCH | 株式会社ラック
【企業・団体・作成者】
LAC
訓練やっても意味がない!?
~標的型攻撃メール訓練を実施する目的~
【公開ページ】
訓練やっても意味がない!?~標的型攻撃メール訓練を実施する目的~ | LAC WATCH | 株式会社ラック
【企業・団体・作成者】
LAC
(翻訳)セキュリティで飯食いたい人向けの行動指針
【公開ページ】
(翻訳)セキュリティで飯食いたい人向けの行動指針 - Got Some \W+ech?
【企業・団体・作成者】
Ken¥dさん(https://twitter.com/ken5scal)
以上です。
ではでは皆さん夏バテしないように。
_________
/ \
/ ⌒ ⌒\
/ ( ⌒) (⌒)\
i ::::::⌒ (__人__) ⌒:: i
ヽ、 `ー ' /
/ ┌─┐
i 丶 ヽ{ .茶 }ヽ
r ヽ、__)一(_丿
ヽ、___ ヽ ヽ
と_____ノ_ノ
