【CPU脆弱性対応情報・追加】（2/2）

なお、依然脆弱性が残されており、順次緩和策で対応するとのことですので、アップデートの通知が来たら、速やかに更新を行って下さい。

詳細→　https://t.co/Z4GLYvcTbl #Meldown #Spectre
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年1月5日

【CPU脆弱性情報】(3/3)
Google Chrome ブラウザに関しては、一部対処の方法が公開中。該当ブラウザで
chrome://flags/#enable-site-per-process
を入力。「Strict Site Isolation」を「有効」に。
参考：Google ヘルプ→https://t.co/AsaR1jmYcp #Meltdown #Spectre [終]
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年1月4日

MSの定例外パッチへの各アンチウィルスの対応状況は、以下のGoogle Docsにまとまっている。https://t.co/xdLuNRz4wB
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) 2018年1月4日

海外の記事まとめ

Vulnerability Note VU#584653 - CPU hardware vulnerable to side-channel attacks

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

Securing Azure customers from CPU vulnerability | Blog | Microsoft Azure

Processor Speculative Execution Research Disclosure

Google Online Security Blog: Today's CPU vulnerability: what you need to know

Project Zero: Reading privileged memory with a side-channel

Meltdown and Spectre

CVE-2017-5753, CVE-2017-5715, and CVE-2017-5754 (Meltdown and Spectre) Windows antivirus patch compatibility

以上です。

＜更新履歴＞

2018/01/05 AM 公開

2018/01/06 PM 一部内容更新（ITpro,ITmedia,ZDNet,Trend Micro,piyolog,Gigazine,その他）

2018/01/08 PM 一部内容更新（Security NEXT,サイオステクノロジー,その他）

2018/01/09 AM 一部内容更新（Appleのセキュリティアップデート情報,その他）

2018/01/10 AM 一部内容更新（【▼各主要OSのパッチ、アップデート情報】の項目を追加、JVN,ITpro,ITmedia,ZDNet,Trend Micro,Gigazine,マイナビニュース,＠IT,Security NEXT,その他）

2018/01/11 AM 項目追加（McAfee,Kaspersky,Symantec）及び一部内容更新（ITmedia,ZDNet,Gigazine）

2018/01/13 AM 一部内容更新（Security NEXT,ITpro,ITmedia,ZDNet,Gigazine,マイナビニュース,日立ソリューションズ,その他）

2018/01/15 AM 一部内容更新（ZDNet,その他）

2018/01/17 AM 一部内容更新（ITpro,ITmedia,ZDNet,マイナビニュース）

2018/01/20 AM 一部内容更新（Security NEXT,ITmedia,ZDNet）

2018-01-01

2017年12月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

あけましておめでとうございます！！

2018年もなにとぞよろしくお願いいたします。

今年も一人でも多くの方に役立つセキュリティの情報を発信していきたいと思っております！

今年は良い年にするぞ！！！

さて、昨年11月位から、ウイルス付メール（ばらまきメール）が増加している気がしていたので、その情報をまとめております。

ウイルス付メール（ばらまきメール）情報をまとめたシートを作ってみた。 - にゃんたくのひとりごと

こちらのシートは常に更新しておりますので、何かの参考にしていただけたら幸いです。

goo.gl

では、前月のまとめです。

脆弱性のアレコレ
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Apache Struts 2に複数の脆弱性

【概要】
Apache Struts 2のRESTプラグインに複数の脆弱性が存在し、DoS攻撃等を受けてしまう可能性がある

【CVE番号】
S2-054 (CVE-2017-15707)
S2-055 (CVE-2017-7525)

【対象】
Struts 2.5 - Struts 2.5.14

【対策】
・アップデートする

【参考情報】
S2-054 - Apache Struts 2 Documentation - Apache Software Foundation
S2-055 - Apache Struts 2 Documentation - Apache Software Foundation
Apache Struts2に複数の脆弱性(S2-054, S2-055) — | サイオスOSS | サイオステクノロジー
 Apache Struts2 の脆弱性対策情報一覧：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「Apache Struts 2」の「RESTプラグイン」に脆弱性 - DoS攻撃受けるおそれ（1ページ目 / 全1ページ）：Security NEXT

Microsoft Malware Protection Engineに脆弱性

【概要】
マイクロソフトの Microsoft Malware Protection Engineに脆弱性が存在し、第三者からリモートでコードが実行される可能性がある

【CVE番号】
CVE-2017-11937

【対象】
Windows Defender
Microsoft Exchange Server 2016
Windows Intune Endpoint Protection
Microsoft Forefront Endpoint Protection 2010
Microsoft Security Essentials
Microsoft Exchange Server 2013
Microsoft Endpoint Protection
Microsoft Forefront Endpoint Protection

【対策】
更新する
※下記修正バージョンに更新されていることを確認する
Microsoft Malware Protection Engine Version 1.1.14405.2

【参考情報】

Microsoft Malware Protection Engine のリモートでコードが実行される脆弱性（CVE-2017-11937）に関する注意喚起
 Microsoftのマルウェアスキャンエンジンにまた脆弱性、修正パッチを定例外で緊急公開 -INTERNET Watch
Microsoft Malware Protection Engineのリモートコード実行脆弱性への注意喚起 - JPCERT/CC | マイナビニュース
 Microsoftのマルウェア対策エンジンに重大な脆弱性、定例外で更新プログラム公開 - ITmedia NEWS
Microsoft、マルウェア対策エンジンの脆弱性情報を連日公開 - ITmedia NEWS

TLS実装に脆弱性（脆弱性名「ROBOT」）

【概要】
1998年に発覚していた、TLS実装の脆弱性について少しの変更を加えることにより、多くのHTTPSホストに対して本脆弱性が悪用され、TLS暗号化通信データを解読される可能性がある

【CVE番号】
CVE-2017-1000385
CVE-2017-17427
CVE-2017-13098
CVE-2017-13099
CVE-2017-17428
CVE-2017-17382
CVE-2012-5081
CVE-2016-6883
CVE-2017-6168

【対象】
TLS 通信を行うプログラム

【対策】
・アップデートする
※使用している製品のベンダ情報を確認
※各ベンダ情報はこちらを参照→https://jvn.jp/vu/JVNVU92438713/index.html

・ワークアラウンドを実施する
※TLS において RSA アルゴリズムを無効にする

【参考情報】
The ROBOT Attack - Return of Bleichenbacher's Oracle Threat
Vulnerability Note VU#144389 - TLS implementations may disclose side channel information via discrepencies between valid and invalid PKCS#1 padding
JVNVU#92438713: 複数の TLS 実装において Bleichenbacher 攻撃対策が不十分である問題
 TLS実装の脆弱性「ROBOT」が人気サイトなど多数に影響--19年前の問題が再浮上 - ZDNet Japan
TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来大手各社の製品に影響 - ITmedia エンタープライズ

PAN-OSのWeb管理画面に脆弱性

【概要】
Palo Alto Networks社のPAN-OSのWeb管理画面に脆弱性があり任意コードが実行される可能性がある

【CVE番号】
CVE-2017-15944

【対象】
PAN-OS 6.1.18 を含む以前のバージョン
PAN-OS 7.0.18 を含む以前のバージョン
PAN-OS 7.1.13 を含む以前のバージョン
PAN-OS 8.0.6 を含む以前のバージョン

【対策】
・アップデートを行う（下記脆弱性対策済みバージョン）
　PAN-OS 6.1.19 以降
　PAN-OS 7.0.19 以降
　PAN-OS 7.1.14 以降
　PAN-OS 8.0.6-h3 以降

・管理画面へアクセスできるIPアドレスを制限し、外部ネットワークからアクセスできないようにする

【参考情報】
PAN-OSのWeb管理画面における脆弱性 (CVE-2017-15944) は悪用可能と確認 | セキュリティ対策のラック
 NVD - CVE-2017-15944

Palo Alto Networks PAN-OS CVE-2017-15944 Remote Code Execution Vulnerability
パロアルトネットワークス製品に脆弱性--ラックが早期適用を勧告 - ZDNet Japan

注意喚起やニュースのアレコレ

メールの送信者を偽装できる脆弱性「Mailsploit」の注意喚起

【概要】
Sabri Haddouche氏がメールの送信者を偽装できる脆弱性「Mailsploit」について発表、日本ではJPCERT等が注意喚起を実施。
また、影響を受ける製品のリストやベンダーは各社異なる。

【参考情報】
Mailsploit
送信者を偽装できる脆弱性「Mailsploit」について
 ニュース - 送信元を偽装できる脆弱性Mailsploit、30以上のメールソフトに影響：ITpro
メール送信者を偽装できる脆弱性「Mailsploit」が発見される、多くのメールクライアントに影響 -INTERNET Watch
メールソフト多数で「Mailsploit」の脆弱性発覚--スパム対策も回避 - ZDNet Japan

「ディズニーランドの入場券をご獲得になりました！」という件名の不審なメールが出回る

【概要】
「ディズニーランドの入場券をご獲得になりました！」という件名の不審なメールが出回り、メールに記載されたリンク先にアクセスすると、「入園登録表.doc」という不振なファイルをダウンロードしてしまう恐れがある

【参考情報】
「ディズニーランドの入場券をご獲得になりました！」といった件名のメールにご注意ください｜東京ディズニーリゾート
 注意情報｜一般財団法人日本サイバー犯罪対策センター
 「ディズニーランド当選」メールに注意--マルウェアの拡散狙いか - ZDNet Japan
「こんなの怪しくてすぐ見破れるwww」最近のフィッシング詐欺はそんな人が引っ掛かる (1/2) - ITmedia エンタープライズ

ヤフーをかたる架空請求SMSに注意喚起

【概要】

「ヤフー」「ヤフーサポートセンター」「ヤフージャパン」「ヤフーカスタマーセンター」などを騙り、未納料金を請求する架空請求SMSが横行していることについて、消費者庁が注意喚起を行った

【参考情報】

ヤフーかたる架空請求SMS、消費者庁が注意喚起 - ITmedia NEWS

http://www.caa.go.jp/caution/phone/pdf/caution_phone_171222_0001.pdf

バンキングマルウェア「DreamBot（ドリームボット）」の国内被害が急増

【概要】
インターネット上で入力したネット銀行のIDやパスワード情報を盗むマルウェア「DreamBot（ドリームボット）」の国内被害が急増しているとして警察庁が注意喚起を行った

※実際に感染しているかをチェックする際はこちら↓を活用してみてください
DreamBot・Gozi感染チェックサイト｜一般財団法人日本サイバー犯罪対策センター

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 不正プログラム感染パソコンの急増について
 不正送金を行うウイルス「DreamBot」、国内での感染が急増 | トレンドマイクロ is702
ニュース - ネット銀行狙うウイルス「DreamBot」の被害が急増、警察庁などが注意喚起：ITpro

2017年度の「JNSA賞」の受賞者が発表

【概要】
情報セキュリティの推進に寄与したり、同協会の知名度向上や活動の活性化に貢献した個人や団体、JNSAのワーキンググループなどに贈られる「JNSA賞」の受賞者が発表された。受賞者は以下のとおり。
・教育部会ゲーム教育WG（WGリーダー：株式会社ラック　長谷川長一氏）
・小川博久氏（電子署名WG/リモート署名TFリーダー／みずほ情報総研株式会社）
・一宮隆祐氏（海外市場開拓WGリーダー／日本電気株式会社）

【参考情報】
NPO日本ネットワークセキュリティ協会
 【セキュリティニュース】JNSA、情報セキュリティ向上への貢献で2名を表彰 - 「セキュ狼」開発のWGも（1ページ目 / 全1ページ）：Security NEXT

マルウェア「Mirai」亜種の国内活動が活発化

【概要】
IoTマルウェア「Mirai」亜種の国内活動が活発化しており。関連機関が注意喚起を行った

【参考情報】
Mirai 亜種の感染活動に関する注意喚起
 IoTマルウェア「Mirai」の亜種に警察も注意喚起 - ZDNet Japan
国内Mirai亜種の感染活動急増、ファームウェアアップデート確認など注意喚起 | マイナビニュース
 IoTマルウェア「Mirai」の亜種が活発化--100Gbps級のDDoS攻撃も - CNET Japan
Mirai亜種が国内の最大2万4000ホストに感染、ロジテック製Wi-Fiルーターの脆弱性を悪用 -INTERNET Watch
重要なお知らせ - > ロジテック製300Mbps無線LANブロードバンドルータおよびセットモデル（全11モデル）に関する重要なお知らせとお願い - ロジテック

米政府、ランサムウェア「WannaCry」の攻撃者を北朝鮮と断定

【概要】
米政府はランサムウェア「WannaCry」の攻撃者を北朝鮮と断定し非難した。北朝鮮は関与を否定している。

【参考情報】
米国による北朝鮮のサイバー攻撃に関する発表について（外務報道官談話）｜外務省
 It’s Official: North Korea Is Behind WannaCry - WSJ
北朝鮮、「WannaCry」攻撃への関与否定--米政府の主張に反論 - ZDNet Japan
WannaCryやNotPetyaで使われた感染手法をめぐる攻撃者の狙い - ZDNet Japan
５月の大規模サイバー攻撃は北朝鮮「関与」ハッカー集団「ラザルス」が攻撃か（1/2ページ） - 産経ニュース
 CNN.co.jp : ワナクライに対抗、マイクロソフトとフェイブックが連携

日本航空がビジネスメール詐欺（BEC）により3.8億円の被害

【概要】
日本航空がビジネスメール詐欺（BEC）により3.8億円の被害を受けた。また同様のビジネスメール詐欺がスカイマークにも送られていたことが判明した

【参考情報】
ニュース解説 - JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害：ITpro
ニュース - スカイマークにも振り込め詐欺、1度信じたが金銭被害は免れる、ANAは「メールは確認されていない」：ITpro
日本航空が被害を受けたビジネスメール詐欺をまとめてみた - piyolog

内閣府や経済産業省などで非常勤参与を務めていた斎藤ウィリアム浩幸氏が辞任

【概要】
内閣府と経済産業省で非常勤参与、日本航空では非常勤執行役員を務めていた斎藤ウィリアム浩幸氏が、経歴に誤りがあったことなどをブログで認め、謝罪し辞任した。

【参考情報】
ブログ等におけるご指摘について – 齋藤ウィリアム浩幸
 内閣府・経済産業省参与の齋藤ウィリアム浩幸氏の問題続々、この状況で国家機密は本当に守られるのか(山本一郎) - 個人 - Yahoo!ニュース
 紺綬褒章、ダボス会議、経産省参与。齋藤ウィリアム浩幸氏の虚像と嘘(山本一郎) - 個人 - Yahoo!ニュース
 斎藤ウィリアム浩幸氏、内閣府などの参与辞任経歴訂正：朝日新聞デジタル
 JAL、齋藤ウィリアム浩幸氏の執行役員退任を発表ブロガー山本一郎氏が経歴詐称など指摘 - トラベルメディア「Traicy（トライシー）」

セキュリティレポートのアレコレ

IPA（独立行政法人　 情報処理推進機構）

「制御システムのセキュリティリスク分析ガイド～セキュリティ対策におけるリスク分析実施のススメ～」を公開：IPA 独立行政法人情報処理推進機構
 「2017年度情報セキュリティに対する意識調査」報告書について：IPA 独立行政法人情報処理推進機構
 年末年始における情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

送信者を偽装できる脆弱性「Mailsploit」について

長期休暇に備えて 2017/12

JC3（一般財団法人日本サイバー犯罪対策センター）

注意情報｜一般財団法人日本サイバー犯罪対策センター
 注意情報｜一般財団法人日本サイバー犯罪対策センター
 注意情報｜一般財団法人日本サイバー犯罪対策センター

Trend Micro

続報：南米および北アフリカで「Mirai」の新しい亜種による攻撃を確認 | トレンドマイクロセキュリティブログ
 実例で学ぶネットの危険：「ディズニーランドの入場券をご獲得になりました！」 | トレンドマイクロセキュリティブログ

McAfee

奇跡の復元！ランサムウェアの被害後の効果的な３つの復元方法*
意外と簡単！パスワード管理を実現する方法アプリ3選レビュー
 意外と簡単！パスワード管理を実現する方法アプリ3選レビュー

LAC

PAN-OSのWeb管理画面における脆弱性 (CVE-2017-15944) は悪用可能と確認 | セキュリティ対策のラック
 次世代ファイアウォールとJSIGのベストマッチ | セキュリティ対策のラック
 女性限定の国際CTF大会が開催されました！ | セキュリティ対策のラック
 PlugXと攻撃者グループ"DragonOK"の関連性 | セキュリティ対策のラック

wizSafe Security（IIJ）

Mirai亜種の感染拡大に伴う注意喚起 – wizSafe Security Signal -安心・安全への道標- IIJ

MBSD（三井物産セキュアディレクション）

不正メールで拡散される高度なテクニックを組み合わせたダウンローダーの脅威 | MBSD Blog

JNSA（日本ネットワークセキュリティ協会）

サイバーインシデント緊急対応企業一覧 | NPO日本ネットワークセキュリティ協会

http://www.jnsa.org/active/news10/index.html

個人

piyokangoさん

（https://twitter.com/piyokango）

日本航空が被害を受けたビジネスメール詐欺をまとめてみた - piyolog
大阪大学への不正アクセスについてまとめてみた - piyolog
2017年12月の国内Webサイトの接続障害についてまとめてみた - piyolog

とある診断員さん

（https://twitter.com/tigerszk）

ssmjp2017 ~今年一年の振り返り~ - とある診断員の備忘録
 SECCON 2017 Online CTFに参加しました - とある診断員の備忘録

徳丸浩さん

（https://twitter.com/ockeghem）

2017年に登壇した勉強会を振り返る | 徳丸浩の日記

Yukio Ichinoseさん

（https://twitter.com/0x31_nose）

※ほぼ毎日更新されているので一部抜粋です
Linuxをはじめよう(原題: "Getting Started"/"ハッカーの為のLinux" Part 1/10) - 忙しい人のためのサイバーセキュリティニュース
 Linux for Hackers(ハッカーのためのLinux)連載開始のお知らせ - 忙しい人のためのサイバーセキュリティニュース

以上です。今回もココまで読んでいただきありがとうございました。

あ、そうそう11月のコチラに僕のツイートがとりあげられておりました。

www.atmarkit.co.jp

へへへ。嬉しかったです(●´ω｀●)

ではでは！

＜更新履歴＞

2018/01/01 AM 公開

2018/01/03 PM セキュリティレポートのアレコレに「JNSA（日本ネットワークセキュリティ協会）」を追加

2017-12-17

ウイルス付メール（ばらまきメール）情報をまとめたシートを作ってみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

さてさてさて。

最近、、、というかここ1、2ヶ月くらいウイルス付メール（ばらまきメール）の注意喚起が増えている気がします。

自称セキュリティウォッチャーの僕としては、

注意喚起情報や実際にメールが届いた方のTweetを見ることが増えたな、と感じています。

まず現状、ウイルス付メール（ばらまきメール）の注意喚起情報をいち早く得るならココがオススメです。

注意情報｜一般財団法人日本サイバー犯罪対策センター

情報提供｜一般財団法人日本サイバー犯罪対策センター

その他にも、コチラ↓や

blogs.yahoo.co.jp

コチラ↓

セキュリティ情報アーカイブ - 情報基盤センターからのお知らせ

Twitterでの注意喚起情報ではコチラ↓

内閣サイバー(注意・警戒情報) (@nisc_forecast) | Twitter

警視庁サイバーセキュリティ対策本部 (@MPD_cybersec) | Twitter

NISC内閣サイバーセキュリティセンター (@cas_nisc) | Twitter

フィッシング対策協議会 (@antiphishing_jp) | Twitter

電気通信大学情報基盤センター (@itc_uec) | Twitter

東工大CERT (@T2CERT) | Twitter

C-csirt (@CCsirt) | Twitter

上記情報は参考になるかと思いますので、ぜひウォッチする際には活用してみてください。

ここまでの内容でも、ウイルス付メール（ばらまきメール）の情報を得ることはできるとは思うのですが、セキュリティクラスタの方々のTweet等をウォッチしていると、

例えば、メールの本文に記載のある不審なリンク先URL情報であったり、マルウェアダウンローダのHash値、実際のマルウェアのHash値…等がつぶやかれていることをよく見かけます。

僕はふと、これらの情報をひとつにまとめたいな、と感じてしまいました。

※僕は仕事でSOCアナリストをしているので、こういった情報が監視等に実は非常に役に立っているということもあるんですけどね。。。

と、前置きはここまでにして実際に僕が作成したシートはコチラになります。

goo.gl

※現状コチラのシートの共有範囲は『リンク先を知っている全員が閲覧可』という設定にしております

※情報をまとめだしたのが2017年11月6日からですので、それ以前の情報は記載しておりません

※あくまでも、僕が収集できた情報のみ、となっておりますのでご了承ください

※定期的に更新はしていく予定です

シートの各列の説明は以下のとおりです。

※2018年2月23日に一部を修正しました

＜修正箇所＞
・マルウェアの【Hash値（SHA-256）】の列を追加
・不審なリンク先URLからDLされるファイルorメールに添付されているファイルの【Hash値（SHA-1）】の列を削除

▼日付

実際にばらまかれた日付です。主にJC3で注意喚起された日付をあてはめています。

▼件名

ばらまかれたメールの件名です。

▼送信元メールアドレス

ばらまかれたメールの宛先メールアドレスです。

▼メール記載　不審なリンク先URL

ばらまかれたメール内に記載されている不審なファイルをダウンロード（以下DL）させるURL情報です。

メールを開封しても、このURLへのアクセスがなければ、問題はないと思います。

不審なファイルが添付されているメールの場合は『添付』とシートには記載しています。

▼不審なリンク先URLからDLされるファイル or メールに添付されているファイル

上記『メール記載　不審なリンク先URL』へアクセスした場合にDLしてしまうファイルの情報です。以下3つのカテゴリに分けてあります。

・ファイル名

・Virustotal結果＆Hybrid-analysis結果

・Hash値（MD5、SHA-256、SHA-1）

▼マルウェア

上記『不審なリンク先URLからDLされるファイル or メールに添付されているファイル』からDLさせられてしまうマルウェア（バンキングマルウェア系が多い傾向にありますが）の情報です。以下3つのカテゴリに分けてあります。

・マルウェアDL先URL

・マルウェアDL先IPアドレス

・Hash値（SHA-256）

・Virustotal結果＆Hybrid-analysis結果

ここに記載してあるURLやIPアドレスにアクセスしていた場合はマルウェアに感染している可能性があります。

▼備考・参考情報

調査にあたって参考になった情報等を記載しています。

以上となっております。

しかしながら、

▼メール記載　不審なリンク先URL

▼マルウェア＞・マルウェアDL先URL

上記2つの情報については一部を伏字とさせていただきました。

※不正な2次利用などを防ぐため

ただし、セキュリティ情報としてどうしても知りたいという方は、僕にTwitterでリプもしくはDMにて連絡をください。

twitter.com

※【外部公開用_ウイルス付メール本文まとめ（11月6日～）】というメールの本文内容を記載したタブも追加いたしました（2017/12/18 AM）

こちらのシートを作成するにあたり、

参考にさせていただいたセキュリティクラスタの皆さんはコチラとなります。

🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) | Twitter

Takayuki Kurosawa (@Ta_ka_y_u_ki) | Twitter

Miyuki Chikara (@harugasumi) | Twitter

Naomi Suzuki (@NaomiSuzuki_) | Twitter

Autumn Good (@autumn_good_35) | Twitter

hiro_ (@papa_anniekey) | Twitter

いつも参考にさせていただいております。

この場を借りてお礼申し上げます。

本当にありがとうございます。今後ともよろしくお願いいたします。

このシートが、セキュリティ監視や運用に役立てていただければ幸いです。

ではでは。

＜更新履歴＞

2017/12/17 PM　公開

2017/12/18 AM　シートに【外部公開用_ウイルス付メール本文まとめ（11月6日～）】タブを挿入

2018/02/23 AM　シートを一部修正

＜修正箇所＞
・マルウェアの【Hash値（SHA-256）】の列を追加
・不審なリンク先URLからDLされるファイルorメールに添付されているファイルの【Hash値（SHA-1）】の列を削除）

2017-12-04

2017年11月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

もう12月になってしまいましたね。2017年も残りわずかです。

いきなりなんですけど、先月嬉しかった事を1つだけ言わせて下さい。

昨年位から、僕は『「＠ITのセキュリティクラスタまとめのまとめ」という記事に載るようにしてみせる！』と声に出して周囲に言っていたんですよ。

ちなみに、この記事は毎月あったセキュリティの話題をセキュリティクラスタがどのようにTwitter等で反応したかを月一で公開している記事なんです。

連載一覧はコチラ→セキュリティクラスタまとめのまとめ - ＠IT

なので、「一応」セキュリティクラスタだと自称している僕も、載る日を待ち続けていたんですが、世の中そんなに甘くないもので全く取り上げられることがなかったんです。でも、毎月この記事が出るたびに楽しみに読んではいました。

そして11月、10月のまとめということで記事が公開されたのでいつものように読んでいたんです。最後のページになった時に、『はぁ…今回も載らなかったなぁ…』なんてことをふと感じながら記事をスクロールしていたら。。。。。

見たことのある憎たらしいあのピンクの背景のアイツのツイートが。

はい、めちゃくちゃ嬉しかったです。電車の中で読んでいたんですけど多分声に出して「うお！！！」くらいは言ってたと思います。

その記事がコチラです。

www.atmarkit.co.jp

はい、なんとなくですが、やっとセキュリティクラスタの一人になれたのかなって感じました。

でも、もっともっとセキュリティについて情報発信、そして情報収集していこうと自分のなかでエンジンがかかりました。

そしてそんなにゃんたくを今後とも皆さんよろしくお願いいたします。

では、前月のまとめです。

脆弱性のアレコレ
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Adobe ReaderおよびAcrobatに脆弱性

【概要】
Adobe ReaderおよびAcrobatに脆弱性が存在し、PDF ファイルを閲覧することで第三者から任意のコードが実行される可能性がある

【CVE番号】
CVE-2017-16377
(APSB17-36)

【対象】
Adobe Acrobat Reader DC Continuous (2017.012.20098) およびそれ以前
Adobe Acrobat Reader DC Classic (2015.006.30355) およびそれ以前
Adobe Acrobat DC Continuous (2017.012.20098) およびそれ以前
Adobe Acrobat DC Classic (2015.006.30355) およびそれ以前
Adobe Acrobat Reader 2017 (2017.011.30066) およびそれ以前
Adobe Acrobat 2017 (2017.011.30066) およびそれ以前
Adobe Acrobat XI (11.0.22) およびそれ以前
Adobe Reader XI (11.0.22) およびそれ以前

【対策】
○アップデートする（以下最新バージョン）
Adobe Acrobat Reader DC Continuous (2018.009.20044)
Adobe Acrobat Reader DC Classic (2015.006.30392)
Adobe Acrobat DC Continuous (2018.009.20044)
Adobe Acrobat DC Classic (2015.006.30392)
Adobe Acrobat Reader 2017 (2017.011.30068)
Adobe Acrobat 2017 (2017.011.30068)
Adobe Acrobat XI (11.0.23)
Adobe Reader XI (11.0.23)

【参考情報】

Adobe Reader および Acrobat の脆弱性 (APSB17-36) に関する注意喚起

Adobe Reader および Acrobat の脆弱性対策について(APSB17-36)(CVE-2017-16377等)：IPA 独立行政法人情報処理推進機構

Adobe、「Acrobat DC」「Acrobat Reader DC」の定例セキュリティアップデートを公開 - 窓の杜

アドビ、「Flash Player」や「Acrobat Reader」などで多数の脆弱性を修正 - CNET Japan

OpenAM(オープンソース版)に脆弱性

【概要】
OpenAM(オープンソース版)に脆弱性が存在し、該当製品にログイン可能な第三者によって認証を回避され権限のないコンテンツにアクセスされる可能性がある

【CVE番号】
CVE-2017-10873

【対象】
OpenAM 9.5.5
→osstech-openam-9.5.5-41 以前のバージョン
OpenAM 11.0.0
→osstech-openam11-11.0.0-112 以前のバージョン
OpenAM 13.0.0
→osstech-openam13-13.0.0-73 以前のバージョン

※OpenAM (オープンソース版の全てのバージョン)を SAML 2.0 の IdP として使用しているシステムにおいて、SP から送られてくる認証コンテキスト(AuthnContext) によって認証方式を切り替えている場合に、本脆弱性の影響を受ける可能性がある

【対策】
○アップデートする（修正パッチの適用）

【参考情報】

OpenAMのセキュリティに関する脆弱性(CVE-2017-10873)と製品アップデートのお知らせ[AM20171101-1] - Open Source Solution Technology Corporation

JVN#79546124: OpenAM (オープンソース版) における認証回避の脆弱性

【セキュリティニュース】「OpenAM」に追加認証を回避される脆弱性（1ページ目 / 全1ページ）：Security NEXT

NTTドコモ「Wi-Fi STATION L-02F」に脆弱性

【概要】
NTTドコモ「Wi-Fi STATION L-02F」にバッファオーバーフローの脆弱性が存在し、第三者から任意のコードが実行される可能性がある

【CVE番号】
CVE-2017-10871

【対象】
Wi-Fi STATION L-02F ソフトウェアバージョン L02F-MDM9625-V10h-JUN-23-2017-DCM-JP およびそれ以前

【対策】
○アップデートする

【参考情報】

ドコモからのお知らせ : 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い | お知らせ | NTTドコモ

「Wi-Fi STATION L-02F」にバッファオーバーフローの脆弱性(JVN#23367475)：IPA 独立行政法人情報処理推進機構

JVN#23367475: Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性

ドコモ「Wi-Fi STATION L-02F」に意図しない通信が発生する不具合、ソフト更新を案内 - ケータイ Watch

CS-Cart日本語版に脆弱性

【概要】
有限会社フロッグマンオフィスが提供するショッピングサイト構築システムのCS-Cart日本語版にXSSの脆弱性が存在し、第三者から任意のコードを実行される可能性がある

【CVE番号】
CVE-2017-10886

【対象】
CS-Cart日本語版スタンダード版 v4.3.10 およびそれ以前 (v2系、v3系は除く)
CS-Cart日本語版マーケットプレイス版 v4.3.10 およびそれ以前 (v2系、v3系は除く)

【対策】
○アップデートする

【参考情報】
セキュリティ :: 【JVN#29602086】 2017年11月13日に公表されたXSS脆弱性への対応方法 - ブログ記事
 JVN#29602086: CS-Cart日本語版におけるクロスサイトスクリプティングの脆弱性
 【セキュリティニュース】「CS-Cart日本語版」にXSSの脆弱性 - パッチがリリース（1ページ目 / 全1ページ）：Security NEXT

ロボット掃除機「COCOROBO」に脆弱性

【概要】
シャープのロボット掃除機「COCOROBO（ココロボ）」に脆弱性が存在し、第三者が任意の捜査の実行や情報漏えい、改ざんの可能性がある

【CVE番号】
CVE-2017-10890

【対象】
RX-V200 ファームウェアバージョン 09.87.17.09 より前のバージョン
RX-V100 ファームウェアバージョン 03.29.17.09 より前のバージョン
RX-CLV1-P ファームウェアバージョン 79.17.17.09 より前のバージョン
RX-CLV2-B ファームウェアバージョン 89.07.17.09 より前のバージョン
RX-CLV3-N ファームウェアバージョン 91.09.17.10 より前のバージョン

【対策】
○アップデートする

【参考情報】
COCOROBOアップデート｜スタートガイド｜ロボット家電COCOROBO：シャープ
 JVN#76382932: ロボット家電 COCOROBO におけるセッション管理不備の脆弱性
 シャープのロボット掃除機「COCOROBO」に脆弱性 | マイナビニュース
 シャープのロボット掃除機、第三者が遠隔操作できる恐れ - ITmedia NEWS
シャープの「COCOROBO」に脆弱性、ファームウェア更新の呼び掛けも - ZDNet Japan
ニュース - シャープのロボット掃除機「COCOROBO」に脆弱性、のぞき見の危険性も：ITpro
ロボット掃除機 COCOROBO におけるセッション管理不備の脆弱性(JVN#76382932) | セキュリティ対策のラック

QND Advance/Standardに脆弱性

【概要】
クオリティソフト株式会社が提供するQND Advance/Standardにディレクトリトラバーサルの脆弱性が存在し、第三者から管理サーバ上の任意のファイルが改ざんされたり、任意のファイルを取得されたりする可能性がある

【CVE番号】
CVE-2017-10861

【対象】
QND Advance/Standardの全バージョン

【対策】
○アップデートする

【参考情報】
QND Advance/Standardサーバーの脆弱性について | クオリティソフト株式会社
 JVNVU#94198685: QND Advance/Standard におけるディレクトリトラバーサルの脆弱性
 PC管理ソフト「QND」に深刻な脆弱性--ファイル改ざんなどの恐れ - ZDNet Japan

Microsoft Officeの数式エディタに脆弱性

【概要】
Microsoft Officeの数式エディタにスタックベースのバッファオーバーフローの脆弱性が存在し、第三者からユーザの権限で任意のコードが実行される可能性がある

①「payWave」サービスの規約変更通知を装ったスパムメール（ロシア語圏）
②VJA ギフトカードインターネットショップを装ったスパムメール（日本語圏）
上記2つのメールに添付されて拡散された報告あり

【CVE番号】
CVE-2017-11882

【対象】
Microsoft Office 2007 Service Pack 3
Microsoft Office 2010 Service Pack 2 (32-bit edition)
Microsoft Office 2010 Service Pack 2 (64-bit edition)
Microsoft Office 2013 Service Pack 1 (32-bit edition)
Microsoft Office 2013 Service Pack 1 (64-bit edition)
Microsoft Office 2016 (32-bit edition)
Microsoft Office 2016 (64-bit edition)

【対策】
◯アップデートする
◯数式エディタを無効化する
◯EMET もしくは Windows Defender Exploit Guard を eqnedt32.exe に適用する

【参考情報】
Microsoft Office の脆弱性(CVE-2017-11882)について：IPA 独立行政法人情報処理推進機構
 JVNVU#90967793: Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性
 ニュース - MSがサポート終了の「Office 2007」にパッチを提供：ITpro
Office数式エディタのRCE脆弱性を悪用したマルウェアが登場、IPAが注意喚起 -INTERNET Watch
「Microsoft Office」の脆弱性を悪用、PCを乗っ取る攻撃--研究者報告 - ZDNet Japan
サイバー攻撃者がメールを“誤送信”--「To」で標的一覧が発覚 - ZDNet Japan
【セキュリティニュース】悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散（1ページ目 / 全2ページ）：Security NEXT
VJAギフトカードご注文ありがとう迷惑メールでウイルス感染手口と対策は？ ( パソコン ) - 無題な濃いログ - Yahoo!ブログ
 第40回 2017年11月～利用が容易なOffice脆弱性が発見された2017年11月～PoCも出ました：インフラセキュリティの処方箋｜gihyo.jp … 技術評論社
 CVE-2017-11882 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apple macOS High Sierraに脆弱性

【概要】
Apple macOS High Sierraに"root" アカウントをはじめとする、無効化されているアカウントに対する認証回避の問題があり、"root" アカウントが有効化されていると、OS が提供する "Screen Sharing" や "Remote Management" などのリモート管理機能の認証に使われる可能性がある

【CVE番号】
CVE-2017-13872

【対象】
macOS High Sierra 10.13.1
※macOS Sierra 10.12.6 およびそれ以前のバージョンは影響を受けないとのこと

【対策】
◯アップデートする
※セキュリティアップデートをMac OS 10.13.0で実行し、その後Mac OS 10.13.1にアップデートすると本問題が再発。必ず再起動が必要。
◯ワークアラウンドを実施する
※管理者権限でターミナルを開いてコマンド sudo passwd -u root を実行し、強いパスワードを設定する

【参考情報】
JVNVU#113765: Apple macOS High Sierra に無効化されているアカウントに対する認証回避の問題
 macOS High Sierra の設定に関する注意喚起
 macOSの「root」ログイン問題、10.13.0から10.13.1に更新すると再発の恐れ（要再起動） - ITmedia NEWS
ニュース - macOSの脆弱性修正パッチ公開、説明は「なるべく早くインストール」だけ：ITpro
macOS High Sierraに新しいバグ問題。パッチあてると今度はファイル共有できない（解決策あり） | ギズモード・ジャパン
 Apple、パスワードなしで管理者ログインできる脆弱性を修正ユーザーに謝罪 - ITmedia NEWS
macOS High Sierraにrootユーザーを悪用できる脆弱性 | マイナビニュース

Movable Type用プラグインのA-Member,A-Reserveに脆弱性

【概要】
Movable Type用プラグインのA-Member,A-ReserveにSQLインジェクションの脆弱性が存在し、第三者によりデータベース内の情報を取得されたり、改ざんされたりする可能性がある

【CVE番号】
CVE-2017-10898
CVE-2017-10899

【対象】（）内は影響を受けるCVE番号
A-Member 3.8.6 およびそれ以前 (CVE-2017-10898)
A-Member for MTクラウド 3.8.6 およびそれ以前 (CVE-2017-10898)
A-Reserve 3.8.6 およびそれ以前 (CVE-2017-10899)
A-Reserve for MTクラウド 3.8.6 およびそれ以前 (CVE-2017-10899)

【対策】
◯アップデートする

【参考情報】
Movable Typeブログ-セキュリティーアップデート：A-Member 3.8.7, A-Reserve 3.8.7をリリース：Web制作のアークウェブ(東京都中央区)
Movable Type 用プラグイン「A-Member」および「A-Reserve」における SQL インジェクションの脆弱性について(JVN#78501037)：IPA 独立行政法人情報処理推進機構
 JVN#78501037: Movable Type 用プラグイン A-Member および A-Reserve における SQL インジェクションの脆弱性
 【セキュリティニュース】アップデート「WordPress 4.9.1」でセキュリティに関する問題4件を解決 - バグの修正も（1ページ目 / 全1ページ）：Security NEXT

デジ蔵 ShAirDiskに複数の脆弱性

【概要】
プリンストンのワイヤレスモバイルストレージの「デジ蔵 ShAirDisk」に複数の脆弱性が存在し、第三者から情報の改ざんやDos攻撃、任意のコードを実行される等の可能性がある

【CVE番号】
CVE-2017-10900
CVE-2017-10901
CVE-2017-10902
CVE-2017-10903

【対象】
PTW-WMS1 用ファームウェアバージョン 2.000.012

【対策】
◯アップデートする

【参考情報】
PTW-WMS1をルーター機能の無いモデムに接続してご使⽤されているお客様へファームウェアアップデートのお知らせ | 対応情報 | お知らせ一覧 | 株式会社プリンストン
 ワイヤレスモバイルストレージ『「デジ蔵 ShAirDisk」PTW-WMS1』における認証不備の脆弱性について(JVN#98295787)：IPA 独立行政法人情報処理推進機構
 JVN#98295787: ワイヤレスモバイルストレージ「デジ蔵 ShAirDisk」PTW-WMS1 における複数の脆弱性
 【セキュリティニュース】プリンストン製モバイルストレージに複数の脆弱性（1ページ目 / 全1ページ）：Security NEXT

注意喚起やニュースのアレコレ

セキュリティ会社の社員が不正指令電磁的記録（ウイルス）保管容疑で逮捕

【概要】
セキュリティ会社ディアイティの社員が、パソコン内のファイル共有ソフト「Ｓｈａｒｅ（シェア）」に、ウイルスが含まれたファイルを、第三者がダウンロードできる状態で保管したとして、不正指令電磁的記録（ウイルス）保管容疑で逮捕された

【参考情報】
ニュース - ウイルス保管容疑でセキュリティ企業ディアイティの社員逮捕、同社は反論：ITpro
ニュース解説 - セキュリティ会社の社員逮捕、ウイルス拡散が疑われるも残る疑問：ITpro
セキュリティ企業のP2P監視サービス管理者逮捕ウイルスを「Share」に保管会社は反論 - ITmedia NEWS
ディアイティ社員が「ウイルス保管」で逮捕 Winny、Librahack事件の再来か？｜ビジネス+IT

フジテレビのチケットサイトで不正ログイン

【概要】
フジテレビのチケットサイト「フジテレビダイレクト」で不正アクセスがあり、会員181件に不正ログインが行われた模様

【参考情報】
「フジテレビダイレクト」への"なりすまし"(リスト型攻撃)による不正ログインについて｜ぴあ株式会社
 フジテレビのチケット販売サイトで不正ログイン - ねとらぼ
 【セキュリティニュース】フジテレビのチケットサイトで不正ログイン - 一部で不正購入も（1ページ目 / 全1ページ）：Security NEXT
https://mainichi.jp/articles/20171111/k00/00m/040/167000c
フジテレビのチケット販売サイトに不正ログイン - 産経ニュース

経産省のサイバーセキュリティ経営ガイドライン改訂が改定

【概要】
経産省のサイバーセキュリティ経営ガイドラインが改訂され、「サイバーセキュリティ経営ガイドライン Ver2.0」が公開された
※サイバーセキュリティ経営ガイドラインとは、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針となる経営ガイドライン

【参考情報】
サイバーセキュリティ経営ガイドラインを改訂しました（METI/経済産業省）
サイバーセキュリティ経営ガイドライン（METI/経済産業省）
ニュース - 経産省のサイバーセキュリティ経営ガイドライン改訂、攻撃検知と復旧への備えを追加：ITpro
経産省、セキュリティ経営ガイドラインを改訂--攻撃検知や復旧にも焦点 - ZDNet Japan
【セキュリティニュース】「サイバーセキュリティ経営ガイドラインVer2.0」が公開 - 「攻撃検知」「復旧」前提に（1ページ目 / 全3ページ）：Security NEXT

ランサムウェア「Bad Rabbit」配布の踏み台にされたアイカ工業のWebサイトが再開

【概要】
2017年10月にランサムウェア「Bad Rabbit」配布の踏み台にされ閉鎖していたアイカ工業のWebサイトが再開された

【参考情報】
お知らせ | アイカ工業株式会社

ランサムウェア配布の踏み台にされたアイカ工業、ウェブサイトを再開 - ZDNet Japan
ニュース - アイカ工業、サイバー攻撃の疑いで閉鎖中だったWebサイトを再開：ITpro

「著作権侵害訴訟最終通知書」という架空請求ハガキに注意

【概要】
「知的財産教育協会財団」を名乗る団体から「著作権侵害訴訟最終通知書」という架空請求ハガキが出回っており、正規の団体である「知的財産研究教育財団」も注意喚起をおこなった

【参考情報】
知的財産研究所
 「知的財産教育協会財団」を名乗る架空請求ハガキにご用心「著作権侵害訴訟」の名目で不安をあおる手口 - ねとらぼ
 「著作権侵害最終通知書」架空請求ハガキ出回る - ITmedia NEWS

ウイルス付メールまとめ（2017年11月）

【概要】
JC3（日本サイバー犯罪対策センター事務局）が公開しているウイルス付メールの情報は、2017年11月は39件報告。
そのうち『楽天』を騙るメールが14件と最多。その他、NHKオンデマンド、セキュリティソフトのＰｈｉｓｈＷａｌｌプレミアム、VJAギフトカードショップ等を騙るメールも出回った

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター

セキュリティレポートのアレコレ

JPCERT/CC

インターネット定点観測レポート(2017年 7～9月)
インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書（第2版）公開（2017-11-09）
イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~（2017-11-28）

Trend Micro

「Mirai」の新しい亜種の拡散を確認 | トレンドマイクロセキュリティブログ
 実例で学ぶネットの危険：スマホで突然の「ウイルスに感染」表示、開くとどうなる？ | トレンドマイクロセキュリティブログ
 IoT 機器を狙う「Reaper」、数百万台のネットワーク機器に感染 | トレンドマイクロセキュリティブログ
 Wordファイルの暗号化および自己複製機能を備えた暗号化型ランサムウェア「qkG」を確認 | トレンドマイクロセキュリティブログ

McAfee

組織を守るために知っておきたいサイバー攻撃の種類 20選
 サイバー犯罪集団「Lazarus」に関連するAndroidマルウェアを発見
 サイバーセキュリティキャロル: 2017年の「最もハッキングされやすいギフト」からわかる大切なこと

LAC

サイバー救急センターレポート第1号 | セキュリティ対策のラック
 標的型攻撃メール訓練中の混乱を防げ！【第3回】訓練編 | セキュリティ対策のラック

MBSD（三井物産セキュアディレクション）

XXE攻撃基本編 | MBSD Blog

ソフトバンク・テクノロジー

CVE-2017-11882 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Cisco Japan Blog

効率的な感染拡大手口：Google の検索結果を狙ったバンキング型トロイの木馬

個人

2017年10月、11月の国内レンタルサーバー事業者へのDoS攻撃についてまとめてみた - piyolog
デバッガを利用してWebアプリの脆弱性を分析してみた - とある診断員の備忘録
 IEのクッキーモンスターバグはWindows 10で解消されていた | 徳丸浩の日記

以上です。

今回もココまで読んでいただきありがとうございました。

そうそう、この時期は忘年会やクリスマス等で呑むことが増える時期です。

特にこの時期多いのが飲み会終わりにスマホや大事な書類や会社のPCを忘れてきた、無くしたというインシデント、です。

なので、呑んだら最後に自分の持ち物を持っているかを確認してからお店などから出るようにしてみましょう。

防げるインシデントこそ、起こさないようにするのがベストだと思います。

ただ、もし起こしてしまったら早急に周囲に連絡をしましょう。

人間に、絶対はありませんからね。

というわけで、ちょっと早めのMerry Christmas!
　　 ∧ ∧
　　(*ﾟーﾟ)
☆☆"ＵＵ"ﾐ☆☆
‥‥‥▲‥*‥‥
‥*‥▲▲‥‥‥
‥‥▲▲▲‥‥*
*‥▲▲▲▲‥‥
‥‥‥■‥‥*‥

＜更新履歴＞

2017/12/04 AM 04:05 公開

2017-11-27

NHKスペシャル『あなたの家電が狙われている～インターネットの新たな脅威～』を見てみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

本日はコチラを見てみた感想や、番組でとりあげられていた内容を自分なりにまとめてみました。

実際に番組を見ていた方、見れなかったけど内容をざっくりと内容を知りたい方はぜひ参考にしてみてください。

（※ただし！これはあくまでも僕のメモ的なものですので、放映されていた内容全てを書いているわけではありませんのでご了承ください）

www6.nhk.or.jp

【魚拓】NHKスペシャル | あなたの家電が狙われている～インターネットの新たな脅威～

番組内容をざっくり知りたい方はコチラにまとまっています。

www3.nhk.or.jp

【魚拓】ＩｏＴ機器を狙うウイルス感染 100倍に急増先月から | NHKニュース

ちなみに「#nhkスペシャル」と「#あなたの家電が狙われている」というハッシュタグでつぶやかれていたものをざっくりとまとめてみました。

togetter.com

そうそう、僕の認識としてはNHKでサイバー攻撃についてがっつりとりあげられていたのってコレ以降なんじゃないかなと感じております。（※間違ってたらすいません）

NHK SFリアル「サイバー戦争の世紀」を見てみた！ - にゃんたくのひとりごと

ではいってみましょー(ΦωΦ)ﾌﾌﾌ…

乗っ取られたWebカメラの話
IoT機器を用いたサイバー攻撃の話
全体的な感想
MiraiマルウェアがIoT機器対してログイン試行するIDとパスワード一覧

乗っ取られたWebカメラの話

さて、題名として『あなたの家電が狙われている～インターネットの新たな脅威～』とりあげられているように、番組冒頭から、家電が狙われた方のインタビュー映像からスタート。

どうやら今年8月にもTBSで取材を受けていた人のようです。ブログ記事も確認することができました。

【お詫び】中国製ネットワークカメラの記事に大きな誤りがあった話 - 僕とネットショッピング

狙われたカメラではこのような現象が起きたようです。

・Webカメラのレンズと目があった

・勝手にカメラが動いた

・カメラから女性の声が聞こえた

※声は中国語の方言

機器の設定として、長いパスワードを設定していたとのことです。

つまり、パスワードを設定していたとしても乗っ取られてしまうことがわかります。

ただし、どういうパスワードだったか、今後どう対策したか、等は番組では取り上げられてはいませんでした。

番組の流れとして、パスワード設定が弱い等のカメラ映像が、まとめて公開されているサイトがあるという内容も放映されました。

このサイト、セキュリティをやっている人間ならもしかしたら聞いたことがあるのでは、というサイトでした。サイト名は『insecam』です。

実際に現在も稼働しているサイトですのでググればこのサイトを見ることはできますが、実際に『insecam』とはどんなサイトかはコチラをご覧いただくのが良いかと思います。

japan.norton.com

番組を見ていて、気になったのはこの『insecam』の放映の仕方です。

上記のNortonのサイトでは、実際のカメラ画像に『ぼかし』が入っています。

しかしながら、今回の番組ではぼかすこともなくありのままの映像を流していました。

これはリテラシー的にどうなんだろうな、と感じました。

また、実際にWebカメラに対し乗っ取ることが出来るのか、という実験も今回行われました。

放送前からTwitterセキュリティクラスタ内では話題になっていた黒林檎（@r00tapple）さんが登場して、実際にWebカメラに対し乗っ取れるかの実証を行っていました。（黒林檎さん初見でしたがメガネイケメンでしたね…）

ご本人のブログにWebカメラの乗っ取りについてまとめてありましたので共有です。

「中華ウェブカメラ」のセキュリティについて - 黒林檎のお部屋♬

その他、Webカメラ乗っ取りについてはこちらも参考になるかと思われます。

Webカメラが乗っ取られる！ネット機器の脆弱性、検証して専門家に聞いてみた【イニシャルB】 - INTERNET Watch

IoT機器を用いたサイバー攻撃の話

次に話題にあげられたのが、IoT機器を用いたサイバー攻撃のお話でした。

で、一番最初にとりあげられたのが、昨年10月に起きたDNSサービスを提供するアメリカのDyn（ダイン）社へのサイバー攻撃の話題です。

こちらはDyn社のDNSサーバーに対し大規模なDDoS攻撃が行われ、TwitterやAmazon、Netflix等のサービスが接続しにくくなるという内容です。

※参考はコチラ↓

米国で大規模なDDoS攻撃、TwitterやSpotifyが一時ダウン - ZDNet Japan

「ＩｏＴ乗っ取り」攻撃でツイッターなどがダウン : 科学 : 読売新聞（YOMIURI ONLINE）

米で大規模サイバー攻撃アマゾン、ＣＮＮにも（1/2ページ） - 産経ニュース

ニュース - DNSサービスの「Dyn」に大規模DDoS攻撃、Twitterなどが影響受けダウン：ITpro

そして日本でDDoS攻撃の被害にあった企業ということで、カブドットコム証券もとりあげられていました。

こちらはカブドットコム証券のWebサイトに対し、今年6月にDDoS攻撃が行われ、約40分ほどサイトが不通になったという内容です。

※参考はコチラ↓

カブドットコム、DDoS攻撃でサイト不通に - ITmedia NEWS

ニュース - カブドットコム証券にDDoS攻撃、検知から約38分後にブロック：ITpro

【セキュリティニュース】カブドットコム証券にDDoS攻撃 - 一時アクセスしづらい状態に（1ページ目 / 全1ページ）：Security NEXT

上記2つに共通するもの、それは『DDoS攻撃』を受けたということです。

そして、その攻撃に使われたのが、『Mirai』と呼ばれる、IoTデバイスを標的にして感染するマルウェア（ウイルス）があるということです。

※この『Mirai』についてはこちらを参考にしてみてください。

Mirai(ミライ)とは | セキュリティ用語解説 | 日立ソリューションズの情報セキュリティブログ

JVNTA#95530271: Mirai 等のマルウェアで構築されたボットネットによる DDoS 攻撃の脅威

超速解説：IoTデバイスを狙うマルウェア「Mirai」とは何か――その正体と対策 - TechFactory

米ネットを襲う未曾有のDDoS。アンナ先輩が野に放った「Mirai」という名の魔物 | ギズモード・ジャパン

このMiraiというマルウェアについて、横浜国立大学の吉岡克成氏の研究もとりあげられていました。

とりあげられていた内容としては、脆弱なIoT機器を装ったハニーポット（囮的なもの）を仕掛け、攻撃を受けたログ等を解析するというものです。

その中で、攻撃を仕掛けた機器が日本国内にあることがわかり、実際にその場所に行ってみた所、秋田県某所のアパートの防犯カメラの録画装置から、ということが判明するところまで放映されていました。

つまり、IoT機器からIoT機器へ攻撃が行われているという事がわかりますよね。

※横浜国立大学の吉岡克成氏の報道記事はコチラ

IoT機器がマルウェアに感染する元凶は「Telnet」～横浜国大・吉岡克成准教授 -INTERNET Watch

ウイルスに感染したIoT機器からのサイバー攻撃急増を確認－－横浜国立大など - WirelessWire News（ワイヤレスワイヤーニュース）

そしてその次に話題にあがったのが、こういったサイバー攻撃には『代行サービス』があるという話題です。

僕はこの時点で『またダークウェブくるか…くるか…（ため息まじり）』と感じていましたがやっぱり来ました『ダークウェブ』。

ダークウェブとはなんぞや、というとざっくり言うと「違法なモノをやりとりできるアンダーグラウンドなインターネット」です。

ただし、普通のWeb検索ではたどり着くことはできませんのでご安心を。

ちなみに今回の放映でダークウェブについて話していた方のこんな記事も確認できましたので共通しておきます。

恐怖！ダークWeb - 正しく怖がるダークWeb、Facebookも存在する：ITpro

そうそう、番組ではMiraiの亜種を使ってサイバー攻撃を行った「ダニエル・ケイ」についてもとりあげられていましたね。

「改造版Mirai」を作った男の意外な正体!?（後編） - THE ZERO/ONE

もうこのあたりから僕は「この番組結局何が言いたいんだろう」と感じてきてました。

その後、薬剤点滴装置や車に対してハッキングが行われてしまい危ない。という話題がとりあげられていました。（このあたりからちょっと集中しなくなってきていた…）

全体的な感想

番組が終わった瞬間にこうつぶやいてしまいました。

NHKの番組ってどうしてここまで視聴者を怖がらせる感じを残して終わるんでしょうかね。
せっかくなんだから対策とか対応方法とかも一緒に報道すべきだと感じましたよよよ。

#nhk
#nhkスペシャル
— にゃん☆たく (@taku888infinity) 2017年11月26日

番組冒頭でNICTの井上大介さんとかNIRVANAの動画がチラッと映ったり、予告ではDEFCONやBLACKHATの映像が出ていたのに全くとりあげられなかったのはちょっと残念でした。

ただ、今回の番組を見て、セキュリティについて考えてくれたり、対策をしよう、実際にセキュリティについて調べてみようと感じた方々は少なからずもいると思います。

僕はまだセキュリティ業界で仕事をしだしてまだ3年ほどですが、セキュリティって結局、一人ひとりがセキュリティに対して意識をもつことが、実は一番のセキュリティ対策なのでは、と感じています。

ですので、今回の番組をきっかけにセキュリティに対して知ろうとしてくれる人が一人でも増えてくれたらうれしいです。

MiraiマルウェアがIoT機器対してログイン試行するIDとパスワード一覧

さて最後に、今回話題になったMiraiと呼ばれるIoTデバイスを標的にして感染するマルウェアが、感染させたい機器に対してログイン試行する際に利用するIDとパスワードの一覧を載せておきます。

※Miraiのソースコードには62組のIDとパスワードが記載されています

下記のIDとパスワードの設定にはしないことをオススメします。

参考にしていだければ幸いです。

☆IDまとめ

root
admin
support
user
Administrator
service
supervisor
guest
admin1
666666
888888
ubnt
tech
mother

☆パスワード

xc3511
vizxv
admin
888888
xmhdipc
default
juantech
123456
54321
support
(none)
password
root
12345
user
pass
admin1234
1111
smcadmin
666666
1234
klv123
service
supervisor
guest
ubnt
klv1234
Zte521
hi3518
jvbzd
anko
zlxx.
7ujMko0vizxv
7ujMko0admin
system
ikwb
dreambox
realtek
0
1111111
meinsm
tech
fucker

以上です。

ココまで読んでいただきありがとうございました。

ではでは( ˘ω˘)

＜更新履歴＞

2017/11/27 AM 04:40 公開

本脆弱性について

日本の記事まとめ

ITpro

＠IT

Security NEXT

マイナビニュース

piyolog

日立 ソリューションズ

その他

海外の記事まとめ

＜更新履歴＞

脆弱性のアレコレ

Apache Struts 2に複数の脆弱性

Microsoft Malware Protection Engineに脆弱性

TLS実装に脆弱性（脆弱性名「ROBOT」）

PAN-OSのWeb管理画面に脆弱性

注意喚起やニュースのアレコレ

メールの送信者を偽装できる脆弱性「Mailsploit」の注意喚起

「ディズニーランドの入場券をご獲得になりました！」という件名の不審なメールが出回る

ヤフーをかたる架空請求SMSに注意喚起

バンキングマルウェア「DreamBot（ドリームボット）」の国内被害が急増

2017年度の「JNSA賞」の受賞者が発表

マルウェア「Mirai」亜種の国内活動が活発化

米政府、ランサムウェア「WannaCry」の攻撃者を北朝鮮と断定

日本航空がビジネスメール詐欺（BEC）により3.8億円の被害

内閣府や経済産業省などで非常勤参与を務めていた斎藤ウィリアム浩幸氏が辞任

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

JPCERT コーディネーションセンター

JC3（一般財団法人 日本サイバー犯罪対策センター）

LAC

wizSafe Security（IIJ）

MBSD（三井物産セキュアディレクション）

JNSA（日本ネットワークセキュリティ協会）

個人

piyokangoさん

とある診断員さん

徳丸 浩さん

Yukio Ichinoseさん

脆弱性のアレコレ

Adobe ReaderおよびAcrobatに脆弱性

OpenAM(オープンソース版)に脆弱性

NTTドコモ「Wi-Fi STATION L-02F」に脆弱性

CS-Cart日本語版に脆弱性

ロボット掃除機「COCOROBO」に脆弱性

QND Advance/Standardに脆弱性

Microsoft Officeの数式エディタに脆弱性

Apple macOS High Sierraに脆弱性

Movable Type用プラグインのA-Member,A-Reserveに脆弱性

デジ蔵 ShAirDiskに複数の脆弱性

注意喚起やニュースのアレコレ

セキュリティ会社の社員が不正指令電磁的記録（ウイルス）保管容疑で逮捕

フジテレビのチケットサイトで不正ログイン

経産省のサイバーセキュリティ経営ガイドライン改訂が改定

ランサムウェア「Bad Rabbit」配布の踏み台にされたアイカ工業のWebサイトが再開

「著作権侵害訴訟最終通知書」という架空請求ハガキに注意

ウイルス付メールまとめ（2017年11月）

セキュリティレポートのアレコレ

LAC

MBSD（三井物産セキュアディレクション）

Cisco Japan Blog

個人

乗っ取られたWebカメラの話

IoT機器を用いたサイバー攻撃の話

全体的な感想

MiraiマルウェアがIoT機器対してログイン試行するIDとパスワード一覧

日立ソリューションズ

IPA（独立行政法人　情報処理推進機構）

JC3（一般財団法人日本サイバー犯罪対策センター）

徳丸浩さん