2018-09-03

2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

平成最後の夏は皆さんいかがだったでしょうか。

にしても猛暑な夏でしたね･･･今年の夏は暑かったという印象しか正直ありません。

さて、そんな今年の夏、去年に引き続きコチラにお邪魔させていただきました。

f:id:mkt_eva:20180902223212j:plain

セキュリティ・キャンプ全国大会2018です！

セキュリティ・キャンプ全国大会2018 ホーム：IPA 独立行政法人情報処理推進機構

今年も企業のお仕事紹介の時間にお邪魔し、参加者の皆様の前でお話させていただきました。

また、その後のグループワーク時にも多くの学生さんとお話させていただき、こちらとしても非常に刺激を受けました。さすがキャンプに参加するだけにセキュリティに対する『愛』を持っている皆さんばかりでした。

話してくれた皆さん、ありがとうございました。

そうそう、今年から『にゃん☆たく』の名刺も作って持参してました。笑

今日は本当に多くの参加者の方々と交流する事が出来ました。ありがとうございました😆
キャンプで経験した事は後で『役に立った』と思える日が必ずくると思います。
一緒にこれからの日本のセキュリティを盛り上げていきましょう！またどこかでお会いできる日を楽しみにしてます！ではでは！#seccamp pic.twitter.com/wSErDUbK7l
— にゃん☆たく (@taku888infinity) August 17, 2018

セキュリティキャンプに参加していた皆さんの体験記を収集して載せようと準備してたのですが、、、、

467さん（４６７ (@srn221B) | Twitter）がこのようなまとめを公開してくれていたので、セキュリティキャンプに興味のある方はぜひ読んでみてください。

467.hatenablog.com

各自のこういうアウトプットって僕は大事だと思っています。

僕はまだまだセキュリティの「セ」の字もわかっていない人間ですが、ブログやTwitterではどんどんアウトプットするようにして、色んな意見（特に悪い意見）を聞くようにしています。

アウトプットすることで自分では気づけないことに「気づける」ということが、セキュリティ関係なく大事だとぼくは思っています。

というわけで前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Apache Struts2に脆弱性(S2-057)

【概要】
Apache Struts2にはユーザ入力の不十分な検証に起因する脆弱性が存在し、リモートから第三者により細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性がある

※本脆弱性は、Apache Struts 2 の処理に起因し、Struts の設定ファイル(struts.xmlなど) で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URL タグの記述において value かaction の値が指定されていない場合に、本脆弱性の影響を受ける（IPAの『Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起』より抜粋）

【CVE番号】
CVE-2018-11776
S2-057

【対象】
・Struts 2.3 系列: Struts 2.3.35 より前のバージョン
・Struts 2.5 系列: Struts 2.5.17 より前のバージョン

【対策】
▼アップデートする
本脆弱性修正済みバージョンは以下のとおり
・Struts 2.3.35
・Struts 2.5.17

▼ワークアラウンドを実施する
⇒Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する

【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)：IPA 独立行政法人情報処理推進機構

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

Apache Struts2 の脆弱性対策情報一覧：IPA 独立行政法人情報処理推進機構

JVNVU#93295516: Apache Struts2 に任意のコードが実行可能な脆弱性

【セキュリティニュース】WordPressの脆弱な追加機能狙う攻撃 - サイト間感染のおそれも（1ページ目 / 全2ページ）：Security NEXT

「Apache Struts 2」に重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを - INTERNET Watch

CVE-2018-11776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apache Struts 2におけるリモートコード実行に関する脆弱性（CVE-2018-11776）（S2-057）についての検証レポート | NTTデータ先端技術株式会社

Ghostscriptに脆弱性

【概要】
Ghostscript には -dSAFER オプションによる保護が回避される複数の脆弱性が存在し、リモートから第三者によって、任意のコマンドを実行される可能性がある

【CVE番号】
無し

【対象】
Ghostscript9.23およびそれ以前
⇒ImageMagick7.0.8-10 およびそれ以前
※ImageMagickはデフォルトでGhostscriptを使用しています

【対策】（※9月1日現在）
▼ワークアラウンドを実施する
⇒ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする
⇒Ghostscript を削除する
⇒修正パッチを適用して Ghostscript をコンパイルしなおす

【参考情報】
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
 JVNVU#90390242: Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性
 【セキュリティニュース】「Ghostscript」に保護機能回避の脆弱性が再び - 「ImageMagick」などにも影響（1ページ目 / 全1ページ）：Security NEXT
Ghostscriptに任意のコマンド実行可能な脆弱性 | マイナビニュース
 Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている

BIND 9に脆弱性

【概要】
BIND 9に脆弱性が存在し、第三者によるリモートからの攻撃によってnamedが終了する可能性がある

【CVE番号】
CVE-2018-5740

【対象】
BIND 9.7.0 から 9.8.8
BIND 9.9.0 から 9.9.13
BIND 9.10.0 から 9.10.8
BIND 9.11.0 から 9.11.4
BIND 9.12.0 から 9.12.2
BIND 9.13.0 から 9.13.2

【対策】
▼アップデートする
本脆弱性修正済みバージョンは以下のとおり
・9.9.13-P1

・9.10.8-P1

・9.11.4-P1

・9.12.2-P1

▼ワークアラウンドを実施する
⇒"deny-answer-aliases" 機能を無効にする

【参考情報】
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2018-5740）
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
 JVNDB-2018-006248 - JVN iPedia - 脆弱性対策情報データベース
 BIND 9にDoSの脆弱性、アップデートを | マイナビニュース
 【セキュリティニュース】「BIND 9」にDoS攻撃を受けるおそれ - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料
インボイス　Re: 進捗
注文書[※]
※：任意の数字列
＜要返信：ＦＡＸ＞営業○・出荷×
お世話になります
ご確認ください
写真添付
写真送付の件

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター

外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年8月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時

Amazon をかたるフィッシング (2018/08/27)
LINE をかたるフィッシング (2018/08/24)
セゾン Net アンサーをかたるフィッシング (2018/08/20)
[更新] MUFG カードをかたるフィッシング (2018/08/13)
佐川急便をかたるフィッシング (2018/08/10)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

仮想通貨を要求する脅迫メールに注意

【概要】
英文でメール本文に、メール受信者のパスワードが記載され、「ポルノ動画を閲覧している姿をWebカメラで撮影した」「拡散されたくなければ仮想通貨を支払え」などと脅迫してくる不審なメールが出回っており、注意が必要。要求には応じず、メール本文に記載されたパスワードを利用してるサービスがあれば、パスワードの変更などを行っておくこと。

【参考情報】
仮想通貨を要求する不審な脅迫メールについて
 仮想通貨を要求する脅迫メールが拡散 - ITmedia ビジネスオンライン
 「ポルノを見ているお前を盗撮した」と脅迫し、動画を人質に身代金を要求するサイバー攻撃が急増中 - GIGAZINE

拡張子「.iqy」のファイルが添付された不審メールが出回る

【概要】
拡張子「.iqy」のファイルが添付された不審メールが国内で約29万通出回った。なお出回った期間は、2018年8月6日と2018年8月8日。

【参考情報】
新手口のメール攻撃、国内で確認大量送信、6日に29万件 - 共同通信
 拡張子「.iqy」のファイルが添付されたスパムメール、国内で29万通確認 | マイナビニュース
 拡張子「.iqy」の添付ファイルに注意！ウイルス感染狙うメールが1日だけで29万件も拡散 - INTERNET Watch
【セキュリティニュース】拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通（1ページ目 / 全2ページ）：Security NEXT
拡張子「iqy」のファイルを使う攻撃に注意--Excelを悪用 - ZDNet Japan
拡張子 ".iqy" のファイルとは？ 1 日でメール 29 万通が日本国内に拡散 | トレンドマイクロセキュリティブログ
 IQY and PowerShell Abused by Spam Campaign to Infect Users in Japan with BEBLOH and URSNIF - TrendLabs Security Intelligence Blog
https://www.ipa.go.jp/files/000068065.pdf
2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査 - bomb_log
2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査 - bomb_log

佐川急便をかたるショートメッセージサービス（SMS）に注意

【概要】
佐川急便をかたるショートメッセージサービス（SMS）が急増し、注意が必要。
Android端末→不審なアプリをインストールさせる
Andorid端末以外→フィッシングサイトに誘導、キャリア決済の情報を盗まれる

【参考情報】
安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か携帯番号・認証コード詐取 - ITmedia NEWS
佐川急便かたるSMSの相談急増 IPAが対策公開 - ITmedia NEWS
Androidで方法が異なる「不審なアプリ」対策の注意点 - ZDNet Japan
偽の「佐川急便」SMSに新たな手口か--携帯電話番号を窃取 - ZDNet Japan
IPA、佐川急便を名乗る偽のショートメッセージに注意喚起 | マイナビニュース

JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定

【概要】
JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定され一時的にアクセスできない事案が発生した

【参考情報】
JPCERT/CC Webサイトにアクセスできない事象について
 セキュリティサイト“JPCERT/CC”が一時不通に～アンチウイルス製品がフィッシング判定 - 窓の杜
 セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan
【セキュリティニュース】セキュリティ製品によるJPCERT/CCサイトの誤検知が復旧（1ページ目 / 全1ページ）：Security NEXT

日本語のビジネスメール詐欺（BEC）に注意

【概要】
日本語のビジネスメール詐欺（BEC）について初めてIPAに対し情報提供が行われた。

【参考情報】
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口（続報）：IPA 独立行政法人情報処理推進機構
 日本語のビジネスメール詐欺がついに発生、IPAが注意喚起 | 日経 xTECH（クロステック）
「ビジネスメール詐欺」は差し迫った脅威--IPAが注意喚起 - ZDNet Japan
日本のビジネスメール詐欺被害は1000万円以上が過半数--トレンドマイクロ調査 - ZDNet Japan
【セキュリティニュース】「機密扱いで頼む」との社長メール、実は詐欺 - 日本語「BEC」見つかる（1ページ目 / 全3ページ）：Security NEXT
ドルチェ＆ガッバーナの日本法人が元社長を提訴 3億円の詐欺被害で - ライブドアニュース

セキュリティレポートのアレコレ

今回もココまで読んでいただきありがとうございました。

ではでは！

　　／￣￣＼
　 /　　　⊂二二⊃
　｜　　　　｜⊂二⊃
⊂二⊃　　　/
　　＼＿＿／
　　　　　　∧∧
　　　　　 (　三)
　　　　 /⌒ 三ヽ
――――-/ /　三||-
　　　　(_人_三ノ_)

＜更新履歴＞

2018/09/03 AM　公開

2018-08-02

2018年7月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

夏本番な8月になってしまいましたね。

なんだかここ1ヶ月、関西の豪雨や台風の急激な進路変更、連続する猛暑日などなど他人事ではない『災害』が多発していた気がします。

地震などの災害の多い日本では『いつ起きるかわからない』災害に対して、時間やお金、人を導入して対策しておくことを常に考えている国でもあります。

しかし、対策をしていたとしても被害は出てしまいます。

どう対策をとっておくか、という先を見据えた投資をするかしないかで被害を少しでも減らせるかどうかが大事なポイントになってくるわけです。そしてもちろん被害を受けた後にどうするか、まで考えないといけないと思います。

セキュリティも全く同じで、組織であれば、いつどのタイミングでサイバー攻撃を受けるかわかりません。個人であっても、例えばスマホやPCがマルウェアにいつ感染するかわかりませんし、Webサービスのアカウントがいつのっとられるかもわかりません。

そうなってしまう前に対策できることは多少のコストはかかるかもしれないけれど、対策はとっておくべきだと思います。そして、もし被害を受けてしまった場合に備え、被害後にどう動くかまでの仕組みを考えておくべきだと思います。

というわけで前月のまとめです。

脆弱性のアレコレ
- Oracle WebLogic Serverに複数の脆弱性
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Oracle WebLogic Serverに複数の脆弱性

【概要】
Oracleが四半期に1度の定例アップデート「クリティカルパッチアップデート（CPU）」をリリースし、「Oracle WebLogic Server」における複数の脆弱性を修正した。ただし、既に一部の脆弱性については攻撃に悪用されていることが確認された。なお本脆弱性を悪用することにより、第三者からリモートで情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性がある。

【CVE番号】
CVE-2018-2893
CVE-2018-2894

【対象】
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3

【対策】
・対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認
・T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定する
⇒ネットワーク接続フィルタの使い方
ネットワーク接続フィルタの使い方

【参考情報】
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
 JVNDB-2018-005568 - JVN iPedia - 脆弱性対策情報データベース
 JVNDB-2018-005569 - JVN iPedia - 脆弱性対策情報データベース
 CPU July 2018
【セキュリティニュース】複数「WebLogic Server」脆弱性、早くも悪用や実証コード（1ページ目 / 全2ページ）：Security NEXT
2018年7月の定期パッチで修正されたOracle WebLogic Server の脆弱性(CVE-2018-2894)について - 生産性のない話
 Weblogicの任意のコード実行(CVE-2018-2894)
ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」 at www.morihi-soc.net

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【重要】定期的なID・パスワード変更のお願い／コンピュータウイルスにご注意を
取引情報が更新されました
【発注書受信】
備品発注依頼書の送付
依頼書を
送付しますので
発注依頼書
㈱　発注書
18/07　製造依頼
のご注文ありがとうございます
ダイレクトメール発注
7月
Fw: 資料
ご確認ください
上記書類を送付します。
表題の資料を送付いたします。
再送
申込書類の送付
資料添付します。
カード利用のお知らせ
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その２】
【楽天市場】注文内容ご確認（自動配信メール）
【楽天カード】カードご請求金額のご案内
【速報版】カード利用のお知らせ(本人ご利用分)
写真送付の件
写真添付
イメージ送付
7月度発注書送付
注文書をお送りいたします
invoice／証明書

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年7月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時
[更新] MyJCB をかたるフィッシング (2018/07/24)
[更新] ソフトバンクをかたるフィッシング (2018/07/04)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

豪雨被災地支援「Yahoo!ネット募金」の偽サイトについて注意喚起

【概要】
今年7月上旬に西日本に被害を与えた「平成30年7月豪雨」を支援する「Yahoo!ネット募金」の偽サイトが作成され、ヤフーが注意喚起を行った

【参考情報】
【重要】当社をかたるフィッシングメール、不正メールにご注意ください。 - お知らせ - Yahoo!ネット募金
 豪雨被災地支援「Yahoo!ネット募金」の偽サイト確認、注意喚起 - ITmedia NEWS
西日本豪雨「Yahoo!募金」の偽サイトにご注意中国で取得か

Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示

【概要】
Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示。
また、加えて、“iframe”リダイレクトの仕組みを悪用してユーザーを不審なサイトへ誘導する悪質な広告をブロックする機構が導入。

【参考情報】
Chrome Releases: Stable Channel Update for Desktop
全てのHTTPサイトに「保護されていません」の警告、「Chrome 68」リリース - ITmedia エンタープライズ
 HTTP接続のサイトが「保護されていません」と表示されるGoogle Chrome 68安定版リリース - GIGAZINE
HTTP接続サイトは“安全でない”サイト扱いに～「Google Chrome 68」が正式公開 - 窓の杜

マイクロソフトの脆弱性緩和ツール「EMET」のサポートが7月31日で終了

【概要】
マイクロソフトが無償で提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了。
なお、「Windows 10」では「EMET」の機能が“Windows Defender Exploitation Guard”として統合されている

【参考情報】
EMET サポート終了 – Windows Defender Exploitation Guard へ移行を – 日本のセキュリティチーム
 Microsoftが無償提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了 - 窓の杜
 脆弱性緩和ツールEMET今月でサポート終了、Windows Defender Exploit Guardへ - 日本マイクロソフトセキュリティチーム | マイナビニュース

多摩都市モノレールでサイバーセキュリティ被害が発生

【概要】
多摩都市モノレールの業務用ファイルサーバが、ランサムウェアに感染したことが判明
モノレールの運行については、別のシステムで管理しており、影響なかった

【参考情報】
http://www.tama-monorail.co.jp/info/list/mt_img/180713%20press.pdf
多摩モノレールにサイバー攻撃：日本経済新聞
 【セキュリティニュース】ランサムウェアの感染被害が発生、運行には影響なし - 多摩都市モノレール（1ページ目 / 全1ページ）：Security NEXT

電子マニュアル作成支援のスタディスト、マニュアル作成サービスへの不正アクセスは作業ミスによるものと発表

【概要】
電子マニュアル作成支援のスタディスト、マニュアル作成サービス「Teachme Biz」への不正アクセスは所属するインフラ技術者が開発環境構築の過程で誤って本番環境のDBを参照してコマンドを実行した作業ミスにより発生したと発表

【参考情報】
不正アクセスによる一部データ流出の可能性に関する詳細調査のご報告（最終報） - 株式会社スタディスト
 スタディスト事件、作業ミスを不正アクセスと検知し情報流出はなかったと報告 | 日経 xTECH（クロステック）
【セキュリティニュース】マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因（1ページ目 / 全1ページ）：Security NEXT

産総研の不正アクセスについて被害状況の調査結果や再発防止策を公表

【概要】
産業技術総合研究所のシステムが不正アクセスを受けた問題で、産総研は被害状況の調査結果や再発防止策を公表

【参考情報】
産総研：「産総研の情報システムに対する不正なアクセスに関する報告」について
 【セキュリティニュース】産総研への不正アクセス、職員ID約8000件でPW試行 - 平日夕方から深夜に活動（1ページ目 / 全4ページ）：Security NEXT
産総研を襲った謎の手口、セキュリティ対策に新たな教訓 | 日経 xTECH（クロステック）
産総研のセキュリティインシデント--被害が拡大したマネジメントの課題 - ZDNet Japan

ロシアワールドカップでは、サイバー攻撃が2500万件発生

【概要】
ロシアワールドカップの期間中（6月14日～7月15日）、サイバー攻撃が2500万件発生していた事を、ロシアのプーチン大統領が明かした。
だが、サイアー攻撃の性質や攻撃元の情報などは明かされていない。

【参考情報】
サイバー攻撃２５００万回＝サッカーＷ杯期間中、ロシアヘ－プーチン大統領：サッカーロシアW杯2018：時事ドットコム
 W杯期間中のロシアにサイバー攻撃2500万件、プーチン氏明かす写真1枚国際ニュース：AFPBB News
ワールドカップロシア大会期間中に約2,500万回のサイバー攻撃、プーチン氏が発表

「佐川急便」をかたる偽SMSが急増

【概要】
「佐川急便」をかたる偽SMSが急増しており、偽SMSから偽サイトに誘導され不審なアプリをインストールしてしまう可能性がある

【対策・注意点】
・佐川急便はSMSを不在通知に使わない
・佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外のＵＲＬは偽サイトである
※ただし「sagawa-●●.com」という偽ドメインも第三者により大量に取得されているため注意が必要
・Android端末で「提供元不明のアプリのインストールを許可する」という設定項目を『許可しない（無効にする）』に設定する
・不正のアプリをインストールしてしまった場合はスマホを機内モードにして大事なファイルのバックアップ等をとっておき、アプリの削除や携帯会社のサポートに相談する

【参考情報】
「佐川急便」をかたる偽ＳＭＳが横行不正アプリを導入しないで！ : 科学 : 読売新聞（YOMIURI ONLINE）
「佐川急便の偽サイト」に学ぶAndroidの防御法見直す設定はたった1つ (1/2) - ITmedia NEWS
佐川急便装う迷惑メール急増「不在通知」「1340万円配達します」など、23の事例で注意喚起 - ITmedia NEWS
佐川急便を名乗るスパムが急増、SMSから偽サイトに誘導自動でプリペイドカードを買わされるなどの被害も - ねとらぼ
 News Up 本物そっくり！？「偽・佐川」に厳重注意を！ | NHKニュース
 大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取 | トレンドマイクロセキュリティブログ
 実例で学ぶネットの危険：「通知お客様宛にお荷物のお届きました」 | トレンドマイクロセキュリティブログ
 ドコモからのお知らせ : 運送会社などを装った迷惑SMS・メールにご注意ください | お知らせ | NTTドコモ
 【再周知】運送会社などを装った不審なメールにご注意ください
 運送会社などを装った不審なメールに関するご注意 | モバイル | ソフトバンク

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

サイバーレスキュー隊（J-CRAT）活動状況[2017年度下半期]
https://www.ipa.go.jp/files/000067854.pdf
サイバー情報共有イニシアティブ（J-CSIP）運用状況
[2018年4月～6月]
https://www.ipa.go.jp/files/000068064.pdf
情報セキュリティ白書2018：IPA 独立行政法人情報処理推進機構
 安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期（4月～6月）]：IPA 独立行政法人情報処理推進機構
 ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期（4月～6月）]：IPA 独立行政法人情報処理推進機構
 コンピュータウイルス・不正アクセスの届出状況および相談状況［2018年第2四半期（4月～6月）］：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
 JPCERT/CC 感謝状 2018
JPCERT/CC 活動概要 [2018年4月1日～2018年6月30日]
http://www.jpcert.or.jp/pr/2018/PR20180712.pdf
JPCERT/CC インシデント報告対応レポート[2018年4月1日～2018年6月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20180712.pdf
Webサイトへのサイバー攻撃に備えて 2018年7月
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期（4月～6月）]
http://www.jpcert.or.jp/press/2018/vulnREPORT_2018q2.pdf
Cisco Webex Teams の脆弱性 (CVE-2018-0387) について
 FIRST PSIRT Services Framework
ランサムウエアの脅威動向および被害実態調査報告書
 Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31)

Trend Micro

バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 | トレンドマイクロセキュリティブログ
 巧妙なバンキングトロジャンの活動を実現する「Web インジェクションツール」とは？ | トレンドマイクロセキュリティブログ
 SSH サービスを狙うボットを確認、不正サイトを介して仮想通貨発掘ツールをインストール | トレンドマイクロセキュリティブログ
 主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続 | トレンドマイクロセキュリティブログ
 標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい | トレンドマイクロセキュリティブログ
 バンキングトロジャンのメール経由拡散を支える「スパムボット」 | トレンドマイクロセキュリティブログ

McAfee

McAfee Labs 2018年第1四半期脅威レポートを発表（サマリー）
SIEMと他ソリューション連携による運用効率化例
 不正アクセスされないために！手口と被害例から見る対策と対処方法
 2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80選
 サイバー攻撃｜日本の現状―増える件数とセキュリティ人材不足の対策
 ファイルレスの脅威 CactusTorchが.NETを悪用し標的に感染

MBSD

Burp Suite Japan LT Carnivalイベントレポート

IIJ

wizSafe Security Signal 2018年6月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

piyolog

経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog
2018年7月に発生した国内サイト、メールの障害報告についてまとめてみた - piyolog
多摩都市モノレールのランサムウェア被害についてまとめてみた - piyolog

というわけで今回もココまで読んでいただきありがとうございました。

ではでは！

夏だ！＿＿＿
　　／⌒　⌒＼
　　/(⌒)　(⌒)ヽ
(⌒) ⌒(_人_)⌒ (⌒)
`＼＼　|┬|　／／
　＼　ヽノ　／
　　｜･　　･｜
　　｜　　　　｜
　　|￣￣￣￣￣|
　　|_＿／＼＿_|
　　(　(　　)　)
　 (＿＿)　(＿＿)

＜更新履歴＞

2018/08/02 AM　公開

2018-07-03

2018年6月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今回のブログを公開する頃にはまだ梅雨明けてないと思っていたんですがとっくに明けましたね。今年の梅雨は史上初の短さ（6月6日～29日）だったそうです。まぁ僕は梅雨好きじゃないので嬉しさMAXなんですけどね笑

そういえば今朝ロシアワールドカップ8強を決める日本×ベルギー戦が行われたわけですが…

www.youtube.com

すごいじゃん日本！お疲れ様！！

4年後のカタールワールドカップが楽しみです！

ではではブログ本題です。今回はいつもよりちょっと少なめかもしれませんがあしからず。。。。

前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

アーカイブファイルの展開処理に脆弱性（脆弱性名：Zip Slip）

【概要】
アーカイブファイルの展開処理に脆弱性が存在し、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを置くことができ、第三者により実行ファイルの上書きや、設定ファイルの書き換えが可能となり、任意のコードを実行される可能性がある

【参考情報】
Zip Slip Vulnerability | Snyk
アーカイブファイルの展開処理における脆弱性「Zip Slip」について
 書庫形式の書類に脆弱性コンテンツ改ざんに注意：日本経済新聞
 アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 - ITmedia エンタープライズ
 【セキュリティニュース】アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響（1ページ目 / 全2ページ）：Security NEXT

OpenSSLに脆弱性

【概要】
OpenSSLのTLSハンドシェイク時に鍵生成に長い時間を消費させる脆弱性が存在し、第三者によりサービス運用妨害 (DoS) 攻撃を実行される可能性がある

【CVE番号】
CVE-2018-0732

【対象】
OpenSSL 1.1.0 系列
OpenSSL 1.0.2 系列

【対策】
OpenSSL 1.1.0i および OpenSSL 1.0.2p にて本脆弱性を修正する予定
なお、修正パッチが公開済み
OpenSSL 1.1.0 用
https://github.com/openssl/openssl/commit/ea7abeeab
OpenSSL 1.0.2 用
https://github.com/openssl/openssl/commit/3984ef0b7

【参考情報】
https://www.openssl.org/news/secadv/20180612.txt
OpenSSL の脆弱性 (CVE-2018-0732) について
 【セキュリティニュース】「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで（1ページ目 / 全1ページ）：Security NEXT

ISC BIND 9に脆弱性

【概要】
ISC BIND 9に再帰的クエリが不適切に許可される脆弱性が存在し、第三者によってDNSリフレクタ攻撃に使われたり、ネームサーバのキャッシュの状況を外部から取得されたりする可能性がある

【CVE番号】
CVE-2018-5738

【対象】
・ ISC BIND 9.12.0～9.12.1-P2、9.11.3、9.10.7、9.9.12 を使用している (ISC が 2017年10月のアップデート #4777 を適用している)

・再帰問い合わせの受け付けを有効にしている (設定ファイル (named.conf) で "recursion yes;" を設定している、または recursion を設定していない）

・オプション (allow-recursion, allow-query, allow-query-cache) を設定していない

【対策】
・ named.conf にオプション (allow-recursion, allow-query, allow-query-cache) を適切に設定し、再帰問い合わせの受け付けを許可する対象に限定する

・再帰問い合わせの受け付けが不要な場合は named.conf に "recursion no;" を設定する

【参考情報】
ISC BIND 9 の脆弱性 (CVE-2018-5738) について
 JVNVU#92227071: ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
 JPCERT/CC、ISC BIND 9の脆弱性について注意喚起 | マイナビニュース
 【セキュリティニュース】「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を（1ページ目 / 全2ページ）：Security NEXT

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【速報版】カード利用のお知らせ(本人ご利用分)
アラート:あなたのアカウントは閉鎖されます。
写真
写真送付の件
写真添付
スナップ写真
添付写真あり
写真送ります。
【楽天カード】カードご請求金額のご案内
注文書の送付（2018.06.26）
注文書よろしくお願いします。
【振込み確認書】18.06.14
メールに添付された請求書デー
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
添付ファイルをご確認下さい。
6月請求データ.xls
注文書の件
Fwd: 6月分請求書リスト
請求書を送ります
カード利用のお知らせ
【楽天市場】注文内容ご確認（自動配信メール）
6月分請求データ送付の件
2018.5月分請求データ送付の件.6月請求データ.xls
のご注文について
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
RE: 請求書XLSについて
請書及び請求書のご送付

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター

情報提供｜一般財団法人日本サイバー犯罪対策センター

bomb_log

外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年６月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時
Amazon をかたるフィッシング (2018/06/29)
MUFG カードをかたるフィッシング (2018/06/21)
[更新] LINE をかたるフィッシング (2018/06/06)
Apple および Amazon をかたるフィッシング (2018/06/04)
セゾン Net アンサーをかたるフィッシング (2018/06/04)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

「タチコマ・セキュリティ・エージェント」が無償配布

【概要】
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始に伴い、開発されたセキュリティソフト「タチコマ・セキュリティ・エージェント」の無償配布を2018年6月1日より実施した。

【参考情報】
WarpDrive
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始について | NICT-情報通信研究機構
 タチコマたちが並列化してサイバー攻撃に対応するソフト無償配布、「WarpDrive」プロジェクトが実証実験 - INTERNET Watch

フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報流出

【概要】
フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報が流出した。
なお、不正アクセスが発生したのは、英語と韓国語、中国語の予約システムが稼働するサーバで発生した。

【参考情報】
【セキュリティニュース】委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル（1ページ目 / 全3ページ）：Security NEXT
ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩 | 日経 xTECH（クロステック）
マイステイズ・ホテルから約4万件の個人情報が流出か、被害広がるファストブッキング問題 | 日経 xTECH（クロステック）
プリンスホテルの委託先サイトに不正アクセス、12.5万件の情報漏えい - ZDNet Japan
ファストブッキングへの不正アクセスについてまとめてみた - piyolog

りそな銀行のインターネットバンキングシステムで障害が発生

【概要】
りそな銀行のインターネットバンキングシステムで障害が発生。米シマンテックが提供するサービスで不具合が発生したことが原因でワンタイムパスワードが入力できない状態になった。

【参考情報】
りそな銀などのシステム障害が復旧発生から約４時間：朝日新聞デジタル
 りそな銀行などインターネット振り込み復旧 | NHKニュース
 りそな銀行、セブン銀行でシステム障害。パスワードを入力できず

警察庁は仮想通貨マイニングツール(Coinhive等)を無断で設置していた容疑で複数名を摘発

【概要】
警察庁は仮想通貨マイニングツール(Coinhive等)を利用者に無断で設置していた容疑（「不正指令電磁的記録作成・提供罪」）で複数名を逮捕・書類送検した。

【参考情報】
仮想通貨マイニング（Coinhive）で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
「マイニングツールを明示せずに設置、犯罪になる可能性」警察庁の注意喚起、ネット上で波紋 - ITmedia NEWS
Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開「他の人に同じ経験して欲しくない」 - ITmedia NEWS
「Coinhive」で家宅捜索を受けたサイト運営者が刑事裁判を起こすことを表明、支援の声続々【やじうまWatch】 - INTERNET Watch
サイト閲覧者リソースでマイニングを行うCoinhive利用者の摘発事件における真の問題点とは｜CoinChoice
仮想通貨マイニングツール事案をまとめてみた - piyolog

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について：IPA 独立行政法人情報処理推進機構

サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報：IPA 独立行政法人情報処理推進機構

「SSL/TLS暗号設定ガイドライン改訂及び鍵管理ガイドライン作成のための調査・検討」報告書の公開：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

アーカイブファイルの展開処理における脆弱性「Zip Slip」について

OpenSSL の脆弱性 (CVE-2018-0732) について

ISC BIND 9 の脆弱性 (CVE-2018-5738) について

2018年 6月マイクロソフトセキュリティ更新プログラムに関する注意喚起

LinuxとWindowsを狙うマルウエアWellMess(2018-06-28)

@police

宛先ポート80/TCP に対するMirai ボットの特徴を有するアクセスの増加について | 警察庁 @police

JC3(日本サイバー犯罪対策センター)

APWG・JC3共同レポート｜一般財団法人日本サイバー犯罪対策センター

JC3 Forum 2018 report｜一般財団法人日本サイバー犯罪対策センター

Trend Micro

「Drupal」の脆弱性「CVE-2018-7602」を利用した攻撃を確認、仮想通貨「Monero」発掘ツールを拡散 | トレンドマイクロセキュリティブログ

不正なウイルス検索サービス「Scan4You」運営者に有罪判決、トレンドマイクロも捜査に協力 | トレンドマイクロセキュリティブログ

脆弱性攻撃ツール「Rig EK」、次は脆弱性「CVE-2018-8174」を利用して仮想通貨発掘マルウェアを拡散 | トレンドマイクロセキュリティブログ

McAfee

マルウェアに感染した？注意したい５つの症状、確認方法と初期対応

ランサムウェア、具体的な対策をとるために知っておくべき感染経路

サイバー攻撃リアルタイム可視化ツール9選、国境なき攻撃を把握する

家族で活用したい「2段階認証」設定

止まらない迷惑メールを今すぐ遮断するために知っておきたい対策３選

結局何をすべき？GDPR対応３つの優先事項と解消すべき６つの疑問

SQLインジェクション攻撃への対策｜脆弱性を悪用する仕組みと具体例

NTTデータ先端技術株式会社

LAC

ルータのDNS設定を変更するサイバー攻撃にご用心 | セキュリティ対策のラック

サイバー救急センターレポート第3号 | セキュリティ対策のラック

MBSD

オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今 | MBSD Blog

IIJ

wizSafe Security Signal 2018年5月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

piyolog

仮想通貨マイニングツール事案をまとめてみた - piyolog

ファストブッキングへの不正アクセスについてまとめてみた - piyolog

high-hill.html

第8回tktkセキュリティ勉強会に参加しました - high-hill.html

⇒Maltegoの使い方についてわかりやすかったので共有です

以上です。

今回もココまでy…あ！そうそう。僕海外デビューしてました。

speakerdeck.com

資料にしれっといれてくれたmoto_sato（@58_158_177_102）さん、ありがとうございますた！

というわけで今回もココまで読んでいただきありがとうございました。

ではでは！

･｡
☆｡∴｡｡　☆　･
　･ﾟ*｡★･
　　･｡･*･ﾟ｡　　･
　･ﾟ*｡･ﾟ★｡･
　　　☆ﾟ･｡･｡*･　ﾟ
　　　　ﾟ｡･*･｡ﾟ･
　　　ﾟ *･｡☆｡･★　･
　　･ ☆ ｡･ﾟ･*｡･ﾟ
　　　･　★ ﾟ･｡七夕～
　　　　･　　ﾟ
`／￣三＼　／￣三＼
｜　　三｜ /　　三｜
/　　三三Ｖ/|　三三)
L|　三三|∪ |　三三｜

＜更新履歴＞

2018/07/03 AM　公開

2018-06-22

Windowsイベントログについてのにゃんたくメモ

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

皆さんいかがお過ごしでしょうか。

最近雨ばっかりでちょっといつもよりおセンチさを感じているにゃんたくです。

なんかブログでも書こうかなぁなんて思ってたんですけど、文章力や語彙力のNASAを常に感じて生きているので、どうしても書けなくて、でも書きたくて…

まるで好きな人にラブレターでも書く前の人間みたいになってしまったんですけど、やっぱり久々書きたくなったので、今回はあくまでもブログというより、

ぼくがあとで『Windowsイベントログの件そういや前に書いたよな、ちょっと見返してみるか』くらいの感覚のメモを書いていきます。単純に言うと、アルファ世界線のにゃんたくが牧瀬紅莉栖を救うためにシュタインズ・ゲート世界線に行ってしまってもこのメモを読めば『こ、これがリーディングシュタイナーか！』となるようにするためのメモです。は？

※このネタを知りたければシュタインズ・ゲートというアニメを見てください。東京オタク大学、間違えた東京電機大学というリアルに存在するにゃんたくの母校の学生が主人公として出てくるアニメです。くっそ面白いです。

さて、メモを書く前に一言。

コレを見てくれている人のことなんか全く考えていないメモなのであしからず。

あ、メモは読みたくないけど、参考情報だけ欲しい人は下記目次の参考資料一覧だけでも見ておくと良いかもしれませんよよよ。

今回メモを書こうと思ったきっかけ
Windowsイベントログってなんぞや
ラテラルムーブメントってバズってるよな
Hal Pomeranzさんが言ってたアレコレ
参考資料一覧

今回メモを書こうと思ったきっかけ

Hal PomeranzさんのWindowsイベントログについての講演を聴きに行ったから。

twitter.com

あ、あとこのスライドを見たから。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

ほんとそれだけ(●´ω｀●)

Windowsイベントログってなんぞや

Windowsイベントログとは、『Windowsシステム内で起こった特定の現象や動作の記録（Windowsの中で起きたあれやこれやのうち、大事そうなことを記録したもの）』

参照：http://wa3.i-3-i.info/word11494.html

ちなみにイベントログは通常ココ↓にあるよ、エクスプローラーで見てみようね

C:\Windows\System32\Winevt\Logs\

ラテラルムーブメントってバズってるよな

ラテラルムーブメントとは、マルウェアがOSの正規機能を使って、侵入した組織のネットワーク内の偵察や情報収集、感染拡大する行動のこと。

▼参考情報

https://www.cybereason.co.jp/blog/cyberattack/2239/

http://www.atmarkit.co.jp/ait/articles/1803/20/news043.html

http://tech.nikkeibp.co.jp/it/article/COLUMN/20130730/495464/

https://www.ca.com/content/dam/ca/jp/files/white-paper/sec-white-paper-breaking-the-kill-chain-CS200-162063-jpn.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

Hal Pomeranzさんが言ってたアレコレ

Hal Pomeranzさんが言ってた話を列挙していくよ。

コレ↓を見ながらこっから先読むとわかりやすいよ。

http://deer-run.com/~hal/IREventLogAnalysis.pdf

アレコレ①（スライド4～15）

⇒ラテラルムーブメントのログを見てみよう

⇒もうめんどくさいときはスライド15だけでも見よう、スライド15が重要まとめスライドになってる

■スライド4

攻撃者はこんな感じでラテラルムーブメントしようとするよ。

スケジュールタスクを起動してなにか実行してるログは注意してみたほうがいいぞ。

1．ターゲットとなるシステムに対しマルウェアをアップロードする

2．マルウェアを活性化させるための実行を設定する（結構すぐに）

■スライド5～14

実際のログをこっから見ていくぞぞぞ。

Windowsイベントログでは『Event ID』と呼ばれる識別子がつけられるぞ。

Event ID：4624（意味：アカウントがログオンした）

⇒TargetUserName、TargetDomainName、IPアドレスが書いてある

⇒特に気にして見てみるのは、『Logon Type』の数字

　この数字で、どうやって『ログオン』したかわかる

　例：LogonType = 3　⇒ネットワークからログオンした

　例：LogonType = 10　⇒RDPからリモートでログオンした

⇒『Anonymous』ログオンの場合、怪しいか怪しくないかを判断するには、

　・通常ログオン時の挙動と比べる

　・時系列を追う、時間も一つのファクターである

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt634186(v=vs.85).aspx

Event ID：4672（意味：特権（Admin）を利用された)

⇒このEventIDが記録されていた場合は注意

⇒大体はEvent ID:4624、と同じタイミングで発生する

⇒『Privilege List』と呼ばれるそのIDに与えられている権限一覧を確認することができる

▼参考情報https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4672

Event ID：5140（意味：ネットワーク共有オブジェクトにアクセスがあった)

⇒このイベントが記録されていた場合は注意

⇒『ShareName』に共有されたファイルパスが記載される

　不可思議なパスがシェアされていたら注意

　（Cドライブ配下（もしくは全体）が共有されてたら注意。。。かも）

⇒ このイベントがファイルサーバー上で発生すれば問題はないが、ファイルサーバー以外のPCで発生してた場合は不可思議

▼参考情報

https://technet.microsoft.com/ja-jp/library/mt431793(v=vs.85).aspx

TaskSchedulerの動き

　・Task Schedule ID：106（意味：タスクの新規登録）

　・Task Schedule ID：200（意味：タスクの実行）

　・Task Schedule ID：201（意味：タスクの実行終了）

　・Task Schedule ID：141（意味：タスクの登録削除）

⇒106、を見ればスケジュールタスクを動かした時間、ユーザ情報がわかる（マシン名は不明だが）

⇒TaskSchedulerが動く前のEventID（例えば5140以前等）を見れば時系列的にユーザーがどう『行動』してるかがわかる（推測）

⇒106から200へ数分で発生していたら怪しい

⇒141、のようにタスクを削除する動きは怪しい可能性がある

▼参考情報

https://mnaoumov.wordpress.com/2014/05/15/task-scheduler-event-ids/

https://attack.mitre.org/wiki/Technique/T1053

Event ID：4688（意味：新しいプロセスが作成された)

⇒実行ユーザー、プロセス名などが分かる。
⇒この場合、m.exe(mimikatz)でクレデンシャル情報を摂取しようとしている

⇒Windowsイベントログ取得のデフォルト設定では4688は生成されない。
⇒実行された追加の情報が確認できる。

▼参考情報

https://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/component-updates/command-line-process-auditing

Event ID：4634（意味：アカウントがログオフした)

⇒あえてスケジュールタスクを削除しなかったり、正式にセッションを終了しない場合もある

▼参考情報

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4634

アレコレ②（スライド16～18）

⇒RDPのイベントログを見てみよう

⇒Security.evtx は、一定のサイズを超えると別のファイルに上書きされてしまう

　数時間程度のログしか残っていないので、ログ自体を別のシステムに保管しておき、辿れるようにしておく必要がある。

Event ID：1149（意味：リモートデスクトップサービスでユーザー認証に成功しました)

⇒このイベントの次に『Local Session Manager』のログを見てみるよ

⇒『Local Session Manager』のログはココにあるよ↓

\Microsoft\Windows\TerminalServices-LocalSessionManager\Operational

Local Session Managerの動き

Event ID：21（意味：リモートデスクトップセッションログオン成功)

Event ID：23（意味：リモートデスクトップセッションログオフ成功)

Event ID：25（意味：リモートデスクトップセッション再ログオン)

Event ID：24（意味：リモートデスクトップセッション切断)

⇒通常の動きの場合

1149→21→ログオンして作業→23→24

⇒ちょっと不可思議な場合

1149→21→1149→25→24

▼おかしいポイント①

1149でRDPのユーザー認証設定しているのに、再度1149のイベントが発生している

▼おかしいポイント②

2回目の1149を行っているIPが1回目の1149を行っているIPと異なっている

▼おかしいポイント③

2回目の1149の後に『25』というセッション再ログオンが発生し、かつ1回目の1149を行っているIPが次の『24』でセッション切断されている

▼参考情報

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee907328(v=ws.10)

https://jpcertcc.github.io/ToolAnalysisResultSheet_jp/details/mstsc.htm

http://blog.trendmicro.co.jp/archives/14451

https://ponderthebits.com/2018/02/windows-rdp-related-event-logs-identification-tracking-and-investigation/

アレコレ③（スライド20）

Event ID：7045（意味：サービスがシステムにインストールされました)

⇒起動させられたファイルのファイルパスが書かれている

⇒新しいサービスが開始させられたことがわかる

⇒このイベントを見つけた場合『何が実行されたのか』を確認するのが大事

⇒C:\Windows\Temp\～、のようにTemp配下から起動させていたら怪しいを感じるべき

参考資料一覧

http://deer-run.com/~hal/

http://deer-run.com/~hal/IREventLogAnalysis.pdf

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

https://www.jpcert.or.jp/research/20160628ac-ir_research.pdf

https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/

https://support.microsoft.com/ja-jp/help/977519/description-of-security-events-in-windows-7-and-in-windows-server-2008

最後に。

ここまでもし読んでくれた方がいたら、ぜひマサカリを僕に投げてくれると最高に嬉しいです。『お前言ってること間違ってるぞ』とか言ってください♡

あ、Hal Pomeranzさんの講演情報を教えてくれた僕の上司に感謝。大好きです♡

＜更新履歴＞

2018/06/22 PM　公開

2018/06/24 AM　追記：Event ID：4688、その他もろもろ

2018-06-01

2018年5月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

いきなりちょっとまじめな話なんですが、最近『時間』について考えたりするようになりまして。

人間生きてる時間って、『有限』なものじゃないですか。

だったら、自分がやってみたい、会ってみたい、話してみたい、勉強したい、遊びたい、そういうことに対して億劫になっちゃいけないのかなって。

もちろん、全部を叶えようとするのはなかなか難しいので、あくまでも自分がやれる範囲で、ってことですけどね。

なので最近なるべく自分が『会ってみたい』もしくは『会いたい』という人には時間の許す限り会ってみようって思っています。

5月も色々なトコに顔を出してみたんですけど、色んな人と会話ができるってとっても刺激になるし、ある意味自分の良くない部分も見えてきてなんだかちょっと成長してる（ような）気がしています。

･･･あ、そのせいで会社の名刺が切れかけています笑

こないだセキュリティ以外の人にも会ってみたいなーとふと思い、ちょうど見つけたこの企画にフラッと行ってみたんです。

www.huffingtonpost.jp

ライターさんやTV関係の方々とお話することができて非常に楽しかったなか、僕なりに日常のセキュリティの話（例えば不審なメールが来た時の対処とかSNSのアカウントがのっとられない様にするにはどうしたらいいか等）をしていたら、

『知らなかった』『実際どうしていいかわからなかった』『教えてくれてありがとう』という言葉を直に聞くことができました。

そういう言葉を聞けて嬉しかった反面、セキュリティの『発信者』としては、もっとセキュリティを知らない、セキュリティに疎い人達に情報を届けれるような発信方法をもっと考えないといけない！、という気づきも得ることができました。

これを読んでくれているセキュリティの皆さん、まずは小さなことからでも僕と一緒に発信していきましょう！ぼくもがんばりますので！

今回はちょっと『前説』が長くなってしまいましたね、すみません。

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

OpenPGP および S/MIME メールクライアントに脆弱性（EFAIL）

【概要】
OpenPGP および S/MIME メールクライアントに脆弱性が存在し、暗号化されたメッセージを第三者が平文で入手できてしまう可能性がある
脆弱性名：EFAIL

【CVE番号】
CVE-2017-17688: OpenPGP CFB Attacks
CVE-2017-17689: S/MIME CBC Attacks

【対象】
OpenPGP および S/MIME をサポートする電子メールクライアント
影響を受けるメールクライアントは以下参照
https://www.kb.cert.org/vuls/id/122919

【対策】
・ワークアラウンドを実施する
→メールクライアントとは別のアプリケーションを使って復号する
→メールクライアントの HTML レンダリングを無効化する
→メールクライアントのリモートコンテンツの読み込みを無効化する

【参考情報】
JVNVU#95575473: OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性
 メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起
 暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (1/2) - ITmedia エンタープライズ
 多くのメールソフトに受信トレイの内容がすべて読み取られる深刻な脆弱性が発覚、PGPとS/MIMEに関連 - GIGAZINE

Adobe ReaderおよびAcrobatに脆弱性 (APSB18-09)

【概要】
Adobe AcrobatおよびReaderに脆弱性が存在し、第三者により任意のコードが実行される可能性がある

【CVE番号】
CVE-2018-4990
CVE-2018-4993

【対象】
Adobe Acrobat Reader DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat Reader DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat DC Consumer (2018.011.20038) およびそれ以前
Adobe Acrobat DC Classic 2015 (2015.006.30417) およびそれ以前
Adobe Acrobat Reader 2017 (2017.011.30079) およびそれ以前
Adobe Acrobat 2017 (2017.011.30079) およびそれ以前

【対策】
・アップデートする（以下本脆弱性修正済みバージョン）
Adobe Acrobat Reader DC Consumer (2018.011.20040)
Adobe Acrobat Reader DC Classic 2015 (2015.006.30418)
Adobe Acrobat DC Consumer (2018.011.20040)
Adobe Acrobat DC Classic 2015 (2015.006.30418)
Adobe Acrobat Reader 2017 (2017.011.30080)
Adobe Acrobat 2017 (2017.011.30080)

【参考情報】
Adobe Reader および Acrobat の脆弱性 (APSB18-09) に関する注意喚起
 更新：Adobe Acrobat および Reader の脆弱性対策について(APSB18-09)(CVE-2018-4990等)：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力（1ページ目 / 全2ページ）：Security NEXT

Red Hat Enterprise LinuxのDHCPクライアントに脆弱性

【概要】
Red Hat Enterprise LinuxのDHCPクライアントに脆弱性が存在し、第三者によりリモートから任意のコードが実行される可能性がある

【CVE番号】
CVE-2018-1111

【対象】
Red Hat Enterprise Linux Server バージョン 6, 7
Fedora バージョン 26, 27, 28
CentOS バージョン 6, 7
Scientific Linux バージョン 6, 7
Oracle Linux バージョン 6, 7　および　Oracle VM バージョン 3.3, 3.4
※Red Hat Enterprise Linux 5、Red Hat Enterprise Virtualization 3.6では影響は受けない

【対策】
・修正プログラムの適用

【参考情報】
DHCP Client Script Code Execution Vulnerability - CVE-2018-1111 - Red Hat Customer Portal
RHELにクリティカルレベルのコード実行の脆弱性、修正パッチが公開 - ZDNet Japan
【セキュリティニュース】RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ（1ページ目 / 全1ページ）：Security NEXT
CVE-2018-1111 - 脆弱性調査レポート | ソフトバンク・テクノロジー

BIND 9に複数の脆弱性

【概要】
BIND 9に複数の脆弱性が存在し、namedが予期しない動作をしたり停止したりする可能性がある

【CVE番号】
CVE-2018-5736
CVE-2018-5737

【対象】
BIND　9.12.0
BIND　9.12.1

【対策】
・アップデートする（以下本脆弱性修正済みバージョン）
BIND　9.12.1-P2

【参考情報】
BIND 9.12における動作停止となる二つの脆弱性について(2018年5月) - JPNIC
ISC BIND 9 の脆弱性 (CVE-2018-5736、CVE-2018-5737) について
 JVNVU#91301831: BIND に複数のサービス運用妨害 (DoS) の脆弱性
 「BIND 9」に脆弱性、リモートからnamedが異常終了、JPRSやJPCERT/CCが注意喚起 - INTERNET Watch
【セキュリティニュース】「BIND 9.12」にリモートから攻撃可能な脆弱性が2件 - アップデートがリリース（1ページ目 / 全2ページ）：Security NEXT

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年5月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
【速報版】カード利用のお知らせ(本人ご利用分)
Airdrop申請内容をご確認ください
Apple IDアカウントを回復してください
指定請求書
注文書、請書及び請求書のご送付
発注分
印鑑の発注について
カード利用のお知らせ
注文請書・
請求書をお送り致します。
注文請書・請求書をお送り致します。
【楽天市場】注文内容ご確認（自動配信メール）

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年5月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時

bitFlyer をかたるフィッシング (2018/05/24)
Amazon をかたるフィッシング (2018/05/17)
MyEtherWallet をかたるフィッシング (2018/05/15)
Apple をかたるフィッシング (2018/05/07)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

Twitter、社内システムのバグでユーザーのパスワードを平文で保存

【概要】
Twitter、社内システムのバグでユーザーのパスワードを平文で保存していることが判明し、Twitterの全ユーザーに対し、パスワードを変更するよう告知した

【参考情報】
Keeping your account secure
Twitter、全3.3億人のユーザーにパスワード変更勧める告知社内バグ発見で - ITmedia NEWS
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ
 Twitterが全ユーザーにパスワード変更呼びかけ、どうすべきか? | マイナビニュース

森永乳業の健康食品通販サイトが不正アクセスを受け、利用者のカード情報などが流出

【概要】
森永乳業の健康食品通販サイトが不正アクセスを受け、利用者約2.3万人のカード情報（カード番号、名義、有効期限、セキュリティコードなど）が流出

【参考情報】
健康食品通販サイトにおけるお客さま情報の流出懸念に関するお知らせ | ニュースリリース | 森永乳業株式会社
 森永乳業のECサイト、カード番号も含めたカード情報流出の恐れ - ねとらぼ
 森永乳業の通販サイトからカード情報流出の可能性セキュリティコードも - ITmedia NEWS
森永乳業の情報漏洩、正確な情報が少ない訳 | 日経 xTECH（クロステック）

MS＆Consulting子会社が運営するサイトが不正アクセスを受け、会員情報が流出

【概要】
MS＆Consulting子会社が運営するサイト「ミステリーショッピングリサーチ」が不正アクセスを受け、約6000件約57万件の会員情報が流出。
WAF（ウェブ・アプリケーション・ファイアウオール）の設定ミスによりSQLインジェクション攻撃を受けてしまったとのこと。

【参考情報】
MS＆Consultingで会員情報6000件流出か、WAF設定ミスでSQLインジェクション攻撃防げず | 日経 xTECH（クロステック）
ＭＳコンサルで会員情報6000件流出か設定ミスが原因：日本経済新聞
 【セキュリティニュース】覆面調査サービスに不正アクセス、PWなど漏洩 - WAF設定ミスで攻撃防げず（1ページ目 / 全1ページ）：Security NEXT
流出の恐れがある個人情報は6000件ではなく57万件、MS＆Consultingが公表 | 日経 xTECH（クロステック）

Yahoo! JAPAN、パスワードでのログインを無効にする機能を提供開始

【概要】
Yahoo! JAPANは、ユーザーが「Yahoo! JAPAN ID」で設定しているパスワードでのログインを無効にし、代わりにSMS等で送られた確認コードでログインできる機能を提供開始した。

【参考情報】
セキュリティ向上の新たな取り組みとして、パスワードでのログインを無効にする機能を提供開始 - プレスルーム - ヤフー株式会社
 ヤフー、「パスワード無効」設定可能にセキュリティ向上のため - ITmedia NEWS
ヤフー、セキュリティ向上でパスワードでのログインを無効にする機能を提供開始：日経 xTECH Active
ヤフー、ログイン時のパスワード廃止を段階的に開始 - ケータイ Watch

中国の闇サイトで2億件以上の日本人個人情報が販売

【概要】
セキュリティ企業のファイア・アイは、中国の闇サイトで2億件以上の日本人個人情報が販売されているという調査結果を明らかにした

【参考情報】
https://www.fireeye.jp/blog/jp-threat-research/2018/05/japan-pii-finding.html
中国でのべ2億件超の日本人情報が販売、企業流出も確認--ファイア・アイ - ZDNet Japan
日本人の個人情報2億件、中国の闇サイトで販売か - ITmedia ビジネスオンライン
 日本人の2億件以上の個人情報、中国の闇サイトで販売を確認 | マイナビニュース

GDPR(EU一般データ保護規則)が5月25日から施行

【概要】
GDPR（General Data Protection Regulation：EU一般データ保護規則）が2018年5月25日から施行された。
対象となる個人データは、対象となる個人データは氏名や所在地、メールアドレス、クレジットカード番号、パスポート情報、Cookieといったオンライン識別子なども含む。
なお、GDPRについて不安を煽る詐欺も増える可能性があり、注意が必要。