2020-08-04

2020年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

長かった梅雨も明け、やっと夏らしい暑さがやってきましたね。

新型コロナウイルスだけでなく、この時期の熱中症等にも気をつけてくださいね。

さて、私事ですが先日はじめて『にゃん☆たく』として日経クロステックの記事に名前が載りました。

xtech.nikkei.com

はじめて日経BPさんの記事に『にゃん☆たく』の名前が載りました。
この会のきっかけ、実は僕だったのです…
誰かを救いたいという気持ちを持って、メンバーは日々発信をしています。

会員登録が必要な箇所の記事内容、皆さんに読んでいただきたい濃い内容になっておりますので是非ご覧ください。 https://t.co/h5LNXGAeQX
— にゃん☆たく (@taku888infinity) 2020年7月30日

決して自分の力だけではないと心から思っています。この『会』の僕以外がマジでヤバい人たちなのです。ただぼくはそのきっかけを作っただけに過ぎません。

ぼくはこういった活動をこれからも多くの分野でしていきたいと思っています。

そのモチベーションは『セキュリティに困っている人たちを救いたい』という気持ちだけです。

セキュリティの事を知らない人が沢山います。一人でも多くのひとに知ってほしいと思っていますが、発信者（側）も少ないのが現実です。

誰かと同じでもいいです、自分が知った情報や誰かに役立ちそうだなと感じた情報はTwitterでもInstagramでもLINEでもなんでもいいので発信するようにしてみてください。

ひとりでもそういう人が増えれば世の中変わると信じています。

ちょっと長くなりましたね:(；ﾞﾟ''ωﾟ''):すんまそん！

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

複数のBIG-IP製品に脆弱性

【概要】
複数のBIG-IP製品に脆弱性が存在し、任意のコードを実行される、攻撃の踏み台に利用される等の可能性がある

【CVE番号】
CVE-2020-5902

【対象】
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで

【対策】
・アップデートする（以下本脆弱性対応済バージョン）
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2

【参考情報】
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
 JVNVU#90376702: F5 Networks 製 BIG-IP 製品に複数の脆弱性
 【注意喚起】F5 BIG-IP製品の任意コード実行可能な脆弱性（CVE-2020-5902）を狙う攻撃活動を観測 | セキュリティ対策のラック
 F5 Networks「BIG-IP」の脆弱性を狙う攻撃を観測、最新版の適用を - INTERNET Watch

【参考Tweet】

複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起を公開。F5 Networks から脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用を。^YK https://t.co/jaolaBUkGg
— JPCERTコーディネーションセンター (@jpcert) 2020年7月6日

Windows DNS Serverに脆弱性

【概要】
Windows DNS Serverに脆弱性が存在し、任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-1350

【対象】
2003年から2019年までにリリースされた全バージョンのWindows DNS Server

【対策】
・パッチをあてる

【参考情報】
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 - Microsoft Security Response Center
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開 - ITmedia NEWS
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方 (1/2) - ITmedia エンタープライズ
 マイクロソフト、7月の月例パッチ公開--「Windows DNS Server」の重大な脆弱性も修正 - ZDNet Japan
17年前から存在～「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性 - 窓の杜
 【セキュリティニュース】「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

ActiveDirectory使うとWindows serverのDNS機能が自然と使われているはず。ここに悪性のドメイン引かせるだけでExploitできるのでやばい。しかしAD止めてパッチとか計画が大変ね。 / “Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由 | 日経…” https://t.co/JHWq7FJIXW
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月1日

「GRUB2」のブートローダーに脆弱性（脆弱性名：BootHole）

【概要】
「GRUB2」のブートローダーに脆弱性が存在し、管理者権限が必要だが任意のコードが実行されてしまう可能性がある

【CVE番号】
CVE-2020-10713

【対象】
「Linux」や「Windows」などセキュアブートを利用している製品

【対策】
各製品ごとに異なる

【参考情報】
There’s a Hole in the Boot - Eclypsium
ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ - ITmedia エンタープライズ
 レッドハット、「BootHole」脆弱性へのフィックスで一部のシステムが起動不可に - ZDNet Japan
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 - PC Watch
ほぼすべてのLinuxのブートローダーに脆弱性 - PC Watch
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) - OSS脆弱性ブログ
 Linuxで広く使われるブートローダー「GRUB2」にセキュアブートを回避できる脆弱性「BootHole」が見つかる - GIGAZINE
【セキュリティニュース】セキュアブート回避の脆弱性「BootHole」が判明 - LinuxやWindowsに影響（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

ネーミングはさておき凄いことやってくれたな🥶https://t.co/qHX4WGHuV0
— Neutral8✗9eR (@0x009AD6_810) 2020年7月29日

SIOSセキュリティブログを更新しました。

2020/08/03追記：RHEL8/7の修正されたバージョンがリリースされているようです。詳細はこちらを御確認下さい。#sios_tech #security #vulnerability #セキュリティ #脆弱性 #linux #kernel #grub2 #boothole #secureboot https://t.co/9lgFa5oqzB
— Kazuki Omo (@omokazuki) 2020年8月3日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazonアカウントを利用制限しています
【緊急】楽天カードから緊急のご連絡
Amazon異常は検出されました。
お客様のAmazon IDはロックされました
楽天カードから緊急のご連絡
Amazonアカウントを更新する

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年7月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※（）は報告日時
BTCBOX をかたるフィッシング (2020/07/22)
宅配便の不在通知を装うフィッシング (2020/07/09)
セブン銀行をかたるフィッシング (2020/07/08)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/06 フィッシング報告状況

注意喚起やニュースのアレコレ

Twitterで複数アカウントがハッキングを受ける

【概要】
Twitterで複数アカウントがハッキングされ、著名人のアカウントが乗っ取られBitocoinを要求するツイートが発信されてしまった。

【参考情報】
Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される - GIGAZINE
Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE
Twitterの大規模アカウントハッキング、FBIが捜査開始 - ITmedia NEWS
AppleやマスクCEOなど多数のセレブTwitterアカウントが乗っ取られ、暗号通貨詐欺に悪用される - ITmedia NEWS
Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表 - ITmedia NEWS
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog

【参考Tweet】

Twitter が先日の攻撃についてブログを更新。

(1) 攻撃者は少数の Twitter 社員に対して電話によるソーシャルエンジニアンリング攻撃 (a phone spear phishing attack)
(2) 社内システムに侵入した後、サポートツールへのアクセス権をもつ別の社員を攻撃

という 2段階の攻撃だったようです。
— Masafumi Negishi (@MasafumiNegishi) 2020年7月31日

Twitterの大規模ハッキングで攻撃者は1000万円分のBitcoinを得たが、Coinbaseなどの取引所が送金先のアドレスをブロックして計3000万円の送金を防いでいたことが判明。ハッキングのツイートから1分で気づいたらしいhttps://t.co/qMrY5Ail8h
— Cheena② (@cheena_2nd) 2020年7月21日

Twitter 事件での少年が優れていたのはハッキングスキルというよりも詐欺 (ソーシャル・エンジニアリング) の素質だと思うんですよね、技術というより欺術。話題になったサイバー事件の多くは意外とそういうものが最大の要因だったりする。 > RT
— Neutral8✗9eR (@0x009AD6_810) 2020年8月2日

みずほ総研が250万件の顧客情報を紛失

【概要】
みずほ総合研究所は顧客管理システムのバックアップデータを保存した磁気テープを誤って破棄したことにより、250万件の顧客情報を紛失したと発表した。なお、第三者により情報を解読される可能性は低いとのこと。

【参考情報】
みずほ総合研究所株式会社におけるお客さま情報の紛失について（PDF）
https://www.mizuho-ri.co.jp/company/release/pdf/20200721release.pdf
みずほ総研顧客企業の個人情報など250万件紛失誤って廃棄か | NHKニュース
 【セキュリティニュース】顧客情報約250万件含む磁気テープを紛失 - みずほ総研（1ページ目 / 全1ページ）：Security NEXT
顧客情報、約250万件を紛失みずほ総研と銀行が発表：朝日新聞デジタル

【参考Tweet】

みずほ総研顧客企業の個人情報など250万件紛失誤って廃棄か #nhk_news https://t.co/yFYdozmops
— NHKニュース (@nhk_news) 2020年7月21日

顧客情報２５０万件を紛失　みずほ総研、媒体破棄か https://t.co/WhCpVVLKMM

誤って破棄した可能性が高く、不正に持ち出された形跡はないとしている。
— 産経ニュース (@Sankei_news) 2020年7月21日

Emotetに感染させるメールの配信が再開

【概要】
マルウェアのEmotetに感染させるメールの配信が再開され注意が必要。

【参考情報】
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
 マルウェア「Emotet」、再拡大の恐れ情報窃取やスパムメール拡散の可能性も - ITmedia NEWS
ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - GIGAZINE
Emoいメモ。 #Emotet - にゃんたくのひとりごと

【参考Tweet】

本日 #Emotet の「攻撃再開の観測状況」を公開しました。7月中旬以降に攻撃活動が再開しており、IPAでは国内企業での攻撃事例も確認しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールのWord文書ファイル等の取り扱いに注意してください。https://t.co/u1FGMS1pVs pic.twitter.com/afypVK5LxF
— IPA（情報処理推進機構） (@IPAjp) 2020年7月28日

JPCERT/CC WEEKLY REPORT 2020-07-29を公開。セキュリティ関連情報は4件。ひとくちメモは、JPCERT/CC CyberNewsFlash「マルウエアEmotetの感染に繋がるメールの配布活動の再開について」です。^YK https://t.co/xnquy9NmdK
— JPCERTコーディネーションセンター (@jpcert) 2020年7月29日

Facebookのメッセンジャーで不審な動画リンクが届く

【概要】
Facebookのメッセンジャーで動画を再生させようとする内容のメッセージには注意が必要。

【参考情報】
夏休みにおける情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構
 Facebookメッセンジャーから不審な動画？乗っ取られた友達から届くケースが相次ぐ - INTERNET Watch
「このビデオはいつでしたか？」Facebookで送られてくる動画リンクに注意 | マイナビニュース

【参考Tweet】

【Facebookのメッセンジャーに届く動画に注意！】
「Facebookのメッセンジャーで友達から動画が送られてきた」という相談が増えています。
「このビデオはいつでしたか？」というメッセージは、友達が乗っ取り被害をうけて送信されたものと考えられます。絶対にメッセージに触らないでください！1/3 pic.twitter.com/nV9jvizhoF
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

IPAで検証したところ、動画のようなメッセージをタップしても動画は再生されず、Facebookアカウント情報を詐取する偽ページが表示されました。ここにIDとパスワードを入力すると、今度は自分のアカウントが乗っ取り被害にあう可能性があります。
このような偽ページに情報を入力しないでください。2/3 pic.twitter.com/vKC2wg3tE4
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

偽ページに情報を入力するとその後、不審なアンケートサイトやアプリのインストールに誘導するサイトが表示されました。
このようなアンケートサイトに情報を入力したり、誘導されるまま不用意にアプリをインストールしないでください。3/3 pic.twitter.com/ndtty0KnlM
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

セキュリティレポートやブログのアレコレ

Trend Micro

Kaspersky

ユージン・カスペルスキーはどのようなスパムメールを受け取っているのか
https://blog.kaspersky.co.jp/kaspersky-ceo-spam/28853/
ゲームアカウント用に強固なパスワードを作るヒント
https://blog.kaspersky.co.jp/game-accounts-passwords/28785/
企業データが漏れ出る4つの経路
https://blog.kaspersky.co.jp/unusual-ways-to-leak-info/28755/

LAC

新型コロナによる出社禁止、セキュリティ監視センターJSOCはどうピンチを乗り越えたのか？ | セキュリティ対策のラック
 ラックの開発力を支えるヒミツ「2つの道場」とは？ | セキュリティ対策のラック

IIJ

wizSafe Security Signal 2020年6月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

マルウェア情報局（ESET）

2020年6月マルウェアレポート | マルウェア情報局

NEC セキュリティブログ

Microsoft Azureでのディスクフォレンジック: NECセキュリティブログ | NEC
メモリフォレンジックCTF「MemLabs」Lab2のWriteUp: NECセキュリティブログ | NEC
二重脅迫ランサムウェア攻撃の増加について: NECセキュリティブログ | NEC

IBMセキュリティー・インテリジェンス・ブログ

データが語る COVID-19 のパンデミックによるセキュリティー脅威の急増
 サイバー・レジリエンスのある組織とは？ハイ・パフォーマーの秘訣

マクニカネットワークス

マクニカネットワークスと伊藤忠商事がビジネスメール詐欺の実態と対策を共同分析

piyolog

正規番号でファックス誤送信が起きたNTT西の電話サービス故障についてまとめてみた - piyolog
BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた - piyolog
Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
日本郵便のe転居を悪用したストーカー事件についてまとめてみた - piyolog
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog

bomb_log

マルウェアEmotetの活動再開（2020/07/17-） - bomb_log

趣味のぶろぐ。

マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。

Noriaki Hayashi（@v_avenger）のQiita

すぐ貢献できる！偽サイトの探索から通報まで - Qiita

セキュリティ猫の備忘録

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

午前７時のしなもんぶろぐ

確認しろって言われるけれど……。「ドメイン名」って何だろう？ - 午前７時のしなもんぶろぐ

みっきー申す

Torを使ったサイバー攻撃の戦術とその対策案 - みっきー申す
 ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について - みっきー申す
 SIGRed（CVE-2020-1350）WindowsDNSサーバーのRCE脆弱性について - みっきー申す
 Emotetへの感染を試みる活動が5か月ぶりに確認された件 - みっきー申す
 【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　　∧,,∧　　∧,,∧
　∧ 　(´・ω・)　 (・ω・｀) ∧∧
(　´・ω)　つ| ) 　(　|とﾉ(ω・｀ )
｜　　つ|　＊　　　＊　　|と　ﾉ
　ｕ-ｕ＊　´ " ﾊﾟﾁ´ " ＊　-ｕ
　　　 ´ " ﾞ　　　　　ﾊﾟﾁ´ " ﾞ

＜更新履歴＞

2020/08/04 AM 公開および題名の修正

2020-07-22

Emoいメモ。 #Emotet

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

ここ数日、ネットメディアニュースなどで『Emotetが活動再開！』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp

www.itmedia.co.jp

news.mynavi.jp

▼2020年9月4日追記

9月に入ってからパスワード付きのZIPファイルを添付した不審メールも出回るようになりました。ゲートウェイ製品や従来の対策では防げない場合もあるので注意が必要です。

www.jpcert.or.jp

sugitamuchi.hatenablog.com

またトレンドマイクロのアンケートを騙りEmotetに感染させるパターンもありますので注意が必要です。

blog.trendmicro.co.jp

sugitamuchi.hatenablog.com

Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない（マクロを有効化しない）

しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。

さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

Emotetについての注意喚起
EmotetのIoC情報を知りたい
Emotetの情報をTwitterで知りたい
Emotetの情報をブログ等で知りたい

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。

▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について

▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構

▼Emotetに対しての対応FAQ（JPCERT/CC）

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています

EmotetのIoC情報を知りたい

EmotetについてのIoC情報（通信先情報、検体情報など）をまとめました。
監視などを行う際に活用してみてください。

ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

①https://any.run/malware-trends/emotet

f:id:mkt_eva:20200722172631p:plain

Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。

②https://app.any.run/submissions

f:id:mkt_eva:20200722172651p:plain

ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。（ので、気をつけてくださいね）

Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

①https://urlhaus.abuse.ch/browse/tag/emotet/

f:id:mkt_eva:20200722174155p:plain

URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。

②https://urlhaus.abuse.ch/api/

f:id:mkt_eva:20200722174757p:plain

URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

※こちらに登録されているものはEmotetに感染させるものだけ載っているわけではないのでご注意下さい。

・Database dump (CSV)
１：URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)

f:id:mkt_eva:20200722174835p:plain

２：URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

f:id:mkt_eva:20200722174846p:plain

なお、API経由で情報を得たい場合の手法についてはこちらの資料が役に立ちます。

▼100 more behind cockroaches? or how to hunt IoCs with OSINT

https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_4_ogawa-niseki_jp.pdf

Feodo Tracker

Dridex,Emotet,Heodon等に関連するC&Cサーバー等の情報共有を目的とする、abuse.chのプロジェクトです。

Emotet感染では他のマルウェア（Trickbot等）に感染させる挙動があります。

https://feodotracker.abuse.ch/browse/

f:id:mkt_eva:20200729011955p:plain

こちらに登録されているIPへの通信を監視することで『感染したPC』からの通信をキャッチできる可能性があります。感染後という観点で調べる際に活用できると思います。

Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

f:id:mkt_eva:20200722175333p:plain

Pastebin

Pastebin（ペーストビン）でも情報を発信してくれるページがあります。

Pastebinだとこの辺り。

Emf1123's Pastebin - https://t.co/wBNyYug1KT https://t.co/8bUEWr6c4o

Paladin316's Pastebin - https://t.co/wBNyYug1KT https://t.co/Mnuu9QpWL6

Jroosen's Pastebin - https://t.co/wBNyYug1KT https://t.co/sm4rr5GST9
— ねこさん⚡🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) 2020年7月22日

ねこさん情報ありがとうございます！！！

Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

Joseph Roosen@JRoosen

\_(ʘ_ʘ)_/@pollo290987

moto_sato@58_158_177_102

Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ（組織、個人）や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet（エモテット）徹底解説！感染すると何が起こる？ | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ

▼個人ブログ

bomccss.hatenablog.jp

sugitamuchi.hatenablog.com

malware-log.hatenablog.com

piyolog.hatenadiary.jp

hash1da1.hatenablog.com

techblog.securesky-tech.com

以上です。

これ以外もあるぞ！という方はぜひTwitter等で教えてくださると幸いです。

ではでは！

＜更新履歴＞

2020/07/22 PM 公開

2020/07/23 PM 修正（Pastebinの情報を追記）

2020/07/29 AM 修正（URLhausの情報を更新、Feodo Trackerの情報を追記）

2020/07/31 PM 修正（個人ブログに、piyolog、TT Malware Logを追加）

2020/09/04 PM 修正　ブログ前説部分にパスワード付きのZIPファイルを添付してくる、トレンドマイクロを騙る等のEmotet感染メールに関する情報を追記、SSTさんのブログも追記

2020-07-02

2020年6月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

先月も書きましたが、5月末に＠ITセキュリティセミナーで登壇させていただきました。

視聴してくださった皆さん、ご覧頂きありがとうございました。
皆さんにとって貴重な時間を割いていただき本当に感謝しております。

動画内容に対して、良かった点悪かった点、参考になった点ならなかった点あったかと思います。

今後も継続して頑張りますのでどうぞよろしくお願いいたします！ https://t.co/6WQlW1ErLl
— にゃん☆たく (@taku888infinity) 2020年6月23日

はじめてのオンライン登壇で緊張してしまったのと、やはりオフライン登壇のように相手が見えないのはなかなか反応がわからず不安になりましたね。ただ、登壇して気付いたこともあったので、それは次回以降活かせるかなと思いました。

見てくださった方々からはいくつか感想を頂きました。非常に嬉しかったです。励みになります。もし動画内容について、当日聞けなかったから聞いてみたいという方はご相談くださいませ。

そういえば先月僕のTwitterで「伸びた」ものでこちらを読者の皆さんに紹介します。

Abuse of HTTPS on Nearly Three-Fourths of all Phishing Siteshttps://t.co/DHpDorrmlO

とうとうフィッシングサイトのほぼ4分の3が『https』化されてるというレポート。もうほとんど「https」化されてるといっても過言でもないですね。#にゃんたくメモ
— にゃん☆たく (@taku888infinity) 2020年6月17日

日々僕はフィッシングサイトやフィッシングメールの情報を追いかけているのですが、見分け方のひとつとしてメディア等で「https」化されている場合は安心という事が報道される事があります。しかしながら、もうフィッシングサイトのほとんどが「https」化されているのが現状です。このことは是非知っておいてください。

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

BIND9に複数の脆弱性

【概要】
BIND9に複数の脆弱性が存在し、第三者によって外部からnamedを異常終了させられる可能性がある。

【CVE番号】
CVE-2020-8618
CVE-2020-8619

【対象】
▼CVE-2020-8618
BIND 9.16.0から9.16.3までのバージョン

▼CVE-2020-8619
BIND 9.11.14から9.11.19までのバージョン
BIND 9.14.9から9.14.12までのバージョン
BIND 9.16.0から9.16.3までのバージョン
BIND Supported Preview Edition 9.11.14-S1から9.11.19-S1までのバージョン

【対策】
アップデートする（下記本脆弱性対応済みバージョン）
BIND 9.16.4
BIND 9.11.20
BIND 9.11.20-S1

【参考情報】
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8619）
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2020-8618）
ISC BIND 9 における脆弱性 (CVE-2020-8618、CVE-2020-8619) について
 BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2) - OSS脆弱性ブログ
 【セキュリティニュース】「BIND 9」に2件のサービス拒否脆弱性 - アップデートが公開（1ページ目 / 全1ページ）：Security NEXT

IP-in-IPプロトコルに脆弱性

【概要】
IP-in-IP（IP Encapsulation within IP：IPパケットに別のIPパケットをカプセル化することができる）プロトコルでカプセル化されたIPパケットを解除や転送する際の確認を行っていない機器の場合、攻撃者によって任意の宛先にパケットが転送されてしまう可能性がある。

【CVE番号】
CVE-2020-10136

【対象】
IP-in-IP プロトコルをサポートし、送信元や宛先アドレスの制御が適切に行われていない機器

【対策】
アップデートする
IP-in-IP を無効化する
PoC を確認する
侵入検知システムでフィルタリングする

【参考情報】
JVNTA#90492923: IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
 【セキュリティニュース】一部ネットワーク機器に「DDoS攻撃」や「アクセス制御回避」の脆弱性（1ページ目 / 全1ページ）：Security NEXT
IP-in-IPプロトコルにDDoS攻撃や情報漏えいなどを受ける脆弱性（JVN） | ScanNetSecurity
CVE-2020-10136～IP-in-IPに脆弱性… - wakatonoの戯れメモ
【参考Tweet】

久々に書いた。なかなかツボな脆弱性～CVE-2020-10136～IP-in-IPに脆弱性… - wakatonoの戯れメモ https://t.co/lrcRAebEU2
— wakatono(JK) (@wakatono) 2020年6月3日

QNAP製NASに脆弱性

【概要】
QNAP製NASに「Photo Station」の脆弱性が存在し、ランサムウェアに感染する可能性がある

【対象】
QTS 4.4.1: build 20190918 より前のバージョン
QTS 4.3.6: build 20190919 より前のバージョン
QTS 4.4.1: Photo Station 6.0.3 より前のバージョン
QTS 4.3.4 から QTS 4.4.0: Photo Station 5.7.10 より前のバージョン
QTS 4.3.0 から QTS 4.3.3: Photo Station 5.4.9 より前のバージョン
QTS 4.2.6: Photo Station 5.2.11 より前のバージョン

【対策】
アップデートする

【参考情報】
QNAP 社製 NAS および Photo Station に影響を与えるランサムウエアに関する情報について
 QNAP NASの脆弱性悪用して感染するランサムウェア確認、対応を | マイナビニュース
 JPCERT/CC、QNAP製NASの脆弱性を悪用した攻撃に対する注意喚起 | マイナビニュース
 【セキュリティニュース】QNAP製NASの脆弱性狙うランサムウェア「eCh0raix」に注意（1ページ目 / 全3ページ）：Security NEXT

Palo Alto Networks製品に脆弱性

【概要】
Palo Alto Networks製品に脆弱性が存在し、外部から第三者によって認証を回避されSAML認証によって保護されたリソースにアクセスされる可能性がある

【CVE番号】
CVE-2020-2021

【対象】
PAN-OS 9.1.x 系のうち、9.1.3 より前のバージョン
PAN-OS 9.0.x 系のうち、9.0.9 より前のバージョン
PAN-OS 8.1.x 系のうち、8.1.15 より前のバージョン
PAN-OS 8.0.x 系のすべてのバージョン

【対策】
アップデートする（下記本脆弱性対応済みバージョン）
PAN-OS 9.1.3 およびそれ以降のバージョン
PAN-OS 9.0.9 およびそれ以降のバージョン
PAN-OS 8.1.15 およびそれ以降のバージョン

【参考情報】
Palo Alto Networks 製品の脆弱性 (CVE-2020-2021) について
 【セキュリティニュース】Palo Alto Networksの「PAN-OS」に認証回避の脆弱性 - VPNなども影響（1ページ目 / 全2ページ）：Security NEXT
Palo Alto NetworksのPAN-OSに認証回避の脆弱性、アップデートを | マイナビニュース

【参考Tweet】

PAN-OSの認証回避の脆弱性(CVE-2020-2021)ですが

1) SAML認証が有効であること
2) 'Validate Identity Provider Certificate'オプションが無効であること

が条件のようです。https://t.co/9zZvnp2i74
— tike (@tiketiketikeke) 2020年6月30日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
アカウントとオファーは一時的に禁止されます。
アカウントのセキュリティ審査を実施してください。
Apple IDのログイン異常
Amazon異常は検出されました。
Amazonアカウントを利用制限しています
Apple IDについての重要なお知らせ
【重要】楽天株式会社から緊急のご連絡
お客様のAmazon IDはロックされました
異常なログインが見つかり
再度Apple IDアカウントの情報を入力してください。
Amazonアカウントを更新する
Appleアカウントを更新する

【参考情報】

注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年6月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
楽天をかたるフィッシング (2020/06/25)
[更新] au をかたるフィッシング (2020/06/25)
エポスカードをかたるフィッシング (2020/06/11)
楽天をかたるフィッシング (2020/06/05)
メルカリをかたるフィッシング (2020/06/02)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

ドメインレジストラの不具合を利用しドメイン名ハイジャックが発生

【概要】
ドメインレジストラ（お名前.com）の不具合を利用され、Coincheckとbitbankでドメイン名ハイジャックが発生した

【参考情報】
当社利用のドメイン登録サービス「お名前.com」で発生した事象について（最終報告） | コインチェック株式会社
 2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog
当社利用のドメイン登録サービスにおける不正アクセスについて
 2020.06.03【お知らせ】お名前.com Naviで発生した事象につきまして｜お知らせ｜ドメイン取るならお名前.com
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
コインチェックのインシデント対応報告を読み解く - wakatonoの戯れメモ
 コインチェックのドメインハイジャックの手法を調査した - Shooting!!!
セキュリティインシデントの報告書で信頼を高める——コインチェックの対応に学べ (1/2) - ITmedia エンタープライズ

【参考Tweet】

Coincheckが被害を受けたドメイン名ハイジャック、同手口の事例が複数発生しているようだとする未確認情報もあるため、自組織のDNS情報が変更されていないか一度確認されることを推奨します#注意喚起 pic.twitter.com/qZ8D5cTiVS
— piyokango (@piyokango) 2020年6月3日

ドメインレジストラに登録しているDNS情報が不正に書き換えられる件が複数起きているようです。手口は似ていて「https://t.co/18XK3RamrE」だった場合「https://t.co/pi6kAEE0En」と0が付いた劇似ドメインに書き換え。皆さん自社ドメインをWHOISしてDNSが正しいか確認してみて下さい。
— Sen UENO (@sen_u) 2020年6月3日

脆弱性「Ripple20」が数億台の電化製品に影響

【概要】
Treckが開発したTCP/IPプロトコルのライブラリに存在する19件のゼロデイ脆弱性の総称である「Ripple20」が数億台の電化製品に影響することが判明した・

【参考情報】
数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される - GIGAZINE
何百万個ものIoT機器に影響を及ぼす脆弱性群「Ripple20」を確認 | トレンドマイクロセキュリティブログ
 【セキュリティニュース】IoT機器で広く採用されている「Treck TCP/IP Stack」に深刻な脆弱性（1ページ目 / 全3ページ）：Security NEXT
多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報（PDF）
https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf

【参考Tweet】

List of Ripple20 vulnerability advisories, patches, and updates - @Ionut_Ilascu https://t.co/PV8oxpvfbc
— BleepingComputer (@BleepinComputer) 2020年6月25日

ホンダ、サイバー攻撃を受けシステム障害

【概要】
自動車業界の大手のホンダがサイバー攻撃を受けシステム障害が発生した。サイバー攻撃に使用されたのは『EKANS』と呼ばれるランサムウェアの可能性がある。

【参考情報】
ホンダ、サイバー攻撃でシステム障害海外4工場が稼働停止 - ロイターニュース - 経済：朝日新聞デジタル
 ホンダ、サイバー攻撃被害認める身代金ウイルス拡大か：朝日新聞デジタル
 SNAKE(EKANS)ランサムウェアの内部構造を紐解く | MBSD Blog
国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog
ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性 - みっきー申す

【参考Tweet】

At this time Honda Customer Service and Honda Financial Services are experiencing technical difficulties and are unavailable. We are working to resolve the issue as quickly as possible. We apologize for the inconvenience and thank you for your patience and understanding.
— Honda Automobile Customer Service (@HondaCustSvc) 2020年6月8日

サイバー防災、今年も開催

【概要】
NTTドコモ、KDDI、ソフトバンク、ディー・エヌ・エー、メルカリ、グリー、DMM.com、ヤフー、LINEが連携して、ネット啓発を目的とした取り組み「サイバー防災」が今年も6月9日～23日に行われた。

【参考情報】
サイバー防災
 サイバー防災｜一般財団法人日本サイバー犯罪対策センター
 ヤフーら9社、サイバーセキュリティ啓発の『サイバー防災』 | マイナビニュース
 インターネットの安心安全な使い方をWebサイトで学べる「サイバー防災」実施 - ケータイ Watch

【参考Tweet】

サイバー防災呼びかけのLINEさんページにてイラスト参加させていただきました！(￣^￣)ゞ

動画ではアニメーションとして動いているので見てもらえたら嬉しいです( ´ ▽ ` )ﾉ📺https://t.co/TbFJb8YCqu #にゃんこかと思ったら…#くまかと思ったら...#にゃんこは騙されない？#サイバー防災 https://t.co/cKOWlqwYDl
— いがらしゆり/igarashi yuri (@yuri_i_lilium) 2020年6月10日

ブログ更新！！クイズに答えて現場猫のスタンプを手に入れようぜ！！: ネットで散々痛い目にあってきた僕がネットの安全について話そう【PR】https://t.co/v022pRyDZH
— やしろあずき (@yashi09) 2020年6月15日

PRです👮‍♀️サイバー防災のレポートを書かせていただきました！
こちらからみなさんもぜひ👉https://t.co/uenXdT7OH7

"#サイバー防災 #PR pic.twitter.com/Qojmq6DfRg
— ブブ (@bopiyopiyo) 2020年6月12日

ネット詐欺あるある

今回は「#サイバー防災」の啓発活動に参加させて頂きました。
クイズに全問正解するとLINEスタンプが貰えるのでチャレンジしてみてください！
【↓クイズにチャレンジ】https://t.co/HzlQWwgAIy #サイバー防災 #PR pic.twitter.com/y5uRcDcjxv
— BUSON【職業あるある大図鑑発売中!】 (@positiveshikibu) 2020年6月11日

東京都選挙管理委員会の特設サイトに不具合（修正済み）

【概要】
東京都選挙管理委員会の特設サイトに「http」と「https」でアクセスすると違うサイトが表示される不具合が生じた（修正済み）

【参考情報】
TLS非対応の都知事選特設サイトにサイバー攻撃？httpsにすると別サイトに飛ぶ真相 | 日経クロステック（xTECH）

【参考Tweet】

本件、発生しなくなったようですので、これ以上、拡散されませんよう、お願い致します。 https://t.co/2KPrU1IVWD pic.twitter.com/h8wAnp7xLN
— Miyuki Chikara (@harugasumi) 2020年6月22日

2020tochijisen[.]tokyoを引くと3つのIP（153.126.164[.]233、153.126.213[.]97、153.126.130[.]199）が返ってきますがHTTPSで接続をするといずれも別サイトが表示される pic.twitter.com/j6xDydLO0J
— piyokango (@piyokango) 2020年6月19日

都知事選が 2020tochijisen[.]tokyo というけったい(大阪弁)なドメインでしたので、悪用されないように https://t.co/cf9T7H8r2y ドメインを取っておきました。
しかし都知事選が終わったら 2020tochijisen[.]tokyo ドメインはどうするつもりなんだろ? 計画性が見えない😵https://t.co/tRp0e2TgAN
— Osumi, Yusuke😇 (@ozuma5119) 2020年6月21日

警察庁の注意喚起を騙りフィッシングサイトに誘導するSMSが出回る

【概要】
金融機関を騙るSMSに記載されているURLにアクセスすると、警察庁騙るポップアップが表示され、金融機関のフィッシングサイトに誘導するSMSが出回った。

【参考情報】
警察庁のウェブサイトを模倣した偽サイトに注意（PDF）
http://www.npa.go.jp/bureau/info/chuikanki.pdf
注意情報｜一般財団法人日本サイバー犯罪対策センター
 【注意喚起】警察庁を装った偽サイトに注意、銀行を装うフィッシングサイトへ誘導 | トレンドマイクロ is702
【セキュリティニュース】警察庁装うフィッシング攻撃に注意 - SMSで偽サイトに誘導（1ページ目 / 全1ページ）：Security NEXT
【参考Tweet】

【警察庁の偽ウェブサイトに注意】警察庁のウェブサイトを模倣した偽サイトを確認しています。この偽サイトにアクセスすると、金融機関の偽サイトに誘導し、口座情報等を入力させようとします。不正なアドレスにはアクセスせず、口座情報等の入力はしないでください。
詳細→https://t.co/VDUZQ0FMjs
— 警察庁 (@NPA_KOHO) 2020年6月27日

「警察庁のウェブサイトを模倣した偽サイト」とありますが、『スマホでアクセスした場合、警察庁を騙る偽ポップアップが表示され、そのまま進むと銀行のフィッシングサイトにリダイレクトされる』のが現状です。このポップアップを偽サイトと呼んでよいかは悩みますが、なんにせよ注意が必要です。 https://t.co/LzLET5WPbr pic.twitter.com/lnGecsmgSw
— にゃん☆たく (@taku888infinity) 2020年6月27日

LINEの画像用サーバーに不正接続した高校生らが書類送検

【概要】
2019年8月末にLINEの画像用サーバーで見つかった脆弱性を利用し不正接続した高校生らが書類送検された。なお利用された脆弱性は2019年8月31日に修正されている。

【参考情報】
2019年8月のプロフィール画像の改ざん事件に関する報道について | LINE Corporation | セキュリティ＆プライバシー
 LINEサーバーに不正接続容疑の高校生ら書類送検：朝日新聞デジタル
 LINE、プロフ画像が第三者に変更される脆弱性「プロフ画像、変えられてないか確認を」とユーザーに呼び掛け - ITmedia NEWS
LINEアカウントのプロフィール画像を変更可能な脆弱性の修正のお知らせ | LINE Corporation | セキュリティ＆プライバシー

【参考Tweet】

言及しづらいけどとりあえずこれですhttps://t.co/PwXkxNfq4M
— mala (@bulkneets) 2020年6月27日

対応遅いとか書いてる人もいるけど土曜日に発生で当日中修正です
— mala (@bulkneets) 2020年6月27日

「世界一受けたい授業」で紹介された「SIMカードロック」についてトラブルが続出

【概要】
日本テレビの「世界一受けたい授業」でスマホ防犯の一例として紹介された「SIMカードロック」について実際に試したユーザーがSIMが使えなくなった等のトラブルが続出した。

【参考情報】

f:id:mkt_eva:20200702031157p:plain
スマホが使えなくなった……「世界一受けたい授業」が紹介した「SIMカードロック」でトラブル相次ぐ専門家は「危険性の高い機能」と指摘【日テレのコメントを追記】 (1/2) - ITmedia NEWS
「PINロック」でスマホが使用不可に解除コードを今すぐ確認する方法は？ - ITmedia Mobile
てくろぐ: SIMカードがロックされてしまったら (SIMへのPINコード設定)

【参考Tweet】

TV番組で「スマホの安全のためSIMカードにPINを設定しよう」という案内があったと聞きました。確かにそのような機能はありますが、操作を間違えるとスマホが利用できなくなる、極めて危険性の高い機能です。本当に必要な方のみ設定下さい。
前にTVで放送された時の案内(p.9～https://t.co/AiLhklPrvr
— 堂前@IIJ (@IIJ_doumae) 2020年6月27日

スマホの安全性を高めるためにSIMカードに「PINコード」を設定しようとして、誤ってSIMがロックされてしまう事故が発生しています。SIMがロックされるとどのような画面になるのか、ロック解除のための操作はどうすれば良いかご説明しています。https://t.co/C3sXRwPbVJ
— 堂前@IIJ (@IIJ_doumae) 2020年6月30日

「世界一受けたい授業」は打ち合わせ段階からスタッフや出演者の皆さんが一丸となって、有益な情報を1人でも多くの人に伝えたい気持ちが詰まっている素晴らしい番組です！そのような番組で説明不足を露呈し恐縮しております。
— 佐々木成三/元捜査一課/刑事コメンテーター (@narumi_keiji) 2020年6月29日

公安調査庁がサイバーパンフレットを公表

【概要】
公安調査庁がサイバー攻撃の現状として、サイバーパンフレットを公表した。

【参考情報】
サイバー攻撃の現状 2020（PDF）
http://www.moj.go.jp/content/001322280.pdf
サイバーパンフレットサイバー攻撃の現状 2020（公安調査庁） | ScanNetSecurity
公安調査庁「サイバー攻撃」初の報告書｜日テレNEWS24

【参考Tweet】

公安調査庁では，国内外で深刻さを増すサイバー攻撃の現状等について広く周知するため，サイバーパンフレット「サイバー攻撃の現状２０２０」を公表しています。是非ご覧ください→https://t.co/9OI8QfwD5D pic.twitter.com/BGVwhI0ut3
— 公安調査庁 (@MOJ_PSIA) 2020年6月29日

あと資料をPPT(2016)で作ったのは隠しておいたほうが良いですよ。これがdisinformationなら良いのだけど。。。
— hiro_ (@papa_anniekey) 2020年6月30日

Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開

【概要】
Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開した。なお、名称については『Tsunami Early Warning System」（津波早期警戒システム）の略で、津波そのものの名称を意図したものではない』とのこと。

【参考情報】
Googleのセキュリティスキャナー「Tsunami」、名称がGitHubで議論呼ぶ関係者が参加し釈明 - ITmedia NEWS
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開ポートスキャンなどで脆弱性を自動検出 - ITmedia NEWS
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表：数十万のシステムを即座に検査 - ＠IT
セキュリティスキャナー「Tsunami」、名称に関するIssueがクローズ。実は「津波早期警戒システム」が略されたものだったと釈明。ドキュメントで詳細に説明へ－ Publickey
tsunami-security-scannerについて確認してみた - Qiita
Google Tsunami 動かしてみた - Nick Security Log

【参考Tweet】

tsunami動かして見ました。
プラグイン充実するの楽しみだなー！
tomcatのCVE-2020-1938とか、Weblogicのやつとか割と簡単に作れそうだけどどうなんだろう

Google Tsunami 動かしてみた - Nick Security Log https://t.co/81f1F2Y8cN
— Nick (@STUSecInfo) 2020年6月25日

Tsunami の issue はドキュメントに Tsunami の名前について追記する形で閉じられたぽい。https://t.co/RMr5O1JJhi
— mattn (@mattn_jp) 2020年6月27日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

政府情報システムのためのセキュリティ評価制度（ISMAP）：IPA 独立行政法人情報処理推進機構
 「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」報告書について：IPA 独立行政法人情報処理推進機構
 「2019年度中小企業の情報セキュリティマネジメント指導業務」報告書について：IPA 独立行政法人情報処理推進機構
 中小企業向けサイバーセキュリティ事後対応支援実証事業（サイバーセキュリティお助け隊）の報告書について：IPA 独立行政法人情報処理推進機構
サイバーレスキュー隊（J-CRAT）活動状況[2019年度下半期](PDF)
https://www.ipa.go.jp/files/000083013.pdf

JPCERT コーディネーションセンター

Magento に関するアップデート (APSB20-41) について
 マルウエアLODEINFOの進化 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

NISC

テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について（PDF）
https://www.nisc.go.jp/active/general/pdf/telework20200611.pdf
多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報（PDF）
https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf

JC3

警察庁を騙るフィッシング

注意情報｜一般財団法人日本サイバー犯罪対策センター

フィッシングサイト対策協議会

フィッシングレポート 2020（PDF）
https://www.antiphishing.jp/report/phishing_report_2020.pdf
フィッシング対策ガイドラインの改定（PDF）
https://www.antiphishing.jp/report/antiphishing_guideline_2020.pdf

JNSA

NPO日本ネットワークセキュリティ協会
 2019年度国内情報セキュリティ市場調査 | NPO日本ネットワークセキュリティ協会
「緊急事態宣言解除後のセキュリティ・チェックリスト解説書」を掲載
https://www.jnsa.org/telework_support/telework_security/index.html

Trend Micro

McAfee

2020年在宅勤務の増加に伴いクラウドの利用が急増サイバー犯罪者の標的に
 インターネットのプライバシー：オンラインで安全性を保つためのヒントとコツ
 最も狙われているオンラインエンターテイメント作品トップ10を発表
 OneDriveフィッシングに注意

Kaspersky

セキュリティが強化されたZoom 5.0
https://blog.kaspersky.co.jp/zoom-5-security/28741/
データ盗み出し経路としてのGoogleアナリティクス
https://blog.kaspersky.co.jp/web-skimming-with-ga/28712/
自社ネットワークを攻撃しているのはどのハッカーグループか?推測ではなく、確認を！
https://blog.kaspersky.co.jp/kaspersky-threat-attribution-engine/28717/
マルウェアはどのようにしてゲームアカウントを盗むのか
https://blog.kaspersky.co.jp/gaming-password-stealers/28674/
偽の支援：給付金を餌にするオンライン詐欺
https://blog.kaspersky.co.jp/covid-compensation-spam/28626/
内部からのBECに対処する方法
https://blog.kaspersky.co.jp/fighting-internal-bec/28536/

LAC

初めてづくしの「オンライン・インターンシップ」開催。得られた成果は？ | セキュリティ対策のラック
 釘を打つのにドライバーを使ってませんか？正しいプロビジョニングツールを使いましょう | セキュリティ対策のラック

IIJ

wizSafe Security Signal 2020年5月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
てくろぐ: SIMカードがロックされてしまったら (SIMへのPINコード設定)

MBSD(三井物産セキュアディレクション株式会社)

SNAKE(EKANS)ランサムウェアの内部構造を紐解く | MBSD Blog
機械学習モデルの学習データを推論する方法 | MBSD Blog
細工した分類器を利用した任意のコード実行 | MBSD Blog

NECセキュリティブログ

トレーニングコンテンツ：「Hack The Box」を触り始めてみた: NECセキュリティブログ | NEC
Azure Security Virtual Training Day参加記: NECセキュリティブログ | NEC

NTTデータ先端技術株式会社

MITRE ATT&CK その1 ～概要～ | NTTデータ先端技術株式会社
 MITRE ATT&CK その2 ～攻撃手法と緩和策（スピアフィッシング攻撃の場合）～ | NTTデータ先端技術株式会社

piyolog

データ復元と行動履歴分析が行われた公職選挙法違反事件についてまとめてみた - piyolog
国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog
データセンターの電源故障の影響で起きた自治体サイト接続障害についてまとめてみた - piyolog
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog

みっきー申す

Trickbotを起点にCobaltStrikeを活用した潜入活動を行う攻撃手法について - みっきー申す
 アプリケーションのエラーログを装ったファイルを用いる攻撃手法について - みっきー申す
 Windows版Facebook Messengerにてバックドアを実行できる脆弱性について - みっきー申す
 ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性 - みっきー申す

セキュリティコンサルタントの日誌から

金融ISACの講演を公開しました！ - セキュリティコンサルタントの日誌から
 『脅威インテリジェンスの教科書』を公開しました！ - セキュリティコンサルタントの日誌から

knqyf263's blog

CVE-2020-10749（Kubernetesの脆弱性）のPoCについての解説 - knqyf263's blog

wakatonoの戯れメモ

コインチェックのインシデント対応報告を読み解く - wakatonoの戯れメモ
 みんなVPN死ね症候群にかかってないか？ - wakatonoの戯れメモ
 CVE-2020-10136～IP-in-IPに脆弱性… - wakatonoの戯れメモ

午前７時のしなもんぶろぐ

担当者の悪ふざけ！？「US-CERT」のおもしろ Tweet 特集！ - 午前７時のしなもんぶろぐ

今回もココまで読んでいただきありがとうございました。

ではでは！

暑いですねー

　　　冷たい麦茶ドゾー
`＿＿＿＿＿
|￣∥￣￣￣|
|　∥　　　|　 ∧_∧
|　∥([) 　 | 只･ω･`)
|　∥　　　| [冂]□⊂)
|＿∥＿＿＿| [三]ーｕ

＜更新履歴＞

2020/07/02 AM 公開

2020-06-01

2020年5月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

緊急事態宣言解除が全国一斉に解除され、少し気分がホッとした方も多いと思います。

ぼくもホッとして、遊びや呑みにガンガン行きたい！って思ったんですが、あくまでも今回のは緊急事態宣言が解除されただけで、段階的な自粛緩和まで解除されたわけではないので、みんなで楽しめる日までもう少し我慢しようと思います！

あ、そうそうそう。。。

このハンパねぇゲストスピーカーのラインナップのなかに1人だけアニメアイコンの奴おるんだけど、大丈夫かコイツ。https://t.co/RwaSKd2qdj pic.twitter.com/XLXqzQlqZx
— にゃん☆たく (@taku888infinity) 2020年5月21日

実ははじめて＠ITセキュリティセミナーでお話させていただく機会をいただきました。

https://www.atmarkit.co.jp/ait/special/at200694/index.html

めっちゃ緊張していますが（オンライン登壇ははじめてなので…）頑張ります！

では前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Oracle WebLogic Serverに脆弱性

【概要】
Oracle WebLogic Serverに脆弱性が存在し、第三者によって外部からサーバを乗っ取られる可能性がある。

【CVE番号】
CVE-2020-2883

【対象】
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 10.3.6.0.0

【対策】
アップデートする

【参考情報】
Oracle WebLogic Server の脆弱性に関する注意喚起
 オラクル、「WebLogic Server」の脆弱性を突く攻撃について警告 - ZDNet Japan
「Oracle WebLogic Server」の脆弱性に対する複数の実証コードを確認（JPCERT/CC） | ScanNetSecurity
【セキュリティニュース】「WebLogic Server」など既知脆弱性の悪用リスク高まる - 早急に更新を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

現状のCVE-2020-2883のPOCについては当該脆弱性を突くためのペイロードを脆弱性が存在するWebLogicサーバーに置くのだけど、そのためのExploitとしてCVE-2020-2555/2546/2551なりを使うと理解。その際、T3のプロトコルを使うので7001/TCPなりを使っている、んだね。https://t.co/yvUA5qGXyK
— hiro_ (@papa_anniekey) 2020年5月11日

構成管理ツールSaltに複数の脆弱性

【概要】
SaltStackが提供する構成管理ツールSaltに複数の脆弱性が存在し、第三者により外部から任意のコマンドを実行される可能性がある。

(下記2020/06/02AM追記)

本脆弱性についてCisco製品も影響を受け、本脆弱性を悪用され不正アクセスが実行された模様。

【CVE番号】
CVE-2020-11651
CVE-2020-11652

【対象】
Salt versions 2019.2.3 およびそれ以前
Salt versions 3000.1 およびそれ以前

(下記2020/06/02AM追記)

▼影響を受けるCisco製品

Cisco Modeling Labs Corporate Edition (CML)
Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE)

実際に影響を受けたサーバ

us-1.virl.info
us-2.virl.info
us-3.virl.info
us-4.virl.info
vsm-us-1.virl.info
vsm-us-2.virl.info

【対策】
アップデートする（下記本脆弱性修正済バージョン）
Salt versions 2019.2.4
Salt versions 3000.2

(下記2020/06/02AM追記)

▼Cisco製品については下記バージョンにアップデートする

Cisco Modeling Labs Corporate Edition (CML)

→Cisco CML Release 1.6.65 もしくは Release 2.0

Cisco Virtual Internet Routing Lab Personal Edition (VIRL-PE)

→Cisco VIRL-PE Release 2.0 もしくは Release 1.6.66

→1.5 もしくは1.6を使用する場合はソルトマスターサービスの仕様有無をチェックし、無効になっていることを確認する

【参考情報】

SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起
 構成管理ツール「SaltStack Salt」に複数の脆弱性（JPCERT/CC） | ScanNetSecurity
【セキュリティニュース】インフラ構成管理ツール「SaltStack」に深刻な脆弱性 - 悪用コード公開、早急に対処を（1ページ目 / 全2ページ）：Security NEXT

(下記2020/06/02AM追記)

Cisco製品に「SaltStack」関連の脆弱性、Ciscoのサーバに不正アクセス - ITmedia エンタープライズ
 SaltStack FrameWork Vulnerabilities Affecting Cisco Products

【参考Tweet】

CT2 Log Compromised via Salt Vulnerability https://t.co/dnxi7iskPd SaltStack: Salt masterをインターネットに公開しており、そのSalt masterに対してCVE-2020-11651, CVE-2020-11652の脆弱性でexploitされた模様
— かいと（kaito834） (@kaito834) 2020年5月6日

構成管理ツールSalt、国内で使っている話を聞いたことないけど事例あるでしょうか。昔試したときはansibleと違って定義がarrayではなくhashで同じものを２回定義できずツラミが多かった記憶。 / “SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する…” https://t.co/ukNCkMEv00
— matsuu (@matsuu) 2020年5月9日

先日話題になったSaltStackの脆弱性に起因してシスコ社側設備の一部サーバが侵害されていたとのこと。
そして同様の脆弱性はユーザ側製品にも影響しているのでアップデートが出ています。

SaltStack FrameWork Vulnerabilities Affecting Cisco Productshttps://t.co/o4AeOdTDqn pic.twitter.com/mA8ZPHJ1G0
— Autumn Good (@autumn_good_35) 2020年5月29日

BIND9に複数の脆弱性

【概要】
ISC BIND 9に複数の脆弱性が存在し、外部からフルリゾルバをDNSリフレクション攻撃に利用されたり、パフォーマンスを低下させられる可能性があります。

【CVE番号】
CVE-2020-8616
CVE-2020-8617

【対象】
BIND 9.16系 9.16.0 から 9.16.2 まで
BIND 9.14系 9.14.0 から 9.14.11 まで
BIND 9.11系 9.11.0 から 9.11.18 まで
BIND Supported Preview Edition 9.9.3-S1 から 9.11.18-S1 まで
※既にサポートが終了している BIND 9.10系以前や 9.12系、9.13系、9.15系および開発版の 9.17系についても本脆弱性の影響を受けるとのこと

【対策】
アップデートする

【参考情報】
ISC BIND 9 の脆弱性 (CVE-2020-8616, CVE-2020-8617) に関する注意喚起
 DNS サーバ BIND の脆弱性対策について(CVE-2020-8616)(CVE-2020-8617) ：IPA 独立行政法人情報処理推進機構
 （緊急）BIND 9.xの脆弱性（DNSサービスの停止・異常な動作）について（CVE-2020-8617）
（緊急）BIND 9.xの脆弱性（パフォーマンスの低下・リフレクション攻撃の踏み台化）について（CVE-2020-8616）
BIND 9の複数の脆弱性情報(High: CVE-2020-8616, CVE-2020-8617)と新バージョン(9.11.19, 9.14.12, 9.16.3) - OSS脆弱性ブログ
 CVE-2020-8617のPoCについての解説 - knqyf263's blog

【参考Tweet】

CVE-2020-8617のPoCを書いたので忘れないうちに解説だけ先に書いておきましたhttps://t.co/ivWHPBgUU9
— イスラエルいくべぇ (@knqyf263) 2020年5月20日

Apache Tomcatに脆弱性

【概要】
Apache Tomcatに脆弱性が存在し、外部から任意のコードが実行される可能性がある。

【CVE番号】

【対象】
Apache Tomcat 10.0.0-M1 から 10.0.0-M4
Apache Tomcat 9.0.0.M1 から 9.0.34
Apache Tomcat 8.5.0 から 8.5.54
Apache Tomcat 7.0.0 から 7.0.103

【対策】
修正済みのバージョンを適用する
Apache Tomcat 10.0.0-M5
Apache Tomcat 9.0.35
Apache Tomcat 8.5.55
Apache Tomcat 7.0.104

【参考情報】
Apache Tomcat の脆弱性 (CVE-2020-9484) に関する注意喚起
 「Apache Tomcat」にコード実行の脆弱性、アップデート公開（JVN） | ScanNetSecurity
Apache Tomcatの脆弱性情報(High: CVE-2020-9484) - OSS脆弱性ブログ
 【PoCあり】Tomcat脆弱性CVE-2020-9484を対策しなければならない条件とは？脆弱性の原因も含め解説 – Self branding
【セキュリティニュース】「Apache Tomcat」にRCE脆弱性 - 5月公開の最新版で修正済み（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

JPCERTから注意喚起が出たTomcatのRCE脆弱性、CVE-2020-9484についての解説を書きました。https://t.co/tWbjMSY2U9
— Kanatoko (@kinyuka) 2020年5月21日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年5月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazonアカウントの異常な状態と解決手順について。
【緊急】楽天カードから緊急のご連絡
アカウントの異常な状態と解決手順について。
Apple IDについての重要なお知らせ
Amazonセキュリティ警告
Amazon異常は検出されました。
アカウント情報を更新、確認してください。
【重要】楽天株式会社から緊急のご連絡

不審な偽サイト（フィッシングサイト）情報

2020年5月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
Amazon をかたるフィッシング (2020/05/29)
Amazon をかたるフィッシング (2020/05/26)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

三井住友銀行の顧資資産が紛失

【概要】
三井住友銀行の顧客情報の入ったHDD2個を保守委託していたOKIクロステックが紛失した。

【参考情報】
子会社における顧客資産（ハードディスク）の紛失について｜プレスリリース｜OKI
三井住友銀行の顧客情報、保守委託のOKI系が紛失 :日本経済新聞
 三井住友銀の顧客情報7万件、委託先が紛失初期化せず：朝日新聞デジタル
 三井住友銀行の保守委託企業がハードディスク紛失、葛西支店の顧客情報10年分 | ScanNetSecurity
三井住友銀の顧客情報、保守委託先のOKIが紛失最大7万件 - ITmedia NEWS

【参考Tweet】

他紙は暗号化と表記してるんだけど朝日は「データは英数字や記号に変換されており」。用語として変換と暗号化は使い分けられてるので語弊が。変換って普通Base64みたいな可逆変換のことを言うよね。
三井住友銀の顧客情報7万件、委託先が紛失　初期化せず：朝日新聞デジタル https://t.co/3MvqPuJ77y
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年5月1日

暗号化されてたとのことだけど、こんな大事なものどうやって紛失するのだろうか。故意の可能性を疑ってしまう。

口座番号など、顧客情報７万件紛失　三井住友銀：時事ドットコム https://t.co/1UYzdm7WzF
— 米村歩@日本一残業の少ないIT企業社長 (@yonemura2006) 2020年5月1日

日本経済新聞社のグループ会社にサイバー攻撃があり情報流出

【概要】
日本経済新聞社のグループ会社にサイバー攻撃があり、日経の社員等の個人情報約1万件が流出した

【参考情報】
サイバー攻撃による社員等の個人情報流出について（PDF）
https://www.nikkei.co.jp/nikkeiinfo/news/release_20200512_01.pdf
日経にサイバー攻撃社員ら1万2514人分の個人情報流出 :日本経済新聞
 日経新聞にサイバー攻撃、社員情報など1万件以上流出メール経由で新型ウイルス侵入 - ITmedia NEWS
日経にサイバー攻撃、1万人超の情報流出新種ウイルス：朝日新聞デジタル
 日経新聞社員ら１万2000人余の情報流出サイバー攻撃か | NHKニュース
 マルウェア感染による日経新聞社員らの情報流出についてまとめてみた - piyolog

【参考Tweet】

リサーチャーさんもメディアさんも、こんな時は「どのようにやられたのかを公開の上、他での被害を最小限にできるようにするべき」という人がいるので、ここは日経さんに率先垂範いただければと。 / 日経にサイバー攻撃　社員ら1万2514人分の個人情報流出：日本経済新聞 https://t.co/sCa0KX6g7M
— wakatono(JK) (@wakatono) 2020年5月12日

マウスコンピューターの社員から顧客にフィッシングメールが送信

【概要】
マウスコンピューターの社員のアカウントがフィッシングサイトにアクセスし情報を入力してしまった事により、アカウントが不正アクセスされ乗っ取られ、顧客にフィッシングメールが送信されてしまった。

【参考情報】
【重要】標的型攻撃メールによる個人情報流出に関するお詫びとお知らせ｜BTOパソコン・PC通販ショップのマウス【公式】
マウスコンピューター、不正アクセス被害でフィッシングメール1220件送信偽サイトでメール情報盗まれ - ITmedia NEWS
【セキュリティニュース】アカウントが乗っ取り被害、フィッシング踏み台に - マウスコンピューター（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

初報のページのまま内容が更新されていました。
1,220件のバラマキに使うのは標的型攻撃なのだろうか...

2020.05.15
【重要】標的型攻撃メールによる個人情報流出に関するお詫びとお知らせ（第2報） pic.twitter.com/cSYsYvAnhx
— Autumn Good (@autumn_good_35) 2020年5月15日

NTTコミュニケーションズに不正アクセス、621社の企業情報が流出した可能性

【概要】
NTTコミュニケーションズに不正アクセスがあり、621社の企業情報が流出した可能性がある。自衛隊に関する情報が漏洩した恐れがあると一部報道されているが調査中とのこと。

【参考情報】
ニュース 2020年5月29日:当社への不正アクセスに関する一部報道について | NTTコミュニケーションズ企業情報
 ニュース 2020年5月28日:当社への不正アクセスによる情報流出の可能性について | NTTコミュニケーションズ企業情報
 NTTコムに不正アクセス法人の工事情報が漏えいした疑い - ITmedia NEWS
NTT Comで「水平移動」型の不正アクセス、621社の情報流出の恐れ - ZDNet Japan
NTTコムにサイバー攻撃自衛隊の通信情報流出か :日本経済新聞
 防衛省の情報、流出の可能性 NTTコム不正アクセス：朝日新聞デジタル

【参考Tweet】

NTT Comで不正アクセス被害顧客621社にも影響🔥
①海外拠点やクラウド管理セグメント経由し社内NWまで侵害
②AD不正操作試行で発覚、社内サーバー群は調査中
③クラウドは新サービス移行中で撤去を控えていたサーバー等が利用https://t.co/h3ribFq4Kp pic.twitter.com/lrtY7O0yk4
— piyokango (@piyokango) 2020年5月28日

経団連関連法人が不正アクセス、個人情報流出の可能性

【概要】
日本経済団体連合会の関連法人の経団連事業サービスが不正アクセスされ個人情報が流出した可能性

【参考情報】
当法人ホームページへの不正アクセスによる情報漏洩可能性について（PDF）
https://www.keidanren-jigyoservice.or.jp/200528.pdf
経団連の関連団体、約500件の個人情報流出か Webサイトに不正アクセス - ITmedia NEWS
【セキュリティニュース】不正アクセスで個人情報流出か - 経団連事業サービス（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

『・攻撃者がプログラムを改ざんし、セミナーや書籍などの申込者情報を攻撃者が指定したファイルに書き込む様に変更』

2020年5月28日
当法人ホームページへの不正アクセスによる情報漏洩可能性について（経団連事業サービス）
[PDF] https://t.co/6Le0ea4Yqt pic.twitter.com/St8hNAwbmS
— Autumn Good (@autumn_good_35) 2020年5月28日

偽サイトが大量に出現

【概要】
正規サイトをコピーした偽サイトが大量に確認された。偽サイトが作成された目的等は不明である。

【参考情報】
官邸も新聞社も…偽サイトが大量に出現誰が何のために：朝日新聞デジタル
 公的機関まねた偽サイト多数「ドメイン名確認を」国が注意喚起 | NHKニュース
 【注意喚起】自治体や政府、企業の正規サイトを複製した偽サイトを複数確認 | トレンドマイクロ is702

【参考Tweet】

【注意喚起】首相官邸や日本の省庁、自治体、企業などを模倣した海外ドメイン名の偽サイトにご注意ください。

・リンクからホームページに行く際は、URLを必ず確認
・URLに普段見慣れない末尾文字がある場合、検索等の別の方法で本物のサイトのURLを確認
・不審な場合には、アクセスをすぐに中断 pic.twitter.com/447OhA6Ihd
— 首相官邸(災害・危機管理情報) (@Kantei_Saigai) 2020年5月14日

【注意喚起】（1/3）
海外のドメイン名で、日本の公的機関や企業等を模倣した多数のWebサイトが存在するという情報があり、存在が確認されています。これらの模倣サイトは、本物のサイトとURL以外見分けがつかないものがあり、サイバー犯罪等に用いられる可能性があります。

（続く）
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2020年5月13日

一連の偽サイトのドメインはfreenomで取得されているので、TLDは .gq .cf .tk .ga .ml のいずれか。サーバはCloudflareでホスティングされてる。 pic.twitter.com/TL5WrhrzXi
— Tamperer (@anemone_fish) 2020年5月13日

4月に投稿された海外の #偽サイト関連のツイート（実際海外でも同様の偽サイトが複数存在）
5.61.57[.]17にホストされているという話もあります。AdSenseから別ドメインへ広告掲載されていると連絡を受けて把握したそうです。https://t.co/zBZBOc511G
— piyokango (@piyokango) 2020年5月14日

サイバー防御演習「CYDER」の教材が期間限定で一般公開

【概要】
NICTが推進する実践的サイバー防御演習「CYDER」の教材が期間限定で一般公開されている。

【参考情報】
実践的サイバー防御演習「CYDER」の教材を期間限定で一般公開 | NICT-情報通信研究機構
 サイバー防御演習「CYDER」の教材を期間限定で無償提供 NICT：サイバー攻撃への理解を深められる - ＠IT

【参考Tweet】

【プレスリリース】 #NICT ナショナルサイバートレーニングセンターは、当センターが推進する実践的サイバー防御演習「 #CYDER 」の周知啓発の取組の一環として、期間限定で過去の演習教材の一部の一般公開を開始しました。https://t.co/m5DzWcqYEo pic.twitter.com/U3BGbmrm5H
— 情報通信研究機構 (@NICT_Publicity) 2020年5月12日

NICTの実践的サイバー防衛演習「CYDER」の教材の一部が期間限定で一般公開されています（要申込み）。自組織で演習を予定しておられる方の参考になるのではないかと。 / “実践的サイバー防御演習「CYDER」の教材を期間限定で一般公開 | NICT-情報通信研究機構” https://t.co/LHwTLo82dM
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年5月12日

三菱電機へのサイバー攻撃の詳細が明らかに

【概要】
今年1月に発生した三菱電機に対しサイバー攻撃がおこなわれ、情報が漏えいした事件についての詳細が明らかになった。

【参考情報】
中国ハッカーに握られた社内PC 特命チーム暗闘の全貌：朝日新聞デジタル
 最新鋭ミサイルの性能情報漏洩か三菱電機サイバー攻撃：朝日新聞デジタル

【参考Tweet】

三菱電機不正アクセス事案🔥
社内CSIRTによる対処の様子を朝日が詳報

①Trend Microへ不審ファイル解析依頼も異常無しと報告
②社内CSIRTは①を受け独自調査実施決定
③ウイルスバスターCorp被害例を取り上げたLACレポートは別事案
④国内侵害起点のVPNの脆弱性も当時未修整https://t.co/6iJJpgdoyk
— piyokango (@piyokango) 2020年5月8日

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第1四半期（1月～3月）]：IPA 独立行政法人情報処理推進機構
 ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第1四半期（1月～3月）]：IPA 独立行政法人情報処理推進機構
 政府情報システムのためのセキュリティ評価制度（ISMAP）：IPA 独立行政法人情報処理推進機構
 テレワークを行う際のセキュリティ上の注意事項：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

インターネット定点観測レポート（2020年 1～3月）
おすすめのセキュリティカンファレンス - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

JC3

給付金等に関する不審メール
https://www.jc3.or.jp/topics/coronavirus/benefits.html

JNSA

緊急事態宣言解除後のセキュリティ・チェックリスト
https://www.jnsa.org/telework_support/telework_security/index.html

Trend Micro

McAfee

あなたのパスワードは大丈夫？オンラインアカウントを保護するための4つのヒント
 安全な接続のために個人向けVPNを使用するメリット
 オンライン詐欺を認識不安定な状況下で身を守るために
 在宅勤務の組織を標的に、サイバー犯罪者がRDPを悪用

Kaspersky

親を「デジタル的に育てる」ということ
https://blog.kaspersky.co.jp/raising-digital-parents/28417/
大人の楽しみをひっそりと、そして安全に楽しむ方法
https://blog.kaspersky.co.jp/adult-content-privacy-security/28335/
給付金関連の詐欺メールやフィッシングサイトに注意
https://blog.kaspersky.co.jp/beware-of-covid-19-benefit-scam/28347/
インターネットでのプライバシーを確保するための4つのヒント
https://blog.kaspersky.co.jp/privacy-5-steps/28304/
データ漏洩と社員のモチベーション
https://blog.kaspersky.co.jp/human-angle-motivation/28199/

LAC

全社一斉テレワークで何が起きたか？見えてきた課題と事業を止めないためのヒント | セキュリティ対策のラック
 セキュリティ診断レポート 2020 春〜標的型攻撃への次の一手「ペネトレーションテスト」の最新情報 | セキュリティ対策のラック
 【緊急対談】外出自粛で子どもたちがスマホ依存に？トラブルと向き合うために欠かせない大切な視点とは？ | セキュリティ対策のラック
 若手社員の"面白そう"から始まった社内イベント「LACCON」がひそかに盛り上るそのワケ | セキュリティ対策のラック

IIJ

wizSafe Security Signal 2020年4月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
2020年4月 TCP SYN/ACKリフレクション攻撃の観測事例 – wizSafe Security Signal -安心・安全への道標- IIJ
Mirai亜種（XTC）による感染活動の観測 – wizSafe Security Signal -安心・安全への道標- IIJ

piyolog

数字11桁で他人の健康状態が把握できたカタールの接触追跡アプリの脆弱性についてまとめてみた - piyolog
SIMスワッピングによるアカウント侵害で情報流出した事案についてまとめてみた - piyolog
特別定額給付金のオンライン申請で起きた問題についてまとめてみた - piyolog
マルウェア感染による日経新聞社員らの情報流出についてまとめてみた - piyolog
ハッキングフォーラムに投稿された複数の国内サイトリークについてまとめてみた - piyolog
非公開会議の内容を無許可参加した記者がツイートした件についてまとめてみた - piyolog

みっきー申す

OSINT実践～Kaspersky2020年1Q脅威レポートを見て～ - みっきー申す
 在宅勤務の増加に伴うRDPの悪用を試みる攻撃の増加 - みっきー申す
 GWに確認されたWordPressの脆弱性と攻撃観測について - みっきー申す

garbageman graffiti

SENJUのごみを漁る - garbageman graffiti
SENJUのごみを漁る - その２ - garbageman graffiti
垃圾车で巡回してみるが事故る - garbageman graffiti

午前７時のしなもんぶろぐ

何気ない投稿も組み合わせると……！？ SNS を使った特定の手口「メッセージ編」 - 午前７時のしなもんぶろぐ

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　 ∧＿∧
　　　(´ω｀)

梅雨入りじゃないすか！

　　ｎ ∧_∧ｎ
　　ヽ( ;ω;)ﾉ
　　　〉　　)
　　 <_<￣>_>

　　やだ―――！

＜更新履歴＞

2020/06/01 PM 公開

2020/06/02 AM 【構成管理ツールSaltに複数の脆弱性】の箇所にCisco製品についての情報を追記

2020-05-07

2020年4月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

皆さんはゴールデンウイーク楽しく過ごすことができましたか？

実は4月の末に初めて、やる前は僕自身ものすごく抵抗があったオンライン呑みをやってみたんですが、思った以上に楽しむことができてしまい、ゴールデンウイーク中も中高の同級生とやってしまいました。。。

はじめてZoom呑みというのをしてみたんだが、思った以上に普通に楽しめたなぁと思ったのは僕だけじゃないと信じてる← pic.twitter.com/Ack0he2Lsc
— にゃん☆たく (@taku888infinity) 2020年4月27日

なんだかんだで、友達や知り合いの顔を見るとホッとするってことに気づかされましたよ。

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Zoomに複数の脆弱性

【概要】
Zoomに脆弱性が存在し、第三者から任意の実行可能ファイルを起動される可能性がある。
またZoomの『待機室』にも脆弱性の可能性があるが詳細は不明。

【CVE番号】
なし

【対象】
バージョン4.6.9 (19253.0401)より前の zoom Windowsクライアント

【対策】
アップデートする

最新バージョン等については下記参照
・New Updates for Windows
https://support.zoom.us/hc/en-us/articles/201361953-New-Updates-for-Windows

・Download Center
https://zoom.us/download?zcid=1231

【参考情報】
Zoom の脆弱性対策について：IPA 独立行政法人情報処理推進機構
 Zoomのセキュリティ問題はなぜ「修正だけでは済まない」のか脆弱性の“捉え方”から解説しよう (1/2) - ITmedia エンタープライズ
 ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性 - ITmedia NEWS
Zoom、会議ID非表示などセキュリティ関連のアップデート - ITmedia NEWS
ZoomのWindowsクライアントに脆弱性、アップデートを | マイナビニュース
 オンラインビデオ会議アプリ「Zoom」の暗号化キーの一部が「中国のサーバー」から発行されていると判明、「待機室」機能にも脆弱性アリ - GIGAZINE

Microsoft Teamsに脆弱性

【概要】
Microsoft Teamsに脆弱性が存在し、悪意あるGIFファイルを送られ、閲覧してしまった場合アカウントが乗っ取られる可能性がある。
【CVE番号】
なし

【対象】
Microsoft Teams

【対策】
パッチをあてる

【参考情報】
Beware of the GIF: Account Takeover Vulnerability in Microsoft Teams | CyberArk
「Microsoft Teams」にアカウント乗っ取りの脆弱性、画像表示だけで不正侵入 - ITmedia エンタープライズ
 「Microsoft Teams」にアカウント乗っ取りの脆弱性--修正済み - ZDNet Japan
Microsoft Teamsに脆弱性、アカウントハイジャックとデータ窃取の危険性 | マイナビニュース
 「Microsoft Teams」にGIF画像を見るだけで機密情報を抜き取られる脆弱性 - 窓の杜
 グループチャットツールのMicrosoft Teamsに「GIF画像を見るだけでアカウントを乗っ取られる脆弱性」が発見される - GIGAZINE

【参考Tweet】

TeamsにGIFファイルを送って他人のアカウントを乗っ取れる脆弱性があったとのこと。
前提としてサブドメインハイジャックが必要だが、それが可能な誤ったDNS登録があったようでMSが対処済みとのこと。

Microsoft Teams patched against image-based account takeoverhttps://t.co/S9oZLvKkXZ
— Autumn Good (@autumn_good_35) 2020年4月27日

OpenSSLに脆弱性

【概要】
OpenSSLに脆弱性が存在し、サービス運用妨害（DoS攻撃）を受ける可能性がある。

【CVE番号】
CVE-2020-1967

【対象】
OpenSSL 1.1.1d
OpenSSL 1.1.1e
OpenSSL 1.1.1f

【対策】
アップデートする
▼本脆弱性修正バージョン
OpenSSL 1.1.1g

【参考情報】
OpenSSL の脆弱性対策について(CVE-2020-1967) ：IPA 独立行政法人情報処理推進機構
 OpenSSL の脆弱性 (CVE-2020-1967) に関する注意喚起
 JVNVU#97087254: OpenSSL における NULL ポインタ参照の脆弱性
 【セキュリティニュース】OpenSSLにリモートよりDoS攻撃受けるおそれ（1ページ目 / 全1ページ）：Security NEXT
「OpenSSL 1.1.1g」公開、深刻度“High”の脆弱性を修正 - INTERNET Watch
「OpenSSL」にセグメンテーション違反の脆弱性～修正版のv1.1.1gがリリース - 窓の杜

【参考Tweet】

あと数時間後にOpenSSLで重大度高めの脆弱性が公表されますね... https://t.co/ayCGPGX6hj
— Autumn Good (@autumn_good_35) 2020年4月21日

iOSのメールアプリに脆弱性

【概要】
iPhoneやiPadなどで使用されているiOSのメールアプリに脆弱性が存在し、メールの中身が漏洩したり、端末が乗っ取られる可能性がある。

【CVE番号】
なし

【対象】
iOS 6～iOS 13.4.1
※iOS 6以前は不明

【対策】
現時点（2020年05月06日）ではゼロデイ。ただしapple側からは問題なしと報告されている。
13.4.5で修正が見込まれるとのことなので都度アップデートを推奨

【参考情報】
You’ve Got (0-click) Mail! - ZecOps Blog
iOSのメール機能に深刻な脆弱性。ゼロクリックでリモートコード実行可能～すでにゼロディ攻撃に使われた形跡あり - PC Watch
iOSのメールにゼロデイ脆弱性の指摘メールを受け取るだけで被害か（Appleからのコメントあり） - ITmedia NEWS
iOSにメールを受信しただけで悪用される脆弱性、日本企業を標的にした攻撃を確認 - ITmedia エンタープライズ
 iOSのゼロデイ脆弱性、「差し迫った危険はない」とApple - ITmedia NEWS
iPhoneの標準メールアプリに脆弱性、ラックが注意喚起 | マイナビニュース
 iPhoneのメールアプリの脆弱性を狙うゼロクリック攻撃についてまとめてみた - piyolog

【参考Tweet】

iOSのメールにゼロデイ脆弱性の件で、「0 click」だと言ってるのに「メールが来たら開かずに削除」とか寝言を言う記事に怒れるねこさん。利用停止か諦めるかの二択しかありません。利用停止は、[設定]>[パスワードとアカウント]で、純正メールが受信しているアカウントを選択し「メール」をオフです。 https://t.co/wDcClRgHPk
— Naomi Suzuki (@NaomiSuzuki_) 2020年4月25日

gitに脆弱性

【概要】
gitに脆弱性が存在し、gitの認証情報が任意のホストに送信されてしまう可能性がある。

【CVE番号】
CVE-2020-5260

【対象】
▼以下バージョンを含む、以前のバージョンにも影響あり
git 2.17.3
git 2.18.2
git 2.19.3
git 2.20.2
git 2.21.1
git 2.22.2
git 2.23.1
git 2.24.1
git 2.25.2
git 2.26.0

【対策】
アップデートする
▼本脆弱性修正バージョン
git 2.17.4
git 2.18.3
git 2.19.4
git 2.20.3
git 2.21.2
git 2.22.3
git 2.23.2
git 2.24.2
git 2.25.3
git 2.26.1

【参考情報】
malicious URLs may cause Git to present stored credentials to the wrong server · Advisory · git/git · GitHub
JVNDB-2020-003553 - JVN iPedia - 脆弱性対策情報データベース
 Gitに認証データ窃取の脆弱性、アップデートを | マイナビニュース
 【セキュリティニュース】Gitに深刻な脆弱性、認証情報など取得されるおそれ（1ページ目 / 全1ページ）：Security NEXT
Gitの認証情報を奪い取れるGit 2.26.0以下にある脆弱性について · GitHub
Gitの脆弱性( CVE-2020-5260 )を調べたメモ｜株式会社レピダム
 Gitに危険な脆弱性が見つかった - orangeitems’s diary

【参考Tweet】

“Gitの認証情報を奪い取れるGit 2.26.0以下にある脆弱性について · GitHub” https://t.co/Kw0KP7WwqU
— 徳丸浩 (@ockeghem) 2020年4月19日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年4月に出回った不審なメールの件名は以下のとおり

【件名一覧】
アカウントがユーザー利用規約に違反しています。
Apple IDについての重要なお知らせ
【重要】楽天カードについての重要なお知らせ
【緊急】楽天カードから緊急のご連絡
アカウント情報を更新、確認してください。
Amazonアカウントの異常な状態と解決手順について。
アカウントの異常な状態と解決手順について。
【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年4月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※（）は報告日時

NTT ドコモをかたるフィッシング (2020/04/30)
千葉銀行をかたるフィッシング (2020/04/27)
au をかたるフィッシング (2020/04/22)
ヨドバシカメラをかたるフィッシング (2020/04/21)
住信 SBI ネット銀行をかたるフィッシング (2020/04/21)
Amazon をかたるフィッシング (2020/04/14)
MyJCB をかたるフィッシング (2020/04/10)
LINE をかたるフィッシング (2020/04/08)
アメリカン･エキスプレス･カードをかたるフィッシング (2020/04/07)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

Zoom爆撃（Zoombombing）が多発

【概要】
Web会議ツールのZoomを悪用したZoom爆撃（Zoombombing）と呼ばれる迷惑行為が多発しており注意が必要。

【参考情報】
「めっちゃ画面赤くね？」突然のZoom爆撃、会議無残：朝日新聞デジタル
 突然、性的画像が画面に…Zoom爆撃、香川大でも被害 [新型コロナウイルス]：朝日新聞デジタル
 Zoom爆撃と予防策についてまとめてみた - piyolog
Zoom爆撃を回避してWeb会議を始める7つのステップ | マイナビニュース

【参考Tweet】

香川大のZoombombing，NHKの記事にも「アカウントを削除するとともに、新たなアカウントを作成」と書いてあるぞ？それに「システムに問題があったことを認め、謝罪」ではZoomのシステムから情報が漏れたような印象に。実際は学生が漏らしたんだろう
— Haruhiko Okumura (@h_okumura) 2020年4月30日

昨日の講義でもいきなり２名の「Zoomあらし」入ってきた．パスワードが漏れたのかな？　わりとすぐにミュート＆強制退出できたので，むしろちょっとした眠気覚ましになったと思う．

「めっちゃ画面赤くね？」突然のZoom爆撃、会議無残：朝日新聞デジタル https://t.co/m4RKzRdY7n
— はかせ Mk-II (@hshimodaira) 2020年4月9日

Zoomのアカウント情報がダークウェブ上で販売

【概要】
Zoomのアカウント情報約50万件がダークウェブ上で販売されているとセキュリティ企業が報告。ただし販売されている約50万件のアカウント情報は別のサービスから漏えいしたIDとパスワードを使って他のウェブサービスへのログインを自動的に試みる攻撃手法「クレデンシャルスタッフィング」によって取得されたものであり、『Zoomから漏れたもの』ではない。

【参考情報】
50万人分以上の「Zoom」アカウントが闇市場で売買されたと判明、価格は1アカウント1円未満で無料配布されるケースも - GIGAZINE
50万超えるZoomアカウント、ダークWebで販売 - 漏洩の確認を | マイナビニュース
 50万人分の「Zoom」アカウントがダークウェブとハッカーコミュニティで販売 - iPhone Mania
【参考Tweet】

たしかに『売買されているZoomアカウントのIDとパスワードは、別のサービスから漏えいしたIDとパスワードを使って他のウェブサービスへのログインを自動的に試みる攻撃手法「クレデンシャルスタッフィング」によって取得されたもの』なので、Zoom「から」漏れたわけではないですね。 https://t.co/HVCidxow0X
— にゃん☆たく (@taku888infinity) 2020年4月14日

怪しいZoomに注意

【概要】
Web会議ツールのZoomではない同名の別ツールをインストールしてしまうケースがあり注意が必要。

【参考情報】
安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 “怪しいZoom”に注意使うとサポート料金を請求 IPAが注意喚起 - ITmedia NEWS
偽物ではなかった？ “怪しいZoom”の意外な正体 (1/2) - ITmedia NEWS
Zoomと同名、偽ソフトか広告を表示され料金請求：朝日新聞デジタル
 正規ではないZoomをダウンロードしてしまう件について調べてみた。 - にゃんたくのひとりごと
 これはZoomだけどZoomじゃない！（意味不明） - wakatonoの戯れメモ
 「Zoom」のその後 - wakatonoの戯れメモ

【参考Tweet】

ああこりゃひどいわ、Bingで「ダウンロード Zoom」って入れると一番上にuptodownが出てくる……
「Zoom ダウンロード」でも、1番目は英語説明だから2番目のuptodownクリックする人がいるんだろうな…… pic.twitter.com/vQA1Y71tv9
— おーじぇい (@920OJ) 2020年4月23日

偽Zoomをサンドボックス環境下で実行してみた。
3枚目から分かるように、アンインストーラにてアンインストールすることで、駆除が可能。
4枚目は、インストールファイル内のHTMLファイル。
内容的に、昔に作られた感じ？
それが、Zoomブームで再燃って感じかな？#Zoom pic.twitter.com/ymtCBZt1Om
— 1983_tama_get (@1983Get) 2020年4月24日

4月から継続的に『偽のZoomをダウンロードしてしまった事で、パソコン上でポップアップ画面が消えない』という相談や報告がされている感じがします。
Zoomをダウンロードする際は公式サイトからダウンロードするようにしてください。

ってこういう偽Zoomってどこからダウンロードするんだろう。。。 https://t.co/C68Kro2QmI pic.twitter.com/89aOb1OsPs
— にゃん☆たく (@taku888infinity) 2020年4月23日

「ニンテンドーアカウント」に不正ログインされる事案が発生

【概要】
任天堂公式のオンラインストア等で利用する「ニンテンドーアカウント」に対して不正ログインが発生しており注意が必要。
なお、「ニンテンドーネットワークID（NNID）」では約16万アカウントが不正ログインされた可能性があるとして任天堂が注意喚起を行った。

【参考情報】
「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い｜サポート情報｜Nintendo
不正ログインを防ぐために｜ニンテンドーアカウントサポート｜Nintendo
Nintendo Switchに必須の「ニンテンドーアカウント」で不正ログイン被害が続発、任天堂は二段階認証を有効にすることを公式に推奨 - GIGAZINE
任天堂が約16万件の「ニンテンドーネットワークID」が不正ログイン被害にあったと発表、Wii U/ニンテンドー 3DS時代からオンラインサービスを利用しているユーザーは注意 - GIGAZINE
任天堂、個人情報16万件が流出不正ログインで購入も：朝日新聞デジタル
 ニンテンドーネットワークID最大16万件に不正ログインの恐れ二段階認証の設定を呼び掛け - ITmedia NEWS
ニンテンドーアカウントを狙った不正ログインについてまとめてみた - piyolog

【参考Tweet】

要約:
①他のサイトからIDとパスワードを使い回してNNIDとパスを登録してた人、不正ログインの被害が16万人。使い回しやめてね
②NNIDとマイニンテンドーアカウントのパスワードは別のものにしてね
③念のため2段階認証の設定よろしくね
④クレカ情報の流出は無いよ
パスワードの使い回し、ダメ絶対！
— てげ (@hyou_ge) 2020年4月24日

まるで任天堂が個人情報16万件を流出した、みたいな書き方をしてるけど

・任天堂が流出した訳では無い
・流出したのは外部サービスであり任天堂とは関係ない
・16万件のアカウントが被害を受けた "可能性" がある
・不正ログインを受けたのは一部

流石に書き方に悪意を感じた https://t.co/JF0uPPoezt
— ゆきねこ🐱 (@hideki_0403) 2020年4月24日

「Classi」に不正アクセス

【概要】
オンライン学習サービスの「Classi」に不正アクセスがあり約122万人分のIDや暗号化されたパスワードが閲覧された可能性がある。

【参考情報】
【4月16日10時更新】サービス一時停止の調査報告とパスワード変更のお願い | Classi（クラッシー） - 新しい学びが広がる未来の教育プラットフォームを創る
 教育機関向けSaaS「Classi」に不正アクセス約122万人のユーザーIDなど流出の恐れ - ITmedia NEWS
【セキュリティニュース】教育クラウドサービス「Classi」に不正アクセス - 全利用者のIDなど流出（1ページ目 / 全1ページ）：Security NEXT
教育プラットフォーム「Classi」で不正アクセス、122万人のユーザーIDなどが閲覧された可能性 - INTERNET Watch
国内高校の半数が利用するClassiの不正アクセスについてまとめてみた - piyolog

【参考Tweet】

【不正アクセス】「Classi」、高校生ら約122万人のIDが流出https://t.co/vaHpOXZZvL

クラッシーは13日、学校教育支援アプリのシステムがサイバー攻撃を受け、約122万人分のIDなどが流出したと発表した。
— ライブドアニュース (@livedoornews) 2020年4月13日

高校生ら約122万人分のIDや、暗号化されたパスワードの文字列などが閲覧された疑い。ベネッセHDとソフトバンクが共同出資する教育機関向けサービス「Classi（クラッシー）」が外部から不正アクセスを受けました。https://t.co/0LgzlBIF5k
— 日本経済新聞電子版 (@nikkei) 2020年4月13日

特別定額給付金を狙う詐欺メールやSMSに注意

【概要】
政府が全国民に10万円を支給する特別定額給付金を狙った詐欺メールやSMSが出回っているため注意が必要。
※携帯会社を騙ってくる場合が多いため、各通信事業者では注意喚起が公開されている

【参考情報】
10万円一律給付手続き装う不審メールに注意コロナウイルス | NHKニュース
 「給付金10万円」詐欺電話やメール相次ぐ警視庁が注意喚起 - 毎日新聞
 携帯キャリア各社、新型コロナ関連の不審なメール・SMSに注意呼びかけ - iPhone Mania
10万円給付で携帯電話会社を名乗る詐欺メールコロナ禍、手口を変え｜【西日本新聞ニュース】
10万円給付金に関する詐欺メールに注意タイトルは「お客様の所在確認」警視庁などが注意喚起 - ITmedia NEWS
携帯会社を装う詐欺メールに注意！対策や『10万円給付』など偽メールの事例を紹介｜TIME＆SPACE by KDDI

【参考Tweet】

【注意喚起】
特別定額給付金の申請手続きを代行するという団体から電話が来ていませんか？
「早くもらえる」からと言われてもちょっと待って！詳細はこちらhttps://t.co/H5k7PGoL7H pic.twitter.com/4yiyO5I62b
— 国民生活センター (@kokusen_ncac) 2020年4月24日

「給付金１０万配布につき、お客様の所在確認」という見出しのメールが出回っています。
これはサギのメールです❗️給付金に関して自治体や総務省が銀行口座や個人情報などをメールでお問合せすることはありません。メール添付のＵＲＬにアクセスしないでください。
実際のサギメール画像がこれだ‼️⬇️ pic.twitter.com/ZNT0F0MwaF
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2020年4月21日