にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2020年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー 

今年はコロナ禍の影響で多くの業界でオフラインで行われていたイベントがオンラインに変更になったり、もしくは中止になったりしていますよね。

例年この時期はセキュリティ業界でもオフラインイベントが沢山ある時期なのですが、オンラインイベントに変更になっています。

特にセキュリティイベントでもCODEBLUEやAVTokyoがオンライン開催されました。

togetter.com

 

今年は僕もCODEBLUEでは裏方でお手伝いしたり、AVTokyoでもセッションを任せてもらったりと非常に勉強になる経験をさせていただきました。

この場を借りて運営の皆さま、オンラインイベントに参加してくださった皆さま、ありがとうございました!また来年もよろしくお願いしますね!

 

というわけで前月のまとめです。

脆弱性のアレコレ

Oracle製品に脆弱性

【概要】
Oracleの複数の製品に対するクリティカルパッチアップデートが公開されている。

【CVE番号】
CVE-2020-14803等

【対象】
Java SE JDK/JRE 15
Java SE JDK/JRE 11.0.8
Java SE JDK/JRE 8u261
Java SE JDK/JRE 7u271
Java SE Embedded 8u261
Oracle Database Server 19c
Oracle Database Server 18c
Oracle Database Server 12.2.0.1
Oracle Database Server 12.1.0.2
Oracle Database Server 11.2.0.4
Oracle WebLogic Server 14.1.1.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 10.3.6.0.0

【対策】
・アップデートする(下記修正済みバージョン)
Java SE JDK/JRE 15.0.1
Java SE JDK/JRE 11.0.9
Java SE JDK/JRE 8u271
Java SE JDK/JRE 7u281
Java SE Embedded 8u271

【参考情報】
Oracle Java の脆弱性対策について(CVE-2020-14803等):IPA 独立行政法人 情報処理推進機構
2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
Oracle Javaに脆弱性、アップデートを | マイナビニュース
【セキュリティ ニュース】Oracle、定例パッチで402件の脆弱性に対処 - CVSS基本値「9.0」以上が82件(1ページ目 / 全1ページ):Security NEXT
【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を | セキュリティ対策のラック

 

Microsoft Outlookに脆弱性

【概要】
Microsoft Outlookに脆弱性が存在し、第三者に細工されたメールを開くと任意のコードが実行される可能性がある

【CVE番号】
CVE-2020-16947

【対象】
Microsoft 365
Office 2019
Outlook 2016

【対策】
更新プログラムの適用

【参考情報】

【セキュリティ ニュース】「Outlook」にRCE脆弱性 - プレビューだけで悪用のおそれ(1ページ目 / 全2ページ):Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】


WindowsのTCP/IPスタックに脆弱性

【概要】
WindowsのTCP/IPスタックに脆弱性が存在し、第三者に細工されたICMPv6ルーターアドバタイズパケットを受信すると任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-16898(脆弱性名:Bad Neighbor)

【対象】
Windows 10
Windows Server 2019

【対策】
更新プログラムの適用
ICMPv6 RDNSSを無効にする

【参考情報】

脅威に関する情報: Microsoftの脆弱性 CVE-2020-16898
【セキュリティ ニュース】Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒(1ページ目 / 全2ページ):Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

 

不審なメールや偽サイトのアレコレ

不審な偽サイト(フィッシングサイト)情報

2020年10月にフィッシングサイト対策協議会で報告された情報は以下のとおり
[更新] 宅配便の不在通知を装うフィッシング (2020/10/30)
MyJCB をかたるフィッシング (2020/10/29)
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
※()は報告日時

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 宅配便の不在通知を装うフィッシング (2020/10/30)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | MyJCB をかたるフィッシング (2020/10/29)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 特別定額給付金に関する通知を装うフィッシング (2020/10/15)

 

注意喚起やニュースのアレコレ

複数のMicrosoft製品のサポートが終了

【概要】
2020年10月13日に複数のMicrosoft製品のサポートが終了した。サポート終了した製品は以下の通り。
Access 2010
Dynamics GP 2010
Excel 2010
Excel Mobile 2010
Exchange Server 2010
FAST Search Server 2010
Groove Server 2010
Office 2010
OneNote 2010
PowerPoint 2010
Project 2010
Publisher 2010
Search Server 2010
System Center Data Protection Manager 2010
System Center Essentials 2010
Visio 2010
Word 2010
Windows Embedded Standard 7
Office 2016 for Mac
Excel 2016 for Mac
Outlook 2016 for Mac
PowerPoint 2016 for Mac
Word 2016 for Mac

【参考情報】
ご存じですか? Office にはサポート期限があります - Microsoft atLife
複数のマイクロソフト社製品のサポート終了について
Office 2010のサポートが終了 更新プログラムの利用が不可に - ITmedia PC USER
ExcelやWordなど多数のマイクロソフト製品が10月13日にサポート終了 | マイナビニュース
【セキュリティ ニュース】「Office 2010」がサポート終了に - 利用環境の確認を(1ページ目 / 全1ページ):Security NEXT

【参考Tweet】

 

複数企業がマルウェア「TrickBot」遮断措置を実施

【概要】
複数企業(Microsoft、FS-ISAC、NTT、Symantec、ESET、Lumen)がマルウェア「TrickBot」遮断措置を実施した。

【参考情報】
Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置 - ITmedia NEWS
マイクロソフトら、米大統領選を前に悪質な「Trickbot」ボットネット遮断措置 - ZDNet Japan
Microsoftが大統領選に向けて悪名高いマルウェア「TrickBot」の運用阻止に乗り出す - GIGAZINE
米国大統領選挙を前に、ランサムウェア対策に向けた新たな取り組み - News Center Japan
Microsoft Uses Trademark Law to Disrupt Trickbot Botnet — Krebs on Security

【参考Tweet】

 

特別定額給付金を騙る偽メールが出回る

【概要】
10月中旬から後半にかけて、特別定額給付金を騙る偽メール(フィッシングメール)が出回った。

【参考情報】

総務省|特別定額給付金の給付を騙ったメールに対する注意喚起
総務省を騙った特別定額給付金に関するフィッシング|一般財団法人日本サイバー犯罪対策センター
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金の詐欺メール、また出回る 今度は「申請手続き代行始めました」 - ITmedia NEWS
給付金2回目支給? 総務省をかたる偽通知メールに注意 - INTERNET Watch

【参考Tweet】

 

ドコモ口座不正送金問題、被害の補償が完了

【概要】
NTTドコモはドコモ口座不正送金問題で確認できた127件の被害について補償が完了したと発表した

【参考情報】
【セキュリティ ニュース】「ドコモ口座」の不正チャージ、被害124件の補償を完了(1ページ目 / 全1ページ):Security NEXT
「ドコモ口座」不正引き出し被害 補償完了と発表 NTTドコモ | 電子決済 不正引き出し問題 | NHKニュース
ドコモ口座、判明被害の補償完了 128件で2885万円 :日本経済新聞
ドコモ口座被害、申告分の補償を完了 - ケータイ Watch

 

セキュリティレポートやブログのアレコレ

IPA(独立行政法人情報処理推進機構)

ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]:IPA 独立行政法人 情報処理推進機構
IPAの各種テレワーク支援施策:IPA 独立行政法人 情報処理推進機構


サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2020年7月~9月](PDF)
https://www.ipa.go.jp/files/000086549.pdf

 

JPCERT コーディネーションセンター

LogonTracer v1.5 リリース - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
インターネット定点観測レポート(2020年 7~9月)
DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について

JPCERT/CC インシデント報告対応レポート [2020年7月1日~2020年9月30日](PDF)
https://www.jpcert.or.jp/pr/2020/IR_Report20201015.pdf

JPCERT/CC 活動概要 [2020年7月1日~2020年9月30日](PDF)
https://www.jpcert.or.jp/pr/2020/PR_20201015.pdf

 

JC3

総務省を騙った特別定額給付金に関するフィッシング|一般財団法人日本サイバー犯罪対策センター

 

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/09 フィッシング報告状況

 

NICTER Blog

NICTに届いたEmotetへの感染を狙ったメール(2020年7月~9月) - NICTER Blog
日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について - NICTER Blog

 

LAC

セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策 | セキュリティ対策のラック
【注意喚起】Windowsとネットワーク管理者権限を一撃で乗っ取る、脆弱性「Zerologon」対策について | セキュリティ対策のラック
攻撃者は守りが弱いところを攻めてくる サプライチェーンリスク対策を理解するための特別レポート | セキュリティ対策のラック
【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を | セキュリティ対策のラック

 

Trend Micro

海外で増加するFacebookアカウント乗っ取り事例、攻撃手口はフィッシング | トレンドマイクロ セキュリティブログ
米司法省、世界規模のサイバー攻撃でサイバー攻撃者グループ「APT41」を起訴 | トレンドマイクロ セキュリティブログ
法人でのインシデント発生率は約8割、2021年に向けて警戒すべき脅威とは | トレンドマイクロ セキュリティブログ
アンダーグラウンドで提供されるインフラとホスティングサービスの実情 | トレンドマイクロ セキュリティブログ
ランサムウェア機能を備えたPHP Webシェル「Ensiko」について解説 | トレンドマイクロ セキュリティブログ
Instagramアカウントを乗っ取る新たな誘導手口をトルコの事例で解説 | トレンドマイクロ セキュリティブログ
Mac向けマルウェア「XCSSET」、正規ソフトを悪用しUXSS攻撃を実行 | トレンドマイクロ セキュリティブログ
正規サービス「ngrok」を悪用する複雑な攻撃をXDRで特定 | トレンドマイクロ セキュリティブログ

 

McAfee

Microsoft Teamsのセキュリティ上の脅威トップ10
アンチウイルス完全に理解した!? Emotetから学ぶウイルス感染対策
女優アナ・ケンドリック、2020年の最も危険なセレブに

 

Kaspersky

情報漏洩につながりかねない、Officeドキュメントの要素とは
https://blog.kaspersky.co.jp/how-to-leak-info-from-docs/29424/
サイバー犯罪者が銀行から盗んだ資金を洗浄する方法
https://blog.kaspersky.co.jp/money-laundering-schemes/29300/
Facebookの助成金プログラムを悪用するフィッシング詐欺
https://blog.kaspersky.co.jp/facebook-grants/29295/

 

IIJ

wizSafe Security Signal 2020年9月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

NEC セキュリティブログ

【超図解】ゼロトラスト: NECセキュリティブログ | NEC
本当は怖いsudoコマンド: NECセキュリティブログ | NEC

 

piyolog

原子力規制委員会への不正アクセスについてまとめてみた - piyolog
LinkedInでの接触から始まった積水化学工業元社員の営業秘密情報持ち出しについてまとめてみた - piyolog
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog
2020年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog

 

bomb_log

2020/10/16(木) 添付ファイル付不審メール「支払いの詳細 - 注文番号」「【2020年10月】請求額のご連絡」(ZLoader)の調査 - bomb_log
2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」(ZLoader)の調査 - bomb_log
2020/08/31(月)週 添付ファイル付不審メール(Emotet -> ZLoader)の調査 - bomb_log

 

午前7時のしなもんぶろぐ

大量出現したニセ通販サイトを探る - 午前7時のしなもんぶろぐ

 

knqyf263's blog

CVE-2020-15157 (ContainerDrip) を試す - knqyf263's blog

 

ロシアンブルー飼育日記

ロシアンブルー飼育日記

 

セキュリティ猫の備忘録

【やってみた】特別定額給付金のフィッシングサイトにアクセスしてみた!! - セキュリティ猫の備忘録

 

みっきー申す

Amazon Japanを装ったフィッシングメールがEmotetと同規模の脅威に - みっきー申す
NCSCおよびUS-CERTから注意喚起が出されたMicrosoft SharePointの脆弱性(CVE-2020-16952)ついて - みっきー申す
OneDriveやBox、Office文書形式など、攻撃者が利用するサービスについて - みっきー申す

 

今回もココまで読んでいただきありがとうございました。

ではでは!
.  ∧_∧
 ( ´・ω・)
 //\ ̄ ̄旦\
// ※ \___\
\\  ※  ※  ※ ヽ
  \ヽ-___–___ヽ

 

あ、最後に宣伝です

11月11日(水)の15時~、JPAAWG 3rd General Meeting(オンライン)でお話させていただくことになりました。フィッシングメールやフィッシングサイトを追いかけている複数メンバーで登壇しますので、お時間ありましたらぜひご参加くださいませ。

meetings.jpaawg.org

meetings.jpaawg.org

f:id:mkt_eva:20201104032846p:plain

 

<更新履歴>
2020/11/04 AM公開

2020年9月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

今回はブログ投稿が遅れてしまい申し訳ございませんでした(m´・ω・`)m

…ってだれに謝ってるのかわからないですが(あくまでも自分のペースなのであしからず)

さて最近「タイミングがよければ」ですが、なるべくセキュリティに関係しそうな事案(例えば、普段ネットを使っていていきなり表示される偽警告とか不審なSMSとか…)を体験した場合はなるべく動画に撮ってTwitterに載せるようにしてみています。

まぁ参考になるかはわかりませんが、セキュリティ対策の1つとしては「知ること」も大事なことですのでそれの足しにでもしてください。

では、前月のまとめです。

脆弱性のアレコレ

Netlogonに脆弱性(Zerologon)

【概要】
ドメインコントローラーで利用されているNetlogonプロトコルに脆弱性が存在し、ネットワーク内に侵害された端末が存在した場合ドメイン管理者の権限が取得される可能性がある。攻撃の実証コードが出回っているため注意が必要。

【CVE番号】
CVE-2020-1472(脆弱性名:Zerologon)

【対象】
▼Microsoft
Microsoft Windows Server version 1903 (Server Core installation)
Microsoft Windows Server version 1909 (Server Core installation)
Microsoft Windows Server version 2004 (Server Core installation)
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation)
Microsoft Windows Server 2012
Microsoft Windows Server 2012 (Server Core installation)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core installation)
Microsoft Windows Server 2016
Microsoft Windows Server 2016 (Server Core installation)
Microsoft Windows Server 2019
Microsoft Windows Server 2019 (Server Core installation)


【対策】
Microsoft製品の場合、2020年8月12日に公開されたセキュリティ更新プログラムを適用

【参考情報】

CVE-2020-1472 に関連する Netlogon セキュア チャネル接続の変更を管理する方法
Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応を
更新:Microsoft 製品の脆弱性対策について(2020年8月):IPA 独立行政法人 情報処理推進機構
[AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 - Microsoft Security Response Center
ドメインコントローラーがのっとられる脆弱性 Zerologon(CVE-2020-1472)についてまとめてみた - piyolog
Zerologon (CVE-2020-1472) 「ドメインコントローラーにパッチ適用を」 - Qiita

【参考Tweet】

 

不審なメールや偽サイトのアレコレ

不審な偽サイト(フィッシングサイト)情報

2020年9月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※()は報告日時
BTCBOX をかたるフィッシング (2020/09/28)
日本郵便をかたるフィッシング (2020/09/28)
三井住友銀行および三井住友カードをかたるフィッシング (2020/09/17)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

トレンドマイクロを騙るEmotet感染メールが出回る

【概要】
トレンドマイクロのアンケート調査を騙りEmotetに感染させるメールが出回った

【参考情報】
「EMOTET」がトレンドマイクロのアンケートメールを偽装 | トレンドマイクロ セキュリティブログ
マルウェア「Emotet」、トレンドマイクロのメールを装って拡散中 - ITmedia NEWS
Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口 | 日経クロステック(xTECH)
マルウェア「Emotet」の攻撃拡大--新手法も確認 - ZDNet Japan

【参考Tweet】

 

ドコモ口座が悪用され不正送金されてしまう事案が発生

【概要】
ドコモ口座が悪用され不正送金(利用)されてしまう事案が発生。第三者がなんらかの方法で得た個人情報を元に「Web口振受付サービス」の抜け穴を利用し銀行口座預金を不正に利用するという流れだった。

【参考情報】
報道発表資料 : ドコモ口座への銀行口座の新規登録における対策強化について | お知らせ | NTTドコモ
ドコモからのお知らせ : ドコモ口座を利用した不正利用についてのお問い合わせ窓口設置について | お知らせ | NTTドコモ
ドコモからのお知らせ : 【注意喚起】ドコモ口座不正利用の補償を装った詐欺電話にご注意ください | お知らせ | NTTドコモ
ドコモ口座を悪用した不正送金についてまとめてみた - piyolog
「銀行はみんなで赤信号渡った」 ドコモ口座の落とし穴:朝日新聞デジタル
「えっ、なにこれ」不正利用9万4千円 昨夏すでに被害:朝日新聞デジタル

【参考Tweet】


「NOTICE」の調査で用いられるIDとパスワードの種類が増加

【概要】
情報通信研究機構(NICT)が実施している「NOTICE(National Operation Towards IoT Clean Environment)」の調査で用いられるIDとパスワードの種類が約100種類から約600種類に拡大することが確定した。

【参考情報】
総務省|サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の取組強化
https://www.soumu.go.jp/main_content/000706574.pdf
【セキュリティ ニュース】総務省、「NOTICE」調査を拡大 - 試行パスワードを約600種類に(1ページ目 / 全1ページ):Security NEXT
総務省、IoT機器“侵入”調査を強化 ログインに使うID・パスワードの組み合わせを拡大 - ITmedia NEWS


LINEが約7万件のLINEアカウントに不正ログインがあったと発表

【概要】
LINEが今年7月から9月に約7万件のLINEアカウントに不正ログインがあったと発表した。そのうち日本のアカウントは約4万件。

【参考情報】
LINEアカウントへの不正アクセスに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー
LINEアカウントに不正アクセスの試み、注意呼びかけ - ケータイ Watch
LINEに不正ログイン7万件 「ID・パスワードの有効性確認目的か」 - ITmedia NEWS
【セキュリティ ニュース】LINE利用者のパスワード約7.4万件が特定 - ログイン連携サービスにPWリスト攻撃(1ページ目 / 全3ページ):Security NEXT

【参考Tweet】

 

ゆうちょ銀行で不正現金引き出し問題が発生

【概要】
複数の決済事業者の決済サービスと連携していたゆうちょ銀行で不正現金引き出し問題が発生した。また、ゆうちょ銀行のVISAデビットサービス「mijica」でも不正アクセスが発生し送金の事案が発生している。

【参考情報】
ゆうちょダイレクトの不正利用に対する被害補償について(法人のお客さま)ーゆうちょ銀行
ゆうちょダイレクトの不正利用に対する被害補償について(個人のお客さま)ーゆうちょ銀行
ゆうちょ銀の相次ぐ不正送金問題 各サービスの被害状況と銀行側の対策まとめ (1/3) - ITmedia NEWS
ゆうちょ銀のVISAデビット「mijica」で不正送金 332万円 - ITmedia NEWS
ゆうちょ銀行の不正引き出し、記者会見の一問一答まとめ (1/3) - ITmedia NEWS
ゆうちょ銀行の不正引き出し、メルペイでも発生 被害総額は約50万円 - ITmedia NEWS
「リスク感度が低かった」 ゆうちょ銀行が不正送金問題を謝罪 - Impress Watch
不正利用が発生した電子決済サービスについてまとめてみた - piyolog
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog

 

セキュリティレポートのアレコレ

IPA(独立行政法人情報処理推進機構)

情報セキュリティ白書2020:IPA 独立行政法人 情報処理推進機構
IPAセキュリティエコノミクス(@ipasecuecono)Twitter 運用方針:IPA 独立行政法人 情報処理推進機構
複数の Microsoft 社製品のサポート終了に伴う注意喚起:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

JPCERT/CC 感謝状 2020~オンライン贈呈式にて - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
JPCERT/CC 感謝状 2020
攻撃グループLazarusが使用するマルウェアBLINDINGCAN - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
マルウェア Emotet の感染拡大および新たな攻撃手法について

 

フィッシングサイト対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | インターネットサービス利用者に対する 「認証方法」に関するアンケート調査結果報告書を公開 (2020/09/09)
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/08 フィッシング報告状況

 

LAC

テレワーク下の社内コミュニケーションを活性化!社長が社内ラジオを始めました | セキュリティ対策のラック
CYBER GRID JOURNAL Vol.10 "SDGsと人材育成 withコロナ時代に必要なICTリテラシーとは何か?" | セキュリティ対策のラック
VPN機器を狙ったサイバー攻撃が継続中!セキュリティ事故を防ぐ3つのポイントとは | セキュリティ対策のラック
【注意喚起】猛威をふるっているマルウェアEmotet検知数の急増と対策について | セキュリティ対策のラック
サイバー救急センターレポート 第9号 ~テレワーク時代を生き抜くためのセキュリティ対策~ | セキュリティ対策のラック

 

Trend Micro

2020年上半期は家庭用ルータへの不審な接続が増加 | トレンドマイクロ セキュリティブログ
脆弱性「Zerologon」(「CVE-2020-1472」)と行うべき対策 | トレンドマイクロ セキュリティブログ
「BIG-IP」の脆弱性「CVE-2020-5902」を利用するIoTマルウェアを確認 | トレンドマイクロ セキュリティブログ
経営幹部のOffice 365アカウントを狙う詐欺キャンペーン「Water Nue」 | トレンドマイクロ セキュリティブログ
2020年上半期ランサムウェア動向拾遺:「Avaddon」、新たな回避手法、業界別被害事例、など | トレンドマイクロ セキュリティブログ
「EMOTET」がトレンドマイクロのアンケートメールを偽装 | トレンドマイクロ セキュリティブログ

 

McAfee

SMSで届く詐欺「スミッシング」に遭わないための3つのポイント

 

Kaspersky

本人確認、認証、承認はどう違う?
https://blog.kaspersky.co.jp/identification-authentication-authorization-difference/29254/
エンドツーエンド暗号化とは何か、なぜ必要か
https://blog.kaspersky.co.jp/what-is-end-to-end-encryption/29231/
ドメインコントローラーを脅かす脆弱性「Zerologon」
https://blog.kaspersky.co.jp/cve-2020-1472-domain-controller-vulnerability/29235/
著名インスタグラマーと学ぶ、セキュリティのこと
https://blog.kaspersky.co.jp/ashley-james-david-jacoby-easy-security-tips/29128/
セキュリティの観点から考えるシンクライアント
https://blog.kaspersky.co.jp/thin-client-cybersecurity/29149/

 

IIJ

wizSafe Security Signal 2020年8月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
マルウェア感染対策を目的としたVBAマクロ実行の無効化 – wizSafe Security Signal -安心・安全への道標- IIJ

 

NEC セキュリティブログ

偽ショートメッセージ「不在通知SMS」について: NECセキュリティブログ | NEC
パスワードの要件をガイドラインと実態調査から考える: NECセキュリティブログ | NEC
個人情報漏洩インシデント発生時の損害額算出モデル: NECセキュリティブログ | NEC

 

IBMセキュリティー・インテリジェンス・ブログ

2020年上半期 Tokyo SOC セキュリティー・インシデントの概要

 

マクニカネットワークス

MITRE Shieldについて - セキュリティ研究センターブログ

 

piyolog

ドメインコントローラーがのっとられる脆弱性 Zerologon(CVE-2020-1472)についてまとめてみた - piyolog
掲載一時停止となった気象庁サイトの広告掲載についてまとめてみた - piyolog
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
不正利用が発生した電子決済サービスについてまとめてみた - piyolog
ドコモ口座を悪用した不正送金についてまとめてみた - piyolog

 

こんとろーるしーこんとろーるぶい

DarkCTF Writeup - こんとろーるしーこんとろーるぶい

 

マルウェア解析ブログ

OSCP受験記&勉強方法 - マルウェア解析ブログ

 

セキュリティ猫の備忘録

【まとめ】セキュリティ資格の合格記・受験記 - セキュリティ猫の備忘録
二要素認証ってな~に? - セキュリティ猫の備忘録

 

午前7時のしなもんぶろぐ

【やってみた】意外と簡単? フィッシングサイトの発見から通報まで - 午前7時のしなもんぶろぐ

 

みっきー申す

AndroidおよびiOSのInstagramアプリに存在するMozjpeg実装に係る脆弱性について - みっきー申す
Magentoで構築されたECサイトを狙った過去最大規模の攻撃について - みっきー申す
PayPayやメルペイは関係ないでいいんだっけ?ドコモ口座の不正送金問題を踏まえた考察 - みっきー申す
WordPressのプラグインFile Managerの脆弱性を悪用した攻撃が確認。70万以上のサイトに影響か。 - みっきー申す

 

今回もココまで読んでいただきありがとうございました。

ではでは! 

   几
  /⌒⌒\
 |・vvvv・| Trick
  \二二/  or
 /( つつ  Treat
/ 人 Y\
`~(_(_)~′


なんつったりして

   ∧_∧ 几
  (´∀/⌒⌒\
  /( 二つ・vvvv・|
 / | | \二二/
  ̄(_)_)

 

<更新履歴>

2020/10/09 AM公開

2020年8月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

長かったような短かったような夏が終わり、いよいと食欲の秋に季節が移りかわってきております。今年の秋もどうやら僕は太りそうです。。。(マクドナルドの月見バーガーおいしいし、、、)

 

さて、そんな話はさておき今年7月末から再開しているマルウェア「Emotet」に感染させようとするメールが9月に入ってからも勢いが止まりません。

今月からパスワード付Zipファイル(不審ファイル)が添付されたり、トレンドマイクロのアンケート調査を騙る等手法が変わってきており、より一層着弾する不審メールに対して対策が取りにくくなっております。

以下を参考に対策や対応を行うことが大切です。

www.jpcert.or.jp

blogs.jpcert.or.jp

よければ僕のこちらのブログも参考にしてみてください。(ステマのごり押し)

mkt-eva.hateblo.jp

 

では、前月のまとめです。

 

脆弱性のアレコレ

vBulletinに脆弱性

【概要】
vBulletinに任意のコードが実行されてしまう脆弱性の対策を回避されてしまう脆弱性が存在。

【CVE番号】
CVE-2019-16759

【対象】
・5.x から 5.5.4
・5.6.2
・5.6.1
・5.6.0

【対策】
パッチをあてる

【参考情報】
更新:vBulletin における任意のコード実行の脆弱性(CVE-2019-16759)について:IPA 独立行政法人 情報処理推進機構
vBulletin、脆弱性対策を回避する問題を報告--攻撃発生も - ZDNet Japan
vBulletin におけるCVE-2019-16759への対策を回避可能な脆弱性を確認、攻撃コードも公開(IPA) | ScanNetSecurity
【セキュリティ ニュース】「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を(1ページ目 / 全2ページ):Security NEXT

【参考Tweet】

 

SKYSEA Client Viewに脆弱性

【概要】
SKYSEA Client Viewに脆弱性が存在し、インストールされているPCにログイン可能な状態だと任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-5617

【対象】
SKYSEA Client View Ver.12.200.12n から 15.210.05f

【対策】
修正モジュールの適用

【参考情報】
【重要】権限昇格の脆弱性に関する注意喚起(CVE-2020-5617)|Sky株式会社
SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起
SKYSEA Client View に権限昇格の脆弱性、パッチ適用呼びかけ(JVN) | ScanNetSecurity
IT資産管理ツール「SKYSEA Client View」に権限昇格の脆弱性 | マイナビニュース

【参考Tweet】

 

Apache Struts2に複数の脆弱性

【概要】
Apache Struts2に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。

【CVE番号】
CVE-2019-0230
CVE-2019-0233
S2-059
S2-060

【対象】
Apache Struts 2
- 2.5 系列 2.5.20 およびそれ以前のバージョン
▼補足
・2019年11月に公開された 2.5.22 は本影響を受けない
・既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける

【対策】
本脆弱性修正済みバージョンの適用(下記本脆弱性修正バージョン)
- 2.5 系列 2.5.22 以降のバージョン

【参考情報】
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
Apache Struts 2にDoSの脆弱性、アップデートを | マイナビニュース
「Apache Struts 2」に2件の脆弱性、バージョン2.5.22以降の適用を推奨 - INTERNET Watch
Apache Struts 2に2件の脆弱性、コンセプト実証コードも公開 - ITmedia エンタープライズ

 

ISC BIND 9に複数の脆弱性

【概要】
ISC BIND 9に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。

【CVE番号】
CVE-2020-8620
CVE-2020-8621
CVE-2020-8622
CVE-2020-8623
CVE-2020-8624

【対象】
・CVE-2020-8620
BIND 9.16系 9.16.0 から 9.16.5 まで

・CVE-2020-8621
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで

・CVE-2020-8622
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

・CVE-2020-8623
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで

・CVE-2020-8624
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで

【対策】
本脆弱性修正済みバージョンの適用(下記本脆弱性修正バージョン)
・BIND 9.11.22
・BIND 9.16.6
・BIND 9.17.4
・BIND Supported Preview Edition 9.11.22-S1

【参考情報】
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
ISC 提供のBINDに複数の脆弱性、アップデートを呼びかけ(JVN、JPRS) | ScanNetSecurity
【セキュリティ ニュース】「BIND 9」に5件の脆弱性 - 一部脆弱性は公開済み(1ページ目 / 全1ページ):Security NEXT
BINDにサービス運用妨害の脆弱性が複数、アップデートを - JPCERT/CC | マイナビニュース

【参考Tweet】

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazon異常は検出されました。
【重要】楽天株式会社から緊急のご連絡

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
ばらまき型メールカレンダー - Google スライド
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2020年8月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※()は報告日時
[更新] 宅配便の不在通知を装うフィッシング (2020/08/07) (2020/08/21)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 宅配便の不在通知を装うフィッシング (2020/08/21)
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/07 フィッシング報告状況

 

注意喚起やニュースのアレコレ

note利用者のIPアドレスが漏えい

【概要】
コンテンツ配信サービス『note』の利用者のIPアドレスがサイトの不具合により外部から確認できてしまう問題が発生した。

【参考情報】
【再発防止策】IPアドレスが外部から確認できた事態について|note株式会社
【お詫び】IPアドレスが他者からも確認できてしまう不具合について|note株式会社
noteユーザーのIPアドレスが漏えい、運営会社が謝罪 有名人のIPアドレスと一致する5ちゃんねる投稿が検索される事態に - ITmedia NEWS
「note」投稿者のIPアドレスが確認できる不具合発生、他サイトの投稿と紐付けようとするネットユーザーも現れ騒動に - INTERNET Watch
IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね? (1/2):こうしす! こちら京姫鉄道 広報部システム課 @IT支線(24) - @IT
【参考Tweet】

 

Yahoo!JAPAN IDで個人情報漏えい

【概要】
Yahoo!JAPAN IDでシステムに不具合があり個人情報が漏えいした

【参考情報】
Yahoo! JAPAN IDで個人情報漏えい 氏名や勤務先など他人のIDに上書き 最大約39万件 - ITmedia NEWS
登録した情報が他人のIDに上書き--「Yahoo! JAPAN ID」で最大39万規模の障害発生 - CNET Japan
【セキュリティ ニュース】ヤフー、ID編集結果を他利用者に反映する不具合 - 情報流出や誤配送のおそれ(1ページ目 / 全2ページ):Security NEXT

 

VPN機器の脆弱性を突かれ多数の企業情報が流出

【概要】
Pulse Secure(パルスセキュア)のVPN機器「Pulse Connect Secure」の脆弱性(CVE-2019-11510)を突かれ多数の企業情報が流出した

【参考情報】
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工 - ITmedia NEWS
崩れたネットの「関所」VPN 在宅勤務増で急ごしらえ:朝日新聞デジタル
企業のテレワーク拡大で懸念されるランサムウェア犯罪の被害 - ZDNet Japan
パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる | 日経クロステック(xTECH)
VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相 | 日経クロステック(xTECH)
【セキュリティ ニュース】VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ(1ページ目 / 全5ページ):Security NEXT

【参考Tweet】

 

プロバイダー等を騙る当選サイトに注意

【概要】
プロバイダー等を騙りスマートフォン等が当選すると偽ったサイトがネット閲覧中に発生する事象が多数確認された

【参考情報】
オプテージかたる景品当選詐欺ページに注意、個人情報の入力は厳禁 - ケータイ Watch
プロバイダーをかたった当選サイトに注意してください。 | 鍵セキュリティプレイス

【参考Tweet】

 

セキュリティレポートやブログのアレコレ

IPA(独立行政法人情報処理推進機構)

脆弱性対処に向けた製品開発者向けガイド:IPA 独立行政法人 情報処理推進機構
ネット接続製品の安全な選定・利用ガイド -詳細版-:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
コンピュータウイルスに関する届出について:IPA 独立行政法人 情報処理推進機構
夏休みにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構

 

JPCERT コーディネーションセンター

攻撃グループLazarusがネットワーク侵入後に使用するマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
2020年4月から8月を振り返って
IPA が「事業継続を脅かす新たなランサムウェア攻撃」に関する注意喚起を公開

 

LAC

家庭のネットワークから侵入のリスク?安価な高機能Wi-Fiルーターの安全性を調べてみた | セキュリティ対策のラック
フィッシングサイトを早期発見!被害を最小限に抑え、安心・安全なサイト利用を推進するには | セキュリティ対策のラック
コロナ禍で見えたテレワークの課題と対策を振り返る緊急レポート「withコロナ」経営者が今やるべきこと | セキュリティ対策のラック

 

Trend Micro

不正なChrome拡張機能がユーザ情報の窃取に利用される | トレンドマイクロ セキュリティブログ
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
米国の地方自治体向けWeb決済プラットフォームを狙う「Magecart」のEスキミング攻撃 | トレンドマイクロ セキュリティブログ
PowerShellの悪用と「ファイルレス活動」を見つけるためにできること | トレンドマイクロ セキュリティブログ
コロナ禍におけるランサムウェアの新戦略:2020年上半期の脅威動向分析 | トレンドマイクロ セキュリティブログ

 

McAfee

ランサムウェアの被害を避ける新たな手段とは
ランサムウェアの進化-厄介で永続的な脅威の理解と対策
ランサムウェアは新たなデータ侵害に:安全を維持するための5つのヒント
Linuxカーネルセキュリティ:FBIとNSAがロシア政府が関与するとされるLinuxマルウェアについて明らかに
RaaSの進化 ー NetWalkerランサムウェアを調査

 

Kaspersky

アカウントが乗っ取られてしまった。どうすべき?
https://blog.kaspersky.co.jp/tips-for-hacked-account/29034/
中小企業で定期的にチェックすべき5項目
https://blog.kaspersky.co.jp/top5-checkpoints-for-smb/28906/
4周年を迎えた「No More Ransom」
https://blog.kaspersky.co.jp/no-more-ransom-four-years/28995/
偽物のウイルススキャンサイト
https://blog.kaspersky.co.jp/phishing-email-scanner/28963/

 

IIJ

wizSafe Security Signal 2020年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

NEC セキュリティブログ

CTF作問での新たな挑戦と得られた気づき: NECセキュリティブログ | NEC

 

マクニカネットワークス

活動を再開した「Emotet」マルウェアへの対応について

 

piyolog

事業者に発行したVPNアカウント盗用による台湾政府へのサイバー攻撃についてまとめてみた - piyolog
犯人のインスタ投稿から摘発にいたったバイク窃盗事案についてまとめてみた - piyolog
事業者に発行したVPNアカウント盗用による台湾政府へのサイバー攻撃についてまとめてみた - piyolog
パプアニューギニアのデータセンターで確認された不具合についてまとめてみた - piyolog
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた - piyolog
ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog
なりすまし申請による特別定額給付金詐欺事件についてまとめてみた - piyolog

 

knqyf263's blog

OSSエンジニアを1年やってみた所感 - knqyf263's blog

 

トリコロールな猫/セキュリティ

2020年上半期に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ

 

みっきー申す

日本も標的!北朝鮮の攻撃グループ(LazarusおよびBeagleBoyz)による最近の活動 - みっきー申す
Dharmaランサムウェアを利用し、日本を含む国々を標的にしたイランのハッカーグループの活動について - みっきー申す
Alexaの脆弱性と悪用の方法について - みっきー申す
朝鮮系攻撃グループDarkHotelが悪用した可能性のあるMicrosoftの脆弱性CVE-2020-1380について - みっきー申す

 

今回もココまで読んでいただきありがとうございました。

ではでは!

            _,.イ~
          / 、 ;}
   _,,..,,,,_   / 、 、;/
  ./ ・ω・ヽoノ,;_;,シ  いも~
  l      l
  `'ー---‐´

 

<更新履歴>

2020/09/04 PM 公開

2020年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

長かった梅雨も明け、やっと夏らしい暑さがやってきましたね。

新型コロナウイルスだけでなく、この時期の熱中症等にも気をつけてくださいね。

さて、私事ですが先日はじめて『にゃん☆たく』として日経クロステックの記事に名前が載りました。

xtech.nikkei.com

 

決して自分の力だけではないと心から思っています。この『会』の僕以外がマジでヤバい人たちなのです。ただぼくはそのきっかけを作っただけに過ぎません。

ぼくはこういった活動をこれからも多くの分野でしていきたいと思っています。

そのモチベーションは『セキュリティに困っている人たちを救いたい』という気持ちだけです。

セキュリティの事を知らない人が沢山います。一人でも多くのひとに知ってほしいと思っていますが、発信者(側)も少ないのが現実です。

誰かと同じでもいいです、自分が知った情報や誰かに役立ちそうだなと感じた情報はTwitterでもInstagramでもLINEでもなんでもいいので発信するようにしてみてください。

ひとりでもそういう人が増えれば世の中変わると信じています。

ちょっと長くなりましたね:(;゙゚''ω゚''):すんまそん!

 

では、前月のまとめです。

脆弱性のアレコレ

複数のBIG-IP製品に脆弱性

【概要】
複数のBIG-IP製品に脆弱性が存在し、任意のコードを実行される、攻撃の踏み台に利用される等の可能性がある

【CVE番号】
CVE-2020-5902

【対象】
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで

【対策】
・アップデートする(以下本脆弱性対応済バージョン)
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2

【参考情報】
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
JVNVU#90376702: F5 Networks 製 BIG-IP 製品に複数の脆弱性
【注意喚起】F5 BIG-IP製品の任意コード実行可能な脆弱性(CVE-2020-5902)を狙う攻撃活動を観測 | セキュリティ対策のラック
F5 Networks「BIG-IP」の脆弱性を狙う攻撃を観測、最新版の適用を - INTERNET Watch

【参考Tweet】

 

Windows DNS Serverに脆弱性

【概要】
Windows DNS Serverに脆弱性が存在し、任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-1350

【対象】
2003年から2019年までにリリースされた全バージョンのWindows DNS Server

【対策】
・パッチをあてる

【参考情報】
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 - Microsoft Security Response Center
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開 - ITmedia NEWS
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方 (1/2) - ITmedia エンタープライズ
マイクロソフト、7月の月例パッチ公開--「Windows DNS Server」の重大な脆弱性も修正 - ZDNet Japan
17年前から存在 ~「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性 - 窓の杜
【セキュリティ ニュース】「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を(1ページ目 / 全1ページ):Security NEXT

【参考Tweet】

 

「GRUB2」のブートローダーに脆弱性(脆弱性名:BootHole)

【概要】
「GRUB2」のブートローダーに脆弱性が存在し、管理者権限が必要だが任意のコードが実行されてしまう可能性がある

【CVE番号】
CVE-2020-10713

【対象】
「Linux」や「Windows」などセキュアブートを利用している製品

【対策】
各製品ごとに異なる

【参考情報】
There’s a Hole in the Boot - Eclypsium
ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ - ITmedia エンタープライズ
レッドハット、「BootHole」脆弱性へのフィックスで一部のシステムが起動不可に - ZDNet Japan
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 - PC Watch
ほぼすべてのLinuxのブートローダーに脆弱性 - PC Watch
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) - OSS脆弱性ブログ
Linuxで広く使われるブートローダー「GRUB2」にセキュアブートを回避できる脆弱性「BootHole」が見つかる - GIGAZINE
【セキュリティ ニュース】セキュアブート回避の脆弱性「BootHole」が判明 - LinuxやWindowsに影響(1ページ目 / 全2ページ):Security NEXT

【参考Tweet】


不審なメールや偽サイトのアレコレ

不審なメール情報

2020年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazonアカウントを利用制限しています
【緊急】楽天カードから緊急のご連絡
Amazon異常は検出されました。
お客様のAmazon IDはロックされました
楽天カードから緊急のご連絡
Amazonアカウントを更新する

【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
ばらまき型メールカレンダー - Google スライド
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2020年7月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※()は報告日時
BTCBOX をかたるフィッシング (2020/07/22)
宅配便の不在通知を装うフィッシング (2020/07/09)
セブン銀行をかたるフィッシング (2020/07/08)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/06 フィッシング報告状況


注意喚起やニュースのアレコレ

Twitterで複数アカウントがハッキングを受ける

【概要】
Twitterで複数アカウントがハッキングされ、著名人のアカウントが乗っ取られBitocoinを要求するツイートが発信されてしまった。

【参考情報】
Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される - GIGAZINE
Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE
Twitterの大規模アカウントハッキング、FBIが捜査開始 - ITmedia NEWS
AppleやマスクCEOなど多数のセレブTwitterアカウントが乗っ取られ、暗号通貨詐欺に悪用される - ITmedia NEWS
Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表 - ITmedia NEWS
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog

【参考Tweet】

 

みずほ総研が250万件の顧客情報を紛失

【概要】
みずほ総合研究所は顧客管理システムのバックアップデータを保存した磁気テープを誤って破棄したことにより、250万件の顧客情報を紛失したと発表した。なお、第三者により情報を解読される可能性は低いとのこと。

【参考情報】
みずほ総合研究所株式会社におけるお客さま情報の紛失について(PDF)
https://www.mizuho-ri.co.jp/company/release/pdf/20200721release.pdf
みずほ総研 顧客企業の個人情報など250万件紛失 誤って廃棄か | NHKニュース
【セキュリティ ニュース】顧客情報約250万件含む磁気テープを紛失 - みずほ総研(1ページ目 / 全1ページ):Security NEXT
顧客情報、約250万件を紛失 みずほ総研と銀行が発表:朝日新聞デジタル

【参考Tweet】

 

Emotetに感染させるメールの配信が再開

【概要】
マルウェアのEmotetに感染させるメールの配信が再開され注意が必要。

【参考情報】
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
マルウェア「Emotet」、再拡大の恐れ 情報窃取やスパムメール拡散の可能性も - ITmedia NEWS
ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - GIGAZINE
Emoいメモ。 #Emotet - にゃんたくのひとりごと

【参考Tweet】

 

Facebookのメッセンジャーで不審な動画リンクが届く

【概要】
Facebookのメッセンジャーで動画を再生させようとする内容のメッセージには注意が必要。

【参考情報】
夏休みにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
Facebookメッセンジャーから不審な動画? 乗っ取られた友達から届くケースが相次ぐ - INTERNET Watch
「このビデオはいつでしたか?」Facebookで送られてくる動画リンクに注意 | マイナビニュース

【参考Tweet】

 

セキュリティレポートやブログのアレコレ

IPA(独立行政法人情報処理推進機構)

TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構
Web会議サービスを使用する際のセキュリティ上の注意事項:IPA 独立行政法人 情報処理推進機構
情報セキュリティ安心相談窓口の相談状況[2020年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2020年4月~6月](PDF)
https://www.ipa.go.jp/files/000084400.pdf
【付録】EKANSランサムウェアの解析事例(PDF)
https://www.ipa.go.jp/files/000084401.pdf

 

JPCERT コーディネーションセンター

JPCERT/CC 活動概要 [2020年4月1日~2020年6月30日](PDF)
https://www.jpcert.or.jp/pr/2020/PR_20200714.pdf
JPCERT/CC インシデント報告対応レポート [2020年4月1日~2020年6月30日](PDF)
https://www.jpcert.or.jp/pr/2020/IR_Report20200714.pdf
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
インターネット定点観測レポート(2020年 4~6月)
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)

 

JC3

サポート詐欺等|一般財団法人日本サイバー犯罪対策センター

 

Trend Micro

実例で見るネットの危険:SMSから出会い系詐欺サイトへの誘導 | トレンドマイクロ セキュリティブログ
コンテナ環境のセキュリティを確保するための6つのステップ | トレンドマイクロ セキュリティブログ
「商品」と「価格」の変化:アンダーグラウンドマーケット最新事情 | トレンドマイクロ セキュリティブログ
信頼を失った闇市場:アンダーグラウンドマーケット最新事情 | トレンドマイクロ セキュリティブログ
香港のニュース記事を囮にして拡散する情報窃取型モバイルマルウェアを解説 | トレンドマイクロ セキュリティブログ
IoT機器での脆弱性について考える | トレンドマイクロ セキュリティブログ

 

Kaspersky

ユージン・カスペルスキーはどのようなスパムメールを受け取っているのか
https://blog.kaspersky.co.jp/kaspersky-ceo-spam/28853/
ゲームアカウント用に強固なパスワードを作るヒント
https://blog.kaspersky.co.jp/game-accounts-passwords/28785/
企業データが漏れ出る4つの経路
https://blog.kaspersky.co.jp/unusual-ways-to-leak-info/28755/

 

LAC

新型コロナによる出社禁止、セキュリティ監視センターJSOCはどうピンチを乗り越えたのか? | セキュリティ対策のラック
ラックの開発力を支えるヒミツ「2つの道場」とは? | セキュリティ対策のラック

 

IIJ

wizSafe Security Signal 2020年6月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

マルウェア情報局(ESET)

2020年6月 マルウェアレポート | マルウェア情報局

 

NEC セキュリティブログ

Microsoft Azureでのディスクフォレンジック: NECセキュリティブログ | NEC
メモリフォレンジックCTF「MemLabs」Lab2のWriteUp: NECセキュリティブログ | NEC
二重脅迫ランサムウェア攻撃の増加について: NECセキュリティブログ | NEC

 

IBMセキュリティー・インテリジェンス・ブログ

データが語る COVID-19 のパンデミックによるセキュリティー脅威の急増
サイバー・レジリエンスのある組織とは?ハイ・パフォーマーの秘訣

 

マクニカネットワークス

マクニカネットワークスと伊藤忠商事がビジネスメール詐欺の実態と対策を共同分析

 

piyolog

正規番号でファックス誤送信が起きたNTT西の電話サービス故障についてまとめてみた - piyolog
BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた - piyolog
Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
日本郵便のe転居を悪用したストーカー事件についてまとめてみた - piyolog
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog

 

bomb_log

マルウェアEmotetの活動再開(2020/07/17-) - bomb_log

 

趣味のぶろぐ。

マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。

 

Noriaki Hayashi(@v_avenger)のQiita

すぐ貢献できる!偽サイトの探索から通報まで - Qiita

 

セキュリティ猫の備忘録

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

 

午前7時のしなもんぶろぐ

確認しろって言われるけれど……。「ドメイン名」って何だろう? - 午前7時のしなもんぶろぐ

 

みっきー申す

Torを使ったサイバー攻撃の戦術とその対策案 - みっきー申す
ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について - みっきー申す
SIGRed(CVE-2020-1350)WindowsDNSサーバーのRCE脆弱性について - みっきー申す
Emotetへの感染を試みる活動が5か月ぶりに確認された件 - みっきー申す
【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて - みっきー申す

 

今回もココまで読んでいただきありがとうございました。

ではでは!

     ∧,,∧   ∧,,∧
 ∧  (´・ω・)  (・ω・`) ∧∧
( ´・ω) つ| )  ( |と ノ(ω・` )
|  つ|  *   *  |と  ノ
 u-u * ´ " パチ´ " * -u
    ´ " ゙     パチ´ " ゙

 

 

<更新履歴>

2020/08/04 AM 公開および題名の修正

Emoいメモ。 #Emotet

どもどもにゃんたくです(「・ω・)「ガオー

 

ここ数日、ネットメディアニュースなどで『Emotetが活動再開!』という内容の記事を見かけることが増えましたね。

JPCERT/CCからも2020年7月20日に注意喚起が出ています。

www.jpcert.or.jp

 

www.itmedia.co.jp

news.mynavi.jp

 

▼2020年9月4日追記

9月に入ってからパスワード付きのZIPファイルを添付した不審メールも出回るようになりました。ゲートウェイ製品や従来の対策では防げない場合もあるので注意が必要です。

www.jpcert.or.jp

sugitamuchi.hatenablog.com

 

またトレンドマイクロのアンケートを騙りEmotetに感染させるパターンもありますので注意が必要です。

blog.trendmicro.co.jp

sugitamuchi.hatenablog.com

 

Emotetに感染しないためにはどうすれば良いかですが、

基本的には以下3点を行う事が大事です。

・メールに添付されたファイルを開かない

・メール本文に記載されたURLにアクセスしファイルをダウンロードしない

・ファイルのマクロ有効化ボタンを押さない(マクロを有効化しない)

 

しかし、そもそも不審なメールを「怪しい」と気づけないパターンがほとんどです。

特にいつもやり取りしているメールの返信としてEmotetに感染させるメールが届くこともあるので余計にやっかいです。

ですので、メールの文面だけでやり取りが完了しないメールが来た時は警戒する、をまずは心がけるようにしましょう。


さて、ぼくのブログを読んでくださっている方々の大半はセキュリティ業務に就いている方だと思います。ですので、今回のメモはなにかしらの組織に所属しているセキュリティ業務の方々に活用してもらえたらいいなと思ってまとめてみました。

下記にまとめた内容がベストではない、と思ってください。あくまでも『にゃん☆たく』の情報の集め方の方法を書いただけですので誤解のないようよろしくお願いいたします。

 

 

Emotetについての注意喚起

まずはコレだけは絶対に見といて欲しい注意喚起をまとめました。

 

▼JPCERT/CC

マルウエア Emotet の感染に関する注意喚起

マルウエア Emotet の感染活動について

 

▼IPA

「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構

 

▼Emotetに対しての対応FAQ(JPCERT/CC)

マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

※個人的にはこのFAQめっちゃ参考になると思っています

 

EmotetのIoC情報を知りたい

EmotetについてのIoC情報(通信先情報、検体情報など)をまとめました。
監視などを行う際に活用してみてください。

 

ANY.RUN

オンラインサンドボックスツールのANY.RUNがまとめてくれている情報です。

https://any.run/malware-trends/emotet

f:id:mkt_eva:20200722172631p:plain

Emotetがどういうマルウェアなのかを英語ですが分かり易く書いてくれています。ついでにIoC情報も見ることができます。

 

https://app.any.run/submissions

f:id:mkt_eva:20200722172651p:plain

ANY.RUNでスキャンされた実ファイルの解析結果を見る事ができます。右上の検索窓にに「Emotet」と入れて検索してみてください。ちなみに解析されたファイルはダウンロードすることもできます。(ので、気をつけてくださいね)

 

Emotetの話題からは逸れますが、このANY.RUNで気をつけてほしいこともあります。そちらの内容については下記ブログを参照してください。

VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録

 

URLhaus

abuse.chが悪意のあるURLを共有することを目的として公開してくれているサイトです。

https://urlhaus.abuse.ch/browse/tag/emotet/

f:id:mkt_eva:20200722174155p:plain

URLhausに登録されるEmotetに感染させる悪意のあるURLの推移、URLを確認することができます。
 

https://urlhaus.abuse.ch/api/

f:id:mkt_eva:20200722174757p:plain

URLhausに登録された情報をAPIを使って活用することができます。特に監視ルール等で活用できるのが以下2つです。

※こちらに登録されているものはEmotetに感染させるものだけ載っているわけではないのでご注意下さい。

・Database dump (CSV)
1:URLhaus database dump (CSV) containing recent additions (URLs) only (past 30 days):Download CSV(recent URLs only)

f:id:mkt_eva:20200722174835p:plain

 

2:URLhaus database dump (CSV) containing only online (active) malware URLs:Download CSV(online URLs only)

f:id:mkt_eva:20200722174846p:plain

なお、API経由で情報を得たい場合の手法についてはこちらの資料が役に立ちます。

▼100 more behind cockroaches? or how to hunt IoCs with OSINT

https://jsac.jpcert.or.jp/archive/2020/pdf/JSAC2020_4_ogawa-niseki_jp.pdf

 

Feodo Tracker

Dridex,Emotet,Heodon等に関連するC&Cサーバー等の情報共有を目的とする、abuse.chのプロジェクトです。

Emotet感染では他のマルウェア(Trickbot等)に感染させる挙動があります。

https://feodotracker.abuse.ch/browse/

f:id:mkt_eva:20200729011955p:plain

こちらに登録されているIPへの通信を監視することで『感染したPC』からの通信をキャッチできる可能性があります。感染後という観点で調べる際に活用できると思います。


Cryptolaemus Pastedump

CryptolaemusというEmotetについて調査する有志のグループがまとめてくれているサイトです。通信先、検体のHASH値等を日々更新してくれています。

https://paste.cryptolaemus.com/

f:id:mkt_eva:20200722175333p:plain

 

Pastebin

Pastebin(ペーストビン)でも情報を発信してくれるページがあります。

 

 ねこさん情報ありがとうございます!!!

 

Emotetの情報をTwitterで知りたい

Emotetについての情報を発信してくださるツイッターアカウントをまとめました。フォロー推奨です。

Cryptolaemus@Cryptolaemus1

Joseph Roosen@JRoosen

\_(ʘ_ʘ)_/@pollo290987

Brad@malware_traffic

abuse.ch@abuse_ch

ANY.RUN@anyrun_app

bom@bomccss

S-Owl@Sec_S_Owl

さとっぺ@satontonton

watoly@wato_dn

tike@tiketiketikeke

hiro_@papa_anniekey

sugimu@sugimu_sec

abel@abel1ma

moto_sato@58_158_177_102

 

Emotetの情報をブログ等で知りたい

Emotetについての情報が書いてあるブログ(組織、個人)や記事をまとめました。

流行マルウェア「EMOTET」の内部構造を紐解く | MBSD Blog

Emotet(エモテット)徹底解説!感染すると何が起こる? | wizLanScope

Emotetについて(参考情報) | FireEye Inc

Emotetの再帰的ローダーを解析する - FFRIエンジニアブログ

 

▼個人ブログ

bomccss.hatenablog.jp

bomccss.hatenablog.jp

sugitamuchi.hatenablog.com

sugitamuchi.hatenablog.com

 

malware-log.hatenablog.com

 

piyolog.hatenadiary.jp

 

hash1da1.hatenablog.com

 

techblog.securesky-tech.com

 

以上です。

 

これ以外もあるぞ!という方はぜひTwitter等で教えてくださると幸いです。

ではでは!

<更新履歴>

2020/07/22 PM 公開

2020/07/23 PM 修正(Pastebinの情報を追記)

2020/07/29 AM 修正(URLhausの情報を更新、Feodo Trackerの情報を追記)

2020/07/31 PM 修正(個人ブログに、piyolog、TT Malware Logを追加)

2020/09/04 PM 修正 ブログ前説部分にパスワード付きのZIPファイルを添付してくる、トレンドマイクロを騙る等のEmotet感染メールに関する情報を追記、SSTさんのブログも追記