2020-12-18

不審なメールを収集できる（かもしれない）ポストブログについて書いてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

そういえば最近、外見がアニメ鬼滅の刃の竈門炭治郎役を演じている声優の花江夏樹さんに少し似ていると言われて、意識しだしたにゃん☆たくさんです。ほんとどうでもいい話ですね、全集中して先に進みましょう。

僕のツイートでたまにこういった事をつぶやくのですが、お気づきいただけていますでしょうか。

そいえば今回の特別給付金フィッシングメールの内容もポストブログで確認することができました。 https://t.co/1DD3ngSSAR pic.twitter.com/YJFsTxIHBq
— にゃん☆たく (@taku888infinity) 2020年10月15日

そいえばポストブログに新生銀行のフィッシングメールも着弾し出してくれていてちょっと嬉しみみみみみ。 pic.twitter.com/B2jqq72OFk
— にゃん☆たく (@taku888infinity) 2020年11月18日

実はこの『ポストブログ』について言及したことがなかったなぁとふと感じたので今回ポストブログとはなんなのか、そしてそのポストブログを使ってなにができるかを書いていきます。

今回のブログでは、不審なメール（ばらまきメール、フィッシングメール）を見つけたい、調査したいというリサーチャーやそういった部署にいる担当者に向けて書いています。

1点注意点があります。

このポストブログを使用して情報を収集する場合、本物のフィッシングサイトや悪性サイトにアクセスしてしまう、不審なファイルをダウンロードしてしまう等の可能性がありますので、実際のポストブログを確認しに行く際には十分ご注意ください。

会社等で使用する端末等ではアクセスしないことをおすすめします。

では先に進みましょう。

そもそもポストブログとはなんぞや？と思う方が多いと思います。

ポストブログという言葉（ワード）は勝手に作った造語（略語？）です。意味はざっとこんな感じ↓

『メール内容がポスト（投稿）されたブログ』≒『ポストブログ』

では、このポストブログの仕組みを説明していきます。

ブログを投稿する方法はいくつか存在しますが、メールを使用して投稿する仕組みというものがあります。

はてなブログでもそういった仕組みが存在します。

メールで記事を投稿する - はてなブログヘルプ

投稿用メールアドレスに投稿したいブログ内容（メールの件名が題名になり、メールの本文がブログ本文に変換されます）を送る方法です。

f:id:mkt_eva:20201218200054p:plain

この投稿用メールアドレスが外部に漏れてしまい、フィッシングメールを送りたい攻撃者の手に渡った場合、攻撃者はその投稿用メールアドレスにフィッシングメールを送ってきます。しかし実際はユーザーには届かず、そのままそのメール内容がブログに投稿されてしまうのです。

f:id:mkt_eva:20201218200850p:plain

こういったブログを『ポストブログ』と呼んで、僕やねこさん⚡(ΦωΦ)は継続してウオッチしています。

ポストブログを見つけたきっかけは数年前にさかのぼります。

当時僕はUrsnif等に感染させるばらまきメールの調査をしていたのですが、その時にふと件名を調べていたらたまたまそういったブログが存在する事を知りました。

当時こんなツイートをしています。↓

f:id:mkt_eva:20201218201633p:plain

（もうすぐ3年くらい経つんですね、時が経つのは早いもんだ）

ではこのポストブログ、どうやって見つけ、活用すればいいかを3段階でまとめます。

～①～

まずは不審なメール（ばらまきメールやフィッシングメール）の件名を知る必要があります。知る方法にはいくつかありますが、参考になるのはこちら↓です。

セキュリティ情報アーカイブ - 情報基盤センターからのお知らせ

これでまずは件名の情報をゲットしましょう。

～②～

①でゲットした件名をインターネット検索するだけです。ホントにそれだけです。

できればフィッシングメールが出回っているタイミングで調べると見つけやすい気がします。出回っているタイミングがわからない場合はフィッシングメールについて発信しているTwitterアカウントをフォローして見ておくといいかも知れません。

～③～

ポストブログを見つけたら見つけた以外に投稿されているブログも確認してみましょう。元々探していたフィッシングメール以外のも投稿しているかもしれません。

そういったブログは継続してウオッチしておくことで、いつどんな内容の不審メールが出回ったかを把握する良い指標になります。

自分の扱いやすいRSSリーダーにポストブログを登録してウオッチする事をオススメします。

ちなみに僕が使っているRSSリーダーはInoreaderです。

まとめるとこんな感じです↓

f:id:mkt_eva:20201218202035p:plain

Inoreaderではこんな感じでみることができます↓

f:id:mkt_eva:20201218205238p:plain

では、皆さんもポストブログを見つけてウオッチしてみてくださいね！！！！

と、言いたいところですが、見つけるには少し大変なところがあると思いますので今回は僕とねこさん⚡(ΦωΦ)のInoreaderのフィードを公開します。ご活用ください。

▼ねこさんのフィード

不審メール from ばらまきメールウォッチャー on Inoreader

▼にゃん☆たくのフィード

フィッシング from にゃんたく on Inoreader

さて、ここまでの内容を読んで自分もやってみたい！と思った方も多いのではないでしょうか。（こういう情報を発信してくれるウオッチャーやリサーチャー増えると良いなと本気で思ってるので…）

こういった情報を見つけたら次に何をすれば良いか。

見つけた情報を元に、関係する各所に連絡や報告をおこなったり、より深く調査して欲しいと思っています。そういった手順などについてはこちらでよくまとまっていますのでご活用ください。

github.com

am7cinnamon.hatenablog.com

今回もココまで読んでいただきありがとうございました。

ではでは！よいお年を！

Special Thanks！

ねこさん⚡(ΦωΦ)

＜更新履歴＞
2020/12/18 PM公開

2020-12-01

2020年11月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

いよいよ12月、今年も残り1ヶ月です。

ふとこの1年の自分を振り返ってみたんですが、正直色々ありすぎたなぁという語彙力もへったくれもない感想になってしまいました。（ごめんなさい）

来年は少しでも良い年になってほしいなと願うばかりです。

では前月のまとめです。

脆弱性のアレコレ
- Oracle WebLogic Serverに脆弱性
- Fortinet社製FortiOSのSSL VPN機能に脆弱性
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Oracle WebLogic Serverに脆弱性

【概要】
Oracle WebLogic Serverに脆弱性が存在し、リモートから第三者によって任意のコードを実行される可能性がある。

【CVE番号】
CVE-2020-14750

【対象】
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

【対策】
・修正プログラムの適用
Oracle Security Alert - CVE-2020-14750

【参考情報】
Oracle WebLogic Server の脆弱性対策について（CVE-2020-14750）：IPA 独立行政法人情報処理推進機構
 WebLogic Serverに緊急の脆弱性、すぐにアップデートの適用を | マイナビニュース
 Oracle WebLogic Serverにリモートコード実行の脆弱性、修正パッチ公開 | マイナビニュース

【参考Tweet】

SANSによればWebLogicハニーポットによる観測で、
CVE-2020-14882、CVE-2020-14750に絡んでマイニングツールのインストールの試みを観測していたが、難読化されたCobaltStrikeダウンロードキャンペーンも。 https://t.co/0jNw7nLXKT
— かお㌠ (@ka0com) 2020年11月4日

Fortinet社製FortiOSのSSL VPN機能に脆弱性

【概要】
※本脆弱性は2019年5月に公開されておりますが影響を鑑み再掲です
Fortinet社製FortiOSのSSL VPN機能に脆弱性が存在し、リモートから第三者によって任意のファイルと読み込まれる可能性がある。既に本脆弱性の影響を受けるホスト一覧が公開されている。

【CVE番号】
CVE-2018-13379

【対象】
FortiOS 6.0.0 から 6.0.4 までのバージョン
FortiOS 5.6.3 から 5.6.7 までのバージョン
FortiOS 5.4.6 から 5.4.12 までのバージョン

【対策】
・当該製品を脆弱性の影響を受けないバージョンにアップデートする
・SSL-VPN の認証に多要素認証を導入する

【参考情報】
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
 【セキュリティニュース】Fortinet製VPN使う脆弱なホスト情報が公開 - 平文パスワードなども（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

Fortinet製SSL-VPNの脆弱性（CVE-2018-13379）を利用した攻撃結果のリストがリークされていますが、そのリストに掲載されているIPアドレスから国を判別してグラフにしてみたところJPは全体の11%ほどでした。 pic.twitter.com/sKC3qxIDH1
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2020年11月28日

CyberNewsFlash「Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について」を公開。攻撃の被害を受けないための対策や侵害の有無確認などを実施することを推奨します。^YK https://t.co/hozgXYRiul
— JPCERTコーディネーションセンター (@jpcert) 2020年11月27日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年11月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
Amazon をかたるフィッシング (2020/11/27)
国税庁をかたるフィッシング (2020/11/20)
ポケットカードをかたるフィッシング (2020/11/20)
アプラスをかたるフィッシング (2020/11/16)
UCS カードをかたるフィッシング (2020/11/09)

注意喚起やニュースのアレコレ

カプコンが不正アクセスを受け情報流出

【概要】
カプコンがっ標的型ランサムウェア（オーダーメイド型ランサムウェア）による不正アクセスを受け個人情報や企業情報等が流出

【参考情報】
不正アクセスによる情報流出に関するお知らせとお詫び | 株式会社カプコン
不正アクセスによる情報流出に関するお詫び（PDF）
http://www.capcom.co.jp/ir/info/pdf/exannounce01.pdf
セキュリティ - ITmedia NEWS
カプコンに不正アクセスメールシステムやファイルサーバのアクセスに障害 - ITmedia NEWS
カプコン、最大35万件の個人情報が流出した恐れ 11月2日の不正アクセスで - ITmedia NEWS
カプコン、不採用者の応募書類を破棄せず採用ページには「責任を持って破棄」と記載も、サイバー攻撃で情報流出の可能性 - ITmedia NEWS
カプコンは氷山の一角狙われる日本企業、ダークネットで流出情報の取引も - ITmedia NEWS
カプコン脅迫、発表資料は正直すぎ？専門家が読み解く：朝日新聞デジタル
 機密が闇サイトに、カプコン被害の衝撃「被害さらに…」：朝日新聞デジタル
 カプコンの大規模リークにより「ストリートファイター6」や「ドラゴンズドグマ2」などが開発中であることが明らかに - GIGAZINE
カプコンが不正アクセス攻撃を受け最大35万件の個人情報が漏洩した可能性、今後発表予定のゲームタイトルに関する情報なども漏洩か - GIGAZINE
企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
 不正アクセスで発生したカプコンの社内システム障害についてまとめてみた - piyolog

【参考Tweet】

不正アクセスで発生したカプコンの社内システム障害についてまとめてみた - piyolog https://t.co/2gFbmcdakr
"2020年11月4日、カプコンは第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表しました。ここでは関連する情報をまとめます"
— ねこさん⚡(ΦωΦ) (@catnap707) 2020年11月9日

慶応大SFCが不正アクセスを受け情報流出

【概要】
慶応大SFCの学内システムが不正アクセスを受け約3万件の情報が流出

【参考情報】
SFC-CNSおよびSFC-SFSへの不正アクセスによる個人情報漏洩について（お詫び） | 慶應義塾大学湘南藤沢キャンパス（SFC）
SFC-SFS不正アクセスによる個人情報漏洩お詫び（PDF）
https://www.sfc.keio.ac.jp/doc/df8e80e0da5060b204d0ae01f6e9695989fd9059.pdf
慶大SFCに不正アクセス、学生顔写真など11種類のデータが漏えいか - ZDNet Japan
慶応SFC、3万件以上の個人情報流出か学生の顔写真など被害に 10月発表の不正アクセスで - ITmedia NEWS

【参考Tweet】

『「重大なトラブル」によりSFC-SFSを停止。「このトラブルにより利用者のアカウント情報が漏洩した可能性があります」として利用者にパスワードの変更を求めた。』

慶應SFCで授業システムに「重大なトラブル」秋学期開始が1週遅れの「異常事態」 https://t.co/FXMVz9i0VA
— Autumn Good (@autumn_good_35) 2020年10月1日

8月下旬-9月にかけ慶大内サーバーに学外から不正アクセス🔥
①湘南藤沢キャンパスの情報ネットワークと授業支援システム、経営管理研究科Webサーバーから個人情報流出可能性
②他多数サーバーも不正アクセス被害(個人情報流出確認されず)
③SFC被害は情報NW ID/PW窃取と授業支援システム脆弱性悪用原因 https://t.co/XxaMoPwbJJ
— piyokango (@piyokango) 2020年11月10日

政府がパスワード付きzipファイル（PPAP）を廃止する方針を発表

【概要】
政府がパスワード付きzipファイル（PPAP）を廃止する方針を発表し、内閣府と内閣官房では脱運用を開始
※PPAPとは、
・Passwordつきzip暗号化ファイルを送ります
・Passwordを送ります
・Aん号化（暗号化）
・Protocol
の頭文字をとって命名された造語

【参考情報】
内閣府と内閣官房で脱“パスワード付きZIP”運用を開始ファイル送信は内閣府のストレージサービス活用 - ITmedia NEWS
ピコ太郎？パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの？ - ITmedia NEWS
パスワード付きzip、内閣府と内閣官房で26日から廃止へ外部ストレージサービス活用平井デジタル相 - ITmedia NEWS
“PPAP”の代替手段は「アイデアボックス」で募集へ平井デジタル相 - ITmedia NEWS
“Pマーク”認証団体が見解パスワード付きファイルのメール送信は「以前から推奨していない」 - ITmedia NEWS
政府の「アイデアボックス」投稿をTwitterで共有「パスワードZIP全廃」に危機感抱いた個人が開発 - ITmedia NEWS
霞が関でパスワード付きzipファイルを廃止へ平井デジタル相 - ITmedia NEWS
【セキュリティニュース】政府、脱「暗号化zipファイル」検討へ - 意見募集で最多支持（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

政府が「添付ファイルのパスワードつきZIP(通称PPAP)」を廃止する方針を打ち出しました。
なぜPPAPを廃止すべきなのか、PPAPに代わってどんな対策が考えられるのか。IIJのメールサービス担当がご紹介します。
パスワード付き (暗号化) ZIP廃止の考え方と対策https://t.co/ISKsviuthu
— 堂前@IIJ (@IIJ_doumae) 2020年11月30日

単に暗号化されていないことがzip化の理由なら何もしないほうがマシ
ちゃんと相手に届くことを保証したいならクラウドストレージが良いと思う
本当はS/MIMEにしたいんだけどね
政府廃止のパスワード付zipファイル　専門家も「意味ない」｜NEWSポストセブン https://t.co/w5YK0SzS7F #newspostseven
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年11月21日

PPAP「暫定的な対策として「（パスワードを）電話で教える」」 https://t.co/zP4kABiaz0 （そうじゃない感）
— Haruhiko Okumura (@h_okumura) 2020年11月24日

電子チケットサービス「Peatix」が不正アクセスを受け情報流出

【概要】
電子チケットサービス「Peatix」が不正アクセスを受け約677万件の情報が流出

【参考情報】
Peatixへの不正アクセス事象に関するお詫びとお知らせ（PDF）
https://announcement.peatix.com/20201117_ja.pdf
電子チケット販売「Peatix」に不正アクセス最大677万件の個人情報流出 - ITmedia NEWS
【セキュリティニュース】「Peatix」に不正アクセス - 最大677万件の個人情報が流出（1ページ目 / 全1ページ）：Security NEXT
複数の自治体が「Peatix」不正アクセス・個人情報漏洩についてお詫びとお知らせを掲載 | TechCrunch Japan
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog

【参考Tweet】

こんなところにも波及>『オンライン販売分については…Ｐｅａｔｉｘ社に委託していましたが…この会社が外部からの不正アクセスを受け、個人情報が流出した』 / “食事券購入者の情報流出のおそれ｜NHK 栃木県のニュース” https://t.co/J1LPfOTRK7
— 徳丸浩 (@ockeghem) 2020年11月17日

【「Peatix」最大677万件情報流出宇都宮の食事券購入者含むか】
チケットのオンライン販売などを手がける「Peatix」は、外部からの不正なアクセスで利用者の名前やメールアドレス、パスワードなど最大で677万件の情報が流出したことを明らかにしました。https://t.co/yCZC8dBepM
— 特務機関NERV (@UN_NERV) 2020年11月17日

セキュリティレポートやブログのアレコレ

Trend Micro

McAfee

サイバーマンデー！オンラインショッピング詐欺から大切なものを守るための10のヒント
 家庭のサイバーセキュリティ：BYEH (Bring Your Enterprise Home)
オペレーションノーススターに関するインフラと標的についての新たな調査報告を発表
 オペレーションノーススターの舞台裏

Kaspersky

Windows XPのソースコードが流出：企業向けのセキュリティのヒント
https://blog.kaspersky.co.jp/win-xp-source-code-leaked/29466/
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
2020年のランサムウェア事情
https://blog.kaspersky.co.jp/ransomware-incidents-2020/29540/
ランサムウェア2.0：データの暗号化から機密情報の公開へ
https://blog.kaspersky.co.jp/the-rise-of-ransomware-20/29607/
PUBG Mobileのアカウント情報を狙うフィッシングサイト
https://blog.kaspersky.co.jp/pubg-metro-phishing/29614/
ランサムウェア対策の体系的アプローチ
https://blog.kaspersky.co.jp/structured-approach-ransomware/29633/
マインクラフトのModパックのふりをするマルウェア
https://blog.kaspersky.co.jp/minecraft-mod-adware-google-play/29625/

IIJ

wizSafe Security Signal 2020年10月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

MBSD

企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

NEC セキュリティブログ

ゼロトラストの実現とSASE（Secure Access Service Edge）について: NECセキュリティブログ | NEC
そもそもテレワークのセキュリティとは何かを考える | NEC
PortSwigger Web Security Academy: Business Logic Lab – Write-up | NEC

マクニカネットワークス

Dtrackを使った組織侵入型ランサムインシデントの分析 - セキュリティ研究センターブログ

NICTER Blog

NICTER観測統計 - 2020年7月～9月 - NICTER Blog

piyolog

不正アクセスで発生したカプコンの社内システム障害についてまとめてみた - piyolog
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog
警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog

bomb_log

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別 - bomb_log

knqyf263's blog

SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について - knqyf263's blog

午前７時のしなもんぶろぐ

大量出現したニセ通販サイトを探る #2 - 午前７時のしなもんぶろぐ

ごちうさ民の覚え書き

日本を取り巻くばらまき型攻撃メールのまとめ(2020/7/17-2020/11/6) - ごちうさ民の覚え書き

トリコロールな猫/セキュリティ

MeCab用のセキュリティ用語辞書を作っています - トリコロールな猫/セキュリティ

ロシアンブルー飼育日記

バグハンティングコンテスト参加者のためのtips - ロシアンブルー飼育日記

セキュリティ猫の備忘録

【やってみた】Oracle WebLogic Serverの認証バイパスとRCEの脆弱性（CVE-2020-14882、CVE-2020-14883）を体験してみた - セキュリティ猫の備忘録

セキュリティコンサルタントの日誌から

Internet Week 2020で講演してきました！！ - セキュリティコンサルタントの日誌から

みっきー申す

SaltStackの脆弱性（CVE-2020-16846およびCVE-2020-25592）公開について - みっきー申す
 中華系ハッキンググループAPT10によるZeroLogonの脆弱性（CVE-2020-1472）を悪用した新たな攻撃の観測について - みっきー申す
 ダークネットで観測された2020年に日本を標的とした数々の攻撃について - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！

「￣ヽ､
|二二)O
|･ω･｀)　・・・

＜更新履歴＞
2020/12/01 AM公開

2020-11-04

2020年10月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今年はコロナ禍の影響で多くの業界でオフラインで行われていたイベントがオンラインに変更になったり、もしくは中止になったりしていますよね。

例年この時期はセキュリティ業界でもオフラインイベントが沢山ある時期なのですが、オンラインイベントに変更になっています。

特にセキュリティイベントでもCODEBLUEやAVTokyoがオンライン開催されました。

#codeblue_jp
CODEBLUE2日間ありがとうございましたー！来年また会いましょーーー！！！！はっぴーはろうぃーん！
※実は今年からスタッフだったのです← pic.twitter.com/puIxyf5kNF
— にゃん☆たく (@taku888infinity) 2020年10月30日

togetter.com

いよいよ本日ですねー！

Phishing Village盛り上げていくぞーい！https://t.co/kJwIQHaNxM #avtokyo https://t.co/bMLmwegzvG
— にゃん☆たく (@taku888infinity) 2020年10月31日

#avtokyo

さてさて準備は整った！！！（これ以外なにもしてない←） pic.twitter.com/0dn3HQKgWg
— にゃん☆たく (@taku888infinity) 2020年10月31日

今年は僕もCODEBLUEでは裏方でお手伝いしたり、AVTokyoでもセッションを任せてもらったりと非常に勉強になる経験をさせていただきました。

この場を借りて運営の皆さま、オンラインイベントに参加してくださった皆さま、ありがとうございました！また来年もよろしくお願いしますね！

というわけで前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Oracle製品に脆弱性

【概要】
Oracleの複数の製品に対するクリティカルパッチアップデートが公開されている。

【CVE番号】
CVE-2020-14803等

【対象】
Java SE JDK/JRE 15
Java SE JDK/JRE 11.0.8
Java SE JDK/JRE 8u261
Java SE JDK/JRE 7u271
Java SE Embedded 8u261
Oracle Database Server 19c
Oracle Database Server 18c
Oracle Database Server 12.2.0.1
Oracle Database Server 12.1.0.2
Oracle Database Server 11.2.0.4
Oracle WebLogic Server 14.1.1.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 10.3.6.0.0

【対策】
・アップデートする（下記修正済みバージョン）
Java SE JDK/JRE 15.0.1
Java SE JDK/JRE 11.0.9
Java SE JDK/JRE 8u271
Java SE JDK/JRE 7u281
Java SE Embedded 8u271

【参考情報】
Oracle Java の脆弱性対策について(CVE-2020-14803等)：IPA 独立行政法人情報処理推進機構
 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
 Oracle Javaに脆弱性、アップデートを | マイナビニュース
 【セキュリティニュース】Oracle、定例パッチで402件の脆弱性に対処 - CVSS基本値「9.0」以上が82件（1ページ目 / 全1ページ）：Security NEXT
【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を | セキュリティ対策のラック

Microsoft Outlookに脆弱性

【概要】
Microsoft Outlookに脆弱性が存在し、第三者に細工されたメールを開くと任意のコードが実行される可能性がある

【CVE番号】
CVE-2020-16947

【対象】
Microsoft 365
Office 2019
Outlook 2016

【対策】
更新プログラムの適用

【参考情報】

【セキュリティニュース】「Outlook」にRCE脆弱性 - プレビューだけで悪用のおそれ（1ページ目 / 全2ページ）：Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

今月気になるものは、特記されているようにOutlookのプレビューだけでコード実行（HTMLの処理に起因）なCVE-2020-16947と、Hyper-Vのホストへのコード実行のCVE-2020-16891あたりですね。

Zero Day Initiative — The October 2020 Security Update Reviewhttps://t.co/8MV7R14bsG pic.twitter.com/QgwQY8gl3T
— Autumn Good (@autumn_good_35) 2020年10月14日

⑦Office/Outlook CVE-2020-16947はプレビューでメール閲覧でも攻撃成立のため要注意
— Yurika (@EurekaBerry) 2020年10月14日

GitHub - 0neb1n/CVE-2020-16947: PoC of CVE-2020-16947

※PoCが公開されています。

肝心のペイロードがファイル形式のせいか文字化けしていて読めませんね…本物かはわからないですが、このペイロードを含めたメールを開くとRCEのトリがになるのかなhttps://t.co/DDtLxCo5A3 https://t.co/OIuKa6h1pe
— _spxn🔑 (@_spxn) 2020年10月16日

WindowsのTCP/IPスタックに脆弱性

【概要】
WindowsのTCP/IPスタックに脆弱性が存在し、第三者に細工されたICMPv6ルーターアドバタイズパケットを受信すると任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-16898（脆弱性名：Bad Neighbor）

【対象】
Windows 10
Windows Server 2019

【対策】
更新プログラムの適用
ICMPv6 RDNSSを無効にする

【参考情報】

脅威に関する情報: Microsoftの脆弱性 CVE-2020-16898
【セキュリティニュース】Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒（1ページ目 / 全2ページ）：Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

アップデート①CVE-2020-16898 IPv6 RAの脆弱性ですが、内容を更新しました。1) CVSSスコアは8.8に引き下げ。2) RAに係る脆弱性なのでRAの範囲で攻撃が可能なことを明記しました（インターネット越しに直接攻撃はできない) https://t.co/AgTGJRNpxH
— Yurika (@EurekaBerry) 2020年10月15日

Windowsアップデート。
今回公開になった脆弱性で大きそうなところでは、CVE-2020-16898: “Bad Neighbor”

Windows IPv6スタックの脆弱性。
攻撃者が悪意を持って作成されたパケットを送信し、リモートシステム上で任意のコードを実行する可能性。

現在のPoCでは、即時BSODが発生。
— かお㌠ (@ka0com) 2020年10月13日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年10月にフィッシングサイト対策協議会で報告された情報は以下のとおり
[更新] 宅配便の不在通知を装うフィッシング (2020/10/30)
MyJCB をかたるフィッシング (2020/10/29)
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
※（）は報告日時

注意喚起やニュースのアレコレ

複数のMicrosoft製品のサポートが終了

【概要】
2020年10月13日に複数のMicrosoft製品のサポートが終了した。サポート終了した製品は以下の通り。
Access 2010
Dynamics GP 2010
Excel 2010
Excel Mobile 2010
Exchange Server 2010
FAST Search Server 2010
Groove Server 2010
Office 2010
OneNote 2010
PowerPoint 2010
Project 2010
Publisher 2010
Search Server 2010
System Center Data Protection Manager 2010
System Center Essentials 2010
Visio 2010
Word 2010
Windows Embedded Standard 7
Office 2016 for Mac
Excel 2016 for Mac
Outlook 2016 for Mac
PowerPoint 2016 for Mac
Word 2016 for Mac

【参考情報】
ご存じですか? Office にはサポート期限があります - Microsoft atLife
複数のマイクロソフト社製品のサポート終了について
 Office 2010のサポートが終了更新プログラムの利用が不可に - ITmedia PC USER
ExcelやWordなど多数のマイクロソフト製品が10月13日にサポート終了 | マイナビニュース
 【セキュリティニュース】「Office 2010」がサポート終了に - 利用環境の確認を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

10月13日(米国時間)(日本は今日)サポートが終了したOffice 2010。最後の脆弱性を修正したパッチが出ていますので、即利用停止できない方はとり急ぎパッチは忘れずに直ぐに適用お忘れなく＆早急に移行をいただければ。https://t.co/D7dfzcb5ZS
— Yurika (@EurekaBerry) 2020年10月14日

【「Office 2010」のサポートが終了しました】
「Office 2010」のサポートが10月13日（日本時間）で終了しました。今後は更新プログラムが提供されませんので、当該ソフトウェア製品を利用されている方は速やかにソフトウェア製品の移行を実施してください。https://t.co/LTNsWqhfOM pic.twitter.com/le6nX0sasX
— IPA（情報処理推進機構） (@IPAjp) 2020年10月14日

複数企業がマルウェア「TrickBot」遮断措置を実施

【概要】
複数企業（Microsoft、FS-ISAC、NTT、Symantec、ESET、Lumen）がマルウェア「TrickBot」遮断措置を実施した。

【参考情報】
Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置 - ITmedia NEWS
マイクロソフトら、米大統領選を前に悪質な「Trickbot」ボットネット遮断措置 - ZDNet Japan
Microsoftが大統領選に向けて悪名高いマルウェア「TrickBot」の運用阻止に乗り出す - GIGAZINE
米国大統領選挙を前に、ランサムウェア対策に向けた新たな取り組み - News Center Japan
Microsoft Uses Trademark Law to Disrupt Trickbot Botnet — Krebs on Security

【参考Tweet】

#Trickbot ボットネットのテイクダウンがMicrosoftとFS-ISACを中心に、ESET、LUMEN、NTT、Symantecで行われたとのこと。
主に米国を中心としたC2インフラを停止させたようですが、まだ全てのC2が停止しているわけではないようです。

一番まとまってるのはこの記事。https://t.co/10wbCNdn6V
— S-Owl (@Sec_S_Owl) 2020年10月13日

特別定額給付金を騙る偽メールが出回る

【概要】
10月中旬から後半にかけて、特別定額給付金を騙る偽メール（フィッシングメール）が出回った。

【参考情報】

総務省｜特別定額給付金の給付を騙ったメールに対する注意喚起
 総務省を騙った特別定額給付金に関するフィッシング｜一般財団法人日本サイバー犯罪対策センター
 フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金の詐欺メール、また出回る今度は「申請手続き代行始めました」 - ITmedia NEWS
給付金2回目支給？総務省をかたる偽通知メールに注意 - INTERNET Watch

【参考Tweet】

⚠️総務省を騙ったフィッシング詐欺サイト情報⚠️

特別定額給付金のフィッシング詐欺サイトが発生中!!#詐欺サイトなので、#フィッシングメールにご注意を。

hxxps://kyufukin.soumu.online
IP:14.63.172.200
　(AS4766 / KIXS-AS-KR Korea Telecom🇰🇷)#Phishing #総務省 #特別定額給付金 pic.twitter.com/sAhWJbKW9A
— KesagataMe (@KesaGataMe0) 2020年10月14日

2020-10-19 17:55 時点のまとめ。

◆45.192.178[.]214
kyufukin[.]cyou
kyufukin[.]monster

◆173.82.120[.]101
kyufukin-soumu-go-jp[.]buzz
kyufukin-soumu-go-jp[.]xyz
www.kyufukin-soumu-go-jp[.]buzz
www.kyufukin-soumu-go-jp[.]xyz

◆192.255.188[.]179
coccjp.coazjp[.]pw pic.twitter.com/T75wcffbJm
— ねこさん⚡(ΦωΦ) (@catnap707) 2020年10月19日

今回フィッシングサイトの稼働が確認できたIPとドメインはこちら↓

▼IP
14.63.172[.]200

▼ドメイン
kyufukin.soumu[.]cyou
kyufukin.soumu[.]buzz
kyufukin.soumu[.]online

[.]cyouは2020年6月に誕生したgTLDですが、使われだしたなって感じ（楽天のフィッシングサイトでは前から使われてたけど） https://t.co/1bx6wmXFU3
— にゃん☆たく (@taku888infinity) 2020年10月15日

ドコモ口座不正送金問題、被害の補償が完了

【概要】
NTTドコモはドコモ口座不正送金問題で確認できた127件の被害について補償が完了したと発表した

【参考情報】
【セキュリティニュース】「ドコモ口座」の不正チャージ、被害124件の補償を完了（1ページ目 / 全1ページ）：Security NEXT
「ドコモ口座」不正引き出し被害補償完了と発表 NTTドコモ | 電子決済不正引き出し問題 | NHKニュース
 ドコモ口座、判明被害の補償完了 128件で2885万円 :日本経済新聞
 ドコモ口座被害、申告分の補償を完了 - ケータイ Watch

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

サイバー情報共有イニシアティブ（J-CSIP）運用状況[2020年7月～9月](PDF)
https://www.ipa.go.jp/files/000086549.pdf

JPCERT コーディネーションセンター

LogonTracer v1.5 リリース - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 インターネット定点観測レポート（2020年 7～9月）
DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について

JPCERT/CC インシデント報告対応レポート [2020年7月1日～2020年9月30日]（PDF）
https://www.jpcert.or.jp/pr/2020/IR_Report20201015.pdf

JPCERT/CC 活動概要 [2020年7月1日～2020年9月30日]（PDF）
https://www.jpcert.or.jp/pr/2020/PR_20201015.pdf

JC3

総務省を騙った特別定額給付金に関するフィッシング｜一般財団法人日本サイバー犯罪対策センター

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/09 フィッシング報告状況

NICTER Blog

NICTに届いたEmotetへの感染を狙ったメール（2020年7月～9月） - NICTER Blog
日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について - NICTER Blog

LAC

セキュリティ診断レポート 2020 秋〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策 | セキュリティ対策のラック
 【注意喚起】Windowsとネットワーク管理者権限を一撃で乗っ取る、脆弱性「Zerologon」対策について | セキュリティ対策のラック
 攻撃者は守りが弱いところを攻めてくるサプライチェーンリスク対策を理解するための特別レポート | セキュリティ対策のラック
 【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を | セキュリティ対策のラック

Trend Micro

McAfee

Microsoft Teamsのセキュリティ上の脅威トップ10
アンチウイルス完全に理解した!? Emotetから学ぶウイルス感染対策
 女優アナ・ケンドリック、2020年の最も危険なセレブに

Kaspersky

情報漏洩につながりかねない、Officeドキュメントの要素とは
https://blog.kaspersky.co.jp/how-to-leak-info-from-docs/29424/
サイバー犯罪者が銀行から盗んだ資金を洗浄する方法
https://blog.kaspersky.co.jp/money-laundering-schemes/29300/
Facebookの助成金プログラムを悪用するフィッシング詐欺
https://blog.kaspersky.co.jp/facebook-grants/29295/

IIJ

wizSafe Security Signal 2020年9月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

NEC セキュリティブログ

【超図解】ゼロトラスト: NECセキュリティブログ | NEC
本当は怖いsudoコマンド: NECセキュリティブログ | NEC

piyolog

原子力規制委員会への不正アクセスについてまとめてみた - piyolog
LinkedInでの接触から始まった積水化学工業元社員の営業秘密情報持ち出しについてまとめてみた - piyolog
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog
2020年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog

bomb_log

2020/10/16(木) 添付ファイル付不審メール「支払いの詳細 - 注文番号」「【2020年10月】請求額のご連絡」（ZLoader）の調査 - bomb_log
2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」（ZLoader）の調査 - bomb_log
2020/08/31(月)週添付ファイル付不審メール（Emotet -> ZLoader）の調査 - bomb_log

午前７時のしなもんぶろぐ

大量出現したニセ通販サイトを探る - 午前７時のしなもんぶろぐ

knqyf263's blog

CVE-2020-15157 (ContainerDrip) を試す - knqyf263's blog

ロシアンブルー飼育日記

セキュリティ猫の備忘録

【やってみた】特別定額給付金のフィッシングサイトにアクセスしてみた！！ - セキュリティ猫の備忘録

みっきー申す

Amazon Japanを装ったフィッシングメールがEmotetと同規模の脅威に - みっきー申す
 NCSCおよびUS-CERTから注意喚起が出されたMicrosoft SharePointの脆弱性(CVE-2020-16952)ついて - みっきー申す
 OneDriveやBox、Office文書形式など、攻撃者が利用するサービスについて - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！
.　　∧_∧
　（ ´・ω・)
　//＼￣￣旦＼
／/ ※ ＼＿＿＿＼
＼＼　※ 　※ 　※ ヽ
　＼ヽ-＿_＿–＿__ヽ

あ、最後に宣伝です

11月11日（水）の15時～、JPAAWG 3rd General Meeting（オンライン）でお話させていただくことになりました。フィッシングメールやフィッシングサイトを追いかけている複数メンバーで登壇しますので、お時間ありましたらぜひご参加くださいませ。

meetings.jpaawg.org

f:id:mkt_eva:20201104032846p:plain

＜更新履歴＞
2020/11/04 AM公開

2020-10-09

2020年9月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今回はブログ投稿が遅れてしまい申し訳ございませんでした(m´・ω・｀)m

…ってだれに謝ってるのかわからないですが（あくまでも自分のペースなのであしからず）

さて最近「タイミングがよければ」ですが、なるべくセキュリティに関係しそうな事案（例えば、普段ネットを使っていていきなり表示される偽警告とか不審なSMSとか…）を体験した場合はなるべく動画に撮ってTwitterに載せるようにしてみています。

とうとうきました『〜.duckdns[.]org』が記載された不審なSMSが！！！！！
せっかくなのでアクセスしてみた動画とったのになにも表示されなかった…

なんにせよこういうSMSが届いてもURLはクリックせずに削除するようにしましょう。ご注意ください！ pic.twitter.com/2d3ZmFyA01
— にゃん☆たく (@taku888infinity) 2020年9月9日

iPhoneのSafari使ってネットサーフィンしてたら、ビジターアンケートに当選したので最後まで動画に撮ってみました。（個人情報入力前のとこまでね）

ちょっとアングラな内容を調べてたら当選したので、そんな感じのサイトにアクセスすると当選するのかもしれませんね。（知らんけど） pic.twitter.com/DiWoVTLU7k
— にゃん☆たく (@taku888infinity) 2020年9月30日

emotetについてSafariで調べていたら、いきなりiPhoneが感染して（してない）、VPNアプリをインストールしなきゃいけなくなった（しなくていい）ので、そっとSafariのタブを閉じたとこまで動画に撮りました。iPhoneが感染したとか表示された瞬間にタブを閉じる事をオススメします。 pic.twitter.com/S4Qj8Y6ihJ
— にゃん☆たく (@taku888infinity) 2020年10月6日

まぁ参考になるかはわかりませんが、セキュリティ対策の1つとしては「知ること」も大事なことですのでそれの足しにでもしてください。

では、前月のまとめです。

脆弱性のアレコレ
- Netlogonに脆弱性（Zerologon）
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Netlogonに脆弱性（Zerologon）

【概要】
ドメインコントローラーで利用されているNetlogonプロトコルに脆弱性が存在し、ネットワーク内に侵害された端末が存在した場合ドメイン管理者の権限が取得される可能性がある。攻撃の実証コードが出回っているため注意が必要。

【CVE番号】
CVE-2020-1472（脆弱性名：Zerologon）

【対象】
▼Microsoft
Microsoft Windows Server version 1903 (Server Core installation)
Microsoft Windows Server version 1909 (Server Core installation)
Microsoft Windows Server version 2004 (Server Core installation)
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation)
Microsoft Windows Server 2012
Microsoft Windows Server 2012 (Server Core installation)
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2012 R2 (Server Core installation)
Microsoft Windows Server 2016
Microsoft Windows Server 2016 (Server Core installation)
Microsoft Windows Server 2019
Microsoft Windows Server 2019 (Server Core installation)

【対策】
Microsoft製品の場合、2020年8月12日に公開されたセキュリティ更新プログラムを適用

【参考情報】

CVE-2020-1472 に関連する Netlogon セキュアチャネル接続の変更を管理する方法
 Netlogon の特権の昇格の脆弱性 (CVE-2020-1472) への早急な対応を
 更新：Microsoft 製品の脆弱性対策について(2020年8月)：IPA 独立行政法人情報処理推進機構
 [AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要 - Microsoft Security Response Center
ドメインコントローラーがのっとられる脆弱性 Zerologon（CVE-2020-1472）についてまとめてみた - piyolog
Zerologon (CVE-2020-1472) 「ドメインコントローラーにパッチ適用を」 - Qiita

【参考Tweet】

Netlogonの脆弱性、ZeroLogonの検出状況の共有とDefender, Azure ATPを利用した検出の解説を、公開しています。AD環境をお持ちの方は是非ご参照を https://t.co/EV6NwA4cIe
— Yurika (@EurekaBerry) 2020年10月1日

ブログでも触れられていますが、他の過去の脆弱性(昨年のSharepoint CVE-2019-0604など)を悪用し、ドメイン内に入りZ今回のNetlogonの脆弱性を悪用するというシナリオもあります。今回のだけではなく、リリースされているパッチは適用することを強く推奨です！
— Yurika (@EurekaBerry) 2020年10月1日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年9月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
BTCBOX をかたるフィッシング (2020/09/28)
日本郵便をかたるフィッシング (2020/09/28)
三井住友銀行および三井住友カードをかたるフィッシング (2020/09/17)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

トレンドマイクロを騙るEmotet感染メールが出回る

【概要】
トレンドマイクロのアンケート調査を騙りEmotetに感染させるメールが出回った

【参考情報】
「EMOTET」がトレンドマイクロのアンケートメールを偽装 | トレンドマイクロセキュリティブログ
 マルウェア「Emotet」、トレンドマイクロのメールを装って拡散中 - ITmedia NEWS
Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口 | 日経クロステック（xTECH）
マルウェア「Emotet」の攻撃拡大--新手法も確認 - ZDNet Japan

【参考Tweet】

【!!注意!!】トレンドマイクロのアンケートを装った #emotet メールが観測されています!!
開封してマクロを実行しないように注意してください!!

件名 : トレンドマイクロ・サポートセンター満足度アンケート調査　ご協力のお願い pic.twitter.com/JCJ9BKImOy
— moto_sato (@58_158_177_102) 2020年9月2日

【注意喚起】2020-09-03 06:35頃から確認されている、トレンドマイクロを騙ったメールについてブログを書きました。

これは #Emotet の感染を狙ったメールですので注意してください。https://t.co/nbjOw9PTS2
— sugimu (@sugimu_sec) 2020年9月3日

ドコモ口座が悪用され不正送金されてしまう事案が発生

【概要】
ドコモ口座が悪用され不正送金（利用）されてしまう事案が発生。第三者がなんらかの方法で得た個人情報を元に「Web口振受付サービス」の抜け穴を利用し銀行口座預金を不正に利用するという流れだった。

【参考Tweet】

『だがSMS認証は、本人確認としての信頼度は低く、特に法的な面で本人確認を強化する手段にはなり得ない。通信事業者と合意したうえで回線契約者の氏名や生年月日などを照合しているわけではないためだ』 / “ドコモ口座問題であらわになった「本人確認」の誤解 | 日経クロ…” https://t.co/EIXBzAM2jT
— 徳丸浩 (@ockeghem) 2020年10月8日

「NOTICE」の調査で用いられるIDとパスワードの種類が増加

【概要】
情報通信研究機構（NICT）が実施している「NOTICE（National Operation Towards IoT Clean Environment）」の調査で用いられるIDとパスワードの種類が約100種類から約600種類に拡大することが確定した。

【参考情報】
総務省｜サイバー攻撃に悪用されるおそれのあるIoT機器の調査（NOTICE）の取組強化
 https://www.soumu.go.jp/main_content/000706574.pdf
【セキュリティニュース】総務省、「NOTICE」調査を拡大 - 試行パスワードを約600種類に（1ページ目 / 全1ページ）：Security NEXT
総務省、IoT機器“侵入”調査を強化ログインに使うID・パスワードの組み合わせを拡大 - ITmedia NEWS

LINEが約7万件のLINEアカウントに不正ログインがあったと発表

【概要】
LINEが今年7月から9月に約7万件のLINEアカウントに不正ログインがあったと発表した。そのうち日本のアカウントは約4万件。

【参考情報】
LINEアカウントへの不正アクセスに対する注意喚起 | LINE Corporation | セキュリティ＆プライバシー
 LINEアカウントに不正アクセスの試み、注意呼びかけ - ケータイ Watch
LINEに不正ログイン7万件「ID・パスワードの有効性確認目的か」 - ITmedia NEWS
【セキュリティニュース】LINE利用者のパスワード約7.4万件が特定 - ログイン連携サービスにPWリスト攻撃（1ページ目 / 全3ページ）：Security NEXT

【参考Tweet】

【一部の方を対象とした、パスワードリセットに関して】
12:33頃より、過去2カ月の間にLINEアカウントに不正なアクセス履歴が確認された一部の方向けに、パスワードリセットを実施いたしました。
ご不安な思いをさせてしまい申し訳ございません。対象の方には、追ってLINE上で個別にご案内いたします。
— LINE (@LINEjp_official) 2020年9月12日

14:56頃までに、対象の方のLINEアカウントに対して、LINE公式アカウントを通じてご連絡いたしました。

※緑の公式バッジが付いた「LINE」アカウントよりメッセージが届きます。

対象の皆さまにはお手数をおかけいたしますが、ご確認の上、ご対応をお願いいたします。 pic.twitter.com/STmAuyzCEA
— LINE (@LINEjp_official) 2020年9月12日

LINEアカウントに対する不正ログイン試行についての注意喚起のアナウンスを発信しました。https://t.co/mN1FrQSzdE
— naohisa ichihara (@nao_ichihara) 2020年9月12日

ゆうちょ銀行で不正現金引き出し問題が発生

【概要】
複数の決済事業者の決済サービスと連携していたゆうちょ銀行で不正現金引き出し問題が発生した。また、ゆうちょ銀行のVISAデビットサービス「mijica」でも不正アクセスが発生し送金の事案が発生している。

【参考情報】
ゆうちょダイレクトの不正利用に対する被害補償について（法人のお客さま）ーゆうちょ銀行
 ゆうちょダイレクトの不正利用に対する被害補償について（個人のお客さま）ーゆうちょ銀行
 ゆうちょ銀の相次ぐ不正送金問題各サービスの被害状況と銀行側の対策まとめ (1/3) - ITmedia NEWS
ゆうちょ銀のVISAデビット「mijica」で不正送金 332万円 - ITmedia NEWS
ゆうちょ銀行の不正引き出し、記者会見の一問一答まとめ (1/3) - ITmedia NEWS
ゆうちょ銀行の不正引き出し、メルペイでも発生被害総額は約50万円 - ITmedia NEWS
「リスク感度が低かった」ゆうちょ銀行が不正送金問題を謝罪 - Impress Watch
不正利用が発生した電子決済サービスについてまとめてみた - piyolog
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog

セキュリティレポートのアレコレ

IPA（独立行政法人情報処理推進機構）

情報セキュリティ白書2020：IPA 独立行政法人情報処理推進機構
 IPAセキュリティエコノミクス（＠ipasecuecono）Twitter 運用方針：IPA 独立行政法人情報処理推進機構
 複数の Microsoft 社製品のサポート終了に伴う注意喚起：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

JPCERT/CC 感謝状 2020～オンライン贈呈式にて - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 JPCERT/CC 感謝状 2020
攻撃グループLazarusが使用するマルウェアBLINDINGCAN - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 マルウェア Emotet の感染拡大および新たな攻撃手法について

フィッシングサイト対策協議会

LAC

テレワーク下の社内コミュニケーションを活性化！社長が社内ラジオを始めました | セキュリティ対策のラック
 CYBER GRID JOURNAL Vol.10 "SDGsと人材育成 withコロナ時代に必要なICTリテラシーとは何か？" | セキュリティ対策のラック
 VPN機器を狙ったサイバー攻撃が継続中！セキュリティ事故を防ぐ3つのポイントとは | セキュリティ対策のラック
 【注意喚起】猛威をふるっているマルウェアEmotet検知数の急増と対策について | セキュリティ対策のラック
 サイバー救急センターレポート第9号～テレワーク時代を生き抜くためのセキュリティ対策～ | セキュリティ対策のラック

Trend Micro

2020年上半期は家庭用ルータへの不審な接続が増加 | トレンドマイクロセキュリティブログ
 脆弱性「Zerologon」（「CVE-2020-1472」）と行うべき対策 | トレンドマイクロセキュリティブログ
 「BIG-IP」の脆弱性「CVE-2020-5902」を利用するIoTマルウェアを確認 | トレンドマイクロセキュリティブログ
 経営幹部のOffice 365アカウントを狙う詐欺キャンペーン「Water Nue」 | トレンドマイクロセキュリティブログ
 2020年上半期ランサムウェア動向拾遺：「Avaddon」、新たな回避手法、業界別被害事例、など | トレンドマイクロセキュリティブログ
 「EMOTET」がトレンドマイクロのアンケートメールを偽装 | トレンドマイクロセキュリティブログ

McAfee

SMSで届く詐欺「スミッシング」に遭わないための3つのポイント

Kaspersky

本人確認、認証、承認はどう違う？
https://blog.kaspersky.co.jp/identification-authentication-authorization-difference/29254/
エンドツーエンド暗号化とは何か、なぜ必要か
https://blog.kaspersky.co.jp/what-is-end-to-end-encryption/29231/
ドメインコントローラーを脅かす脆弱性「Zerologon」
https://blog.kaspersky.co.jp/cve-2020-1472-domain-controller-vulnerability/29235/
著名インスタグラマーと学ぶ、セキュリティのこと
https://blog.kaspersky.co.jp/ashley-james-david-jacoby-easy-security-tips/29128/
セキュリティの観点から考えるシンクライアント
https://blog.kaspersky.co.jp/thin-client-cybersecurity/29149/

IIJ

wizSafe Security Signal 2020年8月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
マルウェア感染対策を目的としたVBAマクロ実行の無効化 – wizSafe Security Signal -安心・安全への道標- IIJ

NEC セキュリティブログ

偽ショートメッセージ「不在通知SMS」について: NECセキュリティブログ | NEC
パスワードの要件をガイドラインと実態調査から考える: NECセキュリティブログ | NEC
個人情報漏洩インシデント発生時の損害額算出モデル: NECセキュリティブログ | NEC

IBMセキュリティー・インテリジェンス・ブログ

2020年上半期 Tokyo SOC セキュリティー・インシデントの概要

マクニカネットワークス

MITRE Shieldについて - セキュリティ研究センターブログ

piyolog

ドメインコントローラーがのっとられる脆弱性 Zerologon（CVE-2020-1472）についてまとめてみた - piyolog
掲載一時停止となった気象庁サイトの広告掲載についてまとめてみた - piyolog
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
不正利用が発生した電子決済サービスについてまとめてみた - piyolog
ドコモ口座を悪用した不正送金についてまとめてみた - piyolog

こんとろーるしーこんとろーるぶい

DarkCTF Writeup - こんとろーるしーこんとろーるぶい

マルウェア解析ブログ

OSCP受験記&勉強方法 - マルウェア解析ブログ

セキュリティ猫の備忘録

【まとめ】セキュリティ資格の合格記・受験記 - セキュリティ猫の備忘録
 二要素認証ってな～に？ - セキュリティ猫の備忘録

午前７時のしなもんぶろぐ

【やってみた】意外と簡単？フィッシングサイトの発見から通報まで - 午前７時のしなもんぶろぐ

みっきー申す

AndroidおよびiOSのInstagramアプリに存在するMozjpeg実装に係る脆弱性について - みっきー申す
 Magentoで構築されたECサイトを狙った過去最大規模の攻撃について - みっきー申す
 PayPayやメルペイは関係ないでいいんだっけ？ドコモ口座の不正送金問題を踏まえた考察 - みっきー申す
 WordPressのプラグインFile Managerの脆弱性を悪用した攻撃が確認。70万以上のサイトに影響か。 - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　几
　／⌒⌒＼
　｜･vvvv･｜ Trick
　＼二二／　 or
　／( つつ　 Treat
／　人Ｙ＼
`～(_(＿)～′

なんつったりして

　　 ∧_∧　几
　　(´∀／⌒⌒＼
　 /( 二つ･vvvv･｜
　/ ｜ | ＼二二／
　￣(＿)＿)

＜更新履歴＞

2020/10/09 AM公開

2020-09-04

2020年8月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

長かったような短かったような夏が終わり、いよいと食欲の秋に季節が移りかわってきております。今年の秋もどうやら僕は太りそうです。。。（マクドナルドの月見バーガーおいしいし、、、）

さて、そんな話はさておき今年7月末から再開しているマルウェア「Emotet」に感染させようとするメールが9月に入ってからも勢いが止まりません。

今月からパスワード付Zipファイル（不審ファイル）が添付されたり、トレンドマイクロのアンケート調査を騙る等手法が変わってきており、より一層着弾する不審メールに対して対策が取りにくくなっております。

以下を参考に対策や対応を行うことが大切です。

www.jpcert.or.jp

blogs.jpcert.or.jp

よければ僕のこちらのブログも参考にしてみてください。（ステマのごり押し）

mkt-eva.hateblo.jp

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

vBulletinに脆弱性

【概要】
vBulletinに任意のコードが実行されてしまう脆弱性の対策を回避されてしまう脆弱性が存在。

【CVE番号】
CVE-2019-16759

【対象】
・5.x から 5.5.4
・5.6.2
・5.6.1
・5.6.0

【対策】
パッチをあてる

【参考情報】
更新：vBulletin における任意のコード実行の脆弱性(CVE-2019-16759)について：IPA 独立行政法人情報処理推進機構
 vBulletin、脆弱性対策を回避する問題を報告--攻撃発生も - ZDNet Japan
vBulletin におけるCVE-2019-16759への対策を回避可能な脆弱性を確認、攻撃コードも公開（IPA） | ScanNetSecurity
【セキュリティニュース】「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

vBulletinの脆弱性、CVE-2019-16759についてですが、少数ながら観測環境にて複数種キャッチしています。あまり国内では使ってないのか、話題にはあまり上がらないのですが、注意は必要かと思います。#vBulletin #CVE201916759 pic.twitter.com/Mz0LtVLQTq
— hiro_ (@papa_anniekey) 2020年8月19日

SKYSEA Client Viewに脆弱性

【概要】
SKYSEA Client Viewに脆弱性が存在し、インストールされているPCにログイン可能な状態だと任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-5617

【対象】
SKYSEA Client View Ver.12.200.12n から 15.210.05f

【対策】
修正モジュールの適用

【参考情報】
【重要】権限昇格の脆弱性に関する注意喚起（CVE-2020-5617）｜Ｓｋｙ株式会社
 SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起
 SKYSEA Client View に権限昇格の脆弱性、パッチ適用呼びかけ（JVN） | ScanNetSecurity
IT資産管理ツール「SKYSEA Client View」に権限昇格の脆弱性 | マイナビニュース

【参考Tweet】

SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起を公開。Sky 株式会社が提供している修正モジュール適用のご検討を。^YK https://t.co/n1Mod1jSO0
— JPCERTコーディネーションセンター (@jpcert) 2020年8月3日

Apache Struts2に複数の脆弱性

【概要】
Apache Struts2に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。

【CVE番号】
CVE-2019-0230
CVE-2019-0233
S2-059
S2-060

【対象】
Apache Struts 2
- 2.5 系列 2.5.20 およびそれ以前のバージョン
▼補足
・2019年11月に公開された 2.5.22 は本影響を受けない
・既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける

【対策】
本脆弱性修正済みバージョンの適用（下記本脆弱性修正バージョン）
- 2.5 系列 2.5.22 以降のバージョン

【参考情報】
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
 Apache Struts 2にDoSの脆弱性、アップデートを | マイナビニュース
 「Apache Struts 2」に2件の脆弱性、バージョン2.5.22以降の適用を推奨 - INTERNET Watch
Apache Struts 2に2件の脆弱性、コンセプト実証コードも公開 - ITmedia エンタープライズ

ISC BIND 9に複数の脆弱性

【概要】
ISC BIND 9に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。

【CVE番号】
CVE-2020-8620
CVE-2020-8621
CVE-2020-8622
CVE-2020-8623
CVE-2020-8624

【対象】
・CVE-2020-8620
BIND 9.16系 9.16.0 から 9.16.5 まで

・CVE-2020-8621
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで

・CVE-2020-8622
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで

・CVE-2020-8623
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで

・CVE-2020-8624
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで

【対策】
本脆弱性修正済みバージョンの適用（下記本脆弱性修正バージョン）
・BIND 9.11.22
・BIND 9.16.6
・BIND 9.17.4
・BIND Supported Preview Edition 9.11.22-S1

【参考情報】
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
 ISC 提供のBINDに複数の脆弱性、アップデートを呼びかけ（JVN、JPRS） | ScanNetSecurity
【セキュリティニュース】「BIND 9」に5件の脆弱性 - 一部脆弱性は公開済み（1ページ目 / 全1ページ）：Security NEXT
BINDにサービス運用妨害の脆弱性が複数、アップデートを - JPCERT/CC | マイナビニュース

【参考Tweet】

ISC BIND 9 に対する複数の脆弱性に関する注意喚起を公開。ISCや各ディストリビュータなどからの情報を確認し、十分なテストを実施の上、修正済みバージョン適用のご検討を。^YK https://t.co/N6HdKg0ESq
— JPCERTコーディネーションセンター (@jpcert) 2020年8月21日

BINDの脆弱性が8月に公開されるの初めてなのか。確かに7月とかが多いイメージ。
— イスラエルいくべぇ (@knqyf263) 2020年8月19日

BINDの脆弱性の事前アナウンス

『the August BIND maintenance releases that will be released on Thursday, 20 August, contain patches for five separate vulnerabilities.』

Pre-announcement of five BIND security issues scheduled for disclosure 20 August 2020https://t.co/RIjlCx9pZ8
— Autumn Good (@autumn_good_35) 2020年8月18日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazon異常は検出されました。
【重要】楽天株式会社から緊急のご連絡

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年8月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
[更新] 宅配便の不在通知を装うフィッシング (2020/08/07) (2020/08/21)

注意喚起やニュースのアレコレ

note利用者のIPアドレスが漏えい

【概要】
コンテンツ配信サービス『note』の利用者のIPアドレスがサイトの不具合により外部から確認できてしまう問題が発生した。

【参考情報】
【再発防止策】IPアドレスが外部から確認できた事態について｜note株式会社
 【お詫び】IPアドレスが他者からも確認できてしまう不具合について｜note株式会社
 noteユーザーのIPアドレスが漏えい、運営会社が謝罪有名人のIPアドレスと一致する5ちゃんねる投稿が検索される事態に - ITmedia NEWS
「note」投稿者のIPアドレスが確認できる不具合発生、他サイトの投稿と紐付けようとするネットユーザーも現れ騒動に - INTERNET Watch
IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね？ (1/2)：こうしす！こちら京姫鉄道広報部システム課＠IT支線（24） - ＠IT
【参考Tweet】

noteから返答ないから書いた。

noteのIPアドレス流出騒動で流出したIPが本当は何なのかよく分からない件｜sheva @sheva_access #note https://t.co/7yzXoxpF4Q
— 脳筋な[SE]シーヴァ (@sheva_access) 2020年8月27日

書いた。２週間経ったのでちゃんとまとめました。
---
noteのIPアドレス漏洩と同様のリスクを持つSNS ID漏洩が修正されたので、何が起きてたかをまとめます。https://t.co/Z31XnWoREk https://t.co/3Am6rpf6iq
— Masahiko Sakakibara (@rdlabo) 2020年8月31日

Yahoo!JAPAN IDで個人情報漏えい

【概要】
Yahoo!JAPAN IDでシステムに不具合があり個人情報が漏えいした

【参考情報】
Yahoo! JAPAN IDで個人情報漏えい氏名や勤務先など他人のIDに上書き最大約39万件 - ITmedia NEWS
登録した情報が他人のIDに上書き--「Yahoo! JAPAN ID」で最大39万規模の障害発生 - CNET Japan
【セキュリティニュース】ヤフー、ID編集結果を他利用者に反映する不具合 - 情報流出や誤配送のおそれ（1ページ目 / 全2ページ）：Security NEXT

VPN機器の脆弱性を突かれ多数の企業情報が流出

【概要】
Pulse Secure（パルスセキュア）のVPN機器「Pulse Connect Secure」の脆弱性（CVE-2019-11510）を突かれ多数の企業情報が流出した

【参考情報】
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」平田機工 - ITmedia NEWS
崩れたネットの「関所」VPN 在宅勤務増で急ごしらえ：朝日新聞デジタル
 企業のテレワーク拡大で懸念されるランサムウェア犯罪の被害 - ZDNet Japan
パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる | 日経クロステック（xTECH）
VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相 | 日経クロステック（xTECH）
【セキュリティニュース】VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ（1ページ目 / 全5ページ）：Security NEXT

【参考Tweet】

境界線防衛モデルを取る限りは、その例外としてアクセスを許すVPNが破られれば後はやりたい放題になるよね。特に脆弱性があったら辛い。ゼロトラストは運用がカギなので情シス部門が弱いと回らない。 / “ＶＰＮ、突かれた欠陥　サイバー攻撃、９００組織の接続情報流出：朝…” https://t.co/gi4oxJWLfp
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月26日

Pulse Secure の件ですが、ゼロデイでもなく、パッチが出てから攻撃が活発化するまでもStruts2のときと違って数ヶ月の猶予もありましたので、これで被害を受けている場合はテレワークやVPNがどうこうの問題ではなく、脆弱性対応の体制自体に問題がありますので、
— Autumn Good (@autumn_good_35) 2020年8月27日

プロバイダー等を騙る当選サイトに注意

【概要】
プロバイダー等を騙りスマートフォン等が当選すると偽ったサイトがネット閲覧中に発生する事象が多数確認された

【参考情報】
オプテージかたる景品当選詐欺ページに注意、個人情報の入力は厳禁 - ケータイ Watch
プロバイダーをかたった当選サイトに注意してください。 | 鍵セキュリティプレイス

【参考Tweet】

【注意喚起】
インターネットを閲覧中に、弊社からの当選通知を装ったポップアップ画面が表示され、不審サイトに誘導した上でクレジットカード情報等の個人情報を入力させる事例が確認されています。
事例は「QTnetよりプレゼント」「一周年記念日」「アンケートに答えてスマホを100円」等です。
(1/2)
— QTnetサポート【公式】 (@qtnet_support) 2020年8月15日

いつの間にかバリエーションが増えてます。。
確認できた範囲で、OCN,SoftBank,AsahiNet,Sony。@ozuma5119 @NaomiSuzuki_ @tiketiketikeke @taku888infinity pic.twitter.com/e7fY5YQHDy
— KesagataMe (@KesaGataMe0) 2020年8月16日

分かってきたこと(一例)
- TLDがxyz
- Registrant Emailが数個のyahoo[.]com
- ターゲットはグローバル
- "hxxps://〜[.]xyz"、"hxxps://eu.〜[.]xyz"と、Domain/FQDNでの2パターンが存在
- 当該キャンペーンを確認した際のURLであれば、別IP(ISP)からアクセスしても同ブランドの画面を確認可能
… https://t.co/2XyWrpmaRN
— KesagataMe (@KesaGataMe0) 2020年8月17日

▼偽当選サイト関連注意喚起

・NTTコミュニケーションズhttps://t.co/3D27nyM4Gw https://t.co/i0X9kl49oQ
— にゃん☆たく (@taku888infinity) 2020年8月21日

不審な当選サイト（今回はSoftBankのを例に利用）にアクセスするとどうなるか動画で撮っておきました。

現在このような当選サイトが多数確認されています。もしインターネット利用中に表示された場合は

・ボタンはクリックせずにブラウザを閉じる
・個人情報の入力はおこなわない

を実施して下さい pic.twitter.com/3UlSN03hmZ
— にゃん☆たく (@taku888infinity) 2020年8月18日