2021-02-01

2021年1月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

先日嬉しく感じたテレビ番組が放送された話をさせてください。

あなたにも届いてるかも!?フィッシング詐欺の対処方法をハンターが伝授 | 沸騰ワード10 | ニュース | テレビドガッチ https://t.co/TXYrIOhS1t #dogatch https://t.co/cDcY1cTw0S
— にゃん☆たく (@taku888infinity) 2021年1月31日

フィッシングハンターの@ozuma5119 さんが出演されていましたね！
フィッシング詐欺について気をつけないと！とか、フィッシングハンターってかっこよい！って思ってくれる人が1人でも増えてくれたら嬉しいなぁ！
楽しかったー！ https://t.co/FtloHI2McZ
— にゃん☆たく (@taku888infinity) 2021年1月29日

僕は現在、調査のひとつとしてフィッシング詐欺について調査をおこなっています。

日々フィッシングメールやフィッシングサイトを確認したり、騙られてしまう組織の人たちとどうやったらフィッシング詐欺の被害を減らせるかという話し合いもおこなっています。

また、そこで得た知識や経験をフィッシングハンターとして講演等で話させていただく機会も増えました。

組織も頑張って被害を減らす方法を考えて実行はしているのですが、被害をなかなか減らせないのが現状です。原因はどうしても個々のセキュリティ意識の問題にぶつかってしまうからです。

今回のような放送を見た方々がフィッシング詐欺について少しでも『怖い』『対策をとらないといけない』等と感じてくれたら嬉しいです。

いくらインターネットで我々フィッシングハンターが発信をしてもなかなか浸透しないのが現実です。皆さん一人一人が行動を変えてくれたり、知った情報を自分の周りに伝えるという行動が誰か一人を救える事につながってくると感じています。

こういった放送や報道が定期的にテレビなどで行われる事をこれからも願っています。

では前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Apache Tomcatに脆弱性

【概要】
Apache Tomcatに脆弱性が存在し、NTFSファイルシステムを利用しているシステム構成において、ネットワーク上にリソースを提供している場合、JSP（JavaServerPage）のソースコードが漏洩してしまう可能性がある。

【CVE番号】
CVE-2021-24122

【対象】
Apache Tomcat 10.0.0-M1から10.0.0-M9
Apache Tomcat 9.0.0.M1から9.0.39
Apache Tomcat 8.5.0から8.5.59
Apache Tomcat 7.0.0から7.0.106

【対策】
修正済みバージョンの適用（以下本脆弱性修正済みバージョン）
Apache Tomcat 10.0.0-M10
Apache Tomcat 9.0.40
Apache Tomcat 8.5.60
Apache Tomcat 7.0.107

【参考情報】
Apache Tomcatの脆弱性（CVE-2021-24122）に関する注意喚起
 【セキュリティニュース】「Apache Tomcat」にソースコード漏洩のおそれ - 11月更新版で修正済み（1ページ目 / 全1ページ）：Security NEXT
Tomcatに情報窃取の脆弱性、アップデートを | マイナビニュース
 Apache Tomcatの脆弱性情報(Important: CVE-2021-24122) - security.sios.com

sudoに脆弱性

【概要】
sudoに脆弱性（バッファオーバーフロー）が存在し、

【CVE番号】
CVE-2021-3156

【対象】
sudo バージョン 1.8.2 から 1.8.31p2
sudo バージョン 1.9.0 から 1.9.5p1
※上記以外の場合もあるためディストリビューション等が提供する情報を参照

【対策】
各ディストリビュータ情報に沿って対応

【参考情報】
sudoの脆弱性（CVE-2021-3156）に関する注意喚起
 sudoにパスワード不要で特権昇格が可能な脆弱性が見つかる - ITmedia エンタープライズ
 【セキュリティニュース】「sudo」に脆弱性「Baron Samedit」が判明 - root権限奪われるおそれ（1ページ目 / 全1ページ）：Security NEXT
sudoコマンドに特権昇格の脆弱性、アップデートを - JPCERT/CC | マイナビニュース
 sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) - security.sios.com

【参考Tweet】

CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Bloghttps://t.co/uJbexrpTjj
注意喚起がでてるsudoの脆弱性。sudoeditの引数だとエスケープをすり抜けてヒープオーバーフローが成立するのかなるほど。
— とある診断員 (@tigerszk) 2021年1月27日

脆弱性があるかどうかを確認する場合は

①root以外のユーザでログイン
②「sudoedit-s /」を実行
③「sudoedit：」で始まるエラーを返したら脆弱

とのことです。https://t.co/2BIb0XzkNm
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2021年1月27日

iOSとiPadOSに複数の脆弱性

【概要】
Apple（アップル）のiOSとiPadOSに脆弱性が存在し、悪意あるアプリによる特権昇格されたり、リモートから任意のコードを実行される可能性がある

【CVE番号】
CVE-2021-1782
CVE-2021-1871
CVE-2021-1870

【対象機器】
iPhone 6s以降
iPad Air 2以降
iPad mini 4以降
iPod touch（第7世代）

【対策】
アップデートする（以下本脆弱性修正済みバージョン）
iOS14.4
iPadOS14.4

【参考情報】
About the security content of iOS 14.4 and iPadOS 14.4 - Apple Support
iPhoneとiPadに「悪用された可能性がある」複数の脆弱性。iOS/iPadOS 14.4で修正 - PC Watch
AppleがiOS 14.4を公開、ハッカーが悪用した3カ所の脆弱性を修正 | TechCrunch Japan
悪用の報告も～3件のゼロデイ脆弱性に対処した「iOS 14.4」「iPadOS 14.4」が正式公開 - 窓の杜
 iPhoneやiPadに特権昇格と任意コード実行の脆弱性、直ちにアップデートを | マイナビニュース

【参考Tweet】

sudoの脆弱性CVE-2021-3156が多くニュースで流れていますが、それより同日のiOS 14.4未満のWebkit脆弱性に注意した方が良いです。リモートで任意コード実行可能、しかもApple自ら「既に攻撃に使われた可能性」とアナウンス。

まずは目の前のiPhoneをアップデートしましょう。https://t.co/9Xu3UfwGBH
— Osumi, Yusuke😇 (@ozuma5119) 2021年1月28日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2021年1月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
ジャックスをかたるフィッシング (2021/01/27)
エポスカードをかたるフィッシング (2021/01/25)
北海道銀行をかたるフィッシング (2021/01/18)
UC カードをかたるフィッシング (2021/01/15)
エムアイカードをかたるフィッシング (2021/01/12)

僕の収集できている範囲での結果ですが、2021年1月のフィッシングサイトで確認できたものと2020年12月を対比しみました
※Amazon,LINE,SMBC,楽天は除外

▼1月概要
■JACCS/ジャックスカード,大丸松坂屋カード,bitFlyer,七十七銀行のフィッシングサイト誕生

■特別定額給付金が一時期復活#Phishing pic.twitter.com/D7WpNblm6o
— にゃん☆たく (@taku888infinity) 2021年2月1日

注意喚起やニュースのアレコレ

福岡県で新型コロナウイルス陽性者リストが流出

【概要】
福岡県でクラウド（Googleドライブ）で管理していた新型コロナウイルス陽性者リストが流出。原因の一つはアクセス権限の設定ミス。

【参考情報】
【セキュリティニュース】新型コロナ陽性者リストが流出、アクセス権設定でミス - 福岡県（1ページ目 / 全1ページ）：Security NEXT
コロナ陽性者の個人情報9500人分が流出クラウドのアクセス権を誤って公開状態に福岡県が謝罪 - ITmedia NEWS
福岡県が管理する新型コロナ陽性者数千人分の個人情報流出、経緯に不可解な点も | 財経新聞
 約9,500人分ネット上に公開コロナ陽性者情報流出福岡県が謝罪会見
 福岡県の新型コロナ陽性者情報流出についてまとめてみた - piyolog

【参考Tweet】

これどういう事かと思ったら、
Googleスプレッドシートで管理していた陽性者情報をURL共有モードONにして、
あまつさえそのURLを関係ない人に送ってしまったのね。。。

福岡県管理のコロナ陽性者情報氏名・住所など数千人分が流出(TBS系（JNN）)#Yahooニュース https://t.co/gAmSV5iKWa
— zuzu@在宅エンジニア (@zuzu0301) 2021年1月6日

県がG Suiteを使ってたのか、アクセス権を持つ誰かがアップロードしたのか、いずれにしても管理が甘過ぎる上、指摘を受けてからの対応が悪過ぎる / “福岡県管理のコロナ陽性者情報氏名・住所など数千人分が流出｜TBS NEWS” https://t.co/xrUINzbPL2
— Masanori Kusunoki / 楠正憲 (@masanork) 2021年1月6日

アクセス権が付いたメールを誤送信して、それを折角連絡くれたのに対応が不十分だったと。適切にアクセス管理ができたか外からのアクセス確認を怠ったんでしょうね。

新型コロナ: 9500人分のコロナ感染者情報流出　福岡県: 日本経済新聞 https://t.co/m1wGXNh5V9
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2021年1月7日

特別定額給付金を騙るフィッシングメールが出回る

【概要】
今月上旬に「【重要】特別固定給付金の支払い資格をおめでとうございます」という件名の特別定額給付金を騙るフィッシングメールが出回った。

【参考情報】
総務省を騙った特別定額給付金に関するフィッシング｜一般財団法人日本サイバー犯罪対策センター
 【セキュリティニュース】緊急事態宣言の再発令に早くも便乗、「特別定額給付金」フィッシングに注意（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】「特別定額給付金」フィッシング、実際に誘導されるケースも（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

総務省を装う「【重要】特別固定給付金の支払い資格をおめでとうございます」というう件名のメールが、狙いすましたように夕方からばらまかれたようです。昨年と同じ偽のオンライン申請サイトに誘導し、クレカ情報等を騙し取ろうとするのでお気を付けください。https://t.co/V9cLKP3bBX
— Naomi Suzuki (@NaomiSuzuki_) 2021年1月7日

⚠️詐欺サイト⚠️
特別定額給付金のオンライン申請を装った『フィッシング詐欺サイト』が立ち上がっています。

狙いはクレジット情報です。
もし総務省の名を騙った不審なメールが届いても無視し、削除あるのみ。

これから続く可能性があります。
周囲に注意を促して下さい。#総務省 #緊急事態宣言 https://t.co/u9FLxOyXBJ pic.twitter.com/E9vlAx52GM
— KesagataMe (@KesaGataMe0) 2021年1月7日

TM社さん、「同社のクラウド基盤」「同社製品ユーザうんうんと匂わせているけど、実際はPhisingサイトの入力の履歴を調査しただけじゃないかな？

【セキュリティニュース】「特別定額給付金」フィッシング、実際に誘導されるケースも：Security NEXT https://t.co/acrBEYDNQO
— hiro_ (@papa_anniekey) 2021年1月12日

ソフトバンクの元従業員が社外に情報を持ち出し逮捕

【概要】
元ソフトバンク従業員が社外に情報を持ち出し逮捕された。転職先は楽天モバイル。

【参考情報】
楽天モバイルへ転職した元社員の逮捕について | プレスリリース | ニュース | 企業・IR | ソフトバンク
 従業員の逮捕について | 楽天株式会社
 楽天モバイル、社員逮捕巡りソフトバンクに反論「営業秘密を業務に使った事実は確認していない」 - ITmedia NEWS
ソフトバンク元社員逮捕 5Gの営業秘密を転職先・楽天モバイルに持ち出しか - ITmedia NEWS
【セキュリティニュース】楽天モバ、従業員逮捕でコメント - 営業秘密利用は未確認（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】ソフトバンク元従業員が逮捕 - 技術情報を転職先に持ち出しか（1ページ目 / 全1ページ）：Security NEXT
楽天モバイルへ転職したソフトバンク元社員の社外秘情報持ち出しについてまとめてみた - piyolog

DeNAの元従業員が社外に顧客情報を持ち出し

【概要】
DeNAの元従業員が社外にカーシェアサービス「Anyca」の顧客情報を持ち出し不正利用

【参考情報】
当社元従業員による不正行為について | 株式会社ディー・エヌ・エー【DeNA】
DeNAの元従業員、カーシェア「Anyca」の顧客情報を不正利用勝手にカードローン申し込み - ITmedia NEWS
DeNA元従業員、顧客情報を不正持ち出し :日本経済新聞
 【セキュリティニュース】従業員が顧客情報を悪用、カードローンに申込 - DeNA（1ページ目 / 全2ページ）：Security NEXT

今年のサイバーセキュリティ月間は『ラブライブ！サンシャイン!!』とのタイアップが決定

【概要】
政府が主催するサイバーセキュリティ月間（2月1日～3月18日）で『ラブライブ！サンシャイン!!』とタイアップすることが発表された

【参考情報】
『ラブライブ！サンシャイン!!』とのタイアップについて[みんなでしっかりサイバーセキュリティ]
ラブライブ！サンシャイン!! Official Web Site | NEWS
政府、「ラブライブ！サンシャイン!!」とコラボサイバーセキュリティ月間で - ITmedia NEWS
サイバーセキュリティ月間で政府機関と「ラブライブ！サンシャイン!!」がタイアップ - CNET Japan

【参考Tweet】

2月1日から3月18日はサイバーセキュリティ月間です。
2021年は『ラブライブ！サンシャイン!!』とタイアップします。#サイバーセキュリティは全員参加 #lovelive
詳細はこちら https://t.co/0OYjN2rHi1 pic.twitter.com/JBWFfuYXp8
— NISC内閣サイバーセキュリティセンター (@cas_nisc) 2021年1月22日

【ニュース更新】内閣サイバーセキュリティセンター(NISC)と『ラブライブ！サンシャイン!!』がタイアップ！2月1日から開始となるサイバーセキュリティ月間をPR致します！
詳細はこちら→ https://t.co/1YMPpGQrMz #lovelive #Aqours #サイバーセキュリティは全員参加 pic.twitter.com/qdWHdMHylz
— ラブライブ！シリーズ公式 (@LoveLive_staff) 2021年1月22日

情報セキュリティ10大脅威2021のランキングが決定

【概要】
IPA（情報処理推進機構）が例年発表している情報セキュリティ10大脅威の2021が発表された。組織向け脅威としては初めて『テレワーク等のニューノーマルな働き方を狙った攻撃』がランクインした

【参考情報】
情報セキュリティ10大脅威 2021：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「情報セキュリティ10大脅威 2021」が決定 - 研究者が注目した脅威は？（1ページ目 / 全1ページ）：Security NEXT
新型コロナはセキュリティ脅威にも影響？ IPAが「情報セキュリティ10大脅威 2021」を発表：「テレワークを狙った攻撃」が上位に - ＠IT
【速報】IPAが「情報セキュリティ10大脅威2021」を公開｜注目の脅威への適切な対策とは？

「Emotet」の攻撃インフラがテイクダウン

【概要】
マルウェアの「Emotet」の攻撃インフラがEuropolによりテイクダウンされた

【参考情報】
World’s most dangerous malware EMOTET disrupted through global action | Europol
マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信 - ZDNet Japan
【セキュリティニュース】欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも（1ページ目 / 全2ページ）：Security NEXT
【セキュリティニュース】欧米警察が協力、「Emotet」をテイクダウン - 被害チェックサイトも（1ページ目 / 全2ページ）：Security NEXT
【セキュリティニュース】「Emotet」で10億円以上荒稼ぎか - インフラ維持に5000万円（1ページ目 / 全1ページ）：Security NEXT
プレーヤー | NHKラジオらじる★らじる
 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた - piyolog

【参考Tweet】

Bye-bye botnets👋 Huge global operation brings down the world's most dangerous malware.

Investigators have taken control of the Emotet botnet, the most resilient malware in the wild.

Get the full story: https://t.co/NMrBqmhMIf pic.twitter.com/K28A6ixxuM
— Europol (@Europol) 2021年1月27日

#Emotet のボットネットがテイクダウンされたそうです！🎉🎉🎉 https://t.co/eX7EeTSGco
— sugimu (@sugimu_sec) 2021年1月27日

繰り返しにはなりますが、Emotetに感染したままの端末はおそらくZloaderなど他のマルウェアにも感染したままの可能性が高いです。
なので、もともと対策が不十分な組織はEmotetが無効化されたとしても油断は禁物です。

テストに出ますので忘れずに。（え？ https://t.co/AosvTgHJ2c
— Autumn Good (@autumn_good_35) 2021年1月27日

At Cryptolaemus we have always appreciated the tweets/IoCs/info that you & your colleagues share @bomccss, @abel1ma @gorimpthon @sugimu_sec @papa_anniekey @waga_tw @wato_dn @58_158_177_102 have shared!!! Team power! 💪💪Often you had data that no one else saw/had! Thank you!!
— Cryptolaemus (@Cryptolaemus1) 2021年1月28日

Emotetテイクダウン、素晴らしい！

こんなことが出来るなんて思わなかった。2年間の関係者の調整の結果ということで、関係者の方々を尊敬します。

と同時に日本が関われていないことに一抹の悔しさを感じるのだけど。
感染端末の駆除など、やることは沢山あるけれど。https://t.co/iqhQXtY4ac
— S-Owl (@Sec_S_Owl) 2021年1月27日

テイクダウンは知らなかったので含まれてませんが、日本のコミュニティがどうやってEmotetの被害を減らす努力をしてきたか等について、 @sugimu_sec さんと私の @bomccss の活動としてお話します。 https://t.co/sd3cgrNLBW
— S-Owl (@Sec_S_Owl) 2021年1月28日

複数企業のシステム開発に携わったプログラマーがシステムプログラムの一部を外部に公開

【概要】
複数企業のシステム開発に携わったプログラマーがシステムプログラムの一部をGithub（ギットハブ）というサービス丈で外部に公開していた

【参考情報】
SMBC三井住友銀行が流出認める：艦これ発端で発覚したGitHub経由のコード流出(三上洋) - 個人 - Yahoo!ニュース
 GitHub上に三井住友銀の一部コードが流出、「事実だがセキュリティーに影響せず」 | 日経クロステック（xTECH）
SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題 | 日経クロステック（xTECH）
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】 - ITmedia NEWS
大手銀などのプログラム、ネット投稿外注先の関係者か：朝日新聞デジタル
 三井住友銀、プログラム流出外注のＩＴ企業男性、投稿か：朝日新聞デジタル

【参考Tweet】

某社ソースコード流出事件いろんなツイートを見てようやくある程度何が起こってるのか理解できたけど、ワシのようなBBAには、わからんことがたくさんある。ちょっとあげてみる。
— Kyoko HANADA(花田経子) (@cchanabo) 2021年1月28日

最高のタイミングだと思ったので紹介するんですが、Github上に公開されている機密情報を調査することができるツールがあったりします。 #OSINT https://t.co/8gAUUEzLZA
— SttyK (してぃーきっず) (@SttyK) 2021年1月29日

これ組織内のセキュリティ監視側に対してGitHubへの通信の有無とか通信遮断とかの話に繋がっていきそうで怖いなぁ。

特に組織内で立場が上の人に「GitHubは悪」みたいな認識を持たれないように技術側は説明しないといけない事案も発生しそう。 https://t.co/QA8n50015c
— にゃん☆たく (@taku888infinity) 2021年1月28日

セキュリティレポートやブログのアレコレ

今回もココまで読んでいただきありがとうございました。

ではでは！

。　よそはーよそ
。ﾟ
　＼　　ハ_ハ
　　∩(ﾟωﾟ )
　　ヽ[工]⊂)
　　　｜ヽ｜
　　　 (＿(＿)

うちはーうち　。
　　　　　　ﾟ。
　ハ_ハ　／
　( ﾟωﾟ)∩
　(つ[工]ノ
　｜ / ｜
　(＿)＿)

＜更新履歴＞
2021/02/01 AM公開

2021-01-05

2020年12月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

明けましておめでとうございます！

2021年も『にゃん☆たく』をどうぞよろしくお願いいたします。

新年になり気持ち新たに。。。と思っていますが、昨今の新型コロナウイルスの影響がこの年末年始も変わらず、とうとう東京も緊急事態宣言が出されるようです（2021年1月5日午前現在）。

セキュリティ対策もコロナウイルス対策も自分一人の行動次第で変わってくることがあると僕は思っています。今自分ができることはまずやってみる、だけでも世の中全体が変わってくると思います。

では前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Apache Tomcatに脆弱性

【概要】
Apache Tomcatに脆弱性が存在し、ストリームの情報が漏えいする可能性がある。

【CVE番号】
CVE-2020-17527

【対象】
Apache Tomcat 10.0.0-M1 から 10.0.0-M9
Apache Tomcat 9.0.0.M1 から 9.0.39
Apache Tomcat 8.5.0 から 8.5.59

【対策】
・修正済みバージョン適用（下記修正済みバージョン）
Apache Tomcat 10.0.0-M10
Apache Tomcat 9.0.40
Apache Tomcat 8.5.60

【参考情報】
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
 Apache Tomcatの脆弱性情報(Moderate: CVE-2020-17527) - security.sios.com
【セキュリティニュース】「Apache Tomcat」に情報漏洩のおそれ - 11月17日の更新で修正済み（1ページ目 / 全1ページ）：Security NEXT
Apache Tomcatに情報漏洩につながる脆弱性、最新版にアップデートを | マイナビニュース

【参考Tweet】

Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 https://t.co/Ux1iWIRE8x
— IPA （JVNiPedia） (@JVNiPedia) 2020年12月7日

ソリトンシステムズのFileZenに脆弱性

【概要】
ソリトンシステムズの製品「FileZen」に脆弱性が存在し、リモートから任意のファイルをアップロードされる可能性がある。

【CVE番号】
CVE-2020-5639

【対象】
FileZen V3.0.0 から V4.2.2 まで

【対策】
・アップデートする（FileZenをV4.2.3以降）

【参考情報】
【重要】FileZenディレクトリトラバーサルの脆弱性について | サポートからのお知らせ | サポート | ソリトンシステムズ
 ファイル・データ転送アプライアンス FileZen に関する注意喚起
 「FileZen」におけるディレクトリトラバーサルの脆弱性について（JVN#12884935）：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】「FileZen」脆弱性、悪用でOSコマンド実行のおそれ - 追加アップデートも（1ページ目 / 全2ページ）：Security NEXT
FileZen にディレクトリトラバーサルの脆弱性、早急なアップデート呼びかけ | ScanNetSecurity
[OSINT]Shodanを使ってFileZenを探せその1｜__aloha__｜note
[OSINT]Shodanを使ってFileZenを探せその2(データ収集テクニック）｜__aloha__｜note

【参考Tweet】

記事、公開します。ソリトンさんごめんなさい。
OSINTツール、shodanを使ってFilezenを探せのお話をまとめました。

[OSINT]Filezenを探せ　 #note https://t.co/u7qSYnwvIT
— hiro_ (@papa_anniekey) 2020年12月8日

昨日に続いてですが、その2を書きました。その1ではshodanの検索テクニックについて、その2はデータ収集のテクニックについて書いてみました。重ね重ね、ソリトンさんごめんなさい。。。
[OSINT]Shodanを使ってFileZenを探せ　その2(データ収集テクニック）https://t.co/coKGBygr7r #shodan https://t.co/6jqsnIa47B
— hiro_ (@papa_anniekey) 2020年12月9日

OpenSSLに脆弱性

【概要】
OpenSSLに脆弱性が存在し、脆弱性を悪用されるとDoS攻撃を受ける可能性がある。

【CVE番号】
CVE-2020-1971

【対象】
OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン

【対策】
・脆弱性修正済みバージョンの適用（下記修正済みバージョン）
OpenSSL 1.1.1i

【参考情報】
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
 OpenSSLの脆弱性情報(High: CVE-2020-1971) - security.sios.com
OpenSSLにDoS攻撃につながる重大な脆弱性、早急にアップデートを | マイナビニュース

Apache Struts 2に脆弱性(S2-061)

【概要】
Apache Struts 2に脆弱性が存在し、脆弱性が悪用されるとリモートから任意のコードが実行される可能性がある。

【対象】
Apache Struts 2
2.0.0 から 2.5.25 まで

【対策】
・脆弱性修正済みバージョンの適用（下記修正済みバージョン）
Apache Struts 2
2.5.26

【参考情報】
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
 「Apache Struts 2」において任意のコードが実行可能な脆弱性 (S2-061)（JVN#43969166）：IPA 独立行政法人情報処理推進機構
 Apache Struts 2 の脆弱性 S2-061（CVE-2020-17530）PoC検証 | yamory Blog
【セキュリティニュース】「Apache Struts 2」にRCE脆弱性が判明 - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT
Apache Struts 2に遠隔から任意コード実行の脆弱性、アップデートを - ITmedia エンタープライズ

【参考Tweet】

ハニーポットにS2-061を悪用した攻撃通信が来ていました。
curl、wget、python、lwp-downloadを使用してhxxp://205.185.116.78/からファイルのダウンロードを試みています。 pic.twitter.com/K5Nd7itiva
— 謎の男 (@secret_return) 2020年12月20日

明日の私さんへ。
S2-061は「vulhub（vulnhubではない）」に用意されているS2-059の検証環境を少し弄れば再現できるって書いてあると思います。→https://t.co/qEfqe4DyVF
構築方法はここに書いてあると思います。→https://t.co/gigqLvWk9T
Mac環境へのPoCは今後の参考に→https://t.co/v3jT35zpoM
— 謎の男 (@secret_return) 2020年12月9日

はてなブログに投稿しました。#ハニポで夜更かし
S2-061/CVE-2020-17530狙いが来たようだ。
2020/12/23 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラhttps://t.co/KASPLTSdCq
— NYAMA (@oubon21120991) 2020年12月24日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年12月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
三菱 UFJ 銀行をかたるフィッシング (2020/12/18)
宅配便の不在通知を装うフィッシング (2020/12/18)
セディナカード・OMC カードをかたるフィッシング (2020/12/14)
三井住友カードをかたるフィッシング (2020/12/10)
オリコをかたるフィッシング (2020/12/08)
UCS カードをかたるフィッシング (2020/12/07)

僕の収集できている範囲での結果ですが、2020年12月のフィッシングサイトで確認できたものと2020年11月と対比しみたものです
※Amazon,LINE,SMBC,楽天は除外しています

▼12月の概要
■ニトリの偽サイトが話題
■地銀（北海道,琉球,沖縄,北陸,静岡,横浜）フィッシングサイト誕生#Phishing pic.twitter.com/xSUXcB9tkf
— にゃん☆たく (@taku888infinity) 2021年1月2日

注意喚起やニュースのアレコレ

セールスフォース製品の設定ミスで情報が流出

【概要】
セールスフォース製品(（Experience Cloud〔旧 Community Cloud〕、Salesforceサイト、Site.com）)を使用していた組織の情報が流出。原因は、ゲストユーザに対する情報の共有に関する設定の不備。

【参考情報】
【お知らせ】当社一部製品をご利用のお客様におけるゲストユーザに対する共有に関する設定について | セールスフォース・ドットコム
 楽天に不正アクセス、最大148万件以上の情報流出の恐れ営業管理用SaaSの設定にミス - ITmedia NEWS
楽天、PayPayの情報漏えい、原因はセールスフォース製品の設定ミス？ - ITmedia ビジネスオンライン
 楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る | 日経クロステック（xTECH）
金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで | 日経クロステック（xTECH）
【セキュリティニュース】クラウド設定ミスで顧客情報が流出 - 楽天グループ3社（1ページ目 / 全2ページ）：Security NEXT
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog

【参考Tweet】

「2016年のシステムアップデートで、設定のデフォルト値が変わった。再設定が必要だったが、できていなかった。」ってのを、楽天サイドの誤りと断じるのはひどくね？
/ 楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る https://t.co/QZmqJ0glwA
— wakatono(JK) (@wakatono) 2020年12月25日

「2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わった」ひえー、こりゃ怖い / “楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る | 日経クロステック（xTECH）” https://t.co/GpZosbclGK
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年12月25日

Salesforceの設定ミスって顧客情報漏洩させた各社さんは、みんな保護委に報告してるんでしょうか？保護委から注意喚起とか出てもいいんじゃないかと思うのですが。
— nov matake (@nov) 2020年12月25日

SolarWindsの製品にバックドアが仕組まれる

【概要】
SolarWindsの製品（SolarWinds Orion Platform）に外部からバックドアが仕組まれ、導入していた企業に影響が出ている。

【参考情報】
SolarWinds社製SolarWinds Orion Platform ソフトウェアに関する政府機関
等への注意喚起の発出について（PDF）
https://www.nisc.go.jp/active/general/pdf/chuikanki201216.pdf
【セキュリティニュース】SolarWinds製品の侵害、米国中心に検出 - 国内でも（1ページ目 / 全1ページ）：Security NEXT
【セキュリティニュース】APT攻撃受けた「SolarWinds Orion Platform」に追加ホットフィクス（1ページ目 / 全1ページ）：Security NEXT
米政府などへの大規模サイバー攻撃、SolarWindsのソフトウェア更新を悪用 - CNET Japan
マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡 - CNET Japan
Microsoft、「SolarWinds悪用攻撃者にソースコードを見られた」 - ITmedia NEWS
SolarWinds悪用攻撃、Intel、Cicso、NVIDIA、VMwareも──Wall Street Journal報道 - ITmedia NEWS
「SolarWinds問題」はより大きな脅威の一端か、当局から新しい警告 - ITmedia エンタープライズ
 Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは？ - GIGAZINE
SolarWindsハッキング事件について現在までわかっていること | ギズモード・ジャパン
 SolarWinds製品を悪用したマルウェア、日本でも検出確認 - ZDNet Japan
マイクロソフト、米政府機関などへの攻撃に関連するSolarWindsのソフトウェアを隔離へ - ZDNet Japan
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog

【参考Tweet】

SolarWindsのセキュリティアドバイザリ連日更新されています。SUPERNOVAについても追記されています。https://t.co/mJVe0uMN0J

（できれば更新履歴がほしい。。） pic.twitter.com/7YDilqFIdJ
— piyokango (@piyokango) 2020年12月28日

MSがSolarWindsによる攻撃の影響調査が進んだ結果として製品のソースコードを見られていたと報告。ただしhackされたアカウントには変更権限が無かったという。サービスや顧客データにアクセスされた形跡は無かった。またMS経由で他社に攻撃が行われた形跡も無かったという。 https://t.co/SWnPYZp5Fw
— 高梨陣平 (@jingbay) 2021年1月2日

スマホ用ブラウザ「Smooz」がサービス終了

【概要】
スマホ用ブラウザ「Smooz」が外部に情報を送信している事がわかり修正をおこなったが、最終的にサービス終了になった。

【参考情報】
Smoozのサービス終了のお知らせ | Smooz Blog
Smoozにおけるユーザー情報の取り扱いについて | Smooz Blog
情報を外部に送信している？疑惑のWebブラウザ「Smooz」が配信停止に - ITmedia NEWS
サービス終了となった「Smooz」に未修正の脆弱性？利用の継続は大きなリスクを負うことに - 窓の杜
 ブラウザー「Smooz」がサービス終了、同じ運営元の「在庫速報.com」もアクセス不能に？【やじうまWatch】 - INTERNET Watch

【参考Tweet】

Smoozが現在配信停止されていますが脆弱性の修正を含むバージョンが公開停止されてしまっており、良い判断ではないと思います。運営元のデータ取り扱いが信用ならないという話と「悪意のある第三者に個人情報が盗み取られる」話は別問題であり、配信停止してしまうと既存の利用者は保護されません。
— mala (@bulkneets) 2020年12月20日

一方で自分がSmoozに報告した脆弱性というのは、悪意のあるWebページ側から全自動で入力サポート機能用に登録した住所氏名電話番号メールアドレスを盗み取れるというものです。影響はiOS版のみ(Android版は未実装)
これはバージョンアップしない限り直りません。類似事例 https://t.co/bPzHQ41FUy pic.twitter.com/KvVAetDi4m
— mala (@bulkneets) 2020年12月21日

Adobe Flash Playerのサポートが終了

【概要】
Adobe Flash Playerのサポートが2020年12月31日に終了になった。サポート終了後は全てのユーザーに対しアンインストールすることを推奨している。

【参考情報】
Adobe Flash Playerサポート終了
 Adobe Flash Playerサポート終了、すぐにアンインストールを | マイナビニュース
 2020年末で正式にサポート終了した「Adobe Flash」についてAdobeは「今すぐにFlashを削除することを強く推奨します」とユーザーに通知 - GIGAZINE
Adobe、Flashプレイヤーのアンインストールを強く推奨 - iPhone Mania
【セキュリティニュース】さよなら「Adobe Flash Player」 - 2020年末でサポート終了（1ページ目 / 全3ページ）：Security NEXT

Emotetに感染させるばらまき型メールが再開

【概要】
クリスマスや賞与支給を騙り、Emotetに感染させるばらまき型メールが再開した。

【参考情報】
Emotet などのマルウェア感染に繋がるメールに引き続き警戒を
 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
 【セキュリティニュース】活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も（1ページ目 / 全2ページ）：Security NEXT
【セキュリティニュース】12月21日より「Emotet」感染メール増加 - あらためて警戒を（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

12月30日6時55分ごろからEmotetへの感染を狙ったメールが来ています
確認できた件名
ご入金額の通知・ご請求書発行のお願い数字-202012月30
請求書の件です。数字-202012月30
払届
ミーティング https://t.co/29yQN9d89Iドメイン名
ビジネス会議への招待 https://t.co/29yQN9d89Iドメイン名
（続く）
— abel (@abel1ma) 2020年12月29日

2020/12/22(木)の日本語 #Emotet の件名まとめhttps://t.co/rx4UY5YSp4

■件名種別
・賞与系
・クリスマス系
・返信型

件名種別はさほど多くは無いですが、docは日本語のものと英語と2種類あります。

E3の日本語向けはdoc添付のみですが、E1はパスワード付きzip、E2はzipとリンクです。 pic.twitter.com/ICSzWBOKVu
— bom (@bomccss) 2020年12月22日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

サイバーレスキュー隊（J-CRAT）活動状況[2020年度上半期]（PDF）
https://www.ipa.go.jp/files/000086892.pdf
年末年始における情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構
 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
※「年末時期に合わせた攻撃の再開」を追記しました。（2020年12月22日）
「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

CNA活動レポート〜日本の2組織が新たにCNAに参加〜 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 Quasar Familyによる攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 2020年9月から12月を振り返って
 Emotet などのマルウェア感染に繋がるメールに引き続き警戒を

JC3

広告表示により誘導する悪質なショッピングサイト｜一般財団法人日本サイバー犯罪対策センター
 様々な金融機関等を狙ったフィッシング｜一般財団法人日本サイバー犯罪対策センター

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/11 フィッシング報告状況

JNSA

NPO日本ネットワークセキュリティ協会

※「2020年セキュリティ十大ニュース」

LAC

【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認 | セキュリティ対策のラック
 JSSECセキュアコーディングガイド最新版～改定内容とAndroid 11対応のノウハウとは？ | セキュリティ対策のラック
 【対談】クラウド×セキュリティの協業があらゆる社会課題を解決に導く-TIS株式会社 | セキュリティ対策のラック

Trend Micro

標的ネットワークを侵害するクロスプラットフォームのモジュラー型マルウェア「Glupteba」 | トレンドマイクロセキュリティブログ
 正規コミュニケーションアプリに便乗する手口について解説 | トレンドマイクロセキュリティブログ
 CVE-2020-17053： Internet Explorerの新たな脆弱性について解説 | トレンドマイクロセキュリティブログ
 「環境寄生」の常態化：2019年国内での標的型攻撃を分析 | トレンドマイクロセキュリティブログ
 SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃 | トレンドマイクロセキュリティブログ
 Operation Earth Kitsune：新たなバックドア2種と連携する攻撃手法について解説 | トレンドマイクロセキュリティブログ
 巧妙化するシェルスクリプトの隠蔽手口について解説 | トレンドマイクロセキュリティブログ

McAfee

デバイスからクラウドへのアーキテクチャがSolarWindsサプライチェーンの侵害をどのように防御するか
 SUNBURSTバックドアの追加分析について
 SUNBURSTマルウェアとSolarWindsに対するサプライチェーン攻撃
 偽の広告を表示するAdrozekマルウェアに注意：Webブラウザを保護するための4つのヒント
 個人情報や金融情報を保護するために個人でできるセキュリティ対策トップ10
ホリデーシーズンに注意すべき4種のフィッシング詐欺

Kaspersky

密かに動画ビューを稼ぐChrome拡張機能
https://blog.kaspersky.co.jp/chrome-plugins-alert/29814/
ドキシング、情報漏洩：個人情報の値段と行く末
https://blog.kaspersky.co.jp/dox-steal-reveal/29671/
バックアップだけでは十分ではない理由
https://blog.kaspersky.co.jp/why-backup-is-not-enough/29769/
Amazon関連のよくある詐欺
https://blog.kaspersky.co.jp/amazon-related-phishing-scam/29644/

IIJ

wizSafe Security Signal 2020年11月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

MBSD

AWS環境における実践的なインシデントレスポンス演習の作成 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

NEC セキュリティブログ

JavaScriptで書ける！APIフックによるマルウェア動的解析 | NEC
ビジネスとして改良が続けられている二重脅迫ランサムウェア | NEC
AWS環境での疑似インシデントレスポンス: NECセキュリティブログ | NEC
情報処理安全確保支援士と(ISC)²の倫理からセキュリティのプロフェッショナルに求められている心得を考える | NEC

NICTER Blog

Emotetに便乗するマルウェア（Zloader，IcedID，Agent Tesla） - NICTER Blog

piyolog

中学生をゲーム内通貨不正購入の実行役にした不正アクセス事件についてまとめてみた - piyolog
FireEyeが被害に遭った一流のサイバー攻撃についてまとめてみた - piyolog
三菱パワーが被害に遭ったMSP経由の不正アクセスについてまとめてみた - piyolog
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog

bomb_log

マルウェアEmotetの活動再開（2020/12/21-）と変更点 - bomb_log

好奇心の足跡

とある母の24時間CTF参加記録と、競技との付き合い方の考察 - 好奇心の足跡
 とある診断員とSecurity-JAWS#02 ~インシデントレスポンス on AWS 疑似体験編~ 参加記録 - 好奇心の足跡

knqyf263's blog

KubernetesのLoadBalancerやClusterIPを用いた中間者攻撃（CVE-2020-8554） - knqyf263's blog

午前７時のしなもんぶろぐ

「urlscan.io 超入門」を公開しました - 午前７時のしなもんぶろぐ

今回もココまで読んでいただきありがとうございました。

ではでは！

　　　∧∞∧
　　　(｡･ω･｡)
　　○━━━○
　　┃ 　あ　┃
　　┃ 　け　┃
　　┃ 　お　┃
　　┃　め　 ┃
　　ﾉ　♪　　ﾉ
　　━━━━′

最後にちょっと番宣ですが、昨年末にこんなブログを書いてみました。

mkt-eva.hateblo.jp

フィッシングハンターに興味があったり、フィッシングメールの情報を仕入れてみたい方は参考にしてみてください。

＜更新履歴＞
2021/01/05 PM公開

2021/01/06 AM一部引用ツイート修正

2020-12-18

不審なメールを収集できる（かもしれない）ポストブログについて書いてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

そういえば最近、外見がアニメ鬼滅の刃の竈門炭治郎役を演じている声優の花江夏樹さんに少し似ていると言われて、意識しだしたにゃん☆たくさんです。ほんとどうでもいい話ですね、全集中して先に進みましょう。

僕のツイートでたまにこういった事をつぶやくのですが、お気づきいただけていますでしょうか。

そいえば今回の特別給付金フィッシングメールの内容もポストブログで確認することができました。 https://t.co/1DD3ngSSAR pic.twitter.com/YJFsTxIHBq
— にゃん☆たく (@taku888infinity) 2020年10月15日

そいえばポストブログに新生銀行のフィッシングメールも着弾し出してくれていてちょっと嬉しみみみみみ。 pic.twitter.com/B2jqq72OFk
— にゃん☆たく (@taku888infinity) 2020年11月18日

実はこの『ポストブログ』について言及したことがなかったなぁとふと感じたので今回ポストブログとはなんなのか、そしてそのポストブログを使ってなにができるかを書いていきます。

今回のブログでは、不審なメール（ばらまきメール、フィッシングメール）を見つけたい、調査したいというリサーチャーやそういった部署にいる担当者に向けて書いています。

1点注意点があります。

このポストブログを使用して情報を収集する場合、本物のフィッシングサイトや悪性サイトにアクセスしてしまう、不審なファイルをダウンロードしてしまう等の可能性がありますので、実際のポストブログを確認しに行く際には十分ご注意ください。

会社等で使用する端末等ではアクセスしないことをおすすめします。

では先に進みましょう。

そもそもポストブログとはなんぞや？と思う方が多いと思います。

ポストブログという言葉（ワード）は勝手に作った造語（略語？）です。意味はざっとこんな感じ↓

『メール内容がポスト（投稿）されたブログ』≒『ポストブログ』

では、このポストブログの仕組みを説明していきます。

ブログを投稿する方法はいくつか存在しますが、メールを使用して投稿する仕組みというものがあります。

はてなブログでもそういった仕組みが存在します。

メールで記事を投稿する - はてなブログヘルプ

投稿用メールアドレスに投稿したいブログ内容（メールの件名が題名になり、メールの本文がブログ本文に変換されます）を送る方法です。

f:id:mkt_eva:20201218200054p:plain

この投稿用メールアドレスが外部に漏れてしまい、フィッシングメールを送りたい攻撃者の手に渡った場合、攻撃者はその投稿用メールアドレスにフィッシングメールを送ってきます。しかし実際はユーザーには届かず、そのままそのメール内容がブログに投稿されてしまうのです。

f:id:mkt_eva:20201218200850p:plain

こういったブログを『ポストブログ』と呼んで、僕やねこさん⚡(ΦωΦ)は継続してウオッチしています。

ポストブログを見つけたきっかけは数年前にさかのぼります。

当時僕はUrsnif等に感染させるばらまきメールの調査をしていたのですが、その時にふと件名を調べていたらたまたまそういったブログが存在する事を知りました。

当時こんなツイートをしています。↓

f:id:mkt_eva:20201218201633p:plain

（もうすぐ3年くらい経つんですね、時が経つのは早いもんだ）

ではこのポストブログ、どうやって見つけ、活用すればいいかを3段階でまとめます。

～①～

まずは不審なメール（ばらまきメールやフィッシングメール）の件名を知る必要があります。知る方法にはいくつかありますが、参考になるのはこちら↓です。

セキュリティ情報アーカイブ - 情報基盤センターからのお知らせ

これでまずは件名の情報をゲットしましょう。

～②～

①でゲットした件名をインターネット検索するだけです。ホントにそれだけです。

できればフィッシングメールが出回っているタイミングで調べると見つけやすい気がします。出回っているタイミングがわからない場合はフィッシングメールについて発信しているTwitterアカウントをフォローして見ておくといいかも知れません。

～③～

ポストブログを見つけたら見つけた以外に投稿されているブログも確認してみましょう。元々探していたフィッシングメール以外のも投稿しているかもしれません。

そういったブログは継続してウオッチしておくことで、いつどんな内容の不審メールが出回ったかを把握する良い指標になります。

自分の扱いやすいRSSリーダーにポストブログを登録してウオッチする事をオススメします。

ちなみに僕が使っているRSSリーダーはInoreaderです。

まとめるとこんな感じです↓

f:id:mkt_eva:20201218202035p:plain

Inoreaderではこんな感じでみることができます↓

f:id:mkt_eva:20201218205238p:plain

では、皆さんもポストブログを見つけてウオッチしてみてくださいね！！！！

と、言いたいところですが、見つけるには少し大変なところがあると思いますので今回は僕とねこさん⚡(ΦωΦ)のInoreaderのフィードを公開します。ご活用ください。

▼ねこさんのフィード

不審メール from ばらまきメールウォッチャー on Inoreader

▼にゃん☆たくのフィード

フィッシング from にゃんたく on Inoreader

さて、ここまでの内容を読んで自分もやってみたい！と思った方も多いのではないでしょうか。（こういう情報を発信してくれるウオッチャーやリサーチャー増えると良いなと本気で思ってるので…）

こういった情報を見つけたら次に何をすれば良いか。

見つけた情報を元に、関係する各所に連絡や報告をおこなったり、より深く調査して欲しいと思っています。そういった手順などについてはこちらでよくまとまっていますのでご活用ください。

github.com

am7cinnamon.hatenablog.com

今回もココまで読んでいただきありがとうございました。

ではでは！よいお年を！

Special Thanks！

ねこさん⚡(ΦωΦ)

＜更新履歴＞
2020/12/18 PM公開

2020-12-01

2020年11月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

いよいよ12月、今年も残り1ヶ月です。

ふとこの1年の自分を振り返ってみたんですが、正直色々ありすぎたなぁという語彙力もへったくれもない感想になってしまいました。（ごめんなさい）

来年は少しでも良い年になってほしいなと願うばかりです。

では前月のまとめです。

脆弱性のアレコレ
- Oracle WebLogic Serverに脆弱性
- Fortinet社製FortiOSのSSL VPN機能に脆弱性
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Oracle WebLogic Serverに脆弱性

【概要】
Oracle WebLogic Serverに脆弱性が存在し、リモートから第三者によって任意のコードを実行される可能性がある。

【CVE番号】
CVE-2020-14750

【対象】
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

【対策】
・修正プログラムの適用
Oracle Security Alert - CVE-2020-14750

【参考情報】
Oracle WebLogic Server の脆弱性対策について（CVE-2020-14750）：IPA 独立行政法人情報処理推進機構
 WebLogic Serverに緊急の脆弱性、すぐにアップデートの適用を | マイナビニュース
 Oracle WebLogic Serverにリモートコード実行の脆弱性、修正パッチ公開 | マイナビニュース

【参考Tweet】

SANSによればWebLogicハニーポットによる観測で、
CVE-2020-14882、CVE-2020-14750に絡んでマイニングツールのインストールの試みを観測していたが、難読化されたCobaltStrikeダウンロードキャンペーンも。 https://t.co/0jNw7nLXKT
— かお㌠ (@ka0com) 2020年11月4日

Fortinet社製FortiOSのSSL VPN機能に脆弱性

【概要】
※本脆弱性は2019年5月に公開されておりますが影響を鑑み再掲です
Fortinet社製FortiOSのSSL VPN機能に脆弱性が存在し、リモートから第三者によって任意のファイルと読み込まれる可能性がある。既に本脆弱性の影響を受けるホスト一覧が公開されている。

【CVE番号】
CVE-2018-13379

【対象】
FortiOS 6.0.0 から 6.0.4 までのバージョン
FortiOS 5.6.3 から 5.6.7 までのバージョン
FortiOS 5.4.6 から 5.4.12 までのバージョン

【対策】
・当該製品を脆弱性の影響を受けないバージョンにアップデートする
・SSL-VPN の認証に多要素認証を導入する

【参考情報】
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
 【セキュリティニュース】Fortinet製VPN使う脆弱なホスト情報が公開 - 平文パスワードなども（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

Fortinet製SSL-VPNの脆弱性（CVE-2018-13379）を利用した攻撃結果のリストがリークされていますが、そのリストに掲載されているIPアドレスから国を判別してグラフにしてみたところJPは全体の11%ほどでした。 pic.twitter.com/sKC3qxIDH1
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) 2020年11月28日

CyberNewsFlash「Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について」を公開。攻撃の被害を受けないための対策や侵害の有無確認などを実施することを推奨します。^YK https://t.co/hozgXYRiul
— JPCERTコーディネーションセンター (@jpcert) 2020年11月27日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年11月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※（）は報告日時
Amazon をかたるフィッシング (2020/11/27)
国税庁をかたるフィッシング (2020/11/20)
ポケットカードをかたるフィッシング (2020/11/20)
アプラスをかたるフィッシング (2020/11/16)
UCS カードをかたるフィッシング (2020/11/09)

注意喚起やニュースのアレコレ

カプコンが不正アクセスを受け情報流出

【概要】
カプコンがっ標的型ランサムウェア（オーダーメイド型ランサムウェア）による不正アクセスを受け個人情報や企業情報等が流出

【参考情報】
不正アクセスによる情報流出に関するお知らせとお詫び | 株式会社カプコン
不正アクセスによる情報流出に関するお詫び（PDF）
http://www.capcom.co.jp/ir/info/pdf/exannounce01.pdf
セキュリティ - ITmedia NEWS
カプコンに不正アクセスメールシステムやファイルサーバのアクセスに障害 - ITmedia NEWS
カプコン、最大35万件の個人情報が流出した恐れ 11月2日の不正アクセスで - ITmedia NEWS
カプコン、不採用者の応募書類を破棄せず採用ページには「責任を持って破棄」と記載も、サイバー攻撃で情報流出の可能性 - ITmedia NEWS
カプコンは氷山の一角狙われる日本企業、ダークネットで流出情報の取引も - ITmedia NEWS
カプコン脅迫、発表資料は正直すぎ？専門家が読み解く：朝日新聞デジタル
 機密が闇サイトに、カプコン被害の衝撃「被害さらに…」：朝日新聞デジタル
 カプコンの大規模リークにより「ストリートファイター6」や「ドラゴンズドグマ2」などが開発中であることが明らかに - GIGAZINE
カプコンが不正アクセス攻撃を受け最大35万件の個人情報が漏洩した可能性、今後発表予定のゲームタイトルに関する情報なども漏洩か - GIGAZINE
企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
 不正アクセスで発生したカプコンの社内システム障害についてまとめてみた - piyolog

【参考Tweet】

不正アクセスで発生したカプコンの社内システム障害についてまとめてみた - piyolog https://t.co/2gFbmcdakr
"2020年11月4日、カプコンは第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表しました。ここでは関連する情報をまとめます"
— ねこさん⚡(ΦωΦ) (@catnap707) 2020年11月9日

慶応大SFCが不正アクセスを受け情報流出

【概要】
慶応大SFCの学内システムが不正アクセスを受け約3万件の情報が流出

【参考情報】
SFC-CNSおよびSFC-SFSへの不正アクセスによる個人情報漏洩について（お詫び） | 慶應義塾大学湘南藤沢キャンパス（SFC）
SFC-SFS不正アクセスによる個人情報漏洩お詫び（PDF）
https://www.sfc.keio.ac.jp/doc/df8e80e0da5060b204d0ae01f6e9695989fd9059.pdf
慶大SFCに不正アクセス、学生顔写真など11種類のデータが漏えいか - ZDNet Japan
慶応SFC、3万件以上の個人情報流出か学生の顔写真など被害に 10月発表の不正アクセスで - ITmedia NEWS

【参考Tweet】

『「重大なトラブル」によりSFC-SFSを停止。「このトラブルにより利用者のアカウント情報が漏洩した可能性があります」として利用者にパスワードの変更を求めた。』

慶應SFCで授業システムに「重大なトラブル」秋学期開始が1週遅れの「異常事態」 https://t.co/FXMVz9i0VA
— Autumn Good (@autumn_good_35) 2020年10月1日

8月下旬-9月にかけ慶大内サーバーに学外から不正アクセス🔥
①湘南藤沢キャンパスの情報ネットワークと授業支援システム、経営管理研究科Webサーバーから個人情報流出可能性
②他多数サーバーも不正アクセス被害(個人情報流出確認されず)
③SFC被害は情報NW ID/PW窃取と授業支援システム脆弱性悪用原因 https://t.co/XxaMoPwbJJ
— piyokango (@piyokango) 2020年11月10日

政府がパスワード付きzipファイル（PPAP）を廃止する方針を発表

【概要】
政府がパスワード付きzipファイル（PPAP）を廃止する方針を発表し、内閣府と内閣官房では脱運用を開始
※PPAPとは、
・Passwordつきzip暗号化ファイルを送ります
・Passwordを送ります
・Aん号化（暗号化）
・Protocol
の頭文字をとって命名された造語

【参考情報】
内閣府と内閣官房で脱“パスワード付きZIP”運用を開始ファイル送信は内閣府のストレージサービス活用 - ITmedia NEWS
ピコ太郎？パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの？ - ITmedia NEWS
パスワード付きzip、内閣府と内閣官房で26日から廃止へ外部ストレージサービス活用平井デジタル相 - ITmedia NEWS
“PPAP”の代替手段は「アイデアボックス」で募集へ平井デジタル相 - ITmedia NEWS
“Pマーク”認証団体が見解パスワード付きファイルのメール送信は「以前から推奨していない」 - ITmedia NEWS
政府の「アイデアボックス」投稿をTwitterで共有「パスワードZIP全廃」に危機感抱いた個人が開発 - ITmedia NEWS
霞が関でパスワード付きzipファイルを廃止へ平井デジタル相 - ITmedia NEWS
【セキュリティニュース】政府、脱「暗号化zipファイル」検討へ - 意見募集で最多支持（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

政府が「添付ファイルのパスワードつきZIP(通称PPAP)」を廃止する方針を打ち出しました。
なぜPPAPを廃止すべきなのか、PPAPに代わってどんな対策が考えられるのか。IIJのメールサービス担当がご紹介します。
パスワード付き (暗号化) ZIP廃止の考え方と対策https://t.co/ISKsviuthu
— 堂前@IIJ (@IIJ_doumae) 2020年11月30日

単に暗号化されていないことがzip化の理由なら何もしないほうがマシ
ちゃんと相手に届くことを保証したいならクラウドストレージが良いと思う
本当はS/MIMEにしたいんだけどね
政府廃止のパスワード付zipファイル　専門家も「意味ない」｜NEWSポストセブン https://t.co/w5YK0SzS7F #newspostseven
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年11月21日

PPAP「暫定的な対策として「（パスワードを）電話で教える」」 https://t.co/zP4kABiaz0 （そうじゃない感）
— Haruhiko Okumura (@h_okumura) 2020年11月24日

電子チケットサービス「Peatix」が不正アクセスを受け情報流出

【概要】
電子チケットサービス「Peatix」が不正アクセスを受け約677万件の情報が流出

【参考情報】
Peatixへの不正アクセス事象に関するお詫びとお知らせ（PDF）
https://announcement.peatix.com/20201117_ja.pdf
電子チケット販売「Peatix」に不正アクセス最大677万件の個人情報流出 - ITmedia NEWS
【セキュリティニュース】「Peatix」に不正アクセス - 最大677万件の個人情報が流出（1ページ目 / 全1ページ）：Security NEXT
複数の自治体が「Peatix」不正アクセス・個人情報漏洩についてお詫びとお知らせを掲載 | TechCrunch Japan
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog

【参考Tweet】

こんなところにも波及>『オンライン販売分については…Ｐｅａｔｉｘ社に委託していましたが…この会社が外部からの不正アクセスを受け、個人情報が流出した』 / “食事券購入者の情報流出のおそれ｜NHK 栃木県のニュース” https://t.co/J1LPfOTRK7
— 徳丸浩 (@ockeghem) 2020年11月17日

【「Peatix」最大677万件情報流出宇都宮の食事券購入者含むか】
チケットのオンライン販売などを手がける「Peatix」は、外部からの不正なアクセスで利用者の名前やメールアドレス、パスワードなど最大で677万件の情報が流出したことを明らかにしました。https://t.co/yCZC8dBepM
— 特務機関NERV (@UN_NERV) 2020年11月17日

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について：IPA 独立行政法人情報処理推進機構
 安心相談窓口だより：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

攻撃グループBlackTechが使用するLinux版マルウェア（ELF_PLEAD） - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について

LAC

分析レポート：Emotetの裏で動くバンキングマルウェア「Zloader」に注意 | セキュリティ対策のラック
 セキュリティ・キャンプの季節がやってきた！講師も参加者も利害をこえて熱くなる理由とは？ | セキュリティ対策のラック
 脆弱性診断とペネトレーションテストの使い分け─サイバー攻撃から企業を守る | セキュリティ対策のラック
 どうする子どものネットトラブル！？e-ネットキャラバンでインターネットを安全に使う方法を学ぼう | セキュリティ対策のラック

Trend Micro

McAfee

サイバーマンデー！オンラインショッピング詐欺から大切なものを守るための10のヒント
 家庭のサイバーセキュリティ：BYEH (Bring Your Enterprise Home)
オペレーションノーススターに関するインフラと標的についての新たな調査報告を発表
 オペレーションノーススターの舞台裏

Kaspersky

Windows XPのソースコードが流出：企業向けのセキュリティのヒント
https://blog.kaspersky.co.jp/win-xp-source-code-leaked/29466/
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
2020年のランサムウェア事情
https://blog.kaspersky.co.jp/ransomware-incidents-2020/29540/
ランサムウェア2.0：データの暗号化から機密情報の公開へ
https://blog.kaspersky.co.jp/the-rise-of-ransomware-20/29607/
PUBG Mobileのアカウント情報を狙うフィッシングサイト
https://blog.kaspersky.co.jp/pubg-metro-phishing/29614/
ランサムウェア対策の体系的アプローチ
https://blog.kaspersky.co.jp/structured-approach-ransomware/29633/
マインクラフトのModパックのふりをするマルウェア
https://blog.kaspersky.co.jp/minecraft-mod-adware-google-play/29625/

IIJ

wizSafe Security Signal 2020年10月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

MBSD

企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

NEC セキュリティブログ

ゼロトラストの実現とSASE（Secure Access Service Edge）について: NECセキュリティブログ | NEC
そもそもテレワークのセキュリティとは何かを考える | NEC
PortSwigger Web Security Academy: Business Logic Lab – Write-up | NEC

マクニカネットワークス

Dtrackを使った組織侵入型ランサムインシデントの分析 - セキュリティ研究センターブログ

NICTER Blog

NICTER観測統計 - 2020年7月～9月 - NICTER Blog

piyolog

不正アクセスで発生したカプコンの社内システム障害についてまとめてみた - piyolog
不正アクセスによるPeatixの情報流出についてまとめてみた - piyolog
警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog

bomb_log

返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別 - bomb_log

knqyf263's blog

SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について - knqyf263's blog

午前７時のしなもんぶろぐ

大量出現したニセ通販サイトを探る #2 - 午前７時のしなもんぶろぐ

ごちうさ民の覚え書き

日本を取り巻くばらまき型攻撃メールのまとめ(2020/7/17-2020/11/6) - ごちうさ民の覚え書き

トリコロールな猫/セキュリティ

MeCab用のセキュリティ用語辞書を作っています - トリコロールな猫/セキュリティ

ロシアンブルー飼育日記

バグハンティングコンテスト参加者のためのtips - ロシアンブルー飼育日記

セキュリティ猫の備忘録

【やってみた】Oracle WebLogic Serverの認証バイパスとRCEの脆弱性（CVE-2020-14882、CVE-2020-14883）を体験してみた - セキュリティ猫の備忘録

セキュリティコンサルタントの日誌から

Internet Week 2020で講演してきました！！ - セキュリティコンサルタントの日誌から

みっきー申す

SaltStackの脆弱性（CVE-2020-16846およびCVE-2020-25592）公開について - みっきー申す
 中華系ハッキンググループAPT10によるZeroLogonの脆弱性（CVE-2020-1472）を悪用した新たな攻撃の観測について - みっきー申す
 ダークネットで観測された2020年に日本を標的とした数々の攻撃について - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！

「￣ヽ､
|二二)O
|･ω･｀)　・・・

＜更新履歴＞
2020/12/01 AM公開

2020-11-04

2020年10月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今年はコロナ禍の影響で多くの業界でオフラインで行われていたイベントがオンラインに変更になったり、もしくは中止になったりしていますよね。

例年この時期はセキュリティ業界でもオフラインイベントが沢山ある時期なのですが、オンラインイベントに変更になっています。

特にセキュリティイベントでもCODEBLUEやAVTokyoがオンライン開催されました。

#codeblue_jp
CODEBLUE2日間ありがとうございましたー！来年また会いましょーーー！！！！はっぴーはろうぃーん！
※実は今年からスタッフだったのです← pic.twitter.com/puIxyf5kNF
— にゃん☆たく (@taku888infinity) 2020年10月30日

togetter.com

いよいよ本日ですねー！

Phishing Village盛り上げていくぞーい！https://t.co/kJwIQHaNxM #avtokyo https://t.co/bMLmwegzvG
— にゃん☆たく (@taku888infinity) 2020年10月31日

#avtokyo

さてさて準備は整った！！！（これ以外なにもしてない←） pic.twitter.com/0dn3HQKgWg
— にゃん☆たく (@taku888infinity) 2020年10月31日

今年は僕もCODEBLUEでは裏方でお手伝いしたり、AVTokyoでもセッションを任せてもらったりと非常に勉強になる経験をさせていただきました。

この場を借りて運営の皆さま、オンラインイベントに参加してくださった皆さま、ありがとうございました！また来年もよろしくお願いしますね！

というわけで前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Oracle製品に脆弱性

【概要】
Oracleの複数の製品に対するクリティカルパッチアップデートが公開されている。

【CVE番号】
CVE-2020-14803等

【対象】
Java SE JDK/JRE 15
Java SE JDK/JRE 11.0.8
Java SE JDK/JRE 8u261
Java SE JDK/JRE 7u271
Java SE Embedded 8u261
Oracle Database Server 19c
Oracle Database Server 18c
Oracle Database Server 12.2.0.1
Oracle Database Server 12.1.0.2
Oracle Database Server 11.2.0.4
Oracle WebLogic Server 14.1.1.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 10.3.6.0.0

【対策】
・アップデートする（下記修正済みバージョン）
Java SE JDK/JRE 15.0.1
Java SE JDK/JRE 11.0.9
Java SE JDK/JRE 8u271
Java SE JDK/JRE 7u281
Java SE Embedded 8u271

【参考情報】
Oracle Java の脆弱性対策について(CVE-2020-14803等)：IPA 独立行政法人情報処理推進機構
 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
 Oracle Javaに脆弱性、アップデートを | マイナビニュース
 【セキュリティニュース】Oracle、定例パッチで402件の脆弱性に対処 - CVSS基本値「9.0」以上が82件（1ページ目 / 全1ページ）：Security NEXT
【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を | セキュリティ対策のラック

Microsoft Outlookに脆弱性

【概要】
Microsoft Outlookに脆弱性が存在し、第三者に細工されたメールを開くと任意のコードが実行される可能性がある

【CVE番号】
CVE-2020-16947

【対象】
Microsoft 365
Office 2019
Outlook 2016

【対策】
更新プログラムの適用

【参考情報】

【セキュリティニュース】「Outlook」にRCE脆弱性 - プレビューだけで悪用のおそれ（1ページ目 / 全2ページ）：Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

今月気になるものは、特記されているようにOutlookのプレビューだけでコード実行（HTMLの処理に起因）なCVE-2020-16947と、Hyper-Vのホストへのコード実行のCVE-2020-16891あたりですね。

Zero Day Initiative — The October 2020 Security Update Reviewhttps://t.co/8MV7R14bsG pic.twitter.com/QgwQY8gl3T
— Autumn Good (@autumn_good_35) 2020年10月14日

⑦Office/Outlook CVE-2020-16947はプレビューでメール閲覧でも攻撃成立のため要注意
— Yurika (@EurekaBerry) 2020年10月14日

GitHub - 0neb1n/CVE-2020-16947: PoC of CVE-2020-16947

※PoCが公開されています。

肝心のペイロードがファイル形式のせいか文字化けしていて読めませんね…本物かはわからないですが、このペイロードを含めたメールを開くとRCEのトリがになるのかなhttps://t.co/DDtLxCo5A3 https://t.co/OIuKa6h1pe
— _spxn🔑 (@_spxn) 2020年10月16日

WindowsのTCP/IPスタックに脆弱性

【概要】
WindowsのTCP/IPスタックに脆弱性が存在し、第三者に細工されたICMPv6ルーターアドバタイズパケットを受信すると任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-16898（脆弱性名：Bad Neighbor）

【対象】
Windows 10
Windows Server 2019

【対策】
更新プログラムの適用
ICMPv6 RDNSSを無効にする

【参考情報】

脅威に関する情報: Microsoftの脆弱性 CVE-2020-16898
【セキュリティニュース】Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒（1ページ目 / 全2ページ）：Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

アップデート①CVE-2020-16898 IPv6 RAの脆弱性ですが、内容を更新しました。1) CVSSスコアは8.8に引き下げ。2) RAに係る脆弱性なのでRAの範囲で攻撃が可能なことを明記しました（インターネット越しに直接攻撃はできない) https://t.co/AgTGJRNpxH
— Yurika (@EurekaBerry) 2020年10月15日

Windowsアップデート。
今回公開になった脆弱性で大きそうなところでは、CVE-2020-16898: “Bad Neighbor”

Windows IPv6スタックの脆弱性。
攻撃者が悪意を持って作成されたパケットを送信し、リモートシステム上で任意のコードを実行する可能性。

現在のPoCでは、即時BSODが発生。
— かお㌠ (@ka0com) 2020年10月13日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年10月にフィッシングサイト対策協議会で報告された情報は以下のとおり
[更新] 宅配便の不在通知を装うフィッシング (2020/10/30)
MyJCB をかたるフィッシング (2020/10/29)
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
※（）は報告日時

注意喚起やニュースのアレコレ

複数のMicrosoft製品のサポートが終了

【概要】
2020年10月13日に複数のMicrosoft製品のサポートが終了した。サポート終了した製品は以下の通り。
Access 2010
Dynamics GP 2010
Excel 2010
Excel Mobile 2010
Exchange Server 2010
FAST Search Server 2010
Groove Server 2010
Office 2010
OneNote 2010
PowerPoint 2010
Project 2010
Publisher 2010
Search Server 2010
System Center Data Protection Manager 2010
System Center Essentials 2010
Visio 2010
Word 2010
Windows Embedded Standard 7
Office 2016 for Mac
Excel 2016 for Mac
Outlook 2016 for Mac
PowerPoint 2016 for Mac
Word 2016 for Mac

【参考情報】
ご存じですか? Office にはサポート期限があります - Microsoft atLife
複数のマイクロソフト社製品のサポート終了について
 Office 2010のサポートが終了更新プログラムの利用が不可に - ITmedia PC USER
ExcelやWordなど多数のマイクロソフト製品が10月13日にサポート終了 | マイナビニュース
 【セキュリティニュース】「Office 2010」がサポート終了に - 利用環境の確認を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

10月13日(米国時間)(日本は今日)サポートが終了したOffice 2010。最後の脆弱性を修正したパッチが出ていますので、即利用停止できない方はとり急ぎパッチは忘れずに直ぐに適用お忘れなく＆早急に移行をいただければ。https://t.co/D7dfzcb5ZS
— Yurika (@EurekaBerry) 2020年10月14日

【「Office 2010」のサポートが終了しました】
「Office 2010」のサポートが10月13日（日本時間）で終了しました。今後は更新プログラムが提供されませんので、当該ソフトウェア製品を利用されている方は速やかにソフトウェア製品の移行を実施してください。https://t.co/LTNsWqhfOM pic.twitter.com/le6nX0sasX
— IPA（情報処理推進機構） (@IPAjp) 2020年10月14日

複数企業がマルウェア「TrickBot」遮断措置を実施

【概要】
複数企業（Microsoft、FS-ISAC、NTT、Symantec、ESET、Lumen）がマルウェア「TrickBot」遮断措置を実施した。

【参考情報】
Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置 - ITmedia NEWS
マイクロソフトら、米大統領選を前に悪質な「Trickbot」ボットネット遮断措置 - ZDNet Japan
Microsoftが大統領選に向けて悪名高いマルウェア「TrickBot」の運用阻止に乗り出す - GIGAZINE
米国大統領選挙を前に、ランサムウェア対策に向けた新たな取り組み - News Center Japan
Microsoft Uses Trademark Law to Disrupt Trickbot Botnet — Krebs on Security

【参考Tweet】

#Trickbot ボットネットのテイクダウンがMicrosoftとFS-ISACを中心に、ESET、LUMEN、NTT、Symantecで行われたとのこと。
主に米国を中心としたC2インフラを停止させたようですが、まだ全てのC2が停止しているわけではないようです。

一番まとまってるのはこの記事。https://t.co/10wbCNdn6V
— S-Owl (@Sec_S_Owl) 2020年10月13日

特別定額給付金を騙る偽メールが出回る

【概要】
10月中旬から後半にかけて、特別定額給付金を騙る偽メール（フィッシングメール）が出回った。

【参考情報】

総務省｜特別定額給付金の給付を騙ったメールに対する注意喚起
 総務省を騙った特別定額給付金に関するフィッシング｜一般財団法人日本サイバー犯罪対策センター
 フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金の詐欺メール、また出回る今度は「申請手続き代行始めました」 - ITmedia NEWS
給付金2回目支給？総務省をかたる偽通知メールに注意 - INTERNET Watch

【参考Tweet】

⚠️総務省を騙ったフィッシング詐欺サイト情報⚠️

特別定額給付金のフィッシング詐欺サイトが発生中!!#詐欺サイトなので、#フィッシングメールにご注意を。

hxxps://kyufukin.soumu.online
IP:14.63.172.200
　(AS4766 / KIXS-AS-KR Korea Telecom🇰🇷)#Phishing #総務省 #特別定額給付金 pic.twitter.com/sAhWJbKW9A
— KesagataMe (@KesaGataMe0) 2020年10月14日

2020-10-19 17:55 時点のまとめ。

◆45.192.178[.]214
kyufukin[.]cyou
kyufukin[.]monster

◆173.82.120[.]101
kyufukin-soumu-go-jp[.]buzz
kyufukin-soumu-go-jp[.]xyz
www.kyufukin-soumu-go-jp[.]buzz
www.kyufukin-soumu-go-jp[.]xyz

◆192.255.188[.]179
coccjp.coazjp[.]pw pic.twitter.com/T75wcffbJm
— ねこさん⚡(ΦωΦ) (@catnap707) 2020年10月19日

今回フィッシングサイトの稼働が確認できたIPとドメインはこちら↓

▼IP
14.63.172[.]200

▼ドメイン
kyufukin.soumu[.]cyou
kyufukin.soumu[.]buzz
kyufukin.soumu[.]online

[.]cyouは2020年6月に誕生したgTLDですが、使われだしたなって感じ（楽天のフィッシングサイトでは前から使われてたけど） https://t.co/1bx6wmXFU3
— にゃん☆たく (@taku888infinity) 2020年10月15日