どもども、にゃんたくですー(n*´ω`*n)
さてさてもう3月ですよ。年度末でひっじょーに忙しい時期ですので、皆さん体調管理が第一ですよ!!!
さて、今回も前月(2017年2月)のセキュリティのアレコレをまとめてみました。
なにかの参考にしていただけたら幸いです。
- 脆弱性のアレコレ
- 注意喚起やニュース、レポートのアレコレ
- 【注意喚起】「Office 2007」および「Windows Vista」の延長サポートが2017年で終了
- Rig Exploit Kitによる感染被害が増加
- ラック(LAC)の次期代表取締役社長に西本逸郎氏が就任
- JPCERTコーディネーションセンターの類似ドメインに注意
- フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが再開
- Microsoftの2月月例セキュリティ更新プログラムの公開を急遽延期(定例外としてAdobe Flash Playerの脆弱性修正パッチはリリース)
- 「SHA-1」衝突攻撃が初めて実証成功
- 【注意喚起】学術組織を狙ったウェブサイト改ざんに注意
脆弱性のアレコレ
WordPressに脆弱性
【概要】
WordPressのRESTAPIに脆弱性が存在し、その脆弱性を利用されることで第三者により非常に容易にコンテンツが改ざんされてしまう。
なお、この脆弱性を突いた攻撃は150万を超えるサイトが受けたもよう。
【対象】
WordPress 4.7.0
WordPress 4.7.1
【対策】
①WordPress 4.7.2以上にアップデートする(最新版は公開ずみ)
②REST APIを無効化するプラグインをインストールする
※①もしくは②を実施することで対策可
【参考情報】
WordPress の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
WordPress REST API Vulnerability Abused in Defacement Campaigns
WordPressにおけるコンテンツインジェクションの脆弱性に関する調査レポート | ソフトバンク・テクノロジー
ISC BIND 9 にサービス運用妨害(DoS)の脆弱性
【概要】
ISC BIND 9 サービス運用妨害(DoS)の脆弱性が存在し、脆弱性を突かれた場合、リモートからの攻撃によって named が終了する可能性がある。
【対象】
・DNS64 と RPZ の双方を有効に設定している場合にのみ、本脆弱性の影響をうける
※RPZとは…Response Policy Zoneの略であり、キャッシュDNSサーバーがクライアントに返す応答内容を、キャッシュDNSサーバーの運用者のポリシーにより制御する機能
影響を受けるバージョンは以下のとおり
・BIND 9.8.8
・BIND 9.9.3 から 9.9.9-P5 まで
・BIND 9.9.10b1
・BIND 9.9.3-S1 から 9.9.9-S7 まで
・BIND 9.10.0 から 9.10.4-P5 まで
・BIND 9.10.5b1
・BIND 9.11.0 から 9.11.0-P2 まで
・BIND 9.11.1b1
【対策】
①DNS64 もしくは RPZ を設定から削除
②RPZ におけるポリシーゾーンのコンテンツを適切に制限
③アップデートする
※①~③のいずれかを実施することで対策可
本脆弱性修正済みバージョンは以下のとおり
・BIND 9.9.9-P6
・BIND 9.10.4-P6
・BIND 9.11.0-P3
・BIND 9.9.9-S8
【参考情報】
JVNVU#93384765: ISC BIND にサービス運用妨害 (DoS) の脆弱性
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2017-3135) に関する注意喚起
Cisco Prime Home(Cisco家庭ネットワーク管理製品)に脆弱性
【概要】
Cisco Prime HomeのWebベースのGUIは、URLのロールベースアクセス制御に不備があるため、認証を回避され、管理者権限で操作が行われる可能性がある。
※本脆弱性はCisco Security Advisoryで『Critical』レベルで発表された
※ロールベースアクセス制御:認められたユーザーのシステムアクセスを制限するコンピュータセキュリティの手法の一種
【対象および対策】
バージョンごとの対策は以下のとおり。
5.2:影響を受けない。しかし、本脆弱性ではない「CVE-2016-6452」の影響を受けるため『5.2.2.3』および『5.1.1.7』がリリースされている
6.3:影響を受ける。『6.5.0.1』へアップデート
6.4:影響を受ける。『6.5.0.1』へアップデート
6.5:影響を受ける。『6.5.0.1』へアップデート
【参考情報】
Cisco Prime Home Authentication Bypass Vulnerability
JVNDB-2017-001400 - JVN iPedia - 脆弱性対策情報データベース
【セキュリティ ニュース】Ciscoの家庭ネットワーク管理製品にリモート操作が可能となる脆弱性(1ページ目 / 全1ページ):Security NEXT
OpenSSLに脆弱性
【概要】
OpenSSLの認証暗号化方式「Encrypt-Then-Mac」(EtM)の拡張機能に脆弱性が存在し、その脆弱性を突かれるとクライアントまたはサーバがクラッシュする可能性がある。
※「Encrypt-Then-Mac」(EtM):認証つき暗号、平文を暗号化し、暗号文から MAC を計算し、暗号文と MAC を連結して送信する手法
【対象】
OpenSSL 1.1.0eより前のバージョン
【対策】
・アップデートする
本脆弱性修正済みバージョンは以下のとおり
・OpenSSL 1.1.0e
【参考情報】
https://www.openssl.org/news/secadv/20170216.txt
JVNVU#90017300: OpenSSL にサービス運用妨害 (DoS) の脆弱性
OpenSSLに深刻な脆弱性、最新版にアップデートを | マイナビニュース
OpenSSLの更新版公開、危険度「高」の脆弱性に対処 - ITmedia NEWS
一太郎シリーズに脆弱性
【概要】
一太郎シリーズに、複数のバッファオーバーフローの脆弱性が存在しており、悪用されることでアプリケーションが異常終了する可能性がある。
また、任意のコードを実行される可能性もあるとのこと。(実証動画あり)
【対象】
・一太郎2016
・一太郎2015
・一太郎Pro 3
・一太郎Pro 2
・一太郎Pro
・一太郎Government 8
・一太郎Government 7
・一太郎Government 6
・一太郎2011 創/一太郎2011
・一太郎2010
・一太郎ガバメント2010
・一太郎Pro 3 体験版
※一太郎ビューアは今回の脆弱性の影響を受けない
【対策】
・アップデートする(アップデートモジュールが配布されている、下記参考情報のジャストシステムのお知らせへのリンクで確認できます)
※一太郎Pro 3 体験版に関してはアンインストールし、最新版をアップデートする
【参考情報】
JVNVU#98045645: 一太郎シリーズにバッファオーバーフローの脆弱性
「一太郎」に複数の脆弱性、任意のコードを実行される恐れも - ZDNet Japan
注意喚起やニュース、レポートのアレコレ
【注意喚起】「Office 2007」および「Windows Vista」の延長サポートが2017年で終了
【概要】
「Office 2007」および「Windows Vista」の延長サポートが2017年で終了することにより、サポート終了後も継続して利用する場合は様々なリスクが発生する可能性がある。
【対象】
■Windows Vista
延長サポート終了日:2017年4月11日
■Office 2007
延長サポート終了日:2017年10月10日
【参考情報】
延長サポート終了を控える「Office 2007」および「Windows Vista」の速やかな移行を:IPA 独立行政法人 情報処理推進機構
ご存じですか? OS にはサポート期限があります! - Microsoft atLife
サポート終了の重要なお知らせ - Office 2007、Exchange Server 2007、SharePoint Server 2007、Visio 2007、Project 2007
Rig Exploit Kitによる感染被害が増加
【概要】
正規サイトが改ざんされ、Rig Exploit Kitによるドライブバイダウンロード攻撃により不正送金マルウェアやランサムウェアへ感染させる攻撃が急増している。改ざんサイトの無効化推進のため、警察庁やJC3(日本サイバー犯罪対策センター)が注意喚起をおこなった。
【参考情報】
【セキュリティ ニュース】「RIG EK」による感染被害が急増 - 警察が約300の踏み台サイトに指導(1ページ目 / 全2ページ):Security NEXT
Rig Exploit Kitの稼働する不正サーバーのIPをまとめてみた。 - にゃんたくのひとりごと
ラック(LAC)の次期代表取締役社長に西本逸郎氏が就任
【概要】
ラック(LAC)は次期代表取締役社長に西本逸郎氏が2017年4月1日付で就任することを発表。
なお、現代表取締役社長の髙梨輝彦氏は同日付けで退任。取締役会長へ就任する予定。
【参考情報】
代表取締役の異動に関するお知らせ | ニュースリリース | 株式会社ラック
JPCERTコーディネーションセンターの類似ドメインに注意
【概要】
JPCERTコーディネーションセンターは、同センターのドメインに類似したドメインが無関係の第三者によって取得されていることについて注意喚起をおこなった。
【対策】
正当なドメインであるかを確認する。
JPCERTコーディネーションセンターが取得しているドメイン:jpcert.or.jp
類似ドメイン:jpcert[.]org
【参考情報】
JPCERT コーディネーションセンター jpcert.or.jp に類似するドメインに関するお知らせ
フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが再開
【概要】
フィッシング対策啓発サイト「STOP. THINK. CONNECT.」の日本語版ウェブサイトが「Shin0bi H4x0r」を名乗る攻撃者によって改ざんされたため公開をストップしていたが、安全に利用できる準備が整ったため、再開された。
なお、改ざんされた原因は、管理者権限を与えられた関係者の ID、パスワード情報を特定し、本人になりすましてログインし改ざんされたとのこと。
【参考情報】
Microsoftの2月月例セキュリティ更新プログラムの公開を急遽延期(定例外としてAdobe Flash Playerの脆弱性修正パッチはリリース)
【概要】
2017年2月14日に公開される予定だった2月月例セキュリティ更新プログラムを「一部顧客に影響を与えかねない問題が直前に見つかり、公開日までに解決できなかった」という理由から公開を延期した。なお、今回延期になった脆弱性の修正については来月3月14日の3月月例更新とあわせて対応する予定とのこと。
なお、2017年2月22日に定例外としてAdobe Flash Playerの脆弱性に対する修正パッチをリリースした。
【参考情報】
2017 年 2 月のセキュリティ更新プログラム リリース – 日本のセキュリティチーム
Adobe Flash Player の脆弱性を修正するセキュリティ更新プログラムを定例外で公開 – 日本のセキュリティチーム
Microsoft、2月の月例更新プログラムは3月分と併せて公開 - ITmedia NEWS
「SHA-1」衝突攻撃が初めて実証成功
【概要】
ハッシュアルゴリズム「SHA-1」の衝突攻撃(コリジョン攻撃)が実証攻撃に成功。また、「SHA-1」のハッシュ値が同じだが中身が異なる2つのPDFファイルも公表した。
またこの攻撃名は「SHAttered」と名づけられた。
【参考情報】
Google Online Security Blog: Announcing the first SHA1 collision
SHA-1衝突攻撃がついに現実に、Google発表 90日後にコード公開 - ITmedia NEWS
ニュース - ついに破られた「SHA-1」、Googleが衝突攻撃に成功:ITpro
5分で分かる、「SHA-1衝突攻撃」が騒がれているわけ (1/2) - ITmedia エンタープライズ
【注意喚起】学術組織を狙ったウェブサイト改ざんに注意
【概要】
研究室やサークルの独自ウェブサイトの役割が終了しても閉鎖されないことがあり、またウェブサイトの把握・管理もできていないことから、セキュリティ対策が不十分なウェブサイトが放置されたままになっており、これがウェブサイト改ざんを招く原因となっていることへの注意喚起をIPAが行った。
【参考情報】
【注意喚起】学術組織を狙ったウェブサイト改ざんに注意:IPA 独立行政法人 情報処理推進機構
研究室・サークルなどの“放置サイト”一掃に向け集中管理を、学術組織を狙ったサイト改ざん多発 -INTERNET Watch
以上です!
今回もここまで読んでいただきありがとうございました。
ではでは!!ヽ(´◇`)ノ ファ~♪