どもども、にゃんたくです(「・ω・)「ガオー
なんだかこないだまで雨ばっかりの夏だったのがすっかり終わってしまい、気づけばもう10月…今年ももう100日を切ってしまいましたね。
9月はヤバめな脆弱性の情報が報告されたり、DDoS攻撃やリスト型攻撃が多かったのかなという感じです。
そうそう余談ですが、リスト型攻撃については、そろそろ呼び方を「パスワード使い回され攻撃」に変えたほうが良いような気がするんですよね。その方がどういった攻撃なのかをパッと理解できるんではないかな、なんて思うんです。
あ、リスト型攻撃についてはこの記事が結構わかりやすく書いてあるのでオススメです→ポイント不正利用が相次ぐ 「リスト型攻撃」対策を : 科学 : 読売新聞(YOMIURI ONLINE)
さてさて、先月2017年9月のまとめです。
今回はちょっとレポート系多めです。
- 脆弱性のアレコレ
- 注意喚起やニュースのアレコレ
- 東京ガスの「myTOKYOGAS」にリスト型攻撃
- ロート製薬の「ココロートパーク」にリスト型攻撃
- 「CCleaner」が改ざんされ、マルウェアが混入される
- WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース
- Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース
- Appleが「macOS High Sierra 10.13」をリリース
- iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意
- 大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出
- 「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出
- 金融業者やFX事業者へのDDoS攻撃が多発
- フィッシングメールのアレコレ
- セキュリティレポートのアレコレ
- 【注意喚起】Windowsアプリケーションの利用における注意
- Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報
- マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)
- 2017年上半期 Tokyo SOC 情報分析レポート 公開
- JSOC INSIGHT vol.17
- Mirai 亜種の活動状況について
- WannaCry まだ終わってなくない?
- Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート
- 徳島県警察の誤認逮捕事件についてまとめてみた
- 仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた
脆弱性のアレコレ
Apache Struts2に脆弱性(S2-052)
【概要】
Struts RESTプラグインを利用している場合、細工されたXMLリクエストを処理する処理に脆弱性が存在し、リモートからApache Struts2が動作するサーバに対し、任意のコードを実行される可能性がある
※(S2-052)以外の脆弱性も報告されています、別途以下のブログでまとめてありますのでそちらをご参照下さい
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと
【CVE番号】
CVE-2017-9805
【対象】
Apache Struts 2.1.2から2.3.33までのバージョン
Apache Struts 2.5から2.5.12までのバージョン
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Apache Struts 2.5.13
Apache Struts 2.3.34
【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2017-9805)(S2-052):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 (S2-052) に関する注意喚起
JVNVU#92761484: Apache Struts2 に任意のコードが実行可能な脆弱性 (S2-052)
Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 - にゃんたくのひとりごと
NTTドコモの「Wi-Fi STATION L-02F」に複数の脆弱性
【概要】
NTTドコモが提供する LG Electronics 製の「Wi-Fi STATION L-02F」にバックドアの問題やアクセス制限不備の脆弱性が存在
※該当機器は2014年2月に発売され、現在は生産が終了している
【CVE番号】
CVE-2017-10845
CVE-2017-10846
【対象】(CVE別)
・CVE-2017-10845(バックドアの問題)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10g およびそれ以前
・CVE-2017-10846(アクセス制限不備の脆弱性)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10b およびそれ以前
【対策】
▼アップデートする(両脆弱性ともに下記バージョンにアップデート)
→Wi-Fi STATION L-02F ソフトウェアバージョン V10h
【参考情報】
Wi-Fi STATION L-02Fの製品アップデート情報 | お客様サポート | NTTドコモ
「Wi-Fi STATION L-02F」にバックドアの問題(JVN#68922465):IPA 独立行政法人 情報処理推進機構
NTTドコモ Wi-Fi STATION L-02F の脆弱性に関する注意喚起
JVN#68922465: Wi-Fi STATION L-02F にバックドアの問題
JVN#03044183: Wi-Fi STATION L-02F におけるアクセス制限不備の脆弱性
2014年発売のドコモ「Wi-Fi STATION」にバックドアなどの脆弱性 | マイナビニュース
Bluetooth の実装に複数の脆弱性(脆弱性名:BlueBorne)
【概要】
Bluetooth の実装に複数の脆弱性が存在し、約数十億台の機器に影響がある可能性がある(脆弱性名:BlueBorne)
※該当の脆弱性についてチェックできるAndoridアプリあり
→BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ
【CVE番号】
CVE-2017-0781
CVE-2017-0782
CVE-2017-0783
CVE-2017-0785
CVE-2017-1000250
CVE-2017-1000251
CVE-2017-14315
CVE-2017-8628
【対象】(CVE番号別)
・CVE-2017-0781(ヒープベースのバッファオーバーフロー)
・CVE-2017-0782(整数アンダーフロー)
・CVE-2017-0783(中間者攻撃 (man-in-the-middle attack) )
・CVE-2017-0785(領域外読み込み)
→Android セキュリティパッチレベル 2017年 9月を適用していないバージョン
・CVE-2017-1000250(領域外メモリ参照)
→Linux BlueZ すべてのバージョン
・CVE-2017-1000251(バッファオーバーフロー)
→Linux Kernel 3.3-rc1 以降のバージョン
・CVE-2017-14315(ヒープベースのバッファオーバーフロー)
→iOS version 9.3.5 およびそれ以前 、tvOS version 7.2.2 およびそれ以前
・CVE-2017-8628(中間者攻撃 (man-in-the-middle attack) )
→Windows Vista 以降の2017年 9月マイクロソフトセキュリティ更新プログラムを適用していないバージョン
【対策】
▼アップデートする
→Windows、iOS、Linux kernel、Android では、本脆弱性の対策がおこなわれている
▼ワークアラウンドを実施する
機器の Bluetooth 接続をオフにすることで、本脆弱性の影響を軽減することが可能
【参考情報】
Bluetooth の実装における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起
JVNVU#95513538: 様々な Bluetooth 実装に複数の脆弱性
Vulnerability Note VU#240311 - Multiple Bluetooth implementation vulnerabilities affect many devices
脆弱性「BlueBorne」:Bluetooth機能をオフ、そして直ちに更新プログラム適用を | トレンドマイクロ セキュリティブログ
Bluetoothの脆弱性「BlueBorne」で50億台以上のデバイスにセキュリティリスクあり : マカフィー株式会社 公式ブログ
Bluetoothをオンにするだけで乗っ取られる? 新たな脅威、「BlueBorne」の恐ろしさ (1/2) - ITmedia エンタープライズ
BlueBorne Vulnerability Scanner by Armis - Google Play の Android アプリ
Apache Tomcat に複数の脆弱性
【概要】
Apache Tomcat に複数の脆弱性が存在し、遠隔からの任意のコード実行や情報漏えいなどの影響を受ける可能性がある
【CVE番号】
CVE-2017-12615
CVE-2017-12616
CVE-2017-12617
【対象】(CVE番号別)
・CVE-2017-12615
→Apache Tomcat 7.0.0 から 7.0.79 まで
・CVE-2017-12616
→Apache Tomcat 7.0.0 から 7.0.80 まで
・CVE-2017-12617
→Apache Tomcat 9.0.0.M1 から 9.0.0 まで
→Apache Tomcat 8.5.0 から 8.5.22 まで
→Apache Tomcat 8.0.0.RC1 から 8.0.46 まで
→Apache Tomcat 7.0.0 から 7.0.81 まで
→影響を受けるバージョン不明(2017年9月30日現在)
→ Apache Tomcat の readonly パラメータを false に設定し、HTTP PUT メソッドを有効にしている場合に、遠隔から任意のコードが実行される可能性がある
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
※ 8.0系および 7系については 10月4日時点で、修正済みのバージョンは
提供されておりません
▼回避策
→Apache Tomcat において、readonly パラメータを true に設定するか、HTTP PUT リクエストを受け付けないよう設定
※readonly パラメータは、デフォルトでは、true に設定
【参考情報】
JVNVU#99259676: Apache Tomcat の複数の脆弱性に対するアップデート
「Apache Tomcat」にゼロデイ脆弱性、JPCERT/CCが回避策を案内 -INTERNET Watch
Sambaに複数の脆弱性
【概要】
Sambaに複数の脆弱性が存在し、悪用されると機密情報を窃取される可能性がある
【CVE番号】
CVE-2017-12150
CVE-2017-12151
CVE-2017-12163
【対象】(CVE番号別)
・CVE-2017-12150
→Samba 3.0.25?4.6.7
・CVE-2017-12151
→Samba 4.1.0?4.6.7
・CVE-2017-12163
→Sambaのすべてのバージョン
【対策】
▼アップデートする(以下脆弱性修正済みバージョン)
Samba 4.6.8
Samba 4.5.14
Samba 4.4.16
【参考情報】
https://www.samba.org/samba/security/CVE-2017-12150.html
https://www.samba.org/samba/security/CVE-2017-12151.html
https://www.samba.org/samba/security/CVE-2017-12163.html
Sambaに複数の脆弱性 - US-CERT | マイナビニュース
Sambaに複数の脆弱性(CVE-2017-12150, CVE-2017-12151, CVE-2017-12163) — | サイオスOSS | サイオステクノロジー
注意喚起やニュースのアレコレ
東京ガスの「myTOKYOGAS」にリスト型攻撃
【概要】
東京ガスのガス・電気料金情報Web照会サービス「myTOKYOGAS」がリスト型攻撃を受け、不正アクセスされる
【参考情報】
東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出について
東京ガス : 重要なお知らせ / ガス・電気料金情報WEB照会サービス「myTOKYOGAS」への不正アクセスによるお客さま情報の流出ならびにポイントの不正使用について
ニュース - 東京ガスに再びリスト型攻撃、個人情報流出とポイント不正使用の疑い:ITpro
ロート製薬の「ココロートパーク」にリスト型攻撃
【概要】
ロート製薬の会員サイト「ココロートパーク」がリスト型攻撃を受け、不正アクセスされる
【参考情報】
【セキュリティ ニュース】ロート製薬の会員サイトに不正アクセス - パスワードなど閲覧被害(1ページ目 / 全1ページ):Security NEXT
弊社会員サイトへの不正アクセスと対応のお知らせ | ロート製薬株式会社
弊社会員サイトへの断続的な不正アクセスと弊社対応のお知らせ | ロート製薬株式会社
「CCleaner」が改ざんされ、マルウェアが混入される
【概要】
CCleanerが改ざんされ、ユーザの PCにインストールされているソフトウェア一覧やMACアドレスなどの情報がUSのサーバに送信されていた。すでにサーバは停止。
※CCleanerとは、Windowsの不要ファイルや不要レジストリを簡単に削除できるフリーソフト
【影響をうける対象】
・32bit版の CCleaner v5.33.6162(8/15リリース)
・CCleaner Cloud v1.07.3191(8/24リリース)
【対策】
▼アップデートする(以下対策済みバージョン)
CCleaner v5.35
【参考情報】
マルウエアが仕込まれた「CCleaner」が配布されていた問題
システムメンテナンスツール「CCleaner」が改竄の被害、ユーザー情報を外部送信 - 窓の杜
改竄の発表以降「CCleaner」が初めての更新。新しい電子署名を施したv5.35が公開 - 窓の杜
CCleanerのマルウェア混入問題はIntel・ソニー・Microsoftなど大企業を狙ったターゲット型攻撃だったと判明 - GIGAZINE
CCleanerマルウェア汚染、被害を受けた国・地域トップ10といくつかの謎 | マイナビニュース
「CCleaner」悪用の攻撃者、NECや富士通、ソニーにマルウェアを配信か - ZDNet Japan
WordPressが複数の脆弱性を修正した「WordPress 4.8.2」をリリース
【概要】
WordPressに複数の脆弱性が存在し、クロスサイトスクリプティングやSQLインジェクションを受ける可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるWordPressのバージョンは「4.8.1」以前である。
【参考情報】
WordPress 4.8.2 Security and Maintenance Release
WordPressが「4.8.2」にアップデート、5件のXSS脆弱性、2件のパストラバーサル脆弱性などを修正 -INTERNET Watch
【セキュリティ ニュース】「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ(1ページ目 / 全1ページ):Security NEXT
Joomla!が複数の脆弱性を修正した「Joomla! 3.8」をリリース
【概要】
Joomla!に複数の脆弱性が存在し、情報漏えいを引き起こす可能性があるため、修正版がリリースされた。
なお、脆弱性の影響を受けるJoomla!のバージョンは、Joomla 1.5.0から3.7.5までのバージョンである。
【参考情報】
オープンソースのCMS「Joomla! 3.8.0」リリース | Think IT(シンクイット)
【セキュリティ ニュース】「Joomla! 3.8」がリリース、脆弱性2件を解消(1ページ目 / 全1ページ):Security NEXT
Appleが「macOS High Sierra 10.13」をリリース
【概要】
Appleが脆弱性43件を解消した「macOS High Sierra 10.13」をリリースした。
なお、限定的ではあるがゼロデイの脆弱性も報告されている
※その他Apple製品でもアップデート情報あり
【参考情報】
JVNVU#99806334: 複数の Apple 製品における脆弱性に対するアップデート
「macOS High Sierra 10.13」では脆弱性43件を修正 -INTERNET Watch
公開されたmacOS High Sierraに脆弱性、パスワード窃取のおそれ | マイナビニュース
「macOS High Sierra」、パスワード盗まれるゼロデイ脆弱性の指摘--リリース直前に - CNET Japan
iOS上で大量のアイコンを作成する「YJSNPI ウイルス」に注意
【概要】
2017年6月にランサムウェア作成の容疑で逮捕された日本の未成年者が作成・拡散した不正プロファイル「YJSNPI(ヤジュウセンパイ)ウイルス)」(別名:「iXintpwn(アイシントポウン)」)が拡散しており、トレンドマイクロが解説をおこなった
【参考情報】
iOS 上で大量のアイコンを作成する不正プロファイル「YJSNPI ウイルス」こと「iXintpwn」を解説 | トレンドマイクロ セキュリティブログ
iPhone上に大量のアイコンを作成する「YJSNPI ウイルス」とは? | マイナビニュース
【注意】iPhoneの画面に大量のアイコンが増殖、「YJSNPI ウイルス」が拡散中 - iPhone Mania
大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出
【概要】
アメリカの大手消費者信用情報会社Equifaxがハッキングされ約1.4億人の個人情報が流出した。なお、悪用されたのはApache Strutsの脆弱性(CVE-2017-5638)とのこと。
【参考情報】
Equifaxの情報流出、「Apache Struts」の脆弱性に起因--パッチ適用怠る? - ZDNet Japan
ハッキングで苦境のEquifax、ついにCEOも辞任 - CNET Japan
サンフランシスコ市が、情報漏洩の影響を受けた1500万人のカリフォルニア州住民を代表して、Equifaxを提訴 | TechCrunch Japan
Equifax、インシデント報告サイトが逆にフィッシング詐欺に使われる危険性 | マイナビニュース
「Dirty COW」の脆弱性を突くAndroidマルウェアが日本で検出
【概要】
「Dirty COW」(CVE-2016-5195)の脆弱性を突くAndroidマルウェア「ZNIU」が日本で検出された。感染を防ぐにはGoogle Playや、信頼できるサードパーティーのアプリストアからアプリのインストールを行うこと。
※「Dirty COW」(CVE-2016-5195)とは、Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構には、競合状態が発生する脆弱性
【参考情報】
「ZNIU」:脆弱性Dirty COWを突くAndroid端末向け不正アプリを確認 | トレンドマイクロ セキュリティブログ
「Dirty COW」の脆弱性を突くAndroidマルウェア出現、日本でも感染 - ITmedia NEWS
脆弱性「Dirty COW」を悪用したAndroidマルウェアが日本でも検出 -INTERNET Watch
JVNVU#91983575: Linux カーネルのメモリサブシステムに実装されている copy-on-write 機構に競合状態が発生する脆弱性
金融業者やFX事業者へのDDoS攻撃が多発
【概要】
金融業者やFX事業者へのDDoS攻撃が多発しており、一時的にサービスが利用しにくくなる障害が発生。攻撃元が同一かは不明。
【参考情報】
ニュース - ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らかに:ITpro
ニュース - FX事業者などを狙ったDDoS攻撃が多発、外為どっとコムや東洋証券が被害:ITpro
仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた - piyolog
フィッシングメールのアレコレ
【概要】
▼フィッシング対策協議会の緊急情報(9月)で報告されたサイトまとめ
・OMC Plus
・Amazon
・Apple
・セゾン Net アンサー
・マイクロソフト
▼佐川急便の偽メールも増加しており、注意が必要
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/22)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Apple をかたるフィッシング (2017/09/19)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] セゾン Net アンサーをかたるフィッシング (2017/09/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | Amazon をかたるフィッシング (2017/09/11)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | マイクロソフトをかたるフィッシング (2017/09/04)
佐川急便を装った迷惑メールにご注意くださ...│お知らせ│佐川急便株式会社<SGホールディングスグループ>
セキュリティレポートのアレコレ
【注意喚起】Windowsアプリケーションの利用における注意
【公開ページ】
https://www.ipa.go.jp/security/ciadr/vul/20170928_dll.html
【企業・団体】
Phantom Squad を名乗る攻撃者からの DDoS 攻撃に関する情報
【公開ページ】
http://www.jpcert.or.jp/newsflash/2017092101.html
【企業・団体】
JPCERT コーディネーションセンター
マルウエアDatperの痕跡を調査する~ログ分析ツール(Splunk・Elastic Stack)を活用した調査~ (2017-09-25)
【公開ページ】
http://www.jpcert.or.jp/magazine/acreport-search-datper.html
【企業・団体】
JPCERT コーディネーションセンター
2017年上半期 Tokyo SOC 情報分析レポート 公開
【公開ページ】
https://www.ibm.com/blogs/tokyo-soc/tokyo_soc_report2017_h1/
【企業・団体】
Tokyo SOC Report(IBM)
JSOC INSIGHT vol.17
【公開ページ】
https://www.lac.co.jp/lacwatch/report/20170925_001387.html
【企業・団体】
LAC
Mirai 亜種の活動状況について
【公開ページ】
https://sect.iij.ad.jp/d/2017/09/145930.html
【企業・団体】
IIJ-SECT(株式会社インターネットイニシアティブ)
WannaCry まだ終わってなくない?
【公開ページ】
https://sect.iij.ad.jp/d/2017/09/192258.html
【企業・団体】
IIJ-SECT(株式会社インターネットイニシアティブ)
Apache Struts 2のStruts RESTプラグインの脆弱性により、リモートから任意のコードが実行可能な脆弱性(CVE-2017-9805)(S2-052)に関する調査レポート
【公開ページ】
https://www.softbanktech.jp/information/2017/20170908-01/
【企業・団体】
ソフトバンク・テクノロジー株式会社
徳島県警察の誤認逮捕事件についてまとめてみた
【公開ページ】
http://d.hatena.ne.jp/Kango/20170910/1505065248
【企業・団体・作成者】
piyokangoさん(https://twitter.com/piyokango)
仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた
【公開ページ】
http://d.hatena.ne.jp/Kango/20170918/1505751604
【企業・団体・作成者】
piyokangoさん(https://twitter.com/piyokango)
以上です。
とりっくおあとりーと!
/〉
/⌒⌒⌒\
| ○..○|/――、
\_ww// ̄ヽ |
/( ゚Д゚)/ ̄ ̄)ノ
_/ / フつO
\ // /|
\ /ノ
 ̄ ̄ ̄
―=≡=―
※更新履歴※
2017/010/04:『Apache Tomcat に複数の脆弱性』の内容を一部更新