2018年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今回のブログを公開する頃にはまだ梅雨明けてないと思っていたんですがとっくに明けましたね。今年の梅雨は史上初の短さ（6月6日～29日）だったそうです。まぁ僕は梅雨好きじゃないので嬉しさMAXなんですけどね笑

そういえば今朝ロシアワールドカップ8強を決める日本×ベルギー戦が行われたわけですが…

www.youtube.com

すごいじゃん日本！お疲れ様！！

4年後のカタールワールドカップが楽しみです！

ではではブログ本題です。今回はいつもよりちょっと少なめかもしれませんがあしからず。。。。

前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

アーカイブファイルの展開処理に脆弱性（脆弱性名：Zip Slip）

【概要】
アーカイブファイルの展開処理に脆弱性が存在し、特定の文字列を含んだファイル名のファイルをアーカイブファイルにいれて処理させることで、Webアプリケーションの権限で特定の場所にファイルを置くことができ、第三者により実行ファイルの上書きや、設定ファイルの書き換えが可能となり、任意のコードを実行される可能性がある

【参考情報】
Zip Slip Vulnerability | Snyk
アーカイブファイルの展開処理における脆弱性「Zip Slip」について
 書庫形式の書類に脆弱性コンテンツ改ざんに注意：日本経済新聞
 アーカイブファイル関連の脆弱性「Zip Slip」、大手プロジェクト多数に影響 - ITmedia エンタープライズ
 【セキュリティニュース】アーカイブ展開に脆弱性「Zip Slip」 - 多数ソフトウェアに影響（1ページ目 / 全2ページ）：Security NEXT

OpenSSLに脆弱性

【概要】
OpenSSLのTLSハンドシェイク時に鍵生成に長い時間を消費させる脆弱性が存在し、第三者によりサービス運用妨害 (DoS) 攻撃を実行される可能性がある

【CVE番号】
CVE-2018-0732

【対象】
OpenSSL 1.1.0 系列
OpenSSL 1.0.2 系列

【対策】
OpenSSL 1.1.0i および OpenSSL 1.0.2p にて本脆弱性を修正する予定
なお、修正パッチが公開済み
OpenSSL 1.1.0 用
https://github.com/openssl/openssl/commit/ea7abeeab
OpenSSL 1.0.2 用
https://github.com/openssl/openssl/commit/3984ef0b7

【参考情報】
https://www.openssl.org/news/secadv/20180612.txt
OpenSSL の脆弱性 (CVE-2018-0732) について
 【セキュリティニュース】「OpenSSL」にDoS攻撃受ける脆弱性 - 修正は次期アップデートで（1ページ目 / 全1ページ）：Security NEXT

ISC BIND 9に脆弱性

【概要】
ISC BIND 9に再帰的クエリが不適切に許可される脆弱性が存在し、第三者によってDNSリフレクタ攻撃に使われたり、ネームサーバのキャッシュの状況を外部から取得されたりする可能性がある

【CVE番号】
CVE-2018-5738

【対象】
・ ISC BIND 9.12.0～9.12.1-P2、9.11.3、9.10.7、9.9.12 を使用している (ISC が 2017年10月のアップデート #4777 を適用している)

・再帰問い合わせの受け付けを有効にしている (設定ファイル (named.conf) で "recursion yes;" を設定している、または recursion を設定していない）

・オプション (allow-recursion, allow-query, allow-query-cache) を設定していない

【対策】
・ named.conf にオプション (allow-recursion, allow-query, allow-query-cache) を適切に設定し、再帰問い合わせの受け付けを許可する対象に限定する

・再帰問い合わせの受け付けが不要な場合は named.conf に "recursion no;" を設定する

【参考情報】
ISC BIND 9 の脆弱性 (CVE-2018-5738) について
 JVNVU#92227071: ISC BIND の一部のバージョンにおいて再帰的クエリが不適切に許可される問題
 JPCERT/CC、ISC BIND 9の脆弱性について注意喚起 | マイナビニュース
 【セキュリティニュース】「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を（1ページ目 / 全2ページ）：Security NEXT

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
【速報版】カード利用のお知らせ(本人ご利用分)
アラート:あなたのアカウントは閉鎖されます。
写真
写真送付の件
写真添付
スナップ写真
添付写真あり
写真送ります。
【楽天カード】カードご請求金額のご案内
注文書の送付（2018.06.26）
注文書よろしくお願いします。
【振込み確認書】18.06.14
メールに添付された請求書デー
2018.6月分請求データ送付の件
6月度発注書送付
ご請求書を添付致しておりますので
添付ファイルをご確認下さい。
6月請求データ.xls
注文書の件
Fwd: 6月分請求書リスト
請求書を送ります
カード利用のお知らせ
【楽天市場】注文内容ご確認（自動配信メール）
6月分請求データ送付の件
2018.5月分請求データ送付の件.6月請求データ.xls
のご注文について
Re: 2018.5月分請求データ送付の件
Re: Re: 2018.5月分請求データ送付の件
Fwd: 2018.5月分請求データ送付の件
Fwd: Re:2018.5月分請求データ送付の件
.2018.5月分請求データ送付の件
2018.5月分請求データ送付の件
RE: 請求書XLSについて
請書及び請求書のご送付

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター

情報提供｜一般財団法人日本サイバー犯罪対策センター

bomb_log

外部公開用_ウイルス付メール(ばらまきメール)まとめ - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年６月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時
Amazon をかたるフィッシング (2018/06/29)
MUFG カードをかたるフィッシング (2018/06/21)
[更新] LINE をかたるフィッシング (2018/06/06)
Apple および Amazon をかたるフィッシング (2018/06/04)
セゾン Net アンサーをかたるフィッシング (2018/06/04)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

「タチコマ・セキュリティ・エージェント」が無償配布

【概要】
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始に伴い、開発されたセキュリティソフト「タチコマ・セキュリティ・エージェント」の無償配布を2018年6月1日より実施した。

【参考情報】
WarpDrive
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」の実証実験開始について | NICT-情報通信研究機構
 タチコマたちが並列化してサイバー攻撃に対応するソフト無償配布、「WarpDrive」プロジェクトが実証実験 - INTERNET Watch

フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報流出

【概要】
フランスのホテル予約サービス「ファストブッキング」が不正アクセスを受け、個人情報が流出した。
なお、不正アクセスが発生したのは、英語と韓国語、中国語の予約システムが稼働するサーバで発生した。

【参考情報】
【セキュリティニュース】委託先予約システムに不正アクセス、顧客情報12万件が流出 - プリンスホテル（1ページ目 / 全3ページ）：Security NEXT
ホテル予約のファストブッキング、サーバーに仕掛けられたバックドアから情報漏洩 | 日経 xTECH（クロステック）
マイステイズ・ホテルから約4万件の個人情報が流出か、被害広がるファストブッキング問題 | 日経 xTECH（クロステック）
プリンスホテルの委託先サイトに不正アクセス、12.5万件の情報漏えい - ZDNet Japan
ファストブッキングへの不正アクセスについてまとめてみた - piyolog

りそな銀行のインターネットバンキングシステムで障害が発生

【概要】
りそな銀行のインターネットバンキングシステムで障害が発生。米シマンテックが提供するサービスで不具合が発生したことが原因でワンタイムパスワードが入力できない状態になった。

【参考情報】
りそな銀などのシステム障害が復旧発生から約４時間：朝日新聞デジタル
 りそな銀行などインターネット振り込み復旧 | NHKニュース
 りそな銀行、セブン銀行でシステム障害。パスワードを入力できず

警察庁は仮想通貨マイニングツール(Coinhive等)を無断で設置していた容疑で複数名を摘発

【概要】
警察庁は仮想通貨マイニングツール(Coinhive等)を利用者に無断で設置していた容疑（「不正指令電磁的記録作成・提供罪」）で複数名を逮捕・書類送検した。

【参考情報】
仮想通貨マイニング（Coinhive）で家宅捜索を受けた話 - Webを楽しもう「ドークツ」
「マイニングツールを明示せずに設置、犯罪になる可能性」警察庁の注意喚起、ネット上で波紋 - ITmedia NEWS
Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開「他の人に同じ経験して欲しくない」 - ITmedia NEWS
「Coinhive」で家宅捜索を受けたサイト運営者が刑事裁判を起こすことを表明、支援の声続々【やじうまWatch】 - INTERNET Watch
サイト閲覧者リソースでマイニングを行うCoinhive利用者の摘発事件における真の問題点とは｜CoinChoice
仮想通貨マイニングツール事案をまとめてみた - piyolog

セキュリティレポートのアレコレ

NTTデータ先端技術株式会社

LAC

ルータのDNS設定を変更するサイバー攻撃にご用心 | セキュリティ対策のラック

サイバー救急センターレポート第3号 | セキュリティ対策のラック

MBSD

オンラインバンキングマルウェア「DreamBot(Ursnif/Gozi)」の今 | MBSD Blog

IIJ

wizSafe Security Signal 2018年5月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

piyolog

仮想通貨マイニングツール事案をまとめてみた - piyolog

ファストブッキングへの不正アクセスについてまとめてみた - piyolog

high-hill.html

第8回tktkセキュリティ勉強会に参加しました - high-hill.html

⇒Maltegoの使い方についてわかりやすかったので共有です

以上です。

今回もココまでy…あ！そうそう。僕海外デビューしてました。

speakerdeck.com

資料にしれっといれてくれたmoto_sato（@58_158_177_102）さん、ありがとうございますた！

というわけで今回もココまで読んでいただきありがとうございました。

ではでは！

･｡
☆｡∴｡｡　☆　･
　･ﾟ*｡★･
　　･｡･*･ﾟ｡　　･
　･ﾟ*｡･ﾟ★｡･
　　　☆ﾟ･｡･｡*･　ﾟ
　　　　ﾟ｡･*･｡ﾟ･
　　　ﾟ *･｡☆｡･★　･
　　･ ☆ ｡･ﾟ･*｡･ﾟ
　　　･　★ ﾟ･｡七夕～
　　　　･　　ﾟ
`／￣三＼　／￣三＼
｜　　三｜ /　　三｜
/　　三三Ｖ/|　三三)
L|　三三|∪ |　三三｜

＜更新履歴＞

2018/07/03 AM　公開

にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。