2018年7月に起こったセキュリティニュースのアレコレをまとめてみた。
どもどもにゃんたくです(「・ω・)「ガオー
夏本番な8月になってしまいましたね。
なんだかここ1ヶ月、関西の豪雨や台風の急激な進路変更、 連続する猛暑日などなど他人事ではない『災害』が多発していた気がします。
地震などの災害の多い日本では『いつ起きるかわからない』災害に対して、時間やお金、人を導入して対策しておくことを常に考えている国でもあります。
しかし、対策をしていたとしても被害は出てしまいます。
どう対策をとっておくか、という先を見据えた投資をするかしないかで被害を少しでも減らせるかどうかが大事なポイントになってくるわけです。そしてもちろん被害を受けた後にどうするか、まで考えないといけないと思います。
セキュリティも全く同じで、組織であれば、いつどのタイミングでサイバー攻撃を受けるかわかりません。個人であっても、例えばスマホやPCがマルウェアにいつ感染するかわかりませんし、Webサービスのアカウントがいつのっとられるかもわかりません。
そうなってしまう前に対策できることは多少のコストはかかるかもしれないけれど、対策はとっておくべきだと思います。そして、もし被害を受けてしまった場合に備え、被害後にどう動くかまでの仕組みを考えておくべきだと思います。
というわけで前月のまとめです。
脆弱性のアレコレ
Oracle WebLogic Serverに複数の脆弱性
【概要】
Oracleが四半期に1度の定例アップデート「クリティカルパッチアップデート(CPU)」をリリースし、「Oracle WebLogic Server」における複数の脆弱性を修正した。ただし、既に一部の脆弱性については攻撃に悪用されていることが確認された。なお本脆弱性を悪用することにより、第三者からリモートで情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 攻撃が行われる可能性がある。
【CVE番号】
CVE-2018-2893
CVE-2018-2894
【対象】
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
【対策】
・対策が施されたパッチ情報の詳細については、7月18日時点の公開情報では確認できませんでしたので、Oracle 社等に確認
・T3/T3s プロトコルへの適切なアクセス制限 (フィルタ) を設定する
⇒ネットワーク接続フィルタの使い方
ネットワーク接続フィルタの使い方
【参考情報】
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JVNDB-2018-005568 - JVN iPedia - 脆弱性対策情報データベース
JVNDB-2018-005569 - JVN iPedia - 脆弱性対策情報データベース
CPU July 2018
【セキュリティ ニュース】複数「WebLogic Server」脆弱性、早くも悪用や実証コード(1ページ目 / 全2ページ):Security NEXT
2018年7月の定期パッチで修正されたOracle WebLogic Server の脆弱性(CVE-2018-2894)について - 生産性のない話
Weblogicの任意のコード実行(CVE-2018-2894)
ハニーポット観察記録(46)「WebLogic Server の CVE-2018-2894 の脆弱性に対する攻撃」 at www.morihi-soc.net
不審なメールや偽サイトのアレコレ
不審なメール情報
2018年7月に出回った不審なメールの件名は以下のとおり
【件名一覧】
【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
取引情報が更新されました
【発注書受信】
備品発注依頼書の送付
依頼書を
送付しますので
発注依頼書
㈱ 発注書
18/07 製造依頼
のご注文ありがとうございます
ダイレクトメール発注
7月
Fw: 資料
ご確認ください
上記書類を送付します。
表題の資料を送付いたします。
再送
申込書類の送付
資料添付します。
カード利用のお知らせ
書類について
写真
写真送ります。
現場写真
見積書再送付致します
【至急】対応お願い致します
【その2】
【楽天市場】注文内容ご確認(自動配信メール)
【楽天カード】カードご請求金額のご案内
【速報版】カード利用のお知らせ(本人ご利用分)
写真送付の件
写真添付
イメージ送付
7月度発注書送付
注文書をお送りいたします
invoice/証明書
【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート
不審な偽サイト(フィッシングサイト)情報
2018年7月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
[更新] MyJCB をかたるフィッシング (2018/07/24)
[更新] ソフトバンクをかたるフィッシング (2018/07/04)
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報
注意喚起やニュースのアレコレ
豪雨被災地支援「Yahoo!ネット募金」の偽サイトについて注意喚起
【概要】
今年7月上旬に西日本に被害を与えた「平成30年7月豪雨」を支援する「Yahoo!ネット募金」の偽サイトが作成され、ヤフーが注意喚起を行った
【参考情報】
【重要】当社をかたるフィッシングメール、不正メールにご注意ください。 - お知らせ - Yahoo!ネット募金
豪雨被災地支援「Yahoo!ネット募金」の偽サイト確認、注意喚起 - ITmedia NEWS
西日本豪雨「Yahoo!募金」の偽サイトにご注意 中国で取得か
Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示
【概要】
Google Chrome 68がリリースされ、HTTP接続のサイトが「保護されていません」と表示。
また、加えて、“iframe”リダイレクトの仕組みを悪用してユーザーを不審なサイトへ誘導する悪質な広告をブロックする機構が導入。
【参考情報】
Chrome Releases: Stable Channel Update for Desktop
全てのHTTPサイトに「保護されていません」の警告、「Chrome 68」リリース - ITmedia エンタープライズ
HTTP接続のサイトが「保護されていません」と表示されるGoogle Chrome 68安定版リリース - GIGAZINE
HTTP接続サイトは“安全でない”サイト扱いに ~「Google Chrome 68」が正式公開 - 窓の杜
マイクロソフトの脆弱性緩和ツール「EMET」のサポートが7月31日で終了
【概要】
マイクロソフトが無償で提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了。
なお、「Windows 10」では「EMET」の機能が“Windows Defender Exploitation Guard”として統合されている
【参考情報】
EMET サポート終了 – Windows Defender Exploitation Guard へ移行を – 日本のセキュリティチーム
Microsoftが無償提供する脆弱性緩和ツール「EMET」のサポートが7月31日で終了 - 窓の杜
脆弱性緩和ツールEMET今月でサポート終了、Windows Defender Exploit Guardへ - 日本マイクロソフト セキュリティチーム | マイナビニュース
多摩都市モノレールでサイバーセキュリティ被害が発生
【概要】
多摩都市モノレールの業務用ファイルサーバが、ランサムウェアに感染したことが判明
モノレールの運行については、別のシステムで管理しており、影響なかった
【参考情報】
http://www.tama-monorail.co.jp/info/list/mt_img/180713%20press.pdf
多摩モノレールにサイバー攻撃 :日本経済新聞
【セキュリティ ニュース】ランサムウェアの感染被害が発生、運行には影響なし - 多摩都市モノレール(1ページ目 / 全1ページ):Security NEXT
電子マニュアル作成支援のスタディスト、マニュアル作成サービスへの不正アクセスは作業ミスによるものと発表
【概要】
電子マニュアル作成支援のスタディスト、マニュアル作成サービス「Teachme Biz」への不正アクセスは所属するインフラ技術者が開発環境構築の過程で誤って本番環境のDBを参照してコマンドを実行した作業ミスにより発生したと発表
【参考情報】
不正アクセスによる一部データ流出の可能性に関する詳細調査のご報告(最終報) - 株式会社スタディスト
スタディスト事件、作業ミスを不正アクセスと検知し情報流出はなかったと報告 | 日経 xTECH(クロステック)
【セキュリティ ニュース】マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因(1ページ目 / 全1ページ):Security NEXT
産総研の不正アクセスについて被害状況の調査結果や再発防止策を公表
【概要】
産業技術総合研究所のシステムが不正アクセスを受けた問題で、産総研は被害状況の調査結果や再発防止策を公表
【参考情報】
産総研:「産総研の情報システムに対する不正なアクセスに関する報告」について
【セキュリティ ニュース】産総研への不正アクセス、職員ID約8000件でPW試行 - 平日夕方から深夜に活動(1ページ目 / 全4ページ):Security NEXT
産総研を襲った謎の手口、セキュリティ対策に新たな教訓 | 日経 xTECH(クロステック)
産総研のセキュリティインシデント--被害が拡大したマネジメントの課題 - ZDNet Japan
ロシアワールドカップでは、サイバー攻撃が2500万件発生
【概要】
ロシアワールドカップの期間中(6月14日~7月15日)、サイバー攻撃が2500万件発生していた事を、ロシアのプーチン大統領が明かした。
だが、サイアー攻撃の性質や攻撃元の情報などは明かされていない。
【参考情報】
サイバー攻撃2500万回=サッカーW杯期間中、ロシアヘ-プーチン大統領:サッカーロシアW杯2018:時事ドットコム
W杯期間中のロシアにサイバー攻撃2500万件、プーチン氏明かす 写真1枚 国際ニュース:AFPBB News
ワールドカップロシア大会期間中に約2,500万回のサイバー攻撃、プーチン氏が発表
「佐川急便」をかたる偽SMSが急増
【概要】
「佐川急便」をかたる偽SMSが急増しており、偽SMSから偽サイトに誘導され不審なアプリをインストールしてしまう可能性がある
【対策・注意点】
・佐川急便はSMSを不在通知に使わない
・佐川急便の公式サイトは「http://www.sagawa-exp.co.jp/」であり、これ以外のURLは偽サイトである
※ただし「sagawa-●●.com」という偽ドメインも第三者により大量に取得されているため注意が必要
・Android端末で「提供元不明のアプリのインストールを許可する」という設定項目を『許可しない(無効にする)』に設定する
・不正のアプリをインストールしてしまった場合はスマホを機内モードにして大事なファイルのバックアップ等をとっておき、アプリの削除や携帯会社のサポートに相談する
【参考情報】
「佐川急便」をかたる偽SMSが横行 不正アプリを導入しないで! : 科学 : 読売新聞(YOMIURI ONLINE)
「佐川急便の偽サイト」に学ぶAndroidの防御法 見直す設定はたった1つ (1/2) - ITmedia NEWS
佐川急便装う迷惑メール急増 「不在通知」「1340万円配達します」など、23の事例で注意喚起 - ITmedia NEWS
佐川急便を名乗るスパムが急増、SMSから偽サイトに誘導 自動でプリペイドカードを買わされるなどの被害も - ねとらぼ
News Up 本物そっくり!?「偽・佐川」に厳重注意を! | NHKニュース
大手企業に偽装する不正アプリ「FAKESPY」、日本と韓国の利用者から情報窃取 | トレンドマイクロ セキュリティブログ
実例で学ぶネットの危険:「通知 お客様宛にお荷物のお届きました」 | トレンドマイクロ セキュリティブログ
ドコモからのお知らせ : 運送会社などを装った迷惑SMS・メールにご注意ください | お知らせ | NTTドコモ
【再周知】運送会社などを装った不審なメールにご注意ください
運送会社などを装った不審なメールに関するご注意 | モバイル | ソフトバンク
セキュリティレポートのアレコレ
IPA(独立行政法人情報処理推進機構)
サイバーレスキュー隊(J-CRAT)活動状況[2017年度下半期]
https://www.ipa.go.jp/files/000067854.pdf
サイバー情報共有イニシアティブ(J-CSIP) 運用状況
[2018年4月~6月]
https://www.ipa.go.jp/files/000068064.pdf
情報セキュリティ白書2018:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
コンピュータウイルス・不正アクセスの届出状況および相談状況[2018年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
JPCERT コーディネーションセンター
2018年 7月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
JPCERT/CC 感謝状 2018
JPCERT/CC 活動概要 [2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/PR20180712.pdf
JPCERT/CC インシデント報告対応レポート[2018年4月1日~2018年6月30日]
http://www.jpcert.or.jp/pr/2018/IR_Report20180712.pdf
Webサイトへのサイバー攻撃に備えて 2018年7月
ソフトウェア等の脆弱性関連情報に関する届出状況[2018年第2四半期(4月~6月)]
http://www.jpcert.or.jp/press/2018/vulnREPORT_2018q2.pdf
Cisco Webex Teams の脆弱性 (CVE-2018-0387) について
FIRST PSIRT Services Framework
ランサムウエアの脅威動向および被害実態調査報告書
Cobalt Strike Beaconを検知するVolatility Plugin(2018-07-31)
Trend Micro
バンキングトロジャンによる国内クレジットカード情報の詐取被害を確認 | トレンドマイクロ セキュリティブログ
巧妙なバンキングトロジャンの活動を実現する「Web インジェクションツール」とは? | トレンドマイクロ セキュリティブログ
SSH サービスを狙うボットを確認、不正サイトを介して仮想通貨発掘ツールをインストール | トレンドマイクロ セキュリティブログ
主要エクスプロイトキットの活動状況、2016 年後半の急減以降も活動は継続 | トレンドマイクロ セキュリティブログ
標的型サイバー攻撃キャンペーン「BLACKGEAR」が再登場、ソーシャルメディアを悪用し C&C サーバ情報を隠ぺい | トレンドマイクロ セキュリティブログ
バンキングトロジャンのメール経由拡散を支える「スパムボット」 | トレンドマイクロ セキュリティブログ
McAfee
McAfee Labs 2018年第1四半期 脅威レポートを発表(サマリー)
SIEMと他ソリューション連携による運用効率化例
不正アクセスされないために!手口と被害例から見る対策と対処方法
2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80選
サイバー攻撃|日本の現状―増える件数とセキュリティ人材不足の対策
ファイルレスの脅威 CactusTorchが.NETを悪用し標的に感染
MBSD
Burp Suite Japan LT Carnivalイベントレポート
IIJ
wizSafe Security Signal 2018年6月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
piyolog
経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた - piyolog
2018年7月に発生した国内サイト、メールの障害報告についてまとめてみた - piyolog
多摩都市モノレールのランサムウェア被害についてまとめてみた - piyolog
というわけで今回もココまで読んでいただきありがとうございました。
ではでは!
夏だ! ___
/⌒ ⌒\
/(⌒) (⌒)ヽ
(⌒) ⌒(_人_)⌒ (⌒)
`\ \ |┬| / /
\ ヽノ /
| ・ ・ |
| |
| ̄ ̄ ̄ ̄ ̄|
|__/\__|
( ( ) )
(__) (__)
<更新履歴>
2018/08/02 AM 公開