2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

平成最後の夏は皆さんいかがだったでしょうか。

にしても猛暑な夏でしたね･･･今年の夏は暑かったという印象しか正直ありません。

さて、そんな今年の夏、去年に引き続きコチラにお邪魔させていただきました。

f:id:mkt_eva:20180902223212j:plain

セキュリティ・キャンプ全国大会2018です！

セキュリティ・キャンプ全国大会2018 ホーム：IPA 独立行政法人情報処理推進機構

今年も企業のお仕事紹介の時間にお邪魔し、参加者の皆様の前でお話させていただきました。

また、その後のグループワーク時にも多くの学生さんとお話させていただき、こちらとしても非常に刺激を受けました。さすがキャンプに参加するだけにセキュリティに対する『愛』を持っている皆さんばかりでした。

話してくれた皆さん、ありがとうございました。

そうそう、今年から『にゃん☆たく』の名刺も作って持参してました。笑

今日は本当に多くの参加者の方々と交流する事が出来ました。ありがとうございました😆
キャンプで経験した事は後で『役に立った』と思える日が必ずくると思います。
一緒にこれからの日本のセキュリティを盛り上げていきましょう！またどこかでお会いできる日を楽しみにしてます！ではでは！#seccamp pic.twitter.com/wSErDUbK7l
— にゃん☆たく (@taku888infinity) August 17, 2018

セキュリティキャンプに参加していた皆さんの体験記を収集して載せようと準備してたのですが、、、、

467さん（４６７ (@srn221B) | Twitter）がこのようなまとめを公開してくれていたので、セキュリティキャンプに興味のある方はぜひ読んでみてください。

467.hatenablog.com

各自のこういうアウトプットって僕は大事だと思っています。

僕はまだまだセキュリティの「セ」の字もわかっていない人間ですが、ブログやTwitterではどんどんアウトプットするようにして、色んな意見（特に悪い意見）を聞くようにしています。

アウトプットすることで自分では気づけないことに「気づける」ということが、セキュリティ関係なく大事だとぼくは思っています。

というわけで前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Apache Struts2に脆弱性(S2-057)

【概要】
Apache Struts2にはユーザ入力の不十分な検証に起因する脆弱性が存在し、リモートから第三者により細工されたリクエストを処理することで、アプリケーションの権限で任意のコードを実行される可能性がある

※本脆弱性は、Apache Struts 2 の処理に起因し、Struts の設定ファイル(struts.xmlなど) で namespace の値が指定されていないか、ワイルドカードが指定されている場合、あるいは、URL タグの記述において value かaction の値が指定されていない場合に、本脆弱性の影響を受ける（IPAの『Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起』より抜粋）

【CVE番号】
CVE-2018-11776
S2-057

【対象】
・Struts 2.3 系列: Struts 2.3.35 より前のバージョン
・Struts 2.5 系列: Struts 2.5.17 より前のバージョン

【対策】
▼アップデートする
本脆弱性修正済みバージョンは以下のとおり
・Struts 2.3.35
・Struts 2.5.17

▼ワークアラウンドを実施する
⇒Struts の設定で namespace の値を設定し、url タグの value および action 値を指定する

【参考情報】
Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)：IPA 独立行政法人情報処理推進機構

Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

Apache Struts2 の脆弱性対策情報一覧：IPA 独立行政法人情報処理推進機構

JVNVU#93295516: Apache Struts2 に任意のコードが実行可能な脆弱性

【セキュリティニュース】WordPressの脆弱な追加機能狙う攻撃 - サイト間感染のおそれも（1ページ目 / 全2ページ）：Security NEXT

「Apache Struts 2」に重大な脆弱性、直ちに更新を - ITmedia エンタープライズ

「Apache Struts 2」にリモートコード実行を可能にする脆弱性--パッチの適用を - ZDNet Japan

「Apache Struts 2」の脆弱性を悪用した攻撃コードが出回る、早急に修正版へのアップデートを - INTERNET Watch

CVE-2018-11776 - 脆弱性調査レポート | ソフトバンク・テクノロジー

Apache Struts 2におけるリモートコード実行に関する脆弱性（CVE-2018-11776）（S2-057）についての検証レポート | NTTデータ先端技術株式会社

Ghostscriptに脆弱性

【概要】
Ghostscript には -dSAFER オプションによる保護が回避される複数の脆弱性が存在し、リモートから第三者によって、任意のコマンドを実行される可能性がある

【CVE番号】
無し

【対象】
Ghostscript9.23およびそれ以前
⇒ImageMagick7.0.8-10 およびそれ以前
※ImageMagickはデフォルトでGhostscriptを使用しています

【対策】（※9月1日現在）
▼ワークアラウンドを実施する
⇒ImageMagick の policy.xml で PS, EPS, PDF, XPS を無効にする
⇒Ghostscript を削除する
⇒修正パッチを適用して Ghostscript をコンパイルしなおす

【参考情報】
Ghostscript の -dSAFER オプションの脆弱性に関する注意喚起
 JVNVU#90390242: Ghostscript に -dSAFER オプションによる保護が回避される複数の脆弱性
 【セキュリティニュース】「Ghostscript」に保護機能回避の脆弱性が再び - 「ImageMagick」などにも影響（1ページ目 / 全1ページ）：Security NEXT
Ghostscriptに任意のコマンド実行可能な脆弱性 | マイナビニュース
 Ghostscript脆弱性とImageMagick/GraphicsMagick、そしてGoogle Project Zero - ろば電子が詰まっている

BIND 9に脆弱性

【概要】
BIND 9に脆弱性が存在し、第三者によるリモートからの攻撃によってnamedが終了する可能性がある

【CVE番号】
CVE-2018-5740

【対象】
BIND 9.7.0 から 9.8.8
BIND 9.9.0 から 9.9.13
BIND 9.10.0 から 9.10.8
BIND 9.11.0 から 9.11.4
BIND 9.12.0 から 9.12.2
BIND 9.13.0 から 9.13.2

【対策】
▼アップデートする
本脆弱性修正済みバージョンは以下のとおり
・9.9.13-P1

・9.10.8-P1

・9.11.4-P1

・9.12.2-P1

▼ワークアラウンドを実施する
⇒"deny-answer-aliases" 機能を無効にする

【参考情報】
BIND 9.xの脆弱性（DNSサービスの停止）について（CVE-2018-5740）
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2018-5740) に関する注意喚起
 JVNDB-2018-006248 - JVN iPedia - 脆弱性対策情報データベース
 BIND 9にDoSの脆弱性、アップデートを | マイナビニュース
 【セキュリティニュース】「BIND 9」にDoS攻撃を受けるおそれ - アップデートがリリース（1ページ目 / 全1ページ）：Security NEXT

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年8月に出回った不審なメールの件名は以下のとおり

【件名一覧】
ご請求額の通知
インボイス
プロジェクト
写真
支払い
文書
請求・支払データ
資料
インボイス　Re: 進捗
注文書[※]
※：任意の数字列
＜要返信：ＦＡＸ＞営業○・出荷×
お世話になります
ご確認ください
写真添付
写真送付の件

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター

外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2018年8月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時

Amazon をかたるフィッシング (2018/08/27)
LINE をかたるフィッシング (2018/08/24)
セゾン Net アンサーをかたるフィッシング (2018/08/20)
[更新] MUFG カードをかたるフィッシング (2018/08/13)
佐川急便をかたるフィッシング (2018/08/10)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

仮想通貨を要求する脅迫メールに注意

【概要】
英文でメール本文に、メール受信者のパスワードが記載され、「ポルノ動画を閲覧している姿をWebカメラで撮影した」「拡散されたくなければ仮想通貨を支払え」などと脅迫してくる不審なメールが出回っており、注意が必要。要求には応じず、メール本文に記載されたパスワードを利用してるサービスがあれば、パスワードの変更などを行っておくこと。

【参考情報】
仮想通貨を要求する不審な脅迫メールについて
 仮想通貨を要求する脅迫メールが拡散 - ITmedia ビジネスオンライン
 「ポルノを見ているお前を盗撮した」と脅迫し、動画を人質に身代金を要求するサイバー攻撃が急増中 - GIGAZINE

拡張子「.iqy」のファイルが添付された不審メールが出回る

【概要】
拡張子「.iqy」のファイルが添付された不審メールが国内で約29万通出回った。なお出回った期間は、2018年8月6日と2018年8月8日。

【参考情報】
新手口のメール攻撃、国内で確認大量送信、6日に29万件 - 共同通信
 拡張子「.iqy」のファイルが添付されたスパムメール、国内で29万通確認 | マイナビニュース
 拡張子「.iqy」の添付ファイルに注意！ウイルス感染狙うメールが1日だけで29万件も拡散 - INTERNET Watch
【セキュリティニュース】拡張子「.iqy」ファイルに注意 - 数十万件規模でマルウェアメールが流通（1ページ目 / 全2ページ）：Security NEXT
拡張子「iqy」のファイルを使う攻撃に注意--Excelを悪用 - ZDNet Japan
拡張子 ".iqy" のファイルとは？ 1 日でメール 29 万通が日本国内に拡散 | トレンドマイクロセキュリティブログ
 IQY and PowerShell Abused by Spam Campaign to Infect Users in Japan with BEBLOH and URSNIF - TrendLabs Security Intelligence Blog
https://www.ipa.go.jp/files/000068065.pdf
2018/08/08(水) 『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査 - bomb_log
2018/08/06(月) 『お世話になります』『ご確認ください』『写真添付』『写真送付の件』の調査 - bomb_log

佐川急便をかたるショートメッセージサービス（SMS）に注意

【概要】
佐川急便をかたるショートメッセージサービス（SMS）が急増し、注意が必要。
Android端末→不審なアプリをインストールさせる
Andorid端末以外→フィッシングサイトに誘導、キャリア決済の情報を盗まれる

【参考情報】
安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 佐川急便かたるSMSに新たな手口 iPhoneユーザー標的か携帯番号・認証コード詐取 - ITmedia NEWS
佐川急便かたるSMSの相談急増 IPAが対策公開 - ITmedia NEWS
Androidで方法が異なる「不審なアプリ」対策の注意点 - ZDNet Japan
偽の「佐川急便」SMSに新たな手口か--携帯電話番号を窃取 - ZDNet Japan
IPA、佐川急便を名乗る偽のショートメッセージに注意喚起 | マイナビニュース

JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定

【概要】
JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定され一時的にアクセスできない事案が発生した

【参考情報】
JPCERT/CC Webサイトにアクセスできない事象について
 セキュリティサイト“JPCERT/CC”が一時不通に～アンチウイルス製品がフィッシング判定 - 窓の杜
 セキュリティ製品がJPCERT/CCサイトをフィッシング判定--改ざんはなし - ZDNet Japan
【セキュリティニュース】セキュリティ製品によるJPCERT/CCサイトの誤検知が復旧（1ページ目 / 全1ページ）：Security NEXT

日本語のビジネスメール詐欺（BEC）に注意

【概要】
日本語のビジネスメール詐欺（BEC）について初めてIPAに対し情報提供が行われた。

【参考情報】
【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口（続報）：IPA 独立行政法人情報処理推進機構
 日本語のビジネスメール詐欺がついに発生、IPAが注意喚起 | 日経 xTECH（クロステック）
「ビジネスメール詐欺」は差し迫った脅威--IPAが注意喚起 - ZDNet Japan
日本のビジネスメール詐欺被害は1000万円以上が過半数--トレンドマイクロ調査 - ZDNet Japan
【セキュリティニュース】「機密扱いで頼む」との社長メール、実は詐欺 - 日本語「BEC」見つかる（1ページ目 / 全3ページ）：Security NEXT
ドルチェ＆ガッバーナの日本法人が元社長を提訴 3億円の詐欺被害で - ライブドアニュース

セキュリティレポートのアレコレ

今回もココまで読んでいただきありがとうございました。

ではでは！

　　／￣￣＼
　 /　　　⊂二二⊃
　｜　　　　｜⊂二⊃
⊂二⊃　　　/
　　＼＿＿／
　　　　　　∧∧
　　　　　 (　三)
　　　　 /⌒ 三ヽ
――――-/ /　三||-
　　　　(_人_三ノ_)

＜更新履歴＞

2018/09/03 AM　公開

にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2018年8月に起こったセキュリティニュースのアレコレをまとめてみた。

脆弱性のアレコレ

Apache Struts2に脆弱性(S2-057)

Ghostscriptに脆弱性

BIND 9に脆弱性

不審なメールや偽サイトのアレコレ

不審なメール情報

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

仮想通貨を要求する脅迫メールに注意

拡張子「.iqy」のファイルが添付された不審メールが出回る

佐川急便をかたるショートメッセージサービス（SMS）に注意

JPCERT/CCのサイトが一部のアンチウイルス製品でフィッシングサイト判定

日本語のビジネスメール詐欺（BEC）に注意

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

JPCERT コーディネーションセンター

Trend Micro

McAfee

LAC

MBSD

NTTデータ先端技術株式会社

IIJ

ソフトバンク・テクノロジー

piyolog