にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2018年12月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

あけましておめでとうございます。

今年もどうぞ「にゃん☆たく」をよろしくお願いいたします。

 

昨年は沢山の人との「繋がり」や「縁」を感じた一年でした。

今年はその「繋がり」や「縁」を大切にし、今よりも一歩前に進むよう頑張ります。

技術力をもっとつけるぞ!!!!

 

 というわけで、前月のまとめです。

脆弱性のアレコレ

Adobe Flash Playerに脆弱性

【概要】
Adobe Flash Player および Flash Player Installerに脆弱性が存在し、ユーザの権限で、任意のコードを実行される可能性がある。

 

【CVE番号】
CVE-2018-15982
CVE-2018-15983

 

【対象】
Adobe Flash Player Desktop Runtime 31.0.0.153 およびそれ以前
Adobe Flash Player for Google Chrome 31.0.0.153 およびそれ以前
Adobe Flash Player for Microsoft Edge and Internet Explorer 11 31.0.0.153 およびそれ以前
Adobe Flash Player Installer 31.0.0.108 およびそれ以前

 

【対策】
アップデートする

 

【参考情報】
JVNVU#99727863: Adobe Flash Player および Flash Player Installer に脆弱性
Adobe Flash Player の脆弱性 (APSB18-42) に関する注意喚起
Adobe Flash Player の脆弱性対策について(APSB18-42)(CVE-2018-15982等):IPA 独立行政法人 情報処理推進機構
Adobe Flashのゼロデイ脆弱性に注意 | マイナビニュース
アドビ、「Flash Player」の新たなゼロデイ脆弱性に対処する緊急パッチを公開 - ZDNet Japan


Microsoft製品の脆弱性

【概要】
Microsoft製品に関する脆弱性の修正プログラムが公開されたが、そのうち「CVE-2018-8611」の脆弱性については悪用の事実を確認済みとのことで注意が必要。
Windowsカーネルにおける特権を昇格させる脆弱性

 

【CVE番号】
CVE-2018-8611

 

【対象】
Microsoft製品

 

【対策】
修正プログラムの適用

 

【参考情報】
Microsoft 製品の脆弱性対策について(2018年12月):IPA 独立行政法人 情報処理推進機構
2018年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
マイクロソフトが月例パッチ公開、「Windows」のゼロデイ脆弱性を修正 - ZDNet Japan
【セキュリティ ニュース】MS月例パッチ修正の脆弱性、複数APTグループがゼロデイ攻撃に悪用か(1ページ目 / 全2ページ):Security NEXT

 

Kubernetes脆弱性

【概要】
Kubernetes脆弱性が存在し、特権昇格される可能性がある。
Kubernetes:コンテナ管理に用いるオープンソースフレームワーク

 

【CVE番号】
CVE-2018-1002105

 

【対象】
Kubernetes v1.0.x-1.9.x
Kubernetes v1.10.0-1.10.10
Kubernetes v1.11.0-1.11.4
Kubernetes v1.12.0-1.12.2

 

【対策】
アップデートする(以下本脆弱性修正済みバージョン)
Kubernetes v1.10.11
Kubernetes v1.11.5
Kubernetes v1.12.3
Kubernetes v1.13.0-rc.1

 

【参考情報】
Kubernetesの脆弱性情報(Critical: CVE-2018-1002105) - OSS脆弱性ブログ
三大クラウドのKubernetesの脆弱性(CVE-2018-1002105)対応状況メモ - Qiita
Kubernetesの権限昇格の脆弱性が公開(CVE-2018-1002105) - ブログ | Tenable®


phpMyAdminに複数の脆弱性

【概要】
phpMyAdminに複数の脆弱性が存在し、ローカルファイルを漏洩させてしまう可能性等がある。

 

【CVE番号】
CVE-2018-19968
CVE-2018-19969
CVE-2018-19970

 

【対象】
CVE-2018-19968
phpMyAdmin 4.0-4.8.3
CVE-2018-19969
phpMyAdmin 4.7.0-4.7.6, 4.8.0-4.8.3
CVE-2018-19970
phpMyAdmin 4.0-4.8.3

 

【対策】
アップデートする(以下本脆弱性修正済みバージョン)
phpMyAdmin 4.8.4

 

【参考情報】
phpMyAdmin - Security fix: phpMyAdmin 4.8.4 is released
phpMyAdminの複数の脆弱性情報(Severe(重大): CVE-2018-19968, Moderate: CVE-2018-19969, CVE-2018-19970) - OSS脆弱性ブログ
【セキュリティ ニュース】DB管理ツール「phpMyAdmin」に深刻な脆弱性 - 修正版が公開(1ページ目 / 全1ページ):Security NEXT

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2018年12月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Re: ヴィスト修正
あなたのパスワードが侵害されました
12月、原価請求書です。
8月、原価請求書です。
①(※)立替金報告書の件です。
②(※)申請書類の提出
③(※)注文書の件
④(※)請求データ送付します
⑤(※)納品書フォーマットの送付
(※) { * , - , _ , | , ~ } のいずれか
再度Amazonのアカウントの情報を入力してください。
定期安全検査を完成してください。
楽天市場】注文内容ご確認(自動配信メール)
NTT-X Store】商品発送のお知らせ
あなたのApple IDのセキュリティ質問を再設定してください。
警告!!:あなたのアカウントは閉鎖されます。


【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2018年12月にフィッシングサイト協議会で報告された情報は以下のとおり
※()は報告日時
三井住友銀行をかたるフィッシング (2018/12/25)
全国銀行協会をかたるフィッシング (2018/12/20)
Amazon をかたるフィッシング (2018/12/18)
Amazon をかたるフィッシング (2018/12/13) 
OMC Plus をかたるフィッシング (2018/12/10)

 

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報


注意喚起やニュースのアレコレ

「PayPay」でクレジットカード不正利用問題が発生

【概要】
「PayPay」でクレジットカード不正利用問題が発生。クレジットカード登録時のセキュリティコードの入力回数制限がされていなかった事が原因。

 

【参考情報】
3Dセキュア(本人認証サービス)の対応と、クレジットカード不正利用への補償について - PayPayからのお知らせ
クレジットカードご利用時の上限金額の設定について – PayPayからのお知らせ
PayPayの不正利用、どう防ぐ? 狙われるのは“ポイント付与”の1月か (1/2) - ITmedia NEWS
PayPay、不正利用の温床に…脆弱な安全対策で利用者が犠牲、“急ぎ過ぎ”がアダ | ビジネスジャーナル
100億円還元が裏目に出た「PayPay不正利用」、一定の補償負担の可能性も浮上か | BUSINESS INSIDER JAPAN
PayPay中山社長インタビュー 「100億円祭り」と「クレカ不正利用問題」が残したもの (1/3) - ITmedia Mobile


ヤマト運輸を騙る偽SMSが出回る

【概要】
ヤマト運輸を騙る偽SMSが出回っており注意が必要。なお、ヤマト運輸ではショートメールによる不在連絡やお届け予定のお知らせは行っていないとのこと。
また、合わせて佐川急便を装う偽SMSも引続き出回っており、そちらも注意が必要。

 

【参考情報】
ヤマト運輸の名前を装った迷惑メールにご注意ください | ヤマト運輸
佐川急便に続き、ヤマト運輸を偽装するSMSに注意 - IPA | マイナビニュース
「荷物届けに…」偽SMSに注意 記者のスマホにも来た:朝日新聞デジタル
宅配業者かたる偽のSMSに注意。配達通知など装い、個人情報を抜き取る手口 | ハフポスト
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構

 

大手ホテルチェーンのMarriott(マリオット)でデータ流出

【概要】
大手ホテルチェーンのMarriott(マリオット)でデータ流出が発覚し、最大で5億人の個人情報が流出した可能性があることが判明した。

 

【参考情報】
Marriott系列ホテル、2014年から不正アクセス 5億人の情報流出の恐れ - ITmedia NEWS
マリオットの情報流出、5億人に影響の恐れ--米でデータ保護関連法求める声も - ZDNet Japan
マリオットの情報流出、背後に中国の影--米中関係が緊張する中 - ZDNet Japan


最悪のパスワード2018年ランキングが公開

【概要】
最悪のパスワード2018年ランキングが公開された。設定している場合は変更することをお勧めする。

 

【参考情報】
最悪のパスワード2018年ランキング、‘donald’が23位でデビュー | TechCrunch Japan
最悪のパスワード2018年版、トップは安定の「123456」 - GIGAZINE
2018年版使ってはいけないNGパスワードトップ100が発表 | マイナビニュース
「最悪のパスワード」ランキング、6年連続で「123456」が1位 - ZDNet Japan


ソフトバンク回線で通信障害が発生

【概要】
2018年12月6日にソフトバンク回線で通信障害が発生し、約4時間半ほどソフトバンク回線が使用不能になった

 

【参考情報】
2018年12月6日に発生した携帯電話サービスの通信障害に関するおわび
https://www.softbank.jp/corp/set/data/group/sbm/news/press/2018/20181206_02/pdf/20181206_02.pdf
携帯電話サービスにおける通信障害の復旧について | プレスリリース | ニュース | 企業・IR | ソフトバンク
【復旧】携帯電話サービスにおける通信障害について|障害情報|お知らせ|Y!mobile - 格安SIM・スマホはワイモバイルで
ソフトバンクの障害情報に関するお知らせ
2018年12月に発生したソフトバンクの広域通信障害についてまとめてみた - piyolog
ソフトバンク、通信障害の原因を公表 エリクソン製交換機ソフトの「期限切れ」 - ITmedia NEWS

 

環境省の「GOTO-FOWTプロジェクト」のウェブサイトが改ざんされる

【概要】
環境省の「洋上風力発電実証事業」である「GOTO-FOWTプロジェクト」のウェブサイトが外部サイトへ誘導されるように改ざんされていた。

 

【参考情報】
環境省_洋上風力発電実証事業のサイトにおける不適切表示事案について
環境省のウェブサイトが改ざん、通販サイトに偽装 :日本経済新聞
【セキュリティ ニュース】環境省の洋上風力発電実証事業関連サイトが改ざん - 偽通販サイト設置、外部不正サイトへの誘導も(1ページ目 / 全1ページ):Security NEXT

 

セキュリティレポートのアレコレ

IPA独立行政法人情報処理推進機構

ひろげよう情報モラル・セキュリティコンクール
安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
年末年始における情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
内閣サイバーセキュリティセンターによる注意喚起について:IPA 独立行政法人 情報処理推進機構


JPCERT コーディネーションセンター

マルウエアへの感染を誘導し、仮想通貨を要求する脅迫メールについて
CSIRT構築および運用における実態調査
長期休暇に備えて 2018/12
Web Diary Professional を使用している Web サイトの改ざんについて
国際カンファレンス講演記 ~Black Hat USA, BSides LV, CODE BLUE~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
アフリカCSIRT構築支援 ~チュニジア編~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

 

Trend Micro

「2018 FIFAワールドカップ」から学ぶ スポーツイベントに便乗する脅威 | トレンドマイクロ セキュリティブログ
サイバー犯罪集団「Lazarus」が中南米の金融機関を狙うサイバー銀行強盗を継続 | トレンドマイクロ セキュリティブログ
「テレワーク」が法人ネットワークの新たな弱点に:2019年の脅威動向を予測 | トレンドマイクロ セキュリティブログ
Word文書のオンラインビデオに、不正なURLを隠ぺいする手口を解説 | トレンドマイクロ セキュリティブログ
SOHO 用ルータを狙う新しいエクスプロイトキット「Novidade EK」を確認 | トレンドマイクロ セキュリティブログ
Google Playで複数の偽音声アプリを確認、ボットネット構築機能の追加が予想される | トレンドマイクロ セキュリティブログ
人気SNSとステガノグラフィを利用したマルウェアとの通信手法を解説 | トレンドマイクロ セキュリティブログ


McAfee

マカフィーラボ、2019年の脅威予測レポート
情報漏えい被害|発生原因ワースト10と実施すべき4つのルール・対策
内部不正の実態と原因|被害を予防するために知るべき具体的な対策
Shamoonが新たなツールキットを使用して感染システムを破壊

 

LAC

「i-FILTER」に複数の脆弱性。導入企業は最新版に更新を(JVN#32155106) | セキュリティ対策のラック

 

IIJ

wizSafe Security Signal 2018年11月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

 

Tokyo SOC Report

マルウェア「Ursnif」への感染を狙う不正な日本語メールの検知状況 - Tokyo SOC Report

 

piyolog

2018年12月に発生したソフトバンクの広域通信障害についてまとめてみた - piyolog
PayPayに関連するインシデントについてまとめてみた - piyolog
ランサムウェア感染によるブルーチップのシステム障害についてまとめてみた - piyolog
米国新聞社で発生したサイバー攻撃についてまとめてみた - piyolog

 

徳丸浩の日記

2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 

       あけましてワッショイ!!
     \\  おめでとうワッショイ!! //
 +   + \\ お正月ワッショイ!!//+
   +                        +
  +      (::゚:)     (::゚:)     (::゚:)     +
.   +   (    )   (    )  (    )  +
      ( ´∀`∩(´∀`∩)( ´∀`)
 +  (( (つ   ノ(つ  丿(つ  つ ))  +
       ヽ  ( ノ ( ヽノ  ) ) )
       (_)し' し(_) (_)_)

 

<更新履歴>

2019/01/07  PM 公開