にゃんたくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2020年6月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(「・ω・)「ガオー

 

先月も書きましたが、5月末に@ITセキュリティセミナーで登壇させていただきました。

はじめてのオンライン登壇で緊張してしまったのと、やはりオフライン登壇のように相手が見えないのはなかなか反応がわからず不安になりましたね。ただ、登壇して気付いたこともあったので、それは次回以降活かせるかなと思いました。

見てくださった方々からはいくつか感想を頂きました。非常に嬉しかったです。励みになります。もし動画内容について、当日聞けなかったから聞いてみたいという方はご相談くださいませ。

 

そういえば先月僕のTwitterで「伸びた」ものでこちらを読者の皆さんに紹介します。

日々僕はフィッシングサイトやフィッシングメールの情報を追いかけているのですが、見分け方のひとつとしてメディア等で「https」化されている場合は安心という事が報道される事があります。しかしながら、もうフィッシングサイトのほとんどが「https」化されているのが現状です。このことは是非知っておいてください。

 

では、前月のまとめです。

 

脆弱性のアレコレ

BIND9に複数の脆弱性

【概要】
BIND9に複数の脆弱性が存在し、第三者によって外部からnamedを異常終了させられる可能性がある。

【CVE番号】
CVE-2020-8618
CVE-2020-8619

【対象】
▼CVE-2020-8618
BIND 9.16.0から9.16.3までのバージョン

▼CVE-2020-8619
BIND 9.11.14から9.11.19までのバージョン
BIND 9.14.9から9.14.12までのバージョン
BIND 9.16.0から9.16.3までのバージョン
BIND Supported Preview Edition 9.11.14-S1から9.11.19-S1までのバージョン

【対策】
アップデートする(下記本脆弱性対応済みバージョン)
BIND 9.16.4
BIND 9.11.20
BIND 9.11.20-S1

【参考情報】
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8619)
BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2020-8618)
ISC BIND 9 における脆弱性 (CVE-2020-8618、CVE-2020-8619) について
BIND 9の複数の脆弱性情報(Medium: CVE-2020-8618, CVE-2020-8619)と新バージョン(9.11.20, 9.16.4, 9.17.2) - OSS脆弱性ブログ
【セキュリティ ニュース】「BIND 9」に2件のサービス拒否脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT


IP-in-IPプロトコルに脆弱性

【概要】
IP-in-IP(IP Encapsulation within IP:IPパケットに別のIPパケットをカプセル化することができる)プロトコルでカプセル化されたIPパケットを解除や転送する際の確認を行っていない機器の場合、攻撃者によって任意の宛先にパケットが転送されてしまう可能性がある。

【CVE番号】
CVE-2020-10136

【対象】
IP-in-IP プロトコルをサポートし、送信元や宛先アドレスの制御が適切に行われていない機器

【対策】
アップデートする
IP-in-IP を無効化する
PoC を確認する
侵入検知システムでフィルタリングする

【参考情報】
JVNTA#90492923: IP-in-IP プロトコルによる IP トンネリングが悪用され任意の宛先にパケットが送信される問題
【セキュリティ ニュース】一部ネットワーク機器に「DDoS攻撃」や「アクセス制御回避」の脆弱性(1ページ目 / 全1ページ):Security NEXT
IP-in-IPプロトコルにDDoS攻撃や情報漏えいなどを受ける脆弱性(JVN) | ScanNetSecurity
CVE-2020-10136~IP-in-IPに脆弱性… - wakatonoの戯れメモ
【参考Tweet】

 
QNAP製NASに脆弱性

【概要】
QNAP製NASに「Photo Station」の脆弱性が存在し、ランサムウェアに感染する可能性がある

【対象】
QTS 4.4.1: build 20190918 より前のバージョン
QTS 4.3.6: build 20190919 より前のバージョン
QTS 4.4.1: Photo Station 6.0.3 より前のバージョン
QTS 4.3.4 から QTS 4.4.0: Photo Station 5.7.10 より前のバージョン
QTS 4.3.0 から QTS 4.3.3: Photo Station 5.4.9 より前のバージョン
QTS 4.2.6: Photo Station 5.2.11 より前のバージョン

【対策】
アップデートする

【参考情報】
QNAP 社製 NAS および Photo Station に影響を与えるランサムウエアに関する情報について
QNAP NASの脆弱性悪用して感染するランサムウェア確認、対応を | マイナビニュース
JPCERT/CC、QNAP製NASの脆弱性を悪用した攻撃に対する注意喚起 | マイナビニュース
【セキュリティ ニュース】QNAP製NASの脆弱性狙うランサムウェア「eCh0raix」に注意(1ページ目 / 全3ページ):Security NEXT

 

Palo Alto Networks製品に脆弱性

【概要】
Palo Alto Networks製品に脆弱性が存在し、外部から第三者によって認証を回避されSAML認証によって保護されたリソースにアクセスされる可能性がある

【CVE番号】
CVE-2020-2021

【対象】
PAN-OS 9.1.x 系のうち、9.1.3 より前のバージョン
PAN-OS 9.0.x 系のうち、9.0.9 より前のバージョン
PAN-OS 8.1.x 系のうち、8.1.15 より前のバージョン
PAN-OS 8.0.x 系のすべてのバージョン

【対策】
アップデートする(下記本脆弱性対応済みバージョン)
PAN-OS 9.1.3 およびそれ以降のバージョン
PAN-OS 9.0.9 およびそれ以降のバージョン
PAN-OS 8.1.15 およびそれ以降のバージョン

【参考情報】
Palo Alto Networks 製品の脆弱性 (CVE-2020-2021) について
【セキュリティ ニュース】Palo Alto Networksの「PAN-OS」に認証回避の脆弱性 - VPNなども影響(1ページ目 / 全2ページ):Security NEXT
Palo Alto NetworksのPAN-OSに認証回避の脆弱性、アップデートを | マイナビニュース

【参考Tweet】

 

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年6月に出回った不審なメールの件名は以下のとおり

【件名一覧】
アカウントとオファーは一時的に禁止されます。
アカウントのセキュリティ審査を実施してください。
Apple IDのログイン異常
Amazon異常は検出されました。
Amazonアカウントを利用制限しています
Apple IDについての重要なお知らせ
【重要】楽天株式会社から緊急のご連絡
お客様のAmazon IDはロックされました
異常なログインが見つかり
再度Apple IDアカウントの情報を入力してください。
Amazonアカウントを更新する
Appleアカウントを更新する

【参考情報】

注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
ばらまき型メールカレンダー - Google スライド
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

 

不審な偽サイト(フィッシングサイト)情報

2020年6月にフィッシングサイト対策協議会で報告された情報は以下のとおり

※()は報告日時
楽天をかたるフィッシング (2020/06/25)
[更新] au をかたるフィッシング (2020/06/25)
エポスカードをかたるフィッシング (2020/06/11)
楽天をかたるフィッシング (2020/06/05)
メルカリをかたるフィッシング (2020/06/02)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

 

注意喚起やニュースのアレコレ

ドメインレジストラの不具合を利用しドメイン名ハイジャックが発生

【概要】
ドメインレジストラ(お名前.com)の不具合を利用され、Coincheckとbitbankでドメイン名ハイジャックが発生した

【参考情報】
当社利用のドメイン登録サービス「お名前.com」で発生した事象について(最終報告) | コインチェック株式会社
2020年6月に発生したドメイン名ハイジャックのインシデント対応について - coincheck tech blog
当社利用のドメイン登録サービスにおける不正アクセスについて
2020.06.03【お知らせ】お名前.com Naviで発生した事象につきまして|お知らせ|ドメイン取るならお名前.com
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
コインチェックのインシデント対応報告を読み解く - wakatonoの戯れメモ
コインチェックのドメインハイジャックの手法を調査した - Shooting!!!
セキュリティインシデントの報告書で信頼を高める——コインチェックの対応に学べ (1/2) - ITmedia エンタープライズ

【参考Tweet】

 

脆弱性「Ripple20」が数億台の電化製品に影響

【概要】
Treckが開発したTCP/IPプロトコルのライブラリに存在する19件のゼロデイ脆弱性の総称である「Ripple20」が数億台の電化製品に影響することが判明した・

【参考情報】
数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される - GIGAZINE
何百万個ものIoT機器に影響を及ぼす脆弱性群「Ripple20」を確認 | トレンドマイクロ セキュリティブログ
【セキュリティ ニュース】IoT機器で広く採用されている「Treck TCP/IP Stack」に深刻な脆弱性(1ページ目 / 全3ページ):Security NEXT
多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報(PDF)
https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf

【参考Tweet】

 

ホンダ、サイバー攻撃を受けシステム障害

【概要】
自動車業界の大手のホンダがサイバー攻撃を受けシステム障害が発生した。サイバー攻撃に使用されたのは『EKANS』と呼ばれるランサムウェアの可能性がある。

【参考情報】
ホンダ、サイバー攻撃でシステム障害 海外4工場が稼働停止 - ロイターニュース - 経済:朝日新聞デジタル
ホンダ、サイバー攻撃被害認める 身代金ウイルス拡大か:朝日新聞デジタル
SNAKE(EKANS)ランサムウェアの内部構造を紐解く | MBSD Blog
国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog
ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性 - みっきー申す

【参考Tweet】


サイバー防災、今年も開催

【概要】
NTTドコモ、KDDI、ソフトバンク、ディー・エヌ・エー、メルカリ、グリー、DMM.com、ヤフー、LINEが連携して、ネット啓発を目的とした取り組み「サイバー防災」が今年も6月9日~23日に行われた。

【参考情報】
サイバー防災
サイバー防災|一般財団法人日本サイバー犯罪対策センター
ヤフーら9社、サイバーセキュリティ啓発の『サイバー防災』 | マイナビニュース
インターネットの安心安全な使い方をWebサイトで学べる「サイバー防災」実施 - ケータイ Watch

【参考Tweet】


東京都選挙管理委員会の特設サイトに不具合(修正済み)

【概要】
東京都選挙管理委員会の特設サイトに「http」と「https」でアクセスすると違うサイトが表示される不具合が生じた(修正済み)

【参考情報】
TLS非対応の都知事選特設サイトにサイバー攻撃?httpsにすると別サイトに飛ぶ真相 | 日経クロステック(xTECH)

【参考Tweet】

 

警察庁の注意喚起を騙りフィッシングサイトに誘導するSMSが出回る

【概要】
金融機関を騙るSMSに記載されているURLにアクセスすると、警察庁騙るポップアップが表示され、金融機関のフィッシングサイトに誘導するSMSが出回った。

【参考情報】
警察庁のウェブサイトを模倣した偽サイトに注意(PDF)
http://www.npa.go.jp/bureau/info/chuikanki.pdf
注意情報|一般財団法人日本サイバー犯罪対策センター
【注意喚起】警察庁を装った偽サイトに注意、銀行を装うフィッシングサイトへ誘導 | トレンドマイクロ is702
【セキュリティ ニュース】警察庁装うフィッシング攻撃に注意 - SMSで偽サイトに誘導(1ページ目 / 全1ページ):Security NEXT
【参考Tweet】

 

 

LINEの画像用サーバーに不正接続した高校生らが書類送検

【概要】
2019年8月末にLINEの画像用サーバーで見つかった脆弱性を利用し不正接続した高校生らが書類送検された。なお利用された脆弱性は2019年8月31日に修正されている。

【参考情報】
2019年8月のプロフィール画像の改ざん事件に関する報道について | LINE Corporation | セキュリティ&プライバシー
LINEサーバーに不正接続 容疑の高校生ら書類送検:朝日新聞デジタル
LINE、プロフ画像が第三者に変更される脆弱性 「プロフ画像、変えられてないか確認を」とユーザーに呼び掛け - ITmedia NEWS
LINEアカウントのプロフィール画像を変更可能な脆弱性の修正のお知らせ | LINE Corporation | セキュリティ&プライバシー

【参考Tweet】

 

「世界一受けたい授業」で紹介された「SIMカードロック」についてトラブルが続出

【概要】
日本テレビの「世界一受けたい授業」でスマホ防犯の一例として紹介された「SIMカードロック」について実際に試したユーザーがSIMが使えなくなった等のトラブルが続出した。

【参考情報】

f:id:mkt_eva:20200702031157p:plain
スマホが使えなくなった……「世界一受けたい授業」が紹介した「SIMカードロック」でトラブル相次ぐ 専門家は「危険性の高い機能」と指摘【日テレのコメントを追記】 (1/2) - ITmedia NEWS
「PINロック」でスマホが使用不可に 解除コードを今すぐ確認する方法は? - ITmedia Mobile
てくろぐ: SIMカードがロックされてしまったら (SIMへのPINコード設定)

【参考Tweet】

 

公安調査庁がサイバーパンフレットを公表

【概要】
公安調査庁がサイバー攻撃の現状として、サイバーパンフレットを公表した。

【参考情報】
サイバー攻撃の現状 2020(PDF)
http://www.moj.go.jp/content/001322280.pdf
サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁) | ScanNetSecurity
公安調査庁 「サイバー攻撃」初の報告書|日テレNEWS24

【参考Tweet】

 

Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開

【概要】
Googleがセキュリティスキャナー「Tsunami」をオープンソースで公開した。なお、名称については『Tsunami Early Warning System」(津波早期警戒システム)の略で、津波そのものの名称を意図したものではない』とのこと。

【参考情報】
Googleのセキュリティスキャナー「Tsunami」、名称がGitHubで議論呼ぶ 関係者が参加し釈明 - ITmedia NEWS
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出 - ITmedia NEWS
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表:数十万のシステムを即座に検査 - @IT
セキュリティスキャナー「Tsunami」、名称に関するIssueがクローズ。実は「津波早期警戒システム」が略されたものだったと釈明。ドキュメントで詳細に説明へ - Publickey
tsunami-security-scannerについて確認してみた - Qiita
Google Tsunami 動かしてみた - Nick Security Log

【参考Tweet】

 

セキュリティレポートやブログのアレコレ

IPA(独立行政法人情報処理推進機構)

政府情報システムのためのセキュリティ評価制度(ISMAP):IPA 独立行政法人 情報処理推進機構
「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」報告書について:IPA 独立行政法人 情報処理推進機構
「2019年度 中小企業の情報セキュリティマネジメント指導業務」報告書について:IPA 独立行政法人 情報処理推進機構
中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け隊)の報告書について:IPA 独立行政法人 情報処理推進機構
サイバーレスキュー隊(J-CRAT)活動状況[2019年度下半期](PDF)
https://www.ipa.go.jp/files/000083013.pdf

 

JPCERT コーディネーションセンター

Magento に関するアップデート (APSB20-41) について
マルウエアLODEINFOの進化 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

 

NISC

テレワーク等への継続的な取組に際してセキュリティ上留意すべき点について(PDF)
https://www.nisc.go.jp/active/general/pdf/telework20200611.pdf
多くのデバイスが影響を受ける複数の脆弱性「Ripple20」に関する参考情報(PDF)
https://www.nisc.go.jp/active/infra/pdf/Ripple2020200624.pdf

 

JC3

警察庁を騙るフィッシング

注意情報|一般財団法人日本サイバー犯罪対策センター

 

フィッシングサイト対策協議会

フィッシングレポート 2020(PDF)
https://www.antiphishing.jp/report/phishing_report_2020.pdf
フィッシング対策ガイドラインの改定(PDF)
https://www.antiphishing.jp/report/antiphishing_guideline_2020.pdf

 

JNSA

NPO日本ネットワークセキュリティ協会
2019年度 国内情報セキュリティ市場調査 | NPO日本ネットワークセキュリティ協会
「緊急事態宣言解除後のセキュリティ・チェックリスト解説書」を掲載
https://www.jnsa.org/telework_support/telework_security/index.html

 

Trend Micro

クラウドファーストな組織がサイバーセキュリティを簡素化すべき理由 | トレンドマイクロ セキュリティブログ
「Lazarus」との関連が指摘されるRAT「DACLS」、macOSも標的に | トレンドマイクロ セキュリティブログ
テレワークで使用が増えたツールに便乗する攻撃 | トレンドマイクロ セキュリティブログ
脅威を知る:検出と調査を回避しシステム内で潜伏する「ファイルレス活動」 | トレンドマイクロ セキュリティブログ
新型コロナによる減税措置をおとり文句とするNode.jsマルウェア「QNodeService」を解析 | トレンドマイクロ セキュリティブログ
「脆弱性」から「ズーム爆撃」まで:ビデオ会議の安全性を保つために | トレンドマイクロ セキュリティブログ
偽のZoomインストーラに隠されたバックドアとボットネット「Devil Shadow」 | トレンドマイクロ セキュリティブログ
Netflixを偽装するフィッシングサイトを確認、ユーザの位置情報も取得 | トレンドマイクロ セキュリティブログ
QAKBOTが活発化、VBS利用による拡散を確認 | トレンドマイクロ セキュリティブログ
何百万個ものIoT機器に影響を及ぼす脆弱性群「Ripple20」を確認 | トレンドマイクロ セキュリティブログ

 

McAfee

2020年 在宅勤務の増加に伴いクラウドの利用が急増 サイバー犯罪者の標的に
インターネットのプライバシー:オンラインで安全性を保つためのヒントとコツ
最も狙われているオンラインエンターテイメント作品 トップ10を発表
OneDriveフィッシングに注意

 

Kaspersky

セキュリティが強化されたZoom 5.0
https://blog.kaspersky.co.jp/zoom-5-security/28741/
データ盗み出し経路としてのGoogleアナリティクス
https://blog.kaspersky.co.jp/web-skimming-with-ga/28712/
自社ネットワークを攻撃しているのはどのハッカーグループか?推測ではなく、確認を!
https://blog.kaspersky.co.jp/kaspersky-threat-attribution-engine/28717/
マルウェアはどのようにしてゲームアカウントを盗むのか
https://blog.kaspersky.co.jp/gaming-password-stealers/28674/
偽の支援:給付金を餌にするオンライン詐欺
https://blog.kaspersky.co.jp/covid-compensation-spam/28626/
内部からのBECに対処する方法
https://blog.kaspersky.co.jp/fighting-internal-bec/28536/

 

LAC

初めてづくしの「オンライン・インターンシップ」開催。得られた成果は? | セキュリティ対策のラック
釘を打つのにドライバーを使ってませんか?正しいプロビジョニングツールを使いましょう | セキュリティ対策のラック

 

IIJ

wizSafe Security Signal 2020年5月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
てくろぐ: SIMカードがロックされてしまったら (SIMへのPINコード設定)

 

MBSD(三井物産セキュアディレクション株式会社)

SNAKE(EKANS)ランサムウェアの内部構造を紐解く | MBSD Blog
機械学習モデルの学習データを推論する方法 | MBSD Blog
細工した分類器を利用した任意のコード実行 | MBSD Blog

 

NECセキュリティブログ

トレーニングコンテンツ:「Hack The Box」を触り始めてみた: NECセキュリティブログ | NEC
Azure Security Virtual Training Day参加記: NECセキュリティブログ | NEC

 

NTTデータ先端技術株式会社

MITRE ATT&CK その1 ~概要~ | NTTデータ先端技術株式会社
MITRE ATT&CK その2 ~攻撃手法と緩和策(スピアフィッシング攻撃の場合)~ | NTTデータ先端技術株式会社

 

piyolog

データ復元と行動履歴分析が行われた公職選挙法違反事件についてまとめてみた - piyolog
国内外の工場に影響したホンダへのサイバー攻撃についてまとめてみた - piyolog
データセンターの電源故障の影響で起きた自治体サイト接続障害についてまとめてみた - piyolog
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog

 

みっきー申す

Trickbotを起点にCobaltStrikeを活用した潜入活動を行う攻撃手法について - みっきー申す
アプリケーションのエラーログを装ったファイルを用いる攻撃手法について - みっきー申す
Windows版Facebook Messengerにてバックドアを実行できる脆弱性について - みっきー申す
ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性 - みっきー申す

 

セキュリティコンサルタントの日誌から

金融ISACの講演を公開しました! - セキュリティコンサルタントの日誌から
『脅威インテリジェンスの教科書』を公開しました! - セキュリティコンサルタントの日誌から

 

knqyf263's blog

CVE-2020-10749(Kubernetesの脆弱性)のPoCについての解説 - knqyf263's blog

 

wakatonoの戯れメモ

コインチェックのインシデント対応報告を読み解く - wakatonoの戯れメモ
みんなVPN死ね症候群にかかってないか? - wakatonoの戯れメモ
CVE-2020-10136~IP-in-IPに脆弱性… - wakatonoの戯れメモ

 

午前7時のしなもんぶろぐ

担当者の悪ふざけ!? 「US-CERT」のおもしろ Tweet 特集! - 午前7時のしなもんぶろぐ

 

 

今回もココまで読んでいただきありがとうございました。

ではでは!

 

暑いですねー

   冷たい麦茶ドゾー
`_____
| ̄∥ ̄ ̄ ̄|
| ∥   |  ∧_∧
| ∥([)     |  只・ω・`)
| ∥   | [冂]□⊂)
|_∥___| [三]ーu

 

<更新履歴>

2020/07/02 AM 公開