2020年7月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

長かった梅雨も明け、やっと夏らしい暑さがやってきましたね。

新型コロナウイルスだけでなく、この時期の熱中症等にも気をつけてくださいね。

さて、私事ですが先日はじめて『にゃん☆たく』として日経クロステックの記事に名前が載りました。

xtech.nikkei.com

はじめて日経BPさんの記事に『にゃん☆たく』の名前が載りました。
この会のきっかけ、実は僕だったのです…
誰かを救いたいという気持ちを持って、メンバーは日々発信をしています。

会員登録が必要な箇所の記事内容、皆さんに読んでいただきたい濃い内容になっておりますので是非ご覧ください。 https://t.co/h5LNXGAeQX
— にゃん☆たく (@taku888infinity) 2020年7月30日

決して自分の力だけではないと心から思っています。この『会』の僕以外がマジでヤバい人たちなのです。ただぼくはそのきっかけを作っただけに過ぎません。

ぼくはこういった活動をこれからも多くの分野でしていきたいと思っています。

そのモチベーションは『セキュリティに困っている人たちを救いたい』という気持ちだけです。

セキュリティの事を知らない人が沢山います。一人でも多くのひとに知ってほしいと思っていますが、発信者（側）も少ないのが現実です。

誰かと同じでもいいです、自分が知った情報や誰かに役立ちそうだなと感じた情報はTwitterでもInstagramでもLINEでもなんでもいいので発信するようにしてみてください。

ひとりでもそういう人が増えれば世の中変わると信じています。

ちょっと長くなりましたね:(；ﾞﾟ''ωﾟ''):すんまそん！

では、前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

複数のBIG-IP製品に脆弱性

【概要】
複数のBIG-IP製品に脆弱性が存在し、任意のコードを実行される、攻撃の踏み台に利用される等の可能性がある

【CVE番号】
CVE-2020-5902

【対象】
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで

【対策】
・アップデートする（以下本脆弱性対応済バージョン）
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2

【参考情報】
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
 JVNVU#90376702: F5 Networks 製 BIG-IP 製品に複数の脆弱性
 【注意喚起】F5 BIG-IP製品の任意コード実行可能な脆弱性（CVE-2020-5902）を狙う攻撃活動を観測 | セキュリティ対策のラック
 F5 Networks「BIG-IP」の脆弱性を狙う攻撃を観測、最新版の適用を - INTERNET Watch

【参考Tweet】

複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起を公開。F5 Networks から脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用を。^YK https://t.co/jaolaBUkGg
— JPCERTコーディネーションセンター (@jpcert) 2020年7月6日

Windows DNS Serverに脆弱性

【概要】
Windows DNS Serverに脆弱性が存在し、任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-1350

【対象】
2003年から2019年までにリリースされた全バージョンのWindows DNS Server

【対策】
・パッチをあてる

【参考情報】
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 - Microsoft Security Response Center
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起

Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開 - ITmedia NEWS
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方 (1/2) - ITmedia エンタープライズ
 マイクロソフト、7月の月例パッチ公開--「Windows DNS Server」の重大な脆弱性も修正 - ZDNet Japan
17年前から存在～「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性 - 窓の杜
 【セキュリティニュース】「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

ActiveDirectory使うとWindows serverのDNS機能が自然と使われているはず。ここに悪性のドメイン引かせるだけでExploitできるのでやばい。しかしAD止めてパッチとか計画が大変ね。 / “Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由 | 日経…” https://t.co/JHWq7FJIXW
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月1日

「GRUB2」のブートローダーに脆弱性（脆弱性名：BootHole）

【概要】
「GRUB2」のブートローダーに脆弱性が存在し、管理者権限が必要だが任意のコードが実行されてしまう可能性がある

【CVE番号】
CVE-2020-10713

【対象】
「Linux」や「Windows」などセキュアブートを利用している製品

【対策】
各製品ごとに異なる

【参考情報】
There’s a Hole in the Boot - Eclypsium
ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ - ITmedia エンタープライズ
 レッドハット、「BootHole」脆弱性へのフィックスで一部のシステムが起動不可に - ZDNet Japan
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 - PC Watch
ほぼすべてのLinuxのブートローダーに脆弱性 - PC Watch
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) - OSS脆弱性ブログ
 Linuxで広く使われるブートローダー「GRUB2」にセキュアブートを回避できる脆弱性「BootHole」が見つかる - GIGAZINE
【セキュリティニュース】セキュアブート回避の脆弱性「BootHole」が判明 - LinuxやWindowsに影響（1ページ目 / 全2ページ）：Security NEXT

【参考Tweet】

ネーミングはさておき凄いことやってくれたな🥶https://t.co/qHX4WGHuV0
— Neutral8✗9eR (@0x009AD6_810) 2020年7月29日

SIOSセキュリティブログを更新しました。

2020/08/03追記：RHEL8/7の修正されたバージョンがリリースされているようです。詳細はこちらを御確認下さい。#sios_tech #security #vulnerability #セキュリティ #脆弱性 #linux #kernel #grub2 #boothole #secureboot https://t.co/9lgFa5oqzB
— Kazuki Omo (@omokazuki) 2020年8月3日

不審なメールや偽サイトのアレコレ

不審なメール情報

2020年7月に出回った不審なメールの件名は以下のとおり

【件名一覧】
Amazonアカウントを利用制限しています
【緊急】楽天カードから緊急のご連絡
Amazon異常は検出されました。
お客様のAmazon IDはロックされました
楽天カードから緊急のご連絡
Amazonアカウントを更新する

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2020年7月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※（）は報告日時
BTCBOX をかたるフィッシング (2020/07/22)
宅配便の不在通知を装うフィッシング (2020/07/09)
セブン銀行をかたるフィッシング (2020/07/08)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/06 フィッシング報告状況

注意喚起やニュースのアレコレ

Twitterで複数アカウントがハッキングを受ける

【概要】
Twitterで複数アカウントがハッキングされ、著名人のアカウントが乗っ取られBitocoinを要求するツイートが発信されてしまった。

【参考情報】
Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される - GIGAZINE
Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE
Twitterの大規模アカウントハッキング、FBIが捜査開始 - ITmedia NEWS
AppleやマスクCEOなど多数のセレブTwitterアカウントが乗っ取られ、暗号通貨詐欺に悪用される - ITmedia NEWS
Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表 - ITmedia NEWS
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog

【参考Tweet】

Twitter が先日の攻撃についてブログを更新。

(1) 攻撃者は少数の Twitter 社員に対して電話によるソーシャルエンジニアンリング攻撃 (a phone spear phishing attack)
(2) 社内システムに侵入した後、サポートツールへのアクセス権をもつ別の社員を攻撃

という 2段階の攻撃だったようです。
— Masafumi Negishi (@MasafumiNegishi) 2020年7月31日

Twitterの大規模ハッキングで攻撃者は1000万円分のBitcoinを得たが、Coinbaseなどの取引所が送金先のアドレスをブロックして計3000万円の送金を防いでいたことが判明。ハッキングのツイートから1分で気づいたらしいhttps://t.co/qMrY5Ail8h
— Cheena② (@cheena_2nd) 2020年7月21日

Twitter 事件での少年が優れていたのはハッキングスキルというよりも詐欺 (ソーシャル・エンジニアリング) の素質だと思うんですよね、技術というより欺術。話題になったサイバー事件の多くは意外とそういうものが最大の要因だったりする。 > RT
— Neutral8✗9eR (@0x009AD6_810) 2020年8月2日

みずほ総研が250万件の顧客情報を紛失

【概要】
みずほ総合研究所は顧客管理システムのバックアップデータを保存した磁気テープを誤って破棄したことにより、250万件の顧客情報を紛失したと発表した。なお、第三者により情報を解読される可能性は低いとのこと。

【参考情報】
みずほ総合研究所株式会社におけるお客さま情報の紛失について（PDF）
https://www.mizuho-ri.co.jp/company/release/pdf/20200721release.pdf
みずほ総研顧客企業の個人情報など250万件紛失誤って廃棄か | NHKニュース
 【セキュリティニュース】顧客情報約250万件含む磁気テープを紛失 - みずほ総研（1ページ目 / 全1ページ）：Security NEXT
顧客情報、約250万件を紛失みずほ総研と銀行が発表：朝日新聞デジタル

【参考Tweet】

みずほ総研顧客企業の個人情報など250万件紛失誤って廃棄か #nhk_news https://t.co/yFYdozmops
— NHKニュース (@nhk_news) 2020年7月21日

顧客情報２５０万件を紛失　みずほ総研、媒体破棄か https://t.co/WhCpVVLKMM

誤って破棄した可能性が高く、不正に持ち出された形跡はないとしている。
— 産経ニュース (@Sankei_news) 2020年7月21日

Emotetに感染させるメールの配信が再開

【概要】
マルウェアのEmotetに感染させるメールの配信が再開され注意が必要。

【参考情報】
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて：IPA 独立行政法人情報処理推進機構
 マルウェア「Emotet」、再拡大の恐れ情報窃取やスパムメール拡散の可能性も - ITmedia NEWS
ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - GIGAZINE
Emoいメモ。 #Emotet - にゃんたくのひとりごと

【参考Tweet】

本日 #Emotet の「攻撃再開の観測状況」を公開しました。7月中旬以降に攻撃活動が再開しており、IPAでは国内企業での攻撃事例も確認しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールのWord文書ファイル等の取り扱いに注意してください。https://t.co/u1FGMS1pVs pic.twitter.com/afypVK5LxF
— IPA（情報処理推進機構） (@IPAjp) 2020年7月28日

JPCERT/CC WEEKLY REPORT 2020-07-29を公開。セキュリティ関連情報は4件。ひとくちメモは、JPCERT/CC CyberNewsFlash「マルウエアEmotetの感染に繋がるメールの配布活動の再開について」です。^YK https://t.co/xnquy9NmdK
— JPCERTコーディネーションセンター (@jpcert) 2020年7月29日

Facebookのメッセンジャーで不審な動画リンクが届く

【概要】
Facebookのメッセンジャーで動画を再生させようとする内容のメッセージには注意が必要。

【参考情報】
夏休みにおける情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構
 Facebookメッセンジャーから不審な動画？乗っ取られた友達から届くケースが相次ぐ - INTERNET Watch
「このビデオはいつでしたか？」Facebookで送られてくる動画リンクに注意 | マイナビニュース

【参考Tweet】

【Facebookのメッセンジャーに届く動画に注意！】
「Facebookのメッセンジャーで友達から動画が送られてきた」という相談が増えています。
「このビデオはいつでしたか？」というメッセージは、友達が乗っ取り被害をうけて送信されたものと考えられます。絶対にメッセージに触らないでください！1/3 pic.twitter.com/nV9jvizhoF
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

IPAで検証したところ、動画のようなメッセージをタップしても動画は再生されず、Facebookアカウント情報を詐取する偽ページが表示されました。ここにIDとパスワードを入力すると、今度は自分のアカウントが乗っ取り被害にあう可能性があります。
このような偽ページに情報を入力しないでください。2/3 pic.twitter.com/vKC2wg3tE4
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日

偽ページに情報を入力するとその後、不審なアンケートサイトやアプリのインストールに誘導するサイトが表示されました。
このようなアンケートサイトに情報を入力したり、誘導されるまま不用意にアプリをインストールしないでください。3/3 pic.twitter.com/ndtty0KnlM
— IPA（情報セキュリティ安心相談窓口） (@IPA_anshin) 2020年7月28日