2020年7月に起こったセキュリティニュースのアレコレをまとめてみた。
どもどもにゃんたくです(「・ω・)「ガオー
長かった梅雨も明け、やっと夏らしい暑さがやってきましたね。
新型コロナウイルスだけでなく、この時期の熱中症等にも気をつけてくださいね。
さて、私事ですが先日はじめて『にゃん☆たく』として日経クロステックの記事に名前が載りました。
はじめて日経BPさんの記事に『にゃん☆たく』の名前が載りました。
— にゃん☆たく (@taku888infinity) 2020年7月30日
この会のきっかけ、実は僕だったのです…
誰かを救いたいという気持ちを持って、メンバーは日々発信をしています。
会員登録が必要な箇所の記事内容、皆さんに読んでいただきたい濃い内容になっておりますので是非ご覧ください。 https://t.co/h5LNXGAeQX
決して自分の力だけではないと心から思っています。この『会』の僕以外がマジでヤバい人たちなのです。ただぼくはそのきっかけを作っただけに過ぎません。
ぼくはこういった活動をこれからも多くの分野でしていきたいと思っています。
そのモチベーションは『セキュリティに困っている人たちを救いたい』という気持ちだけです。
セキュリティの事を知らない人が沢山います。一人でも多くのひとに知ってほしいと思っていますが、発信者(側)も少ないのが現実です。
誰かと同じでもいいです、自分が知った情報や誰かに役立ちそうだなと感じた情報はTwitterでもInstagramでもLINEでもなんでもいいので発信するようにしてみてください。
ひとりでもそういう人が増えれば世の中変わると信じています。
ちょっと長くなりましたね:(;゙゚''ω゚''):すんまそん!
では、前月のまとめです。
脆弱性のアレコレ
複数のBIG-IP製品に脆弱性
【概要】
複数のBIG-IP製品に脆弱性が存在し、任意のコードを実行される、攻撃の踏み台に利用される等の可能性がある
【CVE番号】
CVE-2020-5902
【対象】
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15系のバージョン 15.0.0 から 15.1.0 まで
- 14系のバージョン 14.1.0 から 14.1.2 まで
- 13系のバージョン 13.1.0 から 13.1.3 まで
- 12系のバージョン 12.1.0 から 12.1.5 まで
- 11系のバージョン 11.6.1 から 11.6.5 まで
【対策】
・アップデートする(以下本脆弱性対応済バージョン)
BIG-IP (LTM, AAM, AFM, Analytics, APM, ASM, AWAF, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO)
- 15.1.0.4
- 14.1.2.6
- 13.1.3.4
- 12.1.5.2
- 11.6.5.2
【参考情報】
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起
JVNVU#90376702: F5 Networks 製 BIG-IP 製品に複数の脆弱性
【注意喚起】F5 BIG-IP製品の任意コード実行可能な脆弱性(CVE-2020-5902)を狙う攻撃活動を観測 | セキュリティ対策のラック
F5 Networks「BIG-IP」の脆弱性を狙う攻撃を観測、最新版の適用を - INTERNET Watch
【参考Tweet】
複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起を公開。F5 Networks から脆弱性を修正したバージョンが公開されています。十分なテストを実施の上、修正済みバージョンの適用を。^YK https://t.co/jaolaBUkGg
— JPCERTコーディネーションセンター (@jpcert) 2020年7月6日
Windows DNS Serverに脆弱性
【概要】
Windows DNS Serverに脆弱性が存在し、任意のコードが実行される可能性がある。
【CVE番号】
CVE-2020-1350
【対象】
2003年から2019年までにリリースされた全バージョンのWindows DNS Server
【対策】
・パッチをあてる
【参考情報】
Windows DNS サーバーの脆弱性情報 CVE-2020-1350 に関する注意喚起 - Microsoft Security Response Center
2020年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起
Microsoft、危険度最高の脆弱性を修正する「Windows Server」向けセキュリティ更新プログラム公開 - ITmedia NEWS
「分からない」は通用しない――全ての人が理解すべき“脆弱性”との付き合い方 (1/2) - ITmedia エンタープライズ
マイクロソフト、7月の月例パッチ公開--「Windows DNS Server」の重大な脆弱性も修正 - ZDNet Japan
17年前から存在 ~「Windows Server」のDNS機能に致命的なリモートコード実行の脆弱性 - 窓の杜
【セキュリティ ニュース】「Windows DNS Server」の脆弱性、ワーム転用のおそれ - 早急に対処を(1ページ目 / 全1ページ):Security NEXT
【参考Tweet】
ActiveDirectory使うとWindows serverのDNS機能が自然と使われているはず。ここに悪性のドメイン引かせるだけでExploitできるのでやばい。しかしAD止めてパッチとか計画が大変ね。 / “Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由 | 日経…” https://t.co/JHWq7FJIXW
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月1日
「GRUB2」のブートローダーに脆弱性(脆弱性名:BootHole)
【概要】
「GRUB2」のブートローダーに脆弱性が存在し、管理者権限が必要だが任意のコードが実行されてしまう可能性がある
【CVE番号】
CVE-2020-10713
【対象】
「Linux」や「Windows」などセキュアブートを利用している製品
【対策】
各製品ごとに異なる
【参考情報】
There’s a Hole in the Boot - Eclypsium
ブートローダー「GRUB2」に脆弱性、LinuxやWindowsのセキュアブート迂回される恐れ - ITmedia エンタープライズ
レッドハット、「BootHole」脆弱性へのフィックスで一部のシステムが起動不可に - ZDNet Japan
BootHole対策パッチによってRed HatやUbuntuが起動不能に。さらなるパッチが公開 - PC Watch
ほぼすべてのLinuxのブートローダーに脆弱性 - PC Watch
複数のgrub2 と関連するLinux Kernel の脆弱性 (BootHole (CVE-2020-10713, etc.)) - OSS脆弱性ブログ
Linuxで広く使われるブートローダー「GRUB2」にセキュアブートを回避できる脆弱性「BootHole」が見つかる - GIGAZINE
【セキュリティ ニュース】セキュアブート回避の脆弱性「BootHole」が判明 - LinuxやWindowsに影響(1ページ目 / 全2ページ):Security NEXT
【参考Tweet】
ネーミングはさておき凄いことやってくれたな🥶https://t.co/qHX4WGHuV0
— Neutral8✗9eR (@0x009AD6_810) 2020年7月29日
SIOSセキュリティブログを更新しました。
— Kazuki Omo (@omokazuki) 2020年8月3日
2020/08/03追記:RHEL8/7の修正されたバージョンがリリースされているようです。詳細はこちらを御確認下さい。#sios_tech #security #vulnerability #セキュリティ #脆弱性 #linux #kernel #grub2 #boothole #secureboothttps://t.co/9lgFa5oqzB
不審なメールや偽サイトのアレコレ
不審なメール情報
2020年7月に出回った不審なメールの件名は以下のとおり
【件名一覧】
Amazonアカウントを利用制限しています
【緊急】楽天カードから緊急のご連絡
Amazon異常は検出されました。
お客様のAmazon IDはロックされました
楽天カードから緊急のご連絡
Amazonアカウントを更新する
【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
ばらまき型メールカレンダー - Google スライド
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート
不審な偽サイト(フィッシングサイト)情報
2020年7月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※()は報告日時
BTCBOX をかたるフィッシング (2020/07/22)
宅配便の不在通知を装うフィッシング (2020/07/09)
セブン銀行をかたるフィッシング (2020/07/08)
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/06 フィッシング報告状況
注意喚起やニュースのアレコレ
Twitterで複数アカウントがハッキングを受ける
【概要】
Twitterで複数アカウントがハッキングされ、著名人のアカウントが乗っ取られBitocoinを要求するツイートが発信されてしまった。
【参考情報】
Twitter史上最大のハッキング攻撃を仕掛けたとして17歳の青年が逮捕・起訴される - GIGAZINE
Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE
Twitterの大規模アカウントハッキング、FBIが捜査開始 - ITmedia NEWS
AppleやマスクCEOなど多数のセレブTwitterアカウントが乗っ取られ、暗号通貨詐欺に悪用される - ITmedia NEWS
Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表 - ITmedia NEWS
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog
【参考Tweet】
Twitter が先日の攻撃についてブログを更新。
— Masafumi Negishi (@MasafumiNegishi) 2020年7月31日
(1) 攻撃者は少数の Twitter 社員に対して電話によるソーシャルエンジニアンリング攻撃 (a phone spear phishing attack)
(2) 社内システムに侵入した後、サポートツールへのアクセス権をもつ別の社員を攻撃
という 2段階の攻撃だったようです。
Twitterの大規模ハッキングで攻撃者は1000万円分のBitcoinを得たが、Coinbaseなどの取引所が送金先のアドレスをブロックして計3000万円の送金を防いでいたことが判明。ハッキングのツイートから1分で気づいたらしいhttps://t.co/qMrY5Ail8h
— Cheena② (@cheena_2nd) 2020年7月21日
Twitter 事件での少年が優れていたのはハッキングスキルというよりも詐欺 (ソーシャル・エンジニアリング) の素質だと思うんですよね、技術というより欺術。話題になったサイバー事件の多くは意外とそういうものが最大の要因だったりする。 > RT
— Neutral8✗9eR (@0x009AD6_810) 2020年8月2日
みずほ総研が250万件の顧客情報を紛失
【概要】
みずほ総合研究所は顧客管理システムのバックアップデータを保存した磁気テープを誤って破棄したことにより、250万件の顧客情報を紛失したと発表した。なお、第三者により情報を解読される可能性は低いとのこと。
【参考情報】
みずほ総合研究所株式会社におけるお客さま情報の紛失について(PDF)
https://www.mizuho-ri.co.jp/company/release/pdf/20200721release.pdf
みずほ総研 顧客企業の個人情報など250万件紛失 誤って廃棄か | NHKニュース
【セキュリティ ニュース】顧客情報約250万件含む磁気テープを紛失 - みずほ総研(1ページ目 / 全1ページ):Security NEXT
顧客情報、約250万件を紛失 みずほ総研と銀行が発表:朝日新聞デジタル
【参考Tweet】
みずほ総研 顧客企業の個人情報など250万件紛失 誤って廃棄か #nhk_news https://t.co/yFYdozmops
— NHKニュース (@nhk_news) 2020年7月21日
顧客情報250万件を紛失 みずほ総研、媒体破棄か https://t.co/WhCpVVLKMM
— 産経ニュース (@Sankei_news) 2020年7月21日
誤って破棄した可能性が高く、不正に持ち出された形跡はないとしている。
Emotetに感染させるメールの配信が再開
【概要】
マルウェアのEmotetに感染させるメールの配信が再開され注意が必要。
【参考情報】
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
マルウェア「Emotet」、再拡大の恐れ 情報窃取やスパムメール拡散の可能性も - ITmedia NEWS
ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明 - GIGAZINE
Emoいメモ。 #Emotet - にゃんたくのひとりごと
【参考Tweet】
本日 #Emotet の「攻撃再開の観測状況」を公開しました。7月中旬以降に攻撃活動が再開しており、IPAでは国内企業での攻撃事例も確認しています。攻撃の手口はこれまでと大きくは変わらないため、受信したメールのWord文書ファイル等の取り扱いに注意してください。https://t.co/u1FGMS1pVs pic.twitter.com/afypVK5LxF
— IPA(情報処理推進機構) (@IPAjp) 2020年7月28日
JPCERT/CC WEEKLY REPORT 2020-07-29を公開。セキュリティ関連情報は4件。ひとくちメモは、JPCERT/CC CyberNewsFlash「マルウエアEmotetの感染に繋がるメールの配布活動の再開について」です。^YK https://t.co/xnquy9NmdK
— JPCERTコーディネーションセンター (@jpcert) 2020年7月29日
Facebookのメッセンジャーで不審な動画リンクが届く
【概要】
Facebookのメッセンジャーで動画を再生させようとする内容のメッセージには注意が必要。
【参考情報】
夏休みにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
Facebookメッセンジャーから不審な動画? 乗っ取られた友達から届くケースが相次ぐ - INTERNET Watch
「このビデオはいつでしたか?」Facebookで送られてくる動画リンクに注意 | マイナビニュース
【参考Tweet】
【Facebookのメッセンジャーに届く動画に注意!】
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) 2020年7月28日
「Facebookのメッセンジャーで友達から動画が送られてきた」という相談が増えています。
「このビデオはいつでしたか?」というメッセージは、友達が乗っ取り被害をうけて送信されたものと考えられます。絶対にメッセージに触らないでください!1/3 pic.twitter.com/nV9jvizhoF
IPAで検証したところ、動画のようなメッセージをタップしても動画は再生されず、Facebookアカウント情報を詐取する偽ページが表示されました。ここにIDとパスワードを入力すると、今度は自分のアカウントが乗っ取り被害にあう可能性があります。
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) 2020年7月28日
このような偽ページに情報を入力しないでください。2/3 pic.twitter.com/vKC2wg3tE4
偽ページに情報を入力するとその後、不審なアンケートサイトやアプリのインストールに誘導するサイトが表示されました。
— IPA(情報セキュリティ安心相談窓口) (@IPA_anshin) 2020年7月28日
このようなアンケートサイトに情報を入力したり、誘導されるまま不用意にアプリをインストールしないでください。3/3 pic.twitter.com/ndtty0KnlM
セキュリティレポートやブログのアレコレ
IPA(独立行政法人情報処理推進機構)
TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構
Web会議サービスを使用する際のセキュリティ上の注意事項:IPA 独立行政法人 情報処理推進機構
情報セキュリティ安心相談窓口の相談状況[2020年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第2四半期(4月~6月)]:IPA 独立行政法人 情報処理推進機構
サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2020年4月~6月](PDF)
https://www.ipa.go.jp/files/000084400.pdf
【付録】EKANSランサムウェアの解析事例(PDF)
https://www.ipa.go.jp/files/000084401.pdf
JPCERT コーディネーションセンター
JPCERT/CC 活動概要 [2020年4月1日~2020年6月30日](PDF)
https://www.jpcert.or.jp/pr/2020/PR_20200714.pdf
JPCERT/CC インシデント報告対応レポート [2020年4月1日~2020年6月30日](PDF)
https://www.jpcert.or.jp/pr/2020/IR_Report20200714.pdf
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
インターネット定点観測レポート(2020年 4~6月)
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
JC3
Trend Micro
実例で見るネットの危険:SMSから出会い系詐欺サイトへの誘導 | トレンドマイクロ セキュリティブログ
コンテナ環境のセキュリティを確保するための6つのステップ | トレンドマイクロ セキュリティブログ
「商品」と「価格」の変化:アンダーグラウンドマーケット最新事情 | トレンドマイクロ セキュリティブログ
信頼を失った闇市場:アンダーグラウンドマーケット最新事情 | トレンドマイクロ セキュリティブログ
香港のニュース記事を囮にして拡散する情報窃取型モバイルマルウェアを解説 | トレンドマイクロ セキュリティブログ
IoT機器での脆弱性について考える | トレンドマイクロ セキュリティブログ
Kaspersky
ユージン・カスペルスキーはどのようなスパムメールを受け取っているのか
https://blog.kaspersky.co.jp/kaspersky-ceo-spam/28853/
ゲームアカウント用に強固なパスワードを作るヒント
https://blog.kaspersky.co.jp/game-accounts-passwords/28785/
企業データが漏れ出る4つの経路
https://blog.kaspersky.co.jp/unusual-ways-to-leak-info/28755/
LAC
新型コロナによる出社禁止、セキュリティ監視センターJSOCはどうピンチを乗り越えたのか? | セキュリティ対策のラック
ラックの開発力を支えるヒミツ「2つの道場」とは? | セキュリティ対策のラック
IIJ
wizSafe Security Signal 2020年6月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
マルウェア情報局(ESET)
NEC セキュリティブログ
Microsoft Azureでのディスクフォレンジック: NECセキュリティブログ | NEC
メモリフォレンジックCTF「MemLabs」Lab2のWriteUp: NECセキュリティブログ | NEC
二重脅迫ランサムウェア攻撃の増加について: NECセキュリティブログ | NEC
IBMセキュリティー・インテリジェンス・ブログ
データが語る COVID-19 のパンデミックによるセキュリティー脅威の急増
サイバー・レジリエンスのある組織とは?ハイ・パフォーマーの秘訣
マクニカネットワークス
マクニカネットワークスと伊藤忠商事がビジネスメール詐欺の実態と対策を共同分析
piyolog
正規番号でファックス誤送信が起きたNTT西の電話サービス故障についてまとめてみた - piyolog
BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた - piyolog
Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
日本郵便のe転居を悪用したストーカー事件についてまとめてみた - piyolog
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
bomb_log
マルウェアEmotetの活動再開(2020/07/17-) - bomb_log
趣味のぶろぐ。
マルウェア「Emotet」が再度、日本の組織を標的に - 趣味のぶろぐ。
Noriaki Hayashi(@v_avenger)のQiita
すぐ貢献できる!偽サイトの探索から通報まで - Qiita
セキュリティ猫の備忘録
VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点 - セキュリティ猫の備忘録
午前7時のしなもんぶろぐ
確認しろって言われるけれど……。「ドメイン名」って何だろう? - 午前7時のしなもんぶろぐ
みっきー申す
Torを使ったサイバー攻撃の戦術とその対策案 - みっきー申す
ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について - みっきー申す
SIGRed(CVE-2020-1350)WindowsDNSサーバーのRCE脆弱性について - みっきー申す
Emotetへの感染を試みる活動が5か月ぶりに確認された件 - みっきー申す
【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて - みっきー申す
今回もココまで読んでいただきありがとうございました。
ではでは!
∧,,∧ ∧,,∧
∧ (´・ω・) (・ω・`) ∧∧
( ´・ω) つ| ) ( |と ノ(ω・` )
| つ| * * |と ノ
u-u * ´ " パチ´ " * -u
´ " ゙ パチ´ " ゙
<更新履歴>
2020/08/04 AM 公開および題名の修正