どもどもにゃんたくです(「・ω・)「ガオー
長かったような短かったような夏が終わり、いよいと食欲の秋に季節が移りかわってきております。今年の秋もどうやら僕は太りそうです。。。(マクドナルドの月見バーガーおいしいし、、、)
さて、そんな話はさておき今年7月末から再開しているマルウェア「Emotet」に感染させようとするメールが9月に入ってからも勢いが止まりません。
今月からパスワード付Zipファイル(不審ファイル)が添付されたり、トレンドマイクロのアンケート調査を騙る等手法が変わってきており、より一層着弾する不審メールに対して対策が取りにくくなっております。
以下を参考に対策や対応を行うことが大切です。
よければ僕のこちらのブログも参考にしてみてください。(ステマのごり押し)
では、前月のまとめです。
脆弱性のアレコレ
vBulletinに脆弱性
【概要】
vBulletinに任意のコードが実行されてしまう脆弱性の対策を回避されてしまう脆弱性が存在。
【CVE番号】
CVE-2019-16759
【対象】
・5.x から 5.5.4
・5.6.2
・5.6.1
・5.6.0
【対策】
パッチをあてる
【参考情報】
更新:vBulletin における任意のコード実行の脆弱性(CVE-2019-16759)について:IPA 独立行政法人 情報処理推進機構
vBulletin、脆弱性対策を回避する問題を報告--攻撃発生も - ZDNet Japan
vBulletin におけるCVE-2019-16759への対策を回避可能な脆弱性を確認、攻撃コードも公開(IPA) | ScanNetSecurity
【セキュリティ ニュース】「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を(1ページ目 / 全2ページ):Security NEXT
【参考Tweet】
vBulletinの脆弱性、CVE-2019-16759についてですが、少数ながら観測環境にて複数種キャッチしています。あまり国内では使ってないのか、話題にはあまり上がらないのですが、注意は必要かと思います。#vBulletin#CVE201916759 pic.twitter.com/Mz0LtVLQTq
— hiro_ (@papa_anniekey) 2020年8月19日
SKYSEA Client Viewに脆弱性
【概要】
SKYSEA Client Viewに脆弱性が存在し、インストールされているPCにログイン可能な状態だと任意のコードが実行される可能性がある。
【CVE番号】
CVE-2020-5617
【対象】
SKYSEA Client View Ver.12.200.12n から 15.210.05f
【対策】
修正モジュールの適用
【参考情報】
【重要】権限昇格の脆弱性に関する注意喚起(CVE-2020-5617)|Sky株式会社
SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起
SKYSEA Client View に権限昇格の脆弱性、パッチ適用呼びかけ(JVN) | ScanNetSecurity
IT資産管理ツール「SKYSEA Client View」に権限昇格の脆弱性 | マイナビニュース
【参考Tweet】
SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起を公開。Sky 株式会社が提供している修正モジュール適用のご検討を。^YK https://t.co/n1Mod1jSO0
— JPCERTコーディネーションセンター (@jpcert) 2020年8月3日
Apache Struts2に複数の脆弱性
【概要】
Apache Struts2に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。
【CVE番号】
CVE-2019-0230
CVE-2019-0233
S2-059
S2-060
【対象】
Apache Struts 2
- 2.5 系列 2.5.20 およびそれ以前のバージョン
▼補足
・2019年11月に公開された 2.5.22 は本影響を受けない
・既にサポートが終了している 2.3 系のバージョンおよびそれ以前の 2 系のバージョンは本影響を受ける
【対策】
本脆弱性修正済みバージョンの適用(下記本脆弱性修正バージョン)
- 2.5 系列 2.5.22 以降のバージョン
【参考情報】
Apache Struts 2 の脆弱性 (S2-059、S2-060) に関する注意喚起
Apache Struts 2にDoSの脆弱性、アップデートを | マイナビニュース
「Apache Struts 2」に2件の脆弱性、バージョン2.5.22以降の適用を推奨 - INTERNET Watch
Apache Struts 2に2件の脆弱性、コンセプト実証コードも公開 - ITmedia エンタープライズ
ISC BIND 9に複数の脆弱性
【概要】
ISC BIND 9に複数の脆弱性が存在し、外部から第三者により任意のコードが実行されたり、サービス運用妨害が発生する可能性がある。
【CVE番号】
CVE-2020-8620
CVE-2020-8621
CVE-2020-8622
CVE-2020-8623
CVE-2020-8624
【対象】
・CVE-2020-8620
BIND 9.16系 9.16.0 から 9.16.5 まで
・CVE-2020-8621
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
・CVE-2020-8622
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.3-S1 から 9.11.21-S1 まで
・CVE-2020-8623
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.10.5-S1 から 9.11.21-S1 まで
・CVE-2020-8624
BIND 9.16系 9.16.0 から 9.16.5 まで
BIND 9.14系 9.14.0 から 9.14.12 まで
BIND 9.11系 9.11.0 から 9.11.21 まで
BIND 9 Supported Preview Edition 9.9.12-S1 から 9.9.13-S1 まで
BIND 9 Supported Preview Edition 9.11.3-S1 から 9.11.21-S1 まで
【対策】
本脆弱性修正済みバージョンの適用(下記本脆弱性修正バージョン)
・BIND 9.11.22
・BIND 9.16.6
・BIND 9.17.4
・BIND Supported Preview Edition 9.11.22-S1
【参考情報】
ISC BIND 9 に対する複数の脆弱性に関する注意喚起
ISC 提供のBINDに複数の脆弱性、アップデートを呼びかけ(JVN、JPRS) | ScanNetSecurity
【セキュリティ ニュース】「BIND 9」に5件の脆弱性 - 一部脆弱性は公開済み(1ページ目 / 全1ページ):Security NEXT
BINDにサービス運用妨害の脆弱性が複数、アップデートを - JPCERT/CC | マイナビニュース
【参考Tweet】
ISC BIND 9 に対する複数の脆弱性に関する注意喚起を公開。ISCや各ディストリビュータなどからの情報を確認し、十分なテストを実施の上、修正済みバージョン適用のご検討を。^YK https://t.co/N6HdKg0ESq
— JPCERTコーディネーションセンター (@jpcert) 2020年8月21日
BINDの脆弱性が8月に公開されるの初めてなのか。確かに7月とかが多いイメージ。
— イスラエルいくべぇ (@knqyf263) 2020年8月19日
BINDの脆弱性の事前アナウンス
— Autumn Good (@autumn_good_35) 2020年8月18日
『the August BIND maintenance releases that will be released on Thursday, 20 August, contain patches for five separate vulnerabilities.』
Pre-announcement of five BIND security issues scheduled for disclosure 20 August 2020https://t.co/RIjlCx9pZ8
不審なメールや偽サイトのアレコレ
不審なメール情報
2020年8月に出回った不審なメールの件名は以下のとおり
【件名一覧】
Amazon異常は検出されました。
【重要】楽天株式会社から緊急のご連絡
【参考情報】
注意情報|一般財団法人日本サイバー犯罪対策センター
情報提供|一般財団法人日本サイバー犯罪対策センター
ばらまき型メールカレンダー - Google スライド
外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート
不審な偽サイト(フィッシングサイト)情報
2020年8月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※()は報告日時
[更新] 宅配便の不在通知を装うフィッシング (2020/08/07) (2020/08/21)
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 宅配便の不在通知を装うフィッシング (2020/08/21)
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/07 フィッシング報告状況
注意喚起やニュースのアレコレ
note利用者のIPアドレスが漏えい
【概要】
コンテンツ配信サービス『note』の利用者のIPアドレスがサイトの不具合により外部から確認できてしまう問題が発生した。
【参考情報】
【再発防止策】IPアドレスが外部から確認できた事態について|note株式会社
【お詫び】IPアドレスが他者からも確認できてしまう不具合について|note株式会社
noteユーザーのIPアドレスが漏えい、運営会社が謝罪 有名人のIPアドレスと一致する5ちゃんねる投稿が検索される事態に - ITmedia NEWS
「note」投稿者のIPアドレスが確認できる不具合発生、他サイトの投稿と紐付けようとするネットユーザーも現れ騒動に - INTERNET Watch
IPアドレスは「個人情報」を特定できないから、漏えいしても問題ないよね? (1/2):こうしす! こちら京姫鉄道 広報部システム課 @IT支線(24) - @IT
【参考Tweet】
noteから返答ないから書いた。
— 脳筋な[SE]シーヴァ (@sheva_access) 2020年8月27日
noteのIPアドレス流出騒動で流出したIPが本当は何なのかよく分からない件|sheva @sheva_access #note https://t.co/7yzXoxpF4Q
書いた。2週間経ったのでちゃんとまとめました。
— Masahiko Sakakibara (@rdlabo) 2020年8月31日
---
noteのIPアドレス漏洩と同様のリスクを持つSNS ID漏洩が修正されたので、何が起きてたかをまとめます。https://t.co/Z31XnWoREk https://t.co/3Am6rpf6iq
Yahoo!JAPAN IDで個人情報漏えい
【概要】
Yahoo!JAPAN IDでシステムに不具合があり個人情報が漏えいした
【参考情報】
Yahoo! JAPAN IDで個人情報漏えい 氏名や勤務先など他人のIDに上書き 最大約39万件 - ITmedia NEWS
登録した情報が他人のIDに上書き--「Yahoo! JAPAN ID」で最大39万規模の障害発生 - CNET Japan
【セキュリティ ニュース】ヤフー、ID編集結果を他利用者に反映する不具合 - 情報流出や誤配送のおそれ(1ページ目 / 全2ページ):Security NEXT
VPN機器の脆弱性を突かれ多数の企業情報が流出
【概要】
Pulse Secure(パルスセキュア)のVPN機器「Pulse Connect Secure」の脆弱性(CVE-2019-11510)を突かれ多数の企業情報が流出した
【参考情報】
VPNパスワード流出、原因は「テレワーク用に急きょ稼働させた旧VPN装置に脆弱性」 平田機工 - ITmedia NEWS
崩れたネットの「関所」VPN 在宅勤務増で急ごしらえ:朝日新聞デジタル
企業のテレワーク拡大で懸念されるランサムウェア犯罪の被害 - ZDNet Japan
パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる | 日経クロステック(xTECH)
VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相 | 日経クロステック(xTECH)
【セキュリティ ニュース】VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ(1ページ目 / 全5ページ):Security NEXT
【参考Tweet】
境界線防衛モデルを取る限りは、その例外としてアクセスを許すVPNが破られれば後はやりたい放題になるよね。特に脆弱性があったら辛い。ゼロトラストは運用がカギなので情シス部門が弱いと回らない。 / “VPN、突かれた欠陥 サイバー攻撃、900組織の接続情報流出:朝…” https://t.co/gi4oxJWLfp
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) 2020年8月26日
Pulse Secure の件ですが、ゼロデイでもなく、パッチが出てから攻撃が活発化するまでもStruts2のときと違って数ヶ月の猶予もありましたので、これで被害を受けている場合はテレワークやVPNがどうこうの問題ではなく、脆弱性対応の体制自体に問題がありますので、
— Autumn Good (@autumn_good_35) 2020年8月27日
プロバイダー等を騙る当選サイトに注意
【概要】
プロバイダー等を騙りスマートフォン等が当選すると偽ったサイトがネット閲覧中に発生する事象が多数確認された
【参考情報】
オプテージかたる景品当選詐欺ページに注意、個人情報の入力は厳禁 - ケータイ Watch
プロバイダーをかたった当選サイトに注意してください。 | 鍵セキュリティプレイス
【参考Tweet】
【注意喚起】
— QTnetサポート【公式】 (@qtnet_support) 2020年8月15日
インターネットを閲覧中に、弊社からの当選通知を装ったポップアップ画面が表示され、不審サイトに誘導した上でクレジットカード情報等の個人情報を入力させる事例が確認されています。
事例は「QTnetよりプレゼント」「一周年記念日」「アンケートに答えてスマホを100円」等です。
(1/2)
いつの間にかバリエーションが増えてます。。
— KesagataMe (@KesaGataMe0) 2020年8月16日
確認できた範囲で、OCN,SoftBank,AsahiNet,Sony。@ozuma5119 @NaomiSuzuki_ @tiketiketikeke @taku888infinity pic.twitter.com/e7fY5YQHDy
分かってきたこと(一例)
— KesagataMe (@KesaGataMe0) 2020年8月17日
- TLDがxyz
- Registrant Emailが数個のyahoo[.]com
- ターゲットはグローバル
- "hxxps://〜[.]xyz"、"hxxps://eu.〜[.]xyz"と、Domain/FQDNでの2パターンが存在
- 当該キャンペーンを確認した際のURLであれば、別IP(ISP)からアクセスしても同ブランドの画面を確認可能
… https://t.co/2XyWrpmaRN
▼偽当選サイト関連注意喚起
— にゃん☆たく (@taku888infinity) 2020年8月21日
・NTTコミュニケーションズhttps://t.co/3D27nyM4Gw https://t.co/i0X9kl49oQ
不審な当選サイト(今回はSoftBankのを例に利用)にアクセスするとどうなるか動画で撮っておきました。
— にゃん☆たく (@taku888infinity) 2020年8月18日
現在このような当選サイトが多数確認されています。もしインターネット利用中に表示された場合は
・ボタンはクリックせずにブラウザを閉じる
・個人情報の入力はおこなわない
を実施して下さい pic.twitter.com/3UlSN03hmZ
セキュリティレポートやブログのアレコレ
IPA(独立行政法人情報処理推進機構)
脆弱性対処に向けた製品開発者向けガイド:IPA 独立行政法人 情報処理推進機構
ネット接続製品の安全な選定・利用ガイド -詳細版-:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
コンピュータウイルスに関する届出について:IPA 独立行政法人 情報処理推進機構
夏休みにおける情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
JPCERT コーディネーションセンター
攻撃グループLazarusがネットワーク侵入後に使用するマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
2020年4月から8月を振り返って
IPA が「事業継続を脅かす新たなランサムウェア攻撃」に関する注意喚起を公開
LAC
家庭のネットワークから侵入のリスク?安価な高機能Wi-Fiルーターの安全性を調べてみた | セキュリティ対策のラック
フィッシングサイトを早期発見!被害を最小限に抑え、安心・安全なサイト利用を推進するには | セキュリティ対策のラック
コロナ禍で見えたテレワークの課題と対策を振り返る緊急レポート「withコロナ」経営者が今やるべきこと | セキュリティ対策のラック
Trend Micro
不正なChrome拡張機能がユーザ情報の窃取に利用される | トレンドマイクロ セキュリティブログ
ルータの脆弱性「CVE-2020-10173」を利用するIoTマルウェア | トレンドマイクロ セキュリティブログ
米国の地方自治体向けWeb決済プラットフォームを狙う「Magecart」のEスキミング攻撃 | トレンドマイクロ セキュリティブログ
PowerShellの悪用と「ファイルレス活動」を見つけるためにできること | トレンドマイクロ セキュリティブログ
コロナ禍におけるランサムウェアの新戦略:2020年上半期の脅威動向分析 | トレンドマイクロ セキュリティブログ
McAfee
ランサムウェアの被害を避ける新たな手段とは
ランサムウェアの進化-厄介で永続的な脅威の理解と対策
ランサムウェアは新たなデータ侵害に:安全を維持するための5つのヒント
Linuxカーネルセキュリティ:FBIとNSAがロシア政府が関与するとされるLinuxマルウェアについて明らかに
RaaSの進化 ー NetWalkerランサムウェアを調査
Kaspersky
アカウントが乗っ取られてしまった。どうすべき?
https://blog.kaspersky.co.jp/tips-for-hacked-account/29034/
中小企業で定期的にチェックすべき5項目
https://blog.kaspersky.co.jp/top5-checkpoints-for-smb/28906/
4周年を迎えた「No More Ransom」
https://blog.kaspersky.co.jp/no-more-ransom-four-years/28995/
偽物のウイルススキャンサイト
https://blog.kaspersky.co.jp/phishing-email-scanner/28963/
IIJ
wizSafe Security Signal 2020年7月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
NEC セキュリティブログ
CTF作問での新たな挑戦と得られた気づき: NECセキュリティブログ | NEC
マクニカネットワークス
piyolog
事業者に発行したVPNアカウント盗用による台湾政府へのサイバー攻撃についてまとめてみた - piyolog
犯人のインスタ投稿から摘発にいたったバイク窃盗事案についてまとめてみた - piyolog
事業者に発行したVPNアカウント盗用による台湾政府へのサイバー攻撃についてまとめてみた - piyolog
パプアニューギニアのデータセンターで確認された不具合についてまとめてみた - piyolog
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた - piyolog
ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog
Twitterハッキングから2週間で当局が訴追した方法についてまとめてみた - piyolog
なりすまし申請による特別定額給付金詐欺事件についてまとめてみた - piyolog
knqyf263's blog
OSSエンジニアを1年やってみた所感 - knqyf263's blog
トリコロールな猫/セキュリティ
2020年上半期に公開されたセキュリティ関連文書まとめ - トリコロールな猫/セキュリティ
みっきー申す
日本も標的!北朝鮮の攻撃グループ(LazarusおよびBeagleBoyz)による最近の活動 - みっきー申す
Dharmaランサムウェアを利用し、日本を含む国々を標的にしたイランのハッカーグループの活動について - みっきー申す
Alexaの脆弱性と悪用の方法について - みっきー申す
朝鮮系攻撃グループDarkHotelが悪用した可能性のあるMicrosoftの脆弱性CVE-2020-1380について - みっきー申す
今回もココまで読んでいただきありがとうございました。
ではでは!
_,.イ~
/ 、 ;}
_,,..,,,,_ / 、 、;/
./ ・ω・ヽoノ,;_;,シ いも~
l l
`'ー---‐´
<更新履歴>
2020/09/04 PM 公開