2020年10月に起こったセキュリティニュースのアレコレをまとめてみた。

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

今年はコロナ禍の影響で多くの業界でオフラインで行われていたイベントがオンラインに変更になったり、もしくは中止になったりしていますよね。

例年この時期はセキュリティ業界でもオフラインイベントが沢山ある時期なのですが、オンラインイベントに変更になっています。

特にセキュリティイベントでもCODEBLUEやAVTokyoがオンライン開催されました。

#codeblue_jp
CODEBLUE2日間ありがとうございましたー！来年また会いましょーーー！！！！はっぴーはろうぃーん！
※実は今年からスタッフだったのです← pic.twitter.com/puIxyf5kNF
— にゃん☆たく (@taku888infinity) 2020年10月30日

togetter.com

いよいよ本日ですねー！

Phishing Village盛り上げていくぞーい！https://t.co/kJwIQHaNxM #avtokyo https://t.co/bMLmwegzvG
— にゃん☆たく (@taku888infinity) 2020年10月31日

#avtokyo

さてさて準備は整った！！！（これ以外なにもしてない←） pic.twitter.com/0dn3HQKgWg
— にゃん☆たく (@taku888infinity) 2020年10月31日

今年は僕もCODEBLUEでは裏方でお手伝いしたり、AVTokyoでもセッションを任せてもらったりと非常に勉強になる経験をさせていただきました。

この場を借りて運営の皆さま、オンラインイベントに参加してくださった皆さま、ありがとうございました！また来年もよろしくお願いしますね！

というわけで前月のまとめです。

脆弱性のアレコレ
不審なメールや偽サイトのアレコレ
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートやブログのアレコレ

脆弱性のアレコレ

Oracle製品に脆弱性

【概要】
Oracleの複数の製品に対するクリティカルパッチアップデートが公開されている。

【CVE番号】
CVE-2020-14803等

【対象】
Java SE JDK/JRE 15
Java SE JDK/JRE 11.0.8
Java SE JDK/JRE 8u261
Java SE JDK/JRE 7u271
Java SE Embedded 8u261
Oracle Database Server 19c
Oracle Database Server 18c
Oracle Database Server 12.2.0.1
Oracle Database Server 12.1.0.2
Oracle Database Server 11.2.0.4
Oracle WebLogic Server 14.1.1.0.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 10.3.6.0.0

【対策】
・アップデートする（下記修正済みバージョン）
Java SE JDK/JRE 15.0.1
Java SE JDK/JRE 11.0.9
Java SE JDK/JRE 8u271
Java SE JDK/JRE 7u281
Java SE Embedded 8u271

【参考情報】
Oracle Java の脆弱性対策について(CVE-2020-14803等)：IPA 独立行政法人情報処理推進機構
 2020年10月 Oracle 製品のクリティカルパッチアップデートに関する注意喚起
 Oracle Javaに脆弱性、アップデートを | マイナビニュース
 【セキュリティニュース】Oracle、定例パッチで402件の脆弱性に対処 - CVSS基本値「9.0」以上が82件（1ページ目 / 全1ページ）：Security NEXT
【注意喚起】Oracle WebLogicの脆弱性(CVE-2020-14882、CVE-2020-14883)を狙った攻撃を観測、早急な対策を | セキュリティ対策のラック

Microsoft Outlookに脆弱性

【概要】
Microsoft Outlookに脆弱性が存在し、第三者に細工されたメールを開くと任意のコードが実行される可能性がある

【CVE番号】
CVE-2020-16947

【対象】
Microsoft 365
Office 2019
Outlook 2016

【対策】
更新プログラムの適用

【参考情報】

【セキュリティニュース】「Outlook」にRCE脆弱性 - プレビューだけで悪用のおそれ（1ページ目 / 全2ページ）：Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

今月気になるものは、特記されているようにOutlookのプレビューだけでコード実行（HTMLの処理に起因）なCVE-2020-16947と、Hyper-Vのホストへのコード実行のCVE-2020-16891あたりですね。

Zero Day Initiative — The October 2020 Security Update Reviewhttps://t.co/8MV7R14bsG pic.twitter.com/QgwQY8gl3T
— Autumn Good (@autumn_good_35) 2020年10月14日

⑦Office/Outlook CVE-2020-16947はプレビューでメール閲覧でも攻撃成立のため要注意
— Yurika (@EurekaBerry) 2020年10月14日

GitHub - 0neb1n/CVE-2020-16947: PoC of CVE-2020-16947

※PoCが公開されています。

肝心のペイロードがファイル形式のせいか文字化けしていて読めませんね…本物かはわからないですが、このペイロードを含めたメールを開くとRCEのトリがになるのかなhttps://t.co/DDtLxCo5A3 https://t.co/OIuKa6h1pe
— _spxn🔑 (@_spxn) 2020年10月16日

WindowsのTCP/IPスタックに脆弱性

【概要】
WindowsのTCP/IPスタックに脆弱性が存在し、第三者に細工されたICMPv6ルーターアドバタイズパケットを受信すると任意のコードが実行される可能性がある。

【CVE番号】
CVE-2020-16898（脆弱性名：Bad Neighbor）

【対象】
Windows 10
Windows Server 2019

【対策】
更新プログラムの適用
ICMPv6 RDNSSを無効にする

【参考情報】

脅威に関する情報: Microsoftの脆弱性 CVE-2020-16898
【セキュリティニュース】Windowsに危険度高い脆弱性「Bad Neighbor」 - ワーム発生に要警戒（1ページ目 / 全2ページ）：Security NEXT
マイクロソフト、月例パッチで87件の脆弱性を修正 - ZDNet Japan

【参考Tweet】

アップデート①CVE-2020-16898 IPv6 RAの脆弱性ですが、内容を更新しました。1) CVSSスコアは8.8に引き下げ。2) RAに係る脆弱性なのでRAの範囲で攻撃が可能なことを明記しました（インターネット越しに直接攻撃はできない) https://t.co/AgTGJRNpxH
— Yurika (@EurekaBerry) 2020年10月15日

Windowsアップデート。
今回公開になった脆弱性で大きそうなところでは、CVE-2020-16898: “Bad Neighbor”

Windows IPv6スタックの脆弱性。
攻撃者が悪意を持って作成されたパケットを送信し、リモートシステム上で任意のコードを実行する可能性。

現在のPoCでは、即時BSODが発生。
— かお㌠ (@ka0com) 2020年10月13日

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

2020年10月にフィッシングサイト対策協議会で報告された情報は以下のとおり
[更新] 宅配便の不在通知を装うフィッシング (2020/10/30)
MyJCB をかたるフィッシング (2020/10/29)
[更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金に関する通知を装うフィッシング (2020/10/15)
※（）は報告日時

注意喚起やニュースのアレコレ

複数のMicrosoft製品のサポートが終了

【概要】
2020年10月13日に複数のMicrosoft製品のサポートが終了した。サポート終了した製品は以下の通り。
Access 2010
Dynamics GP 2010
Excel 2010
Excel Mobile 2010
Exchange Server 2010
FAST Search Server 2010
Groove Server 2010
Office 2010
OneNote 2010
PowerPoint 2010
Project 2010
Publisher 2010
Search Server 2010
System Center Data Protection Manager 2010
System Center Essentials 2010
Visio 2010
Word 2010
Windows Embedded Standard 7
Office 2016 for Mac
Excel 2016 for Mac
Outlook 2016 for Mac
PowerPoint 2016 for Mac
Word 2016 for Mac

【参考情報】
ご存じですか? Office にはサポート期限があります - Microsoft atLife
複数のマイクロソフト社製品のサポート終了について
 Office 2010のサポートが終了更新プログラムの利用が不可に - ITmedia PC USER
ExcelやWordなど多数のマイクロソフト製品が10月13日にサポート終了 | マイナビニュース
 【セキュリティニュース】「Office 2010」がサポート終了に - 利用環境の確認を（1ページ目 / 全1ページ）：Security NEXT

【参考Tweet】

10月13日(米国時間)(日本は今日)サポートが終了したOffice 2010。最後の脆弱性を修正したパッチが出ていますので、即利用停止できない方はとり急ぎパッチは忘れずに直ぐに適用お忘れなく＆早急に移行をいただければ。https://t.co/D7dfzcb5ZS
— Yurika (@EurekaBerry) 2020年10月14日

【「Office 2010」のサポートが終了しました】
「Office 2010」のサポートが10月13日（日本時間）で終了しました。今後は更新プログラムが提供されませんので、当該ソフトウェア製品を利用されている方は速やかにソフトウェア製品の移行を実施してください。https://t.co/LTNsWqhfOM pic.twitter.com/le6nX0sasX
— IPA（情報処理推進機構） (@IPAjp) 2020年10月14日

複数企業がマルウェア「TrickBot」遮断措置を実施

【概要】
複数企業（Microsoft、FS-ISAC、NTT、Symantec、ESET、Lumen）がマルウェア「TrickBot」遮断措置を実施した。

【参考情報】
Microsoft、NTTなどと協力し、マルウェア「TrickBot」を遮断する措置 - ITmedia NEWS
マイクロソフトら、米大統領選を前に悪質な「Trickbot」ボットネット遮断措置 - ZDNet Japan
Microsoftが大統領選に向けて悪名高いマルウェア「TrickBot」の運用阻止に乗り出す - GIGAZINE
米国大統領選挙を前に、ランサムウェア対策に向けた新たな取り組み - News Center Japan
Microsoft Uses Trademark Law to Disrupt Trickbot Botnet — Krebs on Security

【参考Tweet】

#Trickbot ボットネットのテイクダウンがMicrosoftとFS-ISACを中心に、ESET、LUMEN、NTT、Symantecで行われたとのこと。
主に米国を中心としたC2インフラを停止させたようですが、まだ全てのC2が停止しているわけではないようです。

一番まとまってるのはこの記事。https://t.co/10wbCNdn6V
— S-Owl (@Sec_S_Owl) 2020年10月13日

特別定額給付金を騙る偽メールが出回る

【概要】
10月中旬から後半にかけて、特別定額給付金を騙る偽メール（フィッシングメール）が出回った。

【参考情報】

総務省｜特別定額給付金の給付を騙ったメールに対する注意喚起
 総務省を騙った特別定額給付金に関するフィッシング｜一般財団法人日本サイバー犯罪対策センター
 フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | [更新] 特別定額給付金に関する通知を装うフィッシング (2020/10/19)
特別定額給付金の詐欺メール、また出回る今度は「申請手続き代行始めました」 - ITmedia NEWS
給付金2回目支給？総務省をかたる偽通知メールに注意 - INTERNET Watch

【参考Tweet】

⚠️総務省を騙ったフィッシング詐欺サイト情報⚠️

特別定額給付金のフィッシング詐欺サイトが発生中!!#詐欺サイトなので、#フィッシングメールにご注意を。

hxxps://kyufukin.soumu.online
IP:14.63.172.200
　(AS4766 / KIXS-AS-KR Korea Telecom🇰🇷)#Phishing #総務省 #特別定額給付金 pic.twitter.com/sAhWJbKW9A
— KesagataMe (@KesaGataMe0) 2020年10月14日

2020-10-19 17:55 時点のまとめ。

◆45.192.178[.]214
kyufukin[.]cyou
kyufukin[.]monster

◆173.82.120[.]101
kyufukin-soumu-go-jp[.]buzz
kyufukin-soumu-go-jp[.]xyz
www.kyufukin-soumu-go-jp[.]buzz
www.kyufukin-soumu-go-jp[.]xyz

◆192.255.188[.]179
coccjp.coazjp[.]pw pic.twitter.com/T75wcffbJm
— ねこさん⚡(ΦωΦ) (@catnap707) 2020年10月19日

今回フィッシングサイトの稼働が確認できたIPとドメインはこちら↓

▼IP
14.63.172[.]200

▼ドメイン
kyufukin.soumu[.]cyou
kyufukin.soumu[.]buzz
kyufukin.soumu[.]online

[.]cyouは2020年6月に誕生したgTLDですが、使われだしたなって感じ（楽天のフィッシングサイトでは前から使われてたけど） https://t.co/1bx6wmXFU3
— にゃん☆たく (@taku888infinity) 2020年10月15日

ドコモ口座不正送金問題、被害の補償が完了

【概要】
NTTドコモはドコモ口座不正送金問題で確認できた127件の被害について補償が完了したと発表した

【参考情報】
【セキュリティニュース】「ドコモ口座」の不正チャージ、被害124件の補償を完了（1ページ目 / 全1ページ）：Security NEXT
「ドコモ口座」不正引き出し被害補償完了と発表 NTTドコモ | 電子決済不正引き出し問題 | NHKニュース
 ドコモ口座、判明被害の補償完了 128件で2885万円 :日本経済新聞
 ドコモ口座被害、申告分の補償を完了 - ケータイ Watch

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

サイバー情報共有イニシアティブ（J-CSIP）運用状況[2020年7月～9月](PDF)
https://www.ipa.go.jp/files/000086549.pdf

JPCERT コーディネーションセンター

LogonTracer v1.5 リリース - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
 インターネット定点観測レポート（2020年 7～9月）
DDoS 攻撃を示唆して仮想通貨による送金を要求する脅迫行為 (DDoS 脅迫) について

JPCERT/CC インシデント報告対応レポート [2020年7月1日～2020年9月30日]（PDF）
https://www.jpcert.or.jp/pr/2020/IR_Report20201015.pdf

JPCERT/CC 活動概要 [2020年7月1日～2020年9月30日]（PDF）
https://www.jpcert.or.jp/pr/2020/PR_20201015.pdf

Trend Micro

McAfee

Microsoft Teamsのセキュリティ上の脅威トップ10
アンチウイルス完全に理解した!? Emotetから学ぶウイルス感染対策
 女優アナ・ケンドリック、2020年の最も危険なセレブに

Kaspersky

情報漏洩につながりかねない、Officeドキュメントの要素とは
https://blog.kaspersky.co.jp/how-to-leak-info-from-docs/29424/
サイバー犯罪者が銀行から盗んだ資金を洗浄する方法
https://blog.kaspersky.co.jp/money-laundering-schemes/29300/
Facebookの助成金プログラムを悪用するフィッシング詐欺
https://blog.kaspersky.co.jp/facebook-grants/29295/

IIJ

wizSafe Security Signal 2020年9月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

NEC セキュリティブログ

【超図解】ゼロトラスト: NECセキュリティブログ | NEC
本当は怖いsudoコマンド: NECセキュリティブログ | NEC

piyolog

原子力規制委員会への不正アクセスについてまとめてみた - piyolog
LinkedInでの接触から始まった積水化学工業元社員の営業秘密情報持ち出しについてまとめてみた - piyolog
ゆうちょ銀行のmijica Webへの不正ログインについてまとめてみた - piyolog
2020年10月に発生した東京証券取引所のシステム障害についてまとめてみた - piyolog

bomb_log

2020/10/16(木) 添付ファイル付不審メール「支払いの詳細 - 注文番号」「【2020年10月】請求額のご連絡」（ZLoader）の調査 - bomb_log
2020/10/14(火) 添付ファイル付不審メール「【お振込口座変更のご連絡】」（ZLoader）の調査 - bomb_log
2020/08/31(月)週添付ファイル付不審メール（Emotet -> ZLoader）の調査 - bomb_log

午前７時のしなもんぶろぐ

大量出現したニセ通販サイトを探る - 午前７時のしなもんぶろぐ

knqyf263's blog

CVE-2020-15157 (ContainerDrip) を試す - knqyf263's blog

ロシアンブルー飼育日記

セキュリティ猫の備忘録

【やってみた】特別定額給付金のフィッシングサイトにアクセスしてみた！！ - セキュリティ猫の備忘録

みっきー申す

Amazon Japanを装ったフィッシングメールがEmotetと同規模の脅威に - みっきー申す
 NCSCおよびUS-CERTから注意喚起が出されたMicrosoft SharePointの脆弱性(CVE-2020-16952)ついて - みっきー申す
 OneDriveやBox、Office文書形式など、攻撃者が利用するサービスについて - みっきー申す

今回もココまで読んでいただきありがとうございました。

ではでは！
.　　∧_∧
　（ ´・ω・)
　//＼￣￣旦＼
／/ ※ ＼＿＿＿＼
＼＼　※ 　※ 　※ ヽ
　＼ヽ-＿_＿–＿__ヽ

あ、最後に宣伝です

11月11日（水）の15時～、JPAAWG 3rd General Meeting（オンライン）でお話させていただくことになりました。フィッシングメールやフィッシングサイトを追いかけている複数メンバーで登壇しますので、お時間ありましたらぜひご参加くださいませ。

meetings.jpaawg.org

f:id:mkt_eva:20201104032846p:plain

＜更新履歴＞
2020/11/04 AM公開

にゃん☆たくのひとりごと

ひとりごとです。感じたことだけをただ気ままに書きます。

2020年10月に起こったセキュリティニュースのアレコレをまとめてみた。

脆弱性のアレコレ

Oracle製品に脆弱性

Microsoft Outlookに脆弱性

WindowsのTCP/IPスタックに脆弱性

不審なメールや偽サイトのアレコレ

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

複数のMicrosoft製品のサポートが終了

複数企業がマルウェア「TrickBot」遮断措置を実施

特別定額給付金を騙る偽メールが出回る

ドコモ口座不正送金問題、被害の補償が完了

セキュリティレポートやブログのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

JC3

フィッシング対策協議会

NICTER Blog

LAC

Trend Micro

McAfee

Kaspersky

IIJ

NEC セキュリティブログ

piyolog

bomb_log

午前７時のしなもんぶろぐ

knqyf263's blog

ロシアンブルー飼育日記

セキュリティ猫の備忘録

みっきー申す