どもどもにゃんたくです(「・ω・)「ガオー
明けましておめでとうございます!
2021年も『にゃん☆たく』をどうぞよろしくお願いいたします。
新年になり気持ち新たに。。。と思っていますが、昨今の新型コロナウイルスの影響がこの年末年始も変わらず、とうとう東京も緊急事態宣言が出されるようです(2021年1月5日午前現在)。
セキュリティ対策もコロナウイルス対策も自分一人の行動次第で変わってくることがあると僕は思っています。今自分ができることはまずやってみる、だけでも世の中全体が変わってくると思います。
では前月のまとめです。
脆弱性のアレコレ
Apache Tomcatに脆弱性
【概要】
Apache Tomcatに脆弱性が存在し、ストリームの情報が漏えいする可能性がある。
【CVE番号】
CVE-2020-17527
【対象】
Apache Tomcat 10.0.0-M1 から 10.0.0-M9
Apache Tomcat 9.0.0.M1 から 9.0.39
Apache Tomcat 8.5.0 から 8.5.59
【対策】
・修正済みバージョン適用(下記修正済みバージョン)
Apache Tomcat 10.0.0-M10
Apache Tomcat 9.0.40
Apache Tomcat 8.5.60
【参考情報】
Apache Tomcat の脆弱性 (CVE-2020-17527) に関する注意喚起
Apache Tomcatの脆弱性情報(Moderate: CVE-2020-17527) - security.sios.com
【セキュリティ ニュース】「Apache Tomcat」に情報漏洩のおそれ - 11月17日の更新で修正済み(1ページ目 / 全1ページ):Security NEXT
Apache Tomcatに情報漏洩につながる脆弱性、最新版にアップデートを | マイナビニュース
【参考Tweet】
Apache Tomcat における HTTP/2 リクエスト処理の不備に起因する情報漏えいの脆弱性 https://t.co/Ux1iWIRE8x
— IPA (JVNiPedia) (@JVNiPedia) 2020年12月7日
ソリトンシステムズのFileZenに脆弱性
【概要】
ソリトンシステムズの製品「FileZen」に脆弱性が存在し、リモートから任意のファイルをアップロードされる可能性がある。
【CVE番号】
CVE-2020-5639
【対象】
FileZen V3.0.0 から V4.2.2 まで
【対策】
・アップデートする(FileZenをV4.2.3以降)
【参考情報】
【重要】FileZenディレクトリトラバーサルの脆弱性について | サポートからのお知らせ | サポート | ソリトンシステムズ
ファイル・データ転送アプライアンス FileZen に関する注意喚起
「FileZen」におけるディレクトリトラバーサルの脆弱性について(JVN#12884935):IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】「FileZen」脆弱性、悪用でOSコマンド実行のおそれ - 追加アップデートも(1ページ目 / 全2ページ):Security NEXT
FileZen にディレクトリトラバーサルの脆弱性、早急なアップデート呼びかけ | ScanNetSecurity
[OSINT]Shodanを使ってFileZenを探せ その1|__aloha__|note
[OSINT]Shodanを使ってFileZenを探せ その2(データ収集テクニック)|__aloha__|note
【参考Tweet】
記事、公開します。ソリトンさんごめんなさい。
— hiro_ (@papa_anniekey) 2020年12月8日
OSINTツール、shodanを使ってFilezenを探せのお話をまとめました。
[OSINT]Filezenを探せ #note https://t.co/u7qSYnwvIT
昨日に続いてですが、その2を書きました。その1ではshodanの検索テクニックについて、その2はデータ収集のテクニックについて書いてみました。重ね重ね、ソリトンさんごめんなさい。。。
— hiro_ (@papa_anniekey) 2020年12月9日
[OSINT]Shodanを使ってFileZenを探せ その2(データ収集テクニック)https://t.co/coKGBygr7r#shodan https://t.co/6jqsnIa47B
OpenSSLに脆弱性
【概要】
OpenSSLに脆弱性が存在し、脆弱性を悪用されるとDoS攻撃を受ける可能性がある。
【CVE番号】
CVE-2020-1971
【対象】
OpenSSL 1.1.1 および 1.0.2 のすべてのバージョン
【対策】
・脆弱性修正済みバージョンの適用(下記修正済みバージョン)
OpenSSL 1.1.1i
【参考情報】
OpenSSL の脆弱性 (CVE-2020-1971) に関する注意喚起
OpenSSLの脆弱性情報(High: CVE-2020-1971) - security.sios.com
OpenSSLにDoS攻撃につながる重大な脆弱性、早急にアップデートを | マイナビニュース
Apache Struts 2に脆弱性(S2-061)
【概要】
Apache Struts 2に脆弱性が存在し、脆弱性が悪用されるとリモートから任意のコードが実行される可能性がある。
【対象】
Apache Struts 2
2.0.0 から 2.5.25 まで
【対策】
・脆弱性修正済みバージョンの適用(下記修正済みバージョン)
Apache Struts 2
2.5.26
【参考情報】
Apache Struts 2 の脆弱性 (S2-061) に関する注意喚起
「Apache Struts 2」において任意のコードが実行可能な脆弱性 (S2-061)(JVN#43969166):IPA 独立行政法人 情報処理推進機構
Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)PoC検証 | yamory Blog
【セキュリティ ニュース】「Apache Struts 2」にRCE脆弱性が判明 - アップデートがリリース(1ページ目 / 全1ページ):Security NEXT
Apache Struts 2に遠隔から任意コード実行の脆弱性、アップデートを - ITmedia エンタープライズ
【参考Tweet】
ハニーポットにS2-061を悪用した攻撃通信が来ていました。
— 謎の男 (@secret_return) 2020年12月20日
curl、wget、python、lwp-downloadを使用してhxxp://205.185.116.78/からファイルのダウンロードを試みています。 pic.twitter.com/K5Nd7itiva
明日の私さんへ。
— 謎の男 (@secret_return) 2020年12月9日
S2-061は「vulhub(vulnhubではない)」に用意されているS2-059の検証環境を少し弄れば再現できるって書いてあると思います。→https://t.co/qEfqe4DyVF
構築方法はここに書いてあると思います。→https://t.co/gigqLvWk9T
Mac環境へのPoCは今後の参考に→https://t.co/v3jT35zpoM
はてなブログに投稿しました。#ハニポで夜更かし
— NYAMA (@oubon21120991) 2020年12月24日
S2-061/CVE-2020-17530狙いが来たようだ。
2020/12/23 ハニーポット(仮) 観測記録 - コンニチハレバレトシタアオゾラhttps://t.co/KASPLTSdCq
不審なメールや偽サイトのアレコレ
不審な偽サイト(フィッシングサイト)情報
2020年12月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※()は報告日時
三菱 UFJ 銀行をかたるフィッシング (2020/12/18)
宅配便の不在通知を装うフィッシング (2020/12/18)
セディナカード・OMC カードをかたるフィッシング (2020/12/14)
三井住友カードをかたるフィッシング (2020/12/10)
オリコをかたるフィッシング (2020/12/08)
UCS カードをかたるフィッシング (2020/12/07)
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 三菱 UFJ 銀行をかたるフィッシング (2020/12/18)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 宅配便の不在通知を装うフィッシング (2020/12/18)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | セディナカード・OMC カードをかたるフィッシング (2020/12/14)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 三井住友カードをかたるフィッシング (2020/12/10)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | オリコをかたるフィッシング (2020/12/08)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | UCS カードをかたるフィッシング (2020/12/07)
僕の収集できている範囲での結果ですが、2020年12月のフィッシングサイトで確認できたものと2020年11月と対比しみたものです
— にゃん☆たく (@taku888infinity) 2021年1月2日
※Amazon,LINE,SMBC,楽天は除外しています
▼12月の概要
■ニトリの偽サイトが話題
■地銀(北海道,琉球,沖縄,北陸,静岡,横浜)フィッシングサイト誕生#Phishing pic.twitter.com/xSUXcB9tkf
注意喚起やニュースのアレコレ
セールスフォース製品の設定ミスで情報が流出
【概要】
セールスフォース製品((Experience Cloud〔旧 Community Cloud〕、Salesforceサイト、Site.com))を使用していた組織の情報が流出。原因は、ゲストユーザに対する情報の共有に関する設定の不備。
【参考情報】
【お知らせ】当社一部製品をご利用のお客様におけるゲストユーザに対する共有に関する設定について | セールスフォース・ドットコム
楽天に不正アクセス、最大148万件以上の情報流出の恐れ 営業管理用SaaSの設定にミス - ITmedia NEWS
楽天、PayPayの情報漏えい、原因はセールスフォース製品の設定ミス? - ITmedia ビジネスオンライン
楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る | 日経クロステック(xTECH)
金融庁の注意喚起で金融機関が対応急ぐ、セールスフォース製品への不正アクセスで | 日経クロステック(xTECH)
【セキュリティ ニュース】クラウド設定ミスで顧客情報が流出 - 楽天グループ3社(1ページ目 / 全2ページ):Security NEXT
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog
【参考Tweet】
「2016年のシステムアップデートで、設定のデフォルト値が変わった。再設定が必要だったが、できていなかった。」ってのを、楽天サイドの誤りと断じるのはひどくね?
— wakatono(JK) (@wakatono) 2020年12月25日
/ 楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る https://t.co/QZmqJ0glwA
「2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わった」ひえー、こりゃ怖い / “楽天で最大148万件の顧客情報が流出か、セールスフォースのシステム設定を誤る | 日経クロステック(xTECH)” https://t.co/GpZosbclGK
— 上原 哲太郎/Tetsu. Uehara (@tetsutalow) 2020年12月25日
Salesforceの設定ミスって顧客情報漏洩させた各社さんは、みんな保護委に報告してるんでしょうか?保護委から注意喚起とか出てもいいんじゃないかと思うのですが。
— nov matake (@nov) 2020年12月25日
SolarWindsの製品にバックドアが仕組まれる
【概要】
SolarWindsの製品(SolarWinds Orion Platform)に外部からバックドアが仕組まれ、導入していた企業に影響が出ている。
【参考情報】
SolarWinds社製SolarWinds Orion Platform ソフトウェアに関する政府機関
等への注意喚起の発出について(PDF)
https://www.nisc.go.jp/active/general/pdf/chuikanki201216.pdf
【セキュリティ ニュース】SolarWinds製品の侵害、米国中心に検出 - 国内でも(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】APT攻撃受けた「SolarWinds Orion Platform」に追加ホットフィクス(1ページ目 / 全1ページ):Security NEXT
米政府などへの大規模サイバー攻撃、SolarWindsのソフトウェア更新を悪用 - CNET Japan
マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡 - CNET Japan
Microsoft、「SolarWinds悪用攻撃者にソースコードを見られた」 - ITmedia NEWS
SolarWinds悪用攻撃、Intel、Cicso、NVIDIA、VMwareも──Wall Street Journal報道 - ITmedia NEWS
「SolarWinds問題」はより大きな脅威の一端か、当局から新しい警告 - ITmedia エンタープライズ
Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは? - GIGAZINE
SolarWindsハッキング事件について現在までわかっていること | ギズモード・ジャパン
SolarWinds製品を悪用したマルウェア、日本でも検出確認 - ZDNet Japan
マイクロソフト、米政府機関などへの攻撃に関連するSolarWindsのソフトウェアを隔離へ - ZDNet Japan
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
【参考Tweet】
SolarWindsのセキュリティアドバイザリ 連日更新されています。SUPERNOVAについても追記されています。https://t.co/mJVe0uMN0J
— piyokango (@piyokango) 2020年12月28日
(できれば更新履歴がほしい。。) pic.twitter.com/7YDilqFIdJ
MSがSolarWindsによる攻撃の影響調査が進んだ結果として製品のソースコードを見られていたと報告。ただしhackされたアカウントには変更権限が無かったという。サービスや顧客データにアクセスされた形跡は無かった。またMS経由で他社に攻撃が行われた形跡も無かったという。 https://t.co/SWnPYZp5Fw
— 高梨陣平 (@jingbay) 2021年1月2日
スマホ用ブラウザ「Smooz」がサービス終了
【概要】
スマホ用ブラウザ「Smooz」が外部に情報を送信している事がわかり修正をおこなったが、最終的にサービス終了になった。
【参考情報】
Smoozのサービス終了のお知らせ | Smooz Blog
Smoozにおけるユーザー情報の取り扱いについて | Smooz Blog
情報を外部に送信している? 疑惑のWebブラウザ「Smooz」が配信停止に - ITmedia NEWS
サービス終了となった「Smooz」に未修正の脆弱性? 利用の継続は大きなリスクを負うことに - 窓の杜
ブラウザー「Smooz」がサービス終了、同じ運営元の「在庫速報.com」もアクセス不能に?【やじうまWatch】 - INTERNET Watch
【参考Tweet】
Smoozが現在配信停止されていますが脆弱性の修正を含むバージョンが公開停止されてしまっており、良い判断ではないと思います。運営元のデータ取り扱いが信用ならないという話と「悪意のある第三者に個人情報が盗み取られる」話は別問題であり、配信停止してしまうと既存の利用者は保護されません。
— mala (@bulkneets) 2020年12月20日
一方で自分がSmoozに報告した脆弱性というのは、悪意のあるWebページ側から全自動で入力サポート機能用に登録した住所氏名電話番号メールアドレスを盗み取れるというものです。影響はiOS版のみ(Android版は未実装)
— mala (@bulkneets) 2020年12月21日
これはバージョンアップしない限り直りません。類似事例 https://t.co/bPzHQ41FUy pic.twitter.com/KvVAetDi4m
Adobe Flash Playerのサポートが終了
【概要】
Adobe Flash Playerのサポートが2020年12月31日に終了になった。サポート終了後は全てのユーザーに対しアンインストールすることを推奨している。
【参考情報】
Adobe Flash Playerサポート終了
Adobe Flash Playerサポート終了、すぐにアンインストールを | マイナビニュース
2020年末で正式にサポート終了した「Adobe Flash」についてAdobeは「今すぐにFlashを削除することを強く推奨します」とユーザーに通知 - GIGAZINE
Adobe、Flashプレイヤーのアンインストールを強く推奨 - iPhone Mania
【セキュリティ ニュース】さよなら「Adobe Flash Player」 - 2020年末でサポート終了(1ページ目 / 全3ページ):Security NEXT
Emotetに感染させるばらまき型メールが再開
【概要】
クリスマスや賞与支給を騙り、Emotetに感染させるばらまき型メールが再開した。
【参考情報】
Emotet などのマルウェア感染に繋がるメールに引き続き警戒を
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
【セキュリティ ニュース】活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】12月21日より「Emotet」感染メール増加 - あらためて警戒を(1ページ目 / 全2ページ):Security NEXT
【参考Tweet】
12月30日6時55分ごろからEmotetへの感染を狙ったメールが来ています
— abel (@abel1ma) 2020年12月29日
確認できた件名
ご入金額の通知・ご請求書発行のお願い 数字-202012月30
請求書の件です。 数字-202012月30
払届
ミーティング https://t.co/29yQN9d89Iドメイン名
ビジネス会議への招待 https://t.co/29yQN9d89Iドメイン名
(続く)
2020/12/22(木)の日本語 #Emotet の件名まとめhttps://t.co/rx4UY5YSp4
— bom (@bomccss) 2020年12月22日
■件名種別
・賞与系
・クリスマス系
・返信型
件名種別はさほど多くは無いですが、docは日本語のものと英語と2種類あります。
E3の日本語向けはdoc添付のみですが、E1はパスワード付きzip、E2はzipとリンクです。 pic.twitter.com/ICSzWBOKVu
セキュリティレポートやブログのアレコレ
IPA(独立行政法人情報処理推進機構)
サイバーレスキュー隊(J-CRAT)活動状況[2020年度上半期](PDF)
https://www.ipa.go.jp/files/000086892.pdf
年末年始における情報セキュリティに関する注意喚起:IPA 独立行政法人 情報処理推進機構
「Emotet」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構
※「年末時期に合わせた攻撃の再開」を追記しました。(2020年12月22日)
「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」:IPA 独立行政法人 情報処理推進機構
JPCERT コーディネーションセンター
CNA活動レポート 〜日本の2組織が新たにCNAに参加〜 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
Quasar Familyによる攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
2020年9月から12月を振り返って
Emotet などのマルウェア感染に繋がるメールに引き続き警戒を
JC3
広告表示により誘導する悪質なショッピングサイト|一般財団法人日本サイバー犯罪対策センター
様々な金融機関等を狙ったフィッシング|一般財団法人日本サイバー犯罪対策センター
フィッシング対策協議会
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2020/11 フィッシング報告状況
JNSA
※「2020年セキュリティ十大ニュース」
LAC
【緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認 | セキュリティ対策のラック
JSSECセキュアコーディングガイド最新版~改定内容とAndroid 11対応のノウハウとは? | セキュリティ対策のラック
【対談】クラウド×セキュリティの協業があらゆる社会課題を解決に導く-TIS株式会社 | セキュリティ対策のラック
Trend Micro
標的ネットワークを侵害するクロスプラットフォームのモジュラー型マルウェア「Glupteba」 | トレンドマイクロ セキュリティブログ
正規コミュニケーションアプリに便乗する手口について解説 | トレンドマイクロ セキュリティブログ
CVE-2020-17053: Internet Explorerの新たな脆弱性について解説 | トレンドマイクロ セキュリティブログ
「環境寄生」の常態化:2019年国内での標的型攻撃を分析 | トレンドマイクロ セキュリティブログ
SolarWinds社製品を悪用、米政府などを狙う大規模サプライチェーン攻撃 | トレンドマイクロ セキュリティブログ
Operation Earth Kitsune:新たなバックドア2種と連携する攻撃手法について解説 | トレンドマイクロ セキュリティブログ
巧妙化するシェルスクリプトの隠蔽手口について解説 | トレンドマイクロ セキュリティブログ
McAfee
デバイスからクラウドへのアーキテクチャがSolarWindsサプライチェーンの侵害をどのように防御するか
SUNBURSTバックドアの追加分析について
SUNBURSTマルウェアとSolarWindsに対するサプライチェーン攻撃
偽の広告を表示するAdrozekマルウェアに注意:Webブラウザを保護するための4つのヒント
個人情報や金融情報を保護するために個人でできるセキュリティ対策 トップ10
ホリデーシーズンに注意すべき4種のフィッシング詐欺
Kaspersky
密かに動画ビューを稼ぐChrome拡張機能
https://blog.kaspersky.co.jp/chrome-plugins-alert/29814/
ドキシング、情報漏洩:個人情報の値段と行く末
https://blog.kaspersky.co.jp/dox-steal-reveal/29671/
バックアップだけでは十分ではない理由
https://blog.kaspersky.co.jp/why-backup-is-not-enough/29769/
Amazon関連のよくある詐欺
https://blog.kaspersky.co.jp/amazon-related-phishing-scam/29644/
IIJ
wizSafe Security Signal 2020年11月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
MBSD
AWS環境における実践的なインシデントレスポンス演習の作成 | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
NEC セキュリティブログ
JavaScriptで書ける!APIフックによるマルウェア動的解析 | NEC
ビジネスとして改良が続けられている二重脅迫ランサムウェア | NEC
AWS環境での疑似インシデントレスポンス: NECセキュリティブログ | NEC
情報処理安全確保支援士と(ISC)²の倫理からセキュリティのプロフェッショナルに求められている心得を考える | NEC
NICTER Blog
Emotetに便乗するマルウェア(Zloader,IcedID,Agent Tesla) - NICTER Blog
piyolog
中学生をゲーム内通貨不正購入の実行役にした不正アクセス事件についてまとめてみた - piyolog
FireEyeが被害に遭った一流のサイバー攻撃についてまとめてみた - piyolog
三菱パワーが被害に遭ったMSP経由の不正アクセスについてまとめてみた - piyolog
SolarWindsのサプライチェーン攻撃についてまとめてみた - piyolog
Salesforceの設定不備に起因した外部からのアクセス事案についてまとめてみた - piyolog
bomb_log
マルウェアEmotetの活動再開(2020/12/21-)と変更点 - bomb_log
好奇心の足跡
とある母の24時間CTF参加記録と、競技との付き合い方の考察 - 好奇心の足跡
とある診断員とSecurity-JAWS#02 ~インシデントレスポンス on AWS 疑似体験編~ 参加記録 - 好奇心の足跡
knqyf263's blog
KubernetesのLoadBalancerやClusterIPを用いた中間者攻撃(CVE-2020-8554) - knqyf263's blog
午前7時のしなもんぶろぐ
「urlscan.io 超入門」を公開しました - 午前7時のしなもんぶろぐ
今回もココまで読んでいただきありがとうございました。
ではでは!
∧∞∧
(。・ω・。)
○━━━○
┃ あ ┃
┃ け ┃
┃ お ┃
┃ め ┃
ノ ♪ ノ
━━━━′
最後にちょっと番宣ですが、昨年末にこんなブログを書いてみました。
フィッシングハンターに興味があったり、フィッシングメールの情報を仕入れてみたい方は参考にしてみてください。
<更新履歴>
2021/01/05 PM公開
2021/01/06 AM一部引用ツイート修正
