2021年3月に起こったセキュリティニュースのアレコレをまとめてみた。
どもどもにゃんたくです(「・ω・)「ガオー
今月は公開が遅れてしまいました…(>人<;)
さてさてさて、今年3月に1つ嬉しい事がありました。
それがこちらです↓
東京電機大学の現役学生の皆さんへ
— にゃん☆たく (@taku888infinity) 2021年3月18日
大学時代にTwitterのハンドルネームを考える際には注意してください。
下手すると国からハンドルネームで呼ばれ、ツイートされるようになりますので。 https://t.co/y74JYaEvKl
サイバーセキュリティ月間、第11回コラムを公開しました。
— NISC内閣サイバーセキュリティセンター (@cas_nisc) 2021年3月18日
フィッシングハンターのにゃん☆たくさんより、「フィッシング詐欺被害を減らすたった2つの方法」と題して執筆いただいています。https://t.co/SYxGC2LoRU#サイバーセキュリティは全員参加
いや、RTやファボが多かった!ってところが嬉しかったポイントではなく、「にゃん☆たく」の名前でサイバーセキュリティ月間のコラムを書かせていただいた点が嬉しかったです。
実際のコラムはこちらです↓フィッシング詐欺についての思いの丈をぶつけました。
2021年3月18日[みんなでしっかりサイバーセキュリティ]
まだセキュリティツイッタラーとしての活動は5年ほどですが、こういう発信をもっともっとしていきたいです。僕のゴールは一人でもスマホやパソコンを使用していてサイバー攻撃、サイバー犯罪に対して不安を感じる事ない世の中がくる事です。
もちろんここまで自分一人で来れたわけでもないですし、今だに多くの方に協力していただいている事、迷惑をかけている事があります。感謝しかないです。
今後もこんな僕ですがどうぞよろしくお願いいたします。
では前月のまとめです。
脆弱性のアレコレ
Microsoft Exchange Serverに脆弱性
【概要】
Microsoft Exchange Serverに脆弱性が存在し、外部から第三者により任意のコードを実行できる可能性がある。(すでに悪用が確認されている状態)
【CVE番号】
CVE-2021-26855
CVE-2021-26857
CVE-2021-27065
CVE-2021-26858
【対象】
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
【対策】
・セキュリティ更新プログラムを適用する
▼セキュリティ更新プログラムを適用する以外の対策
・IIS Re-Write ルールを導入して、悪意のある https リクエストをフィルターする
・ユニファイド メッセージング (UM) を無効にする
・Exchange Control Panel (ECP) VDir を無効にする
・オフラインアドレス帳 (OAB) VDir サービスを無効にする
【参考情報】
Exchange Server の脆弱性の緩和策 – Microsoft Security Response Center
オンプレミス Exchange Server の脆弱性の調査や修復に対応する方向けのガイダンス – Microsoft Security Response Center
オンプレミス Exchange 緩和ツール (ワンクリックの緩和ツール) – Microsoft Security Response Center
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
更新:Microsoft Exchange Server の脆弱性対策について(CVE-2021-26855等):IPA 独立行政法人 情報処理推進機構
Microsoft Exchange Serverの脆弱性の修復手順
【注意喚起】Microsoft Exchange Server製品に関する複数の脆弱性について | セキュリティ対策のラック
【参考Tweet】
悪用が確認されているExchangeの脆弱性。インターネット接続のExchangeの92%がパッチか緩和策済み、先週から43%改善。該当環境管理者さま始め、様々な形での尽力がありここまで進んでこれております。みな皆様、ご協力本当に有難うございます。まだ少し、引続き頑張って参ります。 https://t.co/Sk5ICbDbof
— Yurika (@EurekaBerry) 2021年3月22日
先日定例外で公開したゼロデイ攻撃が確認されているExchangeの脆弱性に対するセキュリティパッチ。パッチ適用に時間がかかる環境にて、当面の対策として活用頂ける緩和策の日本語ブログを出しました。早急に何卒早急に対応のほどどうぞどうぞよろしくお願いいたします。https://t.co/JAWDBhP0lC pic.twitter.com/pMcvCA73gW
— Yurika (@EurekaBerry) 2021年3月8日
OpenSSLに脆弱性
【概要】
OpenSSLに脆弱性が存在し、検証が回避されたり、OpenSSLが実行されているサーバーがサービス運用妨害(DoS)を受ける可能性がある。
【CVE番号】
CVE-2021-3450
CVE-2021-3449
【対象】
OpenSSL 1.1.1h、OpenSSL 1.1.1iおよびOpenSSL 1.1.1j
OpenSSL 1.1.1kより前の1.1.1系のバージョン
※OpenSSL 1.0.2、OpenSSL 1.1.0については既に公式サポートが終了
【対策】
修正済みバージョンの適用(下記本脆弱性修正済みバージョン)
OpenSSL 1.1.1k
【参考情報】
OpenSSLの脆弱性(CVE-2021-3450、CVE-2021-3449)に関する注意喚起
OpenSSLに重要な脆弱性、OpenSSL 1.1.1kへアップデートを | TECH+
「OpenSSL」に2件の脆弱性、深刻度は“高” ~「OpenSSL 1.1.1k」への更新を - 窓の杜
OpenSSLの脆弱性情報(High: CVE-2021-3449, CVE-2021-3450 ) - security.sios.com
【参考Tweet】
おっと、OpenSSLの脆弱性 CVE-2021-3449 は TLS1.2 の renegotiation 時に sig_alg から sig_alg_cert へ入れ替えを仕込んじゃうとサーバが落ちちゃうのか。TLS1.2のrenegotiationを有効にしているところは注意です。 / “https://t.co/as4iDmIt1q” https://t.co/tFPArxe81A
— Shigeki Ohtsu (@jovi0608) 2021年3月25日
OpenSSLの脆弱性アップデートの予告。
— Autumn Good (@autumn_good_35) 2021年3月22日
severityは最大のものでHIGH。
『This release will be made available on Thursday 25th March 2021 between 1300-1700 UTC.』
Forthcoming OpenSSL releasehttps://t.co/LXVgcMq7hv pic.twitter.com/FQ8ChRL9JC
不審なメールや偽サイトのアレコレ
不審な偽サイト(フィッシングサイト)情報
2021年3月にフィッシングサイト対策協議会で報告された情報は以下のとおり
※()は報告日時
MyJCB をかたるフィッシング (2021/03/18)
ライフカードをかたるフィッシング (2021/03/18)
TS CUBIC CARD をかたるフィッシング (2021/03/17)
楽天をかたるフィッシング (2021/03/03)
アプラスをかたるフィッシング (2021/03/01)
【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | MyJCB をかたるフィッシング (2021/03/18)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ライフカードをかたるフィッシング (2021/03/18)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | TS CUBIC CARD をかたるフィッシング (2021/03/17)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 楽天をかたるフィッシング (2021/03/03)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | アプラスをかたるフィッシング (2021/03/01)
僕の収集できている範囲での結果ですが、2021年3月のフィッシングサイトで確認できたものと2021年2月を対比しみました
— にゃん☆たく (@taku888infinity) 2021年4月2日
※Amazon,LINE,SMBC,楽天は除外
▼3月概要
・Google,ペアーズ Pairs,大塚商会・アルファメールプレミア誕生
・LINE復活
・JCB,docomoは増加#Phishing pic.twitter.com/QNa25hhfjh
注意喚起やニュースのアレコレ
LINE使用者の情報が国外からアクセス可能だった事が判明
【概要】
LINE使用者の一部情報が国外のLINEのアプリシステムを開発する企業からアクセス可能だった事が判明した
【参考情報】
LINEにおける個人情報の取り扱いに関連する主な予定および取り組みについて | ニュース | LINE株式会社
ユーザーの個人情報に関する一部報道について | ニュース | LINE株式会社
LINEの個人情報管理に不備 中国の委託先が接続可能:朝日新聞デジタル
中国の4人に接続権限 LINE「日本に人材おらず」:朝日新聞デジタル
<解説>LINE、海外流出リスク露呈 個人情報、危うい管理:朝日新聞デジタル
LINE、中国に情報漏れうる実態 識者「重大事案だ」:朝日新聞デジタル
ZHD、LINEのデータ管理問題で外部有識者と初会合 座長「一企業・グループを超えた重要な公的課題」 - ITmedia NEWS
LINEがきょう社長会見 データ管理問題を説明 - ITmedia NEWS
LINE、ユーザー情報移転先の国名を明記 韓国やベトナムで開発運用 - ITmedia NEWS
管理不備と報じられたLINEの問題についてまとめてみた - piyolog
フィッシング詐欺対策としてドコモメール公式アカウントを提供
【概要】
docomoは、フィッシング詐欺対策として「ドコモメール公式アカウント」の提供を今年5月中旬から開始すると発表した
【参考情報】
ドコモからのお知らせ : フィッシング詐欺メール対策の新機能「ドコモメール公式アカウント」を提供 -企業・団体の公式アカウントからの送信メールの確認が可能に- | お知らせ | NTTドコモ
「ドコモメール」に公式アカウント機能、信頼できる送信元を明示 - ケータイ Watch
【セキュリティ ニュース】フィッシング対策で「ドコモメール公式アカウント」を提供 - NTTドコモ(1ページ目 / 全1ページ):Security NEXT
みずほ銀行のATMで障害が発生(2月28日に発生)
【概要】
みずほ銀行のATMで2月28日に障害が発生し、障害時にATMで使用されていたキャッシュカードや通帳が取り込まれ返却できなくなる状態となった。
【参考情報】
2月28日以降に発生した一連のシステム障害について
https://www.mizuhobank.co.jp/release/pdf/20210405_2release_jp.pdf
みずほATM障害は「初歩的なミス」…銀行界の「常識」考慮せず、あきれる地銀首脳 : 経済 : ニュース : 読売新聞オンライン
みずほ銀行のシステム障害、データ更新作業が引き金に | 日経クロステック(xTECH)
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた - piyolog
【参考Tweet】
障害中のみずほ銀行赤坂支店14:45。3組の客がいるが全員ATM脇の電話をかけている。貼り紙が一切ないため客が普通に来てトラブルに巻き込まれている。「カードが飲まれました電話も出ません」と客からと思われる貼り紙も pic.twitter.com/GuuFG9nwnE
— 三上洋 (@mikamiyoh) 2021年2月28日
セキュリティレポートやブログのアレコレ
IPA(独立行政法人情報処理推進機構)
「2020年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書:IPA 独立行政法人 情報処理推進機構
安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
「企業における営業秘密管理に関する実態調査2020」報告書について:IPA 独立行政法人 情報処理推進機構
「企業ウェブサイトのための脆弱性対応ガイド」改訂版や研究会報告書などを公開:IPA 独立行政法人 情報処理推進機構
手口検証動画シリーズ:IPA 独立行政法人 情報処理推進機構
ネット接続製品の安全な選定・利用ガイド -詳細版-:IPA 独立行政法人 情報処理推進機構
JPCERT コーディネーションセンター
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
フィッシング対策協議会
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 協議会からのお知らせ | 「フィッシング詐欺のビジネスプロセス分類」を公開 (2021/03/16)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | イベント | フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン) 開催のご案内
フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2021/02 フィッシング報告状況
NICT
NICTER観測統計 - 2020年10月~12月 - NICTER Blog
LAC
【注意喚起】Microsoft Exchange Server製品に関する複数の脆弱性について | セキュリティ対策のラック
セキュリティ診断レポート 2021 春~情報セキュリティを取り巻く環境が変化する今、求められる対策とは | セキュリティ対策のラック
CYBER GRID JOURNAL Vol.11 "インテリジェンスで読み解くサイバーセキュリティ" | セキュリティ対策のラック
Trend Micro
トレンドマイクロ セキュリティブログ「ダミーの正規サイト」で検出回避を試みるフィッシング詐欺手口を解説
トレンドマイクロ セキュリティブログ「Clubhouse」、「Riffr」など音声SNSアプリに潜むセキュリティリスクを解説
トレンドマイクロ セキュリティブログコロナ禍の法人を脅かす境界線内外の攻撃:2020年1年間の脅威動向を分析
トレンドマイクロ セキュリティブログ攻撃キャンペーン「Operation Earth Kitsune」とサイバー犯罪集団「APT37」の関連性
トレンドマイクロ セキュリティブログ2021年3月のセキュリティアップデートレビュー解説
トレンドマイクロ セキュリティブログ各国の郵便サービスを偽装しカード情報を狙うフィッシング詐欺事例を解説
トレンドマイクロ セキュリティブログWebシェル「Chopper」を利用した最近の標的型攻撃事例を解説
トレンドマイクロ セキュリティブログMicrosoft Exchange ServerおよびVMware製品で重大な脆弱性が公表
トレンドマイクロ セキュリティブログLinux環境における脅威を解説、被害に遭わないためには?
トレンドマイクロ セキュリティブログサイバーセキュリティにおける深層学習(ディープラーニング)の活用は十分か?トレンドマイクロ セキュリティブログ
トレンドマイクロ セキュリティブログ2021年も継続するネット詐欺:偽の懸賞応募、送金サービスや決済サイト、宅配偽装など海外の手口を紹介
McAfee
オペレーション Diànxùn:通信会社を狙ったサイバースパイ活動が明らかに
SASEへの最短ルート
TikTokで人気の危険なバイラルチャレンジと年齢制限について
Androidユーザーはご注意を:無料のVPNアプリから2,100万件のデータが漏洩
Kaspersky
複数VPNアプリの利用者データが漏洩
https://blog.kaspersky.co.jp/supervpn-geckovpn-chatvopn-leak/30226/
A41APT:日本企業を標的とする情報窃取活動
https://blog.kaspersky.co.jp/a41apt-threat-for-japanese-organizations/30219/
「プレステ5を勝ち取ろう!」詐欺
https://blog.kaspersky.co.jp/scam-with-playstation-5-giveaway/30265/
この1年でCOVID-19がサイバーセキュリティに及ぼした影響を振り返る
https://blog.kaspersky.co.jp/pandemic-year-in-infosec/30292/
RTMの新たな攻撃:古いトロイの木馬と新種のランサムウェア
https://blog.kaspersky.co.jp/rtm-quoter-campaign/30157/
IIJ
wizSafe Security Signal 2021年2月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
マクニカネットワークスセキュリティ研究センターブログ
ProxyLogonのまとめとExchange Serverの利用状況について - セキュリティ研究センターブログ
NEC セキュリティブログ
偽ショートメッセージ「不在通知SMS」について2: NECセキュリティブログ | NEC
piyolog
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた - piyolog
攻撃発生中のExchange Serverの脆弱性 ProxyLogonなどについてまとめてみた - piyolog
管理不備と報じられたLINEの問題についてまとめてみた - piyolog
業務委託先元従業員による松井証券の不正送金事案についてまとめてみた - piyolog
データ入力不備で全国展開が先送りされたマイナンバーカードの保険証利用についてまとめてみた - piyolog
セキュリティは楽しいかね? Part 2
Revue で 1週間のセキュリティニュースを振り返り - セキュリティは楽しいかね? Part 2
好奇心の足跡
Twitterからはてなブログに、日次でtweetをまとめて投稿 - 好奇心の足跡
午前7時のしなもんぶろぐ
無料で読めるセキュリティ定期発行物のまとめ - 午前7時のしなもんぶろぐ
今回もココまで読んでいただきありがとうございました。
ではでは!
花粉撒いてやんよ
∧_∧
( ・ω・)/)゚+。∴゚
C□ / ゚。∴゚。+゚
/ |
(ノ ̄∪
<更新履歴>
2021/04/13 AM公開