UJP - 脆弱性情報/注意喚起カテゴリのエントリ

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ 脆弱性情報/注意喚起 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - 脆弱性情報/注意喚起カテゴリのエントリ

NicheStack

カテゴリ : 
セキュリティ » 脆弱性情報/注意喚起
ブロガー : 
ujpblog 2021/8/20 1:10
 TCP/IPの組み込み機器用プロトコルスタックに脆弱性.

数百万の制御システムに影響も、組み込みTCP/IPスタック「NicheStack」に脆弱性
https://monoist.atmarkit.co.jp/mn/articles/2108/05/news047.html

組み込み系なので意図しない機器が使っている可能性もあるけどそれそ探す手段はある模様.

https://github.com/Forescout/project-memoria-detector

興味深いツール.ネットワーク通信で,名乗らなくても相手の振る舞いから実装が分かると聞いたことがある.それを見ていると想像.ソースも説明も見てない.

PetitPotam

カテゴリ : 
セキュリティ » 脆弱性情報/注意喚起
ブロガー : 
ujpblog 2021/8/16 23:00
 NTLMリレー攻撃の対応策.

マイクロソフト、NTMLリレー攻撃「PetitPotam」の対応策を公開
https://www.prsol.cc/?p=1488

 NT LAN Managerなので下位互換の認証方法か.

 ドメインコントローラ上でIISを動かしている時に緩和策が対応可能.
 緊急リリースされたPrintNightmareに対応するためのKB5004945を適用してみた.


 ダウンロードに時間がかかる.混雑しているってことか?



 適用にはOS再起動をともなう.



 コマンドプロンプトから,systeminfoコマンドを使うと,適用されたパッチの番号が出ています.


 印刷しないPCだけど,まぁ一安心かな.
 ゼロデイだった脆弱性ですが,定期外のアップデータのリリースで対策がされた模様.

Windows 印刷スプーラーのリモートでコードが実行される脆弱性
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

 単純に対策するにはPrint Spoolerを「無効化」することだけれど,何かの拍子(プリンタドライバインストール等)で有効になることもあるので,アップデートを適用した方が良いね.

 今回は修正前に誤って実証コードが公開されてしまったという特異なものではあるけれど.
 1年ほど前にも脆弱性が見つかっていたけれど,今回はゼロデイ

[回避策あり][PrintNightmare]Windowsの印刷スプーラーにゼロデイ脆弱性CVE-2021-34527
https://a-zs.net/cve-2021-1675/

 影響を受けるのはドメインコントローラで動作するPrint Spoolerだが,影響がわからないので不要なら「無効化する」のが良い模様.
 また,印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にすることでも回避可能.一応,テストしないとね.
 この手のものが流行りなのだと思う.

アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告
https://jp.techcrunch.com/2021/04/24/2021-04-23-passwordstate-click-studios-password-manager-breach/

  • パスワードマネージャに脆弱性がある
  • アップデート機能の脆弱性を悪用して侵入する.
  • JVNVU#93485736
    IEEE802.11 規格のフレームアグリゲーションやフラグメンテーションに関する複数の問題(FragAttack)
    https://jvn.jp/vu/JVNVU93485736/

     専用サイト.

    https://www.fragattacks.com

     動画でpocによる攻撃デモもあるけれど,英語だからさっぱりだ.そんな時は,DeepLを.

    引用:
    本サイトでは、Wi-Fi機器に影響を与える新たなセキュリティ脆弱性を集めた「FragAttacks(フラグメント・アグリゲーション・アタック)」を紹介しています。被害者のWi-Fiネットワークの範囲内にいる敵対者は、これらの脆弱性を悪用して、ユーザー情報を盗んだり、デバイスを攻撃したりすることができます。今回発見された脆弱性のうち3つは、Wi-Fi規格の設計上の欠陥であるため、ほとんどの機器に影響を及ぼします。これに加えて、Wi-Fi製品に広く存在するプログラミングミスに起因する脆弱性も複数発見されています。実験の結果、すべてのWi-Fi製品は少なくとも1つの脆弱性の影響を受けており、ほとんどの製品は複数の脆弱性の影響を受けていることがわかりました。

     「設計上の欠陥」なので,もうパッチとかで対応は難しいから,違う規格のものにするしか無いということかな?
     もうちょっと引用してみる.

    引用:
    今回発見された脆弱性は、最新のWPA3仕様を含む、Wi-Fiのすべての最新セキュリティプロトコルに影響を与えます。また、Wi-FiのオリジナルセキュリティプロトコルであるWEPにも影響があります。つまり、今回発見された設計上の欠陥のいくつかは、1997年にリリースされたWi-Fiの一部だったということです。幸いなことに、これらの設計上の欠陥を悪用することは難しく、悪用するにはユーザーの操作が必要であったり、一般的でないネットワーク設定を使用した場合にのみ可能であったりします。そのため、実際には、Wi-Fi製品のプログラミング上のミスが最も懸念されます。

     WPA3もか.もうWEPを使っている人なんていないだろうと・・・(物理的に壊れてそう)

    引用:
    ユーザーを保護するために、Wi-Fi AllianceとICASIが監修した9ヶ月に及ぶ協調的な情報公開の中で、セキュリティアップデートが準備されました。お使いのデバイスのアップデートがまだ利用できない場合は、ウェブサイトがHTTPSを使用していることを確認し、デバイスが利用可能な他のすべてのアップデートを受け取っていることを確認することで、いくつかの攻撃を軽減することができます(すべてではありません)。


     各社の対応方針があった.

    全Wi-Fi機器に影響する脆弱性「FragAttacks」発見される。各企業・団体が対応を発表
    https://internet.watch.impress.co.jp/docs/news/1324389.html

     うちのWi-FiアクセスポイントはNERGEARなので対応を確認してみる.

    https://kb.netgear.com/000063666/Security-Advisory-for-Fragment-and-Forge-vulnerabilities-on-some-WiFi-capable-devices-PSV-2021-0014-PSV-2021-0080


    引用:
    NETGEAR は、業界全体で Fragment および Forge と呼ばれる一連の WiFi プロトコルのセキュリティ脆弱性を認識しています。これらのWiFiセキュリティ脆弱性を利用するには、以下の両方の条件が必要です。
    誰かがお客様の WiFi パスワードを知っているか、入手していること。
    誰かがお客様のWiFiパスワードを知っている、または入手していること、そして誰かがお客様のWiFiネットワークに物理的に近い場所に、お客様のルーターとWiFiネットワーク上のデバイスとの間の通信を傍受できるデバイスを持っていること。
    これらの脆弱性が悪用されると、知らないうちにデータを引き出されたり、他の悪用につながったりする可能性があります。NETGEAR は、以下のカテゴリーの製品の修正プログラムをリリースしました。リンクをクリックすると、利用可能なファームウェア修正プログラムを含む製品の表にジャンプします。

     現在インストールしているファームウェアより新しいファームは無いようだけれど,サポートが終わっている可能性も?!

    NISCからの注意喚起

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2021/5/6 18:33
     内閣官房内閣サイバーセキュリティセンターから,ゴールデンウィーク前?中に注意喚起がでていました.

    ランサムウエアによるサイバー攻撃に関する注意喚起について
    https://www.nisc.go.jp/active/infra/pdf/ransomware20210430.pdf

     別にゴールデンウィークに関係するってことでもないね.
     休み前に,VPNルータなどの脆弱性が次々と発表されたのも気をつけないと.

    バッファロー製Wi-Fiルーターに複数の脆弱性
    https://k-tai.watch.impress.co.jp/docs/news/1321948.html

     BHR-4GRVがある! PPTPでお気軽低価格VPNルータで,うちにも1台あるけれど非稼働.
     なんと,ファームウェアがリリースされていました.

    BHR-4GRV ファームウェア (Windows)
    https://www.buffalo.jp/support/download/detail/?dl_contents_id=60691

     あれ?もしかしてBHR-4RVだったかも...ビジュアルを見るとBHR-4RVだったな.

    NEC製Wi-Fiルーター「Aterm」シリーズに複数の脆弱性報告
    https://k-tai.watch.impress.co.jp/docs/news/1317677.html
     マイクロソフトの月次アップデートの前に情報が出ている模様.


    Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
    https://www.jpcert.or.jp/at/2021/at210012.html

    引用:
    マイクロソフトから脆弱性を修正するためのアップデートが公開されています。マイクロソフトは、まず外部ネットワークに接続しているExchange Serverにて優先的に対策を実施することを推奨しています。早期の対策実施を検討してください。

    - Microsoft Exchange Server 2019
    - Microsoft Exchange Server 2016
    - Microsoft Exchange Server 2013

     githubにあるpowercat.ps1を使っている模様.netcatのPowerShell版..

    追記2021/03/08

  • Microsoft Exchange Onlineは影響を受けない

    Exchange Server の脆弱性の緩和策
    https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/

    引用:
    これらの緩和策は、もしお客様の Exchange Server が既に侵害されている場合の復旧策にはなりません。また攻撃に対しての完全な保護策でもありません

    Exchange Server 2013/2016/2019 にセキュリティ更新プログラムを適用できない場合の暫定的な緩和策

    IIS Re-Write ルールを導入することや、ユニファイド メッセージング (UM) や Exchange Control Panel (ECP) VDir、オフラインアドレス帳 (OAB) VDir サービスを無効にすることです。


    解説:英語
    HAFNIUM targeting Exchange Servers with 0-day exploits
    https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

    追記2021/05/12

    FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
    https://jp.techcrunch.com/2021/04/14/2021-04-13-fbi-launches-operation-to-remotely-remove-microsoft-exchange-server-backdoors/

    引用:
    ヒューストンの裁判所は、米国内にある数百のMicrosoft Exchange(マイクロソフト・エクスチェンジ)メールサーバーのバックドアの「コピーと削除」を行うというFBIの作戦に許可を与えた。数カ月前、そのサーバーの4つの未発見の脆弱性を突いたハッカー集団が、数千ものネットワークに攻撃を加えている。

    米国時間4月13日、米司法省はこの作戦を公表し「成功した」と伝えた。

    2021年3月、Microsoftは、新たな中国の国家支援型ハッカー集団Hafnium(ハフニウム)が、企業ネットワークが運用するExchangeメールサーバーを狙っていることを発見した。4つの脆弱性を連結すると、脆弱なExchangeサーバーへの侵入が可能となり、コンテンツが盗み出せるようになる。

    〜略〜

    FBIがサイバー攻撃を受けた民間のネットワークを実際にクリーンアップしたのは、これが最初だと思われる。

  •  NISCからも注意喚起出ているし実際に漏洩事件も起こっているし.

    Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について
    https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf

    freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス
    https://www.itmedia.co.jp/news/articles/2102/10/news135.html

    引用:
    クラウド会計ソフトを提供するfreeeは2月10日、メールアドレスなど2898件の個人情報が外部から閲覧可能な状態になっていたと発表した。

    相次ぐWi-Fiルータ脆弱性

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2021/1/27 13:53
     サポート終了している古いWi-Fiルータについての情報を出してくるのは好感が持てるね.

  • エレコムのルーターなどで脆弱性。サポート終了のため使用中止を勧告
    https://pc.watch.impress.co.jp/docs/news/1302714.html

    引用:
     エレコム株式会社とロジテック株式会社のネットワーク関連製品に、それぞれ複数の脆弱性が報告されている。

     エレコムの対象製品は、無線ルーター「WRC-1467GHBK-A」、「WRC-300FEBK」、「WRC-300FEBK-A」、「WRC-300FEBK-S」、「WRC-F300NF」、ネットワークカメラ「NCC-EWF100RMWH2」、プリントサーバー「LD-PS/U1」、Androidアプリ「ELECOM File Manager」。

     ロジテックの対象製品は、無線ルーター「LAN-WH450N/GR」、「LAN-W300N/PR5B」、「LAN-W300N/PGRB」、「LAN-W300N/RS」。


  • 複数のNEC製のWi-Fiルーターに脆弱性、生産終了した「Aterm WF800HP」など
    「Aterm WG2600HP」「Aterm WG2600HP2」も対象
    https://internet.watch.impress.co.jp/docs/news/1302016.html

    引用:
     NECプラットフォームズ株式会社が提供するAtermシリーズの複数の無線LANルーターに脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。

     脆弱性の影響を受けるのは、生産を終了した以下3製品になる。

    ・「Aterm WF800HP」ファームウェア バージョン1.0.19以前
    ・「Aterm WG2600HP」ファームウェア バージョン1.0.2以前
    ・「Aterm WG2600HP2」ファームウェア バージョン1.0.2以前

  • JVNVU#92444096 TP-Link 製 TL-WR841N V13 (JP) におけるOSコマンドインジェクションの脆弱性
    https://jvn.jp/vu/JVNVU92444096/

     TP-LinkのWi-Fiルータは対性能比でコストパフォーマンスが良かったので妹ちゃん2号の自宅に導入したけれど,今回は対象外のようだ.
  •  こんなニュース.

    ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明
    https://www.security-next.com/122653

     海外製のルータかな?と思って確認.

    JVNVU#90340376 Dnsmasq における複数の脆弱性 (DNSpooq)
    https://jvn.jp/vu/JVNVU90340376/index.html


     ヤマハは,「脆弱性情報提供済み」となってますね.どういう意味かというと.「調整機関から脆弱性情報の提供をしている」なのだそうです.
     つまりまだ,調査中なのかな.


    脆弱性レポートの読み方
    https://jvn.jp/nav/jvnhelp.html



     経過観察かな
    引用:
    CiscoのSD-WAN、DNA Center、Smart Software Manager Satellite製品に複数の脆弱性が発見されており、そのうち最も深刻なものは、システム権限で任意のコードを実行できる可能性があります。
    SD-WANは、クラウドベースのネットワークアーキテクチャに使用されている
    DNA Centerは、Digital Network Architecture製品の管理プラットフォームです。
    スマートソフトウェアマネージャーは、エンタープライズ製品のアクティベーションキー/ライセンスマネージャーです。
    これらの脆弱性のうち最も深刻な脆弱性を悪用することに成功すると、攻撃者はシステム権限で任意のコードを実行することができ、攻撃者はデータの閲覧、変更、削除を行うことができます。

    影響を受けるシステム

    Cisco IOS XE SD-WAN バージョン 16.12.4 より前のバージョン
    Cisco IOS XEユニバーサル17.2、17.3、17.4
    Cisco SD-WAN 18.Xバージョン18.4.5以前のバージョン
    Cisco SD-WAN 19.2.Xバージョン19.2.2以前のバージョン
    Cisco SD-WAN 19.3.0 より前のバージョン
    Cisco SD-WAN 20.1、20.3、20.4 より前のバージョン
    Cisco SD-WAN vBond Orchestrator
    Cisco SD-WAN vEdge クラウド ルーター
    Cisco SD-WAN vEdge ルーター
    Cisco SD-WAN vManage ソフトウェア
    Cisco SD-WAN vSmart コントローラ
    1.3.1以前のDNA Centerソフトウェアのバージョン
    Cisco Smart Software Manager Satellite 6.3.0以前のバージョン

    以下の対応をお勧めします。

    適切なテストを行った後、直ちにCiscoが提供するアップデートをインストールしてください。
    外部からのサービスが必要な場合を除き、ネットワーク境界で外部アクセスをブロックする。グローバルアクセスが必要ない場合は、ネットワーク境界で脆弱なホストへのアクセスをフィルタリングする。
    すべてのシステムとサービスに最小特権の原則を適用し、すべてのソフトウェアを最小のアクセス権を持つ非特権ユーザとして実行する。

     最近だとこういうのもある.

    シスコの古いRVルータはセキュリティアップデートの提供なし、確認を
    https://news.mynavi.jp/article/20210118-1657049/

    対象機種はこれ.

    RV110W Wireless-N VPN Firewall
    RV130 VPN Router
    RV130W Wireless-N Multifunction VPN Router
    RV215W Wireless-N VPN Router

    引用:
    シスコはこれら脆弱性を修正したファームウェアをリリースしないと説明しているほか、問題を回避する方法も公開していない。
    なぜなら、上記の製品はすでにサポート終了を迎えているためだ。サポートが終了した製品の情報は次のページにまとまっている。
     まぁ,サポート終了しているの,脆弱性があることを伝えているだけで十分だと思うけどね.

    Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerabilities
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U
     内閣サイバーセキュリティセンター(NISC)からの注意喚起.
     2020年春以降,これまで何度か出たテレワーク関連の注意喚起へのリンク集になってますね.

    緊急事態宣言(2021 年 1 月 7 日)を踏まえたテレワーク実施にかかる注意喚起
    https://www.nisc.go.jp/press/pdf/20210108_caution_press.pdf

    SolarWinds Orion その3

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2021/1/5 22:22
     米国の政府系組織で導入されているSolarWinds Orionにロシア系ハッカーがマルウェアを仕込んだ問題.

    マイクロソフトのソースコードをSolarWinds悪用のハッカーが閲覧した形跡
    https://japan.cnet.com/article/35164530/

    引用:
    SolarWindsのサプライチェーンに対するサイバー攻撃に関与したハッカーが、Microsoftの少数の社内アカウントにアクセスした可能性があり、このうちの1つを利用して同社のソースコードリポジトリーにアクセスし、コードを閲覧したという。Microsoftが米国時間12月31日に明らかにした。
     Microsoftが保有するソースコードなんて,中の人がたくさん読んでいるし持って帰ったりしているだろうから,それほど驚くことじゃないけれどね.

    SolarWinds Orion その2

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2020/12/23 1:21
     1週間ほど前に報じられた,mSolarWinds Orionという運用管理ツールに関わるサイバー攻撃.

    SolarWindsのサプライチェーン攻撃についてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2020/12/20/045153

     こんな本気な奴,すごく短期間で解析できているなぁ...いつもながらに関心.

     この部分が興味深いね.
    引用:
    SUNBURSTが接続するドメインavsvmcloud[.]comをMicrosoftが2020年12月13日頃に押収し、シンクホール化している。

    SolarWinds ソリューションの脆弱性に関する注意喚起 - 株式会社アクシス
    https://www.t-axis.co.jp/wp/wp-content/uploads/2020/12/aa6e84cbacf59748ad171850b7ef2788.pdf

     知り合いの会社が取り扱ってたのか...
     恒例の.

    年末年始における情報セキュリティに関する注意喚起
    https://www.ipa.go.jp/security/topics/alert20201217.html

    引用:
    最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。
     そうだそうだ.

     事務所を留守にする場合も・・・

    長期休暇における情報セキュリティ対策
    https://www.ipa.go.jp/security/measures/vacation.html

    Aterm SA3500G

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2020/12/16 14:01
     Atermと聞いたので.

    Aterm SA3500Gにおける複数の脆弱性 NECプラットフォームズ株式会社
    https://www.necplatforms.co.jp/product/security_ap/info_20201211.html

     家庭用かと思ったら,中小企業ようなのね.

    Aterm SA3500Gの特長
    https://www.necplatforms.co.jp/product/security_ap/feature.html

    引用:
    Aterm SA3500Gの特長

    日本に合った安全対策を提供

    株式会社ラック※とパートナー契約を締結し同社が提供するシグネチャ(ウイルス等定義ファイル)を採用しています。同社は、グローバルにウイルス、不正プログラム、フィッシングサイトなどの情報を収集するだけでなく、日本の最新情報を加えて解析を行うことで、より日本のネットワーク環境に合ったシグネチャを提供しており、安全にネットワークを利用できます。SA3500Gは、この最新のシグネチャをライセンス期間(5年間/6年間/7年間)に合わせて提供します。
     サプライチェーン攻撃で使われそうだな.でも日本ローカル製品だと海外のサイバー攻撃者からは狙われにくい?
     保守契約込みの製品だから,保守会社が対応するのだろうけれど...

    SolarWinds Orion

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2020/12/16 10:32
     今,非常にホットな脆弱性の模様.
     MS-ISAC CYBERSECURITY ADVISORYからの通知.
    引用:
    2020-166

    DATE(S) ISSUED:
    12/14/2020

    SUBJECT:
    Multiple Vulnerabilities in SolarWinds Orion Could Allow for Arbitrary Code Execution

    OVERVIEW:
    Multiple Vulnerabilities have been discovered in SolarWinds Orion, the most severe of which could allow for arbitrary code execution. SolarWinds Orion is an IT performance monitoring platform that manages and optimizes IT infrastructure. Successful exploitation of the most severe of these vulnerabilities could allow for arbitrary code execution. Depending on the privileges associated with the user an attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

    THREAT INTELLIGENCE:
    The Cybersecurity and Infrastructure Security Agency (CISA) released an alert detailing active exploitation of the SolarWinds Orion Platform software versions 2019.4 HF 5 through 2020.2.1 HF 1.

    2020-166

    発行日
    12/14/2020

    件名:SolarWinds Orion の複数の脆弱性は、任意のコード実行を許している。
    SolarWinds Orionにおける複数の脆弱性により、任意のコード実行が可能になる可能性がある。

    概要。
    SolarWinds Orionには複数の脆弱性が発見されており、その中でも最も深刻なものは任意のコード実行を許してしまう可能性があります。SolarWinds Orionは、ITインフラストラクチャを管理・最適化するITパフォーマンス監視プラットフォームです。これらの最も深刻な脆弱性を悪用すると、任意のコードが実行される可能性があります。攻撃者は、ユーザーに関連付けられた権限に応じて、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成などを行うことができます。システム上でのユーザー権限が少ないアカウントに設定されているユーザーは、管理ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。

    脅威のインテリジェンス。
    Cybersecurity and Infrastructure Security Agency (CISA)は、SolarWinds Orion Platformソフトウェアバージョン2019.4 HF 5から2020.2.1 HF 1までのアクティブな悪用を詳細に説明するアラートをリリースしました。


    米政府などへの大規模サイバー攻撃、SolarWindsのソフトウェア更新を悪用
    https://japan.cnet.com/article/35163843/

     温度感の高い理由.
    引用:
    米財務省と米商務省の国家通信情報管理局(NTIA)が不正侵入の被害を受けたと報じて
     そもそも,Orionは何をするの?
    引用:
    Orionは、集中監視および管理を提供するソフトウェアプラットフォームで、通常は大規模なネットワークに導入され、サーバーやワークステーション、モバイル端末、IoTデバイスなど、ITリソース全般の追跡に使われる。
     対策.
    引用:
    推奨事項。
    以下の措置をとることをお勧めします。
    適切なテストを行った後、直ちにSolarWindsが提供する適切なアップデートを脆弱性のあるシステムに適用する。
    すべてのソフトウェアを非特権ユーザー(管理者権限のないユーザー)で実行し、攻撃が成功した場合の影響を軽減する。
    信頼されていないウェブサイトにアクセスしたり、不明な情報源や信頼されていない情報源から提供されたリンクをたどったりしないようにユーザーに注意を促します。
    電子メールや添付ファイルに含まれるハイパーテキストリンク、特に信頼されていないソースからのリンクがもたらす脅威について、ユーザーに情報を提供し、教育する。
    最小特権の原則をすべてのシステムおよびサービスに適用する。
     既視感があるなとおもったら8月のことだったか.

    Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
    https://www.jpcert.or.jp/newsflash/2020112701.html

    引用:
    JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。

    警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?
    https://news.yahoo.co.jp/byline/ohmototakashi/20201128-00210012/


    Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。
    https://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/

     パッチ適用されてないIPアドレス5万件が公開されたということは,「もう用済み」なのか「全員第三者からの忠告」なのか.怖いね.
    ランサムウエアによるサイバー攻撃について【注意喚起】 - 内閣サイバーセキュリティセンター
    https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf

  • バックアップと,リストアを確認・・・大きな追加投資なしで,これはできるハズ
  • 不正アクセスの迅速な検知体制・・・大企業じゃないと難しいかな.
  • 迅速にインシデント対応を行うための対応策・・・これはBCP
  • 中国のハッキングとか

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2020/11/12 0:21
     この2つのニュース.

    中国のハッキング大会“天府杯 2020”で11製品が攻略、「Firefox」は即座に脆弱性を修正
    https://forest.watch.impress.co.jp/docs/news/1288055.html

    引用:
    8日に終了した“天府杯 2020”では、ターゲットにされた16の製品のうち「Firefox」を含む以下の11の製品が攻略され、23の攻撃がデモンストレーションされた。


    米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
    https://www.security-next.com/119815

    引用:
    米国家安全保障局(NSA)が、連邦政府機関の情報システムや防衛産業基盤、国防総省などを標的とするサイバー攻撃に中国が関与したと名指しし、実際に悪用されたり、探索行為の対象となった脆弱性のリストを公表した。

     ハッキング大会中に見つけるわけじゃなくて,あらかじめ見つけておき,見つからないように大会に参加して披露するタイプなのだとおもう.
     そして,発表したものは既にある程度用無しとなったもの,賞味期限切れが出て来るのだろうな.そう思うよ.

    Googleがいまだに悪用されているWindowsのゼロデイバグを公表
    https://jp.techcrunch.com/2020/10/31/2020-10-30-google-microsoft-windows-bug-attack
     フィッシングメールを経由して入り込んでCVE-2020-1472の脆弱性を使われて5時間程度で攻撃完了された事例の分析例.

    Ryuk in 5 Hours
    https://thedfirreport.com/2020/10/18/ryuk-in-5-hours/

    引用:
    yukの脅威行為者は、5時間でフィッシングメールからドメインワイドなランサムウェアへと変化しました。最初のフィッシングから2時間も経たないうちに、Zerologon (CVE-2020-1472) を使用して権限をエスカレートさせました。Cobalt Strike、AdFind、WMI、PowerShellなどのツールを使用して目的を達成しました。

     忠告としてはこれ.
    引用:
    1時間以内に行動できるように準備をしておかなければ、効果的に脅威のアクターを混乱させることはできません。
     んんんん.これはもう諦めるしかないね.現行の汚れ確認分は切り捨てて,早期復旧のためのリストアプラン発動の方が良いでしょう.

    2020.11.09 追記

    ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力
    https://www.itmedia.co.jp/news/articles/2010/26/news057.html
     中小企業向けのNASで有名なQNAPから,Zerologonに関する警戒情報が.

    Zerologon
    https://www.qnap.com/ja-jp/security-advisory/qsa-20-07

    引用:
    Zerologon の脆弱性は、いくつかのバージョンの QTS に影響を及ぼすことが報告されています。

    悪用されると、この特権昇格脆弱性により、リモート攻撃者がネットワーク上の侵害された QTS デバイスを介してセキュリティ対策を迂回することが可能になります。ユーザーがコントロールパネル > ネットワークとファイルサービス > Win/Mac/NFS > Microsoft Networking でデバイスをドメインコントローラとして設定している場合、NAS がこの脆弱性にさらされる可能性があります。

    QNAPは、以下のソフトウェアバージョンでこの問題を修正しました。

    QTS 4.5.1.1456 ビルド 20201015 以降
    QTS 4.4.4.3.1439 ビルド 20200925 以降
    QTS 4.3.6.1446 ビルド 20200929 以降
    QTS 4.3.4.4.1463 ビルド 20201006 以降
    QTS 4.3.3.3.1432 ビルド 20201006 以降

    QTS 2.xおよびQESはこの脆弱性の影響を受けません。
     非Windows端末でAD認証する機器の1つだね.macOSはどうなんかなぁ...
     んー.

    Safariで「ファイルを勝手に共有してしまう」脆弱性が発覚。被害を防ぐには?
    https://www.lifehacker.jp/2020/09/219573how-this-safari-bug-can-expose-files-on-your-mac-or-iph.html

     ファイルサーバへのURLとしてfileを使っているものも多いよね.Windows 10だとInternet Explorerだと開けるけれど,Google Chromeだと機能拡張を入れ流必要があると聞いたことがある.

     この件によらず,最近デフォルトブラウザは,ちょっと安全なマイナーなものにしたほうがいいのかなと思ったりしている.
     2020年8月の月例ロールアップについて.

    CVE-2020-1472 | Netlogon の特権の昇格の脆弱性
    https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2020-1472
    引用:
    攻撃者が Netlogon Remote Protocol (MS-NRPC) を使用してドメイン コントローラーに対して脆弱な Netlogon セキュア チャネル接続を確立する場合に、特権の昇格の脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、特別に細工されたアプリケーションをネットワーク上のデバイスで実行する可能性があります。

     追加情報.

    [AD 管理者向け] CVE-2020-1472 Netlogon の対応ガイダンスの概要
    https://msrc-blog.microsoft.com/2020/09/14/20200915_netlogon/

    引用:
    本脆弱性が修正している Netlogon プロトコルは、Windows デバイスだけではなく、非 Windows のデバイスにおいても実装されています。このため非 Windows デバイスの Netlogon 実装への互換性を考慮し、本脆弱性への対処を 2 段階に分けて実施する予定です。
     これが大変だ.

    引用:
    非 Windows OS の場合は、Netlogon 実装が Secure RPC に対応するよう更新する必要があります。詳細は、提供元にご確認ください。
     VPNとかでAD連携しているネットワーク機器もあるよね.複数箇所での同時ログオンを許さない機能とかの実装でも利用しているでしょう.(あれなんていうの・・・)

    引用:
    2020 年 8 月 11 日の更新プログラムにて、強制モードを早期に有効にするために次のレジストリ設定が利用可能になります。この設定は 2021 年 2 月 9 日からの強制フェーズに関係なく有効になります。
     年末年始は避けられているし,半年時間があるから・・・と思っていたらあっという間に.

    引用:
    早めの適用を!

    この脆弱性はセキュリティ更新プログラムが公開されるよりも前に脆弱性の詳細や攻撃コードが公開される、いわゆる“ゼロデイ” の脆弱性ではありません。

    追記
    Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性
    https://news.yahoo.co.jp/byline/ohmototakashi/20200915-00198345/

     ADに脆弱性の有無を確認するPythonスクリプトも公開中.

    ZeroLogon testing script
    https://github.com/SecuraBV/CVE-2020-1472

    さらに追記
     こっちの記事の方が文書が柔らかいかな.

    MS、Netlogonプロトコル実装の特権昇格脆弱性に対するガイダンスを管理者向けに公開
    https://forest.watch.impress.co.jp/docs/news/1277116.html

    さらに追記20201005
     2020年8月のパッチを適用していたら,イベントログに以下の番号のログが出てないか定期的に確認する.
    引用:
    定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュア チャネル接続を使用しているアカウントを特定します。
     このイベントが発生していたら,2021年1月の強制モード時に接続できない問題が出る.

  • 5827 非SecureRPC接続の試行(接続拒否・マシン)
  • 5828 非SecureRPC接続の試行(接続拒否・信頼)
  • 5829 非SecureRPC接続が許可されている場合
  •  Pulse SecureのVPN認証コードが漏洩していた問題が騒がれていたけれど,そのほかのSSL VPN装置も問題があるので,該当する人は注意だな.

    CVE-2018-13379 Fortinet
    CVE-2019-1579 Palo Alto Networks
    CVE-2019-11510 Pulse Secure

     うちのヤマハRTX1200は・・・

    /global-protect/portal/css/login.css

    remote/fgt_lang?lang=/../../../../../../../etc/password/dana/html5acc/guacamole
     「不正接続」がTwitterのトレンド入りしたそうだ.

    VPN欠陥つくサイバー攻撃 国内外900社の情報流出
    https://www.asahi.com/articles/ASN8T3TNMN8TUTIL002.html

    社外から企業内のネットワークに接続するときに使う「仮想プライベートネットワーク(VPN)」の通信機器の欠陥をついたとみられるサイバー攻撃があり、国内外900社が機器を使う際の情報が流出していたことが内閣サイバーセキュリティセンター(NISC)への取材でわかった。VPNはテレワークの拡大もあり、利用者が広がっている。

     情報の詳細は無料のPiyologさんが一番詳しい(感謝)

    ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた piyolog
    https://piyolog.hatenadiary.jp/entry/2020/08/08/030102

     今回の攻撃対象となったVPNのメーカ,パルスセキュアが対応に苦慮している点も興味深い.

    VPN認証情報漏洩に見る脆弱性対策を浸透させる難しさ
    https://www.security-next.com/117811

     代理店を通すとエンドユーザまで見えないからなぁ.大手家電メーカみたいにテレビで「古い扇風機を探しています」なんてできないし.
     注意喚起が出ていた.

    【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について
      ~ 「人手によるランサムウェア攻撃」と「二重の脅迫」~
    https://www.ipa.go.jp/security/announce/2020-ransom.html

     human-operated ransomware attacks,double extortion. 先日のガーミンを思い出すなぁ.

     ホンダで発生したと思われるEKANSも,アルゼンチンでも同じような動作をする攻撃があったんですね.その企業内ネットワークにいるときにしか発動しないという作りは,全く同じ.
     リンク先の本文のPDF,読んでおく必要があるな.
     コインチェックが被害を受けた,GMOのお名前.comを使った乗っ取りの件について,中の人から記事が出ていた.

    2020年6月に発生したドメイン名ハイジャックのインシデント対応について
    https://tech.coincheck.blog/entry/2020/06/24/120000

     DNSでレコードを切るのは簡単だけれど,常に最新の全容を把握することは困難ですね.成長している会社やオートスケールしていると,named.confを見れば全部わかる,という状態にならないので.
     CVE-2020-1048という脆弱性が,今月のアップデートリリースで修正されているそうだ.

    マイクロソフト、24年前から存在していたWindowsの脆弱性に対処--印刷スプーラー修正
    https://japan.cnet.com/article/35153935/

     Windows NT4.0の時代からの脆弱性

    CVE-2020-1048 | Windows Print Spooler Elevation of Privilege Vulnerability
    https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1048

     この前会った(といってもビデオ会議なので画面の向こう)のMicrosoftの人が「ドメインコントローラでPrint Spoolerが動いているのはよくない」と言っていたけれど,これのことだったのか.

     聞いた時には負荷が高くなるのでActive Directoryの認証とかに遅延が発生するとかの理由かと思っていたのだけれど.(詳細な説明はなかった)
     毎月中頃にリリースされる,Windows Updateですが計画通り本日リリース.

    April 14, 2020—KB4549951 (OS Builds 18362.778 and 18363.778)
    https://support.microsoft.com/ja-jp/help/4549951/windows-10-update-kb4549951

     このご時世で企業側で気にしなければいけないのは,テレワーク,リモートワーク,在宅勤務中に職場にVPNで接続している際に,Windows Updateのトラフィック.
     大きな組織だと,WSUSを使ってWindows Updateを集中管理しているところも多いけれど,これによってVPNサーバにたくさんのトラフィックが集中する事が予想されます.いわゆるパンク状態になりそう.

    リモート環境における更新プログラム適用の考慮事項
    https://msrc-blog.microsoft.com/2020/04/08/patchingforremotelocation/

    Office 365 向け VPN スプリット トンネリングの実装
    https://docs.microsoft.com/ja-jp/office365/enterprise/office-365-vpn-implement-split-tunnel

     ヤマハのルータを使って拠点間通信をVPNで構築している際に,スプリットトンネルを利用できます.

    Office 365とWindows Updateのインターネットブレイクアウト + IPsecを使用したVPN拠点間接続
    https://network.yamaha.com/setting/router_firewall/monitor/lua_script/multiple_network_offload

     ただ,うちの場合,RTX1200なので未対応になるなぁ.FQDNフィルタ機能は欲しいね.
     増えすぎたパスワードを管理する為のツールのニーズも高いようだけれど,トレンドマイクロが有償で提供しているパスワードマネージャがあるようで,脆弱性が発見された模様.

    トレンドマイクロ製パスワードマネージャーにおける DLL 読み込みに関する脆弱性
    https://jvn.jp/vu/JVNVU93266623/

     フリーのものもある中で,どういうものなのか.

     月額122円〜157円程度のものらしい.缶コーヒー1本,ペットボトルのお茶1本程度か.

     いつも思うけれど,セキュリティ対策ソフトの脆弱性発見というのは,本末転倒というか,とても気にして即バージョンアップしている人以外にはお勧めできないなぁ.

     妹ちゃん2号が,増えすぎたパスワードはシステム手帳に書いていたけれど,そういうアナログ方式もありじゃないか.棚卸もできるし.

    有効期限が終了した時の対処方法
    https://esupport.trendmicro.com/support/pwm/solution/ja-jp/1097279.aspx

    SMBv3プロトコルの脆弱性

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2020/3/25 0:54
     SMB(Server Message Block)は,ファイル&プリントサーバで利用する古くからあるプロトコルだけれど突破口として狙われやすい傾向があるから,Unix/Linux系の実装のSambaでも度々脆弱性が発見される.
     今回はMicrosoft Server Message Block 3.1.1 (SMBv3)に対してで,対象がWindows 10やWindows Server 2019と新しいOSのセットを使っている場合というのが新しい.

     また,以下の記事にある通り「オンラインで意図せずリーク」というもの新しい?珍しい.

    マイクロソフト、SMBv3の脆弱性に関するパッチを提供
    https://japan.zdnet.com/article/35150754/

     Microsoftの有償サポートに入っていると,月例のパッチ情報は,一般公開の前日までに届けてもらうことができるけれど,今回の脆弱性は来月以降発表予定だったものが意図せず出てしまった模様.実装を見ると簡単にクラッシュできているので笑える・・・

    JailCore

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2020/3/19 19:13
     設定不足で,刑務所の情報や鉄道にある無料Wi-Fiの接続情報が漏洩したという記事.

    クラウドストレージの誤設定による情報漏えいが続発
    https://blog.trendmicro.co.jp/archives/24234

     最もびっくりしたのは,「刑務所や矯正施設の管理に利用されるクラウドベースのアプリケーション」というのが存在しているということ.

    JailCore
    http://jailcore.com
     こんな脆弱性が話題.

    概要
    複数の Apple 製品で使用している SecureROM には解放済みメモリ使用 
    (use-after-free) の脆弱性が存在します。
    
    影響を受けるシステム
    プロセッサチップ A5 から A11 を搭載する次の製品
    
    iPhones 4s から iPhone X まで
    iPad 第 2 世代から 第 7 世代まで
    iPad Mini 第 2 世代および 第 3 世代
    iPad Air および iPad Air 2
    iPad Pro 10.5 インチ および 12.9 インチ 第 2 世代
    Apple Watch Series 1 から Series 3 まで
    Apple TV 第 3 世代 および 4k
    iPod Touch 第 5 世代 から 第 7 世代
    

    複数の Apple 製品に解放済みメモリ使用 (use-after-free) の脆弱性
    https://jvn.jp/vu/JVNVU95417700/

     うちで関係ないのは,今年買ったiPad mini 5だけだな.

    脆弱性のない製品への移行
    本脆弱性は読み取り専用の SecureROM に存在するため、
    ファームウェアアップデートなどによる対策ができません。
    脆弱性を含まない製品へ移行してください。
    ※ Apple からは本脆弱性に関する情報が公開されていません。
    
     さて,Appleはどういう対応をしてくるのか...

    iPhoneの修正困難な脆弱性 - 公開実証コードをフォレンジック企業が採用
    http://www.security-next.com/110926/2
     これによると,「物理的に端末へアクセスし、デバイスファームウェアアップデート(DFU)モードにする必要がある。」とあるので,すでに端末を,落としたりして手放した上で,中身をこじ開けられてしまうということだな.
     「iPhoneを探す」をオンにしておいたら,DFUモードにする前に起動された時点でワイプするワンチャンがあるように思う.対策してないで亡くしたなら,もうどうしようもない.

    Emotetの感染流行中

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2019/11/30 23:56
     この時期の感染流行だとインフルエンザだけれど,そうではなくてEmotetと名付けられたマルウェアが猛威をふるっているそうだ.
     JPCERT/CCからも注意喚起が出ています.

    マルウエア Emotet の感染に関する注意喚起
    https://www.jpcert.or.jp/at/2019/at190044.html

     具体的なメール文を入手して展開しているのはありがたい.

     どれくらいやばいのかは,piyolog氏のサイトにまとめられています.

    国内で相次ぐ不審メールの注意喚起と返信型Emotetについてまとめてみた
    https://piyolog.hatenadiary.jp/entry/2019/11/26/054443

     私に来る,呑気なフィッシング目的の迷惑メールとは違う何かもっと意図したものがあるのだろうなぁ.
     最近狙われているのかな?ほころびがているのか毎月脆弱性が発見されていますね.

    JVNVU#91935870
    Trend Micro Anti-Threat Toolkit (ATTK) における任意のコード実行が可能な脆弱性
    https://jvn.jp/vu/JVNVU91935870/

     Anti-Threat Toolkit (ATTK)というのは,マルウェアを分析し脅威を検出して取り除くためのツール群らしいけれど,ミイラ取りがミイラ的なことか.

     どう言ったツールなのかはこれ.

    調査ログ収集用ウイルス対策ツールキット(ATTK)の使用方法について
    https://success.trendmicro.com/jp/solution/1097836

     無料で使えるのかな.
     このニュース.

    トレンドマイクロの法人製品に脆弱性
     ~管理画面の認証が回避されルートでログインされる恐れ
    https://forest.watch.impress.co.jp/docs/news/1217432.html

     マルウェア対策のソフトウェアに脆弱性があるなんていうのは,タコが空腹で自分の足を食べている的なことなのか.過去にもWinnyで顧客情報漏洩,ウイルス情報ページが改ざんされ逆にウイルスがダウンロードされたということもあった.
     去年は,ブラウザ履歴やアプリリストを勝手に送信していたなどがあって,App Storeから締め出しされていたし...そういえばダメなウイルスパターンファイルを配布して大半のPCが起動できなくなったという大問題もあった.

     企業向けのマルウェア対策サーバソフトとして「ウイルスバスター」というブランドはシマンテックと双璧だったけれど,機能以外の部分でやらかしてばかりいることもあってか,私が関わっている仕事先ではシマンテック製品ばかりになっているね.選定に関わってないから知らないのだけれど,機能だけでは無いと思う.

     でも,シマンテックがじゃぁ良いのかというと,6年前に関わった仕事でひどいことも目の当たりにした.20万人以上の社員の為のセキュリティゲートをシマンテック製品を入れるのに,1年以上導入検証してやっと導入したけれど,システムをユーザにハンドオーバーする直前,該当製品がアメリカで廃止.「後継製品が出るけれど,それに無償で移行できるので4年間使えるという提案に間違いはない」と言っていた.

     契約上はいいのかもしれないけれど倫理的にはどうなのさ.と思ったけれど日本法人の営業も「USに問い合わせてもそれ以上の回答はでないです」と言って困った顔をしていたけれど,本番稼働して本契約書のやりとりが終わった途端に電話連絡で出なくなったといって困っていた担当者がいた.
     連絡取れなくなった担当者は個人的なマインドのことなのだろうと思うけれど,今現在,シマンテックはブロードコムに買収された影響があって,新規販売や追加ライセンス販売を凍結しているらしい.年末,年度末にかけて予算を組もうとしている担当者は頭を抱えている模様.

     メジャーなセキュリティツールを選ぶと,そのゴタゴタに巻き込まれる率が高いということなのか,セキュリティ業界がホットだということなのか.
     rootでログインできない代わりに,root権限を実行する権利を付与してアカウントを運用することは多いと思うけれどsudoコマンドに脆弱性が見つかったそうだ. 

    sudo コマンドの脆弱性 (CVE-2019-14287) について
    https://www.jpcert.or.jp/newsflash/2019101601.html

     注意喚起よりは,ゆるいらしい.

    CyberNewsFlash は、注意喚起とは異なり、
    発行時点では注意喚起の基準に満たない脆弱性の情報や
    セキュリティアップデート予告なども含まれます。
    今回の件を含め、提供いただける情報がありましたら、
    JPCERT/CC までご連絡ください。
    

     でも,やって見たらすぐできたよ.怖いね.
     日本でWindowsだとTeraTermが定番だと思うけれど,Macの世界だと,今でこそ標準搭載の「ターミナル」で不自由ないけれど,文字コードや便利機能の実装でiTermが一番だった.いまでも,わざわざ入れて使っています.

     そのiTerm2に脆弱性が.

    iTerm2 における任意のコマンド実行が可能な脆弱性
    http://jvn.jp/vu/JVNVU98580651/index.html

     アプリが持っている自動アップデート機能を使って,問題なくバージョンアップできるけれど,脆弱性の解説を見てもよくわからんなぁ.危険度はまったくわからん.
     レジストラのお名前.comから,たくさんのメルマガが来て,それはもうスパムレベルのひどい状態だったので,全部オフにした.それでもすり抜けて?メルマガが来る.
     タイトルがタイトルだから,ちょっと開いて見た.


     ドメイン更新期限が来たという通知が届かない事で,空きドメインとなり他者に取られてしまった的な事が問題の本質のようで,いらないメールをたくさん送ってきて,更新手続きも埋もれちゃう状態にしている業者側の責任も,あると思う.
     あとは,ドメインにはレジストラに住所氏名年齢が登録されていて,それらが古いままでハガキで通知を送っても届かない事があるそうだ.会社とかは移転したりするが,登録情報が古いままでも,更新料金をきっちり払っていたら,不問だしね.SSL証明書とは違うわけだし.

     インターネットの個人利用がはやったことは,URLを伝えるために,あるいはブランド価値としてドメインに価値があったけれど現在はスマホアプリ全盛なので,ドメインにそんなに価値はなくなっていますね.見る事がないし.

     昔は,映画公開に合わせて専用ドメインを取ってキャンペーンをしていたことも多いけれど,3年も経てば映画公開1年後のDVD発売案内が最終更新でそのままドメイン期限切れに.ドメインは安いので宇宙ゴミのように使い捨てなって,でもそれはゴミじゃなくてSEO会社に買い占められてGoogleのPageRankを上げるためのリンクサイトにされちゃうというような,これも商売がありました.(もうそういうSEOは過去の産物)


    ドメイン切れ金髪さん

     最近は良くてサブドメイン化.普通はサブディレクトリ化してメンテナンスの手を煩わせないようにしているものが多いですね.

    WannaCrypt その2

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2017/5/16 22:47
     WannaCryptが氾濫する事でメールシステムに影響が出ている企業として,日立製作所と日産がでていた.確かこれはMicrosoft Exchange導入推進企業だったはず.
     大企業で導入しやすい(スケールしやすい)のがExchange Serverなので,大手企業ばかりが対象になりそう.(メールサーバソフトにお金出せる企業って意味でもね)

    WannaCrypt

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2017/5/16 0:07
     ここ数日,大規模に被害が広がっているランサムウェアのWannaCrypt.Windowsに搭載されているServer Serviceが提供するSMB1.0/CIFSの脆弱性をついて広がっている模様.

     緊急度が高いということでMicrosoftはサポートが終了しているWindows XPにもパッチを配布したというニュースを聞きつつつ,通っている整形外科の診療室にある端末はWindows XPなんだな2017年この今時点で・・・と思った事を思い出した.
     まぁ,診療システムなんてレントゲン撮影から画像データ保存,それのビューアと患者との紐付けをやっているわけで,それらのシステムの総額から法廷減価償却期間を考えたら,使っている可能性も十分ありえる. あとはネットに繋いでいるかいないか,ただそれだだけだな.
     被害者(候補)の一人として考えてみようと思う.

     793万件のデータが漏洩という事で,ベネッセの3504万件よりは少ない.ベネッセの場合,内部でデータベースにアクセスできたエンジニアがデータを取り出して名簿業者に販売したという事で,今回の事件とは性質が違う.

     JTBの公式サイト上には,次の様に敬意が掲載されていたので転載.

    (1)3月15日(火)、取引先を装ったメールの添付ファイルを開いたことにより、
       i.JTBのパソコンがウイルスに感染しました。この時点ではウイルスに感染
       したことに気がつきませんでした。
    (2)3月19日(土)~24日(木)、i.JTB内の本来個人情報を保有していない
       サーバーにおいて、内部から外部への不審な通信が複数確認されました。
    (3)不審な通信を特定し遮断すると共に、ネットワーク内の全てのサーバー、
       パソコンの調査を行いました。その結果、サーバー内に「外部からの不正侵入
       者が3月21日(月・祝)に作成して削除したデータファイル」の存在を、
       4月1日(金)に確認しました。
    (4)外部のセキュリティ専門会社と共同で、ウイルスを駆除するとともに、
       データファイルの復元と不正なアクセスの調査・分析・対応を継続して
       行いました。
    (5)5月13日(金)、復元したデータファイルに個人情報が含まれることが確認され
       個人情報流出の可能性があることが判明いたしました。それを受け、
       ジェイティービー(グループ本社)内に「事故対策本部」を設置いたしました。
    (6)直ちに、データの正規化に着手し、今般、復元したデータファイルに
       約793万人分の個人情報が含まれていたことが判明いたしました。
    (7)本件については警察に相談をしております。
    
     i.JTBというのはオンライン販売に特化したJTBの子会社なんだな.
     報道だけ聞いているとJTBのオンラインサイトがクラッキングされてデータベースからデータが抽出されて持って行ったのかと思ったけれど,この発表だけを見ると,こんな感じかな.

  • ネット販売専用のi.JTBの従業員に不審な添付ファイルのメールが届いて開く.
  • それをきっかけに情報を収集して外部に送信するプログラムが埋め込まれる.
  • ファイルサーバを見つけ出してデータを探し当てる.
  • ファイルサーバにデータベースのダンプデータのファイルがあった.

     そんなところじゃなかろうか.トロイの木馬なんだろうな.
     自分だったらこうつくる.

    ...続きを読む

  •  ずいぶん呑気にやっていますが,ヤマハのRTX1100が再起動していたので調査してみました.調査方法はshow status bootで,前回起動時の情報の表示.

    Rebooted by Address error [load/fetch](4)
     と出ていたのだけれど,一致する障害は検索する限りないようなのだけれど,外部からの攻撃の模様です.

    インターネットからの攻撃によるヤマハルーターのリブート等について
    http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/attack-from-internet-201404.html

     RTX1100のログを確認したらPPTPにこのようなアクセス.
    2015/10/16 09:26:37: PP[01] Passed at IN(2009) filter: TCP 183.60.48.25:39988 > 192.168.0.1:1723
    2015/10/16 09:26:37: same message repeated 1 times
    2015/10/16 09:26:37: TUNNEL[01] PPTP connection is closed: 183.60.48.25
    
     面倒なお客さんだ.

    ...続きを読む

    Apache Cordova

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2015/7/2 12:23
    「Apache Cordova」に深刻な脆弱性--「Android」アプリに改ざんのおそれ
    http://japan.zdnet.com/article/35065196/

     これについてのGoogleからのメールがこれ.
    Dear Google Play App Developer,

    We wanted to let you know that your app(s) listed at the end of this email are built on a version of Apache Cordova that contains security vulnerabilities. Please migrate your app(s) to Apache Cordova v.3.5.1 or higher as soon as possible. Beginning 8/31/15, Google Play will block publishing of any new apps and updates that use pre-3.5.1 versions of Apache Cordova (see below for details).

     超意訳するとこんな感じ.
     Apache Cordova 3.5.1に脆弱性があって,それを使っているアプリは2015年8月31日以降更新できなくするからアップデートしてね.

     「Apacheは、このセキュリティ不具合を修正したApache Cordova Android 4.0.2をリリース」とあるり「さらに古いバージョンを利用している開発者向けには、脆弱性が修正されたバージョン3.7.2がリリースされた。」とあるので,3.7.2にすれば影響が一番少ないのかな.

     Apache CordovaはHTML5でiOSとAndroidアプリを作成できるフレームワークのようですが,今現在はまだ,マイノリティなのかな.

    TRTは、Cordovaベースのアプリ(「Google Play」で提供されている全アプリの5.6%を占める)の大半に、攻撃を受けるおそれがある

    弱いパスワード

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2015/1/23 0:06
     オンラインパスワード管理ソリューションのスプラッシュデータ社が,330万パターンから分析したのだそうだ.

    (1) 123456
    (2) password
    (3) 12345
    (4) 123456789

    ・・・ココで気になったのは,スプラッシュデータ社はパスワードを分析・集計出来る形でデータ保存していると言う事だな.あるいは,スプラッシュデータ社のサービスでパスワードを預けている場合は,パスワードが123456である確率が高いって事だ.大丈夫か?

    Internet Explorerの脆弱性

    カテゴリ : 
    セキュリティ » 脆弱性情報/注意喚起
    ブロガー : 
    ujpblog 2014/5/1 12:13
     一般社会離れしている間に一般ニュースとしてIEの脆弱性がアナウンスされているというので調べてみた.

    Internet Explorer の脆弱性対策について(CVE-2014-1776)
    https://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

     今日時点でも更新されているのでかなりホット.またゼロデイ状態が継続中ってことも深刻なんだな.

     そしてマイクロソフトによって6 つの回避策が提示されている.

    Internet Explorer の脆弱性により、リモートでコードが実行される
    https://technet.microsoft.com/library/security/2963983

     色々なレベルの対応策が有るのだけれど,何十万台とクライアントをもつ企業とかで画一的に対策をとろうとすると結局の所「IEを使うな」という事が報道で知れ渡るのは正しいのだろうな.
     さて,そいういう報道はいいとして,じゃぁ対策のアップデータがでたと仮定する.その後TV放送で「アップデートしたら安全ですので使って大丈夫です」と報道されるわけ無いですね.安全ですと言えないと思う.マイクロソフトがCMを打つとか?

     ITにうとい妹夫婦達はどう思っているのか今度訊いてみよう・・・
     朝日新聞で次の様に報道されていました.

    ----------
    遠隔操作されたパソコンからの犯罪予告事件で、「真犯人」を名乗る人物からのメールが13日夜、朝日新聞記者などに届いた。発信元のメールアドレスは、10月にTBSや東京都内の弁護士宛てに送られた犯行声明メールと同じだった。

     メールは、朝日新聞の記者を含む七つの宛先に、13日午後11時55分に届いた。「おひさしぶりです。真犯人です。ミスしました。ゲームは私の負けのようです。楽しいゲームでした」などと書かれていた。
    ----------

     一般には公開されてない,発信元のメールアドレスが一緒と言う事で同一犯を示す秘密の暴露が成り立っているようだけれど,パソコン遠隔操作犯だから,それらの行為自体も遠隔操作で行っていたら足がつきづらい.当然,今の時期にそれを実施するというのは相当地震があるのだろう.

    広告スペース
    Google