• [news] FBI、マルウェア「Blackshades」の作者を摘発 世界で90人逮捕

    マルウェアを開発・販売していた犯罪グループがFBIによって逮捕されたという 話題です。300カ所以上の捜索により90人以上が逮捕されたとの事です。 Blackshadesは40ドル程度からの価格で、100カ国以上の国々で販売され、 50万台以上のコンピュータが感染しているとの事。金銭を得るために大きな 組織やマーケットが存在し、一般のコンピュータが常に脅威に晒されている 事が感じられます。

  • [news] IPA「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の公開

    経済産業省が公開した「IT製品の調達におけるセキュリティ要件リスト」を 活用するためのガイドブックをIPAが公開しています。

    • 第1部:ガイドブックの対象読者と、「政府機関の情報セキュリティ対策のための統一基準」における「IT製品の調達におけるセキュリティ要件リスト」の位置づけを解説しています。
    • 第2部:「IT製品の調達におけるセキュリティ要件リスト」の基本的な活用方法を解説しています。
    • 第3部:デジタル複合機やICカード等のIT製品分野毎に、「IT製品の調達におけるセキュリティ要件リスト」の活用例・注意点を解説しています。
    • 第4部:調達したIT製品を利用・運用する際の注意点を解説しています。
    • 第5部:「IT製品の調達におけるセキュリティ要件リスト」自体を補足する説明をしています。

    上記ガイドブックの内容は本文より引用。

  • [news] Dr. WEB 2014年4月のウイルス脅威

    Dr. WEBから2014年4月のウイルスに関するレポートが出ています。 ボットネットの拡大やWindows、Mac、Androidに向けた新たな攻撃などが 報告されています。WindowsおよびMacもセキュリティアップデートが 相次いで出ています。アップデートを行って最新の状態を維持しましょう。

  • [news] 生徒の個人情報が記録されたUSBメモリを校内で紛失

    国内の大学附属中学において学生情報が入ったUSBを紛失したという話題です。 データファイルには個々にパスワードが設定されていたという事です。

  • [news] ファイル共有ソフトのユーザーは引き続き減少

    WinnyやShare、PerfectDarkといったP2Pファイル共有の利用者が 減少しているという話題です。10分の1ほどに減ったとは言え、 まだ一日辺り1.2万台ものWinnyノードが観測されています。

  • [news] 組織内CSIRT/SOCのあり方--即時の意思決定体制が不可欠

    組織内CSIRTに関する解説記事です。インシデント対応は大きく分けて、 下記の5段階があり、意思決定を迅速に行う事前の体制作りが重要と述べられています。

    1. 事前のインシデント対応プランニング
    2. インシデントの検知(自己もしくは外部からの通報)
    3. 発生インシデントの内容分析と対応計画の策定
    4. 対応策の実施、外部への報告と連携、(必要に応じて)情報公開
    5. 再発防止策の検討
  • [news] 日立製作所社員が国立国会図書館の情報資産を不正に閲覧/取得

    国会図書館が業務委託をしていた日立製作所の社員が国会図書館の情報資産を 不正に持ち出したという話題です。委託業者である権限を乱用し、入札情報等が 閲覧/取得されており、その情報を元に入札に参加されたようです。

  • [news] 診療情報が入ったUSBメモリーの紛失について

    国内の大学病院職員が学会出張中に診療情報(脳神経外科手術33例)が 入ったUSBメモリを紛失したという話題です。

    USBメモリ自体は誰かが必ず無くすので、こういった事件は確率の問題です。 USBメモリを利用しない運用を考えるか、暗号化等のセキュリティ機能の 付いたUSBメモリを使うなどの対策が有効と考えられます。東工大でも USBメモリに関するトラブルは過去に起きています。 その時の全学のセキュリティ管理の対策として下記を行いました。

    ・情報格付けの徹底
    ・機密情報のUSBメモリ/外付けHDDなどでの持ち出し禁止
    ・各会議において情報保全警報者(通称Spiderman)を設置
    ・上記のことを各部局の情報セキュリティ実施手順に記載させる
    ・暗号機能の情報提供
    

    学内でUSBメモリを利用されている方々は今一度注意して下さい。

  • [news] 14年のネット不正送金被害、すでに14億円 昨年超える

    オンラインバンキングに関する個人/法人IDおよびパスワード等々が悪用され、 05/09時点で14億円以上の被害が出ているようです。この額は去年一年間の 被害額とほぼ同額であり、既に上回っています。

  • [news] 三井住友銀行の不正送金は「MITB攻撃」、ワンタイムパスワード利用者も被害に

    三井住友銀行のオンラインバンキングで被害が出ていますが、その内の一件は 中間者攻撃の一種であるMITB (Man In The Browser) であったため、 ワンタイムパスワードを使っていても不正送金等の被害があった可能性が 高いようです。

    この手のマルウェアは普段はじっと潜伏していて、送金処理等特定の操作を するときだけ動き出します。ブラウザにワンタイムパスワードを 打ち込んだ際に「しばらくお待ちください」等の画面を出し、その間に 不正送金等を完了させます。ワンタイムパスワードはその時間だけ有効な パスワードで抜き取られても後から利用する事は出来ませんが、その場で リアルタイムに処理されるので不正送金等が可能となります。

    また、MITM (Man In The Middle) と違ってSSLにおける通信相手の証明書を 検出してエラーを出すと言った事が出来ず、検出の難しい攻撃です。 他のデバイスを使ったチェックを行うなどの対策が海外の一部では 利用されています。

  • [news] 「暗証番号を入力するだけで不正送金完了」、三井住友銀行が注意喚起

    三井住友銀行のオンラインバンキングで不正送金の被害が続いているようです。 該当するマルウェアに感染した状態でオンラインバンキングを利用すると、 ログイン直後に第二暗証番号を(全て)求められたりと、いくつか不自然な画面が 出現するようです。下記の3つの対策が三井住友銀行より推奨されています。

    「ウイルス対策ソフトでウイルスを検知・駆除する」
    「振込上限金額を最小限に設定する」
    「取引受付完了の連絡メールを設定して、不正な取引に気づきやすくする」
    
  • [news] Googleが提供しているかのように装うAndroidアプリを確認

    Androidアプリの中にはGoogleの名前やロゴが入った詐欺アプリが存在し、 Google公式アプリを装って氏名、電話番号、銀行口座等の情報を抜き取るという話題です。 “Google Sports Betting”を始め数十のこの手の詐欺アプリがあるようです。

  • [news] BIND 9.10.0の脆弱性(DNSサービスの停止)について

    BIND 9.10.0の実装(プリフェッチ機能の実装)に不具合があり、 特定の属性を持つ問い合わせを受けると、namedが異常終了する様です。 バージョンはBIND 9.10.0のみで、早期アップデートが強く推奨されています。

  • [news] Microsoft、8件のセキュリティ情報公開を予告 (XPは対象外)

    5/14にMicrosoftの月例アップデートが予定されており、”緊急”の深刻度を含む 幾つかのセキュリティアップデートが含まれます。Windows XPは対象外です。 IEの脆弱性に関しては特例でWindows XPにも緊急のセキュリティパッチが 先日出ましたが、今回の”緊急”レベルの脆弱性はまた別のものです。 Windows XPの利用は学内では禁止されていますが、もし利用者を見かけた 場合はOSの変更を強く勧めてください。

  • [news] ウイルスとは言い切れない“悪意のあるソフトウェア”

    ユーザをだまして情報を抜き取るソフトウェアに関する話題です。 一般的なソフトウェアをダウンロードしようとGoogle等で検索すると 広告の場所に”ソフトウェア名+ダウンロード”の様な形で出現し、 移動先でマルウェアも含めてインストールさせるという手口がが紹介されています。 利用許諾も形だけは取っており、多くのセキュリティソフトでウイルスと 判断されていないようです (アドウェアという扱いが多いようです)。 LAC川口さんのコラムは独自の視点で書かれており、他のものも一読をお勧めします。

  • [news] ユーザーをだます手口が急増、Microsoftが報告書で指摘

    MS製品のセキュリティレベルが向上する一方で、ユーザの心理的な弱さを突いて 攻撃する手口が急増しているという話題です。音楽やゲームといった正規の コンテンツとマルウェアをパッケージにしてユーザにダウンロードおよび 実行させるという手口が調査対象の110カ国中95%の国で最も多い攻撃だったようです。 ユーザのPCを乗っ取り(全ファイルを暗号化し)身代金を要求するランサムウェアが 続いて多いようです。他の話題ですが、ランサムウェアはAndroid版も出回り始めています。

  • [news] Android‐依然として最多のホスト攻撃

    モバイルに対する脅威の99%以上がAndroidをターゲットとしたもののようです (2014年第1四半期に検出)。デバイスに感染した場合のマルウェアの 行動が下記の様に列挙されています。

    * SMSメッセージをプレミアム課金用の番号に送信する
    * 要求していないファイルまたはアプリケーションをデバイスにダウンロードまたはインストールする
    * デバイスの位置またはオーディオ/ビデオを密かにトラッキングし、ユーザを監視する
    * 実際には役立つ機能がないモバイルAVソリューションになりすます
    * ウェブサイトに密かに接続してそのサイトのアクセス数を水増しする
    * バンキング関連のSMSメッセージを密かに監視して詐欺に流用する
    * ファイル、契約書、写真その他の私的データなどの個人情報を盗用する
    * 通常は無料の正規アプリケーションを利用、更新またはインストールするときに「料金」を請求する
    
  • [news] 「アンチウイルスソフトは死んだ」とシマンテック幹部が告白、半分以上の攻撃を検知できず

    東工大もシマンテックのアンチウイルスを利用していますが、幹部の話では 半数以上の攻撃が防げないとの事。複合的な対策が一層重要になってきています。 下記は記事からの引用です。

    現在のアンチウイルスソフトがウイルスなどの攻撃を検知できているのは全体の
    45%だけで、じつに55%の攻撃は検知されることなく素通りしているという状況に
    なっているとのこと。これは、ハッキングの手口が高度に巧妙化され、もはや従来型の
    手法に限界があることを自ら認めたことを明らかにするものです。
    
  • [news] Microsoft、IEの脆弱性を修正 Windows XPも対象に

    IE6-11のゼロデイ脆弱性が話題になっていますが、緊急のセキュリティパッチが出ています。 windows updateによってこのセキュリティパッチが適応されます。自動アップデートに していれば問題無く適応されると思います。

  • [news] Adobe、Flash Playerを緊急アップデート Windowsを狙う攻撃発生

    Adobe Flashに脆弱性が発見されたという話題です。バッファーオーバーフローの脆弱性であり、 悪用されると任意のコードが実行される大変危険な脆弱性です。Google Chrome等Flashの プラグインを備えたソフトウェアを含めてアップデートする事をお勧めします。

  • [news] Apache Struts2の更新版公開、早期アップデートを

    先日、Struts 2.3.16.1がリリースされ、ClassLoaderの不正操作につながる脆弱性が 修正されたかに思われましたが、すぐにこの修正では不十分である事が確認されました。 2.3.16.2版が発表され、これらのClassLoader関係の脆弱性が修正されているようです。 危険性の高い脆弱性ですので、Strutsの環境を持つ方はアップデートを強くお勧めします。

  • [news] IE 6-11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開

    IE6-11に脆弱性が発見されたという話題です。現在、Flash経由での攻撃が確認されており、 悪意のあるサイトに誘導した後にリモートで任意のコードが実行されるなどの危険性があります。 IE以外のブラウザを使う、EMETを利用する等の対策が有効の様です。

    追記 (2014-05-01 Thu)

    Microsoft(日本のセキュリティチーム)のBlogに本件に関する対策のまとめが掲載されています。

  • [news] ネットワークHDDの設定ミスで学生の個人情報をネット上に公開

    国内の大学教授がNASを持ち帰って自宅のネットワーク接続したところ、設定が甘くて Google検索で検索出来る状態になっていたという話題です。下記に被害情報を引用します。

    平成15年度以降に大学に在籍した37,000名の学生の氏名や生年月日、3,300名分の
    学生の成績など、延べ47,000名分の個人情報が閲覧できる状態になっていたという。
    
  • [news] 合法マルウェアで実感「リアルとサンドボックスの違い」

    マルウェアがサンドボックス上でどのように動作するかという話題です。まずマルウェアは 侵入に成功するとスクリーンショットを撮り、アイコンの数や壁紙やウィジェットといった 部分を判別し、そのマシンが本当に日常的に利用されているものかどうかを判断します。 他にも色々な機能(下記リスト参照。本文より引用)があり、実マシンかサンドボックスかを判断しています。

    ・スナップショットの取得
    ・システム情報(Systeminfoコマンド)
    ・実行中のタスク一覧(tasklistコマンド)
    ・ローカルユーザー一覧(net userコマンド)
    ・ARPテーブル(arpコマンド)
    
  • [news] GWにおける情報セキュリティに関する注意喚起

    GWに関連して気を付けておきたいセキュリティ事項をIPAがまとめてくれています。 システム管理者、企業の一般利用者、家庭での利用者、スマートフォン、タブレットの利用者を 対象としたもので、網羅的に書かれています。家庭に仕事を持ち帰ったり、管理者が少ない中での 運用であったりと、普段と違う状況に置かれるのでミスが出やすい時期かと思います。

  • [news] 「JVN」のTwitter公式アカウント

    IPAとJPCERT/CCが運用する脆弱性対策情報ポータルのJVNがTwitter公式アカウントを 始めたようです。アカウント名は “@jvnjp” です。

  • [news] 日本IBMの経験者が語る「情報漏えいの現場で何をすべきか」――後編

    セキュリティインシデント発生時には関係機関との調整を図るコーディネーター役が 重要な役割を果たすことや、事前に連絡/指示系統と整備チェックすること、 委託業者に対して再委託の禁止や作業環境におけるセキュリティ対策を契約で盛り込む事などが 書かれています。

  • [news] AppleがOS XとiOSの更新版を公開、SSL関連の脆弱性など多数修正

    OSX (Lion/Mountain Lion/Merverics)およびiOSを対象としたセキュリティアップデートが 出ています。SSL関係の脆弱性も修正されています (最近話題のOpenSSLとは別の脆弱性です)。 お手持ちのMac Book, iPhone等々のアップデートをお勧めします。

  • [news] オンラインゲームの脅威、ワースト5

    カスペルスキーがオンラインゲームにおける脅威を分析しています。ゲームの進行に役立つ ツールを謳って、マルウェアの感染、フィッシングを行ったり、プレイヤー向けのチャットルームや フォーラムにおいて添付ファイルのやり取りを介して感染させるなど非常に多彩な攻撃が記されています。 レベルを上げて強くなりたい、もっと良いアイテムを集めたいという心理的側面に働きかけ、 それが一部実現されながらそれ以上のものを取られるという構図になっています。 脅威のワースト5は下記の通りです。

    1. コンピューターやスマートフォンの感染
    2. キャラクターやアイテムの窃盗
    3. チートプレイヤーと詐欺師
    4. いじめ
    5. フィッシング
  • [news] JPCERT/CC インターネット定点観測レポート(2014年 1~3月)

    JPCERTから定点観測のレポートが出ています。これは不特定多数に向けられるパケットを 分析したものです。直近の4半期でのトップ5は下記の通りです。123/UDP (NTP)のパケットも 増加しているようです (monlistを利用したNTP増幅攻撃に関連)。telnetが多い理由は 複合機においてデフォルトで立ち上がるサーバを狙った攻撃が増えているためと分析されています。

    1. 445/TCP (microsoft-ds)
    2. 23/TCP (telnet)
    3. 22/TCP (ssh)
    4. 0/ICMP
    5. 1433/TCP (ms-sql-s)
  • [news] 標的型攻撃に変化、狙いは経営幹部から役員秘書に

    標的型攻撃の対象が重要な情報を持つ本人で無く、その側にいる人達に向けられている といった話題です。役員秘書や広報担当者が狙われており、メールを送った後に 電話をかけて中身を確認したか問い合わせて、その場で添付ファイルを開かせ マルウェアに感染させるといった手口です。大学であるならば、共同研究先と 偽って電話をかけてきた相手に対して、秘書さんが添付ファイルの確認を拒否する というのは中々難しいと想像されます。

  • [news] Java SE のクリティカルパッチアップデートに関する注意喚起

    Javaの広範囲のバージョンが該当する深刻な脆弱性が複数報告されています。 例えば悪意のあるWEBサイトにアクセスするだけで、任意のコードが実行される 可能性があるなど危険性が高いです。Javaを利用されている方はアップデート される事を強くお勧めします。

  • [news] 標的型攻撃、脅威の手口 添付ファイルに工夫の数々

    添付ファイルを実行させるために、最近の傾向として暗号化されたZIPファイルが 多く利用されるというものです。下記の様な理由が挙げられています。

    1.暗号化することでゲートウェイのセキュリティを突破できる
    2."暗号化"="大事な確認すべきファイル"と思わせる心理的な効果が期待できる
    3.展開後にアイコンおよび拡張子偽装がされていると2.の心理的要因により実行しやすい。
    
  • [news] インシデント報告件数、前四半期と同水準--JPCERT/CCレポート

    JPCERTから四半期のインシデント報告が出ています。WEBサイトの改竄や フィッシングサイトによる被害が各々33.1%、12.3%と大きな割合を占めています。 フィッシングサイトでは半数以上が金融機関を装ったサイトであり、 ゲームサイトを装ったものも含めると8割を越えます。

  • [news] DNSキャッシュポイズニング攻撃が増加中

    よく知られたDNSサーバに対する攻撃ですが、未だに対策されていないサーバが多く 最近はこの手の攻撃がまた増えてきたという話題です。偽の名前引き情報をキャッシュ させることで、一般ユーザを悪意のあるサイトに誘導することが可能です。

    追記 (2014-04-16 Wed 12:59)

    JPRSからでたDNSキャッシュポイズニングの話では新手の攻撃だと分かりにくかったのですが、 下記に前野氏、鈴木氏による解説記事が公開されています。

  • [news] 標的型攻撃、脅威の手口 本物のメールがサンプルに

    企業間でやり取りされているような本物のメールを収集した後に、そのメールを 標的型攻撃に利用するという話題です。誰でも思いつくストレートなやり方ですが、 防ぐのは簡単では無いと思います。

  • [news] IPA Androidアプリの脆弱性の学習・点検ツール AnCoLeを公開

    IPAがAndroid開発者向けに学習ツールを公開しています。Eclipse上で動作し、 メジャーな脆弱性がどのように作り込まれていくかを学習できるアプリです。

  • [news] OpenSSLのHeartbleed脆弱性の検証など

    OpenSSL(Heartbleed)に関しては大量の情報があちこちで出回っていますが、 技術的なもの一つ、動向的なものを一つピックアップしておきます。

  • [news] WordPress 3.8.2 セキュリティリリース

    WordPress 3.8.2が出ました。日本語版は現在準備中のようです。 下記2件のセキュリティパッチが当てられ、3件のセキュリティ強化が 行われたようです。利用している方はアップデートを行って下さい。

    • セキュリティパッチ(2件)
      • 認証 cookie を偽装できる欠陥 CVE-2014-0166
      • 寄稿者が投稿を公開できてしまう欠陥 CVE-2014-0165
    • セキュリティ強化(3件)
      • 不正な可能性のあるリクエストを判別しやすくなるように、pingback を処理する際に追加の情報を渡すようにした。
      • 信頼できるユーザーによる、影響度の低い SQL インジェクションを防止。
      • Plupload を経由するクロスドメインスクリプティングの可能性を排除。

    注)Plupload は、WordPress がファイルのアップロードに使っている 3rd パーティーライブラリ。

  • [news] Android向けセキュリティアプリ「Virus Shield」は何もしないアプリである事が判明

    Androidアプリのセキュリティアプリが実は何もしないアプリであったと言う話題です。 $3.99 * 1万ダウンロード以上はされています。何もしないだけならまだ良いですが、 セキュリティアプリには相当強い権限を与える事になるので、偽アプリには注意が必要です。

  • [news] 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第一次とりまとめ

    総務省からサイバー攻撃への対処に関して報告書が出ています。P.16-18には 通信の秘密についての基本的な考え方が記されています。基本的に通信の 秘密は守られるべきですが、例外もあります。下記に引用します。

    通信当事者の同意を得ることなく通信の秘密を侵した場合であっても、正
    当防衛(刑法第36条)、緊急避難(刑法第 37条)に当たる場合や、正当行
    為(刑法第35条)に当たる場合等違法性阻却事由がある場合には、例外的
    に通信の秘密を侵すことが許容されることになる。
    
  • [news] Palo Alto Networks、CYVERAの買収合意を発表

    パロアルトがイスラエルのセキュリティ会社を買収したという話題です。 CYVERAの技術も積極的に導入していこうとしているようです。CYVERAの技術に 関する要約を本文より抜粋します。

    ゼロデイ攻撃を阻止するには、攻撃者が用いるエクスプロイト技術を
    理解することが重要です。Cyveraは、マルウェアが実行される前に、
    エンドポイントにおいてエクスプロイトの段階ですべての主要攻撃手法に
    対してリアルタイムに防御を行う独自の手法を開発しました。
    
  • [news] AppleがSafari最新版を公開 27件の脆弱性に対処
  • [news] IE 11も4月8日にアップデート──企業のレガシーアプリをサポート

    Windows 8.1 / 7のIE11をアップデートするようです。これはIE8で動くアプリも サポートするようで、これまでアップデートできないでいたIEもアップデート 出来る可能性があります。バージョンの古いIEは多くの脆弱性を抱えています。 そういったIEを使わざる得ない状況の方は参考にして下さい。

  • [news] サムスンのスマホに付いていたバックドア IoT時代に問われる説明責任

    LACの西本さんによる解説記事です。なぜスマホ内蔵のチップの中にバックドアが あったのか、西本さん独自の視点で書かれていて面白いです。複雑化する開発プロセスの中で 全体に渡って細部を把握できる開発者が存在しないという問題は、スマホに限らず ネットワーク機器でもWEBアプリでも同じように通じる話と思います。

  • [news] Windows PowerShellを利用しWordおよびExcelファイルに感染する新たな不正プログラム

    WordやExcelに感染するマルウェアの話題です。PowerShellを使ってOffice製品のセキュリティレベルの 設定を下げたり、C&Cサーバと通信してパッチを充てたりマシンの情報を送信したりします。 一旦感染するとマシン内のWordやExcelファイルを全検索して、感染可能なファイルに変更したりします。

  • [news] ゆうちょ銀行を騙るフィッシングメールを確認

    ゆうちょ銀行を語るフィッシングメールが出回っているようです。 一見するとURLが本物と似ていて、飛んだ先のページで情報を入力させて 重要な番号などを抜き取るタイプです。4月に口座を開設して、やり取りがある中で こういうメールが来るとついついクリックする人がいて、そういう人達を 狙っているのかと想像されます。

  • [news] IPA 映像で知る情報セキュリティ ~映像コンテンツ一覧~

    IPAのサイトで「映像で知る情報セキュリティ」シリーズに下記が追加されました。 新人研修向けの動画コンテンツが多く揃っています。

    - 3つのかばん (新入社員が知るべき情報漏えいの脅威)
    - <乗っ取り>の危険があなたのスマートフォンにも!
    - あなたの書き込みは世界中から見られてる (適切なSNS利用の心得)
    
  • [news] モバイル端末を狙った不正アプリおよび高リスクアプリが200万を突破

    2013年10月に100万あった不正アプリが2014年3月には200万を越えたという話題です。 もの凄いスピードで不正アプリが増えています。割合的には殆どAndroidです。

  • [news] 新型マルウェア、54%は対策ソフトで検知できず

    米NTT Innovation Instituteの報告によると、ハニーポットで収集した新型の マルウェアの 54% がウイルスチェックソフトで検知できないという事です。 また、サンドボックスを利用するセキュリティアプライアンスで収集した マルウェアの 71% がウイルスチェックソフトで検知出来ないと報告されています。 複合的なセキュリティ対策が必要である事が示唆されています。