はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

サイオス、「Xen」に存在する脆弱性に対する注意喚起

サイオスは9月8日、仮想化ハイパーバイザ「Xen」に複数の脆弱性が発見されたとして注意喚起を行った。

今回発表された脆弱性は、CVE-2016-7092CVE-2016-7093CVE-2016-7094CVE-2016-7154に指摘された4つの脆弱性。CVE-2016-7092とCVE-2016-7094はXenのすべてのバージョンに影響するため、ユーザは対応が必要。いずれの脆弱性も、ホストOSの権限を不正に奪取したり、DoS攻撃につながる危険があるため、ユーザは必ずアップグレードが推奨される。

対応方法は、各ベンダーからリリースされる新しいバージョンへのアップグレードとなる。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

Bleeping Computer、新手のLinuxサーバを標的としたランサムウェアについて報告

Bleeping Computerは8月29日(現地時間)、新手のLinuxサーバを標的としたランサムウェアについて報告した。

今回発見されたランサムウェアは、被害者がダウンした自分たちのWebサイトを復旧させるためにLinuxサーバにログインすると、Webサイトのフォルダが削除され、代わりに「READ_ME.txt」というファイル名のファイルが残されていたという。このファイルには脅迫文と、情報漏えいを防ぐために2週間以内に2ビットコインを送金する指示が書かれていたという。窃取されたファイルは暗号化されていない可能性が大きいと推測しているが、Bleeping Computerは、たとえ指示通り送金したとしてもファイルを取り戻せる保証はないとしている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

NRIセキュア、標的型メール攻撃の企業対応分析を発表、従業員の8人に1人、役員の5人に1人が標的型メールを開封

NRIセキュアテクノロジーズは8月18日、自社が顧客企業などに提供した情報セキュリティ対策サービスを通じて蓄積したデータを元に、最新の動向分析と推奨する対策を、「サイバーセキュリティ傾向分析レポート2016」としてまとめ、発表した。

今回のレポートでは、2015年度に実施した「標的型メール攻撃シミュレーション(標的型メールへの対応訓練)」サービスの結果を分析したところ、およそ従業員は8人に1人、役員は5人に1人が標的型メールに添付されたファイルを開いたり、URLをクリックしたりしてしまうことがわかった。この割合は、過去3年に渡って大きな改善が見られず、標的型メール攻撃は依然として脅威であると考えられる。攻撃メールの巧妙さは徐々に増してきていることから、同社は受信者が標的型メールを開封してしまう前提で、企業内での対応を整理したり、システム面での予防/検知策を導入する必要があるとしている。

また、その他にも、「マルウェア付きメールの流入には多層にわたる防御策が重要だが、添付ファイルの拡張子による制御などが効果的な場合もある」「Webアプリケーションが抱える危険度の高い脆弱性の約4分の3は、機械化された検査では発見できない」「企業が把握している外部向け自社Webサイトは半数」といった重要な指摘がされている。

「サイバーセキュリティ 傾向分析レポート2016」の詳細は、Webサイトで閲覧できる。

(川原 龍人/びぎねっと)

[関連リンク]
ニュースリリース

fossBytes、Redis NoSQLを介して感染する不正なトロイの木馬「Linux.lady」に関する注意喚起を発表

fossBytesは8月12日(現地時間)、Linuxに感染し、攻撃者のビットコイン採掘に悪用するトロイの木馬「Linux.lady」が発見されたと発表した。

「Linux.lady」は、不適切な設定のRedis NoSQLを介して感染し、感染したホストから攻撃者のビットコイン採掘に悪用する。Redis NoSQLが動作しているLinuxサーバが標的となり、現時点で影響を受けるコンピュータは3万台余りになるとの記述もある。

なお、「Linux.lady」は、GoogleのGo言語で実装されていることがわかっている。「Linux.lady」はRedis NoSQLの脆弱性を悪用し、感染すると「Linux.Downloader.196」と呼ばれる別のトロイの木馬を使ってソフトウェアをダウンロードし、ビットコインの採掘を行う。

Redis NoSQLを利用している場合、設定が適切になっているかを確認するとともに、「Linux.lady」に感染していないかどうかを確認することが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
注意喚起

情報処理推進機構、パスワードの使い回しなどが原因の新たな手口と被害を確認

情報処理推進機構は7月26日、パスワードの使い回しなどが原因の新たな被害を確認したと発表した。

2015年6月以降、IPAの相談窓口に「自分が使っているフリーメールのアドレスを詐称して友人・知人に対してなりすましメールが送信されている」という相談が寄せられるようになったという。これらの相談には、「現在利用しているフリーメールのアドレスを送信元とした(詐称した)なりすましメールが送信されている」「そのなりすましメールは“友人・知人など(受信トレイにあるメールの送信元アドレス等)”宛てに送信されている」「フリーメールサービスのログイン履歴に不審な記録は見られない」「フリーメールサービスのログインパスワードを変更してもなりすましメールの送信は止まらない」という特徴がある。

以上のことから、新しい手口では、悪意のある第三者が何らかの方法で入手した情報を悪用してメールソフトからフリーメールサービスに不正にログインする。そして、メールの情報(受信トレイにあるメールの送信元アドレス等)を窃取し、窃取したアドレス宛に別のメールサーバーからなりすましメールを送信していると推測される。不正にログインしたメールソフトからの送信はあえて控え、別のメールサーバを使ってなりすましメールを送信しているため、被害者にとって事後の対策が困難です。

この手口を成立させるには、はじめにフリーメールサービスへの不正ログインが必要で、その原因には推測が容易なパスワードやパスワードの使い回しなどが考えられる。そのため、被害を防止するには、適切なID、パスワードの設定、使い回しをしないなどの管理が必要だという。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

DNSサーバBINDにDoS攻撃の標的になりうる脆弱性、JPCERT/CCが警告

DNSサーバBINDに、DoS攻撃の標的になりうる脆弱性が発見された。細工された名前解決リクエストを受信することでsegmentation fault によってサーバが停止してしまう恐れがある。

この脆弱性は、lightweight resolverプロトコルに存在する。このプロトコル実装に、許容する文字列長を超える query name を含む名前解決リクエストを受信することで segmentation fault によってサーバが停止する問題が存在する。

影響を受けるバージョンは、「BIND 9.9.9-P1 およびそれ以前」「BIND 9.10.0 から 9.10.4-P1 まで」「BIND 9.11.0a3 から 9.11.0b1 まで」となっている。ISCは、この脆弱性を修正した「BIND 9.9.9-P2」「BIND 9.10.4-P2」「BIND 9.11.0b2」「BIND 9.9.9-S3」をリリース。ユーザは早期のアップグレードが推奨される。なお、BIND 9.8系列およびそれ以前の系列はサポート終了となっているため、系列のアップグレードが推奨される。

修正されたバージョンのISC BINDおよびISC DHCPは、Webサイトから無償で入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
JPCERTによるアナウンス

情報処理推進機構、「情報セキュリティ白書2016」を発表

情報処理推進機構(IPA)は7月15日、国内外で発生した注目すべき情報セキュリティインシデントや新たな攻撃の手口、サイバーセキュリティ基本法などの新制度の導入に伴う政府・企業の取り組みをはじめ、情報セキュリティ全般に関する事例や状況をまとめた書籍「情報セキュリティ白書2016」の販売を開始した。

本白書は、企業・組織のシステム開発者や運用者を対象に、情報セキュリティインシデントや攻撃の現状の把握、対策の実践に役立つ情報を提供すること、パソコンやスマートフォンを使用する一般の利用者に対して身近にある情報セキュリティ上の脅威への認識を促すことを目的に制作されている。

本白書が対象とする2015年度には、標的型攻撃により、日本年金機構から125 万件の個人情報が流出した。海外では、不正アクセスによる米国政府機関からの大量の個人情報流出、複合的なサイバー攻撃によるウクライナの大規模な停電など、社会の基盤となる情報やシステムを狙ったインシデントが相次いだ。インターネットバンキングの被害も過去最悪となっている。これに加えて、IoT機器の脆弱性や運用不備も明らかになっている。こうした脅威に対抗するため、「法制度の改正」、「サイバーセキュリティ人材育成総合強化方針」、「サイバーセキュリティ経営ガイドライン」の策定など、政府による取り組みの進展もある。

本白書では、これら情報セキュリティにおける状況を俯瞰し、情報セキュリティインシデントの具体的事例や攻撃の手口、政策や法整備の状況などを網羅する。3月31日に公開した「情報セキュリティ10大脅威2016」も第二部に収録されている。

「情報セキュリティ白書2016」は、書店などで取り寄せることができるほか、電子書籍としても入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
「情報セキュリティ白書2016」

US-CERT、Cisco Sysremsの2製品に発見された脆弱性について注意喚起を発表

US-CERTは7月14日(現地時間)、Cisco Sysremsの製品に発見された脆弱性について注意喚起を行った。

今回発表された脆弱性は、「Cisco ASR 5000シリーズ」および「Cisco IOS XR for NCS 6000シリーズ」に存在する。この脆弱性を悪用されると、認証されていない攻撃者にシステムへの不正ログインがされてしまい、リモートからシステムの制御権を乗っ取られる危険があるため、注意が必要。US-CERTは、該当するプロダクトのユーザに対してセキュリティアップデートを適用することを推奨している。特に、ネットワークインフラを構成する機器は、設定するとアップデートを行わずに利用されるケースが多いため、特に注意を呼び掛けている。

(川原 龍人/びぎねっと)

[関連リンク]
Cisco ASR 5000 Series SNMP Community String Disclosure Vulnerability
Cisco IOS XR for NCS 6000 Packet Timer Leak Denial of Service Vulnerability

JPCERT/CC、NTT東日本および西日本の「ひかり電話ルータ」に存在する脆弱性について発表

JPCERT/CCは6月27日、NTT東日本およびNTT西日本の「ひかり電話ルータ」にOSコマンドインジェクションおよびクロスサイトリクエストフォージェリの脆弱性が存在すると発表した。

OSコマンドインジェクションの脆弱性を悪用されると、管理画面にログイン可能なユーザが任意のOSコマンドを実行できてしまう危険がある。クロスサイトリクエストフォージェリの脆弱性は、ログインした状態のユーザが悪意のあるWebページにアクセスしたときに意図しない操作が行われる危険がある。

対象となる製品は以下の通り。
○NTT東日本が「ひかり電話ルータ PR-400MI・RV-440MI・RT-400MI」における、ファームウェアバージョン07.00.1006 およびそれ以前のバージョン
○NTT西日本が「ひかり電話ルータ PR-400MI・RV-440MI・RT-400MI」における、ファームウェアバージョン07.00.1005 およびそれ以前のバージョン

該当する製品を利用している場合は、最新のファームウェアにアップデートすることが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]

複数のひかり電話ルータおよびひかり電話対応機器におけるOSコマンドインジェクションの脆弱性


複数のひかり電話ルータおよびひかり電話対応機器におけるクロスサイトリクエストフォージェリの脆弱性

Rapid7、APIフレームワーク「Swagger」に深刻な脆弱性の存在を発表

Rapid7は6月22日(現地時間)、オープンソースのAPIフレームワーク「Swagger」に深刻な脆弱性(CVE-2016-5641)が発見されたと発表した。

脆弱性は、NodeJS、PHP、Ruby、JavaなどのSwaggerコードジェネレータに存在するという。脆弱性の内容は、悪質なSwagger定義の危険を考慮していないことによるもので、悪意のあるSwagger文書を利用することによってリモートからコードを実行されてしまう恐れがあるという。

Rapid7は、コードジェネレータのパッチが公開されるまでは、ユーザーがSwagger文書を厳重にチェックする必要があるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

 

このページのTOPへ

Powered by Wordpress