はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

情報処理推進機構、パスワードの使い回しなどが原因の新たな手口と被害を確認

情報処理推進機構は7月26日、パスワードの使い回しなどが原因の新たな被害を確認したと発表した。

2015年6月以降、IPAの相談窓口に「自分が使っているフリーメールのアドレスを詐称して友人・知人に対してなりすましメールが送信されている」という相談が寄せられるようになったという。これらの相談には、「現在利用しているフリーメールのアドレスを送信元とした(詐称した)なりすましメールが送信されている」「そのなりすましメールは“友人・知人など(受信トレイにあるメールの送信元アドレス等)”宛てに送信されている」「フリーメールサービスのログイン履歴に不審な記録は見られない」「フリーメールサービスのログインパスワードを変更してもなりすましメールの送信は止まらない」という特徴がある。

以上のことから、新しい手口では、悪意のある第三者が何らかの方法で入手した情報を悪用してメールソフトからフリーメールサービスに不正にログインする。そして、メールの情報(受信トレイにあるメールの送信元アドレス等)を窃取し、窃取したアドレス宛に別のメールサーバーからなりすましメールを送信していると推測される。不正にログインしたメールソフトからの送信はあえて控え、別のメールサーバを使ってなりすましメールを送信しているため、被害者にとって事後の対策が困難です。

この手口を成立させるには、はじめにフリーメールサービスへの不正ログインが必要で、その原因には推測が容易なパスワードやパスワードの使い回しなどが考えられる。そのため、被害を防止するには、適切なID、パスワードの設定、使い回しをしないなどの管理が必要だという。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

DNSサーバBINDにDoS攻撃の標的になりうる脆弱性、JPCERT/CCが警告

DNSサーバBINDに、DoS攻撃の標的になりうる脆弱性が発見された。細工された名前解決リクエストを受信することでsegmentation fault によってサーバが停止してしまう恐れがある。

この脆弱性は、lightweight resolverプロトコルに存在する。このプロトコル実装に、許容する文字列長を超える query name を含む名前解決リクエストを受信することで segmentation fault によってサーバが停止する問題が存在する。

影響を受けるバージョンは、「BIND 9.9.9-P1 およびそれ以前」「BIND 9.10.0 から 9.10.4-P1 まで」「BIND 9.11.0a3 から 9.11.0b1 まで」となっている。ISCは、この脆弱性を修正した「BIND 9.9.9-P2」「BIND 9.10.4-P2」「BIND 9.11.0b2」「BIND 9.9.9-S3」をリリース。ユーザは早期のアップグレードが推奨される。なお、BIND 9.8系列およびそれ以前の系列はサポート終了となっているため、系列のアップグレードが推奨される。

修正されたバージョンのISC BINDおよびISC DHCPは、Webサイトから無償で入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
JPCERTによるアナウンス

情報処理推進機構、「情報セキュリティ白書2016」を発表

情報処理推進機構(IPA)は7月15日、国内外で発生した注目すべき情報セキュリティインシデントや新たな攻撃の手口、サイバーセキュリティ基本法などの新制度の導入に伴う政府・企業の取り組みをはじめ、情報セキュリティ全般に関する事例や状況をまとめた書籍「情報セキュリティ白書2016」の販売を開始した。

本白書は、企業・組織のシステム開発者や運用者を対象に、情報セキュリティインシデントや攻撃の現状の把握、対策の実践に役立つ情報を提供すること、パソコンやスマートフォンを使用する一般の利用者に対して身近にある情報セキュリティ上の脅威への認識を促すことを目的に制作されている。

本白書が対象とする2015年度には、標的型攻撃により、日本年金機構から125 万件の個人情報が流出した。海外では、不正アクセスによる米国政府機関からの大量の個人情報流出、複合的なサイバー攻撃によるウクライナの大規模な停電など、社会の基盤となる情報やシステムを狙ったインシデントが相次いだ。インターネットバンキングの被害も過去最悪となっている。これに加えて、IoT機器の脆弱性や運用不備も明らかになっている。こうした脅威に対抗するため、「法制度の改正」、「サイバーセキュリティ人材育成総合強化方針」、「サイバーセキュリティ経営ガイドライン」の策定など、政府による取り組みの進展もある。

本白書では、これら情報セキュリティにおける状況を俯瞰し、情報セキュリティインシデントの具体的事例や攻撃の手口、政策や法整備の状況などを網羅する。3月31日に公開した「情報セキュリティ10大脅威2016」も第二部に収録されている。

「情報セキュリティ白書2016」は、書店などで取り寄せることができるほか、電子書籍としても入手できる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
「情報セキュリティ白書2016」

US-CERT、Cisco Sysremsの2製品に発見された脆弱性について注意喚起を発表

US-CERTは7月14日(現地時間)、Cisco Sysremsの製品に発見された脆弱性について注意喚起を行った。

今回発表された脆弱性は、「Cisco ASR 5000シリーズ」および「Cisco IOS XR for NCS 6000シリーズ」に存在する。この脆弱性を悪用されると、認証されていない攻撃者にシステムへの不正ログインがされてしまい、リモートからシステムの制御権を乗っ取られる危険があるため、注意が必要。US-CERTは、該当するプロダクトのユーザに対してセキュリティアップデートを適用することを推奨している。特に、ネットワークインフラを構成する機器は、設定するとアップデートを行わずに利用されるケースが多いため、特に注意を呼び掛けている。

(川原 龍人/びぎねっと)

[関連リンク]
Cisco ASR 5000 Series SNMP Community String Disclosure Vulnerability
Cisco IOS XR for NCS 6000 Packet Timer Leak Denial of Service Vulnerability

JPCERT/CC、NTT東日本および西日本の「ひかり電話ルータ」に存在する脆弱性について発表

JPCERT/CCは6月27日、NTT東日本およびNTT西日本の「ひかり電話ルータ」にOSコマンドインジェクションおよびクロスサイトリクエストフォージェリの脆弱性が存在すると発表した。

OSコマンドインジェクションの脆弱性を悪用されると、管理画面にログイン可能なユーザが任意のOSコマンドを実行できてしまう危険がある。クロスサイトリクエストフォージェリの脆弱性は、ログインした状態のユーザが悪意のあるWebページにアクセスしたときに意図しない操作が行われる危険がある。

対象となる製品は以下の通り。
○NTT東日本が「ひかり電話ルータ PR-400MI・RV-440MI・RT-400MI」における、ファームウェアバージョン07.00.1006 およびそれ以前のバージョン
○NTT西日本が「ひかり電話ルータ PR-400MI・RV-440MI・RT-400MI」における、ファームウェアバージョン07.00.1005 およびそれ以前のバージョン

該当する製品を利用している場合は、最新のファームウェアにアップデートすることが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]

複数のひかり電話ルータおよびひかり電話対応機器におけるOSコマンドインジェクションの脆弱性


複数のひかり電話ルータおよびひかり電話対応機器におけるクロスサイトリクエストフォージェリの脆弱性

Rapid7、APIフレームワーク「Swagger」に深刻な脆弱性の存在を発表

Rapid7は6月22日(現地時間)、オープンソースのAPIフレームワーク「Swagger」に深刻な脆弱性(CVE-2016-5641)が発見されたと発表した。

脆弱性は、NodeJS、PHP、Ruby、JavaなどのSwaggerコードジェネレータに存在するという。脆弱性の内容は、悪質なSwagger定義の危険を考慮していないことによるもので、悪意のあるSwagger文書を利用することによってリモートからコードを実行されてしまう恐れがあるという。

Rapid7は、コードジェネレータのパッチが公開されるまでは、ユーザーがSwagger文書を厳重にチェックする必要があるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

Twitter社、アカウント漏えいは他サーバのパスワード使い回しが原因と発表

Twitter社は6月10日(現地時間)、Twitterのアカウント情報漏えいについて、同社のサーバから漏洩したのではなく、他のサーバから漏えいしたアカウント情報から、パスワードを使い回していたアカウントや、マルウェアに感染して漏えいした情報が悪用されたものであると発表した。

最近ではLinkedIn、MySpace、Tumblr、Flingなどのアカウント情報漏えいが短期間のうちに多数起こっていると指摘。これらのアカウント情報は、SNSから直接データが漏えいしただけでなく、他のサーバから漏えいした情報や、マルウェア経由で漏えいした情報を悪用して不正ログインがなされている可能性が高いとしている。

今回の調査によって、「パスワードの使い回し」がアカウントの不正利用につながっていると結論付けられており、同社はWeb利用者に対してパスワードの使い回しをしない・定期的にパスワードを変更することを勧告している。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

情報処理推進機構、「企業における情報システムのログ管理に関する実態調査」報告書を公開

情報処理推進機構は6月9日、企業における情報システムのログの管理実態を把握し、最適なログ管理の指針を提案するため、「企業における情報システムのログ管理に関する実態調査」を実施し、その報告書を公開した。

今回の報告書では、ユーザー企業におけるログ管理の実態をヒアリングし、その結果から主だった情報漏えいの原因別に必要なログの使途を整理し、ログ管理製品のタイプ別に適否を整理した。またヒアリングした大企業と中小企業の違いには「明確な目的と準備」によるログ管理を実施する大企業と、そうでない中小企業、という傾向が見られるとしている。

そこでログ管理の目的を明確にし、かつ実装レベルによる対策状況を4分類した「ログ管理製品の実装レベル」をまとめた。この表では、「行うべきこと」「想定されるシステム構成」「導入概算」を示しており、自組織の現状の把握と、状況や目的に合わせたログ管理実施の検討を行うことができるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
「企業における情報システムのログ管理に関する実態調査」報告書について

Gmail、IMAP/POPにおけるSSLv3とRC4のサポートを6月16日に打ち切り

Gmailは5月16日(現地時間)、6月16日からGmailでIMAP/POPにおけるSSLv3およびRC4のサポートを打ち切ると発表した。

Googleは古いIMAP/POPメールクライアントを使っているユーザーに対してより新しい方式をサポートしたバージョンへアップグレードまたは移行することを推奨している。

最近ではSSLv3とRC4はセキュアとは言えないとされており、これらの利用は停止される方向に向かっている。Gmailでは、6月16日からIMAP/POPでのSSLv3およびRC4のサポートを停止する。なお、Googleはこれら機能のサポートを他のサービスでも停止する方針。

SSLv3やRC4は古い方式であるため、ほとんどのケースでは問題にならないが、SSLv3やRC4しかサポートしていない古いメールクライアントを使い続けている場合は、Gmailが利用できなくなる。この場合は新しいメールクライアントへ移行する必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

情報処理推進機構、「改訂版 増加するインターネット接続機器の不適切な情報公開とその対策」を公開

情報処理推進セキュリティセンターは5月31日、無償で利用できる検索エンジン「Censys」の登場を受け、2014年に公開したテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」を更新し、改訂版として公開した。

「Censys」は、2015年10月にミシガン大学の研究者によって開発された、インターネット上に接続されている機器の情報(OS、ソフトウェアのバージョン、ルーティング情報、認証に関する情報)などを検索することに特化した検索エンジンが開発された。IoTなど、インターネットに接続される機器の安全確認には「Censys」も有効であるため、今回、「Censys」の利用方法などを解説したテクニカルウォッチの改訂版が作成された。

今後、IoT機器の普及に伴い、製造業者、設置業者、利用者がそれぞれの立場で、不用意な設定で情報が開示されることのないよう、適切な接続を確認することが望まれる。今回のテクニカルウオッチは、システム管理者や利用者にとって、管理するIoT機器の情報セキュリティ対策強化を促進することが期待されているという。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
「改訂版 増加するインターネット接続機器の不適切な情報公開とその対策」

 

このページのTOPへ

Powered by Wordpress