はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

情報処理推進機構、「SSL 3.0」プロトコルに存在する脆弱性対策について公開

情報処理推進機構は10月17日、「SSL 3.0」プロトコルに存在する脆弱性対策について公開した。

この脆弱性は、CVE-2014-3566で指摘されているもの。SSL 3.0プロトコルを利用した通信が、第三者に解読されてしまう危険があり、サーバ・クライアント間の通信においてSSL 3.0 プロトコルを使用している場合、通信の一部が第三者に漏えいする可能性がある。ただし、攻撃には複数の条件が必要であるため、ただちに悪用可能な脆弱性ではないという。サーバ管理者および利用者は対策の要否を検討し、必要に応じて対策を実施することが推奨されている。

対策としては、サーバもしくはクライアントのどちらか一方で、SSL 3.0を無効化することが挙げられている。なお、サーバ側でSSL 3.0を無効にすると一部のクライアントから接続ができなくなる可能性が、クライアント側で SSL 3.0を無効すると一部のサーバに接続できなくなる可能性が生じる。

SSL 3.0については、Firefoxが次期バージョンから無効化されることが発表されており、Google Chromeでも数カ月後にサポートを打ち切る予定になっている。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

JPCERT/CC、TCP 10000番ポート(Webmin)へのスキャンの増加に関する注意喚起

JPCERT/CCは10月10日、TCP 10000番ポートへのスキャンが 2014年9月下旬より増加しているとして注意喚起を行った。

この注意喚起は、JPCERT/CCのインターネット定点観測システム「TSUBAME」において確認された事象に基づくもの。TCP 10000番ポートは、Webベースのシステム管理ツールWebminの標準ポートとして利用されており、Webminは先日公表されたGNU bashの脆弱性の影響を受けるという。

TSUBAMEの観測データによると、TCP 10000番ポートへのスキャンが9月下旬から急増しているだけでなく、スキャンを行ってきた一部の送信元IP アドレスにおいてWebminのログイン画面と推測される応答を確認しているという。この結果から、Webmin が稼働するサーバが攻撃を受けた結果、第三者への攻撃の踏み台とされている可能性が考えられるという。

10月10日現在、TCP 10000番ポートを対象としたスキャンが継続していることから、今後も対策を行っていないサーバが攻撃を受け、第三者への攻撃などに使用される可能性があるため、影響を受けるバージョンのWebminおよびGNU bash を使用している場合は対策を講じる必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

気象庁、緊急地震速報を装った迷惑メールに対する注意喚起

気象庁は9月24日、緊急地震速報を装った迷惑メールに対する注意喚起を発表した。

この迷惑メールは、「緊急地震が発表されました。これから強い揺れが来ますので十分警戒してください。(気象庁発表)」などの文面と共に、「※詳細はコチラからご覧頂けます※」の後にURLが表示されている。このURLは気象庁のページとは関係なく、悪意のあるものと見られる。気象庁では、記載されているリンク先にアクセスしないよう注意を呼びかけている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

JPCERT/CC、GNU bash の脆弱性に関する注意喚起、修正が不十分であるとの指摘も

JPCERT/CCは9月25日、GNU bashに存在する、環境変数の取り扱いに起因する脆弱性に関して注意喚起を行った。

この注意喚起は、CVE-2014-6271において指摘されているもので、リモートからシステムの乗っ取りが可能になってしまう、極めて深刻な脆弱性。9月24日頃から各ディストリビューターによりセキュリティアップデートが提供されているが、修正が不十分であるとの指摘もある。現段階(9月26日時点)では、CVE-2014-7169の不具合は修正されていないため、管理者は引き続き回避策の検討、情報への注意が必要となる。

CVE-2014-6271については、既にマルウェアによる攻撃が確認されているとの報告もある。CVE-2014-7169の脆弱性は、CVE-2014-6271の脆弱性に比べれば危険度が低いため、アップデートの適用は必須となっている。また、回避策として「GNU bashを代替のシェルに入れ替える」「WAF や IDS を用いて脆弱性のあるサービスへの入力にフィルタをかける」「 継続的なシステム監視を行う」などの対応が考えられるという。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス

トレンドマイクロ、Windows 9 開発者向けプレビュー版の話題に便乗した脅威を複数確認、注意喚起

トレンドマイクロは8月29日、2014年9月に発表が予定されているMicrosoft Windows 9 開発者向けプレビュー版への期待に便乗した脅威を複数確認し、注意喚起を発表した。

同社が確認した脅威の1つは、検索サイトの検索結果から不正と思われるWebサイトに誘導するもの。「Windows 9」や「free」、「leak」、「download」といったキーワードの組み合わせで検索を行った場合、検索結果として不正と思われるWebサイトが表示されてしまうという。この不審なWebサイトは、未発表のWindows 9を無料でダウンロードできるWebサイトのように偽装しているという。類似した、Windows 9の無料ダウンロードの提供を謳うブログにファイル共有サービスのリンクが張られているという脅威も確認されている。

また、Youtube の動画の詳細情報にダウンロードリンクが張られた動画ページも確認されたという。詳細情報に張られたリンクをクリックすると、2つのファイルがダウンロードされてしまう。同社ではこれらの事例の他にも、Windows9 の無料ダウンロードの内容を含む不審なブログの存在も確認しており、Windows 9 の開発者向けプレビュー版に関する脅威が増加している結果となっている。

同社は、ユーザを罠にかけるために、サイバー犯罪者は話題となっているものを悪用することが常套手段となっていることを主張しており、この種のサイバー犯罪はこれまでに何度も行なわれてきているとしている。そのため、Windows 9 に便乗した脅威が、今後さらに増加することが推測されるという。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

US-CERT、Backoffマルウェアの感染について中小企業に対しても注意喚起

US-CERTは8月22日(現地時間)、Backoffマルウェアについて、大企業だけでなく、中小企業に対しても感染が拡大しているとして、注意喚起を発表した。

Backoffマルウェアは、POS端末をターゲットとするマルウェア。主に金銭に関する情報を、不正な目的で盗み出すという。US-CERTによると、このマルウェアは大企業だけでなく、中小企業に対しても急速に感染が拡大しており、全ての企業はシステムがBackoffマルウェアに感染していないかどうかを確認する必要があるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス
Alert

エフセキュア、NASを狙った新しいランサムウェア「SynoLocker」に注意喚起、暗号化し身代金を要求

エフセキュアは8月13日、NASデバイスを狙った新しいランサムウェア「SynoLocker」に関する注意喚起を行った。

「SynoLocker」は、デバイスに格納しているファイルを勝手に暗号化してしまい、それに続けてユーザに身代金についてのメッセージを表示する。このメッセージでは、Tor Browser Bundleをダウンロード・インストールするようユーザに指示し、次にユーザをTorネットワーク上の特定のWebサイトへ誘導する。このWebサイトでは、あるBitcoinウォレットに0.6BTC(約36,000円相当)の支払いを行うよう指示をする。マルウェアの作者らは、送金を受け取った後にユーザにファイルを復旧するための復号キーを提供すると表示される。その結果、ユーザが別途バックアップを保持していない限り、NASデバイスに格納された任意のファイルが失われるという事態に直面することになる。

「SynoLocker」の作者へ「身代金」を支払ってもファイルが復旧されるという保証はなく、また悪意ある集団に金銭的利益を与え、さらなる被害へ繋がることになるため、「身代金」の支払いが行われないような十分な対策が求められる。対策としては、
○万が一の感染に備えてバックアップを取っておく
○感染した場合、対応方法をメーカーに確認する
○攻撃は古いNAS OSの脆弱性を悪用したものが多いため、最新の状態にしておく
などが挙げられている。

(川原 龍人/びぎねっと)

[関連リンク]
記事本文

情報処理推進機構とJPCERT/CC、「注意喚起:ウェブサイトの改ざん回避のために早急な対策を」を発表

情報処理推進機構JPCERT/CCは8月13日、「ウェブサイトの改ざん回避のために早急な対策を」と題した注意喚起を発表した。

JPCERT/CCが2014年1月~6月の期間に報告を受けたウェブサイト改ざん件数は2,624件であり、前期(2013年7月~12月)の総件数4,378件に比べると件数そのものは減ってきているものの、依然として月平均400件程度の改ざんの報告が続いている。7月も388件の改ざんがあり、この件数は実際改ざんされてしまっているWebサイトの氷山の一角と考えられるという。

昨秋以降、Webサイト改ざんの報告が減少せず、横ばいが続いている原因として、Webサーバ構築に使用されたソフトウェアが古いバージョンのまま運用されていることが考えられるという。

Webサイト改ざんの手口としては、「①サーバソフトウェアに残存する脆弱性を狙ったウェブサイト改ざん」「②Webサイトの管理端末への侵入によるウェブサイト改ざん」「③SQLインジェクションを用いたウェブサイト改ざん」が挙げられる。これらへの対策としては、 「①サーバソフトウェアの脆弱性を狙った攻撃への対策」「②Webサイトの管理端末への侵入によるウェブサイト改ざんへの対策」「③SQLインジェクション攻撃への対策」が必須としており、Webサーバ管理者は早急に対策を行う必要があるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

Windows Updateの適用でPCが起動不能となるトラブルが発生

Microsoftは8月19日、8月13日に提供されたWindows Update更新プログラムを適用すると、PCが起動不可能になるトラブルが発生するケースがあると発表した。

トラブルの原因となっている更新プログラムは、「2982791」「2970228」「2975719」「2975331」の4つのプログラム。これらのうち、どれか1つでも適用した場合、環境によってPCが異常終了したり、起動不可能になるというトラブルが確認されたという。

現在は、これらの更新プログラムは提供が中止されている。Microsoftでは、問題が発生していないPCでも予防的措置としてこれらのプログラムをアンインストールすることを推奨している。

PCが起動しない場合の復旧方法は、セーフモードで起動してシステムをアップデート前の状態にリストアする方法、WindowsのインストールディスクからPCを起動してスタートアップ修復やシステムの復元を行い更新プログラムをアンインストールする方法などが示されている。作業の詳細は、JSECTEAMのブログ記事に掲載されている。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事(日本語)

Sambaに深刻な脆弱性、リモートから悪意のあるコードを実行される恐れ

Windowsのファイルサーバやプリントサービスなどを提供するサーバソフトウェア「Samba」に、重要なセキュリティ上の問題が発見された。この問題は、NetBIOSネームサーバ「nmbd」に存在し、悪用されるとroot権限を持った状態でコードが実行されてしまう恐れがあるという。

この問題は、Samba 4.0.0から4.10.0に存在する。The Samba Teamは、この脆弱性を修正するパッチ、および問題を修正した「Samba 4.0.21」および「Samba 4.1.11」をリリースした。ユーザはアップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
Security Announcement Archiveによる記事
Samba 4.0.21リリースノート 
Samba 4.1.11リリースノート

 

このページのTOPへ

Powered by Wordpress