はじめる人のびぎねっと。

プライバシーポリシー

びぎねっとITニュース

JPCERT/CC、2014年 4~6月のインターネット定点観測レポートを公開

JPCERT/CCは7月17日、2014年 4~6月のインターネット定点観測レポートを公開した。

インターネット上に複数の観測用センサーを分散配置し、不特定多数(日本宛)に向けて発信されるパケットを収集し、宛先ポート番号や送信元地域ごとに分類し、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析した。

宛先ポート番号別パケット観測数のトップ5は、1位「445/TCP (microsoft-ds) 」2位「22/TCP (ssh)」3位「23/TCP (telnet)」4位「0/ICMP」5位「1433/TCP (ms-sql-s)」。また、送信元地域のトップ5は1位「中国」2位「米国」3位「オランダ」4位「台湾」5位「日本」となっている。

本四半期は、22/TCP宛のパケット数が徐々に増加している。23/TCPについては、前四半期から減少しているが、依然として多い状態。また、送信元ポート番号「53/UDP」を使用するパケット「DNS応答パケット」と、DNSサービスのポート不達を示すICMPエラーパケットが依然として多数観測されており、DNSサーバおよびDNSサーバ宛のパケットを転送する機器を狙ったDDoS攻撃が多数あると考えられるという。この攻撃は、権威サーバを狙ったDDoS攻撃の余波が観測されたものとも考えられ、意図的なものとは限らないが、意図的ではないとしても、悪用されないため、DNSサーバを運用している場合には再帰的な問い合わせの範囲を最小限に限定する、インターネット接続用ルータなどでDNSサーバやDNSフォワーダ機能を持つネットワーク機器を使用している場合は不特定のホストからのDNS問い合わせに応答しない設定にする、という対策を推奨している。

(川原 龍人/びぎねっと)

[関連リンク]
インターネット定点観測レポート(2014年 4~6月)
DNSサーバーの不適切な設定「オープンリゾルバ」について(JPRS)

情報処理推進機構、オンラインバンキングにおける不正送金の被害状況と手口を公開

情報処理推進機構(IPA)は7月1日、2014年7月のセキュリティ呼びかけにおいて、オンラインバンキングにおける不正送金に対する注意喚起を行った。

IPAに寄せられたオンラインバンキング関係の相談件数は約1年にわたり増加傾向にあり、手口にも変化が見られることから、今回の注意喚起に至った。

新しい手口では、たとえば窃取した情報を悪用して、その場でリアルタイムに送金処理を行う新たなウィルスが確認されている。
1.利用者のPCにウイルスを感染させ不正なポップアップ画面を表示させる
2.その画面に、送金に必要な情報(ID、パスワード、乱数表の数字など)を利用者に入力させる
3.入力させた情報が即座に悪用され、第三者の口座への不正送金がリアルタイムに行われてしまう
新しいウィルスは、送金に必要な情報の入力と同時に送金を完結させてしまう点で従来の手口と異なる。しかし「PCにウィルスを感染させ」、その後「そのウィルスに不正な画面を表示させる」という点は従来の手口と共通している。つまり不正な画面であることに気がつけば金銭被害に遭わずに済む。このため、ウィルスに感染しないこと、不正な画面の見分けなどが対策として重要となる。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

エフセキュア、Linuxサーバのセキュリティ実態に関する調査結果を発表

エフセキュアは6月26日、Linuxサーバの管理者を対象に、セキュリティの実態に関するする調査結果を発表した。調査時期は2014年5月、有効回答件数は308件。

この調査結果によると、管理者の14%が重大なセキュリティ被害を経験していたにもかかわらず、25%がセキュリティ対策を実施していないという結果が判明した。「重大なセキュリティ被害」には、Webページの改ざんや情報漏洩など、致命的な被害が含まれていた。

一方で、今後LinuxサーバOSに希望する機能という質問に対しては、「セキュリティ確保」が47.4%となり、「サーバの安定稼動」の35.1%を上回った。セキュリティに対しては高い意識を持つ管理者もいる中で、対策を施していない管理者もおり、意識の乖離が見て取れる。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

OpenSSLに新たな脆弱性が見つかる、修正された「OpenSSL 1.0.1h/1.0.0m/0.9.8za」がリリース

The OpenSSL Projectは6月5日(現地時間)、SSLプロトコルのオープンソース実装「OpenSSL」に新たな脆弱性が発見されたと発表した。また、この脆弱性を修正した「OpenSSL 1.0.1h/1.0.0m/0.9.8za」もリリースした。

今回の修正では、6件の脆弱性が解消されている。そのうちの1件は、サーバ・クライアント双方が影響を受け、SSLで保護していたはずの情報が盗み出されてしまう危険性がある。ユーザは速やかにアップデートを適用することが強く推奨される。

OpenSSL 1.0.1h/1.0.0m/0.9.8zaは、Webサイトから無償でダウンロード・利用することができる。また、各ベンダーから対応したパッケージもリリースされている。

(川原 龍人/びぎねっと)

[関連リンク]
Security Advisory

情報処理推進機構、「情報セキュリティ早期警戒パートナーシップガイドライン」を改訂

情報処理推進機構(IPA)およびJPCERT/CCは5月30日、脆弱性情報取扱における関係者の行動基準を示した「情報セキュリティ早期警戒パートナーシップガイドライン」の改訂を発表した。これにより、発見された脆弱性の製品開発者と連絡がとれない案件を「連絡不能案件」として脆弱性情報を公表する運用を開始した。

脆弱性が発見された場合、悪用をされることのないよう、対策方法策定・情報の公表までは、厳重に情報を秘匿するなど、適切な情報管理が必要となる。ガイドラインに基づく脆弱性取扱業務では、IPAが発見者から未知の脆弱性の届出を受付けており、調整機関であるJPCERT/CCへ連絡される。しかし、製品の開発者と連絡が取れない場合、この作業を始めることができない。発見された脆弱性の製品開発者と連絡がとれない案件を「連絡不能案件」として公表することにより、製品利用者は製品の利用を止めるという判断や、他の緩和策の実施により、脆弱性による被害回避が可能となることから、今回の運用を開始するという判断に至った。

 その他、今回の改訂では一部の脆弱性情報を一般公表に先立ち、利用者に提供する取組みについて、記載が加えられている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース
情報セキュリティ早期警戒パートナーシップガイドライン

トレンドマイクロ、ルータに対しDNSポイズニングに誘導する攻撃手法に関する注意喚起

トレンドマイクロは5月23日、「ルータに存在する脆弱性、DNSポイズニングに誘導」という記事の中で、ルータに対してDNSポイズニングに誘導する攻撃手法に関する注意喚起を行った。

この記事では、特にホテルなどの外出先でインターネットアクセスを行う場合の危険性について述べられている。事例として、休暇中に外出先で提供されていたインターネットアクセス利用時に、YoutubeやFacebookなどのWebサイトにアクセスを試みたところ、偽のInternet Explolerなどの更新ページへ誘導され、不正なファイルがダウンロードされる危険に晒されたという。これは、ルータの脆弱性により、不正なDNSサーバにDNSクエリが送信されてしまうことが原因だという。同社は、この攻撃手法はあまり知られていないが、数年にわたって確認されているとしている。

この攻撃から身を守るためには、一般に公開されているDNSサーバを明示的に利用することが有効だとしている。OSのネットワーク設定を、DNSサーバを自動で設定するのではなく、信頼できるDNSサーバを明示的に指定することで回避できる。また、小規模企業などのルータ管理者は、ルータのファームウェアを常に最新にしておくことをが強く推奨されるという。

(川原 龍人/びぎねっと)

[関連リンク]
Blogによる記事

セキュアブレイン、ワンタイムパスワードを盗むタイプのウィルスの挙動を解析

セキュアブレインは5月16日、ワンタイムパスワードを盗むタイプのMITB(マン・イン・ザ・ブラウザ)攻撃型ウィルスを捕獲し、その挙動を解析し、結果を発表した。

同社は、このウィルスによる、国内メガバンクを含む5行への攻撃を確認した。同ウィルスに感染したPCでは、対象になった複数のオンラインバンキングサイトにアクセスした場合、コンテンツの改ざん及び情報を盗む挙動を示すという。対象となっているオンラインバンキングサイトにアクセスした際に、正規オンラインバンキングサイトから受信したHTMLが、MITB攻撃によって書き換えられる。次に、外部のサーバからJavaScriptを別途取得し実行する。このJavaScriptが実際の画面の改ざんや情報の送信を行う。なお、このときに取得・実行されたJavaScriptは金融機関ごとに異なっているが、これらのJavaScriptは全て同一のサーバから取得されていた。

改ざんを行うJavaScriptは、偽の入力画面を表示するだけでなく、正規の画面に入力されたログインIDを外部に送信するなど、画面を変更しないで情報を盗むケースも確認されている。防御策としては、オンラインバンキングで使用するPCを常にウィルスに感染していないクリーンな状態に保つなどの必要があるとしている。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

JPCERT/CC、4月27日から5月10日のセキュリティ関連情報サマリーを公開

JPCERT/CCは5月14日、2014年4月27日から5月10日のセキュリティ関連情報サマリーを公開した。

触れられている情報は以下の通り。
○「Microsoft Internet Explorer に脆弱性」に関する追加情報
○Adobe Flash Playerにバッファオーバーフローの脆弱性
○Mozilla 製品群に複数の脆弱性
○BIND 9.10.0にサービス運用妨害 (DoS) の脆弱性
○サイボウズ ガルーンに複数の脆弱性
○CiscoのWebEx Playerに複数の脆弱性
○intra-mart にオープンリダイレクトの脆弱性
○Fortinet Fortiweb にクロスサイトリクエストフォージェリの脆弱性
○Google 検索アプライアンスのダイナミック ナビゲーションにクロスサイトスクリプティングの脆弱性

該当するソフトウェアのユーザは、アップグレードなどの対応が強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
プレスリリース

FreeBSDのOpenSSLにDoS攻撃を受ける脆弱性、アップデートがリリース

FreeBSD Projectは5月13日(現地時間)、FreeBSDのOpenSSLにDoSを受ける脆弱性が発見されたと発表された。この脆弱性はHeartbleed脆弱性とは別のものだが、この脆弱性を悪用されると、OpenSSLライブラリを利用しているソフトウェアが外部からの攻撃により停止してしまう危険がある。

この脆弱性は、FreeBSD 10系列においてのみ影響を受ける。この脆弱性は、freebsd-updateによりアップデートを行うことで解消できるため、FreeBSD 10のユーザはアップデートが強く推奨される。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

NetCraft、Heartbleed脆弱性に対するWebサーバの対策状況を発表、半分以上が未対策

NetCraftは5月9日(現地時間)、インターネット上のWebサイトで、OpenSSLに存在したHeartbleeed脆弱性に対する対策の現状を調査し、発表した。半分以上のWebサーバが未対策のままだという。

NetCraftによると、Heartbleedへの対策として、「1.OpenSSLの脆弱性を解消する」「2.古い証明書を失効させる」「3.新しい鍵を使って証明書を再発行する」の、3つの作業を適切な手順で行う必要があるとしている。SSL証明書の秘密鍵がメモリに残っているケースがあるため、今回のHeartbleed脆弱性に対しては3つの対策を必要とする。しかし、この3つの対策を行っているWebサイトは全体の14%で、57%のWebサーバは対策を行っていないとしている。

古い証明書を失効させていないサーバは21%、古い鍵のまま証明書を発行しているサーバは7%。また、古い鍵のまま証明書を発行し、さらに古い証明書を失効していないという、もっとも危険なケースのサーバも5%あるという。

(川原 龍人/びぎねっと)

[関連リンク]
リリースアナウンス

 

このページのTOPへ

Powered by Wordpress