ITニュース速報

IT関連のニュースをお届けします
IT、ICT,タブレット、コンピュータ、パソコン
PC、セキュリティ、iPhone、iPad、mac
などの情報を日記にのせていきます

    カテゴリ:セキュリティ > ウイルス


     Windowsドメインコントローラが乗っ取られる極めて深刻な脆弱性Zerologon」について、Microsoftセキュリティ企業が繰り返し警戒を呼び掛けている。ランサムウェアRyuk」の攻撃に利用されて瞬く間に組織内で感染が広がった実例も紹介され、改めて危険性が浮き彫りになった。

    【その他の画像】

     Zerologonの脆弱性は、WindowsActive Directoryのユーザー認証に使われる「Netlogonリモートプロトコル」(MS-NRPC)に存在する(CVE-2020-1472)。悪用された場合、認証を受けていない攻撃者がドメインコントローラアクセスし、ドメイン管理者権限を取得できてしまう可能性がある。Microsoftは8月の月例セキュリティ更新プログラムでこの問題に対処した。

     Microsoftによれば、9月にはこの脆弱性を突くコンセプト実証コードが公開され、9月13日ごろから攻撃が急増。10月に入ると国家が関与する攻撃にZeroLogonが利用され、ソフトウェアアップデートに見せかけて不正なスクリプトを実行させる手口が発見されるなど、攻撃はエスカレートしていった。

     Ryukのランサムウェアを操る集団がZerologonを利用したケースは、10月18日のDFIR Reportで報告された。発端となるフィッシング詐欺メールが送り付けられてから、被害者のネットワーク全体が暗号化されるまでの時間はわずか5時間。攻撃者がZerologonの脆弱性を突いて特権を獲得したことで、攻撃を展開するスピードは急加速していた。

     Ryukは世界各地で企業や自治体などの被害が多発しており、猛威を振るうマルウェアEmotet」を通じて感染することもある。米国や英国で多数の病院を経営する医療大手のシステムに感染し、患者が死亡する事態にもつながったと報じられている。

     今回DFIR Reportが報告したケースでは、攻撃者はフィッシング詐欺メールを使って被害組織のユーザーに実行可能ファイルを実行させ、マルウェア「Bazar」に感染させていた。最初に感染したのは権限を持たないユーザーだったが、攻撃者はここでZerologonの脆弱性を利用して特権を獲得し、ドメインコントローラパスワードリセットした。

     これで攻撃は一気に加速する。ネットワークを横移動してさらに別のドメインコントローラ乗っ取りActive Directoryを制御した攻撃者は、サーバワークステーションを次々にRyukに感染させて、最初の侵入から5時間で攻撃を完了した。

     それまでは、こうした攻撃を検出してから対応するまでには1~2日の余裕があったという。しかしZerologonが利用されたことでそうした時間的余裕がなくなったとDFIR Reportは言い、「攻撃を食い止めるためには、1時間以内に行動できる準備が必要」と指摘する。

     Zerologonについては米国土安全保障省のセキュリティ機関CISAも9月の時点で全連邦省庁に対して異例の緊急指令を出し、CVE-2020-1472の更新プログラムを直ちに適用するよう指示していた。

     10月に入ると、特定国家の支援を受けるなどして高度で執拗な攻撃を仕掛けるAPT集団がZerologonの脆弱性を利用しているとして、CISAと米連邦捜査局(FBI)が改めて対策の徹底を促した。米大統領選挙が迫っているタイミングもあり、自治体などの選挙関連システムへの不正アクセスZerologonが利用された形跡もあるとした。

     ただしZerologonは特権昇格脆弱性なので、悪用するためにはまず、別の手段を使って標的とするネットワークに侵入する必要がある。そのために利用されているのがフィッシング詐欺メールマルウェアだ。

     さらに、VPNやリモートデスクトッププロトコル(RDP)などのリモートアクセスツールや、Citrix、Juniper、Pulse Secureといったサードパーティー脆弱性を組み合わせて連鎖的に攻撃を展開する手口もある。インサイダーにも警戒が必要だ。

     いずれにしても、標的となるのはパッチが公開されているのに適用しないまま放置されているシステムだ。「システムや機器のパッチは迅速かつ入念に適用する必要がある。徹底したパッチ適用サイクルを確立して維持することが、最善の防御策であることに変わりはない」とCISAは強調している。

    Microsoftはセキュリティ更新で対策済み


    (出典 news.nicovideo.jp)

    ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力


    これ怖いですね!!


    フレッツ光申込みで工事費割引+月額無料期間あり!

    更に≪最大60,000円キャッシュバックキャンペーン中!≫申込全員対象


    <このニュースへのネットの反応>

    【ランサムウェアが見せつけたWindowsの脆弱性「Zerologon」の威力】の続きを読む


    8月3日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

    Facebookチャットを乗っ取れる脆弱性

    Facebookは、「WordPress」のプラグイン「The Official Facebook Chat Plugin」に関する脆弱性情報を公開した。

    「The Official Facebook Chat Plugin」は、コンテンツマネジメントシステム上でメッセージを送受信するためのソフトウェア。この脆弱性は購読者以上の権限を持っていれば悪用が可能で、Facebook Messengerアカウントへ接続して所有者になりすませる。チャット乗っ取りや情報窃取などの悪用があるため影響は大きい。脆弱性6月26日に発見後、現在は脆弱性を修正したバージョンを公開している。
    ○トレンドマイクロウイルスバスター クラウドに2つの脆弱性

    トレンドマイクロ8月6日セキュリティソフトウェア「ウイルスバスター クラウドWindows版)」に脆弱性があることを明らかにした。対象のバージョンは以下の通り。

    ウイルスバスター クラウド バージョン16
    ウイルスバスター クラウド バージョン15

    脆弱性は2つ存在。1つはドライバの境界外読み込みで、特定のドライバが無効なアドレス上でシステムコールを行うことによって、システムクラッシュするというもの。もう1つはインストーラーのDLL読み込みで、特定のフォルダに配置したDLLファイルから任意のコード実行の可能性がある。

    すでに対策バージョンが提供済みなので、対象バージョンユーザーは早急にアップデートすること。7月16日現在、これら脆弱性を利用した攻撃は確認されていない。
    ○三越伊勢丹オンラインストアにパスワードリスト攻撃

    三越伊勢丹8月7日、同社が運営するWebサイト「三越伊勢丹オンラインストア」とエムアイカードのホームページが不正アクセスを受けたことを明らかにした。

    不正アクセスは、他社のサービスから流出したユーザーIDとパスワードを用いたパスワードリスト攻撃によるもの。不正アクセスは海外のIPアドレスから発生し、一部は不正ログインの上、会員情報を閲覧された可能性があるという。

    三越伊勢丹オンラインストアにおける不正ログイン件数は15,336件。7月6日8月3日の期間に、氏名、住所、電話番号、メールアドレス、生年月日などが閲覧された。クレジットカード情報については、有効期限とカード番号下4桁のみ。

    エムアイカード ホームページでの流出件数は3,583件。7月6日8月3日の期間に、会員氏名、請求予定額、現在の保有ポイントなどが流出している。

    同社では不正ログインを受けた可能性のあるユーザーに対し、8月5日付けで個別にメールで連絡。パスワードを変更するよう依頼している。加えて、他社サービスと同じパスワードを設定している場合は、パスワードを変更するよう呼びかけている。

    また、三越伊勢丹としてのセキュリティ対策は、不正ログインを行っていたIPアドレスからのアクセスを遮断。合わせてセキュリティ機器の新規導入などを実施した。
    リフォーム評価ナビでメールアカウントの不正利用

    住宅のリフォームに関する情報サイト「リフォーム評価ナビ」において、同社の電子メールアカウントの1つが第三者から不正アクセスを受け、大量のメール送信が行われた。

    事実が発生したのは、2020年7月30日0時ごろから同日5時26分ごろ。メールアドレス(reform@refonavi.or.jp)が不正アクセスを受け、このアドレスから大量の迷惑メールが送信された。調査によると、直接的な原因などは特定できず、アカウントパスワードが類推しやすいものだったことからハッキングされたものと思われるとしている。

    現在は不正利用対策を施し、メールアドレスセキュリティを強化。なりすましメールの送信などは行われていない。
    SKYSEA Client Viewに権限昇格の脆弱性

    Sky8月3日、同社のIT資産管理ツールSKYSEA Client View」に脆弱性があることを明らかにした。対象のバージョンは「SKYSEA Client View Ver.12.200.12n~15.210.05f」。

    脆弱性は権限の昇格で、システム権限で任意のコードを実行される可能性がある。対象のプログラムは、マスターサーバー(グローバルマスターサーバー、セカンダリサーバーを含む)、管理機、端末機、スタンドアロン端末機で、いずれもWindowsが対象。

    対策として、修正モジュールを保守契約ユーザーWebサイトにて公開。悪用の実績は未確認だが、ユーザーは早急にアップデートのこと。
    (リアクション)

    画像提供:マイナビニュース


    (出典 news.nicovideo.jp)

    先週のサイバー事件簿 - Facebookのチャットが乗っ取られる!?

    これ怖いですね!!

    皆さんも気をつけてくださいね!!





    <このニュースへのネットの反応>

    【先週のサイバー事件簿 - Facebookのチャットが乗っ取られる!?】の続きを読む


    『ガーミン』についてまとめてみた



    ガーミンを使ってる人が言ってたのでまとめてみました。

    サイバー攻撃って本当に怖いですね!!

    ガーミンつけてるランナーの人本当に多いですよね!!

    可哀想ですね!!


      【『ガーミン』についてまとめてみた】の続きを読む


    ソフトバンクグループのBBソフトサービス株式会社(本社:東京都中央区、代表取締役社長 兼 CEO 瀧 進太郎、以下「BBソフトサービス」)は、2020年6月度のインターネット詐欺リポートを発表します。
    https://www.onlinesecurity.jp/reports/2020/202007.html

    2020年6月度のインターネット詐欺リポートでは、金融機関を装ったSMSショートメッセージサービス)から誘導されるサイト上で、不正アプリケーションダウンロードさせ、情報を詐取するフィッシング詐欺の増加について取り上げます。

    詐欺ウォールで調査として収集している不正アプリケーションダウンロードさせるフィッシングサイト数は、4月の0件から5月に10件に増加、さらに6月は397件と前月比3,970%まで増加しています。2カ月連続でフィッシングサイト件数が増加しており、今後も増加傾向となる可能性が高く継続して注意が必要です。
    27ad4bee8
     

    主な手口は、金融機関を装った偽のSMSからフィッシングサイトに誘導され、Android端末からアクセスした場合は、不正アプリダウンロードするように案内、iOS端末からアクセスした場合はログインIDやパスワードなどの認証情報を詐取されます。また、不正アプリインストールした場合、ユーザー携帯電話番号を利用しSMSが送信されてしまう他、盗まれた携帯電話番号などの情報により通信事業者のキャリア決済が利用されてしまう可能性があります。


    03e3e925
    4952b4b8e





















    図1:Android端末で不正アプリケーションダウンロードさせるフィッシング詐欺にアクセスした場合に表示されるポップアップ内容

    図2:Android端末で不正アプリケーションダウンロード前に表示されるダウンロード確認画面


    フィッシング詐欺 手口紹介動画

    また、金融機関のみでなく同様の手口で宅配業者を装うフィッシング詐欺も発生しており併せて注意が必要です。

    ※参考記事:2020年3月31日 配信
    インターネット詐欺リポート(2020年2月度)運送会社をかたるフィッシング詐欺が前月比281%まで増加」
    https://www.onlinesecurity.jp/reports/2020/202003.html

    フィッシング詐欺被害防止のためのチェックポイント


    1.情報元不明のアプリインストールは許可しない
    Androidの「設定」アプリ以下にある「セキュリティー」から、情報元不明のアプリインストールは許可しないよう設定を変更する。


    2.メールSMSで案内されたURLが正規URLかを確認する
    メールSMSメッセージ上のリンクはクリックせず、事前に登録しておいたブックマークから正規サイトへアクセスする。

    3.SSL通信が提供されているかどうかをチェックする
    個人情報メールアドレスクレジットカード番号など)を入力するページのアドレスバーに鍵マークが表示されない場合には、注意が必要です。

    SMSからのネット詐欺被害が急増しています!
    9b7d444a9
     

    iPhone向けSMS詐欺対策アプリSMS詐欺ブロッカー by 詐欺ウォール』をぜひご利用ください!
    2020年11月30日まで無料でご利用いただけます。
    製品ページURLhttps://www.sagiwall.jp/smsb/

    ■「詐欺ウォール(R) / Internet SagiWall™」について
    日本人を標的とするネット詐欺サイトをブロックする、ネット詐欺専用セキュリティソフトです。ウェブブラウザでサイト閲覧中の不用意に悪意のあるサイトにアクセスした場合でも、コンテンツリアルタイムで検査し自動的にブロックします。ウイルス対策ソフトでは検知が難しい巧妙な詐欺サイトであっても独自のAI検知技術で高い精度で検出するため、ウイルス対策と併用することでユーザーの安全を高めます。パソコンスマートフォンの利用に慣れていない方でも、簡単に利用でき、サイバー犯罪被害を未然に防ぐことができます。

    ※詐欺ウォール(R)は、iOSmac OSWindows(R)、Android™版を提供しています。
    詐欺ウォール(R) / Internet SagiWall
    製品情報サイトURLhttps://www.sagiwall.jp/

    ■「SMS詐欺ブロッカー by 詐欺ウォール(R)」について
    BBSSのネット詐欺専用セキュリティソフト「詐欺ウォール(R) / Internet SagiWall™」で培った技術を応用し、iPhoneの「メッセージアプリに届くSMS/MMSメッセージを複合的に解析し、詐欺の危険性を自動的に判断するアプリケーションです。危険な可能性のある場合は不用意に開いたりしないよう、「メッセージアプリ内の「迷惑メッセージ」タブに振り分け隔離します。この「SMS詐欺ブロッカー」をネット詐欺専用セキュリティソフト「詐欺ウォール(R)」と併用いただくことで、一般消費者のネット詐欺対策をより万全できると考えております。


    SMS詐欺ブロッカー by 詐欺ウォール(R)
    アプリダウンロードURLhttps://apps.apple.com/jp/app/id1456223419

    ■BBソフトサービス株式会社について
    ソフトバンクグループにおいて、セキュリティー製品を主軸とするソフトウェアサービスを、ISP携帯電話会社などの通信事業者を通じて提供しています。サービス提供のみならず、フィッシング対策協議会やその他の社外団体を通じた情報セキュリティーに関する啓発活動にも積極的に取り組んでいます。一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境を全てのユーザーに提供することで社会貢献を果たしてまいります。

    <会社概要>
    社名: BBソフトサービス株式会社
    所在地: 東京都中央区銀座6-18-2 野村不動産銀座ビル14階
    社長: 代表取締役社長 兼 CEO 瀧 進太郎
    設立日: 2006年1月17日
    株主: SB C&S株式会社 100%
    事業内容: ブロードバンドを利用したコンシューマー・SOHO用アプリケーションサービス、およびオリジナルアプリケーションサービスの企画・開発・販売・運営
    URLhttps://www.bbss.co.jp/home.html






    配信元企業:BBソフトサービス株式会社

    企業プレスリリース詳細へ

    PR TIMESトップへ



    (出典 news.nicovideo.jp)

    不正アプリケーションをダウンロードさせるフィッシング詐欺が増加





    <このニュースへのネットの反応>

    【不正アプリケーションをダウンロードさせるフィッシング詐欺が増加】の続きを読む


    7月20日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。

    マルウェアEmotet」の配布活動再開の懸念

    2019年に猛威を振るったマルウェアEmotet」の活動が再び活発化しているようだ。感染を広げるメールが出回っており、JPCERT/CCなどが注意を呼びかけている。

    Emotetは、2019年10月ごろに日本国内で感染事例が多発。感染端末から情報を窃取するだけでなく、窃取した情報を用いてスパムメールを送信する凶悪なマルウェアだ。2020年2月以降は感染行動は観測されていなかったが、7月になって活動を再開している。

    今回の感染行動は、以前と同じく、メールに記載のリンク、もしくは添付ファイルを媒介。リンクをクリックしてダウンロードしたファイルや添付ファイルを実行すると、マクロの有効化を促し、指示に従うとEmoteに感染するといった流れだ。

    今回の活動の多くはアメリカイギリスで確認。いずれ日本にも活動の波が来ることは予想できるので、メール本文のリンクと添付ファイルにはくれぐれも警戒すること。
    バーコードリーダーアプリを偽装した詐欺アプリ

    トレンドマイクロセキュリティブログによると、Google Play上で不審なバーコードリーダーアプリが確認された。トレンドマイクロが確認した時点で100万回以上ダウンロードされており、多くのAndroidスマートフォンに存在する可能性がある。

    このアプリは、バーコードリーダーアプリに偽装しているが、バーコードリーダー機能はきちんと動作。しかし、バックグラウンドでタイマーを動作させ、15分ごとに広告を表示し、広告ページはすぐに閉じられる。ユーザーからは画面が「点滅」しているような状態になり、かなり不快。

    一連の動きは、ユーザースマートフォンを使用していない場合でも発生する。さらに、タスク一覧ではインストール済みの別アプリの名前とアイコンを表示するなど、アンインストールに対する策も講じている。

    以前は、バーコードQRコードなどを読み取るのにアプリインストール必要があったものの、最近は標準カメラアプリの機能として実装済みの場合も多い。バーコードリーダーに限ったことではないが、アプリインストールするときは事前にしっかりと内容や評判を確認することだ。
    ○BTCBOXを騙るフィッシングメール

    7月22日の時点で、仮想通貨銀行「BTCBOX」を騙るフィッシングメールが出回っている。メールの件名は以下の通り。

    BTCBOX緊急問題

    メールでは、アカウントに異常ログインがあったことを記載。安全認証と称して記載のURLクリックさせようとする。クリックするとIDやパスワードを入力する画面に飛ぶが、これはフィッシングサイトなので注意すること。

    7月22日の時点でフィッシングサイトは稼働中。類似のフィッシングサイト公開の可能性もあるので警戒すること。
    メロンブックスイベント主催者の個人情報が流出

    メロンブックス7月20日、同社が展開する「エアイベント事業」において、イベント主催者の個人情報が一部に流出したことを明らかにした。

    流出の経緯だが、2020年7月14日にエアイベント事業担当者とイベント主催者が詳細情報のやり取りとしたときに発生。その詳細情報のなかに、管理していた別のイベント主催者の個人情報が含まれていた。調査の結果、計29件のイベント主催者の情報が、7件の別のイベント主催者に漏洩していた。

    流出の原因は、イベント主催者の個人情報を記録しているデータベースと、開催が決定した際に記入するデータシートを同一のファイルにしていたため。このデータシートは、業務に関わる複数人の担当者が任意に閲覧・編集できる状態だったという。個人情報を記載しているデータ部分は、一部担当者の誤操作によって非表示状態となっており、個人情報がないように見えていた。

    すでに対策は完了とのこと。2020年7月14日の段階で原因となったデータから個人情報を削除し、当該個人情報は管理者のみがアクセスできる場所に保管するよう変更した。これにより、今後は個人情報が流出することはないとしている。
    Adobe、複数の製品に存在する深刻な脆弱性へのアップデート

    アドビ7月21日、同社製品の脆弱性を解消するアップデートを公開した。対応ソフトバージョンは以下の通り。

    Adobe Bridge 10.0.3以前のバージョンWindows
    Photoshop CC 2019 20.0.9、およびそれ以前(Windows
    Photoshop 2020 21.2以前(Windows
    Adobe Prelude 9.0以前(Windows
    Adobe Reader Mobile 20.0.1以前(Android

    脆弱性は、範囲外の読み取り・書き込みで、悪用によって任意のコードが実行される可能性がある。Adobe Reader Mobileは、ディレクトリトラバーサルにより情報開示の可能性がある。

    公開時点では、いずれの脆弱性も悪用は確認されていない。脆弱性レーティングが「クリティカル」「重要」と高いので、早急にアップデートすること。
    WordPressプラグインクロスサイトリクエストフォージェリの脆弱性

    7月22日の時点で、オープンソースの「WordPress」用プラグイン「Social Sharing Plugin」に脆弱性を確認している。対象のバージョンは以下の通り。

    Social Sharing Plugin 1.2.10 より前のバージョン

    脆弱性は、クロスサイトリクエストフォージェリ。ログインした状態の管理者権限を持つユーザーが、攻撃者の細工したページにアクセスすると、意図しない操作をする可能性がある。すでに対策バージョンが公開済み。
    (リアクション)
    98c15
     

    画像提供:マイナビニュース


    (出典 news.nicovideo.jp)

    先週のサイバー事件簿 - 沈静化していたマルウェア「Emotet」が活発化


    これまたまた話題になりますね!!

    私の近くでも感染メール来てましたね!!

    怖い!!




    “"


    <このニュースへのネットの反応>

    【先週のサイバー事件簿 - 沈静化していたマルウェア「Emotet」が活発化】の続きを読む

    このページのトップヘ