« 2014年3月 | トップページ | 2014年5月 »

2014年4月

Internet Explorer の脆弱性(CVE-2014-1776)を悪用したパッチ未公開のゼロデイ攻撃を確認

Internet Explorer の脆弱性(CVE-2014-1776)を悪用したパッチ未公開のゼロデイ攻撃を確認

概要

IPA は、Internet Explorer の脆弱性(CVE-2014-1776)を悪用した攻撃が確認されたとの情報があるため、至急、回避策の実施するようにアナウンスしている。このCVE-2014-1776 の脆弱性を悪用すると、アプリケーションプログラムの異常終了や攻撃者によってパソコンを制御される可能性があるとのこと。

CVE-2014-1776の脆弱性のパッチは提供されておらず、いまのところ回避策を実施するしかない。基本的には、パッチが提供されるまでは Internet Explorer は使用しない方がよさそう。

2014/5/2、Microsoft から本脆弱性(CVE-2014-1776)を修正する MS14-021 Internet Explorer 用のセキュリティ更新プログラム (2965111) が公開されました。特例として、Embedded 含む Windows XP の Internet Explorer 用セキュリティ更新プログラムも公開されたようです。 自動更新を有効にしていれば自動配信されるようです。

攻撃分析

Internet Explorer 0-day CVE 2014-1776 exploit の分析記事


影響を受けるソフトウェア

  • Internet Explorer 6
  • Internet Explorer 7
  • Internet Explorer 8
  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11

回避策

  • VGX.DLL を無効にする
  • [スタート] メニューをクリックし、[ファイル名を指定して実行] から以下のコマンドを実行する

    "%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll

参考URL

  • Active 0day attack hijacking IE users threatens a quarter of browser market | Ars Technica
  • http://arstechnica.com/security/2014/04/active-0day-attack-hijacking-ie-users-threatens-a-quarter-of-browser-market/

  • Nasty IE Zero-Day Used in Attacks Against Defense, Financial Sectors: FireEye | SecurityWeek.Com
  • http://www.securityweek.com/nasty-ie-zero-day-used-attacks-against-defense-financial-sectors-fireeye

    CVE-2014-1776 IE Zero-Day 攻撃(The campaign “Operation Clandestine Fox“)に関する FireEye のレポート

    • 米国の防衛、金融セクターの企業がターゲット
    • IE9~IE11 を狙った攻撃
    • 報告書(レポート)の偽リンクを使った標的型メール
    • Javascript, SWF が攻撃のトリガーとなっていた
    • 攻撃に Adobe Flash を利用しているため、IE の Flash プラグインを無効にすると良い

千葉大学、学生名簿や成績情報など約4万7千人分の個人情報が流出

千葉大学、学生名簿や成績情報など約4万7千人分の個人情報が流出

2014年4月23日、千葉大学は同学の教授が、学生等に関する個人情報が含まれている ネットワーク対応型ハードディスクを自宅に持ち帰り使用したことで、 検索サイトからハードディスク内の学生名簿や成績などの個人情報が閲覧可能な状態になっていたと発表した。


ハードディスクの設定変更、検索サイトへの当該情報の削除依頼を行い、現在は検索サイトから閲覧できないようになっているという。


個人情報の流出について | 2014年度 | トピックス・イベント情報 | 国立大学法人 千葉大学
http://www.chiba-u.ac.jp/others/topics/article2014/20140423.html

4万7千人分の情報流出 成績などネットで閲覧可能に 千葉大 | ちばとぴ ちばの耳より情報満載 千葉日報ウェブ
http://www.chibanippo.co.jp/news/national/190164

パナソニックの会員サービス「CLUB Panasonic」、不正アクセスにより情報漏えい

パナソニックの会員サービス「CLUB Panasonic」、不正アクセスにより情報漏えい

「CLUB Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い

パナソニックによると、同社の会員向けウェブサービスト「CLUB Panasonic(クラブ パナソニックhttp://club.panasonic.jp/)」に外部からの不正ログインがあり、一部の個人情報を不正に閲覧された可能性があると発表しました。

460万件を超える不正ログインの試行により、78,361件のアカウントが不正ログインされた可能性がある。不正なログインの試行に使われたアカウントには、同サービスで使われていないものが多数含まれていることから、他社サービスから流出したアカウント情報が使われている可能性があるという。
個人情報を不正に閲覧された可能性があるアカウントは、一時的にログインできないようにして、パスワード変更のお願いをメールしたとのこと。
パスワード変更のお願いのメールは、以下の通り。本件に便乗したフィッシングなどに引っかからないように気をつける必要がある。

また、本件に該当するユーザーは、他のサービスでパスワードが漏れている可能性あるのでCLUB Panasonic 以外のサービスについてもパスワードを見直す必要がある。

件名:【重要:CLUB Panasonic】不正ログイン発生のご報告とパスワード変更のお願い  
  配信元アドレス:club-info@panasonic.jp または mailmag@mobile.club.panasonic.jp

上記アドレスから配信いたしましたので、メールをご確認ください。

本文:

平素はCLUB Panasonicをご愛顧いただき、ありがとうございます。

この度、第三者があらかじめ別サイト等から入手したIDとパスワードの
セットリストを用いたと思われる、CLUB Panasonicへの不正ログインの
被害が発生したことが確認されました。
...

関連記事

Active! Mail ユーザを狙ったフィッシングメールが多発、国立感染症研究所も被害!

Active! Mail ユーザを狙ったフィッシングメールが多発

概要

Actvie! Mail は、株式会社トランスウェア社が開発提供している商用のウェブメールサービスです。 教職員、学生向けのメールサービスとして特に大学に多くに導入されています。 この Actvie! Mail のユーザを狙ったフィッシングメールが多発しているようです。 フィッシングメールの内容は、セキュリティ違反のため 24 時間以内にアカウントをブロックすると警告して、アカウントの停止を解除する偽ウェブサイト(フィッシングサイト)に誘導するもの。この偽ウェブサイト(フィッシングサイト)で、ユーザ名やパスワードを入力させて情報を盗み取るというものでした。その他、不審なログインを検出したので確認するように促してフィッシングサイトに誘導するなどのパターンもあるようです。

また、4月18には、国立感染症研究所の職員が Active! Mail 管理者を装ったフィッシングメールに騙されてユーザやパスワードなどの認証情報を盗み取られた、この認証情報を使って同研究所のウェブサーバに不正アクセスされ約2000件の迷惑メールを送信される被害にあったと 発表しています。

関連リンク

Google Docs ユーザーを狙ったフィッシングメールに注意

Google Docs ユーザーを狙ったフィッシングメールに注意

概要

巧妙なフィッシング詐欺の標的になった Google Docs ユーザー|Symantec (2014/3/14)

シマンテックによると、Google Docs ユーザーを狙ったフィッシングが発生しているそうす。 確認されているフィッシングメールの件名は「Documents」となっており、本文中の URL リンクをクリックすると、偽装された Google ログインページが表示される。騙されてログイン情報を入力すると、情報が盗まれてしまうというもの。

URL リンクをクリックする前に、必ず実際のリンク先がどこになっているかを確認する必要があります。実際のリンク先は、メールの表示方式を「HTML」から「TEXT」表示に変更することで容易に確認することが出来ます。

関連リンク

これはだまされそう……Google Docsユーザー狙うフィッシング詐欺にご用心 - ねとらぼ


「DNSキャッシュポイズニング」攻撃の危険性増加に伴う DNS サーバーの設定再確認の呼びかけ

「DNSキャッシュポイズニング」攻撃の危険性増加に伴う DNS サーバーの設定再確認の呼びかけ

日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えられるキャッシュDNSサーバーへのアクセスが増加しているとの報告が JPRS にあったようです。
DNSキャッシュポインズニングとは、キャッシュDNSサーバに偽の応答を外部から注入することで利用者のアクセスを偽サイトに誘導し、フィッシングや電子メールの盗難などを図る攻撃手法の一つです。2008年7月に発表された「カミンスキー型攻撃手法(http://www.atmarkit.co.jp/ait/articles/0809/18/news152.html)」を使うことで、キャッシュポイズニング攻撃の成功率を高めることができるため、攻撃に対する危険性が高くなっている。

また、最近騒ぎになっている OpenSSL Heartbleed bug で取得したサーバ証明書の秘密鍵を使ってフィッシングサイトを作成。作成したフィッシングサイトにDNSキャッシュポインズニング攻撃で誘導するなどの攻撃が発生することも考えられる。この場合、フィッシングサイトに誘導されたユーザーが、偽サイトであることに気づくことはかなり難しい。

さらに、4/15 新たなDNSキャッシュポイズニングの手法も公開されている。

インターノット崩壊論者の独り言 - 開いたパンドラの箱 - 長年放置されてきた DNS の恐るべき欠陥が明らかに
http://www.e-ontap.com/blog/20140415.html

キャッシュポイズニングの開いたパンドラの箱
http://www.e-ontap.com/dns/endofdns.html

DNS/毒盛 - moin.qmail.jp
https://moin.qmail.jp/DNS/%E6%AF%92%E7%9B%9B

委任インジェクション攻撃 (Müeller手法の適用範囲拡大)

事前に NS のキャッシュがないか容易に上書きでき、本物の応答に邪魔されないノードが危険である

移転インジェクション攻撃: RFC2181 5.4.1 "Ranking data" の欠陥

委譲元から得た最低ランクの NS キャッシュを、偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、そのゾーンを自由にできる。

上位DNSからの正規の回答が優先されるべきなのに、RFC2181では 下位DNSの回答が優先される仕様になっている。このため、毒入れしたい偽の回答が優先されてしまうとのこと。


DNS の仕組みや具体的な設定を知りたい方は JPRS が出している「実践DNS DNSSEC時代のDNSの設定と運用」を読んでみると良いと思います。 

【楽天ブックスならいつでも送料無料】実践DNS [ 民田雅人 ]

対策方法

DNSキャッシュポイズニングの対策として、DNSサーバのソースポートランダマイゼーションを有効にする方法がある。根本的な対策ではないが、この方法により攻撃の成功確率を約1/65,000程度に下げることができる。

また、対策はオープンではない DNS キャッシュサーバ(特定IPアドレスからのみ許可など)であっても、マルウェアや内部犯行者によって攻撃される恐れがあるため、ソースランダマイゼーションの対策を実施しておいた方が良い。

ソースポートランダマイゼーション設定の確認方法

ソースポートランダマイゼーション設定の有効になっているのか確認する方法

porttest.dns-oarc.net -- Check your resolver's source port behavior
https://www.dns-oarc.net/oarc/services/porttest

Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy

上記サイトの「Test My DNS」をクリックすると、診断結果を表示してくれる。結果が「GREATE」であれば、 ソースポートランダマイゼーションが有効であると判断できる。「POOR」や「GOOD」の場合、対策が不十分な可能性があるため、DNSサーバの設定等を見直す必要がある。

以下のように、dig や nslookup コマンドでも確認することが可能となっている。

> nslookup -querytype=TXT -timeout=10 porttest.dns-oarc.net.

関連情報

JPRS、DNSサーバの設定再確認を緊急呼びかけ……「カミンスキー・アタック」が増加 | RBB TODAY

手を変え品を変えて続くDNSキャッシュ「汚染」攻撃 - ITmedia エンタープライズ

SANSはまず第一に、管理下のDNSサーバのキャッシュ情報が汚染されていないか、またシステムがスパイウェアに感染していないかどうかを確認するよう推奨している。

(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)

キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning

DNSキャッシュポイズニングの脆弱性に関する注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html



毛髪クリニックリーブ21 公式WEBサイトが不正アクセスにより改ざん

毛髪クリニックリーブ21 公式WEBサイトが不正アクセスにより改ざん

2014年4月15日、毛髪クリニックリーブ21は、同社WEBサイトが不正アクセスによって改ざんされたと発表した。現在、被害を受けたサイト(http://www.reve21.co.jp)の公開を停止して、調査を行っている。現在のところ、顧客情報の流出は確認されていないという。

また、被害は確認されていないが、安全確認のため
・毛髪クリニックリーブ21 公式スマートフォンサイト(http://smt.reve21.co.jp/
・リーブ21 悩み無用 社員ブログ(http://blog.reve21.co.jp/
についても公開を一時停止している。
リーブ21のWEBサイト一時閉鎖のお知らせとお詫び

2ch 騒動 - 巨大掲示板「2ch」に何が起きているのか?

2ch 騒動 - 巨大掲示板「2ch」に何が起きているのか?

2ch に何かが起きている模様。2ch 乗っ取り騒動?2ch 閉鎖騒動?資金繰り難航?まとめサイトの連続炎上?サーバーダウン(鯖落ち)?など。
真偽は不明だが、2ch 元管理人のひろゆき(西村博之)氏が立ち上げた新2ch (2ch.sc) が、2ch (2ch.net) に攻撃してサーバーをダウンさせているとの情報もある。とりあえずウォッチしてみる。


2ch 乗っ取り騒動まとめ
http://notes.vanu.jp/post/82669005555/2ch

関係者や経緯などが良くまとまっている


西村博之による「2ch.sc」の公開と同時にアフィブログ群がこの期に及んで「2ch.sc」のステマをする
http://nvmzaq.blog.fc2.com/blog-entry-336.html


1日7万投稿 存在感増す「おーぷん2ちゃんねる」 「2chにあれば面白そうな機能、どんどん追加する実験場」
http://www.itmedia.co.jp/news/articles/1404/14/news068.html


2chを追い出された唇ファラオ一派がdat収集ソフトを配布して大規模ログ漁り画策中
http://www.itmedia.co.jp/news/articles/1404/14/news068.html


2chエンジニア攻撃者IPリストを公開!某大学の名前も?|| ^^ |秒刊SUNDAY
http://www.yukawanet.com/archives/4659295.html


2ちゃん争奪戦ついに「さくらインターネット」が関与を否定!不正なら遮断も
http://www.yukawanet.com/archives/4659148.html



「サーバーを確保しました」 「2ちゃんねる」に何が起きたのか 運営費がひっ迫?
http://www.itmedia.co.jp/news/articles/1402/19/news151.html

導火線になったとみられているのが、「●」こと「2ちゃんねるビューア」で昨年8月に発覚したユーザー情報流出だ。

同ツールを運営するのはN.T.Technology。情報流出の発覚以降、同ツールへのログインや入会は停止している。このため収入源がなくなり、2chサーバ代をまかなえない状態に陥っており、運営費をめぐる内紛が起きた──という見方もある。「●」の販売が停止しているのに「●」ユーザーからは料金の返還を求められ、Jimが窮地に陥っているのではないか、という指摘もある。


Jimの資金難問題 | ブログ運営のためのブログ運営
http://ukdata.blog38.fc2.com/blog-entry-2877.html


Android normal パーミッションでホームアイコンの書き換えが可能な脆弱性

Android normal パーミッションでホームアイコンの書き換えが可能な脆弱性

概要

FireEye のモバイルセキュリティ研究者が、Android の保護レベル「normal」のパーミッションを許可された悪意を持ったアプリ(ウイルスアプリ)は、Androidのホーム画面上のアイコンを走査し、ユーザーに通知することなく、フィッシングサイトや悪意のあるアプリ自体を指すように変更することができる脆弱性があると発表した。
セキュリティリスクが低い「normal」パーミッションでも、アイコンの置き換えなどの悪意ある行為が可能ということで大変危険です。
Google は、この脆弱性を修正パッチをOEMパートナー向けにリリースしています。

Occupy Your Icons Silently on Android | FireEye Blog
http://www.fireeye.com/blog/uncategorized/2014/04/occupy_your_icons_silently_on_android.html

関連 URL

<permission> | Android Developers
http://developer.android.com/guide/topics/manifest/permission-element.html#plevel

SSLサーバ証明書の再発行の手続き方法

SSLサーバ証明書の再発行について

SSLサーバ証明書の再発行の費用

ベリサイン、グローバルサイン、ジオトラストなどの主要なSSLサーバ証明書の認証局は、コモンネーム(SSL暗号化通信を行うサイトのURL)などの内容に変更がなければ無料で再発行してくれる。2014年4月に発生した CVE-2014-0160 OpenSSL Heartbleed bug 対策で再発行する場合は無料です。

SSLサーバ証明書の再発行手順

  1. CSR を作成して、認証局に送付
  2. 新しいSSLサーバ証明書が発行される
  3. WebサーバのSSLサーバ証明書(と秘密鍵)を入れ替える
  4. 古い証明書の失効手続きを行う

CSR送付や失効手続きは、認証局が提供するオンラインポータルサイトで簡単に出来ます。また、新しいサーバ証明書は数時間程度で発行されます。意外と簡単です!!

ベリサイン ナレッジベース - サーバID サポート
証明書を「再発行」できますか
証明書の「失効」手続きについて
証明書の再取得に費用はかかりますか


後でチェックリスト

気になる記事リスト

後でちゃんと読もうと思っている記事をメモしています。いつか。きっと。ちゃんと読むときがくるはず。

Honeypot ハニーポット関連


Heartbleed 関連


マルウェア解析関連


ログ解析関連


その他


無料ウイルスチェック(オンラインサイト)

無料ウイルスチェック(オンラインサイト)

少しでも不審なファイルや怪しいサイトがあったら、まずはオンラインの無料ウイルスチェックサイトでチェックすると何かわかるかも。ただし、アップロードしたファイルが、チェックサイト経由で提携会社(アンチウイルスベンダーや研究機関)に渡ってしまいます。また、チェック結果やチェックしたファイル名や URL も公開されてしまうので注意が必要です。


VirusTotal

  • ファイルをアップロードすると無料でウイルスチェックしてくれるサービス
  • 実行ファイルだけでなくネットワークキャプチャファイル、URL指定でもチェック可能
  • ハッシュ値から解析結果の検索なども可能
  • 2014年現在は Google が提供している

NetworkTotal

  • ネットワークキャプチャを無料でウイルスチェックしてくれるサービス
  • Suricataエンジンと EmergingThreats PRO Rules を使って検出

 

Google Malware Check Tool

  • 指定したURLやドメインの Google セーフブラウジングでの診断結果をレポート

エンジニアのための英語

エンジニアのための英語特集

システムエンジニア向けに書かれた英語の学習記事をまとめてみました。

海外ベンダーのサポートにメールで問い合わせるときや海外パートナー企業と連携してシステム開発するときなどに参考となる英語記事など。

Windows XP サポート終了に関連する情報まとめ

Windows XP サポート終了に関連する情報まとめ

Windows XP のサポートが 014 年 4 月 9 日 (日本時間) をもって終了しました。サポート終了に関連してさまざまな記事が出ています。
Windows XP サポート終了に便乗した商売、引き続き利用するためのカスタムサポート(延長サポート)、当面利用を続けるユーザ向けの対策方法やサービスなど。とりあえず記事をまとめておきます。


サポート終了アナウンス

  • Windows XP、Office 2003サポート終了

Windows XP サポート終了に便乗したセールスなど

  • Windows XP サポート終了に便乗した電話詐欺が発生!?

  • GoogleがWindows XPのサポート終了に合わせて、「Chromebookへの値引き乗り換えキャンペーン」を実施


Windows XP の延長サポート(カスタムサポート)の情報

  • イギリスとオランダ政府が Windows XP の延長サポート契約を締結

契約金は、555万ポンド(約9億6000万円)!?


  • Windows XPのサポートは終わらない……ただし中国のみ(アルファルファモザイク)

  • 米国国税庁も「Windows XP」有料サポートを契約


  • Windows XPのカスタムサポート価格は95%の割引が可能と判明

http://gigazine.net/news/20140417-xp-custom-support-prices/

マイクロソフトが提示した Windows XP のカスタムサポート料金 200万ドル(約2億円)が、2週間後には25万ドル(約2500万円)まで下がった事例があるそうです。ボリュームなどの条件があると思いますが、交渉すれば値引きは可能ということですね。



Windows XP を当面使わなければならないユーザー向けサービスなどの情報

NEC のWindows XP 延命サービス。XPをベースにした Windows Embedded Standard 2009というOSに入れ替えて、移行できない業務アプリケーションを動かす?基本料70万~、1機種あたり35万~。

  • OnePointWall Windox XP 偽装ルール提供開始 - XP ユーザがいないように見せかける

  • Windows XP を使いつづけるユーザーへのアドバイス(あくまで乗り換えまでの対策です)


その他

  • サポート切れのWindows XPでセキュリティアップデートを受ける方法が公開される - GIGAZINE

http://gigazine.net/news/20140527-get-windows-xp-update/

Williams氏が発見した方法は至ってシンプル。まずは、「XP.reg」という名前のテキストファイルを作成します。「XP.reg」を作成したら右クリックから編集を選び、32ビット版XPであれば、下記のテキストをコピーして貼り付けます。テキストを貼り付けたら保存して終了し、アイコンをダブルクリックするだけで完了です。これで、POSReady 2009のセキュリティアップデートをWindows XPで毎月受け取ることができるとのこと。    

Windows Registry Editor Version 5.00    
[HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady]     "Installed"=dword:00000001

  • アルファルファモザイク Windows XPのサポートは終わらない……ただし中国のみ: 4月9日にWindows XPのほか、Office 2003、Internet EXPlorer 6 のサポートが全世界で終了する。... http://t.co/0TiXlCGCcB

ウイルス対策ソフト、メールクライアント、文書編集ソフト(Officeなど)、実行環境(Java、.Net Frameworkなど)などのWindows XP サポート状況についてまとめられています。

  • 法人稼働のWindows XPは、2014年6月末には241万台(6.6%)にまで減少すると予測



  • JR の液晶広告システムは Windows XP ?

お名前.comを騙ったフィッシングメールが発生

お名前.comを騙ったフィッシングメールが発生

お名前.comのサービスを騙りお名前ID、パスワードを盗み取るフィッシングメールが発生しているようです。
文面とタイミングから、CVE-2014-0160 Heartbleed bug の騒ぎに便乗したフィッシングメールではないかと考えられる。

2014.04.10 【重要】お名前.comを騙ったフィッシングメールについて

現在、お名前.comのアカウントが第三者によって盗まれる被害が多発しております。 このため、お名前.comでは、会員様に対してご登録いただきました登録情報を今一度 ご確認いただけるよう、本メールを送付させていただいております。

 

CVE-2014-0160 OpenSSL Heartbleed bug Honeypot

CVE-2014-0160 OpenSSL Heartbleed バグ攻撃を捕捉するハニーポット

CVE-2014-0160 OpenSSL Heartbleed バグ攻撃を捕捉するハニーポットがリリースされました。Heartbleed バグについては、こちらを参照してください。

Heartbleed Honeypot Script ≈ Packet Storm

ハニーポットに OpenSSL Heartbleed バグを攻撃をすると、 攻撃元に対して「Hi there! Your scan has   been logged! Have no fear,  this is for research only --  We're never gonna give you up,  never gonna let you down!」というメッセージを返します。もちろん、メッセージは変更可能です。

hb-honey1

ハニーポット側には攻撃元のIP アドレス(127.0.0.1)が表示されます。

hb-honey2

ハニーポットのカスタマイズ例 :)

関連記事

【楽天ブックスなら送料無料】ハニ-ポット [ ランス・スピッツナ- ]

OpenSSLに重大な脆弱性が発覚 HeartBleed Bug (CVE-2014-0160)

OpenSSLに重大な脆弱性が発覚 HeartBleed Bug (CVE-2014-0160)

概要

OpenSSL の HeartBeat と呼ばれる機能の実装にバグがあり、悪用されるとシステム上にあるメモリのデータ(64KB単位で)が閲覧出来てしまうという。これにより、WebサーバのSSL証明書の秘密鍵やプロセス内の秘密情報などが漏洩する。悪用されても記録が残らないため、被害の調査を行うことは難しい。既に証明書の秘密鍵が漏洩している可能性があるため、グローバルサインなどの認証局は、SSLサーバ証明書の再発行を無償対応している。
この脆弱性の影響を受けるシステムは、OpenSSL のバージョン(1.0.1 ~ OpenSSL 1.0.1f、 1.0.2 bata ~1.0.2-beta1)を利用しているシステムが該当する。
OpenSSL は、Apache や Sendmail、 OpenVPN などの多くのサーバやクライアントソフトウェアに利用されており、影響範囲が非常に大きい。
この問題に対応するためには、既にリリースされている修正済みのバージョン(OpenSSL 1.0.1g)に入れ替える必要がある。※ 1.0.2-bata2 はリリース待ち。


2014年8月より Heartbleed 脆弱性を狙ったパケットが増加してる。また、HeartBleed 脆弱性を持つサイトを調査するウイルスも確認されている。

影響を受けるバージョン

OpenSSL 1.0.1 : 1.0.1a ~ 1.0.1f
OpenSSL 1.0.2-bata :  1.0.2-beta1

対策方法

OpenSSL 1.0.1g にバージョンアップ
OpenSSL 1.0.2-bata2 はリリース待ち
その他、「-DOPENSSL_NO_HEARTBEATS」オプションをつけて再コンパイルし、HeartBeat 機能をオフにする

バージョンアップ方法

rpm パッケージの場合

# rpm update openssl

ubuntu debian パッケージの場合

# apt-get update
# apt-get upgrade openssl

修正済みバージョンにアップデートされたかを確認する方法は
下記の「CVE-2014-0160 が修正されているか確認する方法」を参照してください。

OpenSSL を利用するプログラムなのか確認する方法

パッケージの依存関係情報から調べる方法

RedHat系 Linux rpm の場合

> rpm -qR mod_ssl | grep -i ssl
config(mod_ssl) = 1:2.2.15-29.el6.centos
libssl.so.10 
openssl >= 0.9.7f-4

> rpm -qR sendmail | grep -i ssl
libssl.so.6 openssl

CVE-2014-0160 が修正されているか確認する方法

CVE-2014-0160 を修正済みのパッケージなのかを確認する方法

HeartBleed バグのチェックサイトで調べる方法

詳細は不明ですが、OpenSSL CVE-2014-0160 HeatBleed バグをチェックしてくれるサイトが出来ているようです。どこまでチェックして結果を出しているかは確認出来ていません。


HeartBleed バグのチェックツールで調べる方法

Windows, Linux, MacOSX 用のプログラム(バイナリ)も提供されている。

指定したウェブサイトに CVE-2014-0160 の脆弱性(HeartBleed)があるかチェックしてくれます。

> ./heartbleeder www1.example.jp
INSECURE - www1.example.jp:443 has the heartbeat extension enabled and is vulnerable

> ./heartbleeder www2.example.jp
SECURE - www2.example.jp:443 does not have the heartbeat extension enabled


nmap コマンドで調べる方法

ssl-heartbleed NSE script

> nmap -sV www.example.jp --script=ssl-heartbleed


openssl コマンドで調べる方法

heartbeat (id=15) が表示されなければ、対策済み(heartbeat 機能オフ)と考えてよい。

> openssl s_client -connect www.example.jp:443 -tlsextdebug | grep heartbeat
...
TLS server extension "heartbeat" (id=15), len=1
...

> openssl version -a
OpenSSL 1.0.1 14 Mar 2012
...


Web サーバにアクセスして調べる方法

Apache などのサーバの設定でバージョン情報を公開しない設定になっている場合は、バージョン情報は表示されません。

> telnet www.example.jp 80
GET / HTTP/1.0


HTTP/1.0 200 OK
Date: Tue, 08 Apr 2014 05:44:11 GMT
Server: Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1


パッケージの修正ログ(changelog)から調べる方法

OpenSSL を rpm や deb などのパッケージでインストールしている場合、パッケージバージョンやプログラムが出力するバージョン番号だけでは、修正パッチが適用されているのか判別することが難しい。パッケージには修正履歴を記録したログ(changelog)が含まれているので、このログを見ればどのパッチが適用されているのかを確認することができる。

  • rpm パッケージの場合

# rpm -q --changelog openssl

  • ubuntu debian パッケージの場合

# apt-get changelog openssl

openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium

  * SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
    - debian/patches/CVE-2014-0076.patch: add and use constant time swap in
      crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c,
      util/libeay.num.
    - CVE-2014-0076
  * SECURITY UPDATE: memory disclosure in TLS heartbeat
extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

Heartbleed 攻撃を検知する方法

iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"


CVE-2014-0160 検証コード

CVE-2014-0160 の検証コードが出ています。
試してみるとメモリデータと思われる内容が出力された。
Apache + mod_ssl で試したところ、access_log、error_log に記録は残らなかった。


CVE-2014-0160 Heartbleed bug の事例

Heartbleed を使ったセッションハイジャックやプライベートキー(秘密鍵)の取得成功、情報漏えいなど事故事例など

 
  • JIRA ticket tracking system が稼働しているシステムでのセッションハイジャックの事例
  • ヤフーメール(mail.yahoo.com)でユーザ・パスワードが奪れた事例

    Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! pic.twitter.com/OuF3FM10GP

    — Mark Loman (@markloman) April 8, 2014

  • SSL サーバ証明書の秘密鍵(プライベートキー)の一部が取得できた事例

約250万回、約10万回の試行で秘密鍵の取得に成功(Heartbleed Challenge)

少なくとも 2人成功。1人は約250万回の試行、もう1人は約10万回の試行で成功したようです。サーバの環境は "nginx-1.5.13 linked against OpenSSL 1.0.1.f on Ubuntu 13.10 x86_64" とのこと。

 

警察庁の定点観測システムで Heartbleed 攻撃のパケットを 4/9 以降に多数観測

オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。

OpenVPN からプライベートキーの取得に成功

取得に成功した環境は、Ubuntu 12.04 (VM using KVM) OpenVPN 2.2.1 OpenSSL 1.0.1-4ubuntu5.11

大手カード会社である三菱UFJニコスが、OpenSSL の脆弱性を攻撃されて、同社ウェブサイトが不正アクセスされたと発表した。894人分の個人情報が外部に流出した可能性があるが、現在のところ、クレジットカードの不正利用は確認されていない。悪用された脆弱性は Heartbleed との報道もある。

CVE-2014-0160 ハニーポット

  • CVE-2014-0160 Heartbleed bug 攻撃を捕捉するハニーポット

CVE-2014-0160 OpenSSL HeartBleed bug Honeypot

参考 URL


インターネットバンキングでの不正送金の被害が急増

インターネットバンキングでの不正送金の被害が急増

概要

H26年1月30日、警察庁はH25に発生したインターネットバンキングでの不正送金の被害が、1,315件、約14億600万円と過去最大の被害となったと発表した。

被害にあった口座は個人名義のものがほとんど。不正送金の手法は、コンピュータウイルスにより表示された偽画面にユーザがパスワードなどの口座入力した情報を使い、ATM等で不正送金する手法が多かったという。その他、H25年後半は、フィッシングサイトを利用して口座情報を盗み取る方法も多くなっていたという。

被害にあった機関は、ゆうちょ銀行やみずほ銀行、三菱東京UFJ銀行など30機関を越える。

関連記事

パナソニックの会員サービス「CLUB Panasonic」、不正アクセスにより情報漏えい

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」

インターネットバンキングでの不正送金関連

  • あなたの預金も危ない ネットバンキング自衛術
    ウイルスでパスワード盗み不正送金
  • http://www.nikkei.com/money/features/37.aspx?g=DGXMZO7868466021102014PPD0011

    確実に被害額が補償されるには利用者側に落ち度がなかったことが前提となる。パソコンのソフトの更新をしていなかったりパスワードの管理がずさんだったりしたことを理由に「補償額を減額したケースがある」(大手銀行)。

  • 【セキュリティ ニュース】全銀協、法人の不正送金被害を受け対策や補償を申し合わせ - 補償は原則従来通り:Security NEXT
  • http://www.security-next.com/048901

    預金者保護法の対象とはされていない法人に対する補償に関しては、従来どおりであることを確認。各金融機関が個別に判断するとした。

  • 法人向けネットバンキングに必要な「SSL証明書」と「秘密鍵」、ログイン情報を盗まれて悪用された。
  • — Nikkei BP ITpro (@nikkeibpITpro) April 10, 2014

  • JPモルガンCEOが、サイバー攻撃が危険度を増してきており、防御を突破される恐れもありうると警告している。JPモルガンはサイバーセキュリティーの対策費用として2億5000万ドルを投じるという。

「当日扱い」都度指定方式による不正送金後、送金先の銀行口座からATMで即時んい現金を引き出す事例が発生している。この対応のため、「当日扱い」都度指定方式の振込振替取扱を一時停止すると発表した。

    • 保険契約の多くは、調査、顧客への通知、クレジットカード監視サービス、訴訟の費用、消費者との裁判で発生した損害賠償金などが補償対象
    • 一般賠償責任保険を販売する会社が、サイバー攻撃によって生じた損害を除外する文言を盛り込むケースが増える見通し
    • 以前は「問い合わせが10件あったら売れたのは1.2件だった」のが、今では「10件のうち4.2件」だという

 

 

 

 

 

 


 

 

     

  • パスワード盗むウイルス 約4万台感染 NHKニュース
  •  

    http://www3.nhk.or.jp/news/html/20140414/k10013728261000.html

     

     

    個人口座に関しては、全額補償とまではいかないまでも、銀行側がある程度補償してくれる

    不正送金の被害が起きた場合、利用者側に重大な過失などがないかぎりは、原則として被害補償を行うとしていて、実際に去年4月から12月までの補償率は99.8%

     

    法人口座に関しては、統一した方針はなく、ほとんどの銀行は補償しない方針になっている。

    法人口座から預金を奪われても、銀行の多くは、過失などがないかぎり補償しない方針を示している

     



【楽天ブックスならいつでも送料無料】Q&Aインターネットバンキング [ 岩田合同法律事務所 ]

 


磐田信用金庫がWebサイト改ざんの被害

磐田信用金庫がWebサイト改ざんの被害


磐田信用金庫は、2014年3月22日10:00頃~25日10:00頃の間、磐田信用金庫Webサイトが、不正アクセスにより改ざんされていたことが判明したと発表した。
該当期間中にアクセスしたユーザーは、「セキュリティ設定などの状況によっては、不具合が生じる可能性がございます」という。

要するに該当期間中に磐田信用金庫のWebサイトを閲覧したユーザーは、ウイルス感染などの被害にあった可能性があるということですよね。なんだかわかりずらいお詫び文書になっていますね。

関連URL

当金庫ホームページへの不正アクセスに関するお詫びとご報告 | 磐田信用金庫

足利銀行のインターネットバンキングに不正ログイン

?

足利銀行のインターネットバンキングに不正ログイン

概要

2014年4月4日 9時ごろから足利銀行のインターネットバンキングに対して、同じIPアドレスから7万件を超える不正なログイン試行があり、十数件のアカウントに不正ログインが成功していたことがわかった。
不正ログインされたユーザのアカウントは、利用停止したという。不正送金などは行われていない。

パスワードの使いまわしをしないように呼びかけているみたいですが、パスワードリスト攻撃だったのでしょうか。銀行側で同一IPアドレスからの数万件を超える大量のログイン試行を途中で止めることは出来なかったのでしょうか。足利銀行側のセキュリティ対策も強化してほしいものです。

個人口座のインターネットバンキングの補償について

個人口座のインターネットバンキングの補償については、全銀協によると、捜査当局への被害事実等の事情説明(真摯な協力)を前提に、被害に遭ったお客さまの態様やその状況等を加味して補償(個別対応)することになっています。ネット上の情報を見る限りは、被害額の 70% 程度の補償が多いようです。全額補償されるケースはあるのでしょうか。

インターネット・バンキングに係る補償の対象・要件・基準等について - 全銀協
http://www.zenginkyo.or.jp/news/entryitems/news200219_4.pdf

関連URL


【楽天ブックスならいつでも送料無料】Q&Aインターネットバンキング [ 岩田合同法律事務所 ]

1行で文字列の IP アドレスを数値に変換する方法(Linux bc コマンド)

1行で文字列の IP アドレスを数値に変換する方法(Linux bcコマンド)

キーワード: Linux, Ubuntu, CentOS, RedHat, bc, IPアドレス, アドレス計算、IPアドレス相互計算

スポンサーリンク

概要

Linux の bc コマンドを使って文字列の IP アドレス(10.0.0.1) を 10進数の数値(167772170)に変換する方法を書いてみました。一行で書いたので少し長いです。


$ BIN=`for i in 10 0 0 1; do echo "obase=2; ibase=10; $i" | bc | xargs printf "%08d"; done`; echo "obase=10; ibase=2; $BIN" | bc

167772170


bcコマンドは、2進数、8進数、10進数、16進数の相互変換や数値計算を行うコマンドです。ibase で入力値の基数を、obase に出力値の基数を指定します。これら ibase や obase、変換したい値(または計算式)は標準入力から bc に渡します。

IPアドレスを処理する場合は、10.0.0.1 などの文字列より、167772170 などの数値として取り扱った方が便利なことが多いです。例えば、IPアドレスのソートやレンジ計算、比較などの処理です。また、データベースに格納される IDS やFW のログは、IPアドレスが前述の理由により数値になっていることも多いです。これらのデータを取り出して処理する場合にも便利です。

スポンサーリンク

関連 URL

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」


2015/05/15 に発生した"アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール"の情報は、こちら http://rootdown.cocolog-nifty.com/memo/2015/05/post-9171.html


「ゆうちょ銀行」をかたるフィッシングメールが出回っているようです。
こちらにもフィッシングメールが送られてきましたが、2014年4月1日 22時頃に確認したところ、フィッシングサイトは閉鎖されてアクセス出来なくなってました。
フィッシングサイトが閉鎖される前にアクセスした場合は、偽の「ゆうちょダイレクト」のログイン画面が表示され、ログイン情報を入力すると攻撃者にログイン情報が送られるようになっていたと思われます。
「ゆうちょ銀行」は、セキュアブレインの不正送金対策ソフト PhishWall を導入しているようです。PhishWall をインストールしておくと、ブラウザでフィッシングサイトにアクセスすると警告してくれるそうです。

「ゆうちょ銀行」をかたるフィッシングメールの内容

差出人:direct@japanpost.jp
件名:【重要】ゆうちょ銀行からのお知らせ
日時:Tue, 01 Apr 2014 02:44:48 -0400

お客様各位
ゆうちょダイレクトをご利用頂き有難うございます。
お客様へ口グイン画面リ二ューアルのお知らせです。
下記より口グインしてメッセージを確認して下さい。
<hxxp://www.trombone.net/js/#xxx@gmail.com>https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do
ゆうちょ銀行力スタマーセンター。

となっていました。

DATEヘッダーのタイムゾーンが -0400 AST(大西洋標準時) だからアメリカからでしょうか。
メールソフトによって変わるかもしれませんが、日付は、通常 JST(日本) +0900 となっているはずです。 「ゆうちょ銀行」からのメールの日付が、JST(日本)以外になっているのは不自然なので、注意深いユーザーは何かおかしいと感じることができると思います。

www.trombone.net/js

www.trombone.net の js ファイル(javascriptファイル)は、
2014年4月2日8:00 時点でも存在しています。

hxxp://www.trombone.net/js にアクセスすると
hxxp://count29.51yes.com/id=xxxxxxxxxxx&logo=11 に転送され、
最終的に
hxxp://direct.jp-bank.japanpost.jp-ceny1.com/tp1web/U330102SCR.do
が表示されるようになっていたようです。


関連情報

  • ゆうちょ銀行をかたるフィッシング(2014/04/01) フィッシング対策協議会
  • またまた「ゆうちょ銀行」のログイン画面リニューアルをかたるフィッシング(Impress Watch)
  • ワコールがWeb改ざんの被害

    ワコールがWeb改ざんの被害

    2014年3月31日、ワコールのWebサイトが不正アクセスを受けて改ざんされていたことを発表しました。
    3月28日時点で、ワコールWebサイトを閲覧しようとすると「コンピュータに損害を与える可能性がある」との表示が出て、アクセスできない状況になっていたという。
    3月28日 17時30分、ワコールは、詳細調査を行うために関連サイトをすべて閉鎖しており
    アクセス出来なくなっている。
    調査中のため、不正アクセスを受けた原因や被害内容についての情報は発表されていないが、アクセスしたユーザはウイルス感染の可能性があるという。また、現在のところ、顧客情報の漏えいは確認されていない

    なお、Web サイトの復旧は4月下旬までかかる見込み。

    ウェブサイトの再開予定日が掲載されました。ワコール通販ウェブストアは 4/30、ワコール公式ウェブサイトは 5月初旬と、サイトによって再開予定日が異なる。詳しくは、以下 URL を確認してください。

    【ワコールのWEBサイト改ざんに関するお詫びと再開予定のお知らせ】(2014/04/16更新)
    http://mente.wacoal.jp/sorry_pc.html

    関連URL

    « 2014年3月 | トップページ | 2014年5月 »

    記事一覧

    スポンサードリンク


    Twitter


    無料ブログはココログ

    ブログ検索