Internet Explorer の脆弱性(CVE-2014-1776)を悪用したパッチ未公開のゼロデイ攻撃を確認

Internet Explorer の脆弱性(CVE-2014-1776)を悪用したパッチ未公開のゼロデイ攻撃を確認

概要

IPA は、Internet Explorer の脆弱性(CVE-2014-1776)を悪用した攻撃が確認されたとの情報があるため、至急、回避策の実施するようにアナウンスしている。このCVE-2014-1776 の脆弱性を悪用すると、アプリケーションプログラムの異常終了や攻撃者によってパソコンを制御される可能性があるとのこと。

CVE-2014-1776の脆弱性のパッチは提供されておらず、いまのところ回避策を実施するしかない。基本的には、パッチが提供されるまでは Internet Explorer は使用しない方がよさそう。

2014/5/2、Microsoft から本脆弱性(CVE-2014-1776)を修正する MS14-021 Internet Explorer 用のセキュリティ更新プログラム (2965111) が公開されました。特例として、Embedded 含む Windows XP の Internet Explorer 用セキュリティ更新プログラムも公開されたようです。 自動更新を有効にしていれば自動配信されるようです。

• セキュリティ アドバイザリ (2963983) の脆弱性を解決する MS14-021 (Internet Explorer) を定例外で公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs

  http://blogs.technet.com/b/jpsecurity/archive/2014/05/02/security-update-ms14-021-released-to-address-recent-internet-explorer-vulnerability-2963983.aspx

• マイクロソフト セキュリティ情報 MS14-021 - 緊急

https://technet.microsoft.com/ja-jp/library/security/ms14-021

• Internet Explorer の脆弱性対策について(CVE-2014-1776)：IPA 独立行政法人 情報処理推進機構

http://www.ipa.go.jp/security/ciadr/vul/20140428-ms.html

攻撃分析

Internet Explorer 0-day CVE 2014-1776 exploit の分析記事

• Dig deeper into the IE Vulnerability (CVE-2014-1776) exploit | Cyphort

CVE-2014-1776 exploit の詳細な解析記事

• VRT: Anatomy of an exploit: CVE 2014-1776

• New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks | FireEye Blog

影響を受けるソフトウェア

• Internet Explorer 6
• Internet Explorer 7
• Internet Explorer 8
• Internet Explorer 9
• Internet Explorer 10
• Internet Explorer 11

回避策

• Enhanced Mitigation Experience Toolkit (EMET) 4.1 を使用する

EMET 3.0 では回避出来ないので注意

• VGX.DLL を無効にする

[スタート] メニューをクリックし、[ファイル名を指定して実行] から以下のコマンドを実行する

"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll

参考URL

• IE のゼロデイ脆弱性を悪用してバスケットボール界を狙った「Operation Backdoor Cut」 | Symantec Connect Community

http://www.symantec.com/connect/blogs/ie-operation-backdoor-cut

• 深刻な脆弱性が見つかったInternet Explorer（IE6～11）を巡り全国各地の社内がコントでカオス

http://kabumatome.doorblog.jp/archives/65790944.html

• Active 0day attack hijacking IE users threatens a quarter of browser market | Ars Technica

http://arstechnica.com/security/2014/04/active-0day-attack-hijacking-ie-users-threatens-a-quarter-of-browser-market/

• Nasty IE Zero-Day Used in Attacks Against Defense, Financial Sectors: FireEye | SecurityWeek.Com

http://www.securityweek.com/nasty-ie-zero-day-used-attacks-against-defense-financial-sectors-fireeye

CVE-2014-1776 IE Zero-Day 攻撃(The campaign “Operation Clandestine Fox“)に関する FireEye のレポート

• 米国の防衛、金融セクターの企業がターゲット
• IE9～IE11 を狙った攻撃
• 報告書（レポート）の偽リンクを使った標的型メール
• Javascript, SWF が攻撃のトリガーとなっていた
• 攻撃に Adobe Flash を利用しているため、IE の Flash プラグインを無効にすると良い

• ＩＥ:米当局、ハッカー対策で「別ブラウザー使用を」 - 毎日新聞

http://mainichi.jp/select/news/20140429k0000m040133000c.html

• Microsoft Security Advisory (2963983)

http://technet.microsoft.com/ja-jp/security/advisory/2963983

• セキュリティ アドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」を公開 - 日本のセキュリティチーム - Site Home - TechNet Blogs

http://blogs.technet.com/b/jpsecurity/archive/2014/04/28/2963983-internet-explorer.aspx

• VRT: Internet Explorer & Adobe Flash 0-Day Coverage

http://vrt-blog.snort.org/2014/04/internet-explorer-adobe-flash-0-day.html

千葉大学、学生名簿や成績情報など約４万７千人分の個人情報が流出

千葉大学、学生名簿や成績情報など約４万７千人分の個人情報が流出

２０１４年４月２３日、千葉大学は同学の教授が、学生等に関する個人情報が含まれている ネットワーク対応型ハードディスクを自宅に持ち帰り使用したことで、 検索サイトからハードディスク内の学生名簿や成績などの個人情報が閲覧可能な状態になっていたと発表した。

ハードディスクの設定変更、検索サイトへの当該情報の削除依頼を行い、現在は検索サイトから閲覧できないようになっているという。

個人情報の流出について | 2014年度 | トピックス・イベント情報 | 国立大学法人 千葉大学
http://www.chiba-u.ac.jp/others/topics/article2014/20140423.html

４万７千人分の情報流出　成績などネットで閲覧可能に　千葉大 | ちばとぴ ちばの耳より情報満載 千葉日報ウェブ
http://www.chibanippo.co.jp/news/national/190164

パナソニックの会員サービス「CLUB Panasonic」、不正アクセスにより情報漏えい

パナソニックの会員サービス「CLUB Panasonic」、不正アクセスにより情報漏えい

「CLUB　Panasonic」への不正ログインに関するお知らせとパスワード変更のお願い

パナソニックによると、同社の会員向けウェブサービスト「CLUB　Panasonic（クラブ パナソニックhttp://club.panasonic.jp/）」に外部からの不正ログインがあり、一部の個人情報を不正に閲覧された可能性があると発表しました。

460万件を超える不正ログインの試行により、78,361件のアカウントが不正ログインされた可能性がある。不正なログインの試行に使われたアカウントには、同サービスで使われていないものが多数含まれていることから、他社サービスから流出したアカウント情報が使われている可能性があるという。
個人情報を不正に閲覧された可能性があるアカウントは、一時的にログインできないようにして、パスワード変更のお願いをメールしたとのこと。
パスワード変更のお願いのメールは、以下の通り。本件に便乗したフィッシングなどに引っかからないように気をつける必要がある。

また、本件に該当するユーザーは、他のサービスでパスワードが漏れている可能性あるのでCLUB Panasonic 以外のサービスについてもパスワードを見直す必要がある。

件名：【重要：CLUB Panasonic】不正ログイン発生のご報告とパスワード変更のお願い  
  配信元アドレス：club-info@panasonic.jp　または mailmag@mobile.club.panasonic.jp
上記アドレスから配信いたしましたので、メールをご確認ください。

本文：

平素はCLUB Panasonicをご愛顧いただき、ありがとうございます。

この度、第三者があらかじめ別サイト等から入手したIDとパスワードの
セットリストを用いたと思われる、CLUB Panasonicへの不正ログインの
被害が発生したことが確認されました。
...

関連記事

• パナソニックへ行われた不正ログインをまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20140423/1398250174

• Twitter / piyokango: クラブパナソニックのログインIDは英数字一部記号から6～16 ...

https://twitter.com/piyokango/status/458886755391766528/photo/1

• パナソニックの会員サイトで不正アクセス、顧客情報7.8万件流出か | Reuters

http://jp.reuters.com/article/topNews/idJPTYEA3M05B20140423

• パナソニックのサイトに侵入　約８万人分情報流出か　：日本経済新聞

http://www.nikkei.com/article/DGXNASDG23047_T20C14A4CR8000/

• ソフトバンク、「My SoftBank」で不正アクセス被害 - 724件に影響か | マイナビニュース

http://news.mynavi.jp/news/2014/04/30/278/

• 2014年4月にMy Softbankへ行われた不正ログインをまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/20140430/1398847331

• お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について | ソフトバンク

http://www.softbank.jp/corp/group/sbm/news/info/2014/20140430_01/

Active! Mail ユーザを狙ったフィッシングメールが多発、国立感染症研究所も被害！

Active! Mail ユーザを狙ったフィッシングメールが多発

概要

Actvie! Mail は、株式会社トランスウェア社が開発提供している商用のウェブメールサービスです。 教職員、学生向けのメールサービスとして特に大学に多くに導入されています。 この Actvie! Mail のユーザを狙ったフィッシングメールが多発しているようです。 フィッシングメールの内容は、セキュリティ違反のため 24 時間以内にアカウントをブロックすると警告して、アカウントの停止を解除する偽ウェブサイト（フィッシングサイト）に誘導するもの。この偽ウェブサイト（フィッシングサイト）で、ユーザ名やパスワードを入力させて情報を盗み取るというものでした。その他、不審なログインを検出したので確認するように促してフィッシングサイトに誘導するなどのパターンもあるようです。

また、4月18には、国立感染症研究所の職員が Active! Mail 管理者を装ったフィッシングメールに騙されてユーザやパスワードなどの認証情報を盗み取られた、この認証情報を使って同研究所のウェブサーバに不正アクセスされ約2000件の迷惑メールを送信される被害にあったと 発表しています。

関連リンク

• 公立大学法人岐阜県立看護大学の職員メールへの不正アクセスによる迷惑メールの送信について

http://www.pref.gifu.lg.jp/kensei-unei/kocho-koho/event-calendar/sonota/chiiki-iryo/kandai.data/kandai-fuseiakusesu.pdf

• 国立感染症研究所のメールアカウントの不正利用と迷惑メール送出について

http://www.nih.go.jp/niid/ja/maintenance/4575-incidence140416.html

• 2013/10/01 - 【注意喚起：パターン1】Active! mailの利用ユーザー様を狙ったフィッシング詐欺にご注意ください！ | イベント・ニュース | 株式会社トランスウエア

http://www.transware.co.jp/news/2013/10/01_1400.html

• 2013/11/07 - [注意喚起] Active Mail(YNUメール)利用者を狙ったフィッシング詐欺メールについて - 横浜国立大学 情報基盤センター

http://www.itsc.ynu.ac.jp/news/20131107.html

• 2014/02/05 - 【注意喚起】Active! mailの利用者を狙ったフィッシング詐欺 ［学内向け］ | 弘前大学

http://www.hirosaki-u.ac.jp/news/other/7126/

• 2014/02/08 - 【注意喚起：パターン４】 Active!mailのユーザを狙ったフィッシング詐欺について - 九州産業大学 総合情報基盤センター(CNC)

http://www.cnc.kyusan-u.ac.jp/virus/002578.html

• 2014/03/13 更新 (2013/10/02 初版） - 【再告】「なりすましメール・フィッシングメール」に関する注意喚起｜2013年度のニュース一覧｜同志社大学

https://www.doshisha.ac.jp/news/2014/0313/news-detail-1422.html

• 2014/03/25 - インフォメーション｜愛知大学豊橋情報メディアセンター

http://tcweb.aichi-u.ac.jp/info.html#014

• 2014/04/09 - お知らせ-岩手大学情報基盤センター

http://www.iwate-u.ac.jp/isic/news/2014/news-002.html

• 2014/04/16 更新 - お知らせ 北海道大学情報環境推進本部情報推進課　IT推進グループ

http://www.hines.hokudai.ac.jp/information/

Google Docs ユーザーを狙ったフィッシングメールに注意

Google Docs ユーザーを狙ったフィッシングメールに注意

概要

巧妙なフィッシング詐欺の標的になった Google Docs ユーザー|Symantec (2014/3/14)

シマンテックによると、Google Docs ユーザーを狙ったフィッシングが発生しているそうす。 確認されているフィッシングメールの件名は「Documents」となっており、本文中の URL リンクをクリックすると、偽装された Google ログインページが表示される。騙されてログイン情報を入力すると、情報が盗まれてしまうというもの。

URL リンクをクリックする前に、必ず実際のリンク先がどこになっているかを確認する必要があります。実際のリンク先は、メールの表示方式を「HTML」から「TEXT」表示に変更することで容易に確認することが出来ます。

関連リンク

これはだまされそう……Google Docsユーザー狙うフィッシング詐欺にご用心 - ねとらぼ

「DNSキャッシュポイズニング」攻撃の危険性増加に伴う DNS サーバーの設定再確認の呼びかけ

「DNSキャッシュポイズニング」攻撃の危険性増加に伴う DNS サーバーの設定再確認の呼びかけ

日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えられるキャッシュDNSサーバーへのアクセスが増加しているとの報告が JPRS にあったようです。
DNSキャッシュポインズニングとは、キャッシュDNSサーバに偽の応答を外部から注入することで利用者のアクセスを偽サイトに誘導し、フィッシングや電子メールの盗難などを図る攻撃手法の一つです。2008年7月に発表された「カミンスキー型攻撃手法(http://www.atmarkit.co.jp/ait/articles/0809/18/news152.html)」を使うことで、キャッシュポイズニング攻撃の成功率を高めることができるため、攻撃に対する危険性が高くなっている。

また、最近騒ぎになっている OpenSSL Heartbleed bug で取得したサーバ証明書の秘密鍵を使ってフィッシングサイトを作成。作成したフィッシングサイトにＤＮＳキャッシュポインズニング攻撃で誘導するなどの攻撃が発生することも考えられる。この場合、フィッシングサイトに誘導されたユーザーが、偽サイトであることに気づくことはかなり難しい。

さらに、4/15 新たなDNSキャッシュポイズニングの手法も公開されている。

インターノット崩壊論者の独り言 - 開いたパンドラの箱 - 長年放置されてきた DNS の恐るべき欠陥が明らかに
http://www.e-ontap.com/blog/20140415.html

キャッシュポイズニングの開いたパンドラの箱
http://www.e-ontap.com/dns/endofdns.html

DNS/毒盛 - moin.qmail.jp
https://moin.qmail.jp/DNS/%E6%AF%92%E7%9B%9B

委任インジェクション攻撃 (Müeller手法の適用範囲拡大)

事前に NS のキャッシュがないか容易に上書きでき、本物の応答に邪魔されないノードが危険である

移転インジェクション攻撃: RFC2181 5.4.1 "Ranking data" の欠陥

委譲元から得た最低ランクの NS キャッシュを、偽権威の Answer に付随する Authority Section の NS で上書きして毒入れすることができ、そのゾーンを自由にできる。

上位DNSからの正規の回答が優先されるべきなのに、RFC2181では 下位DNSの回答が優先される仕様になっている。このため、毒入れしたい偽の回答が優先されてしまうとのこと。

DNS の仕組みや具体的な設定を知りたい方は JPRS が出している「実践DNS DNSSEC時代のDNSの設定と運用」を読んでみると良いと思います。 

【楽天ブックスならいつでも送料無料】実践DNS [ 民田雅人 ]

対策方法

DNSキャッシュポイズニングの対策として、DNSサーバのソースポートランダマイゼーションを有効にする方法がある。根本的な対策ではないが、この方法により攻撃の成功確率を約1/65,000程度に下げることができる。

また、対策はオープンではない DNS キャッシュサーバ（特定IPアドレスからのみ許可など）であっても、マルウェアや内部犯行者によって攻撃される恐れがあるため、ソースランダマイゼーションの対策を実施しておいた方が良い。

ソースポートランダマイゼーション設定の確認方法

ソースポートランダマイゼーション設定の有効になっているのか確認する方法

porttest.dns-oarc.net -- Check your resolver's source port behavior
https://www.dns-oarc.net/oarc/services/porttest

Web-based DNS Randomness Test | DNS-OARC
https://www.dns-oarc.net/oarc/services/dnsentropy

上記サイトの「Test My DNS」をクリックすると、診断結果を表示してくれる。結果が「GREATE」であれば、 ソースポートランダマイゼーションが有効であると判断できる。「POOR」や「GOOD」の場合、対策が不十分な可能性があるため、DNSサーバの設定等を見直す必要がある。

以下のように、dig や nslookup コマンドでも確認することが可能となっている。

> nslookup -querytype=TXT -timeout=10 porttest.dns-oarc.net.

関連情報

JPRS、DNSサーバの設定再確認を緊急呼びかけ……「カミンスキー・アタック」が増加 | RBB TODAY

手を変え品を変えて続くDNSキャッシュ「汚染」攻撃 - ITmedia エンタープライズ

SANSはまず第一に、管理下のDNSサーバのキャッシュ情報が汚染されていないか、またシステムがスパイウェアに感染していないかどうかを確認するよう推奨している。

（緊急）キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について（2014年4月15日公開）

キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning

DNSキャッシュポイズニングの脆弱性に関する注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

【楽天ブックスならいつでも送料無料】実践DNS [ 民田雅人 ] 価格：3,024円（税込、送料込）

毛髪クリニックリーブ21 公式WEBサイトが不正アクセスにより改ざん

毛髪クリニックリーブ21 公式WEBサイトが不正アクセスにより改ざん

2014年4月15日、毛髪クリニックリーブ21は、同社WEBサイトが不正アクセスによって改ざんされたと発表した。現在、被害を受けたサイト（http://www.reve21.co.jp）の公開を停止して、調査を行っている。現在のところ、顧客情報の流出は確認されていないという。

また、被害は確認されていないが、安全確認のため

・毛髪クリニックリーブ21 公式スマートフォンサイト（http://smt.reve21.co.jp/）

・リーブ21 悩み無用 社員ブログ（http://blog.reve21.co.jp/）

についても公開を一時停止している。

リーブ21のWEBサイト一時閉鎖のお知らせとお詫び

http://www.reve21.co.jp/

2ch 騒動 - 巨大掲示板「2ch」に何が起きているのか？

2ch 騒動 - 巨大掲示板「2ch」に何が起きているのか？

2ch に何かが起きている模様。2ch 乗っ取り騒動？2ch 閉鎖騒動？資金繰り難航？まとめサイトの連続炎上？サーバーダウン（鯖落ち）？など。
真偽は不明だが、2ch 元管理人のひろゆき（西村博之）氏が立ち上げた新2ch (2ch.sc) が、2ch (2ch.net) に攻撃してサーバーをダウンさせているとの情報もある。とりあえずウォッチしてみる。

2ch 乗っ取り騒動まとめ
http://notes.vanu.jp/post/82669005555/2ch

関係者や経緯などが良くまとまっている

西村博之による「2ch.sc」の公開と同時にアフィブログ群がこの期に及んで「2ch.sc」のステマをする
http://nvmzaq.blog.fc2.com/blog-entry-336.html

1日7万投稿　存在感増す「おーぷん2ちゃんねる」　「2chにあれば面白そうな機能、どんどん追加する実験場」
http://www.itmedia.co.jp/news/articles/1404/14/news068.html

2chを追い出された唇ファラオ一派がdat収集ソフトを配布して大規模ログ漁り画策中
http://www.itmedia.co.jp/news/articles/1404/14/news068.html

2ｃｈエンジニア攻撃者ＩＰリストを公開！某大学の名前も？｜| ＾＾ |秒刊SUNDAY
http://www.yukawanet.com/archives/4659295.html

2ちゃん争奪戦ついに「さくらインターネット」が関与を否定！不正なら遮断も
http://www.yukawanet.com/archives/4659148.html

現２ちゃん「Jim」氏、ひろゆき氏からの攻撃を遮断！クローラーに対し「転載は禁止です」を返す｜| ＾＾ |秒刊SUNDAY
http://t.co/s9sarZAdcD

— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) April 14, 2014

「サーバーを確保しました」　「2ちゃんねる」に何が起きたのか　運営費がひっ迫？
http://www.itmedia.co.jp/news/articles/1402/19/news151.html

導火線になったとみられているのが、「●」こと「2ちゃんねるビューア」で昨年8月に発覚したユーザー情報流出だ。

同ツールを運営するのはN.T.Technology。情報流出の発覚以降、同ツールへのログインや入会は停止している。このため収入源がなくなり、2chサーバ代をまかなえない状態に陥っており、運営費をめぐる内紛が起きた──という見方もある。「●」の販売が停止しているのに「●」ユーザーからは料金の返還を求められ、Jimが窮地に陥っているのではないか、という指摘もある。

Jimの資金難問題 | ブログ運営のためのブログ運営
http://ukdata.blog38.fc2.com/blog-entry-2877.html

Android normal パーミッションでホームアイコンの書き換えが可能な脆弱性

Android normal パーミッションでホームアイコンの書き換えが可能な脆弱性

概要

FireEye のモバイルセキュリティ研究者が、Android の保護レベル「normal」のパーミッションを許可された悪意を持ったアプリ（ウイルスアプリ）は、Androidのホーム画面上のアイコンを走査し、ユーザーに通知することなく、フィッシングサイトや悪意のあるアプリ自体を指すように変更することができる脆弱性があると発表した。
セキュリティリスクが低い「normal」パーミッションでも、アイコンの置き換えなどの悪意ある行為が可能ということで大変危険です。
Google は、この脆弱性を修正パッチをOEMパートナー向けにリリースしています。

Occupy Your Icons Silently on Android | FireEye Blog
http://www.fireeye.com/blog/uncategorized/2014/04/occupy_your_icons_silently_on_android.html

関連 URL

<permission> | Android Developers
http://developer.android.com/guide/topics/manifest/permission-element.html#plevel

SSLサーバ証明書の再発行の手続き方法

SSLサーバ証明書の再発行について

SSLサーバ証明書の再発行の費用

ベリサイン、グローバルサイン、ジオトラストなどの主要なSSLサーバ証明書の認証局は、コモンネーム（SSL暗号化通信を行うサイトのURL）などの内容に変更がなければ無料で再発行してくれる。2014年4月に発生した CVE-2014-0160 OpenSSL Heartbleed bug 対策で再発行する場合は無料です。

SSLサーバ証明書の再発行手順

1. CSR を作成して、認証局に送付
2. 新しいSSLサーバ証明書が発行される
3. ＷｅｂサーバのSSLサーバ証明書（と秘密鍵）を入れ替える
4. 古い証明書の失効手続きを行う

ＣＳＲ送付や失効手続きは、認証局が提供するオンラインポータルサイトで簡単に出来ます。また、新しいサーバ証明書は数時間程度で発行されます。意外と簡単です！！

ベリサイン　ナレッジベース - サーバID サポート
証明書を「再発行」できますか
証明書の「失効」手続きについて
証明書の再取得に費用はかかりますか

XPのサポート切れと同時に大量のCRLが発行されるって、とても残念な、というかほぼ最悪のケースだね http://t.co/MRQ8qf5zgF

— RyuArai at Yokohama (@RyuArai) April 11, 2014

Chromeは既定だとオンラインで証明書の失効確認していないので設定方法を調べてみた - piyolog - http://t.co/HpyYYpoMx5 まじですか。今このURLつないだらrevoke検出できたけど起動時にcrlチェックとかあるのかな

— Yasushi Abe (@yasushia) April 15, 2014

後でチェックリスト

気になる記事リスト

後でちゃんと読もうと思っている記事をメモしています。いつか。きっと。ちゃんと読むときがくるはず。

Honeypot ハニーポット関連

• Forrst | Preventing form spam with "honeytrap"
• Glastopf Pi: A Simple Yet Cool Web Honeypot for your Raspberry Pi - InfoSec Institute
• Sippot – The SIP Honeypot, Network Security Vancouver

Heartbleed 関連

ああ、本当にデフォルトでは確認してないですね(Mac、Windowsで確認)。有効にしましょう。＞Chrome、証明書

— uʞ (@nknskn) 2014, 4月 13

Google Chrome がデフォルトでは証明書失効リスト CRL を見てない？

• How I obtained the private key for www.cloudflarechallenge.com
• Heartbleed Honeypot

perl 版の Heartbleed ハニーポット

マルウェア解析関連

• Malware Uses ZWS Compression for Evasion Tactic | Trend Micro

http://blog.trendmicro.com/trendlabs-security-intelligence/malware-uses-zws-compression-for-evasion-tactic/

• Crimeware based Targeted Attacks: Citadel case, Part III

• Crimeware based Targeted Attacks: Citadel case, Part II

• APT Attacks Exposed: Network, Host, Memory, and Malware Analysis - YouTube

  APT 攻撃のインシデントレスポンスで必要な技術などを動画で解説してくれている？

• Hiding in plain sight: a story about a sneaky banking Trojan | Malwarebytes Unpacked

  設定を画像に隠しているタイプの ZeusVM の記事。EXIF に埋め込むタイプではなく、画像データ部分に XOR,やRC4 などで暗号化して埋め込むタイプの解説かな。

• Volatility Labs: Building a Decoder for the CVE-2014-0502 Shellcode

  Adobe Flash の 0day 脆弱性(CVE-2014-0502）を狙ったシェルコードをデコードする方法？

• SANS Digital Forensics and Incident Response Blog | The Importance of Command and Control Analysis for Incident Response | SANS Institute

  Zeus の C&C(C2: Command and Control)プロトコルの解説あり？

ログ解析関連

• Use PowerShell Cmdlet to Filter Event Log for Easy Parsing - Hey, Scripting Guy! Blog - Site Home - TechNet Blogs

PowerShell で Windows イベントログをフィルタリング？

その他

• 機械学習を知識ゼロから学ぶpdf

• 「個人を特定する情報が個人情報である」と信じているすべての方へ（1/6）：企業のIT・経営・ビジネスをつなぐ情報サイト EnterpriseZine (EZ)

個人情報の定義のはなし

Google Malware Check Tool

指定したドメインに関する Google Safe Browsing のレポートを表示してくれる

無料ウイルスチェック（オンラインサイト）

無料ウイルスチェック（オンラインサイト）

少しでも不審なファイルや怪しいサイトがあったら、まずはオンラインの無料ウイルスチェックサイトでチェックすると何かわかるかも。ただし、アップロードしたファイルが、チェックサイト経由で提携会社（アンチウイルスベンダーや研究機関）に渡ってしまいます。また、チェック結果やチェックしたファイル名や URL も公開されてしまうので注意が必要です。

VirusTotal

• ファイルをアップロードすると無料でウイルスチェックしてくれるサービス
• 実行ファイルだけでなくネットワークキャプチャファイル、URL指定でもチェック可能
• ハッシュ値から解析結果の検索なども可能
• 2014年現在は Google が提供している

NetworkTotal

• ネットワークキャプチャを無料でウイルスチェックしてくれるサービス
• Suricataエンジンと EmergingThreats PRO Rules を使って検出

 

Google Malware Check Tool

• 指定したURLやドメインの Google セーフブラウジングでの診断結果をレポート

エンジニアのための英語

エンジニアのための英語特集

システムエンジニア向けに書かれた英語の学習記事をまとめてみました。

海外ベンダーのサポートにメールで問い合わせるときや海外パートナー企業と連携してシステム開発するときなどに参考となる英語記事など。

• 英語の商談で日本人は主語を「You」にしがちなため失敗する – ガジェット通信

http://getnews.jp/archives/570089

• エンジニアは英語を学ぶべきか － ＠IT

 

• ITエンジニアのための業務でサクッと使える英語Tips インデックス － ＠IT自分戦略研究所

海外企業とのチーム開発、ヘルプデスクへの問い合わせ、操作方法の説明法など実用的な内容で役に立ちます。

• いまさら聞けない！インターネットの英語略語　34選

「AFAIC — “as far as I’m concerned”, or “as far as I care”, or “as far as I can…” 」などの略語を紹介。今までこんな略語使ってる文書を見たことないよ。。。

Windows XP サポート終了に関連する情報まとめ

Windows XP サポート終了に関連する情報まとめ

Windows XP のサポートが 014 年 4 月 9 日 (日本時間) をもって終了しました。サポート終了に関連してさまざまな記事が出ています。
Windows XP サポート終了に便乗した商売、引き続き利用するためのカスタムサポート（延長サポート）、当面利用を続けるユーザ向けの対策方法やサービスなど。とりあえず記事をまとめておきます。

サポート終了アナウンス

• Windows XP、Office 2003サポート終了

【Windows XP、Office 2003サポート終了】 （続き）マルウェア対策ソフトの定義ファイルも、最新のものに更新ください。またリスク低減のため、インターネットへの接続や、USBメモリなどの利用も停止ください（続く） http://t.co/wNwk6dAeFz

— 日本マイクロソフト株式会社 広報 (@mskkpr) April 9, 2014

Windows XP サポート終了に便乗したセールスなど

• Windows XP サポート終了に便乗した電話詐欺が発生！？

マイクロソフトから自宅に電話があり「お宅のウインドウズの期限が切れました」という解り易い詐欺電話。速攻で妻は電話を切ったらしい。お年寄りとか引っかかるんだろうな。悪質だ。

— 一樹 (@tsukinowa7) April 10, 2014

• GoogleがWindows XPのサポート終了に合わせて、「Chromebookへの値引き乗り換えキャンペーン」を実施

GoogleがXPサポート切れの企業に約1万円引きでChromebookを販売中 http://t.co/m0UTn3xQiu

— gigazine (@gigazine) April 9, 2014

Windows XP の延長サポート（カスタムサポート）の情報

• イギリスとオランダ政府が Windows XP の延長サポート契約を締結

契約金は、555万ポンド(約9億6000万円)！？

Windows XPの延長サポート契約をイギリスとオランダの政府がMicrosoftと締結 http://t.co/eKjy2qvqTP

— gigazine (@gigazine) April 7, 2014

• 米マイクロソフト、レノボなど提携企業通じ中国でＸＰサポート提供へ （ロイター）

米マイクロソフト、レノボなど提携企業通じ中国でＸＰサポート提供へ http://t.co/lEEcb0qWZU

— ロイター.co.jp (@Reuters_co_jp) April 10, 2014

• Windows XPのサポートは終わらない……ただし中国のみ（アルファルファモザイク）

アルファルファモザイク Windows XPのサポートは終わらない……ただし中国のみ: 4月9日にWindows XPのほか、Office 2003、Internet EXPlorer 6 のサポートが全世界で終了する。... http://t.co/0TiXlCGCcB

— 2chまとめブログの更新速報bot (@2ch_sokuhou_bot) 2014, 3月 14

• 米国国税庁も「Windows XP」有料サポートを契約

【NEW】米国国税庁も「Windows XP」有料サポートを契約 http://t.co/8ByrKhrpsY #wired_jp

— WIRED.jp (@wired_jp) 2014, 4月 15

• Windows XPのカスタムサポート価格は95％の割引が可能と判明

http://gigazine.net/news/20140417-xp-custom-support-prices/

マイクロソフトが提示した Windows XP のカスタムサポート料金 200万ドル(約2億円)が、2週間後には25万ドル(約2500万円)まで下がった事例があるそうです。ボリュームなどの条件があると思いますが、交渉すれば値引きは可能ということですね。

Windows XP を当面使わなければならないユーザー向けサービスなどの情報

• サポート切れのWindows XP搭載PCが起動不能となる問題をMicrosoftが修正 - GIGAZINE


• どうする？ Windows XP 延長サポート終了後のセキュリティ対策│セキュリティ・リサーチのFFRI

パターンファイルに頼らないウイルス対策ソフト FFRI yarai で Windows XP を脆弱性攻撃から守る

何らかの理由によりやむを得ず延長サポート終了までに新OSへ移行できないユーザーを支援するために、FFR yarai および FFR yarai 脆弱性攻撃防御機能の動作環境として、Windows XP（SP2以上）とWindows Server 2003（SP2以上）を、2017年12月31日までサポート

• Windows XPシステム延命サービス: Windows Embeddedソリューション | NEC

NEC のWindows XP 延命サービス。XPをベースにした Windows Embedded Standard 2009というOSに入れ替えて、移行できない業務アプリケーションを動かす？基本料７０万～、１機種あたり３５万～。

• OnePointWall Windox XP 偽装ルール提供開始 - XP ユーザがいないように見せかける

XPユーザがいないように見せかけるルール提供開始。 OnePointWall ワンポイントウォール HTTPリクエストヘッダー WindowsXP偽装ルール提供開始 http://t.co/Tr5WNCI2E6 http://t.co/fjBt5pCn9j

— lumin (@lumin) April 8, 2014

• Windows XP を使いつづけるユーザーへのアドバイス（あくまで乗り換えまでの対策です）

• Windows XPを使い続けるユーザーへ5つのアドバイス

その他

• サポート切れのWindows XPでセキュリティアップデートを受ける方法が公開される - GIGAZINE

http://gigazine.net/news/20140527-get-windows-xp-update/

Williams氏が発見した方法は至ってシンプル。まずは、「XP.reg」という名前のテキストファイルを作成します。「XP.reg」を作成したら右クリックから編集を選び、32ビット版XPであれば、下記のテキストをコピーして貼り付けます。テキストを貼り付けたら保存して終了し、アイコンをダブルクリックするだけで完了です。これで、POSReady 2009のセキュリティアップデートをWindows XPで毎月受け取ることができるとのこと。    

Windows Registry Editor Version 5.00    
[HKEY_LOCAL_MACHINE\SYSTEM\WPA\PosReady]     "Installed"=dword:00000001

• アルファルファモザイク Windows XPのサポートは終わらない……ただし中国のみ: 4月9日にWindows XPのほか、Office 2003、Internet EXPlorer 6 のサポートが全世界で終了する。... http://t.co/0TiXlCGCcB

— 2chまとめブログの更新速報bot (@2ch_sokuhou_bot) 2014, 3月 14

• [調べてみた] サポート終了以降のWindowsXPサポート対応について調べてみた。

ウイルス対策ソフト、メールクライアント、文書編集ソフト(Officeなど)、実行環境(Java、.Net Frameworkなど）などのWindows XP サポート状況についてまとめられています。

• 法人稼働のWindows XPは、2014年6月末には241万台（6.6％）にまで減少すると予測

法人稼働のWindows XPは6％台まで縮小の見込み、IDC調査 http://t.co/tQq3A4QUnq

— ITmedia エンタープライズ (@itm_enterprise) April 7, 2014

XPのサポート切れと同時に大量のCRLが発行されるって、とても残念な、というかほぼ最悪のケースだね http://t.co/MRQ8qf5zgF

— RyuArai at Yokohama (@RyuArai) April 11, 2014

地方自治体が保有するPCの13％がXPを搭載、総務省が注意喚起 http://t.co/Yp6SeQJUyg

— INTERNET Watch (@internet_watch) April 14, 2014

• JR の液晶広告システムは Windows XP ?

Windows XPのサポート終了で騒がれていますが、ここで大宮駅の液晶広告の様子を見てみましょう。 pic.twitter.com/SeTW0UjTwI

お名前.comを騙ったフィッシングメールが発生

お名前.comを騙ったフィッシングメールが発生

お名前.comのサービスを騙りお名前ID、パスワードを盗み取るフィッシングメールが発生しているようです。
文面とタイミングから、CVE-2014-0160 Heartbleed bug の騒ぎに便乗したフィッシングメールではないかと考えられる。

2014.04.10 【重要】お名前.comを騙ったフィッシングメールについて

現在、お名前.comのアカウントが第三者によって盗まれる被害が多発しております。 このため、お名前.comでは、会員様に対してご登録いただきました登録情報を今一度 ご確認いただけるよう、本メールを送付させていただいております。

 

CVE-2014-0160 OpenSSL Heartbleed bug Honeypot

CVE-2014-0160 OpenSSL Heartbleed バグ攻撃を捕捉するハニーポット

CVE-2014-0160 OpenSSL Heartbleed バグ攻撃を捕捉するハニーポットがリリースされました。Heartbleed バグについては、こちらを参照してください。

Heartbleed Honeypot Script ≈ Packet Storm

ハニーポットに OpenSSL Heartbleed バグを攻撃をすると、 攻撃元に対して「Hi there! Your scan has   been logged! Have no fear,  this is for research only --  We're never gonna give you up,  never gonna let you down!」というメッセージを返します。もちろん、メッセージは変更可能です。

ハニーポット側には攻撃元のIP アドレス(127.0.0.1)が表示されます。

ハニーポットのカスタマイズ例 ：）

Fun with #heartbleed :) pic.twitter.com/1WIeCrA2Zi

— moyix (@moyix) 2014, 4月 9

関連記事

• Heartbleed用のハニーポットつくってみた

【楽天ブックスなら送料無料】ハニ-ポット [ ランス・スピッツナ- ]

OpenSSLに重大な脆弱性が発覚 HeartBleed Bug （CVE-2014-0160）

OpenSSLに重大な脆弱性が発覚 HeartBleed Bug （CVE-2014-0160）

概要

OpenSSL の HeartBeat と呼ばれる機能の実装にバグがあり、悪用されるとシステム上にあるメモリのデータ(64KB単位で)が閲覧出来てしまうという。これにより、WebサーバのSSL証明書の秘密鍵やプロセス内の秘密情報などが漏洩する。悪用されても記録が残らないため、被害の調査を行うことは難しい。既に証明書の秘密鍵が漏洩している可能性があるため、グローバルサインなどの認証局は、SSLサーバ証明書の再発行を無償対応している。
この脆弱性の影響を受けるシステムは、OpenSSL のバージョン(1.0.1 ～ OpenSSL 1.0.1f、 1.0.2 bata ～1.0.2-beta1）を利用しているシステムが該当する。
OpenSSL は、Apache や Sendmail、 OpenVPN などの多くのサーバやクライアントソフトウェアに利用されており、影響範囲が非常に大きい。
この問題に対応するためには、既にリリースされている修正済みのバージョン（OpenSSL 1.0.1g）に入れ替える必要がある。※ 1.0.2-bata2 はリリース待ち。

2014年8月より Heartbleed 脆弱性を狙ったパケットが増加してる。また、HeartBleed 脆弱性を持つサイトを調査するウイルスも確認されている。

影響を受けるバージョン

OpenSSL 1.0.1 : 1.0.1a ～ 1.0.1f
OpenSSL 1.0.2-bata :  1.0.2-beta1

対策方法

OpenSSL 1.0.1g にバージョンアップ
OpenSSL 1.0.2-bata2 はリリース待ち
その他、「-DOPENSSL_NO_HEARTBEATS」オプションをつけて再コンパイルし、HeartBeat 機能をオフにする

バージョンアップ方法

rpm パッケージの場合

# rpm update openssl

ubuntu debian パッケージの場合

# apt-get update
# apt-get upgrade openssl

修正済みバージョンにアップデートされたかを確認する方法は
下記の「CVE-2014-0160 が修正されているか確認する方法」を参照してください。

OpenSSL を利用するプログラムなのか確認する方法

パッケージの依存関係情報から調べる方法

RedHat系 Linux rpm の場合

> rpm -qR mod_ssl | grep -i ssl
config(mod_ssl) = 1:2.2.15-29.el6.centos
libssl.so.10 
openssl >= 0.9.7f-4

> rpm -qR sendmail | grep -i ssl
libssl.so.6 openssl

CVE-2014-0160 が修正されているか確認する方法

CVE-2014-0160 を修正済みのパッケージなのかを確認する方法

HeartBleed バグのチェックサイトで調べる方法

詳細は不明ですが、OpenSSL CVE-2014-0160 HeatBleed バグをチェックしてくれるサイトが出来ているようです。どこまでチェックして結果を出しているかは確認出来ていません。

HeartBleed バグのチェックツールで調べる方法

• heartbleeder

Windows, Linux, MacOSX 用のプログラム（バイナリ）も提供されている。

指定したウェブサイトに CVE-2014-0160 の脆弱性(HeartBleed)があるかチェックしてくれます。

> ./heartbleeder www1.example.jp
INSECURE - www1.example.jp:443 has the heartbeat extension enabled and is vulnerable

> ./heartbleeder www2.example.jp
SECURE - www2.example.jp:443 does not have the heartbeat extension enabled

nmap コマンドで調べる方法

ssl-heartbleed NSE script

> nmap -sV www.example.jp --script=ssl-heartbleed

openssl コマンドで調べる方法

heartbeat (id=15) が表示されなければ、対策済み(heartbeat 機能オフ）と考えてよい。

> openssl s_client -connect www.example.jp:443 -tlsextdebug | grep heartbeat
...
TLS server extension "heartbeat" (id=15), len=1
...

> openssl version -a
OpenSSL 1.0.1 14 Mar 2012
...

Web サーバにアクセスして調べる方法

Apache などのサーバの設定でバージョン情報を公開しない設定になっている場合は、バージョン情報は表示されません。

> telnet www.example.jp 80
GET / HTTP/1.0


HTTP/1.0 200 OK
Date: Tue, 08 Apr 2014 05:44:11 GMT
Server: Apache/2.2.22 (Ubuntu) mod_ssl/2.2.22 OpenSSL/1.0.1

パッケージの修正ログ(changelog)から調べる方法

OpenSSL を rpm や deb などのパッケージでインストールしている場合、パッケージバージョンやプログラムが出力するバージョン番号だけでは、修正パッチが適用されているのか判別することが難しい。パッケージには修正履歴を記録したログ(changelog)が含まれているので、このログを見ればどのパッチが適用されているのかを確認することができる。

• rpm パッケージの場合
  

# rpm -q --changelog openssl

• ubuntu debian パッケージの場合

# apt-get changelog openssl

openssl (1.0.1-4ubuntu5.12) precise-security; urgency=medium

  * SECURITY UPDATE: side-channel attack on Montgomery ladder implementation
    - debian/patches/CVE-2014-0076.patch: add and use constant time swap in
      crypto/bn/bn.h, crypto/bn/bn_lib.c, crypto/ec/ec2_mult.c,
      util/libeay.num.
    - CVE-2014-0076
  * SECURITY UPDATE: memory disclosure in TLS heartbeat
extension
    - debian/patches/CVE-2014-0160.patch: use correct lengths in
      ssl/d1_both.c, ssl/t1_lib.c.
    - CVE-2014-0160

Heartbleed 攻撃を検知する方法

• エフセキュアブログ : Openssl Heartbleed 攻撃の検知について iptables で Hertbleed 攻撃を検知する方法（止める方法）が紹介されている。

iptables -t filter -A INPUT  -p tcp --dport 443  -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT"

CVE-2014-0160 検証コード

CVE-2014-0160 の検証コードが出ています。
試してみるとメモリデータと思われる内容が出力された。
Apache + mod_ssl で試したところ、access_log、error_log に記録は残らなかった。

CVE-2014-0160 Heartbleed bug の事例

Heartbleed を使ったセッションハイジャックやプライベートキー（秘密鍵）の取得成功、情報漏えいなど事故事例など

 

• JIRA ticket tracking system が稼働しているシステムでのセッションハイジャックの事例

• Hijacking user sessions with the Heartbleed vulnerability · Matt's Life Bytes

• ヤフーメール(mail.yahoo.com)でユーザ・パスワードが奪れた事例

    Do not login to Yahoo! The OpenSSL bug #heartbleed allows extraction of usernames and plain passwords! pic.twitter.com/OuF3FM10GP

    — Mark Loman (@markloman) April 8, 2014

• SSL サーバ証明書の秘密鍵（プライベートキー）の一部が取得できた事例

@neelmehta @tqbf @_miw FreeBSD 9.1 #heartbleed pic.twitter.com/AktnQD3E7w

— Tomas Rzepka (@1njected) April 9, 2014

• Heartbleedで nginxからサーバの秘密鍵が取得できることが確認された / Heartbleed Challenge

約250万回、約10万回の試行で秘密鍵の取得に成功(Heartbleed Challenge)

少なくとも 2人成功。1人は約250万回の試行、もう1人は約10万回の試行で成功したようです。サーバの環境は "nginx-1.5.13 linked against OpenSSL 1.0.1.f on Ubuntu 13.10 x86_64" とのこと。

 

• Heartbleed情報アップデート：国内でもHeartbleedを狙うパケットの増加を観測 - ＠IT

警察庁の定点観測システムで Heartbleed 攻撃のパケットを 4/9 以降に多数観測

• OpenSSLの脆弱性で初の被害、カナダや英国で発覚 - ITmedia エンタープライズ

オープンソースのSSL/TLS実装「OpenSSL」に極めて重大な脆弱性が発覚した問題で、カナダ歳入庁は4月14日、何者かがこの脆弱性を悪用して、納税者約900人の社会保障番号を同庁のシステムから削除していたことが分かったと発表した。

• 「OpenSSLの脆弱性で初の被害、カナダや英国で発覚」の犯人を逮捕

• Successful private key extraction from OpenVPN using Heartbleed

OpenVPN からプライベートキーの取得に成功

取得に成功した環境は、Ubuntu 12.04 (VM using KVM) OpenVPN 2.2.1 OpenSSL 1.0.1-4ubuntu5.11

• トレンドマイクロのパスワード管理ソフトでOpenSSL脆弱性による漏えいか | nikkei BPnet 〈日経BPネット〉：日経BPオールジャンルまとめ読みサイト

• 暗号化ソフト狙った攻撃で個人情報流出か　NHKニュース

大手カード会社である三菱ＵＦＪニコスが、OpenSSL の脆弱性を攻撃されて、同社ウェブサイトが不正アクセスされたと発表した。894人分の個人情報が外部に流出した可能性があるが、現在のところ、クレジットカードの不正利用は確認されていない。悪用された脆弱性は Heartbleed との報道もある。

• 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた - piyolog

CVE-2014-0160 ハニーポット

• CVE-2014-0160 Heartbleed bug 攻撃を捕捉するハニーポット

CVE-2014-0160 OpenSSL HeartBleed bug Honeypot

参考 URL

• Heartbleed脆弱性を狙うパケットの増加 - cNotes: Current Status Notes

• Android 4.1.1のリバースHeartbleed脆弱性

TLS heartbeatには対称性があるため，クライアントとサーバのいずれがエンドポイントである場合にも悪用される可能性があるのだ。したがって，悪意を持ったサーバがパッチされていないクライアントに不正なheartbeatを送信することで，クライアントの重要なデータを取得されることも考えられる。

• Oracle Linux 7 Beta Downloads - CVE-2014-0160: Security Update for openSSL (Heartbleed)

CVE-2014-0160:  Security Update for openSSL (Heartbleed)
While Oracle Linux 7 is not for use in production, we are providing our beta customers an update to the openSSL packages included in Oracle Linux 7 to address the security vulnerability known as the Heartbleed bug.  Please refer to MOS note #1663998.1 at support.oracle.com for more information.

• Microsoft サービスは OpenSSL「Heartbleed」脆弱性の影響を受けません（マイクロソフト日本のセキュリティチーム）

Microsoft アカウント、Microsoft Azure、Office 365、Yammer、および Skype は Heartbleed の影響は受けない

• Information about HeartBleed and IIS

Windows Server 2003 and 2003R2, Windows Server 2008, Windows Server 2008R2, Windows Server 2012, Windows Server 2012R2 およびその上で動作する IIS についても Heartbleed Bug の影響なし

• The Heartbleed Hit List: The Passwords You Need to Change Right Now

主要Webサイトの OpenSSL Heartbleed bug (CVE-2014-0160) 対応リストが掲載されている。各Web サイトに対して、「影響を受けたのか、修正されているか、パスワードを変更すべきか、Webサイトのアナウンス内容」などが載っている。 Google、Yahoo、GitHub など多数のオンラインウェブサービスのパスワード変更を推奨している。

• OpenSSL 1.0.1に含まれる脆弱性への対応のお願い - GMO GlobaleSighn
• Vulnerability Note VU#720951 - OpenSSL heartbeat information disclosure
• CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
• OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性
• OpenSSL‘heartbleed’ bug live blog - FOX IT
  
• 2014/04/19 - OpenSSLのHeartBleed問題の影響を受けるAndroid端末トップ10にHTCスマートフォンが5機種も含まれる | juggly.cn

影響を受けるAndroid のバージョンは 4.1.1のみとされていたが、Android 4.2.2 の一部機種も影響を受けることが判った

• OpenSSL Security Advisory [07 Apr 2014]
• Internet Heartbleed Health Report

2014/4/13 時点で CVE-2014-0160 の脆弱性があるサイト一覧が記載されている

• Heartbleed Bug

インターネットバンキングでの不正送金の被害が急増

インターネットバンキングでの不正送金の被害が急増

概要

H26年1月30日、警察庁はH25に発生したインターネットバンキングでの不正送金の被害が、1,315件、約14億600万円と過去最大の被害となったと発表した。

被害にあった口座は個人名義のものがほとんど。不正送金の手法は、コンピュータウイルスにより表示された偽画面にユーザがパスワードなどの口座入力した情報を使い、ATM等で不正送金する手法が多かったという。その他、H25年後半は、フィッシングサイトを利用して口座情報を盗み取る方法も多くなっていたという。

被害にあった機関は、ゆうちょ銀行やみずほ銀行、三菱東京UFJ銀行など３０機関を越える。

関連記事

パナソニックの会員サービス「CLUB Panasonic」、不正アクセスにより情報漏えい

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」

インターネットバンキングでの不正送金関連

• あなたの預金も危ない　ネットバンキング自衛術
  ウイルスでパスワード盗み不正送金

http://www.nikkei.com/money/features/37.aspx?g=DGXMZO7868466021102014PPD0011

確実に被害額が補償されるには利用者側に落ち度がなかったことが前提となる。パソコンのソフトの更新をしていなかったりパスワードの管理がずさんだったりしたことを理由に「補償額を減額したケースがある」（大手銀行）。

• 【セキュリティ ニュース】全銀協、法人の不正送金被害を受け対策や補償を申し合わせ - 補償は原則従来通り：Security NEXT

http://www.security-next.com/048901

預金者保護法の対象とはされていない法人に対する補償に関しては、従来どおりであることを確認。各金融機関が個別に判断するとした。

• 【セキュリティ ニュース】ネットバンクのアカウント盗む「Bancos」が5.5倍増 - IPAまとめ：Security NEXT

http://www.security-next.com/048391

• 法人向けネットバンキングに必要な「SSL証明書」と「秘密鍵」、ログイン情報を盗まれて悪用された。

法人向けネットバンキングでも不正送金、シマンテックが注意喚起（ニュース） #security http://t.co/t4Use0VZ7E #itprojp

— Nikkei BP ITpro (@nikkeibpITpro) April 10, 2014

• JPモルガンCEOが、サイバー攻撃が危険度を増してきており、防御を突破される恐れもありうると警告している。ＪＰモルガンはサイバーセキュリティーの対策費用として２億5000万ドルを投じるという。

ＪＰモルガンＣＥＯ：高度なサイバー攻撃に直面－防御突破も - Bloomberg http://t.co/fxfhr7NAgC　ＪＰモルガンはサイバーセキュリティー費用として今年２億5000万ドル（約255億円）を投じる。

— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) April 10, 2014

• 西日本シティ銀行

（2014/4/11）  法人向けインターネットバンキング「NCBビジネスダイレクト」を悪用した不正送金への対応について

「当日扱い」都度指定方式による不正送金後、送金先の銀行口座からATMで即時んい現金を引き出す事例が発生している。この対応のため、「当日扱い」都度指定方式の振込振替取扱を一時停止すると発表した。

• インターネットバンキングでの不正送金が急増 - 警察庁

H25年中のインターネットバンキング係る不正送金事犯の発生状況等について - 警察

• 攻撃者はマルウェアを使って、銀行の詳細情報やログイン証明書を窃取するだけではなく、ユーザーの行動や金融機関サイト間のやりとりを把握

 

［TechTargetジャパン］あなたの銀行取引を監視　注意したい8つのバンキングトロイ http://t.co/8wI1UIgUmQ

 

— ITmedia Top (@topitmedia) April 7, 2014

 

 

• サイバー保険、契約急増　相次ぐ攻撃が追い風　米ターゲットのカード情報流出も

• 保険契約の多くは、調査、顧客への通知、クレジットカード監視サービス、訴訟の費用、消費者との裁判で発生した損害賠償金などが補償対象
• 一般賠償責任保険を販売する会社が、サイバー攻撃によって生じた損害を除外する文言を盛り込むケースが増える見通し
• 以前は「問い合わせが10件あったら売れたのは1.2件だった」のが、今では「10件のうち4.2件」だという

• 米司法省、マルウェア「Zeus」による数百万ドル窃盗で犯行グループを起訴 -INTERNET Watch

 

不正送金ウイルスのデモ。spyeyeを実行。ゆうちょ銀行を表示。ログイン画面は普通だが、次の画面へ行くと「合言葉」の画面になるが、これがウイルスが出すポップアップである（セキュアブレイン星澤氏）

 

— 三上洋 (@mikamiyoh) April 14, 2014

 

 

 

不正送金ウイルスのデモ２。ゆうちょ銀行の不正送金ウイルスへの注意喚起ページを自動的にスキップする。（セキュアブレイン星澤氏）

 

— 三上洋 (@mikamiyoh) April 14, 2014

 

 

 

 

• 東京スター銀行が、システナのスマートフォン向け不正送金・フィッシング詐欺対策アプリ webshelter を提供開始

 

http://www.tokyostarbank.co.jp/service/tokyostardirect/sp/index.html

 

 

 

• パスワード盗むウイルス 約４万台感染　NHKニュース

 

http://www3.nhk.or.jp/news/html/20140414/k10013728261000.html

 

 

個人口座に関しては、全額補償とまではいかないまでも、銀行側がある程度補償してくれる。

不正送金の被害が起きた場合、利用者側に重大な過失などがないかぎりは、原則として被害補償を行うとしていて、実際に去年４月から１２月までの補償率は９９．８％

 

法人口座に関しては、統一した方針はなく、ほとんどの銀行は補償しない方針になっている。

法人口座から預金を奪われても、銀行の多くは、過失などがないかぎり補償しない方針を示している

 

• ネットバンク不正送金関与の疑い　中国人を逮捕：朝日新聞デジタル
  http://www.asahi.com/articles/ASG6C3HJWG6CUTIL00K.html

• 全銀協会長、ネット不正送金について「日本は狙われてる感じする」
  http://alfalfalfa.com/archives/7345370.html?utm_content=bufferd36af&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

• 不正送金被害の法人補償へ方針　全銀協、来月にも（SankeiBiz） ｜ 最新ニュース速報
  http://topics.v2ifc.com/archives/43083?utm_source=dlvr.it&utm_medium=twitter

• 【簡単チェック】ネットバンク不正送金を防ぐため「GOZ」感染有無を確認しよう
  http://reynotch.blog.fc2.com/blog-entry-842.html

【楽天ブックスならいつでも送料無料】Q＆Aインターネットバンキング [ 岩田合同法律事務所 ]

 

【楽天ブックスならいつでも送料無料】Q＆Aインターネットバンキング [ 岩田合同法律事務所 ] 価格：2,700円（税込、送料込）

磐田信用金庫がＷｅｂサイト改ざんの被害

磐田信用金庫がＷｅｂサイト改ざんの被害

磐田信用金庫は、2014年3月22日10:00頃～25日10:00頃の間、磐田信用金庫Ｗｅｂサイトが、不正アクセスにより改ざんされていたことが判明したと発表した。
該当期間中にアクセスしたユーザーは、「セキュリティ設定などの状況によっては、不具合が生じる可能性がございます」という。

要するに該当期間中に磐田信用金庫のWebサイトを閲覧したユーザーは、ウイルス感染などの被害にあった可能性があるということですよね。なんだかわかりずらいお詫び文書になっていますね。

関連URL

当金庫ホームページへの不正アクセスに関するお詫びとご報告 | 磐田信用金庫

足利銀行のインターネットバンキングに不正ログイン

?

足利銀行のインターネットバンキングに不正ログイン

概要

2014年4月4日 9時ごろから足利銀行のインターネットバンキングに対して、同じＩＰアドレスから7万件を超える不正なログイン試行があり、十数件のアカウントに不正ログインが成功していたことがわかった。
不正ログインされたユーザのアカウントは、利用停止したという。不正送金などは行われていない。

パスワードの使いまわしをしないように呼びかけているみたいですが、パスワードリスト攻撃だったのでしょうか。銀行側で同一IPアドレスからの数万件を超える大量のログイン試行を途中で止めることは出来なかったのでしょうか。足利銀行側のセキュリティ対策も強化してほしいものです。

個人口座のインターネットバンキングの補償について

個人口座のインターネットバンキングの補償については、全銀協によると、捜査当局への被害事実等の事情説明（真摯な協力）を前提に、被害に遭ったお客さまの態様やその状況等を加味して補償（個別対応）することになっています。ネット上の情報を見る限りは、被害額の 70% 程度の補償が多いようです。全額補償されるケースはあるのでしょうか。

インターネット・バンキングに係る補償の対象・要件・基準等について - 全銀協
http://www.zenginkyo.or.jp/news/entryitems/news200219_4.pdf

関連URL

• 【重要】個人向けインターネットバンキングへの不正ログイン要求が発生しております ： 足利銀行
• 【重要】個人向けインターネットバンキングへの大量の不正ログイン要求が発生しました ： 足利銀行

大量の不正ログイン要求が発生しましたが、集中的な攻撃は終息し、不正送金等の被害は発生しておりません。

不正送金等の被害にあわれたお客さまにつきましては、「インターネットバンキング・モバイルバンキングの不正利用による預金被害補償規定」に基づき補償させていただきます。

• 足利銀のネットバンクに十数件の不正ログイン　　：日本経済新聞
• パスワードリスト攻撃の2013年4月～8月の状況についてまとめてみた。 - piyolog

【楽天ブックスならいつでも送料無料】Q＆Aインターネットバンキング [ 岩田合同法律事務所 ]

1行で文字列の IP アドレスを数値に変換する方法（Linux bc コマンド）

1行で文字列の IP アドレスを数値に変換する方法（Linux bcコマンド）

キーワード： Linux, Ubuntu, CentOS, RedHat, bc, IPアドレス, アドレス計算、IPアドレス相互計算

Tweet

スポンサーリンク

概要

Linux の bc コマンドを使って文字列の IP アドレス（10.0.0.1） を 10進数の数値（167772170）に変換する方法を書いてみました。一行で書いたので少し長いです。

$ BIN=`for i in 10 0 0 1; do echo "obase=2; ibase=10; $i" | bc | xargs printf "%08d"; done`; echo "obase=10; ibase=2; $BIN" | bc

167772170

bcコマンドは、2進数、8進数、10進数、16進数の相互変換や数値計算を行うコマンドです。ibase で入力値の基数を、obase に出力値の基数を指定します。これら ibase や obase、変換したい値（または計算式）は標準入力から bc に渡します。

IPアドレスを処理する場合は、10.0.0.1 などの文字列より、167772170 などの数値として取り扱った方が便利なことが多いです。例えば、IPアドレスのソートやレンジ計算、比較などの処理です。また、データベースに格納される IDS やFW のログは、IPアドレスが前述の理由により数値になっていることも多いです。これらのデータを取り出して処理する場合にも便利です。

スポンサーリンク

関連 URL

• IP アドレスを 2進数および 10進数に変換 (perl)

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」

ゆうちょ銀行をかたるフィッシング、「口グイン画面リ二ューアルのお知らせ」

2015/05/15 に発生した"アカウント凍結で不安を煽る「ゆうちょ銀行」をかたるフィッシングメール"の情報は、こちら http://rootdown.cocolog-nifty.com/memo/2015/05/post-9171.html

「ゆうちょ銀行」をかたるフィッシングメールが出回っているようです。
こちらにもフィッシングメールが送られてきましたが、2014年4月1日 22時頃に確認したところ、フィッシングサイトは閉鎖されてアクセス出来なくなってました。
フィッシングサイトが閉鎖される前にアクセスした場合は、偽の「ゆうちょダイレクト」のログイン画面が表示され、ログイン情報を入力すると攻撃者にログイン情報が送られるようになっていたと思われます。
「ゆうちょ銀行」は、セキュアブレインの不正送金対策ソフト PhishWall を導入しているようです。PhishWall をインストールしておくと、ブラウザでフィッシングサイトにアクセスすると警告してくれるそうです。

「ゆうちょ銀行」をかたるフィッシングメールの内容

差出人：direct@japanpost.jp
件名：【重要】ゆうちょ銀行からのお知らせ
日時：Tue, 01 Apr 2014 02:44:48 -0400

お客様各位
ゆうちょダイレクトをご利用頂き有難うございます。
お客様へ口グイン画面リ二ューアルのお知らせです。
下記より口グインしてメッセージを確認して下さい。
<hxxp://www.trombone.net/js/#xxx@gmail.com>https://direct.jp-bank.japanpost.jp/tp1web/U010101SCK.do
ゆうちょ銀行力スタマーセンター。

となっていました。

DATEヘッダーのタイムゾーンが -0400 AST(大西洋標準時) だからアメリカからでしょうか。
メールソフトによって変わるかもしれませんが、日付は、通常 JST(日本) +0900 となっているはずです。 「ゆうちょ銀行」からのメールの日付が、JST（日本）以外になっているのは不自然なので、注意深いユーザーは何かおかしいと感じることができると思います。

www.trombone.net/js

www.trombone.net の js ファイル(javascriptファイル)は、
2014年4月2日8:00 時点でも存在しています。

hxxp://www.trombone.net/js にアクセスすると
hxxp://count29.51yes.com/id=xxxxxxxxxxx&logo=11 に転送され、
最終的に
hxxp://direct.jp-bank.japanpost.jp-ceny1.com/tp1web/U330102SCR.do
が表示されるようになっていたようです。

関連情報

ゆうちょ銀行をかたるフィッシング(2014/04/01) フィッシング対策協議会

またまた「ゆうちょ銀行」のログイン画面リニューアルをかたるフィッシング（Impress Watch）

ワコールがWeb改ざんの被害

ワコールがWeb改ざんの被害

2014年3月31日、ワコールのWebサイトが不正アクセスを受けて改ざんされていたことを発表しました。
3月28日時点で、ワコールWebサイトを閲覧しようとすると「コンピュータに損害を与える可能性がある」との表示が出て、アクセスできない状況になっていたという。
3月28日 17時30分、ワコールは、詳細調査を行うために関連サイトをすべて閉鎖しており
アクセス出来なくなっている。
調査中のため、不正アクセスを受けた原因や被害内容についての情報は発表されていないが、アクセスしたユーザはウイルス感染の可能性があるという。また、現在のところ、顧客情報の漏えいは確認されていない。

なお、Web サイトの復旧は４月下旬までかかる見込み。

ウェブサイトの再開予定日が掲載されました。ワコール通販ウェブストアは 4/30、ワコール公式ウェブサイトは 5月初旬と、サイトによって再開予定日が異なる。詳しくは、以下 URL を確認してください。

【ワコールのWEBサイト改ざんに関するお詫びと再開予定のお知らせ】（2014/04/16更新）
http://mente.wacoal.jp/sorry_pc.html

関連URL

• (2014/04/14) 「ワコール」Webサイト改ざん、閲覧者にウイルス感染の恐れ　32サイト停止、サーバ移転へ （ITmedia ニュース） - Yahoo!ニュース
• (2014/04/09) 不正アクセス被害のワコールがWebサイト全面再構築、4月下旬まで復旧できず | nikkei BPnet
• (2014/04/08) ニュース - 不正アクセス被害のワコールがWebサイト全面再構築、4月下旬まで復旧できず：ITpro
• (2014/04/01) ワコールがWebサイト改ざん被害 - 訪問者はウイルス感染の恐れ | マイナビニュース
• (2014/03/31) ワコールのWEBサイト改ざんに関するお詫びとお知らせ - ワコール
• (2005/11/22) ワコールのECサイト、不正アクセス被害の原因はSQLインジェクション - Internet watch
• (2005/11/21) ワコール、4757人分の顧客データ流出--外部からの不正アクセスが原因か - CNET Japan
• (2005/11/20) ワコール、不正アクセスでカード情報流出 - ITmedia エンタープライズ