トリコロールな猫/セキュリティ

思いついたことをぼちぼち書いてます。

2016年5月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

月間まとめ

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。

なお、以下の表ははてなブックマークフィードを使ってRubyで生成しています。

security.nekotricolor.com

文書公開

2016/05/10 「企業のCISOやCSIRTに関する実態調査2016」報告書について:IPA 独立行政法人 情報処理推進機構 IPA
2016/05/12 「IoT開発におけるセキュリティ設計の手引き」を公開:IPA 独立行政法人 情報処理推進機構 IPA
2016/05/25 フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: フィッシング対策ガイドラインの改訂について フィッシング対策協議会
2016/05/27 マイクロソフトのパスワードに関するガイダンス Microsoft
2016/05/27 フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | フィッシングレポート 2016 の掲載 ~ 世界に広がるフィッシング対策の輪 ~ フィッシング対策協議会
2016/05/31 IPAテクニカルウォッチ「増加するインターネット接続機器の不適切な情報公開とその対策」:IPA 独立行政法人 情報処理推進機構 IPA

インシデント・脆弱性

2016/05/03 OpenSSLの更新版公開、複数の脆弱性を修正 - ITmedia エンタープライズ
 “リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする可能性”
2015/05/04 ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog
 
2016/05/10 QuickTime for Windows の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
  “当該製品の利用者は速やかにアンインストールを行い、代替製品の使用を検討してください”
2016/05/11 Amebaに不正ログイン5万件 リスト型攻撃受け、全ユーザーにパスワード変更呼び掛け - ITmedia ニュース
  "7日までに約5万件の不正ログインがあった""不正ログインの試行回数は223万回"
2016/05/19 今すぐLinkedInのパスワードの変更を | Kaspersky Daily - カスペルスキー公式ブログ
 “2012年に流出したログインとパスワード1億1700万人分が、売りに出されている”
2016/05/26 2016年5月の文科省なりすましメールについてまとめてみた - piyolog
 "慶應義塾大学の職員6名へなりすましメールが届いたことが確認されている"

読み物

2016/05/01 パスワードを定期的に変更させるシステム仕様には問題がある - GIGAZINE
  “イギリス政府通信本部の情報通信セキュリティ部門CESGが2015年に発表したパスワード運用ガイダンスは、定期的なパスワード変更に対して明確に反対しています”
2016/05/02 危険すぎる...病院へのサイバー攻撃が恐ろしく進化しているけど病院の準備不足が深刻化 : ギズモード・ジャパン
  “IT面アップデート用の資金捻出に苦労している病院もある" "古いシステムと、きちんとトレーニングされていないスタッフのコンビネーション”
2016/05/03 【海外セキュリティ】 USBメモリばらまき実験/セキュリティベンダーの年次報告書 - INTERNET Watch Watch
 “細工を施したUSBメモリを拾わせるという攻撃手法が有効であることを、ある程度証明した”
2016/05/06 エフセキュアブログ : 暗号化ランサムウェアのマネタイズ
 “バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている”"時にはカレンダー上の行事に合わせている" 一億総バックアップ時代到来
2016/05/06 @ITセキュリティフォーラムGW特別企画:GW中に読みたいサイバーセキュリティ関連記事まとめ (1/2) - @IT
 “2016年1月~4月に@IT「Security & Trust」フォーラムで公開した記事の中から、「各月最も読まれた記事トップ3」を紹介”
2016/05/06 IEとEdge、7月からSHA-1証明書使用サイトの鍵アイコン消滅 - ITmedia エンタープライズ
 “「Windows 10 Anniversary Update」以降、EdgeとInternet Explorer(IE)では、SHA-1証明書を使ったWebサイトが安全とは見なされなくなり、アドレスバーの鍵アイコンが表示されなくなる”
2016/05/09 システムを感染させるためにマルウェアが使うPowerShell : マカフィー株式会社 公式ブログ
 “多くのサンドボックスシステム上では検知できないPowerShellと.lnkの組み合わせ”
2016/05/09 インタビュー&トーク - 「大こけ」の反省から生まれた新バージョン 海外でも手応え十分 :ITpro
 “社外での追跡消去もいいんだけど、それよりも社内を守りたい”"ファイルサーバーから社員のローカルPCにデータをコピーした時点でもう統制できなくなってしまう"
2016/05/09 2.7億件のログイン情報流出との報道、ほぼすべてのパスワードは無効--グーグルら声明 - CNET Japan
 “発見された2億7230万件のパスワードのサンプルを調査し、その大半は対応する電子メールアカウントと無関係であると判断した”
2016/05/09 【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT
 “IPアドレスを詐称してTFTPサーバへファイルの要求を行うもので、要求を受けたサーバは、詐称されたIPアドレスに対し、ファイルの送信を繰り返し試みる”
2016/05/10 News & Trend - サイバー新国家資格「情報処理安全確保支援士」の全容、講習義務化で能力維持:ITpro
 “登録番号や登録年月日など支援士資格確認のために必要な事項の公開は必須とするが、氏名や勤務先などの公開は任意とする”
2016/05/10 DDoS攻撃クロニクル(3):インターネットにおけるDDoS対策が難しい理由(その2) (1/4) - @IT
 “この1年ほどでリフレクション攻撃が急増した""リフレクション攻撃は、図5のようにUDPベースで提供されるネットワーク上のさまざまなサービスを悪用して行われる”
2016/05/10 ランサムウェア「CryptXXX」に暗号化されたデータの復号ツールをKasperskyが無償公開 - 窓の杜
  "ファイルを復号するには、「CryptXXX」に暗号化されてしまったファイルの元のバージョン(暗号化されていない状態のファイル)が最低1つ必要で、暗号化されずにいるファイルが多いほど復号が機能"
2016/05/12 Verizon社のデータ漏洩/侵害調査報告書が重要である理由 : マカフィー株式会社 公式ブログ
 “データ漏洩・侵害の63%は弱いパスワードが関係”"フィッシングメールを受け取った人の30%がメールを開き、そのうち13%が添付ファイルやリンクをクリック"
2016/05/12 日本型セキュリティの現実と理想:第22回 ランサムウェアの意外な歴史といま猛威を振るう理由 (1/3) - ITmedia エンタープライズ
 “フロッピーディスクのラベルには「エイズ・ウイルス情報入門」とあり、受け取った人が信頼してこのプログラムをインストールすると、ランサムウェアに感染してしまう”
2016/05/12 SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害 - ITmedia エンタープライズ
 “悪用された場合、HTTPを経由してSAPシステムに管理者権限でアクセスされ、情報やプロセスを制御される恐れ”
2016/05/12 通信の安全を守るためにエンジニアができること
 “相互接続性優先の考えは脆弱である いくら強い暗号スイートを優先的に利用できるようにしていても 中間者攻撃、ダウングレード攻撃に対して無力”
2016/05/13 Facebook、セキュリティ向上のためCTFキットをオープンソース化 | マイナビニュース
 “中高生レベルのセキュリティ教育に貢献するため、CTFを実行するためのバックエンドやゲームマップ、チーム登録やスコアリングシステムをオープンソース化した”
2016/05/13 匿名FTPサーバで重要情報が公開されていることへの注意喚起 | セキュリティ情報 | 株式会社ラック
 “情報が公開状態となっていたのは国内の約3400組織・個人”"管理が不十分なまま匿名FTPサーバを使っているのは、個人以外では中小企業がほとんど"
2016/05/16 セキュリティ・ダークナイト ライジング(外伝):「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る (2/5) - @IT
 “ランサムウェアは『業者でも身代金を払って復元している』。その後で、依頼者に高額の料金を請求している”
2016/05/17 【やじうまWatch】「cyberjapan.jp」廃止に伴う国土地理院のなにげない発表にネットユーザー絶句 - INTERNET Watch Watch
 “「廃止」ではなく「運用停止」との表現に”
2016/05/17 ランサムウェアの被害はどこまで深刻化する?--企業はどう備えるべきか - ZDNet Japan
 “「Android」機器が「Dogspectus」というランサムウェアの標的となり、Linuxシステムも暗号化型ランサムウェアの標的となる事例が増加している。また「OS X」も最近、「KeRanger」というランサムウェア”
2016/05/17 豪州「サイバー報復」を明言 新サイバーセキュリティ戦略に注目が集まる | THE ZERO/ONE
 “サイバー攻撃から自国を守る戦略ではなく、「相手国をサイバー攻撃する」戦略”
2016/05/18 セキュリティ、いまさら聞いてもいいですか?(8):なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み (3/4) - @IT
 “超音波を発生させる装置を店舗に設置し、その音波を「スマートフォンのマイクで拾う」”
2016/05/18 TeslaCrypt shuts down and Releases Master Decryption Key
 "while their previous distributors have been switching over to distributing the CryptXXX ransomware.”” used the support chat on the Tesla payment site to ask if they would release the master TeslaCrypt decryption key." "they agreed to do so"
2016/05/19 ランサムウェア TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
 “手元で暗号化の後拡張子を「.mp3」に変更するTeslaCryptに感染し、そのファイルを公開されているツールで復号することができるかどうかを試しましたのでその手順を公開します。”
2016/05/19 スマホの位置情報をアプリが無断で広告サービスへ提供していたことが発覚、アプリ開発元が謝罪 - GIGAZINE
 “RunkeeperのAndroidアプリ内で使われている、「Kiip」というサードパーティー製の広告サービスに関連するバグ”
2016/05/19 LinkedInの2012年の情報流出、新たに1億1700万人のパスワードが闇市場で流通 - ITmedia エンタープライズ
 “パスワードはSHA-1を使ってハッシュ化されているものの、強度を高めるためのソルトは行われていなかった”
2016/05/20 さらば、TeslaCrypt:最終ラウンド | Kaspersky Daily - カスペルスキー公式ブログ
 “TeslaCryptをばら撒いていた活動は、CryptXXXのばら撒きにシフトしています(Kaspersky Labは救済ツールを開発済み)”
2016/05/21 政府、サイバー攻撃に対応するための新組織を設置する方針 | スラド セキュリティ
 “公務員身分じゃなくて、非常勤職員(月額14万円くらい、3年任期)で雇う側に都合のいい人材を集めたいだけなんでは?”
2016/05/22 http://headlines.yahoo.co.jp/hl?a=20160521-00050136-yom-soci
 “約2時間半の間に、100人以上の犯人グループが各地で引き出した”
2016/05/22 LinkedInから流出したパスワードトップ50 | マイナビニュース
 “123456 linkedin password”
2016/05/24 グーグル、パスワード入力に代わる「Project Abacus」を今夏試験運用へ - CNET Japan
 “ユーザーの入力方法や話し方を解析し、端末上のセンサからの信号を組み合わせて、本人であることの確からしさを計算”
2016/05/24 「セキュリティ心理学」入門(5):「ヒューマンエラー」は個人の責任ではない (1/3) - @IT
 "個人の努力だけでエラーに対応するのは難しい"
2016/05/25 止まらぬランサムウェアの猛威、2016年1~3月期の脅威動向を分析 | トレンドマイクロ セキュリティブログ
 "ランサムウェアの検出台数は国内では前年同期比9.2倍、海外でも前年同期比3.7倍となっており、法人、個人を問わず世界的に増加" "メール経由での攻撃の拡大"
2016/05/25 Tech TIPS:Windowsのセキュリティ設定を記述するSDDL文字列とは? - @IT
 “監査の設定や、DCOMのセキュリティ設定など、セキュリティ関連の設定項目で広く利用されている表記方法”
2016/05/25 コンビニATM14億円不正引き出し、管理甘い日本が狙われる | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
 "より新しく安全性が高い「チップ・アンド・ピン」システムを導入しておらず、旧式で安全性の低い「磁気ストライプ」のカードが通用する国"
2016/05/25 定期的なパスワード変更は危険? World Password Dayに英諜報機関が警告 | THE ZERO/ONE
 “これまで使ってきたパスワードに少しだけ変化を加えた文字列を設定したり、パスワードをどこかに書き留めてしまったり、ひとつの「新しいパスワード」を複数の認証で利用したりする”
2016/05/26 自分のメールアドレスの漏洩状況をチェックできる「Have I been pwned?」 - 知っ得!旬のネットサービス - 窓の杜
 “メールアドレスを登録することで、新規に発生したインシデントにメールアドレスが含まれていた際に通知を受け取る機能も用意”
2016/05/27 最近の不正ログインの傾向 Yahoo編: 独房の中
 "YahooメールにIMAPでの不正ログイン"
2016/05/27 10の疑問を試して解明 セキュリティ大実験室 - 無線LANのSSIDを隠すのは効果ある?:ITpro
 “本当に、隠蔽されたSSIDは簡単に解析できるのか。実際に試した”
2016/05/27 Microsoft、安易なパスワードを使用禁止 攻撃にも対抗措置 - ITmedia エンタープライズ
 "どのようなパスワードが狙われているのかを分析し、当座の攻撃対象になっていると思われるパスワードをMicrosoft Accountなどで使えないようにする対抗措置" "禁止パスワードのリストは動的に更新"
2016/05/30 安易なコピー&ペーストによりユーザーに任意のコードを実行させるPoC「Pastejacking」の危険性。 | AAPL Ch.
 “一見目的のコードしか記載されていないWebページでもJavaScriptを利用することでクリップボードへ任意のコードを送り、クリップボードへペーストした時点でそのコードを実行させる”
2016/05/30 【清水理史の「イニシャルB」】 セキュリティ被害発生! 「調べてよ」と言われたときの準備は大丈夫? - INTERNET Watch Watch
 “キャプチャしたパケットからファイルを取り出す方法や一部の情報しか与えられていなログから感染端末を探す方法など、実戦で役立つ情報がかなり詰め込まれている”
2016/05/31 総務省|「IoTセキュリティガイドライン」(案)に関する意見募集
 
ランサムウェアのイラスト(スマートフォン) | 無料イラスト かわいいフリー素材集 いらすとや
 どこかで使うかも

関連記事

security.nekotricolor.com

2016年にまとめた記事

はてなブックマークフィードを利用して月ごとのはてブをまとめる

読み物

今年毎月まとめているセキュリティに関する記事。「文書公開」「インシデント・脆弱性」「読み物」の3つのカテゴリに分けてまとめています。

security.nekotricolor.com

最初は地道に手でコピペしてましたがさすがに面倒なのと、せっかくはてなに越してきたのではてブを使いたい。ということで、「気になる記事ははてブしておき、月ごとにまとめる」ということにしてみました。

で、はてブはいろんなAPIを公開しているので、最初ははてブの各エントリの情報を取得して加工しようかと思っていました。

はてなブックマークエントリー情報取得API - Hatena Developer Center

が、フィードを取ってくれば、RubyでXML処理するだけでいけそう。

はてなブックマークフィード仕様 - Hatena Developer Center

タグの情報が入る要素があるので、しかるべきタグをつけておけば、各カテゴリについて簡単にまとめられそうです。

ブックマークのルール

記事に必要な情報は、

  • 記事作成日時
  • 記事タイトル
  • 情報源
  • 記事の引用・コメント

の4つ。

記事タイトルと情報源は、はてな記法の[記事のURL:title]の形で表示されるものをそのまま使います。

ということで、以下のようなルールでブクマするようにします。

文書公開 [YYYYMM][YYYYMMDD][securitydocument] 引用orコメント
インシデント・脆弱性 [YYYYMM][YYYYMMDD][securityincident] (引用orコメント)
読み物 [YYYYMM][YYYYMMDD][securitynews] 引用orコメント

2016年5月はこのルールでブクマしてみました。

201605に関するnekotricolorのはてなブックマーク

はてなブックマークフィードの仕様

ルールに沿ってつけたブックマークのフィードを取得し、Rubyを使って月次でまとめていきます。

フィードの使用については前述のここで説明されています。

はてなブックマークフィード仕様 - Hatena Developer Center

たとえば

http://b.hatena.ne.jp/nekotricolor/atomfeed?tag=201605&tag=securitynews

というURLから、以下のようなXMLファイルをGETできます。

<feed xmlns="http://purl.org/atom/ns#" xmlns:opensearch="http://a9.com/-/spec/opensearchrss/1.0/" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:taxo="http://purl.org/rss/1.0/modules/taxonomy/" xml:lang="ja">
<title>201605とsecuritynewsに関するnekotricolorのはてなブックマーク (12)</title>
<link type="text/html" rel="alternate" href="http://b.hatena.ne.jp/nekotricolor/201605/securitynews/"/>
<link type="application/x.atom+xml" rel="service.post" href="http://b.hatena.ne.jp/atom/post" title="201605とsecuritynewsに関するnekotricolorのはてなブックマーク (12)"/>
<entry>
<id>
tag:hatena.ne.jp,2005:bookmark-nekotricolor-287084623
</id>
<title>
【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT
</title>
<link type="text/html" rel="related" href="http://www.security-next.com/069607"/>
<link type="text/html" rel="alternate" href="http://b.hatena.ne.jp/nekotricolor/20160510#bookmark-287084623"/>
<link type="application/x.atom+xml" rel="service.edit" title="【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT" href="http://b.hatena.ne.jp/atom/edit/287084623"/>
<summary>
“IPアドレスを詐称してTFTPサーバへファイルの要求を行うもので、要求を受けたサーバは、詐称されたIPアドレスに対し、ファイルの送信を繰り返し試みる”
</summary>
<content type="html">...</content>
<issued>2016-05-10T12:01:55+09:00</issued>
<author>
<name>nekotricolor</name>
</author>
<dc:subject>201605</dc:subject>
<dc:subject>20160509</dc:subject>
<dc:subject>securitynews</dc:subject>
</entry>
(略)
</feed>

ブログに必要な情報は以下のタグに入っています。

記事作成日時 feed/entry/dc:subject
記事のURL feed/entry/linkのrel="related"
引用・コメント feed/entry/summary

この3つの情報は、たとえば2016年5月分のsecuritynewsタグをつけたブックマークのフィードを「201605-securitynews.xml」として保存した場合、以下ようなRubyで取ってくることができます。
# 日付はYYYYMMDDをYYYY/MM/DDに変換してます。

require 'rexml/document'
doc = REXML::Document.new("201605-securitynews.xml")
date = url = summary = ""

doc.elements.each('feed/entry') {|entry|
 entry.elements.each('dc:subject'){|element|
   if element.text =~ /\d\d\d\d\d\d\d\d/
    date = element.text.scan(/(\d\d\d\d)(\d\d)(\d\d)/).join("/")
   end
 }
 url = entry.elements['link[@rel="related"]'].attributes['href']
 summary = entry.elements['summary'].text
}

これをうまいことはてな記法に入れ込めば記事完成。「文書公開」に関しては情報源も重要なので、手動で確認して書いてます。まあ数が少ないから気にならない。

なお、このフィードには1ページ20件しか出力されないので、ofパラメータを使って全件取ってくる必要があります。たとえば、2ページ目と3ページ目のURLは以下のようになります。

http://b.hatena.ne.jp/nekotricolor/atomfeed?tag=201605&tag=securitynews&of=20
http://b.hatena.ne.jp/nekotricolor/atomfeed?tag=201605&tag=securitynews&of=40

ブクマ数の表示

読み物については、ブクマ数も表示するようにしました。こんなことできるんですね。

自分のブログに「○○users」を表示する - はてなブックマークヘルプ

http://b.hatena.ne.jp/entry/image/エントリーのURL
という URL を指定すると、そのエントリーのブックマーク数を画像で取得することが可能です。

以上の手順でまとめたのが2016年5月の記事です。

security.nekotricolor.com

うん、この方が断然後から見直しやすい。

今後の課題

記事作成日時については、記事の中から作成日時が書かれている場所を探して手動でタグをつける、というようなことをやっていて、これはなんとか自動化したいところなんですがダメですね。フィードとかはてなの仕様とかではなく、そもそも記事の作成日時は、その記事の中を見ないとわからないんですよね。

みなさん苦戦しているようです。

upa-pc.blogspot.jp


英語の記事でもあった。

www.makeuseof.com


Google検索は結果にその記事がいつ書かれたか表示されるので、上記記事にはそれを利用する方法も書かれています(検索時に「&as_qdr=y15」をつけると確実に表示されるそうで)。ただこれはあくまでGoogleがその記事の存在を認識したときなので、正確ではない可能性も。

This date isn’t guaranteed to be the publication date. It’s usually the date that Google last noticed an update to that page.

Wayback Machineだと正確な日時が分かりそうですがそこまでするのもなあ。

Internet Archive’s Wayback Machine lets you know how many times the archive has saved a specific page, and between which dates. Often, you can even look at what that page looked like at specific points in time. This means you can prove that the quote or data you’re referencing was actually there on that date.

RSSからは当然作成日時が取れるのでなんとかなりそうなもんですが、今のところスマートに取得する方法は思いつきません。Readabilityに保存すると掲載日も保存されて「おっ」と思いましたが保存されない記事もあったりして。

最初に記事が公開された時刻というのは割と重要だと思うんですけど、表示方法が統一されてないですよね。HTML5では「pubdate」というのが公開日時を表す属性になる予定だったのが廃止になったそうで、代わりにSchema.orgの「dataPublished」を使えということになっています。

あなたが見逃してるかもしれないHTML5で廃止された5つの要素・属性 - Coding Design's Tumblr

pubdateを使うかわりにブログポスト用のスキーマを使うのがよいということになってるようです。

ちなみにはてなブログでは「pubdate」を使ってますね。以下ソース。

<a href="http://security.nekotricolor.com/entries/2015/04/16" rel="nofollow">
       <time pubdate datetime="2015-04-16T10:04:30Z" title="2015-04-16T10:04:30Z">
            <span class="date-year">2015</span>
            <span class="hyphen">-</span>
            <span class="date-month">04</span>
            <span class="hyphen">-</span>
            <span class="date-day">16</span>
       </time>
 </a>

作成日時に限らず、このHTMLの書き方の自由さというのには
セキュリティ新着情報をつぶやくボットの方でも苦労させられていて、少なくとも政府系では新着情報の書き方とか、せめて日時のフォーマットくらいは統一しろやと思うんですけど、HTML5が普及すればこの辺もラクになるのかしら(ならないんだろうなあ。

感想

4月まではタイトルが気になったものをとりあえず残している感じでしたが、それだとあんまり意味がないのでサラッとでも読んで要約になりそうな部分を引用するようにしたらだいぶいい感じになってきました。自分がなんの分野に興味があるのかも分かるし(最近はランサムウェア"業界"の変容ぶりが気になる)。その代わりAppleとFBIの攻防とか、興味のない分野は根こそぎ無視するのでそれはそれでいいのかなーと思いつつ。まあこういうのは後から意味が出てくるもので継続が大事なので、変に義務を課すようなことはせず、ストレスにならない方法を今後も模索していくつもりです。

セキュリティに限らず自分のはてぶをこういう風にまとめて置いておくっていうのは他にも使えそうな方法だな。ほんとRubyが書けるようになってよかった。

関連記事

security.nekotricolor.com