読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2016年5月に日本語で公開された主な脆弱性・インシデント・セキュリティ情報

2016年に目についた脆弱性やセキュリティインシデント、面白かった記事などを時系列で追えるようにする試み。

なお、以下の表ははてなブックマークフィードを使ってRubyで生成しています。

security.nekotricolor.com

インシデント・脆弱性

2016/05/03 OpenSSLの更新版公開、複数の脆弱性を修正 - ITmedia エンタープライズ
 “リモートの攻撃者にシステムを制御されたり、中間者攻撃を仕掛けられてトラフィックの暗号を解除されたりする可能性”
2015/05/04 ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた - piyolog
 
2016/05/10 QuickTime for Windows の脆弱性対策について:IPA 独立行政法人 情報処理推進機構
  “当該製品の利用者は速やかにアンインストールを行い、代替製品の使用を検討してください”
2016/05/11 Amebaに不正ログイン5万件 リスト型攻撃受け、全ユーザーにパスワード変更呼び掛け - ITmedia ニュース
  "7日までに約5万件の不正ログインがあった""不正ログインの試行回数は223万回"
2016/05/19 今すぐLinkedInのパスワードの変更を | Kaspersky Daily - カスペルスキー公式ブログ
 “2012年に流出したログインとパスワード1億1700万人分が、売りに出されている”
2016/05/26 2016年5月の文科省なりすましメールについてまとめてみた - piyolog
 "慶應義塾大学の職員6名へなりすましメールが届いたことが確認されている"

読み物

2016/05/01 パスワードを定期的に変更させるシステム仕様には問題がある - GIGAZINE
  “イギリス政府通信本部の情報通信セキュリティ部門CESGが2015年に発表したパスワード運用ガイダンスは、定期的なパスワード変更に対して明確に反対しています”
2016/05/02 危険すぎる...病院へのサイバー攻撃が恐ろしく進化しているけど病院の準備不足が深刻化 : ギズモード・ジャパン
  “IT面アップデート用の資金捻出に苦労している病院もある" "古いシステムと、きちんとトレーニングされていないスタッフのコンビネーション”
2016/05/03 【海外セキュリティ】 USBメモリばらまき実験/セキュリティベンダーの年次報告書 - INTERNET Watch Watch
 “細工を施したUSBメモリを拾わせるという攻撃手法が有効であることを、ある程度証明した”
2016/05/06 エフセキュアブログ : 暗号化ランサムウェアのマネタイズ
 “バンキング型トロイの木馬のような他のマルウェアのモデルから取って代わり続けている”"時にはカレンダー上の行事に合わせている" 一億総バックアップ時代到来
2016/05/06 @ITセキュリティフォーラムGW特別企画:GW中に読みたいサイバーセキュリティ関連記事まとめ (1/2) - @IT
 “2016年1月~4月に@IT「Security & Trust」フォーラムで公開した記事の中から、「各月最も読まれた記事トップ3」を紹介”
2016/05/06 IEとEdge、7月からSHA-1証明書使用サイトの鍵アイコン消滅 - ITmedia エンタープライズ
 “「Windows 10 Anniversary Update」以降、EdgeとInternet Explorer(IE)では、SHA-1証明書を使ったWebサイトが安全とは見なされなくなり、アドレスバーの鍵アイコンが表示されなくなる”
2016/05/09 システムを感染させるためにマルウェアが使うPowerShell : マカフィー株式会社 公式ブログ
 “多くのサンドボックスシステム上では検知できないPowerShellと.lnkの組み合わせ”
2016/05/09 インタビュー&トーク - 「大こけ」の反省から生まれた新バージョン 海外でも手応え十分 :ITpro
 “社外での追跡消去もいいんだけど、それよりも社内を守りたい”"ファイルサーバーから社員のローカルPCにデータをコピーした時点でもう統制できなくなってしまう"
2016/05/09 2.7億件のログイン情報流出との報道、ほぼすべてのパスワードは無効--グーグルら声明 - CNET Japan
 “発見された2億7230万件のパスワードのサンプルを調査し、その大半は対応する電子メールアカウントと無関係であると判断した”
2016/05/09 【セキュリティ ニュース】TFTPのリフレクション攻撃に注意 - 約60倍の増幅率(1ページ目 / 全1ページ):Security NEXT
 “IPアドレスを詐称してTFTPサーバへファイルの要求を行うもので、要求を受けたサーバは、詐称されたIPアドレスに対し、ファイルの送信を繰り返し試みる”
2016/05/10 News & Trend - サイバー新国家資格「情報処理安全確保支援士」の全容、講習義務化で能力維持:ITpro
 “登録番号や登録年月日など支援士資格確認のために必要な事項の公開は必須とするが、氏名や勤務先などの公開は任意とする”
2016/05/10 DDoS攻撃クロニクル(3):インターネットにおけるDDoS対策が難しい理由(その2) (1/4) - @IT
 “この1年ほどでリフレクション攻撃が急増した""リフレクション攻撃は、図5のようにUDPベースで提供されるネットワーク上のさまざまなサービスを悪用して行われる”
2016/05/10 ランサムウェア「CryptXXX」に暗号化されたデータの復号ツールをKasperskyが無償公開 - 窓の杜
  "ファイルを復号するには、「CryptXXX」に暗号化されてしまったファイルの元のバージョン(暗号化されていない状態のファイル)が最低1つ必要で、暗号化されずにいるファイルが多いほど復号が機能"
2016/05/12 Verizon社のデータ漏洩/侵害調査報告書が重要である理由 : マカフィー株式会社 公式ブログ
 “データ漏洩・侵害の63%は弱いパスワードが関係”"フィッシングメールを受け取った人の30%がメールを開き、そのうち13%が添付ファイルやリンクをクリック"
2016/05/12 日本型セキュリティの現実と理想:第22回 ランサムウェアの意外な歴史といま猛威を振るう理由 (1/3) - ITmedia エンタープライズ
 “フロッピーディスクのラベルには「エイズ・ウイルス情報入門」とあり、受け取った人が信頼してこのプログラムをインストールすると、ランサムウェアに感染してしまう”
2016/05/12 SAP製品の古い脆弱性を突く攻撃横行、日本企業に被害 - ITmedia エンタープライズ
 “悪用された場合、HTTPを経由してSAPシステムに管理者権限でアクセスされ、情報やプロセスを制御される恐れ”
2016/05/12 通信の安全を守るためにエンジニアができること
 “相互接続性優先の考えは脆弱である いくら強い暗号スイートを優先的に利用できるようにしていても 中間者攻撃、ダウングレード攻撃に対して無力”
2016/05/13 Facebook、セキュリティ向上のためCTFキットをオープンソース化 | マイナビニュース
 “中高生レベルのセキュリティ教育に貢献するため、CTFを実行するためのバックエンドやゲームマップ、チーム登録やスコアリングシステムをオープンソース化した”
2016/05/13 匿名FTPサーバで重要情報が公開されていることへの注意喚起 | セキュリティ情報 | 株式会社ラック
 “情報が公開状態となっていたのは国内の約3400組織・個人”"管理が不十分なまま匿名FTPサーバを使っているのは、個人以外では中小企業がほとんど"
2016/05/16 セキュリティ・ダークナイト ライジング(外伝):「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る (2/5) - @IT
 “ランサムウェアは『業者でも身代金を払って復元している』。その後で、依頼者に高額の料金を請求している”
2016/05/17 【やじうまWatch】「cyberjapan.jp」廃止に伴う国土地理院のなにげない発表にネットユーザー絶句 - INTERNET Watch Watch
 “「廃止」ではなく「運用停止」との表現に”
2016/05/17 ランサムウェアの被害はどこまで深刻化する?--企業はどう備えるべきか - ZDNet Japan
 “「Android」機器が「Dogspectus」というランサムウェアの標的となり、Linuxシステムも暗号化型ランサムウェアの標的となる事例が増加している。また「OS X」も最近、「KeRanger」というランサムウェア”
2016/05/17 豪州「サイバー報復」を明言 新サイバーセキュリティ戦略に注目が集まる | THE ZERO/ONE
 “サイバー攻撃から自国を守る戦略ではなく、「相手国をサイバー攻撃する」戦略”
2016/05/18 セキュリティ、いまさら聞いてもいいですか?(8):なぜ、GPSをオフにしても「位置情報」が取得できるの?――最低限押さえておくべき位置情報取得の仕組み (3/4) - @IT
 “超音波を発生させる装置を店舗に設置し、その音波を「スマートフォンのマイクで拾う」”
2016/05/18 TeslaCrypt shuts down and Releases Master Decryption Key
 "while their previous distributors have been switching over to distributing the CryptXXX ransomware.”” used the support chat on the Tesla payment site to ask if they would release the master TeslaCrypt decryption key." "they agreed to do so"
2016/05/19 ランサムウェア TeslaCryptによって暗号化されたファイルの復号手順メモ | (n)inja csirt
 “手元で暗号化の後拡張子を「.mp3」に変更するTeslaCryptに感染し、そのファイルを公開されているツールで復号することができるかどうかを試しましたのでその手順を公開します。”
2016/05/19 スマホの位置情報をアプリが無断で広告サービスへ提供していたことが発覚、アプリ開発元が謝罪 - GIGAZINE
 “RunkeeperのAndroidアプリ内で使われている、「Kiip」というサードパーティー製の広告サービスに関連するバグ”
2016/05/19 LinkedInの2012年の情報流出、新たに1億1700万人のパスワードが闇市場で流通 - ITmedia エンタープライズ
 “パスワードはSHA-1を使ってハッシュ化されているものの、強度を高めるためのソルトは行われていなかった”
2016/05/20 さらば、TeslaCrypt:最終ラウンド | Kaspersky Daily - カスペルスキー公式ブログ
 “TeslaCryptをばら撒いていた活動は、CryptXXXのばら撒きにシフトしています(Kaspersky Labは救済ツールを開発済み)”
2016/05/21 政府、サイバー攻撃に対応するための新組織を設置する方針 | スラド セキュリティ
 “公務員身分じゃなくて、非常勤職員(月額14万円くらい、3年任期)で雇う側に都合のいい人材を集めたいだけなんでは?”
2016/05/22 http://headlines.yahoo.co.jp/hl?a=20160521-00050136-yom-soci
 “約2時間半の間に、100人以上の犯人グループが各地で引き出した”
2016/05/22 LinkedInから流出したパスワードトップ50 | マイナビニュース
 “123456 linkedin password”
2016/05/24 グーグル、パスワード入力に代わる「Project Abacus」を今夏試験運用へ - CNET Japan
 “ユーザーの入力方法や話し方を解析し、端末上のセンサからの信号を組み合わせて、本人であることの確からしさを計算”
2016/05/24 「セキュリティ心理学」入門(5):「ヒューマンエラー」は個人の責任ではない (1/3) - @IT
 "個人の努力だけでエラーに対応するのは難しい"
2016/05/25 止まらぬランサムウェアの猛威、2016年1~3月期の脅威動向を分析 | トレンドマイクロ セキュリティブログ
 "ランサムウェアの検出台数は国内では前年同期比9.2倍、海外でも前年同期比3.7倍となっており、法人、個人を問わず世界的に増加" "メール経由での攻撃の拡大"
2016/05/25 Tech TIPS:Windowsのセキュリティ設定を記述するSDDL文字列とは? - @IT
 “監査の設定や、DCOMのセキュリティ設定など、セキュリティ関連の設定項目で広く利用されている表記方法”
2016/05/25 コンビニATM14億円不正引き出し、管理甘い日本が狙われる | ワールド | 最新記事 | ニューズウィーク日本版 オフィシャルサイト
 "より新しく安全性が高い「チップ・アンド・ピン」システムを導入しておらず、旧式で安全性の低い「磁気ストライプ」のカードが通用する国"
2016/05/25 定期的なパスワード変更は危険? World Password Dayに英諜報機関が警告 | THE ZERO/ONE
 “これまで使ってきたパスワードに少しだけ変化を加えた文字列を設定したり、パスワードをどこかに書き留めてしまったり、ひとつの「新しいパスワード」を複数の認証で利用したりする”
2016/05/26 自分のメールアドレスの漏洩状況をチェックできる「Have I been pwned?」 - 知っ得!旬のネットサービス - 窓の杜
 “メールアドレスを登録することで、新規に発生したインシデントにメールアドレスが含まれていた際に通知を受け取る機能も用意”
2016/05/27 最近の不正ログインの傾向 Yahoo編: 独房の中
 "YahooメールにIMAPでの不正ログイン"
2016/05/27 10の疑問を試して解明 セキュリティ大実験室 - 無線LANのSSIDを隠すのは効果ある?:ITpro
 “本当に、隠蔽されたSSIDは簡単に解析できるのか。実際に試した”
2016/05/27 Microsoft、安易なパスワードを使用禁止 攻撃にも対抗措置 - ITmedia エンタープライズ
 "どのようなパスワードが狙われているのかを分析し、当座の攻撃対象になっていると思われるパスワードをMicrosoft Accountなどで使えないようにする対抗措置" "禁止パスワードのリストは動的に更新"
2016/05/30 安易なコピー&ペーストによりユーザーに任意のコードを実行させるPoC「Pastejacking」の危険性。 | AAPL Ch.
 “一見目的のコードしか記載されていないWebページでもJavaScriptを利用することでクリップボードへ任意のコードを送り、クリップボードへペーストした時点でそのコードを実行させる”
2016/05/30 【清水理史の「イニシャルB」】 セキュリティ被害発生! 「調べてよ」と言われたときの準備は大丈夫? - INTERNET Watch Watch
 “キャプチャしたパケットからファイルを取り出す方法や一部の情報しか与えられていなログから感染端末を探す方法など、実戦で役立つ情報がかなり詰め込まれている”
2016/05/31 総務省|「IoTセキュリティガイドライン」(案)に関する意見募集
 
ランサムウェアのイラスト(スマートフォン) | 無料イラスト かわいいフリー素材集 いらすとや
 どこかで使うかも