kumanekose’s diary

Safari インジェクションの脆弱性

セキュリティインシデント

Safari におけるスクリプトインジェクションの脆弱性が発生とのこと。

Safariは身近だから。

Safari version 11.0.2 およびそれ以前が対象。

https://jvn.jp/jp/JVN01161596/index.html

仮想通貨取引所・金融庁が警告

セキュリティ情報

セキュリティインシデントや情報漏えいではないが気になる記事があった。

仮想通貨に関係するマルウェアも多いし、取引所も仮想通貨そのものの種類も多いので
違法なサイトには気を付けないといけない。

経済産業省、配布した資料で個人情報が漏えい

セキュリティ事故

以下、サイトからの転載。

配布資料の黒塗りが不十分で個人情報が漏えい(経済産業省) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

総合資源エネルギー調査会基本政策分科会の資料(「意見箱」として

国民の意見をとりまとめたもの)において、傍聴席に紙で配布したもののうち、

一部のページで個人情報の黒塗りが十分ではなく意見提出者の個人名や連絡先等の個人情報が透けて見えているものがあった。

どの会社でもそうだし、経済産業省でも同じ。

チェック体制の問題はあると思う。

TLS 実装における対策が不十分

セキュリティ情報 JVN

複数の TLS 実装において Bleichenbacher 攻撃対策が不十分である問題。

そんな情報がでていた。

JVNVU#92438713: 複数の TLS 実装において Bleichenbacher 攻撃対策が不十分である問題

Bleichenbacher 攻撃がなにか簡単にまとめると、

TLSは暗号化するのに、

・対象物に対してハッシュ値を求める

・ハッシュ値にパディングを加える

・秘密鍵でべき乗する

という手順らしい。

PKCS#1のメッセージ処理でパディングエラーが発生した際の動作を観察することで暗号化を解読することが可能になる、というもので、その攻撃を「Bleichenbacher 」と呼んでいるそうだ。

今は「ROBOT攻撃」という言い方が一般的？

で、結局何がやばいのか。

RFCでもみないとPKCS#1のフォーマットもわからないし、「観察」しつづけないと解読できない。

PKCS#1のメッセージ処理はタイムアウトやコネクションのリセットなどの動作の傾向などから、といういう話もあるので、普通にユーザが通信している分には問題ないだろう。

https://tools.ietf.org/html/rfc8017

FireEye Dead Drop Resolver - マルウェアの踏み台に

セキュリティ情報

ファイア・アイとマイクロソフト、TechNetを悪用した中国のサイバー脅威グループ「APT17」の新たな手口を浮き彫りに | FireEye

だいぶ古い記事だが、気になったので見てみた。

マルウェアに感染した端末がC2サーバを正規のサービス（TechNet)を踏み台にしてIPアドレスを取得し、通信する、と思われる。

情報セキュリティ業界で「デッド・ドロップ・リゾルバー（Dead Drop Resolver）」と呼ばれるそうで、Microsoft TechNet上でIPアドレスのエンコードしてC2サーバの通信の踏み台として利用するらしい。

攻撃者のメリットとしては・・

C2サーバの情報をダウンロードするためにアクセスするサイトは正規サービスのため、検知・遮断をされづらい。

C2サーバとの通信が失敗し標的のネットワークにアクセスできなくなった場合に、侵入したマルウェアが駆除されない限り、通信先を変更する事ができる。

代表的なマルウェアは、Elirks、Winntiとのこと。

マクニカとFireEyeのサイトを参考にした。

インテリジェンス・マルウェアなどの傾向

セキュリティ情報

シマンテックが2月のインテリジェンスとして情報を公開している。

マルウェア

攻撃グループ「Chafer」が、中東の組織を狙ってさらに活発な活動を展開、

電気通信業界と輸送業界の標的に。

感染経路がExcelとある。（マクロなのだろうか。）

スパムメールの傾向として

バレンタインデーが近づいてくると、偽のロマンチックな出会いを提供してユーザーを欺くことがあるそう。

また、医薬品オンライン販売の広告が PDF として添付されていて、件名はランダムで、「Offer（特別サービス）」「Discount（ディスカウント）」「Sale（セールス）」「Coupon（クーポン券）」「Final sale（最終セール）」といったランダムな言葉の後ろに 7 ～ 9 桁の数字が続くようなケースがあったとのこと。

モバイル・ソーシャルの傾向として

Fakeapp Android マルウェアファミリーの新しい亜種。

デバイスに侵入したマルウェアが、ユーザーのアカウントへのアクセス情報を取得するため偽のログインページを表示するという手口・・

ITパスポート試験(IPA)のシステムで不具合

セキュリティインシデント情報漏えい

影響範囲は団体申込者が利用するシステム。

2つの団体申込者が、Webサイトから申込情報をCSVファイルでダウンロードできる機能を同時に利用したところ、双方の申込情報が合わさって記載されたCSVファイルが双方でダウンロードされた・・

とんでもない問題だと思う。

システムの試験をしていないのだろうかと疑う。

利用者に悪意がなくてもバグからおきるセキュリティインシデント。

複雑なウィルスやマルウェアだけでなくソフトウェアを品質高く作ることがセキュリティのリスクを下げることだと改めて認識した。

なお、システムはすでに改修済みとのこと。