MBR破壊型・ワーム型ランサムウェア 「Bad Rabbit」
以下の行動を行い、増殖をするもの。
ローカルキルスイッチのチェック
複数のタスクスケジュールの作成
一般ファイルの暗号化(ランサムウェア)
ディスクの暗号化(ランサムウェア)
セキュリティ製品プロセスの検索
イベントログの削除
ジャーナルの削除
ネットワーク関連情報の取得
ユーザー名/パスワードを用いたローカルネットワークへの辞書攻撃
保存されている認証情報の奪取
保存されている資格情報の奪取
詳細は以下のページ
ポイントは以下だと思う。
あたかも一般的な実行ファイル形式で感染する
※Adobe Flash Playerのインストーラーを装ったりする。
C:\Windows\System32\rundll32.exeを実行する。
イベントログなどで検出はできるのではないかと思うが
上記の実行ファイルの検知とジャーナルの削除履歴、管理者権限での実行コマンドなどあわせて確認する必要がある。
かつ、PC内で完結するため、外部アクセスログなどからは判断できないと思われる。
※ただし、同じネットワーク内に感染させるため、通信ははしるのでその状況もみればわかる。SOCの対応が必要か。
セキュリティ脆弱性情報 2/25
1.Microsoft 製品の脆弱性対策について(2018年2月)
2018/2/15 更新対象は以下。
Internet Explorer
Microsoft Edge
Microsoft Windows
Microsoft Office、Microsoft Office Servers および Web Apps
ChakraCore
Adobe Flash Playerに関する脆弱性の修正プログラム
2.Apache Tomcat の複数の脆弱性に対するアップデート
2018/2/23更新、対象のバージョンは以下
Apache Tomcat 9.0.0.M1 から 9.0.4 まで
Apache Tomcat 8.5.0 から 8.5.27 まで
Apache Tomcat 8.0.0.RC1 から 8.0.49 まで
Apache Tomcat 7.0.0 から 7.0.84 まで
3.iOS 版 LINE における SSL サーバ証明書の検証不備の脆弱性
2018/02/23更新
7.1.3 未満のバージョンおよび 7.16 以上のバージョンは本脆弱性の影響を受けない。
本脆弱性は、2017年11月24日にリリース済の iOS 版 LINE バージョン 7.16 で対策されているとのこと。
CySA+ 環境の変化とは その3
クラウドになることでセキュリティはどうかわるのか?
http://www.meti.go.jp/press/2013/03/20140314004/20140314004-2.pdf
クラウドサービスの中で,
CPU,メモリ,ストレージ,ネットワークなどをサービスとして提供するものを IaaS,
オペレーティングシステム,データベース,開発環境,実行環境を提供するものを PaaS,
すぐに使えるアプリケーションを提供するものを SaaS と定義・・だそうです。
すこしわかりづらいかも。
情報資産を自組織の外部に置くことを意味し、外部組織(クラウド提供事業者)に依拠せずに情報セキュリティのマネジメントをすることはできない。
なので必要な情報は開示してもらう必要がある。
資料の後半、クラウドサービスのリスクの記載があるので参考になる。
(90ページくらいか)
これは試験のためでなく、勉強しておいた方がよさそうだ。
CySA+ 環境の変化とは その2
インターナル・エクスターナルというキーワードはどういった意味で問題に出るのか調べようとしたが、いい記事が見つからなかった。
類似問題から何か情報を調べたかったが、ダウンロードできるものにはそれらしいものがなく。(そもそも問題は10問だけ、かつOnly English.. )
教科書的なものもないのでとりあえずは無視しておこうかと思う。
おそらく内部セグメントと外部セグメントの境界の話か、何かだと思う。
クラウドによってどう脅威が変わるのか、また明日調べてみよう。
不審なFacebook投稿に注意・セキュリティ脆弱性情報
どうやらなりすまし?と思われるものがでていた。
JALを語っているので気を付けたい。
http://www.itmedia.co.jp/news/articles/1802/15/news077.html
セキュリティ製品のアップデートも運用の1つなので忘れずに対応したい。
https://jvn.jp/jp/JVN28865183/
情報漏えいについての記事。
日本ネットワークセキュリティ協会(JNSA)が公開情報によると、管理ミスなどがほとんどだそうだ。
飛天ジャパンが提供するソリューション「SecureCore DSE」というパッケージでまとめて管理できるとあるが、どうだろうか。