セキュアNEWS まとめ

IT関連のセキュリティを中心にPC、ガジェット関連、IT時事に関わるニュースをまとめたブログ。

    2019年02月

    IoT機器を侵入調査、ついに始まったNOTICEの実態

    2019年 2月28日

    national_08_02

     総務省と情報通信研究機構(NICT)は2019年2月20日、「NOTICE(National Operation Towards IoT Clean Environment)」と呼ぶプロジェクトを開始した。日本国内にあるIoT機器に外部からアクセスし、容易にログインできる機器を見つけると、プロバイダー(電気通信事業者)経由で該当機器を使っているユーザーに通知するというものだ。


    pic01

    タレントのカンニング竹山氏を使ったポスターを見かけた人もいるだろう。当初の報道で「国が不正アクセス」などと扇情的に伝えられたこともあり、どういったものなのか気になっている人も多いはずだ。その実態を解説する。

    ◆初期設定のままの機器を探す
     NICTによるNOTICEの調査は、複数の段階に分けて実施される。最初に、日本中で使われている約2億件のグローバルIPv4アドレスを対象にポートスキャンを実施し、外部からアクセス可能なポートがないかをチェックする。

     といっても、6万5536個のポート番号全てに当たるのではなく、これまでにウイルス感染に使われたことのあるポートに絞って調査する。

    activity


     外部からアクセス可能なポートが見つかったIPアドレスについては、リモートアクセスのプロトコルであるTELNETでアクセスし、バナー情報が表示されるかを確認する。バナー情報が表示されたら、その内容からアクセスしている機器の種類やベンダーを特定する。
     特定できたら、その機器の初期設定のIDとパスワードを使ってログインを試行。さらに、よく使われるIDとパスワードの組み合わせ約100種類を使ってログインを試みる。

    その結果、ログインできない場合は調査を終了する。
    ログインに成功した場合でもすぐにログアウトしてそれ以上は調査しない。
     ログインできた機器については、そのIPアドレスを管理しているプロバイダーに、ログインに成功した日時や該当機器のIPアドレスおよび機器情報などを伝える。
     連絡を受けたプロバイダーは、NICTから受け取った情報から該当機器のユーザーを特定し、メールなどで通知して注意喚起する。
     その通知には、該当機器が不正アクセスを受ける可能性があることや、パスワード設定の変更やファームウエアの更新などのセキュリティー対策を実施してほしいといったことが書かれている。総務省が設置するユーザーサポートセンターへの案内も含まれている。

     なお、NOTICEの調査で使うIPアドレスは、NICTがWebサイトで公開している。これらのIPアドレスからのポートスキャンならば、気にする必要はない。

    NICT公式サイト:https://www.nict.go.jp/
    NOTICE公式サイト:https://notice.go.jp/


    老舗の圧縮解凍ソフト「WinRAR」に19年以上前から存在する脆弱性が発覚

    2019年02月21日

    winrarportada-1-1200x600


     1990年代から長らく使われている圧縮解凍ソフト(アーカイバ)の1つ「WinRAR」に、長らく脆弱性が存在していたことがわかりました。正確には、WinRAR本体ではなく、WinRARで用いられている2005年以来更新されていなかったライブラリの脆弱性で、おそらく19年以上前から存在していたとみられています。

    脆弱性が見つかったのはWinRARが用いているライブラリの1つで、ACE形式ファイルの展開に用いられる「unacev2.dll」

    セキュリティ企業のCheck Point Researchによれば、unacev2.dllに存在するのはパストラバーサルの脆弱性で、WinRARで「悪意あるアーカイブファイル」を開いた場合に任意のフォルダーにファイルを作成することができ、リモートでコードを実行される恐れがあるとのこと。


    具体的なデモンストレーション映像も公開されています。

    ※脆弱性を利用した、Windows PCの「スタートアップ」フォルダにマルウェアを仕掛けることに成功した。このPCを再起動すると、マルウェアが起動してPCに感染し、そのPCを乗っ取る。」という内容の動画を公開。



    Check Point Researchからの連絡を受けて、WinRARの開発元・RARLABは「WinRAR 5.70 beta1」でunacev2.dllを削除し、セキュリティ保護のためにACE形式への対応を取り止めました。
    なお、この脆弱性については、「CVE-2018-20250」「CVE-2018-20251」「CVE-2018-20252」「CVE-2018-20253」という共通脆弱性識別子が割り当てられている。

    2019年1月28日付けでアラビア語版・ブルガリア語版・中国語簡体字版・オランダ語版・英語版・フィンランド語版・フランス語版・ハンガリー語版・インドネシア語版・ポルトガル語版・ブラジルポルトガル語版・ルーマニア語版・ロシア語版・セルビア語キリル文字版・スウェーデン語版・ウクライナ語版がリリースされました。
    公式サイト:WinRAR



    ※世界中で利用されているWinRARですが、過去19年間にリリースされた全バージョンのWinRARに影響するようです。
    現在は修正パッチを配布しており問題を修正したのことです。
    開発チームは UnAceV2.dllが2005年からアップデートされておらず、そのソースコードにもアクセスできないため、aceアーカイブ形式のサポートを打ち切ることにしたということです。

    DNSインフラを狙う攻撃増加、ICANNがDNSSECの導入を呼び掛け

    2019年 2月26日

    20190226-00000023-zdn_ep-000-1-view

    ICANNのプレスリリース

     インターネットの基盤を担うDNSインフラを狙った攻撃の増加が伝えられている問題で、ドメイン名やIPアドレスを管理する非営利組織ICANNは2月22日、データの偽装を検知できる拡張仕様の「DNSSEC」を導入するよう業界に呼び掛けた。DNSの主要部分に対する「現在進行中の重大なリスク」が存在すると警告している。

     この問題では米国土安全保障省も、DNSインフラの改ざん被害が多発しているとして全省庁に警戒を促し、緊急対策を指示していた。

     ICANNによると、DNSインフラ攻撃は多面的でさまざまな手口があるが、一部では狙った相手のサーバのアドレスを、攻撃者がコントロールするマシンのアドレスに書き換える手口が使われている。米国土安全保障省が指摘していたのもこの手口だった。

     DNSSECはデータにデジタルで「署名」することによって、そうした改ざんを防ぐ技術で、DNSSECが実装されていればこの種の攻撃は通用しないとICANNは指摘。「DNSSECでDNSに対するあらゆる形態の攻撃を解決することは不可能だが、これを使えばDNS情報の不正な改ざんは検知できる」としている。

    ※DNSSEC(DNS Security Extensions)とは
     DNSにおける応答の正当性を保証するための拡張仕様である。サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS応答の偽造や改竄を検出することができる。
    つまりDNS応答が正しいサーバーから応答されたものであるか検証する仕組みともいえる。
    出典:Wikipedia


     ICANNは2019年2月15日に公開したセキュリティ対策に関するチェックリストでも、システム防御のための措置について、DNS関連業界向けに解説していた。

    キャ

     また、2019年3月9日~14日に神戸で開かれるICANN64会議では、DNS防御をテーマにしたイベントが予定されているという。


    CPU使用率が100%に急騰も、Microsoftがセキュリティ情報公開

    2019年02月22日 

    ki_ms01
    Microsoftが公開したセキュリティ情報


     米Microsoftは2月20日、Windowsに搭載しているWebサーバソフト「Internet Information Services」(IIS)について、HTTP/2のリクエスト処理に関する問題が発覚したとして、セキュリティ情報を公開した。

     Microsoftのセキュリティ情報によると、この問題ではISSを実行しているWindows Serverに不正なHTTP/2リクエストを送り付けることで、一時的にCPUの使用率を100%まで上昇させることができてしまう可能性がある。

     場合によってはサービスが不安定になり、CPUの使用率が急騰して、接続がタイムアウトになって途切れてしまうこともあるとしている。

     Microsoftはこの問題に対処するため、リクエストに含まれるHTTP/2 SETTINGSの数に上限を設定できるようにした。上限はIIS管理者が設定する必要がある。

     影響を受けるのはWindows 10とWindows Server 2016(およびWindows Server)。対策として、2019年2月のセキュリティ以外の更新プログラムをインストールするよう勧告している。

    「有料サイトの登録料が未納」 約200万円詐取か

    2019年2月27日

    チャ

    「有料サイトの登録料」などと言って、およそ200万円をだまし取るなどしたグループのリーダー格の男が逮捕された。

    無職の下間蓮容疑者(26)は、2018年8月から9月にかけて、熊本県の61歳の男性に電話をかけ、「有料サイトの登録料が未納」とうそを言って、およそ200万円をだまし取るなどした疑いが持たれている。

    下間容疑者は、少なくとも20人のかけ子のリーダー格で、先週逮捕された指定暴力団住吉会系幹部の細谷翼容疑者に連絡し、受け子や出し子を派遣してもらっていたとみられている。

    警視庁の調べに対し、下間容疑者は黙秘している。

    記事元:https://headlines.yahoo.co.jp/videonews/fnn?a=20190227-00412978-fnn-soci

    ※ネットの反応

    *****
    とにかくこの手の犯罪は重罰化しないと増える一方。手軽にできるし根気よくやればいつかは騙される奴かいる。しかも捕まりづらい。警察も本気で動かない。犯罪者にとっていいことばかり。なんとかする気はないのか?

    *****
    有料サイトには例え登録しようが、あなたの住所、電話番号、メルアド記載しなければ全く問題ありません。どうして払うか意味がわかりません。私も試して見ましたが勝手に登録され24万お支払い下さいのメッセージ。全く無視して消去して終わり。良く考えて下さい、あなたがメルアド、電話、住所などの個人情報を記載しなければ100%大丈夫です。勝手に閲覧後消去しましょう。

    *****
    身に覚えがあるから払っちゃうんでしょうね。 こんなものは無視しない限り、カモリストに載っていろいろな詐欺電話が掛かってきますよ。

    *****
    出会い系料金未納など、ヤミ金の債権回収詐欺と同じく一昔前にかなり流行った手口だが、すぐニュースやらで世にひろまって彼らも稼げなくなった。が、風化の後ににまた繰り返すんだな。

    *****
    容疑者いわく、嘘を本気にする方も悪い。


    このページのトップヘ