情報セキュリティニュース(事故事例)4件ご案内します
情報セキュリティニュース(事故事例)をご案内します。4件
オープンソースのリモートフォレンジックツール「Bitscout」が公開
リモートから情報収集や分析を行うことができるフォレンジックツール「Bitscout」が公開
された。GitHubより入手できる。
同ソフトウェアは、オープンソースのデジタルフォレンジックツール。リモートよりディス
クイメージなどデータを取得でき、ローカルで分析することが可能。
調査対象となるデータストレージを元の状態のまま保ち、改変や消失のリスクなどもないと
いう。
外部ツールを用いたマルウェアのスキャンや、削除されたファイルの復元、システム修復、
レジストリキーの検索などに対応。共有ビュー機能を利用することで、ローカル側でリモー
トから実行される調査作業を確認できる。
開発を手がけたのは、Kaspersky Labのセキュリティ研究者であるVitaly Kamluk氏。イン
シデント調査にあたり、証拠データが改変されていないことを保証する必要があったが、
無償かつ容易に実現できるツールがなかったため、自ら開発したという。
(2017/08/24)
脆弱性指摘受けた「Foxit Reader」、25日にパッチ公開予定
PDFビューワーソフト「Foxit Reader」に脆弱性があるとの指摘を受けたFoxit Softwareは、
8月25日にアップデートをリリースし、脆弱性を解消する計画であることを明らかにした。
不正なコード実行につながるおそれがある2件の脆弱性「CVE-2017-10951」
「CVE-2017-10952」が「Foxit Reader」および「PhantomPDF」に含まれることが判明
したもの。
当初同社では、「保護モード(Safe Reading Mode)」を利用することで脆弱性の悪用を
防げるとして修正しない方針を示していたが、Zero Day Initiative(ZDI)がゼロデイ脆弱性
として公開後、方針を転換し、修正するとアナウンスしていた。
同社では、JavaScriptの不正利用に対する追加の保護機能を追加したパッチ「同8.3.2」を
8月25日にリリースする方針だという。
(2017/08/23)
「セキュリティ知識分野人材スキルマップ2017年版」が公開 - 「ITSS+」と連携強化
日本ネットワークセキュリティ協会(JNSA)は、「セキュリティ知識分野(SecBoK)人材
スキルマップ」の2017年版を公開した。
同資料は、セキュリティの関連業務に携わる人材が身につけるべき知識、スキルを体系的に
整理したスキルマップ。経済産業省の委託事業として作成、公開している。
脅威や技術の変化に対応するため、約7年ぶりの改訂となった2016年版に続き�改訂された
もので、「ITSS+」との連携を強化した。
「SecBoK」では、情報セキュリティ人材において16種類の役割を抽出しているが、2017年
版では、セキュリティ領域において設計や開発、運用、保守、セキュリティ監査など13の
専門分野を具体化している「ITSS+」との関係を明確化している。
(2017/08/22)
韓NetSarang製サーバ管理ツールのアップデートにバックドア - 「PlugX」との類似点も
韓NetSarang Computerが提供するサーバ管理ツールのアップデートが改ざんされ、バック
ドア機能を持つマルウェア「ShadowPad」が仕込まれていたことがわかった。
7月に金融機関から依頼を受けたKaspersky Labが、不審なDNSリクエストについて調査を
行ったところ発見したもの。
リクエストの送信元がNetSarangのサーバ管理ソフトであり、NetSarangの正規アップデ
ートが改ざんされ、マルウェアによってリクエストが実行されていることを突き止めたという。
改ざんされたアップデートがインストールされると、複数のドメインに対して8時間に1回、
感染コンピュータのユーザー名やドメイン名、ホスト名などを送信するようになっていた。
攻撃者は、送信された情報へ応答することでバックドアを有効化し、悪意あるコードをダウン
ロード、実行することで組織内部のデータを取得することが可能。実際に香港の企業において、
バックドアが設置されたことが確認されている。
因果関係はわかっていないが、利用されたマルウェア「ShadowPad」は、中国語を利用する
攻撃グループ「Winnti」が過去に使用したマルウェアの「PlugX」亜種へ類似した部分が見ら
れたという。
Kasperskyからの連絡を受けたNetSarangは、問題を解消したアップデートを公開した。
NetSarangでは、セキュリティベンダーへ今回の問題を通知したとしており、同製品のライ
ブラリファイルが隔離されたり、削除されている可能性がある。その場合は、手動でアップ
デートを実施する必要がある。
Kasperskyでは、金融、教育、通信、製造、エネルギー、運輸業界など、同製品の導入企業は
ワールドワイドで数百にのぼり、アップデートを適用していない組織が存在する可能性がある
として、注意を呼びかけている。
今回、脆弱性の影響を受ける製品は以下のとおり。
Xmanager Enterprise 5.0 Build 1232
Xmanager 5.0 Build 1045
Xshell 5.0 Build 1322
Xftp 5.0 Build 1218
Xlpd 5.0 Build 1220
(2017/08/18)
