情報セキュリティニュース(事故事例)をご案内します。4件
情報セキュリティニュース(事故事例)をご案内します。4件
◆目立つ「HeartBleed」関連インシデント - ラック報告
ラックによれば、2017年第2四半期はSOCにおいて「重要インシデント」の検知が
増加しており、特に「HeartBleed」関連の検知が目立ったという。
同社がセキュリティオペレーションセンター「JSOC」で検知した攻撃を分析、
取りまとめたもの。「緊急事態のインシデント」と「攻撃が成功した可能性が
高いインシデント」を「重要インシデント」とし、傾向を調べた。
同社が2017年第2四半期に検知した「重要インシデント」は353件。前四半期の
332件を上回った。そのうちインターネット経由の攻撃で生じた「重要インシ
デント」は128件。前四半期の164件から減少している。
前四半期に悪用が目立った「Apache Struts 2」の脆弱性だが、今回検知された
インシデントは10件にとどまり、前四半期の31件から約3分の1に縮小した。
一方、「OpenSSL」の脆弱性「HeartBleed」を悪用するインシデントが、前四半期
の4件から23件に増加。特に4月下旬から5月上旬にかけて検知されたという。
中国の特定IPアドレスを発信元をとした攻撃では、「HeartBleed」以外にも、
「Apache Struts」や「Joomla!」の脆弱性を狙った攻撃が展開されていたという。
同四半期にネットワーク内部から検知した重要インシデントは225件で、前四半期
の168件を上回った。
もっとも多かったのは、オンラインバンキングのアカウント情報を窃取する
「Ursnif」の感染で50件にのぼる。同マルウェアは、「Gozi」「Snifula」
「Papras」といった別名でも知られている。
また、「ET-Trojan」の感染は前四半期の3倍にあたる34件を検知。ランサムウェア
「WannaCrypt」の感染時に発生する「TCP445番ポートへの不審な通信」も21件
検出されたという。
(2017/09/26)
◆「Apache Tomcat」にゼロデイ脆弱性 - 緩和策の実施を
「Apache Tomcat」において、リモートよりコードの実行が可能となる未修正の脆弱性
が存在することがわかった。9月19日に修正された脆弱性と類似しているが、より多く
の環境が影響を受けると見られる。
同ソフトウェアに関しては、9月19日に脆弱性2件へ対処した「同7.0.81」がリリース
されたばかり。
読み取り専用に設定していない状態で「HTTP」による「PUTリクエスト」を受け入れる
と、リモートよりコードを実行される脆弱性「CVE-2017-12616」など解消されたが、
今回あらたに未修正の脆弱性「CVE-2017-12617」が判明した。
「CVE-2017-12616」に類似しており、「readonly」を無効化していると、リモートより
「PUTメソッド」によってコードを実行されるおそれがあるという。
先に修正された「CVE-2017-12616」に関しては、Windows環境のみに存在するが、今回
判明した「CVE-2017-12617」は、より多くの環境が影響を受ける。
同脆弱性について検証したJPCERTコーディネーションセンターでは、Windows以外の
環境で悪用できることを確認。さらに「CVE-2017-12616」よりも多くのバージョンに
影響を及ぼすことがわかったという。
Apache Software Foundationは、9月26日の段階で同脆弱性の詳細についてアナウンス
を行っておらず、パッチなども公開されていない。
同センターでは「readonlyパラメータ」を「true」にするか、「PUTリクエスト」を
受け付けないよう設定するなど、緩和策の実施を呼びかけている。
(2017/09/26)
◆Scalaの「JWT」に署名の検証処理を回避できる脆弱性
Scalaにおける「JSON Web Token(JWT)」の実装において、署名の検証処理が回避され
る脆弱性が判明した。
「jwt-scala」において、ヘッダの処理に問題があり、トークンにおける署名を検証せず、
署名がないトークンを署名済みのトークンとして処理する脆弱性「CVE-2017-10862」が
含まれるという。
同脆弱性は、リクルートテクノロジーズの杉山俊春氏がJPCERTコーディネーションセン
ターへ報告。同センターが調整を実施し、「Github」のリポジトリでは修正されたという。
(2017/09/25)
◆「WordPress」に複数の脆弱性 - プレースホルダ利用でもSQLiのおそれ
コンテンツマネジメントシステム(CMS)である「WordPress」の開発チームは、脆弱性を
修正したセキュリティアップデート「WordPress 4.8.2」をリリースした。アップデート
を強く推奨している。
今回のアップデートでは、ビジュアルエディタに存在する脆弱性をはじめ、複数のクロス
サイトスクリプティング(XSS)へ対応。パストラバーサルやオープンリダイレクトの脆弱
性に対処した。
さらに、安全なSQLクエリを実行するため、プレースホルダの機能を提供する「wpdbクラス」
の「prepareメソッド」において、「SQLインジェクション」を生じさせるクエリを生成する
おそれがあることが判明した。
同脆弱性は、「WordPress」そのものに直接的な影響はないものの、同関数を利用するプラグ
インやテーマなどが影響を受けるおそれがあることから対策を強化したという。
また今回のアップデートでは、あわせて6件のバグに対応した。開発チームは、旧バージョン
の利用者へ早急にアップデートを実施するよう強く推奨している。
(2017/09/20)
