情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆「Wget」に深刻な脆弱性 - チャンクエンコードの処理に問題

「GNU Wget」に深刻な脆弱性が含まれていることがわかった。
セキュリティ機関が注意を呼びかけている。

Linuxディストリビューションの多くで採用されているファイル
ダウンローダー「GNU Wget」に、バッファオーバーフローの脆弱性
「CVE-2017-13089」「CVE-2017-13090」が含まれていることが明らか
になったもの。

チャンクエンコーディングの処理に問題があり、HTTP経由で細工され
たリンクへ誘導されると、任意のコードを実行されるおそれがあると
いう。

共通脆弱性評価システムであるCVSS v3のスコアは6.3だが、調整を
行ったフィンランドナショナルサイバーセキュリティセンターは、
深刻な脆弱性であるとの見方を示している。

脆弱性を修正した「同1.19.2」が公開されており、アップデートが
呼びかけられている。

（2017/10/27）

◆不正送金マルウェア「Ursnif」、日本を集中攻撃
　　 - 金融機関以外も標的に

9月前後より不正送金マルウェア「Ursnif」の攻撃対象が日本国内の
金融機関を中心に展開されていることがわかった。金融機関以外の
アカウント情報が狙われることもあり、警戒が必要だ。

「Ursnif」は、「Snifula」「Papras」「Gozi」といった別名でも知ら
れるトロイの木馬。同マルウェアのコードを元に作成された後継
「DreamBot」も出回っている。

同マルウェアは2016年以降、活発な動きを見せているが、
IBM X-Forceによれば、2017年第3四半期後半から9月ごろにかけて、
日本国内のオンラインバンキング利用者を対象とした攻撃が開始
されたという。

感染経路は、通販事業者や公共料金の請求書などを装ったメールで、
HTMLメールのリンクよりJavaScriptを含むzipファイルをダウンロー
ドさせ、PowerShellスクリプトを実行させる手口が確認されている。

また悪意あるファイルを閉じたあとにPowerShellを実行させるなど、
サンドボックスによる検知を回避する手口が用いられていた。

さらに感染端末に対してマンインザブラウザ（MITB）や不正サイト
へのリダイレクトなどを利用して情報を窃取しようと試みる。

攻撃には、対象とするウェブサイトの構造などを把握している必要
があり、同社は国内のオンラインバンキング事情に精通した人間が
攻撃に関与している可能性が高いと分析。

攻撃対象は金融機関に限らず、ウェブメール、クラウドストレージ、
仮想通過取引所、ECサイトなど幅広いため、オンラインバンキング
の利用者以外も注意を払う必要がある。

同マルウェアについては、日本サイバー犯罪対策センター（JC3）が
メールの手口を公開し、たびたび注意を呼びかけてきた。仮想通貨
取引所やウェブウォレットのアカウント情報を狙うケースが確認され
た際も注意喚起が行われている。

また9月以前にも国内で感染が確認されており、2017年第2四半期には、
ラックが同社SOCにおいて50件にのぼる「Ursnif」の感染を確認した
ことを明らかにし、注意を呼びかけている。

（2017/10/27）

◆セキュリティリリース「PHP 7.0.25」「同5.6.32」が公開

PHPの開発チームは、複数のセキュリティに関するバグを解消した
「PHP 7.0.25」および「同5.6.32」をリリースした。

いずれも複数のセキュリティに関する問題へ対処したアップデートで、
開発チームはセキュリティリリースと位置付けている。「同7.0.25」
では14件、「同5.6.32」では3件のバグを解消した。

開発チームでは、「同7」および「同5.6」の利用者に対して最新版へ
アップデートするよう呼びかけている。

（2017/10/27）

◆「アカウントで利用規約違反」と不安煽る偽Amazonに注意

「アカウントが利用規約に違反する購入に利用された」などと不安を
煽り、偽サイトへ誘導するフィッシング攻撃が発生している。

フィッシング対策協議会によれば、問題のメールでは、Amazonのサポ
ートを偽装。「このアカウントは一時的に停止されました」「あなた
のAmazonアカウントはセキュリティ上の理由でロックされています」
といった件名で送信されていた。

本文では「情報を保護するためにアカウントを無効にした」などと説明。
本文に記載したリンクから復旧作業などと称してフィッシングサイトへ
誘導し、アカウント情報やクレジットカード情報をだまし取る。

10月26日の時点でフィッシングサイトの稼働が確認されており、
同協議会では閉鎖に向けてJPCERTコーディネーションセンターへ
調査を依頼。類似した攻撃へ注意を呼びかけている。

（2017/10/27）