情報セキュリティニュース（事故事例）をご案内します。4件

情報セキュリティニュース（事故事例）をご案内します。4件

◆445番ポートへのパケットを継続して観測、
　　「WannaCrypt」の影響収束せず

2017年第3四半期は、前四半期から引き続き、
「TCP 445番ポート」へのパケットが観測された。
ランサムウェア「WannaCrypt」の探索行為に起因するケース
もあり、知らぬ間に同マルウェアの亜種へ感染していた事例
もあったとして注意を呼びかけている。

JPCERTコーディネーションセンターが、センサーにより観測
したパケットの状況を取りまとめたもの。

同センターによれば、2017年第3四半期は前四半期と変わらず、
「telnet」で利用する「TCP 23番ポート」に対するパケット
が最多だった。

次いで多かったのは、「Windows SQLServer」で使われる
「TCP 1433番ポート」。さらにSSHで使用する「TCP 22番ポート」、
「Windows」のファイル共有プロトコル「SMB」で使われる
「TCP 445番ポート」と続く。1位から4位までは前四半期から
変化は見られなかった。

「22番ポート」に対するパケットの多くは、国内の一部携帯電話
事業者やMVNOのネットワークが発信元で、これらはNTTドコモが
提供するWi-Fiルータ「Wi-Fi STATION L-02F」が原因だった。

（2017/11/30）

◆Apple、「macOS High Sierra」向けに緊急アップデート
　　　　　 - root権限取得できる問題へ対応

Appleは、「macOS High Sierra 10.13」に脆弱性が見つかった
問題で、セキュリティアップデート「Security Update 2017-001」
を緊急リリースした。

認証を回避し、パスワードを入力することなくデフォルトで
無効化されている「rootユーザー」として容易にログインできる
脆弱性「CVE-2017-13872」へ対応したもの。

インストール後は、ビルドナンバーが「17B1002」になる。
ビルドナンバーは、Appleメニューの「この Mac について」から
確認することが可能。

また同社は、「rootユーザー」を有効化し、パスワードを設定
する方法についてもあらためてアナウンスした。

他OSに関して同社は、「macOS Sierra 10.12.6」および以前の
バージョンには影響ないとしている。

（2017/11/30）

◆悪用難しいと思われた「Office脆弱性」、公表2週間で
　　　マルウェアに - Visa偽装メールで拡散

11月に公開されたマイクロソフトの月例セキュリティ更新に
より修正された「Office」の脆弱性が、すでにマルウェアを
感染させる攻撃に悪用されていることがわかった。

問題の脆弱性は、「Office」の数式エディタに存在する
「CVE-2017-11882」。同脆弱性を悪用する「RTFファイル」
を添付したメールが確認された。

攻撃を報告したFortinetによれば、今回の攻撃では最終的に
ペネトレーションツール「Cobalt Strike」のコンポーネント
をインストールさせようとしていたもの。

同脆弱性は、マイクロソフトによって11月の月例パッチにより
修正された。脆弱性が公開された時点で悪用は確認されていな
かったが、その後実証コードが公開され、容易に悪用でき、
与える影響も小さくないとして注意喚起も行われている。

今回確認されたケースでは、Visaが提供する電子マネーの
「Visa payWave」に関連したメールを偽装。ロシア語で記載
されており、脆弱性を悪用するRTFファイルを添付していた。

サンドボックスなどの検出を避けるため、ファイルにはパス
ワードを設定。受信者へ本文中に記載したパスワードを利用
して開くよう求める。

マルウェアと気が付かずに誤って開くと文書が開かれると同時
に、バックグラウンドでPowerShellスクリプトが動作。
「Cobalt Strike」のクライアントがメモリ上で直接実行させら
れるという。

「CVE-2017-11882」は、公表当初、「脆弱性が悪用される可能
性は低い」とレーティングされており、攻撃に利用される見込
みは低いと見られたが、公開から2週間ほどで、悪用するマル
ウェアが登場したことになる。

攻撃の発生を受け、情報処理推進機構（IPA）も脆弱性について
注意喚起を実施。修正プログラムを適用していない場合は、
早急にアップデートするよう呼びかけている。

（2017/11/29）

◆金融機関や物流事業者名乗るマルウェアメールに注意を

複数の金融機関や、物流事業者を装うマルウェア感染メールが、
11月20日以降確認されている。攻撃者は、悪用する金融機関の
ブランドを拡大しており、今回確認された金融機関に限らず、
広く注意が必要だ。

日本サイバー犯罪対策センター（JC3）によれば、マルウェアを
感染させるために送信されているメールにおいて、従来より確認
されている「三井住友銀行」や「みずほ銀行」にくわえ、
「スルガ銀行」「ゆうちょ銀行」「楽天銀行」など、複数の金融
機関のブランドが悪用されているという。

「スルガ銀行」を装ったケースでは、カードローン利用者を標的
としており、審査終了後にカードを郵送するなどとメールに記載。
詳細の確認と称して「zipファイル」をダウンロードさせようと
していた。

またゆうちょ銀行のオンラインバンキング利用者もターゲットと
なっている。入金の連絡を偽装したメールを利用し、マルウェア
を含むzipファイルを開かせようとしていた。

さらに海運事業を手がける「ジャパントラスト」をかたるメール
も発生。「Re:お振込口座変更のご連絡」とする件名で送信されて
おり、あたかもメールへの返信であるかのように偽装するソーシ
ャルエンジニアリングを用いている。

メールの本文は「今月分の入金から振込口座を変更させてほしい」
などと説明する内容でドキュメントファイルを添付しているという。
ジャパントラストにおいても、一切関係ないメールであるとし、
注意を呼びかけている。

（2017/11/29）