【転載】VPNサービスが機密情報を含む約1.2TBのユーザーデータを流出

VPNサービスは、機密情報を含む約1.2TBのユーザーデータを漏洩したと伝えられている:

vpn-4046047_1920_1595215879077_159521589

ハイテクサービス会社による最近の発見は、世界を嵐に巻き込んだ。VPNサービスは、保証ほど保護され、安全ではない可能性があり、同社は約894GBのクライアント情報とUFO VPNからのデータがウェブ上で公開されていることを明らかにしています。



これは、1.2TBのクライアント情報を公開したと言われている8つの非常に有名なVPNサービスに当てはまることが証明されました。これらのVPNアプリケーションは、Google Playストアではまだアクセス可能ですが、今まで1つだけ削除されています。



漏洩した情報には、アカウントのパスワード、VPNセッションの秘密/トークン、クライアントデバイスとサーバーの両方のIPアドレス、さらにはデバイスのオペレーティングシステムのような微妙な情報が含まれています。



Comparitechによると、発見を担当する技術サービス会社は、毎日2,000万件以上のクライアントエントリがログに含まれています。



VPNスペシャリストの生協も同様に情報流出に関して知らされたが、そのような主張は否定された。UFO VPNは、クライアントログはトラフィック監視のために保存され、その最後のビットはすべて「匿名化」されていると述べた。



その後、オープンオンラインで約1.2TBのクライアント情報を持つ香港ベースのVPN管理がさらに7つあることが判明しました。



リストには、高速VPN、無料VPN、スーパーVPN、フラッシュVPN、セキュアVPN、ウサギVPN、UFO VPNも組み込まれています。VPNmentorによって発見された、これらすべてのVPNサービスは、典型的なElasticsearchサーバーと支払いのための同じ受信者、ドリームファイHKリミテッドを共有していることが発見されました。



これらのVPN管理から明らかになった情報には、自宅の住所、ビットコイン、PayPalの支払いの詳細、メールアドレスとパスワード、ユーザー名などの機密データが含まれています。ドリームファイHKは、これらすべてのVPNサービスの親会社になることが期待されています。



現時点では、これらのVPNアプリケーションはまだPlayストアでアクセス可能であり、ウサギのVPNのみが削除されています。



ーー以下原文ーー



vpn-4046047_1920_1595215879077_159521589

A recent discovery by a tech service company has taken the world by storm. The VPN services may not be as protected and secure as they guarantee to be, the company reveals that around 894GB of client information and data from UFO VPN has been exposed on the web.

This was proved true for eight quite well-known VPN services that have purportedly released a mammoth 1.2TB of client information. These VPN applications are as yet accessible on the Google Play Store with just one removed until now.

The leaked info contains subtleties like accounts passwords, VPN session secrets/tokens, IP addresses of both client devices and servers, and even the operating system of the devices.

As per by Comparitech, the tech service company responsible for the discovery,  more than 20 million client entries are included in the logs every day.

The VPN specialist co-op was likewise informed regarding the information spill yet denied any such claims. UFO VPN said that the client logs are saved for traffic monitoring and that every last bit of it is 'anonymized'.

It was later found that there are seven more Hong Kong-based VPN administrations that have around 1.2TB of client information out in the open online.

The list incorporates FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN, and UFO VPN as well. Found by VPNmentor, it was discovered that all these VPN services share a typical Elasticsearch server and also the same recipient for payments, Dreamfii HK Limited.

The information uncovered from these VPN administrations contain sensitive data like home addresses, Bitcoin and PayPal payment details, email addresses and passwords, user names, and more. Dreamfii HK is expected to be the parent company for all these VPN services.

As of now, these VPN applications are as yet accessible on the Play Store, and only Rabbit VPN has been removed.

【転載】「IoT・5Gセキュリティ総合対策2020を策定」 - 総務省

「IoT・5Gセキュリティ総合対策2020を策定」 - 総務省:

総務省は、IoTや5G時代に向けてサイバーセキュリティ対策のあり方について取りまとめた「IoT・5Gセキュリティ総合対策2020」を策定した。

同省ではサイバーセキュリティタスクフォースにおいて、「IoT・5G セキュリティ総合対策」を2019年8月に公表しているが、新型コロナウイルス感染症によるテレワークの増加や、5Gの本格開始、電気通信事業者による対策、セキュリティ情報の収集、分析能力の向上に向けた産学官連携など、政策課題として捉え、あらたな施策を盛り込み、「同2020」として策定した。

パブリックコメントは6月6日から同月25日にかけて実施。23件の意見が寄せられ、107項目についてタスクフォースの考え方を示すとともに一部追記や表現の見直しを実施した。

同文書では、情報通信サービスとネットワークの個別分野に関する具体的施策として、IoTや5G、クラウドサービス、スマートシティ、無線LAN、重要インフラとしての情報通信分野、地域の情報通信サービス、テレワークシステムなどのセキュリティ対策について取りまとめた。また電気通信事業者による高度で機動的なサイバー攻撃対策の実現を目指すとしている。

また横断的施策として、研究開発の推進や、人材育成と普及啓発の推進、国際連携の推進、情報共有と情報開示の促進などを盛り込んだ。

(Security NEXT - 2020/07/20 ) このエントリーをはてなブックマークに追加 ツイート

バックアップ

【転載】アメックスのSHOP SMALLキャンペーンが30%キャッシュバックで激熱!多数の飲食店が対象

アメックスのSHOP SMALLキャンペーンが30%キャッシュバックで激熱!多数の飲食店が対象:

アメックスのSHOP SMALL

アメリカン・エキスプレスは2010年から、地域密着の地元のお店を応援するグローバルムーブメント「SHOP SMALL(ショップ・スモール)」を開催しています。

日本では2017年~2019年は「SHOP LOCAL」として開催されましたが、2020年は満を持して「SHOP SMALL」として大々的なキャンペーンが開催されます。

2020年7月3日(金)~9月24日(木)の期間中、中小企業・個人事業の対象店舗で利用するとなんと30%のキャッシュバックを受けられますよ!

エントリーの上で、対象店舗にてアメリカン・エキスプレスのクレジットカードで支払った場合が対象です。キャッシュバックの総額は期間中で合計5,000円まで。

対象店舗を地図やPDFで確認できる専用ページが用意される予定です。

SHOP SMALLの概要

アメックスが開催している「SHOP SMALL」は、加盟店、行政、NPO、企業が連携し、中小ビジネスを支援し地域コミュニティ活性化を促す取り組みです。

アメリカでは以下の間にあたる土曜日を「スモールビジネスサタデー」と定め、この日に地元の個人店で買い物をすることを呼び掛ける運動として始まりました。

  • 感謝祭(11月第4木曜日)翌日のブラックフライデー
  • 翌月曜日のサイバーマンデー
現在までに、カナダ、英国、オーストラリアにも広がり、大統領や州知事も参加するなど、各国で社会的な運動として定着しています。

日本では2017年以降に初のSHOP LOCALを展開し、2020年はSHOP SMALLとして実施されます。

SHOP LOCAL 2020では、アメックスが各地域のお店への支援を行い、地域コミュニティの活性化や地方創生の支援を行うとともに、日本国内のキャッシュレス推進にも寄与していきます。

キャンペーンの内容・対象店舗一覧

今回のキャンペーンは事前登録の先着人数は限定されていません。無制限一本勝負という様相を呈しています。

  • 事前登録期間:2020年7月3日(金)~9月24日(木)
  • 利用期間:2020年7月3日(金)~9月24日(木)
北海道から沖縄まで全国各地の対象店舗にて、30%OFFの割引にてお得にお買い物できます。

30%という水準はアメックスのキャンペーンで最高水準であり、ファンタスティックなキャンペーンです!

キャッシュバックは1回限りではなく、期間中の利用なら何度でも適用されます。

1枚あたり最大5,000円のキャッシュバックが上限なので、通算で約16,700円のショッピングが上限です。

Apple Payによる支払いは対象外なので、必ずクレジットカード払いで支払いましょう。

アメックスプラチナを登録したApple Pay

カード利用によるポイントやマイルはもちろん別途もらえるので、キャッシュバック+ポイント等で二重に得することが可能です。

将棋において飛車だけよりは飛車・角の方が強いのと同様に、お得な仕組みも一つだけよりは二つの方が嬉しいですね。

地味に家計が助かります。このようなキャンペーンは積極的に参加していきたいですね。

対象カード一覧(提携アメックスも対象)

8枚のアメックスカード

アメリカン・エキスプレス・インターナショナル, Inc.(日本支社)が発行しているプロパーのアメックスカードは、もちろんSHOP SMALL 30%キャッシュバックキャンペーンの対象です。

個人事業主・中小企業経営者向けのビジネス・アメックスも対象です。他方、以下のコーポレートカードは対象外となります。

  • アメリカン・エキスプレス・コーポレートカード
  • アメリカン・エキスプレス・ビジネス・トラベル・アカウント
  • コーポレート・パーチェシング・カード
これらの券種に関しては例外なくNGですので、問い合わせるだけ無駄です。

アメックスのコーポレートカード

アメリカン・エキスプレスがライセンスを許与して提携先のクレジットカード会社が発行しているカードも対象です。

  • 株式会社クレディセゾン(セゾン・アメックスなど)
  • 三菱UFJニコス株式会社
  • 株式会社エムアイカード
  • クレディセゾン、三菱UFJニコスの提携カード発行会社・フランチャイジー会社
プロパーカードだけではなく、MUFGゴールド(アメックス)セゾンプラチナ・ビジネス・アメックスエムアイカードなども対象です。

4枚の提携アメックスカード

今回のキャンペーンは、年会費無料で維持できるセゾンパール・アメックスヤマダLABI ANAマイレージクラブカードセゾン・アメックスウォルマートカードセゾン・アメックス三井ショッピングパークカード セゾンも対象です。

楽天プレミアムカード

ただし、楽天カード アメックスは対象外。アメックスのキャッシュバックキャンペーンでは、楽天カードだけ排除されることが大多数であり、今回も同様となっています。

キャンペーン登録方法はWebもしくはアメックス・オファー

アメックスのSHOP SMALL 30%キャッシュバックキャンペーンの留意点としては、事前登録する前のお買い物は対象外になる点です。まずエントリーです。

Webページの他、アメックス会員サイトの「アメックス・オファー」ページで、サクッと簡単にエントリーできる場合もあります。

アメックス会員サイト

現在はリンクをクリックしなくても、トップページを下にスクロールすると、アメックス・オファーの一覧が出るので便利です。

アメックスオファーのページ

スマホアプリの下部メニュー「アメックスオファー」からもキャンペーンに登録できます。

スマホアプリのアメックスオファーの画面

キャンペーンの登録が完了したら、すぐにお知らせメールが送られてくるので安心です。

SHOP SMALLキャンペーンの注意点

今回のアメックスのSHOP SMALLキャンペーンは、日本国内のみが対象です。

  • 日本国内のSHOP SMALL対象の実店舗が対象
  • オンラインでの利用は対象外
  • 海外のSHOP SMALL対象店舗は30%キャッシュバックの対象外
予約商品、入荷待ち予約受付などの場合や、カード利用代金明細書に記載される日付(利用日)がキャンペーン期間中の場合が対象なので、予約商品・取り寄せなどで決済が後日になる場合は要注意。

キャッシュバックの対象外となるリスクを抑制するためには、在庫ありですぐに届くような商品のみが無難です。

また、ボーナス払い・分割払いは対象外なので、一括払いで支払いましょう。

家族カード・追加カードはOK。複数のカードを持っている場合も全て対象なので、例えば2枚の対象アメックスカードを持っていれば、2回キャッシュバックを受けられます。

アメックスプラチナとアメックスビジネスプラチナ

ただし、カード毎の登録が必要。例えば、本会員カードをキャンペーン登録しただけでは、家族カードでのお買い物はキャンペーン対象外です。家族カード番号も登録する必要がある点に注意が必要です。

また、複数枚のアメックスカードを持っている場合で、どのカードでもキャンペーンを受けるためには、各々で事前登録が必要です。

アメックス・ビジネス・カードと個人用アメックスの両方を持っている場合、それぞれで登録が必要です。

5種類のアメックス

登録したカード1枚につきキャッシュバックの上限は1回限りなので、最大でも5,000円です。

一例として、2回16,700円使ったり、通算で33,400円使ってもキャッシュバックは10,000円にはならず5,000円となります。

キャッシュバックは、カード会員の登録カードの利用代金明細書で調整されます。現金での返金・振込はありません。

アメックスのキャッシュバックキャンペーン(2016年3月)

以前にAmazon利用でのキャッシュバックキャンペーンに参加した際も、利用代金明細でマイナスされました。

例えばキャッシュバックが行われる月の請求が77,000円で、5,000円のキャッシュバックがある場合、72,000円が銀行口座から引き落とされます。

アメックスのキャッシュバックキャンペーンの明細

キャッシュバックまでの時間は、優待特典の条件を満たした後、最長でキャンペーン終了から90日かかる場合があります。

ただし、利用条件を満たしてから1~3週間ほどで反映することが多いです。以下は5月12日に利用明細が上がり、5日後の5月17日にキャッシュバックされた明細です。

アメックスのキャッシュバックキャンペーンの履歴

SHOP SMALL ビジネス応援グッズ&協賛金の贈呈

SHOP SMALL ビジネス応援ツール

SHOP SMALLではカード会員側だけではなく、アメリカン・エキスプレスとJCBの加盟店にも無料で販促ツールがプレゼントされます。

除菌・衛生グッズや店頭プロモーションに役立つPOPを、無料で提供します。

無料プレゼントのグッズは、どれも実用的で素晴らしいですね!

アメックスのSHOP SMALLのグッズ

ステッカーレジに置くグッズロゴデータも用意されています!

アメックスの販売促進ツール

また、加盟店がソーシャルメディアに投稿する画像を簡単に作成できる「デジタルフレーム」も用意されています。

SHOP SMALLのオリジナルテンプレートを使っておすすめのメニューやアイテムを紹介できますよ!

アメックスのSHOP SMALLのデジタルフレーム

更に「SHOP SMALLサポートファンド」が立ち上げられて、アメックスが商店街に協賛金最大250万円を提供します。

「SHOP SMALL」の趣旨に沿った店や地域の活性化につながる企画を支援してくれます。

申し込みの内容を審査をし、通過した団体には企画内容や規模に応じた協賛金がプレゼント!

  • 応募資格:商店街団体など、集積するお店を構成員に持つ団体(個人はNG)
  • 対象:最大100商店街・団体
  • 協賛金:30万円〜250万円
  • 応募締切:2020年7月31日(金)
  • 応募方法:企画書と申込用紙をメール送信
  • 企画書の形式:パワーポイント/ワード/PDFいずれかで最大4ページ
  • 応募・問い合わせ先:shopsmall_jp@aexp.com

まとめ

アメックスのSHOP SMALLの30%キャッシュバックキャンペーン

アメックスが「SHOP SMALL」で30%キャッシュバックキャンペーンを開催します。

「地元のお店で生まれる、人と人との温かなつながりを大切に。」という地域活性化・地方創生にも寄与するイベントです。

2020年7月3日(金)~9月24日(木)の期間中、主に中小企業・個人事業の対象店舗で利用するとなんと30%のキャッシュバックを受けられますよ!

エントリーの上で、対象店舗にてアメリカン・エキスプレスのクレジットカードで支払うと、期間中の通算で5,000円まで嬉しいキャッシュバックを受けられます。

セゾン・アメックスエムアイカードMUFGカード ゴールド アメックス等の提携アメックスカードも対象。ただし、楽天カードアメックスは対象外です。


『着ルダケ』サイト閉鎖のお知らせ


『着ルダケ』ってご存じだろうか。

スーツのサブスクリプションサービスで、入会すると2年ごとに新しいスーツが送られてくる。

自分は物を捨てられない性格のため、スーツを買うと結構ボロボロになるまで来てしまう。

見た目の問題もあるので、スーツを2年ごとに交換してくれるサブスクリプションサービスは非常に魅力的だった。

ここまで書くと、利用者で心底気に入っているように聞こえるかもしれないが、自分は利用者ではない。

利用しようと思ったのだが、自分にフィットするサイズが無かったのである。

もう少し豊富にサイズを取り揃えてくれればいいのになーって思っていたら閉鎖のお知らせである。

今更気が付いたが、『着ルダケ』を運営していたのは、武漢ウイルスで経営破綻したレナウンだった。

レナウン、、、イマイチ

【転載】BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた

BYOD端末と撤去控えたサーバーが狙われたNTTコミュニケーションズへの2つの不正アクセスをまとめてみた:

2020年5月28日、NTTコミュニケーションズは社内ネットワークや一部サービスが不正アクセスを受け情報流出の可能性があると発表しました。また、同年7月2日には発表済み事案の影響顧客に追加があったこと、そしてBYOD端末を経由した別事案を把握し、これも情報流出の可能性があると発表しました。ここでは関連する情報をまとめます。

NTTコミュニケーションズで起きた2つの事案

2つの事案概要を図に整理すると次の通り。両事案とも情報流出が発生した可能性がある。f:id:piyokango:20200703155334p:plain2つの事案の概要図

事案① 複数の海外拠点を経由しNTTコミュニケーションズの一部サービスに侵入した事案。さらにそのサービスで運用されるサーバーを踏み台に、社内ネットワークへ侵入し、ADサーバーやファイルサーバーの操作を行った。サービス上で保管された工事情報等やファイルサーバー上の情報が流出した可能性がある。
事案② BYODとして使用していた社員の私用端末から正規のアカウントを盗用され社内ネットワークに侵入された事案。社内のファイルサーバーを閲覧された可能性がある。
  • 同一の不正アクセス元によるものだったのか等、両事案の関連は公式発表では言及されていない。NTTコミュニケーションズは事案①の調査過程で事案②を把握している。
  • 事案①で被害を受けた法人向けクラウドサービスはBiz ホスティング エンタープライズ、Enterprise Cloudオプションサービス。Biz ホスティングエンタープライズは一部オプションサービスを除いて2018年3月にサービス提供を終了している。被害を受けたサーバー群は新サービスへの移行に伴い撤去を控えていた。
  • 事案②のBYOD端末がどのように侵害されたのかは公表されていないが、社員が利用する正規アカウント悪用のため、パスワードも盗まれていた。
  • 正規アカウントを利用されていたため、攻撃者による影響範囲の特定に時間を要した。VDIサーバーは社内ファイルサーバーへのアクセスのため運用されており、社員の約1割が利用している。*1

800社以上の情報流出の可能性

  • 事案①、②の被害状況をまとめると次の通り。
情報流の可能性があるサーバー 影響顧客数 関連事案
工事情報管理サーバー 704社(契約終了の83社含む*2 ) 事案①で影響
社内ファイルサーバー 188社 事案②で影響、事案①も含まれている可能性あり
  • 影響を受けた顧客数は延べ892社になるが、両サーバーに保管されていた顧客に重複はあると報じられている。
  • 社内ファイルサーバーにはサービス情報や、提案資料、工事関係資料、連絡先情報、営業関連資料が含まれる。
  • 影響を受けたのはいずれも法人向けであり、個人向けサービスの顧客の情報は含まれていない。また海外含むクラウドサービス、およびその品質への影響もない。
自衛隊情報も流出か
今回の事案を受け、自衛隊等に関連する情報が流出した可能性があると報じられている。

防衛省・自衛隊 海上作戦センターの通信設備や配置図、自衛隊約10拠点の回線情報等、少なくとも100以上のファイルが流出した可能性。防衛省指定の秘密該当の情報には当たらないとみられている。また防衛省報告の際、対象情報は外部隔離下で管理のため流出の恐れはないと説明。*3
海上保安庁 通信回線機器の工事情報が流出した可能性*4

発覚まで数か月

被害時系列を整理すると次の通り。両事案とも事態把握の9か月前から不正アクセスが始まっていたとみられる。

日時 出来事
2019年9月頃 シンガポール拠点のサーバーを踏み台にタイ拠点のサーバーに不正アクセス。(事案①発生)
2019年9月以降 社員のアカウントを盗用し社内ネットワークに侵入。*5 (事案②発生)
2019年12月 タイ拠点のサーバーを踏み台に米国拠点のサーバーに不正アクセス。
2019年12月中旬 米国拠点のサーバーを踏み台に法人向けクラウドサービスの運用サーバーに不正アクセス。
2020年5月4日~5日 防衛省関連情報へ複数回アクセスが発生。
2020年5月7日 ADサーバーに対する不正な遠隔操作のログをシステム主管部門が検知。
同日 ADサーバーへの遠隔操作の踏み台となったAD運用サーバーを緊急停止。
その調査を受け、クラウドサービスの運用サーバーを緊急停止。
2020年5月11日 社内ファイルサーバーのアクセスログ解析により一部情報流出の可能性を把握。
2020年5月13日 事案の影響を受けたとして防衛省へ報告。
2020年5月26日 事案①の調査過程でVDIサーバー経由で一部の社内ファイルサーバーへの不正アクセスを把握。
同日 BYOD端末、シンクラ専用端末のリモートアクセス環境を停止。
2020年5月28日 事案①による情報流出の可能性を発表。
2020年5月29日 自衛隊関連情報流出の可能性に対する見解として詳細調査中と発表。
2020年6月2日 一部の社内ファイル流出の可能性を把握。
2020年6月26日 事案の影響を受けたとして海上保安庁へ報告。*6
2020年7月2日 事案①の続報、事案②による情報流出の可能性を発表。
  • シンガポールの拠点が被害を受けた時期は公開情報から確認できていない。

NTTコミュニケーションズの対策

影響を受けた顧客への連絡を進める他、事案発生後の対策として以下がとられている。

事案①の対応 ①以下のサーバーの運用を緊急停止。

・海外拠点の運用サーバー

・クラウドサービスの運用サーバー

・社内のAD運用サーバー

・クラウドサービスからマルウエアの通信先を遮断。

ADサーバーから外部通信を全て遮断
事案②の対応 ①把握直後にBYOD端末、シンクラ専用端末のリモートアクセス環境停止。

②全社員のパスワード変更

③リモートアクセス時の認証、監視を強化。
第二報では「今後の対応」として次の対策が挙げている。括弧は同社の注釈より引用。

  • UEBA(ユーザーの行動分析を行い、リスクを早期に検知する手法)の導入
  • EDR(ユーザーが利用するPCやサーバー(エンドポイント)における不審な挙動を検知し、迅速な対応)の導入
  • ゼロトラスト(社内は安全であるという前提の下に境界だけを守るのではなく、社内外すべてが信頼できないことを前提)を基本方針とするセキュリティ対策の強化
  • 社内ファイルサーバーの情報管理の徹底
  • RedTeam(企業や組織へセキュリティ攻撃を実行し、企業や組織が攻撃に適切に対応できるかの評価や改善提案を行う社内の独立したチーム)の強化
  • 社内IT、OT(電力などのライフラインに関わる社会インフラを提供するシステムを最適に動かすための「制御・運用技術・設備」)に対するTLPT(攻撃シナリオにもとづいて疑似的な攻撃を行うことで、セキュリティ対策状況を評価する手法)の継続的な実施

更新履歴

  • 2020年7月3日 PM 新規作成

テレワークの成れの果ては「タコつぼ」化!?


テレビ東京のワールドビジネスサテライトに「コロナに思う」というコーナーがあるらしい。

「らしい」というには、家にテレビが無く、ワールドビジネスサテライトが視聴できないからで、コーナーがYouTubeでも視聴可能になったお陰で存在を知ることができた。

ウラケンさんも推奨しているのだが、基本的にテレビは百害あって一利なしの考えのもと、かれこれ4年近くテレビのない生活を送っている。

しかし、テレビ東京のワールドビジネスサテライト数少ない例外で、有用な番組と認識している。

ワールドビジネスサテライトが有料でWeb同時配信してくれたらどんなにうれしいことかって毎日思ってる。

話がそれたが、その「コロナに思う」のコーナーで、ついにテレワークに警鐘を鳴らす人が現れた。

武漢ウイルスの蔓延により、多くの企業がテレワークと称した強制在宅勤務を導入した。

もともとリモートワークを業務スタイルの一部として取り組んでいた企業は少数のはずなので、ほとんどの企業がバカの一つ覚えで実施している状況となる。

見切り発車したものは当然ひずみが発生する。

現時点でのひずみは先日まとめたとおりである。

そのひずみに少数でも経営者の一部が認識を示してくれたことは歓迎すべきことである。

【転載】SIGRed(CVE-2020-1350)WindowsDNSサーバーのRCE脆弱性について

SIGRed(CVE-2020-1350)WindowsDNSサーバーのRCE脆弱性について:

f:id:micro_keyword:20200716095052j:plain:w400

Microsoft Security Response Centerより「Windows DNS サーバの脆弱性情報 CVE-2020-1350 に関する注意喚起」が発行されました。

msrc-blog.microsoft.com

当該脆弱性については、報告元であるCheck Pointより、SIGRedと命名されています。

research.checkpoint.com

CVSSにて基本スコア10.0となっている当該脆弱性について、海外のブログやWebニュースでも広く取り上げられていたので、本記事でもまとめてみます。


目次


影響を受ける製品とその影響

当該脆弱性CVE-2020-1350はMicrosoft製のDNSサーバにおける実装に起因するため、すべてのバージョンのWindows Server(Windows Server2003~2019など)が影響を受けるとのことです。

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1350

脆弱性を悪用することで、遠隔の第三者によりWindows DNSサーバが制御されてしまう可能性があります。

現時点で、悪用は確認されていないとのことですが、DNSサーバの脆弱性という特性上、2017年に大きな被害をもたらしたWannacryのように組織内で感染を広げるワームへの利用が懸念されています。

脆弱性を悪用することで、特にActive Directory環境におけるドメインコントローラーの特定をし、さらには管理者権限の奪取を行うことで、
マルウェア感染をはじめとしたさまざまな被害をもたらす可能性があります。

真偽は定かではないものの、先日のホンダへのサイバー攻撃についても、ランサムウェアSNAKEが実行された背景にドメインコントローラーの管理者権限が奪われていた可能性を指摘している記事も見当たります。

news.yahoo.co.jp

ホンダへのサイバー攻撃については、以下のリンクも併せてご参照ください。

micro-keyword.hatenablog.com

また、Active Directoryを狙ったサイバー攻撃の検知および対策について、
JPCERT/CCからも資料が公開されているので、こちらも併せてご確認されるとよいかと思います。

www.jpcert.or.jp

CheckPointの報告ブログの記載には、パブリックDNSサーバにWindows DNSサーバを利用しているISP事業者が存在することについても言及しており、早急なパッチ適用を呼び掛けています。


脆弱性の対応策

脆弱性の対応策として、まず、セキュリティ更新プログラムの適応が推奨されています。

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jul

更新プログラムが適応できない場合には、サーバの再起動を伴わない回避策KB4569509の適応を推奨されています。

https://support.microsoft.com/ja-jp/help/4569509/windows-dns-server-remote-code-execution-vulnerability

この回避策はレジストリの変更を伴うもので、許可されるDNS応答パケットのサイズを制限します。

今回の脆弱性自体、攻撃者が悪意のあるDNSクエリを使用することで、ヒープオーバフローを引き起こすものであるため、このような回避策が有効だとされます。

ただ、この回避策を適用することで、DNSの応答サイズが大きい場合、名前解決ができなくなったり、エラーが発生したりする可能性もあるとのことです。

そして、有効にするためにはDNSサービスの再起動が必要です。

なお、注意喚起にも記載がある通り、Windows UpdateおよびMicrosoft Updateの自動更新が有効になっている場合に追加の対応は必要ないとのことです。


まとめ

今回は、WindowsDNSサーバの脆弱性についてまとめてみました。

記事中にも記載しましたが、当該脆弱性の悪用を契機に、組織内への広い侵害が行われる可能性が一番の懸念なのかなと思います。

内容を参考にしていただき、対策をご検討いただけると幸いです。

【転載】バックアップでプライベートメールに自動転送、転送先で不正アクセス被害(横浜国立大学)

バックアップでプライベートメールに自動転送、転送先で不正アクセス被害(横浜国立大学):

横浜国立大学は7月10日、同本学教員が大学アカウントの受信メールをプライベートメールに自動転送をしていたところ、転送先で不正アクセスに遭い、一部メールが第三者に閲覧された可能性が判明したと発表した。



これは同学教員が、大学アカウントの受信メールをバックアップ用としてプライベートメールに自動転送をしていたところ、5月27日にプライベートメール宛に外国からの不正ログインの確認を求めるフィッシングメールを受信、指定に従いID/PWを入力したため第三者からの不正アクセスを受けたというもの。当該教員は、不正アクセス直後にアクセス制限等の措置を行ったが、その後の調査で個人情報を含む一部のメールについて閲覧された可能性が判明した。



閲覧された可能性があるのは、氏名、連絡先等を含む学生 約80件と学外研究者・非常勤講師 約50件の個人情報。



同学では関係者に対し、謝罪を行うとともに相談窓口の設置等について連絡を行っている。



同学では今後、情報管理の徹底を一層強化し、再発防止に取り組むとのこと。

《ScanNetSecurity》