テレワークの成れの果ては「タコつぼ」化！？

テレビ東京のワールドビジネスサテライトに「コロナに思う」というコーナーがあるらしい。

「らしい」というには、家にテレビが無く、ワールドビジネスサテライトが視聴できないからで、コーナーがYouTubeでも視聴可能になったお陰で存在を知ることができた。

ウラケンさんも推奨しているのだが、基本的にテレビは百害あって一利なしの考えのもと、かれこれ4年近くテレビのない生活を送っている。

しかし、テレビ東京のワールドビジネスサテライト数少ない例外で、有用な番組と認識している。

ワールドビジネスサテライトが有料でWeb同時配信してくれたらどんなにうれしいことかって毎日思ってる。

話がそれたが、その「コロナに思う」のコーナーで、ついにテレワークに警鐘を鳴らす人が現れた。

武漢ウイルスの蔓延により、多くの企業がテレワークと称した強制在宅勤務を導入した。

もともとリモートワークを業務スタイルの一部として取り組んでいた企業は少数のはずなので、ほとんどの企業がバカの一つ覚えで実施している状況となる。

見切り発車したものは当然ひずみが発生する。

現時点でのひずみは先日まとめたとおりである。

そのひずみに少数でも経営者の一部が認識を示してくれたことは歓迎すべきことである。

【転載】SIGRed（CVE-2020-1350）WindowsDNSサーバーのRCE脆弱性について

SIGRed（CVE-2020-1350）WindowsDNSサーバーのRCE脆弱性について:



Microsoft Security Response Centerより「Windows DNS サーバの脆弱性情報 CVE-2020-1350 に関する注意喚起」が発行されました。

msrc-blog.microsoft.com

当該脆弱性については、報告元であるCheck Pointより、SIGRedと命名されています。

research.checkpoint.com

CVSSにて基本スコア10.0となっている当該脆弱性について、海外のブログやWebニュースでも広く取り上げられていたので、本記事でもまとめてみます。

---

目次

• 影響を受ける製品とその影響
• 脆弱性の対応策
• まとめ

---

影響を受ける製品とその影響

当該脆弱性CVE-2020-1350はMicrosoft製のDNSサーバにおける実装に起因するため、すべてのバージョンのWindows Server(Windows Server2003～2019など)が影響を受けるとのことです。

https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1350

脆弱性を悪用することで、遠隔の第三者によりWindows DNSサーバが制御されてしまう可能性があります。

現時点で、悪用は確認されていないとのことですが、DNSサーバの脆弱性という特性上、2017年に大きな被害をもたらしたWannacryのように組織内で感染を広げるワームへの利用が懸念されています。

脆弱性を悪用することで、特にActive Directory環境におけるドメインコントローラーの特定をし、さらには管理者権限の奪取を行うことで、
マルウェア感染をはじめとしたさまざまな被害をもたらす可能性があります。

真偽は定かではないものの、先日のホンダへのサイバー攻撃についても、ランサムウェアSNAKEが実行された背景にドメインコントローラーの管理者権限が奪われていた可能性を指摘している記事も見当たります。

news.yahoo.co.jp

ホンダへのサイバー攻撃については、以下のリンクも併せてご参照ください。

micro-keyword.hatenablog.com

また、Active Directoryを狙ったサイバー攻撃の検知および対策について、
JPCERT/CCからも資料が公開されているので、こちらも併せてご確認されるとよいかと思います。

www.jpcert.or.jp

CheckPointの報告ブログの記載には、パブリックDNSサーバにWindows DNSサーバを利用しているISP事業者が存在することについても言及しており、早急なパッチ適用を呼び掛けています。

---

脆弱性の対応策

脆弱性の対応策として、まず、セキュリティ更新プログラムの適応が推奨されています。

https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/2020-Jul

更新プログラムが適応できない場合には、サーバの再起動を伴わない回避策KB4569509の適応を推奨されています。

https://support.microsoft.com/ja-jp/help/4569509/windows-dns-server-remote-code-execution-vulnerability

この回避策はレジストリの変更を伴うもので、許可されるDNS応答パケットのサイズを制限します。

今回の脆弱性自体、攻撃者が悪意のあるDNSクエリを使用することで、ヒープオーバフローを引き起こすものであるため、このような回避策が有効だとされます。

ただ、この回避策を適用することで、DNSの応答サイズが大きい場合、名前解決ができなくなったり、エラーが発生したりする可能性もあるとのことです。

そして、有効にするためにはDNSサービスの再起動が必要です。

なお、注意喚起にも記載がある通り、Windows UpdateおよびMicrosoft Updateの自動更新が有効になっている場合に追加の対応は必要ないとのことです。

---

まとめ

今回は、WindowsDNSサーバの脆弱性についてまとめてみました。

記事中にも記載しましたが、当該脆弱性の悪用を契機に、組織内への広い侵害が行われる可能性が一番の懸念なのかなと思います。

内容を参考にしていただき、対策をご検討いただけると幸いです。

【転載】バックアップでプライベートメールに自動転送、転送先で不正アクセス被害（横浜国立大学）

バックアップでプライベートメールに自動転送、転送先で不正アクセス被害（横浜国立大学）:

• 
  
  トップページ
  
  
  
• 
  
  リリース（電子メール転送先での不正アクセス被害について）
  
  
  
• 
  
  リリース（再発防止）
  
  
  

横浜国立大学は7月10日、同本学教員が大学アカウントの受信メールをプライベートメールに自動転送をしていたところ、転送先で不正アクセスに遭い、一部メールが第三者に閲覧された可能性が判明したと発表した。



これは同学教員が、大学アカウントの受信メールをバックアップ用としてプライベートメールに自動転送をしていたところ、5月27日にプライベートメール宛に外国からの不正ログインの確認を求めるフィッシングメールを受信、指定に従いID/PWを入力したため第三者からの不正アクセスを受けたというもの。当該教員は、不正アクセス直後にアクセス制限等の措置を行ったが、その後の調査で個人情報を含む一部のメールについて閲覧された可能性が判明した。



閲覧された可能性があるのは、氏名、連絡先等を含む学生 約80件と学外研究者・非常勤講師 約50件の個人情報。



同学では関係者に対し、謝罪を行うとともに相談窓口の設置等について連絡を行っている。



同学では今後、情報管理の徹底を一層強化し、再発防止に取り組むとのこと。

《ScanNetSecurity》

【転載】衣料品販売「hatsutoki ONLINE STORE」の旧システムサイトに不正アクセス、カード情報流出（島田製織）

衣料品販売「hatsutoki ONLINE STORE」の旧システムサイトに不正アクセス、カード情報流出（島田製織）:

• 
  
  トップページ
  
  
  
• 
  
  リリース（弊社が運営するオンラインストアへの不正アクセスによる個人情報流出に関するお詫びとお知らせ）
  
  
  
• 
  
  リリース（経緯）
  
  
  
• 
  
  リリース（個人情報流出状況）
  
  
  
• 
  
  リリース（お客様へのお願い）
  
  
  
• 
  
  リリース（再発防止策ならびに弊社が運営するサイトの再開について）
  
  
  

島田製織株式会社は7月13日、同社が運営する播州織の衣料品を販売する「hatsutoki ONLINE STORE」にて第三者からの不正アクセスがあり顧客のクレジットカード情報流出の可能性が判明したと発表した。



これは2月25日に、一部のクレジットカード会社から「hatsutoki ONLINE STORE」を利用した顧客のカード情報の流出懸念について連絡があり翌2月26日に同サイトでのカード決済を停止、第三者調査機関による調査を行ったところ、旧システムでのオンラインストア「hatsutoki ONLINE STORE」のシステムの一部の脆弱性を突いたことによる第三者の不正アクセスが原因でカード情報が流出し、一部カード情報が不正利用された可能性が4月14日に確認されたというもの。



流出した可能性があるのは、2018年12月25日から2020年1月22日の期間中に「hatsutoki ONLINE STORE」にてクレジットカード決済を行った顧客138名のカード情報（名義、番号、有効期限、セキュリティコード）。



なお同社では2020年1月22日にシステムの入れ替えを行っており、流出の対象となるのは2020年1月22日まで利用していた旧システムのオンラインストアで、現在も利用している新システムの環境は安全であることを調査にて確認済み。



同社では7月6日に、流出対象の顧客に対し別途メールにて連絡を行っている。



同社では既に、クレジットカード会社と連携し流出した可能性のあるカードによる取引のモニタリングを継続して実施し不正利用の防止に努めているが、顧客に対してもカードの利用明細に身に覚えの無い請求項目が無いか確認するよう呼びかけている。



同社では5月26日に、監督官庁である個人情報保護委員会に報告を、所轄警察である西脇警察署に被害申告を行っている。



同社では今後、調査結果を踏まえてシステムのセキュリティ対策と監視体制の強化を行い、再発防止を図るとのこと。

《ScanNetSecurity》

【転載】JR東日本がマイナポイント事業と連動しキャンペーンを実施。最大6,000ポイントもらえるキャンペーンの全貌を公開

JR東日本がマイナポイント事業と連動しキャンペーンを実施。最大6,000ポイントもらえるキャンペーンの全貌を公開:

JR東日本は、2020年9月1日から2021年3月31日にかけて行われるマイナポイント事業にともない、同社の電子マネー「Suica」の利用者に向け、所定の手続きを済ませた場合、最大で6,000ポイントがもらえるキャンペーンを実施することを発表しました。

キャンペーンへの参加方法

出典：最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト － JRE POINT

今回のキャンペーンへの参加方法を、

1. 事前準備
2. マイナポイントへの申し込み
3. ポイントの受け取り

と段階を追って、順番に解説しましょう。

１．事前準備

Suicaに限らず、マイナポイントを利用するには

• マイナンバーカードの発行
• マイナポイントの予約

が必要です。

マイナンバーカードの発行

出典：最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト － JRE POINT

マイナンバーカードを持っていない人は、まずは入手しましょう。上の図にもあるように

• スマートフォン
• パソコン
• 証明用写真機
• 郵送

のいずれかで手続きを行ってください。

man

個人番号カード交付申請書ってなんですか？

マイナンバーカードを作るために必要な書類です。本来は、通知カードについていましたが、紛失した場合は「マイナンバーカード総合サイト」からダウンロードできます。印刷して記入し、返送しましょう。

郵便による申請方法 – マイナンバーカード総合サイト - www.kojinbango-card.go.jp

「個人番号通知カード」が5月25日ごろに廃止予定ですが、慌てなくて大丈夫です。

①交付申請書ダウンロード

②①を送付（顔写真必要）

③甲府通知書が送られてくる

④③を受けて市役所などへ行く

⑤個人番号カードを受け取る

でOKです。

とりあえず①、②はすぐできますよ！

— めんおう｜SNSマーケ×主夫ライター (@mennousan) May 10, 2020

1～2カ月ほどすると、住まいを管轄する役所から「交付通知書」が届きます。届き次第、受け取り手続きにいきましょう。

teacher

これが「マイナンバーカードができたので取りにきてください」というお知らせになるんですよ。

マイナンバー交付通知書が来たァァァ嫌だァァァ

こないして秘密裏に取りに行かなあかんもんが、何と何と何に紐付けられるって？なぁ？( ͡ ͜ ͡ )

青色申告控除65万円を人質に取りやがってうわァァァ pic.twitter.com/lC9lwPOLqN

— ヒトミクバーナ@海外取材ライター (@hitomicubana) June 28, 2020

マイナポイントの予約

出典：最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト － JRE POINT

マイナンバーカードとスマートフォンを用意し、マイナポイントの予約を行いましょう。大まかな手順は、以下の通りです。

1. アプリをダウンロードし、起動するとマイキーIDが発行される
2. マイナンバー受け取り時に設定した4桁の暗証番号を入力する
3. アプリの指示に従い、マイナンバーカードを読み取り、設定を完了させる

teacher

アプリはこちらからもダウンロードできますよ！

SuicaをJRE POINTに登録する

出典：最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト － JRE POINT

記名式SuicaかモバイルSuicaを用意し、JRE POINT WEBサイトで登録手続きを行いましょう。

teacher

これにより、ご自身のSuicaとJRE POINTが連動されます。

マイナポイントに申し込む

出典：最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト － JRE POINT

最初に、JRE POINT WEBサイトにログインし、JRE POINT交換番号を確認しましょう。

確認できたら、次のいずれかの方法で申し込みをしましょう。

• マイナポイントアプリから申し込む
• セブン銀行ATMから申し込む

ポイントを受取る

出典：最大6,000ポイントがもらえるキャンペーン JR東日本の共通ポイントサイト － JRE POINT

2020年9月1日から2021年3月31日までの期間中に、マイナポイントに申し込みをしたSuicaにチャージをすると、チャージ金額の累計に応じて、マイナポイントが最大5,000ポイントが付与されます。ここに、JR東日本からのキャンペーンに伴うポイントとして1,000ポイントが付与されるので、最大で6,000ポイントもらえる仕組みです。

ビューカードを持っているならWチャンス

出典：Suica×マイナポイント　ビューカードでSuicaチャージキャンペーン：ビューカード

JR東日本の公式クレジットカード「ビューカード」を持っているなら、ポイントがさらに受け取れるチャンスがあります。JRE POINT WEBサイトにビューカードを登録し、合計20,000円以上Suicaにチャージすると、抽選で2,500名にJRE POINTが2,000ポイントプレゼントされます。

【転載】JAL、ヴィスタラの特典航空券予約受付開始

JAL、ヴィスタラの特典航空券予約受付開始:

2020年7月15日 水曜日 6:54 PM 編集部

日本航空（JAL）は、JALマイレージバンクの提携社特典航空券で、インドのヴィスタラ（Vistara）の航空券の予約受付を、7月1日より開始した。

エコノミークラスの往復必要マイル数は、デリー〜コルカタ間は12,000マイル、デリー〜ベンガルール・チェンナイ間は15,000マイルなど。プレミアムエコノミークラスとビジネスクラスにも設定がある。

周遊旅程も可能で、バンコクからムンバイ経由でハイデラバードへ向かう場合、エコノミークラスでは23,000マイルで発券が可能。必要マイル数は、総旅程距離によって異なる。

⇒詳細はこちら

【転載】裁断処理せず廃棄した文書、まさかのゴミ収集車からの落下と路上散乱（大阪府教育委員会）

裁断処理せず廃棄した文書、まさかのゴミ収集車からの落下と路上散乱（大阪府教育委員会）:

• 
  
  トップページ
  
  
  
• 
  
  リリース（教職員の処分について）
  
  
  
• 
  
  リリース（事案（３）～（５））
  
  
  

大阪府教育委員会は7月10日、同日付で教職員の懲戒処分を行ったと発表した。



同委員会によると3月に、府立高等学校の教諭（60歳）が個人情報を含む文書を誤って裁断処理を行わずにゴミ袋に入れ廃棄したところ、その後、ゴミ収集車からゴミ袋が路上に落下し、中に入っていた当該文書が散乱、個人情報の流出が発生したとのこと。



同委員会では7月10日付で、当該教諭を戒告、管理監督責任として同校の准校長（56歳）に厳重注意の処分を行った。



被処分者：府立高等学校 教諭（60歳）

処分内容：戒告



管理監督責任：准校長（56歳）

処分内容：厳重注意

《ScanNetSecurity》

永久交換保証の靴下

「永久」と聞いて連想するのはセゾンカードの永久不滅ポイントである。

日本人はポイント大好きで、自分も人のことを言えないのだが、貯めるのが大好きである。

そんな日本人の嗜好に永久不滅ポイントはマッチしていると思う。

以前どこかのセミナーで永久不滅ポイントが総額で1500億円以上積みあがっているなんて話を聞いた記憶がある。

自分は最終的にJALのマイルに変えるが、有効期限が無いので、必要になるその日までの～んびり貯めよう。

話がそれてしまったが、世の中には永久交換保証の靴下があるらしい。

自分はフィンガーソックス派なので、あれば試しに購入してみようと思ったのだが、普通の靴下しかなかった。残念。

ちなみに永久に〇〇とか、生涯〇〇というのは、非常に魅力的ではあるが、世の中に絶対はない。

直近ではクラウドファンディングで生涯納豆定食無料を謳っていたにもかかわらず、店側から因縁をつけられて権利を没収され、トラブルになった事例が出ている。

納豆定食「生涯無料」でトラブルに発展！クラウドファンディングの落とし穴

甘い言葉には気を付けよう。

【転載】IPA広報誌「IPA NEWS」Vol.47（7月号）を発刊しました！今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー＆カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。 ipa.go.jp/files/00008393… ipa.go.jp/about/ipa_news…

IPA広報誌「IPA NEWS」Vol.47（7月号）を発刊しました！今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー＆カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…:

IPA広報誌「IPA NEWS」Vol.47（7月号）を発刊しました！今号では中小企業が抱える2つの課題「IT導入」と「セキュリティ対策」を切り口に、サプライヤー＆カスタマーに選ばれる企業になるためのアプローチを探っていきます。ぜひご一読ください。
ipa.go.jp/files/00008393…
ipa.go.jp/about/ipa_news…



バックアップ

STRIDEとは何ぞや

STRIDEってご存じだろうか？

@IT主催のIT Security Live Weekのどこかのセッションで出てきたので整理しようと思ったのだが、いかんせんつかみどころが無い状況となってしまった。

とりあえずSTRIDEの簡単な概要を紹介すると、

・Microsoftが開発した脅威モデル。

・下記6つの脅威の頭文字をとってSTRIDEとなっている。

Spoofing（なりすまし）
Tampering（改ざん）
Repudiation（否認）
Information disclosure（情報漏洩） 
Denial of service（DoS攻撃）
Elevation of privilege（権限昇格）

ここまでは良いのだが、先日話したサイバーキルチェーンやMITRE ATT&CKやCIAとの関連が良く分からず、難儀した。

まず、CIAとSTRIDEについては、CIAがセキュリティの要素を分類したものであるのに対し、STRIDEはセキュリティの脅威を分類したものとなる。

つまり、STRIDEの各要素には、1つ以上のCIAの要素が必ず紐づくこととなる。
（厳密にはCIAの3大要素だけではなく、真正性、責任追跡性、信頼性、否認防止、を加えた7大要素のいずれかが紐づく）

STRIDEの各概要の説明とともに、関するCIAの要素を組み合わせてみる。

■Spoofing（なりすまし）
・概要：多要素認証の欠如、セッション管理の不備、暗号化通信の不備など
・CIA要素：真正性

■Tampering（改ざん）
・概要：HTMLインジェクション、SQLインジェクションなどを含むステレスコマンドなど
・CIA要素：完全性

■Repudiation（否認）
・概要：CSRF、デジタル署名の設定不備など
・CIA要素：否認防止

■Information disclosure（情報漏洩） 
・概要：情報資産の意図しない流出など
・CIA要素：機密性

■Denial of service（DoS攻撃）
・概要：DoS/DDoS攻撃によるサービス停止など
・CIA要素：可用性


■Elevation of privilege（権限昇格）
・概要：アクセスを許していないはずのユーザにアクセス権が与えられてしまうことなど
・CIA要素：機密性、完全性


んで、次にサイバーキルチェーンやMITRE ATT&CKとの関連についてなのだが、こちらはMITRE ATT&CKの方で解説があった。

自分が理解しやすいように無理やり整理すると、上の図の更に上にスーパーハイレベルモデルとしてセキュリティ7大要素がある感じであろうか。

1.ベースモデルとしてセキュリティの7大要素があり（概念!?）

2.それらを脅威の観点で再整理したのがサイバーキルチェーンやSTRIDEとなり(抽象的知識体系)

3.それらを戦術やテクニック等より具体的に整理したものがMITRE ATT&CKとなり、

4.最後に個々の攻撃コードや脆弱性等の具体的な内容となる。

・・・という理解で今日は終えておこう。。。

【参考】
https://hanakutoman.com/threat-modeling-stride/
https://qiita.com/ohayougenki/items/a281a8330b60fad7f5e1
https://at-virtual.net/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/cvss%E3%80%81dread%E3%80%81stride%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3/
https://www.socyeti.jp/posts/4873582/
https://www.smillione.co.jp/staffblog/2019/08/30/security02/