先週のサイバー事件簿 - キングジムの「テプラ」に脆弱性
1月10日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。 キングジムのラベルプリンタとパスワードマネージャーに脆弱性 キングジムのラベルプリンタ「テプラ」(PRO SR5900P・PRO SR-R7900P)、およびパスワードマネージャー「ミルパス」(PW10・PW20)に脆弱性が存在する。対象の製品と脆弱性は以下の通り。 ■テプラ PRO ・PRO SR5900P 本体ソフト Ver.1.080、およびそれ以前 ・PRO SR-R7900P 本体ソフト Ver.1.030、およびそれ以前 ・ネットワーク設定確認ツール(TEPRA Label Editor SPC10にバンドル)Ver.1.0.1.0、およびそれ以前(Windows向け) ・ネットワーク設定確認ツール(SMA3プリンタドライバにバンドル)Ver.1.14、およびそれ以前(macOS向け
企業に仕掛けられた謎のRaspberry Piを追跡して実行犯を突き止めるまで
2005年に設立されたセキュリティ企業Haschek Solutionsの創設者であるオーストラリア人プログラマーのクリスティアン・ハスチェク氏が、仕事中に発見した謎のRaspberry Piについて、自身のブログにまとめています。 The curious case of the Raspberry Pi in the network closet https://blog.haschek.at/2019/the-curious-case-of-the-RasPi-in-our-network.html クリスティアン氏は父親と共にセキュリティサービスを提供するHaschek Solutionsという企業を運営しています。ある日、クライアントのオフィスで働いている父親から、「これは何?」というメッセージと共に、1枚の写真が送られてきます。 この謎のRaspberry Piは、クライアントの
物理的に隔離されたエアギャップネットワークを攻撃するマルウェアフレームワークの手口
エアギャップとは、インターネットや安全でないLANなどのネットワークから物理的に隔離して、最も機密性の高いネットワークを保護するために使用されるセキュリティ対策のひとつです。2020年の前半だけでも、エアギャップネットワークへの侵入を目的とした、これまで知られていなかった悪意のあるフレームワークが4つ見つかっています。ESETがこれまでに把握したフレームワークは合計で17個になりました。ESET Researchは、これまでに把握している各フレームワークを再検証し、その攻撃の手法を比較してホワイトペーパー(英語のみ)にまとめました。 ホワイトペーパーの要点: ・すべてのフレームワークは、何らかのスパイ活動を実行するように設計されている。 ・すべてのフレームワークは、データ転送の物理的な媒体としてUSBメモリーを使用して、標的のエアギャップネットワークとデータをやり取りしていた。 ・推測の域
Google Cloud Platformインスタンスへの攻撃
Google Cloud Platform内のクラウドシステムに対する典型的な攻撃とは?Googleのレポートより。 2021年の終わりにGoogleは、Google Cloud Platformのセキュリティに焦点を当て、クラウドユーザーに対する典型的な脅威に関するレポートを初めて公開しました(英語レポート)。Google Cloud Platformは企業クライアント向けのクラウドコンピューティングサービスです。個別のアプリケーションをホスティングして稼働させるというシンプルな使い方から、高パフォーマンスのコンピューティングまで、さまざまな用途に利用可能です。 Google Cloud Platformのインスタンスが攻撃される理由 このレポートは、Google Cloud Platformのカスタムインスタンスに対する攻撃の原因と結果的影響について取り上げたもので、カスタムサーバーま
Log4Jとメモリ: スキャン機能と検知の解説
この記事では、高性能なメモリスキャン機能を持つエンドポイント・ソリューションによるアクティブな悪用シナリオの効果的な検出方法、そしてあなたの組織でお使いのネットワークセキュリティの能力を高める方法をご紹介します。 背景 近頃では見慣れた光景になってきましたが、年末年始の休暇のタイミングで新しい脆弱性が公表されました。広く使われているライブラリに影響を与えます。当社のATRブログで詳しくお伝えしたように、CVE-2021-44228ではLog4J Javaライブラリの脆弱性が報告され、このライブラリを使用してロギングを行うアプリケーションとWebサイトに影響を与えます。 攻撃者が認められていないリモートロケーションから悪意のあるJavaコードを脆弱なサイトやアプリケーションにロードし、強制的に実行することを許してしまいます。攻撃ベクトルは様々ですが、攻撃者が標的のマシーンに対してネットワーク
Webサイトの改ざんに伴う仮想通貨マイニングスクリプトの埋め込み事例
IIJでは定常的にWebサイトを巡回して攻撃コードやマルウェアの有無を監視する活動を続けています。今回、一般の日本企業のWebサイトが改ざんされて仮想通貨をマイニングするスクリプトが埋め込まれるという事例を観測しました。この記事では、観測した事例についてその背景や詳細をご紹介します。 仮想通貨とは 仮想通貨とは、特定の国家による価値の保証や中央銀行による統制のないデジタル貨幣のことです。一般にブロックチェーンなどのメカニズムを用いて実装され、コンピュータの計算リソースにもとづいて貨幣をやり取りした記録の信頼性を担保します。その計算処理(マイニング)に参加したコンピュータは、計算リソースを提供する対価として仮想通貨が得られます。 Webブラウザを使った仮想通貨のマイニング そうした中、最近ではWebブラウザを使った仮想通貨のマイニングに注目が集まっています。Webサイトを閲覧したユーザのコン
Apache Struts 2の脆弱性を狙った攻撃の観測情報
IIJでは、IIJマネージドセキュリティサービスで得られた情報を基に、情報分析基盤を通して分析活動を行っています。既知の脆弱性ではありますが、Apache Struts 2の「CVE-2017-5638/S2-045」脆弱性を悪用した攻撃が、2017年10月20日から急増していることを観測しました。この攻撃の急増は、大規模な調査活動によるものと考えられます。この記事では、観測した攻撃内容についてご紹介します。 Apache Struts 2とCVE-2017-5638/S2-045脆弱性とは Apache Struts 2は、Webアプリケーションフレームワークであり、広く利用されています。また、Apache Tomcatなどのアプリケーションサーバ上で動作します。 「CVE-2017-5638/S2-045」は、Apache Struts2の脆弱性であり、2017年3月9日に注意喚起され
Mirai亜種の感染拡大に伴う注意喚起
国内でMirai亜種の感染が拡大しています。Mirai亜種が感染に用いる脆弱性は複数ありますが、今回その一つとして国内メーカー製ブロードバンドルータの脆弱性が悪用されていることが判明しました。この脆弱性は最新のファームウェアでは既に修正されています。該当する製品をお使いの場合には、バージョンの確認と速やかなアップデートをお勧めいたします。 Miraiとは Miraiは主にブロードバンドルータやネットワークカメラといったIoT機器をターゲットにしたボットです。ソフトウェアに脆弱性があるものや、脆弱なアカウントが設定された機器を対象に感染を広げます。Miraiに感染した機器は攻撃者の支配下に置かれ、他の攻撃をするときの踏み台として利用される恐れがあります。また、Miraiはソースコードがオープンソースとして公開されているため、亜種が作られやすいことも特徴の一つです。 国内でのMirai亜種の感
memcachedを用いたUDP Amplification攻撃
2月下旬より、memcachedを用いたUDPのAmplificationによるDDoS攻撃が、インターネット上の複数個所で観測されています。本稿ではその概要を取り上げると共に、IIJにおける観測状況を記載します。 概要 memcached[1]はメモリ管理の効率化を目的としたツールで、データベースを使用するWebアプリケーションサーバなど、高パフォーマンスを求められる環境で使用されます。memcachedはサーバ・クライアントモデルで動作し、アプリケーションはソケット通信を用いてmemcachedと通信します。 memcachedは初期設定では、ホスト上の全てのネットワークインタフェースにおいて、TCP及びUDPのポート11211に対する着信を受け付けます[2]。そのため、ファイアウォールなどで適切にフィルタされていない場合、インターネット上の不特定多数のホストからの通信を受け付けてしま
GhostMinerの感染拡大
Oracle WebLogic ServerのサブコンポーネントであるWLS Securityには、外部から任意のコード実行が可能となる脆弱性(CVE-2017-10271)があります。IIJでは、本脆弱性を用い、PowerShellの実行を試みる攻撃の増加を3月28日から観測しました。 本攻撃はGhostMinerと呼ばれ、成功した場合は最終的にWebサーバ上で、管理者の意図しない形で仮想通貨のマイニングを実行させられてしまいます。この記事ではIIJにおける観測情報と、この攻撃を検出・防御するための指標(Indicators of Compromise、IoC)を示します。 IIJにおける観測情報 IIJマネージドIPS/IDSサービスではOracle WebLogicの脆弱性(CVE-2017-10271)を用いた攻撃を定常的に観測しています。Minerva Labs Ltd.のレポー
Oracle WebLogic Serverの脆弱性(CVE-2019-2725)を狙う攻撃の観測
概要 4月26日にOracle社はOracle WebLogic Serverの脆弱性(CVE-2019-2725)を公開しました 1。この脆弱性により、認証を必要とせずにリモートから任意のコードを実行される恐れがあります。Oracle社によると、脆弱性の対象となるバージョンは以下の通りです。 Oracle WebLogic Server 10.3.6.0 Oracle WebLogic Server 12.1.3.0 上記のバージョンに対し、修正プログラムがリリースされています。 本脆弱性はOracle社が公開する前の4月17日に、中国の脆弱性情報データベースCNVD(China National Vulnerability Database)にCNVD-C-2019-48814として登録されていました 2。また、4月25日頃にはPoC(概念実証コード)が公開されており、容易に攻撃可能な
Cisco Data Center Network Managerの脆弱性(CVE-2019-15977)を狙う攻撃の観測
概要 2020年1月2日、Cisco Systems社はCisco Data Center Network Manager(DCNM)に関するセキュリティアドバイザリを公開しました。アドバイザリでは、REST APIに関する脆弱性(CVE-2019-15975)、SOAP APIに関する脆弱性(CVE-2019-15976)、Webベースの管理インタフェースに関する脆弱性(CVE-2019-15977)が紹介されており、緊急度は最大のCriticalとなっています。いずれの脆弱性も悪用された場合、攻撃者は認証をバイパスし、管理者権限を取得することが可能となります。これらの脆弱性のPoC(概念実証コード)は1月14日に脆弱性の報告者によって公開されており、当該アドバイザリに含まれていない脆弱性(CVE-2019-15978など)を組み合わせることで、任意のコード実行を可能にするものでした。S
Mirai亜種(XTC)による感染活動の観測
概要 SOCでは、毎月のレポートでMirai亜種による感染活動を検出しています。Mirai亜種には様々な種類が存在しており、本レポートではXTCと呼ばれるMirai亜種について取り上げます。XTCはIRCを用いてDDoS攻撃を実行する機能を備えていることが特徴です。また、直近数ヶ月の間に幾つもの脆弱性を用いて感染活動を行っていることが明らかとなっています。 このような中、SOCでは2020年4月21日から9673/tcpに対するアクセス数が増加していることをIIJマネージドファイアウォールサービスにて観測しました。これは、XTCの感染活動に利用されているZyXelのゼロデイ(CVE-2020-9054)を悪用した通信と考えられます。また、9673/tcpに対するアクセスを試みる送信元の一部は、同時期にGrandstream Networks社のUCM6200シリーズおよびDraytek社の
Bottle Exploit Kitの活動観測
はじめに SOCでは、2021年5月18日よりExploit KitであるBottle Exploit Kitの活動が観測されています。Bottle Exploit Kitは2019年12月頃から観測されている日本を標的としたExploit Kitです。 2021年5月に観測されたBottle Exploit Kitは、バンキングマルウェアのCinobiへの感染を狙ったものであり、Internet Explorerの脆弱性を悪用するDrive-by download攻撃でした。 本記事では、Bottle Exploit KitとCinobiの解析結果をご紹介します。 Bottle Exploit Kitの調査 Bottle Exploit KitはWeb広告などにより、Landingページ(Exploitコードを読み込ませるためのページ)に誘導します。SOCでは、Landingページを介し
Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見
2021年10月6日に、CVE-2021-41773の修正を含むApache HTTP Server 2.4.50がリリースされました。 当該CVEはパストラバーサルの脆弱性であり、この脆弱性が悪用されるとDocumentRoot外にあるファイルが、インターネットから閲覧される可能性があります。なおこの脆弱性はApache HTTP Server 2.4.49のみに存在するものであり、それより古いバージョンには影響しません SOCでは、10月6日より当該CVEを狙った通信をお客様環境にて観測しています。 当該CVEを狙ったスキャン通信の例を図-1に示します。 図-1 CVE-2021-41773の有無を確認するスキャン通信例 Apache HTTP Serverのシェア率の高さや攻撃の容易さなどを鑑み、筆者の所属する解析チームにて本脆弱性を検証し、詳細を確認しました。 確認時点では既に攻撃
2019年10月 TCP SYN/ACKリフレクション攻撃の観測事例
SOCでは引き続きSYN/ACKリフレクション攻撃を検知・観測しています。2018年9月の観測レポートで本攻撃の原理を説明している通り、攻撃で使用するSYN/ACKパケットを発生させるために、攻撃者は送信元を攻撃対象に偽装したSYNパケットをリフレクタに送信します。Three-way handshakeにおいて、そのSYNパケットの応答としてリフレクタがSYN/ACKパケットで返答します。SYNパケットの送信元は偽装されていることから、リフレクタが返送したSYN/ACKパケットが被害者となるIPアドレス宛に届くことで攻撃が実現されます。SOCでは2019年7月頃から頻繁に攻撃を観測するようになり、2019年10月は前月までに比べ、Carpet-bombingと呼ばれる攻撃手法の観測事例が増加しています。Carpet-bombingとは、攻撃の対象となる特定のIPアドレスレンジに対する攻撃で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
TechCrunch
CVE-2021-1732についての技術的分析
複雑で困難なサプライチェーンのサイバー脅威の課題とは