2018-02-01 セキュリティニュース: Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性
Cisco ASA のソフトウェアにリモート コード 実行およびサービス拒否の脆弱性
一次ソース: Cisco Security Advisory
日本語版
https://www.cisco.com/c/ja_jp/support/docs/csa/2018/cisco-sa-20180129-asa1.pdf?dtid=osscdc000334
概要: Cisco 適応型セキュリティアプライアンス (ASA) ソフトウェアにリモートコード実行およびサービス拒否の脆弱性
- Cisco Adaptive Security アプライアンス (ASA) ソフトウェアの SSL (Secure Sockets Layer) の VPN 機能に脆弱性がある
- 当該脆弱性を悪用すると、リモートの攻撃者が不正に対象システムのリロードを行ったり、任意のコードを実行できるようになる
- 影響を受けるバージョンの Cisco の ASA デバイス上で webvpn 機能が有効になっていると、ある領域のメモリが二重解放されうる脆弱性がある 参考
- リモートの攻撃者は細工した XML パケットを複数 webvpn が有効になったインタフェースに送信することにより当該脆弱性を悪用することができる
- エクスプロイトにより攻撃者は任意のコードを実行し、システムを完全な制御下におき、脆弱性のあるデバイスをリロードさせることができる
- Cisco はすでに本脆弱性について修正版ソフトウェア(後述)をリリースしている
- 更新以外の回避策はなし
- 公式アドバイザリ
- 簡易日本語版
CVE
- 対応する CVE: CVE-2018-0101
- Cisco Bug ID: CSCvg35618
- CVSS スコア: 10.0
修正ソフトウェア
ASA
Cisco ASA メジャーリリース | 修正された最初のリリース |
---|---|
8.x1 | 影響あり、9.1.7.20 かそれ以降へ移行のこと |
9.01 | 影響あり、9.1.7.20 かそれ以降へ移行のこと |
9.1 | 9.1.7.20 |
9.2 | 9.2.4.25 |
9.31 | 影響あり、9.4.4.14 かそれ以降へ移行のこと |
9.4 | 9.4.4.14 |
9.51 | 影響あり、9.6.3.20 かそれ以降へ移行のこと |
9.6 | 9.6.3.20 |
9.7 | 9.7.1.16 |
9.8 | 9.8.2.14 |
9.9 | 9.9.1.2 |
FTD ソフトウェア
Cisco FTD メジャーリリース | 修正された最初のバージョン |
---|---|
6.2.2 未満 | 影響しない |
6.2.2[1] | Cisco_FTD_Hotfix_AB-6.2.2.2-4.sh.REL.tar (All FTD hardware platforms except 21xx)、Cisco_FTD_SSP_FP2K_Hotfix_AC-6.2.2.2-6.sh.REL.tar (21xx FTD hardware platform) |
[1] 6.2.2 未満のバージョンの FTD にはリモートアクセス VPN 機能がないため
修正ソフトウェア以外による回避策
なし
影響を受ける製品
- 3000 シリーズ産業セキュリティ アプライアンス モデル(ISA)
- ASA 5500 シリーズ適応型セキュリティ アプライアンス
- Cisco ASA 5500-X シリーズ次世代ファイアウォール製品群
- Cisco Catalyst 6500 シリーズ スイッチおよび Cisco 7600 シリーズ ルータ用の ASA サービス モジュール
- ASA 1000V クラウド ファイアウォール
- 適応型セキュリティ仮想アプライアンス(ASAv)
- FirePOWER 2100 シリーズ セキュリティ アプライアンス
- Firepower 4110 セキュリティ アプライアンス
- FirePOWER 9300 ASA セキュリティ モジュール
- Firepower Threat Defense ソフトウェア(FTD)
影響を受ける条件
上記該当製品の影響を受けるバージョンのソフトウェアを稼働しておりかつ webvpn が有効になっていること
影響を受けるかどうかを確認する方法
- CLI で管理者権限で以下のコマンドを実行して「webvpn」が返されるかどうか。返された場合は対象となる。
ciscoasa# show running-config webvpn
webvpn
- show asp table socket コマンドを実行し、443/tcp 上の SSL および DTLS のリッスンソケット有無についても確認する。当該脆弱性を悪用するには 443/tcp 上の SSL および DTLS のリッスンソケットが存在している必要があるため。
443/tcp 上のリッスンソケットの出力例:
ciscoasa# show asp table socket
Protocol Socket State Local Address Foreign Address
SSL 00005898 LISTEN 10.48.66.202:8443 0.0.0.0:*
TCP 00009718 LISTEN 10.48.66.202:23 0.0.0.0:*
TCP 0000e708 LISTEN 10.48.66.202:22 0.0.0.0:*
SSL 00011cc8 LISTEN 10.48.66.202:443 0.0.0.0:*
DTLS 000172f8 LISTEN 10.48.66.202:443 0.0.0.0:*
ASA ソフトウェアバージョンの確認方法
以下のコマンドを実行する
ciscoasa# show version | include Version
FTD ソフトウェアの場合
ciscoasa# show version
2018-01-27 セキュリティニュースまとめ: もっとも成功したフィッシング攻撃のテンプレとは
もっとも成功したフィッシング攻撃のテンプレとは
元記事
一次ソース (登録必要)
概要
- 各組織の情報セキュリティ担当に対するフィッシング攻撃に関してのアンケート結果
- 自組織がフィッシング攻撃を受けたと回答した情報セキュリティ担当者は 76% で 2016 年とほぼ横ばい
- 受信者のクリック率は 2016 年の 15% から 9% へ 6% 減少
フィッシング攻撃の 4 つの対象者カテゴリ
- 一般消費者、均的な一般人が受け取るカテゴリ
- 企業のカテゴリ
- 発注書、人事からのメッセージ、スパム検疫に関するメッセージ、福利厚生関連のエントリを促すメッセージなど
- コマーシャル
- ビジネス関連のフィッシングで、特定組織に紐付かないもの。出荷通知、電子送金依頼など
2017 年は上記 4 つのうち、一般消費者 と企業宛のメッセージが最も悪用され、攻撃全体にたいし前者が 44%、後者が 45% (2 カテゴリで 89%) をしめた
- 成功率が高いのはこの 2 つのカテゴリではなかった
最もクリック率が高かったフィッシングのテンプレ
以下はフィッシングメールのクリック率低下のために企業が行うトレーニング用シミュレーションで発覚したもの
- オンラインショッピングのセキュリティ更新通知: 受信者の 86% がクリック
- 企業宛にかかってきた知らない人からの伝言ボイスメール付きメール: 受信者の 86% がクリック
- 企業の電子メール改善に関するお知らせ: 受信者の 89% がクリック
- 「データベースのパスワードリセットに関するアラート」や「新しいビル避難訓練プランに関する通知」を含むメッセージはほぼ 100% のクリック率だった
まとめ
- 2016 年は企業宛のフィッシングが多数をしめたがしだいに一般消費者のフィッシングが多数派に
- 攻撃側が個人あてに戦術を変更した理由「企業メールと個人メールを受信環境をわけずに利用する機会が増えたことではないか」 *「個人と企業のメールをわけずに利用する人が多ければ、個人宛のメール経由でも企業のネットワークを狙うことができる」
- 「私用メールと企業メールをわけないことで、企業ネットワークに侵入するための攻撃面が拡大」
- 2018 年は情報セキュリティ担当者、IT 部門の担当者は利用者に個人メールと企業メールアカウントの利用をきちんと分けさせるよう教育し、企業アカウントを業務以外に使用させず、私用アカウントを業務に使用させないよう徹底すること
- 私用メールアカウントを業務端末に設定せず、スマートフォンなどに限定して使用するよう教育して企業ネットワークへの脅威の侵入を防ぐこと*1
2018-01-27 セキュリティニュースまとめ: インターネットが1時間利用できなくなったら損害額はどのぐらいか
インターネットが1時間利用できなくなったら損害額はどのぐらいか
元記事
レポートの一次ソース
一次ソースが報告作成にあたり利用した情報
https://www.emarketer.com/public_media/docs/eMarketer_eTailWest2016_Worldwide_ECommerce_Report.pdf Report for Selected Countries and Subjects
概要
ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (2): 犯罪被害者ほど道徳上問題のある行動をとる傾向がある、基本的対策とは
前回までの内容
サイバー犯罪被害者の方が非被害者よりも道徳上グレーな行為を容認している
- グローバルで 81% の消費者は「サイバー犯罪は犯罪」と認識しているがその 43% が「道徳的に問題のあるオンラインでの行動」を自分がやっている
- グローバルで 26 % の消費者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答
- グローバルで 21% の消費者は、偽のメールアドレスや他人のメールアドレスをオンラインで詐称することは許容されうる場合がある」と回答
- グローバルで 15% の消費者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答
- グローバルでサイバー犯罪被害者の 53% がこうした「道徳上問題がある行為」を容認しているが、サイバー犯罪の被害にあっていない人では 32% のみが容認している
- グローバルで 31% のサイバー犯罪被害者は、「他人のメールを同意を得ずに読むことは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 18% のみ
- グローバルで 25% のサイバー犯罪被害者は、「オンラインで身分を詐称することは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 14% のみ
- グローバルで 18% のサイバー犯罪被害者は、「他人の金融口座に同意を得ずにアクセスすることは許容されうる場合がある」と回答しているが、非サイバー犯罪被害者では同じ回答をしたのは 10% のみ
2017 年の度重なる侵害事件にもかかわらず、消費者は個人情報を預かる信用情報会社等の機構への信頼は失わない一方、政府への信頼は失う
- 消費者はグローバルで、個人情報を預かる以下のような組織に対し、従来と同じレベルの信頼を保ち続けている:
- 76% が ID 詐称対策サービスを信頼している
- 80% がインターネット サービス プロバイダを信頼している
- 80% がメール プロバイダを信頼している
- 82% が金融機関を信頼している
- 41% の消費者が政府が政府の保持するデータや個人情を保護できていないと考えている (=> 59% のみが政府を信頼している)
対策
基本的なことをないがしろにしない
- 基本に忠実に。顔認証や声紋認証は確かに効果的だが、それはパスワード認証などの基本的対策をきちんと行った場合にのみ効果を発揮する
- 公開されている情報に紐づくようなパスワードは使わず、自分自身は覚えやすく、十分に長く、他人はわからないランダムなパスワードを作成し、利用できるのであれば二段階認証や二要素認証を利用すればさらに悪用は難しくなる。またアカウントに侵害を通知する機能やログインのつど通知する機能があるかどうかを確認し、ある場合は有効にする。パスワードが侵害されたと通知があるか、見に覚えのないログインが確認された場合を除き、一定期間でパスワードを変更する必要はないだろう。また覚えるのが難しいと感じる場合はパスワード管理ソフトを利用するのが良い*1
- 公衆 WiFi の利用は慎重に。個人情報やアカウント情報を保護されていない WiFi で流さない。クレジットカード、ログイン、などの行為は行わない。やむなく公衆 WiFi 経由でそうした情報をやりとりする場合、最低限 VPN を利用すること。
- ルータや IoT 機器などは購入直後にデフォルトパスワードから変更すること。必要なければホーム用の IoT 機器はリモートからのログイン無効化をすること。ワイヤレス接続をする場合は WiFi の方式とパスワードを強力なものにして漏えいを防ぐこと。
- フィッシングメールにひっかからないこと。メールに添付されたファイルやリンクはとくに知らない人からの場合は開かない。知っている人からでも、相手の PC やメールアカウントが侵害されている可能性がある点に考慮すること*2。
- 所有しているデバイスに最新のセキュリティ対策を導入する*3
*1:フレーズからパスワードを作成する方法は案外ランダムにはならないため、筆者はお勧めしない。パスワードを覚えることなど最初から考えず、パスワード管理ツールの生成機能で生成した許容しうる限りの長さと複雑さの完全にランダムな文字列を利用する方がまだマシなパスワードができる。パスワード管理ソフトも信頼しないのであれば、生成だけ毎回パスワード管理ソフトにやらせて、ログインのつどパスワードリセットリクエストを送信するという使い方の方をするほうが良いだろう。二段階認証・二要素認証を利用できる場合たしかに利用することでセキュリティが強化できる場合もあるが SMS で6桁の数字を送信するなどの二段階認証しか用意していない場合、この仕組み自体を悪用することが可能なので、Google Authenticator や Octa などサードパーティの数値生成サービスが利用できる場合に利用するなども検討が必要。またパスワード管理ソフトを名乗るアプリの中には、パスワード窃取を目的としたマルウェアも出回っているため、評判が高く信頼のできる有料のものを利用すること。
*2:メールに添付されているファイルや文中のリンクは誰からのものであっても直接開かない方が良いと筆者は考える。送られてくることが期待されている文書をよく知っている送信者から受け取った場合でも、余裕があれば2-3日開けずにおいておき、スキャンさせてから開くほうがよいだろう。開く場合は一度プレビューで開き、拡張子の偽造やマクロの埋め込みなどがないかどうかを確認することが望ましい。文中のリンクはカーソルをロールオーバーし、本当に意図されたドメインに接続するかどうかを綴り間違いがないかを含めて確認すること。銀行やショッピングサイトなどからのメールであれば、文中リンクはいっさいクリックせず、ブックマークしているサイトや検索したサイトで表示されたリンクからアカウントにログインし、そこから内容を確認するのが望ましい
*3:一部の安価なスマートデバイスは、メーカー出荷時点ですでにハードウェア的にバックドアが仕込まれている場合があり、スマートデバイス上で対策をしても手遅れである場合がある。このため、後からつけたしで対策をするのではなく、どのようなスマートデバイスを選ぶかが重要となる。OS 自体が堅牢なエコシステムを持っているかどうか、セキュリティ更新が十分な頻度・速度で提供されているかに加え、サードパーティのストアからはアプリを入手しないなどの基本的対策もする必要がある
ノートン サイバーセキュリティ インサイトレポート 2017 まとめ (1): 2017 年のサイバー犯罪被害者は 9億7800万人、被害額は 1720 億ドル
一次ソース
2017 ノートン サイバーセキュリティ インサイトレポート: グローバル篇 2017 Norton Cyber Security Insights Report Global Results ※ レポートが長いため 5 回に分割
得られた知見
消費者は自身のサイバーセキュリティ知識について自信過剰
- 過剰な自信が自身を危険に晒し、サイバー犯罪者はその弱みにつけいって記録的成功をおさめる
- 2017 年は 20 カ国で 9 億 7800 万人がサイバー犯罪による影響を受けた
- 消費者の 44% が過去 12 ヶ月にサイバー攻撃による影響を受けた
- 消費者または消費者の知り合いが経験した最も一般的なサイバー犯罪には次のものがあげられる
- この結果、サイバー犯罪の犠牲となった被害者は全世界で 1720 億ドル (19兆円) の損害を受け、一人あたりの平均では 142 ドル (1万5千円) を失った
- また全世界で 24 時間近く (またはフルタイム勤務の 3 日分) の時間を後始末のために費やした
サイバー犯罪被害者はサイバーセキュリティについて言行不一致
- 口ではサイバーセキュリティの大切さを説きながら行動が伴わず結果的に自分自身をサイバー犯罪の危険にさらしている
- 被害者に見られる 3 つの特徴
- 自身のサイバーセキュリティスキルに自信過剰
- サイバー犯罪の被害者の方が被害にあわなかった人々よりもサイバーセキュリティの重要性をよく口にするが行動が伴わず単純なミスをしがち
- 消費者の 44% がサイバー犯罪被害にあっているが、被害者の 39% は自身の機密情報の保護に自信があり 33% は自身の行動はリスクが低いと信じている
- いくつものデバイスを愛用する
- 基本的な対策を怠る
- 自身のサイバーセキュリティスキルに自信過剰
ミレニアル世代 (2000 年以降生まれ)、その両親 (団塊ジュニア)、そしてベビーブーマー世代 (団塊世代) まで、全世代でセキュリティに関してほぼ「ノーガード戦法」
- ミレニアル世代
- 最もデジタル機器に慣れ親しんでいる世代で、最も多くのガジェットを所有している (平均 4 台)
- もっとも高度なセキュリティ対策を実施 (32%): パターンマッチング、顔認証、VPN、声紋認証、二要素認証など
- ところが単純なセキュリティ対策ミスもおかしがちで、パスワード管理がずさん(70%) でサイバー犯罪の被害者になりやすい
- 去年 1 年だけで全世界のミレニアル世代の 60% がサイバー犯罪被害にあっている
- 4 人に 1 人 (26%) のミレニアル世代ユーザーは同一パスワードをすべてのアカウントに使いまわしている (団塊世代では 10% のみ)
- 全世界でミレニアル世代の 63% が少なくとも 1 つ以上のパスワードを他者と共有している (団塊の世代では 36% のみ)
- 団塊の世代とそれより上の世代はもっとも安全な年齢グループだが失敗もおかす
- 団塊ジュニア世代は子どもとインターネットについては心配の種が多い
2018-01-22 セキュリティニュースまとめ: ネットワーク中立性で偽コメントで世論操作?
The Register: ネットワーク中立性: 偽コメントで世論操作?「FCC に寄せられたコメントのうち百万件が 55 人しかスタッフのいないエロサイトのメールアドレスが送信者アドレスとして登録されていた」「真夜中 0 時に一斉送信」
元記事
概要
- ワシントン DC で SHMOOCON 2018 (ShmooCon ハッキングカンファレンス) が開催される
- 当会場で、データ分析会社の分析官が「トランプ政権以降共和党員が 5 人の委員のうち 3 人の多数派をしめる FCC (連邦通信委員会、 Federal Communications Commission)で、民主党オバマ時代に成立したネットワーク中立性の規制が撤廃された問題に関連し、FCC に寄せられた 2200 万件のパブリックコメント」の解析結果を発表
- 同分析官によれば「FCC 宛のネットワーク中立性に対するパブリックコメントを解析した結果、人間が書き込んだと推測されるコメントはたった 17% で、残りの 83% はボットが生成した反ネットワーク中立性コメントだった」ことが判明
- FCC 側は、コメントの出自となるメールアドレスの正当性もバッチ処理で投稿されたコメントかどうかもチェックせず
- 同時にバッチ処理で真夜中0時ぴったりに投稿されたコメントなどを除いても、まだボットが投稿したと疑われるコメントが多数あり
- 全部が大文字の不自然なコメント
- 米国時間で通常予想される活動時間帯からは外れた時間に大量に寄せられたコメント
- これらの特徴を持つコメントを除外した結果残ったコメントは大部分がネットワーク中立性を支持する内容だったことが判明
- FCC は純粋に党の方針を遵守するためにそもそもネットワーク中立性の撤廃に意欲的で、パブリックコメントの内容がどうであっても参考にしないと表明
- 反ネットワーク中立性のコメントで身分を詐称された有権者について捜査中のニューヨーク州連邦検事に、FCC は当初捜査協力を約束していたが、後にこの約束を撤回している
2018-01-17 セキュリティニュースまとめ: マルスパム解析のススメ
フィルタで検出されたマルスパム解析のススメ
元記事
Reviewing the spam filters: Malspam pushing Gozi-ISFB - SANS Internet Storm Center
概要
マルスパムをうまくアンチスパムフィルタが処理してくれた場合、その後の攻撃手法を知らぬままになってしまうことが多い。 マルスパムがフィルタをすり抜けてインボックスに着信した場合、内容が不自然だったり社員教育が奏功したりでひっかかる社員が「今回」たまたまいなかったとしても、攻撃手法は進化していくので「次も」そうなるとは限らない。 すでにスパムフィルタ等で処理されたり誰もひっかからなかったマルスパムであっても、添付されたマルウェアが何をしようとしたのかを解析することは、自組織がどのようなサイバー脅威にさらされているかについての重要なインテリジェンスをもたらす。
2 通のサンプルマルスパムの解析例
- 実在する正当な組織名を含むマクロ入り Word 文書が添付されたマルスパムが 2 通着信した
- 当該マルスパムには、既知の Windows の脆弱性を狙った Ursnif の亜種、Gozi-ISFB が含まれていた
- Ursnif は不正送金マルウェア
- 詳細: マルウェア情報:情報提供|一般財団法人日本サイバー犯罪対策センター
- Gozi-ISFB については Malspam Distributing Ursnif (Gozi ISFB) – Malware Breakdown に詳細な解析情報あり
1 つ目の Word 文書
2 通目の Word 文書
- 1 つ目の Word 文書を開くと、Gozi-ISFB により未知のマルウェアが追加ダウンロードされ、その後 tcp/443 で DNS クエリを行わず、紐付いたドメイン名もない特定 IP への通信が開始される
- 追加ダウンロードされた未知のマルウェアは、winmm.dll という名前の悪意のある DLL で、正当な Windows システムファイルである presentationsettings.exe が読み込むようになっている。両方のファイルは新規に作成される感染ユーザの AppData\Roaming フォルダ以下に保存される
IOC
元記事の Indicators に一覧があるのでそちらを参照のこと
接続先の悪意のあるドメイン
- ijqdjqnwiduqujqiuezxc[.]com
- adistributedmean[.]net
- fyibc[.]com
- fortrunernaskdneazxd[.]com
- bithedistributedlicense[.]net
- fyicreative[.]ca
まとめ
スパムフィルタリングの性能が高く、端末の管理や社員教育がしっかり行われることは重要で、その結果メールに添付されているマルウェアがユーザーに到達しないのは喜ばしい。ただし攻撃者は常に手口を変えて防御をかいくぐろうとするので、今回の 2 通目のように未知のマルウェアが手口の変更により侵入に成功する可能性もある。そのため、フィルタがうまく機能した場合や社員教育のおかげで誰もマルウェアを開かなかった場合でも、添付されたマルウェアを解析して事前に攻撃者像のインテリジェンスを得ておくことは重要である。