みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190721-20190727)

今週の総括


今週は、脆弱性回りのネタが少々目立ちましたね。

後述しますが、うちひとつは誤報だったことが発覚しました。

ただ、かえって脆弱性のCVE番号がどのように与えられるかを知る、いいきっかけになったかもしれません。

運用という観点では、脆弱性への対応も大きな課題のひとつだと思うので、情報共有含めより良い方法を考えていきたいですね。

ちなみに、今回から少し記載方法を見直しています。

また、戻すかもしれませんが、読者の方からの意見はなるべく反映できればと思うので、これからもよろしくお願いします。


感想

VLC media player脆弱性に関する誤報道について


  • VLC media player脆弱性が公表されるが後日VideoLAN Projectより誤報であることが指摘される

  • MITREが採番したのはCVE-2019-13615

  • 同プロジェクトはCVEの採番に関して、確認の甘さをSNSで指摘している


以下の記事でも公表されている通り、VLC media player脆弱性が誤った形で報道されたことが話題になりました。

forest.watch.impress.co.jp

当該脆弱性の採番は以下のリンクにて行われています。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13615

これに対して、VLC media playerを提供するVideoLAN Projectは以下のコメントを出しました。

ここでは、CVE採番機関(CNA(CVE Numbering Authority))であるMITRE社が十分に確認をしないまま、採番したことに対して、非難しています。 問題点は以下の通りです。

脆弱性も人が判断するものなので、こういったことは起こります。

個人的な意見としては、スピード感ももちろん重要であり、ミス防止のために手続きが煩雑化することには反対です。

そのため、誤りであったことにも気づけるよう、丁寧かつ迅速な情報収集を心掛けたいですね。


ProFTPD脆弱性CVE-2019-12815について


  • 当該脆弱性によりユーザ権限で任意のファイルを配置することができ、結果として外部の第三者から任意のコード実行が可能

  • mod_copyが有効であることや、webサーバからFTP用のディレクトリにアクセス可能なことなど、前提条件がいくつかある

  • 日本では47,048のIPアドレスProFTPDが有効かつインターネットからアクセス可能で、その数は世界で6番目に多い


ProFTPDというUNIX系でよく用いられるファイル転送用のFTPデーモンに脆弱性が発見されました。

www.bleepingcomputer.com

当該脆弱性により、外部の第三者が任意のファイルを配置でき、結果として、任意のコードが実行できてしまうというものです。

脆弱性はmod_copyというモジュールに起因するもので、anonymousユーザを含め、認証を通過できるアカウントであれば、いかなる権限のユーザでも再現するとのことです。

ただし、攻撃の実現には、脆弱性に係る部分にくわえ、Webサーバ経由でPHPファイルを実行するためのいくつかの前提条件があるので、それらを達成する必要があります。

詳しくは、上記のリンクをご参照ください。

また、今回の脆弱性は、最新版の1.3.6を使っていてもパッケージが7/19以前にコンパイルされたものであれば影響を受けます。

その場合には再度パッケージをダウンロードし、コンパイルし直す必要があります。

なお、Shodanによると、インターネット上に公開され、外部からアクセス可能な機器のうち、ProFTPDが有効な日本のIPアドレスは47,048あり、その数は世界で6番手だと観測されています。

https://www.bleepstatic.com/images/news/u/1109292/July%202019/Vulnerable%20ProFTPD%20servers.png

現状大きな被害は観測されていませんが、まずは自社の機器のサービスおよびデーモンを棚卸しすること。

そして、意図せずインターネットに公開されている機器が存在しないかを確認することが重要ですね。


No More Ransomプロジェクトが3周年


  • Europolによると、これまでに20万の被害者が同プロジェクトによりランサムウェアから復旧し、1億800万ドル相当の被害を回避したとのこと

  • 同プロジェクトでは109種類のランサムウェア複合ツールを公開している

  • 昨年度、流行したGandCrabにおいても40,000件の復号を実現し、5,000万ドル相当の被害を回避させているとのこと


読者の皆様は、No More Ransomというプロジェクトをご存じですか?

本プロジェクトでは、ランサムウェアの被害にあった方のデータを取り戻すための支援を目的としており、世界中のセキュリティベンダや司法当局が協力し合っています。

その協力機関のひとつであるEuropol(欧州サイバー犯罪センター)がプロジェクトの3周年を記念して、その実績を公表しました。

www.europol.europa.eu

https://www.europol.europa.eu/sites/default/files/images/editor/infographic_3anniversary.jpg

実績は冒頭のサマリに記載した通りなのですが、多数の復旧に貢献しています。

ただ、おそらくこの何倍もの被害があると考えられるため、ランサムウェアによる被害が尋常ではないことが想像できます。

ただ、このプロジェクトが存在することを知っておくことで、もし万が一、知り合いが被害にあった場合に復旧の手助けができるかもしれません。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

昨日は隅田川の花火大会でしたね。

行ったことはないですが、毎年ニュースになってるのでとっても混むんだなーと思ってます(笑)

日本語だと"花火"、英語だと"fireworks"。

火(fire)は共通ですが、日本では"花"と表現し、英語では"作品"と表現するのが面白いですね。

製品やサービスにももう少し感性のある名前がついた方がいい気がします。

例えば。。。

令和は素敵な元号ですよね!

では、また次週!