みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190804-20190810)

今週の総括


HUAWEIがついに独自OSを公開しましたね。

www.gizmodo.jp

私の記憶が正しければ「自分達はハードウェアメーカーだからOSは作らん!」みたいなことを言っていた気がしますが。

マイクロカーネルの利点を活かしたカスタマイズ性の高いOSになるとのことです。

対比されるモノリックカーネルとは違って、カーネル空間には最小限の機能しか残さないため、プログラム間の通信が多く必要になるなど、オーバーヘッドが懸念されます。

その点を考慮してか、HUAWEIのHarmonyOSは他のマイクロカーネルOSよりはるかに高速だと謳っています。

この後の展開が楽しみですね。


感想

Linux用デスクトップ環境KDEにおけるゼロデイ脆弱性

  • 脆弱性の悪用により遠隔の第三者から任意のコードが実行できる
  • ファイルをダウンロードし、閲覧するだけで攻撃が成立する
  • KDELinux用のデスクトップで広く使われている

2019年7月28日にLinux用デスクトップ環境KDEにおけるコマンドインジェクションの脆弱性に関する情報が公開されました。

https://gist.githubusercontent.com/zeropwn/630832df151029cb8f22d5b6b9efaefb/raw/64aa3d30279acb207f787ce9c135eefd5e52643b/kde-kdesktopfile-command-injection.txt

私自身が気づいたのも、以下の記事を見てからでした。

www.bleepingcomputer.com

対象となるのは、KDEバージョン4および5です。

加工した「.desktop」「.directory」ファイルを開くもしくは展開することでコードが実行されます。

でも動画がyoutubeで公開されているので、見てみてください。

youtu.be

一応補足しておくと、ここで登場するncコマンドはnetcatと呼ばれるツールで、サーバクライアント間の通信を手軽に行うことができます。

ここでは、-lp のオプションを指定し、攻撃端末側で、listen(待ち受け)モードで、port(31337)で待ち受けています。

31337は攻撃側がバックドアからの通信を待ち受ける際に用いるポート番号で、31337からポートフォワードされ80や443などに転送できます。

なお、KaliLinuxはペネトレーションテストなどで用いられる、攻撃ツールを多く備えたDebianベースのディストリビューションです。

https://www.kali.org/

話は長くなりましたが、でも動画ではファイルを攻撃者が用意したサイトからコピーした結果、攻撃者端末側で操作が可能になっています。

最終的にtouchコマンドによって、ファイル作成が出来てしまっています。

現在、修正バージョンである5.61.0が公開されており、別途、本脆弱性の修正パッチも公開されています。


IEにおけるVBScriptがデフォルトで無効に

  • 2019年8月の月次アップデートでMSより配布される
  • Windows10向けには7月の月次アップデートで対応済み
  • VBScriptレジストリの変更などを行えるスクリプト言語だが、その柔軟性ゆえに悪用されることも多かった

こちら、書いてみたら三行でまとまってしまった感ですが、8月13日のPatchTuesdayで、Internet Explorerにおいて、VBScriptをデフォルトで無効にするとのことです。

とはいってもこの発表自体は2017年時点ですでにされており、実質の猶予期間である2年を過ぎてしまったというところです。

blogs.windows.com

VBScriptマイクロソフトの独自言語で汎用性に欠けますが、未だに企業システムで使われているケースが多いようです。

というか使われています!(笑) (何かをお察しください)

デフォルトでは無効になりましたが、クループポリシーで有効にすることはできるようです。

色々制約はあるにせよ、本家ですら諦めているものを大事にする根性はいかがなものかと考えてしまいます。

それこそシステムを運用する組織のためになっているのでしょうか。

「手段の目的化」

成熟した組織が陥りがちな思考だと、何かの本で読んだ気がします。


日本を狙うAndroidマルウェア

  • 偽のセキュリティアプリを装っている
  • バイスの識別番号、電話番号、SMSメッセージの盗聴などの機能がある
  • さらに多機能な韓国向けの類似マルウェアも確認されている

MoqHao という日本を標的としたフィッシング攻撃のキャンペーンがMcAfeeの記事より明らかになりました。

securingtomorrow.mcafee.com

同攻撃はXLoader(TrendMicro)としてやRoaming Mantis(Kaspersky) としても知られています。

blog.trendmicro.com

securelist.com

今回の観測では以下のようなセキュリティアプリを装って端末への感染を狙ったようです。

https://securingtomorrow.mcafee.com/wp-content/uploads/2019/08/fake-security-apps.png

引用元:McAfee

当該マルウェアは、フィッシングサイト経由でダウンロードされるものであると確認されています。

真新しさこそありませんが、思い当たる節があれば対策をとるに越したことはないですね。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


製品・脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

全くIT関係ないんですが、今年の夏は面白そうな映画がたくさんですね!

そういえば、トイ・ストーリーの制作会社ピクサーは、Appleの創業者ジョブズによって独立した会社なんですよね。

先日ピクサーのひみつ展に行った際、クリエイターたちの話を聞いてみて、その技術力の高さに感銘を受けました。

他の映画で言うと、チャイルドプレイのチャッキーは、AIロボットみたいな感じだそうで、技術の倫理的活用について考えさせられる部分もあるのかと思ってます。

他にも、アラジン、ライオンキング、スパイダーマン、ワンピース、天気の子、ミュウツーと色々見てみたい映画はあり。。

興味が子供っぽいような気もしますが、感覚の問題ですからね、こればかりは(笑)

遠出も難しそうなので、お盆休みを有効活用しようと思います。