IPAから組織のシステム設計・運用上の弱点に関してまとめたレポートが出ています。 下記の様な項目が挙げられています。末尾には入口/出口対策等の資料へのリンクもあり、 全体像を概観するには良い資料と思います。

[ 設計上・運用上の弱点を生む 10 の落とし穴 ]
01 メールチェックとサーハ等の運用管理用の端末か同一
02 分離てきていないネットワーク
03 止められないファイル共有サーヒス
04 初期キッティンクて配布される共通のローカル Administrator
05 使いこなせない Windows セキュリティロク
06 ハッチ配布のための Domain Admin
07 ファイアウォールのフィルタリンクルール形骸化
08 不足している認証フロキシの活用とロク分析
09 なんても通す CONNECT メソット
10 放置される長期間のhttpセッション

• 攻撃者に狙われる設計・運用上の弱点についてのレポート
  • http://www.ipa.go.jp/security/technicalwatch/20140328.html

標的型攻撃の話題です。水飲み場攻撃も取り上げられるようになりましたが、 標的型メールが一番多いようです。添付ファイルを開かせたり、URLをクリック させるために色々な攻撃が試みられています。標的となる人物と実際のやり取りを 複数回行った後に添付ファイルを確認して貰うよう働きかける方法や、日本語ファイル名や 二重拡張子を利用するなどして一見すると問題の無いファイルに見せかける方法などが 観測されているようです。RATの通信も監視にかからないように工夫されています。

• 2013年、日本国内の持続的標的型攻撃を分析
  • http://blog.trendmicro.co.jp/archives/8797

DDoSの最近の傾向に関する話題です。2013年の始めには数Gbpsだった DDoSのピーク時トラフィックが一年後には180Gbpsと急増しています。 ボットネットの拡大、DNS/NTPリフレクター攻撃が要因と思います。

• DDoS攻撃は大規模化の一途、新たな手口の台頭も
  • http://www.itmedia.co.jp/enterprise/articles/1403/28/news043.html

GoogleがWEBを安全に利用するため、Safety Centerを立ち上げました。 こちらも基礎的な情報を得ることが出来ます。

• Safety Center
  • http://www.google.com/intl/ja/safetycenter/

JPCERT/CCから新入社員向けのマニュアルおよびクイズが提供されています。 これからの季節、色々な場所で利用できるドキュメントと思います。

• 新入社員等研修向け情報セキュリティマニュアル
  • http://www.jpcert.or.jp/magazine/security/newcomer.html

モバイル端末におけるフィッシング攻撃の話題です。SMSでメッセージを送り、 URLをクリックさせてマルウェアをダウンロードさせるというものです。 投資、結婚、健康診断等々の話をして、URLをクリックさせるものが増えているようです。 表を見ると、2012年には数件程度だったこの手の攻撃が、2013年には100倍のオーダーで増加し、 今年に入ってもさらに増えているという状況のようです。

• 社会工学的なスミッシングの進化に注意
  • http://www.ahnlab.co.jp/company/press/news_release.asp?seq=7394

Dr. WEBが2014年2月のウイルス脅威に関するレポートを出しています。 ブラウザ、Android、ボット等々多くの攻撃が報告されています。

• 2014年2月のウイルス脅威
  • http://news.drweb.co.jp/show/?i=717&lng=ja&c=2

IPAから無線LANと暗号化に対するしおりが出ています。これは専門家以外に向けられて 書かれているものです。無線LANのしおりではWPA2-PSKを使うように繰り返し強く訴えて いますが、(気を使って)WEPは使うなとは書いていません。ご存じの方も多いと思いますが、 WEPは一瞬で破られますので基本的には利用を控えるようにして下さい。

• 無線LAN＜危険回避＞対策のしおり
  • http://www.ipa.go.jp/security/keihatsu/announce20140320_1.html
• 暗号化による＜情報漏えい＞対策のしおり
  • http://www.ipa.go.jp/security/keihatsu/announce20140320_2.html

Word 2010を狙った攻撃に関する話題です。メモリ周りの脆弱性で任意のコードが実行可能です。 対応するFix itツールかEMETを利用する事で攻撃を回避可能です。

• Wordを狙うゼロデイ攻撃発生、不正メールに注意
  • http://www.itmedia.co.jp/enterprise/articles/1403/25/news041.html
• (Fix itツール) Vulnerability in Microsoft Word could allow remote code execution
  • https://support.microsoft.com/kb/2953095

1000台のPCを備える演習室だけでは学生に十分な学習機会を提供できないため、 BYODを採用し演習室も撤廃するという話題です。セキュリティ的には ウイルスチェックソフトを無償配布し、パロアルトなどのセキュリティアプライアンスを 入れて対応しています。

• 学生1万9000人が使う“PCルーム”を全廃する九州大　その狙いとは？
  • http://www.itmedia.co.jp/enterprise/articles/1403/24/news017.html

データ保護の重要性を訴えている講演に関する記事です。一番重要なのは データ自体であり、それをどう守り活用するかが大切ですが、日本では システム保護に偏っているのでデータの方もしっかり対策すべきという話です。

• 「システム偏重のセキュリティはダメ。」――奈良先端の山口教授
  • http://itpro.nikkeibp.co.jp/article/NEWS/20140320/544842/

IPAが情報セキュリティインシデントに対する対策について分析したレポートが 公開されました。統計的に分析するとWCF(ウェブ閲覧フィルタ)と R_in/out(機器や記録媒体の持込み・持出しの制限)の対策がウイルス感染リスクの 低減効果があると記されています。

• IPAテクニカルウォッチ「企業における情報セキュリティ対策効果に関する検証」
  • http://www.ipa.go.jp/security/technicalwatch/20140319.html

組織内の端末を脅威から保護するための項目がまとめられています。 項目のみ抜き出しておきます。分かっていても、中々徹底できていない ものも多いかと思います(７，８割りの組織はそういう状態のようです)。

1.　安全なOSやソフトウェア、ハードウェアは存在しない
2.　侵入防止機能付きのセキュリティ製品を使う
3.　内部通信もデータの暗号化を
4.　自宅やモバイルでの業務の保護
5.　ユーザアカウントの保護
6.　「乱用」ではなく「一定の権利」
7.　多数のユーザの多様なニーズ
8.　セキュリティに関する教育

• 企業環境を守るうえで重要な8つのステップ
  • http://blog.f-secure.jp/archives/50723192.html

IPAが今年のセキュリティ10大脅威を発表しています。 下記にその10大脅威を引用します。

01位 「標的型メールを用いた組織への スパイ・諜報活動」
02位 「不正ログイン・不正利用」
03位 「ウェブサイトの改ざん」
04位 「ウェブサービスからのユーザー情報の漏えい」
05位 「オンラインバンキングからの不正送金」
06位 「悪意あるスマートフォンアプリ」
07位 「SNSへの軽率な情報公開」
08位 「紛失や設定不備による情報漏えい」
09位 「ウイルスを使った詐欺・恐喝」
10位 「サービス妨害」

• 2014年版 情報セキュリティ10大脅威
  • http://www.ipa.go.jp/security/vuln/10threats2014.html

フィッシングメールの話題です。URLもログイン方法も一見すると正規のものに 思われるので、やっかいです。ログインしてしまうとアカウント情報が抜かれます。 身に覚えの無いメールは相手にしないのが一番かもしれません。

• 巧妙なフィッシング詐欺の標的になった Google Docs ユーザー
  • http://www.symantec.com/connect/ja/blogs/google-docs

総務省から日本のトラフィック統計が出ています。下記は本文からの引用です。

＊ 2013年11月時点の我が国のブロードバンドサービス契約者の
   総ダウンロードトラヒックは、推定で約2.5Tbpsであり、前年同月比
   33.2％増となりました。引き続きトラヒックは増加しています。

＊ 他方、ブロードバンドサービス契約者の総アップロードトラヒックは、
   推定で約819Gbps（前年同月比23.0％増）であり、2012年5月から増加に
   転じています。

• 我が国のインターネットにおけるトラヒックの集計・試算
  • http://www.soumu.go.jp/menu_news/s-news/01kiban04_02000077.html

さくらではwp-login.php等々の問題のあるURLに対して国外からの通信を デフォルト止めてくれるようです。またもう一つの話題として、sFlowを使った DDoS対策の紹介もあり、こちらが技術的に面白いです。 sFlowでDDoSの当たりを付けて、ルーティングはOpenFlowで制御するという流れの様です。 最近はvoltDBで大幅にパフォーマンスを上げているようで、最新の技術を取り入れている 様子がうかがえます。

• さくら、「レンタルサーバ」サービスに国外IPフィルタ設定を適用へ
  • http://www.atmarkit.co.jp/ait/articles/1403/11/news107.html

NTPアンプ攻撃の話題です。ツールを揃えておけば、一人の攻撃者でも100GbpsのDDoSを 簡単に実行可能とあります。100Gbpsだと殆どの一般的なサイトは通常のサービスを 継続することが難しいと思われます。

• 「NTP増幅」手法のDDoS攻撃、もっと強大化する恐れも
  • http://www.itmedia.co.jp/enterprise/articles/1403/13/news069.html

モバイルデバイスを標的にした不正サイトが急増しているという話題です。 下記は本文からの抜粋です。あの手この手で何とかして情報やお金を 抜き出そうとしているかが感じられると思います。下記は本文からの引用です。

トレンドマイクロの調査では、具体的なモバイル向け不正サイトの内容として
以下を確認しています。

- フィッシング詐欺
- ワンクリック詐欺（架空請求）
- 出会い系詐欺（サクラサイトなど）
- 偽サイト（偽ブランド販売、ショッピング詐欺）
- スケアウェア詐欺（脅迫、偽セキュリティ）
- 金銭、儲け話関連（ギャンブル、未公開株、ドロップシッピング、キャッシング）

• モバイル向け不正サイトが 2年間で 14倍に急増、73,000件に
  • http://blog.trendmicro.co.jp/archives/8719

ショップの運用者サイドを狙った攻撃に関する話題です。商品が破損した等のクレームメールを 送りつけて、添付ファイル(画像等)を開くように誘導し、ウイルスに感染させるといった手口を 使っています。

大学で言えば、学生や卒業生を語って事務にアタックをかけると言った手口が考えられます。 学生が学内外で事故を起こしたと偽り、スマホで撮った現場の写真ですと語って 悪意のある添付ファイルを付けるといった攻撃があるかもしれません。

• 日本のネットショップサイトの管理者・運営者を狙った新しいスパム攻撃を確認
  • http://scan.netsecurity.ne.jp/article/2014/03/13/33771.html

AnonymousのメンバーとともにDDosを行い3年間の保護観察処分などの話題が挙げられています。 記事中で紹介されているLOICはDDoSでは有名なツールです。1台でも強力ですが、 IRCと連携して一斉射撃が出来るなど、大きな問題を引き起こすことが可能です。

• サイバー犯罪、2014年2月の主要な刑事訴追
  • http://blog.kaspersky.co.jp/top-cybercriminal-prosecutions-of-the-month-febuary-2014/

ボットの巧妙な制御方法に関する話題です。ボットの制御時に対象となるボットに向けて テキスト(命令)をそのまま流すとシグニチャによる検出で引っかかりますが、画像の中に埋め込むことで 検出を回避するようです。HTTP上で画像のやり取りは一般的かつデータ量も多いので、 画像と見なされた途端に中身の詳細はチェックされない事を利用した手法のようです。

• 「セクシー画像」にコマンドを隠す、新たなウイルスが出現
  • http://itpro.nikkeibp.co.jp/article/NEWS/20140306/541765/

IPAが提供している脆弱性体験学習ツール (AppGoat)がアップデートされたという話題です。 具体的には、WEBアプリケーションの開発において押さえておくべき「OSコマンド・インジェクション」、 「HTTPヘッダ・インジェクション」、「セッション管理の不備」等が追加されたようです。 無償でセミナー等で使って良いコンテンツとなっています。

• 「脆弱性体験学習ツール AppGoat ウェブアプリケーション学習版」を機能強化
  • http://www.ipa.go.jp/about/press/20140310.html
• 脆弱性体験学習ツール AppGoat
  • http://www.ipa.go.jp/security/vuln/appgoat/index.html

Cisco製品における危険度の高い脆弱性が発見されたというものです。

• Ciscoの無線ルータなどに脆弱性、管理者権限を取得される恐れ
  • http://www.itmedia.co.jp/enterprise/articles/1403/07/news040.html

IEでまた危険な脆弱性が発見されたようです。IE8-11のバージョンで影響を受け、 IEを実行している権限で任意のコードを実行可能となっています。EMETを利用するか、 パッチを充てるなどの対応策があるようです。

• IE の CTreeNode オブジェクトの取り扱いに起因する解放済みメモリ使用の脆弱性
  • http://scan.netsecurity.ne.jp/article/2014/03/05/33712.html

Drive by Download攻撃が前年同期比2倍、メールだけで無くWEBも利用した 標的型攻撃の登場、Apache Struts2を狙った攻撃も倍増と書かれています。

• 2013年下半期Tokyo SOC情報分析レポート、「見えない化」が進む
  • http://www-06.ibm.com/jp/press/2014/03/0501.html

＠wikiのサイトなら何処でもスクリプトを不正に設置できるような状態に あるようです。パズドラの情報サイト等、人気のあるサイトが標的にされ、 被害が拡大しているようです。

• @wiki、ユーザーID・パスワードが流出。ページの改ざん被害も
  • http://internet.watch.impress.co.jp/docs/news/20140309_638779.html

USのモバイルトラフィックの内25%がマルウェアによるトラフィックのようです。

• モバイルでボットが急増中, 2013年は前年比で30%増加
  • http://jp.techcrunch.com/2014/03/06/20140305mobile-bot-traffic-reportedly-grew-30-in-2013/

通信の秘密に関する話題です。個人のプライバシーを優先すると何も見ては いけないという方に振れますが、一方でマルウェアの発生する通信を個人の 守るべき通信と見なすと被害がどんどん拡大していきます。今回の検討では 一歩踏み込んで、IPアドレスやURL等を限定的に利用して良いとみなすようです。 下記はBlog記事本文より引用です。

一次とりまとめでは、利用者が設定変更が可能であることなどを条件として、
アクセス先IP又はURLなどを機械的に自動検知したうえで注意喚起画面等を
出しても良いとしています。

• 日本の電気通信事業者と「通信の秘密」最新動向
  • http://www.geekpage.jp/blog/?id=2014/3/5/1

Androidのアダルトアプリの中で非公式な方法を使って他の複数のアプリをインストールする ものがあるという話です。インストールされるアプリは通常のアプリのようですが、 権限の設定等が勝手に行われるため、悪用しようとする意思があると危険なアプリに 権限を与えてインストールする事も可能です。アダルトアプリ、鑑定アプリ、偽ゲーム、 電池管理等のアプリ等々、気をつけないといけないアプリが多い時代です。 下記は記事からの引用です。

ユーザーが自身でGoogle Playから手動でアプリをインストールする通常の手順と異なり、
この自動インストールでは、アプリ説明の閲覧や権限要求の確認と許可・拒否を行う機会が
ユーザーに与えられません。

• Google Playからアプリ自動インストールを行う危険な国内向けAndroidアプリ
  • http://www.itmedia.co.jp/enterprise/articles/1403/04/news121.html

銀行を語った偽メールの話です。日本でも被害額は年間14億円で増加傾向にあるようです。 対策項目がリスト化されていて人に説明するときに便利かと思います。 URLを確認するというのは鉄則ですが、HTMLメールを使っていて”“タグをいじって パッと見はMUFGのサイトの様に見せたりと、年々誘導方法も巧妙になっています。

• 元銀行員がひも解くフィッシング詐欺の中身と対策 (1/3)
  • http://www.itmedia.co.jp/enterprise/articles/1402/28/news033.html

MSのSQL Severを狙った攻撃(デフォルトのログインパスワードで侵入を試みる)が 半数を数えるという話です。インターネット定点観測(@Police)が高機能化されて、 追加された機能のようです。

• シグネチャの分類 “Scan(Password)” の検知状況について (2014年1月分)
  • http://www.npa.go.jp/cyberpolice/detect/

GOM Playerのアップデート用のサーバが乗っ取られて、大規模なウイルス感染が 起きました。1月に文科省からも注意喚起が出ましたし、覚えている方も多いと思います。 こちらもLACの西本さんによる全体像の解説です。

• 超人気ソフトが人質に　ウイルス大規模感染の深層
  • http://www.nikkei.com/article/DGXBZO67412470W4A220C1000000/

google docs, facebook等々を使った情報漏洩等に係わる話です。

• 続出する“意図しない情報漏えい”、あらゆるものが「つながる」時代に何をすべきか
  • http://itpro.nikkeibp.co.jp/article/COLUMN/20140223/538402/

少し古い記事ですが、件数等々まとまっているので掲載しておきます。 任天堂、資生堂、JR東日本、NTT東日本、等々が被害にあっています。 user/passの組み合わせを多くのユーザーが再利用しているので、 どこかで抜かれると他でもやられるという具体的な話が書かれています。 良いパスワード(数字記号の混じった8文字以上のパスワード)を利用する 事も重要ですが、使い回しを控えることも大切な事です。

• まだまだ続く不正ログイン事件
  • http://negi.hatenablog.com/entry/2013/08/02/234709

○×診断の様な鑑定アプリを気軽な気持ちで利用すると、アカウントの乗っ取りや 個人情報の漏洩が発生するという話です。偽のflappy bird等もそうですが、 最近は情報を抜き取るアプリのクオリティが高くなっていて対策が取りづらいです。 Facebook等々のSNSで皆がやっているからという理由で気軽にこれらのアプリを 利用しないよう気を付けて下さい。

• 鑑定アプリはいまや犯罪の温床。誰も手を出すな!!
  • http://getnews.jp/archives/518757

IE9,10の脆弱性に対する対応の一つとしてEMETの導入が挙げられていたのですが、 そのEMETを回避する方法があったという話です。IE11に上げられない環境もあるので、 悩ましい問題ではあります。

• Microsoftの「EMET」に迂回される問題、次期版で解決へ
  • http://www.itmedia.co.jp/enterprise/articles/1402/25/news088.html

iOSでSSL/TLS通信傍受の恐れがあります。この脆弱性は最新のiOSでは 修正されていますが、その脆弱性がOS Xでも出たという状況です。 2/25現在、パッチはまだ出ていません。すぐにセキュリティアップデートが アナウンスされると思います。

• iOSのSSL/TLS通信傍受の脆弱性は「悪夢」、OS Xにも存在
  • http://www.itmedia.co.jp/enterprise/articles/1402/25/news039.html
• Apple、iOS 6と7のアップデート公開　SSL/TLS通信傍受の恐れ
  • http://www.itmedia.co.jp/enterprise/articles/1402/24/news034.html

標的型攻撃の話題です。Office系のファイルだけで無く、 ショートカットにも危険は存在するという話です。 標的型攻撃の一般的な話があり写真も豊富なので、 標的型攻撃を知らない方が周りにいれば説明の際に参考になりそうです。

• ショートカットに気をつけろ！進化する標的型攻撃の脅威
  • http://itpro.nikkeibp.co.jp/article/Watcher/20140217/537069/

IE9, 10に関する脆弱性の話題が出ているのでまとめておきます。 対応としては下記の方法が考えられます。出来るだけAの対策を、 せめてBの対策を取ることをお勧めします。

A. Windows Updateを行ってIE11にアップデートする
B. MSのサイトにある修正プログラム(Fix it 51007)の適応を検討する
   (Fix it 51008で問題が出た場合はFix it 51008を利用し、元の状況に復帰させる)
C. 基本的に、修正が施されていないIE9, 10を使って学外サイトを閲覧しない

• Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
  • http://www.jpcert.or.jp/at/2014/at140009.html
• Internet Explorer の脆弱性対策について
  • http://www.ipa.go.jp/security/ciadr/vul/20140220-ms.html
• MSの修正プログラム配布ページ(英語)
  • https://support.microsoft.com/kb/2934088

最近のSPAMはどのような手口でメールに記されたURLや添付ファイルを ユーザにアクセスさせているか、という話題です。先のRTFの攻撃とも 関係する話です。

ここでは急かして人の判断力を鈍らせるという方針を採っています。 海外の事例ですが、日本でも裁判員制度が始まりましたし、 この手の攻撃は十分考えられます。

• 裁判所を騙る電子メールと葬儀場を騙る電子メールとの共通点
  • http://www.symantec.com/connect/ja/blogs-339

RTFファイルを悪用した攻撃は昔からありますが、攻撃の仕方が 巧妙になってきているという話題です。添付ファイルを不用意に 開かない等の対応は皆知っていても、誘導の仕方も含めて手が込んできています。

• RTFファイルを悪用する不正プログラムが増加
  • http://blog.trendmicro.co.jp/archives/8603

IE10のゼロデイ攻撃の話題が各所で取り上げられています。またこのゼロデイを 利用した水飲み場攻撃も観測されています。この水飲み場攻撃は米国の軍人を 対象としたもので、かなり手の込んだ物になっているようです。

• Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性 (緊急)
  • http://jvn.jp/vu/JVNVU96727848/
• 水飲み場型攻撃で検出された Internet Explorer 10 の新しいゼロデイ脆弱性
  • http://www.symantec.com/connect/ja/blogs/internet-explorer-10-0

学内のWEBアンケートを取りましたが、PHPの利用は多いですね。 PHPはWEB系で使われる言語ではダントツでセキュリティホールが 出るので、みんなちゃんとアップデート出来るようにしていきたいです。

@PoliceによるとPHP-CGIの脆弱性を狙った攻撃が昨年末より急増している様です。 他にもPHPは多くの脆弱性が出ているので、利用者の方は適切に アップデートを行って下さい。下記は本文からの引用です。

PHP-CGI に関する脆弱性1に関して、平成 25 年 10 月 29 日に新たな攻撃コードが
公開されました。同攻撃コードの公開により、PHP-CGI を実際には使用していなくても、
PHP-CGIが使用できる状態となっているだけで、脆弱性を利用した攻撃を受ける可能性が
あることが明らかとなりました。

• PHP-CGI の脆弱性を狙った攻撃が急増(平成２５年１２月期)
  • http://www.npa.go.jp/cyberpolice/detect/pdf/20140213.pdf
• (参考)インターネット治安情勢
  • http://www.npa.go.jp/cyberpolice/detect/

Flappy Bird(土管を鳥が避けていくだけのシンプルなゲーム)が大ヒットしましたが、 話題になりすぎて作者がゲームをストアから削除しました。その後に偽物のアプリが出て、 悪意のある動作をするという話です。

モバイルアプリのインストール時にはアプリに対して正しいアクセス権の 設定をする事が基本ですが、この種のアプリは偽物と知らずに インターネットアクセス等を許可するといった事態が起こるため、一層の注意が必要です。

• 「Flappy Bird」: 開発者による削除後、トロイの木馬化したアプリを確認
  • http://blog.trendmicro.co.jp/archives/8571

学内でもNTPの問題が発生ましたが、世界的に見ると400Gbpsともの凄い トラフィック量になっています。

• 400GbpsのDDoS攻撃発生、「NTP増幅」で過去最大規模に
  • http://www.itmedia.co.jp/enterprise/articles/1402/13/news043.html

2014/04/09も迫ってきて、XPの話題が各所で取り上げられています。 学内での利用は認められませんので、もしも利用されている場合は OSのアップグレード等適切な対応を取って下さい。

• “Windows XP”サポート終了まで2カ月弱、官民挙げての取り組み進む
  • http://japan.cnet.com/news/service/35043842/