弊社は、2019年1月23日(水)～25日(金)にインテックス大阪で開催される
「第3回 関西 情報セキュリティEXPO」に出展いたします。

ブースでは、下記製品の展示をいたします。

【e-Gate】
最新技術とノウハウを用いた次世代SOC「e-Gate監視サービス」が
お客様のシステムに設置されたセキュリティ機器のログをリアルタイムに
監視・分析致します。

【SecureSoft Sniper ONE】
ネットワークを経由する不正アクセス、脆弱性攻撃、DDoS攻撃、
その他様々な攻撃に対する検知/防御を1台で提供する総合セキュリティアプライアンス。
日本語GUIによる直感的な操作で高度なセキュリティを簡易に実現します。

「第3回 関西 情報セキュリティEXPO」概要

◆　会期　：2019年1月23日（水）～25日（金）10:00～18：00（25日のみ17：00終了）
◆　会場　：インテックス大阪（3号館、11-3）
◆　URL　：https://www.japan-it-osaka.jp/ja-jp.html

ご多忙のところ恐縮ですが、是非弊社ブースに足をお運び頂き最新のセキュリティ対策を
ご覧頂きますようお願い申し上げます。
弊社社員一同、心よりお待ちしております。

また、事前に製品の説明やカタログ所望等のご希望がございましたら、お申し付けくださいませ。
今後とも一層のご愛顧のほど、よろしくお願い申し上げます。

2018年も残すところあと僅かとなり、年末年始の長期休暇も目前に迫ってまいりました。
今回は、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より、今年のサイバーセキュリティのトレンドと、年末年始の長期休暇に備えて気を付けるべき情報セキュリティ対策ポイントについて情報が公開されましたのでご紹介いたします。

本記事はこちらよりPDFファイルにてご覧頂けます。

2018年12月21日
サービス＆セキュリティ株式会社 e-Gateセンター

2018年の振り返りと長期休暇における情報セキュリティ対策

1. 概要

2018年も残すところあと僅かとなり、年末年始の長期休暇も目前に迫ってまいりました。
今年も様々なサイバー攻撃が発生し、独立行政法人情報処理推進機構IPAなどの各団体から、脆弱性に関する注意喚起が多くされました。
年末年始など長期休暇の時期は、サイバー攻撃や、クリスマスなどのイベントに乗じたスパムが増加する傾向にあります。
しかしその一方でセキュリティインシデントが発生した際、企業のシステム管理者やセキュリティ担当者などの不在によりその発見が遅れる可能性があり、より一層の注意、対策が肝要となります。
当セキュリティオペレーションセンター（以下、e-Gateセンター）からも、今年流行したサイバーセキュリティトレンドを振り返ってご紹介し、長期休暇前後、期間中に実施すべき情報セキュリティ対策について記載致します。

2. 2018年のサイバーセキュリティの振返り

（1） 仮想通貨に関連した脅威について

2018年は、仮想通貨に関するニュースが多数メディアで取り上げられました。サイバーセキュリティのトレンドとしても、ソフトウェアの脆弱性を悪用し、サーバにマイニングさせて、攻撃者が収益を得ようとする手法が話題となりました。
この様な攻撃の手法やその対策について情報を取りまとめたニュースを、e-Gateセンター及びグループ会社セキュアソフトより発行しておりますので、詳しくは下記URLをご参照下さい。
また、長期休暇中にこれらの被害に遭わぬよう、本章『3.長期休暇時の情報セキュリティ対策について』に記載しております対策を実施してください。

【2018年に流行した仮想通貨に関連する攻撃や脅威】

注意喚起：WebLogic Server の脆弱性を突いた攻撃について
https://www.ssk-kan.co.jp/topics/?p=9093

注意喚起：Drupal の脆弱性を狙った攻撃について
https://www.ssk-kan.co.jp/topics/?p=9115

注意喚起：クリプトジャッキングの脅威について
httpshttps://www.securesoft.co.jp/17/12/2-1/

前述の攻撃の中から、e-Gateセンターで検知した攻撃を代表して「WebLogic Serverの脆弱性（CVE-2017-10271）を悪用した攻撃」について、検知の状況を以下に記載します。
下記のグラフは、2018年11月時点のe-Gateセンターの監視システムにおいて、当脆弱性を狙った攻撃イベント検知数の推移を示しています。
攻撃検知数のピークは過ぎておりますが、現在も継続的に検知されており、年末年始にかけて増加する可能性も考えられますので、依然として注意が必要となります。

【図１　WebLogic Serverの脆弱性（CVE-2017-10271）を狙った攻撃イベント数の推移】
 

（2） 電子メールを介した脅威について

IPAが発表している「情報セキュリティ10大脅威」の組織編において、2018年を含めここ数年の脅威第1位は、「標的型攻撃」関連であり、その主な攻撃のきっかけはメールだと言われています。
標的型攻撃はそのほとんどの場合、企業や民間団体や官公庁など、特定の組織を狙って攻撃が行われ、メールの添付ファイルを開かせたり、悪意あるウェブサイトにアクセスさせたりしてウイルスに感染させ、組織内のPCやサーバに感染を拡大させます。最終的に業務上の重要情報や個人情報が窃取され、大きな損失が出てしまう可能性が高く、注意が必要です。
また第3位には、昨年まで10大脅威に入っていなかった「ビジネスメール詐欺による被害」がランクインしています。ビジネスメール詐欺では、関係者になりすましてメールをやりとりすることにより、企業の担当者を騙し、攻撃者の用意した口座へと送金させます。詐欺行為の準備としてウイルス等を悪用し、企業内の従業員の情報が窃取されることもあります。
長期休暇明けには、多数のメールが溜まっていることが想定されますので、誤って不審なメールの添付ファイルを開いたり、本文中のURLにアクセスしたりしないよう、十分注意をしてください。

今年は、マクロ実行の許可を必要とせずにメールを通じてマルウェアに感染させる「マクロレスファイル攻撃」や、金融情報の窃取を目的としたマルウェア「バンキングトロージャン」に感染させる、添付ファイル付きのメールによる攻撃が流行しました。
攻撃手法やその対策など詳細につきましては、e-Gateセンター及びグループ会社セキュアソフトより発行しております過去のニュース（下記URL）をご参照ください。

【2018年に流行したメールを介してマルウェアに感染させる攻撃の手法や対策】

マクロレスファイルを用いた最新の攻撃手法
https://www.ssk-kan.co.jp/topics/?p=9355

注意喚起：バンキングトロージャンに感染させる拡張子"iqy"添付ファイル付きメールの国内大量拡散について
httpshttps://www.securesoft.co.jp/18/08/iqy-1/

◆ 参考情報

独立行政法人情報処理推進機構（IPA)
情報セキュリティ10大脅威 2018
https://www.ipa.go.jp/security/vuln/10threats2018.html

3. 長期休暇時の情報セキュリティ対策について

一般的な対策は、「長期休暇前」、「長期休暇中」、「長期休暇明け」の三段階に分類され、システム管理者だけでなく、一般社員、職員など利用者全員が、情報セキュリティ対策を適切に行うことが大切です。
IPA及びJPCERT/CCより、長期休暇に備えた情報セキュリティ対策について紹介がされております。対策のポイントを下記にまとめておりますので、身の回りのセキュリティ対策が適切になされているか、今一度見直してみてください。

[長期休暇前]

1. 最新の修正プログラムが適用されているかを確認する
2. 休暇中に使用しないサーバ等の機器は電源をOFFにする
3. インシデント発生時の対応方法・手順、連絡体制を明確にしておく
4. 重要データのバックアップを取得する

[長期休暇中]

1. 持ち出し機器やデータの管理を厳重にする
2. SNSに不要な情報を公開しない様、投稿内容や投稿範囲に注意する
（SNSへの投稿により長期休暇中である事が知られてしまう可能性もある）
3. 必要のないPC等は電源を切っておき、施錠可能な場所へ保管しておく

[長期休暇明け]

1. 休暇中に修正プログラムが公開されている場合があるので必ず確認し、修正プログラムを適用する
2. 休暇中に不審なアクセスなどが発生していないか、サーバ等のログを確認する
3. 休暇中に持ち出したPCについては、社内NWへ接続する前にウィルススキャンを実施する
4. Webサーバで公開しているコンテンツが改ざんされていないかを確認する
5. 新年のごあいさつメールなどが偽装されている場合があるのでリンク等に注意する

◆ 参考情報

独立行政法人情報処理推進機構（IPA)
長期休暇における情報セキュリティ対策
https://www.ipa.go.jp/security/measures/vacation.html#section2

JPCERT/CC
長期休暇に備えて
https://www.jpcert.or.jp/pr/2018/pr180002.html

4. "e-Gate" の活用について

前述の年末年始の長期休暇における対策を行った上で、よりセキュリティ対策を強固にするために、"e-Gate"のMSSの導入をぜひご検討ください。e-Gateサービスでは年末年始などの長期休暇においても、24時間365日で監視をしております。
サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。
"e-Gate" のセキュリティ監視サービスをご活用頂きますと、迅速なセキュリティインシデント対応が可能となります。

■総合セキュリティサービス

SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC "e-Gateセンター"、この2つを融合させることにより、お客様の情報セキュリティ全体をトータルサポートするのが、SSKの "e-Gate" です。e-Gateセンターを核として、人材・運用監視・対策支援という3つのサービスを軸に、全方位でのセキュリティサービスを展開しております。

【参考URL】
https://www.ssk-kan.co.jp/e-gate/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標、または商標です。

≪お問合せ先≫

サービス＆セキュリティ株式会社　　　

〒150-0011　　　　　　　　　　　　　　　　
東京都渋谷区東3丁目14番15号 MOビル2F

TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp

2018年12月吉日

お客様各位

株式会社セキュアソフト

年末年始休業のご案内

拝啓 貴社ますますご清栄のこととお喜び申し上げます。

平素は格別のご高配を賜り、厚く御礼申し上げます。

さて、誠に勝手ながら、弊社は年末年始の休業を下記の通りとさせて頂きます。

ご迷惑をお掛けすることと存じますが、何卒ご了承のほど、お願い申し上げます。

なお、24時間サポートをご契約のお客様につきましては、上記期間中も弊社より

ご案内しておりますサポートダイヤルにて対応させて頂きます。

敬具

記

2018年 12月 29日（土）より

2018年 01月 03日（木）まで

以上

　様々なサイバー攻撃手法が日々生み出されている現状においても、攻撃者にとって最もよく利用される侵入手口はメールを通じてWindowsユーザをマルウェアに感染させる手法です。
　今回、マクロ実行の許可を必要としない最新の攻撃手法と、今年確認されているその他の攻撃例や悪用されやすい拡張子について、セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

本記事はこちらよりPDFファイルにてご覧頂けます。

マクロレスファイルを用いた最新の攻撃手法

 1.概要

　様々なサイバー攻撃手法が日々生み出されている現在でも、攻撃者によって最もよく利用される侵入手口はメールを通じてWindowsユーザをマルウェアに感染させる手法です。IPAの選出する「情報セキュリティ10大脅威 2018 組織編」における第1位はここ数年「標的型攻撃」関連であり、その主な攻撃のきっかけはメールと言われています。

この時、攻撃者の狙いは主に以下の2つです。

　●メール内のリンクをクリックさせ、マルウェア本体もしくはそのダウンローダーをダウンロードさせる。

　●添付したWord文書やExcelファイルなどに不正なコンテンツやマクロを埋め込み、それを実行させる。

 　一方で、通常マルウェアをダウンロード及び実行させるためには、ユーザの注意を潜り抜け、「マクロの有効化」といったいくつかの警告メッセージを許可させる必要があります。しかし、明らかに不自然な日本語で書かれたメールや、".exe"など典型的な怪しい拡張子のファイルは開かないという方も多いでしょう。

　よって、攻撃者は見慣れない拡張子のファイルを利用するなど、ユーザをマルウェアに感染させるために様々な工夫を凝らしています。中でも、最近発見されたマクロ機能を使用しない(マクロレスな)手法は、警告メッセージが表示されない分ユーザが攻撃と気づかない可能性が高いため、特に注意が必要です。

　今回は、マクロ実行の許可を必要としない最新の攻撃手法と、今年確認されているその他の攻撃例や悪用されやすい拡張子についてご紹介いたします。

2.マクロレスファイルを用いた最新の攻撃手法：「オンラインビデオの挿入」の利用

2.1　概要

　10月下旬、Cymulate のセキュリティ研究チームによって、Word文書のオンラインビデオ埋め込み機能を利用した手法が発見されました。本機能は、通常であればYouTubeなどの動画をWord文書内に埋め込むものですが、これを悪用することで、動画再生の代わりに攻撃者の任意のhtmlやjavascriptを実行させることが可能となります。

 　注意すべき点として、この手法はマクロ機能を使用していないため「コンテンツの有効化」といった警告メッセージが表示されません。 すでに本機能を悪用した検体が確認されていますが、本記事掲載時点においてMicrosoftによる対応の予定はないため、十分な注意が必要です。

 【図1】埋め込み動画（https://www.youtube.com/watch?v=ijD_ua13Vsc）の再生画面

2.2　攻撃の仕組み

　".docx" ファイルは実際にはテキストや書式設定などの各ファイルを圧縮した状態で保存されています。よってWord文書をファイル解凍ツールで展開すると、通常のXML形式のファイル等から構成されている様子を見ることができます。

　展開後、wordフォルダ内の document.xml を開くと、動画が含まれたiframe要素を持つ embeddedHtml パラメータを確認することができます。 

【図2】 document.xml 内の embeddedHtml パラメータ

　このiframe要素を任意のhtml/javascriptに書き換えることで、動画を再生しようとクリックしたユーザの環境で警告メッセージ無しにコードが実行されます。ここから攻撃者の用意したWebサイトにアクセスさせるなど、様々な悪用方法が考えられます。

【図3】 embeddedHtml パラメータ変更後の再生画面

(変化が分かりやすいよう、Buttonを表示させています)

 3.その他の攻撃例の紹介

3.1　".lnk" ファイルや ".rtf" ファイルの利用：ファイルレスマルウェア

　ファイルレスマルウェアは、昨年から流行しているマルウェア感染手法です。主に ".lnk" ファイルや ".rtf" ファイルを実行させることで、そこに埋め込まれたマクロからWindowsのPowerShellコードを実行させます。

　Windowsの標準機能であるPowerShellを用いているので従来のセキュリティ製品では検知されにくい特徴があります。

　以前に弊社のグループ企業であるセキュアソフトのセキュリティニュースにおいて取り上げておりますので、詳しくはこちらをご参照ください。 

3.2　".SettingContent-ms" ファイルの利用

　今年の7月、 ".SettingContent-ms" というファイル拡張子を利用した攻撃が可能であることが話題となりました。

".SettingContent-ms" ファイルは「設定」ページへのショートカットを作成する目的で使用されますが、中身のXML形式のファイルを書き換えることで任意のPowerShellの実行などが可能になります。攻撃者は細工を施した当該ファイルをWord文書に埋め込むなどして、マルウェアのダウンロードおよび実行を企図します。この攻撃はマクロ機能を使用していない点が特徴です。

　なお、当該脆弱性（CVE-2018-8414）はMicrosoftより更新プログラムが公開されており、Windows Updateを実施している場合は正規のフォルダ以外から ".SettingContent-ms" ファイルを実行することができなくなっています。

【図4】正規のフォルダ以外から ".SettingContent-ms" ファイルを実行した際に表示されるエラーメッセージ

3.3　".iqy" ファイルの利用

　今年の8月には、 ".iqy" ファイルが添付された不審なメールが国内で確認されました。 ".iqy" ファイルはMicrosoft Office クエリファイルのことで、WebサイトからExcelにデータを取り込む機能を持っています。

　攻撃者はこのファイルを悪用し、ユーザが開くとExcelが起動し、マルウェアのダウンロードが行われるよう細工を施します。

　なお、 ".iqy" ファイルを開く際と、コマンドプロンプト実行時の二回にわたり警告メッセージが表示されるため、気を付けていれば感染に至ることはありません。一方で、 ".iqy" ファイルでは「保護ビュー」が機能しないため、その点は注意が必要です。

【図5】 ".iqy" ファイルを開いた際に表示されるメッセージ

　また、拡張子 ".slk"のファイルにおいても「保護ビュー」を経ずにExcelを起動させる同様の手法が確認されています。

3.4　".com" ファイルの利用

　Cofense によると、10月から拡張子 ".com" のファイルを使用したフィッシングメールが増加傾向にあると言います。 ".com" はMS-DOSにおいて実行ファイルとして利用されていた拡張子の1つであり、互換性のため現在のWindowsでも起動が可能となっています。ドメインで使用される ".com" (commercial) とは無関係のため、実行してしまわないようにしましょう。

4.共通する対策

　・不審なメールの添付ファイルは開かない。

　・OSやアプリケーション、セキュリティ製品を常に最新の状態にする。

　・信頼できないメールに添付されたWord文書やExcelファイルを開いた際、「保護ビュー」で閲覧する。

　・マクロに関する警告が表示された場合、「マクロを有効にする」「コンテンツの有効化」というボタンはクリックしない。

　・身に覚えのない警告メッセージが表示された際、警告の意味が分からない場合は操作を中断する。

　・本記事で紹介したような ".rtf" や" .iqy" といった拡張子ファイルを通常業務で使用しない場合、WordやExcelのセキュリティ機能でファイル制限をかけておく。

　なお、このような対策を行っていたとしても、今後新たな手法が発見されたりメールや添付ファイルの文章が巧妙であったりする場合には、感染を許してしまうケースは発生するでしょう。

　その際にマルウェアを検知・防御できるよう最新鋭のセキュリティ製品を導入し、適切に運用するとともに、いち早く感染に気付けるような監視体制を徹底しておくことが肝要です。

5.e-Gateの活用について

　サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。SSKの総合セキュリティサービス「e-Gate」では、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。「e-Gate」のセキュリティ監視サービスをご活用頂くことにより迅速なセキュリティインシデント対応が可能となります。

■総合セキュリティサービス「e-Gate」

　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】https://www.ssk-kan.co.jp/e-gate/

 6.参考情報

独立行政法人情報処理推進機構（IPA)

・情報セキュリティ10大脅威 2018 組織編

・【参考資料】IQYファイルを悪用する攻撃手口に関する注意点

Cymulate

・Abusing Microsoft Office Online Video

Microsoft
・CVE-2018-8414 | Windows Shell のリモートでコードが実行される脆弱性

※上記URLの閲覧には利用規約への同意が必要です

 Cofense

・Phishing Emails with .COM Extensions Are Hitting Finance Departments

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

企業間の重要なコミュニケーションツールである電子メールを使用した詐欺が高度化、
巧妙化し、日本国内にも広まろうとしています。
ビジネスメール詐欺（Business E-mail Compromise：BEC）の脅威と対策について、
セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)の
セキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起：ビジネスメール詐欺による脅威と対策

 1. 概要

　働き方改革が注目を浴びる中、ビジネスコミュニケーションツールとして企業向けチャットツール（メッセージアプリケーション）が年々普及しています。一方で依然として電子メールは企業間の重要なコミュニケーションツールとして位置づけられています。

IPA（情報処理推進機構）が発表した『情報セキュリティ10大脅威 2018』では第３位に「ビジネスメール詐欺による被害」がランクインしております。2018年8月27日にはIPAより、日本語によるビジネスメール詐欺（Business E-mail Compromise：BEC）の注意喚起が行われました。また、警察庁もビジネスメール詐欺に関する注意喚起サイトを開設しています。

英文や不自然な日本語を使用した内容のメールは受信者も警戒していましたが、自然な日本語によるメールが増えるなど、攻撃は高度化、巧妙化し続けており、企業はさらなる対策を求められています。

2. ビジネスメール詐欺とは

　ビジネスメール詐欺は企業で使用するメールを利用した詐欺行為です。

　メールを盗聴することで取引状況を把握し、請求・支払などの絶妙なタイミングでなりすましメールを送信して、攻撃対象者を騙します。送信者のメールアカウントを乗っ取る、もしくは類似のドメインのメールアドレスからのメールを偽装するため、ビジネスメール詐欺であることに気付きにくいことが特徴です。

　ビジネスメール詐欺の攻撃フローは一般的に、メールのやりとりを盗聴して取引状況を把握するための情報収集活動と、なりすましメールを送信するなどの詐欺活動から構成されます。

【図1 日本語のビジネスメール詐欺の一例（引用元IPA）】

　一例として以下のような一連の攻撃活動があります。

情報収集活動

　①攻撃者がキーロガー、通信の盗聴などによってメールのやり取りを把握

詐欺活動

　②請求側の担当者になりすまして、支払側担当者に偽の請求書をメール送付

　③攻撃者が請求側担当者になりすました偽の請求書に支払側担当者は気付かず、攻撃者が準備した偽の銀行口座に送金

【図2】請求側担当者になりすましたビジネスメール詐欺

　この他にもビジネスメール詐欺には以下のような種類があります。

　・会社幹部になりすまして、偽口座への振込指示を行う。

　・弁護士等、社外の権威ある第三者になりすまして、偽口座への振込指示を行う。

3. ビジネスメール詐欺への対策

 　ビジネスメール詐欺ではキーロガーや通信の盗聴以外にソーシャルエンジニアリング*によって重要情報を窃取するケースがあります。そのため、セキュリティ製品による技術的な対策だけではなく、管理的（人的・組織的）対策が求められます。

　*social engineering. 個人が持つ秘密情報を、情報通信技術を使用せずに盗み出す方法

技術的対策

・不正な通信からネットワークやサーバ、エンドポイントを防御するためのIPSの導入

・フィッシングサイトへの誘導など、情報収集活動から防御するためのメールセキュリティ製品の導入

・不正プログラム感染から防御するためのエンドポイント対策製品の導入

・標的型攻撃対策製品の導入

管理的対策

・取引に関する異例な要求のメールに対する運用体制の整備

・ビジネスメール詐欺についての社内理解度を高めるためのセキュリティ教育や訓練

・従業員の肩書などをソーシャルメディアや企業サイトに公開することによる不正利用のリスク評価

・送金に関する社内規定や体制の整備（内部統制の整備と運用）

4. e-Gateの活用について

　サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行うことが重要です。SSKの総合セキュリティサービス「e-Gate」では、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。「e-Gate」のセキュリティ監視サービスをご活用頂くことにより迅速なセキュリティインシデント対応が可能となります。

　■総合セキュリティサービス　「e-Gate」

　　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】https://www.ssk-kan.co.jp/e-gate/

 5. 参考情報

　独立行政法人情報処理推進機構（IPA)
　・【注意喚起】偽口座への送金を促す"ビジネスメール詐欺"の手口（続報）

　警察庁 サイバー犯罪対策プロジェクト
　・ビジネスメール詐欺の手口

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

Apache Software Foundation が提供する Apache Struts 2 は、
Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
2018年8月24日にIPAより脆弱性に関する注意喚起が行われております。
セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)の
セキュリティオペレーションセンター(e-Gateセンター)より情報が公開されましたのでご紹介いたします。

本記事はこちらよりPDFにてご覧頂けます。

セキュアソフトのSniper IPS、Sniper ONEシリーズでは、
今回の脆弱性に対するシグネチャーを9月6日付けでリリースしております。
また、Apache Struts 2の脆弱性については昨年もセキュリティニュースを発行しております。
2017年9月13日発行：【Technical Report17-09】
ぜひご参照頂きますようお願いいたします。

注意喚起：Apache Struts 2の脆弱性を突いた攻撃について

 1.　概要

　Apache Software Foundation が提供する Apache Struts 2 は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。フレームワークを使用することでアプリケーションの開発を効率よく進めることができます。ただし広く普及しているフレームワークは利便性に優れる一方で、攻撃の対象として狙われる可能性も高くなります。今回紹介するApache Struts 2は過去にも致命的な脆弱性が多数報告されております。

　201８年8月24日に IPA及びJPCERT/CCによってApache Struts 2の脆弱性（CVE-2018-11776）について注意喚起が行われております。今回の脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

　IPAより、本脆弱性を悪用する攻撃コードが公開されているとの情報が発表されていますので、対策済みのバージョンへのアップデートや回避策を実施する必要があります。（後述の脆弱性情報を参照ください。）

　e-GateセンターにおいてもApache Struts 2に対するサイバー攻撃が確認されています。図１はe-Gateセンターの監視するシステムにおけるApache Struts 2に関連する攻撃イベント数の推移です。2018年5月以降、イベント数は減少傾向にありますが、一定数の攻撃通信は継続しております。

【図１　Apache Struts 2関連の攻撃イベント数の推移】

 2.　脆弱性情報詳細

　⑴Apache Struts 2 (CVE-2018-11776)の脆弱性

　対象となるバージョンで以下の条件の両方を満たす場合、本脆弱性の影響を受けます。

　・alwaysSelectFullNamespace を true に設定している

　・Struts設定ファイル（struts.xmlなど）に、オプションのnamespace属性を指定しないか、

　　ワイルドカードネームスペースを指定する "action"タグまたは "url"タグが含まれている場合

　本脆弱性を悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。

【図2　攻撃イメージ】

　⑵対象となるバージョン

　- Apache Struts 2

　- 2.3 から 2.3.34

　- 2.5 から 2.5.16

　⑶対策

　①本脆弱性を修正した下記のバージョン以降のものに更新する。

　　Apache Struts 2.3.35

　　Apache Struts 2.5.17

　②Strutsの設定ファイル(strtuts.xmlなど)でnamespaceの値を指定し、

　　URLタグのvalueとactionの値を指定する。

　③上記の更新や設定ファイルの修正ができない場合、IPSやWAFなどをインターネットからの経路上に設置し、

　　悪意のある攻撃を検知、遮断することができます。

　⑷参考情報

　■Apache Struts 2

　　Version Notes 2.5.17

　　Version Notes 2.3.35

　　Security Bulletins S2-057

　■JPCERT/CC

　　Apache Struts 2 の脆弱性 (S2-057) に関する注意喚起

　■独立行政法人情報処理推進機構（IPA)

　　Apache Struts2 の脆弱性対策について(CVE-2018-11776)(S2-057)

 3.　e-Gateの活用について

　今回の攻撃は製品の脆弱性を狙った攻撃の一種です。サイバー攻撃を早期に発見する為には、対策(3)の③のようにセキュリティ機器を導入し、それらの機器の運用監視を行うことが重要です。SSKの総合セキュリティサービス「e-Gate」では、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。「e-Gate」のセキュリティ監視サービスをご活用頂くことにより迅速なセキュリティインシデント対応が可能となります。

■総合セキュリティサービス「e-Gate」

　SSKが40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】https://www.ssk-kan.co.jp/e-gate/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

今月に入り、拡張子「iqy」のファイルが添付されたメールが日本国内で大量に拡散されています。

この拡張子"iqy"は金融情報の窃取を目的としているマルウェアの為、注意が必要です。

今回はこの攻撃の特徴と、弊社のセキュリティソリューション製品をご紹介いたします。

本記事は、こちらよりPDFファイルにてご覧頂けます。

注意喚起：バンキングトロージャンに感染させる
拡張子"iqy"添付ファイル付きメールの国内大量拡散について

1.　概要

今月に入りインターネットバンキングなど金融情報の窃取を目的としたマルウェア付きメールが、日本国内で多数配信されています。メールの添付ファイル拡張子が"iqy"と見慣れないもので、海外では以前から確認されておりましたが、国内を狙った日本語による大量のメールが確認されております。

このような金融情報の窃取を目的とした、マルウェアを「バンキングトロージャン」と称します。バンキングトロージャンに感染すると、利用者のログイン・パスワードなどの情報を窃取され、利用者が気付かないうちに銀行口座から不正に金銭を引き出されてしまう被害に遭う恐れがあります。またバンキングトロージャンの中にはインターネットバンキングのみならず仮想通貨の取引所やウェブウォレットから不正に送金するものも確認されています。

夏休みなどの長期休暇明けは、休暇中に溜まった多数のメールを確認することで注意力が低下し対策が疎かになり、マルウェアに感染する可能性が高くなる傾向があり、不用意に怪しいメールを開かないように注意を払ってください。

日頃から被害の遭遇や拡大を未然に防止する対策を講じることが重要です。以下にバンキングトロージャンの攻撃手法と一般的な対策、セキュアソフトのソリューションによる対策をご紹介します。

2.　バンキングトロージャンとは

バンキングトロージャンについて、弊社より昨年の8月にニュースリリースをさせて頂いております為、詳細は下記のリンクもご参照ください。

「Technical Report 17-08 注意喚起：バンキングトロージャンに感染させるメール拡散について」

3.　バンキングトロージャン拡散の手法

今回の、バンキングトロージャン感染の手法は、メールのアタッチファイルの拡張子が「.iqy」であることが最大の特徴です。

配信されるメールには添付ファイルの開封を促す、日本語の内容が件名や本文に記載されております。また、添付ファイル名としては「月」+「数字列」や、「受信者名」+「数字列」といった例が確認されております。

弊社でも今回のメールを多数確認しております。以下に、注意喚起情報と例を記載します。

　■    参考情報

　　独立行政法人情報処理推進機構（IPA）

　　「IQYファイルを悪用する攻撃手口に関する注意点(第二版)」

「月」+「数字列」パターンの「.iqy」添付メールの一例

「受信者名」+「数字列」パターンの「.iqy」添付メールの一例

4.　「.iqy」拡張子添付メールからのバンキングトロージャン感染対策

被害に遭わないためには、PCをマルウェアに感染させない対策が必要です。「.iqy」ファイルはMicrosoft Excelに関連付けられている為、ファイルを開くExcelが起動されます。「.iqy」拡張子ファイル対策や、一般的なマルウェアの感染防止対策とインターネットバンキング利用時の推奨事項は以下の通りです。ぜひ、参考にしてください。

⑴「.iqy」拡張子ファイルへの対策

　①Excelのオプションを開く

　②オプションメニューより、「セキュリティセンター」を開く

　③セキュリティセンターメニューより、「ファイル制限機能の設定」を開く

　④Microsoft Officeクエリファイルの「開く」にチェックを入れる

※本設定は、日常的に「.iqy」ファイルを使用しない場合のみ実施して下さい。

 4-⑴に記載している、【「.iqy」拡張子ファイルへの対策】が困難な場合は、下記対応にてマルウェア感染を防止可能となります。

　①「.iqy」拡張子ファイルクリックにて、Excel起動後に表示されるセキュリティに関する通知で、「有効にする」をクリックしない

　②誤って有効にするをクリックした場合でも、cmd.exeの実行を確認する警告プロンプトで、「いいえ」を選択することでマルウェア感染を防ぐことが可能

⑵マルウェアの感染防止対策

　①常に最新のウイルス定義ファイルに更新する。

　②常に最新の修正プログラムを適用する。

　③メールの添付ファイルやダウンロードしたファイルは、開く前にウイルス検査を行う。

⑶ インターネットバンキング利用時の推奨事項

　①銀行が提供する中でセキュリティレベルの高い認証方法を採用する。

　②銀行が指定した正規の手順で電子証明書を利用する。

　③セキュリティ対策が十分な端末を使用する。

5.　SecureSoft mamoretによる対策

以下にSecureSoftのソリューションを使用したバンキングトロージャン感染対策を紹介します。

⑴対策概要

SecureSoft mamoret 及び mamoret BE（以下mamoret/mamoret BE）は、それぞれコンテナ技術を利用したブラウジング専用のネットワーク分離ソリューションです。

上記「4-(3)-③」に記載した十分なセキュリティ対策を施すには、mamoretを使用することをお勧めいたします。

⑵mamoret/mamoret BEとは

１台のPCを通常業務環境用のデータ領域とインターネット接続用のデータ領域に分離するソフトウェアです。

万が一、マルウェアがインターネット接続環境に侵入しても通常業務環境のデータを保護することができます。

また、mamoret/mamoret BEには自動初期化機能があり、mamoret/mamoret BEを再起動すると次回起動時には、クリーンなインターネット接続環境が利用可能となります。

万が一、マルウェアに感染しても再起動を実施するとマルウェアを完全に除去することが出来ます。

【図　１】インターネット接続専用環境の初期化イメージ

⑶mamoret/mamoret BEを使用した運用例

mamoret/mamoret BE を使用したインターネットバンキング利用時の運用例を以下に紹介します。

 ①メールはブラウザを利用したWebメールで閲覧

　メールをWebメールで閲覧することで、ばらまき型攻撃による通常業務環境へのマルウェア感染を防ぎます。

 ②インターネットバンキングはインターネット接続環境を初期化してから利用

　万が一、インターネット接続環境がマルウェアに感染していたとしてもmamoret/mamoret BEを再起動することでクリーンな環境になります。なお、インターネットバンキング利用の際は、必ずmamoret/mamoret BEを再起動してから使用してください。

上記の運用を行うことにより、万が一、マルウェアに感染してもバンキングトロージャンによる被害を回避することが可能です。

SecureSoft mamoret/mamoret BE についての詳しい内容は、こちらをご参照ください。

近年、画像分析や音声認識をはじめとしたAI技術の実用化が急速に進んでいます。

AI技術は様々な分野で活用できるためサイバー攻撃に悪用されることが予測されます。

今回はe-Gateセンターよりサイバー攻撃にAIが悪用された場合の攻撃内容や対策について

情報が公開されましたのでご紹介いたします。

本記事は、こちらよりPDFにてご覧頂けます。

【コラム】　AIを悪用したサイバー攻撃

　今回のコラムでは、近年注目を集めているAI技術について情報セキュリティの観点から、今後のサイバー攻撃や対策について説明します。

 1. 　第3次AIブーム到来

最近、画像分析や音声認識など様々な分野でAI（人工知能）の実用化が進んでいます。AI技術はこれまでに何度か注目されることがありましたが、最近のAIへの脚光は第3次AIブームと呼ばれています。この第3次AIブームの背景には、ビッグデータや量子コンピュータの発展などの性能的な要因とニューラルネットワークのモデリングや深層学習の効率化などの手法的な要因が関係しています。

図 1　AIブームの歴史

AIが普及することは人々の生活を豊かにしてくれる半面、それを悪用することで甚大な被害を与える可能性もあります。情報セキュリティの分野では未知の脅威の検出や対応にAI技術を活用した製品が注目を集めています。現状はそういった製品を導入することで一定の脅威については対策が可能です。しかしAIを悪用したサイバー攻撃が発生した場合にはセキュリティ対策として不十分な状態となってしまう可能性があります。AIブームによりAI実装のハードルが下がってきていることから、近い将来AIを悪用したサイバー攻撃が発生する可能性は極めて高いです。

 2.　AIを悪用したサイバー攻撃（AI攻撃）

Q１．近い将来とはいつか

具体的な時期はわかりませんが、2~3年以内にはAI攻撃が発生する可能性があります。しかしAI攻撃の実用化にはいくつかの課題があり、その1つがコンピュータのリソース（処理能力）です。AIによる1つ1つの処理はコンピュータの内部で膨大な演算処理が行われており、この処理は一般的なPCでは処理能力が不十分です。攻撃者はAI攻撃を実施するためにコンピュータリソースを準備する必要がありますが、準備には莫大な費用が掛かります。現状ではAI攻撃の費用対効果が低いため表立ったAI攻撃はまだ確認されていません。

近年、コインマイナーなどの被害者のPCのリソースを不正に使用するようなマルウェアが流行しています。コインマイナーは暗号通貨を発掘するための演算処理を被害者のPCで行いますが、この仕組みを攻撃者のAIの演算処理に応用することで、AI攻撃は現実のものとなるでしょう。

＊コインマイナー：仮想通貨の発掘（マイニング）をおこなうツール。

Q２．どのような攻撃が行われるのか

①    チューリングテストの突破

AIの特徴はコンピュータに人間のような動作をさせることです。AIを悪用することで、これまで人間にしかできなかったことがコンピュータでもできるようになります。すなわち、画像認証のCAPTCHAのようなチューリングテストを突破する攻撃が挙げられます。こういった認証を突破するAIアルゴリズムはすでに開発が進んでいて、人工知能ベンチャーのVicarious社ではCAPTCHA突破成功に関する記事が公開されています。

「Common Sense, Cortex, and CAPTCHA」- Vicarious社Blog

図 2　reCAPTCHAのサンプル

＊チューリングテスト　アラン・チューリングによって考案された、ある機械が知的かどうか（人工知能であるかどうか）を判定するためのテスト

②    高度なシステム探索による攻撃

企業内のネットワークに入り込んだマルウェアに様々なシステム情報を収集させて、PCの使用頻度が高い時間帯、IPアドレスの採番規則、ホスト名の命名規則などのシステムの特徴をAIにより抽出してシステムの脆弱性を発見し、さらなる攻撃につなげる可能性もあります。

 3.　AI攻撃から身を守るために

AI攻撃はこれまでにない脅威になることが予測されます。しかし適切な準備を行っていれば、被害を最小限にとどめることができ、その脅威は怖くありません。例えば、チューリングテストを突破するAI攻撃に対してはSMS認証や認証トークンの採用などCAPTCHA以外の2要素認証を採用することで身を守ることができます。また、高度なシステム探索による攻撃についても、システムの脆弱性を取り除き、監視やフォレンジックをしっかり行っていればインシデントにつながる可能性は非常に低くなります。さらにインシデント発生時の対策方針を事前に取り決めておくことで被害範囲を最小限に限定することができます。

 AI攻撃による脅威について前述しましたが、結局のところ企業がとるべきセキュリティ対策はこれまでと同じで、セキュリティ対策のPDCAを継続的に行うことが大事です。

図 3 セキュリティ対策のPDCA

セキュリティ対策のPDCAを実施するためにはCSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）などの専門組織を企業内に作る必要があるため、多くの企業がヒト・モノ・カネの面で対策が不十分となっているのが実情です。そこで、SSK（サービス＆セキュリティ株式会社）では40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッドを備えた次世代SOC「e-Gateセンター」、この2つを融合させることによりお客様の情報セキュリティ全体をサポートします。

 4.　e-Gateの活用

セキュリティ人材サービス

e-Gateセンター（SOC）での実習を通じて高度な技術を身に付けたセキュリティエンジニアが、お客様のプライベートSOC、CSIRTに常駐し、円滑な運用に貢献します。お客様サイトに常駐しているセキュリティエンジニアには常にe-Gateセンターからバックアップがあるため、質の高いサービスのご提供が可能です。セキュリティ運用監視サービスと併用することで、万が一のインシデント発生時にもe-Gateセンターとセキュリティエンジニアの密な連携で、迅速かつ的確な対処を行います。

セキュリティ運用監視サービス

e-Gateセンターがお客様のシステムに設置されたセキュリティ機器のログをリアルタイムに監視・分析。AIを使った最新のログ分析システムにより巧妙な攻撃を検知し、スピーディかつ適切な対応を可能とします。また、月次レポートの提出・説明、対面にての報告会を実施いたします。月次レポートは監視機器ごとにきめ細かな分析内容を記載しております。

セキュリティ対策支援サービス

約40年に渡って培った情報システム運用監視の実践的なノウハウと、e-Gateセンターのセキュリティ対策技術をご提供いたします。お客様システムに潜在する脆弱性を診断し、その結果、検出されたリスクに対し対策をご提案する診断サービスや、お客様のセキュリティに対する個別ニーズへの対応や、情報システムだけでなく全社体制で取り組むべきセキュリティ対策に最適な答えを導き出します。各種診断からアドバイス、システム構築まで、あらゆる情報セキュリティニーズにワンストップで対応します。

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

去る7月13日(金)に、グループ会社であるSSK東京支社の新入社員27名の歓迎会が開催されました。

今年は、120名を越す参加者が集まり盛大に行われました。

新入社員の自己紹介で、若くやる気に満ちた言葉を聞くことができました。

今後もグループ会社が一丸となり業務に取り組んで参ります。

本日(2018年7月17日)日本経済新聞朝刊8面にて、東京電機大学特命教授の佐々木良一様と

弊社代表取締役社長 姜昇旭が、「ビジネスを脅かすサイバー攻撃 専門企業の有効活用が鍵」と題して

対談をした記事が掲載されました。是非ご覧いただきますようお願いいたします。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

※2018年7月17日付日本経済新聞朝刊より許可を得て転載しております。

本日(2018年6月25日)日本経済新聞朝刊10面にて、神戸大学大学院工学博士の森井昌克様と

弊社代表取締役社長 姜昇旭が、「経営リスクとしてのサイバー攻撃―未来に対する投資で防げ！―」と題して

対談をした記事が掲載されました。是非ご覧いただきますようお願いいたします。

以下の画像をクリックしますと、PDFファイルにてご覧いただけます。

※2018年6月25日付日本経済新聞朝刊より許可を得て転載しております。

IoT(Internet of Things)が社会に広がる中、IoT機器はサイバー攻撃の対象となっています。

セキュアソフトのグループ会社であるサービス＆セキュリティ株式会社(SSK)の

セキュリティオペレーションセンター(e-Gateセンター)では、IoT機器を狙った攻撃件数が

増加する傾向を確認しています。IoT機器に対するサイバー攻撃のトレンドと対策例について、

e-Gateセンターより情報が公開されましたのでご紹介いたします。

本記事は、こちらよりPDFファイルにてご覧頂けます。

IoT機器に対するサイバー攻撃の脅威と対策

 1.　概要

　コンピュータや携帯電話だけでなく、あらゆる機器が「モノのインターネット（Internet of Things（IoT））」を形成しようとしています。総務省の情報通信白書では、世界のIoT機器の数は2020年には300億台に達するとされています。IoT機器が今以上に普及することで、私達の暮らしは益々便利で快適になっていくと期待されます。一方で、機器がインターネットにつながると悪意をもった攻撃者からサイバー攻撃を受ける可能性がでてきます。独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威　2018」の中で、IoT機器に関する脅威が挙げられています。このことからもIoT機器を狙ったサイバー攻撃の対策は喫緊の課題であることが分かります。

 　IoT機器の中でサイバー攻撃の対象とされることが多いのは、ルータやアクセスポイント、ネットワークカメラなどです。最近新しく発表されたIoT機器の脆弱性としては、GPON[1]技術を利用した家庭用ルータの脆弱性（CVE-2018-10561、CVE-2018-10562）などがあります。これらはルータの認証を迂回し遠隔操作によりコマンドを実行できるという脆弱性です。IoT機器をターゲットにするマルウェア「Mirai」の亜種、「Satori」などがこういった脆弱性を狙い攻撃を行います。

　 e-GateセンターにおいてもIoT機器に対するサイバー攻撃が確認されています。下の図はe-Gateセンターが監視サービスを行っているシステムにおいて、IoT機器の脆弱性を狙ったと考えられる攻撃イベント数の推移を示したものです。2018年1月以降、イベント数は少しずつ増加している傾向にあります。

【図１　IoT機器に対する攻撃イベント数の推移】

　あらゆる機器がインターネットにつながる時代において、IoT機器に対するサイバー攻撃の問題は避けて通ることができません。私生活の中でIoT機器を利用する個人でさえもサイバー攻撃の被害を受け、踏み台として知らない間に別の攻撃に加担させられて加害者となる可能性もあります。正しい情報を把握して早期に対応することが必要です。

*Gigabit Passive Optical Networkとよばれる光ファイバーを使った伝送技術。

2.　IoT機器に対するサイバー攻撃と対策の例

　⑴カメラやルータを狙った攻撃

　下の図はIoT機器に対するサイバー攻撃の例を示しています。図の①②はカメラやルータを攻撃対象とするものです。機器のソフトウェアがもつ脆弱性を突いて機器を乗っ取り、重要な情報を盗みだしたり、対象がカメラである場合は盗み見したりするという攻撃です。

　図の③はルータなどのIoT機器を踏み台としてインターネット上のサーバを攻撃対象とするものです。ルータは直接攻撃を受ける対象ではなく、その脆弱性を使って踏み台とされ、攻撃に加担させられます。この場合、インターネット上のサーバなどが攻撃対象となりDoS（Denial of Service、サービス不能攻撃）を受けます。攻撃者は複数のルータを踏み台として利用し、特定のサーバに対してDDoS（Distributed DoS、分散型サービス不能攻撃）を行うことがあります。

【図2　IoT機器に対するサイバー攻撃の例】

⑵    IoT機器に対するサイバー攻撃の対策例

①上述のような攻撃を対策するには、ルータやカメラなどのソフトウェアを脆弱性対策済のバージョンに更新することです。機器ベンダのホームページを参照するなどして脆弱性の有無を確認し、対策済のソフトウェアがリリースされている場合は速やかに更新してください。

② FW（ファイアウォール）、UTM（統合脅威管理）、あるいはIPS（侵入防御システム）などを設置します。これらの機器をインターネットからの経路上に設置することで、悪意ある攻撃を検知、遮断することができます。

⑶    参考情報

情報通信白書（総務省）

CVE-2018-10561/CVE-2018-10562

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10561

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10562

情報セキュリティ10大脅威　2018（独立行政法人情報処理推進機構）

 3.　e-Gateの活用について

　IoT機器を狙う攻撃は製品の脆弱性を突く攻撃の1種です。ターゲットとなるIoT機器への攻撃を早期に発見する為には日々の運用監視が重要です。SSKの総合セキュリティサービス「e-Gate」では、最新の分析システムを活用し精度の高い検知、また専任のアナリストによる分析を行っております。「e-Gate」のセキュリティ監視サービスをご活用頂くことにより迅速なセキュリティインシデント対応が可能となります。

 ■総合セキュリティサービス「e-Gate」

　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】https://www.ssk-kan.co.jp/e-gate/

 ※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。

　リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

2018年3月から4月にかけて、CMS(コンテンツマネジメントシステム)として

世界中に普及しているDrupalの重大な脆弱性が複数公開されました。

セキュアソフトのグループ会社であるサービス&セキュリティ株式会社(SSK)の

セキュリティオペレーションセンター(e-Gateセンター)では、最近、本脆弱性を

狙った攻撃活動が継続的に観測されており、警戒が必要です。

このDrupalの脆弱性を狙った攻撃の詳細情報と対策について、

e-Gateセンターより情報が公開されましたのでご紹介いたします。

また、弊社製品のSniper ONE、Sniper IPSでは近日中に今回の攻撃に対応する

シグネチャをリリース予定です。詳細が判明次第、続報としてニュースを掲載します。

また、本記事はこちらよりPDFにてご覧頂けます。

注意喚起：Drupalの脆弱性を狙った攻撃について

 1.　 概要

 　最近の仮想通貨市場の盛り上がりを反映して、サイバー攻撃においても、システムの脆弱性を悪用し仮想通貨を不正に取得しようとするケースが増加しています。今回取り上げるのはオープンソースのCMS(コンテンツマネジメントシステム)であるDrupalで発見された脆弱性です。この脆弱性に関しても、仮想通貨のマイニングを目的とした攻撃が世界中で多数報告されています。DrupalはWordPressやJoomla!に次いで普及しているCMSです。企業のWebサイトでフレームワークとして利用されていることも多く、サイト管理者がDrupalを使用していることに気づいていないケースも考えられるため、注意が必要です。

 2.　背景と現在の状況

 　2018年3月28日に脆弱性CVE-2018-7600が公開され、続いて4月25日にCVE-2018-7602が公開されました。いずれも、脆弱性のあるバージョンのDrupalが動作しているWebサーバに対して、悪意を持った攻撃者が細工したHTTPリクエストを送ることで、サーバ実行ユーザ権限で任意のコードを実行することが可能となるRCE (Remote Code Execution)の脆弱性です。これらの脆弱性の重大度は、Drupalの開発元によって「Highly Critical」と設定されており、実際に攻撃による被害も報告されているため、早急に対策を実施する必要があります。

 　e-Gateセンターにおいても、CVE-2018-7600を狙ったと思われる通信を観測しています(図1)。5月に入ってからも継続的に攻撃活動が観測されているため、依然として警戒が必要です。

　なお、CVE-2018-7602を狙った攻撃は現在のところ確認されていません。一定の権限を有したユーザの認証情報を取得していることが攻撃の前提条件となるためと推測されます。ただし、ユーザ認証を要しない攻撃可能箇所が発見されることで、今後攻撃活動が活発となる可能性があります。

【図１　CVE-2018-7600を狙ったと見られる通信の推移】

 3.　攻撃と対策

 ⑴Drupalの脆弱性を突いた攻撃

　脆弱性のあるバージョンのDrupalでは、一部のパラメータにおいてユーザの入力した値に対する検証が十分になされていません。攻撃者はそれを利用し、脆弱性のあるバージョンのDrupalが動作するWebサーバに対して細工を施したHTTPリクエストを送信することで、サーバ上で攻撃者が用意した任意のコードを実行します。

【図2　攻撃イメージ】

⑵想定される影響

　本脆弱性が悪用されることによる影響の例として、以下が挙げられます。

【図3　影響の一例】

　本脆弱性は攻撃者に任意のコードの実行を可能とするものですので、この他にも様々な被害を及ぼす可能性があります。ご使用のWebサーバ上で攻撃コードが実行されることで、直接被害を受けるだけでなく他のユーザに対して攻撃を行う側となってしまうおそれもあるため、ご注意ください。

⑶対象

　次のバージョンの Drupal が本脆弱性の影響を受けます。

①CVE-2018-7600

• Drupal 8.5.1 より前のバージョン
• Drupal 7.58 より前のバージョン

②CVE-2018-7602

• Drupal 8.5.3 より前のバージョン
• Drupal 7.59 より前のバージョン

※サポートが既に終了している Drupal 6系やDrupal 8.4系以前でも本脆弱性の影響を受けることが発表されています。詳細は開発元の情報をご確認ください。

⑷対策

　次のバージョンのDrupalについて、本脆弱性の修正済みバージョン・セキュリティパッチが提供されています。

• Drupal 8.5.x
• Drupal 7.x
• Drupal 8.4.x
• Drupal 8.3.x

　脆弱性対象バージョンをご使用の場合は最新版へのアップデートの実施を推奨いたします。また、ただちにアップデートが実施できない場合は、セキュリティパッチの適用による回避策をご検討ください。上記に記載の無いバージョンの対応については、開発元の情報をご確認ください。

⑸参考情報

①CVE-2018-7600

JPCERT/CC　 Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起

 Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002

②CVE-2018-7602

JPCERT/CC　 Drupal の脆弱性 (CVE-2018-7602) に関する注意喚起

 Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-004

4.　e-Gateの活用について

　今回の攻撃はシステムの脆弱性を突く攻撃の1例です。ターゲットとなるサーバへの攻撃を早期に発見する為には、日々の運用監視が重要です。SSKの総合セキュリティサービス「e-Gate」のセキュリティ運用監視サービスをご活用頂くことで、精度の高い検知、早期発見による迅速な事後対応が可能となります。

■総合セキュリティサービス「e-Gate」

　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】　　　 https://www.ssk-kan.co.jp/e-gate/

 ※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

2017年12月下旬にWebLogic Serverの脆弱性を突く攻撃が報告されました。

セキュアソフトのグループ会社であるサービス＆セキュリティ株式会社(SSK)のセキュリティオペレーションセンター(e-Gateセンター)では、 2018年4月になった現在でも、WebLogic Serverを狙った攻撃活動が多く観測されております。

このWebLogic Serverを狙った攻撃の詳細情報と対策について、e-Gateセンターより情報が公開されましたのでご紹介いたします。

また、SecureSoft製品のSniper IPSでは今回の攻撃に対応するシグネチャをリリースしております。
その詳細について情報を公開いたします。

なお、本記事はこちらよりPDFにてご覧頂けます。

注意喚起：WebLogic Serverの脆弱性を突いた攻撃について

1.　概要

　2017年12月下旬よりOracle WebLogic Server*(以下、WebLogic Server)のサブコンポーネントであるWLS Securityにおける脆弱性(CVE-2017-10271)を突く攻撃が報告されております。この脆弱性は、WLS Securityに対して悪意を持った攻撃者が細工したリクエストを送ることで、サーバ実行ユーザ権限で任意のコードを実行可能にすることができるものです。悪用された場合は、情報の搾取や改ざん、DoS攻撃を受けるといった可能性があります。共通脆弱性評価システム「CVSS v3」におけるスコアは9.8と高く、容易に悪用が可能だとされています。昨年末に公表された脆弱性ですが、4月になった現在でも活発な攻撃活動が観測されております。

 　当セキュリティオペレーションセンター(以下、e-Gateセンター)においても、本脆弱性を狙ったと思われる通信を検知しています。下図はe-Gateセンターが監視するシステムにおける当該通信のイベント数のグラフです。2017年12月下旬より多数通信が検知され始め、依然として多くの通信を確認しています。攻撃の対象とされて被害を受けないようにする為に、対策を実施しなければなりません。正しい情報を把握して早期に対応することが必要です。

* Oracle社の提供するアプリケーションサーバソフト

【図１　WebLogic Server宛の通信数の推移】

2.　WebLogic Serverの脆弱性を突いた攻撃と対策について

 ⑴WebLogic Serverの脆弱性を突いた攻撃

 　攻撃者は脆弱性のあるWebLogic Serverに対して、細工を施したリクエストを送信し、サーバ上で攻撃者が用意した任意のコードを実行します。

 【図2　攻撃イメージ】

　2018年4月現在では、主に仮想通貨をマイニング**するプログラムをサーバにダウンロードさせて実行し、サーバのリソースを使用してマイニングを行う攻撃が主流となっています。仮に当該脆弱性を悪用され、マイナー***が仕込まれるとCPU使用率が著しく高騰します。CPUの使用率が急騰した場合は、見覚えのない不審なプロセスを停止して下さい。

 ** コンピュータで仮想通貨の取引をチェックし、ブロックチェーンという取引台帳に追記していく作業のこと。

⑵対象

　次のバージョンの Oracle WebLogic Server が本脆弱性の影響を受けます。

• Oracle WebLogic Server 10.3.6.0.0
  • Oracle WebLogic Server 12.1.3.0.0
  • Oracle WebLogic Server 12.2.1.1.0
  • Oracle WebLogic Server 12.2.1.2.0

※上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

 ⑶対策

　Oracleより、修正済みバージョンが提供されています。

• Oracle WebLogic Server 12.2.1.3.0

※修正済みバージョンを適用することを推奨いたします。

⑷参考情報

 JPCERT/CC　 Oracle WebLogic Server の脆弱性 (CVE-2017-10271) に関する注意喚起

JVNDB-2017-008734

Oracle Critical Patch Update Advisory - October 2017

 3.　e-Gateの活用について

 　今回の攻撃は製品の脆弱性を突く攻撃の1種です。ターゲットとなるサーバへの攻撃を早期に発見する為には日々の運用監視が重要です。SSKの総合セキュリティサービス「e-Gate」のセキュリティ運用監視サービスをご活用頂くことで精度の高い検知、早期発見による迅速な事後対応が可能となります。

■総合セキュリティサービス「e-Gate」

　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

【参考URL】https://www.ssk-kan.co.jp/e-gate/

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

ご来場者様各位

拝啓　貴社ますますご清祥のこととお喜び申し上げます。

平素は格別のご高配を賜り、厚く御礼申し上げます。

さて、この度はセキュアソフト並びにサービス＆セキュリティの

合同主催による「Security Fair 2018 OSAKA」にご参加頂き、誠にありがとうございました。

今回弊社では初めてとなる大阪開催でしたが、多数の皆様にご参加頂き、

盛況の内に本セミナーを終了する事ができました。

セミナーでは、基調講演として東京開催と同様に、東京大学名誉教授で学習院大学教授の

伊藤元重様より「ICT技術と日本経済」についてご講演頂き、神戸大学大学院教授の

森井昌克様より「リスクを投資に代えるセキュリティ対策」についてご講演頂きました。

お蔭様で予定を上回るお申込みを頂き、会場を2か所に分割させて頂く事となりました。

ご参加頂きました皆様方には、何かと不行き届きな点も多々あったかと存じますが、

何卒ご容赦頂けますようお願い申し上げます。

今後もインターネット社会の「安心」と「安全」に貢献する事をスローガンとして、

皆様のご期待にお応えできるよう努める所存でございます。

引き続き、ご指導ご鞭撻を賜りますようお願い申し上げます。

略儀ながら書中をもって御礼申し上げます。

          　　　　　　　　　　　　　　　　　　　　　                                                敬具

2018 年 4月 20 日

　　　　　　　　　　　　　　　　                                            株式会社セキュアソフト
　　　　　　　　　　　　　　　                                            代表取締役社長　姜　昇旭

◆代表取締役社長 姜昇旭より挨拶

◆伊藤元重様の基調講演

◆第一会場の様子

◆第二会場の様子

◆森井昌克様の基調講演

◆製品の紹介

◆セミナー後の抽選会

2018年4月2日(月)に、グループ会社であるサービス&セキュリティ株式会社(SSK)に、

88名の新入社員の方が入られ、入社式が行われました。

新入社員の皆様、ご入社おめでとうございます。

◆集合写真(関西)

◆集合写真(東京)

2018年2月28日にmemcachedが利用されたDRDoS攻撃の被害が報告されました。

memcachedはWebアプリケーション高速化のための分散型メモリキャッシュシステムです。

攻撃はまだ完全に収束しておらず、今後もmemcachedサーバが反射攻撃に利用される恐れがあります。

今回はmemcachedを利用したDRDoS攻撃について詳細情報と対策をご紹介いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起：memcachedを利用したDRDoS攻撃について

 1.　概要

　2018年２月28日、GitHub.comがDRDoS攻撃（Distributed Reflection Denial of Service、分散反射型サービス不能攻撃）を受けて一時的にサービス不能となりました。memcachedが稼働するサーバが反射攻撃を担うリフレクタとして利用され、ピーク時のトラフィックは1.35Tbpsに達したと報告されています。この攻撃はCVE-2018-1000115として公開されているmemcachedの脆弱性を利用したものです。

　セキュアソフトのグループ会社で24時間365日のセキュリティインシデント監視サービスを提供するサービス＆セキュリティ株式会社(以下、SSK)のe-Gateセンターにおいても、同じ時期にリフレクタとして反射攻撃に加担させようとする通信を検知しています。下図はe-Gateセンターが監視するシステムにおける当該通信のイベント数のグラフです。2月20日頃からイベントが検知され始め、3月3日にピークとなり徐々に減少していますが、依然として平常時よりも多くのイベントが検知されています。

　攻撃の対象とされて被害を受けないようにするだけでなく、知らないうちに攻撃に加担させられ加害者とならないよう、対策を実施しなければなりません。正しい情報を把握して早期に対応することが必要です。

 2.　memcachedを利用したDRDoS攻撃と被害例

 ⑴memcachedとは

　memcachedはWebアプリケーションの高速化を目的に開発された分散型メモリキャッシュシステムです。memcachedはデータをメモリ内に効率的にキャッシュする仕組みを提供します。その結果、データベースからデータを読み出す回数が減少し、Webアプリケーションの動作が高速になります。

⑵memcachedを利用したDRDoS攻撃

　下の図において、攻撃者はインターネット上のmemcachedサーバに対して、送信元IPアドレスを攻撃対象のIPアドレスに偽装して、11211/UDP宛ての要求パケットを送信します。これを受けたサーバは、攻撃対象の（偽装された）IPアドレスに応答パケットを送信します。

　攻撃者が送信する要求が1パケットあたり数十バイトであるのに対して、memcachedサーバの応答は1パケットあたり数百キロバイト程度にもなります。結果として、1つのmemcachedサーバにつき、攻撃者が要求パケットを送信する通信帯域幅の10,000～50,000倍に増幅された応答パケットの攻撃を仕掛けることができます。更にDRDoS攻撃（分散反射型サービス不能攻撃）においては、リフレクタ（反射攻撃を担うサーバ）の数だけ攻撃対象が受けるデータが増大します。

　2018年2月28日、GitHub.comはmemcachedを利用したDRDoS攻撃を受け、17:21から17:30（いずれもUTC）まで全く利用できない、または一時的に利用できない状態に陥り、ピーク時においては1.35Tbpsのトラフィックを受けたと報告されています。

⑶対策

　対策としては、memcachedサーバの対策とネットワークの対策が考えられます。

 ①memcachedサーバの対策：11211/UDPの利用制限・変更

　memcachedバージョン1.5.5以前では、既定で11211/UDPが有効になっており、攻撃者に利用されました。11211/UDPのサービスが使用されていなければ、memcachedの設定を変更して11211/UDPを無効にしてください。2018年2月27日にリリースされたmemcachedバージョン1.5.6ではUDPを使ったアクセスが既定で無効となっています。

②ネットワークの対策：memcachedサーバへのアクセス制限

memcachedサーバからインターネットへの経路上にファイアウォールが設置されていることを確認してください。インターネットからmemcachedサーバへのアクセスは、特定IPアドレスからの通信だけをファイアウォールで許可する、または必要がない場合は完全に遮断するなどして、memcachedサーバへのアクセスを制限してください。

⑷    参考情報

 JPCERT/CC　memcachedのアクセス制御に関する注意喚起

CVE-2018-1000115

memcachedバージョン1.5.6リリースノート

GitHub　Engineering DDoSインシデントレポート

 3. 　SSK、SecureSoft製品・サービスの対応について

　今回の攻撃はDDoS攻撃の1種ですので、ターゲットとなるサーバの攻撃を緩和する為には、SSKのグループ会社であるセキュアソフトの次世代型IPS製品Sniper ONEのDDoS対策機能を活用することが有効な対策の１つとなります。また、攻撃を早期に発見する為に日々の運用監視が重要です。SSKの総合セキュリティサービス 「e-Gate」監視サービスを活用頂くことで精度の高い検知、早期発見による迅速な事後対応が可能となります。

 ■SecureSoft Sniper ONE
　ネットワークを通過するパケットに対して、様々な角度から詳細な分析を行い、攻撃を検知・遮断する事ができる「防御」のための不正侵入検知・防御システム（IPS：Intrusion Prevention System）です。Sniper ONEではDDoS対策、RateLimit機能などのオプションを用意しており、システムや想定する攻撃に合わせてDDoS対策をおこなうことが可能です。

■総合セキュリティサービス「e-Gate」

　SSK（サービス＆セキュリティ株式会社）が40年以上に渡って築き上げてきたIT運用のノウハウと、最新のメソッド、次世代SOC"e-Gateセンター"この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの"e-Gate"です。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

2月28日付の日経産業新聞朝刊の5面にて、グループ会社のSSKのSOCが掲載されました。

詳しくは下記よりご確認頂けます。

SSKニュース：https://www.ssk-kan.co.jp/topics/?p=8912

ご来場者様各位

拝啓 貴社ますますご清祥のこととお慶び申し上げます。
平素は格別のご高配を賜り、厚く御礼申し上げます。

この度はセキュアソフト並びにサービス＆セキュリティの
合同主催による｢Security Fair 2018 TOKYO｣にご参加頂き、誠にありがとうございました。

今回はグループ会社として初となる共同開催となり、大勢の皆様にご参加賜りまして、
盛況の中、本セミナーを終了することができました。
基調講演では、ICT技術と日本経済について、政府の政策動向の最新状況について等
ご紹介していただき、セキュアソフトよりサイバーセキュリティ対策製品、
サービス＆セキュリティからは新たな総合セキュリティサービスである「e-Gate」を
ご紹介させて頂きました。
また、セミナー後に開催されました懇親会では、情報セキュリティについて会話が弾み、
大変賑やかな会となりました。

会場におきましては、何かと行き届かない点などあったかと思いますが、
何卒ご容赦頂けますようお願い申し上げます。

今後ともインターネット社会の「安心」と「安全」に貢献し、
皆様のご期待にお応えできるよう努める所存でございます。
引き続き、ご指導ご鞭撻を賜りますようお願い申し上げます。
略儀ながら書中をもってお礼申し上げます。

　　　　　　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　敬具

2018 年 3 月 2 日

　　　　　　　　　　　　　　　　　　　　　　　　　　 株式会社セキュアソフト
　　　　　　　　　　　　　　　　　　　　　　　　　　 代表取締役社長　姜　昇旭

グループ会社であるサービス＆セキュリティ株式会社(東京都渋谷区、代表取締役社長：姜 昇旭

以下、SSK)は、人材とサイバーセキュリティを融合したハイレベルな総合セキュリティサービス

「e-Gate」を発表し、本日(2018年3月1日)より、サービスの提供を開始します。

詳しくは、SSKのホームページよりご確認いただけます。

・ニュースリリース

・e-Gate

https://www.ssk-kan.co.jp/e-gate

グループ会社であるサービス＆セキュリティ株式会社(東京都渋谷区、代表取締役社長：姜昇旭

以下、SSK)は、2018年3月1日(木)にセキュリティオペレーションセンター(SOC)を開設し、

サイバー運用監視サービスの提供を開始します。

詳しくは、SSKのホームページよりご確認いただけます。

・ニュースリリース

https://www.ssk-kan.co.jp/topics/?p=8887

・セキュリティオペレーションセンター

https://www.ssk-kan.co.jp/soc

2017年末にIntel製CPUおよび、一部のAMD、ARM製 CPUにおいて脆弱性が見つかりました。

影響範囲が大変大きい問題として、年明けから一般のメディアも含め多数報道されています。

今回のCPUの脆弱性「Meltdown」、「Spectre」は、ほぼすべてのPCやスマートフォンが影響を受けます。

今回は、詳細情報と対策についてご紹介いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起： CPU脆弱性Meltdown,Spectreについて

～CPUに対するサイドチャネル攻撃～

 1.概要

 　2017年12月にIntel製CPUおよび、一部のAMD、ARM製 CPUにおいて脆弱性が見つりました。対象となる製品が大量にあり、影響範囲が大変大きい問題として、年明けから一般のメディアも含め多数報道されています。

　CPUの脆弱性「Meltdown」、「Spectre」は、ほぼすべてのPCやスマートフォンが影響を受けます。OSだけでなく、Webブラウザなどのアプリケーションソフトウェアも対策パッチを適用する必要があり、正しい情報を把握し早期に対策をすることが必要です。

 2.Meltdown、Spectreについて

　Intel、AMD、ARMなど、現在のCPU技術として、処理向上に寄与する投機的実行 (speculative execution)プロセスがあり、このプロセスに深刻な脆弱性が存在することが判明しました。この脆弱性を悪用すると、システムメモリのデータを読み取ることができ、パスワードや暗号キーといった機密データを盗まれる可能性があります。

　投機的実行プロセスの脆弱性は2017年中にGoogleのProject Zeroチームが発見し、Intel、AMD、ARMに報告していました。同チームが収集した情報は「Reading privileged memory with a side-channel」という記事で1月3日にブログで公開されました。報告されている脆弱性は下記の3つです。「Variant 1」と「Variant 2」については「Spectre（スペクター）」、「Variant 3」には「Meltdown（メルトダウン）」という名称がつけられています。

Variant 1（CVE-2017-5753）：境界チェックのバイパス

Variant 2（CVE-2017-5715）：分岐ターゲットのインジェクション

Variant 3（CVE-2017-5754）：不正なデータのキャッシュ読み込み

⑴MeltdownおよびSpectreに関する脆弱性概要

　①Meltdown

　　ハードウェアの問題であることが原因で、特権を持たないユーザーが任意のカーネルメモリをダンプすることが可能となる。OSとアプリケーション間における脆弱性となり、実行中の他のプログラムが使用するメモリに保存されている情報（機密情報など）が読み取られる可能性がある。

　②Spectre

　　Meltdownとは異なる脆弱性で、他のプログラムが自プログラムのメモリ内の任意の場所にアクセスするよう仕向けさせることが可能となる。異なるアプリケーション間における脆弱性となり、Meltdownと比べて悪用は難しいとされる。

⑵攻撃情報
　公開時点(1月3日)で悪用情報無し

⑶対象の製品（CPUとシステム）
　①対象CPU
　　Meltdown: Intel CPU、一部のARM製品
　　Spectre: Intel、AMD、ARM各社のプロセッサーに影響

　②対象システム

　　Windows、OS X、AndroidはじめあらゆるOSプラットフォーム

・Intel社　本件に関する情報サイト
　　https://newsroom.intel.com/press-kits/security-exploits-intel-products/

・AMD社　本件に関する情報サイト
　　https://www.amd.com/ja/corporate/speculative-execution

 ⑷対策方法

　根本対策はCPUを交換することになりますが、現実的ではありません。対策パッチなどがハードウェア、ソフトウェア（OS、アプリケーション）と多岐に渡りリリースされています。以下は主要なOSとブラウザの情報です。（1月16日 時点）

■Windows 10

Anniversary Update (1607) 用 KB4056890

Creators Update (1703) 用 KB4056891

Fall Creators Update (1709) 用 KB4056892

Windows 7 用 KB4056897　KB4056894

Windows 8.1 用 KB4056898　KB4056895

■Apple

macOS High Sierra 10.13.2 (Safariの修正含む)

iOS 11.2.2 (Safari/WebKitの修正含む)

■Red Hat

Red Hat Enterprise Linux 7 / CentOS 7

kernel-3.10.0-693.11.6.el7

Red Hat Enterprise Linux 6 / CentOS 6

kernel-2.6.32-696.18.7.el6

■Amazon Linux

kernel-4.9.70-25.242.amzn1

■Firefox

Firefox 57.0.4

Firefox 52.6 ESR

■Safari / WebKit

修正バージョンのOSに含む

■Chrome

Firefox 57.0.4

Firefox 52.6 ESR

⑸二次的影響について

　上記の脆弱性の対策を実施した際に以下のような二次的問題が発生しています。

　対策を適用する際には、検証や情報を確認頂き適用することを推奨します。

　①Microsoftが提供したパッチを適用するとPCの動作が遅くなる。不安定になるとの報告。

　②Intelの一部CPU搭載マシン、脆弱性対策パッチ適用でリブート増加（要約）
　　http://www.itmedia.co.jp/news/spv/1801/15/news058_0.html

　③ウイルス対策ソフト導入環境でWindows Updated後にBSoD（Blue Screen of Death）発生の可能性

　また、「Meltdown」や「Spectre」に対するパッチを偽装したマルウェアの存在も報告されているため、パッチの入手元についても十分な確認が必要です。

⑹参考情報

https://meltdownattack.com/　（https://spectreattack.com/　も同じ内容です）

CVE

https://nvd.nist.gov/vuln/detail/CVE-2017-5753

https://nvd.nist.gov/vuln/detail/CVE-2017-5715

https://nvd.nist.gov/vuln/detail/CVE-2017-5754

JVN

http://jvn.jp/vu/JVNVU93823979/

3.SecureSoft製品の対応について

　今回の脆弱性に対応する製品として「SecureSoft Sniperシリーズ」についてご紹介します。

■SecureSoft Sniperシリーズ
　ネットワークを通過するパケットに対して、様々な角度から詳細な分析を行い、攻撃を検知・遮断する事ができる「防御」のための不正侵入検知・防御システム（IPS：Intrusion Prevention System）です。

　Sniperシリーズでは、今回の脆弱性に対応するシグネチャを、2018年1月17日付けでリリース致しました。

　今回のような影響範囲の大きい脆弱性問題では対策パッチなどをすべての対象機器に早期に適用する事は容易ではありません。そこで、今回の脆弱性を利用した攻撃からSniperを利用して防衛ラインを確立しつつ、システムのアップデートを行うことが有効な対応策となります。また、普段からSOCサービスを利用してシステムのセキュリティログ監視により予兆を早期に発見することで被害を最小限にすることも有効な対策となります。ぜひ、セキュアソフトの製品、サービスを活用ください。

■SecureSoft Sniper シリーズ

■SecureSoft S.O.Sサービス

※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。リンク先のコンテンツは予告なく、変更、削除される場合があります。

※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。

セミナーの詳細及びお申込みにつきましては、各バナーよりご覧いただけます。

　　　　  　 東京開催　　　　　　　　　　  　　　　      　 　大阪開催

日時：2018年3月2日(金)13：30～16：30　　　　日時：2018年4月20日(金)13：30～16：30

会場：ザ・キャピトルホテル東急                           会場：コンラッド大阪

           1F大宴会場「鳳凰」                                            38F宴会場「BallRoom」

========================================================

平素は格別のご高配を賜り、厚く御礼申し上げます。

さて、来る3月及び4月にセキュアソフト及びサービス＆セキュリティが「Security Fair 2018 」を

東京及び大阪にて開催する運びとなりましたので、ご案内申し上げます。

2020年の東京オリンピック及びパラリンピック開催を控え、サイバー攻撃やサンドボックスをかいくぐる

マルウェアなど新たな脅威の増加が懸念される中、迎え撃つべきサイバーセキュリティの対策ソリューションや

専門的知識をもった人材不足が課題となっています。

2015年にグループ会社化された情報セキュリティのノウハウを持つセキュアソフトとIＴ人材を豊富に持つ

サービス＆セキュリティ(社員数約1,100名)では、セキュリティ人材不足を解消すべく取組みを行っております。

本セミナーでは、サイバーセキュリティの課題と対策、また、現在の取組みと将来についてご紹介いたします。

また、新たなサイバーリスク、企業における情報セキュリティのあり方、総務省におけるセキュリティ政策の

最新動向などをテーマに有識者をお招きし、ご講演いただきます。

セキュアソフトとサービス＆セキュリティは、日本を守る情報セキュリティ企業の一端として、人材･製品･

ソリューション･サービスの提供と業界団体を通じた活動より、安心･安全な情報社会の実現に貢献していきます。

ご多忙とは存じますが、皆様のご参加を心よりお待ち申し上げております。

この度、エイチ・シー・ネットワークス株式会社(以下HCNET)より、

HCNETのセキュリティ製品「Adapterシリーズ」と弊社製品SecureSoft Sniper ONEの

連係による不正通信遮断ソリューション実現に関するニュースを発表いたしました。

詳しくは、エイチ・シー・ネットワークス株式会社のニュースリリースでご確認頂けます。

http://www.hcnet.co.jp/news/NEWS2018011701.html

1月5日(金)にホテルJALシティ田町にて、

サービス＆セキュリティ株式会社(以下、SSK)と合同で新年祝賀式を行いました。

SSK東京支社と合わせ200名を超える盛会となりました。

2018年は変化の年と位置付けし、会社も個人も高い志を持って成長していこうという社長の挨拶と

共に祝賀会がスタートしました。2018年4月にSSK入社予定の内定者の方の紹介、

またじゃんけん大会も盛況のうちに終わりました。

社長挨拶：個人の変化が会社の成長となるという思いをこめたお言葉を頂きました。

SSK宮野副社長にもご挨拶頂きました。

内定者紹介：フレッシュな内定者の方々をご紹介。4月から宜しくお願いいたします。

じゃんけん大会：大盛況でした。

全社員、役員、一致団結し頑張ります。

お客様各位

 謹賀新年

 旧年中はひとかたならぬご高配にあずかりまして誠にありがとうございました。

昨年、サイバー攻撃が増加の一途をたどる中、ネットワーク及びエンドポイントに

おけるセキュリティ対策の重要性が益々高まっております。

そのニーズに応え、弊社では本年もお客様の「安心・安全」を追求し、

社会に貢献して参る所存でございます。

社員一同、皆様への「感謝」の気持ちを忘れずに、トータルセキュリティパートナーとして、

より一層精進して参りますので、本年も変わらぬご愛顧のほどお願い申し上げます。

皆様におかれましても、本年が輝かしい年となりますよう心よりお祈りいたします。

なお、弊社は本日より平常通り営業しております。

2018年1月4日

株式会社セキュアソフト

代表取締役社長 姜 昇旭