メルマガのリンク先を信用してはいけない(…といっても以前から存在する手法の更新版)

最近フィッシングによる口座被害やらクレジットカードの不正利用があとを絶たない…どころか増加の一途である。

直近ではイオンカードの不正利用被害とその対応のまずさが話題になっている。大手はCMに配慮したのかあまり大きく報道しないが、少額決済ではオフライン決済の手法を取るために被害にあったことがバレにくく、挙げ句未使用カードでの被害まで出る始末。そもそもの原因はユーザー側でその手のメールに引っかかっているのが原因であろうが、あとはカード番号やらセキュリティコードなどを被害者のカードのデータ解析で攻略されている可能性がかなり高い。

数少ない被害を報じた記事(IT Media)
「イオンカード」の不正利用が急増した根本原因　なぜここまで返金対応が遅れているのか
https://www.itmedia.co.jp/news/articles/2410/10/news156.html

ただ、だいぶ使い古されてきたのでそろそろ新しい手が出るかと思ったら、やはり出てきた。

そして最近は本物のメルマガからデータを取得したと思われる偽装メールが届き始めた。一見すると正規のメールに見えるが、リンク先やら送信元が明らかに違う(下図参照、左下に注目)。

手間を掛けたサイトであれば、ここらも偽装して来るケースも想定される。
つまりメールに記載されたURLは基本的に信用してはいけないということになる。

一般的なフィッシング注意喚起サイトでは、SSL暗号化の鍵マークに注目！って言ってるところもあるが、鍵マークがあっても安心してはいけない。
厄介なのはリンク先のフィッシングサイトでもSSL証明書を取得しているため、一見すると騙される可能性があること。

件の偽メールのソースコードをよく見るとリンク先*情報抜き取り用ページのURLの頭にはhttpsがついている。

ちょっとした手間でSSL証明書は取得できる(以前よりかなり簡単かつ安価に証明書は取得できる)し、そもそも暗号化は通信中のデータを保護するものであって、接続先が安全であるという保証はないことを忘れてはいけない。
鍵があったら信用できるわけではない。

カード情報を抜き取るためなら彼らは何でもやるのである。

自分が購読しているメルマガといえども、油断はできない。

Facebook乗っ取り事案への対処について

昨日頃からFacebookメッセンジャーで、Youtubeのリンクが勝手に送られるという問題が多発している模様(下のようなメッセージが来る、URLは都度変わる)。

リンク先のURLから、Facebookのアカウントへのアクセス許可を出してしまったための問題と思われるので、以下をチェックすることを強く推奨する。

以下はAndroid版Facebookアプリでの操作例
※ブラウザ版でも基本的には同じ箇所になる。

(1)右上のメニュー(三)をクリックして、設定を開く。

(2)設定の中にあるアプリとウェブサイトを選択

(3)その中のFacebookでログインを選択。

(4)データへのアクセス：アクティブ項目内で自分が利用していないものがあったら選択して削除。

有効期限切れの項目もチェックして、同様に使用していないのであれば、削除しておくことを推奨。

また、PC利用の場合はGoogle Chromeを利用しているなら、拡張機能(メニュー→その他のツール→拡張機能)をチェックして自分が登録したことがないものが存在したら、停止・削除しておくことも合わせて推奨する。

なお一部のWebニュースでは、新たなアカウント情報流出が報じられているが、今回の一件との関連は不明。

(関連記事)
フェイスブックから新たな「情報流出」、公式ブログで発表
(2019/11/06 Forbes)
https://forbesjapan.com/articles/detail/30581

あらゆる端末にはネットから不正アクセスのお触りがやってくる

サーバーのログを眺めていると、

sshd[5779]: refused connect from 87.229.73.128 (87.229.73.128)

って感じでそのまま弾いているものと、

sshd[5779]: warning: /etc/hosts.allow, line 14: can't verify hostname: gethostbyname(dev.cegmatrix.hu) failed sshd[5779]: refused connect from 87.229.73.128 (87.229.73.128)

…と2行に渡りメッセージ付きで弾いているものがある。

どっちもhosts.allowに記載がないという理由で弾いているのだけど、後者の方は正引き・逆引きの結果IPとホスト名が一致しないという理由で警告を出しているっぽい。
つまりIP偽装(またはホスト名をそれっぽくつけて通過しようとした)しているホストだろう。

ちなみにこれら不正アクセスのログに記載された時間をみると、数秒おきに様々なIPからお触りが飛んできている。
公開サーバーだということもあるけれど、一般家庭のブロードバンドルーターも似たような状況である(むしろ一般家庭のルーターやWebカメラが攻撃対象となっている)ので十分気をつけてほしい。

WindowsのCPU脆弱性緩和パッチによる再起動・PCフリーズ等の問題について(2018/2/27追記)

2018年1月にほぼ全てのCPUに関する脆弱性、Meltdown(メルトダウン)、Spector(スペクター)が見つかり、各OSで修正ファイルが提供された。

CPU の脆弱性の問題（Meltdown/Spectre）関連情報について
(Microsoft Japan Windows Technology Support)

Windowsの場合1月および2月のWindows Updateで修正ファイルが提供されたが、一部の機種で再起動を繰り返したり、セキュリティソフト(メーカー問わず)との相性不具合、起動後フリーズなど複数の不具合を引き起こしていることが確認されている。

対策方法としては以下の通り。

・使用しているウイルス対策ソフトを確認。
※古いバージョンを使っていると、不具合が発生する可能性があり。
※一部では最新版でも不具合が発生する事がある。
------------------------------------
どこぞの量販店では、使ってるウイルス対策ソフトが悪いと断言して、ソフトを売りつける行為をやってるようで…。(危うく顧客がその被害にあうところだった)
------------------------------------
具体的にはレジストリに設定がない限り導入されないようになっている…のだが、対応済みのウイルス対策ソフトにも関わらず問題が噴出している模様。

レジストリに以下の記載があると、CPU脆弱性緩和パッチが導入される。 キー：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat 名前：cadca5fe-87d3-4b96-b7fb-a231484277cc 種類：REG_DWORD 値： 0x00000000

・Windows 8および10で再起動を繰り返す時は、システムの回復メニューからセーフモードを起動、もしくはシステムの復元を利用してWindows Update導入前の状態(例：2月中旬から問題が出た場合には、2/13以前を選択)へ戻す。
※大抵は複数回再起動を繰り返したあとに回復メニューが表示されている場合が多い。

ASUSのサイトがわかりやすいのでリンクを紹介する。

ASUS　Windows 8-｢セーフモード｣へのアクセス方法

ASUS　Windows 10-｢セーフモード｣へのアクセス方法
※セーフモードよりシステムの復元で導入以前に戻すほうを推奨。

・この状態で復旧したら、問題の起こっているアップデートを導入しないように非表示にする。

◆特定のアップデートを非表示にする(導入させない)方法

●Win7/8の場合 Windows 7のWindows Updateで必要ない更新プログラムを非表示にする方法(121ware.com)※Win8も同じ ※今回の場合は重要な更新の方を選択して非表示化。 対象…○月のマンスリーロールアップと記載されたもの(KB番号はOSのバージョンによって違います)、それ以外のものを非表示に必要はない。 ◆Win10の場合(ちょっと面倒) 更新の表示/非表示回避策パッケージを利用する。 (1)以下のURLから 「更新プログラムの表示または非表示」トラブルシューティング ツール パッケージをダウンロード ドライバーの更新プログラムが Windows 10 に一時的に再インストールされないようにする方法(Microsoft) (2)ダウンロードしたwushowhide.diagcabをそのまま実行。 問題検出が開始される。 (3)以下は英語メニュー(中学生レベルの簡単な英語)、Hide updatesを選択。 (4)非表示にしたいパッケージを選択して次へボタンをクリック。 ※Security Monthly Quality Rollupなどと記載されている。

◆おまけ
・Win7/8ではDiXiMツールでの不具合発生例あり。
※プログラム一覧で名前にDiXiMと入っているもの、使用しないなら削除。
>Windows 7、及びWindows 8.1環境で、Windowsアップデート【KB4056894】【KB4056895】を導入後にWindows PCが再起動を繰り返す事象について(DigiOn)

ついでだから、プリインストールソフトウエア(メニューソフト等)およびツールバー全般も利用機会がほぼないものに関しては削除対象でもいいだろう。
※何に使われれいるかわからない場合手を出さない(大抵はパッケージ名でググれば出てくる)
※Javaの場合6，7は即削除、AdobeReaderも8,9,10も削除対象。

(2018/2/27追記)
この他にもICカードリーダー利用不可とか、USBデバイス利用不可など深刻な問題が出ている模様(以下当ブログ記事参照)。
※ごく一部の現象というのが救いではある。
1～2月のWindows Updateにともなう不具合(追加情報)

ロジテックのLAN-WH300Nシリーズは即時捨ててしまえ

ちょっと乱暴なタイトルだなとは思う(笑)
その理由だが、ルーターを乗っ取りDDoS攻撃に加担するマルウエア、Mirai亜種の感染被害が再び拡大している。

JPCERT/CCのアナウンスによると、10月末頃から検出されはじめて11～12月に定常的に発生している状況。

その中で、国内の感染機器にロジテック製LAN-WN300Nシリーズが多く含まれている(攻撃パケットのMACアドレスから容易に割り出せる)こともアナウンスしている。
型番やシリアル番号は本体後部のカバーを外すと確認可能。
(下記リンク先参照)
LAN-W300Nシリーズカバーのはずし方
------------------------------------
これはJPCERT/CCが相当オブラートに包んだ表現をしていると思われる。
実際オープンリゾルバ問題のときにもロジテックの当該製品の比率は自分が管理しているDNSのログを見ても8割を超えていた。
正直当時のロジテックの製品は穴だらけで、その穴は買い替え以外ではまともに塞げていない状況だった。

製品の回転数が異様なほど高いメーカー(2～3ヶ月で廃番→1回作って在庫売り切ったら終了の繰り返し)は、警戒したほうが良い。
------------------------------------

このことを受けて、ロジテックも再度ファームウエア更新のアナウンスを(一応)出しているが、ものが約5年以上前の製品である点、肝心のファームウエアの造りが酷すぎてファームウエア更新すらままならない(訪問先でこれが設置されていると絶望感しか感じない)点を鑑みると即刻に別製品に買い換えることを強く推奨する。

無論それ以外のルーターにおいても、ファームウエアの更新は可能な限り行ったほうが良い。

自宅の端末は自分のものだが、そこから先のネットワーク資産は世界中で共有しているもの。
無駄なトラフィックを発生させない、DDoSに加担しない、自分のPCや端末を守る事は結果として、対策にかけるコストを低下させてネットの利用料金を引き下げる(この辺は風が吹けば桶屋が…の理論だが)ことにもつながるので、ぜひ実施してほしい。

参考：
・Mirai 亜種の感染活動に関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2017/at170049.html

・Mirai亜種が国内の最大2万4000ホストに感染、ロジテック製Wi-Fiルーターの脆弱性を悪用(Internet Watch)
https://internet.watch.impress.co.jp/docs/news/1097777.html

・ロジテック製300Mbps無線LANブロードバンドルータ
およびセットモデル（全11モデル）に関する重要なお知らせとお願い
http://www.logitec.co.jp/info/2017/1219.html

KRACKs問題その後

ここ最近は脆弱性情報で、プロトコル上の問題で…ってのが多く、インパクトもものすごく大きい。
当然、各メディアもセンセーショナルに報じるが、あっという間に忘れ去られそうになる。

今回のKRACKsについては、Windowsはすでに対応済み、MacOS・iOSは間もなく、Androidも11月にリリース予定、Linuxはリリース進行中。
その他クライアント機器やルーターはこれから…という状況。

この攻撃の大きなポイントかつ問題を緩和する要素としては、

ハックするためには、攻撃者はWi-Fiの電波を直接受信できる場所に行かなくてはならない。

というのがある。

Wi-Fiの通信に直接介入する問題なので、当然といえば当然でありとあらゆるWi-Fiクライアントに脆弱性があるとは言え、全ての通信が傍受されるかといえばそうではない。
(攻撃者にとって、そこまで出向く価値あるかどうか)

脆弱性は当然修正されなくてはならないが、どうしたら緩和されるか、今後どうなるかをもっと追跡するのも必要じゃないかと思う。
この件はちょっと前に出たBlueBorn問題(Bluetoothの脆弱性)についても同様。

ニュースが正しく継続的に報じることが重要なんだけど、進展がないと流す機会は減るよなぁ～。

Wi-Fi暗号化の主要プロトコルWPA2に脆弱性(KRACKs)10/18更新

Wi-Fiに暗号化通信の主流となっているWPA2について、プロトコルレベルの脆弱性が公開。(キー再インストール攻撃=)。
詳細は以下に記載されている。

・Key Reinstallation Attacks Breaking WPA2 by forcing nonce reuse
https://www.krackattacks.com/

発表までの流れと対応状況についてはpiyologがわかりやすい。

・WPA2の脆弱性 KRACKsについてまとめてみた(piyolog)
http://d.hatena.ne.jp/Kango/20171016/1488907259

攻撃の対象となっている4HandShakeの流れは以下の通り。
[]がハンドシェイクの部分。
図はWikipedia(en)より。

(1)アクセスポイント(以下AP)側とクライアント側(STA)ではお互いに共有キーを持っている(PSK=いわゆるWi-Fiパスワード…同時にPMK=共有マスターキーでもある)。
(2)PSKを元にそれぞれ(=ペアワイズトランジェントキーPTK)を生成。
(3)[1]APからメッセージ(ランダム文字列 Nonce=ANonce)を送付
(4)STAはANonceを元にテンポラリキー(PTK)を生成
(5)[2]STAはAPに自身のNonce(SNonce)にMIC(Message Integrity Code)を添付したものを送付
(6)APはSNonceを元にPTKを生成。
(7)[3]APはGroup Temporal Key(GTK)を生成、MICを添付してSTAに送付。
(8)[4]STAはキーをインストール後ACKを返送。
(9)AP側はACKを受信してキーをインストール、ハンドシェイク完了。

今回の脆弱性では、(8)の段階で再送信されるとキーが再インストールされ、Nonceがリセットされるという仕様が原因となっている。

つまり偽のおかわり(再送信)を出すことで、暗号化キーを攻撃者が取得可能となる脆弱性があったというもの。
さらに、LinuxやAndroidに至っては、実キーの再インストールではなく、オールゼロキーがインストールされるため、さらに傍受が容易になる問題点をもっており、Androidデバイスの50%(Android6.0以降)にこの問題点がある。

対策としては、クライアント側のパッチ対応でどうにかなるようなので随時提供されるであろうパッチ待ちとなる。

現在のところ
Windows:提供済み(詳細は後日アナウンス)
Andorid:数週間以内に提供(あとはベンダー次第)
MacOS/iOS:調査中

ということらしい。

(10/18追記)------------------------------------
国内メーカーの各製品ごとの脆弱性有無に関して、JVNに掲載された。
JVNVU#90609033
Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題
http://jvn.jp/vu/JVNVU90609033/index.html


余談になるが…

セキュリティの観点から言うとPCはともかく、Androidを搭載した多くのモバイル端末では、ベンダーのサポートすらまともに提供されず放置されている端末が山のようにあり、しかもそれらが普通に売られていることが大問題。
昨年ウチの親がジャパネットで購入させられたY!mobileとのセット契約でタブレット(ファーウェイ製)はなんとAndroid4.2(笑)

高齢者のタブレットブームに脆弱性のあるすでにサポートの終わっている端末を平気で売る姿勢にちょっと怒りすら感じる。

Androidでも、下位互換性をなくす→脆弱性のある端末更新を促すという流れにならないかな。

Apple IDを狙ったフィッシングメール出回る(10/3更新)

あなたのアカウントは一時的に無効になっていますという件名で送付されてくる、定番のアップルIDを偽装したフィッシングメール。

送信元のメールアドレスが、service@appleids.co.jpとこれまた明らかに実在しないURL(笑)なのでこの時点で嘘って確定なんだけど一応詳細もチェック。

リンク先は短縮URLになっている
http://z33.io/***wD

この短縮URLを展開すると以下のURLが得られた。
https://www.jp-login.***.apple.com-supp-acc-renew-91580.net
(一部伏せ字)

リンク先のURLはそれっぽいURLになっているけど、よく読むと末尾がcom-supp-acc-renew-91580.netというアップルとはなんの縁もゆかりもないURL。
------------------------------------
[9/8追記]短縮URL別パターンもあり(リンク先は以下)。
http://go2l.ink/***QH135

https://www.jp-login.***.apple.com-accntjp-verf-09186.services
(一部伏せ字)
------------------------------------
[9/18追記](リンク先は以下)。
新パターンというか、海外のホスティングページに直接アクセスさせる雑な方法。二匹目のドジョウの可能性もあり。

https://squaredrive.org/wp-content/JPI***6624.php
(一部伏せ字)
------------------------------------
[10/3追記]だいぶ雑になってきた(笑)
これまでそれっぽいURLだったんだけど、レンタルサーバーへのリンクを隠さなくなってきた。もしかしたら模倣犯だろうか?

http://jirsm.com/images/SupportJPID*****.php
(一部伏せ字)
------------------------------------
このリンク先をチェックしたところ、通常のappleIDログイン画面を真似た画面で、このページでappleIDを入力するとappleIDやパスワードを抜き取って、その後正規のappleのサイトへリダイレクトするように作られている。

この手のフィッシングに騙されないように。
※スマホ受信だと確認がだいぶ困難な上に、マルウエアを打ち込まれる可能性も大きいので注意。

Bluetoothの実装に脆弱性、端末を乗っ取られる恐れ(BlueBorne問題)

ほぼ全ての端末のBluetooth実装における脆弱性が発見。
Bluetooth の実装における脆弱性 "BlueBorne" に関する注意喚起(JPCERT/CC)

脆弱性について解説した動画↓

この脆弱性の最も恐ろしい点は…
------------------------------------
BlueBorneの脅威な点は、リンクをクリックしたり、ファイルをダウンロードしたりといったユーザーの操作を必要とせず、すべてのソフトウェアバージョンと互換性があるほか、Bluetoothがアクティブであることを前提とした前提条件や構成を必要しないため、対象デバイスが広範であるという点
また、BluetoothはプロセスがOS内で高い特権を持っているため、デバイスを事実上完全に制御できる。
(以上PC watchの記事より編集)
------------------------------------
影響を受ける端末は約53億台と報じてられているが、今後修正パッチが提供される見込み(または提供済み)。
パッチが提供される見込みのない端末、提供予定であるが未提供の端末では当面Bluetoothをオフにすることが推奨される。

◆現在の対応状況(9/14時点)
・Android…パッチレベル2017-09-01で修正済
Android Security Bulletin?September 2017
ただし、OSの更新については各メーカーの対応に依存しているので、現行OS以前のバージョン(Android 5.1.1以下)については修正される可能性は限りなく低い。

脆弱性確認ツールがPlay Storeで提供されている。

・Windows…9月のWindows Updateで修正済
2017 年 9 月のセキュリティ更新プログラム (月例)

・iOS10…修正済
iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前では脆弱性あり。

・Linux…3.3-rc1以降のLinux Kernel、全てのBlueZに欠陥
RHEL…修正版パッチ提供済
https://access.redhat.com/security/vulnerabilities/blueborne
Debian…未修正
https://security-tracker.debian.org/tracker/CVE-2017-1000250
https://security-tracker.debian.org/tracker/CVE-2017-1000251
Ubuntu…一部修正
Kernel未修正、BlueZパッチ提供

◆関連記事:
新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる(techcrunch)

Bluetooth経由でスマホからPCまで乗っ取れる攻撃手法が発覚
～Bluetoothがオンになっているだけで攻撃可能(PC watch)

Bluetooth実装の脆弱性「BlueBorne」、82億台に影響　無線経由で攻撃の恐れ
(IT Media)

ランサムウェアWannaCryの対応について

ニュースでも報道されているように、WannaCryという名称のPC内のデータを人質にとり身代金を要求するマルウエアによる攻撃被害が世界中で発生している(日本でも被害事例あり)。
この攻撃は、1月に発見されマイクロソフトから3月にパッチ配布が始まった(MS17-010)SMBの脆弱性を利用して感染を広げていくと手法で行われる。

wannacryの感染画面(情報処理推進機構のWebページより)

対策について

対策としてWindows7/8/10/Server2008/2008R2/2012/2012R2/2016はWindows Updateを実行して最新の状態にすること、Windows Vistaは4月の月例更新を適用。
また今回は例外的にWindowsXPに対してもセキュリティ更新プログラムが公開されている。※Windows Updateカタログから『Windows XP SP3 用セキュリティ更新プログラム (KB4012598) カスタム サポート』を探してダウンロード～インストール。

■今回の修正ファイルに関しては生産ライン等でLAN経由で被害を広げないための特別提供であり、その他の脆弱性は修正されていないので、サポートが終了したXPやVistaの一般利用はできるだけ早くやめることが望ましい。


このパッチを導入することで感染を防ぐのではなく、ネットワーク経由での攻撃を防ぐ(UAC=ソフトインストール時に管理者権限を要求する表示が出る)というもの。許可してしまえば感染するのは同じなので注意。

また、ウイルス対策ソフトを導入している場合は定義ファイルを最新の情報に更新。

※常識ではあるが、PC購入時に入っているソフトは体験版であり、初回起動後から2週間～3ヶ月で保護されなくなるので注意。

また、PCをルーター経由で接続している場合、SMB経由での侵入については網内のPCが感染しない限り被害を受ける可能性は大幅に緩和される(感染しないというわけではない)。※ルーター経由の接続が一般的な日本では被害が少なかったと思われる。

今回は被害が大規模に出たため大きく報道されているが、実際には0-day攻撃ではなく既存の脆弱性をついた攻撃のため、通常のマルウエア対策を行っていればさほど心配はいらない。

関連報道
・世界74カ国でランサムウェア攻撃、病院や銀行などに被害　(CNET、5/13)
・世界99カ国で大規模サイバー攻撃、ルノーは生産停止　(ロイター、5/14)

参考資料
・世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について　(IPA、5/14)
・ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス　(Microsoft、5/14)
・ランサムウエア "WannaCrypt" に関する注意喚起　(JPCERT/CC、5/14)

MSマルウエア検索エンジンに重大な脆弱性、パッチ公開

マイクロソフトは日本時間9日にWindows10/8.1/8に組み込まれているWindows DefenderおよびWindows7用Security Essencials用などに利用されているマルウエア用エンジン、MsMpEngに重大な脆弱性があり、修正プログラムの公開を行った。


この脆弱性を悪用されると、メール等を見たりファイルを開いたりしなくても、URLをクリックさせるだけで任意のプログラムを実行可能となる。

Microsoft セキュリティ TechCenter:
Microsoft Malware Protection Engine 用のセキュリティ更新プログラム
https://technet.microsoft.com/ja-jp/library/security/4022344.aspx

マイクロソフトのアナウンスによると、1.1.13701.0以前のバージョンに脆弱性があるとのことで、通常は自動的に更新されるが念のために以下を参考に自身のエンジンのバージョンを確認しておくのがいいだろう。

MsMpEngバージョンの確認方法
Windows10の場合、[設定]→[更新とセキュリティ]→[Windows Defender]、この中にエンジンのバージョンが表示されている(下図参照)。

Windows8の場合、スタート画面上で右クリック、[すべてのアプリ]→[Windows Defender]、、Windows Defenderが起動したら[ヘルプ]→[バージョン情報]で確認。
※Windows7のSecurity Essencialsも操作はWin8版と基本的に同じ。


参考
Microsoft 文書番号:2510781:
Microsoft Malware Protection Engine の展開に関する情報
https://support.microsoft.com/ja-jp/help/2510781/microsoft-malware-protection-engine-deployment-information

Andorid 9月のセキュリティ修正公開(9/15更新)

Googleが2016年9月の定期アップデートの配布を配布するアナウンスを行いました。今回のAndroidのバージョン番号は7および6.0.1となります。
対象はNexus5,5X,6,6P,9,Nexus Player(Nexus7はサポート期間終了のため今後パッチは提供されません)。

今回のアップデートでは、メディアサーバーの脆弱性、LibUtilsの脆弱性など緊急2件、高11件の修正を含む25件の脆弱性が修正されています。
※9月5日の追加パッチでカーネルサブシステム関連の脆弱性、クアルコムのコンポーネントで特権の昇格の脆弱性等、緊急5件、重要15件、中4件の修正が追加、9月6日にはカーネル関連の脆弱性緊急1件、重要1件がさらに追加されています。
ビルド番号はAndroid7ではNRD90R/S/U、6.0.1ではMOB31Eが最新のビルド番号となります。

Nexus Security Bulletin (September 2016)
https://source.android.com/security/bulletin/2016-09-01.html


OTAファイルのリンクが判明次第、この記事を随時アップデートします。
◆各OTAファイルへのリンク(2016/9/15更新)
※Nexus6はグローバル版のリンクです

OTA Images for Nexus Devices
https://developers.google.com/android/nexus/ota

●機種別リンク
・Nexus5 6.0.1(MOB31E)：Link
・Nexus5X 7.0(NRD90S)：Link
・Nexus6 6.0.1(MOB31E)：Link
・Nexus6P 7.0(NRD90U)：Link
・Nexus9(Wi-Fi) 7.0(NRD90R)：Link
・Nexus9(LTE) 6.0.1(MOB31E)：Link
・Nexus Player 7.0(NRD90R)：Link

OTA(差分)ファイルを利用したアップデートの場合、SDKツールのadbコマンドを利用して手動更新すれば現在の設定を保持したままアップデートできます。
※設定→端末情報→システムアップデートで更新する方法と同じ。
※adbコマンドの利用方法はこちらを参考にしてください。

それが待てないという方は、先行して公開されたファクトリーイメージからインストールしてください。
※本体は初期化されますので、設定が面倒という場合にはOTAアップデートをお待ち下さい。
※アーカイブのバッチファイルを加工(fastboot -wの部分の-wを削除することでユーザーデータは保持したまま更新されます)することにより、そのまま更新されます。ただし、ブートローダーのアンロック必須です。

Factory Images for Nexus Devices
https://developers.google.com/android/nexus/images

一部メーカーのワイヤレスキーボードは入力文字が平文送信

新興セキュリティ企業Bastille(バスティーユ)が、ワイヤレスキーボードに関する脆弱性をアナウンス、具体的な原因はキーボードの通信が暗号化されていない事に起因するため、別のキーボード(Bluetoothや有線)を利用する他ないとのこと。

参考:
http://www.keysniffer.net/

…平文送信ってのはありえんなぁ～
とはいえ、過去にマイクロソフト製キーボードにも脆弱性があったように、無線キーボードってのはハッキングされたことに気がつかない(本体に何らかの加工をするわけではなく、普通に飛んでいる電波をキャッチするだけ)ことが一番の脅威。

ランサムウエア対策にもっとも有効な方法

金をせしめるのに効果的だとクラッカーが気づいたため、最近猛威を奮っているランサムウェア対策に以下の実践を推奨する。

もちろん感染しないことが一番だけど、いくら注意していても攻撃対象を絞ったメール等の攻撃には引っかからないとも限らない。

この場合、人質となったデータの復元はさっさと諦めて、クリーンな環境(リカバリー)にしてバックアップから書き戻したほうがダメージが少ないのは言うまでもない。少なくともオンリーワン(そのPCやHDDにしかデータがない状態)の状況を作らないことが重要ということである。

なので、感染した場合でもデータの復元ができる環境を整えておいたほうがよっぽど安上がりかつ確実である。このほかハードウエア障害でも効果的である。

◆トレンドマイクロの推奨する3-2-1ルール
http://blog.trendmicro.com/trendlabs-security-intelligence/world-backup-day-the-3-2-1-rule/
------------------------------------」
・(元ファイル含めて)3つのコピーを作る
・(コピー)2つは違うフォーマット(デバイス)に保存
・そのうち1つはオフサイト(常用環境から切り離された場所)に保存
------------------------------------

参考：トレンドマイクロブログ
http://blog.trendmicro.co.jp/archives/11739

ランサムウェア(.vvvv)の忘備録

日本ではまだ感染被害がそれほど増えていないとはいえ、迷惑千万なランサムウェア(通称vvv)の被害回避方法を見つけた人がいる模様。

c:\User\(username)\Appdata\Rorming直下に対してevryoneユーザーのフォルダへの書き込み禁止の処置をすることにより、ウイルスが暗号化処理用ファイルの作成を邪魔するというもの。
※ソフトの動作障害が出る可能性も否定出来ないので自己責任で。
.vvvでお馴染みのランサムウェアの動きを調べてたら無力化できたっぽい(Togetter)

なるほど、うまいこと考えたもんだ。

その他関連するWeb記事、個人ブログ等
●黒翼猫のコンピュータ日記 2nd Edition
ファイルをVVVに書き換えるランサムウェアの蔓延とWin10の強制アップグレードで感染する事例が急増！？

●大工の息子は大工
ファイルの拡張子がどんどん .vvv になっていくという怖い話

●Internet Watch
話題の“vvvウイルス”、「日本で被害が急増した形跡は見当たらない」とトレンドマイクロ、とにかくパッチ適用など基本的なセキュリティ対策をしっかりと

Android11月の定例アップデート配布開始

Androidの定例セキュリティアップデートの配布がNexus向けに5日から始まった。
今回のアップデートでビルド番号はAndroid6.0でMRA58N、Android5.1.1でLMY48X、Nexys7(2013)ではMRA58V、Nexus6P・Nexus5XでMDB08Mとなっている。
また、ファクトリーイメージも同時に更新されている。

今回行われる修正は
・MediaServerの脆弱性
・libutilsの脆弱性(以上重要度：緊急)

・MediaServerの中の情報開示の脆弱性
・libstagefrightで特権の昇格の脆弱性
・libmediaで特権の昇格の脆弱性
・Bluetoothでの特権の昇格の脆弱性(以上重要度：高)

・電話での特権の昇格の脆弱性(重要度：中低)

これらが修正される。
通常はOTAアップデートとして配信されるので、案内が出たらアップデート実行で特に問題なく行われるはずだ。

これらの中でMediaServerの修正は特に重要なので案内が出たらすぐに導入することを推奨する。

Nexus Security Bulletin (November 2015)
https://groups.google.com/forum/#!topic/android-security-updates/GwZn7sixask

Factory Images for Nexus Devices
https://developers.google.com/android/nexus/images

MS、緊急アップデート(MS15-078)提供開始

マイクロソフトから20日(日本時間21日)に定例外アップデート(MS15-078、アップデート番号3079904)がリリースされた。


参考：マイクロソフトMS15-078

この更新により、0-day攻撃がすでに確認されているOpenType フォントの脆弱性の修正が行われる。

ちなみに上記脆弱性は、先に大騒ぎになったHacking Teamの攻略に使われたという事(この脆弱性と先にパッチが提供されたFlash Playerの0-day攻撃の合わせ技らしい)
参考：
トレンドマイクロ セキュリティブログ
「Hacking Team」の漏えい事例：Open Typeフォントマネージャの脆弱性の検証

なお、当該アップデートを導入した場合、以下の問題が出る可能性がある。

・Windowsを再開していますメッセージ後、OSロゴが消え、画面の下に「Windows 7」と表示されたまま青い画面で動作しない
・Windowsを再開していますメッセージ後、壁紙のみ表示される。青い背景にポインタのみの状態からOSが起動出来ない
・Windows Updateのステージ3/3から進まない

この場合CTRL+ALT+Delで通常のログオン画面に進むそうなので、参考のため。

参考：週刊アスキーWebより

Java クリティカルアップデートは早めに更新推奨。

Javaのクリティカルアップデートが公開されたが、毎度のごとく影響度が大きいため、Java SE JDK/JRE 7 Update 80およびJava SE JDK/JRE 8 Update 45への更新を各セキュリティ機関も推奨している。

※というかJava8の更新でUpdate45ってペース早すぎだろう。



ちなみにすでにサポート終了したJava SE JDK/JRE 5または6でも脆弱性の影響をうけるそうなので、旧バージョンを使い続ける必要がなければ、最新版への更新を行うことが重要。(または無用ならJavaをアンインストール)

JPCERT/CC:
2015年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起

Java 8 update 45 ダウンロード
https://java.com/ja/download/

メールマガジンの一斉カット用のURL

ネットで買物等やアンケート、果ては第三者による不正登録などで様々なメールマガジンが配信されてきます。

このうち、真っ当なサービス経由で配信されてくるメルマガであれば、一括配信停止可能です。





※メルマガサービスを生業としている業者は不正B-CASカード販売(売らずに金だけとる詐欺目的)や出会い系、違法薬物販売のメールは取り扱いませんので、これらの本文中の配信停止等のリンクは絶対に開かないでください。

------------------------------------
真っ当なメルマガ(送信頻度だけ考えればSPAMでもいいが)の配信停止用リンク集

●楽天(ショッピングモール) http://www.rakuten.co.jp/
以下のサイトにアクセスし、メールアドレスを送信すると停止のためのURLが記載されたメールが届きますので、購読中止手続きを行います。ショップのメールはその停止方法に従い、購読中止の手続きをとってください。(一括で配信停止が可能です)

・登録情報の確認・変更・配信停止
http://emagazine.rakuten.co.jp/ns?act=chg_data

●ポンパレ(クーポンサービス) http://ponpare.jp/
以下のURLから配信停止の申し込みができます。
http://help.ponpare.jp/app/answers/detail/a_id/2851
リンク先に配信停止の手順が記載されていますので、参考にしてください。

●グルーポン(クーポンサービス)　http://www.groupon.jp/
メール本文の一番下(フッター)に配信停止できるリンクが添付されています。
または会員の場合、登録情報からも解除可能です。(要ログイン)

●アマゾン(ショッピングモール) http://www.amazon.co.jp/
トップページからアカウントサービスにログインします。
その中のアカウント設定の項目中「デリバーズ（お買い得情報メールマガジン）の登録を設定する 」から変更してください。

●Yahoo!デリパー(Yahoo!から会員向けに送付されてくる広告メール)
●その他Yahoo!からの広告メール(Yahoo!●●)
http://www.yahoo.co.jp/
Yahoo!にログインし、トップページ右側の登録情報をクリックします。(パスワードの再入力が必要な場合があります)
登録情報の確認画面の右側「Yahoo!サービスの設定」中にYahoo!デリパーへのリンクがあります。
Yahoo!デリパーの画面に入ったら、登録しないにチェックを入れて一番下の終了ボタンをクリックします。

また、その他のメールはおすすめ情報メールというところから解除できます。

※TポイントとYahoo!の連携を私は行わないことを推奨します。Yahoo!経由でのWeb閲覧履歴をTサイトに献上、それをさらに第三者が使用するので、コントロールがどこまでされるのか全く不透明なためです。
CCC(カルチャーコンビニエンスクラブ)はTポイントツールバーで失敗した後は、Yahoo!の情報を取得しようと手ぐすね引いています。
上記理由からYahoo!ツールバーのアンインストールも併せて強く推奨します。

数円分のポイントと引き換えにWebの行動記録を提供することなど私は出来ません。

●まぐまぐ(メールマガジン配信サイト)　http://www.mag2.com/
以下のサイトにアクセスし、各メールマガジンの内容に応じて停止手続きをとります。
全く身に覚えのないメルマガがまぐまぐを利用して送られてくる場合には、ページ下部の注意書きを参照して、
それぞれの手続きをとってください。
・メールマガジン解除
http://www.mag2.com/kaijo.html

●メルマ！(メールマガジン配信サイト)　http://melma.com/
以下のサイトにアクセスし、各メールマガジンの内容に応じて停止手続きをとります。
・メルマガの解除
http://melma.com/contents/taikai/

IE10および9のゼロデイ攻撃について(2014/2/20更新)

Internet Explorer10(以下IE10、もしかしたらIE9も含まれる)の0-day脆弱性に関する情報について

JVNVU#96727848
Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
https://jvn.jp/vu/JVNVU96727848/

当該の攻略用プログラムが攻撃を行う条件
(1)IE 10を使用している
(2)Adobe Flash Playerがインストールされている
(3)IEのアクティブスクリプトが有効
(4)EMETがインストールされていない

ウイルス対策ソフトの各メーカーは対応に乗り出したが、IE本体の修正が提供されていない状況のため当面のところ緩和策を適用すると幸せになれます。

--------
緩和策
--------
(1)当該の攻略用プログラムはEMETを導入した環境では稼働しないため、リスク緩和のため(根治対策ではない)下記のEMETのインストールを推奨。

MS EMET(Enhanced Mitigation Experience Toolkit)4.1
ダウンロードページ(英語)
http://www.microsoft.com/en-us/download/details.aspx?id=41138
※downloadボタンをクリック、EMET Setup.msiにチェックをいれて右下のNEXTをクリックするとダウンロードが始まります。あとはダウンロードしたファイルを実行してEMETをインストール。インストールの最後で選択肢がでたら上のRECOMMEND…を選択(チェックを入れる)すること。

EMET概要の説明(日本語)
http://support.microsoft.com/kb/2458544/ja

(2)あるいは通常のWeb閲覧にIEを利用せず、Google Chrome等別のブラウザを利用すること

上記いずれかの緩和策をとることを強く推奨する。

------------------------------------
(2014/02/20追記)
マイクロソフトからアドバイザリが出されました。
https://technet.microsoft.com/ja-jp/security/advisory/2934088

また問題を緩和するためのFixitの提供が行われています。
Microsoft security advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/2934088/ja