情報処理 セキュリティブログ

情報処理系の話、セキュリティの話など書いていきます。

世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構


世界中で感染が拡大中のランサムウェアに悪用されているMicrosoft製品の脆弱性対策について:IPA 独立行政法人 情報処理推進機構

 

すでに遅いかもしれませんが。

世界的な被害です。

 

かっこいい名前をつける必要性を感じませんが。。。

感染した場合、

基本的にはお金は払わないでください。

一時的に解除される場合もありますが、

バックドアを仕込まれて情報を盗まれると思います。

 

外部メディアにバックアップが有るなら、初期化してそれを適用してください。

 

ビジネスに必要な場合は、払うという選択肢もありだとは思いますが。。。

 

うまく判断してください。

 

 

struts2の脆弱性どうしておけばよかったか。。。

こんばんわ。

koutaです。

 

何回かstruts2脆弱性について書きました。

 

これだけ書いたら対策してくれていることを祈っています。

 

今日はどうしたら良かったか?です。

 

まず問題の原因ですが、

struts2のOGNL(Object Graph Navigation Library)の解釈の問題です。

ある攻撃をした時に上記の機構が働いてなんでもできる状態になってました。

(ぼやかし過ぎたら意味わからなくなってます)

 

OGNL式をインジェクションすると、動いてしまうというわけです。

実際にサーバーのコマンドが実行できました。

 

ではどうするか?

 

  1. 攻撃されてもすぐに気づける環境を構築する。
  2. すぐにアップデートできる準備をしておく。
  3. 情報流出が起こっても大丈夫なようにしておく。

 

こんなところです。

 

次回は一つずつ解説していきます。

 

USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170012.html
USB ストレージに保存されたデータを窃取するサイバー攻撃に関する注意喚起

 

お久しぶりです。

koutaです。

 

本日はこんなの出てました。

共有します。

 

USBよく使う人。

気を付けて下さい!!

S2-046 struts2の脆弱性情報

https://struts.apache.org/docs/s2-046.html
S2-046

 

こんばんわ。

koutaです。

体調不良でやられていたので。。。

今日はこんな時間になりました。

 

新しい情報です。

脆弱性管理番号は CVE-2017-5638 のまま変わりません。新しい攻撃方法が発見されたとの内容です。

 

また、パッチが発表されてます。

対応できるバージョンはReadmeに書いてあったので活用して下さい。

パッチを適用するにせよ、推奨は対応バージョンへのアップデートだそうです。

 

違う脆弱性が発見されたとか平気で書いてあるサイトいっぱいあったから気を付けてくださいね。

 

情報は発表元か信頼の置ける機関から入手しましょう☆

情報セキュリティ対策に足りないもの

こんばんわ!!

koutaです。

 

先日のstruts2脆弱性のせいで(CVE-2017-5638,S2-045)仕事中にネットサーフィンすることが増えました。

 

そこてとある記事を見つけました。

情報セキュリティ対策に足りないものはなんと。

予算ではなく。。。

 

 

 

人材だそうです。

 

私は衝撃を受けてしまいました(笑)

 

 

イヤイヤイヤイヤイヤイヤ。。。。

と思わずつぶやいてしまいました。

 

 

まぁ都合の良い人材がいないということでしょうかね。

例えば、

======= パターン1 ============

改ざん検知、侵入検知をしたいからIPS/IDSを導入します。

ログ解析、パターン分析の技術者育成と機器購入や導入費用含めて1000万円(イニシャル900,ランニング100)です。

これによりセキュリティレベルで取れなかった20件の案件を取れるようになり、5年で回収できます。

============================

ではなく。

 ======= パターン2 ============

改ざん検知と侵入検知の仕組みを作るから100万円でやります。

(精度は自分の知識内になるから自信はないけど。。。)

十分対策できます!!

============================

という人材が足りないということでしょうか?

 

勝手な想像なのですけども。。。

いろいろ言う人はいるけど、我々に都合の良い人材はいないなーってとこですね。

 

私が思う一番足りないものは、

意思決定権のある上層部

情報セキュリティに対する意識と知識です。

 

今回のstruts2脆弱性

悪意のあるリクエストを受け取った場合、任意のコードが実行可能です。という脆弱性

これでなにが起こるかわからない人が多いです。

だから対策も遅れます。

 

漏れるのがメールアドレスと氏名くらいなシステムならまだしも。。。

住所やらクレジットカード番号やら保管してるシステムはすぐに対策できないならシステム停止を検討するレベルの脆弱性です。 

 

なんとかなって欲しいですよね。

 

正しいセキュリティ対策ができるようになると良いですね。 

Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

https://www.jpcert.or.jp/at/2017/at170009.html
Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起

 

最新情報です。

struts2をアップデートできない場合の対策と言われていた。

パーサーの変更ですが、

それでも攻撃されることが確認されたそうです。

 

そっちで対策してたらショックですね。

昨日ですが、試しに自分の環境でやってみたら簡単にサーバーコマンド実施できました。

 

やりたい放題できる感じでしたよ。

 

脆弱性っていろいろ出てるけどなんか危機感ないことが多いですよね。

 

今回は世間で騒がれてるから、みんな騒いでる感じですよね。

 

おいらはあっという間に準備してくださいって言ったけどね。。。

まぁ下っ端が言ってもみんな動かないけど。。。

さて対策頑張りましょう。

2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

http://d.hatena.ne.jp/Kango/touch/20170311/1489253880
2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog

 

展開しておきます。

被害をまとめているサイトです。

 

どこの会社も同じだと思いますが、

サービス停止を伴うバージョンアップには反対するとこが多いです。

 

自社の利益のほうが大切ですから。

G社の67万件全てに500円(よくある数字)を補填したとしたら、3億3500万円の損失ですね。

 

サービス停止の損失よりは大きいと思うのです。

こういう判断ができる人がいないのよね。

 

struts2脆弱性が発表されたタイミングで、

  1. 委員会設置
  2. リスク棚卸
  3. 対応検討

までやった会社があれば転職したいくらいです(笑)

 

テスト自動化が出来ているところでは、

冗長化してなくても、短期間のシステム停止対応できると思いますが。。。

 

現実はそうはいかないですよね。

 

サイバー攻撃から完全に守ることは、もう無理だと思うので。

漏れても被害が無いような環境構築がベストだと思います。(理想論で申し訳ありません)

 

ちなみにですが、

struts1には該当のコードがないとのことで今回の脆弱性には関係ないとのことです。

 

とはいってもサポート終了しているのて、

脆弱性やバグが内包されていても調査すらされないので気をつけましょう。