Submit Search
Upload
Securitytopics 2020 08
•
0 likes
•
153 views
SQATjp
Follow
直近1か月に話題となったセキュリティにまつわるトピックをお届けしています。 https://www.sqat.jp
Read less
Read more
Data & Analytics
Report
Share
Report
Share
1 of 14
Download now
Download to read offline
Recommended
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
Tomoyoshi Amano
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
シスコシステムズ合同会社
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
BarracudaJapan
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
シスコシステムズ合同会社
インタークラウドにおけるAsteriskの活用
インタークラウドにおけるAsteriskの活用
Shuichi Menrai
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
BarracudaJapan
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
Recommended
2019 1117 security_jaws_toal_5min_slideshare
2019 1117 security_jaws_toal_5min_slideshare
Shinichiro Kawano
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
Tomoyoshi Amano
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
【Interop Tokyo 2016】 Seminar - EA-14 : シスコ スイッチが標的型攻撃を食い止める ~新しい内部対策ソリューション「C...
シスコシステムズ合同会社
バラクーダネットワークス マイナンバー対策ソリューション
バラクーダネットワークス マイナンバー対策ソリューション
BarracudaJapan
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
UTM を超えた統合セキュリティ アプライアンス Cisco ASA 5506-X/5508-X/5516-X
シスコシステムズ合同会社
インタークラウドにおけるAsteriskの活用
インタークラウドにおけるAsteriskの活用
Shuichi Menrai
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
Barracuda Web Security Gateway (旧 Barracuda Web Filter)製品のご紹介
BarracudaJapan
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
KitASP_Corporation
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
Tomoyoshi Amano
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
Minna no Cloud, General Incorporated Associates
Barracuda Email Security Gateway(旧 Barracuda Spam Firewall PLUS) 製品のご紹介
Barracuda Email Security Gateway(旧 Barracuda Spam Firewall PLUS) 製品のご紹介
BarracudaJapan
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
KVH Co. Ltd.
VtigerCRMのasterisk連携
VtigerCRMのasterisk連携
Shuichi Menrai
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Kazuki Omo
Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介
BarracudaJapan
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
Yurika Kakiuchi
Future vuls introduction
Future vuls introduction
csig-info
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
TAKUYA OHTA
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
シスコシステムズ合同会社
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
csig-info
Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介
BarracudaJapan
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
シスコシステムズ合同会社
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
hidekazuna
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Tech Summit 2016
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
More Related Content
What's hot
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
KitASP_Corporation
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
Tomoyoshi Amano
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
Minna no Cloud, General Incorporated Associates
Barracuda Email Security Gateway(旧 Barracuda Spam Firewall PLUS) 製品のご紹介
Barracuda Email Security Gateway(旧 Barracuda Spam Firewall PLUS) 製品のご紹介
BarracudaJapan
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
KVH Co. Ltd.
VtigerCRMのasterisk連携
VtigerCRMのasterisk連携
Shuichi Menrai
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Kazuki Omo
Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介
BarracudaJapan
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
Shinichiro Kawano
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
Yurika Kakiuchi
Future vuls introduction
Future vuls introduction
csig-info
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
Yuto Ichikawa
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
TAKUYA OHTA
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
シスコシステムズ合同会社
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
csig-info
Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介
BarracudaJapan
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
シスコシステムズ合同会社
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
hidekazuna
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Tech Summit 2016
What's hot
(20)
セキュリティ強靭性向上対策モデルの実現
セキュリティ強靭性向上対策モデルの実現
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
自治体セキュリティ強靭化対策のためのシンクライアント入門
自治体セキュリティ強靭化対策のためのシンクライアント入門
Barracuda Email Security Gateway(旧 Barracuda Spam Firewall PLUS) 製品のご紹介
Barracuda Email Security Gateway(旧 Barracuda Spam Firewall PLUS) 製品のご紹介
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
VtigerCRMのasterisk連携
VtigerCRMのasterisk連携
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
Barracuda Message Archiver 製品のご紹介
Barracuda Message Archiver 製品のご紹介
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
2020_0625_Cloud and Salesforce Security_Security Consulting_pre_version
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
Future vuls introduction
Future vuls introduction
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
IT エンジニアのための 流し読み Microsoft 365 - 入門!Microsoft Defender for Endpoint クロスプラットフ...
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
【Interop Tokyo 2015】 Sec 02: Cisco AMP, レトロ スペクティブで見えてくる マルウェアの挙動
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介
Barracuda NextG Firewall Fシリーズ製品のご紹介
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
NIST:クラウドコンピューティング参照アーキテクチャ(概説)
Sec013 その資格情報、簡
Sec013 その資格情報、簡
Similar to Securitytopics 2020 08
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
ripper0217
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
株式会社スカイアーチネットワークス
Amazon Ec2 S3実践セミナー 2009.07
Amazon Ec2 S3実践セミナー 2009.07
HEARTBEATS Corporation.
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
Openwave Systems
クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策
Eiji Sasahara, Ph.D., MBA 笹原英司
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
Amazon Web Services Japan
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Amazon Web Services Japan
Cisco Connect Japan 2014:シスコの IT プラットフォーム戦略
Cisco Connect Japan 2014:シスコの IT プラットフォーム戦略
シスコシステムズ合同会社
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
Nissho-Blocks
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
Tomohiro Nakashima
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
Juniper Networks (日本)
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
オラクルエンジニア通信
Vcn daylive-2020 nsx-didps
Vcn daylive-2020 nsx-didps
Virtual Cloud Networkers @JPN
ITpro EXPO 2011 クラウド上での業務アプリ開発
ITpro EXPO 2011 クラウド上での業務アプリ開発
Junji Imaoka
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
株式会社スカイアーチネットワークス
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Yuto Ichikawa
Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)
シスコシステムズ合同会社
Salesforce Identity
Salesforce Identity
Salesforce Developers Japan
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
ichikaway
【Interop Tokyo 2015】 SDN 02: 企業向け SDN ポリシー コントローラのご紹介
【Interop Tokyo 2015】 SDN 02: 企業向け SDN ポリシー コントローラのご紹介
シスコシステムズ合同会社
Similar to Securitytopics 2020 08
(20)
Cloud Computing(クラウド・コンピューティング)
Cloud Computing(クラウド・コンピューティング)
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
Amazon Ec2 S3実践セミナー 2009.07
Amazon Ec2 S3実践セミナー 2009.07
Iss seminar 2010709#1-upload
Iss seminar 2010709#1-upload
クラウド接続した医療機器のサイバーセキュリティ対策
クラウド接続した医療機器のサイバーセキュリティ対策
20200219-iot@loft#8_security_of_smarthome
20200219-iot@loft#8_security_of_smarthome
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
202204 AWS Black Belt Online Seminar AWS IoT Device Defender
Cisco Connect Japan 2014:シスコの IT プラットフォーム戦略
Cisco Connect Japan 2014:シスコの IT プラットフォーム戦略
日米クラウド最前線!経営戦略としてのクラウドを考える
日米クラウド最前線!経営戦略としてのクラウドを考える
セキュリティ設計の頻出論点
セキュリティ設計の頻出論点
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
【Interop Tokyo 2016】 SDN/Cloud 仮想環境に、この二つさえあれば、他のファイアウォールはもういらない!
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
Vcn daylive-2020 nsx-didps
Vcn daylive-2020 nsx-didps
ITpro EXPO 2011 クラウド上での業務アプリ開発
ITpro EXPO 2011 クラウド上での業務アプリ開発
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
スカイアーチセミナー:Web制作会社エンジニア様向け『クラウド活用3つの秘訣』:150225
DevSecOps 時代の WafCharm
DevSecOps 時代の WafCharm
Cisco E メール セキュリティ アプライアンス(ESA)
Cisco E メール セキュリティ アプライアンス(ESA)
Salesforce Identity
Salesforce Identity
脆弱性もバグ、だからテストしよう DevSummiFukuoka
脆弱性もバグ、だからテストしよう DevSummiFukuoka
【Interop Tokyo 2015】 SDN 02: 企業向け SDN ポリシー コントローラのご紹介
【Interop Tokyo 2015】 SDN 02: 企業向け SDN ポリシー コントローラのご紹介
Securitytopics 2020 08
1.
Copyright©BroadBand Security, Inc. 便利で安全なネットワーク社会を創造するCopyright©2020
BroadBand Security, Inc. セキュリティトピックス 2020年8月 2020年8月14日 本記事において記載されている会社名、商品名、サービス名は各社の商標または登録商標です。 なお、本文中では、商標または登録商標を表すマークを特に提示していない場合があります。
2.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. F5 Networks社製の、HTTPやDNS、ファイアウォール等のサービスに負荷分散機能を提供する製品「BIG-IPシリーズ」のWebイン ターフェースTMUI(Traffic Management User Interface)に、複数の脆弱性が存在することが公表された(CVE-2020- 5902~CVE-2020-5908)。その中でも、認証されていない遠隔の第三者が、root権限で任意のコードを実行可能な脆弱性 (CVE-2020-5902)は、悪用されるとファイルの作成または削除、サービスの無効化、任意のシステムコマンドやJavaコードの実 行等、システムが完全に侵害されてしまう危険性がある。 脆弱性・マルウェア関連 1 製品 系列 対象バージョン 修正済みバージョン BIG-IPシリーズ (LTM, AAM, Advanced WAF, AFM, Analytics, APM, ASM, DDHD, DNS, FPS, GTM, Link Controller, PEM, SSLO, CGNAT) 15系 15.1.0 15.0.0 - 15.0.1 15.1.0.4 15.0.1.4 14系 14.1.0 - 14.1.2 14.1.2.6 13系 13.1.0 - 13.1.3 13.1.3.4 12系 12.1.0 - 12.1.5 12.1.5.2 11系 11.6.1 - 11.6.5 11.6.5.2 CVE-2020-5902の影響を受ける製品とソフトウェアバージョン CVE-2020-5902 を 発 見 し た Positive Technologies社の研究者は、本脆弱性 の影響を受ける可能性があるデバイスを、世 界中で8,000以上確認したと伝えている。 ま た 、 既 に PoC が 公 開 さ れ て お り 、 JPCERT/CCによると、日本国内でも本脆 弱性の影響を受ける機器を探索するスキャ ン、悪用を試みたと推察される通信の情報 が確認されている。 複数のBIG-IP製品に、任意のコード実行される可能性の脆弱性(1)
3.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. 脆弱性・マルウェア関連 複数のBIG-IP製品に、任意のコード実行される可能性の脆弱性(2) 2 参考情報: https://www.kb.cert.org/vuls/id/290915 https://github.com/yassineaboukir/CVE-2020-5902 https://support.f5.com/csp/article/K52145254 https://www.ptsecurity.com/ww-en/about/news/f5-fixes-critical-vulnerability-discovered-by-positive-technologies-in-big-ip-application-delivery-controller/ https://www.jpcert.or.jp/at/2020/at200028.html https://jvn.jp/vu/JVNVU90376702/ 先述のとおり、CVE-2020-5902に関しては、様々な機関や研究者から注意喚起が出されており、重大な脆弱性であると目されて いる。F5 Networks社は、TMUIが外部からアクセスできる状態で脆弱性を修正していない場合、すでにシステムが侵害されている 可能性が高いとの見方を示しており、本脆弱性による攻撃を検知する方法を追加リリースし、侵害を受けていないか確認することを利 用者に推奨している。 早急な修正済みバージョンの適用が抜本的な脆弱 性対策である。システムの制約等の問題で適用が難 しい場合には、本脆弱性に対する攻撃にはTMUIへ のアクセスが必要であるため、TMUIへのアクセス制限 を実施するなどの回避策を検討することが推奨される。
4.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. 脆弱性・マルウェア関連 Windows DNSの深刻な脆弱性:SIGRed CVE-2020-1350(SIGRed) リスクレベル CRITICAL CVSS v3 10.0 対象 全バージョンのWindows Server 概要・リスク 不正なDNSリクエストを適切に処 理できないため、Windows DNS サーバにローカルアカウントでリモート コード実行可能な脆弱性。 ワームの侵入を許してしまうため、 ユーザの操作なしに、マルウェアを介 してコンピュータ間へ拡散する恐れが ある。 2020年7月14日、Microsoft社は月例パッチにおいてWindows Serverの 深刻な脆弱性(右表)に対するセキュリティアップデートをリリースした。 この脆弱性―通称「SIGRed」は、2003年から存在していたとのこと。攻撃者 にドメイン管理者権限を取得され、対象ホストがサービス不能に陥るといった深 刻な危険性が指摘されている。 17年越し深刻な脆弱性 • Windows Serverを最新バージョンにアップデートする • 早急に更新プログラムを適用できない場合は、一時的措置としてサーバの再起動を伴わないレジストリベースの回避策を適用する 対策 https://portal.msrc.microsoft.com/en-US/securit y-guidance/advisory/CVE-2020-1350 https://nvd.nist.gov/vuln/detail/CVE-2020-1350 https://cyber.dhs.gov/ed/20-03/ 参考情報: 米政府による注意喚起 DNSサーバとして構成されるWindows Server使用の組織・企業は、もれ な く こ の リ ス ク に さ ら さ れ て い る 。 米 国 土 安 全 保 障 省 の CISA (Cybersecurity and Infrastructure Security Agency)は、現時 点での攻撃事例は確認されていないとしながらも、連邦政府機関に本脆弱性 への早急な対応を求める「緊急指令20-03」を発行した。 3
5.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. 4 脆弱性・マルウェア関連 SAP NetWeaver Application Server Javaに脆弱性(1) 2020年7月13日 、ドイツのソフトウェア開発大手SAPは、同 社製品の複数の脆弱性に対する月例のセキュリティパッチを公 開した。 公開された脆弱性情報のうち、Hot News(最優先)として 公開されたのが、SAP NetWeaver AS(Application Server)JavaのデフォルトコンポーネントであるLM構成ウィ ザードに存在する脆弱性 (CVE-2020-6287)である。脆 弱性が悪用された場合、認証されていない攻撃者が、外部から SAPシステムへの無制限のアクセス権を取得し、SAPデータベー スへのアクセスや関連アプリケーションのシャットダウン、管理ユー ザの作成など、SAP Javaシステムに対する重要なアクションを 実行できるようになる。 また、本脆弱性は共通脆弱性評価システム「CVSSv3」におい てベーススコア最高値10.0でレーティングされている。 【影響を受ける製品】 SAP Enterprise Resource Planning SAP Product Lifecycle Management SAP Customer Relationship Management SAP Supply Chain Management SAP Supplier Relationship Management SAP NetWeaver Business Warehouse SAP Business Intelligence SAP NetWeaver Mobile Infrastructure SAP Enterprise Portal SAP Process Orchestration/Process Integration) SAP Solution Manager SAP NetWeaver Development Infrastructure SAP Central Process Scheduling SAP NetWeaver Composition Environment and SAP Landscape Manager この脆弱性は、SAP NetWeaver AS Java 7.30~7.50で動 作するSAPアプリケーションに存在する。 脆弱性が存在する可能性のある SAP ビジネスソリューションには、 以下のような ソリューションが含まれる。
6.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. 5 脆弱性・マルウェア関連 参考情報: https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=552599675 https://us-cert.cisa.gov/ncas/alerts/aa20-195a https://www.jpcert.or.jp/newsflash/2020071401.html JPCERT/CCや米国土安全保障省のCISA等の機関も、同脆弱性に対して注意喚起を出している。対策としてSAPが提供するセキュ リティパッチの適用することが推奨される。特に、当該製品がインターネット経由で接続が可能な状態の場合は速やかに対策を講じる必 要がある。 SAP NetWeaver Application Server Javaに脆弱性(2) なお、CISAはSAP製品のユーザと管理者に以下の事項の実施を追加で推奨している。 • セキュリティパッチの欠落、システム構成など、既知の脆弱性についてSAPシステムをスキャンする • 欠落しているセキュリティパッチを適用し、定期的なプロセスの一環としてセキュリティパッチを制度 化する • SAPランドスケープの安全な構成を確保する • システムとアプリケーション間のSAPインターフェースのセキュリティ設定を特定して分析し、これらの 信頼関係によってもたらされるリスクを理解する • 悪意のある、または過度なユーザ認証について、システム分析をする • 脆弱性の悪用による侵害の兆候がないか、システムを監視する • 特権・非特権に関わらず疑わしいユーザの動作について、システムを監視する • 標的型攻撃に対するセキュリティ体制を改善するため、新しい脆弱性に脅威インテリジェンスを 適用する • システムの包括的なセキュリティベースラインを定義し、コンプライアンス違反を継続的に監視し、 検出された異常を修正する
7.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. リリース関連 対象製品 概要 該当製品・バージョン・参考情報 CVE CVSSv3.x 基本値 複数のOracle 製品 リモートからの攻撃に よって、不正な操作が 実行されたり、機微な 情報を不正に削除や 改竄されたりする可能 性がある脆弱性等 • Java SE JDK/JRE 14.0.1, 11.0.7, 8u251, 7u261 • Oracle Database Server 19c, 18c, 12.2.0.1, 12.1.0.2, 11.2.0.4 • Oracle WebLogic Server 14.1.1.0.0, 12.2.1.4.0, 12.2.1.3.0, 12.1.3.0.0, 10.3.6.0.0 他 参考情報: https://www.oracle.com/security-alerts/cpujul2020.html CVE-2020-14664 CVE-2020-2968 CVE-2020-9546 他 8.3 8.0 9.8 他 複数のCitrix 製品 リモートの攻撃者により、 ユーザのブラウザ上で 細工したスクリプトを実 行するなどの可能性が ある脆弱性等 • Citrix ADC および Citrix Gateway 13.0-58.30 より前のバージョン • Citrix ADC および NetScaler Gateway 12.1-57.18 より前の 12.1 系、 12.0-63.21 より前の 12.0 系、11.1-64.14 より前の 11.1 系 • NetScaler ADC および NetScaler Gateway 10.5-70.18 より前の 10.5 系 • Citrix SD-WAN WANOP 11.1.1a より前のバージョン、11.0.3d より前の 11.0 系のバージョン、10.2.7 より前の 10.2 系のバージョン 他 参考情報: https://support.citrix.com/article/CTX276688 CVE-2020-8187 CVE-2020-8190 CVE-2020-8191 CVE-2020-8193 CVE-2020-8197 他 7.5 7.5 6.1 6.5 8.8 他 2020年7月に公開された主なセキュリティパッチ(1) 2020年7月に複数の製品のセキュリティパッチが公開された。以下に概要をまとめる。 ※製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。 利用するアプリケーションへの影響を考慮した上で、更新してください。 6
8.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. リリース関連 対象製品 概要 該当製品・バージョン CVE CVSSv3.x 基本値 Jenkins 認証されたリモートの攻撃 者により、クロスサイトスクリ プティングを引き起こされる 複数の脆弱性 • Jenkins 2.244以前 • Jenkins 2.235.1 LTS以前 参考情報: https://www.jenkins.io/blog/2020/07/15/xss-severity/ CVE-2020-2220 ~CVE-2020-2223 すべて5.4 複数の Cisco製品 リモートの攻撃者が任意の コードを実行するなどの可能 性がある脆弱性等 • Cisco SD-WAN Solution Software • Cisco Prime License Manager • Cisco RV110W, RV130, RV130W, and RV215W Routers 他 参考情報: https://tools.cisco.com/security/center/publicationListing.x CVE-2020-3375 CVE-2020-3140 CVE-2020-3144 他 9.8 9.8 9.8 他 Apache Tomcat リモートの攻撃者により、 サービス運用妨害 (DoS) 攻撃を実行される複数の 脆弱性 • Apache Tomcat 9.0.0.M1 ~ 9.0.36まで • Apache Tomcat 8.5.0 ~ 8.5.56まで • Apache Tomcat 7.0.27 ~ 7.0.104 まで 参考情報: https://jvn.jp/vu/JVNVU96390265/ CVE-2020-13934 (7.0系は影響しない) CVE-2020-13935 7.5 7.5 2020年7月に公開された主なセキュリティパッチ(2) 7
9.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. その他 NICTER観測統計2020年第1四半期(1) 2020年7月、国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所が、「NICTER観測統計 - 2020年1月~ 3月」を公開した。NICTERの大規模サイバー攻撃観測網(ダークネット観測網)で2020年1月1日から3月31日までに観測されたサイ バー攻撃の状況をまとめたもの。全体的な動向および脆弱性の悪用など注目すべき内容に焦点をあてる。まず、主な傾向は下記のとおり。 8 送信元の国別の受信パケット数の割合 出典:NICTER観測統計 - 2020年1月~3月 2020年第1四半期の観測統計の主な傾向 • ダークネット観測網へのスキャン活動は増加傾向 • IoT機器を攻撃対象としたマルウェアによるスキャンは多い • Windows機器を攻撃対象としたスキャンが若干増加傾向 • 大規模スキャナによるスキャンは今後も続くことが予想される 次に、送信元の国別の受信パケット数について、観測 パケット数が多かった上位10位と割合を示した統計 (右図参照)に着目。図から下記が読み取れる。 (1)と(3)・・・いずれもアメリカ、中国、ロシア、 オランダが上位4位までを占めている。 (2)・・・調査目的のスキャンだけは、ロシアとオラ ンダの割合が圧倒的に多い。
10.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. その他 NICTER観測統計2020年第1四半期(2) 参考情報: https://blog.nicter.jp/2020/07/nicter_statistics_2020_1q/ https://github.com/chompie1337/SMBGhost_RCE_PoC 9 次に2020年3月上旬に存在が明らかになり、一時ゼロデイ脆弱性状態であったMicrosoft Server Message Block 3.1.1のRCEの脆弱性(CVE-2020-0796、通称SMBGhost) に着目する(左図参照)。観測対象期間はダークネットへの通信に大きな変化はなく、調査機 関からのスキャン以外の変化は観測していないという結果である。しかし、観測対象期間後にPoC が公表されており、引き続き攻撃動向の監視と、早期の脆弱性対策の実施が求められる。 最後に、下図のIoT機器を攻撃対象とするマルウェアのMiraiとHajime(亜種含む)に関連する 攻撃ホスト数の日ごとの推移に注目する。全世界のデータ(下図左側)と日本国内のデータ (下図右側)に共通していえることは、Miraiの攻撃ホスト数には激しい推移があったことがわかる。 左図:Mirai・Hajime に関連する攻撃ホスト数の推移(全体) 右図:Mirai・Hajime に関連する攻撃ホスト数の推移(日本) 出典:NICTER観測統計 - 2020年1月~3月 445/TCPのユニークホスト数と受信パケット数の推移 出典:NICTER観測統計 - 2020年1月~3月 なお、日本で2月中旬にあったMiraiの攻撃ホスト数の 増加については、送信元が一部の地域に偏っていたこ とは明らかになっている。Miraiは、telnetやSSHの認 証試行のほかにもデバイス固有の脆弱性を悪用して 感染する性質を持つことが知られている。そのため、感 染に悪用可能な脆弱性が発見された場合、グラフに 示されているような急激な攻撃の増加が予想されるた め注意が必要だ。
11.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. その他 TLS暗号設定ガイドライン改訂(1) 10 2020年7月7日、情報処理推進機構(IPA)は、電子政府推奨暗号の安全性の評価を行っているプロジェクトCRYPTRECによって 作成されたWebサーバでのTLS暗号設定方法をまとめた「TLS暗号設定ガイドライン」の第3版を公開した。2018年5月8日に公開され た「SSL/TLS暗号設定ガイドライン Ver.2.0」の改訂版であるが、ガイドラインの名称からSSLが無くなっており、SSLの使用を禁止するべ きであるという考えが見られる。 今回の改訂における主な変更点は右表のとおり。 プロトコルバージョンだけでなく、暗号スイートにつ いても見直しがされている。 2020年8月現在、SSL Pulseの調査結果によ れば約15万の主要なサイトについてTLS 1.3が 利用できるのは32.8%、TLS 1.2が利用できる のは98.4%である。また、ChromeやFirefoxな どの主要なブラウザにおいて、2020年上半期を もってTLS 1.0/1.1が無効化されており、相互 接続の互換性維持目的でTLS 1.1以下をサ ポートするメリットは既になくなっているといえる。 SSL/TLS暗号設定ガイドライン (Ver. 2.0) TLS暗号設定ガイドライン (Ver. 3.0.1) 「高セキュリティ型」 • TLS 1.2のみ使用可能 「高セキュリティ型」 • TLS 1.3(必須)およびTLS 1.2 (オプション)の使用可能 「推奨セキュリティ型」 • TLS 1.0~1.2のいずれかが使 用可能 • PFS(※)を有していない鍵交 換方式含む暗号スイートも推奨 ⇒ 「推奨セキュリティ型」 • TLS 1.2(必須)およびTLS 1.3 (オプション)が使用可能 • 鍵交換方式は、PFSを有するもの のみ推奨される (※)ある時点でセッション鍵(実際のデータの暗号化に使用する鍵)の交換に使用している秘密鍵が漏洩したとしても、各セッションの鍵交換で使用した乱数がわからなければ、当 該セッション鍵そのものは求められず、通信内容の解読を回避できる性質。2013年のスノーデン事件をきっかけにその重要性が認識され普及が進んだ。なお、RSA方式での鍵交換は、 PFSを有していないため推奨セキュリティ型の設定基準から除外されている。
12.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. その他 11 TLS暗号設定ガイドライン改訂(2) 現在のセキュリティ対策の指標として一般的に用いられる各種国際的標準でも、TLS 1.0/1.1の継続使用は推奨されていない(下表 参照)。今回改訂されたガイドラインで提唱される「セキュリティ推奨型」および「高セキュリティ型」の設定基準は、これらガイドラインの基 準に対応するものであり、暗号設定における今後のセキュリティ対策の参考にされたい。 ガイドライン 概要 IETF(Internet Engineering Task Force) TLS 1.0/1.1廃止のRFC発行を目指している PCI DSS(Payment Card Industry Data Security Standard) 初期TLSを利用しているシステムは監査基準に不適合 NIST SP800-52(rev.2) 2024年1月1日までに • すべての米国政府のサーバでTLS 1.3をサポート • RSA方式での鍵交換を停止 OWASP ASVS 4.0.1 すべてのWebサイトでTLS 1.1以下の無効化を求める 参考情報: https://www.ipa.go.jp/security/vuln/ssl_crypt_config.html https://www.ssllabs.com/ssl-pulse/ https://tools.ietf.org/id/draft-ietf-tls-oldversions-deprecate-06.html https://www.pcisecuritystandards.org/documents/Migrating-from-SSL-Early-TLS-Info-Supp-v1_1.pdf?agreement=true&time=1468358834891 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-52r2.pdf https://owasp.org/www-project-application-security-verification-standard/
13.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. 今後のセキュリティ脅威傾向の予測 ※ 赤字は今月のトピックスで 紹介した項目 標的型攻撃(APT含む)の巧妙化および増加 マルウェア・ランサムウェア・ワイパーウェア攻撃のさらなる増加 IoT機器・5Gに対する脅威やセキュリティ対策 ITサプライチェーンの弱点を狙った攻撃 東京五輪の開催に向けた海外から日本国内へのサイバー攻撃の増加 キャッシュレス社会の進展にともなうリスク クラウドサービスにおけるセキュリティリスク ビッグデータ・AI技術を用いたサイバー攻撃 個人情報の保護と各種法令の遵守課題 認証技術の転換と対応の遅れによるリスク 12
14.
便利で安全なネットワーク社会を創造するCopyright©2020 BroadBand Security,
Inc. 今後のセキュリティ脅威に対する基本的対策例 自組織のCSIRTの成熟化、自組織外の機関との連携強化 (⇒定期的な情報セキュリティに関する訓練や演習の実施) 多方面から鑑みた総合的なセキュリティ対策の強化(特に人的対策の強化) 多要素認証の導入 SLAやサポート条件等の評価に基づくサービス・ベンダの選定 クラウド環境におけるセキュリティ設定の徹底 アセット・インベントリ管理の充実 各種法令の把握と体制構築 定期的な診断の実施とセキュアコーディングの徹底 13
Download now