Nov 23, 2018

メモ、サイバーセキュリティ経営ガイドライン、中小企業の情報セキュリティ対策ガイドライン

・サイバーセキュリティ経営ガイドライン Ver2.0(PDF形式)PDFファイル(平成29年11月16日公開)
 http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf
 2.経営者が認識すべき3原則
 (1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
 (2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
 (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

 3.サイバーセキュリティ経営の重要10項目
  <経営者がリーダーシップをとったセキュリティ対策の推進>
   ・・・
   指示5 サイバーセキュリティリスクに対応するための仕組みの構築
    ※ p.11 詳細部分も見ておくとよい
  <サプライチェーンセキュリティ対策の推進>
   指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
    ※ p.15 詳細部分も見ておくとよい
  <ステークホルダーを含めた関係者とのコミュニケーションの推進>
   指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
    ※ p.16 詳細部分も見ておくとよい

・中小企業の情報セキュリティ対策ガイドライン第2.1版(全58ページ、10.7MB)pdf
 https://www.ipa.go.jp/files/000055520.pdf
 経営者は何をすればいいのか
 ・原則1  情報セキュリティ対策は経営者のリーダーシップで進める
 ・原則2  委託先の情報セキュリティ対策まで考慮する
 ・原則3 関係者との情報セキュリティに関するコミュニケーションは
      どんなときにも怠らない
     ・・・
 ・取組5 業務委託や外部サービスを利用する場合は、
      情報セキュリティに関する責任範囲を明確にする

 ・情報セキュリティ5か条
  ①OS やソフトウェアは常に最新の状態にしよう!
  ②ウイルス対策ソフトを導入しよう!
  ③パスワードを強化しよう!
  ④共有設定を見直そう!
  ⑤脅威や攻撃の手口を知ろう!

・5分でできる!情報セキュリティ自社診断パンフレット(全8ページ、4.57MB)pdf
 https://www.ipa.go.jp/files/000055848.pdf


Oct 25, 2018

隠されたデスクトップの脅威 MBSD Blog、セキュリティ資料・サイト80選、他

・隠された(見えない)デスクトップに潜む脅威とその仕組み | MBSD Blog (09/14)
良記事で、とても勉強になります。

MSBD Blog
時々みておきたい

・セキュリティnews

---> 11/05 追記
Find out how vulnerable your network is against ransomware and cryptomining attacks.

2018年版セキュリティ担当者が情報収集する際に見ておくべき資料・サイト80

---> 11/11 追記
・パスワードの流出をチェックする「Firefox Monitor」とは? (11/09)
 https://www.bizcompass.jp/original/re-management-121-5.html

FortiGate、POODLE FAQ、徳丸浩氏が明かす“セキュリティ人材不足”の解決策、CSIRT ほか

POODLEに関するFAQ (2014/10/16)
『これは深刻な脆弱性・・・中略・・・と言えるでしょう
・・・中略・・・
フォーティネットの製品に関してですが、FortiGateFortiMailはデフォルトの構成では脆弱な状態ですが、SSLv3を無効化するCLI設定があります』

---> 2019.06.01追記、ここから
これか? ↓
・FortiGate 脆弱性対策 (2017/06/07)
 http://extstrg.asabiya.net/pukiwiki/index.php?FortiGate%20%C0%C8%BC%E5%C0%AD%C2%D0%BA%F6
『SSLv2、SSLv3、TLS1.0、TLS1.1の無効化 # config vpn ssl settings  (settings) # set sslv3 disable  (settings) # set sslv2 disable  (settings) # set tlsv1-0 disable  (settings) # set tlsv1-1 disable  (settings) # end 』
---> 2019.06.01追記、ここまで
--> 2020.03.02追記、ここから
SSLv3の脆弱性へのPOODLE攻撃は2014から知られ、
TLS1.0/1.1も主要ブラウザでサポート廃止に動いており
最近はTLS1.2 も危なくなり、TLS1.3が発表されました。
気付いたら早めの対処(バージョンアップや設定変更など)が吉ですね。

・Transport Layer Security
 https://ja.wikipedia.org/wiki/Transport_Layer_Security
 「2015年6月、RFC 7568によってSSL 3.0の使用は禁止された」

・SSL Version 2 and 3 Protocol Detection (update 2019/03/27)
 https://www.tenable.com/plugins/nessus/20007
Severity: HighRisk Factor: HighCVSS v2.0 Base Score: 7.1CVSS v3.0 Base Score: 7.5

・SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃) (2014/10/16)
https://jvn.jp/vu/JVNVU98283300/
 飲食店や駅、空港など無料Wi-Fiの使える場所では、第三者が正規アクセスポイント(AP)に見せかけた偽APを設置するなどして、通信盗聴を試行が容易です。
 そして『暗号化された通信内容の一部を解読される可能性があります。』

・「Google Chrome」「Firefox」「Safari」もTLS 1.0/1.1のサポートを廃止へ (2018/10/16)
https://forest.watch.impress.co.jp/docs/news/1148101.html
「TLS(Transport Layer Security)」はインターネット通信を暗号化するプロトコルだが、初期バージョンの「TLS 1.0」や「TLS 1.1」はすでに設計が古く、もはや安全なプロトコルとは言えない。
--> 2020.03.02追記、ここまで

・徳丸浩氏が明かす“セキュリティ人材不足”の解決策、「実は答えは出ている」

・大成建設はいかにしてCSIRT運用を成功させたか

・統率が取れないクラウド導入がもたらすリスク



Oct 4, 2018

UTM、週報、09/30

TOP10 dropped services
Total dropped packets: 27 437
Top
Service Name
Protocol
Service
Packets
%
1
MICROSOFT-DS
TCP
445
5 425
19.77 %
2
TELNET
TCP
23
2 164
7.89 %
3
TCP
6379
1 145
4.17 %
4
NDL-AAS
TCP
3128
602
2.19 %
5
HTTP
TCP
80
568
2.07 %
6
MS-SQL-S
TCP
1433
562
2.05 %
7
TCP
52869
450
1.64 %
8
HTTPS
TCP
443
416
1.52 %
9
HTTP-ALT
TCP
8080
360
1.31 %
10
PERSONAL-AGENT
TCP
5555
338
1.23 %

関連:
・SIPサーバの探索と考えられるアクセスの増加等について (09/28)
 『SIPサーバの探索と考えられるアクセスの増加
  宛先ポート5555/TCP(Android Debug Bridge)に対するアクセスの増加
  「Huawei HG532 シリーズ」ルータの脆弱性に関連したアクセスの増加』

・UTM、週報、07/21 

Sep 12, 2018

【中国聯通香港】「 シンガポール 7日間 データ 使い放題 上網/通話 SIMカード 」

シンガポールでの通信・音声通話用に購入。

・【中国聯通香港】「 シンガポール 7日間 データ 使い放題 上網/通話 SIMカード 」
 China Unicom
 https://amzn.to/2QodR2H

・価格: ¥ 1,600 (別途送料)

・選定に至る過程:
 「アジア・プリペイドSIM」のはデータ通信のみ。一部周波数も未詳。
 一方、音声通話が必要になった。本SIMはHK$40相当の通話込み。
 『中国でもLINE Facebook Gmailが使える「香港SIM」 』の同キャリア、経験済み。

・周波数
 「香港SIM」同様に【4G】1,800Mhz、2,600Mhz 、【3G】900Mhz、2,100Mhz 
 との説があるが、確信には至らない。

・注意点
 配送に10日ほどかかる⁉
 Amazonの酷似商品と、仕様が微妙に異なる。
『利用のデータ量が毎日300MBを超えた場合、通信速度が512kbpsになります。
  テザリングとPeer-to-Peer サービスができないになります』とのこと。

・アクティベーション、設定
 以前使った中国用「香港SIM」と同様か? 確か
 『電源切ってSIM入れ替えて、再起動。
  APNの名前を”3gnet”と書き換えてデータローミングをONにするだけ。
  SMSが届くまで待つ』だったか。
--> 10/02 追記
・現地で使ってみた
 前述のアクティベーション~APN設定が簡単で助かる。

・下記のSMSが届いたらデータ通信も利用可能。
 (「APNに3gnetを設定してください」との事だが
  私はSIM挿入→電源On→APN設定過程でこのSMS受信→
  APN設定後、Yahoo等が見れるのを確認、だった)
・二通目のSMS。
 「アクティベーションの為に、コールして下さい」と読めるが、
 特にコールしなくてもデータ通信は使えるようだった。

・追伸
 設定の簡単さが有りがたい。

 できれば降機までに、データ通信可まで済ませたいもの。
 入国諸手続きでは落ち着きを装い、
 ホテルまでの車中で他の少数名のメンバーのSIMの御世話をし、
 ご当地自慢にも耳を傾けるべき立場なら、なおさらである。

 China Unicom Hong KongのSIMは
 それを満たすることを中国旅行で経験した人が、
 アジア周遊でも、と購入し、シェアを伸ばしそうな予感。

 以上

Sep 9, 2018

アメリカ・ハワイSIM lycamobile 30日LTE4GB #2 使ってみた

以下、利用ガイドを抜粋・追記しています。

◆音声通話の利用方法
 現地到着後、SIMカード装着。電源投入。
 SMSで電話番号と開通完了通知が届き、30日間のサービス開始。

 ※APN設定は、音声通話開通(Activation)後のこと。
 ●データ通信へと気が逸るが、まず、音声通話開通を完遂すべし。

 ※テキストメールが届かない場合、 622 にダイアルし、
  滞在先の郵便番号(Zip Code)を入力。

 ●622に電話し音声メッセージが聞こえるのを「音声開通済み」と誤認しないように
  英語はネイティブ速度だが、Zip Code さえ入力すれば良いので何とかなった。

 ●以上、終えると次のSMSが届く
 LYCAから、開通電話番号の通知
LYCAMOBICLEから開通電話番号と、Customer Identification PIN の通知
















◆データ通信の利用方法
 APN設定する。
 Wi-Fi環境では、SIMカード装着のみで、APN設定が自動でできる。
 ●との事だが自動で出来ず、マニュアル通り次の手順で。

 Android 
  「設定」→「ネットワークの設定」→「モバイルネットワーク」
   →「データローミング」をオンにして、APNをタップ
  「アクセスポイント名」を開く→メニューから「新しいAPN」を選択
 
  名前: Lycamobile
  APN: data.lycamobile.com
  ユーザ名、パスワード: ブランクのまま
  ※次の項目は、無ければ未入力でもよい
  MMS APN: data.lycamobile.com
  MMSC: http://lyca.mmsmvno.com/mms/wapenc 

  ●最後に再起動すると、インターネット利用可能になる。
   面倒がらずに再起動しよう。

 iPhone
  ホーム画面から設定を開く→モバイルデータ通信を選択→通信のオプションを選択
   →データローミングをオン→LTE回線を使用を選択→音声通話とデータを選択
   →ひとつ戻る→モバイルデータ通信を次のように設定する

  APN: data.lycamobile.com
  ユーザ名、パスワード: ブランクのまま
  MMS APN: data.lycamobile.com
  MMSC: http://lyca.mmsmvno.com/mms/wapenc 

  ●最後に再起動すると、インターネット利用可能になる。
   面倒がらずに再起動しよう。

  ●上記をあらかじめ表示させておき、コピペで設定しよう。
   また、スマホ二台で、現地通信・通話用、調べ物用Wi-Fi機と
   使い分けられると、作業しやすい。

◆T-Mobileと提携しているとの事で
 ワシントン、ヒューストン、シカゴ、ピッツバーグでは
 問題無く通話・通信できるようだった。

 観光客の行かないような地域に行く人は要注意。 
 山中のハイウェイでは、AT&Tならびに名前が数字の謎な通信事業者!?しか
 受信できない地域があった(米国北部 ペンシルバニアから
 ウェストバージニアに抜ける山道にて)。
 ベライゾンも受信表示されなかった。

◆関連: 仕様、マニュアル抜粋(コマンド等詳細)
 http://akasaka-taro.blogspot.com/2018/08/sim.html


Sep 8, 2018

TLS1.0, 1.1 脆弱性

・「Office 365」の「TLS 1.0」「TLS 1.1」サポートは10月末で廃止 ~期日までに対応を (09/03)
『古い「TLS 1.0」「TLS 1.1」では脆弱性が見つかっており、もはや安全なプロトコルとは言えなくなっている』

Transport Layer Security
TLS 1.0の脆弱性が具体的にどんなものか分かりにくい


こちらに丁寧な記事があった(↓)
・BEAST(Browser Exploit Against SSL/TLS)とは何か (2011/10/19)
 https://www.scutum.jp/information/waf_tech_blog/2011/10/waf-blog-008.html

BEAST作者の2人組が発見したのは、次の2点です。

1点目は、この攻撃を成功させる理想的な通信の発見です。それはHTTPSのリクエストであり、攻撃対象をCookieに絞ることで、前述した2つの論文が追い求めていた「現実的に可能な攻撃」となっています。

2点目は、暗号化通信のストリームにおいて、暗号化ブロックの境界位置をイヴが自由にずらすことで、常に1バイトずつのブルートフォース攻撃が可能になる、ということです。彼らはこれをBCBA(Blockwise Chosen-Boundary Attack)と呼んでいます。
 』

Aug 23, 2018

記事: 多要素認証、KeePassとSecure Desktop、SAP略語メモ

NIST SP800-63-3翻訳版63-Bパートの紹介 (2017/10/29)

・多要素認証
『多要素認証は、パスワードクラックなどに対しては強いが、フィッシングや中間者攻撃などに対しては無防備』



・SMSベースの2段階認証は安全とはいえない。対処法は? (08/08)
 『SIMスワップをしていたハッカーに言わせると、これは「日常茶飯事」 』

・不正アクセス対策の切り札 ドコモも勧める「ニ段階認証」、その落とし穴とは (08/21)
『海外の通信キャリアでは、SMSを盗聴される危険性があるためSMSを利用した二段階認証は推奨されていません。
 ならば日本では・・・「認証コードを入力するWebサイトは本物なのか?」というリスクは残ります。』


Secure Desktop (KeePass Help Center)

How does the Windows Secure Desktop mode work?

There are three, separate issues claiming the name of "Secure Desktop":

Windows builtin functions like GINA and the Credential Provider Model.
Separation of privileged vs unprivileged applications running as the same user
(nominally prevent privilege escalation), which may or may not be related to:
SwitchDesktop(), which is what KeePass is using and may or may not (I'm not sure) be resistant to DLL Injection.


SAP略語

How to edit/convert .mht file (psr.exe) using MS-Word

1. Run psr.exe (Problem Steps Recorder),
  go "settings" to increase the 'Number of recent screen captures to store' (ref2),
  exit and "record"

2. Do operation sequences you want to record

3. On psr.exe, "save" records to ZIP file

4. On Windows Explorer, "extract" the saved ZIP file

5. In the extracted files, open .mht file with MS-Word, and edit/save it.

ref1. ステップ記録ツールで保存したmhtファイルをWordで編集するには (2017/05/10)
  https://hamachan.info/win10-word-mht/

ref2. Using the “secret” Windows 7 Problem Steps Recorder to Create Step by Step Screenshot Documents (2010/01/04)
  https://blogs.msdn.microsoft.com/patricka/2010/01/04/using-the-secret-windows-7-problem-steps-recorder-to-create-step-by-step-screenshot-documents/

Aug 17, 2018

アメリカ・ハワイSIM lycamobile 30日LTE4GB

下記、購入した。

・アメリカ・ハワイSIM lycamobile 30日LTE4GB
 米国内通話・SMS無制限コミコミパック+YM SIMピンセット
 (日本語オリジナルマニュアル付)
 https://amzn.to/2MPZamM
 アメリカ国内ではT-Mobileの通信網を利用

 2G: GSM: 1900MHz
 3G: W-CDMA Band 2/4
 LTE: Band 2/4/12

・T-Mobile network bands & technologies
 https://support.t-mobile.com/docs/DOC-4988
 4G LTE: Band 2 = 1900MHz
 4G LTE: Band 4 = 1700/2100MHz(AWS)
 4G LTE: Band 12 = 700MHz(AWS)

・T-Mobile US
 https://ja.wikipedia.org/wiki/T-Mobile_US

・過去の同様記事
 READY SIM データ通信+SMS(1GB、14日間) 3in1で全てのSIMサイズに対応
 http://akasaka-taro.blogspot.com/2016/10/ready-sim-sms1gb14-3in1sim.html
 改めて通販サイトを見てみると 2,990円。

----------------------------------------------------- 8/18追記
利用ガイド抜粋

◆音声通話の利用方法
 現地到着後、SIMカード装着。電源投入。
 SMSで電話番号と開通完了通知が届き、30日間のサービス開始。

 ※テキストメールが届かない場合、 622 にダイアルし、
  滞在先の郵便番号(Zip Code)を入力。

◆データ通信の利用方法
 APN設定する。
 Wi-Fi環境では、SIMカード装着のみで、APN設定が自動でできる。
 自動で出来ない場合は、次の手順で。

 ※APN設定は、音声通話開通(Activation)後のこと。

 Android 
  「設定」→「ネットワークの設定」→「モバイルネットワーク」
   →「データローミング」をオンにして、APNをタップ
  「アクセスポイント名」を開く→メニューから「新しいAPN」を選択
 
  名前: Lycamobile
  APN: data.lycamobile.com
  ユーザ名、パスワード: ブランクのまま
  ※次の項目は、無ければ未入力でもよい
  MMS APN: data.lycamobile.com
  MMSC: http://lyca.mmsmvno.com/mms/wapenc 

  最後に再起動すると、インターネット利用可能になる。

 iPhone
  ホーム画面から設定を開く→モバイルデータ通信を選択→通信のオプションを選択
   →データローミングをオン→LTE回線を使用を選択→音声通話とデータを選択
   →ひとつ戻る→モバイルデータ通信を次のように設定する

  APN: data.lycamobile.com
  ユーザ名、パスワード: ブランクのまま
  MMS APN: data.lycamobile.com
  MMSC: http://lyca.mmsmvno.com/mms/wapenc 

  最後に再起動すると、インターネット利用可能になる。

◆電話番号の確認
 *613# または 97# で画面表示。

◆残高確認
 *611# または #94 で画面表示。

 611にダイアルすると自動音声ガイダンス。
 
◆留守番電話
 開通と同時にボイスメールも自動的に可能に。
 121にダイアルすると、メッセージを聞ける。

◆国際電話
 011 +相手先国番号 +市外局番 +電話番号

◆カスタマーサポート
 1-866-277-3221
  http://www.lycamobile.us/en/contact-us

 Yellow Mobile 日本事務局
 tel: 047-472-4818
 https://yellowmobile.jp/
 E-mail: info@yellowmobile.jp

◆Webサイトでの開通手続き
 次のサイトで情報を入力
 https://www.lycamobile.us/en/activate-sim/

 ZipCode: 滞在先の郵便番号はあらかじめ調べておこう
 ICCID: SIMカード番号。SIMカード裏面のバーコード下の数字
 PUK Code: SIMカード裏面のPUKに続く8桁の数字

 入力内容を確認し、Continueボタン押下。
 開通が完了し、電話番号が表示される。

◆リチャージ
 クレジットカードでlycamobile.comで手続きするか、
 小売店でリチャージバウチャーを購入し、
 *611*『PINコード』#をダイヤル、または
 611にダイヤルし、自動音声ガイダンスに従う。

----------------------------------------------------- 9/09追記
◆関連: 設定し、実際に使ってみた


Aug 11, 2018

メモ:近距離共有の無効化。TSMC

・近距離共有の無効化方法について (07/30)
Windows 10 version 1803の新機能の無効化

TSMCWannaCry被害についてまとめてみた (08/07)
8/3(金)夕方、サプライヤーの作業ミスがきっかけで、
三拠点で計一万台以上のWin7に感染、
8/5、公表。14時には80%復旧
8/6、記者会見。完全復旧発表

Aug 8, 2018

IP blacklist, FireHOL


FireHOLで公開されているIPブラックリストを楽に適用する話

 ここは良い読み物が色々ありそう。hashcat は次の記事
  ↓
・暗号化されたパスワードを含むアカウント情報が漏洩した、らどうすればよいか?

Capturing NetNTLM Hashes with Office [DOT] XML Documents (08/06)


Aug 6, 2018

Cortana could unlock win10。。。Win10 設定見直し

・コルタナに聞けば、ロックされたWindows 10のデバイスにだって侵入できる (06/18)
 対策は、パッチ適用。 

WindowsAIアシスタント「Cortanaを使って誰でもPCのロックを解除できてしまう (06/14)
 ビデオあり

この機会に色々見直そう。。。

Windows 10にアップグレードしたら無効化しておきたい7つの設定 (2016/07/03)

Windows10を使い始める前に要チェック!13個のプライバシー設定方法まとめ (2015/11/26)

Windows10 Windows Update はデフォルトで使ってはいけない。 (2015/10/04)

Jul 28, 2018

メモ、アジア・プリペイドSIM

購入思案中

AISアジア16カ国 周遊プリペイドSIM 4GB 8日間 4G・3Gデータ通信使い放題
/ 韓国 台湾 香港 シンガポール マカオ マレーシア フィリピン インド カンボジア 
ラオス ミャンマー オーストラリア ネパール  ※日本でも利用可能

\1,680 -
日本でも利用ができるので、出発空港で利用してから渡航もできます!
データ通通信量が4GBを超えると128kbpsへ速度が制限されます
データ通信専用(音声利用は出来ません 
SIMサイズ:通常・micronanoサイズに対応  
周波数帯域:【4G2,100MHz 3G900MHz2,100MHz


・【DIRECT.TX】 環球通 アジア・オセアニア・アメリカ 4G-LTE
  15日間 30ヶ国 データ 使い放題 プリペイドSIMカード
中国、マカオ、台湾、日本、韓国、シンガポール、マレーシア、タイ、サウジアラビア、イスラエル、オーストラリア、ニュージーランド、アメリカ、カナダ、イギリス、フランス、デンマーク、スウェーデン、ノルウェー、アイルランド、イタリア、オーストリア、ハンガリー、ベルギー、ブルガリア、バングラディッシュ、パキスタン、カタール、カザフスタン、アラブ首長国連邦(UAE7首長国) [並行輸入品]

セール価格 2,840  
データ通信量が4GBを超えますと128kbpsへ速度制限がかかります
SIMサイズ:3 in 1サイズに対応

SIMが対応する、オーストラリアのキャリアの周波数
 
 ・Telstra
  4G  700 / 900 / 1800 / 2100 / 2600 MHz
  3G  850 / 2100 MHz

 ・Optus
  LTE  700 / 1800 / 2100 / 2300 / 2600 MHz
  3G  900 / 2100 MHz


Jul 26, 2018

いろいろ:4分物理ハッキング、マリアナ海溝で核爆発すると?


わずか4分でノートPCへ物理的にアクセスしてハッキングするムービーをセキュリティ会社が公開 (07/24)
https://gigazine.net/news/20180724-laptop-firmware-backdoor-install/

人類史上最大の核兵器を世界で最も深い海底で爆発させたら何が起こるのか? (07/24)
https://gigazine.net/news/20180724-nuclear-bomb-marianas-trench/

Jul 25, 2018

読み物、いろいろ

後で読むための、メモ

コモディティサーバーはもう限界!
 HCI全面採用時に求められるハードウェア要件とソリューション

・BIOSに潜む脆弱性が脅威に! サーバーのセキュリティ要件を整理せよ
 https://japan.zdnet.com/paper/30001050/30002719/

・進む犯罪者のビットコイン離れ

ツギハギが限界に!引退時期を迎えた古い仮想化基盤、重大なコスト要因に

ERP導入プロジェクトに失敗したB社の復活!その決断が格差を埋める

・未知のマルウェアからエンドポイントを守る!AIだから実現できる検知と対応が
注目されるワケ

・CVE-2018-5533 - SSL forward proxy vulnerability - Severity: High
 Under certain conditions, TMM may core while processing SSL forward proxy traffic.
 Details on this issue can be found at:

・CVE-2018-5534 - SSL forward proxy vulnerability - Severity: High
 Under certain conditions, TMM may core while processing SSL forward proxy  traffic.
 Details on this issue can be found at:
 https://support.f5.com/csp/article/K64552448

わずか4分でノートPCへ物理的にアクセスしてハッキングするムービーをセキュリティ会社が公開 (07/24)

ロシア軍サイバー部隊はこうして米民主党をハッキングした (07/17)


Jul 23, 2018

UTM、週報、07/21

Weekly Report 07/21

TOP10 dropped services
Total dropped packets: 26 674
Top
Service Name
Protocol
Service
Packets
%
1
MICROSOFT-DS
TCP
445
3 216
12.06 %
2
TELNET
TCP
23
2 371
8.89 %
3
TCP
52869
1 362
5.11 %
4
MS-SQL-S
TCP
1433
580
2.17 %
5
PERSONAL-AGENT
TCP
5555
542
2.03 %
6
HTTP
TCP
80
507
1.90 %
7
TCP
37215
504
1.89 %
8
HTTP-ALT
TCP
8080
409
1.53 %
9
HOSTS2-NS
TCP
81
357
1.34 %
10
HTTPS
TCP
443
334
1.25 %

port 52869/tcp
・国内における Mirai 亜種の感染急増 (201711月の観測状況) (2017/12/07)

後述 3721552869のスキャンは、Satoriによるものが含まれていそう。
 ↓
・拡がるSATORIボットネットの脅威。Miraiボットネットとの関連も (2017/12/08)

・ルーターの脆弱性を突くbotネットが相次ぐ、攻撃に加担させられる恐れも (07/23)
Huaweiのルーター「HG532」の脆弱性(CVE-2017-17215)を狙ったスキャンが2018718から観測され、その日のうちに18000台のルーターがbotネットのネットワークに組み込まれた』
その他、Dasan GPON, D-LINK 2750Bのスキャン急増。Realtekルータへの攻撃予告。

port 5555/tcp
SoftEther VPN, HP Data Protector, XBox 360 Media Center, 他 各種trojan でも使用

・ポートスキャン機能を増強した「Mirai」、Windows踏み台に追加 (2017/02/14)
『デフォルトの管理認証情報を試行し、ポート7547  5555TCPUDP)、23Telnet)、22SSH)を介している機器を乗っ取ります』

port 37215/tcp
このポートを使うHuawei HG 532 routerには、directory traversal問題があるとのこと(2015)