〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 9/6号 目次 –
01. 原発処理水放出への抗議か…ルーター機器へ不正アクセス、管理画面改ざんの被害
02. VBSマクロ実行、PDFファイルとして検知回避…新たな攻撃手法「MalDoc in PDF」に注意喚起
03. 8月はWordPressの21のプラグインに脆弱性…Sucuri社発表
原発処理水放出への抗議か…ルーター機器へ不正アクセス、管理画面改ざんの被害
– 8月29日(日本時間)、朝日新聞より、セイコーソリューションズ(以下・SSOL)社製ルーター機器少なくとも約1,500台が不正アクセスを受け、管理画面が改ざんされる被害が発生していると報じられています。
– 同日のSSOL社からの注意喚起によれば、対象となっている機器はSkyBridge MB-A100・MB-A110・MB-A200、SkyBridge BASIC MB-A130およびSkySpider MB-R210で、2月28日に発表・セキュリティアップデート提供済みの脆弱性を悪用したものとされています。
– 改ざんされた画面には「海は人類共通の財産です」「日本政府は独自路線を貫き、全人類に対する罪である核下水を排出している」というメッセージが表示されるようになっており、8月24日に始まった東京電力福島第一原発の処理水放出に抗議する内容とみられています。
– 8月31日には国内情報セキュリティ大手のラック社からも注意喚起が出ています。
https://www.asahi.com/articles/ASR8Y61XZR8YULZU00C.html
https://www.lac.co.jp/lacwatch/alert/20230831_003494.html
https://www.seiko-sol.co.jp/archives/78347/
AUS便りからの所感
改ざんを行った攻撃者とみられるSNSアカウントが、攻撃手法や脆弱な機器を検索する方法を挙げ、「これは私たちの最初の警告である」とさらなる攻撃を示唆する投稿を行っていたとされており、また管理画面のアカウント情報が奪取されネット上に掲載されていたという情報もあります。
今回の攻撃による改ざんはあくまで管理画面の表示に留まっていたようですが、その他のルーターの設定変更を行うことも可能な状況だったとみられ、今後さらなる攻撃の発生時には当然そういったレベルに立ち入られる恐れも十分に考えられます。
ルーターやIoT機器の脆弱性は他のメーカーにおいても度々報告されており、攻撃者はあらゆる機器の脆弱性情報をもとに日々アップデートを行っていない機器を検索し、攻撃あるいはその準備を行っていると考えられるため、外部ネットワークから管理画面等にアクセス可能な状態にある物を含めあらゆるIoT機器・ネットワーク機器についてファームウェアを最新バージョンに保ち、またアップデートの提供が終了している機器は確実にリプレースする管理体制をとることが重要です。
VBSマクロ実行、PDFファイルとして検知回避…新たな攻撃手法「MalDoc in PDF」に注意喚起
– 8月22日(日本時間)、JPCERT/CCより、7月に発生した攻撃で利用された不正な文書データ形式についての解説と注意喚起が出されています。
– 「MalDoc in PDF」と名付けられた文書データは、PDF形式のファイルヘッダーの後ろに、Wordで実行される不正なVBSマクロ(厳密にはMHTML形式のデータ)を埋め込んだものとされています。
– 拡張子が「.doc」のものが確認されており、ファイルを開いた際にWordで処理され、VBSマクロが実行されることが意図されている一方、アンチウイルスでの解析時にはPDFとして検知され、またPDFビューアーで開いた場合にはスクリプト等が実行されないような形になっていることから、不正なファイルとしての検出を回避されやすい可能性があるとのことです。
https://forest.watch.impress.co.jp/docs/news/1525553.html
https://blogs.jpcert.or.jp/ja/2023/08/maldocinpdf.html
AUS便りからの所感
類似した攻撃手法としては、Webアプリケーションにおけるクロスサイトスクリプティング(XSS)の一種として、HTMLではないテキストファイルや画像ファイル等に不正なスクリプトが実行されるようなHTMLのタグを埋め込み、ブラウザー上でこれをHTMLデータとして開くよう誘導するものも用いられていました。
解説では自動的なマルウェアチェックで当該ファイルがPDFとして扱われた場合に不正なファイルとして判定されない可能性について注意するよう呼び掛けている一方、悪性なWordファイル専用の分析ツールや、データに特定の文字列が含まれるかチェックする等により、不正なVBSマクロの検出は可能であるとしています。
各種アンチウイルス・UTM製品において、今後この攻撃手法が周知されることにより、適切に検出されるようになるものと期待されますが、手元のアンチウイルス等で反映されるようになるには、常時エンジンやパターンファイル等が最新バージョンに更新される状態である必要があることにも注意してください。
8月はWordPressの21のプラグインに脆弱性…Sucuri社発表
– 8月31日(現地時間)、WordPress用セキュリティプラグイン等を提供する米Sucuri社より、8月に報告された21のWordPressプラグインに存在する脆弱性のまとめ記事が発表されました。
– うち、フォーム設置用の「Forminator」で不正なファイルのアップデートが可能となる脆弱性と、eコマースプラグインWooCommerceへの機能拡張を行う「TI WooCommerce Wishlist」におけるSQLインジェクションの脆弱性が、特に危険なものである「緊急(Critical)」レベルの脆弱性とされています。
– 他にもクロスサイトスクリプティング(XSS)や機密情報漏洩等の脆弱性4件が、上記に次いで危険な「重要(High)」レベルとされています。
https://news.mynavi.jp/techplus/article/20230903-2762478/
https://blog.sucuri.net/2023/08/wordpress-vulnerability-patch-roundup-august-2023.html
AUS便りからの所感
WordPressにおいては、提供されるプラグインも、またそれらで報告される脆弱性も数多く存在しており、Sucuri社による月毎のまとめでは、毎月20件台の報告がまとめられています(7月には36件と通常より多く報告されています)。
またWordPress本体においても不定期にセキュリティアップデートがリリースされるため、インストールした状態のままで放置するようなことは決してせず、随時本体・プラグインを最新に保つよう努めること、セキュリティを強化する何らかのプラグインを導入すること、並行してWAFや、IDS・IPSの導入を検討することを強く推奨致します。
