-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2017-4401 JPCERT/CC 2017-11-15 <<< JPCERT/CC WEEKLY REPORT 2017-11-15 >>> ―――――――――――――――――――――――――――――――――――――― ■11/05(日)〜11/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性 【2】Joomla! に複数の脆弱性 【3】Microsoft Office の Dynamic Data Exchange (DDE) フィールドを使用したマルウェアに注意 【4】LAN DISKコネクトにサービス運用妨害 (DoS) の脆弱性 【5】HYPER SBI のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】JPCERT/CC が「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2017/wr174401.html https://www.jpcert.or.jp/wr/2017/wr174401.xml ============================================================================ 【1】Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#23367475 Wi-Fi STATION L-02F にバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN23367475/ 概要 Wi-Fi STATION L-02F には、バッファオーバーフローの脆弱性があります。結 果として、遠隔の第三者が、細工したパケットを送信することで、任意のコー ドを実行する可能性があります。 対象となるバージョンは次のとおりです。 - Wi-Fi STATION L-02F ソフトウェアバージョン L02F-MDM9625-V10h-JUN-23-2017-DCM-JP およびそれ以前 この問題は、Wi-Fi STATION L-02F を株式会社NTTドコモが提供する修正済み のバージョンに更新することで解決します。詳細は、株式会社NTTドコモが提 供する情報を参照してください。 関連文書 (日本語) 株式会社NTTドコモ 「Wi-Fi STATION L-02F」をご利用のお客様へ、ソフトウェアアップデート実施のお願い https://www.nttdocomo.co.jp/info/notice/page/170710_01_m.html 情報処理推進機構 (IPA) 「Wi-Fi STATION L-02F」にバッファオーバーフローの脆弱性(JVN#23367475) https://www.ipa.go.jp/security/ciadr/vul/20171106-jvn.html 【2】Joomla! に複数の脆弱性 情報源 US-CERT Current Activity Joomla! Releases Security Update https://www.us-cert.gov/ncas/current-activity/2017/11/07/Joomla-Releases-Security-Update 概要 Joomla! には、複数の脆弱性があります。結果として、遠隔の第三者が認証情 報を取得するなどの可能性があります。 対象となるバージョンは次のとおりです。 - Joomla! 3.8.2 より前のバージョン この問題は、Joomla! を Joomla! が提供する修正済みのバージョンに更新す ることで解決します。詳細は、Joomla! が提供する情報を参照してください。 関連文書 (英語) Joomla! Joomla! 3.8.2 Release https://www.joomla.org/announcements/release-news/5716-joomla-3-8-2-release.html 【3】Microsoft Office の Dynamic Data Exchange (DDE) フィールドを使用したマルウェアに注意 情報源 US-CERT Current Activity Microsoft Releases Security Advisory on Dynamic Data Exchange (DDE) https://www.us-cert.gov/ncas/current-activity/2017/11/09/Microsoft-Releases-Security-Advisory-Dynamic-Data-Exchange-DDE 概要 Microsoft Office アプリケーションには Dynamic Data Exchange (DDE) プロ トコルが実装されており、アプリケーション間でデータ交換を行うことが可能 です。この機能を利用したマルウエアの存在が確認されており、第三者が、DDE を使用する細工した Office 文書をユーザに開かせることで、任意のコードを 実行する可能性があります。 対象となる製品は次のとおりです。 - Dynamic Data Exchange (DDE) を実装している Microsoft Office アプリケーション Microsoft から、DDE による自動更新を無効にする方法などに関する情報が公 開されています。詳細は、Microsoft が提供する情報を参照してください。 関連文書 (日本語) Microsoft Dynamic Data Exchange (DDE) フィールドを含む Microsoft Office ドキュメントを安全に開く方法 https://technet.microsoft.com/ja-jp/library/security/4053440 情報処理推進機構 (IPA) メールの添付ファイルの取り扱い5つの心得 https://www.ipa.go.jp/security/antivirus/attach5.html 【4】LAN DISKコネクトにサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#87886530 LAN DISKコネクトにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN87886530/ 概要 LAN DISKコネクトには、サービス運用妨害 (DoS) の脆弱性があります。結果 として、遠隔の第三者が、細工したパケットを送信することで、サービス運用 妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは次のとおりです。 - LAN DISKコネクト Ver2.02 およびそれ以前 この問題は、LAN DISKコネクトを株式会社アイ・オー・データ機器が提供する 修正済みのバージョンに更新することで解決します。詳細は、株式会社アイ・ オー・データ機器が提供する情報を参照してください。 関連文書 (日本語) 株式会社アイ・オー・データ機器 弊社アプリケーション「LAN DISKコネクト」セキュリティの脆弱性について http://www.iodata.jp/support/information/2017/ld-connect/ 【5】HYPER SBI のインストーラに DLL 読み込みに関する脆弱性 情報源 Japan Vulnerability Notes JVN#71284826 HYPER SBI のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN71284826/ 概要 HYPER SBI のインストーラには、DLL 読み込みに関する脆弱性があります。結 果として、第三者が任意のコードを実行する可能性があります。 対象となるバージョンは次のとおりです。 - HYPER SBI Ver. 2.2 およびそれ以前 この問題は、株式会社SBI証券が提供する最新のインストーラでは解決してい ます。なお、すでに HYPER SBI をインストールしている場合には、この問題 の影響はありません。また、開発者によると、既存のユーザが最新のインストー ラを使用し HYPER SBI をアップデートする場合には、事前にデータを引き継 ぐための作業をしておく必要があるとのことです。詳細は、株式会社SBI証券 が提供する情報を参照してください。 関連文書 (日本語) 株式会社SBI証券 2017/10/30(月)18:00頃以前に既にHYPER SBIをインストール済みのお客さま https://search.sbisec.co.jp/v2/popwin/tools/hyper/pop4040_hedownlord.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPCERT/CC が「インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)」を公開 2017年11月9日、JPCERT/CC は、「インシデント調査のための攻撃ツール等の 実行痕跡調査に関する報告書(第2版)」を公開しました。この報告書は、攻 撃に使用されることが多いツールやコマンドの実行時に、どのようなログが出 力され、どのようなファイルが作成されるかをまとめたものです。以前のレポー トでは、イベントログおよびレジストリエントリの調査が中心でしたが、今回 のアップデートでは、USN Journal や AppCompatCache、UserAssist などフォ レンジック視点で調査する場合の確認方法についても記載しています。インシ デント調査にぜひご活用ください。 参考文献 (日本語) JPCERT/CC インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版)公開(2017-11-09) https://www.jpcert.or.jp/magazine/acreport-ir_research2.html JPCERT/CC インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書(第2版) https://www.jpcert.or.jp/research/20171109ac-ir_research2.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2017 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJaC4JoAAoJEDF9l6Rp7OBIKgoH/jSBs8TU1xjwjOAyK3qJYUfC 4FRc/ySB/7PAkgIk6PuaQIbHOHP5Q0BJGDmXy5zXXNvxAQYXip6EJohH36Np7Rs4 YxIwiNDMbDmt8FWbRzaXQTUe36hLlKLuSvdZ60nwVHZh0lVb2jlupvoYZ58b/IyR nY6tNoaFdtRsopNPwtOjnMyNTN229Bc50iIOgeyNU/ZYkl/lZ/uKsvZ4dUGTMcc0 laJvOJCcQkYgHAYPwYNs95aDs1ZhMtyWYSqLK6mqJzeS6axsZtKheNvndZuWuEYs 1lFCKHZ+vOTYXIiFyCHa3nCIJ3KBqiwGuEmUIHTagVTmMCZOhLmStm5nMPzc9ME= =iD7e -----END PGP SIGNATURE-----