先週の気になるセキュリティニュース (4/24〜4/30)

1回だけで終わるのもアレなので今週も。ネタが豊富な1週間でしたが、なんとなく全部 PSNで吹き飛んだ感じ。(^^;
PSNの件は別途まとめようと思っていたけど、さてどうしよう。

2011/04/27

Sonyの会見で日本でもメジャーな存在になった(?) Anonymous。今度はニュージーランドがターゲットになった。日本時間の 4/27 11:00から http://www.parliament.nz/ への攻撃が開始。 (Operation Black Out → Operation Paybackに)
攻撃は一時中断された後、5/1から再開された。 この間、Anonymousのインフラに対しての攻撃があったようで。主要なサイトが一時ダウンしていた。


背景として、先月中旬にニュージーランドでいわゆるスリーストライク法が成立 (2011年9月施行予定)したことがある。

http://anonnews.org/?p=press&a=item&i=840
https://twitter.com/#!/Anony_Ops/status/63232285335498752
http://torrentfreak.com/new-zealand-government-rushes-through-controversial-anti-piracy-law-110413/
http://www.zdnet.com.au/nz-passes-three-strikes-copyright-law-339313219.htm
http://www.boingboing.net/2011/04/15/new-zealands-3-strik.html
http://tvnz.co.nz/politics-news/online-protests-over-controversial-copyright-law-4120959
http://www.nzherald.co.nz/nz/news/article.cfm?c_id=1&objectid=10719055
http://arstechnica.com/tech-policy/news/2011/04/guilty-until-proven-innocent-new-zealand-rushes-ahead-with-p2p-bill.ars

(下図は Anonymousのプレスリリース)

2011/04/25

IBM Tokyo SOCの観測で SpyEyeの活動が活発になっていることが明らかに。攻撃ツールとしては Blackhole Exploit Kitを利用しているとのこと。Blackholeは最近もっとも使われているツールのひとつ。4月初めには USPS.gov (日本の郵便局に相当)も Blackholeにやられていた。

https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/spyeye_20110425
http://krebsonsecurity.com/2011/04/spyeye-targets-opera-google-chrome-users/
http://dvlabs.tippingpoint.com/blog/2011/04/26/blackhole-exploit-kit
http://www.v3.co.uk/v3-uk/news/2045303/blackhole-attack-tool-threatening-users
http://research.zscaler.com/2011/04/uspsgov-website-infected-with-blackhole.html
http://research.zscaler.com/2011/02/blackhole-exploits-kit-attack-growing.html
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/229401258/us-postal-service-website-hit-with-blackhole-exploit.html
http://www.avg.com/jp-en/press-releases-news.ndi-1299
http://www.symantec.com/connect/blogs/blackhole-theory
http://malwareview.com/index.php?topic=492.0
http://malwareview.com/index.php?topic=857.0

(下図は IBMのブログから引用)
https://www-304.ibm.com/connections/blogs/tokyo-soc/resource/BLOGS_UPLOADED_IMAGES/spyeye_cnc_20110425.PNG


先週、Stuxnetに関して Siemensを非難したイランの司令官。今度は、Stuxnetとは別の新しいタイプのマルウェア("Stars")の攻撃を受けていると発表。

http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506
http://threatpost.com/en_us/blogs/new-stars-malware-said-target-iran-042511
http://www.f-secure.com/weblog/archives/00002146.html
http://www.theregister.co.uk/2011/04/25/iran_under_second_worm_attack/
http://www.v3.co.uk/v3-uk/news/2045732/iran-claims-national-systems-stars-malware-attack
http://www.computerworld.com/s/article/9216140/Update_Iran_says_it_was_targeted_with_second_worm_Stars_
http://nakedsecurity.sophos.com/2011/04/25/stars-virus-iran-second-cyberwarfare-attack/

2011/04/22

先々週のネタ。NSS Labsのセキュリティ研究者が中国政府のサーバーに対する問題をいろいろと指摘して話題に。The State Administration of Foreign Experts Affairs (SAFEA, http://www.safea.gov.cn)に登録されているユーザーIDとパスワード情報、その他の個人情報が SQL Injectionで取得できる状態だった。DBにはすでに別の攻撃者によって侵入された形跡があったという。また、貴州省のメールサーバーに問題があり、外部から誰でもメールアカウントを作成できる状態になっていた。さらに、Web UIへの SQL Injectionにより他のユーザーのメールも見れる状態だった。これらの他にも数千台のマシンで問題が見つかっているという。


なお、この研究者(NSS Labsの Dillon Beresford氏)は、以前にも中国で利用されている SCADAシステム(KingView)に深刻な脆弱性があることを指摘していた。2010年9月に北京のソフトウェア会社 Wellintech と CN-CERTに連絡。しかしそのまま放置されていたため、2011年1月に自身のブログでエクスプロイトコードを発表。するとすぐに CN-CERTは反応し、パッチがリリースされた。CN-CERTは9月のメールを見逃していたことを認めている。

http://threatpost.com/en_us/blogs/glass-dragon-chinas-cyber-offense-obscures-woeful-defense-042711
http://www.washingtontimes.com/news/2011/apr/26/chinese-databases-exposed-to-hackers/
http://news.softpedia.com/news/Security-Expert-Finds-Holes-In-Sensitive-Chinese-Government-Systems-196725.shtml
http://threatpost.com/en_us/blogs/database-china-foreign-affairs-experts-left-wide-open-042211
http://threatpost.com/en_us/blogs/insecure-mail-server-offers-chinese-government-accounts-masses-042011
http://threatpost.com/en_us/blogs/china-cert-we-missed-report-scada-hole-011311
http://threatpost.com/en_us/blogs/researcher-holes-abound-chinese-scada-011111
http://threatpost.com/en_us/blogs/china-sleeps-stuxnet-scada-bug-011011
http://www.h-online.com/security/news/item/SCADA-exploit-the-dragon-awakes-1169689.html
http://www.h-online.com/security/news/item/Industrial-control-exploit-to-wake-the-sleeping-Chinese-dragon-1167614.html
http://thesauceofutterpwnage.blogspot.com/2011/01/wellintech-issues-security-patch-to.html
http://thesauceofutterpwnage.blogspot.com/2011/01/waking-up-sleeping-dragon.html
http://www.cert.org.cn/articles/bulletin/common/2011011325250.shtml
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-201101-108/id/2011010108/