WPA2の脆弱性について②

先日も書かせていただいた

WPA2の脆弱性について

ですが、その後、各端末メーカのほうでセキュリティパッチの公開など行われているようです。

基本的には、前回も書きましたが

無線ルータ、APに関しては「ルータモード、APモード」で利用している場合は、特に影響はなく

無線ルータ間で通信している場合(中継器モード、子機モード等)はメーカからのセキュリティパッチの適用をしないと

悪意のある第三者から無線通信をアクセスされ覗き見される可能性があります。

 

また、無線を使うパソコンやスマートフォン等の端末に関しては

それぞれのOSメーカ提供されるセキュリティパッチをあてる必要があるのですが・・・・

WindowsOSに関しては、10/10付でパッチが公開されていましたが、

iOS,MacOS等(アップル)に関しても、10/31付

android関しても11/6付

でパッチが公開されたようです。

ただし、iOSに関しては

https://support.apple.com/ja-jp/HT208222


 

Available for: iPhone 7 and later, and iPad Pro 9.7-inch (early 2016) and later

Impact: An attacker in Wi-Fi range may force nonce reuse in WPA multicast/GTK clients (Key Reinstallation Attacks – KRACK)

Description: A logic issue existed in the handling of state transitions. This was addressed with improved state management.

CVE-2017-13080: Mathy Vanhoef of the imec-DistriNet group at KU Leuven

 


まさかのiPhone7 以降の対応のみ・・・・・

私が使っているiPhone6sは、いまだWi-Fiつなげません(-_-;)

 

さらに、androidに関しては、andorid開発元のgoogleとしては、パッチを公開してますが

キャリアが提供するかどうかなのですが、iPhone以上に、古い端末は未対応となりそうな気配です。

※自力でパッチを適用できるかどうかはandroidにそこまで詳しくないのでわかりません、、、(T_T)

↓docomoのアップデート状況

https://www.nttdocomo.co.jp/support/utilization/product_update/

 

現状業務利用のスマホはWi-Fiつなぐな 状態ですが、いつになったら解決されるのでしょうか。。。。

 

 

 

 

「無線LAN構築保守パック」納品準備

今度ある、「無線LAN構築保守パック」の納品準備真っ最中。

今回の納品は、AP、HUBそれぞれ10台ほどあるため、設定を投入するのも一苦労。

設定後の動作確認もこうやって全台ならべて、実際配線もしてみて実施しています。

もちろん無線の動作が問題ないかもチェックします。

 

納品時にできるだけバタバタしないように、事前に確認できることはして納品に臨みます!!

 

WPA2の脆弱性について

ニュースにもなりましたが

無線LANの通信規格、WPA2  で

10月16日(米国時間)に、暗号鍵を特定される等の脆弱性が発見されたようです。

 

現在わかっていることとしては

この脆弱性については

無線の「クライアント側」

の脆弱性になることのようなので、

無線ルータや、無線APは特に対策は必要なさそうで、

クライアントになる、WindowsPCや、スマホ、タブレット端末側で、対応が必要なようです。

 

※弊社サービス「無線LAN構築保守パック」についても、無線AP側での対応は特に不要です。

 

 

WindowsPCにおいては、すでに修正プログラムが出ているので

Windowsアップデートを適用すればよいらしい。

※ほかのOSは詳細不明。。。

 

この脆弱性をほっておくと、無線LAN経由の通信が盗聴されてしまう可能性がありますので

早めに対応するようにしましょう。

 

※参考URL

バッファロー

無線LAN製品のWPA2の脆弱性について

http://buffalo.jp/support_s/t20171017.html

 

アイ・オー・データ

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.iodata.jp/support/information/2017/wpa2/

 

エレコム

WPA2の脆弱性に関する弊社調査・対応状況について

http://www.elecom.co.jp/support/news/20171018/

 

ヤマハ

「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について

http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU90609033.html

 

 

 

 

 

 

スパムメールにはご用心を

最近、こんなスパムメールが流行っているようです。

■「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください

https://help.goo.ne.jp/help/article/2230/?_ga=2.183000800.753656512.1507697921-1451381935.1506052606

 

実は、これ弊社にも届きました。

中身は↓のような感じです。添付ファイルはありませんが、何かしらのリンクがあり

クリックするとzipファイルがダウンロードされるようです。

(これがウィルスなのか、なんなのかは不明)

っていたと思いますが

 

弊社は、HTMLメールの受信をメーラーの設定で止めていますので、URLが表示されています。

ちゃんと見ればURL「zip」で終わっているので、怪しさ全開です。

ただ、このちゃんと見れば・・・というのが全社員に徹底するのが難しいですが。。。。。

それ以外のメールの内容でいうと

一昔まえのスパムメールだと、日本語が若干問題あったり、送信者、送信先が不自然だったりしましたが

今回うちに届いたメールだと

かなり本物っぽく見た目だけでスパムと断定するのは難しいと思われます。

 

また、弊社はスパム対策をメールサーバ側と、社内のファイアウォールで2重に行っていましたが

それでも届いてしまいました。

また、添付ファイルがなかったので、ウィルスという判定もされませんでした。

URL自体はただの「文字列」でしかないので、リンク先まで確認するファイアウォールでないと検知できませんし、

最近のいわゆる標的型攻撃の場合、そのURLのリンク先は

アクセスする時間で、ウィルスであったり、そうでなかったりする場合があるため検知は非常に難しいと言われています。

(社員がクリックしそうな時間帯だけ、ウィルスのリンクになっていたりするそうです)

 

 

ひとまず、みなさんもそれっぽいメールが来ても、「うちはファイアウォールあるから」といって

安心してメールをやたらめったら開かないように注意してください。

 

 

 

 

 

スマートフォンでVPN 端末側検証(2017/09)

docomoの2017夏モデルで弊社「スマートフォンでVPN」が利用可能か、検証を実施しました。

 

今回検証した機種は

Xperia XZ Premium SO-04J
Galaxy S8 SC-02J
Galaxy Feel SC-04J
AQUOS R SH-03J

あと、今回の夏モデルではないですが、過去に検証できてなかった

Xperia XZ SO-01J

も一緒に借りられたので、併せて検証しました。

 

今回借りた機種はSO-01J を除くと

すべてAndroid7.0系のOSとなっており、検証としては初のverになります。

(SO-01J は6.1.1)

 

OSのverは変わってましたが、操作感はほぼ同じで設定の方法も変わらなかったので

どの機種も順調にVPN接続は完了。問題なく接続できるようです。

      

 

VPN接続後、リモートデスクトップの操作ができるかも検証を行いましたが

アプリインストール→接続までは問題なかったのですが

リモートデスクトップ中に、ctrl+c や ctrl+v などのいわゆるコピペ のキー操作を行うと

アプリごと終了してしまいます。

(キー操作ではなく 右クリック→コピーではOK)

ただ、コピペの操作事態は、リモートデスクトップ先のPCでは行われており、

リモートデスクトップで再接続すれば、ちゃんとコピーはされているようです。

※ctrl+c →アプリ落ちる →リモデ再接続 → ctrl+V →アプリ落ちる →リモデ再接続

とやれば、一応コピペはできる。面倒だけど。

 

この現象はAndroid7.0系のどの機種でも発生。

逆に、6.0のSO-01Jでは発生せず。

おそらく、Android7.0とリモートデスクトップのアプリとの相性かもしれません。

(違うリモートデスクトップアプリでも検証すればよかったけど、検証機の返却期日に間に合わず断念・・)

 

Windows同士だと、リモートデスクトップで手元のコンピューターと接続している先のコンピューター間でコピー&ペーストを使用することができますが、

(クリップボードのリダイレクト)

これがOSがandoridであることや、リモートデスクトップの互換アプリという理由等で

正しく動作していないのが原因だと思います。

(接続している先のコンピューターで、「クリップボードのリダイレクトを許可しない」設定をすれば発生しなかったかもしれませんが、今回試せませんでした。。)

Android+リモートデスクトップアプリ もだいぶ安定してきた(つながらないとか字が打てないとかが少なくなってきた)と思ってましたが、なかなかすんなりいきませんね。

(だからちゃんと検証する意味もあるんですが)

 

ただ、すでに次期OSであるAndroid 8.0も発表されており、早ければ秋モデルにも搭載されるかと思いますが、リリースさればまた弊社サービスの検証を行う予定ですが、

Android 8.0についてはすでに↓ こんなことも起きているようです。。。

新しいOSが出る=不具合発生

という流れ、なかなかこういうのはなくなりませんねぇ、、、

 

https://sumahoinfo.com/android-oreo-8-0-issue-fuguai-mobile-data-used-while-connected-to-wifi

 

 

 

 

 

 

 

 

windows10 creators update

いままで互換性の確認がとれた端末から段階的にリリースされていた

windows10 creators update

ですが、先日すべての端末で更新できるようになったようです。

http://forest.watch.impress.co.jp/docs/news/1072969.html

今回のwindows10 creators updateですが

適用しないとすぐにWindows10が利用できなくなる というものでもなくどちらかというと新機能追加がメインのようです。

ただ、やはりというか、あいかわらずというか

アップデートすることで、端末によっては不具合は起きるようで

弊社のお客さまでも、アップデートしたら「無線が使えなくなった」、「システムの動作が・・・・」

みたいな問い合わせは何件かありました。

このあたりは、一度アップデートする前に、パソコンメーカのサイトやサポートに問い合わせが必要だと思われます。

一応、アップデートを戻す方法もあるようですが

Windows 10 を以前のバージョンの Windows 10 に戻す方法について

戻すのにいろいろ条件があったり、戻したら戻したで不具合ありそうなのでこれはこれで注意が必要だと思います。

 

アップデートそのものでの端末の不具合もありますが

どうやら、このアップデート、ダウンロードの容量が結構大きいらしく、現在全国的にネットワークのトラフィックが増加傾向にあるようです。

そのため普段よりネットが遅いとかが起きているようです。

(昨年のwindows7→windows10 無料アップデートを思い出させます。。。)

「VPNソリューションパック」等弊社サービスをご利用のお客様で、ネットやVPNが遅いなどがあれば

状況を確認させていただきますので、一度ご連絡ください。

 

 

 

 

ランサムウェア「Petya」の亜種「GoldenEye」が世界各地に感染拡大

また、新たな、ランサムウェアの被害が拡大しているようです、、、、

「Petya」の亜種「GoldenEye」というランサムウェアのようです。

「Petya」=ぺとやorぺちゃ と読むらしいですが、その名前の可愛らしさ(?)とは裏腹に

>Petyaは、HDDのMBR(マスターブートレコード)を暗号化し、PCを起動不能にした上で、ビットコインで300ドルの身代金要求メッセージを表示するが、今回登場したGoldenEyeは、MBRに加えてファイルの暗号化も行う。

という結構強烈なランサムウェアのようです。

 

(参考)

http://internet.watch.impress.co.jp/docs/news/1067653.html

http://www.ipa.go.jp/security/ciadr/vul/20170628-ransomware.html

 

現時点では

Microsoft社 の脆弱性の脆弱性「MS17-010」を突いての攻撃のようですが

今年4月に猛威を振るった「Wanna Cry」と同じ脆弱性のようなので、OSのパッチは前回対応済みであれば新たに対応は不要のように思えますが

以下URLによると

>これを適用して更新したコンピュータでも感染する恐れがあるという。Petyaは、「Office」文書によっても感染を拡大できるためだ。別の脆弱性を利用して、WannaCryのようにワームホールと組み合わせるという。

https://japan.cnet.com/article/35103415/

ということで、今後新たなOSの更新ファイルが公開されるかもしれませんね、、、、

 

現段階では、まだ情報がいろいろ錯綜しているようなので、引き続き情報収集が必要ですが

ひとまず現段階では

①Microsoft Windows/Officeの最新セキュリティパッチの適用

②あやしい添付ファイル(今回はWORDが多い?)は開かないように徹底する。

③アンチウィルスソフトの定義ファイルは最新にする。

ことが大事ですね。

 

ちなみに弊社のセキュリティ対策

UTMソリューション」では、今回の「Petya」とその亜種「GoldenEye」はすでに対応済みです。

が、日々亜種が作られているため、上記の①~③も平行して実施したほうが良いと思います。

 

 

 

 

DHCPのアドレスが足りない?

VPNソリューションパックご利用中のお客様から

一部のPCで、DHCPサーバからアドレスが取得できず、インターネットに繋がらない

との問い合わせがあり対応をしました。

 

そのお客様の環境では、VPNソリューションパック利用してるVPNルータでDHCPサーバとなっているので

ルータのログを確認したところ

dhcpd: DHCPDISCOVER from **:**:**:**:**:** via eth0: network 192.168.xx.0/24: no free leases

というログ発見。

どうやら、

もともとDHCPサーバで設定している、リースするアドレスが足りない状況のようでした。

 

こちらのお客様では、DHCPのリース数は50で設定してあったので、DHCPのクライアント数としては50台

ということになりますが、

 

お客様曰く、PCとかスマホ含めてもそんなに端末がない はず・・ とのこと。

(最近、スマホを社内LANにつなげてDHCPのリースアドレス数が足りなくなる というのは良くあったのですが・・・今回はそうではないみたい)

 

で、DHCPのログを再調査したところ、

同じホスト名で、違うMACアドレスからDHCP要求があることを発見。(しかも結構な台数)

これは、おそらく

1台のPCで、有線LANも無線LANも有効になっており

それぞれで、アドレスを取得している状態 だと推測。

 

 

お客様に状況をお伝えすると、こちらの読み通りの利用/運用だったようです。

こちらのお客様については、社内で利用するときは無線を切る という運用で一旦対応としては終了になりました。

 

最近はいろんな端末で無線を利用することが多くなった関係で、今回のようなトラブルは

実は他でも結構おきてるんじゃないかなぁ

持ち出し用のノートPCとかだと、社内で利用してるときは、有線で接続するけど、その時わざわざ無線をOFFにしない人のほうが多いですよね??

DHCPのアドレスが足りない

となった時は

・無線の端末の台数

・パソコンの場合は、両方同時に使ってないか

このあたりのチェックが大事ですね。

 

 

 

 

 

ランサムウェアにご注意を

IPAによれば、現在世界中でWanna Cryptor と呼ばれるマルウェア の亜種のランサムウェアの被害が拡大しているようです。

http://www.ipa.go.jp/security/ciadr/vul/20170514-ransomware.html

対策としては

①不審なメールの添付ファイルの開封やリンクへのアクセスをしない

②脆弱性の解消 – 修正プログラムの適用

③ウイルス対策ソフト対策の定義ファイルを最新にする

 

とのことのようで、今回は例外的に、サポート終了したWindowsXPでも②の修正プログラム配布されているとのことです。

(XP用の更新プログラムが配布されることが、事の重大性を表しているかと思います。)

XPを利用している方は通常のアップデートでは勝手には適用されないようなので

ランサムウェア WannaCrypt 攻撃に関するお客様ガイダンス

上記URLから更新プログラムをダウンロードして適用する必要があるようです。

 

ちなみに、今回の WannaCrypt と呼ばれるプログラムは、Windows10へは影響がないとのことです。

 

■■■■■■2017/5/16追記■■■■■■■■

②のWindowsの修正プログラムですが

以下URLに記載のKBが適用されていればよいそうです。

 

[WannaCrypt] MS17-010 の適用状況の確認方法について (WSUS)

 

確認方法は

 

>コントロール パネルより、[プログラム] – [インストールされた更新プログラム] を表示して、上記の更新プログラムのいずれ>かがインストールされていることを確認します。

>または

>次のコマンドを実行して、結果が表示されることを確認します。

>wmic qfe list | find “<対応する KB 番号>”

>KB 番号は、各 OS に対応した更新プログラムのうち、いずれかの更新プログラムの結果が表示されれば対応済みと判断>できます。

>例) Windows 8.1 / Windows Server 2012 R2 の場合
>wmic qfe list | find “KB4012213”
>wmic qfe list | find “KB4012216”
>wmic qfe list | find “KB4015550”
>wmic qfe list | find “KB4019215”

>(出力結果の例)
>http://support.microsoft.com/?kbid=4015550  TESTPC01  Security Update     KB4015550               NT

>AUTHORITY\SYSTEM  4/12/2017

 

昨日弊社も全PC確認しましたが、一応すべてKBが適用されているので安心しました。

サーバ系は、意図的にWindowsupdateを止めている場合も多いと思いますが、ちゃんと確認しときましょう。

 

ただ個人的に気になっているのは、被害の多さの割に

IPAからでている対策の3つが至って普通の対策であること。

 

>①不審なメールの添付ファイルの開封やリンクへのアクセスをしない

>②脆弱性の解消 – 修正プログラムの適用

>③ウイルス対策ソフト対策の定義ファイルを最新にする

 

有名な大手企業が被害にあっている報道がされていますが、そのあたりの会社が①は別として、②③が

守られていないということがイマイチぴんと来ないです。

実は①②③の対策ではしきれない抜け道があるのか?

それとも、②の対処が自動で行われない(Windowsアップデートの対象になっていない)WindowsXPをまだ使っている会社が多いのか・・・

 

 

 

 

 

 

 

 

 

 

 

 

 

 

WindowsLiveMail→Outlookへ移行で失敗

今年2017 年 1 月 10 日にサポート切れになった、WindowsLiveMailですが、

WindowsLiveMailを利用中のお客様から、Outlookへの移行をしたい と相談があったため

実際に作業を実施してきました。

 

前回

WindowsLiveメールサポート終了。移行先は?

でも書きましたが、同じMicrosoft製品ですが、なんでもかんでも移行できるわけではないので

一部手動で移行させないといけなかったり、そもそも移せないものもあったり

しますが、それはお客様にも了解していただいた上での作業となりましたが

 

台数が10台程度だったので、それほど時間がかからないかと思いましたが・・・・

受信したメールを移行する際、半数のPCで移行に失敗する 現象が起きてしまいました、、、

 

失敗する原因としては

Liveメール内に、↓の画像のような「破損したメール」が1通でもあると

データ移行時(エクスポート時)に途中で強制終了してしまうようです。。。

 

 

この「破損したメール」はなぜ起きるのか不明ですが、このお客様の環境だとそれほど通信状況も悪くない

(外出先でモバイル環境で使う端末でもない)ですし

メールの受信数もそれほど多くないので、破損する要因があまり思い当たらないのですが・・・・

※あとで調べたら、そもそもこの破損は「良く」あることのようです、、、

 

この「破損メール」を削除すれば、データの移行は可能ですが

Liveメール上で、この「破損メール」を検索することができないので、目視で探すしかなく大変、、、、

(データ移行に失敗しても、失敗する直前までのメールは移行されているので、それをもとに探すことは可能は可能)

しかも、「破損メール」が複数ある場合は、何度もこの作業しないといけないので、それじゃ時間がいくらあっても足りません。

 

ということで「破損メール」を修復する方法を調べたところ

Windows メールのメッセージ ストアを再構築する方法

https://answers.microsoft.com/ja-jp/windows/forum/windows_vista-windows_programs/windows/926ed616-8874-e011-8dfc-68b599b31bf5

というのがあり、これをすることで、この破損メールが自動的に削除してくれるようです。

 

なので、データ移行前に、破損メールがあるなしに問わず、再構築を実施する という作業に急遽変更し

作業を進めることになりました、、、、

 

ただ、この再構築も万全ではなく、再構築しても移行に失敗するPCもあり、その場合は

↑で書いた通り、手動で「破損メール」を見つけ出し削除するか

 

①一旦Liveメール形式でエクスポート(場所は任意のフォルダ)

②エクスポートしたメールを、WindowsLiveメールにインポートし直す

③インポートし直したメール(「インポートされたフォルダー」内の必要分)を

選択し、Microsoft Exchange形式でエクスポート

 

として、LiveメールのデータをLiveメール自身にインポートしなおすこと

でしのぐのがよいそうです。(この方法はあとでわかったので試してません、、、、)

 

Liveメール→Liveメールは 破損したメール があっても正しく処理できるが

Liveメール→Outlook は正しく処理できない

ということのようです

(同じMS製品だからこれくらいはやってほしいなぁ、、、、、、)

 

そもそも、今回半数のPCで「破損メール」があったのが、特別だったのかどうかもよくわかりませんが

やっぱりPCの作業は時間が読めない、、、

もう少し事前の確認や余裕をみた作業スケジュールを見込むべきだったとも反省です。