CVE-2023-23488,23489,23490の検証

このブログは、進学して株式会社Armorisに戻ってきたアルバイトのseigo2016が書いています。 あるもりすぶろぐの内容は個人の意見です。

はじめに

検証には自身で管理する環境を使用し、自己責任でお願いします。また、この情報を悪用することは絶対に行わないでください。
今回は2023/01/12に報告された、CVE-2023-23488,23489,23490についての検証を行います。
これらはどれもWordPressプラグインに関する脆弱性で、SQLインジェクションが可能になるものです。
最初にこれら3つのプラグイン脆弱性について簡単にまとめ、今回はその中のPaid Memberships Proプラグインの具体的な検証を行います。

概要 

CVE-2023-23488 (Paid Memberships Pro)

該当プラグイン Paid Memberships Pro
影響を受けるバージョン < 2.9.8
CVSSv3 Score 9.8

バージョン2.9.6で確認しました。

脆弱性の原因

REST API/pmpro/v1/orderエンドポイントのcodeパラメーターをSQLステートメントで使用する際のエスケープがないため、Unauthenticated SQLインジェクションが可能となるものです。

2.9.6

$this->sqlQuery = "SELECT id FROM $wpdb->pmpro_membership_orders WHERE user_id = '" . $user_id . "' ";

2.9.8(修正版)

$this->sqlQuery = "SELECT id FROM $wpdb->pmpro_membership_orders WHERE user_id = '" . esc_sql( $user_id ) . "' ";

CVE-2023-23489 (Easy Digital Downloads)

該当プラグイン Easy Digital Downloads
影響を受けるバージョン 3.1.0.2, 3.1.0.3
CVSSv3 Score 9.8

バージョン3.1.0.2で確認しました。

脆弱性の原因

edd_download_searchsパラメーターをSQLステートメントで使用する際のエスケープがないため、Unauthenticated SQLインジェクションが可能となるものです。

3.1.0.2

// Get the search string.
$new_search = isset( $_GET['s'] )
    ? sanitize_text_field( $_GET['s'] )
    : '';
(中略)
// Set the local static search variable.
$search['text'] = $new_search;

3.1.0.4(修正版)

// Get the search string.
$new_search = isset( $_GET['s'] )
    ? sanitize_text_field( $_GET['s'] )
    : '';
$new_search = preg_replace( '/[^\pL^\pN\pZ]/', ' ', $new_search );
(中略)
// Set the local static search variable.
$search['text'] = $new_search;

CVE-2023-23490 (Survey Maker)

該当プラグイン Survey Maker
影響を受けるバージョン <= 3.1.2
CVSSv3 Score CVSSv3 Score 8.8

バージョン3.1.0で確認しました。

脆弱性の原因

ays_surveys_export_jsonsurveys_idsパラメータをSQLステートメントで使用する際のエスケープがないため、Authenticated SQLインジェクションが可能となるものです。
認証が必要ですが、管理者権限は不要なため、購読者アカウントで可能です。

3.1.0

public function ays_surveys_export_json() {
    global $wpdb;
    $surveys_ids = isset($_REQUEST['surveys_ids']) ? array_map( 'sanitize_text_field', $_REQUEST['surveys_ids'] ) : array();
    if(empty($surveys_ids)){
        $where = '';
    }else{
        $where = " WHERE id IN (". implode(',', $surveys_ids) .") ";
    }
    (省略)
}

3.1.3(修正版)
ays_surveys_export_json()自体が削除されました。

検証

sqlmapを用いてCVE-2023-23488 (Paid Memberships Pro)の検証を行います。

環境

Name Version
Ubuntu 22.04
WordPress 6.0.1
Paid Memberships Pro 2.9.6

脆弱性を含むバージョンのPaid Memberships Proを有効にします。

1. ダウンロード・展開

  cd /var/www/html/wp-content/plugins/
  wget https://downloads.wordpress.org/plugin/paid-memberships-pro.2.9.6.zip
  unzip paid-memberships-pro.2.9.6.zip

2. メニューから有効化

sqlmapの導入

git clone https://github.com/sqlmapproject/sqlmap.git
cd sqlmap

検証

今回使用する、sqlmapの代表的なオプションは以下のとおりです。

Option Description
-u 対象とするURL
--dbs データベースの一覧を取得
--tables テーブルの一覧を取得
-D データベースを指定
-T テーブルを指定
--dump データを出力する

まずはデータベースの一覧を取得します。

wordpressユーザーから見ることのできるinformation_schemawordpressデータベースが取得できていることが確認できます。

次に、wordpressデータベースのwp_usersテーブルのデータをを取得します。

wp_userのすべての情報が取得できていることがわかります。

最後に

Paid Memberships Proの該当脆弱性の対応PRで、他にも複数箇所のesc_sqlが追加されていました。
また、2022年末よりWordPressプラグインのSQLiが多く見つかっているようです。参考 意外と大手プラグインでもSQLiに対する関心は薄いのでしょうか。
WordPressプラグインに限らず、ユーザーが任意に入力できるパラメータなどの値をデータベースに渡す場合は、esc_sqlなどで適切にエスケープする必要があります。

このような攻撃から守るために、プラグインのアップデート情報を確認し、アップデートがある場合は検証した上で速やかに更新しましょう。

参考1 CVE-2023-23488: https://www.cve.org/CVERecord?id=CVE-2023-23488
参考2 CVE-2023-23489: https://www.cve.org/CVERecord?id=CVE-2023-23489
参考3 CVE-2023-23490: https://www.cve.org/CVERecord?id=CVE-2023-23490

自分が管理するサーバー以外では絶対に試さないでください。 また、検証は自己責任で行ってください。 この情報を悪用することは絶対に行わないでください。

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの8

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

12月1日収集

インシデント対応状況報告

教育機関関連

マルウェア

Bluetooth乗っ取り

テイクダウン

12月2日収集

全般

SBOM

脆弱性

漏洩情報の悪用

CHRISTMA EXEC

DDoS報告

不正アクセス報告

12月5日収集

医療機関関連

ランサムウェア

ティーラー

Android

脆弱性の悪用

ブラックプロキシ

12月6日収集

サイバー世界情勢

日本の動き

日本の企業の動き

ランサムウェア

ワイパー

医療機関関係

セキュリティ人材

  • セキュリティエンジニアってどんな仕事? メリット・デメリットや必要な能力について解説します!

    • 必要なスキルとしてネットワーク知識が上がってますが、重要な技術の要素の1つとして考えるべきと思います。個人的には、インフラか、ネットワークか、インフラのいずれかに基盤となる幅広い知識を持っている方が良いと感じます。

    • デメリットとして生活のリズムが崩れやすい、いつインシデントが発生するか判らないからとなってますが、これはその通りと思いました。

    • https://www.iza.ne.jp/article/20221205-OZIBIM7EM5CAPB4ZXHTUKB67BI/

暗号通貨

FreeBSD脆弱性

不正アクセス報告

12月7日収集

サイバー世界情勢

スパムメール

  • 詐欺師はスパムメールにわざと誤字脱字を入れることでカモを選別している

    • 確かに誤字脱字がかなりの確率で入っていて、作成者は言語の知識がないのか? と思うことはあります。長いことその傾向が変わらないので、意図的と言われた方が納得感がありますね。

    • 日本語の場合、文法や作法のレベルで日本語話者に違和感を感じさせないのが難しいのか、読めば判るものが多いですね。それでも以前に比べればかなりそれっぽい文章になりましたね。

    • スパムメールと言えば、ブラックマンデー期間中は多くなりますね。

    • https://gigazine.net/news/20221205-scammers-spell-reason/

Wordpressプラグイン

医療機関関連

不正アクセス報告

脆弱性

12月8日収集

サイバー世界情勢

DDoS

Botnet

ワイパー

窃取情報の悪用

暗号資産関連

フィッシング

不正アクセス報告

12月9日収集

全般

サイバー世界情勢

医療機関関連

不正アクセス報告

フィッシング

12月12日収集

世界情勢

日本の動き

医療機関関連

マルウェア

ツール

教育機関関連

12月13日収集

全般

不正アクセス報告

バックドア

Lockbit

脆弱性

尼崎市USB関連

12月14日収集

サイバー世界情勢

ワイパー

不正アクセス報告

情報漏えい報告

12月23日収集

BEC

ランサムウェア

脆弱性

ポストVBA

暗号通貨

年末年始

ガイダンス

個人情報漏洩報告

12月26日収集

不正アクセス

不正アクセス報告

個人情報漏洩報告

バンキングマルウェア

医療機関関連

全般

ボット

12月27日収集

インジェクション

偽メール注意喚起

通信不具合報告(DDoS起因)

サイバー被害詐欺

脆弱性

不正アクセス報告

不正通信報告

ゲーム業界

  • 2023年、ゲーマーはサイバー犯罪に警戒せよ

CSIRT

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの7

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

11月1日収集

全般

医療機関

脆弱性パッチ

USBメモリを介して感染するマルウェア

Googleアプリ

ワイパー

マルウェア解析

メモリ破壊脆弱性の検出ツール

NIST

ガイドライン

不正アクセス報告

11月2日収集

サイバー世界情勢

セキュリティ人材

  • セキュリティ部門はもう限界、サイバー犯罪の増加がストレスに

    • この記事は海外の事情だと思いますが、日本にも当てはまる所があるなと感じました。サイバー攻撃を受けて被害が発生した場合、誰が責任を取るのかが、明確に示されていないことでサイバー人材がストレスを抱えていると言う風にも解釈できるかと。

    • https://japan.zdnet.com/article/35195232/

OTセキュリティ

ダークウェブ

教育業界

医療機関

レポート

不正アクセス報告

11月4日収集

フィッシング

ランサムウェア

脆弱性

クラウドを使用したC2

11月5日収集

Emotet

タイポ・スクワッティング

  • 銀行口座やログイン情報が危ない。気づかず被害にあってしまう「タイポ・スクワッティング」とは?

PhaaS

医療機関

  • 徳島・半田病院で物議、ランサムウエア「身代金」の意図せぬ支払いにご用心

サプライチェーン

不正アクセス報告

11月8日収集

サイバー世界情勢

DMARC

医療機関

まとめ記事

不正アクセス報告

なりすましメール

11月9日収集

全般

Lockbit3.0

Emote

悪意あるブラウザ機能拡張

脆弱性

偽ショッピングサイト

医療機関

教育機関

個人情報漏洩報告

11月10日収集

全般

Cobalt Strikeの分析

Credential Roaming

日本の動向

セキュリティ人材

  • セキュリティ担当者の6割が業務に満足も7割が転職予定--Trellix調査

不正アクセス事件

注意喚起

11月14日収集

Google Pixel

Prestigeランサムウェア

Black Bastaランサムウェア

MFAバイパス

脆弱性管理

  • Why CVE Management as a Primary Strategy Doesn\'t Work

サイバー世界情勢

不正アクセス報告

情報漏洩報告

11月15日収集

バックドア

暗号通貨

フィッシング

不正アクセス報告

個人情報漏洩

SEOキャンペーン

11月16日収集

全般

ダークウェブ

MFA疲労攻撃

教育機関関連

医療機関関連(米国)

パスワード関連

サイバー世界情勢

金融関連

情報漏洩報告

11月17日収集

サイバー世界情勢

DDoS

クラウド

医療機関関連

11月18日収集

サイバー世界情勢

標的型攻撃

OTセキュリティ

フィッシング

不正アクセス報告

情報漏洩報告

11月21日収集

サイバー世界情勢

日本の動き

脆弱性

フレームワーク

情報漏洩報告

Emotet

偽アンチウィルス フィッシング

ランサムウェア

11月22日収集

スピアフィッシング

Cobalt Strike

ドメイン乗っ取り

MFA

ドッペルゲンガードメイン

  • 教員が10か月メール誤送信 2100人分の個人情報漏えい 埼玉大

GDPR

情報漏洩報告

11月24日収集

サイバー世界情勢

脆弱性

マルウェア

不正アクセス報告

DNS

Windows Subsystem

11月25日収集

医療機関関連

Black Basta

インフォスティーラー

ENISA Threat Landscape

Android関連

電波望遠鏡アルマ

内部不正関連

不正アクセスを受けての対策報告

11月28日収集

サイバー世界情勢

脆弱性

OpenSSL

Twitter

サイバー人材

医療系ISAC

不正アクセス報告

個人情報漏洩報告

11月29日収集

脆弱性の悪用

個人情報漏洩

Emotet

個人情報漏洩

個人情報漏洩報告

個人情報取扱い不備報告

不正アクセス報告

報告書

11月30日収集

サイバー世界情勢

ビジネスメール詐欺

脆弱性

脆弱性被害

医療機関関連

情報漏洩

GDPR違反

まとめ記事

ランサムウェア

脆弱性

クラウドを使用したC2

11月5日収集

Emotet

タイポ・スクワッティング

  • 銀行口座やログイン情報が危ない。気づかず被害にあってしまう「タイポ・スクワッティング」とは?

PhaaS

医療機関

  • 徳島・半田病院で物議、ランサムウエア「身代金」の意図せぬ支払いにご用心

サプライチェーン

不正アクセス報告

11月8日収集

サイバー世界情勢

DMARC

医療機関

まとめ記事

不正アクセス報告

なりすましメール

11月9日収集

全般

Lockbit3.0

Emote

悪意あるブラウザ機能拡張

脆弱性

偽ショッピングサイト

医療機関

教育機関

個人情報漏洩報告

11月10日収集

全般

Cobalt Strikeの分析

Credential Roaming

日本の動向

セキュリティ人材

  • セキュリティ担当者の6割が業務に満足も7割が転職予定--Trellix調査

不正アクセス事件

注意喚起

11月14日収集

Google Pixel

Prestigeランサムウェア

Black Bastaランサムウェア

MFAバイパス

脆弱性管理

  • Why CVE Management as a Primary Strategy Doesn\'t Work

サイバー世界情勢

不正アクセス報告

情報漏洩報告

11月15日収集

バックドア

暗号通貨

フィッシング

不正アクセス報告

個人情報漏洩

SEOキャンペーン

11月16日収集

全般

ダークウェブ

MFA疲労攻撃

教育機関関連

医療機関関連(米国)

パスワード関連

サイバー世界情勢

金融関連

情報漏洩報告

11月17日収集

サイバー世界情勢

DDoS

クラウド

医療機関関連

11月18日収集

サイバー世界情勢

標的型攻撃

OTセキュリティ

フィッシング

不正アクセス報告

情報漏洩報告

11月21日収集

サイバー世界情勢

日本の動き

脆弱性

フレームワーク

情報漏洩報告

Emotet

偽アンチウィルス フィッシング

ランサムウェア

11月22日収集

スピアフィッシング

Cobalt Strike

ドメイン乗っ取り

MFA

ドッペルゲンガードメイン

  • 教員が10か月メール誤送信 2100人分の個人情報漏えい 埼玉大

GDPR

情報漏洩報告

11月24日収集

サイバー世界情勢

脆弱性

マルウェア

不正アクセス報告

DNS

Windows Subsystem

11月25日収集

医療機関関連

Black Basta

インフォスティーラー

ENISA Threat Landscape

Android関連

電波望遠鏡アルマ

内部不正関連

不正アクセスを受けての対策報告

11月28日収集

サイバー世界情勢

脆弱性

OpenSSL

Twitter

サイバー人材

医療系ISAC

不正アクセス報告

個人情報漏洩報告

11月29日収集

脆弱性の悪用

個人情報漏洩

Emotet

個人情報漏洩

個人情報漏洩報告

個人情報取扱い不備報告

不正アクセス報告

報告書

11月30日収集

サイバー世界情勢

ビジネスメール詐欺

脆弱性

脆弱性被害

医療機関関連

情報漏洩

GDPR違反

まとめ記事

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの6

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

10月3日収集

ゼロデイ

フィッシング

脆弱性情報収集

不正アクセス報告

  • 当社サーバーへの不正アクセスに関するお知らせ(第2報)(株式会社NITTAN)

10月4日収集

サイバー世界情勢

マルウェア

不正アクセス報告

脆弱性

10月5日収集

サイバー世界情勢

ランサムウェア

フォレンジック

SaaS

Tor Browser

  • 'Poisoned' Tor Browser tracks Chinese users' online history, location

    • 中国ユーザーを標的として、改竄されたTor BrowserがYouTubeに投稿されたビデオのリンクで配布されていたと言うことのようです。PCの情報などを収集するようですが、Torを使う中国ユーザーの数はそんなに多いってことなんですかね。

    • https://www.cyberscoop.com/modified-tor-browser-chinese-targeting/

暗号通貨

  • Hackers are breaching scam sites to hijack crypto transactions

    • 暗号通貨の詐欺サイトを改ざんして詐欺師のウォレットから資産を自分のところに移すという事案のようですね。ここで言っている詐欺サイトがどういう性質のものか、明確な記載はないと思いますが、フィッシングや「こんにちは!」から始まる自称ハッカースパムメールからリンクされているサイトも同様のものかと想像します。

    • 以前、たまたま見つけたフィッシングサイトを調べたことがありますが、HTMLを読むとオリジナルをコピーしているか、中身がスカスカなことが多い印象で、一時的なサイトであるため、当然サイバー攻撃を受ける前提で構築されてはいないと思います。見方を変えれば攻撃しやすいサイトなのかも知れません。

    • 自然界の托卵や、蜂の巣の乗っ取りなどをふと思い出しました。

    • https://www.bleepingcomputer.com/news/security/hackers-are-breaching-scam-sites-to-hijack-crypto-transactions/

BEC詐欺

内部不正

ハイプ・サイクル

不正アクセス報告

10月9日収集

フィッシング

10月12日収集

マルウェア

脆弱性

クラウド

リスト型攻撃

フィッシング

phishing-as-a-service (PhaaS) ツールキット

サイバーセキュリティ動向

サイバー演習

サイバー基準

ランサムウェア

DGA(ドメイン生成アルゴリズム

トップレベルドメイン一覧

サイバー世界情勢

情報漏洩報告

  • お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて(TOYOTA

    • コネクテッドサービスのコードがGithub流出しており、その中にアクセスキーが含まれ、それを悪用されて......という流のようですね。

    • Githubに置いたのが誰なのか(盗まれたのか、サプライチェーン上の誰かが行ったのか(開発請負企業の開発者が自身の技術レベルを測るためにアップした事案を思い出しました))、アクセスキーの更新運用はどうなっていたのかが気になります。

    • https://global.toyota/jp/newsroom/corporate/38095972.html

不正アクセス報告

レポート

ATM/PoSマルウェア

BitB(ブラウザ・イン・ザ・ブラウザ)関連

10月13日収集

サイバー世界情勢

ランサムウェア

ヴィッシング

脆弱性パッチ

不正アクセス報告

個人情報漏洩報告

調査報告

  • NURO 光 ネットワークに関する調査結果のご報告および今後の取り組みについて

    • 顧客から通信が安定しないという連絡が寄せられ、調査したところ、NURO回線を複数エリアにて多数利用していた特定事業者が管理している端末から、異常なトラフィックが発生していたそうです。どういう通信だったのか気になりますね。

    • https://www.nuro.jp/news_release/20221012-2/

10月14日収集

サイバー世界情勢

全般

脆弱性

不正アクセス報告

個人情報漏洩報告

  • Z会ソリューションズ】お客様情報の漏洩に関するお詫びと、その対応に関するご報告

ランサムウェア

Trusted Web

WhatsApp

10月17日収集

サイバー世界情勢

Fortinet脆弱性

脆弱性パッチ

Zimbra脆弱性の悪用

C2ログ可視化ツール

Microsoft 365メッセージ暗号化に脆弱性の指摘?

ランサムウェア

マルウェア

DDoS

レポート

不正アクセス報告

個人情報漏洩報告

10月18日収集

全般

脆弱性

Lckbit3.0

10月19日収集

全般

  • Dangerous hole in Apache Commons Text -- like Log4Shell all over again

    • テキスト補完機能の危険性を指摘していると読みました。クライアント側で入力された文字列が、補完されるのが前提の内容になっており、それがサーバー側の処理に渡って補完機能でOSコマンドなどとして補完される、と言うことでしょうかね?

    • Log4Shellの危険性と比較して記事を書いていますが、要は、便利な機能を付けることが脆弱性に繋がる、と言うことでしょうか。

    • https://nakedsecurity.sophos.com/2022/10/18/dangerous-hole-in-apache-commons-text-like-log4shell-all-over-again/

サイバー世界情勢

マルウェア

RedEye

訓練

10月20日収集

Fortinet脆弱性

Cobalt Strike

車両系サイバーセキュリティ

10月21日収集

全般

サイバー世界情勢

マルウェア

ランサムウェア

Lazarusの動向

不正アクセス

情報漏洩

注意喚起

個人情報漏洩報告

  • 当社ファイルサーバーのランサムウエア感染による情報流出の可能性についてお知らせとお詫び(第二報)(株式会社UPDATER)

10月24日収集

ランサムウェア

Emotetの動向

BlackByteの動向

Bring Your Own Vulnerable Driver (BYOVD)

レポート等の公開

10月25日収集

サイバー世界情勢

Google Play

Google Chrome

VMWare

CSIRT

テクニカルサポート詐欺系

医療機関

まとめ記事

不正アクセス報告

10月26日収集

サイバー世界情勢

ランサムウェア

フィッシング

脆弱性

脆弱なパスワード

不正アクセス報告

レポート

10月27日収集

ランサムウェア

脆弱性

サイバー人材

OTセキュリティ

Androidマルウェア

医療機関

個人情報漏洩報告

10月28日収集

資料の公表

ソーシャルメディア

フィッシング

Lockbit3.0

DDoS

BEC詐欺

  • ビジネスメール詐欺(BEC詐欺の詳細事例2)(IPA

ICSセキュリティ

セキュリティ人材

医療関係

個人情報漏洩報告

10月31日収集

ショーケース脆弱性関連

ダークウェブ

脆弱性

IISログを使用したC2通信

不正アクセス報告

パブリックなAWS S3をスキャンするツール

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの5

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

9月1日収集

全般

画像にマルウエアを仕込む手口

フィッシング

脆弱性

セキュリティ・バイ・デザイン

9月2日収集

全般

情報漏洩

DeFi(Decentralized Finance)、分散型金融

  • 米FBI、DeFiプロトコル対象のハッキングに注意喚起

    • 中央の管理者がいない分散型の金融システムのことで、いわゆる暗号資産のシステムを指すようです。記事はアメリカの事例ですが、傾向は日本でも変わらないように思いますね。

    • https://coinpost.jp/?p=382828

ランサムウェア

サイバー攻撃被害報告

脆弱性

情報漏洩案件の振り返り

ランサムウェアクラウドへの志向

サイバー世界情勢

9月5日収集

Linux

インターネットバンキング

マルウェア

キーロガー

Google Chromeゼロデイパッチ

情報漏洩

9月6日収集

Windows Defender

攻撃手法

サイバー保険

情報漏洩報告

サイバー世界情勢

LockBit

EvilProxy(Phishing-as-a-Service (PhaaS))

  • EvilProxy Phishing-As-A-Service With MFA Bypass Emerged In Dark Web

    • 最近よく目にするフィッシングからプロキシを使って多要素認証を回避する手口の記事。AiTM(Adversary-in-the-Middle)と違いがあるのでしょうか。生物の学名みたいに標準化されないものでしょうかね。

    • そういえば少し調べたことがありますが、EDRなどの検知名はある程度のルールっぽいものが存在しているみたいですね。標準化はされてなさそうですが。

    • さっと調べてみたら、AiTMは最近Microsoft命名したと思われるのに対し、PhaaSは2018年頃には既に使われていますね。PhaaSはどうやら従来のフィッシングがサービス化したものを言ってますね。

    • https://securityaffairs.co/wordpress/135318/cyber-crime/evilproxy-phishing-as-a-service.html

不正アクセス報告

9月7日収集

世界情勢

教育機関を標的

証明書関係

Basic認証の無効化(Microsoft Exchange Online)

マルウエア

TikTok

NIST

9月9日収集

Killnet

フィッシング

サイバー世界情勢

ランサムウェア

GIFShell

9月13日収集

法関係

  • コラム第734号:「ランサムウエアの支払いの仲介に関する刑法上の問題」

日本の動き

シキテガ(Shikitega)

  • ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説

インシデント振り返り

Mandiant

Internet Explorer

不正アクセス報告

9月14日収集

情報漏洩

不正アクセス

9月15日収集

マルウエア

攻撃解説

手口の変遷

脆弱性

パッチ

サイバー世界情勢

9月16日収集

暗号通貨

情報漏洩報告

フィッシング

9月20日収集

全般

サイバー世界情勢

医療機関

フィッシング

不正アクセス報告

情報漏洩

情報漏洩報告

LastPass

Uber

ホテルのプール

9月21日収集

サイバー世界情勢

ChromeLoader

スペルチェック機能

  • Google ChromeMicrosoft Edgeで機密性の高い情報が拡張スペルチェック機能経由で外部サーバーに送信されている

    • ブラウザ上でスペルチェックが行われる際、データがサーバに飛んで処理され、パスワードも表示にしてしまうと対象になるようです。拡張スペルチェックを使わなければ影響を受けないようです。

    • https://gigazine.net/news/20220920-chrome-edge-expose-pii/

DDoS

情報漏洩

データ漏洩

  • 開発中の「グランドセフトオート6」のデータがハッキングによって流出、開発会社は流出データが本物であると認める

9月22日収集

全般

サイバー世界情勢

Lockbit漏洩

バイナリ分析

不正アクセス報告

アクティブ・サイバー・ディフェンス

  • 「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について―

    • アクティブ・ディフェンス、アクティブ・サイバー・ディフェンスなどの用語があり、内容も説明者によって若干ばらつきがある印象ですが、JPCERT/CCから説明してもらえるのはありがたいですね。今後はアクティブ・サイバー・ディフェンスと呼ぶようにします。

    • https://blogs.jpcert.or.jp/ja/2022/09/active-cyber-defense.html

ソーシャルエンジニアリング

  • メガネの反射からWeb会議中の画面を盗み見る攻撃 閲覧中のサイトを特定する精度は94%以上

    • Web会議上での攻撃と言うことは、まず、会議に参加していることが条件で且つメガネをかけている人の情報に限定されると言うことになるでしょうかね。

    • とりあえず、情報セキュリティ教育の1項目にはなるかも知れませんね。

    • https://www.itmedia.co.jp/news/articles/2209/22/news068.html

9月26日収集

教育機関

アトラシアン脆弱性

アカウント乗っ取り

Zoomの偽サイト

9月27日収集

サイバー世界情勢

制御システム防御に関するアドバイザリ(CISA

テレワーク

レポート

  • 顧客IDに対する攻撃動向を考察する2022年版レポート「2022 State of Secure Identity Report」を公開

情報漏洩報告

不正アクセス報告

9月28日収集

マルウェア

パス・ザ・ハッシュ攻撃

CloudFlare DDoS

9月29日収集

ランサムウェア

マルウェア

流出したLockBit3.0ビルダーを利用する攻撃グループ

サイバー世界情勢

ボットネット

9月30日収集

Windowsロゴ画像に潜むマルウェア

ランサムウェア

Killnet

TLPv2

不正アクセス報告

情報漏洩報告

偽サイト注意喚起

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの4

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

8月1日収集

全般

LockBit ransomware abuses Windows Defender to load Cobalt Strike

メール応答

  • Prevent email phishing attacks this summer with 3 defensive measures

    • 夏期休暇の時期になっていますが、オフィス外(out of office、略してOOO)での返信には注意が必要と言う話のようです。

    • 夏期休暇中の連絡先を別途メールに記載したりするのがリスクになると言うことのようです。

    • Outlookの機能で不在時自動応答機能があったと思います。この自動応答に署名 を入れていると、情報を窃取されてフィッシングに利用されるリスクがあると言うことでしょうか。確かに、自動応答を設定すると、メールが届きさえすれば即座に返信してしまいますね。

    • 休暇中の連絡先として個人メールアドレスや電話番号を記載しておくと、情報提供してしまうことにつながりますね。

    • https://www.techrepublic.com/article/summer-phishing-defense/

usbデバイスを介して感染するマルウェア

フィッシング

レポート

8月2日収集

全般

ランサムウェア

情報漏洩

8月3日収集

全般

脅威ハンティングサービス、Microsoft

DDoS

不正アクセス報告

個人情報漏洩報告

8月4日収集

全般

マルウェア

ランサムウェア

暗号資産(仮想通貨)からの流出

8月5日収集

全般

レポート

不正アクセス報告

 

情報漏洩

8月8日収集

バックドア

ボットネット

ランサムウェア

C2-as-a-Service(C2aaS)

脆弱性

ブラウザ

ウクライナ

個人情報漏洩

8月9日収集

Androidマルウウェア

Slack

ランサムウェア

不正アクセス報告

注意喚起

8月10日収集

全般

フィッシング

マルウェア解析

Twitter情報漏洩

VBA無効化

脆弱性

ディープフェイク

8月12日収集

全般

Emotet

脆弱性

Twitter情報漏洩

不正アクセス

教育機関

不正アクセス報告

8月15日収集

脆弱性

Androidマルウェア

DDoS

スミッシング

コールバック フィッシング

8月17日収集

フィッシング

スミッシング

不正アクセス

自動車セキュリティ

脆弱性

不正アクセス報告

情報漏洩

8月18日収集

全般

Windowsパッチ不具合

Google Chromeパッチ

Appleパッチ

サイバー世界情勢

不審メール報告

8月19日収集

クリプトジャッキング

DDoS

OneDriveの悪用

ブラウザ機能拡張の悪用

訓練

サイバー世界情勢

脆弱性

8月22日収集

Wordpress(フェイクDDoS)

ビットコインATM

マルウェア解析

VBA無効化後の動向

不正アクセス報告

情報漏洩報告

バンキングマルウェア

脆弱性

Microsoft365

8月23日収集

全般

  • 内向的な性格の人に向いている、IT分野の10の仕事

    • 情報セキュリティアナリストというのが8位に入っていました。海外の記事なので、平均年収が日本の感覚とはかけ離れてますね。

    • https://japan.zdnet.com/article/35191975/

マルウエア

ランサムウェア

フェイクDDoS

脆弱性

NIST

クレデンシャルスタッフィング攻撃

8月24日収集

全般

security.txtへのアクセス

Entrustによる(?)LochbitグループへのDDoS

脆弱性

HYPERSCRAPE

AiTM

SaaSの悪用

情報窃取

8月25日収集

脆弱性

ランサムウェア

OSS

AiTM

ディープフェイク

C&C通信にTOXメッセンジャー

ゼロトラスト

8月26日収集

全般

韓国

LasPass情報漏洩

中間者攻撃で多要素認証を無効化するフィッシング

8月29日収集

全般

8/28に収集したLastPassの情報漏洩

TrickBot、製造業への影響

脆弱性

フィッシング(0ktapus又はScatter Swine)

NATOによる軍事機密文書データ侵害の影響評価

Mimikatz

Log4Shell脆弱性の悪用

8月30日収集

全般

フィッシング(0ktapus又はScatter Swine)の2次被害

コインマイナー

不正アクセス報告

8月31日収集

全般

情報漏洩

マルウェア

Wordpress

Chrome機能拡張

不正アクセス報告

特殊詐欺

情報漏洩報告

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの3

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

6月29日収集

NIST

6月30日収集

尼崎市情報漏洩、市及び市長の発表

情報漏洩(疑い)

  • 弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告(ティスクユニオン)
  • サイト閉鎖、ユーザのパスワードを一斉初期化した上で調査継続中。クレジットカード情報の保有無し。
  • https://diskunion.net/portal/ct/list/0/22501

7月1日収集

マルウェア

7月5日収集

ディープフェイク

7月6日収集

全般

情報漏洩

マルウェア

7月7日収集

レポート

不正アクセス

情報漏洩

アップル

7月10日収集

全般

7月11日収集

全般

演習・訓練

車両のセキュリティ

ランサムウェア

7月13日収集

コールバックフィッシング

7月14日収集

不正アクセス(報告)

フィッシング

情報漏洩

7月15日収集

全般

サプライチェーン攻撃

  • なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~
  • 日本と海外では「サプライチェーン攻撃」の意味するところが違い、日本で言うところのこの攻撃は海外で言う「アイランドホッピング攻撃」ではないか。
  • SSL-VPN製品の脆弱性が放置される理由として、商流や契約に落とし穴があるのでは無いか。
  • という内容と理解しました。海外事情は詳しくないですが、日本で言う「サプライチェーン攻撃」は、確かに内包する意味が幅広く、この言葉だけでどういう攻撃であるかを示すのは難しいように思います。その意味では、言葉の定義の細分化が必要なのではないかと思います。たかが言葉の定義と思われるかもしれませんが、その言葉を読めばすぐに内容が理解出来るのと出来ないのとでは、緊急時の対応に差が出ます。
  • https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html

DDoS

7月19日収集

全般

ランサムウェア

フィッシング

ビッシング詐欺

  • 電話をかけさせるフィッシング「ビッシング詐欺」メールが増加中
  • オンライン決済などの偽メールに記載した電話番号にかけさせて自動音声などを使って口座情報などを聞き出す詐欺のようです
  • Voice + Phisingでビッシングだそうです。フィッシングの語源は「釣り」を意味する「fishing」で、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説があるとのことです
  • https://internet.watch.impress.co.jp/docs/news/1425440.html

7月20日収集

情報漏洩

仮想通貨詐欺

GPSトラッカー脆弱性

クラウドストレージを使用する手法

7月22日収集

クラウド

システム障害

Microsoft

脆弱性パッチ

7月25日収集

Powershell

7月26日収集

全般

ランサムウェア

マクドナルド

情報漏洩

7月28日収集

レポート

IIS機能拡張の悪用

EMOTET

DDoS

ランサムウェア

7月29日収集

全般

プロキシウェア

レポート

DDoS

ブラウザ

TikTok