2023-12-14

経営層向けサイバーセキュリティ演習について（その１）

Armorisでいろんな案件にたずさわる川崎（筆者）です。

　2023年11月中旬、日本を代表する、とある大企業（以下、A社）において、経営層を対象としたサイバーセキュリティ演習プロジェクトが実施されました。本プロジェクトは、A社サイバーセキュリティ部門と特定のサービスを提供する事業部門が中心となって進められ、企画・運営を行う中で、弊社CTO鎌田＆CXO竹田及び筆者などがプロジェクト運営をサポートする形で進められました。

　サポートメンバーには以前このブログでも紹介したレイン・オッティス（Rain Ottis）や、ヤーン・プリッサル（Jaan Priisalu）なども参加。欧州のサイバーセキュリティ視点も盛り込んだプロジェクトとなりました。

　ここでは、本件プロジェクトを通じて得られた重要なポイントを2回に分けてまとめます。

どんなことをしたの？

　A社の特定の事業領域において、当該事業の継続に重大な影響を与えるサイバーインシデントの発生を想定した机上演習方式で実施しました。演習には、A社のサイバーセキュリティ担当役員や広報責任者、サイバーセキュリティ部門、当該事業部門の幹部らが参加しました。

　参加者は会議室に集合及びオンラインでウェブ会議システムに接続した上で、次々と提示されるInjection（今どのような状況にあるかを示した情報）に対して様々なアクションを行う方式で進められました。

　演習はできる限り実際の現場を想定した構成となっており、そのため演習参加者以外の関係者ー例えば顧客や社内の他部門、外部の関係者などとコミュニケーションをとらなくてはならない場面になることもあります。そうした時には、演習のオペレータ（事務局）が内外の関係者役を演じて参加者からのコミュニケーションに応じることで、実際の状況に類似した舞台を演出することができます。これによって、参加者はよりリアルなインシデント対応を検討・実施することができるでしょう。

　なお、演習プログラムは午後イチから夕方まで、半日程度のプログラムとなりました。

何のためにやるの？

　今回の演習では、地理的に離れたA社のサイバーセキュリティ部門や広報部門などの管理部門と、実際の事業部門が適切に連携してインシデント対応を行うことができるのか、に主眼を当てたプログラムとなりました。

　当然、参加者は経営層ですので、生半可なレベルではなく、多くの顧客への対応やそれに伴う多額の損害、またマスコミ報道によるレピュテーションリスクへの影響などを加味した重大なインシデントの発生を想定しました。詳細は伏せますが、例えば、数十万人の個人情報、それも住所氏名メールアドレスにとどまらず、より機微な個人情報が侵害を受けてしまったというような重大インシデントを想定した演習となりました。

どんなことが得られた？

　ここで少し定義の話となりますが、「演習」とは英語では”Exercise”と翻訳される語であり、総合的な能力の向上、学びや気づきを得ること、特定のプロセスの検証と改善、などを目的に実施するものです。したがって、上手にできたかどうかよりも、どんな課題が見つかったかを重視する性質のプログラムと言えるでしょう。つまり、どんどんつまずいて、失敗したほうがいいのです。

　ちなみに、これとよく似た用語で「訓練」ということばがあります。これは英語では”Drill”と翻訳され、ある手順や対処方法における習熟度の向上に重点を置いたものです。例えば避難訓練などは災害発生時に適切なルートで避難することを目的に行うことから、できるだけ手順を遵守して上手にできたかどうかが重要となります。

　さて、演習参加者からは、セキュリティ対策の実装面といった技術的な事項のみならず、コミュニケーションの方法や段取り、集約すべき情報の性質や情報共有のスピード、内外関係者との連携など、組織的な側面においても多岐にわたって向上を図るべき課題があるとの認識に至ったとのコメントがありました。

　演習においてより重要なのは、こうした課題を認識しただけで終わらず、これらの課題を改善した上で、また新たに演習を行って課題発見→改善する・・・といったサイクルを継続的に行うことです。

　また、その際、見つかった課題の全てを改善できればそれがもっとも望ましいことですが、通常はさまざまなリソース上の制約があることから、一度にすべてが抜本的に改善できるケースは稀（まれ）でしょう。そのため、見つかった課題に対して改善すべき優先順位を設定して対処するという現実的な考え方も忘れてはいけません。

参加者の対応状況からA社の課題を分析しているCTOの鎌田

どんな風に進めたの？

　恐らくこのブログをご覧いただいている方の中には、自らの組織でもサイバーセキュリティ演習に取り組んだ経験のある方や、あるいはこれから取組みを始めてみたい、と思っている方もいらっしゃると思います。次回は、どのようにこのプロジェクトを進行したのか、準備段階から具体的にご紹介したいと思います。

2023-11-20

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの16

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

サイバー世界情勢

地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。

アジア

10/2

Attacks on Azerbaijan Businesses Drop Malware via Fake Image Files
- https://www.darkreading.com/dr-global/targeted-attacks-on-azerbaijan-businesses-drop-malware-via-fake-image-files
- 以下、元の分析記事。
  - Threat Actors Exploit the Tensions Between Azerbaijan and Armenia
  - https://www.fortinet.com/blog/threat-research/threat-Actors-exploit-the-tensions-between-azerbaijan-and-armenia

10/13

New APT Group Using Custom Malware to Attack Manufacturing & IT Industries
- https://cybersecuritynews.com/apt-group-custom-malware/?amp

10/19

North Korea's Kimsuky Doubles Down on Remote Desktop Control
- https://www.darkreading.com/attacks-breaches/north-korea-s-kimsuky-doubles-down-on-remote-desktop-control

10/20

India targets Microsoft, Amazon tech support scammers in nationwide crackdown
- インドがテクノロジーサポート詐欺などを摘発したと言う記事のようですね。
- https://www.bleepingcomputer.com/news/security/india-targets-microsoft-amazon-tech-support-scammers-in-nationwide-crackdown/#google_vignette

北米

10/10

米国、日本などアジア各国との情報協力深める－中国サイバー攻撃阻止
- https://www.bloomberg.co.jp/news/articles/2023-10-05/S21C6KT1UM0W01

10/13

New California Delete Act Tightens Rules for Data Brokers
- https://www.darkreading.com/edge/new-california-delete-act-tightens-rules-data-brokers

ヨーロッパ

10/2

Lazarus Group Impersonates Recruiter from Meta to Target Spanish Aerospace Firm
- https://thehackernews.com/2023/09/lazarus-group-impersonates-recruiter.html?m=1

10/18

RUSSIA-LINKED SANDWORM APT COMPROMISED 11 UKRAINIAN TELECOMMUNICATIONS PROVIDERS
- https://securityaffairs.com/152617/apt/sandworm-ukraine-telecommunication-service.html#google_vignette

10/20

Updated MATA attacks industrial companies in Eastern Europe
- https://securelist.com/updated-mata-attacks-industrial-companies-in-eastern-europe/110829/

中東

10/10

Cyberattacks Targeting Israel Are Rising After Hamas Assault
- https://www.bloomberg.com/news/articles/2023-10-09/cyberattacks-targeting-israel-are-on-the-rise-after-hamas-attack?leadSource=uverify%20wall

10/11

Hacktivists Trageting Critical ICS Infrastructure in Israel and Palestine
- https://www.hackread.com/hacktivists-israel-palestine-ics-infrastructure/

10/18

Malicious “RedAlert - Rocket Alerts” Application Targets Israeli Phone Calls, SMS, and User Information
- https://blog.cloudflare.com/malicious-redalert-rocket-alerts-application-targets-israeli-phone-calls-sms-and-user-information/?s=09

10/20

Hamas-linked app offers window into cyber infrastructure, possible links to Iran
- https://cyberscoop.com/hamas-app-telegram-iran/

Iran-Linked 'MuddyWater' Spies on Mideast Gov't for 8 Months
- https://www.darkreading.com/dr-global/iran-linked-muddywater-spies-middle-east-govt-eight-months

オセアニア

アフリカ

10/13

The Cyberwar Between the East and the West Goes Through Africa
- https://www.darkreading.com/dr-global/the-cyberwar-between-the-east-and-the-west-goes-through-africa

10/5

Alarming spike in digital banking fraud and ATM bombings in South Africa
- 手口がデジタルバンキング詐欺とATM爆破（？）とあってびっくりしました。詐欺の方はヴィッシングなどのようですね。
- https://mybroadband.co.za/news/security/510222-alarming-spike-in-digital-banking-fraud-and-atm-bombings-in-south-africa.html

脆弱性関連

10/2

New Marvin attack revives 25-year-old decryption flaw in RSA
- https://www.bleepingcomputer.com/news/security/new-marvin-attack-revives-25-year-old-decryption-flaw-in-rsa/
- 以下が元の記事のようですね。
  - The Marvin Attack
  - https://people.redhat.com/~hkario/marvin/

Millions of Exim mail servers exposed to zero-day RCE attacks
- https://www.bleepingcomputer.com/news/security/millions-of-exim-mail-servers-exposed-to-zero-day-rce-attacks/

10/4

ShellTorch flaws expose AI servers to code execution attacks
- ShellTorchと言う名前が付いているようですね。
- https://www.bleepingcomputer.com/news/security/shelltorch-flaws-expose-ai-servers-to-code-execution-attacks/

10/6

Looney Tunables: PoC Available for LPE Vulnerability Impacting Major Linux Distributions (CVE-2023-4911)
- Looney Tunablesと名の付いたLinuxの脆弱性にPoCが出たという記事のようですね。
- https://socradar.io/looney-tunables-poc-available-for-lpe-vulnerability-impacting-major-linux-distributions-cve-2023-4911/
  - CVE-2023-4911
  - https://access.redhat.com/security/cve/cve-2023-4911

10/12

CISA Warns of Actively Exploited Adobe Acrobat Reader Vulnerability
- https://thehackernews.com/2023/10/us-cybersecurity-agency-warns-of.html?m=1

Microsoft Warns of Nation-State Hackers Exploiting Critical Atlassian Confluence Vulnerability
- https://thehackernews.com/2023/10/microsoft-warns-of-nation-state-hackers.html?m=1

10/13

Ransomware attacks now target unpatched WS_FTP servers
- https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/

curl Update Available for CVE-2023-38545 and CVE-2023-38546: High-Severity Vulnerability Could Lead to RCE
- https://socradar.io/curl-update-available-for-cve-2023-38545-and-cve-2023-38546-high-severity-vulnerability-could-lead-to-rce/

Dozens of Squid Proxy Vulnerabilities Remain Unpatched 2 Years After Disclosure
- https://www.securityweek.com/dozens-of-squid-proxy-vulnerabilities-remain-unpatched-2-years-after-disclosure/

10/18

New Critical Zero-Day Vulnerability Affects Web UI of Cisco IOS XE Software & Allows Attackers to Compromise Routers
- https://www.techrepublic.com/article/cisco-ios-xe-software-zero-day-vulnerability/

10/19

Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
- https://blog.talosintelligence.com/active-exploitation-of-cisco-ios-xe-software/
- 日本語の記事。
  - CVSSは「10.0」　Cisco IOS XE Softwareに「緊急」の脆弱性、回避策は未提供
  - https://www.itmedia.co.jp/enterprise/spv/2310/18/news044.html

Russia and China-backed hackers are exploiting WinRAR zero-day bug
- https://techcrunch.com/2023/10/18/russia-sandworm-fancy-bear-china-winrar-zero-day/?guccounter=1

Critically close to zero(day): Exploiting Microsoft Kernel streaming service
- https://securityintelligence.com/x-force/critically-close-to-zero-day-exploiting-microsoft-kernel-streaming-service/

10/20

NORTH KOREA-LINKED APT GROUPS ACTIVELY EXPLOIT JETBRAINS TEAMCITY FLAW
- CI/CDツールの脆弱性の悪用に関する記事のようですね。悪意のあるコードを埋め込み、拡散するのが目的でしょうかね。
- https://securityaffairs.com/152697/apt/north-korea-linked-apt-groups-actively-exploit-jetbrains-teamcity-flaw.html

Critical Citrix NetScaler Flaw Exploited to Target from Government, Tech Firms
- https://thehackernews.com/2023/10/critical-citrix-netscaler-flaw.html?m=1

分析手法、ツール関連

10/4

Apepe - Enumerate Information From An App Based On The APK File
- アペペとでも読むのでしょうかね。
- https://www.kitploit.com/2023/10/apepe-enumerate-information-from-app.html

解析・分析・研究記事

10/2

How Equifax Was Breached in 2017
- 2017年のEquifaxにおけるインシデントの振り返り。
- https://blog.0x7d0.dev/history/how-equifax-was-breached-in-2017/?s=09

Malware EDR Evasion Techniques
- https://g3tsyst3m.github.io/edr%20bypass/Malware-EDR-Evasion-Techniques/?s=09

10/3

The “Evil” of Everything – Part I: EvilProxy Rises AitM
- https://socradar.io/the-evil-of-everything-part-i-evilproxy-rises-aitm/

The “Evil” of Everything – Part II: Evilginx and EvilQR Rises AitM
- https://socradar.io/the-evil-of-everything-part-ii-evilginx-and-evilqr-rises-aitm/

10/4

USING CLOUDFLARE TO BYPASS CLOUDFLARE
- https://certitude.consulting/blog/en/using-cloudflare-to-bypass-cloudflare/

10/12

The Art of Concealment: A New Magecart Campaign That’s Abusing 404 Pages
- https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer

10/13

DarkGate Opens Organizations for Attack via Skype, Teams
- https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

Void Rabisu Targets Female Political Leaders with New Slimmed-Down ROMCOM Variant
- https://www.trendmicro.com/en_us/research/23/j/void-rabisu-targets-female-leaders-with-new-romcom-variant.html

10/20

Money-making scripts attack organizations
- https://securelist.com/miner-keylogger-backdoor-attack-b2b/110761/

マルウェア

10/3

BunnyLoader, the newest Malware-as-a-Service
- https://www.zscaler.com/blogs/security-research/bunnyloader-newest-malware-service?s=09

10/5

Researchers Link DragonEgg Android Spyware to LightSpy iOS Surveillanceware
- https://thehackernews.com/2023/10/researchers-link-dragonegg-android.html?m=1

10/10

マルウェア「gokcpdoor」を用いた日本組織を狙う攻撃キャンペーン
- https://www.lac.co.jp/lacwatch/report/20231006_003527.html?s=09

10/13

EV証明書の不正利用：マルウェア「RedLine」、「Vidar」の最新攻撃手法を解説、ランサムウェア感染の危険も
- 最近は攻撃が多段になってきている印象ですね。
- https://www.trendmicro.com/ja_jp/research/23/j/redline-vidar-first-abuses-ev-certificates.html

ToddyCat hackers use 'disposable' malware to target Asian telecoms
- 使い捨てのマルウエアというのが気になったのですが、スピアフィッシング手標的用にカスタマイズしていると言うことのようですね。
- https://www.bleepingcomputer.com/news/security/toddycat-hackers-use-disposable-malware-to-target-asian-telecoms/#google_vignette

10/19

MATA malware framework exploits EDR in attacks on defense firms
- https://www.bleepingcomputer.com/news/security/mata-malware-framework-exploits-edr-in-attacks-on-defense-firms/#google_vignette

フィッシング

10/2

フィッシングサイトのドメイン「workers.dev 」急増、デジタルアーツ調査
- 調査で遭遇した記憶がありますね。
- https://scan.netsecurity.ne.jp/article/2023/09/29/50007.html

10/4

Home Grown Red Team: LNK Phishing Revisited In 2023
- lnkファイルを使った手法の分析のようですね。
- https://assume-breach.medium.com/home-grown-red-team-lnk-phishing-revisited-in-2023-364daf70a06a

10/20

Hackers Exploit QR Codes with QRLJacking for Malware Distribution
- リンクの代わりにQRコードを使うフィッシングのようですね。クイッシング攻撃と書いてあるようです。
- https://www.hackread.com/hackers-exploit-qr-codes-qrljacking-malware/

APT

10/2

APT34が新しいマルウェアによるフィッシング攻撃を展開
- 被害はサウジアラビアのようですね。
- https://www.trendmicro.com/en_au/research/23/i/apt34-deploys-phishing-attack-with-new-malware.html?s=09

10/6

APT Profile: Dark Pink APT Group
- https://socradar.io/apt-profile-dark-pink-apt-group/

ランサムウェア

複数のランサムウェアを使う攻撃が出てきているようですね。

10/2

FBI WARNS OF DUAL RANSOMWARE ATTACKS
- 先月収集分の記事にもこの攻撃手法に関するものが含まれていますね。デュアルランサムウェア攻撃という名前が付いたと言うことですかね。
- https://securityaffairs.com/151722/cyber-crime/fbi-warns-dual-ransomware-attacks.html?amp=1
- 以下、FBIの通知？通知の中でもデュアルランサムウェアと言う言葉は使われていますね。
  - Two or More Ransomware Variants Impacting the Same Victims and Data Destruction Trends Summary
  - https://www.ic3.gov/Media/News/2023/230928.pdf

10/3

Ransomware gangs now exploiting critical TeamCity RCE flaw
- CI/CDツールの脆弱性を悪用しているらしいですね。ビルド関係の機能に侵入できれば、悪意あるコードを挿入でき、それが早い段階で適用される可能性があることになるのですかね。
- https://www.bleepingcomputer.com/news/security/ransomware-gangs-now-exploiting-critical-teamcity-rce-flaw/

10/4

EXCLUSIVE: LIGHTING THE EXFILTRATION INFRASTRUCTURE OF A LOCKBIT AFFILIATE (AND MORE)
- https://securityaffairs.com/151862/breaking-news/exfiltration-infrastructure.html?amp=1

TWO HACKER GROUPS ARE BACK IN THE NEWS, LOCKBIT 3.0 BLACK AND BLACKCAT/ALPHV
- https://securityaffairs.com/151855/malware/lockbit-3-0-black-blackcat-alphv.html?amp=1

10/5

Dark Web Profile: Snatch Ransomware
- https://socradar.io/dark-web-profile-snatch-ransomware/

10/6

ランサムウェア/攻撃グループの変遷と繋がりRev.2.11
- https://www.mbsd.jp/2023/10/04/assets/images/MBSD_History_of_ransomware_group_connections_and_transitions_JPN_Rev.2.11.pdf

Lorenz ransomware crew bungles blackmail blueprint by leaking two years of contacts
- https://www.theregister.com/2023/10/05/lorenz_ransomware_group_leaks_details/

LostTrust Ransomware | Latest Multi-Extortion Threat Shares Traits with SFile and Mindware
- https://www.sentinelone.com/blog/losttrust-ransomware-latest-multi-extortion-threat-shares-traits-with-sfile-and-mindware/

Qakbot-affiliated actors distribute Ransom Knight malware despite infrastructure takedown
- https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/

10/10

HelloKitty ransomware source code leaked on hacking forum
- ランサムウェアのソースコードがリークされたと言う記事のようです。
- https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-source-code-leaked-on-hacking-forum/

10/19

Features and Enhanced Capabilities of GhostLocker
- サブスクリプション契約な点が次世代なんですかね。時流には乗ってますね。
- https://socradar.io/ghostlocker-a-new-generation-of-ransomware-as-a-service-raas/

10/20

BlackCat ransomware uses new ‘Munchkin’ Linux VM in stealthy attacks
- https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/#google_vignette

悪意あるNPMパッケージ

10/6

Malicious Packages Hidden in NPM
- https://www.fortinet.com/blog/threat-research/malicious-packages-hiddin-in-npm

Typosquatting campaign delivers r77 rootkit via npm
- こちらはタイポスクワッティングを利用とありますね。
- https://www.reversinglabs.com/blog/r77-rootkit-typosquatting-npm-threat-research

Botnet

10/5

Origin of the Botnets: New Mirai-based Botnet Variants Emerge (hailBot, kiraiBot, and catDDoS)
- https://socradar.io/origin-of-the-botnets-new-mirai-based-botnet-variants-emerge-hailbot-kiraibot-and-catddos/

10/10

PEACHPIT: Massive Ad Fraud Botnet Powered by Millions of Hacked Android and iOS
- https://thehackernews.com/2023/10/peachpit-massive-ad-fraud-botnet.html?m=1

10/12

MIRAI-BASED DDOS BOTNET IZ1H9 ADDED 13 PAYLOADS TO TARGET ROUTERS
- https://securityaffairs.com/152333/malware/mirai-based-iz1h9-botnet-surge.html?amp=1

10/13

ShellBot Uses Hex IPs to Evade Detection in Attacks on Linux SSH Servers
- https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html?m=1

DDoS

HTTP/2Rapid Resetの影響で記事が増えましたね。

10/3

KillNet Claims DDoS Attack Against Royal Family Website
- 主張している段階のようですね。
- https://www.darkreading.com/cloud/killnet-ddos-attack-royal-family-website

10/5

Russian Hacktivism: Flashy Non-Events or Serious Threat?
- 10/3の記事に関連して。
- https://www.darkreading.com/threat-intelligence/russian-hacktivism-takes-toll-organizations-ukraine-eu-us

10/11

Internet-Wide Zero-Day Bug Fuels Largest-Ever DDoS Event
- HTTP/2Rapid Resetが影響しているようですね。
- https://www.darkreading.com/cloud/internet-wide-zero-day-bug-fuels-largest-ever-ddos-event

New 'HTTP/2 Rapid Reset' zero-day attack breaks DDoS records
- https://www.bleepingcomputer.com/news/security/new-http-2-rapid-reset-zero-day-attack-breaks-ddos-records/
- 関連記事
  - HTTP/2に対する分散型サービス拒否 (DDoS) 攻撃に対するマイクロソフトの対応について
  - https://msrc.microsoft.com/blog/2023/10/microsoft-response-to-distributed-denial-of-service-ddos-attacks-against-http/2-ja/

マルバダイジング

Microsoft Bing Chat pushes malware via bad ads
- Bingチャットに悪意ある広告が挿入できるとかありますね。
- https://www.theregister.com/2023/09/29/microsoft_bing_chat_malware/

オープンリダイレクト

EvilProxy uses indeed.com open redirect for Microsoft 365 phishing
- フィッシングサイトに誘導するためにオープンリダイレクトを利用しているようですね。
- https://www.bleepingcomputer.com/news/security/evilproxy-uses-indeedcom-open-redirect-for-microsoft-365-phishing/

RAT

10/6

'Operation Jacana' Reveals DinodasRAT Custom Backdoor
- https://www.darkreading.com/threat-intelligence/operation-jacana-dinodasrat-custom-backdoor

インフォスティーラー

10/19

Single Sign On and the Cybercrime Ecosystem
- https://www.bleepingcomputer.com/news/security/single-sign-on-and-the-cybercrime-ecosystem/

ダークウェブ

10/10

Largest Dark Web Webinjects Marketplace “In The Box” Discovered
- https://www.hackread.com/dark-web-webinject-market-in-the-box/#google_vignette
From the Dark Seas of Cyberspace: Unraveling “Fun” Facts of the Dark Web
- ダークウェブの動向のまとめ。
- https://socradar.io/from-the-dark-seas-of-cyberspace-unraveling-fun-facts-of-the-dark-web/

10/18

0-Day Sale, Swiss and US Data Leaks, Indian and Saudi Arabian Services’ Access Sales
- https://socradar.io/0-day-sale-swiss-and-us-data-leaks-indian-and-saudi-arabian-services-access-sales/

イーサハイディング

10/18

'Etherhiding' Blockchain Technique Masks Malicious Code in WordPress Sites
- ブロックチェーン技術を使っているらしいですね。

https://www.darkreading.com/attacks-breaches/etherhiding-blockchain-technique-hides-malicious-code-wordpress-sites

テイクダウン

Authorities confirm RagnarLocker ransomware taken down during international sting
- https://techcrunch.com/2023/10/20/ragnarlocker-ransomware-dark-web-portal-seized-in-international-sting/

レポート・まとめ

10/3

Windows 0-Day Exploit and RDP Access Sales, Database Leaks for Domasa City and Jeevess Ayurveda
- https://socradar.io/windows-0-day-exploit-and-rdp-access-sales-database-leaks-for-domasa-city-and-jeevess-ayurveda/

10/10

「破産手続き開始」企業サイトの“改ざん被害”各地で相次ぐ　背景に「恒心教」の可能性も…実在する弁護士の名前が記載
- レポートではないですが、まとめとしては良いかと。
- https://www.fnn.jp/articles/-/581910?s=09

10/13

Ransomware review: October 2023
- https://www.malwarebytes.com/blog/threat-intelligence/2023/10/ransomware-review-october-2023/amp

フォーティネット、2023年上半期の脅威レポート--ランサムウェア検知数は半年で13倍に
- https://japan.zdnet.com/article/35210213/

【2023年9月号】暴露型ランサムウェア攻撃統計CIGマンスリーレポート
- https://www.mbsd.jp/research/20231012/cig-monthly/?s=09

Ransomware Attacks Double: Are Companies Prepared for 2024's Cyber Threats?
- ヘルスケア業界が狙われていると言っているようですね。
- https://thehackernews.com/2023/10/ransomware-attacks-doubled-year-on-year.html?m=1

10/18

Essential CTI Capabilities for Effective SOC Operations
- SOCにおける脅威インテリジェンス活用の記事のようですね。
- https://socradar.io/essential-cti-capabilities-for-effective-soc-operations/

ブラックテックの正体は背後に中国? 情報は抜かれ続ける…
- https://www3.nhk.or.jp/news/html/20231017/k10014227731000.html

悪質なショッピングサイト等に関する統計情報（2023年上半期）（JC3）
- https://www.jc3.or.jp/threats/topics/article-515.html?s=09

10/19

IT admins are just as culpable for weak password use
- 一般ユーザーの良くあるパスワードリストの記事は何度か見かけましたが、管理者アカウントのパスワードリストの記事は初めて見ました。
- https://outpost24.com/blog/it-admins-weak-password-use/

情報セキュリティ安心相談窓口の相談状況［2023年第3四半期（7月～9月）］
- https://www.ipa.go.jp/security/anshin/reports/2023q3outline.html

The CISO Report
- https://elements.visualcapitalist.com/wp-content/uploads/2023/10/the-ciso-report.pdf

10/20

FBIはいかにQbotに打撃を与えたか
- https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/101900048/

官公庁・組織・団体公表

CISA

10/20

Phishing Guidance: Stopping the Attack Cycle at Phase One
- https://www.cisa.gov/resources-tools/resources/phishing-guidance-stopping-attack-cycle-phase-one?s=09

NSA and CISA

NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations
- https://media.defense.gov/2023/Oct/05/2003314578/-1/-1/0/JOINT_CSA_TOP_TEN_MISCONFIGURATIONS_TLP-CLEAR.PDF

NISC

10/2

中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）
- https://www.nisc.go.jp/pdf/press/20230927NISC_press.pdf

警察庁

10/2

中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について
- https://www.npa.go.jp/bureau/cyber/koho/caution/caution20230927.html

システム・セキュリティ業界の動向

Google(Android)

10/4

Google to bolster phishing and malware delivery defenses in 2024
- Gmailの強化をするようですね。
- https://www.bleepingcomputer.com/news/security/google-to-bolster-phishing-and-malware-delivery-defenses-in-2024/
- 以下、日本語で読める同じ話題
  - Gmailがメールを1日5000件以上送信するユーザーに「購読解除ボタンの設置」「メールの認証」などのスパム対策要件を設ける
  - https://gigazine.net/news/20231004-googles-changes-prevent-gmail-spam/

10/18

SpyNote Android malware spreads via fake volcano eruption alerts
- イタリアの災害情報を提供するIT-alertの偽物を使うようですね。災害が多いという意味では日本も同じなので気になりました。
- https://www.bleepingcomputer.com/news/security/spynote-android-malware-spreads-via-fake-volcano-eruption-alerts/#google_vignette

Microsoft

10/11

Microsoft to kill off VBScript in Windows to block malware delivery
- VBScriptが廃止になるようですね。いち技術者としては寂しさも感じますが、仕方ないですね。
- https://www.bleepingcomputer.com/news/security/microsoft-to-kill-off-vbscript-in-windows-to-block-malware-delivery/#google_vignette

Python

10/5

Hundreds of malicious Python packages found stealing sensitive data
- https://www.bleepingcomputer.com/news/security/hundreds-of-malicious-python-packages-found-stealing-sensitive-data/

The evolutionary tale of a persistent Python threat
- https://checkmarx.com/blog/the-evolutionary-tale-of-a-persistent-python-threat/

業界別インシデント

可能な限り業種を調べて分類していますが、間違い等ありましたらご容赦ください。

金融・保険

10/3

South African insurance clients hit in massive global cyberattack
- https://mybroadband.co.za/news/security/509988-south-african-insurance-clients-hit-in-massive-global-cyberattack.html

10/10

Third Flagstar Bank data breach since 2021 affects 800,000 customers
- MOVEitの脆弱性を悪用されて侵害されたサプライチェーンからと言う理解で合ってますかね。この脆弱性はかなり悪用されているようですね。
- https://www.bleepingcomputer.com/news/security/third-flagstar-bank-data-breach-since-2021-affects-800-000-customers/

暗号資産

10/18

トゥルーUSD　サードパーティベンダーでの攻撃受けユーザーデータ一漏洩の恐れ
- https://jp.cointelegraph.com/news/true-coin-third-party-vendor-breach-tusd-user-data-leak

製造

10/12

Simpson Manufacturing shuts down IT systems after cyberattack
- https://www.bleepingcomputer.com/news/security/simpson-manufacturing-shuts-down-it-systems-after-cyberattack/

情報

10/3

当社の社内システムに対する不正アクセスについて（10/2追記）（富士ソフト株式会社）
- 標的型攻撃とのことですね。
- https://www.fsi.co.jp/company/news/20231002.html?s=09

10/6

Major CRM Provider Really Simple Systems Leaked 3M Customer Records
- https://www.hackread.com/crm-provider-really-simple-systems-data-leak/

通信

10/6

Lyca Mobile investigates customer data leak after cyberattack
- https://www.bleepingcomputer.com/news/security/lyca-mobile-investigates-customer-data-leak-after-cyberattack/

教育

教育業界は記事が多いですね。カシオ計算機株式会社のインシデントの影響が出ているようです。

10/3

FAQ Frequently asked questions(Hochschule Furtwangen University)
- 情報からの推測ですが、ランサムウェアのようですね。
- https://www.hs-furtwangen.de/en/faq-hacker-attack/?s=09

10/12

生徒個人情報流出の可能性、ECC学習支援システム「インターセクション」開発サーバに不正アクセス
- https://scan.netsecurity.ne.jp/article/2023/10/12/50072.html

県立高校教諭、ウイルス感染警告画面に表示された番号に架電し遠隔操作
- フェイクアラートですかね。
- https://scan.netsecurity.ne.jp/article/2023/10/12/50070.html

「MHJストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（株式会社マウンハーフジャパン）
- ペイメントアプリケーションの改ざんのようですね。最近は教育関連の企業の記事が増えてきた気がしています。
- https://www.mhjcom.jp/n-news/22819.html?s=09

10/20

不正アクセスによる個人情報漏えいについて（千葉県教育委員会）
- カシオ計算機株式会社のインシデントの影響のようですね。この件もサプライチェーン管理になるのでしょうか。
- https://www.pref.chiba.lg.jp/kyouiku/shidou/giga/2023casiorouei.html

不正アクセスによる迷惑メール送信のお詫び（西日本工業大学）
- https://www3.nishitech.ac.jp/news/archives/1393?s=09

二階堂高で個人情報305人分漏えい　教育アプリに不正アクセス
- カシオ計算機株式会社のインシデントの影響のようですね。
- https://www.nara-np.co.jp/news/20231020211039.html

医療・医薬・ヘルス

10/10

23andMe Cyberbreach Exposes DNA Data, Potential Family Ties
- DNA検査会社からの漏洩だそうで、遺伝的祖先の情報が含まれるとか書いてありますね。
- https://www.darkreading.com/attacks-breaches/23andme-cyberbreach-exposed-dna-data-family-ties

小売、卸売

10/13

不正アクセスに関するお知らせとお詫び（バカラパシフィック株式会社）
- https://www.baccarat.com/ja_jp/notice-regarding-unauthorised-access.html?s=09

電気機器

10/5

ソニーにサイバー攻撃　顧客情報、流出は確認されず
- https://nordot.app/1082194115207774922?c=113147194022725109

10/6

Sony Interactive Entertainment has notified current and former employees and their family members about a data breach.
- ソニーの報道の続き。
- https://securityaffairs.com/151982/data-breach/sony-sent-data-breach-notifications-to-about-6800-individuals.html

Sony Confirms Data Stolen in Two Recent Hacker Attacks
- https://www.securityweek.com/sony-confirms-data-stolen-in-two-recent-hacker-attacks/

10/10

ソニーがセキュリティ侵害で約6800人分の従業員データが流出したことを認める
- https://gigazine.net/news/20231006-sony-confirms-data-breach/

Blackbaud agrees to $49.5 million settlement for ransomware data breach
- 2020年のデータ侵害に関する調査費用の記事のようですね。
- https://www.bleepingcomputer.com/news/security/blackbaud-agrees-to-495-million-settlement-for-ransomware-data-breach/#google_vignette

10/19

不正アクセスによる個人情報漏えいのお詫びとご報告（カシオ計算機株式会社）
- https://www.casio.co.jp/release/2023/1018-incident/?s=09

不正アクセスによる情報流出に関するお知らせとお詫び（株式会社リコー）
- 原因についてどのような脆弱性だったかを特定して報告していますね。
- https://jp.ricoh.com/info/notice/2023/1013_1

出版

10/10

当社Webサーバへの不正アクセスについて（秋田書店）
- https://www.akitashoten.co.jp/news/2921

ゲーム

10/20

「ガンダムメタバース」でガンプラのCADデータ漏えいか　バンダイ「事実確認中」
- https://www.itmedia.co.jp/news/spv/2310/19/news175.html

10/13

Shadow PC warns of data breach as hacker tries to sell gamers' info
- https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/#google_vignette

エネルギー

10/19

Colonial Pipeline Denies Breach by RANSOMEDVC Ransomware Group
- 攻撃者の主張に対して否定したと言う記事なので、ここに置くべきではないのかも知れませんが。
- https://www.hackread.com/ransomedvc-colonial-pipeline-cybersecurity-breach/

官公庁・公的機関

10/10

ALPHV ransomware gang claims attack on Florida circuit court
- 攻撃者が巡回裁判所を攻撃したと言うことですかね。
- https://www.bleepingcomputer.com/news/security/alphv-ransomware-gang-claims-attack-on-florida-circuit-court/

協会

10/2

三重県聴覚障害者支援センターのパソコンへの不正アクセスによる個人情報の漏えいの可能性のある事態の発生について（お知らせとお詫び）
- https://www.deaf-mie-center.com/

独立行政法人

電子メール関連システムへの不正アクセスに伴う個人情報等漏えいのおそれについて（独立行政法人国立科学博物館）
- https://www.kahaku.go.jp/information/pdf/kahaku_20231019.pdf

運輸

10/5

ETC利用照会サービスサイトへの不正アクセス・ログインについてのお詫びとお知らせ（東日本高速道路株式会社、中日本高速道路株式会社、西日本高速道路株式会社、首都高速道路株式会社、阪神高速道路株式会社、本州四国連絡高速道路株式会社）
- リスト型攻撃でしょうかね。
- https://www.etc-meisai.jp/news/231004.html?s=09

10/11

サイバー攻撃で止まった名古屋港、必要なのは驚くほどシンプルな対策
- 名古屋港の件を受けての対策に関してのようですね。
- https://monoist.itmedia.co.jp/mn/spv/2310/10/news055.html

Air Europa data breach: Customers warned to cancel credit cards
- クレジットカード情報の漏洩で該当のカードの解約をお願いしているらしいですね。
- https://www.bleepingcomputer.com/news/security/air-europa-data-breach-customers-warned-to-cancel-credit-cards/#google_vignette

10/12

BianLian extortion group claims recent Air Canada breach
- https://www.bleepingcomputer.com/news/security/bianlian-extortion-group-claims-recent-air-canada-breach/

宿泊

Booking.comのインシデント影響が続いていますね。

10/3

Motel One discloses data breach following ransomware attack
- 最近、ホテル関係の記事が増えたように思いますが、Booking.comの件が影響しているのでしょうか。本件はそれとは無関係のようですが、ホテルにも個人情報が集まると思われるので、標的にされやすいのでしょうかね。
- https://www.bleepingcomputer.com/news/security/motel-one-discloses-data-breach-following-ransomware-attack/

10/10

不正アクセスによるお客様の個人情報流出の可能性及びフィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ（JR東日本ホテルメッツ五反田）
- こちらもBooking.comの件の影響のようです。
- https://www.hotelmets.jp/sys/mets_topics.cgi?t=6182&h=183&c=1

不正アクセスによるお客様の個人情報流出の可能性と、フィッシングサイトに誘導するメッセージの配信についてのお詫びとお知らせ（ロワジールホテル豊橋）
- こちらもBooking.comの件の影響のようです。
- https://www.loisir-toyohashi.com/terms_and_conditions/important%20notices.pdf

非営利団体関連

10/4

EUROPEAN TELECOMMUNICATIONS STANDARDS INSTITUTE (ETSI) SUFFERED A DATA BREACH
- https://securityaffairs.com/151845/data-breach/etsi-data-breach.html?amp=1

不明

業種がわからなかった企業を記事をここにまとめます。

10/13

当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（株式会社FAN SMILE）
- https://fansmile.co.jp/publication/

AI関連

10/13

AI algorithm detects MitM attacks on unmanned military vehicles
- 悪用されたらやばい話かと思って読み始めたら、防御する側でのAI活用の記事でした。軍用となると、こういう防衛策も講じておく必要がありそうですね。
- https://www.bleepingcomputer.com/news/security/ai-algorithm-detects-mitm-attacks-on-unmanned-military-vehicles/
- 元のレポート。
  - New cyber algorithm shuts down malicious robotic attack
  - https://www.unisa.edu.au/media-centre/Releases/2023/new-cyber-algorithm-shuts-down-malicious-robotic-attack/

啓蒙・教育・人材関連

10/4

Decrypting the Shadows: Revealing the Secrets of Ransomware Operators – An Interview with @htmalgae
- セキュリティ研究家へのインタビュー記事のようですね。
- https://socradar.io/decrypting-the-shadows-revealing-the-secrets-of-ransomware-operators-an-interview-with-htmalgae/

気になった記事

10/6

Microsoft officially removes Cortana for Windows 11 Insiders
- Copilotが引き継ぐことになるようですね。
- https://www.bleepingcomputer.com/news/microsoft/microsoft-officially-removes-cortana-for-windows-11-insiders/

10/10

なぜHTTP/3は急速に普及していったのか、その利点とは？
- https://gigazine.net/news/20231009-http-3-quic-eating-world/

ネコがキーボードの上に飛び乗ったことで4時間にわたってサーバーのシステムが停止する事例が発生
- https://gigazine.net/news/20231006-cat-incident/

10/11

MUFG, Japan Banks Hit by Glitches in Money Transfer System
- https://www.bloomberg.com/news/articles/2023-10-10/mufg-japan-banks-disrupted-by-glitches-at-money-transfer-system#xj4y7vzkg

10/18

Pythonがプログラムを実行する流れ、最後に「バイトコード」が生成される
- 昔読んだ、オブジェクト指向言語やインタプリタ言語の動きを解説した本を思い出しました。
- https://xtech.nikkei.com/atcl/nxt/column/18/02585/092000003/

トレンドマイクロ子会社、日本で世界初のコネクテッドカーハッキング大会を開催
- こう言う活動が脆弱性を減らすことに繋がるんでしょうかね。
- https://japan.zdnet.com/article/35210367/

10/20

Best Practices for Securing Active Directory
- https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/best-practices-for-securing-active-directory?s=09

2023-10-25

OSINTBuddyで調査する（使い方編）

このブログは、株式会社ArmorisアルバイトのShaderoが書いています。

あるもりすぶろぐの内容は個人の意見です。

はじめに

今回は、OSINTBuddyというオープンソースで開発されているOSINTツールを紹介します。 OSINTツールとして有名なMaltegoとの比較を行いながら、OSINTBuddyのインストール方法、使い方なども紹介します。

追記：実践編を公開しました。よろしければご覧ください。

OSINTBuddyの主要な機能

OSINTBuddyとは、2021年から開発が開始されたオープンソースのOSINTツールです。 2023年10月時点では主に以下の機能が実装されています。

Project graphs

OSINTの要である、情報収集を視覚的に行える機能です。 Project graphs内でEntityを配置したりTransformを実行することで情報収集を行います。この機能によって情報収集を楽に行うことができます。

Plugin

OSINTBuddyには、様々な機能をユーザが自由に追加できるPluginという仕組みが用意されています。この仕組みによって、EntityやTransformを自由に追加することができます。

Maltegoとの比較

次に、OSINTツールとして有名なMaltego（COMMUNITY・PRO）とOSINTBuddyと比べてみます。比較項目は主に、価格や商用利用の可否、機能面についてです。

項目	Maltego COMMUNITY	Maltego PRO	OSINTBuddy
価格	無料	999 EUR / 年	無料
商用利用	不可	可	可
1回のTransformで出力できる結果の数	12	64,000	無制限
グラフに表示できるEntityの数	10,000	1,000,000	無制限
標準で搭載されているTransformの数	150+	150+	10
EntityやTransformの自作	可	可	可（アルファ版）

両者を比較してみると、OSINTBuddyのメリットは、全ての機能を無料で自由に使える点にあることが分かります。Maltegoは、Transform1回あたりに出力できる結果の数や、グラフに表示できるEntityの数などに制限がありますが、OSINTBuddyでは無制限です。

また、OSINTBuddyは無料で商用利用ができる点も大きなメリットです。Maltegoの場合は、商用利用を行いたい場合は年999 EUR（約16万円）を支払いPROプランを契約する必要がありますが、OSINTBuddyは無料で商用利用ができます。

一方でOSINTBuddyのデメリットは、用意されているTransformの数が少ない点です。そのため実際にOSINTBuddyを使用する場合は、Transformの自作を求められる場面が多いと思われます。またPluginと呼ばれるEntityやTransformを自由に作成できる機能はありますが、この機能はアルファ版であり、APIに破壊的変更が発生する可能性がある旨がドキュメントに記載されています。

使ってみる

それでは、上記で紹介したOSINTBuddyのインストール方法や使い方を紹介します。今回は、OSINTBuddyのインストールしたのちに、試しに弊社のホームページのGoogleの検索結果を表示させてみます。

環境

今回の検証で用いる環境は以下の通りです。基本的にOSINTBuddyはサーバ側で動作させ、クライアント側からアクセスする形で使います。

また、予め3000ポートと8000ポートをクライアント側にフォワーディングしています。

ssh username@serverIP -L 3000:localhost:3000 -L 8000:localhost:8000

サーバ

Name	Value
OS	Ubuntu 22.04
OSINTBuddy	v0.0.4
Docker	20.10.21

クライアント

Name	Value
OS	Windows 11
Browser	Firefox 118.0.2

1. インストール＆起動

まず始めにOSINTBuddyをインストールします。これはサーバ側で行います。

OSINTBuddyのリポジトリをクローンします。

git clone --recurse-submodules https://github.com/jerlendds/osintbuddy.git

次に、Docker composeを用いてOSINTBuddyを起動します。

cd osintbuddy
cp ./.env.example ./.env
docker compose up -d

起動が完了したら、クライアント側でhttp://localhost:3000にアクセスします。アクセスできたら、OSINTBuddyのインストールは完了です。

janusが落ちる場合

docker ps -aを実行してみると、janusが落ちている場合があります。これが落ちていると後述するEntityの配置に失敗します。

その場合は、しばらく待った後にjanusを再起動させると直ります。

docker compose restart janus

2. プロジェクト作成

OSINTBuddyが起動できたら、プロジェクトを作成します。

Loginボタンを押して、ダッシュボードのようなページに移動します。

次に、右上のCreate projectボタンを押し、必要な情報を入力してプロジェクトを作成します。

プロジェクトを作成できたら、Investigateボタンを押して、作成したプロジェクトのグラフを表示させます。

3. Entityの配置～Transformの実行

プロジェクトを作成できたら、次にEntityを配置します。今回は試しに、弊社のホームページのGoogleの検索結果を表示させてみます。

まず、画面左側にあるEntitiesから、Websiteをドラッグしてグラフに配置します。そして、Website内のDomain欄にwww.armoris.jpを入力します。

入力ができたら、Websiteを右クリックしてTo Googleをクリックします。 Googleの検索結果を表示させることができたら成功です。

さいごに

今回は、OSINTBuddyというオープンソースで開発されているOSINTツールを紹介しました。 OSINTBuddyはまだ開発が始まったばかりで機能が少なく、実際のOSINT調査に使うのは少し難しいと思われますが、Maltegoと異なり全ての機能を無料で使うことができるため今後の開発に期待したいです。

追記：実践編を公開しました。よろしければご覧ください。

2023-10-24

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの15

サイバー世界情勢

前回までは攻撃側の所属で分類を試みましたが、不明な場合も多く、次回以降は攻撃を受けた側で地域別に分類してみたいと思います。

日本

9/6

【続報】福島原発処理水の海洋放出に関するサイバー脅威について
- https://jp.security.ntt/resources/cyber_security_report/adhoc_CSR_20230831.pdf

9/28

知っておくべき「能動的サイバー防御」の正体
- https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/041800013/091900069/

アジア

9/2

Lazarus hackers deploy fake VMware PyPI packages in VMConnect attacks
- https://www.bleepingcomputer.com/news/security/lazarus-hackers-deploy-fake-vmware-pypi-packages-in-vmconnect-attacks/
日本の内閣サイバーセキュリティセンターが受けたサイバー攻撃の背後には中国政府がいるという報道
- https://gigazine.net/news/20230831-japan-cyber-security-agency-months-long-breach/

9/11

Protecting Your Microsoft IIS Servers Against Malware Attacks
- https://thehackernews.com/2023/09/protecting-your-microsoft-iis-servers.html?m=1
Active North Korean campaign targeting security researchers
- https://blog.google/threat-analysis-group/active-north-korean-campaign-targeting-security-researchers/?s=09

9/12

Vietnamese Hackers Deploy Python-Based Stealer via Facebook Messenger
- https://thehackernews.com/2023/09/vietnamese-hackers-deploy-python-based.html?m=1

9/13

China\'s Winnti APT Compromises National Grid in Asia for 6 Months
- https://www.darkreading.com/ics-ot/chinas-winnti-apt-compromises-national-grid-in-asia-for-6-months

9/14

Ransomware attack hits Sri Lanka government, causing data loss
- https://www.theregister.com/2023/09/13/ransomware_attack_hits_sri_lanka/

9/19

APT36 state hackers infect Android devices using YouTube app clones
- https://www.bleepingcomputer.com/news/security/apt36-state-hackers-infect-android-devices-using-youtube-app-clones/

9/20

EARTH LUSCA EXPANDS ITS ARSENAL WITH SPRYSOCKS LINUX MALWARE
- https://securityaffairs.com/151020/apt/sprysocks-backdoor-earth-lusca.html

9/25

From Watering Hole to Spyware: EvilBamboo Targets Tibetans, Uyghurs, and Taiwanese
- https://thehackernews.com/2023/09/from-watering-hole-to-spyware.html?m=1

9/28

China APT Cracks Cisco Firmware in Attacks Against the US and Japan
- https://www.darkreading.com/threat-intelligence/china-apt-cracks-cisco-firmware-attacks-against-us-japan

北米

9/8

US and UK sanction 11 TrickBot and Conti cybercrime gang members
- ここに記載するのが良いのか分かりませんが。
- https://www.bleepingcomputer.com/news/security/us-and-uk-sanction-11-trickbot-and-conti-cybercrime-gang-members/

9/20

DHS council seeks to simplify cyber incident reporting rules
- https://cyberscoop.com/dhs-cyber-incident-reporting-recommendations/

中南米

9/12

From Caribbean shores to your devices: analyzing Cuba ransomware
- https://securelist.com/cuba-ransomware/110533/

ヨーロッパ

9/2

RUSSIA-LINKED HACKERS TARGET UKRAINIAN MILITARY WITH INFAMOUS CHISEL ANDROID MALWARE
- https://securityaffairs.com/150167/cyber-warfare-2/infamous-chisel-malware-targets-ukraine.html?amp=1

9/5

CYBERCRIME WILL COST GERMANY \$224 BILLION IN 2023
- https://securityaffairs.com/150298/cyber-crime/cost-of-cybercrime-germany.html?amp=1
Russian hackers suspected to have leaked sensitive UK military and defence material on the dark web including information about nuclear submarine base and chemical weapons lab
- https://www.dailymail.co.uk/news/article-12476765/Russian-hackers-leaked-sensitive-UK-military-defence-material-dark-web.html

9/6

A MASSIVE DDOS ATTACK TOOK DOWN THE SITE OF THE GERMAN FINANCIAL AGENCY BAFIN
- https://securityaffairs.com/150359/hacking/ddos-attack-on-bafin.html?amp=1
Russia's influence networks in Sahel activated after coups
- https://blogs.microsoft.com/wp-content/uploads/prod/sites/5/2023/09/Sahel-Gabon-Coup-Playbook-PDF.pdf

9/7

Russia\'s \'Fancy Bear\' APT Targets Ukrainian Energy Facility
- https://www.darkreading.com/attacks-breaches/russia-fancy-bear-apt-ukrainian-energy-facility

9/8

Microsoft: North Korean hackers target Russian govt, defense orgs
- https://www.bleepingcomputer.com/news/security/microsoft-north-korean-hackers-target-russian-govt-defense-orgs/

9/15

Cuba Ransomware Gang Continues to Evolve With Dangerous Backdoor
- https://www.darkreading.com/endpoint/cuba-ransomware-gang-evolve-backdoor

9/19

GERMAN INTELLIGENCE WARNS CYBERATTACKS COULD TARGET LIQUEFIED NATURAL GAS (LNG) TERMINALS
- https://securityaffairs.com/150999/hacking/liquefied-natural-gas-lng-terminals-cyber-attacks.html

9/25

Government of Bermuda links cyberattack to Russian hackers
- https://www.bleepingcomputer.com/news/security/government-of-bermuda-links-cyberattack-to-russian-hackers/

中東

9/12

Iranian hackers breach US aviation org via ManageEngine, Fortinet bugs
- https://www.bleepingcomputer.com/news/security/iranian-hackers-breach-us-aviation-org-via-manageengine-fortinet-bugs/

9/13

IRANIAN CHARMING KITTEN APT TARGETS VARIOUS ENTITIES IN BRAZIL, ISRAEL, AND THE U.A.E. USING A NEW BACKDOOR
- https://securityaffairs.com/150667/apt/charming-kitten-new-sponsor-backdoor.html?amp=1

9/19

Microsoft: \'Peach Sandstorm\' Cyberattacks Target Defense, Pharmaceutical Orgs
- https://www.darkreading.com/application-security/microsoft-peach-sandstorm-cyberattacks-target-defense-pharmaceutical-orgs

9/20

ShroudedSnooper\'s HTTPSnoop Backdoor Targets Middle East Telecom Companies
- https://thehackernews.com/2023/09/shroudedsnoopers-httpsnoop-backdoor.html

9/25

Bot Swarm: Attacks From Middle East & Africa Are Notably Up
- https://www.darkreading.com/dr-global/bot-attacks-from-middle-east-and-africa-increased-last-year

New stealthy and modular Deadglyph malware used in govt attacks
- https://www.bleepingcomputer.com/news/security/new-stealthy-and-modular-deadglyph-malware-used-in-govt-attacks/

オセアニア

9/11

Australian Data Breach Costs are Rising --- What Can IT Leaders Do?
- https://www.techrepublic.com/article/rising-data-breach-cost-australia/

アフリカ

9/1

Anonymous Sudan hacks X to put pressure on Elon Musk over Starlink
- https://www.bbc.com/news/technology-66668053

9/13

\'Anonymous Sudan\' Sets Its Sights on Telegram in DDoS Attack
- https://www.darkreading.com/attacks-breaches/anonymous-sudan-sets-sights-telegram-ddos-attack

攻撃手法関連

Lockbit

9/4

LOCKBIT RANSOMWARE GANG HIT THE COMMISSION DES SERVICES ELECTRIQUES DE MONTRÉAL (CSEM)
- https://securityaffairs.com/150247/cyber-crime/lockbit-ransomware-csem.html?amp=1

9/6

Threat Actors Accessed UK Military Data From Weakest Link
- Win7端末から進入したようですね。
- https://socradar.io/threat-actors-accessed-uk-military-data-from-weakest-link/

ランサムウェア

9/4

TALOS WARS OF CUSTOMIZATIONS OF THE OPEN-SOURCE INFO STEALER SAPPHIRESTEALER
- https://securityaffairs.com/150227/cyber-crime/open-source-info-stealer-sapphirestealer.html?amp=1

9/6

Dark Web Profile: Medusa Ransomware (MedusaLocker)
- https://socradar.io/dark-web-profile-medusa-ransomware-medusalocker/
Chae\$ 4: New Chaes Malware Variant Targeting Financial and Logistics Customers
- https://blog.morphisec.com/chaes4-new-chaes-malware-variant-targeting-financial-and-logistics-customers

9/14

3AM: New Ransomware Family Used As Fallback in Failed LockBit Attack
- Lockbitがブロックされた後に使用されるとありますね。
- https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3am-ransomware-lockbit

9/19

BlackCat ransomware hits Azure Storage with Sphynx encryptor
- https://www.bleepingcomputer.com/news/security/blackcat-ransomware-hits-azure-storage-with-sphynx-encryptor/?s=09

9/20

Who's Behind the 8Base Ransomware Website?
- https://krebsonsecurity.com/2023/09/whos-behind-the-8base-ransomware-website/

9/21

Cisco VPN を標的にしたランサムウェア「Akira」について
- https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/cisco-vpn-akira.html

Dark Web Profile: NoEscape Ransomware
- https://socradar.io/dark-web-profile-noescape-ransomware/

9/28

'Snatch' Ransom Group Exposes Visitor IP Addresses
- このランサムウェアグループが窃取した情報を公開しているサイトにアクセスしてくるIPアドレスなどの情報を公開しているということですかね。
- https://krebsonsecurity.com/2023/09/snatch-ransom-group-exposes-visitor-ip-addresses/

トロイの木馬

9/26

NEW VARIANT OF BBTOK TROJAN TARGETS USERS OF +40 BANKS IN LATAM
- https://securityaffairs.com/151360/malware/bbtok-trojan-latam.html?amp=1

マルウェア

9/7

New Warp Malware drops modified Stealerium Infostealer
- https://www.seqrite.com/blog/new-warp-malware-drops-modified-stealerium-infostealer/

9/25

Android malware Xenomorph runs new campaign targeting the U.S.
- https://www.bleepingcomputer.com/news/security/android-malware-xenomorph-runs-new-campaign-targeting-the-us/

9/28

New ZenRAT Malware Targeting Windows Users via Fake Password Manager Software
- https://thehackernews.com/2023/09/new-zenrat-malware-targeting-windows.html

DDoS

9/19

10 Top DDoS Attack Protection and Mitigation Companies in 2023
- 最近はいかに緩和したかとか、緩和した規模とかが報じられる事が多いですね。
- https://www.hackread.com/ddos-attack-protection-mitigation-companies-2023/

9/12

Telegram Hit by a DDoS Attack: What Is the Cause Behind It
- https://socradar.io/telegram-hit-by-a-ddos-attack-what-is-the-cause-behind-it/

9/11

AKAMAI PREVENTED THE LARGEST DDOS ATTACK ON A US FINANCIAL COMPANY
- 阻止したと言う記事ですね。
- https://securityaffairs.com/150570/cyber-crime/largest-ddos-us-financial-company.html?amp=1

フィッシング

9/1

New Agent Tesla Variant Uses Excel Exploit to Infect Windows PCs★
- Agent Teslaが2017年と2018n年のExcelの脆弱性を悪用しているとこのことですね。
- https://www.hackread.com/agent-tesla-variant-excel-exploit-windows-pc/

9/7

Researchers identify high-grade phishing kits attacking nearly 60,000 Microsoft 365 accounts
- ちゃんと読めてないかもしれませんが、フィッシングからBECに繋がる攻撃と言うことなんですかね。
- https://cyberscoop.com/phishing-w3ll-microsoft-365-fraud/
- 以下、元のレポート（要登録）。
- W3LL done: uncovering hidden phishing ecosystem driving BEC attacks
- https://www.group-ib.com/resources/research-hub/w3ll-phishing/?utm_source=press_release&utm_campaign=w3ll-report&utm_medium=organic

9/11

Microsoft Teams phishing attack pushes DarkGate malware
- Teamsがフィッシングに利用されるようになるのでしょうかね。メールと比べると難しそうに思いますが、注意は必要そうです。
- https://www.bleepingcomputer.com/news/security/microsoft-teams-phishing-attack-pushes-darkgate-malware/

IoT

9/7

Mirai variant infects low-cost Android TV boxes for DDoS attacks
- https://www.bleepingcomputer.com/news/security/mirai-variant-infects-low-cost-android-tv-boxes-for-ddos-attacks/

ブルートフォース

9/21

Brute Forcing PINs with Frida: Mobile Penetration Testing
- スマホのＰＩＮに対するブルートフォースのテストの記事のようですね。
- https://www.corellium.com/blog/frida-brute-forcing-pins-mobile-pentest?s=09

偽のPoCコード

9/21

Fake PoC Script Used to Trick Researchers into Downloading VenomRAT
- https://www.hackread.com/fake-poc-script-researchers-download-venomrat/
- 元の記事は以下のようです。
- Fake CVE-2023-40477 Proof of Concept Leads to VenomRAT
  - https://unit42.paloaltonetworks.com/fake-cve-2023-40477-poc-hides-venomrat/

暗号通貨

9/19

New AMBERSQUID Cryptojacking Operation Targets Uncommon AWS Services
- https://thehackernews.com/2023/09/new-ambersquid-cryptojacking-operation.html

BEC

9/26

NIGERIAN NATIONAL PLEADS GUILTY TO PARTICIPATING IN A MILLIONAIRE BEC SCHEME
- https://securityaffairs.com/151332/cyber-crime/millionaire-bec-scheme-culprit.html

ディープフェイク

9/28

Unmasking Deepfakes: Utilizing OSINT Techniques for Detecting Digital Deception
- ディープフェイクを検知するためのOSINT情報の利用に関する記事。仕事に役に立つかは判りませんが、個人的に気になります。
- https://osintteam.blog/unmasking-deepfakes-utilizing-osint-techniques-for-detecting-digital-deception-f30529ea48b

Bluetooth

9/7

Flipper Zero can be used to launch iOS Bluetooth spam attacks
- このツールを使うとBluetoothでiOSに対してスパム攻撃ができると読んだのですが合ってますでしょうかね。
- https://www.bleepingcomputer.com/news/security/flipper-zero-can-be-used-to-launch-ios-bluetooth-spam-attacks/
- Flipper Zeroで検索するといろいろ情報が出てきますね。
- Flipper Devicesが開発したハッキングデバイス「Flipper Zero」
  - https://engineer.fabcross.jp/archeive/230713_flipper-devices.html

窃取情報の悪用

9/7

パスワード管理アプリ「LastPass」から盗まれたデータが仮想通貨の盗難に悪用されている可能性
- https://gigazine.net/news/20230906-lastpass-breach-cryptocurrency-thefts/

WiKI-Eve攻撃

New WiKI-Eve attack can steal numerical passwords over WiFi
- Wifi ルーターに接続されたスマホの通信を読み取って数字パスワードを推測するらしいですね。
- https://www.bleepingcomputer.com/news/security/new-wiki-eve-attack-can-steal-numerical-passwords-over-wifi/

脆弱性関連

9/4

Exploit released for critical VMware SSH auth bypass vulnerability
- https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-vmware-ssh-auth-bypass-vulnerability/

9/5

Hackers Exploit MinIO Storage System Vulnerabilities to Compromise Servers
- https://thehackernews.com/2023/09/hackers-exploit-minio-storage-system.html?m=1

9/12

Google fixes another Chrome zero-day bug exploited in attacks
- https://www.bleepingcomputer.com/news/google/google-fixes-another-chrome-zero-day-bug-exploited-in-attacks/
Apple fixes 0-Day Vulnerability in Older Operating Systems
- https://isc.sans.edu/diary/rss/30210

9/13

A NEW REPOJACKING ATTACK EXPOSED OVER 4,000 GITHUB REPOSITORIES TO HACK
- Githubの脆弱性。リポハイジャック攻撃だそうです。
- https://securityaffairs.com/150713/hacking/repojacking-attack-github-repositories.html?amp=1

9/14

Cisco Zero-Day Vulnerability Exploited by LockBit and Akira (CVE-2023-20269)
- https://socradar.io/cisco-zero-day-vulnerability-exploited-by-lockbit-and-akira-cve-2023-20269/

9/15

Microsoft Uncovers Flaws in ncurses Library Affecting Linux and macOS Systems
- https://thehackernews.com/2023/09/microsoft-uncovers-flaws-in-ncurses.html?m=1

9/19

Webサイトの改ざん被害、原因のacmailerの脆弱性をさくらインターネットが警告
- https://xtech.nikkei.com/atcl/nxt/column/18/00598/021300233/
- acmailer、CGIベースなんですね。。。以下、注意喚起
  - https://help.sakura.ad.jp/notification/n-2621/

9/20

Apache Struts 2にサービス運用妨害（DoS）の脆弱性
- https://scan.netsecurity.ne.jp/article/2023/09/19/49962.html

9/28

WATCH OUT! CVE-2023-5129 IN LIBWEBP LIBRARY AFFECTS MILLIONS APPLICATIONS
- https://securityaffairs.com/151576/hacking/cve-2023-5129-libwebp-flaw.html

分析手法、ツール関連

9/2

Free Key Group ransomware decryptor helps victims recover data
- ランサムウェアの復号化ツールの記事。
- https://www.bleepingcomputer.com/news/security/free-key-group-ransomware-decryptor-helps-victims-recover-data/

9/26

How to trace an IP address using OSINT
- https://medium.com/@samuel.i.steers/how-to-trace-and-ip-address-using-osint-e9e0e8887bc0

How to Extract Hidden Information from an Email
- https://medium.com/@samuel.i.steers/how-to-extract-hidden-data-from-an-email-6ff88ac16aba

9/29

IPv4 Addresses in Little Endian Decimal Format
- 気をつけます。。
- https://isc.sans.edu/diary/rss/30256

解析・分析・研究記事

9/2

BadBazaar espionage tool targets Android users via trojanized Signal and Telegram apps
- https://www.welivesecurity.com/en/eset-research/badbazaar-espionage-tool-targets-android-users-trojanized-signal-telegram-apps/
QakBot, One of The Most Observed Malware
- 最近、解体されたと記載がありますね。
- https://socradar.io/qakbot-one-of-the-most-observed-malware/

9/4

Analysis of a Defective Phishing PDF
- https://isc.sans.edu/diary/rss/30184
Securonix Threat Labs Security Advisory: Threat Actors Target MSSQL Servers in DB#JAMMER to Deliver FreeWorld Ransomware
- https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/

9/5

「OneNote」を悪用するマルウエア
- https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111900071/081700046/

9/7

宿泊施設を狙った攻撃メール: Vidar Stealerの分析
- https://security.macnica.co.jp/blog/2023/08/post-2.html
「OneNote」を悪用するマルウエア
- https://www.mbsd.jp/news/20230906/media/

9/8

Mac users targeted in new malvertising campaign delivering Atomic Stealer
- https://www.malwarebytes.com/blog/threat-intelligence/2023/09/atomic-macos-stealer-delivered-via-malvertising
Cybercriminals target graphic designers with GPU miners
- 確かにグラフィックデザイナーなら高性能なGPUを使ってそうですね。
- https://blog.talosintelligence.com/cybercriminals-target-graphic-designers-with-gpu-miners/
How an APT technique turns to be a public Red Team Project
- https://yoroi.company/research/how-an-apt-technique-turns-to-be-a-public-red-team-project/
GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告
- ちょっと怖いですね。DOMもただHTML読み込むのでなく、認証とか、アクセス制限とかを気にしないといけないのでしょうかね。
- https://gigazine.net/news/20230907-chrome-extensions-steal-passwords/

9/12

Cybercriminals Using PowerShell to Steal NTLMv2 Hashes from Compromised Windows
- https://thehackernews.com/2023/09/cybercriminals-using-powershell-to.html?m=1
BlueShell Used in APT Attacks Against Korean and Thai Targets
- https://asec.ahnlab.com/en/56941/?s=09

9/13

New \'MetaStealer\' malware targets Intel-based macOS systems
- https://www.bleepingcomputer.com/news/security/new-metastealer-malware-targets-intel-based-macos-systems/

9/14

Malware distributor Storm-0324 facilitates ransomware access
- https://www.microsoft.com/en-us/security/blog/2023/09/12/malware-distributor-storm-0324-facilitates-ransomware-access/

9/15

Website served password-stealing Linux malware for 3 years
- https://mybroadband.co.za/news/security/507970-website-served-password-stealing-linux-malware-for-3-years.html

9/19

Email campaigns leverage updated DBatLoader to deliver RATs, stealers
- DKIMやDMARCの認証を通過すると書いてあるようですね。
- https://securityintelligence.com/posts/email-campaigns-leverage-updated-dbatloader-deliver-rats-stealers/
RedLine/Vidar Abuses EV Certificates, Shifts to Ransomware
- こちらも証明書関連
- https://www.trendmicro.com/en_us/research/23/i/redline-vidar-first-abuses-ev-certificates.html?s=09
Silent Skimmer: Online Payment Scraping Campaign Shifts Targets From APAC to NALA
- https://blogs.blackberry.com/en/2023/09/silent-skimmer-online-payment-scraping-campaign-shifts-targets-from-apac-to-nala
From ERMAC to Hook: Investigating the technical differences between two Android malware variants
- https://research.nccgroup.com/2023/09/11/from-ermac-to-hook-investigating-the-technical-differences-between-two-android-malware-variants/

9/20

Inside XWorm: Malware Analysts Decode the Stealthy Tactics of the Latest Variant
- https://thehackernews.com/2023/09/inside-code-of-new-xworm-variant.html

9/21

Devo Cybersecurity Burnout Survey:Quick Read Report Conducted by Wakefield Research on behalf of Devo
- サイバーセキュリティ専門家の燃え尽き症候群による影響調査だそうです。
- https://www.devo.com/wp-content/uploads/2023/09/Devo-Cybersecurity-Burnout-Survey-Quick-Read-Report.pdf
- こちらの記事では同調査を元に燃え尽き症候群がデータ侵害の原因になっていると書かれていますね。
- 83% of IT Security Professionals Say Burnout Causes Data Breaches
  - https://www.darkreading.com/attacks-breaches/83-of-it-security-professionals-say-burnout-causes-data-breaches-

9/25

RedEyes (ScarCruft)'s CHM Malware Using the Topic of Fukushima Wastewater Release
- https://asec.ahnlab.com/en/56857/?s=09
Securonix Threat Labs Security Advisory: New STARK#VORTEX Attack Campaign: Threat Actors Use Drone Manual Lures to...
- https://www.securonix.com/blog/threat-labs-security-advisory-new-starkvortex-attack-campaign-threat-actors-use-drone-manual-lures-to-deliver-merlinagent-payloads/
BYPASSING WINDOWS DEFENDER AND PPL PROTECTION WITH PPLBLADE TO DUMP LSASS WITHOUT DETECTION
- https://tacticaladversary.io/adversary-tactics/bypass-defender-and-ppl-protection-to-dump-lsass/?s=09

9/28

npm packages caught exfiltrating Kubernetes config, SSH keys
- https://blog.sonatype.com/npm-packages-caught-exfiltrating-kubernetes-config-ssh-keys

9/29

Surprise: When Dependabot Contributes Malicious Code
- https://checkmarx.com/blog/surprise-when-dependabot-contributes-malicious-code/

ダークウェブ

9/8

The Initial Access Broker Economy: A Deep Dive into Dark Web Hacking Forums
- イニシャル・アクセス・ブローカーのダークウェブ上での動向に関する記事のようですね。
- https://www.bleepingcomputer.com/news/security/the-initial-access-broker-economy-a-deep-dive-into-dark-web-hacking-forums/
'Classified' Intel on the 'Public' Telegram Channel: Pentagon US Leak
- https://socradar.io/classified-intel-on-the-public-telegram-channel-pentagon-us-leak/

9/20

Hacking forum Raidforums.com allegedly seized by authorities
- https://www.hackread.com/hacking-forum-raidforums-com-seized-by-authorities/

Storm-0558

9/7

Results of Major Technical Investigations for Storm-0558 Key Acquisition
- https://msrc.microsoft.com/blog/2023/09/results-of-major-technical-investigations-for-storm-0558-key-acquisition/
Hackers stole Microsoft signing key from Windows crash dump
- https://www.bleepingcomputer.com/news/microsoft/hackers-stole-microsoft-signing-key-from-windows-crash-dump/

9/8

中国系ハッカーが署名キーをWindowsのクラッシュダンプから盗み出していたことが判明
- https://gigazine.net/news/20230907-msa-key-windows-crash-dump/

レポート・まとめ

9/2

パスワードの利用実態調査2023 ～8割以上がパスワードを使いまわし、約2割が不正アクセスや情報流出の被害に～
- 以前からあまり変わらない印象です。
- https://www.trendmicro.com/ja_jp/about/press-release/2023/pr-20230831-01.html

9/5

貿易額21兆円の港がダウンした日
- ７月の名古屋港のインシデントに関するNHKの記事。
- https://www3.nhk.or.jp/news/html/20230905/k10014183621000.html?s=09

9/7

地方自治体 34% ランサムウェア身代金支払い～ソフォスグローバル調査
- https://scan.netsecurity.ne.jp/article/2023/09/06/49907.html
Main Analytical Frameworks for Cyber Threat Intelligence
- 脅威インテリジェンス関連のフレームワークのまとめ。
- https://socradar.io/main-analytical-frameworks-for-cyber-threat-intelligence/

9/8

It's Official: Cars Are the Worst Product Category We Have Ever Reviewed for Privacy
- 自動車業界のプライバシーとセキュリティに関する調査のようですね。
- https://foundation.mozilla.org/en/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/

9/12

ランサムウェア被害を法執行機関に相談すればコストを平均47万ドル下げられる─IBM調査「2023年データ侵害のコストに関する調査レポート」日本語版
- https://it.impress.co.jp/articles/-/25336
World Security Report Finds Physical Security Incidents Cost Companies USD \$1T in 2022
- 被害額に関するレポートが2つ出ているのですかね。上のものがIBM、こちらはWorld Security Reportでしょうか。
- https://www.darkreading.com/physical-security/world-security-report-finds-physical-security-incidents-cost-companies-usd-1t-in-2022

9/13

Check Point: Hackers Are Dropping USB Drives at Watering Holes
- 図Aとして業界別に（週単位で？）攻撃をどのくらい受けているかのグラフがありますね。やはり教育関係と医療関係は多いようですね。
- https://www.techrepublic.com/article/check-point-hackers-usb/
Cobalt Strike Leak, Sales of Unauthorized Access and Credit Card Data
- https://socradar.io/cobalt-strike-leak-sales-of-unauthorized-access-and-credit-card-data/

9/14

フォーティネット、2023年 OTサイバーセキュリティレポート発表
- https://scan.netsecurity.ne.jp/article/2023/09/13/49941.html

9/20

サイバーセキュリティクラウド、教育機関へのサイバー攻撃が増加と報告
- https://edu.watch.impress.co.jp/docs/news/1532236.html

9/21

Schools Are the Most Targeted Industry by Ransomware Gangs
- やはり学校が狙われているようですね。
- https://www.hackread.com/schools-most-targeted-industry-ransomware-gangs/

9/26

KPMGコンサルティング、「サイバーセキュリティ主要課題2023」（日本語版）を発表
- https://assets.kpmg.com/content/dam/kpmg/jp/pdf/2023/jp-cyber-considerations-2023.pdf
増加するLinux向けランサムウェア攻撃：2022年年間のLinuxにおける脅威動向分析（トレンドマイクロ）
- https://www.trendmicro.com/ja_jp/research/23/i/the-linux-threat-landscape-report.html

6/29

LockBit被害の菱機工業、苦い教訓を反映した4種類のセキュリティー対策
- https://xtech.nikkei.com/atcl/nxt/column/18/00001/08441/

官公庁・組織・団体公表

CISA

9/11

NATION-STATE ACTORS EXPLOIT FORTINET FORTIOS SSL-VPN AND ZOHO MANAGEENGINE SERVICEDESK PLUS, CISA WARNS
- https://securityaffairs.com/150508/hacking/fortinet-fortios-zoho-attacks.html?amp=1

NIST

9/19

The NIST Cybersecurity Framework 2.0
- 8月からコメント受け付けてたんですね。。。
- https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-20/ipd

NCSC,NCA

9/14

Ransomware, extortion and the cyber crime ecosystem
- https://www.ncsc.gov.uk/whitepaper/ransomware-extortion-and-the-cyber-crime-ecosystem?s=09

NISC

9/26

サイバーセキュリティ関係法令Q＆Aハンドブック Ver.2.0
- https://security-portal.nisc.go.jp/guidance/law_handbook.html?s=09

9/29

中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）
- https://www.nisc.go.jp/pdf/press/20230927NISC_press.pdf
- 以下記事で特定したと言ってますね。
- サイバー攻撃、中国背景の集団「ブラックテック」と特定　警察庁長官
  - https://www.asahi.com/articles/ASR9X4CJVR9XUTIL009.html?ref=rss

IPA

9/4

スマート工場化でのシステムセキュリティ対策事例調査報告書
- https://www.ipa.go.jp/security/controlsystem/securityreport-smartfactory-2023.html?s=09

OT

9/1

A Brief History of ICS-Tailored Attacks★
- https://www.darkreading.com/attacks-breaches/brief-history-of-ics-tailored-attacks

9/7

MITRE AND CISA RELEASE CALDERA FOR OT ATTACK EMULATION
- https://securityaffairs.com/150420/hacking/cisa-mitre-caldera-for-ot.html?amp=1

インシデント個別

業界別インシデント

業種分類表などを用いて分類を試みていますが、間違い等ありましたらご容赦ください。

暗号資産

9/2

FTXユーザーへのフィッシング攻撃が発生──破産処理代理人からデータが漏洩か
- SIMスワップ攻撃の後にフィッシング攻撃があったと記載ありますね。
- https://www.coindeskjapan.com/199222/

製造

9/5

当社海外子会社への不正アクセスについて（関西ペイント株式会社）
- 海外子会社に対するランサムウェアのようですね。
- https://www.kansai.co.jp/news/press23/publicrelationsnewsarticle.html-35?s=09

9/6

Chipmaker NXP confirms data breach involving customers' information
- https://techcrunch.com/2023/09/05/chipmaker-nxp-confirms-data-breach-involving-customers-information/?guccounter=1

9/28

ワコールHD英国子会社に不正アクセス　受発注できず
- https://www.nikkei.com/article/DGXZQOUF277540X20C23A9000000/
- 以下、情報公開
- 英国子会社への不正アクセスについて（株式会社ワコールホールディングス）
  - https://www.wacoalholdings.jp/ir/topics/files/wacoalholdingsnews20230926_1.pdf

自動車

9/19

不正アクセス発生による個人情報流出可能性のお知らせとお詫び（マツダ株式会社）
- https://newsroom.mazda.com/ja/publicity/release/2023/202309/230915a.pdf

情報通信

9/2

LogicMonitor customers hacked in reported ransomware attacks
- https://www.bleepingcomputer.com/news/security/logicmonitor-customers-hacked-in-reported-ransomware-attacks/
Sourcegraph website breached using leaked admin access token
- https://www.bleepingcomputer.com/news/security/sourcegraph-website-breached-using-leaked-admin-access-token/
SNS「ピクブラ」ユーザー情報80万件流出、復号キーも　「全サーバとプログラム廃棄して再構築」へ
- https://www.itmedia.co.jp/news/spv/2308/30/news103.html

9/4

個人情報流出事件によるサービス停止のお知らせ（株式会社GMW）
- ８月のインシデントで、情報公開が９月まで続いているようです。
- https://pictbland.net/?s=09

9/7

個人情報の流出に関するお知らせとお詫び（朝日新聞社）
- サイバー攻撃だったのか、システム不具合だったのか明確な記載がないようですね。
- https://www.asahi.com/corporate/info/14998817?s=09

9/8

他人口座にログイン　421万円を不正送金、容疑で2人再逮捕　茨城県警
- SIMスワップ詐欺のようですね。ここに配置するのが良いのか分かりませんが。
- https://ibarakinews.jp/news/newsdetail.php?f_jun=16939914699703

9/11

Associated Press warns that AP Stylebook data breach led to phishing attack
- https://www.bleepingcomputer.com/news/security/associated-press-warns-that-ap-stylebook-data-breach-led-to-phishing-attack/

9/19

When MFA isn\'t actually MFA
- どういう被害だったかを詳しく書いてくれるようです。
- https://retool.com/blog/mfa-isnt-mfa/

9/25

90GB of Data Posted on Hacker Forum Linked to T-Mobile Glitch
- https://www.hackread.com/t-mobile-glitch-90gb-data-hacker-forum/

9/29

当社の社内システムに対する不正アクセスについて（富士ソフト株式会社）
- https://www.fsi.co.jp/company/news/20230927.html?s=09
Johnson Controls International suffered a ransomware attack that impacted the operations of the company and its subsidiaries.
- ICS/SCADAベンダーという記載がありますね。
- https://securityaffairs.com/151636/cyber-crime/dark-angels-team-ransomware-group-hit-johnson-controls.html

教育

9/2

本学が利用するサーバーへの不正アクセスによる学生・教員等の氏名等個人情報漏洩のおそれについて（長崎県立大学）
- https://sun.ac.jp/files/libs/58894/202308221848569773.pdf

9/4

University of Sydney data breach impacts recent applicants
- https://www.bleepingcomputer.com/news/security/university-of-sydney-data-breach-impacts-recent-applicants/

本学への不正アクセスによる個人情報の流出の可能性に関するお知らせとお詫び（山形大学）
- https://www.yamagata-u.ac.jp/jp/information/info/20230901/?s=09

9/5

政策研究大学院大学の情報システムに対する不正アクセスの調査報告書
- ８月の報告ですね。侵害の手法、期間などをしっかり記載しています。
- https://www.grips.ac.jp/cms/wp-content/uploads/2023/08/20230822_Report_J.pdf#page4

9/7

University of Michigan requires password resets after cyberattack
- 攻撃の話題ではなく、攻撃を受けた後のパスワード強制変更に関する記事ですね。
- https://www.bleepingcomputer.com/news/security/university-of-michigan-requires-password-resets-after-cyberattack/

9/12

SOME OF TOP UNIVERSITIES WOULDN'T PASS CYBERSECURITY EXAM: LEFT WEBSITES VULNERABLE
- https://securityaffairs.com/150596/security/top-universities-cybersecurity-failures.html?amp=1

9/25

県北の公立小学校に不正アクセス県教育庁が注意呼びかけ（福島）
- https://www3.nhk.or.jp/lnews/fukushima/20230925/6050024036.html?s=09
900 US Schools Impacted by MOVEit Hack at National Student Clearinghouse
- 大学にレポートや調査を提供する団体が感染し、そこを利用する大学に影響が出ているようですね。サプライチェーンと言えるのでしょうかね。
- https://www.securityweek.com/900-us-schools-impacted-by-moveit-hack-at-national-student-clearinghouse/

医療・医薬・ヘルス

9/4

セキュアファイル転送サービス「MOVEit」に重大な脆弱性、医療従事者の個人情報流出の可能性
- https://scan.netsecurity.ne.jp/article/2023/09/01/49896.html

9/7

Notice of Data Incident(Janssen CarePath)
- https://www.janssencarepath.com/notice-of-data-incident
- 以下、関連記事。
- IBM Addresses Data Incident for Janssen CarePath Database
  - https://www.darkreading.com/attacks-breaches/ibm-addresses-data-incident-for-janssen-carepath-database

9/11

RAGNAR LOCKER GANG LEAKS DATA STOLEN FROM THE ISRAEL'S MAYANEI HAYESHUA HOSPITAL
- https://securityaffairs.com/150540/hacking/mayanei-hayeshua-hospital.html?amp=1
RHYSIDA RANSOMWARE GANG CLAIMS TO HAVE HACKED THREE MORE US HOSPITALS
- https://securityaffairs.com/150585/cyber-crime/rhysida-ransomware-us-hospitals.html?amp=1

9/12

「体臭対策ドットコム」に不正アクセス、227名のカード情報が漏えい
- https://scan.netsecurity.ne.jp/article/2023/09/12/49936.html

9/13

Israeli Hospital Hit By Ransomware Attack, 1TB Data Stolen
- https://www.darkreading.com/dr-global/israeli-hospital-hit-by-attackers-1tb-data-stolen

9/25

BORN Ontario child registry data breach affects 3.4 million people
- https://www.bleepingcomputer.com/news/security/born-ontario-child-registry-data-breach-affects-34-million-people/

飲食

9/4

鹿児島餃子の王将ホームページ改ざんされる「破産手続き始めた」と虚偽情報不正アクセス、米国経由か
- https://news.yahoo.co.jp/articles/9b283dbadc38229d450e657566a57238bb178445

小売、卸売

9/13

コクヨ社グループ情報システムに対する外部攻撃に関するご報告とお詫び（アスクル株式会社）
- サプライチェーンによる影響ですかね。
- https://www.askul.co.jp/shopnews/news_230823_kokuyo.html?s=09

9/19

二段階認証も突破？ Amazonの不正利用でギフトカードを大量購入される被害相次ぐ
- https://internet.watch.impress.co.jp/docs/yajiuma/1531794.html

電気機器

9/14

当社グループが管理するサーバへの不正アクセスについて（アルプスアルパイン株式会社）
- https://www.alpsalpine.com/cms.media/20230912_Cyber_Attack_J_104fbf84ee.pdf

9/15

当社グループが管理するサーバへの不正アクセスについて(第2報)（アルプスアルパイン株式会社）
- https://www.alpsalpine.com/cms.media/20230914_Cyber_Attack_Update_e3cfd1ee27.pdf

9/26

RANSOMEDVC Ransomware Group Claims Breach of Sony Corporation
- 攻撃者が主張している段階のようです。
- https://www.hackread.com/ransomedvc-ransomware-group-sony-cyberattack/

エネルギー

9/2

処理水の海洋放出に起因した日本企業へのサイバー攻撃に対する注意喚起
- https://www.lac.co.jp/lacwatch/alert/20230831_003494.html

9/19

China-Linked Hackers Breached a Power Grid---Again
- https://www.wired.com/story/china-redfly-power-grid-cyberattack-asia/?s=09

官公庁

9/4

湘南国際村センターのホームページ改ざん及び運営会社に関する偽情報のメール配信について
- https://www.pref.kanagawa.jp/docs/y2w/prs/r9842871.html?s=09
PCを遠隔操作される　東平尾公園の利用者104人分の個人情報が流出した可能性
- フェイクアラート（テクニカルサポート詐欺）のようですね。
- https://www.fbs.co.jp/news/sp/news965ufmfqum9yvgullr.html

9/12

神奈川県委託事業者に不正アクセス、バックアップはなくデータ復旧困難
- https://scan.netsecurity.ne.jp/article/2023/09/11/49931.html

9/20

県委託業務受託者のホームページへの不正アクセスによる情報漏洩について(富山県)
- https://www.pref.toyama.jp/1300/kensei/kouhou/houdou/2023/9gatu/202309jyouhourouei.html?s=09

9/25

City of Dallas Details Ransomware Attack Impact, Costs
- https://www.securityweek.com/city-of-dallas-details-ransomware-attack-impact-costs/
- 元のレポート。
- THE CITY OF DALLAS RANSOMWARE INCIDENT:MAY 2023 Incident Remediation Efforts and Resolution
  - https://dallascityhall.com/DCH%20Documents/dallas-ransomware-incident-may-2023-incident-remediation-efforts-and-resolution.pdf

運送

9/19

ORBCOMM ransomware attack causes trucking fleet management outage
- ランサムウェアでトラック輸送管理ソリューションに影響が出ているという記事のようです。
- https://www.bleepingcomputer.com/news/security/orbcomm-ransomware-attack-causes-trucking-fleet-management-outage/

建設

9/5

セキュリティに関する重要なご報告（株式会社エフトリア）
- 二重脅迫型ランサムウェアのようですね。
- https://www.ftria.co.jp/doc/20230825.pdf

娯楽

9/6

HACKERS STOLE \$41M WORTH OF CRYPTO ASSETS FROM CRYPTO GAMBLING FIRM STAKE
- https://securityaffairs.com/150401/hacking/crypto-gambling-firm-stake-hacked.html?amp=1

9/12

MGM Resorts shuts down website, computer systems after \'cybersecurity incident\'
- https://www.theregister.com/2023/09/11/mgm_resorts_cybersecurity_incident/

9/15

ALPHV Ransomware Used Vishing to Scam MGM Resorts Employee
- MGMリゾートの攻撃にヴィッシングが使われたと言う記事のようです。
- https://www.hackread.com/alphv-ransomware-vishing-mgm-resort-employee/

9/19

MGM, Caesars Face Regulatory, Legal Maze After Cyber Incidents
- MGMリゾートに関するその後の動向
- https://www.darkreading.com/attacks-breaches/mgm-caesars-regulatory-legal-maze-cyber-incidents

非営利団体関連

9/6

Freecycle Data Breach Impacts 7 Million Users
- https://www.hackread.com/freecycle-data-breach-impacts-7-million-users/

セキュリティ

9/26

DARKBEAM LEAKS BILLIONS OF EMAIL AND PASSWORD COMBINATIONS
- Elasticsearchの設定ミスで漏洩したということのようですね。
- https://securityaffairs.com/151566/security/darkbeam-data-leak.html

SBOM関連

9/26

テルモ、医療機器にサイバー対策　ソフト欠陥素早く修正
- https://www.nikkei.com/article/DGXZQOUC2145N0R20C23A8000000/?s=09

啓蒙・教育・人材関連

9/15

"ハッカー体験"ボードゲーム、IPAが無料公開　攻撃者視点で防御を学ぶ　手番は「最近怪しいメールが来た人」から
- https://www.itmedia.co.jp/news/spv/2309/14/news123.html
- 以下、IPAサイト
- 攻撃者視点の獲得を目的としたボードゲーム：Cyber Attacker Placement
  - https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/cyber-attacker-placement.html

9/20

サイバー攻撃における12の手法の事例と対策
- https://ascii.jp/elem/000/004/157/4157234/

9/25

脚光を浴びる「プラス・セキュリティ人材」--求められる理由とは
- セキュリティ以外の仕事をしていた人がセキュリティの知識を身に付けた人材と言うことなんでしょうかね。詳しく読めていませんが、そういうタイプの人材は必要だと思いますね。
- https://japan.zdnet.com/article/35209032/

サプライチェーン関連

9/7

OpenSSF Expands Supply Chain Integrity Efforts with S2C2F
- サプライチェーン関係のフレームワークのようですね。
- https://openssf.org/blog/2022/11/16/openssf-expands-supply-chain-integrity-efforts-with-s2c2f/

気になった記事

9/4

Microsoft is killing WordPad in Windows after 28 years
- 確かに、ワードパッドってあまり使う機会が無いですね。テキストで開くときはメモ帳か、テキストエディタを使いますね。。。ワードパッドは微妙に起動が遅いのも使わない理由ですね。。。
- https://www.bleepingcomputer.com/news/microsoft/microsoft-is-killing-wordpad-in-windows-after-28-years/

9/5

NICTを「ニクト」って読んじゃダメなの？　直接聞いた　意外な事実判明
- 読んでました。。。
- https://www.itmedia.co.jp/news/spv/2309/05/news126.html

9/12

Microsoft to kill off third-party printer drivers in Windows
- https://www.theregister.com/2023/09/11/go_native_or_go_home/

9/20

Microsoft AI researchers accidentally leaked terabytes of private data
- https://mybroadband.co.za/news/security/508514-microsoft-ai-researchers-accidentally-leaked-terabytes-of-private-data.html

9/26

How the Cult of the Dead Cow plans to save the internet
- 斜め読みですが、タイトルほど大きな話ではないように思いました。
- https://cyberscoop.com/cult-of-the-dead-cow-veilid/

2023-09-26

C2フレームワークの比較・検証

このブログは、最近AWSと格闘しているアルバイトのseigo2016が書いています。あるもりすぶろぐの内容は個人の意見です。

はじめに

検証には自身で管理する環境を使用し、自己責任でお願いします。また、この情報を悪用することは絶対に行わないでください。

今回はペネトレーションテスト等で用いられる各種C2フレームワーク6種について、ネットワーク特徴等を中心に検証および比較を行ってみました。フレームワークの検証は有名なものを中心に取り扱っています。

概要

項目比較

C2フレームワーク	検証時の最新バージョン	開発言語(Server)	開発言語(Agent)	ライセンス	Payloadの対応OS	UI	対応プロトコル	URL
Metasploit	6.3.29	Ruby	C/Java/PHP/Python	BSD	Windows/macOS/Linux(TCP) / Windows(HTTPS)	CLI	TCP/HTTP/SMB	GitHub / HP
DeimosC2	v1.1(beta)	Go	Go	MIT	Windows/macOS/Linux	Web	TCP/HTTPS/DNS over HTTPS/QUIC/Pivot over TCP	GitHub
Empire	v5.5.4	Python/PowerShell	PowerShell Python C#	BSD-3-Clause License	Windows/macOS/Linux	CLI/Web	HTTP/S	GitHub / Wiki
Merlin	1.5.1	Go	Go	GPL-3.0	Windows/macOS/Linux	CLI	HTTP/2/3/	GitHub / Docs
Sliver	1.5.41	Go	Go	GPL-3.0	Windows/macOS/Linux	CLI	HTTP/S/DNS	GitHub / Wiki
Covenant	v0.6	C#(.NET Core)	C#(.NET Core)	GPL-3.0	Windows	Web	HTTP/SMB	GitHub / Wiki

WireSharkによるC2通信の確認

環境

それぞれのフレームワークを用いて、Kali上にC2サーバーを構築しました。また、LAN内のWindows上に対応するAgentを設置し、起動しました。

その後、AgentがC2サーバーと通信し、サーバーからAgentにnetstatコマンドを送信し、結果を表示するところまでの通信をWiresharkでキャプチャ・確認しました。

その調査結果を以下にまとめました。

C2サーバーとAgentの通信の特徴

プロキシ

C2フレームワーク	使用プロトコル	Proxy対応	備考
Metasploit	HTTPS	対応
DeimosC2	HTTPS	非対応	現状の検証の範囲では対応していなかった。
Empire	HTTP	対応	デフォルトでシステムのプロキシ設定を利用。オプションで指定も可能。
Merlin	HTTP	対応	HTTP/1.1での通信時に対応。Agent作成時に`-proxy`オプションで指定可能。
Sliver	HTTP	対応	Windows/macOS/Linuxのシステムプロキシを自動検出する。
Covenant	HTTP	対応	Windowsのシステムプロキシを自動検出する。

接続先　

C2フレームワーク	使用プロトコル	エンドポイント	エンドポイントの変更
Metasploit	HTTPS	-	不可
DeimosC2	HTTPS	`/login` `/index` `/settings` `/profile`	可
Empire	HTTP	`GET /admin/get.php` `GET /login/process.php` `GET /news.php` `POST /admin/get.php` `POST /login/process.php`	可
Merlin	HTTP	`POST /`	可
Sliver	HTTP	`POST /sign-up.php`	可
Covenant	HTTP	`GET /en-us/test.html?message=&v=1` `POST /en-us/docs.html?type=55317a8198&v=1`	可

ユーザーエージェント

C2フレームワーク	Raw UserAgent	UserAgent	UserAgentの変更
Metasploit	`Mozilla/5.0 (Macintosh; Intel Mac OS X 13.1; rv:108.0) Gecko/20100101 Firefox/108.0`	Firefox 108 on macOS (Ventura)	可
DeimosC2	なし	-	-
Empire	`Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko`	Internet Explorer 11 on Windows 7	可
Merlin	`Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.85 Safari/537.36`	Chrome 40 on Windows 7	可
Sliver	`Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.2399.821 Safari/537.36`	Chrome 102 on Windows 10	可
Covenant	`Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36`	Chrome 41 on Windows 7	不可

最後に

各C2フレームワーク毎にプロキシ使用する機能の有無や通信先の特徴があることがわかりました。
Web UIで簡単に操作ができるC2フレームワークであっても、User-AgentやProxy、URL等のカスタマイズは可能であることに驚きました。そのため、攻撃に使用された際は、変更可能であることを考慮して、他の特徴等も確認の上調査をする必要があります。

2023-08-23

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの14

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。
各出来事に関するコメントは個人の意見です。

サイバー世界情勢

全体

7/13

巨大ITにデジタル課税「25年発効」　米への税収集中是正
- https://www.nikkei.com/article/DGXZQOUA06ANV0W3A700C2000000/

日本

7/3

富士通、サイバー攻撃対策に不備　総務省が行政指導
- https://www.nikkei.com/article/DGXZQOUC297860Z20C23A6000000/?s=09

7/5

サイバー攻撃の経営リスク明記を　政府、重要インフラで
- https://www.nikkei.com/article/DGXZQOUA041FC0U3A700C2000000/

7/25

＜独自＞サイバー防衛人材育成へ新団体　元次官ら調整役に
- https://www.sankei.com/article/20230723-IHSF7KVBKZPXVNG3A46WYN2RGI/?s=09

7/26

福島原発処理水の海洋放出に関するサイバー脅威について
- https://jp.security.ntt/resources/cyber_security_report/adhoc_CSR_20230725.pdf

アジア

7/4

CHINESE THREAT ACTORS TARGETING EUROPE IN SMUGX CAMPAIGN
- https://research.checkpoint.com/2023/chinese-threat-actors-targeting-europe-in-smugx-campaign/

7/5

4Linuxマルウェア解析から明らかになった、APTグループ「Lazarus」による3CX社へのサプライチェーン攻撃の関与
- https://eset-info.canon-its.jp/malware_info/special/detail/230704.html

7/14

中国ハッキンググループがアメリカ政府組織のメールボックスに不正アクセスしたと判明
- 継続的に記事になっていますね。記載したつもりがしていなかったので、日本語記事を記載しておきます。
- https://gigazine.net/news/20230713-china-based-actors-attack-us-government/

7/19

バングラでサイバー被害相次ぐ、官僚組織や職員に課題
- https://www.nikkei.com/article/DGXZQOCB171UF0X10C23A7000000/

7/25

Lazarus hackers hijack Microsoft IIS servers to spread malware
- https://www.bleepingcomputer.com/news/security/lazarus-hackers-hijack-microsoft-iis-servers-to-spread-malware/

North Korean Cyberspies Target GitHub Developers
- https://www.darkreading.com/attacks-breaches/north-korean-cyber-spies-target-github-developers

7/26

North Korea Leverages SaaS Provider in a Targeted Supply Chain Attack
- https://www.mandiant.com/resources/blog/north-korea-supply-chain

7/31

米軍基地にマルウエアか　中国の工作と推定、有事に起動
- https://www.nikkei.com/article/DGXZQOCB302I90Q3A730C2000000/

北米

7/10

CISA AND FBI WARN OF TRUEBOT INFECTING US AND CANADA BASED ORGANIZATIONS
- https://securityaffairs.com/148241/cyber-crime/truebot-variant-netwrix-auditor-rce.html?amp=1

7/14

National Cybersecurity Strategy implementation plan
- https://www.whitehouse.gov/wp-content/uploads/2023/07/National-Cybersecurity-Strategy-Implementation-Plan-WH.gov_.pdf

7/19

米軍宛メール、ドメイン名タイポで大量にマリ共和国に誤送信　「.mil」を「.ml」で
- https://www.itmedia.co.jp/news/spv/2307/18/news074.html

7/24

U.S. preparing Cyber Trust Mark for more secure smart devices
スマートデバイス向けのサイバーセキュリティ認証を導入すると言う記事のようです。
- https://www.bleepingcomputer.com/news/security/us-preparing-cyber-trust-mark-for-more-secure-smart-devices/

中南米

7/5

Mexico-Based Hacker Targets Global Banks with Android Malware
- https://thehackernews.com/2023/07/mexico-based-hacker-targets-global.html?m=1

7/11

New TOITOIN Banking Trojan Targeting Latin American Businesses
- 中南米は金融関係を標的にした記事が多いように思います。整備が追いついていないなどの事情があるのでしょうかね。
- https://thehackernews.com/2023/07/new-toitoin-banking-trojan-targeting.html?m=1

ヨーロッパ

7/3

Hackers attack Russian satellite telecom provider, claim affiliation with Wagner Group
- https://cyberscoop.com/russian-satellite-hack-wagner-group/

7/5

Swedish Data Protection Authority Warns Companies Against Google Analytics Use
- https://thehackernews.com/2023/07/swedish-data-protection-authority-warns.html?m=1

7/11

RomCom RAT Targeting NATO and Ukraine Support Groups
- https://thehackernews.com/2023/07/romcom-rat-targeting-nato-and-ukraine.html

7/12

Storm-0978 attacks reveal financial and espionage motives
- Storm-0978はRomComのグループと同じようですね。
- https://www.microsoft.com/en-us/security/blog/2023/07/11/storm-0978-attacks-reveal-financial-and-espionage-motives/

Microsoft: Unpatched Office zero-day exploited in NATO summit attacks
- https://www.bleepingcomputer.com/news/security/microsoft-unpatched-office-zero-day-exploited-in-nato-summit-attacks/

7/13

Russian state hackers lure Western diplomats with BMW car ads
- https://www.bleepingcomputer.com/news/security/russian-state-hackers-lure-western-diplomats-with-bmw-car-ads/

7/14

Malicious campaigns target government, military and civilian entities in Ukraine, Poland
- https://blog.talosintelligence.com/malicious-campaigns-target-entities-in-ukraine-poland/

7/18

RUSSIA-LINKED APT GAMAREDON STARTS STEALING DATA FROM VICTIMS BETWEEN 30 AND 50 MINUTES AFTER THE INITIAL COMPROMISE
- https://securityaffairs.com/148488/apt/gamaredon-ttps.html?amp=1

7/25

Norwegian government IT systems hacked using zero-day flaw
- https://www.bleepingcomputer.com/news/security/norwegian-government-it-systems-hacked-using-zero-day-flaw/

7/27

EVOLUTION OF RUSSIAN APT29 -- NEW ATTACKS AND TECHNIQUES UNCOVERED
- https://explore.avertium.com/resource/evolution-of-russian-apt29-new-attacks-and-techniques-uncovered

7/28

Russia throws founder of infosec biz Group-IB in the clink for treason
- https://www.theregister.com/2023/07/26/russia_groupib_founder_prison/

中東

7/3

IRAN-LINKED CHARMING KITTEN APT ENHANCED ITS POWERSTAR BACKDOOR
- https://securityaffairs.com/147995/apt/charming-kitten-powerstar-backdoor.html?amp=1

7/10

IRAN-LINKED APT TA453 TARGETS WINDOWS AND MACOS SYSTEMS
- https://securityaffairs.com/148275/apt/ta453-malware-windows-macos.html?amp=1

アフリカ

7/3

African Nations Face Escalating Phishing & Compromised Password Cyberattacks
- https://www.darkreading.com/dr-global/african-nations-escalating-phishing-compromised-password-cyberattacks

7/4

ANONYMOUS SUDAN CLAIMS TO HAVE STOLEN 30 MILLION MICROSOFT'S CUSTOMER ACCOUNTS
- 翻訳が「匿名のスーダン」。Killnetに関係があると分析する研究者もいるそうですね。
- https://securityaffairs.com/148119/hacktivism/anonymous-sudan-claims-stolen-microsoft-data.html?amp=1

攻撃手法関連

マルウェア全般

7/3

月額900ドルでマルウェア使い放題　MaaSの知られざる実態が判明
- https://www.itmedia.co.jp/enterprise/spv/2307/03/news047.html

7/10

合計150万回ダウンロードされたAndroidアプリが中国のサーバーにデータを送信していたことが判明
- https://gigazine.net/news/20230707-apps-send-data-to-china/

7/18

Malicious USB Drives Targetinging Global Targets with SOGU and SNOWYDRIVE Malware
- マルウェア入りのUSBメモリを指すことで感染が始まるようですが、どのようにして被害者にさせるのでしょうかね。
- https://thehackernews.com/2023/07/malicious-usb-drives-targetinging.html?m=1
- 以下、元の解析記事
- The Spies Who Loved You: Infected USB Drives to Steal Secrets
- https://www.mandiant.com/resources/blog/infected-usb-steal-secrets

Fake TeamViewer Installer Used to Deliver njRAT Malware
- Teamviewerの偽のインストール画面を表示しつつnjRATをインストールするようですね。正規のサイトからインストーラをダウンロードするよう気を付ける必要がありそうです。
- https://www.hackread.com/fake-teamviewer-installer-njrat-malware/
NEW AVRECON BOTNET REMAINED UNDER THE RADAR FOR TWO YEARS WHILE TARGETING SOHO ROUTERS
- https://securityaffairs.com/148447/cyber-crime/avrecon-botnet-targets-soho.html?amp=1

7/31

Related CherryBlos and FakeTrade Android Malware Involved in Scam Campaigns
- 画像ファイルからOCRを利用して情報を獲ろうとするとか書いてありますね。
- https://www.trendmicro.com/en_us/research/23/g/cherryblos-and-faketrade-android-malware-involved-in-scam-campai.html

Emotet

7/7

What's up with Emotet?
- Emotetのまとめ。
- https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/

BlackLotus

7/14

Source code for BlackLotus Windows UEFI malware leaked on GitHub
- コードが漏洩したと言う記事のようですね。
- https://www.bleepingcomputer.com/news/security/source-code-for-blacklotus-windows-uefi-malware-leaked-on-github/

LokiBot

7/18

LokiBot Campaign Targets Microsoft Office Document Using Vulnerabilities and Macros
- https://www.fortinet.com/blog/threat-research/lokibot-targets-microsoft-office-document-using-vulnerabilities-and-macros

Lockbit

7/24

Inside the Mind of a Ransomware Boss: An Interview with the LockBit Administrator
- 中の人にインタビューした記事のようですね。
- https://socradar.io/inside-the-mind-of-a-ransomware-boss-an-interview-with-the-lockbit-administrator/

ランサムウェア

7/3

Proofpoint Blog 26回「世界で最もランサムウェア身代金を支払わない国ニッポン」
- 身代金を支払わないのはケチだからという訳ではないと思います。１回目の支払いの後、追加要求かあって諦めた率が日本は高いですね。
- https://scan.netsecurity.ne.jp/article/2023/07/03/49615.html

7/4

BlackCat Operators Distributing Ransomware Disguised as WinSCP via Malvertising
- https://thehackernews.com/2023/07/blackcat-operators-distributing.html?m=1

7/6

RedEnergy Stealer-as-a-Ransomware Threat Targeting Energy and Telecom Sectors
- ランサムウェア且つスティーラーのようなものでしょうか。二重脅迫型で手でやっていた情報窃取を自動化したとも理解できそうですかね。
- https://thehackernews.com/2023/07/redenergy-stealer-as-ransomware-threat.html?m=1

Microsoft Can Fix Ransomware Tomorrow
- ファイルを作成するAPI関数にレート制限をかけてとありましたが、大量にファイル作成をするプロセスに作成制限をかけて暗号化の進行を遅らせると言うことなんですかね。
- https://www.darkreading.com/vulnerabilities-threats/microsoft-can-fix-ransomware-tomorrow
Ransomware in the cloud
- https://invictus-ir.medium.com/ransomware-in-the-cloud-7f14805bbe82

7/13

Big Head Ransomware Found in Malvertising and Fake Windows Updates
- 偽のWindowsアップデート画面を表示するようですね。
- https://www.hackread.com/big-head-ransomware-fake-windows-updates/
Ransomware payments on record-breaking trajectory for 2023
- https://www.bleepingcomputer.com/news/security/ransomware-payments-on-record-breaking-trajectory-for-2023/

7/19

FIN8 Uses Revamped Sardonic Backdoor to Deliver Noberus Ransomware
- このシマンテックの報告ベースに多数の記事か書かれているようです。
- https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/Syssphinx-FIN8-backdoor

7/21

Mallox Ransomware Group Activity Shifts Into High Gear
- https://www.darkreading.com/attacks-breaches/mallox-ransomware-group-shifts-into-high-gear

7/25

Cl0p Ransomware Gang Leaks MOVEit Data on Clearweb Sites
- https://www.hackread.com/cl0p-ransomware-moveit-data-clearweb-sites/

7/28

Dark Web Profile: 8Base Ransomware
- https://socradar.io/dark-web-profile-8base-ransomware/

7/31

Linux version of Abyss Locker ransomware targets VMware ESXi servers
- https://www.bleepingcomputer.com/news/security/linux-version-of-abyss-locker-ransomware-targets-vmware-esxi-servers/

DDoS

7/5

DDoSia Attack Tool Evolves with Encryption, Targeting Multiple Sectors
- https://thehackernews.com/2023/07/ddosia-attack-tool-evolves-with.html?m=1

7/11

Archive of Our Own Website Suffering Massive DDoS Attacks
- ハクティビスト系と言うことでしょうかね。
- https://www.hackread.com/archive-of-our-own-ao3-faces-ddos-attacks/

7/31

Israel\'s largest oil refinery website offline after DDoS attack
- https://www.bleepingcomputer.com/news/security/israels-largest-oil-refinery-website-offline-after-ddos-attack/

フィッシング

7/4

ANAをかたるフィッシング、件名「【重要】ANAマイレージクラブの会員情報更新のお知らせ」などの不審なメールに注意
- https://internet.watch.impress.co.jp/docs/news/1513374.html

7/5

情シス必見！社員を狙ったフィッシングから見る3つの対策例
- https://www.lac.co.jp/lacwatch/report/20230704_003425.html

7/14

H1 2023 Phishing and Malware Report: Phishing Threats Increase 54%
- フィッシングでなりすましに利用されるブランドに関する報告。個人的に来るフィッシングメールは業界問わずになっている気がします。
- https://www.vadesecure.com/en/blog/h1-2023-phishing-and-malware-report

7/19

Phishers Targeting Diplomats in Kyiv with Fake 2011 BMW Flyers
- https://www.hackread.com/phishers-diplomats-kyiv-fake-2011-bmw-flyers/

セッションハイジャック

7/7

セッションハイジャックとは？被害発生の原因と効果的な対策
- https://www.gmo.jp/security/cybersecurity/cyberattack/blog/session-hijacking/

偽のPoCコード

Linux Hacker Exploits Researchers With Fake PoCs Posted to GitHub
- PoCコードを見つけたらすぐに実行ではなく、コードをチェックする必要が出てきたと言うことでしょうか。ですが、研究者なら、まずコードを分析しそうな気がしますね。
- https://www.darkreading.com/attacks-breaches/linux-hacker-exploits-researchers-with-fake-pocs-posted-to-github

暗号通貨

7/6

Email crypto phishing scams: stealing from hot and cold crypto wallets
- https://securelist.com/hot-and-cold-cryptowallet-phishing/110136/

BEC

7/18

WORMGPT, THE GENERATIVE AI TOOL TO LAUNCH SOPHISTICATED BEC ATTACKS
- WormGPTという攻撃に使用される生成系AIと言うことでしょうかね。判別が難しくなりそうですね。
- https://securityaffairs.com/148504/cyber-crime/wormgpt-bec-attacks.html?amp=1

ディープフェイク

7/11

Deepfake Quantum AI Investment Scam Pops Up on Facebook
- https://www.darkreading.com/endpoint/deepfake-quantum-ai-investment-facebook

解析・分析・研究記事

7/4

Proxyjacking: The Latest Cybercriminal Side Hustle
- プロキシジャッキングと言うそうで、リソースをかすめ取る攻撃のようですね。
- https://www.akamai.com/blog/security-research/proxyjacking-new-campaign-cybercriminal-side-hustle
EXPERTS DETECTED A NEW VARIANT OF NORTH KOREA-LINKED RUSTBUCKET MACOS MALWARE
- https://securityaffairs.com/148042/malware/rustbucket-macos-malware.html?amp=1

7/5

Technical Analysis of Bandit Stealer
- https://www.zscaler.com/blogs/security-research/technical-analysis-bandit-stealer

7/7

DNSの不正使用手法をまとめた技術ドキュメントの公開（JPCERT/CC）
- https://blogs.jpcert.or.jp/ja/2023/07/DNS-Abuse-Techniques-Matrix.html

7/10

情報窃取型マルウェア「ThirdEye」の分析
- https://securegrid.lac.co.jp/app/article/471?s=09

LDAP Queries for Offensive and Defensive Operations
- 参考になりそうです。
- https://www.politoinc.com/post/ldap-queries-for-offensive-and-defensive-operations
The five-day job: A BlackByte ransomware intrusion case study
- https://www.microsoft.com/en-us/security/blog/2023/07/06/the-five-day-job-a-blackbyte-ransomware-intrusion-case-study/

7/12

Exploiting XSS in hidden inputs and meta tags
- HTMLのポップオーバー機能がWAFをすり抜けるという記事のようですね。
- https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags
Undocumented driver-based browser hijacker RedDriver targets Chinese speakers and internet cafes
- https://blog.talosintelligence.com/undocumented-reddriver/

7/13

開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃
- https://blogs.jpcert.or.jp/ja/2023/07/dangerouspassword_dev.html

7/14

Hunting for A New Stealthy Universal Rootkit Loader
- 中国のシステムがダーゲットになっているようですね。
- https://www.trendmicro.com/en_us/research/23/g/hunting-for-a-new-stealthy-universal-rootkit-loader.html

7/18

Welcome to New York: Exploring TA453\'s Foray into LNKs and Mac Malware
- https://www.proofpoint.com/us/blog/threat-insight/welcome-new-york-exploring-ta453s-foray-lnks-and-mac-malware

Analysis of Storm-0558 techniques for unauthorized email access
- https://www.microsoft.com/en-us/security/blog/2023/07/14/analysis-of-storm-0558-techniques-for-unauthorized-email-access/
Storm-0558による複数の問題を悪用したMicrosoft クラウドサービスへの不正アクセスについてまとめてみた
- Storm-0558と言うのは新しいアクターの命名規則によるものなのですね。
- https://piyolog.hatenadiary.jp/entry/2023/07/17/021720

7/24

Prominent Threat Actor Accidentally Infects Own Computer with Info-Stealer
- 脅威アクターが自分のパソコンにもスティーラーが感染していることに気付かずに、窃取した情報として売りに出したと言うことでしょうかね。
- https://www.hudsonrock.com/blog/prominent-threat-actor-accidentally-infects-own-computer-with-info-stealer

FakeSG enters the \'FakeUpdates\' arena to deliver NetSupport RAT
- https://www.malwarebytes.com/blog/threat-intelligence/2023/07/socgholish-copycat-delivers-netsupport-rat

7/27

マルウェアのサンプルによって回避された疑わしいIPアドレス
- https://isc.sans.edu/diary/rss/30068

7/28

JavaScript Analysis for Pentesters
- インクルードされているJavascriptファイルに毎日headでアクセスしてくる人とか居ますよね。
- https://kpwn.de/2023/05/javascript-analysis-for-pentesters/?s=09

Tomcat Under Attack: Exploring Mirai Malware and Beyond
- https://blog.aquasec.com/tomcat-under-attack-investigating-the-mirai-malware

脆弱性関連

7/3

CWE Top 25 Most Dangerous Software Weaknesses
- 具体的な脆弱性ではなく、脆弱性のカテゴリ別のトップ25と読みました。
- https://cwe.mitre.org/top25/

7/4

300,000+ Fortinet firewalls vulnerable to critical FortiOS RCE bug
- https://www.bleepingcomputer.com/news/security/300-000-plus-fortinet-firewalls-vulnerable-to-critical-fortios-rce-bug/

7/7

US Navy-developed tool exploits Microsoft Teams flaw to send malware
- Microsoft Teamsの脆弱性。
- https://mybroadband.co.za/news/security/499155-us-navy-developed-tool-exploits-microsoft-teams-flaw-to-send-malware.html

New StackRot Linux kernel flaw allows privilege escalation
- Linux カーネルの脆弱性。影響を受けるディストリビューションと受けないのがあるようですね。
- https://www.bleepingcomputer.com/news/security/new-stackrot-linux-kernel-flaw-allows-privilege-escalation/

7/11

Apple releases emergency update to fix zero-day exploited in attacks
- https://www.bleepingcomputer.com/news/apple/apple-releases-emergency-update-to-fix-zero-day-exploited-in-attacks/

7/13

Critical RCE found in popular Ghostscript open-source PDF library
- https://www.bleepingcomputer.com/news/security/critical-rce-found-in-popular-ghostscript-open-source-pdf-library/

Exploitable Flaws in QuickBlox Framework Expose Millions of User Records
- https://www.hackread.com/exploitable-flaws-quickblox-expose-user-records/
WordPress の File Manager Advanced Shortcode における任意のファイルがアップロード可能となる脆弱性（Scan Tech Report）
- https://scan.netsecurity.ne.jp/article/2023/07/12/49665.html

7/14

Cisco SD-WAN vManage impacted by unauthenticated REST API access
- https://www.bleepingcomputer.com/news/security/cisco-sd-wan-vmanage-impacted-by-unauthenticated-rest-api-access/

7/18

Thousands of images on Docker Hub leak auth secrets, private keys
- https://www.bleepingcomputer.com/news/security/thousands-of-images-on-docker-hub-leak-auth-secrets-private-keys/

7/19

Cybercriminals Exploiting WooCommerce Payments Plugin Flaw to Hijack Websites
- Wordpress プラグインの支払いプラグインの脆弱性のようですね。支払いへの影響ではなく、サイトがハイジャックされるということでしょうか。
- https://thehackernews.com/2023/07/cybercriminals-exploiting-woocommerce.html?m=1

7/27

Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million Devices to Hacking
- https://thehackernews.com/2023/07/critical-mikrotik-routeros.html?m=1
iTunes の Windows OS 版においてソフトウェアの復元処理中の論理的不備により任意のディレクトリが作成可能となる脆弱性（Scan Tech Report）
- https://scan.netsecurity.ne.jp/article/2023/07/26/49725.html

レポート・まとめ

7/13

ESET Threat Report H1 2023
- https://www.welivesecurity.com/2023/07/11/eset-threat-report-h1-2023/

7/25

300% Increase in the Number of Dark Web References to Manufacturing Organizations
- https://socradar.io/300-increase-in-the-number-of-dark-web-references-to-manufacturing-organizations/
三菱電機と富士フイルムHDに聞く、サイバー攻撃被害の教訓とその後の対策
- https://xtech.nikkei.com/atcl/nxt/column/18/02532/072100001/

ツール関連

7/10

OSINT Tool 'Illicit Services' Shuts Down Amidst Exploitation Concerns
- OSINTを収集するツールが悪用されている可能性があるため作成者が公開を辞めたと読みましたが、結構強力なツールのようなので残念ですね。
- https://www.hackread.com/osint-tool-illicit-services-shuts-down/

官公庁・組織・団体

CISA

7/3

CISA issues DDoS warning after attacks hit multiple US orgs
- https://www.bleepingcomputer.com/news/security/cisa-issues-ddos-warning-after-attacks-hit-multiple-us-orgs/

7/7

リモートアクセスソフトウェアを悪用するインシデント多発、CISAらがセキュア化ガイドを公開
- https://internet.watch.impress.co.jp/docs/column/security/1514078.html

7/18

Free Tools for Cloud Environments
- クラウドを利用する際の無料のセキュリティツールに関する資料のようです。
- https://www.cisa.gov/resources-tools/resources/free-tools-cloud-environments

NIST

NIST Launches Generative AI Working Group
- https://www.darkreading.com/dr-tech/nist-launches-generative-ai-working-group

NISC

7/14

「政府機関等のサイバーセキュリティ対策のための統一基準群」
- https://www.nisc.go.jp/policy/group/general/kijun.html
重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書
- https://www.nisc.go.jp/pdf/policy/infra/rmtebiki202307.pdf

金融庁

7/3

「金融機関のシステム障害に関する分析レポート」の公表について
- システム障害というタイトルなのでサイバーではないかと思いながら確認しましたが、サイバー攻撃を原因とする障害についても含まれていますね。
- https://www.fsa.go.jp/news/r4/sonota/20230630-2/20230630-2.html?s=09

経済産業省

7/7

第1回産業サイバーセキュリティ研究会サイバー攻撃による被害に関する情報共有の促進に向けた検討会
- https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/cyber_attack/001.html?s=09

インシデント関連

逮捕・訴訟関連

7/3

KFCやピザハットの運営会社がランサムウェアと集団訴訟で泣きっ面に蜂
- https://www.itmedia.co.jp/enterprise/spv/2307/01/news021.html

7/10

Technician Indicted for Hacking California Water Treatment Facility
- https://www.hackread.com/hacking-california-water-treatment-facility/

7/11

Former employee charged for attacking water treatment plant
- https://www.bleepingcomputer.com/news/security/former-employee-charged-for-attacking-water-treatment-plant/

7/12

SNSのアカウント名で被疑者断定した大阪府警の誤認逮捕についてまとめてみた
- https://piyolog.hatenadiary.jp/entry/2023/07/11/144448

7/18

IT worker jailed for impersonating ransomware gang to extort employer
- 会社がランサムウェア被害を受けた際にランサムウェアの攻撃者になりすまして身代金を横取りしようとして逮捕と言うことでしょうかね。
- https://www.bleepingcomputer.com/news/security/it-worker-jailed-for-impersonating-ransomware-gang-to-extort-employer/

Twitterの親会社であるXが「Twitterでデータスクレイピングを行い損害を与えた」として4人を提訴、1億3000万円超の損害賠償を求める
- https://gigazine.net/news/20230714-x-corp-lawsuit-twitter-data-scraping/

情報漏えい報告（可能性含む）

7/3

「WOWOWオンデマンド」で個人情報漏えいの可能性、6月9日〜22日にログインしたユーザーが対象
- 不具合でマイページなどで他人の情報が表示されていた可能性があるという内容のようです。
- https://internet.watch.impress.co.jp/docs/news/1512961.html
668人の個人情報、流出の可能性　総合事務局が委託のサイト「ハイサイプロジェクト」　不正アクセスで
- https://nordot.app/1047335554729722359?c=768367547562557440
県運営のシステムに不正アクセス　個人情報１１００件余り流出
- https://www3.nhk.or.jp/lnews/shizuoka/20230701/3030020670.html?s=09

7/4

不正アクセスに伴い流出した可能性のあるメールアドレスへの当社からのご案内について（岩崎通信機株式会社）
- https://www.iwatsu.co.jp/company/newsrelease/news230703/

7/6

当グループのサーバへの不正アクセス発生について（グローリー株式会社）
- https://pdf.irpocket.com/C6457/BYER/aKRQ/nu8a.pdf
- 以下、報道記事。
  - グローリー、不正アクセスで情報流出
  - https://www.nikkei.com/article/DGXZQOUF05BXK0V00C23A7000000/

不正アクセスによる個人情報流出の可能性について（第2報）（ISID）
- https://www.isid.co.jp/news/topics/2023/0705.html

7/10

【お詫び】シェアオフィス「Lieffice」公式ウェブサイトへの不正アクセスの発生及びお客さま情報の漏えいの可能性に（南海電気鉄道株式会社）
- https://www.nankai.co.jp/lib/company/news/pdf/230707_1.pdf

7/11

不正アクセスによる情報流出の可能性に関するお知らせとお詫び(第2報)（社会福祉法人あじろぎ会）
- https://uji-hp.or.jp/news/6547/

7/12

「WOWOWオンデマンド」で別の顧客の個人情報が閲覧可能に、6/30 の公表後も新たな情報漏えいを確認
- https://scan.netsecurity.ne.jp/article/2023/07/11/49657.html
第三者調査結果公表、電通国際情報サービスへの不正アクセス
- https://scan.netsecurity.ne.jp/article/2023/07/11/49658.html

7/14

近大生らの氏名・メアド3549件流出　闇サイトで公開
- https://mainichi.jp/articles/20230713/k00/00m/040/283000c

7/19

VirusTotal Data Leak Exposes Some Registered Customers\' Details
- https://thehackernews.com/2023/07/virustotal-data-leak-exposes-some.html?m=1
弊社が運営する「fkolme.com」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（東谷株式会社）
- https://fkolme.com/syazai.html?s=09

7/21

【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び
- https://www.docomo.ne.jp/info/notice/page/230721_00_m.html
当社サーバへの不正アクセスについて（スカパーJAST株式会社）
- https://www.skyperfectjsat.space/news/detail/post_229.html
委託先サーバーへの不正アクセスに伴う個人情報漏えいの可能性について（国立研究開発法人科学技術振興機構）
- https://www.jst.go.jp/osirase/2023/pdf/20230721.pdf

7/24

【続報】不正アクセスによるお客様の個人情報流出の可能性と、フィッシングサイトに誘導するメッセージの配信について（株式会社ホテルグランヴィア大阪）
- https://www.westjr.co.jp/press/article/items/230719_00_press_hotelgranvia.pdf
- 以下、piyologまとめ
  - 宿泊予約管理システムへの不正アクセスとチャット機能の不正利用についてまとめてみた
  - https://piyolog.hatenadiary.jp/entry/2023/07/22/005314
- 7/26のまとめ記事
  - Booking.comに不正アクセス　国内ホテルの被害相次ぐ
  - https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/072000053/

7/25

北海道大学病院における個人情報を含むUSBメモリの紛失について
- サイバーでないようですが。
- https://www.huhp.hokudai.ac.jp/news/%E5%8C%97%E6%B5%B7%E9%81%93%E5%A4%A7%E5%AD%A6%E7%97%85%E9%99%A2%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E5%80%8B%E4%BA%BA%E6%83%85%E5%A0%B1%E3%82%92%E5%90%AB%E3%82%80usb%E3%83%A1%E3%83%A2%E3%83%AA/

7/26

個人情報の漏洩に関するお詫びとお知らせ（ネットワンシステムズ株式会社）
- https://www.netone.co.jp/news/information/20230724_news.html

7/27

弊社が運営する「東玉オンラインショップ」への不正アクセスによるお客様情報漏えいに関するお詫びとお知らせ（株式会社東玉）
- https://www.tougyoku.com/info/news/top20230725/

不正アクセス報告（可能性含む）

7/3

当社サーバーへの不正アクセスに関するお知らせ（株式会社シーアイエス）
- ランサムウェアによるようですね。
- https://www.cisjp.com/news/detail/post-20200330.html?s=09
札幌日大中高にサイバー攻撃か　ランサムウエア　個人情報流出など調査
https://www.hokkaido-np.co.jp/article/872601

7/6

ランサムウェアによるサイバー攻撃」に関する報道について（学校法人　札幌日本大学学園）
- https://www.sapporonichidai.ed.jp/%E3%80%8C%E3%83%A9%E3%83%B3%E3%82%B5%E3%83%A0%E3%82%A6%E3%82%A7%E3%82%A2%E3%81%AB%E3%82%88%E3%82%8B%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E6%94%BB%E6%92%83%E3%80%8D%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B/

7/12

不正アクセスによる迷惑メール送信のお詫びについて（株式会社富士ロジテックホールディングス）
- https://www.fujilogi.co.jp/news/oshirase20230707.pdf
【重要なお知らせ】弊社サイトから強制的に別サイトに移動する現象について（ASCII.jp）
- https://ascii.jp/elem/000/004/144/4144636/

7/18

JumpCloud discloses breach by state-backed APT hacking group
- https://www.bleepingcomputer.com/news/security/jumpcloud-discloses-breach-by-state-backed-apt-hacking-group/
当社グループタイ法人におけるランサムウェア被害の発生について（株式会社ダイセル）
- https://www.daicel.com/news/2023/20230714_855.html?s=09

7/19

当社サーバへの不正アクセスに関するご報告とお詫び（株式会社千石電商）
- https://www.sengoku.co.jp/info/apology_illegal_access.pdf

7/21

米国子会社への不正アクセスについて（第２報）（株式会社ヤマハ）
- https://www.yamaha.com/ja/news_release/files/news/23072003/pdf/2307200301.pdf

7/31

不正アクセスに関するお知らせ（株式会社ジャックス）
- https://www.jaccs.co.jp/information/emerge/page_00092.html

インシデント調査結果報告

7/5

【重要なお知らせ】弊社ウェブサイトへの不正アクセスに関する最終ご報告（フーヅフリッジ株式会社）
- https://foodsfridge.jp/pdf/announcement_230704.pdf

7/14

【状況報告】ランサムウェア被害の調査結果について（日本コンクリート工業株式会社）
- https://www.ncic.co.jp/wp/wp-content/uploads/2023/07/230707.pdf

7/18

当社グループ会社に対するサイバー攻撃について（アルプスアルパイン株式会社）
- https://www.alpsalpine.com/cms.media/20230714_a34ef04607.pdf

7/20

当社サーバへの不正アクセスに関する調査結果のご報告(第3報)（株式会社エムケイシステム）
- https://contents.xj-storage.jp/xcontents/AS97180/813d570f/5138/4bc7/a113/f4837598df38/140120230719524126.pdf

注意喚起

7/5

弊社「トレンドマイクロ」を装う偽メールの注意喚起
- https://helpcenter.trendmicro.com/ja-jp/article/tmka-10248

7/11

【重要】当社を装った迷惑メール(なりすましメール)に関する注意喚起（アサヒグループ食品株式会社、アマノ通販）
https://www.amanofd.jp/amano/d_images/20230707news.pdf

当社名を騙った「なりすましメール」にご注意ください（住友重機械工業）
https://www.shi.co.jp/info/2023/6kgpsq000000mp87.html

7/18

【注意喚起】当社グループの運営サイトを装ったなりすましサイトにご注意ください。
https://www.septeni-holdings.co.jp/news/update/202307013523.html

7/14

How to secure your business before going on vacation
この時期になると、バケーションに向けての注意記事が出てきますね。コロナも落ち着いてきているので、遠出する人も増えるのでしょうね。
https://www.malwarebytes.com/blog/business/2023/07/how-to-secure-your-business-before-going-on-vacation

7/21

吉田町になりすました不正メールについて
https://www.town.yoshida.shizuoka.jp/7748.htm

7/27

【重要】不正アクセスを防ぐため必ずお読みください（SEGA）
リスト型攻撃に対する注意喚起のようですね。
https://pso2.jp/players/news/30401/

注意事項

7/18

What to Expect When Reporting Vulnerabilities to Microsoft
Microsoftに脆弱性を報告する際の注意事項のようです。やはり報告自体は多いのでしょうかね。
https://msrc.microsoft.com/blog/2023/07/what-to-expect-when-reporting-vulnerabilities-to-microsoft/

再発防止策

7/6

情報漏えい事案に係る再発防止策について（産総研）
https://www.aist.go.jp/aist_j/news/au20230705_2.html?s=09

7/14

お客様情報の漏洩可能性に関するお詫びとお知らせについて（再発防止策のご報告）（TOYOTA）
https://global.toyota/jp/newsroom/corporate/39529198.html

インシデント個別

名古屋港関連

7/3

名古屋港でシステム障害　コンテナ積み降ろしできず
- https://www.tokyo-np.co.jp/article/260973

7/6

名古屋港統一ターミナルシステムのシステム障害について（名古港運協会/名古屋港コンテナ委員会/ターミナル部会）
- https://meikoukyo.com/wp-content/uploads/2023/07/165c5b14bf0021d077a4852f0cb232b8.pdf

名古屋港のシステム障害積み降ろし作業再開は午後以降に
- https://www3.nhk.or.jp/news/html/20230706/k10014119831000.html
名古屋港システム障害、原因は身代金要求型ウイルス...コンテナ搬出入停止続く
- https://www.yomiuri.co.jp/national/20230705-OYT1T50142/
英語で「ランサムウェアに感染」、プリンターから１００枚印刷...名古屋港システム障害
- https://www.yomiuri.co.jp/national/20230705-OYT1T50220/

7/7

トヨタ、輸出部品梱包ラインを7日に停止　名古屋港システム障害で
- https://jp.reuters.com/article/toyota-idJPKBN2YM0G3
名古屋港統一ターミナルシステムのシステム障害について（4）て（名古港運協会/名古屋港コンテナ委員会/ターミナル部会）
- https://meikoukyo.com/wp-content/uploads/2023/07/20230706153533.pdf
【速報】愛知県警が不正アクセス疑いで捜査
- https://www.47news.jp/9552030.html
バックアップからもマルウエア検出で復旧遅れ、名古屋港統一ターミナルシステム
- https://xtech.nikkei.com/atcl/nxt/news/18/15539/?n_cid=nbpnxt_twcm_it

7/11

名古屋港統一ターミナルシステム（NUTS）で、ランサムウェア感染による障害、7月6日の復旧までにコンテナ搬出入作業へ大きな影響
- https://internet.watch.impress.co.jp/docs/news/1515131.html

7/13

社説サイバー攻撃　物流拠点が危機に見舞われた
- https://www.yomiuri.co.jp/editorial/20230712-OYT1T50327/

7/27

NUTS システム障害の経緯報告（名古屋港運協会、名古屋コンテナー委員会、ターミナル協会）
- https://meikoukyo.com/wp-content/uploads/2023/07/0bb9d9907568e832da8f400e529efc99.pdf

業界別インシデント

金融業界関連

7/11

国際決済銀、中銀デジタル通貨のサイバー攻撃対策を公表
- https://jp.reuters.com/article/cenbank-digitalcurrencies-cybersecurity-idJPKBN2YQ047

7/12

Deutsche Bank confirms provider breach exposed customer data
- サプライチェーン攻撃になるのでしょうかね。
- https://www.bleepingcomputer.com/news/security/deutsche-bank-confirms-provider-breach-exposed-customer-data/

産業系関連

7/7

Actively Exploited Industrial Control Systems Hardware - SolarView Series
- https://vulncheck.com/blog/solarview-exploitation

7/14

Dragos Enabled Defense Against APT Exploits for Rockwell Automation ControlLogix
- https://www.dragos.com/blog/mitigating-cves-impacting-rockwell-automation-controllogix-firmware/

教育業界関連

7/31

Hawai\'i Community College pays ransomware gang to prevent data leak
- https://www.bleepingcomputer.com/news/security/hawaii-community-college-pays-ransomware-gang-to-prevent-data-leak/

医療業界関連

7/18

医療機関や事業者向けのサイバーセキュリティー対策チェックリストを提示
- https://medical.nikkeibp.co.jp/leaf/mem/pub/hotnews/int/202307/580451.html

飲料業界関連

7/11

Dole, Pepsi bottler issue more info on recent cyberattacks
- https://therecord.media/dole-pepsi-bottler-issue-more-info-on-recent-cyberattacks
- 提出文書のリンクがあったので見てみましたが、ドールのカリフォルニア州提出の文書は参考になるかもと思いました。
- Dole
  - Data Breach Notifications（メーン州提出）
  - https://apps.web.maine.gov/online/aeviewer/ME/40/3b6a821e-4694-4714-9c17-b8a811dcd2e4.shtml
  - Notoce of Data Breach（カリフォルニア州提出）
  - https://oag.ca.gov/system/files/Dole%20-%20Individual%20Notice%20-%20CA.pdf
- Pepsi
  - Data Breach Notifications（メーン州提出）
  - https://apps.web.maine.gov/online/aeviewer/ME/40/9ccf7ef5-b750-4695-a5da-55508587bcc2.shtml

化粧品業界

7/24

Estee Lauder hit by cyberattack, some business operations affected
- https://www.reuters.com/business/retail-consumer/estee-lauder-says-hacker-obtained-some-data-its-systems-2023-07-19/?s=09

ゲーム業界関連関連

7/31

ハッカーがロビーでウイルスをばらまいたとの疑惑からCall of Duty: Modern Warfare 2(2009)が2023年7月27日にシャットダウン
- https://gigazine.net/news/20230728-call-of-duty-taken-offline/

AI関連

7/3

「ChatGPT様」という思考停止　AI絶対視に危惧、人の役割は
- 昔のSFみたいな話になってきましたね。AIが管理する社会で依存しきっている人類に対し、反旗を翻す主人公というテーマは、20年前くらいにはよく見かけた気がします。
- https://www.asahi.com/articles/ASR6R4WM2R5TULLI001.html?ref=rss
OpenAIに集団訴訟、「ChatGPT」などの訓練用データ収集で
- https://japan.cnet.com/article/35205953/

7/14

知らないとマズい｢ChatGPT｣使う時の法的リスク
- https://toyokeizai.net/articles/-/685154?utm_source=rss&utm_medium=http&utm_campaign=link_back

7/31

「マルウェア入り画像」で生成AIにサイバー攻撃　入力すると回答結果をハック、悪意サイトへの誘導
- https://www.itmedia.co.jp/news/articles/2307/28/news069.html

啓蒙・教育・人材関連

7/10

セキュリティエンジニアを目指すなら知っておいてほしい組織一覧～ FFRI ブログ
- 知ってました。ほっとしました。
- https://scan.netsecurity.ne.jp/article/2023/07/07/49640.html

7/25

セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ
- https://engineers.ffri.jp/entry/2023/07/24/110037

7/27

男子高校生がなりたい職業、「ITエンジニア・プログラマー」が「スポーツ選手」「YouTuber」超え　ソニー生命が調査
- ほんとなんですかね。時代が変わったと言うことなんですかね？
- https://www.itmedia.co.jp/news/spv/2307/26/news106.html

7/28

セキュリティ関連のコンプライアンス基準・ガイドラインを解説～ISO、HIPPA、NIST CSF～
- https://www.trendmicro.com/ja_jp/jp-security/23/g/cybersecurity-compliance-standards.html?s=09

7/31

イニシャルアクセスブローカー
- https://eset-info.canon-its.jp/malware_info/term/detail/00201.html

ダークウェブ関連

7/12

Dark Web Genesis Market for Sale: Operators Seek Buyers for Defunct Enterprise
- https://www.hackread.com/genesis-market-dark-net-for-sale/

7/25

How is the Dark Web Reacting to the AI Revolution?
- ここの所のAIの動向に対するダークウェブの反応に関する記事のようですね。
- https://www.bleepingcomputer.com/news/security/how-is-the-dark-web-reacting-to-the-ai-revolution/

サプライチェーン関連

7/4

A CISO\'s Guide to Paying Down Software Supply Chain Security Debt
- オープンソースのサプライチェーンに関する記事のようです。
- https://www.darkreading.com/vulnerabilities-threats/ciso-guide-paying-down-software-supply-chain-security-debt

7/5

サプライチェーン攻撃で GitHub が汚染されたら
- https://scan.netsecurity.ne.jp/article/2023/07/05/49632.html

7/12

サイバーセキュリティ版「天国と地獄」～サプライヤーへサイバー攻撃、身代金支払いを本体へ請求
- https://scan.netsecurity.ne.jp/article/2023/07/11/49659.html

気になった記事

7/3

転生したらパケットだった、DNS酒場で目的地を聞き出せ
- このパターンは思い付かなかったですね。
- https://xtech.nikkei.com/atcl/nxt/column/18/02505/062000001/
Patch me if you can: Cyberattack Series
- タイトルに惹かれて
- https://www.microsoft.com/en-us/security/blog/2023/06/29/patch-me-if-you-can-cyberattack-series/

7/5

「オンラインで公開されたものすべてをAIのためにスクレイピングする」とGoogleが発表
- User-Agentは新しい物が使われるのでしょうかね。
- https://gigazine.net/news/20230704-google-scrape-everything/

7/19

FBIがNintendo Switchから発信された情報で行方不明の少女を発見
- https://gigazine.net/news/20230718-nintendo-switch-helped-missing-girl/

7/27

メール誤送信事故多発で悪名高いドッペルゲンガードメイン「ｇｍａｉ.ｃｏｍ」はどこの誰が保有しているのか？
- https://scan.netsecurity.ne.jp/article/2023/07/26/49726.html

2023-08-22

エストニア訪問記――サイバーセキュリティは誰の問題か

　Armorisでいろんな案件にたずさわる川崎（筆者）です。

　2023年6月末、とある案件で、弊社CTO鎌田と筆者は北ヨーロッパのエストニアのタリンを訪れました。現地では、エストニアのサイバーセキュリティの権威であり、Armorisの協力メンバーでもあるレイン・オッティス（Rain Ottis）や、NATOサイバー防衛センターのシニアフェローを歴任し、重要インフラ分野にサイバーセキュリティの権威でもあるヤーン・プリッサル（Jaan Priisalu）と、サイバーセキュリティを維持・向上させるためにはどのような方策があるのか議論しました。ここでは、彼らとの議論を通じて得られた重要な論点をまとめます。

必要なのは、ビジネスプロセスへの影響を検討する視点

　サイバーセキュリティを考える際に重要な視点について、とある企業の製造工場を例に考えてみましょう。

　工場に対するサイバー攻撃があったとき、それがIT・システムそのものを標的にしたものであれば、影響範囲はその（IT・システム）周辺にとどめられる可能性があります。例えば、工場の業務用ウェブサイトがDDoS攻撃（サービス妨害攻撃）によってダウンしたとします。これはもちろん迷惑極まりないことですが、事前に定められた事業継続計画に沿って製造を進めている場合、生産現場はそのまま活動を続けることができるかもしれません。そうしているうちにいずれDDoS攻撃は終わります。サイバー攻撃によるダメージがウェブサイトのダウンだけに抑えることができれば、工場の主要なビジネス・プロセスにまで重大な支障をきたすことはないでしょう。

　しかし、攻撃者の狙いが、主要なビジネス・プロセスを制御するコンピューターを危険にさらすことだったとしたらどうでしょう？つまり工場が操業不能になるような攻撃や、顧客の資産を侵害するような攻撃が成功すれば、その企業の事業や財務に深刻な影響を及ぼすでしょう。もしかしたら、企業の評判や市場価値にも暗い影を落とすかもしれません。最悪の場合、製品の品質が損なわれ、消費者を危険にさらすおそれもあります。さらに踏み込んでいえば、市場におけるその企業の競争優位性がサイバー攻撃によって中長期的に損なわれるといったことすら考えられるのです。

サイバーセキュリティは、IT・システム担当者だけの問題ではない

　このように、短期的かつ限られた範囲へのサイバー攻撃というのは、多くの企業にとって、十分に耐えられる範囲の出来事かもしれません。しかし、ビジネス・プロセスそのものが侵害される深刻なサイバー攻撃が起きたとき――その時に企業はどう対応するのか、その準備はできているのか、どうやって準備すればよいのか――こうしたことを考え、対応を実行することが大切になります。より具体的には、IT・システム担当者やサイバーセキュリティ担当者はもちろん、生産ラインや事業部の管理者、工場で働く技術者がインシデント管理に携わることが不可欠です。

　また、経営者は、法執行機関や政府、公的機関、サプライヤー、自社製品を利用する顧客企業、そして一般市民とコミュニケーションを取る必要もあるでしょう。サイバーセキュリティは単独で存在するものではありません。単にIT担当者やサイバーセキュリティ担当者の問題ではなく、組織を構成する全員が主体的に取り組むべき、とも言えます。

自組織を振り返る機会の必要性

　我が国においても、サイバーセキュリティは企業の経営の問題だと指摘されて久しいですが、IT・システムやリスク管理の問題にとどまらず、中長期的な市場競争力の観点からサイバーセキュリティを考えるということも必要になるでしょう。

　地政学的なリスクをはじめ、さまざまな不確実性が高まるなかで、自組織のサイバーセキュリティに対する姿勢の確認など、いまいちど考えてみることも大切かもしれません。また、今回ブログでお伝えしたような、国の枠を越えた知見に触れることも非常に有効な手段になると思います。

　このブログの内容が、皆様の参考になれば幸いです。

2023/8/24（木）追記：レインさんが、9月27日（水）LIVE型オンライン講座「欧州サイバーセキュリティ事情」を開催します。欧州サイバーセキュリティのトレンドをLIVEで解説。受講生も参加できる双方向講座。逐次通訳付きです。ご参加お待ちしております！ https://prtimes.jp/main/html/rd/p/000000002.000123521.html