このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
4月21日収集
全般
フィッシング
- 件名「【NHK】ご利用手続きメール」などのメール、NHKをかたるフィッシングに注意
- NHKの番組配信サービス「NHKプラス」の会員登録画面を装ったウェブサイトに誘導、個人情報とクレジットカードを窃取。
- https://internet.watch.impress.co.jp/docs/news/1404034.html
- https://www.antiphishing.jp/news/alert/nhk_20220419.html
4月22日収集
全般
- 金融庁Webサイトを模倣したサイトに注意喚起
- ウイルス感染の恐れあり。フィッシングのような情報窃取向きのサイトではないので、嫌がらせの意味があるのか?
- https://scan.netsecurity.ne.jp/article/2022/04/21/47495.html
- https://www.fsa.go.jp/news/r3/sonota/20220418.html
- サイバー攻撃組織が「従業員研修」に用いる40ギガバイトの動画が発見される。
- IBM X-forceが発見、解析。まるで企業のようです。
- https://scan.netsecurity.ne.jp/article/2022/04/21/47499.html
- 口座に不正アクセス初公判「ビットコインに変えて山分け」と指摘 大学生の被告は起訴内容認める 愛知
- ユーザーIDとパスワードを不正入手して(入手経路の記載はなし)の犯行。
- https://www.nagoyatv.com/news/?id=012532
- 標的型攻撃とは?どのような手口で攻撃を行うのか?
- 標的型攻撃の手法だけでなく、この攻撃にによって、どういう問題が発生するか、それに対する対策は何があるかを記載しているので、全体像を把握するのに良さそうです。
- https://eset-info.canon-its.jp/malware_info/special/detail/220421.html
- Pythonを活用してパケットを可視化、ネットワークの利用状況が一目瞭然
- セキュリティエンジニアがよく使うとされるPython。ほんとにライブラリが豊富です。
- https://xtech.nikkei.com/atcl/nxt/column/18/02032/041300003/
- EDRログ分析時に気を付けること
- 読んでみて、わかるわ〜と思ってしまいました…。
- https://insight-jp.nttsecurity.com/post/102hmhv/edr
- サイバー攻撃被害情報の共有と公表のあり方について
- 技術を追い掛けていると、なかなかこの方面には目が向かないものですが、対応としては重要な領域です
- https://blogs.jpcert.or.jp/ja/2022/04/sharing_and_disclosure.html
ランサムウェア
- 京成建設サーバにランサムウェア攻撃、データの一部が暗号化
脆弱性
- 「Java」に署名検証がフリーパスになってしまう危険な脆弱性 ~影響は計り知れず
- 対象はJAVA15、パッチは提供済み
- https://news.yahoo.co.jp/articles/be03d572fdb06ceb3fde49d817167f7ab1f70b44
4月27日収集
内部不正
- 日本企業の約8割が内部脅威に対策せず--Imperva調査
emotet
- マルウェアEmotetの感染再拡大に関する注意喚起(更新)
4月28日収集
全般
- MITRE ATT&CKアップデート
脆弱性
emotet
- 「Microsoft Office」がなくても感染する「Emotet」の亜種 ~ショートカットファイル実行で感染
- MicrosoftがVBAをデフォルト無効化するのに対応して、emotetが悪用する技術も変化してきています。ショートカットファイル(拡張子:lnk)を使用し、Poweshellのファイルを作成する手口が出てきています。
- https://news.yahoo.co.jp/articles/36756378dad418538c06591ee8d2405c15bb7f32?source=rss
- https://news.yahoo.co.jp/articles/e76fe1d1f30cd677f7ce37a1a9a445db6b8fd619?source=rss
5月2日収集
全般
- ランサムウェア攻撃を受けた組織は66%、身代金は5倍に--Sophos年次調査
- ランサムウェア:攻撃者が企業ネットワークをどのように侵害しているか
- 侵害するために使用されるツール、脆弱性などが記載されている(英語)
- https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ransomware-hive-conti-avoslocker
- Contiを使用するグループの新しいダウローダー『Bumblebee』(バンブルビー)
ランサムウェア
- 大阪 藤井寺の病院に身代金要求型サイバー攻撃か カルテ使えず
- https://www3.nhk.or.jp/news/html/20220428/k10013604371000.html
不正アクセス
- 宇都宮ケーブルテレビ運営の通販サイトに不正アクセス、3Dセキュアコード含むカード情報が流出
5月2日収集
スピアフィッシング
- ショートカットとISOファイルを悪用する攻撃キャンペーン
- Emotetもそうですが、最近はショートカットファイルを悪用するパターンが増えてきているようです。
- https://security.macnica.co.jp/blog/2022/05/iso.html
ワイパーマルウェア
- 最近のワイパーマルウェア
- ワイパーは、ランサムウェアと違い、破壊が目的のため、PC上の情報を元に戻せなくしたり、OS自体を使えなくします。国家レベルのサイバー攻撃で使用されることが多い印象ですが、覚えておいて損は無いと思います。
- https://cybersecurity.att.com/blogs/labs-research/analysis-on-recent-wiper-attacks-examples-and-how-they-wiper-malware-works
5月9日収集
全般
- サエラ薬局メールアカウントに不正アクセス、スパムメール送信の踏み台に
- 悪用されたメールサーバは数年前から使用されていなかったそうです。開発系のサーバや、利用終了したサーバはセキュリティが低いことが多く、狙われやすいようです。廃棄にもコストはかかりますが、適切に対応することが望ましいと思われます。
- https://scan.netsecurity.ne.jp/article/2022/05/06/47556.html
- 「フィッシング対策協議会」をかたるフィッシング詐欺が確認される、件名「全日本銀行によるネットショッピング認証サービス(3-DSecure) アップグレードに関するお知らせ」のメールに注意
- 今後はセキュリティ系の法人を語るフィッシングが増えるかも知れませんね。今回の場合、フィッシング対策協議会の活動や金融業界に詳しければ、騙されにくいと思いますが、3DSecureをネタにしてるのはうまいと言えそうです。
- https://internet.watch.impress.co.jp/docs/news/1407338.html
- シェルコードをWindowsイベントログに隠す手法
- イベントログを分析しているSOCでは、発見できるのでしょうか…。
- 報告元がカスペルスキーなのが気になるのは、気にしすぎでしょうかね。
- https://securityaffairs.co/wordpress/131025/hacking/windows-event-logs-malware-campaign.html
- ビジネス電子メール(BEC)の被害総額は5年間で430億ドル超、FBIが注意喚起
- BEC詐欺も進化しているようです
- 米のレポートですが、金銭ではなく、個人情報などを送るよう要求してくる場合もあるようです。窃取した情報を売ることで稼ぐのでしょうか。脅迫するパターンも出てきそうですね。
- https://news.mynavi.jp/techplus/article/20220507-2339346/
5月10日収集
全般
- アマゾン、偽レビュー業者を提訴
- 以前、NHKが報道していたと記憶しています。おかげでアマゾンが使いにくくなりました。個人的にはレビューを確認するなど、アマゾンを利用する時の洞察力が培われたように思います。商品がちゃんとしてるなら、とりあえずは問題ないんですけどね…。
- https://japan.cnet.com/article/35187197/
ランサムウェア
- ランサムウェアスポットライト:Conti
- 最近流行っているようです。
- https://blog.trendmicro.co.jp/archives/31156
- Ransomware-as-a-service: Understanding the cybercrime gig economy and how to protect yourself
- 最近のランサムウェアは、裏で人間が操作するタイプになっているようです。WAnnaCryの頃とは状況が異なってきています。
- https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/
5月11日収集
全般
- ~2022年4月の気になるセキュリティニュース~
- 4つの標的型攻撃者グループの活動を日本で観測--トレンドマイクロ
- ハッカーは、WindowsのPrintSpoolerエクスプロイトを介して65,000を超える攻撃を実行しました
- 多分、本件と関係ないですが、ランサムウェア感染後、脅迫文をプリンタで印刷すると言う話は割と耳にする気がします。
- https://www.techrepublic.com/article/hackers-have-carried-out-over-65000-attacks-through-windows-print-spooler-exploit/
- ハッカーはF5BIG-IPバグを積極的に悪用します
- この脆弱性のPoCコードが公開されたようで、悪用に関して界隈で話題になってきているようです。深刻度も9.8とかなり高いので、利用している場合は、対応検討を。
- https://threatpost.com/exploit-f5-big-ip-bug/179563/
- コロナとサイバー攻撃で閉校。
- 経営観点では、けして他人事と思ってはいけない記事かと。
- https://gigazine.net/news/20220511-lincoln-college-close-covid-ransomware/
5月12日収集
全般
- .5.11ハッカーがパスワードを盗む5つの方法と、その対策
- パスワードの盗み方、割り出し方と対策について、記載。
- パスワードではないですが、クレジットカード番号を生成して使えるかどうかを試していくクレジットマスターという手法が昔からありますね。ある意味、クレジットカード番号のブルートフォースと言えたり。
- https://eset-info.canon-its.jp/malware_info/special/detail/220511.html
レポート類
- 国内標的型攻撃分析レポート2022年版を発表
詐欺
- キャノンのプリンタドライバーダウンロード偽サイト詐欺(テクニカルサポート詐欺)
- 偽サイトからダウンロードしようとすると失敗して、サポートに電話するとウィルス感染しているとして金を要求される詐欺らしいです。
- ダウンロードしたドライバーインストーラーがマルウェアだったとかではない……らしいです。
- そういえば、インストールしているウイルス対策ソフトに脆弱性があるので、リモートからの操作でアップデートさせてくれとリモート操作ツールのインストールを促す詐欺があるらしいですね。
- https://blog.malwarebytes.com/scams/2022/05/canon-printer-owners-be-careful-of-bogus-driver-download-sites/
不正アクセス
ランサムウェア
- 2022年の新しいランサムウェアのトレンド
5月13日収集
全般
- サイバー攻撃の損害額はいくらになる? 適正なセキュリティー対策と費用算出の考え方を伝授
- 登録して資料ダウンロードが必要。
- https://diamond.jp/articles/-/302509
- 政府機関はMSPを標的としたサイバー攻撃の増加を警告
- マネージド・サービス・プロバイダー:顧客のサーバのシステム、ネットワークを保守、運用、監視する代行事業者。日本で言うところのシステムベンダーなどが該当し、今後、サプライチェーンリスクの一つとして検討が必要になりそうです。
- https://thehackernews.com/2022/05/government-agencies-warned-of-increase.html?m=1
- 大規模なWordPressJavaScriptインジェクションキャンペーンが広告にリダイレクト
- SQLクエリの変換はWAFセキュリティをバイパスします
- WAFをバイパスするSQLインジェクション手法が発見されたようです。WAFプロバイダーが対応を進めるようですが、しばらく流行するかもしれません。
- https://www.darkreading.com/cloud/transforming-sql-queries-bypasses-waf-security
マルウェア
- サイタマと言う名のバックドア
- ワンパンマンの主人公から取った名称ですかね。IoTマルウェアのMiraiの製作者が『Anna-Senpai』を名乗っていたり(これもアニメのキャラ)、マルウェア製作者はオタクが多いと言うことでしょうか。
- この攻撃はヨルダンの政府関係者を狙ったものです。
- https://blog.malwarebytes.com/threat-intelligence/2022/05/apt34-targets-jordan-government-using-new-saitama-backdoor/
ウクライナ
- 親ロシア派ハッカー集団、伊国防省などにサイバー攻撃
- 日本もG7と協調しているので、攻撃対象に含まれるようになる可能性はあると思われます。
- https://www.afpbb.com/articles/-/3404507
脆弱性
- Active Directoryドメイン特権昇格(CVE-2022–26923)
- https://research.ifcr.dk/certifried-active-directory-domain-privilege-escalation-cve-2022-26923-9e098fe298f4?gi=ebd96aa5d588
5月16日収集
全般
- 病院のサイバー攻撃防げ 警視庁、セミナーで「感染」実演
- 今後は、病院等医療関係者への啓蒙活動が必要になるのかも。
- https://www.asahi.com/articles/ASQ5F3J3BQ5DUTIL01P.html?ref=rss
- サイバーレジリエンス重視で、ランサムウェア対応などを改善する
脆弱性
- Spring4Shell(CVE-2022-22965)を悪用したコインマイナーの攻撃を観測
DDoS
- イタリアのCERT:ハクティビストが「SlowHTTP」DDoS攻撃で政府のサイトを攻撃
- 大量に通信を発生させてサーバを落とすのではなく、サーバの処理等を待機させることでサーバのリソースを食い、サーバを処理不能にする。
- 最近はDDoS攻撃の話題が少なかったように思います。
- https://www.bleepingcomputer.com/news/security/italian-cert-hacktivists-hit-govt-sites-in-slow-http-ddos-attacks/
ランサムウェア
- ランサムウェアの知識、古くなってない? 従来型とは別手法の「システム侵入型」が台頭
- 最近、人手が介入するランサムウェア(侵入型)の話題が多くなってきていると思います。手法が大きく変化しているので、認識を、改める必要があると思われます。
- https://news.yahoo.co.jp/articles/4596f3a46d6401775db44ea2c83ecb005ab06f53
5月17日収集
内部不正
- 上司ともめた怒りで会社のデータを全部消した男に7年の懲役判決が下される
- 中国、内部不正でシステム破壊という珍しい事案。システムのセキュリティ上の問題を上司に指摘していたが聞き入れられず評価されないと感じて……とのこと。データ消去が、指摘していたセキュリティ上の問題を悪用したものなのかが気になります。ただの腹いせなのか、問題を現実化して見せたのか。
- https://gigazine.net/news/20220516-angry-wipe-databases/
全般
- オープンソースソフトウェアのセキュリティ強化へ、米政府機関や企業のリーダーが会合
- オープンソースの利用はシステムの構築では避けては通れない部分となっていますが、一方で脆弱性が発見されたときのパッチの公開、攻撃被害に対する責任の所在などでリスクがあり得ると思います。オープンソースの意義に抵触しない限り、この点への取り組みが進むのは大歓迎ですね。
- https://japan.zdnet.com/article/35187507/?tag=as.rss
- https://www.darkreading.com/application-security/open-source-security-150m-funding
フィッシング
- HTMLファイルを添付したフィッシングメール
- 現在、フィッシングメールのメジャーな手法となっている。
- 本文にサイトの構築を省くとあるように、添付したHTMLファイルをクリックするとブラウザで表示されるので、これがフィッシングページとしても機能すると言うことのようです。サイトを立ち上げる必要が無いので、テイクダウンされることもなくお手軽フィッシングと言ったところでしょうか。。
- https://securelist.com/html-attachments-in-phishing-e-mails/106481/
- https://www.bleepingcomputer.com/news/security/html-attachments-remain-popular-among-phishing-actors-in-2022/
ランサムウェア
- エンジニアリング会社のパーカーが、ランサムウェア攻撃後のデータ侵害を開示
- サイバーカオス 解明コンティ(中) 攻撃の標的、日本に2万台防御の機動力、世界に後れ
- Contiが日経に載るようになりました。
- https://www.nikkei.com/article/DGKKZO60839870X10C22A5MM8000/
- 当社米国子会社への不正アクセス発生について、FRONTEO
- システム障害に関する調査結果についてのお知らせ、日本アンテナ
個人情報漏洩
- 学生の顔写真や評価など、個人情報約5800人分漏えいの可能性でエイチームが謝罪 「リンクを知っている全員が閲覧可能」状態に