このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
5月18日収集
全般
- 18カ月間「業務メール」が盗まれ続けた、企業の検知を回避した恐るべき手口とは
- 経営陣のメールのやり取りなどを盗む為に、EDRなどが対応しないネットワーク機器(ストレージや負荷分散装置)等にバックドア を仕掛けるというもののようです。
- https://xtech.nikkei.com/atcl/nxt/column/18/00676/051400106/
- 【独自】北朝鮮技術者、日本のスマホアプリ開発…自治体防災アプリなど7件の業務請け負う
- 外貨獲得目的のようです。この件はスマホアプリ開発における事件ですが、日本のシステム開発は委託がメインで、しかも孫請けがあったりするなど、何処の誰が開発に関わっているのか判らないなどと言う事態もあり得ます。
- 性悪説的な考えをすれば、プログラムに悪性コードを仕込むということもありうる、と思ってしまうのは考えすぎでしょうか。
- https://www.yomiuri.co.jp/national/20220517-OYT1T50286/
脆弱性
- CISAは、ZyxelファイアウォールのCVE-2022-30525の欠陥を既知の悪用された脆弱性カタログに追加します
- GmailにリンクされたFacebookアカウントは、一連のバグを使用した攻撃に対して脆弱です。現在は修正されています
Android
- Over 200 Apps on Play Store Caught Spying on Android Users Using Facestealer
5月19日収集
全般
- 北朝鮮のハッカーを誤って雇わないでください、FBIは警告します
- 北朝鮮の人が国外で外貨を稼ぎ、国に送金しているという話は昔からあります。それがITの分野でもあり、そのような人材を雇ってしまうと、情報が漏洩する恐れがある、と言う話のようです。
- リモートワークの拡大も助けになっているようです。
- https://amp.theguardian.com/world/2022/may/17/dont-accidentally-hire-a-north-korean-hacker-fbi-warns
- 改正個人情報保護法が4月1日施行、漏洩発生時に企業は「5日」で本人通知できるのか
ランサムウェア、コスタリカ
- 「コスタリカ政府を転覆させる」と脅迫するランサムウェア集団が政府ネットワークに侵入
- Conti
- https://gigazine.net/news/20220518-ransomware-threatens-costa-rica/
- https://thehackernews.com/2022/05/russian-conti-ransomware-gang-threatens.html?m=1
- https://securityaffairs.co/wordpress/131399/cyber-crime/conti-ransomware-overthrow-costa-rica.html
- https://www.theverge.com/2022/5/18/23125958/costa-rica-president-says-country-at-war-conti-ransomware-cybercrime
ランサムウェア
5月24日収集
全般
- 悪意のあるPythonリポジトリパッケージがWindows、macOS、Linuxシステムでコバルトストライクをドロップ(英語)
- pythonのリポジトリにに悪意あるコードを含むパッケージをアップし、ダウンロードした先でCobalt Strikeをドロップするとのこと。
- 信用できるリポジトリ上に、実績のあるパッケージの名前に酷似したパッケージ名で登録するため、開発者が騙されやすいようです。
- https://www.darkreading.com/application-security/malicious-package-python-repository-cobalt-strike-windows-macos-linux
- ワシントンDC司法長官、データ流出事件でザッカーバーグ氏個人を提訴
フィッシング
- 【注意喚起】当社を装った不審なメールにご注意ください
脆弱性
- 脅威の概要:VMwareの脆弱性が悪用される(CVE-2022-22954およびその他)
- Rakuten Casa に複数の脆弱性、公式でもバージョン確認方法を平易に解説
- 対応済みソフトウェアを公開済み、自動でアップデートされる。
- 脆弱性の内容が初歩的なものばかりなのが気になります。
- https://scan.netsecurity.ne.jp/article/2022/05/23/47621.html
- トレンドマイクロのWindows向けパスワード管理製品に脆弱性
情報漏洩
- ファッション通販サイトに不正アクセス、個人情報1万6093件が漏えいか
- CoSTORY」個人情報漏えいに関するお詫びとご報告
フェイクニュース
- 「自分は大丈夫」は大間違い、あなたもフェイクニュースに騙される
- コロナ関連、ウクライナ関連でもフェイクニュースが飛び交ってますね……。
- https://jbpress.ismedia.jp/articles/-/70241
DDoS
5月25日収集
全般
- Locked Shields 2022 参加記
- NATO CCDCOEが主催するサイバー演習。JPCERT/CCの方が参加しているそうです。
- https://blogs.jpcert.or.jp/ja/2022/05/locked-shields-2022.html
- ウクライナの侵略以来、未知のAPTグループがロシアを繰り返し標的にしています(英語)
- Internet Explorer(IE)が2022年6月15日にサポート終了。使用システムへの懸念と解決策
- 米司法省、善意のセキュリティ調査をコンピューター不正使用として訴追せず
- 善意と悪意の境界線をどう引くのでしょうか。ログ分析していると、幾つかのセキュリティ会社が攻撃的通信をしていることがあり、これって善意なんだろうなと思ってましたが。
マルウェア
- Malware Analysis: Trickbot
攻撃手法
- クレジットカードスティーラーがPsiGateペイメントゲートウェイソフトウェアをターゲット(英語)
- DBに悪性コードを挿入する手法のようです。CMSはうしろでDBが稼働しており、HTMLなどレスポンスの一部をDBに格納するようです。このため、DBを侵害することで、レスポンスを改変することが出来る場合があります。
- https://blog.sucuri.net/2022/05/credit-card-stealer-targets-psigate-payment-gateway-software.html
5月26日収集
- 毒されたPythonおよびPHPパッケージは、AWSアクセス用のパスワードを取得します(英語)
- 長らく更新されていなかったオープンソフトウェアやシェアウェア等が更新され、その時に悪性コードが紛れ込んでいるという話は時々聞きますね。以前は普通に使用できていたパッケージが、突然マルウェアに化けることになります。使用しているOSS等の更新状況、開発者などの情報にも注意が必要ということでしょうか。
- https://nakedsecurity.sophos.com/2022/05/25/poisoned-python-and-php-packages-purloin-passwords-for-aws-access/
- [https://www.bleepingcomputer.com/news/security/hacker-says-hijacking-libraries-stealing-aws-keys-was-ethical-resear rch/]
- 新しいChromeLoaderマルウェアの急増が世界中のブラウザを脅かしている(英語)
- ハッカーは1回のスイープでコレクターからNFTで140万ドルを盗みます(英語)
ガバナンス
- サイバーハイジーンにおけるITセキュリティポリシーの定義
DDoS
- 過去6か月でXorDDoSLinuxマルウェアが大幅に増加
脆弱性
5月27日収集
全般
- Hacker Steals Database of Hundreds of Verizon Employees
- AWS認証情報が盗まれる2つのライブラリ改ざんについてまとめてみた(piyolog)
- AWSキーを窃取するパッケージの話がpiyologさんで取り上げられてました。
- https://piyolog.hatenadiary.jp/entry/2022/05/26/232906
- 関連記事
- プログラム言語のPythonとPHPのライブラリが乗っ取られて悪意のあるバージョンが公開、開発者の情報が収集される
- https://gigazine.net/news/20220526-aws-hijacked/
- Broadcom、ヴイエムウェアを約7兆7500億円で買収へ
- サイバー犯罪者集団「Lapsus$」による被害が相次ぐ
ChromeLoader
- ChromeLoaderは、悪意のあるISOファイルを使用してChromeブラウザユーザーをターゲットにします
脆弱性
- Exploit released for critical VMware auth bypass bug, patch now
マルウェア
- 「Saitama」マルウェアがDNSにメッセージを隠匿した巧妙な方法が明かされる
- サイタマ マルウェアに関する日本語記事。
- https://news.mynavi.jp/techplus/article/20220526-2352002/
情報漏洩
- 40代職員2人を懲戒免職 大量の市民データ漏えい 市は刑事告訴/岩手・釜石市
- メールで大量送信して発覚したようです。未だにこういう手段が使われるのですね。。
- https://news.ibc.co.jp/item_46723.html
不正アクセス(報告)
- マルウェア感染に関する調査結果のご報告(GlobalKids)
- 当社サーバへの不正アクセスに関するお知らせ(第二報)お客様等の個人情報流出可能性のお知らせとお詫び(月桂冠)
- EMOTET報告(ジェイドルフ製薬)
- EMOTETに感染すると、自社社員のメールアドレス、メール内容、社員が保有する顧客などのメールアドレスが窃取され、それが次の攻撃に使用されます。このため、顧客に迷惑をかける形となり、報告が必要となる事態になりす。
- https://www.j-dolph.co.jp/wordpress/wp-content/uploads/2022/05/info_20220525.pdf
5月30日収集
全般
- Space Force Expands Cyber Defense Operations
- New Windows Subsystem for Linux malware steals browser auth cookies
ChromeLoader
- この記事が多い。
- ChromeLoader Malware Hijacks Browsers With ISO Files
- https://www.darkreading.com/application-security/chromeloader-malware-hijacks-browsers-iso-files
- This Windows malware uses PowerShell to inject malicious extension into Chrome
- https://www.theregister.com/2022/05/27/chromeloader-malware-powershell/
6月2日収集
全般
- 国体に向けてテロ対策訓練 サイバー攻撃を想定 宇都宮
- 「攻殻機動隊 SAC_2045」と連携して「タチコマ・セキュリティ」アプリを無償配布、、ウェブ媒介型サイバー攻撃対策プロジェクト「WarpDrive」が再起動
ゼロデイ攻撃、マイクロソフト
- マイクロソフト、「Word」文書を介したゼロデイ脆弱性攻撃の回避策を明らかに
- マクロを無効にしていても成立する脆弱性、「Microsoft Defender Antivirus」の検出ビルド1.367.719.0以降では検知可能とのこと
- https://japan.zdnet.com/article/35188263/?tag=as.rss
- Chinese Hackers Begin Exploiting Latest Microsoft Office Zero-Day Vulnerability
- China-linked hackers are exploiting a new vulnerability in Microsoft Office
- New Windows Search zero-day added to Microsoft protocol nightmare
- Microsoft サポート診断ツールの脆弱性 (CVE-2022-30190) についてまとめてみた
ランサムウェア
- Industrial IoT ransomware attacks control systems directly
6月3日収集
ランサムウェア
- サーバーがランサムウエアに感染、復旧が長期化した原因とは秋田県建設・工業技術センター、
- 秋田県建設・工業技術センターのランサムウェア感染に関して記載、ログイン必要
- https://xtech.nikkei.com/atcl/nxt/column/18/01157/060200062/
- Ransomware gang now hacks corporate websites to show ransom notes
- 最近のランサムウェアの手法が、人手を介するものに変わっていることから、Webサイトの改ざんをしてそこに身代金のメモを残すという手法も想定されてしかるべきなのかもしれません。
- https://www.bleepingcomputer.com/news/security/ransomware-gang-now-hacks-corporate-websites-to-show-ransom-notes/
Contiランサムウェア
- ContiグループがIntelファームウェアの攻撃秘術に取り組む
- Conti leaked chats confirm that the gang’s ability to conduct firmware-based attacks
- Conti ransomware targeted Intel firmware for stealthy attacks
- Conti Leaks Reveal Ransomware Gang's Interest in Firmware-based Attacks
- CONTI TARGETS CRITICAL FIRMWARE
全般
- Microsoft blocks Polonium hackers from using OneDrive in attacks
- ハッキンググループ「ポロニウム」がOneDriveを攻撃に利用しているのをブロック
- https://www.bleepingcomputer.com/news/security/microsoft-blocks-polonium-hackers-from-using-onedrive-in-attacks/
6月8日収集
全般
- FBI takes down dark web marketplace for U.S. citizen personal data
- 作成に携わった1千社のサイトを閲覧不能に 容疑のエンジニアら逮捕
- トラブルがあったとのことですが、理由はどうあれ、エンジニアとしてはこれは良くないと思います。
- https://www.asahi.com/articles/ASQ676JQNQ67OIPE015.html
ランサムウェア
- 「閉じられたネット」病院を取り巻く安全神話 身代金ウイルス被害
- 産業系のシステムでは、OSの構成のちょっとした差異でシステムが動かなくなるため、容易にバージョンアップできず、脆弱性がそのまま残される場合がある、と言う話は耳にします。
- https://www.asahi.com/articles/ASQ676VMCQ63ULZU00K.html?ref=rss
- ランサムウェア攻撃の変遷--傾向と背景
アトラシアン脆弱性
- Atlassian Confluence Exploits Seen By Our Honeypots (CVE-2022-26134)
- アトラシアンで見つかった脆弱性に関する記事が最近は多いです。この記事はハニーポットに引っかかった攻撃内容を解説。実際の攻撃の情報なので、言い方が不謹慎ですがわかりやすい気がします。
- OGNLインジェクション、OGNLを使うという点では2017年頃話題になったStruts2脆弱性も同様だったと記憶します。
- https://isc.sans.edu/diary/rss/28722
- 他の記事
- Attackers Use Public Exploits to Throttle Atlassian Confluence Flaw
- https://threatpost.com/public-exploits-atlassian-confluence-flaw/179887/
マイクロソフト、Follina
- Qbot malware now uses Windows MSDT zero-day in phishing attacks
- VBAマクロ不要の脆弱性がフィッシングで実際に悪用されているようです。この脆弱性は現在Follinaと呼ばれているようです。
- https://www.bleepingcomputer.com/news/security/qbot-malware-now-uses-windows-msdt-zero-day-in-phishing-attacks/
- 仕組みの話
- 【脅威分析レポート】Follina: Microsoft Office経由で実行される診断ツールMSDTに脆弱性
- https://www.cybereason.co.jp/blog/threat-analysis-report/8395/
- 米国、英国政府機関がターゲットの攻撃への悪用
- Follina Exploited by State-Sponsored Hackers
不正アクセス報告
- 「スイパラ」で不正アクセス被害、7409人のクレジットカード情報が漏えいした可能性
- 弊クラブ社員を装った不審メール(なりすましメール)に関するお詫びと注意喚起について
- 弊社が運営する「東京シャツ公式オーダーサイト」への不正アクセスによる 個人情報流出に関するお詫びとお知らせ
6月9日収集
ランサムウェア
- Black Basta ransomware now supports encrypting VMware ESXi servers
EMOTET
- 復活したEMOTETの脅威動向解説:2022年第1四半期は日本での検出が最多
- lnkファイルに仕込まれるpowershellは、マクロ4.0が使用される前に使用されたpowershellと処理的にはあまり変わらない印象。
- https://blog.trendmicro.co.jp/archives/31438
- Emotet malware now steals credit cards from Google Chrome users
- GoogleChromeユーザープロファイルに保存されているクレジットカード情報を収集するように設計されたクレジットカードスティーラーモジュールを感染させようとするようです。
- https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-credit-cards-from-google-chrome-users/
マイクロソフト、Follina
- Attackers Exploit MSDT Follina Bug to Drop RAT, Infostealer
マイクロソフト、DogWalk、0patchによる非公式パッチ
- 0Patch released unofficial security patch for new DogWalk Windows zero-day
- Follinaとは別のゼロデイに対する非公式パッチのようですが、非公式となると扱いに困りそうですね。
- https://securityaffairs.co/wordpress/132070/hacking/unofficial-security-patch-dogwalk.html
- パッチ提供元のブログ
- Microsoft Diagnostic Tool "DogWalk" Package Path Traversal Gets Free Micropatches (0day/WontFix)
Black Basta ランサムウェア
- Black Basta Ransomware Targets ESXi Servers in Active Campaign
- Black Basta Ransomware Teams Up with Malware Stalwart Qbot
- Qbotと連携していると言う記事
- https://threatpost.com/black-basta-ransomware-qbot/179909/
6月14日収集
不正アクセス
- 日本のウェブサイトへの直接アクセスの34%は不正ボット・・・世界的にも高頻度
- SOCでログをみていると、やっぱりそうなんだと納得してしまう記事でした。分析では、ボットだけでなく、勝手に脆弱性診断(野良診断)、ログオン連続試行、ファイルの更新チェックなど、よく判らないが不審な通信が結 構な数に上ります。
6月15日収集
全般
- 退職者管理の重要性と実施するべき対策
- 退職者のアカウントを適切に削除しないことで発生したインシデントは、結構耳にします。
- 契約終了となったシステム運用担当者の場合も同様と思います。性悪説に立つ云々の前に、使わないアカウントは放置しないのが重要ではないでしょうか。
- https://blog.jpac-privacy.jp/securitymeasuresforretirement/
DDoS
- 20万件の攻撃を実行した「DDoS攻撃代行サブスクリプションサービス」の運営者に懲役2年の実刑判決
- https://gigazine.net/news/20220614-ddos-attack-platform/
- 以下、同様の記事
- DDoS Subscription Service Operator Gets 2 Years in Prison
- Cloudflare mitigates record-breaking HTTPS DDoS attack
ランサムウェア
- Understanding REvil: REvil Threat Actors May Have Returned (Updated)
- トヨタ関連6万社のうち、1社のセキュリティー破られ…「賭けはできない」全工場停止
- プロジェクトX(古い)を彷彿とさせる記事でした。
- https://www.yomiuri.co.jp/national/20220614-OYT1T50054/
スピアフィッシング
- Iranian hacking campaign that included former U.S. ambassador exposed
- https://www.cyberscoop.com/iranian-hacking-us-ambassador-phosphorus-espionage/
- 以下、同様の記事
- Iranian Spear-Phishing Operation Targets Former Israeli and US High-Ranking Officials
ボットネット
- New botnet and cryptominer Panchan attacking Linux servers
- 名前がパンチャンと言うようですが、元ネタが判らない……。
- https://www.techrepublic.com/article/botnet-panchan-attacking-server/
マイクロソフト、Follina脆弱性のパッチ
- Microsoft patches actively exploited Follina Windows zero-day
- Microsoft Windows Support Diagnostic Tool (MSDT) のリモートでコードが実行される脆弱性
6月16日収集
全般
ランサムウェア
- 「身代金の支払い代行はできますか」「実はやってます」…万策尽きハッカーに要求額支払う
マイクロソフト、Follina脆弱性のパッチ
- Update now! Microsoft patches Follina, and many other security updates
Internet Explorerの終焉
- 「インターネット エクスプローラー」きょうでサポート終了
- お疲れさまと言うべきか…。インターネットの早い時期から使われていたブラウザでした。
- 個人的には、MSHTMLとMsDocVwとWebBrowserコントロールがどうなるのか気になります
- https://www3.nhk.or.jp/news/html/20220616/k10013673811000.html
アップル、脆弱性
- M1 Chip Vulnerability
- アップルのM1チップの脆弱性ですが、影響度は記事によると現時点で不明。最近M2チップ搭載のMacが発表されたばかりですが……。
- https://www.schneier.com/blog/archives/2022/06/m1-chip-vulnerability.html
サイバーセキュリティポリシー
- サイバーレジリエンスにおけるITセキュリティポリシーの定義
- 連載記事のようです。現場ではなく、ガバナンスとかマネジメント領域の方向け。
- 現場の方は、会社の上が考えるべきことを知ることができるかも。
- https://japan.zdnet.com/article/35188629/?tag=as.rss
ソーシャルエンジニアリング
- Thousands Arrested in Global Raids on Social-Engineering Scammers
- テクニカルサポート詐欺に関して、テレビでやってましたね。
- https://www.darkreading.com/threat-intelligence/thousands-arrested-global-raids-social-engineering-scammers
NISC注意喚起
6月20日収集
情報漏洩
ガイドライン
- 自動車産業のサプライチェーンを守る ? 自工会と部工会がサイバーセキュリティガイドラインを改訂
- 個人情報等の扱いやサプライチェーンを意識した改訂のようです。
- あまり詳しくないですがマチュリティモデルのようです。
- https://blog.jama.or.jp/?p=2201
- https://www.jama.or.jp/operation/it/cyb_sec/docs/cyb_sec_guideline_V02_00.pdf
ランサムウェア
- Ransomware attackers can exploit OneDrive feature to delete backups
- Sharepoint とOneDrive上のファイル暗号化をする際に、ファイルのバージョン管理数を上回る回数で暗号化を行い、正常なファイルをバージョン管理外にしてしまうことでファイルのバージョン戻しによる対策を無効化する ようです。
- https://mybroadband.co.za/news/cloud-hosting/449184-ransomware-attackers-can-exploit-onedrive-feature-to-delete-backups.html
ダークウェブ
- 2022 Dark Web prices for cybercriminals services
シャットダウン
- The U.S. Department of Justice (DoJ) announced to have shut down the infrastructure associated with the Russian botnet RSOCKS
6月21日収集
全般
- 個人向け「Microsoft Defender」、提供開始--Mac、iOS、Androidにも対応
- https://japan.zdnet.com/article/35189161/?tag=as.rss
- 関連
- Making the world a safer place with Microsoft Defender for individuals
6月23日収集
メールサーバー不正利用
- 宮城県警サーバー使われメール不正中継 3万件、国外に転送
調査報告書
- 徳島県つるぎ町立半田病院 コンピュータウィルス感染事案有識者会議調査報告書
- 6月7日に公表されていたようです。調査報告書としては目を通す価値ありと思いました。
6月24日収集
全般
- 東大の中国人大学院生逮捕 不正取得したフリーマーケットアプリ利用者情報使いゲーム機詐取疑い
- いろいろとツッコミを入れたい。とりあえず、某ゲーム機は入手困難ですよね……。
- https://www.nikkansports.com/m/general/news/202206230000713_m.html?mode=all
情報漏洩
- 全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表
6月26日収集
尼崎市、情報漏洩のその後
- 【独自解説】兵庫・尼崎市 紛失USBメモリー見つかる 全市民46万人分の個人情報は大丈夫?USB利用は仕方なかった?専門家が徹底解説
- 三上洋氏がツッコミを入れている。
- 発見されたのは良かったですが……。「セキュリティの教科書に出てくる悪い見本を全て詰め合わせたような出来事」と発言がありますが、その通りだと思います。
- https://news.yahoo.co.jp/articles/f5876fda713bd1866de84b588d4b386af7c2eb96
6月27日収集
ランサムウェア
- From the Front Lines | 3 New and Emerging Ransomware Threats Striking Businesses in 2022
- トヨタ紡織、子会社にサイバー攻撃=事業に影響なし
ウクライナ
不正アクセス
- 大企業に不正アクセスするためのデータ、約2000~4000ドルで売買‐カスペルスキー
- 攻撃を見ていると、リモートデスクトップ(RDP)接続の試行はWebシェルの試行と並んで基本中の基本の攻撃のようです。設定さえちゃんとすれば防げるはず。
- https://news.biglobe.ne.jp/it/0624/mnn_220624_2156003201.html
情報漏洩
6月28日収集
サイバー攻撃
- サイバー攻撃で、イランの鉄鋼会社が生産停止に追い込まれる
- https://www.arabnews.jp/article/middle-east/article_70673/
- 関連記事
- Cyberattack forces Iran steel company to halt production
- https://english.ahram.org.eg/NewsContent/2/8/470679/World/Region/Cyberattack-forces-Iran-steel-company-to-halt-prod.aspx
尼崎市、情報漏洩の公開報告書類等
- BIPROGYとしては正確な情報を報告する目的で修正を行ったのだと思いますが、Twitterなどでは対応に批判的な人も居るようです。
- BIPROGY
- アイフロント
- 尼崎市役所様のUSBメモリの紛失事故についてのお詫び(6/27)
脆弱性
- Atlassian Confluenceに見つかったリモートから任意のコードを実行可能な脆弱性(CVE-2022-26134)の検証
詐欺
- サイト復旧費用詐取容疑で再逮捕
- 自分たちで破壊して復旧でお金を取ろうとしたようです。一種のサポート詐欺に該当するのでしょうか。
- https://www3.nhk.or.jp/tokai-news/20220627/3000023328.html