このブログは別の場所でSOCにも携わっている経験のあるArmoris株式会社のseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
6月29日収集
NIST
- NIST Finalizes macOS Security Guidance
- https://www.darkreading.com/dr-tech/nist-finalizes-macos-security-guidance
- ガイダンス
- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-219.pdf
6月30日収集
尼崎市情報漏洩、市及び市長の発表
- 個人情報を含むUSBメモリーの紛失事案について
- https://www.city.amagasaki.hyogo.jp/kurashi/seikatusien/1027475/1030947.html
- 個人情報を含むUSBメモリー紛失事案についての市長メッセージ
- https://www.city.amagasaki.hyogo.jp/shisei/welcomemayor/1031031.html
- 関連記事
- 尼崎市長、夏ボーナス195万円を全額カット USB紛失受け
- https://www.asahi.com/articles/ASQ6Y5HX1Q6YPIHB012.html?ref=rss
情報漏洩(疑い)
- 弊社オンラインショップ登録個人情報漏えいに関するお詫びとご報告(ティスクユニオン)
- サイト閉鎖、ユーザのパスワードを一斉初期化した上で調査継続中。クレジットカード情報の保有無し。
- https://diskunion.net/portal/ct/list/0/22501
7月1日収集
マルウェア
- 攻撃グループLazarusが使用するマルウェアYamaBot
- https://blogs.jpcert.or.jp/ja/2022/06/yamabot.html
- 小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か
- https://gigazine.net/news/20220630-zuorat-soho-campaign/
- 関連
- ZuoRAT Malware Is Targeting Routers
- https://www.schneier.com/blog/archives/2022/06/zuorat-malware-is-targeting-routers.html
- ZuoRAT is a sophisticated malware that mainly targets SOHO routers
- https://blog.malwarebytes.com/reports/2022/06/zuorat-is-a-sophisticated-malware-that-mainly-targets-soho-routers/
7月5日収集
ディープフェイク
- リモートワークの採用面接にディープフェイクを悪用する事例--FBIが警告
- 今後、どのように悪用されていくのか気がかりに思いました。
- 顔見せリモート会議によるBEC詐欺とか、できるようになるのでしょうかね。
- https://japan.cnet.com/article/35189892/?tag=as.rss
- 関連
- ディープフェイクと生成ディープラーニング
- https://www.nablas.com/post/deepfake-and-generative-deep-learning-3?lang=ja
7月6日収集
全般
- GitHubからC2サーバーの情報を取得するマルウェアVSingle
- https://blogs.jpcert.or.jp/ja/2022/07/vsingle.html
- Google patches “in-the-wild” Chrome zero-day – update now!
- https://nakedsecurity.sophos.com/2022/07/05/google-patches-in-the-wild-chrome-zero-day-update-now/
- Cloud-based malware is on the rise. How can you secure your business?
- クラウドベースのマルウェアと読めたので、マルウェアの機能の一部にクラウドが使われているなどの話かと思いきや、クラウド環境がマルウェアの侵入ターゲットになっていて、どのように侵入するかという話のようです(英語力が足りない……)。システムのインフラがオンプレからクラウドに移行すれば、攻撃側もクラウドをターゲットに考えるのは当然かと思いますが、守るポイントはオンプレとは異なってくると言うことでしょうか。
- https://blog.malwarebytes.com/business-2/2022/07/cloud-based-malware-is-on-the-rise-how-can-you-secure-your-business/
情報漏洩
- 10億人の個人情報が漏えいか--ダークウェブでの販売を確認
- ツイッターで騒がれ始めていました。サンプルデータを無料ダウンロードできるという話も見かけました
- https://japan.cnet.com/article/35189955/
- 関連
- A Massive Police Database of Allegedly 1 Billion Chinese Citizens Is Being Sold Online
- https://www.vice.com/en/article/y3pgyw/china-leak-1-billion-shanghai-police
マルウェア
- PennyWise malware on YouTube targets cryptocurrency wallets and browsers
- YouTubeを見るとダウンロードを促されるマルウェアで、ビットコインマイニングアプリのふりをしているそうです。
- https://www.techrepublic.com/article/pennywise-malware-youtube-crypto/
7月7日収集
レポート
- Trend Micro Cloud App Security Threat Report 2021
- https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/trend-micro-cloud-app-security-threat-report-2021
不正アクセス
- 自身の有給休暇の記録、削除した疑い 不正アクセス容疑で町職員逮捕
- https://www.asahi.com/articles/ASQ76412VQ76TIPE005.html?ref=rss
- 不正アクセスで有給休暇記録を改竄する……確かにあり得ることなのでしょうが、ちょっと想像を超えていました
- 関連
- 不正アクセス容疑の職員、人事・給与情報ものぞき見?「興味本位で」
- https://www.asahi.com/articles/ASQ766S7XQ76TIPE02D.html?ref=rss 暗号化
- NIST selects four encryption algorithms to thwart future quantum computer attacks
- 量子耐性のある公開鍵暗号アルゴリズムの話
- https://www.techrepublic.com/article/nist-encryption-algorithms/
- オリジナル
- https://csrc.nist.gov/projects/post-quantum-cryptography
情報漏洩
- Marriott hit by new data breach and a failed extortion attempt
- マリオットホテル、2018、2020に続いてのようです。
- https://www.bleepingcomputer.com/news/security/marriott-hit-by-new-data-breach-and-a-failed-extortion-attempt/
- 関連
- Marriott Data Breach Exposes PII, Credit Cards
- https://www.darkreading.com/attacks-breaches/marriott-data-breach-pii-credit-cards
アップル
- Apple’s new Lockdown Mode defends against government spyware
- ロックダウンモードと言うようです。攻撃に利用されやすい技術を無効にするようですが、MDMに登録できなくなると言うのが気になりました。
- https://www.bleepingcomputer.com/news/apple/apple-s-new-lockdown-mode-defends-against-government-spyware/
- 関連
- Apple Announces 'Extreme' Privacy Mode for Targets of Government Spyware
- https://www.vice.com/en/article/88qnag/apple-announces-extreme-privacy-mode-for-targets-of-government-spyware
7月10日収集
全般
- Microsoft、ダウンロードしたVBAマクロを既定でブロックする方針を一時撤回か
- https://forest.watch.impress.co.jp/docs/news/1423335.html
7月11日収集
全般
- ロシアとウクライナのハッキング合戦から、暗号資産や医療機関を狙った攻撃まで:2022年上半期に起きたセキュリティ関連の7つの重大事件
- https://wired.jp/article/worst-hacks-breaches-2022/
- 最強ハッカー・ロックビット「病院狙う」、闇サイトで予告…日本も警戒強める
- https://www.yomiuri.co.jp/national/20220708-OYT1T50231/
演習・訓練
- GMOサイバーセキュリティ byイエラエ、疑似サイバー攻撃サービス「レッドチーム演習」を提供
- https://it.impress.co.jp/articles/-/23453
車両のセキュリティ
- Hackers Say They Can Unlock and Start Honda Cars Remotely
- 実行には条件がありそうに読めます。やばい脆弱性が見つかった場合、それを修正するための仕組みがあるのか気になりました。
- https://www.vice.com/en/article/z34xnw/hackers-say-they-can-unlock-and-start-honda-cars-remotely
ランサムウェア
- Free decryptor released for AstraLocker, Yashma ransomware victims
- 対象のランサムウェアはAstraLockerとYashmaだそうです
- https://www.bleepingcomputer.com/news/security/free-decryptor-released-for-astralocker-yashma-ransomware-victims/
7月13日収集
コールバックフィッシング
- Hackers impersonate cybersecurity firms in callback phishing attacks
- 以前、テクノロジーサポート詐欺のセキュリティ版みたいなことを書いた気がしていますが、この記事によるとコールバックフィッシングというそうです。
- https://www.bleepingcomputer.com/news/security/hackers-impersonate-cybersecurity-firms-in-callback-phishing-attacks/
7月14日収集
不正アクセス(報告)
- サンドラッグ
- リスト型攻撃のようです。報告書で攻撃手法について簡単にでも言及しているのは珍しく、好ましいと思いました。
- https://games.nme-jp.com/news/14392/
- 関連
- Bandai Namco confirms hack after ALPHV ransomware data leak threat
- https://www.bleepingcomputer.com/news/security/bandai-namco-confirms-hack-after-alphv-ransomware-data-leak-threat/
- Elden Ring publisher Bandai Namco confirms reports it was hacked
- https://www.theverge.com/2022/7/13/23206944/elden-ring-publisher-bandai-namco-confirms-reports-hacked-blackcat-alphv
フィッシング
- Office 365のアカウントを多要素認証すら回避して乗っ取るAiTMフィッシング攻撃が1万以上の組織を標的にしていたとMicrosoftが公表
- AiTM(Adversary-in-the-Middle)フィッシングというそうです。被害者と365の間にプロキシを介在させてそこで悪さするようです。
- 名前からしてMITM攻撃を思い出しました。最近は手法のクラウド対応が進んでいると感じます。
- https://gigazine.net/news/20220713-microsoft-aitm-fishing-campaign/
- 関連
- Large-Scale Phishing Campaign Bypasses MFA
- https://threatpost.com/large-scale-hishing-bypasses-mfa/180212/
- Microsoft: 10,000 Orgs Targeted in Phishing Attack That Bypasses Multifactor Authentication
- https://www.darkreading.com/attacks-breaches/microsoft-10k-orgs-hit-in-attacks-that-bypasses-multifactor-authentication
情報漏洩
- USB紛失事案を受けた個人データの適正な取り扱いについて(注意喚起)、個人情報保護委員会
- https://www.ppc.go.jp/files/pdf/220713chuuijigyousha.pdf
7月15日収集
全般
- カード情報漏えいやマルウェア(ランサムウェア)の歴史から徳丸氏が明かす「セキュリティはいたちごっこ」になる理由
- 攻撃手法の変遷を説明し、いたちごっことなる理由を解いています。
- https://atmarkit.itmedia.co.jp/ait/articles/2207/13/news003.html
サプライチェーン攻撃
- なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~
- 日本と海外では「サプライチェーン攻撃」の意味するところが違い、日本で言うところのこの攻撃は海外で言う「アイランドホッピング攻撃」ではないか。
- SSL-VPN製品の脆弱性が放置される理由として、商流や契約に落とし穴があるのでは無いか。
- という内容と理解しました。海外事情は詳しくないですが、日本で言う「サプライチェーン攻撃」は、確かに内包する意味が幅広く、この言葉だけでどういう攻撃であるかを示すのは難しいように思います。その意味では、言葉の定義の細分化が必要なのではないかと思います。たかが言葉の定義と思われるかもしれませんが、その言葉を読めばすぐに内容が理解出来るのと出来ないのとでは、緊急時の対応に差が出ます。
- https://blogs.jpcert.or.jp/ja/2022/07/ssl-vpn.html
DDoS
- Mantis botnet powered the largest HTTPS DDoS attack in June
- https://securityaffairs.co/wordpress/133233/hacking/mantis-botnet-record-ddos-attack.html
- 関連
- Mantis botnet behind the record-breaking DDoS attack in June
- https://www.bleepingcomputer.com/news/security/mantis-botnet-behind-the-record-breaking-ddos-attack-in-june/
7月19日収集
全般
- 情報セキュリティ白書2022
- https://www.ipa.go.jp/security/publications/hakusyo/2022.html
- MLNK Builder 4.2 released in Dark Web – malicious shortcut-based attacks are on the rise
- https://securityaffairs.co/wordpress/133381/cyber-crime/mlnk-builder-4-2-released-dark-web.html
ランサムウェア
- ランサムウェア攻撃で190万人分の医療情報が流出のおそれ--米債権回収会社で
- https://japan.cnet.com/article/35190494/
- 相次ぐランサムウエア被害、河村電器産業はグループ5社で一部のデータ復旧を断念
- https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100174/
フィッシング
- APT groups target journalists and media organizations since 2021
- 主に米国のジャーナリストを標的に、そのソーシャルメディアアカウントの侵害を目的としたフィッシングのようです。
- ジャーナリストが収集する情報や、世論操作など政治的な利用が主目的のようです。
- https://securityaffairs.co/wordpress/133317/apt/apt-groups-targer-journalists.html
ビッシング詐欺
- 電話をかけさせるフィッシング「ビッシング詐欺」メールが増加中
- オンライン決済などの偽メールに記載した電話番号にかけさせて自動音声などを使って口座情報などを聞き出す詐欺のようです
- Voice + Phisingでビッシングだそうです。フィッシングの語源は「釣り」を意味する「fishing」で、偽装の手法が洗練されている(sophisticated)ことから「phishing」と綴るようになったとする説があるとのことです
- https://internet.watch.impress.co.jp/docs/news/1425440.html
7月20日収集
情報漏洩
- 当社サーバーへの不正アクセスに関するお知らせ(第二報) お客様の個人情報流出に関するお詫びとご報告(キンコーズ・ジャパン)
- https://www.kinkos.co.jp/corporate/archives/news/20220715
- 社内サーバーへの不正アクセスによる個人情報流出の可能性のお知らせとお詫び(第一報)(クリーンテックス)
- https://www.shop-kleen-tex.jp/html/page56.html
仮想通貨詐欺
- FBI Warns of Fake Cryptocurrency Apps Stealing Millions from Investors
- ちゃんと読めてないかもしれませんが、仮想通貨アプリのふりをしたアプリをダウンロードすると、自分の暗号資産を別のアカウントに移動させられるらしいです。
- https://thehackernews.com/2022/07/fbi-warns-of-fake-cryptocurrency-apps.html?m=1
- オリジナル
- https://www.ic3.gov/Media/News/2022/220718.pdf
- 関連
- FBI、本物に見せかけた仮想通貨アプリを使った詐欺を警告
- https://japan.cnet.com/article/35190602/
GPSトラッカー脆弱性
- Popular vehicle GPS tracker gives hackers admin privileges over SMS
- 中国製車両用GPSトラッカー。日本でも使われているみたいですね。追跡されたり、エンジンを切られたりするらしいです。
- https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/
- 関連
- JVNVU#96012874 MiCODUS製MV720 GPSトラッカーにおける複数の脆弱性
- https://jvn.jp/vu/JVNVU96012874/
- 中国製の車両用GPSトラッカーに「車が追跡されたり遠隔操作でエンジンを切られたりするリスク」があることが発覚
- https://gigazine.net/news/20220720-gps-tracker-surveil-disrupt-vehicles/
クラウドストレージを使用する手法
- Russia-linked APT29 relies on Google Drive, Dropbox to evade detection
- https://securityaffairs.co/wordpress/133409/apt/apt29-google-drive-dropbox.html
- Experts Uncover New CloudMensis Spyware Targeting Apple macOS Users
- Objective-Cで書かれていることからもMacOSが標的なのでしょうね。コードの品質や難読化がされていないことから、開発者はMacでの開発に慣れていないという評価のようです。
- https://thehackernews.com/2022/07/experts-uncover-new-cloudmensis-spyware.html?m=1
7月22日収集
クラウド
- 「Googleドライブ」や「Dropbox」を悪用するサイバー攻撃が発見される
- https://japan.zdnet.com/article/35190777/?tag=as.rss
システム障害
- チームズ障害、午後までに「大部分が復旧」 国内外の企業に影響
- モロに影響を受けてしまった一人として取り上げておきます。
- https://www.asahi.com/articles/ASQ7P427BQ7PULFA00L.html?ref=rss
Microsoft
- Windows 11 now blocks RDP brute-force attacks by default
- 使う側としては多少の不便があったとしても良いことだと思います。
- https://www.bleepingcomputer.com/news/microsoft/windows-11-now-blocks-rdp-brute-force-attacks-by-default/
脆弱性パッチ
- Apple Releases Security Patches for all Devices Fixing Dozens of New Vulnerabilities
- https://thehackernews.com/2022/07/apple-releases-security-patches-for-all.html?m=1
7月25日収集
Powershell
- PowerShell Script with Fileless Capability
- ペイロードをレジストリキーに隠すPowershell。
- https://isc.sans.edu/diary/PowerShell+Script+with+Fileless+Capability/28878
7月26日収集
全般
- Source code for Rust-based info-stealer released on hacker forums
- ハッカーフォーラムでRustベースのLuca stealerと命名されたインフォ・スティーラーが無料公開されており、今後利用されていく可能性があるという話です。
- https://www.bleepingcomputer.com/news/security/source-code-for-rust-based-info-stealer-released-on-hacker-forums/
ランサムウェア
- Lockbit ransomware gang claims to have breached the Italian Revenue Agency
- https://securityaffairs.co/wordpress/133640/cyber-crime/lockbit-ransomware-italian-revenue-agency.html
- 関連
- Ransomware group targets Italian tax agency
- https://www.cyberscoop.com/lockbit-italy-tax-agency-ransomware/
マクドナルド
- 「マクドナルドの自動券売機はハッキングし放題」である理由をエンジニアが解説
- オーストラリアでの話のようですが、日本の券売機も同じ状況なんでしょうかね。読むと躊躇するレベルです。
- https://gigazine.net/news/20220726-mcdonald-self-service-machine-hackable/
情報漏洩
- ツイッターから540万人分の個人情報流出か、CZがフィッシング詐欺を注意喚起
- https://coinpost.jp/?p=370293
7月28日収集
レポート
- 2022年Q2のサイバー攻撃、1組織あたり週平均1200回弱で過去最悪--目立つランサムウェア
- 教育と研究機関がターゲットになっているというのは、やはり研究の中身を狙っているということなんでしょうかね。
- https://japan.cnet.com/article/35191040/
IIS機能拡張の悪用
- Attackers increasingly abusing IIS extensions to establish covert backdoors
- https://securityaffairs.co/wordpress/133727/hacking/iis-extensions-backdoors.html
- Malicious IIS Extensions Gaining Popularity Among Cyber Criminals for Persistent Access
- https://thehackernews.com/2022/07/malicious-iis-extensions-gaining.html?m=1
- IIS extensions are on the rise as backdoors to servers
- https://blog.malwarebytes.com/reports/2022/07/iis-extensions-are-on-the-rise-as-backdoors-to-servers/
- Malicious IIS extensions quietly open persistent backdoors into servers(Microsoftの報告)
- 当然ですが1番詳しい。IISはあまり使われていない印象がありますが、少し前は米国の政府関係サイトでは目にすることがありましたね。そこが狙い目なんですかね。
- https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/
EMOTET
- Emotet「第3波」が襲来、一段と増した厄介さにどう対処するか
- ブラウザから情報を盗む機能が入ったバージョンのようです。
- https://xtech.nikkei.com/atcl/nxt/column/18/00001/07047/
- コンピューターウイルス「エモテット」の注意喚起動画を配信
- https://www3.nhk.or.jp/lnews/toyama/20220727/3060010985.html
DDoS
- DDoS Attack Trends in 2022: Ultrashort, Powerful, Multivector Attacks
- https://www.bleepingcomputer.com/news/security/ddos-attack-trends-in-2022-ultrashort-powerful-multivector-attacks/
ランサムウェア
- ランサムウェア被害で決算締まらず 自動車・航空機部品のリケンが発表延期
- https://www.itmedia.co.jp/news/articles/2207/27/news120.html
7月29日収集
全般
- ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始
How attackers are adapting to a post-macro world
- VBAマクロがデフォルト無効になった後、攻撃者側がどういう工夫を凝らしてくるかを説明する記事です。ISOとかrarと最近、手口に使われる情報がありますが、なるほどと思いました。
- 他にlnkファイルを使う手法が挙げられてます。
- EMOTETの動向が、この流れを表していると言えそうです。
- https://www.techrepublic.com/article/how-attackers-are-adapting-to-a-post-macro-world/
- 関連
- Threat actors use new attack techniques after Microsoft blocked macros by default
- https://securityaffairs.co/wordpress/133764/hacking/attacks-after-microsoft-blocked-macros.html
- Hackers Opting New Attack Methods After Microsoft Blocked Macros by Default
https://thehackernews.com/2022/07/hackers-opting-new-attack-methods-after.html?m=1
https://xtech.nikkei.com/atcl/nxt/column/18/02143/072600001/
On security researcher's newsletter, exposing cybercriminals behind ransomware
- https://www.cyberscoop.com/ransomware-doxxing-conti-cybercrime/
プロキシウェア
- Microsoft SQL servers hacked to steal bandwidth for proxy services
- ちゃんと読めてないかもしれませんが、SQL Serverをハッキングしてプロキシウェアをインストールし、帯域幅を提供することで収益を上げていると読めました。
- 被害者のリソースを勝手に使うという意味ではコインマイナーに近いと言えるんですかね。悪用方法によってはより深刻のようにも思います。
- どうでも良いことですが、この頁に表示される目が×になっている人物はScarlet Nexus(ゲーム)に影響を受けてるんでしょうか。
- https://www.bleepingcomputer.com/news/security/microsoft-sql-servers-hacked-to-steal-bandwidth-for-proxy-services/
- 元のレポート
- Attackers Profiting from Proxyware
- https://asec.ahnlab.com/en/37276/
- 関連
- プロキシウェア Honeygain を悪用する甘い罠
- 1年前に同手法の報告が出てました。ここが判りやすい。説明があるように、もう少し突っ込んだ悪用方法がありそうですね。
- https://gblogs.cisco.com/jp/2021/09/talos-proxyware-abuse/
レポート
- APT trends report Q2 2022
- https://securelist.com/apt-trends-report-q2-2022/106995/
- 悪質なショッピングサイト等に関する統計情報(2022年上半期)
- https://www.jc3.or.jp/threats/topics/article-459.html
DDoS
- Largest European DDoS Attack on Record
- https://www.akamai.com/blog/security/largest-european-ddos-attack-ever
- 関連
- Akamai blocked largest DDoS in Europe against one of its customers
- https://www.bleepingcomputer.com/news/security/akamai-blocked-largest-ddos-in-europe-against-one-of-its-customers/
ブラウザ
- Cyberspies use Google Chrome extension to steal emails undetected
- ブラウザの機能拡張を悪用してwebメールなどから情報を窃取する手法のようですね。マクロ無効化後の手法の一つになっていくのでしょうか。
- https://www.bleepingcomputer.com/news/security/cyberspies-use-google-chrome-extension-to-steal-emails-undetected/
TikTok
- TikTokの問題を世間にどう伝えるかを指示した広報用内部資料が流出したとの報道
- https://gigazine.net/news/20220728-tiktok-leaked-documents/