このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。

１０月３日収集

ゼロデイ

Stop us if you've heard this one before: Exchange Server zero-days actively exploited
- Exchange Serverのゼロデイで悪用されているようです。CVE-2022-41040 はサーバー側のリクエストフォージェリの脆弱性、CVE-2022-41082 はリモートコード実行。
- https://www.theregister.com/2022/09/30/exchange_server_zero_day/
- マイクロソフトの報告
- 随時更新されて行ってますね。
- Customer Guidance for Reported Zero-day Vulnerabilities in Microsoft Exchange Server
  - https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange-server/

フィッシング

Microsoft to let Office 365 users report Teams phishing messages
- マイクロソフトが、Teamsメッセージによるフィッシング対策を進めていると読みました。一時期、MacよりWindows向けのマルウェアが多かったことからも、ユーザーが多いところを狙うのは常套のようなのでTeamsやZoomもターゲットになるのでしょうね。
- https://www.bleepingcomputer.com/news/microsoft/microsoft-to-let-office-365-users-report-teams-phishing-messages/

脆弱性情報収集

蓄積のその先へ。脆さを見つめ、対策へつなぐ。
- 情報収集の仕方、対応の判断の仕方などが記載されてます。
- https://fivedrive-techblog.hatenablog.com/

不正アクセス報告

当社サーバーへの不正アクセスに関するお知らせ（第２報）（株式会社ＮＩＴＴＡＮ）

ランサムウェアのようですね。
https://contents.xj-storage.jp/xcontents/AS05830/2fd353d3/4b10/4a77/9688/8a4034997aa9/140120220930538955.pdf

サイトのダウンの経緯とお詫び
- https://reiwa-kawaraban.com/others/20220929-02/

１０月４日収集

サイバー世界情勢

メキシコの汚職や人権侵害を報じるジャーナリストのスマホがスパイウェア「Pegasus」に感染していた新たな証拠が見つかる
- https://gigazine.net/news/20221003-mexico-pegasus-spyware/
The Finnish Security Intelligence Service (SUPO) warns Russia will highly likely intensify its cyber activity over the winter.
- ロシアが冬の間にサイバー活動を活発化させる可能性を指摘しています。冬になると物理的に活動しにくくなるのも理由なのでしょうかね。ナポレオンの遠征を思い出しました。
- https://securityaffairs.co/wordpress/136558/intelligence/finnish-intelligence-russia-cyberespionage.html

マルウェア

Bumblebee Malware Loader's Payloads Significantly Vary by Victim System
- バンブルビーが到達した先によって動きを変えるようになったという記事のようです。
- https://www.darkreading.com/attacks-breaches/bumblebee-malware-loader-s-payloads-significantly-vary-by-victim-system
Live support service hacked to spread malware in supply chain attack
- ライブチャットアプリケーションの公式インストーラの一部であるjsファイルが改ざんされてバックドアを埋め込まれたと言う案件のようです。最近、公式のインストーラーを改ざんして配布するケースが多くなってきている気がしますね。
- https://www.bleepingcomputer.com/news/security/live-support-service-hacked-to-spread-malware-in-supply-chain-attack/

不正アクセス報告

情報セキュリティインシデントに関するお知らせ（シャングリ・ラ　グループ）
- 情報の流出は確認しているものの、その内容までは把握できていないようです。
- https://mysupport.shangri-la.com/jp/

脆弱性

Reflected XSS bugs in Canon Medical 's Vitrea View could expose patient info
- 医療系のツールのXSS脆弱性のようですね。
- https://securityaffairs.co/wordpress/136545/hacking/canon-medical-vitrea-view-xss.html

１０月５日収集

サイバー世界情勢

Hackers Exploiting Dell Driver Vulnerability to Deploy Rootkit on Targeted Computers
- Lazarusの活動についての記事だったのでここに分類しました。
- https://thehackernews.com/2022/10/hackers-exploiting-dell-driver.html?m=1
徴兵逃れをしたいロシア人男性がサイバー犯罪ビジネスのカモになりまくっている
- 兵士に不適格とする証明書の偽造、入隊事務所のデータベースを変更して徴兵されないようにすると謳い、金が支払われると音信不通になる犯罪のようですね。
- https://gigazine.net/news/20221004-russians-conscript-officers-cybercrime-services/

ランサムウェア

Linux Cheerscrypt ransomware is linked to Chinese DEV-0401 APT group
- https://securityaffairs.co/wordpress/136611/malware/apt10-cheerscrypt-ransomware.html
Netwalker ransomware affiliate sentenced to 20 years in prison
- Netwalkerというランサムウェア（RaaS）の利用者（アフィリエイト）が逮捕され、カナダと米国で有罪判決を受けたという記事のようです。ランサムウェア・アフィリエイトという用語が判らなかったので調べたら（勉強不足ですみません）、以下のような記事がありました。RaaSの提供の仕組みに関わる用語なのですね。
- RANSOMWARE AS A SERVICE (RAAS) EXPLAINED
  - 詳細がわかる。
  - https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/
- 産業化するランサムウェア、そのシステムと被害を受けた時の対応策は
  - https://www.shiftsecurity.jp/blog/20220601
- ちなみに、以下が判決文
  - https://www.documentcloud.org/documents/23118450-judgment-as-to-sebastien-vachon-desjardins

フォレンジック

サイバー犯罪の原因究明や犯罪捜査における証拠を確保する技術「デジタルフォレンジック」とは
- デジタルフォレンジックについての説明がまとめられています。
- https://ascii.jp/elem/000/004/107/4107628/

SaaS

SaaS Risk Report Reveals Exposed Cloud Data is a $28M Risk for Typical Company
- https://www.varonis.com/blog/saas-data-risk-report
- レポート
  - https://info.varonis.com/hubfs/Files/docs/research_reports/Varonis-The-Great-SaaS-Data-Exposure.pdf?hsLang=en

Tor Browser

'Poisoned' Tor Browser tracks Chinese users' online history, location
- 中国ユーザーを標的として、改竄されたTor BrowserがYouTubeに投稿されたビデオのリンクで配布されていたと言うことのようです。PCの情報などを収集するようですが、Torを使う中国ユーザーの数はそんなに多いってことなんですかね。
- https://www.cyberscoop.com/modified-tor-browser-chinese-targeting/

暗号通貨

Hackers are breaching scam sites to hijack crypto transactions
- 暗号通貨の詐欺サイトを改ざんして詐欺師のウォレットから資産を自分のところに移すという事案のようですね。ここで言っている詐欺サイトがどういう性質のものか、明確な記載はないと思いますが、フィッシングや「こんにちは！」から始まる自称ハッカーのスパムメールからリンクされているサイトも同様のものかと想像します。
- 以前、たまたま見つけたフィッシングサイトを調べたことがありますが、HTMLを読むとオリジナルをコピーしているか、中身がスカスカなことが多い印象で、一時的なサイトであるため、当然サイバー攻撃を受ける前提で構築されてはいないと思います。見方を変えれば攻撃しやすいサイトなのかも知れません。
- 自然界の托卵や、蜂の巣の乗っ取りなどをふと思い出しました。
- https://www.bleepingcomputer.com/news/security/hackers-are-breaching-scam-sites-to-hijack-crypto-transactions/

BEC詐欺

BEC Scammer Gets 25-Year Jail Sentence for Stealing Over $9.5 Million
- BECの犯罪者が逮捕され、懲役25年の有罪判決を受けた記事。
- https://thehackernews.com/2022/10/bec-scammer-gets-25-year-jail-sentence.html?m=1

内部不正

不正アクセス事件　業務上データ消去か　静岡県警、業務妨害視野に捜査
- 在職中から違反行為を行っており、離職後に事件を起こしたようですね。
- https://www.at-s.com/news/article/shizuoka/1132055.html

ハイプ・サイクル

Gartner、「日本におけるセキュリティ (インフラ、リスク・マネジメント) のハイプ・サイクル：2022年」を発表
- https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20220926

不正アクセス報告

ご報告
- 民間企業のメールサーバを契約して利用していたところ、不正アクセスを受け、無関係なメールが送信されたようですね。
- https://www.mizuoka.net/files/20221004.pdf

１０月９日収集

フィッシング

2022/09 フィッシング報告状況（フィッシング対策協議会）
- https://www.antiphishing.jp/report/monthly/202209.html

１０月１２日収集

マルウェア

Russia-Linked Cybercrime Group Hawks Combo of Malicious Services With LilithBot
- ロシアに関係のあるエタニティチームというグループがサービスとして提供するマルウェアの記事。マルウェアなカスタマイズを請けたり、様々な機能をモジュールとして組み込めるLilithBotを提供しており、サイバー研究者の言では｢ユーザーフレンドリー｣なのだそうです。いわゆる顧客志向なのでしょうかね。
- https://www.darkreading.com/remote-workforce/russia-linked-cybercrime-group-hawks-combo-of-malicious-services-with-lilithbot

脆弱性

macOS Archive Utility Bug Lets Malicious Apps Bypass Security Checks
- CVE-2022-32910。MacOSのアーカイブユーティリティの脆弱性で、セキュリティチェックを回避できてしまうようですね。発見したチームは５月に報告、パッチは７月に提供、ただし公開は１０月となっているようです。
- https://www.darkreading.com/application-security/macos-archive-utility-bug-malicious-apps-bypass-security-checks
- 日本語の同記事。
- macOS標準のアプリに脆弱性、ただちに確認とアップデートを
  - https://news.mynavi.jp/techplus/article/20221007-2474760/
- 元の記事。
- Jamf Threat Labs identifies macOS Archive Utility vulnerability allowing for Gatekeeper bypass
  - https://www.jamf.com/blog/jamf-threat-labs-macos-archive-utility-vulnerability/
Fortinet Warns of Active Exploitation of Newly Discovered Critical Auth Bypass Bug
- CVE-2022-40684 (CVSS スコア: 9.6)
- https://thehackernews.com/2022/10/fortinet-warns-of-active-exploitation.html?m=1
- JPCERT/CCのレポート
- Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性（CVE-2022-40684）に関する注意喚起
  - https://www.jpcert.or.jp/at/2022/at220025.html

【重要・要対応】bingo!CMS 認証回避脆弱性に関する対応をお願いいたします
- CVE-2022-42458
- https://www.bingo-cms.jp/information/20221011.html

クラウド

クラウドアカウント間におけるデータ転送の悪用（MBSD）
- https://www.mbsd.jp/research/20221006/post-4/

リスト型攻撃

スクエニ、FF14へのリスト型攻撃を検知　パスワード強制リセットの可能性も　認証情報の再設定を呼び掛け
- https://www.itmedia.co.jp/news/articles/2210/07/news108.html
- 元の報告
  - [重要]不正アクセスとアカウント管理に関するご注意
  - https://jp.finalfantasyxiv.com/lodestone/news/detail/dbe2d8006c7907ab18e7b4335e9110c1e29309be

フィッシング

[重要]フィッシング詐欺サイトへ誘導するメッセージにご注意ください
- スクエアエニックス社のFFのサイトに確認しに行ったら、８月のプレスですがフィッシングの注意喚起もありました。ゲーム用のアカウント情報を窃取する目的のようです。狙い目はどこら辺なのでしょうかね。
- https://jp.finalfantasyxiv.com/lodestone/news/detail/083917c7537b7c2bafea898757a16a26c045b883

phishing-as-a-service (PhaaS) ツールキット

Researchers Warn of New Phishing-as-a-Service Being Used by Cyber Criminals
- 名前はカフェイン（Caffeine）のようですね。
- https://thehackernews.com/2022/10/researchers-warn-of-new-phishing-as.html?m=1
- 元の記事。
- The Fresh Phish Market: Behind the Scenes of the Caffeine Phishing-as-a-Service Platform(Mandiant）
  - https://www.mandiant.com/resources/blog/caffeine-phishing-service-platform

サイバーセキュリティ動向

巧妙化するサイバー攻撃、セキュリティ担当の課題は人材不足や予算など
- 企業のサイバーセキュリテイ動向のアンケート結果に関する記事。
- https://japan.zdnet.com/article/35194307/?tag=as.rss

サイバー演習

滋賀大学におけるサイバー攻撃共同対処訓練の実施
- 研究機関の動き。広まって欲しいですね。
- https://www.pref.shiga.lg.jp/police/seikatu/304024/terotaisaku/327719.html

サイバー基準

防衛省の新サイバー基準
- https://xtech.nikkei.com/atcl/nxt/mag/nc/18/092900317/092900001/

ランサムウェア

ランサムウェア「BlackByte」、ウイルス対策ソフトを無力化する攻撃を展開中
- https://japan.zdnet.com/article/35194304/?tag=as.rss
- 元の報告
- Remove All The Callbacks -- BlackByte Ransomware Disables EDR Via RTCore64.sys Abuse
  - https://news.sophos.com/en-us/2022/10/04/blackbyte-ransomware-returns/

DGA（ドメイン生成アルゴリズム）

Powershell Backdoor with DGACapability
- https://isc.sans.edu/forums/diary/Powershell+Backdoor+with+DGA+Capability/29122/

トップレベルドメイン一覧

JPRSがインターネットの国別トップレベルドメインを楽しく学べる世界地図ポスターの全国教育機関への無償配布を開始
- これどこ？というドメイン時々あります。メールまたはFAXでの申し込みが必要なようです。
- https://jprs.co.jp/press/2022/221006.html

サイバー世界情勢

米主要空港のウェブサイトが一時ダウン、親ロシア派がサイバー攻撃か
- Killnetのようですね。
- https://forbesjapan.com/articles/detail/50992

情報漏洩報告

お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて（TOYOTA）
- コネクテッドサービスのコードがGithub流出しており、その中にアクセスキーが含まれ、それを悪用されて......という流のようですね。
- Githubに置いたのが誰なのか（盗まれたのか、サプライチェーン上の誰かが行ったのか（開発請負企業の開発者が自身の技術レベルを測るためにアップした事案を思い出しました））、アクセスキーの更新運用はどうなっていたのかが気になります。
- https://global.toyota/jp/newsroom/corporate/38095972.html

不正アクセス報告

当社サーバーへの不正アクセスに関するお知らせ（日本梱包運輸倉庫株式会社）
- ランサムウェアのようですね。
- https://www.nikkon.co.jp/news/2022/news_129.html

レポート

サイバー犯罪者に狙われやすい、インターネットバンキングサービスの4つの脆弱ポイントとは？（ラック）
- ９月に公開されていたようですね。
- https://www.lac.co.jp/lacwatch/report/20220915_003115.html

ATM/PoSマルウェア

The 2020-2022 ATM/PoS malware landscape
- ロシア、ブラジル、ジンバブエなどの国での事案が多いようですね。
- https://www.techrepublic.com/article/atm-pos-malware-landscape/

BitB（ブラウザ・イン・ザ・ブラウザ）関連

Hackers Can Use 'App Mode' in Chromium Browsers' for Stealth Phishing Attacks
- Chromiumベースのブラウザの｢アプリモード｣を使用すると、BitBを仕掛けやすいという技術検証のようですね。今後、Googleはこの機能に該当するChromeアプリを段階的に廃止する予定だそうです。
- ChromeアプリはWeb技術で開発され、Chromeブラウザ上で動作するアプリを指すようですね。MicrosoftのSilverlightと発想が似ている気がしますが、どうなんでしょうかね。
https://thehackernews.com/2022/10/hackers-can-use-app-mode-in-chromium.html?m=1

１０月１３日収集

サイバー世界情勢

POLONIUM targets Israel with Creepy malware
- https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/

ランサムウェア

Lockbit ransomware affiliates are compromising Microsoft Exchange servers to deploy their ransomware, experts warn.
- https://securityaffairs.co/wordpress/136968/cyber-crime/microsoft-exchange-lockbit-ransomware.html

ヴィッシング

Hackers Using Vishing to Trick Victims into Installing Android Banking Malware
- https://thehackernews.com/2022/10/hackers-using-vishing-tactics-to-trick.html?m=1

脆弱性パッチ

Microsoft Patch Tuesday Fixes New Windows Zero-Day; No Patch for Exchange Server Bugs
- Exchange Serverのパッチはないと言っているのが気になりますね。
- https://thehackernews.com/2022/10/microsoft-patch-tuesday-fixes-new.html?m=1

不正アクセス報告

Danmeeニュースサイトにおける不正アクセスについて
- https://danmee.jp/danmee-information/
えきねっとで不正利用されてしまった件
- ここに分類すべきか微妙ですが。教訓として読んでおくのも良いかと......。
- https://note.com/swwwitch/n/n56d63a0b722a

個人情報漏洩報告

雇用情報ポータルサイト「ちとせの仕事」における不正アクセス事案の発生について

調査報告

NURO 光ネットワークに関する調査結果のご報告および今後の取り組みについて
- 顧客から通信が安定しないという連絡が寄せられ、調査したところ、NURO回線を複数エリアにて多数利用していた特定事業者が管理している端末から、異常なトラフィックが発生していたそうです。どういう通信だったのか気になりますね。
- https://www.nuro.jp/news_release/20221012-2/

１０月１４日収集

サイバー世界情勢

China-linked Budworm APT returns to target a US entity
- Budworm(APT27)が米国を標的にと言う記事ですね。
- https://securityaffairs.co/wordpress/137075/apt/budworm-apt-targets-us.html

全般

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers
- ポロニウムと名前が付けられたグループの記事。C2通信でインターネットストレージを使うようですね。
- https://thehackernews.com/2022/10/researchers-uncover-custom-backdoors.html?m=1

脆弱性

Aruba製アクセスポイントに複数の深刻な脆弱性
- https://www.security-next.com/140483

不正アクセス報告

重大なシステムトラブルによる事業への影響のご報告（市民生活協同グ組合ならコープ）
- サイバー攻撃によってセキュリティソフトがネットワークを遮断し、その復旧に時間がかかるという状況のようです。ランサムウェアではないのですね。
- https://www.naracoop.or.jp/pdf/awogaki_rinji.pdf

個人情報漏洩報告

【Ｚ会ソリューションズ】お客様情報の漏洩に関するお詫びと、その対応に関するご報告
- Webシステムの設計不備が原因のようですね。
- https://www.zkai-gr.co.jp/news/7414/

ランサムウェア

Top 5 ransomware detection techniques: Pros and cons of each
- いくつか、参考になりそうなテクニックがありました。
- https://www.malwarebytes.com/blog/business/2022/10/top-5-ransomware-detection-techniques-pros-and-cons-of-each

Trusted Web

インターネットの信頼性向上へ官民で検証開始、「Trusted Web」構想とは
- 今年の夏にデジタル庁が色々やってたんですね。個人的に追いかけておきたいネタです。
- https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/092000207/?P=2

Modified WhatsApp App Caught Infecting Android Devices with Malware
- メッセンジャーアプリの非公式版を使うとアクセスするためのキーを盗まれるようですね。正規アプリの改造版のパターンになると思います。
- https://thehackernews.com/2022/10/modified-whatsapp-app-caught-infecting.html?m=1

１０月１７日収集

サイバー世界情勢

北朝鮮サイバー攻撃で注意喚起 "暗号資産関連企業が標的に"
- https://www3.nhk.or.jp/news/html/20221014/k10013858971000.html
- 注意喚起
- 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）（NISC）
- https://www.nisc.go.jp/pdf/press/20221014NISC_press.pdf
INTERPOL arrests 'Black Axe' cybercrime syndicate members
- 国際的なロマンス詐欺などをやっていたサイバー犯罪シンジケートのメンバーがインターポールに逮捕されたと言う記事のようです。
- 419詐欺と言う用語があったので調べてみたら、ナイジェリアの刑法419条に抵触することからきている名前らしいです。
- https://www.bleepingcomputer.com/news/security/interpol-arrests-black-axe-cybercrime-syndicate-members/
- 419詐欺
  - https://ja.m.wikipedia.org/wiki/%E3%83%8A%E3%82%A4%E3%82%B8%E3%82%A7%E3%83%AA%E3%82%A2%E3%81%AE%E6%89%8B%E7%B4%99
New Chinese Cyberespionage Group Targeting IT Service Providers and Telcos
- 中東およびアジアの電気通信および IT サービスプロバイダーが標的のようですね。
- https://thehackernews.com/2022/10/new-chinese-cyberespionage-group.html?m=1

Fortinet脆弱性

FortiOS, FortiProxy, and FortiSwitchManager Authentication Bypass Technical Deep Dive (CVE-2022-40684)
- PoCが出ていますね。とりあえずUser-AgentとURLで引っかかりそうに思います。
- https://www.horizon3.ai/fortios-fortiproxy-and-fortiswitchmanager-authentication-bypass-technical-deep-dive-cve-2022-40684/
Fortinet社製品の管理画面の認証をバイパスする脆弱性CVE-2022-40684に関連した調査（マクニカ）
- https://security.macnica.co.jp/blog/2022/10/fortinetcve-2022-40684.html

脆弱性パッチ

Palo Alto Networks fixed a high-severity auth bypass flaw in PAN-OS
- https://securityaffairs.co/wordpress/137138/security/palo-alto-networks-pan-os-flaw-3.html

Zimbra脆弱性の悪用

Zimbraのゼロディ脆弱性のサイバー攻撃への悪用確認、ただちにパッチ適用を
- https://news.mynavi.jp/techplus/article/20221015-2480996/
- Rapid7の報告
  - https://attackerkb.com/topics/1DDTvUNFzH/cve-2022-41352/rapid7-analysis?utm_source=blog&utm_medium=referral&utm_campaign=etr_cve_2022_41352
- オフィシャル・フォーラム（Zimbra）
  - Attacker managed to upload files into Web Client directory
  - https://forums.zimbra.org/viewtopic.php?f=15&t=71153&sid=ec590d3c33b28980e53752569defe800

C2ログ可視化ツール

CISA releases open-source \'RedEye\' C2 log visualization tool

Microsoft 365メッセージ暗号化に脆弱性の指摘？

Serious Security: Microsoft Office 365 attacked over feeble encryption
- https://nakedsecurity.sophos.com/2022/10/14/serious-security-microsoft-office-365-attacked-over-feeble-encryption/
- 関連
- Microsoft Office 365 Message Encryption Insecure Mode of Operation
  - https://labs.withsecure.com/advisories/microsoft-office-365-message-encryption-insecure-mode-of-operation
- 日本語の記事
  - 「Microsoft Office 365」の暗号化メールに内容を特定されうる危険性、Microsoftは対応予定なし
  - https://gigazine.net/news/20221017-microsoft-office-365-message-encryption-insecure-mode/

ランサムウェア

New "Prestige" ransomware impacts organizations in Ukraine and Poland
- ウクライナとポーランドが標的のようですね。
- https://www.microsoft.com/en-us/security/blog/2022/10/14/new-prestige-ransomware-impacts-organizations-in-ukraine-and-poland/,-The%20following%20table)

マルウェア

QAKBOT Attacks Spike Amid Concerning Cybercriminal Collaborations
- https://www.darkreading.com/attacks-breaches/qakbot-attacks-spike-cybercriminal-collaborations
New PHP Version of Ducktail Malware Hijacking Facebook Business Accounts
- DucktailのPHPバージョンが、クラックされたアプリなどのインストーラーの形で配布されていて、感染するとFacebookのビジネスアカウントなどをハイジャックするそうです。
- ベトナムの脅威アクターだそうです。
- https://thehackernews.com/2022/10/new-php-version-of-ducktail-malware.html?m=1
- zscalerの元の報告
  - https://www.zscaler.com/blogs/security-research/new-php-variant-ducktail-infostealer-targeting-facebook-business-accounts

DDoS

Mirai Botnet Hits Wynncraft Minecraft Server with 2.5 Tbps DDoS Attack
- ゲーム系のサーバーが標的にされたようですが、緩和に成功したようですね。
- https://thehackernews.com/2022/10/mirai-botnet-hits-wynncraft-minecraft.html?m=1

レポート

警察白書（令和４年版）
- 全体
  - https://www.npa.go.jp/publications/whitepaper/r04/index.html
- 第3章　サイバー空間の安全の確保
  - https://www.npa.go.jp/publications/whitepaper/r04/PDF/06_r4_wp_sec3.pdf
- 統計資料（第3章の資料もありました）
  - https://www.npa.go.jp/publications/whitepaper/r04/statistics/statisticsindex.html

不正アクセス報告

不正アクセスによる個⼈情報等流出の可能性に関するお詫びとご報（武州製薬）
- https://www.bushu-pharma.com/press-release-on-breach/

個人情報漏洩報告

菅谷保育所の保育所配信システムの誤配信による個人情報の漏えいについて（那珂市）
- https://www.city.naka.lg.jp/page/page009007.html

１０月１８日収集

全般

政府の端末、サイバーリスク総点検
- https://www.nikkei.com/article/DGKKZO65190880X11C22A0MM8000/?unlock=1
指先の熱からパスワードを盗む攻撃　入力後のキーボードから押した場所を特定　6文字なら検出精度100％
- すごいとは思うのですが......。
- https://www.itmedia.co.jp/news/articles/2210/17/news035.html

脆弱性

バッファローのWi-Fiルーターなど77製品に脆弱性、対策ファームウェアへのアップデートを
- https://internet.watch.impress.co.jp/docs/news/1445277.html

Lckbit3.0

Japanese tech firm Oomiya hit by LockBit 3.0. Multiple supply chains potentially impacted
- https://securityaffairs.co/wordpress/137243/cyber-crime/oomiya-lockbit-3-0-ransomware.html
- 関連
  - https://codebook.machinarecord.com/23043/

１０月１９日収集

全般

Dangerous hole in Apache Commons Text -- like Log4Shell all over again
- テキスト補完機能の危険性を指摘していると読みました。クライアント側で入力された文字列が、補完されるのが前提の内容になっており、それがサーバー側の処理に渡って補完機能でOSコマンドなどとして補完される、と言うことでしょうかね？
- Log4Shellの危険性と比較して記事を書いていますが、要は、便利な機能を付けることが脆弱性に繋がる、と言うことでしょうか。
- https://nakedsecurity.sophos.com/2022/10/18/dangerous-hole-in-apache-commons-text-like-log4shell-all-over-again/

サイバー世界情勢

Chinese 'Spyder Loader' Malware Spotted Targeting Organizations in Hong Kong
- https://thehackernews.com/2022/10/chinese-spyder-loader-malware-spotted.html
- 以下に解析情報やIOCが乗ってました
  - Spyder Loader: Malware Seen in Recent Campaign Targeting Organizations in Hong Kong
  - https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/spyder-loader-cuckoobees-hong-kong

マルウェア

メモリー上に直接マルウェアを展開する攻撃を発見--家庭用PCが標的
- Magniberと言うそうです。｢DotNetToJscript｣を使用しているようですね。
- https://japan.zdnet.com/article/35194695/

RedEye

CISA Releases RedEye: Red Team Campaign Visualization and Reporting Tool
- https://www.cisa.gov/uscert/ncas/current-activity/2022/10/14/cisa-releases-redeye-red-team-campaign-visualization-and-reporting
- 日本語記事
- 米CISA、レッドチーム演習の可視化ツールを公開 - 意思決定など支援
  - https://www.security-next.com/140603

訓練

サイバー攻撃に備え約160の金融機関を対象に訓練始まる
- https://www3.nhk.or.jp/news/html/20221018/k10013862721000.html

１０月２０日収集

Fortinet脆弱性

直接侵入に繋がるネットワーク機器の侵害：新たな脆弱性「CVE-2022-40684」に注意
- トレンドマイクロによる注意喚起。
- https://www.trendmicro.com/ja_jp/research/22/j/fortinet.html?s=09

Cobalt Strike

IBM、Cobalt Strike 4.7.1に存在するリモートコード実行の脆弱性を報告
- https://news.mynavi.jp/techplus/article/20221019-2484814/

車両系サイバーセキュリティ

デンソーとNTTコミュニケーションズ、車両向けサイバー攻撃対応で協業　セキュリティー監視サービスの提供へ
- SOCを設置するようですね。個人的には気になっていた領域なので、対策が進むのは良い事だと思います。
- https://www.netdenjd.com/articles/-/274833
- 以下、デンソーの公表
  - NTT Comとデンソー、車両向けセキュリティ監視サービスの提供に向けた協業を開始
  - https://www.denso.com/jp/ja/news/newsroom/2022/20221018-01/

１０月２１日収集

全般

Detecting and preventing LSASS credential dumping attacks
- 攻撃者が資格情報取得のために利用するlsass.exeに関する検出と防御の記事と読みました。誤検知を含めると結構お目にかかることが多い印象ですね。
- https://www.microsoft.com/en-us/security/blog/2022/10/05/detecting-and-preventing-lsass-credential-dumping-attacks/

サイバー世界情勢

Hackers Using New Version of FurBall Android Malware to Spy on Iranian Citizens
- https://thehackernews.com/2022/10/hackers-using-new-version-of-furball.html
- 関連記事
- Hacking group updates Furball Android spyware to evade detection
  - https://www.bleepingcomputer.com/news/security/hacking-group-updates-furball-android-spyware-to-evade-detection/

マルウェア

Ursnif malware switches from bank account theft to initial access
- Ursnif（Gozi）がバンキングマルウェアから一般的なバックドアに置き換えられたという記事。これも時代の流れなのでしょうかね。
- https://www.bleepingcomputer.com/news/security/ursnif-malware-switches-from-bank-account-theft-to-initial-access/
- 日本語の記事
- 「URSNIF」マルウェアの極めて危険な亜種が登場--「Emotet」に似た形態
  - https://japan.zdnet.com/article/35194950/

ランサムウェア

Ransomware attack freezes newspaper printing system
- ドイツで印刷システムが攻撃を受け、紙版新聞の提供が出来なくなったという記事。
- https://www.malwarebytes.com/blog/news/2022/10/ransomware-attack-freezes-newspaper-printing-system
DeadBolt ransomware gang tricked into giving victims free decryption keys
- オランダの警察がDeadBoltランサムウェアの攻撃者を騙して復号化キーを窃取し、公開下という記事。
- https://www.malwarebytes.com/blog/news/2022/10/deadbolt-ransomware-gang-tricked-into-giving-victims-free-decryption-keys
- 以下、日本語の記事
- オランダ警察、ランサムウェア攻撃グループを欺き復号鍵の入手に成功
  - https://japan.zdnet.com/article/35194899/?tag=as.rss

Lazarusの動向

北朝鮮、暗号資産狙ったサイバー攻撃か　警察庁の新設部隊が分析
- 日本の暗号資産交換業者を標的にしているそうですね。
- https://www.asahi.com/articles/ASQBN4F2YQBNUTIL007.html?ref=rss

不正アクセス

不正アクセス事件　追加設定しデータ閲覧か　静岡南署など元社員を再逮捕
- 内部不正系の事案は結構お目にかかるように思います。
- https://www.at-s.com/news/article/shizuoka/1139190.html

情報漏洩

Investigation Regarding Misconfigured Microsoft Storage Location
- 構成ミスで顧客情報が公開された状態になっていたようですね。
- https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/
- 以下は警告を発したSOCRadarが公開しているサイト。「BlueBleed」と命名しているようですが......。Microsoftは感謝しつつも反論しているようですね。
  - https://socradar.io/labs/bluebleed
- 以下、日本語の記事
- Microsoftから機密情報が流出。取引先企業の会社名、メール内容、添付ファイルなど
  - https://www.nichepcgamer.com/archives/microsoft-server-misconfiguration-leaks-confidential-information-of-companies.html

注意喚起

警察庁をかたる不審なショートメッセージへの注意喚起について
- URLをクリックすると、マルウェアになっている偽アプリをダンロードさせたり、国税納付の偽サイトに誘導されるようです。最近、国税庁を語るフィッシングメールをよく目にしますが、関係あるのでしょうかね。
- https://www.npa.go.jp/cyber/pdf/R041020_cyber_alert.pdf

個人情報漏洩報告

当社ファイルサーバーのランサムウエア感染による情報流出の可能性についてお知らせとお詫び（第二報）（株式会社UPDATER）
- https://minden.co.jp/news/2022/10/17/7505

１０月２４日収集

ランサムウェア

Venus ransomware targets remote desktop services
- 公開されている（安全でない）RDP接続を狙って侵入し、暗号化するランサムウェアのようですね。
- https://www.malwarebytes.com/blog/news/2022/10/venus-ransomware-targets-remote-desktop-services

Emotetの動向

Emotet Botnet Distributing Self-Unlocking Password-Protected RAR Files to Drop Malware
- RARファイルを利用する手法を採用したのですかね。
- https://thehackernews.com/2022/10/emotet-botnet-distributing-self.html

BlackByteの動向

BlackByte ransomware picks up where Conti and Sodinokibi left off
- https://www.techrepublic.com/article/blackbyte-ransomware/
BlackByte ransomware uses new data theft tool for double-extortion
- https://www.bleepingcomputer.com/news/security/blackbyte-ransomware-uses-new-data-theft-tool-for-double-extortion/

Bring Your Own Vulnerable Driver (BYOVD)

Microsoft fixes driver blocklist placing users at risk from BYOVD attacks
- 脆弱性のあるドライバーファイルを配置して攻撃する手法については、以前取り上げましたが、それを指すようです。
https://www.malwarebytes.com/blog/news/2022/10/microsoft-fixes-driver-blocklist-placing-users-at-risk-from-byovd-attacks

レポート等の公開

G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について（日本銀行）
- https://www.boj.or.jp/announcements/release_2022/rel221021a.htm/
サイバーセキュリティに関するグローバル動向四半期レポート（2022年1月～3月）を公開（NTTデータ）
- https://www.nttdata.com/jp/ja/news/information/2022/102000/

１０月２５日収集

サイバー世界情勢

イラン原子力機関、ハッカー攻撃確認
- https://jp.reuters.com/article/iran-nuclear-cyber-idJPKBN2RJ021?taid=63560a42a534fc00015b1c3a&utm_campaign=trueAnthem:+Trending+Content&utm_medium=trueAnthem&utm_source=twitter

Google Play

クリッカーマルウェアが潜む16のアプリ、「Google Play」ストアから削除
- https://japan.cnet.com/article/35195032/
- 以下はたぶん、関連記事
- 合計2000万DLされたAndroidアプリに「特定のウェブサイトのアクセス回数を水増しする機能」が仕込まれていたことが判明
  - 市場や世論の操作に使うのでしょうかね。
  - https://gigazine.net/news/20221024-android-malicious-app/

Google Chrome

Google Chrome to drop support for Windows 7 / 8.1 in Feb 2023
- https://www.bleepingcomputer.com/news/google/google-chrome-to-drop-support-for-windows-7-81-in-feb-2023/

VMWare

VMware bug with 9.8 severity rating exploited to install witch's brew of malware
- https://arstechnica.com/information-technology/2022/10/ransomware-crypto-miner-and-botnet-malware-installed-using-patched-vmware-bug/

CSIRT

今治市CSIRTの設置について
- https://www.city.imabari.ehime.jp/mirai/CSIRT/

テクニカルサポート詐欺系

「ハッキングされようとしている」対策名目で40万円分の詐欺被害
- 日本での事案ですね。
- https://newsdig.tbs.co.jp/articles/-/181586?display=1

医療機関

CISA Warns of Daixin Team Hackers Targeting Health Organizations With Ransomware
- 米国における動向ですね。脆弱なVPNからアクセスし、医療系を標的にしているようですね。
- https://thehackernews.com/2022/10/cisa-warns-of-daixin-team-hackers.html
- 日本語の記事
- セキュリティが脆弱なVPNサーバーを狙う「Daixin Team」の攻撃が活発化--FBIが警告
  - https://japan.zdnet.com/article/35195092/
- Alert (AA22-294A)
  - https://www.cisa.gov/uscert/ncas/alerts/aa22-294a

まとめ記事

piyokangoの月刊システムトラブル
- https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/101800044/

不正アクセス報告

本学園サーバーへの不正アクセスについて（学校法人ヒラタ学園）
- https://www.aerohirata.co.jp/wp-content/uploads/sites/10/2022/10/HP%e5%85%ac%e8%a1%a8%e6%96%87%e3%80%90%e4%b8%8d%e6%ad%a3%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6%e3%80%91.pdf

１０月２６日収集

サイバー世界情勢

Hive claims ransomware attack on Tata Power, begins leaking data
- タタグループの電力会社であるTata PowerがHiveランサムウェアに感染し、漏洩した情報がリークサイトに公開されたようですね。
- 漏洩したのは社内機密情報関係のように読みました。
- https://www.bleepingcomputer.com/news/security/hive-claims-ransomware-attack-on-tata-power-begins-leaking-data/
Cybercriminals Used Two PoS Malware to Steal Details of Over 167,000 Credit Cards
- POSマルウェアの記事。
- https://thehackernews.com/2022/10/cybercriminals-used-two-pos-malware-to.html
Ukrainian charged for operating Raccoon Stealer malware service
- マルウェアのサービスの運営でウクライナ人が起訴
- https://www.bleepingcomputer.com/news/security/ukrainian-charged-for-operating-raccoon-stealer-malware-service/

ランサムウェア

盗んだ情報を暴露するリークサイト、分析して見えたランサムウエアの実被害
- Lockbit3.0のリークサイトを取り上げているようですね。
- https://active.nikkeibp.co.jp/atcl/act/19/00324/100700012/?n_cid=nbpnxta_twbn

フィッシング

DHL named most-spoofed brand in phishing
- DHLがもっともフィッシングでなりすましの多かったブランドという記事ですが、個人的にはDHLのフィッシングメールは来ていません。海外と状況が異なるということでしょうかね。ちなみに２位はMicrosoft、３位はLinkedInだそうです。
- https://www.theregister.com/2022/10/24/dhl_phishing_scams/

脆弱性

Windows Mark of the Web Zero-Days Remain Patchless, Under Exploit
- Microsoft Officeのファイルでインターネットからダウンロードされたものに付与されるMack of the Web(MoTW)に関する脆弱性のようですね。Emotetのグループが使いそうで怖いですね。
- https://www.darkreading.com/attacks-breaches/windows-mark-of-the-web-zero-days-patchless-exploit
- 日本語の記事（要ログイン）
- タイトルはちょっと違いますが、内容はこの件のようです。
- Windowsユーザーは注意　ダウンロードしたJavaScriptファイルが警告なしで実行される脆弱性が見つかる
  - https://www.itmedia.co.jp/enterprise/articles/2210/25/news069.html?s=09

脆弱なパスワード

How the \"pizza123\" password could take down an organization
- どれだけピザが好きなんですかね。
- https://www.bleepingcomputer.com/news/security/how-the-pizza123-password-could-take-down-an-organization/

不正アクセス報告

不正アクセスに関するお知らせとお詫び（株式会社ショーケース）
- Webシステムと想像しますが、コードが改ざんされ、顧客の入力情報が摂取される状態になっていたようです。
- https://www.showcase-tv.com/corporate/summary/
弊社ホームページへの不正アクセス改ざんに伴う情報流出可能性検証経緯のご報告とお詫び（ネクストリンクス株式会社）
- ホームページが不正アクセスを受け、フィッシングサイトを置かれたのでしょうかね。
- https://nextlinks.co.jp/report.html
- 以下は調査報告書
  - https://nextlinks.co.jp/pdf/report.pdf
当社サーバーへの不正アクセスについてのご報告とお詫び（日本盛株式会社）
- 第三者調査機関による調査結果の公開のようです。
- https://www.nihonsakari.co.jp/news/p/341

レポート

NO WHERE TO HIDE 2022 Falcon OverWatch Threat Hunting Report
- CloudStrikeのレポート。
- https://www.crowdstrike.com/wp-content/uploads/2022/09/2022-overwatch-report-infographic.pdf
サイバー攻撃に関する実態アンケート（2022年10月）（帝国データバンク）
- サイバー攻撃を受けたが、水際で遮断されて支出はないという解答が８割近くだそうです。対策が進んでいるということになるでしょうか。
- https://www.tdb.co.jp/report/watching/press/p221004.html

１０月２７日収集

ランサムウェア

The most dangerous and destructive ransomware groups of 2022
- よく話題になるランサムウェアのまとめ。
- https://www.techrepublic.com/article/most-dangerous-ransomware-groups/
Medibank now says hackers accessed all its customers' personal data
- 英語を読めていないだけかも知れませんが、暗号化の阻止には成功したが、データは漏えいしたと言うことでしょうか。
- https://www.bleepingcomputer.com/news/security/medibank-now-says-hackers-accessed-all-its-customers-personal-data/

脆弱性

Cisco warns admins to patch AnyConnect flaws exploited in attacks
- CVE-2020-3433およびCVE- 2020-3153 が対象とのことですが、2年前にパッチは提供されているようです。今年になって悪用されていることから推察するに、それだけパッチを当ててない該当機器が多いと言うことなのでしょうかね。
- https://www.bleepingcomputer.com/news/security/cisco-warns-admins-to-patch-anyconnect-flaws-exploited-in-attacks/

サイバー人材

サイバーセキュリティ人材、アジア太平洋で216万人不足
- 政府や自衛隊も人員を増やしそうな動きがありますし、日本でも需要は高いと想像しています。
- https://japan.cnet.com/article/35195150/?tag=as.rss

OTセキュリティ

Ransomware Gangs Ramp Up Industrial Attacks in US
- 以前は影響を受けにくいと言われていたと思いますが、OTが外と繋がるようになってそう言うわけには行かなくなってきているようですね。
- https://www.darkreading.com/ics-ot/ransomware-gangs-ramp-industrial-attacks-us

Android マルウェア

Kimsuky Hackers Spotted Using 3 New Android Malware to Target South Koreans
- 韓国が標的のようですね。ですがこの攻撃グループは日本も標的にしていると記事にありました。
- https://thehackernews.com/2022/10/kimsuky-hackers-spotted-using-3-new.html?m=1

医療機関

犯罪集団に3万ドル支払いか　ロシア拠点ハッカーが主張
- 記事では復元を依頼されたIT業者の関係者が交渉した可能性があると指摘しています。
- https://nordot.app/957824104903278592?c=39550187727945729
- 以下の記事は３か月前から攻撃の準備がされた点を言ってますね。
  - 3カ月前からサイバー攻撃準備か　復元プログラム分析で判明
  - https://nordot.app/957950794102046720

個人情報漏洩報告

株式会社JTBが管理・運用する情報共有ツールにおけるアクセス権限の誤設定による個人情報等の漏洩について（観光庁）
- さっと調べた限りではJTB側の報告は見つけられませんでした。
- https://www.mlit.go.jp/kankocho/news08_000360.html
- ニュース記事
- JTB、事業者の1万人超の個人情報を流出　観光庁の事業で
  - https://news.goo.ne.jp/article/asahi/nation/ASQBT6DG8QBTULFA01C.html
弊社が運営する「生涯学習のユーキャン」サイトにおける個人情報漏洩に関するお詫びとお知らせ
- 10/26に記載している株式会社ショーケースの入力アシストサービスを使っており、その機能がコード改竄されたためのようですね。サプライチェーン管理と言う観点での教訓となるでしょうか。
- https://www.u-can.co.jp/info/release.html
- 以下、関連してpiyolog様のまとめ
- Javascriptファイルを提供元から読み込んで機能を実装していたために、提供元のファイルが改竄されると、利用側のサイトも影響を受けると言うことのようですね。作りとしては良くあるものだと思いますので、それを前提とした対策を考えていくべき、と言うことでしょうかね。
- フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた
  - https://piyolog.hatenadiary.jp/entry/2022/10/27/005604
弊社が運営するECサイト「FUJIFILMプリント＆ギフト」への不正アクセスによるクレジットカード情報漏洩に関するお詫びとお知らせ（富士フィルムイメージングシステムズ株式会社）
- こちらも株式会社ショーケースのサービス利用によるもののようですね。
- https://www.fujifilm.com/ffis/ja/news/116

１０月２８日収集

資料の公表

G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について
- ２資料とも仮訳があります。
- https://www.boj.or.jp/announcements/release_2022/rel221021a.htm/

ソーシャルメディア

7 Hidden Social Media Cyber-Risks for Enterprises
- ソーシャルメディアに潜む７つのサイバーリスクについての記事。ディープフェイク、Linkedin採用詐欺なども含まれ、一読の価値ありと思いました。
- https://www.darkreading.com/application-security/7-hidden-social-media-cyber-risks-enterprises?slide=1

フィッシング

Cyberattackers Target Instagram Users With Threats of Copyright Infringement
- インスタグラムのユーザーを標的にしたフィッシング・キャンペーンのようですね。
- https://www.darkreading.com/application-security/cyberttackers-target-instagram-users-threats-copyright-infringement

Lockbit3.0

ITエンジニアを悪の道へ誘う「LockBit3.0」とは何者か
- 日本のインシデントの話や、バグ報奨金プログラムの話、ビルダーの漏えいなど、まとめになっていて参考になると思いました。
- https://www3.nhk.or.jp/news/html/20221027/k10013871631000.html

DDoS

Fodcha DDoS botnet reaches 1Tbps in power, injects ransoms in packets
- Fodchaボットネットと言うそうです。パケットの中に身代金要求を入れてくるのだそうです。
- https://www.bleepingcomputer.com/news/security/fodcha-ddos-botnet-reaches-1tbps-in-power-injects-ransoms-in-packets/

BEC詐欺

ビジネスメール詐欺（BEC詐欺の詳細事例２）（IPA）
- 事例が詳細に載っているようですね。手口を知るのに良い資料になるのではないでしょうか。
- https://www.ipa.go.jp/files/000103087.pdf

ICSセキュリティ

標準から学ぶICSセキュリティ（JPCERT/CC）
- IEC 62443シリーズの概要。
- https://www.jpcert.or.jp/ics/information07.html

セキュリティ人材

インターネットを安全にしたい――「セキュリティ人材の不足」という課題を深掘りすると見えることとは
- https://atmarkit.itmedia.co.jp/ait/articles/2210/27/news018.html#_ga=2.3529266.347286555.1667481011-584173751.1667383130

医療関係

豪大手病理企業、ハッカー攻撃で患者の医療履歴など流出
- https://www.newsweekjapan.jp/headlines/business/2022/10/414614.php

個人情報漏洩報告

弊社が運営する「ABC-MART公式オンラインストア」における個人情報漏えいの可能性に関するお詫びとお知らせ（株式会社会社エービーシーマート）
- 株式会社ショーケースのサービスに絡む漏えい。
- https://www.abc-mart.net/shop/pages/info-2022.aspx
弊社が運営する「ウイルダイレクト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（株式会社ウィル・コーポレーション）
- 脆弱性を突かれて不正アクセスからの漏えいのようですね。
- https://www.well-corp.jp/news/20221027-unauthorizedaccess.html
個人情報が保存されている可能性のあるノートパソコンの紛失について（お詫び）（南海電鉄株式会社）
- https://www.nankai.co.jp/library/company/news/pdf/221026.pdf

１０月３１日収集

ショーケース脆弱性関連

【重要なお知らせ／続報】個人情報漏洩に関するお詫びとお知らせについて（出光クレジット株式会社）
- https://www.idemitsucard.com/important/information2208.html

ダークウェブ

Dark Web Forum Busts Come Days Apart
- ダークウェブフォーラムの運営者を起訴したという記事のようですね。
- https://www.darkreading.com/attacks-breaches/two-illicit-dark-web-platform-operators-busted-days-apart
- 以下関連記事
  - Student arrested for running one of Germany's largest dark web markets
  - https://www.bleepingcomputer.com/news/security/student-arrested-for-running-one-of-germany-s-largest-dark-web-markets/

脆弱性

Critical Vulnerability in Open SSL
- https://www.schneier.com/blog/archives/2022/10/critical-vulnerability-in-open-ssl.html

IISログを使用したC2通信

Hackers use Microsoft IIS web server logs to control malware
- 英語がちゃんと読めているか判りませんが、C2通信のためにIISのログを使うという手法のようですね。読みが正しければ、感染したサーバでIISが稼働している場合に、通常のHTTP通信としてアクセスし、ログに書き込ませる。マルウェア側がログを読みC2コマンドを解析して処理を行う、ということでしょうか。WebサーバはIISに限らず使えそうな手法に思えますね。
- https://www.bleepingcomputer.com/news/security/hackers-use-microsoft-iis-web-server-logs-to-control-malware/

不正アクセス報告

当JAが管理運用するサーバへの不正アクセスに関するお知らせ（第二報）個人情報流出可能性のお知らせとお詫び
- https://www.ja-ogata.or.jp/news/2022/20221028.html

パブリックなAWS S3をスキャンするツール

New open-source tool scans public AWS S3 buckets for secrets
- 使われそうな感じですね。
- https://www.bleepingcomputer.com/news/security/new-open-source-tool-scans-public-aws-s3-buckets-for-secrets/

１０月３日収集

ゼロデイ

フィッシング

脆弱性情報収集

不正アクセス報告

１０月４日収集

サイバー世界情勢

不正アクセス報告

１０月５日収集

サイバー世界情勢

Tor Browser

暗号通貨

BEC詐欺

内部不正

ハイプ・サイクル

不正アクセス報告

１０月９日収集

フィッシング

１０月１２日収集

リスト型攻撃

フィッシング

phishing-as-a-service (PhaaS) ツールキット

サイバーセキュリティ動向

サイバー演習

サイバー基準

DGA（ドメイン生成アルゴリズム）

トップレベルドメイン一覧

サイバー世界情勢

情報漏洩報告

不正アクセス報告

レポート

ATM/PoSマルウェア

BitB（ブラウザ・イン・ザ・ブラウザ）関連

１０月１３日収集

サイバー世界情勢

ヴィッシング

脆弱性パッチ

不正アクセス報告

個人情報漏洩報告

調査報告

１０月１４日収集

サイバー世界情勢

全般

不正アクセス報告

個人情報漏洩報告

Trusted Web

WhatsApp

１０月１７日収集

サイバー世界情勢

Fortinet脆弱性

脆弱性パッチ

Zimbra脆弱性の悪用

C2ログ可視化ツール

Microsoft 365メッセージ暗号化に脆弱性の指摘？

DDoS

レポート

不正アクセス報告

個人情報漏洩報告

１０月１８日収集

全般

Lckbit3.0

１０月１９日収集

全般

サイバー世界情勢

RedEye

訓練

１０月２０日収集

Fortinet脆弱性

Cobalt Strike

車両系サイバーセキュリティ

１０月２１日収集

全般

サイバー世界情勢

Lazarusの動向

情報漏洩

注意喚起

個人情報漏洩報告

１０月２４日収集

Emotetの動向

BlackByteの動向