このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
11月1日収集
全般
他人のパスワード、1つでも知ってる? 日本に住む人の回答は アバスト調査
日本は世界平均を下回っているようですね。セキュリティ意識が高いと言うことなのでしょうか。
https://www.itmedia.co.jp/news/articles/2210/31/news101.html](https://www.itmedia.co.jp/news/articles/2210/31/news101.html)
医療機関
脆弱性パッチ
Actively exploited Windows MoTW zero-day gets unofficial patch
USBメモリを介して感染するマルウェア
マイクロソフト、USBメモリーから感染する「Raspberry Robin」について警告
Raspberry Robinと言う名前だそうです。他のマルウェアをデプロイしする機能があり、自動実行機能等も利用するとのこと。
元の報告
Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity
Googleアプリ
ThreatFabric researchers discovered five malicious dropper apps on Google Play Store with more than 130,000 downloads.
所謂ドロッパーが配布されていたと言うことのようですね。
https://securityaffairs.co/wordpress/137847/cyber-crime/malicious-dropper-apps-play-store.html
以下、日本語の記事
悪質なドロッパーアプリ、Google Playストアで13万回インストールされる
ワイパー
New Azov data wiper tries to frame researchers and BleepingComputer
Azov Ransamwareと言う名前ですが身代金の払込先が無く、データ・ワイパーの位置づけのようですね。有名なセキュリティ・リサーチャーが作成したと偽り、さらにウクライナへの支援が足りないために暗号化されているとメッセージに記載されているそうです。
マルウェア解析
APT10: Tracking down LODEINFO 2022, part II
メモリ破壊脆弱性の検出ツール
動的解析によるメモリ破壊の発見
NIST
弱性管理のガイドライン「NIST SP 800-40」を紐解く
ガイドライン
不正アクセス報告
当社サーバーへの不正アクセスに関するお知らせ(第3報)(株式会社NITTAN)
11月2日収集
サイバー世界情勢
セキュリティ人材
セキュリティ部門はもう限界、サイバー犯罪の増加がストレスに
この記事は海外の事情だと思いますが、日本にも当てはまる所があるなと感じました。サイバー攻撃を受けて被害が発生した場合、誰が責任を取るのかが、明確に示されていないことでサイバー人材がストレスを抱えていると言う風にも解釈できるかと。
OTセキュリティ
製造業は「もう少し真剣に対策を」とハッカー協会 杉浦氏が警鐘 最悪の事態を免れる"3つの基本対策"
ダークウェブ
久しぶりにダークウェブマーケットを訪問してみた
教育業界
宿題ヘルプサービスが一部の生徒の性的指向や宗教に関する詳細を含む4000万人のユーザーデータ流出でFTCに追及される
米国の事例ですが、個人情報を保有しているという意味では日本も変わらなさそうに思いますね。
医療機関
サイバー攻撃受けた病院の電子カルテ完全復旧、吉村知事「しばらく時間かかる」
医療システムには全く詳しくないのですが、OTと同じような問題を抱えているのでしょうかね。
どうでも良いことですがURLに日本語が含まれるとエンコードされて下のように長くなりますね。
レポート
APT trends report Q3 2022
不正アクセス報告
弊社が運営する「はつらつ堂ショッピングサイト」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ(株式会社はつらつ堂)
11月4日収集
フィッシング
ランサムウェア
脆弱性
「OpenSSL 3.0.7」がリリース--脆弱性の評価は「緊急」から「重要」に引き下げ
クラウドを使用したC2
Server-side attacks, C&C in public clouds and other MDR cases we observed
11月5日収集
Emotet
Emotetが活動再開していますね。VBA無効化対応後にどう動くのか気になっていましたが、zipファイルを添付して特定のフォルダに保存してから開くように指示しているようです。
Emotet 再開観測、Excel のニセ指示に変化
Emotet botnet starts blasting malware again after 4 month break
タイポ・スクワッティング
銀行口座やログイン情報が危ない。気づかず被害にあってしまう「タイポ・スクワッティング」とは?
URLなどを入力する時にミスをすると、そのミスした文字列のサイトにつながり、そこが悪性サイトになっているというような手法のようですね。確かに、何度かそういうサイトを開いたことあります。
https://www.lifehacker.jp/article/2211-hackers-and-bad-actors-are-weaponizing-your-typos/
PhaaS
Robin Banks phishing service returns to steal banking accounts
医療機関
徳島・半田病院で物議、ランサムウエア「身代金」の意図せぬ支払いにご用心
事業者が交渉することを病院側に説明して了承を得ていても、有罪になる可能性があるそうです。
サプライチェーン
不正アクセス報告
11月8日収集
サイバー世界情勢
DMARC
DMARC導入に関する法的な留意点(総務省)
通信業者が留意しなくてはならない事項と読みました。
医療機関
サイバー攻撃の連鎖か 大阪の病院、システム接続の別法人も被害判明
まとめ記事
エンジンバルブのNITTANがVPN装置の脆弱性解消後にランサムウエア感染、なぜ?
piyokango氏によるまとめ記事。
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100189/
不正アクセス報告
当社サーバーへの不正アクセス発生のお知らせ(グリーンスタンプ株式会社)
なりすましメール
なりすましメールにご注意ください!(胎内市)
11月9日収集
全般
Inside the global hack-for-hire industry
Lockbit3.0
LockBit affiliate uses Amadey Bot malware to deploy ransomware
Emote
Emotetが日本での活動を再開 警告回避に向けた新たな手法を確認
悪意あるブラウザ機能拡張
Malicious extension lets attackers control Google Chrome remotely
Cloud9 というブラウザー ボットネットでChrome、Edge、Chronium Webが対象のようですね。表現はよくないですが、攻撃者にとっては使い勝手がよさそうに読めます。Javascriptのようなので、それを考慮した検知を考えられませんかね。
元記事は以下のようです。
The Case of Cloud9 Chrome Botnet
https://www.zimperium.com/blog/the-case-of-cloud9-chrome-botnet/
以下は別の記事
Cloud9 Malware Offers a Paradise of Cyberattack Methods
脆弱性
WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
偽ショッピングサイト
商品を探すユーザーをだます「偽ショッピングサイト」、その仕組みや被害防止のポイントを日本サイバー犯罪対策センターが解説
医療機関
教育機関
個人情報漏洩報告
パチンコ「ダイナム」親会社、個人情報33万件流出か 顧客や取引先の住所、氏名、メアドなど
報道ではランサムウェアの攻撃を受けたと言うことのようですね。
https://www.itmedia.co.jp/news/articles/2211/09/news105.html
11月10日収集
全般
米連邦検事、シルクロードダークウェブ詐欺から36億ドル相当のBTCを押収
Cobalt Strikeの分析
Cobalt Strike Analysis and Tutorial: Identifying Beacon Team Servers in the Wild
Credential Roaming
APT29 Exploited a Windows Feature to Compromise European Diplomatic Entity Network
日本の動向
積極的サイバー防御、導入に法的なハードル高く 与党協議でも隔たり
アクティブ・サイバー・ディフェンスの件です。
https://www.asahi.com/articles/ASQC96WR3QC9UTFK016.html?ref=rss
セキュリティ人材
セキュリティ担当者の6割が業務に満足も7割が転職予定--Trellix調査
さっと読みですが、社内の理解が得られず別のキャリアに移行するということなのでしょうかね。
不正アクセス事件
注意喚起
上半期における個人データの漏えい等事案を踏まえた個人データの適正な取扱いについて(注意喚起)(個人情報保護委員会)
11月14日収集
Google Pixel
Prestigeランサムウェア
Russia-linked IRIDIUM APT linked to Prestige ransomware attacks against Ukraine
Black Bastaランサムウェア
Canadian food retail giant Sobeys hit by Black Basta ransomware
MFAバイパス
Cookies for MFA Bypass Gain Traction Among Cyberattackers
脆弱性管理
Why CVE Management as a Primary Strategy Doesn\'t Work
サイバー世界情勢
不正アクセス報告
グループ会社の利用するクラウドサービスへの不正アクセスについて(株式会社東京きらぼしフィナンシャルグループ)
情報漏洩報告
クレジットカード情報漏えいに関するお詫びとお知らせ(エスビー食品株式会社)
ショーケース脆弱性によるインシデントのようですね。
https://www.sbfoods.co.jp/info/2022/jl438m0000003jln-att/221110_info.pdf
11月15日収集
バックドア
暗号通貨
破産したFTXは会社がハッキングされたと主張しユーザーにFTXアプリを削除してアプリを更新せず公式サイトにもアクセスしないように伝達
関連記事
FTX、ハッキング被害の可能性--約670億円相当が消失か
フィッシング
Phishing with Google Calendar
ビジネス用アカウントのGoogleカレンダーに外部から会議の招待状を入れて、そこに悪意あるURLなどを仕込む手口のようですね。色々考えますね。
不正アクセス報告
当社サーバーへの不正アクセスに関するお知らせ(第四報)(株式会社リケン)
個人情報漏洩
個人情報漏えいに関するお詫びとご報告(女性モード社)
SEOキャンペーン
Wordpressのサイトを侵害して偽のQ&Aサイトにリダイレクトさせ、攻撃者のサイトの評判を高める事を目的とした攻撃のようですね。その後は偽Q&Aサイトを使用してやってくるユーザーに何か仕掛けるのでしょうか。
Over 15,000 WordPress Sites Compromised in Malicious SEO Campaign
Experts warn of a malicious SEO campaign that has compromised over 15,000 WordPress websites to redirect visitors to fake Q&A portals.
11月16日収集
全般
「セキュリティの不備」が調達排除や経営責任につながる日
ダークウェブ
カード情報、ダークウェブで売買か 販売容疑でブラジル人逮捕
MFA疲労攻撃
MFA Fatigue attacks are putting your organization at risk
英語でMFA Fatigue attacksなのですが、MFAの通知が継続的に送られてきて、疲れたユーザーが認証してしまうのを狙った攻撃と読みました。何らかの技術的対策が必要になるのでしょうね。
教育機関関連
【レポート】国内791大学、アカウント漏洩累計173万件に。2022年は歴代最高の漏洩頻度・被害規模に到達見込み。
医療機関関連(米国)
Healthcare sector warned of Venus ransomware attacks
パスワード関連
2022年、日本で最も使われたパスワード 2位は「password」、1位は?
1位以下も記載されてますね。自分が使っているパスワードがないか確認しました。幸い、無かったですね。
https://www.itmedia.co.jp/news/articles/2211/15/news122.html
パスワードハッキング攻撃は増加の一途--マイクロソフト調査
サイバー世界情勢
Chinese hackers target government agencies and defense orgs
Researchers Say China State-backed Hackers Breached a Digital Certificate Authority
こちらの記事では認証局を侵害と出ていますね。
https://thehackernews.com/2022/11/researchers-say-china-state-backed.html
North Korean hackers target European orgs with updated malware
金融関連
Top Zeus Botnet Suspect "Tank" Arrested in Geneva
情報漏洩報告
11月17日収集
サイバー世界情勢
Chinese Government Intelligence Officer Sentenced to 20 Years in Prison for Espionage Crimes, Attempting to Steal Trade Secrets From Cincinnati Company
North Korea-linked Lazarus APT is using a new version of the DTrack backdoor in attacks aimed at organizations in Europe and Latin America.
DDoS
Updated RapperBot malware targets game servers in DDoS attacks
Mirai系のIoTマルウェアで、ゲーム用サーバをターゲットにしているようです。
クラウド
Thousands of Amazon RDS Snapshots Are Leaking Corporate PII
Amazon RDSのスナップショットの共有に関する問題と読みました。機能としては脆弱性の類ではないので、企業でのルールを決めて対応するのがよいでしょうか。
https://www.darkreading.com/cloud/thousands-amazon-rds-snapshots-leaking-corporate-pii
以下が元の記事ですかね。
Oops, I Leaked It Again --- How Mitiga Found PII in Exposed Amazon RDS Snapshots
医療機関関連
11月18日収集
サイバー世界情勢
Iranian cyberspies exploited Log4j to break into a US govt network
攻撃者が嫌がる状況を作るサイバー先進国
イスラエルで開発されたセキュリティ関連のソリューションは、発想の独自性を感じることがあります。
https://news.mynavi.jp/techplus/article/israel-cybersecurity-1/
「北朝鮮 ハッキングで暗号資産865億円相当盗んだ」韓国政府
標的型攻撃
中国圏拠点のMustang Pandaがマルウェア「Claimloader」で標的型攻撃、日本にも影響か(ラック)
OTセキュリティ
フィッシング
Chinese Hackers Using 42,000 Imposter Domains in Massive Phishing Attack Campaign
フィッシングに分類しましたが自信ないです。メッセンジャーアプリでメッセージが来て、リンクを踏むと偽サイトにアクセスすることになるようです。報酬を得る代わりに友人などにメッセージを転送するよう要求するあたりは昔の不幸の手紙を思い出しました。
記事内に偽ドメインのリストへのリンクがありました。
https://thehackernews.com/2022/11/chinese-hackers-using-42000-imposter.html?m=1
以下、元記事
Fangxiao: a Chinese threat actor
不正アクセス報告
不正アクセス被害について(みやぎ産業振興機構)
情報漏洩報告
不正アクセスによる個人情報漏洩の可能性のあるお客様へのお詫びとお知らせ(株式会社AkaraN)
11月21日収集
サイバー世界情勢
米軍、対ロシアのサイバー戦には参戦 侵攻前から主導「攻撃的作戦」
サイバー攻撃、台湾有事でシミュレーションしたら...日米の差浮き彫り
日本の動き
「積極的サイバー防衛」日本も模索 平時からシステム監視、課題山積
脆弱性
「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき--CISAとFBIが警告
一部で世界の終わりとか叫ばれていたlog4shellですが、パッチ適用しない企業は存在してるみたいですね。元記事を読むとイラン政府に関係するアクターが悪用していることに絡めての記事のようですね。
以外、元記事
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network
Zoom に複数の脆弱性
New attacks use Windows security bypass zero-day to drop malware
フレームワーク
PSIRT Services Framework と PSIRT Maturity Document
情報漏洩報告
Emotet
当金庫におけるコンピュータウイルス感染の発生について(浜松いわた信用金庫)
偽アンチウィルス フィッシング
ランサムウェア
LockBit3.0とは何者か?
DEV-0569 Ransomware Group Remarkably Innovative, Microsoft Cautions
色々と工夫するグループのようです。
以下、元の記事。
DEV-0569 finds new ways to deliver Royal ransomware, various payloads
11月22日収集
スピアフィッシング
Earth Preta Spear-Phishing Governments Worldwide
Cobalt Strike
ドメイン乗っ取り
経産省「コンテンツ緊急電子化事業」偽サイトに注意 事業終了後、第三者が「.jp」ドメイン取得 ウイルス感染のおそれ
元のドメインは2014年に閉鎖されたそうです。
https://www.itmedia.co.jp/news/articles/2211/21/news085.html
MFA
Microsoft Warns of Rise in Stolen Cloud Tokens Used to Bypass MFA
多要素認証を入れておけば大丈夫という時代ではなくなったということでしょうか。
ドッペルゲンガー・ドメイン
教員が10か月メール誤送信 2100人分の個人情報漏えい 埼玉大
かなり昔の話でかつメールではないですが、某製品名をブラウザで検索したらその製品名をそのまま使ったドメインにアクセスしてしまったことがありますね。すぐ全スキャンしまして、問題なかったですが。
https://www3.nhk.or.jp/news/html/20221122/k10013899411000.html
GDPR
フランスが学校でのMicrosoft Office 365の使用を禁止
情報漏洩報告
11月24日収集
サイバー世界情勢
脆弱性
レポート【脅威分析レポート】ProxyNotShellとは?Exchangeに影響を及ぼす2つの重大な脆弱性に関する調査結果
Vulnerable SDK components lead to supply chain risks in IoT and OT environments
マルウェア
Android file manager apps infect thousands with Sharkbot malware
Google Playに登録されている偽のファイルマネージャーがSharkbotをダウンロードすると言うことのようでね。
不正アクセス報告
弊社管理サーバーへのサイバー攻撃について(菱機工業株式会社)
DNS
Windows Subsystem
11月25日収集
医療機関関連
大阪・病院サイバー被害 侵入口の接続記録消え、攻撃元特定困難に...政府チーム調査
Black Basta
Black Basta Ransomware Gang Actively Infiltrating U.S. Companies with Qakbot Malware
インフォスティーラー
「サービスとしてのスティーラー」で5000万件のパスワードが盗まれる
ENISA Threat Landscape
第202回:欧州連合サイバーセキュリティ機関による年次報告書(2022年版)
Android関連
Bahamut Cyber Espionage Hackers Targeting Android Users with Fake VPN Apps
webサイトからダウンロードすると記載があるので、正規のアプリとして登録されているものではなさそうです。
https://thehackernews.com/2022/11/bahamut-cyber-espionage-hackers.html?m=1
電波望遠鏡アルマ
内部不正関連
庁内グループウェアへの不正ログインを繰り返した職員を戒告処分
不正アクセスを受けての対策報告
11月28日収集
サイバー世界情勢
New ransomware attacks in Ukraine linked to Russian Sandworm hackers
脆弱性
Update Chrome Browser Now to Patch New Actively Exploited Zero-Day Flaw
OpenSSL
5.4 million Twitter users\' stolen data leaked online --- more shared privately
ツイッターから盗られたユーザー情報が無料で公開されたと言う記事のようです。どうでも良いことですが、公開した人物のアカウントの画像がアニメの絵ばかりなのが少し気になりました。
サイバー人材
サイバー人材、中堅・中小で共有 報酬、雇用なら年数千万円超も コスト10分の1に
医療系ISAC
政府×日医 病院サイバー対策で新組織設立へ
今年度内の設立だそうです。対応が進むのはよいことだと思います。
https://www.sankei.com/article/20221127-VNQBMBAIMNN5TPPURWGONRUNKQ/
不正アクセス報告
個人情報漏洩報告
外部ウェブサイト上における個人情報の不適切な取り扱いについて (お詫び)(琉球大学)
サイバーではないようですね。
11月29日収集
脆弱性の悪用
Cyber-Threat Group Targets Critical RCE Vulnerability in \'Bleed You\' Campaign
個人情報漏洩
カナダ大手取引所Coinsquareで顧客の個人情報漏洩か
Emotet
Proofpoint Blog 第19回「2022年秋のEmotetの復活を総合的に考える」
個人情報漏洩
住基ネットの個人情報漏洩か 杉並区職員らを再逮捕 警視庁
個人情報漏洩報告
弊社が運営する「GENTOS公式ストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(ジェントス株式会社)
個人情報取扱い不備報告
個人情報の取り扱いに関するお詫びとお知らせ(J.フロント リテイリング株式会社)
不正アクセス報告
弊社サーバーへの不正アクセスについてのお詫びとご報告(山本製作所)
報告書
11月30日収集
サイバー世界情勢
RansomBoggs: New ransomware targeting Ukraine
Sandwormの動向に関する記事のようです。
https://www.welivesecurity.com/2022/11/28/ransomboggs-new-ransomware-ukraine/
Killnet Gloats About DDoS Attacks Downing Starlink, White House
日本はKillnetの標的から外れたと聞いてますが、色々と活動しているようですね。
https://www.darkreading.com/threat-intelligence/killnet-gloats-ddos-attacks-starlink-whitehouse-gov
ビジネスメール詐欺
ビジネスメール詐欺の事例集を見る(IPA)
脆弱性
脆弱性被害
Cyberattackers Selling Access to Networks Compromised via Recent Fortinet Flaw
FortinetのFWにパッチ適用していないことで被害が出ていると言う記事のようですね。
医療機関関連
情報漏洩
Pixel fallout expands: Community Health informs 1.5M of unauthorized disclosure
GDPR違反
メタが5億3300万人分の個人情報漏えい、アイルランド当局が380億円の罰金
2018から2019にかけての漏洩に対する罰金のようです。
まとめ記事
名古屋大・岐阜大運営の大学機構がランサムウエア被害、認証サーバーに総当たり攻撃
piyokango氏によるまとめ。最近、教育機関が影響を受けていることが多くなった印象ですね。
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100192/ /?tag=as.rss)
ランサムウェア
脆弱性
「OpenSSL 3.0.7」がリリース--脆弱性の評価は「緊急」から「重要」に引き下げ
クラウドを使用したC2
Server-side attacks, C&C in public clouds and other MDR cases we observed
11月5日収集
Emotet
Emotetが活動再開していますね。VBA無効化対応後にどう動くのか気になっていましたが、zipファイルを添付して特定のフォルダに保存してから開くように指示しているようです。
Emotet 再開観測、Excel のニセ指示に変化
Emotet botnet starts blasting malware again after 4 month break
タイポ・スクワッティング
銀行口座やログイン情報が危ない。気づかず被害にあってしまう「タイポ・スクワッティング」とは?
URLなどを入力する時にミスをすると、そのミスした文字列のサイトにつながり、そこが悪性サイトになっているというような手法のようですね。確かに、何度かそういうサイトを開いたことあります。
https://www.lifehacker.jp/article/2211-hackers-and-bad-actors-are-weaponizing-your-typos/
PhaaS
Robin Banks phishing service returns to steal banking accounts
医療機関
徳島・半田病院で物議、ランサムウエア「身代金」の意図せぬ支払いにご用心
事業者が交渉することを病院側に説明して了承を得ていても、有罪になる可能性があるそうです。
サプライチェーン
不正アクセス報告
11月8日収集
サイバー世界情勢
DMARC
DMARC導入に関する法的な留意点(総務省)
通信業者が留意しなくてはならない事項と読みました。
医療機関
サイバー攻撃の連鎖か 大阪の病院、システム接続の別法人も被害判明
まとめ記事
エンジンバルブのNITTANがVPN装置の脆弱性解消後にランサムウエア感染、なぜ?
piyokango氏によるまとめ記事。
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100189/
不正アクセス報告
当社サーバーへの不正アクセス発生のお知らせ(グリーンスタンプ株式会社)
なりすましメール
なりすましメールにご注意ください!(胎内市)
11月9日収集
全般
Inside the global hack-for-hire industry
Lockbit3.0
LockBit affiliate uses Amadey Bot malware to deploy ransomware
Emote
Emotetが日本での活動を再開 警告回避に向けた新たな手法を確認
悪意あるブラウザ機能拡張
Malicious extension lets attackers control Google Chrome remotely
Cloud9 というブラウザー ボットネットでChrome、Edge、Chronium Webが対象のようですね。表現はよくないですが、攻撃者にとっては使い勝手がよさそうに読めます。Javascriptのようなので、それを考慮した検知を考えられませんかね。
元記事は以下のようです。
The Case of Cloud9 Chrome Botnet
https://www.zimperium.com/blog/the-case-of-cloud9-chrome-botnet/
以下は別の記事
Cloud9 Malware Offers a Paradise of Cyberattack Methods
脆弱性
WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
偽ショッピングサイト
商品を探すユーザーをだます「偽ショッピングサイト」、その仕組みや被害防止のポイントを日本サイバー犯罪対策センターが解説
医療機関
教育機関
個人情報漏洩報告
パチンコ「ダイナム」親会社、個人情報33万件流出か 顧客や取引先の住所、氏名、メアドなど
報道ではランサムウェアの攻撃を受けたと言うことのようですね。
https://www.itmedia.co.jp/news/articles/2211/09/news105.html
11月10日収集
全般
米連邦検事、シルクロードダークウェブ詐欺から36億ドル相当のBTCを押収
Cobalt Strikeの分析
Cobalt Strike Analysis and Tutorial: Identifying Beacon Team Servers in the Wild
Credential Roaming
APT29 Exploited a Windows Feature to Compromise European Diplomatic Entity Network
日本の動向
積極的サイバー防御、導入に法的なハードル高く 与党協議でも隔たり
アクティブ・サイバー・ディフェンスの件です。
https://www.asahi.com/articles/ASQC96WR3QC9UTFK016.html?ref=rss
セキュリティ人材
セキュリティ担当者の6割が業務に満足も7割が転職予定--Trellix調査
さっと読みですが、社内の理解が得られず別のキャリアに移行するということなのでしょうかね。
不正アクセス事件
注意喚起
上半期における個人データの漏えい等事案を踏まえた個人データの適正な取扱いについて(注意喚起)(個人情報保護委員会)
11月14日収集
Google Pixel
Prestigeランサムウェア
Russia-linked IRIDIUM APT linked to Prestige ransomware attacks against Ukraine
Black Bastaランサムウェア
Canadian food retail giant Sobeys hit by Black Basta ransomware
MFAバイパス
Cookies for MFA Bypass Gain Traction Among Cyberattackers
脆弱性管理
Why CVE Management as a Primary Strategy Doesn\'t Work
サイバー世界情勢
不正アクセス報告
グループ会社の利用するクラウドサービスへの不正アクセスについて(株式会社東京きらぼしフィナンシャルグループ)
情報漏洩報告
クレジットカード情報漏えいに関するお詫びとお知らせ(エスビー食品株式会社)
ショーケース脆弱性によるインシデントのようですね。
https://www.sbfoods.co.jp/info/2022/jl438m0000003jln-att/221110_info.pdf
11月15日収集
バックドア
暗号通貨
破産したFTXは会社がハッキングされたと主張しユーザーにFTXアプリを削除してアプリを更新せず公式サイトにもアクセスしないように伝達
関連記事
FTX、ハッキング被害の可能性--約670億円相当が消失か
フィッシング
Phishing with Google Calendar
ビジネス用アカウントのGoogleカレンダーに外部から会議の招待状を入れて、そこに悪意あるURLなどを仕込む手口のようですね。色々考えますね。
不正アクセス報告
当社サーバーへの不正アクセスに関するお知らせ(第四報)(株式会社リケン)
個人情報漏洩
個人情報漏えいに関するお詫びとご報告(女性モード社)
SEOキャンペーン
Wordpressのサイトを侵害して偽のQ&Aサイトにリダイレクトさせ、攻撃者のサイトの評判を高める事を目的とした攻撃のようですね。その後は偽Q&Aサイトを使用してやってくるユーザーに何か仕掛けるのでしょうか。
Over 15,000 WordPress Sites Compromised in Malicious SEO Campaign
Experts warn of a malicious SEO campaign that has compromised over 15,000 WordPress websites to redirect visitors to fake Q&A portals.
11月16日収集
全般
「セキュリティの不備」が調達排除や経営責任につながる日
ダークウェブ
カード情報、ダークウェブで売買か 販売容疑でブラジル人逮捕
MFA疲労攻撃
MFA Fatigue attacks are putting your organization at risk
英語でMFA Fatigue attacksなのですが、MFAの通知が継続的に送られてきて、疲れたユーザーが認証してしまうのを狙った攻撃と読みました。何らかの技術的対策が必要になるのでしょうね。
教育機関関連
【レポート】国内791大学、アカウント漏洩累計173万件に。2022年は歴代最高の漏洩頻度・被害規模に到達見込み。
医療機関関連(米国)
Healthcare sector warned of Venus ransomware attacks
パスワード関連
2022年、日本で最も使われたパスワード 2位は「password」、1位は?
1位以下も記載されてますね。自分が使っているパスワードがないか確認しました。幸い、無かったですね。
https://www.itmedia.co.jp/news/articles/2211/15/news122.html
パスワードハッキング攻撃は増加の一途--マイクロソフト調査
サイバー世界情勢
Chinese hackers target government agencies and defense orgs
Researchers Say China State-backed Hackers Breached a Digital Certificate Authority
こちらの記事では認証局を侵害と出ていますね。
https://thehackernews.com/2022/11/researchers-say-china-state-backed.html
North Korean hackers target European orgs with updated malware
金融関連
Top Zeus Botnet Suspect "Tank" Arrested in Geneva
情報漏洩報告
11月17日収集
サイバー世界情勢
Chinese Government Intelligence Officer Sentenced to 20 Years in Prison for Espionage Crimes, Attempting to Steal Trade Secrets From Cincinnati Company
North Korea-linked Lazarus APT is using a new version of the DTrack backdoor in attacks aimed at organizations in Europe and Latin America.
DDoS
Updated RapperBot malware targets game servers in DDoS attacks
Mirai系のIoTマルウェアで、ゲーム用サーバをターゲットにしているようです。
クラウド
Thousands of Amazon RDS Snapshots Are Leaking Corporate PII
Amazon RDSのスナップショットの共有に関する問題と読みました。機能としては脆弱性の類ではないので、企業でのルールを決めて対応するのがよいでしょうか。
https://www.darkreading.com/cloud/thousands-amazon-rds-snapshots-leaking-corporate-pii
以下が元の記事ですかね。
Oops, I Leaked It Again --- How Mitiga Found PII in Exposed Amazon RDS Snapshots
医療機関関連
11月18日収集
サイバー世界情勢
Iranian cyberspies exploited Log4j to break into a US govt network
攻撃者が嫌がる状況を作るサイバー先進国
イスラエルで開発されたセキュリティ関連のソリューションは、発想の独自性を感じることがあります。
https://news.mynavi.jp/techplus/article/israel-cybersecurity-1/
「北朝鮮 ハッキングで暗号資産865億円相当盗んだ」韓国政府
標的型攻撃
中国圏拠点のMustang Pandaがマルウェア「Claimloader」で標的型攻撃、日本にも影響か(ラック)
OTセキュリティ
フィッシング
Chinese Hackers Using 42,000 Imposter Domains in Massive Phishing Attack Campaign
フィッシングに分類しましたが自信ないです。メッセンジャーアプリでメッセージが来て、リンクを踏むと偽サイトにアクセスすることになるようです。報酬を得る代わりに友人などにメッセージを転送するよう要求するあたりは昔の不幸の手紙を思い出しました。
記事内に偽ドメインのリストへのリンクがありました。
https://thehackernews.com/2022/11/chinese-hackers-using-42000-imposter.html?m=1
以下、元記事
Fangxiao: a Chinese threat actor
不正アクセス報告
不正アクセス被害について(みやぎ産業振興機構)
情報漏洩報告
不正アクセスによる個人情報漏洩の可能性のあるお客様へのお詫びとお知らせ(株式会社AkaraN)
11月21日収集
サイバー世界情勢
米軍、対ロシアのサイバー戦には参戦 侵攻前から主導「攻撃的作戦」
サイバー攻撃、台湾有事でシミュレーションしたら...日米の差浮き彫り
日本の動き
「積極的サイバー防衛」日本も模索 平時からシステム監視、課題山積
脆弱性
「Log4j」パッチ未適用の組織はネットワーク侵害を想定すべき--CISAとFBIが警告
一部で世界の終わりとか叫ばれていたlog4shellですが、パッチ適用しない企業は存在してるみたいですね。元記事を読むとイラン政府に関係するアクターが悪用していることに絡めての記事のようですね。
以外、元記事
CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network
Zoom に複数の脆弱性
New attacks use Windows security bypass zero-day to drop malware
フレームワーク
PSIRT Services Framework と PSIRT Maturity Document
情報漏洩報告
Emotet
当金庫におけるコンピュータウイルス感染の発生について(浜松いわた信用金庫)
偽アンチウィルス フィッシング
ランサムウェア
LockBit3.0とは何者か?
DEV-0569 Ransomware Group Remarkably Innovative, Microsoft Cautions
色々と工夫するグループのようです。
以下、元の記事。
DEV-0569 finds new ways to deliver Royal ransomware, various payloads
11月22日収集
スピアフィッシング
Earth Preta Spear-Phishing Governments Worldwide
Cobalt Strike
ドメイン乗っ取り
経産省「コンテンツ緊急電子化事業」偽サイトに注意 事業終了後、第三者が「.jp」ドメイン取得 ウイルス感染のおそれ
元のドメインは2014年に閉鎖されたそうです。
https://www.itmedia.co.jp/news/articles/2211/21/news085.html
MFA
Microsoft Warns of Rise in Stolen Cloud Tokens Used to Bypass MFA
多要素認証を入れておけば大丈夫という時代ではなくなったということでしょうか。
ドッペルゲンガー・ドメイン
教員が10か月メール誤送信 2100人分の個人情報漏えい 埼玉大
かなり昔の話でかつメールではないですが、某製品名をブラウザで検索したらその製品名をそのまま使ったドメインにアクセスしてしまったことがありますね。すぐ全スキャンしまして、問題なかったですが。
https://www3.nhk.or.jp/news/html/20221122/k10013899411000.html
GDPR
フランスが学校でのMicrosoft Office 365の使用を禁止
情報漏洩報告
11月24日収集
サイバー世界情勢
脆弱性
レポート【脅威分析レポート】ProxyNotShellとは?Exchangeに影響を及ぼす2つの重大な脆弱性に関する調査結果
Vulnerable SDK components lead to supply chain risks in IoT and OT environments
マルウェア
Android file manager apps infect thousands with Sharkbot malware
Google Playに登録されている偽のファイルマネージャーがSharkbotをダウンロードすると言うことのようでね。
不正アクセス報告
DNS
Windows Subsystem
11月25日収集
医療機関関連
大阪・病院サイバー被害 侵入口の接続記録消え、攻撃元特定困難に...政府チーム調査
Black Basta
Black Basta Ransomware Gang Actively Infiltrating U.S. Companies with Qakbot Malware
インフォスティーラー
「サービスとしてのスティーラー」で5000万件のパスワードが盗まれる
ENISA Threat Landscape
第202回:欧州連合サイバーセキュリティ機関による年次報告書(2022年版)
Android関連
Bahamut Cyber Espionage Hackers Targeting Android Users with Fake VPN Apps
webサイトからダウンロードすると記載があるので、正規のアプリとして登録されているものではなさそうです。
https://thehackernews.com/2022/11/bahamut-cyber-espionage-hackers.html?m=1
電波望遠鏡アルマ
内部不正関連
庁内グループウェアへの不正ログインを繰り返した職員を戒告処分
不正アクセスを受けての対策報告
11月28日収集
サイバー世界情勢
New ransomware attacks in Ukraine linked to Russian Sandworm hackers
脆弱性
Update Chrome Browser Now to Patch New Actively Exploited Zero-Day Flaw
OpenSSL
5.4 million Twitter users\' stolen data leaked online --- more shared privately
ツイッターから盗られたユーザー情報が無料で公開されたと言う記事のようです。どうでも良いことですが、公開した人物のアカウントの画像がアニメの絵ばかりなのが少し気になりました。
サイバー人材
サイバー人材、中堅・中小で共有 報酬、雇用なら年数千万円超も コスト10分の1に
医療系ISAC
政府×日医 病院サイバー対策で新組織設立へ
今年度内の設立だそうです。対応が進むのはよいことだと思います。
https://www.sankei.com/article/20221127-VNQBMBAIMNN5TPPURWGONRUNKQ/
不正アクセス報告
個人情報漏洩報告
外部ウェブサイト上における個人情報の不適切な取り扱いについて (お詫び)(琉球大学)
サイバーではないようですね。
11月29日収集
脆弱性の悪用
Cyber-Threat Group Targets Critical RCE Vulnerability in \'Bleed You\' Campaign
個人情報漏洩
カナダ大手取引所Coinsquareで顧客の個人情報漏洩か
Emotet
Proofpoint Blog 第19回「2022年秋のEmotetの復活を総合的に考える」
個人情報漏洩
住基ネットの個人情報漏洩か 杉並区職員らを再逮捕 警視庁
個人情報漏洩報告
弊社が運営する「GENTOS公式ストア」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(ジェントス株式会社)
個人情報取扱い不備報告
個人情報の取り扱いに関するお詫びとお知らせ(J.フロント リテイリング株式会社)
不正アクセス報告
弊社サーバーへの不正アクセスについてのお詫びとご報告(山本製作所)
報告書
11月30日収集
サイバー世界情勢
RansomBoggs: New ransomware targeting Ukraine
Sandwormの動向に関する記事のようです。
https://www.welivesecurity.com/2022/11/28/ransomboggs-new-ransomware-ukraine/
Killnet Gloats About DDoS Attacks Downing Starlink, White House
日本はKillnetの標的から外れたと聞いてますが、色々と活動しているようですね。
https://www.darkreading.com/threat-intelligence/killnet-gloats-ddos-attacks-starlink-whitehouse-gov
ビジネスメール詐欺
ビジネスメール詐欺の事例集を見る(IPA)
脆弱性
脆弱性被害
Cyberattackers Selling Access to Networks Compromised via Recent Fortinet Flaw
FortinetのFWにパッチ適用していないことで被害が出ていると言う記事のようですね。
医療機関関連
情報漏洩
Pixel fallout expands: Community Health informs 1.5M of unauthorized disclosure
GDPR違反
メタが5億3300万人分の個人情報漏えい、アイルランド当局が380億円の罰金
2018から2019にかけての漏洩に対する罰金のようです。
まとめ記事
名古屋大・岐阜大運営の大学機構がランサムウエア被害、認証サーバーに総当たり攻撃
piyokango氏によるまとめ。最近、教育機関が影響を受けていることが多くなった印象ですね。
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100192/