このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。各出来事に関するコメントは個人の意見です。
1月4日収集
不正アクセス報告
当社における個人情報漏えいについて(株式会社ナビインシュアランスサービス)
情報漏えい報告
小売顧客情報の漏洩に係る報告徴収の受領について(関西電力送配電株式会社)
サイバー被害ではないようですね。
https://www.kansai-td.co.jp/corporate/press-release/2022/pdf/1227_2j_01.pdf
新電力顧客情報の取扱いに係る報告徴収の受領について(関西電力株式会社)
個人情報が閲覧できる状態になっていたことに関するお詫び(早稲田大学)
情報漏えい訴訟
まとめ
暗号資産関連
米、FTX破綻後のサイバー攻撃巡り捜査 3.7億ドル流出=報道
破綻申請の数時間後に資金が流出したとのことです。手口は書いてないので不明ですが、サイバーに限らずですが、通常のシステム運用を停止した際に顕在化するリスクというのもあり得るのでしょうかね。
https://jp.reuters.com/article/fintech-crypto-ftx-probe-idJPKBN2TB0VX
Hackers steal \$8 million from users running trojanized BitKeep apps
官公庁関連
日本年金機構
【速報】日本年金機構HP 閲覧できない状態から「復旧」 原因は調査中
MotW
BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection
MotWを回避する攻撃を行うグループのようですね。
https://thehackernews.com/2022/12/bluenoroff-apt-hackers-using-new-ways.html?m=1
以下、元の記事
BlueNoroff introduces new methods bypassing MoTW
1月5日収集
DDoS
渋谷区にDDoS攻撃、サイト障害続く アノニマス、公園封鎖抗議か
https://www.asahi.com/articles/ASR1436QXR14OXIE008.html?ref=rss
以下、渋谷区の公開情報
渋谷区公式ウェブサイトの通信障害について
https://www.city.shibuya.tokyo.jp/kusei/koho/website_syougai.html
200 million Twitter users\' email addresses allegedly leaked online
2億人分の情報だそうですが、漏えい自体は以前していて、販売が開始されたという記事のようですね。
Lckbit
Holiday Spirit? LockBit Gives Children\'s Hospital Free Decryptor
攻撃を受けた子供向け病院にLockbitのグループが復号化ツールの提供と謝罪を行ったという記事のようです。実際に攻撃したのはアフィリエイトで、この人物は追放扱いのようですね。
ヴィッシング
Chinese \'RedZei\' Group Batters Victims With Incessant Vishing Effort
マルウェア
BitRat Malware Gnaws at Victims With Bank Heist Data
拡散のためにコロンビアの銀行から流出した情報を使っていると読みましたが、合ってるでしょうか。流出はSQLインジェクションだったようですが。
https://www.darkreading.com/attacks-breaches/bitrat-malware-victims-bank-heist-data
自動車業界関連
Toyota, Mercedes, BMW API flaws exposed owners' personal info
Python
Machine-Learning Python package compromised in supply chain attack
PyTorchのパッケージ一つのリポジトリが侵害を受け、ナイトリーバージョンをインストールすると影響を受けると読みました。ナイトリーバージョンなのは、何か理由があるんでしょうかね。
https://www.techrepublic.com/article/pytorch-ml-compromised/
Dllサイドローディング
Hackers abuse Windows error reporting tool to deploy malware
正規のエラー報告ツールのサイドローディング機能を利用して、同じフォルダにある、dllを読み込ませて実行させる手法のようですね。メールに添付のISOファイルをドライブとしてマウントして、その中のショートカットファイルを実行することで開始するようですね。
1月6日収集
サイバー世界情勢
個人情報漏えい報告
子会社Webサイトへの不正アクセスによる個人情報流出に関するお詫びとお知らせ(株式会社アインホールディングス)
サイトの脆弱性を突かれたようですね。
https://www.ainj.co.jp/Portals/0/ir/news/20230105_newsrelease.pdf?TabModule480=0
以下、子会社の方の報告
リポジトリ侵害
Slack\'s private GitHub code repositories stolen over holidays
1月10日収集
MacOSを標的に
Dridex Malware Now Attacking macOS Systems with Novel Infection Method
最近、バンキング型トロイの木馬の記事が増えてきた気がします。
https://thehackernews.com/2023/01/dridex-malware-now-attacking-macos.html?m=1
Microsoft Reveals Tactics Used by 4 Ransomware Families Targeting macOS
USBドライブを使った感染
Russia-Linked Turla APT Sneakily Co-Opts Ancient Andromeda USB Infections
IcedID
Zoom Users At Risk In Latest Malware Campaign
Zoomの偽サイトにつながるフィッシングから始まるようです。
https://blog.cyble.com/2023/01/05/zoom-users-at-risk-in-latest-malware-campaign/
ランサムウェア
The Hive ransomware gang just leaked 550 GB of data stolen from the Consulate Health Care, including customer and employee PII data.
1月11日収集
AI
jsonwebtoken
Severe Security Flaw Found in \"jsonwebtoken\" Library Used by 22,000+ Projects
解析
セッションハイジャックの解説
.1.10セッションハイジャックはなぜ起こるのか?攻撃の仕組みと求められる対策
個人情報漏洩報告
個人情報漏えいに関するお詫びとお知らせ(チューリヒ保険会社)
外部委託業者からの漏えいのようなので、サプライチェーン攻撃でしょうかね。
お客様情報漏洩の可能性に関するお詫びとお知らせ(カバーマーク株式会社)
ショーケース脆弱性の影響のようですね。
個人情報流出に関するお詫びとお知らせ(アフラック生命保険株式会社)
不正アクセス報告
彩の国さいたま人づくり広域連合メールサーバーを介した不審なメールの送信について(彩の国さいたま人づくり広域連合)
メールサーバー管理者アカウントへと不正ログインのようですね。
Wordpress
ランサムウェア
Ransomware attacks are decreasing, but companies remain vulnerable
ランサムウェアの攻撃が減少傾向だが、脆弱性がそのままの企業も多い、一方で、身代金を払う企業も減っていると読みました。要は身代金が支払われないので割に合わないと攻撃者側も感じ始めていると言うことでしょうか。
https://www.techrepublic.com/article/ransomware-attacks-decreasing-companies-remain-vulnerable/
1月12日収集
サイバー世界情勢
Dark Pink APT Group Targets Governments and Military in APAC Region
APAC地域を標的にするグループのようですね。
https://thehackernews.com/2023/01/dark-pink-apt-group-targets-governments.html?m=1
Threat actors are targeting organizations in the Australian healthcare sector with the Gootkit malware loader.
Royal Mail halts international services after cyberattack
不審メール注意喚起
【注意喚起】購入者を装った不審なお問い合わせメールにご注意ください(BASE株式会社)
個人情報漏洩報告
弊社が運営する「e-ca公式サイト」における個人情報漏えいに関するお詫びとお知らせ(ベストリンク株式会社)
ショーケース脆弱性によるもののようですね。
Windows
Windows 7とWindows 8.1の更新プログラム配信がついに終了
ウェブトラフィック解析をしている会社によると、今回サポート終了となる7を利用している割合は1割を超えるようですね。多い印象ですね。
ランサムウェア
ランサムウェアの被害は広がる一方--新たなレポートで明らかに
教育、医療に関しては、やはり増加傾向のようですね。
情報漏洩
Health insurer Aflac blames US partner for leak of Japanese cancer policy info
1月13日収集
全般
サイバー世界情勢
GitHub disables pro-Russian hacktivist DDoS pages
ランサムウェア復号化ツール
Free decryptor for victims of MegaCortex ransomware released
AI
Better Phishing, Easy Malicious Implants: How AI Could Change Cyberattacks
パスワード
「Password1234」などの超単純パスワードがアメリカ政府機関で大量に使われていた
不正アクセス報告
不正アクセスに関するお詫びとご報告
社員と思われる人物がフィッシング被害に遭い、窃取されたアカウント情報を悪用され、個人情報漏洩の可能性があると言うことのようです。
弊社が運営する「SHIGETA PARIS公式オンラインストア」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ(SHIGETA株式会社)
1月16日収集
個人情報漏洩報告
個人情報の流出の可能性に関するお詫びとお知らせ(国土交通省九州地方整備局)
サイバーではないようですね。
北ガスジェネックスのお客さま情報漏えいの可能性に関するお詫びとお知らせ
サプライチェーン攻撃に該当するのでしょうかね
不正アクセス報告
一部サーバーへの不正アクセスに関するお知らせ(第2報)(株式会社バンタン)
脆弱性
FortiOS Flaw Exploited as Zero-Day in Attacks on Government and Organizations
Most internet-exposed Cacti servers are vulnerable to the critical vulnerability CVE-2022-46169 which is actively exploited in the wild.
1月17日収集
Emotet報告
マルウェアEmotetに関するお詫びとお知らせ(株式会社三春情報センター)
レポート
ラックの独自調査レポートからみた、標的型攻撃メール訓練の傾向と課題
OP(オリジネーター・プロファイル)
ネット記事に信頼性付与、OP技術開発へ新聞社など11法人が組合
教育機関関連
Vice Society ransomware leaks University of Duisburg-Essen's data
リポジトリ
ランサムウェア復号化ツール
Antivirus firm Avast released a free decryptor for the BianLian ransomware family that allows victims to recover locked files.
1月18日収集
サイバー世界情勢
個人情報漏洩報告
お客さま情報漏えいの可能性に関するお詫びとお知らせ(北ガスジェネックス株式会社)
インストーラーのマルウェア化
まとめ記事
食事宅配のナッシュがランサムウエア被害、サーバーの脆弱性を悪用される
piyokango氏によるまとめ記事。
https://xtech.nikkei.com/atcl/nxt/column/18/00598/070100198/
PyPIリポジトリ
Researchers Uncover 3 PyPI Packages Spreading Malware to Developer Systems
GitHub
船舶業界
1,000 SHIPS IMPACTED BY A RANSOMWARE ATTACK ON MARITIME SOFTWARE SUPPLIER DNV
船舶に関わるソフトウェアに対するランサムウェアの記事のようですね。
https://securityaffairs.com/140941/cyber-crime/ransomware-attack-maritime-firm-dnv.html?amp=1
フィッシングメール注意喚起
- 当社を装った不審なメールについて(小野薬品工業株式会社)
1月19日収集
OT
Vulnerable Historian Servers Imperil OT Networks
DeFi
- DeFi、ハッキング急増が普及阻む 22年は30億ドル超
脆弱性
Critical Security Vulnerabilities Discovered in Netcomm and TP-Link Routers
EXPERTS FOUND SSRF FLAWS IN FOUR DIFFERENT MICROSOFT AZURE SERVICES
ランサムウェア
韓国でランサムウェア被害、5年で14倍...政府、被害額・復旧状況把握できず
White The Paper RAMSAMWARE THREAT
暗号資産
FTX、サイバー攻撃で暗号資産4.15億ドル流出
MITRE ATT&CK
Best Practices for MITRE ATT&CK® Mapping
パスワードマネージャー
Nortonアカウントへのリスト型攻撃についてまとめてみた
この手のサービスは狙われやすいと思うので、使う側も吟味が必要なのでしょうね。
1月20日収集
ゼロデイ
Attackers Crafted Custom Malware for Fortinet Zero-Day
脆弱性
EXPERTS RELEASED POC EXPLOIT FOR CRITICAL ZOHO MANAGEENGINE RCE FLAW
ManegeEngineはADを操作したり出来るので、標的になりやすいのですかね。
https://securityaffairs.com/141018/hacking/zoho-manageengine-rce-poc.html?amp=1
CVE-2022-35690: UNAUTHENTICATED RCE IN ADOBE COLDFUSION
ColdFusionのODBCエージェントが仕様に従ってないことで発生する問題のようですね。
ランサムウェア
不正アクセス
メール配信サービス「Mailchimp」がハッカーによる不正アクセスを受け顧客データの一部が流出か
アイコンが前にも見たことある猿だなと思ったら2022/08にも流出していたようですね。
https://gigazine.net/news/20230119-mailchimp-security-incident/
不正アクセス報告
一部サーバーへの不正アクセスに関するお知らせ(第2報)(株式会社バンタン)
Wordpress
Vulnerable WordPress Sites Compromised with Different Database Infections
アドウェア
Massive Adware Campaign Shuttered
1月23日収集
個人情報の扱い
学内で利用するクラウドサービスにおける個人情報等の不適切な取扱いについて(お詫び)
Mcrosoft Teamsは便利ですが、やはり使用に当たってはルールが必要なのでしょうね。
個人情報漏洩報告
顧客情報漏洩
T-Mobile Breached Again, This Time Exposing 37M Customers\' Data
脆弱性
Exploits released for two Samsung Galaxy App Store vulnerabilities
Over 19,000 end-of-life Cisco routers exposed to RCE attacks
Android
1月24日収集
セキュリティ費用
セキュリティ関連費用の可視化(IPA)
セキュリティ費用を獲得するために経営層を如何に説得するかは、セキュリティ担当者にとっては以前からの悩みの種ですよね。理解のある経営層の方に出会うと、それだけでほっとしてしまいます。NANBOKと言うそうです。
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/visualization-costs.html
情報漏洩
航空会社が誤って公開していたサーバーから約150万件の飛行禁止対象者のリストが流出
情報の内容によっては、個人情報漏洩になるのでしょうかね?
https://gigazine.net/news/20230123-commuteair-cybersecurity-incident-no-fly-list/
不正アクセス報告
当社団における不正アクセス事案の発生について(交易社団法人 日本臓器移植ネットワーク)
メールアカウントの乗っ取りでしょうかね。
当社サーバーに対する不正アクセスに関してのお知らせ(株式会社タカミヤ)
ランサムウェア「Lockbit」感染で子会社等にも影響が出たようですね。個人情報漏洩漏洩については調査中。被害を受けたサーバーは、グルーブ全体で利用していたものなのでしょうかね。
以下の記事ではタイの拠点がまず感染し、そこから拡大したように読めますね。
RSA暗号
アクティベーションコンテキストキャッシュホイズニング
ACTIVATION CONTEXT CACHE POISONING: EXPLOITING CSRSS FOR PRIVILEGE ESCALATION
- Windowsのdll読み込み時の機構に関わる問題のようですね。
PSIRT
1月25日収集
サイバー世界情勢
FBI Confirms Lazarus Group Cyber Actors Responsible for Harmony\'s Horizon Bridge Currency Theft
PAKISTAN HIT BY NATIONWIDE POWER OUTAGE, IS IT THE RESULT OF A CYBER ATTACK?
インサイダー脅威
Hunting Insider Threats on the Dark Web
悪意ある従業員のリスクが高まっており、ダークウェブでの脅威ハンティングの必要を述べているようです。
https://www.darkreading.com/threat-intelligence/hunting-insider-threats-on-the-dark-web
XLLアドイン
Microsoft 365 to block downloaded Excel XLL add-ins to boost security
不正アクセス報告
弊社ウェブサイト(SHARLE WEB STORE)へのサービス提供会社における個人情報漏えいのおそれに関するお詫びとお知らせ
ショーケース脆弱性による事案のようですね。
当社サーバーへの不正アクセス発生について(第二報) お客さまの個人情報流出の可能性に関するお知らせとお詫び(株式会社アダストリア)
ChatGPT
学生の17%が課題または試験にChatGPTを使っていると回答
サイバー攻撃者が「ChatGPT」に熱視線、AIによるマルウエア作成の可能性が急浮上
フィッシングメールの不自然な言い回しなどは確かに改善されそうですね。
https://xtech.nikkei.com/atcl/nxt/column/18/00676/011900125/
Emotet
Emotet Malware Makes a Comeback with New Evasion Techniques
新しい手法かと思ったら、ちょっと前に報告されていた手法に関する記事のようですね。
https://thehackernews.com/2023/01/emotet-malware-makes-comeback-with-new.html?m=1
1月26日収集
日本の動き
LastPass
ProxyNotShell
Technical Advisory: Proxy*Hell Exploit Chains in the Wild
ゲーム業界
1月27日収集
サイバー世界情勢
英、ロシアのハッカー集団「コールドリバー」の攻撃に警鐘
医療関係
ランサムウエア被害の大阪の病院、初動から全面復旧まで2カ月間の全貌
Hive
パスワードマネージャー
Bitwarden password vaults targeted in Google ads phishing attack
リモート監視及び管理(RMM)
Federal Agencies Infested by Cyberattackers via Legit Remote Management Systems
RMMはOSの機能を使っていることが多く、高いレベルでシステムアクセスできることから、攻撃者の狙い目になるということです。
以下、元の注意喚起
フィッシングメールでRMMソフトウェアをダウンロードさせる手法のようですね。正規のツールを悪用する手法の一種ですかね。
Alert (AA23-025A) Protecting Against Malicious Use of Remote Monitoring and Management Software
マルウェア
「悪意のある」は奥が深い、挙動や感染経路で分けて理解するマルウエア
マルウェアについて考察されていて面白いですね。トロイの木馬は、ギリシャ神話のトロイア戦争に出てくる逸話が元です。トロイア戦争はギリシャ人とトロイア人の戦争。ギリシャ側がトロイアの城壁を突破できず、長く続いたトロイア戦争を終わらせるため、ギリシャ側の英雄が大きな木馬の中に潜伏し、他のギリシャ人は戦場を去ります。戦争が終わったと思ったトロイア側が勝利の記念の戦利品としてトロイアの街中にその木馬を入れてしまい、トロイア人が勝利の酒に酔う中、木馬の中からギリシャ側の英雄が出てきてトロイアを占領......という逸話ですが、この話を知っているとネーミングセンスあるなと思いますね。
https://xtech.nikkei.com/atcl/nxt/column/18/02347/00001/?P=2
ランサムウェア
7 Insights From a Ransomware Negotiator
1月30日収集
サイバー世界情勢
Russia's Sandworm hackers blamed in fresh Ukraine malware attack
BLACKCAT RANSOMWARE GANG STOLE SECRET MILITARY DATA FROM AN INDUSTRIAL EXPLOSIVES MANUFACTURER
Russian hackers launch cyberattack on German in Leopard retalitation
Hive
司法機関によるHiveランサムウエアのネットワーク潜入とインフラ停止についてまとめてみた
RAT
Pythonベースの新種の遠隔操作ウイルス「PY#RATION」が驚異的に脅威な理由
スパム
Over 50,000 instances of DRAGONBRIDGE activity disrupted in 2022
スパムを送信していたグルーブが活動停止にと読んだのですが合ってますかね。
マルウェア
1月31日収集
全般
攻撃者の「横の動き」をつかめ、サイバー攻撃を受けたNTTコムの教訓
NTTコムの取り組みの紹介のようですね。エンドポイント監視に力点があるように思いました。
https://xtech.nikkei.com/atcl/nxt/column/18/02348/012600003/
Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の"スタートアップ"APT「TA444」とは?」
サイバー世界情勢
Latvia says Russian hackers tried to phish its Ministry of Defence
個人情報漏えい
JD Sports says hackers stole data of 10 million customers
英国のスポーツアパレルチェーンJD Sportsでの事案
元の報告
Cyber security incident regarding historic orders
不正アクセス報告
不正アクセス発生による個人情報流失に関する調査結果 [対象範囲確定]のお知らせと今後の対応について(株式会社フルノシステムズ)
個人情報漏えい報告
MITRE ATT&CK
セキュリティ対策に「MITRE ATT&CK」の活用を--パーソルP&Tと東洋大が連携
セキュリティ運用と人材育成に関しての内容のようですね。
ディープフェイク
本物にしか見えないトム・クルーズのディープフェイク動画が圧巻
動画が載っていますが、作ったようには見えないものの、どこか違和感が......。
https://gigazine.net/news/20230131-deepfaked-tom-cruise-and-paris-hilton/
ダークWeb
ダークWebにアクセスすることは違法か?アクセス方法は?
Come to the dark side: hunting IT professionals on the dark web
ダークWeb上での求人の話
DNS over HTTP
Decoding DNS over HTTP(s) Requests
IoT
Realtek Vulnerability Under Attack: Over 134 Million Attempts to Hack IoT Devices