ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

20220923

インシデント事例

Uber、ネットワーク侵害を公表--ハッカー集団「LAPSUS$」を名指し - CNET Japan

「ニトリアプリ」にリスト型攻撃と推測される不正ログイン、約13万2000件の個人情報流出の可能性 - INTERNET Watch

→ID/PWのみでのログインだったので、リスト型攻撃で狙いやすかった?

ダイナムジャパンホールディングスのサーバにランサムウェア攻撃、社内システムに障害 | ScanNetSecurity

 

【攻撃の傾向・手法】

Cyble — New Malware Campaign Targets Zoom Users

→Zoomのインストーラに見せかけ(本当のインストーラもバンドルされているようですが)て、情報窃取目的のマルウェアへの感染を狙う手法が確認されているようです。

Excel Document Delivers Multiple Malware By Exploiting CVE-2017-11882 – Part I | Fortinet Blog

Microsoft 365 phishing attacks impersonate U.S. govt agencies

Imperva blocked a record DDoS attack with 25.3 billion requestsSecurity Affairs

 

【攻撃組織の動向】

Experts fear LockBit spread after ransomware builder leaked - The Record by Recorded Future

→lockbitと同様の特徴を持ったランサムウェアが、今後増加するだろう、という記事。

 

【当局関連の動き、法規則等】

米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15): まるちゃんの情報セキュリティ気まぐれ日記

https://www.ppc.go.jp/news/press/2021/220921kouhou/

 

【調査結果・ベンダーレポート】

Most critical security gaps in the public cloud - Help Net Security

【セキュリティ ニュース】警察へのランサム被害報告、1年で倍増 - 目立つ「VPN機器」経由の侵入(1ページ目 / 全2ページ):Security NEXT

2022年上半期はサプライチェーンリスクが国内で具体化、トレンドマイクロ上半期レポート | ScanNetSecurity

→ビジネス上のサプライチェーンに当たる企業へのサイバー攻撃ランサムウェアなど)にも注意が必要(自社のビジネス継続と機密情報の漏洩の観点で)。

攻撃者がこぞって実施する「セキュリティの回避法」判明 Fortinetが分析:ランサムウェア亜種は半年で倍増 - @IT

 

【セキュリティ対策機器、ツールの紹介記事】

EDR vs MDR vs XDR – What’s the Difference?

「Windows情報保護」が非推奨リスト入り、今後推奨される新たな情報保護機能「Microsoft Purview」とは?:企業ユーザーに贈るWindows 10への乗り換え案内(133) - @IT

Microsoft Defender for Endpoint will turn on tamper protection by default

 

【コラム系】

ランサムウェア保険に意味はあるのか? その効果と限界:保険でカバーできるのは損害全体の一部 - @IT

インターネットバンキングの謎 なぜ「決済時の認証方式」を利用者自身に選択させるのか:全体の38%が「犯罪者に不正利用される可能性の高い認証方式」 - @IT

SOC 2 Audits are a Crucial Weapon in Your Organisation’s Arsenal - IT Governance UK Blog

How to Accelerate Your SOAR Program to Full Speed in Less Than a Year | Rapid7 Blog

第2回:ゼロトラストセキュリティとSASE - ZDNet Japan

 

【その他】

【特集】SSDとHDD、その捨て方で本当に大丈夫?ノートPCの内蔵ストレージなど、重要データ抹消方法を専門家に聞く - PC Watch

 

2022/9/18

【攻撃の傾向・手法】

Hackers Targeting WebLogic Servers and Docker APIs for Mining Cryptocurrencies

→Doceker APIも不正侵入の入り口として狙われている。

GIF画像にPython仕込む新たな攻撃「GIFShell」に注意、Microsoft Teamsが標的 | TECH+(テックプラス)

“GIFShell” — Covert Attack Chain and C2 Utilizing Microsoft Teams GIFs | by Bobbyr | Aug, 2022 | Medium

→Teamsの脆弱性を悪用することで、GIF画像に埋め込んだ任意のPythonスクリプトにより、任意のコマンドを実行できる攻撃。

 

【当局関連の動き、法規則等】

Industry Reactions to Govt Requiring Security Guarantees From Software Vendors | SecurityWeek.Com

米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表: まるちゃんの情報セキュリティ気まぐれ日記

→米国政府機関で90日以内にSBOMを作成するよう指示が出ている。多少強引でも、時間切ってセキュリティ強化を強力に進めていくのが、やはり米国という感じがする。

EU Wants to Toughen Cybersecurity Rules for Smart Devices | SecurityWeek.Com

欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...: まるちゃんの情報セキュリティ気まぐれ日記

EUでは、スマートデバイスを作成した企業に、セキュリティ対策についても責任を課すルールが作られるとのこと。出荷時だけでなく、製品を出している間もアップデートが必要となると、なかなかコストもかかってくるのでは。

基本戦略グループ(第1) - NISC

→NISCが出す予定の、「サイバーセキュリティ意識・行動強化プログラム」のレビュー。

米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09): まるちゃんの情報セキュリティ気まぐれ日記

→政府機関への報告タイミングが、基本的に発生から72時間以内、身代金支払い時は24時間以内。

 

【調査結果・ベンダーレポート】

ロシアからのSQLインジェクションが急増 9月4日だけ平均の3倍 - ITmedia NEWS

→タイトルの通り、9月4日にSQLインジェクションを狙う攻撃通信が急増したとのこと。

August’s Top Malware: Emotet Knocked off Top Spot by FormBook while GuLoader and Joker Disrupt the Index - Check Point Software

8月マルウェアランキング、Emotetに代わる新脅威FormBookに注意 | TECH+(テックプラス)

→8月に最も検出したマルウェアは「Formbook」とのこと。

サイバー脅威インテリジェンス(CTI)配信はじめました - NTT Communications Engineers' Blog

狙われたTwilio、Okta〜SaaSベンダーに迫る脅威が企業の新たなセキュリティリスクに - ITmedia エンタープライズ

三井住友海上火災保険、スマートフォン、パソコンに関する調査結果を公開 ~3割近くがサイバーセキュリティ対策せず、20代では4割超が未対策 - SecurityInsight | セキュリティインサイト

2022年8月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

 

【セキュリティ対策機器、ツールの紹介記事】

How to Do Malware Analysis?

→Any.runの紹介記事

高まるプライバシー管理の重要性、マイクロソフトが対策技術などを説明 - ZDNet Japan

DLP関連の新サービスの紹介。

 

【コラム系】

脆弱性管理とインシデント対応を考え直す | gihyo.jp

 

【その他】

業種特化型「Salesforce Industry Cloud」の特徴と機能--迅速な「Time to Value」を実現 - ZDNet Japan

FIRST The Traffic Light Protocol (TLP) Version 2.0 の日本語版を公表: まるちゃんの情報セキュリティ気まぐれ日記

20220911

インシデント事例

Japan Government Websites Hit By Cyber-Attacks, Killnet Suspected - Infosecurity Magazine

Killnetによる国内サイトへの攻撃示唆についてまとめてみた - piyolog

 

【攻撃の傾向・手法】

Microsoft Warns of Ransomware Attacks by Iranian Phosphorus Hacker Group

 

【当局関連の動き、法規則等】

経産省がサイバーセキュリティ対策強化を注意喚起 | ScanNetSecurity

マイナンバーカードのセキュリティ | 衆議院議員 河野太郎公式サイト

 

【調査結果・ベンダーレポート】

ランサムウェア攻撃では「四重脅迫」が横行--トレンドマイクロ調査 - ZDNet Japan

ラックでCIS Controlsを使ってアセスメントしてみたら、どうだった? | セキュリティ対策のラック

 

【コラム系】

The Cyber Security Podcast from PwC UK: Why regulators are shining a spotlight on cyber resilience - PwC UK

 

【その他】

情報の共有範囲を指定する「TLP」、新バージョン2.0ではどう変わった?【海外セキュリティ】 - INTERNET Watch

What are the ITIL 4 Management Practices? - IT Governance UK Blog

脆弱性管理プラットフォーム「 S4(エスフォー)」が 9 月 1 日パブリックリリース ~ 寝耳に水のオープンソース化の真相 | ScanNetSecurity

7 free online cybersecurity courses you can take right now - Help Net Security

8 Online Best Dark Web Search Engines for Tor Browser (2022)

2022/9/3

【攻撃の傾向・手法】

【セキュリティ ニュース】7月のDDoS攻撃、前月から微増 - IIJレポート(1ページ目 / 全1ページ):Security NEXT

→DDoSの件数は微増していますが、トラフィック量は減少しているようですね。

ノートン、2022年6・7月のサイバー犯罪攻撃ブロック数レポートを公表 - SecurityInsight | セキュリティインサイト

→4~7月にかけて攻撃のブロック数は減少傾向とのこと。

Detected Cyber-Threats Surge 52% in 1H 2022 - Infosecurity Magazine

→ただ、トレンドマイクロでは22度第1Qにおけるランサムウェアの検知数が前年同期比500%増だったようで、サイバー攻撃全体としてランサムウェア攻撃へのシフトが進んでいる模様。また、デジタル活用の領域における攻撃を受ける可能性のある範囲も把握できていないことが課題とのこと。

→これは妄想ですが、IT部門でも適切にリスク評価・対応ができないまま利用している他、IT部門以外の部門が活用を進めることで、従来の管理のスキームに載せられてないことも要因として有りそうな気がします。

Over 900K Kubernetes clusters are misconfigured! Is your cluster a target? • Graham Cluley

Kubernetesへ不正侵入を受けるリスクを考慮し、アクセス元の制限やアカウントの棚卸し、不正アクセスウムの確認を行う必要がある、とのこと。

Final Fantasy 14 players targeted by QR code phishing

→ゲーム画面に表示したQRコードを読み取らせ、ニセのログインページに誘導し、アカウント情報を詐取する手口が確認されているらしい。

→テレビやWebサイトでも、画面上のQRコードを読み取らせ、特定のサイト(プレゼント応募フォームとか)に誘導する使われ方が増えており、普通の行動となっている反面、QRコードではこれまでにフィッシング詐欺への自衛策である「URLをきちんと確認する」ことが難しいので、騙されやすい手口かなと思います。今後増えてくるのではないかと。

 

【当局関連の動き、法規則等】

中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版): まるちゃんの情報セキュリティ気まぐれ日記

 

 

2022/8/31

【攻撃の傾向・手法】

2022年7月分 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

→Atlasian製品を狙った攻撃が特徴としてあげられていますが、6月よりも落ち着いている模様。

How 1-Time Passcodes Became a Corporate Liability – Krebs on Security

→SMSで送るワンタイムパスワードもフィッシング攻撃で奪われ、企業内NWに不正アクセスをされる手口が目立ってきている模様。

→生体認証の採用やアクセス元環境で制御するような仕組みの導入が必要になるかと。

・2022年上半期 ウイルス・不正アクセス届出事例公開、減少傾向だったウイルス検知・感染が大幅増 | ScanNetSecurity

→大幅増加は主にEmotet。ただし、7月以降は減少傾向で8月以降は活動が止まった模様。

 

【当局関連の動き、法規則等】

Cyber Incident Reporting Regulations Summary and Chart | Rapid7 Blog

→各国当局が制定or作成中の、サイバー事案発生時の報告に関する法規制について。

 

【調査結果・ベンダーレポート】

拡張ゼロトラスト(Zero Trust eXtended)とは何か? ランサムウェアにも動じないセキュリティ体制の新常識:分散するオフィス、拡大するアタックサーフェースにどう対応するか? - ITmedia エンタープライズ

→一般的にゼロトラストと言われている領域について、運用監視の視点もレベルアップさせていく必要がある、という趣旨かと。

 

【セキュリティ対策機器、ツールの紹介記事】

94%の組織が気づいていない「2割以上のエンドポイントが保護されていない事実」への効果的な対策とは (1/3)|EnterpriseZine(エンタープライズジン)

→セキュリティ製品の導入と言ったセキュリティ観点での保護だけでなく、構成管理等の端末自体の管理も必要となるが、対応できていなかったり、統合管理できておらず管理コストが高いことが課題。これについてタニウムで統合管理していきましょう、という話かと。確かに効率的に監視・管理が行えて便利だなと思いました。

 

20220828

インシデント事例

ランサムウェアの要求に従うも、データが流出される事例が発生 - ZDNet Japan

→タイトルの通り。やはり身代金払えば約束を守ってもらえると思ってはいけない。。

・台湾のグループ会社に対するサイバー攻撃について (SOMPOHD)

https://www.sompo-hd.com/-/media/hd/files/news/2022/20220823_1.pdf?la=ja-JP

 

【攻撃の傾向・手法】

AiTM phishing campaign also targets G Suite usersSecurity Affairs

不正アクセスを狙うフィッシングが、Gsuiteユーザにも拡大。不正アクセス後は、BECを狙うとのこと。多要素認証を実装しているから、フィッシング攻撃が成功する可能性はゼロとは最早言えず、攻撃動向を注視しながらモニタリングや追加の強化策を施す可能性がある状況。今後、同様な被害が他のサービスに広がっていくのでは。

Oktaのアカウント盗むサイバー攻撃確認、130超の組織が標的 | TECH+(テックプラス)

Twilio Hackers Scarf 10K Okta Credentials in Sprawling Supply-Chain Attack

→上記記事に関連して。Oktaのアカウントも狙われている模様。

Hackers use AiTM attack to monitor Microsoft 365 accounts for BEC scams

→引き続きM365も狙われている状況。認証情報を窃取して不正アクセスを行った後、攻撃者自身の電話番号を登録し、不正アクセスを永続化する事例も発生。認証に使う出電話番号の変更は監査ログで確認可能(だから見ておく必要があるということか?)。

 

【当局関連の動き、法規則等】

CISA Releases Guidelines to Aid Companies Transition to Post-quantum Cryptography - Infosecurity Magazine

→量子暗号による暗号技術への影響とその備えについて。

 

【技術関連】

CrowdStrike Blog:カーネル攻撃の検知と防御 | ScanNetSecurity

 

【セキュリティに関する考え方、マインドセット

CISA or CVSS: How Today's Vulnerability Databases Work Together

脆弱性ハンドリングにおいて、CVSSとCISAのカタログの両者をどのようにとらえ、脆弱性を評価するかについて。悪用されているか?も一つのファクターだが、それだけけに重きを置くのも避けるべき。

→"CVEがCVSS(重要度)に照らしてどれほど深刻であっても、本当に重要なのは、攻撃者が実際にそれを悪用しているかどうかです。可能性のあるリスクは、どんなに深刻であっても、証明された進行中の問題よりも常に緊急度が低いのです。" "とはいえ、CISAカタログは完璧ではありません。結局のところ、注目し、優先順位をつけるに値する未活用の脆弱性が数多く存在するのです。" "結局のところ、CISAカタログをCVSSの代替物とは考えないでください。むしろ、有用な追加資料として捉えてください。"

Log4j問題は大したことなかった? 脆弱性対応はスプリント&マラソン? SBOMで解決?――piyokango氏に聞いた:特集:1P情シスのための脆弱性管理/対策の現実解(1) - @IT

 

【調査結果・ベンダーレポート】

・サイバー犯罪の進化:ダークウェブが脅威の現状を急激に悪化させている理由とそ
の対策(HP社):https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/hp_wolf_security_evolution_of_cybercrime_report.pdf

個人情報を取得する企業が「気を付けるべきこと」とは? 警察庁やフィッシング対策協議会らが解説 - INTERNET Watch

→"2022年5月以降、大量のドメインサブドメイン、パラメータなどを組み合わせて大量にURLを生成する異常ともいえる動きが出ている。同一のURLが少なく、生存期間も短いという特徴があり、今まで主流だったURLフィルタリングによる対策が効きにくい状況になっている。今後は、誘導元となるフィッシングメールへの対策を行うことが被害抑制には有効である"

「ゼロトラスト」なら境界型防御は不要? バズワードになって発生した“勘違い”(1/2 ページ) - ITmedia NEWS

 

【セキュリティ対策機器、ツールの紹介記事】

GMOあおぞらネット銀行、なりすまし不正を防止する認証サービスを新たに導入 - ZDNet Japan

→「Auth Face」は口座開設時(身元確認時)に登録した顔写真を使って、サービス利用時の認証をおこなう、という趣旨なんだろうか。身元確認時のデータと紐付けられるのは強固だなと思いました。

面倒なセキュリティ運用を自動化する「SOAR」とは、歴史と主な4つの機能――ゼロトラストの自動化と連携:働き方改革時代の「ゼロトラスト」セキュリティ(21) - @IT

 

【コラム系】

 

【その他】

Lloyd’s to forbid insurers from covering losses due to state-backed hacks - The Record by Recorded Future

Lloyd’s Will No Longer Include Nation-State Attacks in its Cyber Insurance Policies

→ロイズが、戦争起因や国家支援のハッカーによるサイバー攻撃被害については、サイバー保険の補償対象外とする、とのこと。

→この観点、正確に評価・判定するのは難しいのではないかなとも思います。サイバー攻撃のアトリビューションをいかに行うか、は明確な結論が出ている状況ではないと思いますし、セキュリティベンダーが色々レポート出していますが、これらもあくまで分析結果だと思いますし。。保険会社はどのように判定するのでしょうか。。

「Excel」に新関数「IMAGE」が追加 ~セルへインターネットの画像を簡単に挿入できる - 窓の杜

→インターネット上の任意の場所から画像ファイルをダウンロードできる関数が新たに開発されているとのこと。

→画像ファイルを使ったマルウェア感染も確認されていますし、新たな攻撃手法にも使われそうな気がします。

Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita

→Dockerがマルウェアに感染した実例をもとに、セキュリティ対策の勘所を紹介されています。

2022/8/20

インシデント事例

マルウェア感染による個人情報漏洩の可能性に関するお知らせとお詫びにつきまして(

https://www.shopro.co.jp/news/220804/220804.pdf

→保育施設でなりすましメールの添付ファイルを開封し、マルウェア感染、PC内に保存されていたファイルが外部に送信されている可能性がある、という事案。

→恐再発防止策として、技術的対策の強化が挙がっておらず、人的対策・組織的対策に終止していることが気になりました(人が行う対策は100%徹底することが難しいので)。例えばセキュリティソフトのアップデートはきちんとされていたのでしょうか。。

 

【攻撃の傾向・手法】

Cybercriminals Developing BugDrop Malware to Bypass Android Security Features

→GooglePlayストアでダウンロードしたアプリであっても、ユーザーの認証情報の窃取につながるような行為を行うものが確認されているとのこと。Googleが施しているセキュリティ対策も対応されているケースがあり、アプリの作成者やプライバシーポリシーを確認せよと注意喚起を促している状況。
→ストアにアップする審査だけでは限界があるんですかね。ユーザー側がいくら注意してもフィッシングメール同様巧妙に正規のアプリになりすましそうですし。。

Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

ロシアのハッカーグループ、不正アクセスに「OneDrive」を悪用--MSが警告 - ZDNet Japan

→標的の組織のOneDriveに不正アクセスして情報漏えいを図ることに加え、OneDrive上のファイルに見せかけたファイルを送り、開かせようとする手口が確認されているとのこと。

→業務で使われているクラウドサービスを、攻撃者が悪用する行為が目立ってきていると思われる。クラウドサービス毎のアクセス制御だけでなく、クラウドサービス内のテナントやサービス毎のアクセス制御にも配慮する必要がある、ということですかね。

 

【当局関連の動き、法規則等】

【セキュリティ ニュース】「ICTサイバーセキュリティ総合対策2022」を公開 - 総務省(1ページ目 / 全1ページ):Security NEXT

総務省における、サイバーセキュリティ関連の動向分析と監督下の事業者に求めてきたこと、及び今後求めたい事項(≒総務省が考えている施策の方向性)のまとめの位置づけだと思われます。

 

【技術関連】

「AWS環境のセキュリティどうやってチェックしてる?」というタイトルで「セキュリティエンジニア勉強会​~社内のセキュリティ環境ってどうしてる!?知見・課題を共有​~」に登壇しました #テックストリート | DevelopersIO

AWSの各種セキュリティ機能をまとめた資料へのリファレンス+SecurityHubを中心としたセキュリティ管理について。

[レポート] 診断員と考えるサーバーレスアプリケーションのセキュリティ #devio2022 | DevelopersIO

→FaaS利用時のセキュリティ対策の考え方について

 

【セキュリティに関する考え方、マインドセット

 

【調査結果・ベンダーレポート】

How EDR Security Supports Defenders in a Data Breach

EDRは情報漏えいに繋がる攻撃前、攻撃の最中、攻撃後の各フェーズで有用。攻撃前のフェーズでは、攻撃者によるターゲットの環境への偵察活動に対してEDRが検知・防御を行うことで、攻撃を未然に認識・対応することを可能とする。攻撃の最中においても、当該攻撃を迅速に検知・防御及び攻撃を受けた端末の隔離が行える他、攻撃に関連する情報のブラックリスト登録、配布が行えるなど、他の機器に対する防御も速やかに実施可能。攻撃後に置いては、収集したログから一連の攻撃者の行動を再現し、修正すべきポイントや攻撃活動に関わるIoC情報の収集が可能、とのこと。

EDRを入れたとは言え、上記に照らしてどこまで使えているかorインシデント時に使うことが想定できているか(ただの攻撃検知用ツールになっていないか)、振り返る必要があるかと。

 

最新のHPセキュリティレポートを公開、進化するサイバー犯罪とその対策

サイバー攻撃を行う難易度が下がっているので、引き続き基本的な対策からセキュリティ強化を進めていきましょう、とのこと。

 

【その他】

・メール訓練手引書(NCA)https://www.nca.gr.jp/activity/imgs/nca-mail-exercise-guidebook-v1.0.pdf

→業務の参考に。