ぼくの備忘録

セキュリティに関するニュース等で気になったものを残していきます。毎日更新が理想ですが、更新に時間を要することも有ります。。

2021/6/20

インシデント事例

 ・カーニバルコーポレーションはサイバー攻撃に翻弄される - Fox on Security

North Korea Exploited VPN Flaw to Hack South's Nuclear Research Institute

 

【攻撃の傾向・手法、攻撃組織の動向】

新種のランサムウェア攻撃:AlumniLocker、Humbleを解説

Fake DarkSide gang demands 100 BTC from companies

Extortion Emails by Bogus DarkSide Gang Targets Energy and Food Industry - E Hacking News - Latest Hacker News and IT Security News

【注意喚起】正規アプリをアンインストールさせようとする偽のセキュリティアプリに注意 | トレンドマイクロ is702

4億円を米石油パイプライン大手から窃取、露ハッカー集団「ダークサイド」が使った手口【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch

 

脆弱性情報】

Wi-Fiデバイスのほぼ全てに影響 無線LANの脆弱性「FragAttacks」とは?:無線LANの脅威「FragAttacks」を解剖する【前編】 - TechTargetジャパン セキュリティ

 

【その他】

ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 | スラド セキュリティ

Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー | スラド ハードウェア

経産省がゼロトラストの概念取り入れた業務環境、「イケてる」作りに驚いた | 日経クロステック(xTECH)

「SOAR」を基礎から徹底解説 セキュリティを隅々まで自動化 | ビジネスネットワーク.jp

Police Bust Major Ransomware Gang Cl0p

Akamai’s DDoS Mitigation Service Triggers Outages | Threatpost

米露首脳会談で交わされたサイバーセキュリティやランサムウェアの議論--専門家はどう見る? - (page 2) - ZDNet Japan

New malware blocks victims from visiting The Pirate Bay, illegal sites

OSSを介したサプライチェーン攻撃、どうすれば防げるのか:パッケージ管理システムには要注意 - @IT

「仮想パッチ」は通常のパッチと何が異なるのか:ネットワークレベルでエンドポイントの脆弱性に対処 - @IT

 

2021/6/15

インシデント事例

Fujifilm Reportedly Refused to Pay Ransom - BankInfoSecurity

Volkswagen, Audi disclose data breach impacting over 3.3 million customers, interested buyers | ZDNet

REvil ransomware gang hit US nuclear weapons contractor Sol OriensSecurity Affairs

・REvil Claims Responsibility for Invenergy Data Breach

 

【攻撃の傾向・手法、攻撃組織の動向】

BackdoorDiplomacy APT Group Attacks Telecommunications Neworks

No Two REvil Attacks Are the Same, Sophos Warns - Infosecurity Magazine

 

脆弱性情報】

一部のLinuxディストリビューションに特権昇格の脆弱性、RHEL 8などに影響 - ITmedia エンタープライズ

 

【当局関連の動き、法規則等】

 ・G7、ロシアにランサムウェアなどサイバー犯罪への対策求める - ZDNet Japan

 

【技術関連(お勉強)】

【利便性を向上するWi-Fi規格】特別編(4)A-MSDUを悪用する「Frame Aggregation」を利用した攻撃の流れ【ネット新技術】 - INTERNET Watch

 

【その他】

流出したパスワードは瞬く間に悪用される--半数は12時間以内にアクセス - ZDNet Japan

LINE、トークやKeep関連のデータ移転に2024年までかかる見込みと発表 | スラド IT

英国政府「サードパーティ製のリンク短縮ツールを使わないで」呼び掛けの理由とは【やじうまWatch】 - INTERNET Watch

ランサムウェア攻撃を受けたトラック運転手組合がFBIに逆らい自力でハッカーを撃退 - GIGAZINE

Another one bites the dust: Avaddon ransomware group shuts down operation - Malwarebytes Labs | Malwarebytes Labs

クラウドの脅威はプロバイダ起因から利用者起因にシフト…CSAJの11大脅威 | ScanNetSecurity

 

 

【一言】

ランサムウェアを利用する犯罪集団も、続ける組織と止める組織の2分化してきましたね。

尤も、止める組織も口だけで、組織名だけ変えて続けたりする可能性も有りますが。

当局の捜査レベルも上がって、プレッシャーが強まってたりするんですかね。

 

2021/6/14

インシデント事例

 ・Colonial Pipeline Cyberattack Proves a Single ...

 

【攻撃の傾向・手法、攻撃組織の動向】

 ・Trends in Phishing Attacks and the Industries Commonly Targeted | Cyble

ファイア・アイ、年次レポート「M-Trends 2021」日本語版を公開 - SecurityInsight | セキュリティインサイト

 

脆弱性情報】

一部のLinuxディストリビューションに特権昇格の脆弱性、RHEL 8などに影響 - ITmedia エンタープライズ

 

【当局関連の動き、法規則等】

 ・ニューヨーク州上院議会が修理する権利法案を可決。米国で可決された最初の例に - Engadget 日本版

Google・Apple・Facebook・Amazonなど超巨大IT企業を狙い撃つ規制法案がアメリカ下院に提出される - GIGAZINE

 

【技術関連(お勉強)】

"ざっくり"話す"AWS IAM"の特権昇格の考え方と対策 - Speaker Deck

 

2021/6/7

インシデント事例

○米パイプライン会社でのランサムウェア感染事案の続報

・ Hackers Breached Colonial Pipeline Using Compromised VPN Password

→侵入ルートはVPNで、使われたアカウントは退職済みの元従業員のもの(攻撃時点でも退職済みだったにもかかわらず、有効であった)。

→かつ、当該パスワードは何らかのサービスから漏洩しており、元従業員はパスワードの使い回しをしていたと思われる。

→どっちもどっちだな。。

 

KADOKAWA、台湾子会社に不正アクセス: 日本経済新聞

 

【攻撃の傾向・手法、攻撃組織の動向】

 ・REvilis Not Afraid of the US Ransomware Focus

→REvilは引き続き米国もターゲットに入ると主張

The Rapid Resurgence of DDoS Extortion (That Didn't Take Long) - The Akamai Blog

→脅迫型DDoS攻撃も増加傾向(と、Akamaiが言っている)

Chinese SharpPanda APT developed a new backdoor in the last 3 yearsSecurity Affairs

今そこにある 分業制「サイバー脅迫エコノミー」 企業を狙うマルウェア、脆弱性の放置は格好の標的に:この頃、セキュリティ界隈で - ITmedia NEWS

Evil by a Different Name: Crime Gang Rebrands Ransomware

 

脆弱性情報】

「Python」で“スキャン擦り抜けマルウェア”の開発が容易に? 判明した問題は:Python開発ツールが抱えるセキュリティ問題【前編】 - TechTargetジャパン セキュリティ

・メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見:DRAMの微細化で脅威が増すサイバー攻撃 - @IT

 

【その他】

 ・東証一部上場の人材派遣大手、全社員2万人に多要素認証導入 | ScanNetSecurity

【東京五輪】開催強行なら大規模なサイバーテロの恐れ 英メディアが警鐘報道(東スポWeb) - Yahoo!ニュース

「電子印鑑」はもう古い! 安心・安全の電子署名を使うために必須の知識まとめ - 窓の杜

アクセスキー/シークレットキーが漏洩してしまった!一体何をすればいいの? | DevelopersIO

「ゼロトラストネットワーク」を見据えた抜本的な刷新「VDIとFAT PCのマルチ環境」の取り組み:リクルート5万人のテレワーク/VDI環境大解剖(終) - @IT

Webを切り離し境界の外で防げ ゼロトラスト博士が進言する「RBI」とは (1/3):EnterpriseZine(エンタープライズジン)

Cyber-Insurance Fuels Ransomware Payment Surge | Threatpost

 

【一言】

やっぱりランサムウェアとゼロトラストに関する記事が目につきますね。

結局の所、いかに外部からの侵入を防ぐか、侵入された場合にいかに早期に検知するか、親友を広げられないようにするか、といったように、これまでも使われてきたフレームワークで、軸を見誤らずにいかに頑張るか、な気がしますが。

2021/6/5

インシデント事例

○JBSがランサムウェアに感染した件

 ・グローバルサプライチェーンを狙うランサム攻撃 - Fox on Security

US: Russian threat actors likely behind JBS ransomware attack

→バックアップまでは侵害されず、復旧は可能なようです。6月3日から通常操業を再開?

 

富士フィルムランサムウェアに感染した件

富士フイルムへのランサム攻撃 - Fox on Security

FUJIFILM shuts down network after suspected ransomware attack

Network Intrusion, Suspected Ransomware Attack at Fujifilm

富士フィルムランサムウェアに感染する起点となったと思われるQbot、昨年8月頃からEmotetによって感染する事例が増え、Qbotもランサムサムウェア感染につなげる機能を持ち始めたようで、警戒レベルが上がっているようだ。

→また、Qbotの特徴として、永続化により見つかりにくいような工夫もしているようなので、知らないうち感染→潜伏→ある日突然ランサムウェア感染、というシナリオも十分成り立つような。

・参考

’20/08最多検出マルウェア – トロイの木馬「Qbot」が急上昇、Emotetからの二次感染にも要注意|’20/08最多検出マルウェア – トロイの木馬「Qbot」が急上昇、Emotetからの二次感染にも要注意|株式会社宝情報 - セキュリティ製品の卸売り商社

Qbotが危険な新機能を獲得 - 8月マルウェアランキング | TECH+

Qbot steals your email threads again to infect other victims

分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意 | セキュリティ対策のラック

 

【攻撃の傾向・手法、攻撃組織の動向】

 ・サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説 | トレンドマイクロ セキュリティブログ

新種ランサムウェア解説:Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker | トレンドマイクロ セキュリティブログ

DNS Attacks on the Rise, at a Cost of $1 Million Each - Infosecurity Magazine

Researchers Uncover Hacking Operations Targeting Government Entities in South Korea

 

脆弱性情報】

メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見:DRAMの微細化で脅威が増すサイバー攻撃 - @IT

 

【当局関連の動き、法規則等】

 ・アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters

 

【技術関連(お勉強)】

企業や組織のスマホ利用ガイドライン、「対策チェックシートII」公開|JSSEC | トレンドマイクロ is702

 

【その他】

 ・国家が容認、保護するハッカー集団

→自国をターゲットにしない攻撃グループについても、国家が保護しているハッカー集団の可能性が高い?同国当局から逮捕されていないのであれば、確かにそうとも言えそうだ。

CISA Releases Best Practices for Mapping to MITRE ATT&CK® | CISA

How to perform a website security check- 6 tools to check website security

○CSAのクラウドで発生したインシデントの対応マニュアル

クラウドで発生したインシデントに対応するためには【海外セキュリティ】 - INTERNET Watch

クラウドの障害対応・フォレンジック-CSAのクラウド・インシデント対応枠組 - IT Research Art

→オンプレとクラウドでのインシデント対応の違いとしては「ガバナンス」、「責任の共有」、「可視化」、「サービスの多様性」が挙げられるとのこと。「責任の共有」については、プロバイダと利用者で責任を追う範囲が異なるため、それを意識した態勢・ルール作りが必要となること、「可視化」は、デフォルトのまま使うと利用するクラウドの状況が何も見えないため、監視や万一の場合のログ調査に関する要件を決めておき、可視化しておく必要がある。

→その上で、実施すべき観点としては「準備」、「探知及び分析」、「封じ込め、根絶、回復」、「事後処理」の4つ。

 

www.ncsc.gov.uk

→経営層が確認すべき5つの質問に記載されている内容が、よく整理されていて使いやすいかも。

Cyber-Insurance Fuels Ransomware Payment Surge | Threatpost

→サイバー保険でランサムウェアの身代金までカバーしてしまうと、犯罪組織への支払いを助長するのでは、という考え方。

ランサムウェアへの身代金支払いの是非と具体策 - ZDNet Japan

 

【一言】

ほぼランサム関連のテーマ

 

2021/5/28

インシデント事例

Boseのランサム対応がインシデントレスポンスの目指すべき姿 - Fox on Security

 ・富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた - piyolog

 

【攻撃の傾向・手法、攻撃組織の動向】

 ・Microsoft Announces New Campaign from NOBELIUM | CISA

Japan predicts hacker attack on Tokyo Summer Olympics by Russian hackers - E Hacking News - Latest Hacker News and IT Security News

FBIが「フォーティネット製品の脆弱性を利用したハッカーが地方自治体のサーバーを侵害した」と発表 - GIGAZINE

Feds Warn DarkSide May Not Stay Dark - Infosecurity Magazine

Ryuk Ransomware Operators Shift Tactics to Target Victims

 

脆弱性情報】

DRAMに保存されたデータを改ざんする「Rowhammer」攻撃の対象範囲がメモリ小型化で広がっているとの指摘 - GIGAZINE

Hackers used macOS 0-days to bypass privacy features, take screenshots

JPCERT/CC、仮想通貨マイニングツールのXMRigの設置を狙った攻撃を順序立てて詳説~対策マニュアルとしても有効 | ScanNetSecurity

 

【技術関連(お勉強)】

ほぼ確実に侵入可能? 正規プログラムを乗っ取る「スクワッティング」の脅威:OSSは危険なのか【後編】 - TechTargetジャパン セキュリティ

【その他】

警察が抗議者鎮圧に利用するOracleの市民監視ツール「Endeca Information Discovery」とは? - GIGAZINE

 ・プルーフポイント調査:日本の主要銀行 DMARC導入 28 %どまり、なりすましメール詐欺対策に遅れ | ScanNetSecurity

・東京海上日動あんしん生命、新たな「インターネット申込システム」の基盤構築 - ZDNet Japan

ソフトウェアサプライチェーンのセキュリティリスクを解説 | トレンドマイクロ セキュリティブログ

 

2021/5/22

インシデント事例

○ランサムが非常に多い傾向(一部明示されていないものも有りますが、被害状況から恐らくランサム)。 

US insurance giant CNA Financial paid $40 million ransom to regain control of systems: report | ZDNet

Cyber insurance giant CNA paid out $40 million to its ransomware attackers • Graham Cluley

American insurance giant CNA reportedly pays $40m to ransomware crooks • The Register

米保険企業CNA Financial、ランサムウェア解除に約43.5億円支払い - Engadget 日本版

→サイバー保険を売っているのに、自分がサイバー攻撃の被害を受けるのはかっこ悪いから穏便に済ませたい。。。なんて気持ちがあったのでしょうか。そんな心のスキを突くべく、保険会社に対する攻撃が増えていくかもしれませんね。

ダイハツディーゼルの欧州グループ会社へサイバー攻撃、ファイルサーバにアクセスできない障害発生 | ScanNetSecurity

東芝テックグループ欧州子会社へサイバー攻撃、犯人がデータ流出させた可能性 | ScanNetSecurity

Canadian Insurance Company Hit by Cyberattack

○コレは先日話題になった、Codecovへの不正アクセスの件の関連。

メルカリ、顧客情報など2万7000件以上流出 外部ツールへの不正アクセスで - ITmedia NEWS

メルカリ、外部ツールへの不正アクセスで個人情報が流出--氏名や口座など約2万8000件 - CNET Japan

日本を狙う新たな攻撃キャンペーン Campo の全体像 – Mal-Eats

 

○コレは普通の外部からの不正アクセスでしょうかね。。。

マッチングアプリ「Omiai」、約171万件の年齢確認書類が外部に流出--6割は運転免許証 -

・CNET Japan

 

○対応結果報告ですが、時系列のまとめの部分や要因と再発防止策を整理している部分が、非常に具体的かつ詳細な記載となっており、自社の状況を振り返るに当たって非常に参考になります。

より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi(クラッシー) - 新しい学びが広がる未来の教育プラットフォームを創る

 

【攻撃の傾向・手法、攻撃組織の動向】

Analysis of NoCry ransomware: A variant of the Judge ransomwareSecurity Affairs

FBI Issues Conti Ransomware Alert as Attacks Target ...

NICTER観測統計 - 2021年1月~3月 - NICTER Blog

 

【その他】

Googleのパスワード管理 13 箇条 ~ 大文字と小文字区別せず、2 段階認証採用ほか | ScanNetSecurity

#RSAC セキュリティプログラムの成功要因 - Fox on Security

セキュリティ調査に役立つブラウザ拡張機能のまとめ - 午前7時のしなもんぶろぐ

ノートンライフロック、「ノートンサイバー犯罪調査レポート 2021」を公開〜過去12か月間、日本では1800万人以上がサイバー犯罪の被害に - SecurityInsight | セキュリティインサイト

脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して - IT Research Art