【攻撃の傾向・手法、攻撃組織の動向】
・Chinese APT Group Targets Media, Finance, and Electronics Sectors
・4.83 million DDoS attacks took place in the first half of 2020, a 15% increase
【その他・法規則関連など】
・MITRE Shield shows why deception is security’s next big thing
【一言】
今日は目に付いた記事は少なめ。国内は楽天モバイル関連の記事が多いですね。。
【インシデント事案】
【攻撃の傾向・手法、攻撃組織の動向】
・攻撃グループLazarusが使用するマルウェアBLINDINGCAN
https://blogs.jpcert.or.jp/ja/2020/09/BLINDINGCAN.html
・China-Linked 'BlackTech' Hackers Start Targeting U.S.
・These hackers have spent months hiding out in company networks undetected
・A new Malware that can intercept your OTP and bypass Two Factor Authentication
https://www.ehackingnews.com/2020/09/a-new-malware-that-can-intercept-your.html
【公的機関の注意喚起】
・テレワークに伴う個人情報漏えい事案と対策を紹介(個人情報保護委員会)
https://scan.netsecurity.ne.jp/article/2020/09/29/44610.html
・FBI Warns: Credential Stuffing Attacks on the Rise
https://www.bankinfosecurity.com/fbi-warns-credential-stuffing-attacks-on-rise-a-15075
【その他・法規則関連など】
・「攻撃者はコロナ禍に付け入って新しい戦術を展開している」 ガートナーが“進化する脅威”の対応方法を解説
https://www.atmarkit.co.jp/ait/articles/2009/28/news108.html
【一言】
投稿が翌日になりがちなので、気をつけねば。。
【インシデント事案】
・約160億円相当の仮想通貨が大規模なハッキングを受けた仮想通貨取引所から流出か
https://gigazine.net/news/20200928-kucoin-hacked-for-150-million-dollars/
・「Hulu」にパスワードリスト型攻撃、779件のアカウントが被害に(HJホールディングス)
https://scan.netsecurity.ne.jp/article/2020/09/28/44599.html
【攻撃手法・攻撃組織の動向】
・Ransomware 2020: Attack Trends Affecting Organizations Worldwide
【脆弱性】
・Hacking Microsoft Teams vulnerabilities: A step-by-step guide
【公的機関の注意喚起】
【その他・法規則関連など】
・Financial risk and regulatory compliance pros struggling with collaboration
・米警察当局はアマゾンの顧客データを情報要求ポータルから入手している
【一言】
そう言えば、某金融機関と某決済サービスのインシデントってあまり海外メディアでは扱われていない気がする(気のせい?)また日本やったよ、って感じなのかな
【攻撃事例・攻撃組織の動向】
・SIDEWINDER APT TARGETS WITH FUTURISTIC TACTICS AND TECHNIQUES
https://cybleinc.com/2020/09/26/sidewinder-apt-targets-with-futuristic-tactics-and-techniques/
【脆弱性】
○zerologon関係
・Warning: Attackers Exploiting Windows Server Vulnerability
https://www.bankinfosecurity.com/warning-attackers-exploiting-windows-server-vulnerability-a-15061
攻撃ツールに当該脆弱性を突く機能が追加されていることが確認されているようです。NWに入られている前提なので、突然外部から攻撃を受けるということは無さそうですが、入られたら間違いなく悪用されると考えていいと思います。
【公的機関の注意喚起】
・Unpatched Domain Controllers Remain Vulnerable to Netlogon Vulnerability, CVE-2020-1472
【その他・法規則関連など】
・NIST Unveils Updated Guide to Privacy, Security Controls
https://www.bankinfosecurity.com/nist-unveils-updated-guide-to-privacy-security-controls-a-15057
ドキュメント自体は以下リンク
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
・NIST guide to help orgs recover from ransomware, other data integrity attacks
ドキュメント自体は以下リンク
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-11.pdf
・ITセキュリティ部門にしかできないこと それは「プラス・セキュリティ人材」の育成
https://enterprisezine.jp/article/detail/13407
決済系サービスと金融機関で起こった一連の事案に関連して、提供するサービスの登録・利用プロセスに対するセキュリティについても、注意する必要があると改めて感じました。
これについては、ビジネスや事務プロセスとも密接に絡むので、CSIRTというより各ビジネス部門でビジネスプロセスを考えている方々の底上げが必要になると思います。これらの方々にも、特に不正ログイン等でサービスの悪用を狙うリスクについて理解を深めてもらい、自らのサービスのプロセス上の脆弱性(悪用リスク)の有無を意識してもらわないと、解決できないんだろうなと思います。
変な話、銀行のインターネットバンキングも、不正送金による被害を被りながら学んできた側面もあるので、まだ被害が出ていない業態・サービスではそのような意識もなかなか芽生えにくいかもしれないですが、今回の事案を踏まえて、「もし当社で同様なことが起きたら、どんな被害が出るか」を想定し、現状の再確認と改善点の整理からスタートするのが良いのかもしれないですね。
・18万件以上の旅行者の顔写真がハッキングで盗まれ一部がダークウェブに流出していたことが判明
https://enterprisezine.jp/article/detail/13407
【一言】
色々と忙しかったので、3日分まとめてのまとめです。なるべく毎日更新にしたいですね(溜まっていくと情報をさばくのにも時間がかかります。。)
【インシデント事案】
・ゆうちょ銀行のVISAデビット「mijica」で不正送金被害 約332万円
https://japanese.engadget.com/bankjapanpost-mijica-visa-055956011.html
【攻撃事例・攻撃組織の動向】
・CISA Warns of Increased Use of LokiBot Malware
【脆弱性】
【公的機関の注意喚起】
・LokiBot Malware
https://us-cert.cisa.gov/ncas/alerts/aa20-266a
【その他・法規則関連など】
・7 Non-Technical Skills Threat Analysts Should Master to Keep Their Jobs
【一言】
足元、Emotetの被害も大分増えてきているようですが、メディア上ではあまり騒がれていないみたいです。
【攻撃事例・攻撃組織の動向】
・Fileless Malware Tops Critical Endpoint Threats for 1H 2020
https://threatpost.com/fileless-malware-critical-ioc-threats-2020/159422/
【脆弱性】
・Patch by Tonight: CISA Issues Emergency Directive for Critical Netlogon Flaw
先日のDHSの注意喚起の際に記載し忘れていましたが、Netlogon対応のパッチ適用は9月21日(月)中の実施が指示されていますね。既に関係機関でも攻撃が発生している可能性が高いのではないでしょうか。
【その他・法規則関連など】
・Leaked FinCEN Reports Reveal Sensitive Security Details
https://www.bankinfosecurity.com/leaked-fincen-reports-reveal-sensitive-security-details-a-15031
サイバー攻撃の話ではないですが。。
文書の漏洩ルートは判明していないようですが、サイバー攻撃ではなく内部犯のようだと記事には書いてあります。
・「コード決済における不正な銀行口座紐づけの防止対策に関するガイドライン」を策定しました(一般社団法人キャッシュレス推進協議会)
先々週の事案を受けてまとめたものと思われますが、非常にスピード感があって、真摯に取り組まれているなという印象を受けました。内容についても、「不正な銀行口座の紐づけによる不正利用を防止するためには、コード決済アプリに銀行口座を紐づける時点において、当該不正な紐づけを行わせないための対策をコード決済事業者及び金融機関において講ずることが最も重要な対策の一つとなる」という考え方を踏まえて、決済事業者側が対応できる範囲を、分かりやすく整理されていると思います。
【一言】
台風が近づいていますね。。ちょうどテレワークの日なので、例年のように通勤に気を使わなくて楽です。
Zerologonは、連休明けの国内でどのような取り上げられ方をされるのか、注目ですね。
【攻撃事例・攻撃組織の動向】
・LockBit Ransomware Emerging as a Dangerous Threat to Corporate Networks
https://www.ehackingnews.com/2020/09/lockbit-ransomware-emerging-as.html
企業を狙ったランサムウェア攻撃の一種。SMBを使ってLAN内部に感染拡大。
【脆弱性】
・A Bug Could Let Attackers Hijack Firefox for Android via Wi-Fi Network
https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html?&web_view=true
同じNW内にバグを持ったFirefoxをインストールしているAndroid端末がある場合リモートコマンド実行が可能となる。
【その他・法規則関連など】
・5 simple steps to bring cyber threat intelligence sharing to your organization
ブルーチームが自分たちのNW構成を知っているはずなのに、レッドチーム側の攻撃を許してしてしまう背景には、レッドシームの情報が分かっておらず、脅威を自分が見える範囲のみに狭めて分析してしまうから、とのこと。だから、実際の攻撃への備えとして、脅威情報を他の組織と共有し、鳴るべく多くの情報を集め、検知・防御に取り入れていく必要があるとのこと。
【一言】
zerologin関係の注意喚起が多い。4連休明けに騒ぎになりそうですね
