【インシデント事例】

・米石油パイプライン企業へのサイバー攻撃についてまとめてみた - piyolog

・ロシア拠点のハッカー集団「DarkSide」が米石油パイプライン攻撃に関与の可能性--狙いは - ZDNet Japan

・石油パイプラインにランサムウェア攻撃を仕掛けた犯罪者グループ「DarkSide」はどのような活動を行っているのか？ - GIGAZINE

・重要インフラへのランサム攻撃が”虎”を刺激する - Fox on Security

・A Closer Look at the DarkSide Ransomware Gang – Krebs on Security

・Shining a Light on DARKSIDE Ransomware Operations | FireEye Inc

・Three Affiliated Tribes—The Mandan, Hidatsa & Arikara Suffers Ransomware Attack - E Hacking News - Latest Hacker News and IT Security News

【攻撃の傾向・手法、攻撃組織の動向】

・チェック・ポイント、「モバイルセキュリティレポート2021」を公開 - SecurityInsight | セキュリティインサイト

・トレンドマイクロ、国内金融機関を騙るフィッシング詐欺2大グループの動向を分析 - SecurityInsight | セキュリティインサイト

・Alerts: Avaddon Ransomware Attacks Increasing 

【脆弱性情報】

・事実上ほぼ全てのWi-Fiデバイスに内在する脆弱性「FragAttacks」が公開される、ユーザー名やパスワードの流出、PCの乗っ取りも可能 - GIGAZINE

【当局関連の動き、法規則等】

 ・米英のセキュリティ当局、ロシア対外情報庁の脅威アクターによる攻撃手法など注意喚起 - ZDNet Japan

・経済産業省、「サイバーセキュリティ体制構築・人材確保の手引き」を公開 - SecurityInsight | セキュリティインサイト

・DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks | CISA

【その他】

・WEB特集 狙われる日本企業 米パイプラインも停止 身代金ビジネスを追う | IT・ネット | NHKニュース

・JAXAサイバー攻撃に反撃 日本初「特定」の狙い: 日本経済新聞

・LogStareのSOCの窓 第一回「錠前を購入したが施錠せず」 | ScanNetSecurity

・ランサムをサイバー保険がカバーしなくなる未来 - Fox on Security

【一言】

今日もランサム多め 

【インシデント事例】

・US Agencies Hit By Cyberattack, Confirms CISA Investigation - E Hacking News - Latest Hacker News and IT Security News

→PulseSecureの脆弱性を突かれて、多くの米国の公的機関、企業が攻撃を受けていた模様

【攻撃の傾向・手法、攻撃組織の動向】

・Financial institutions experiencing jump in new pandemic-related threats - Help Net Security

→コロナ禍でテレワークへの移行などにより、金融機関への攻撃が増加した、という記事。金融機関に限らず、全世界的な傾向としてそうだと思いますが。。まぁ、金銭や個人情報を狙うとすれば、まず金融機関が優先的にターゲットになると思うので、更にその傾向が強いのでしょう。

・New Pingback Malware Using ICMP Tunneling to Evade C&C Detection

→ICMPパケットを悪用した遠隔操作の手法が発見されている模様。

【脆弱性情報】

・Apple Warns of New Zero-Day Attacks on iOS, macOS | SecurityWeek.Com

・Apple、既に悪用された可能性のあるWebKitのゼロデイ脆弱性を修正した「iOS/iPadOS 14.5.1/12.5.3」および「watchOS 7.4.1」をリリース。

→既に悪用実績のある脆弱性の修正が存在するとのこと。

【当局関連の動き、法規則等】

 ・総務省の肝煎りで各社の対応が進む「eSIM」は本当に普及するのか（佐野正弘） - Engadget 日本版

→eSIMへの移行に伴ってセキュリティ上の差異が出てくるかは要注意ポイント。海外のようにSIMスワップが増えるようであれば、SMS認証も使えなくなると考えたほうが良いかも。

→尤もSMS認証は既にNISTのSP800-63でも否定的なスタンスなので、あまり新規採用はおすすめできない状況ですが。

【その他】

・Windows 10コンポーネント版Flash Player、7月に完全削除アップデート配布 - Engadget 日本版

・セキュリティ研究者を標的にする方法 - Fox on Security

→不謹慎かもしれないですが、こうしたソーシャルエンジニアリングの事例や記事を読むと、「よくそんなこと思いつくな！」と感心してしまいます。個人的には興味がある分野です。

・The Wages of Password Re-use: Your Money or Your Life – Krebs on Security

→サイバー犯罪者もPWやアカウントの使い回しをするなんて、やはり同じ人間ですね。

・Office 365 leaking BCC domain name : Office365

→ToもCCもなく、宛先アドレスを全てBCCに設定したメールについて、受信者が受信したメールのヘッダを見ると、他の受信者（全てではない）のドメインが見える、らしい。。。（記事内では、BCC内で2番めに設定されていた人からは、1番目の人のドメインが見えた、らしいですが。）

→状況注視。

【一言】

GWも終わり、またじっくり記事を読む時間が取れ無さそうですが、なんとか継続していきたいです。

【インシデント事例】

【攻撃の傾向・手法、攻撃組織の動向】

○ソフトウェアへの攻撃

・Software Supply Chain Attacks | CISA

・Tips on Enhancing Supply Chain Security - BankInfoSecurity

→ソフトウェアやOSSにバックドアや脆弱性を埋め込み、利用している企業への不正侵入を行うといった攻撃への対処法について。

→結論、利用企業側でもコードレビューしなさいということのようでしたが、実効性あるのか疑問。利用企業側でどこまで確認ができるのか。脆弱性診断でもやってみる程度なのかな。。

○ADFSを狙う攻撃手法

・Abusing Replication: Stealing AD FS Secrets Over the Network | FireEye Inc

・Attacks Targeting ADFS Token Signing Certificates ...

・脅威アドバイザリ：米国国家安全保障局のロシア対外情報庁に関する勧告

・The Sodinokibi Chronicles: A (R)Evil Cybercrime Gang Disrupting Organizations for Trade Secrets and Cash

・FluBot Spyware Spreads Across Europe - BankInfoSecurity

・Phishing Attack Trends Captured by Cyble Honeypots | Cyble

・Microsoft Office SharePoint Targeted With High-Risk Phish, Ransomware Attacks | Threatpost

→Sharepointにファイルを置いて、マルウェアに感染させるorフィッシングによる認証情報の窃取が行われる。前者は、エンドポイントセキュリティ、Sharepointサーバ含む内部サーバへのパッチ適用が必要。後者は、ユーザー自身の注意と不審な認証の有無についてのモニタリングが必要。

・Merseyrailのランサム被害 - Fox on Security

→攻撃者が情報漏えいの事実をマスコミや顧客に伝えてしまい、被害を受けた企業が事実を隠せない状況に追い込むケースが増えてきましたね

→一方で、事実が公表されると尚更身代金を払いにくくなる気がします。海外では状況は違うのかもしれませんが、国内では「犯罪者に加担した・屈した」というマイナスイメージのほうが大きい気がします。

【脆弱性情報】

【当局関連の動き、法規則等】

【技術関連（お勉強）】

・イエラエセキュリティ CSIRT支援室 第 11 回「サーバサイドレンダリングの導入から生じる SSRF」 | ScanNetSecurity

・コロナ禍で進むSD-WAN導入と企業ネットワークのダウンサイジング：羽ばたけ！ネットワークエンジニア（39） - ＠IT

【その他】

 ・CTF問題「C＆Cサーバと社内PCのパケットキャプチャーから機密情報を見つけるには？」から学べる知識とは：CTF問題から学ぶセキュリティ基礎知識（2） - ＠IT

・コロナ禍で進むSD-WAN導入と企業ネットワークのダウンサイジング：羽ばたけ！ネットワークエンジニア（39） - ＠IT

・ファイル共有の非常識 日立や富士通が「脱PPAP」: 日本経済新聞

・箱を開けた状態で“Windows史上最強の安全性”が実現されている「Secured-Core PC」をじっくり解説 ～大企業はもちろんIT専任者がいない中小企業でも手軽に安心して使える設計- PC Watch[Sponsored]

・「Azure AD」がオンプレミスのActive Directory（AD）より魅力的な3つの理由：オンプレミス「AD」と「Azure AD」を比較【中編】 - TechTargetジャパン システム運用管理

・中国が世界の"オペレーティングシステム"の主導権を握る恐れ--英GCHQ長官 - ZDNet Japan

・「Microsoft Defender for Endpoint」でクリプトジャッキングが検出可能に--インテルの技術利用 - ZDNet Japan

【一言】

・AD周りのサイバー攻撃とセキュリティ対策の動向は要注意。特に、ローカルブレイクアウトを始めとして、業務環境が社内にとどまらない一方で、認証はADで統一する動きがあると思うので、外からAD認証を狙えるようになり、攻撃が増える傾向が出てくると思う。