【インシデント事例】

 ・Colonial Pipeline Cyberattack Proves a Single ...

【攻撃の傾向・手法、攻撃組織の動向】

 ・Trends in Phishing Attacks and the Industries Commonly Targeted | Cyble

・ファイア・アイ、年次レポート「M-Trends 2021」日本語版を公開 - SecurityInsight | セキュリティインサイト

【脆弱性情報】

・一部のLinuxディストリビューションに特権昇格の脆弱性、RHEL 8などに影響 - ITmedia エンタープライズ

【当局関連の動き、法規則等】

 ・ニューヨーク州上院議会が修理する権利法案を可決。米国で可決された最初の例に - Engadget 日本版

・Google・Apple・Facebook・Amazonなど超巨大IT企業を狙い撃つ規制法案がアメリカ下院に提出される - GIGAZINE

【技術関連（お勉強）】

・"ざっくり"話す"AWS IAM"の特権昇格の考え方と対策 - Speaker Deck

【インシデント事例】

○JBSがランサムウェアに感染した件

 ・グローバルサプライチェーンを狙うランサム攻撃 - Fox on Security

・US: Russian threat actors likely behind JBS ransomware attack

→バックアップまでは侵害されず、復旧は可能なようです。6月3日から通常操業を再開？

○富士フィルムがランサムウェアに感染した件

・富士フイルムへのランサム攻撃 - Fox on Security

・FUJIFILM shuts down network after suspected ransomware attack

・Network Intrusion, Suspected Ransomware Attack at Fujifilm

→富士フィルムがランサムウェアに感染する起点となったと思われるQbot、昨年８月頃からEmotetによって感染する事例が増え、Qbotもランサムサムウェア感染につなげる機能を持ち始めたようで、警戒レベルが上がっているようだ。

→また、Qbotの特徴として、永続化により見つかりにくいような工夫もしているようなので、知らないうち感染→潜伏→ある日突然ランサムウェア感染、というシナリオも十分成り立つような。

・参考

’20/08最多検出マルウェア – トロイの木馬「Qbot」が急上昇、Emotetからの二次感染にも要注意｜’20/08最多検出マルウェア – トロイの木馬「Qbot」が急上昇、Emotetからの二次感染にも要注意｜株式会社宝情報 - セキュリティ製品の卸売り商社

Qbotが危険な新機能を獲得 - 8月マルウェアランキング | TECH+

Qbot steals your email threads again to infect other victims

分析レポート：Emotetの裏で動くバンキングマルウェア「Zloader」に注意 | セキュリティ対策のラック

【攻撃の傾向・手法、攻撃組織の動向】

 ・サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説 | トレンドマイクロ セキュリティブログ

・新種ランサムウェア解説：Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker | トレンドマイクロ セキュリティブログ

・DNS Attacks on the Rise, at a Cost of $1 Million Each - Infosecurity Magazine

・Researchers Uncover Hacking Operations Targeting Government Entities in South Korea

【脆弱性情報】

・メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見：DRAMの微細化で脅威が増すサイバー攻撃 - ＠IT

【当局関連の動き、法規則等】

 ・アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

・Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters

【技術関連（お勉強）】

・企業や組織のスマホ利用ガイドライン、「対策チェックシートII」公開｜JSSEC | トレンドマイクロ is702

【その他】

 ・国家が容認、保護するハッカー集団

→自国をターゲットにしない攻撃グループについても、国家が保護しているハッカー集団の可能性が高い？同国当局から逮捕されていないのであれば、確かにそうとも言えそうだ。

・CISA Releases Best Practices for Mapping to MITRE ATT&CK® | CISA

・How to perform a website security check- 6 tools to check website security

○CSAのクラウドで発生したインシデントの対応マニュアル

・クラウドで発生したインシデントに対応するためには【海外セキュリティ】 - INTERNET Watch

・クラウドの障害対応・フォレンジック-CSAのクラウド・インシデント対応枠組 - IT Research Art

→オンプレとクラウドでのインシデント対応の違いとしては「ガバナンス」、「責任の共有」、「可視化」、「サービスの多様性」が挙げられるとのこと。「責任の共有」については、プロバイダと利用者で責任を追う範囲が異なるため、それを意識した態勢・ルール作りが必要となること、「可視化」は、デフォルトのまま使うと利用するクラウドの状況が何も見えないため、監視や万一の場合のログ調査に関する要件を決めておき、可視化しておく必要がある。

→その上で、実施すべき観点としては「準備」、「探知及び分析」、「封じ込め、根絶、回復」、「事後処理」の４つ。

www.ncsc.gov.uk

→経営層が確認すべき５つの質問に記載されている内容が、よく整理されていて使いやすいかも。

・Cyber-Insurance Fuels Ransomware Payment Surge | Threatpost

→サイバー保険でランサムウェアの身代金までカバーしてしまうと、犯罪組織への支払いを助長するのでは、という考え方。

・ランサムウェアへの身代金支払いの是非と具体策 - ZDNet Japan

【一言】

ほぼランサム関連のテーマ

【インシデント事例】

○ランサムが非常に多い傾向（一部明示されていないものも有りますが、被害状況から恐らくランサム）。 

・US insurance giant CNA Financial paid $40 million ransom to regain control of systems: report | ZDNet

・Cyber insurance giant CNA paid out $40 million to its ransomware attackers • Graham Cluley

・American insurance giant CNA reportedly pays $40m to ransomware crooks • The Register

・米保険企業CNA Financial、ランサムウェア解除に約43.5億円支払い - Engadget 日本版

→サイバー保険を売っているのに、自分がサイバー攻撃の被害を受けるのはかっこ悪いから穏便に済ませたい。。。なんて気持ちがあったのでしょうか。そんな心のスキを突くべく、保険会社に対する攻撃が増えていくかもしれませんね。

・ダイハツディーゼルの欧州グループ会社へサイバー攻撃、ファイルサーバにアクセスできない障害発生 | ScanNetSecurity

・東芝テックグループ欧州子会社へサイバー攻撃、犯人がデータ流出させた可能性 | ScanNetSecurity

・Canadian Insurance Company Hit by Cyberattack

・

○コレは先日話題になった、Codecovへの不正アクセスの件の関連。

・メルカリ、顧客情報など2万7000件以上流出 外部ツールへの不正アクセスで - ITmedia NEWS

・メルカリ、外部ツールへの不正アクセスで個人情報が流出--氏名や口座など約2万8000件 - CNET Japan

日本を狙う新たな攻撃キャンペーン Campo の全体像 – Mal-Eats

○コレは普通の外部からの不正アクセスでしょうかね。。。

・マッチングアプリ「Omiai」、約171万件の年齢確認書類が外部に流出--6割は運転免許証 -

・CNET Japan

○対応結果報告ですが、時系列のまとめの部分や要因と再発防止策を整理している部分が、非常に具体的かつ詳細な記載となっており、自社の状況を振り返るに当たって非常に参考になります。

・より安全にご利用いただけるようになったClassiのご報告と今後の取り組みについて | Classi（クラッシー） - 新しい学びが広がる未来の教育プラットフォームを創る

【攻撃の傾向・手法、攻撃組織の動向】

・Analysis of NoCry ransomware: A variant of the Judge ransomwareSecurity Affairs

・FBI Issues Conti Ransomware Alert as Attacks Target ...

・NICTER観測統計 - 2021年1月～3月 - NICTER Blog

【その他】

・Googleのパスワード管理 13 箇条 ～ 大文字と小文字区別せず、2 段階認証採用ほか | ScanNetSecurity

・#RSAC セキュリティプログラムの成功要因 - Fox on Security

・セキュリティ調査に役立つブラウザ拡張機能のまとめ - 午前７時のしなもんぶろぐ

・ノートンライフロック、「ノートンサイバー犯罪調査レポート 2021」を公開〜過去12か月間、日本では1800万人以上がサイバー犯罪の被害に - SecurityInsight | セキュリティインサイト

・脆弱性の開示の枠組を深く勉強したい人に-ワクチンの予約システムの報道に関して - IT Research Art