→テレビやWebサイトでも、画面上のQRコードを読み取らせ、特定のサイト（プレゼント応募フォームとか）に誘導する使われ方が増えており、普通の行動となっている反面、QRコードではこれまでにフィッシング詐欺への自衛策である「URLをきちんと確認する」ことが難しいので、騙されやすい手口かなと思います。今後増えてくるのではないかと。

2022-08-31

2022/8/31

【攻撃の傾向・手法】

・2022年7月分 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

→Atlasian製品を狙った攻撃が特徴としてあげられていますが、６月よりも落ち着いている模様。

・How 1-Time Passcodes Became a Corporate Liability – Krebs on Security

→SMSで送るワンタイムパスワードもフィッシング攻撃で奪われ、企業内NWに不正アクセスをされる手口が目立ってきている模様。

→生体認証の採用やアクセス元環境で制御するような仕組みの導入が必要になるかと。

・2022年上半期ウイルス・不正アクセス届出事例公開、減少傾向だったウイルス検知・感染が大幅増 | ScanNetSecurity

→大幅増加は主にEmotet。ただし、７月以降は減少傾向で８月以降は活動が止まった模様。

→各国当局が制定or作成中の、サイバー事案発生時の報告に関する法規制について。

【調査結果・ベンダーレポート】

・拡張ゼロトラスト（Zero Trust eXtended）とは何か？ランサムウェアにも動じないセキュリティ体制の新常識：分散するオフィス、拡大するアタックサーフェースにどう対応するか？ - ITmedia エンタープライズ

→一般的にゼロトラストと言われている領域について、運用監視の視点もレベルアップさせていく必要がある、という趣旨かと。

【セキュリティ対策機器、ツールの紹介記事】

・94％の組織が気づいていない「2割以上のエンドポイントが保護されていない事実」への効果的な対策とは (1/3)|EnterpriseZine（エンタープライズジン）

→セキュリティ製品の導入と言ったセキュリティ観点での保護だけでなく、構成管理等の端末自体の管理も必要となるが、対応できていなかったり、統合管理できておらず管理コストが高いことが課題。これについてタニウムで統合管理していきましょう、という話かと。確かに効率的に監視・管理が行えて便利だなと思いました。

2022-08-28

20220828

【インシデント事例】

・ランサムウェアの要求に従うも、データが流出される事例が発生 - ZDNet Japan

→タイトルの通り。やはり身代金払えば約束を守ってもらえると思ってはいけない。。

・台湾のグループ会社に対するサイバー攻撃について（SOMPOHD）

https://www.sompo-hd.com/-/media/hd/files/news/2022/20220823_1.pdf?la=ja-JP

【攻撃の傾向・手法】

・AiTM phishing campaign also targets G Suite usersSecurity Affairs

→不正アクセスを狙うフィッシングが、Gsuiteユーザにも拡大。不正アクセス後は、BECを狙うとのこと。多要素認証を実装しているから、フィッシング攻撃が成功する可能性はゼロとは最早言えず、攻撃動向を注視しながらモニタリングや追加の強化策を施す可能性がある状況。今後、同様な被害が他のサービスに広がっていくのでは。

・Oktaのアカウント盗むサイバー攻撃確認、130超の組織が標的 | TECH+（テックプラス）

・Twilio Hackers Scarf 10K Okta Credentials in Sprawling Supply-Chain Attack

→上記記事に関連して。Oktaのアカウントも狙われている模様。

・Hackers use AiTM attack to monitor Microsoft 365 accounts for BEC scams

→引き続きM365も狙われている状況。認証情報を窃取して不正アクセスを行った後、攻撃者自身の電話番号を登録し、不正アクセスを永続化する事例も発生。認証に使う出電話番号の変更は監査ログで確認可能（だから見ておく必要があるということか？）。

→量子暗号による暗号技術への影響とその備えについて。

【セキュリティに関する考え方、マインドセット】

・CISA or CVSS: How Today's Vulnerability Databases Work Together

→脆弱性ハンドリングにおいて、CVSSとCISAのカタログの両者をどのようにとらえ、脆弱性を評価するかについて。悪用されているか？も一つのファクターだが、それだけけに重きを置くのも避けるべき。

→"CVEがCVSS（重要度）に照らしてどれほど深刻であっても、本当に重要なのは、攻撃者が実際にそれを悪用しているかどうかです。可能性のあるリスクは、どんなに深刻であっても、証明された進行中の問題よりも常に緊急度が低いのです。"　"とはいえ、CISAカタログは完璧ではありません。結局のところ、注目し、優先順位をつけるに値する未活用の脆弱性が数多く存在するのです。" "結局のところ、CISAカタログをCVSSの代替物とは考えないでください。むしろ、有用な追加資料として捉えてください。"

・Log4j問題は大したことなかった？脆弱性対応はスプリント＆マラソン？ SBOMで解決？――piyokango氏に聞いた：特集：1P情シスのための脆弱性管理／対策の現実解（1） - ＠IT

【調査結果・ベンダーレポート】

・サイバー犯罪の進化：ダークウェブが脅威の現状を急激に悪化させている理由とそ
の対策(HP社)：https://jp.ext.hp.com/content/dam/jp-ext-hp-com/jp/ja/ec/lib/info/newsroom/hp_wolf_security_evolution_of_cybercrime_report.pdf

・個人情報を取得する企業が「気を付けるべきこと」とは？警察庁やフィッシング対策協議会らが解説 - INTERNET Watch

→"2022年5月以降、大量のドメイン、サブドメイン、パラメータなどを組み合わせて大量にURLを生成する異常ともいえる動きが出ている。同一のURLが少なく、生存期間も短いという特徴があり、今まで主流だったURLフィルタリングによる対策が効きにくい状況になっている。今後は、誘導元となるフィッシングメールへの対策を行うことが被害抑制には有効である"

・「ゼロトラスト」なら境界型防御は不要？バズワードになって発生した“勘違い”（1/2 ページ） - ITmedia NEWS

【セキュリティ対策機器、ツールの紹介記事】

・GMOあおぞらネット銀行、なりすまし不正を防止する認証サービスを新たに導入 - ZDNet Japan

→「Auth Face」は口座開設時（身元確認時）に登録した顔写真を使って、サービス利用時の認証をおこなう、という趣旨なんだろうか。身元確認時のデータと紐付けられるのは強固だなと思いました。

・面倒なセキュリティ運用を自動化する「SOAR」とは、歴史と主な4つの機能――ゼロトラストの自動化と連携：働き方改革時代の「ゼロトラスト」セキュリティ（21） - ＠IT

【コラム系】

【その他】

・Lloyd’s to forbid insurers from covering losses due to state-backed hacks - The Record by Recorded Future

・Lloyd’s Will No Longer Include Nation-State Attacks in its Cyber Insurance Policies

→ロイズが、戦争起因や国家支援のハッカーによるサイバー攻撃被害については、サイバー保険の補償対象外とする、とのこと。

→この観点、正確に評価・判定するのは難しいのではないかなとも思います。サイバー攻撃のアトリビューションをいかに行うか、は明確な結論が出ている状況ではないと思いますし、セキュリティベンダーが色々レポート出していますが、これらもあくまで分析結果だと思いますし。。保険会社はどのように判定するのでしょうか。。

・「Excel」に新関数「IMAGE」が追加～セルへインターネットの画像を簡単に挿入できる - 窓の杜

→インターネット上の任意の場所から画像ファイルをダウンロードできる関数が新たに開発されているとのこと。

→画像ファイルを使ったマルウェア感染も確認されていますし、新たな攻撃手法にも使われそうな気がします。

・Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita

→Dockerがマルウェアに感染した実例をもとに、セキュリティ対策の勘所を紹介されています。

2022-08-20

2022/8/20

【インシデント事例】

・マルウェア感染による個人情報漏洩の可能性に関するお知らせとお詫びにつきまして（

https://www.shopro.co.jp/news/220804/220804.pdf）

→保育施設でなりすましメールの添付ファイルを開封し、マルウェア感染、PC内に保存されていたファイルが外部に送信されている可能性がある、という事案。

→恐再発防止策として、技術的対策の強化が挙がっておらず、人的対策・組織的対策に終止していることが気になりました（人が行う対策は100％徹底することが難しいので）。例えばセキュリティソフトのアップデートはきちんとされていたのでしょうか。。

【攻撃の傾向・手法】

・Cybercriminals Developing BugDrop Malware to Bypass Android Security Features

→GooglePlayストアでダウンロードしたアプリであっても、ユーザーの認証情報の窃取につながるような行為を行うものが確認されているとのこと。Googleが施しているセキュリティ対策も対応されているケースがあり、アプリの作成者やプライバシーポリシーを確認せよと注意喚起を促している状況。
→ストアにアップする審査だけでは限界があるんですかね。ユーザー側がいくら注意してもフィッシングメール同様巧妙に正規のアプリになりすましそうですし。。

・Russian APT29 hackers abuse Azure services to hack Microsoft 365 users

・ロシアのハッカーグループ、不正アクセスに「OneDrive」を悪用--MSが警告 - ZDNet Japan

→標的の組織のOneDriveに不正アクセスして情報漏えいを図ることに加え、OneDrive上のファイルに見せかけたファイルを送り、開かせようとする手口が確認されているとのこと。

→業務で使われているクラウドサービスを、攻撃者が悪用する行為が目立ってきていると思われる。クラウドサービス毎のアクセス制御だけでなく、クラウドサービス内のテナントやサービス毎のアクセス制御にも配慮する必要がある、ということですかね。

→総務省における、サイバーセキュリティ関連の動向分析と監督下の事業者に求めてきたこと、及び今後求めたい事項（≒総務省が考えている施策の方向性）のまとめの位置づけだと思われます。

→AWSの各種セキュリティ機能をまとめた資料へのリファレンス+SecurityHubを中心としたセキュリティ管理について。

・[レポート] 診断員と考えるサーバーレスアプリケーションのセキュリティ #devio2022 | DevelopersIO

→FaaS利用時のセキュリティ対策の考え方について

【セキュリティに関する考え方、マインドセット】

【調査結果・ベンダーレポート】

・How EDR Security Supports Defenders in a Data Breach

→EDRは情報漏えいに繋がる攻撃前、攻撃の最中、攻撃後の各フェーズで有用。攻撃前のフェーズでは、攻撃者によるターゲットの環境への偵察活動に対してEDRが検知・防御を行うことで、攻撃を未然に認識・対応することを可能とする。攻撃の最中においても、当該攻撃を迅速に検知・防御及び攻撃を受けた端末の隔離が行える他、攻撃に関連する情報のブラックリスト登録、配布が行えるなど、他の機器に対する防御も速やかに実施可能。攻撃後に置いては、収集したログから一連の攻撃者の行動を再現し、修正すべきポイントや攻撃活動に関わるIoC情報の収集が可能、とのこと。

→EDRを入れたとは言え、上記に照らしてどこまで使えているかorインシデント時に使うことが想定できているか（ただの攻撃検知用ツールになっていないか）、振り返る必要があるかと。

・最新のHPセキュリティレポートを公開、進化するサイバー犯罪とその対策

→サイバー攻撃を行う難易度が下がっているので、引き続き基本的な対策からセキュリティ強化を進めていきましょう、とのこと。

【その他】

・メール訓練手引書（NCA）https://www.nca.gr.jp/activity/imgs/nca-mail-exercise-guidebook-v1.0.pdf

→業務の参考に。