【インシデント事例】
・三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
https://www.itmedia.co.jp/news/articles/2101/29/news107.html
>GitHub上に一時公開されたソースコード群からは、SMBCの他にもNTTデータ ジェトロニクスやNEC、警察の暴力団対策に関連すると思われる記述が見つかった。
→三井住友銀行以外にも影響する組織があったようですね。
・年収を査定してもらうためとして、SMBC証券の業務コードを公開していたことが発見される
https://security.srad.jp/story/21/01/29/0049259/
・SMBCに続きNTTデータも被害を確認、広がるGitHub上のコード流出問題
https://xtech.nikkei.com/atcl/nxt/news/18/09557/
・この件をまとめたツイート
https://twitter.com/takigare3/status/1354951288136425473?s=20
・SMBCのソースコード流出で話題騒然、3分でまるわかり「GitHub」
https://xtech.nikkei.com/atcl/nxt/column/18/00157/012900077/
・東京ガス、約1万人分のメールアドレスが流出 恋愛ゲームに不正アクセス
https://news.livedoor.com/article/detail/19618500/
→情報漏えい+画面改ざんなので、サーバ側に不正アクセスされてしまったのでしょうかね。。
【攻撃の傾向・手法、攻撃組織の動向】
・Phishing Campaign Features Fake Office 365 Update
https://www.bankinfosecurity.com/phishing-campaign-features-fake-office-365-update-a-15869
→役員層(CxOレベル)を対象としたM365 アカウント窃取目的のフィッシング攻撃。やはり、クラウド環境も本格的に狙われていますね。
→当該フィッシングサイトへのアクセスについて、セキュリティ企業や大手クラウドベンダーものもと思われるIPアドレスはブラックリスト登録をされていたようです。解析をさせない目的でしょうか。
・BEC Scammers Take Advantage of "Out-of-Office" Microsoft 365 Users
→Outlookの自動返信機能を悪用したBECの事例。Reply-toを真のターゲットに設定し、自動返信を設定している組織内ユーザーにメールを送信。ターゲットは組織内ユーザーからの自動送信メールで偽メールに気づくが、組織内から着ているメールなので、メールセキュリティに引っかかる可能性が低く、騙される可能性が上がる模様。
→コレは、誰が自動返信を設定しているか、きちんと調べた上での犯行なので、事前調査がものすごく大変そうですね。そういう意味では、労力に見合っているのか、少し疑問な手口かと。
・Microsoft Offers Details on Hack of Vulnerability Researchers
https://www.bankinfosecurity.com/microsoft-offers-details-on-hack-vulnerability-researchers-a-15890
→セキュリティ研究者の端末にマルウェア感染を試みる動きがあった件、未公開の脆弱性情報の収集が目的だったようです。他者のノウハウも活用して攻撃手法の高度化の効率化を狙っているのでしょうね。
・Trickbot- A Banking Trojan Returns With Latest Phishing Campaigns and Attacks
https://www.ehackingnews.com/2021/01/trickbot-banking-trojan-returns-with.html
→Trickbotへの感染を狙う攻撃がまた増えてきているようです。
・企業のネットワーク狙うランサムDDoS攻撃が大幅に増加--Neustar調査
https://japan.zdnet.com/article/35165753/
・オープンソースソフトウェアを悪用した標的型攻撃事例について解説
https://blog.trendmicro.co.jp/archives/27091
→検知逃れの一環ですね
【脆弱性情報】
・Update your iPhone now to protect against vulnerabilities that hackers may have actively exploited
・「iOS 14.4」がリリース、悪用報告あるゼロデイ脆弱性に対処
https://www.security-next.com/122811
→iOSの脆弱性対応。該当脆弱性は外部や不正アプリからのコード実行が可能となるもの。
・Sudo Bug Gives Root Access to Mass Numbers of Linux Systems
https://threatpost.com/sudo-bug-root-access-linux-2/163395/
→一応、システムにログインした状態でないと悪用できないようです。
【その他】
○Emotetが摘発された件
・ 最恐ウイルスEmotetをテイクダウンしたOperation Ladybirdについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/01/28/180000
・世界で最も危険なマルウェア「Emotet」のネットワークを抹消すると警察組織が発表
https://gigazine.net/news/20210129-europol-exterminate-malware-emotet/
・マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信
https://japan.cnet.com/article/35165702/
>オランダ当局によれば、Emotetの主要なC&Cサーバー3台のうち2台がオランダ国内に設置されていたという。
→3台、なんですね。世界中でかなり被害が出てましたし、もっと存在するのではないか、と思いました。ただ、大元を辿るとコレくらいの数に行き着くのですかね。
>このアップデートには時限爆弾のようなコードが埋め込まれており、各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetマルウェアをアンインストールするという。
→そんな仕掛けができるのですね。。ちなみに、ここで言うEmotetは、どの範囲を指すのだろうか。一口にEmotetと言っても、色々亜種はあるだろうし。。
・Emotet botnet takedown – what you need to know
>(機械翻訳)例えば昨年、セキュリティ研究者たちは、Emotetの中にこれまで知られていなかった機能があることを発見しました。これは、Emotetの周辺のWi-Fiネットワークを探し出して接続し(必要に応じてパスワードを破ろうとする)、同じネットワーク上の露出したコンピュータを探し出して感染させるというものです。
→コレは知りませんでした。。
>(3月25日にemotetを除去するアップデートが配信されることについて)emotetが除去されることによる欠点は、企業内や私物の機器にてemotetの存在を確認することにより、他のマルウェアへの感染やデータ漏洩の可能性に気づくことができることにある。
→確かに。3月25日を待たずに調査せよ、ということですね。
・Another Takedown: NetWalker Ransomware Gang Disrupted
https://www.bankinfosecurity.com/another-takedown-netwalker-ransomware-gang-disrupted-a-15875
・マカフィー 2021 年脅威予測
https://scan.netsecurity.ne.jp/article/2021/01/28/45114.html
・「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」
https://www.ipa.go.jp/security/fy2020/reports/scrm/index-soshiki.html
・情報セキュリティ10大脅威 2021
https://www.ipa.go.jp/security/vuln/10threats2021.html
【一言】
コード漏洩の件、どこの企業でもなかなか抜本的対策までは難しいですね
結局モラルとか、各自の内面的なところも次第な部分になりそうな。技術的に塞ぐとしたら、インターネット遮断とかそういった思い切った話になりかねませんが、業務内容との兼ね合いでどうか。。
