ぼくの備忘録

セキュリティに関するニュース等で気になったものを残していきます。毎日更新が理想ですが、更新に時間を要することも有ります。。

2021/3/27

インシデント事例

Bank loses customers’ social security numbers after ransomware attack – HOTforSecurity

→米国のFlagstarbankがランサムウェアClopに感染し、個人情報が漏洩した事案。

銀行側の当初の説明は従業員の個人情報だけというものだったようですが、ハッカーが自ら顧客に連絡を取り、個人情報も漏洩している胸を伝え、顧客情報の漏洩も明らかになったとも事です。

ハッカーが顧客に連絡をとり、支払いへのプレッシャーをかける手口は新しいですね。。。
銀行が公表を伏せていたのかは分からないですが、対外公表スタンスを検討するに当たっては意識しておくべき事例かと思いました。

大学で個人情報が意図せず漏洩、原因は無料セキュリティーツール | 日経クロステック(xTECH)

→”「ダウンロードしたファイルを外部のウイルスチェックサービスサイトに自動アップロードし、安全確認を行う機能」(JAISTの公式発表)が導入された端末を誤って使用。本来この端末で扱うべきではない個人情報を含む資料ファイルを誤って学内のシステムからダウンロードしたところ、当該の機能が作動し、ファイルが自動的に外部サイトにアップロードされてしまった。”今回問題になった機能は”「VirusTotal(ウイルストータル)」とそのWebブラウザー用プラグイン「VT4Browsers」”のようです。

VirusTotalの仕組みとして、アップされたファイルをセキュリティベンダー等が各自で調査して、結果をアップする、というものなので、機密情報が掲載されたファイルはアップを避けるべき、というのが鉄則です。今回は、自動でアップされてしまう機能のようですので、コントロールを考えずにとりあえず導入してしまい、失敗したということではないかと思います。

 

Insurer CNA Disconnects Systems After 'Cybersecurity Attack'

'Black Kingdom' Ransomware Hits Unpatched Exchange Servers

Insurance Giant CNA Hit with Novel Ransomware Attack | Threatpost

 

 

【攻撃の傾向・手法、攻撃組織の動向】

REvil Ransomware Gang Introduces New Malware Features which can Reboot Infected Devices - E Hacking News - Latest Hacker News and IT Security News

→"AstraZeneca "はランサムウェアのサンプル自体をセーフモードで実行するために使用され、"Franceisshit "はセーフモードでコマンドを実行し、次回の再起動後にPCを通常モードで実行させるために使用されます」とMalwareHunterのチームはツイートしています。攻撃者がWindowsのセーフモードでファイルを暗号化することができるため、ランキングソフトが特定のセキュリティ機器による検出を回避するのに役立つからである可能性が高い。

 

FBI Issues Alert on Mamba Ransomware - BankInfoSecurity

→Mambaは外に公開されている安全でないRDPやVPNなどアクセスポイントから侵入し、特権を取られた後に、感染させるパターンが多いとのこと。

 

Mamba Ransomware Leverages DiskCryptor for Encryption, FBI Warns | SecurityWeek.Com

Hades Ransomware Attacks US Big Game - E Hacking News - Latest Hacker News and IT Security News

→Hadesの手口は、基本的には他のランサムウェアと同じで、ネットワーク内を探索し、ファイルを暗号化する。暗号化の拡張子は、ケースによって異なるようです。また、身代金要求文は「REvil」との類似性があるようですが、関連の有無は不明のようです。

 

脆弱性情報】

Black code: Two critical vulnerabilities found in Intel processors - E Hacking News - Latest Hacker News and IT Security News

Apple Patches iOS Zero-Day

iOSの14.4.2と12.5.2配信 「悪用された可能性のあるWebKitの重要なセキュリティアップデート」 - ITmedia Mobile

クロスサイトスクリプティング脆弱性に対応

 

【技術関連(お勉強)】

【注意喚起】AzureADの設定適切ですか?意図しない情報公開について。 - Qiita

 

【その他】

Microsoft offers rewards for security bugs in Microsoft Teams - Help Net Security

Microsoft社が、teamsのバグバウンティプログラムを開始するようです。M365における中核アプリと言える位置づけであり、社内外での様々なコミュニケーションの場面で使われることを想定していることから、その分セキュリティにも力を入れていく考えの現れなのでしょう。

Average ransomware payouts shoot up 171% to over $300,000

→パロアルトネットワークの調査によると、「2020年のランサムウェア攻撃後の平均支払い額は、2019年の11万5123ドルに比べて171%増の31万2493ドルに急増」したそうです。
また、「2020年に要求された身代金の最高額(3,000万ドル)は、2015年から2019年の期間を通して見られた最高額(1,500万ドル)の2倍に達した」ようです。

ビジネスメール詐欺の被害額など高額--FBIの2020年インターネット犯罪レポート - ZDNet Japan

→こちらはFBIでのサイバー犯罪に関する調査結果。ランサムに限らず、サイバー犯罪は増加傾向。一番多い手口はフィッシングのようで、20年度は19年度の約2倍の件数であったとのこと。

 ・不足するサイバースキルのギャップをどう埋めるか - Fox on Security

英国の調査では、3分の1(33%)は、侵入テスト、フォレンジック分析、セキュリティアーキテクチャなど、より高度なスキルのギャップを報告しましたが、同様の数(32%)は、インシデント対応にギャップがあり、機能をアウトソーシングしていません。

LINEの個人情報問題を読み解く。ファーウェイ制裁との共通点も(佐野正弘) - Engadget 日本版

→そもそもの問題は、個人情報の海外移転について、適切にユーザーに開示していなかった、という点だと認識しています。が、最初から個人情報を海外で保管・管理すること事態を問題視する論調が強いなと感じています。これは、中国の国家情報法(本当に適用されるのか不明なのが一層不安にさせるのだと思いますが)の観点から、避けるべし、ということなのでしょう。
→この辺りは、明確な法令違反ではないと思いますので、国家が戦略的に保護してすべきかなとも思います。。

→LINEを使う事業者の反応の例「当社がLINE上で提供するサービスの提供停止について | トレンドマイクロ

消費者操る「ダークパターン」 国内サイト6割該当: 日本経済新聞

→某通信事業者でスマホを購入する際もこのパターンでした。。

 

【一言】

 ランサムファミリーがまた増えてきた。。