【インシデント事例】

○JBSがランサムウェアに感染した件

 ・グローバルサプライチェーンを狙うランサム攻撃 - Fox on Security

・US: Russian threat actors likely behind JBS ransomware attack

→バックアップまでは侵害されず、復旧は可能なようです。6月3日から通常操業を再開？

 

○富士フィルムがランサムウェアに感染した件

・富士フイルムへのランサム攻撃 - Fox on Security

・FUJIFILM shuts down network after suspected ransomware attack

・Network Intrusion, Suspected Ransomware Attack at Fujifilm

→富士フィルムがランサムウェアに感染する起点となったと思われるQbot、昨年８月頃からEmotetによって感染する事例が増え、Qbotもランサムサムウェア感染につなげる機能を持ち始めたようで、警戒レベルが上がっているようだ。

→また、Qbotの特徴として、永続化により見つかりにくいような工夫もしているようなので、知らないうち感染→潜伏→ある日突然ランサムウェア感染、というシナリオも十分成り立つような。

・参考

’20/08最多検出マルウェア – トロイの木馬「Qbot」が急上昇、Emotetからの二次感染にも要注意｜’20/08最多検出マルウェア – トロイの木馬「Qbot」が急上昇、Emotetからの二次感染にも要注意｜株式会社宝情報 - セキュリティ製品の卸売り商社

Qbotが危険な新機能を獲得 - 8月マルウェアランキング | TECH+

Qbot steals your email threads again to infect other victims

分析レポート：Emotetの裏で動くバンキングマルウェア「Zloader」に注意 | セキュリティ対策のラック

 

【攻撃の傾向・手法、攻撃組織の動向】

 ・サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説 | トレンドマイクロ セキュリティブログ

・新種ランサムウェア解説：Seth-Locker、Babuk Locker、Maoloa、TeslaCrypt、CobraLocker | トレンドマイクロ セキュリティブログ

・DNS Attacks on the Rise, at a Cost of $1 Million Each - Infosecurity Magazine

・Researchers Uncover Hacking Operations Targeting Government Entities in South Korea

 

【脆弱性情報】

・メモリに繰り返しアクセスするだけで権限のないメモリ内容を変更可能、Googleが攻撃手法を発見：DRAMの微細化で脅威が増すサイバー攻撃 - ＠IT

　

【当局関連の動き、法規則等】

 ・アメリカがランサムウェア攻撃への対応の優先度をテロと同等にまで引き上げる - GIGAZINE

・Exclusive: U.S. to give ransomware hacks similar priority as terrorism | Reuters

 

【技術関連（お勉強）】

・企業や組織のスマホ利用ガイドライン、「対策チェックシートII」公開｜JSSEC | トレンドマイクロ is702

　

【その他】

 ・国家が容認、保護するハッカー集団

→自国をターゲットにしない攻撃グループについても、国家が保護しているハッカー集団の可能性が高い？同国当局から逮捕されていないのであれば、確かにそうとも言えそうだ。

・CISA Releases Best Practices for Mapping to MITRE ATT&CK® | CISA

・How to perform a website security check- 6 tools to check website security

○CSAのクラウドで発生したインシデントの対応マニュアル

・クラウドで発生したインシデントに対応するためには【海外セキュリティ】 - INTERNET Watch

・クラウドの障害対応・フォレンジック-CSAのクラウド・インシデント対応枠組 - IT Research Art

→オンプレとクラウドでのインシデント対応の違いとしては「ガバナンス」、「責任の共有」、「可視化」、「サービスの多様性」が挙げられるとのこと。「責任の共有」については、プロバイダと利用者で責任を追う範囲が異なるため、それを意識した態勢・ルール作りが必要となること、「可視化」は、デフォルトのまま使うと利用するクラウドの状況が何も見えないため、監視や万一の場合のログ調査に関する要件を決めておき、可視化しておく必要がある。

→その上で、実施すべき観点としては「準備」、「探知及び分析」、「封じ込め、根絶、回復」、「事後処理」の４つ。

 

www.ncsc.gov.uk

→経営層が確認すべき５つの質問に記載されている内容が、よく整理されていて使いやすいかも。

・Cyber-Insurance Fuels Ransomware Payment Surge | Threatpost

→サイバー保険でランサムウェアの身代金までカバーしてしまうと、犯罪組織への支払いを助長するのでは、という考え方。

・ランサムウェアへの身代金支払いの是非と具体策 - ZDNet Japan

 

【一言】

ほぼランサム関連のテーマ