ぼくの備忘録

セキュリティに関するニュース等で気になったものを残していきます。毎日更新が理想ですが、更新に時間を要することも有ります。。

2021/7/10

インシデント事例

○Kaseya社が提供する監視ツールの脆弱性を突いたランサムウェア攻撃により、実行犯の「Revil」がKaseya社に対して、暗号化されたデータの復号鍵を見返りとする脅迫をしている件

Kaseya VSAサプライチェーンランサムウェア攻撃、CISAとFBIが強く対策呼びかけ - ITmedia エンタープライズ

米IT企業への大規模ランサムウェア攻撃、78億円の身代金要求か - ZDNet Japan

→ 自社製品の脆弱性が悪用されたことで、顧客に迷惑をかけている弱みを突いて、お金を要求しているのは、非常に賢いなと思います。Kaseyaにも、色々な圧力がかかっているに違いないですね。

REvil victims are refusing to pay after flawed Kaseya ransomware attack

 →ただし、上記の記事を読むと、攻撃実行犯の攻撃手法にお粗末な点が有り、バックアップが削除されていなかったり、情報の漏洩がなかったケースが多く、ほとんどの企業が、身代金を支払わずとも、復旧可能だったようです。

 

○MorganStanleyから情報流出が発生した件

Morgan Stanley Discloses Data Breach

Morgan Stanley discloses data breach after the hack of a third-party vendorSecurity Affairs

→委託先からの漏洩が発覚したようです。

 

○CNAへのランサムウェア攻撃により、情報漏えいもあったことが発覚した件。

Insurance giant CNA reports data breach after ransomware attack

Insurance firm CNA discloses data breach after ransomware attackSecurity Affairs

→盗まれた契約者情報がダークウェブやハッキングフォーラムで表面化したり、交換されたり、売りに出されたりした証拠は見つからなかったとしています。

 

PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 | スラド IT

 

【攻撃の傾向・手法、攻撃組織の動向】

○アンチウィルスをすり抜ける新たな攻撃手法

Hackers disabling Macro security warnings in new malspam campaign

Hackers Uses New Technique to Disable Macro Security

>McAfee Labsの専門家の報告によると、これらのキャンペーンでは、悪意のない文書を使用してセキュリティ警告を無効にしてから、標的となるコンピュータ上でマクロコードを実行するという新しい手法が使われています。つまり、ハッカーは、スパム添付ファイルのマクロに悪意のあるコードが含まれていない状態で、悪意のあるDLL/ZLoaderをダウンロード/実行していることになります。そこで、マクロのセキュリティ警告を無効にするための新たな手口が考案されました。

→wordファイルを開くと、「マクロの利用を許可する」指示がファイル上に記載されており、これに従って許可すると、wordを開くと同時にC2サーバからダウンロードされたエクセルファイルにもそのポリシーが適用され、そのエクセルファイルに記載のマクロが実行されてしまい、マルウェアがダウンロードされる・・・、という仕組みのようです。

→ダウンロードされてくるのはZloaderのようで、日本でも被害が確認されているよう。

 

○セキュリティエンジニアをターゲットとした標的型攻撃が増えているらしい。

Lazarus gang targets engineers with job offers using poisoned emails

 

ランサムウェア感染時の身代金支払い判断について

proofpoint Blog 第2回 「身代金を支払うのは正解か? ~ ランサムウェア支払い結果 7 か国比較から考えるサイバー犯罪エコシステムへの対処」 | ScanNetSecurity

→身代金を支払って、復号できなかったのは2%とのこと。予想外に低い数値だが、一方で追加で身代金を要求されたケースも多いとのこと。

※参考:2020 年 State of the Phish レポート | Proofpoint JP

ランサムウェア サバイバルガイド2021 | Proofpoint JP

 

○ロシアが、米国の当局や民間組織のクラウドシステムに対して、総当たり攻撃を仕掛けているらしい。

Kubernetes Used in Brute-Force Attacks Tied to Russia’s APT28 | Threatpost

→組織NWへの侵入が目的らしいけど、手法が検知されやすく、リスキーな気がする。。

 

ランサムウエアは収益重視型に、マカフィーが1~3月のセキュリティー脅威動向を発表 | 日経クロステック(xTECH)

CISA Analysis Reveals Successful Attack Techniques of FY 2020

MAR-10337802-1.v1: DarkSide Ransomware | CISA

Latest Ransomware Developed to Avoid Russian Systems

 ・TrickBot Spruces Up Its Banking Trojan Module | Threatpost

 

脆弱性情報】

Microsoft Urges Azure Users to Update PowerShell to Patch RCE Flaw

 

【当局関連の動き、法規則等】

○ゼロトラストに関する米国の動向

世界を安全に保つ上でゼロトラストが果たす重要な役割とは――Microsoftが解説:大統領命令の意義も紹介 - @IT

→ゼロトラスト実現に必要な3要素

  • どのリソースに対してもアクセスが可能になる前に、認証(authentication)と認可(authorization)が動的に実行されなければならない
  • アクセス要求者の信頼性が評価された後に、アクセスを許可する。ただし、タスクの完了に最小限必要な権限でアクセスが許可されなければならない
  • 攻撃者が企業ネットワーク上に存在するという想定の下で(ソフトウェア、ハードウェア)資産(asset)を稼働しなければならない

 

【技術関連(お勉強)】

 

【そのほか】

Appleの新プライバシー保護機能「プライベートリレー」はリスクベース認証を無力化させる - GIGAZINE

Firefoxが通信暗号化システム「DNS over HTTPS」の対象地域拡大を発表、一体何が変わるのか? - GIGAZINE

顔認証システムをだます詐欺が急増、詐欺師はどうやって突破しているのか? - GIGAZINE

 ・グレーハットハッカーを繋ぎ止められるか - Fox on Security

金融機関のゼロトラストへの取り組み まだ少数 | ScanNetSecurity

マイクロソフト、定額制の仮想デスクトップサービス「Cloud PC」を来週発表か - ZDNet Japan

AWSで使わないリージョンへの対策まとめ | DevelopersIO