SecNews Weekly Report 2020/4/4th
こんにちわ、モグ(@moneymog)です。
今週は偽Zoomアプリや給付金10万円を悪用する詐欺等が話題に上がりました。
また、海外でもコロナ関連の攻撃が増加が続いており、その動向を受け経済産業省が産業界に対して注意喚起を発信しています。
その他、iPhoneのメールアプリの脆弱性を狙うゼロクリック攻撃やニンテンドーアカウントを狙った不正ログインが報告されています。
目次
- 注目記事
- コロナ、Web会議、テレワーク
- 事案
- 攻撃
- 脆弱性
- サービス・製品
- 防御・ツール
- キャリア・学習
- 経営・マネジメント
- 教育・世代
- その他
注目記事
iPhoneのメールアプリの脆弱性を狙うゼロクリック攻撃についてまとめてみた
(参考)That no-click iOS 0-day reported to be under exploit doesn’t exist, Apple says
iPhoneのメールアプリにゼロデイの脆弱性があり、ゼロクリック(メールを読み込んだだけで成功する)攻撃が行われていると報告がありました。ただし、Apple社は悪用されたという証拠は全く見つかっていないと否定。ニンテンドーアカウントを狙った不正ログインについてまとめてみた
(公式)「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い
ニンテンドーネットワークID(NNID)に対しなりすましログインと思われる事象が発生し、NNID経由で一部ニンテンドーアカウントに不正ログインされる事象が発生したとの報告がありました。任天堂社は二段階認証を推奨。
コロナ、Web会議、テレワーク
コロナ関連の攻撃、詐欺
国内では、偽Zoomアプリや給付金10万円を悪用する詐欺等が報告されています。また、海外でもコロナ関連の攻撃が引き続き多数報告されています。
COVID-19 – Neo-Nazis spread a list of credentials for Gates Foundation, NIH, and WHO employees
ネオナチグループによりゲイツ財団、NIH、WHO等の従業員約25,000のメール認証情報が公開Coronavirus-themed campaign targets energy sector with PoetRAT
アゼルバイジャン政府や電力会社を標的としたコロナ関連の攻撃State-sponsored hackers are using COVID-19 lures, Google warns
国営ハッカーがコロナテーマの攻撃を実施しているという報告Cyberattack reports quadrupled during Coronavirus outbreak, FBI warns
コロナパンテミック以降、サイバー犯罪の報告数が急増とFBIが報告
コロナ関連のセキュリティ対策
世界的なコロナ関連の攻撃増加を受けて、経済産業省が産業界に注意喚起を実施しました。また、Zoomはセキュリティ強化したバージョンを公開しています。
社会動向
シャープがマスクを販売したところ、アクセス負荷で通販サイトが停止し、同データセンター上のIoT機器のサーバにも影響がでました。また、テレワークの推進も3割に届かないといった状況のようです。
Tor Project cut a third of its staff due to the Coronavirus
コロナ情勢の経済的影響で、Torプロジェクトスタッフを1/3カット
事案
求人サイト「リジョブ」で不正アクセスにより、テストサーバ上の過去ユーザの個人情報流出が報告されています。
Popular Webkinz World online children’s game hacked, 23M credentials leaked
カナダの子供向けオンラインゲーム「Webkinz World」から2,300万件の認証情報が流出
攻撃
国内ネットバンキング利用者を狙う「Overtrap作戦」や海外で石油・ガス産業を対象としたスピアフィッシング攻撃等が報告されています。石油・ガス産業に対する攻撃は、石油需要低下での標的国の対処方針に興味を持ったと推測されています。
Spearphishing attacks hit the oil and gas industry sector
石油・ガス産業を対象としたスピアフィッシング攻撃267 Million Facebook identities available for 500 euros on the dark web
2億6,700万以上のFacebookプロフィールがダークウェブ上で500ユーロで販売Law enforcement and Microsoft join forces to dismantle botnet using LED Light Control Console
台湾で犯罪者がLEDライトコントロールコンソールを悪用China-linked Winnti APT targets South Korean Gaming firm
中国関連のWinnti APTが勧告のゲーム会社Gravityを標的にHackers Trick 3 British Private Equity Firms Into Sending Them $1.3 Million
類似ドメインを使ったMITM(中間者)攻撃によるBEC事例
脆弱性
ChromeやMicrosoft Officeなどに脆弱性が報告されています。また、IBM Data Risk Manager(IDRM)の脆弱性をIBMが対応拒否の報告がされています。
サービス・製品
サイバートラスト社から全工程を最短7営業日で提供するリモートワーク向けセキュリティ診断が解しされています。
防御・ツール
グーグルの利用履歴からプライバシーを丸裸にされないためのプライバシーコントロール機能の解説が投稿されています。また、JPCERT/CCからLogonTracer v1.4がリリースされています。
キャリア・学習
パーソルテクノロジースタッフ社から企業と副業エンジニアのマッチングサービスを提供が開始されています。副業先を探しにくいセキュリティ技術者も活用可能かもしれません。
経営・マネジメント
プロフェッショナルチームのマネジメント、効率的なアサインのための検討事項の考察が投稿されています。
教育・世代
日本マイクロソフト社からオンライン授業をするための学習コース資料が公開されています。
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/4/3rd
こんにちわ、モグ(@moneymog)です。 今週は50万人分以上のZoomアカウントや0dayエクスプロイトが販売された情報が話題に上がりました。 また、複数の国の政府系で使用禁止の流れが続いています。Zoom社はそれに対して、バグ報奨金プログラム強化等の対応を示しています。 その他、米国が北朝鮮のハッカー情報に最大500万ドルの報奨金をかけたり、Classi(クラッシー)で不正アクセス事案が報告されています。
目次
- 注目記事
- Zoom
- コロナ
- 事案
- 攻撃
- 脆弱性
- サービス・製品
- 教育・世代
- その他
注目記事
U.S. Offers Rewards up to $5 Million for Information on North Korean Hackers
米国、北朝鮮のハッカー情報に最大500万ドルの報奨金を提供した。米国務省、財務省、国土安全保障省、FBIが共同勧告し、北朝鮮、特にHIDDEN COBRA APTを懸念しており、「サイバー空間における北朝鮮の不正な活動に関する情報」を求めている国内高校の半数が利用するClassiの不正アクセスについてまとめてみた
(公式)サービス一時停止の調査報告とパスワード変更のお願い
全国の高校生3人に1人が利用しているシステムで、4/5(日)14:05~16:19に不正アクセスを受け、122万人のIDなどが閲覧された可能性がある。
Zoom
Zoomの問題と使用禁止
50万人分以上のZoomアカウントや0dayエクスプロイトが販売された情報が報告されています。またアメリカ上院、ドイツ政府やインド政府も使用禁止の方針を示しています。また、他人になりすませるディープフェイクツール「Avatarify」も楽しむ目的で開発されていますが、犯罪への悪用が懸念されます。
50万人分以上の「Zoom」アカウントが闇市場で売買されたと判明、価格は1アカウント1円未満で無料配布されるケースも
ハッカー向けフォーラムで50万以上のZoomアカウントが販売A zero-day exploit for Zoom Windows RCE offered for $500,000
Zoom 0dayエクスプロイトが50万ドルで販売
Zoomの対応
Zoom社は問題に対して、バグ報奨金プログラム強化等の対応を示しすと共に、経由リージョン選択機能の提供を開始しています。
コロナ
コロナ関連の攻撃、詐欺
Emotetと関連があるTrickbotが、コロナテーマで活発に活動しているという報告があります。その他、コロナ関連の攻撃が引き続き継続しています。
Trickbot is the most prolific malware operation using COVID-19 themed lures
TrickBotがコロナテーマの多種多様な攻撃を実施Coronavirus-themed attack: Experts uncovered flight refund scam
フライトの払い戻しを語る詐欺
コロナ関連のセキュリティ対策
NISCからテレワーク向けガイドラインが公開され、各組織の対策のベースラインになりそうな文章となっています。
社会動向
広告系の支出が抑えられ、アフィリエイトの紹介料率カットやGoogle社の採用抑制等が報告されています。また、熊本副知事がデマ情報を拡散したという報告がありました。
事案
楽天モバイル「Rakuten Link」のSMS認証の設計問題やゲーム条例パブコメの同一IPアドレス記載等が話題になりました。
攻撃
コロナ関連の高速増加も関連すると思われる、フィッシングキット市場の需要の高まりが報告されています。
How much is the phish? Underground market of phishing kits is booming – Group-IB
フィッシングキット市場の需要高まるSodinokibi Ransomware crew chooses Monero for ransom payments
Sodinokibiランサムウェアがビットコインの代わりに匿名性の高いモネロでの要求に移行
防御
オランダ当局がFBI等と協力して15の DDoS攻撃サービスのテイクダウンが報告されています。
The Dutch police took down 15 DDoS-for-hire services in a week
オランダ当局がFBI等と協力して15の DDoS攻撃サービスを停止
脆弱性
Windows Updateで、既に悪用されている3件(Windows Adobe Type Manager2件、Windowsカーネル1件)のゼロデイを含む修正が実施されました。その他、ChromeやOracle製品(Java等)の脆弱性が報告されています。
サービス・製品
セキュアワークス社からリモートアクセス脆弱性アセスメントのサービスや、富士通ネットワークソリューションズ社(FNETS)からUSBやCD等の持込データのスキャン機器を販売されました。
教育・世代
中高年(50歳以上)のSNS関連の相談がここ9年で30倍以上増加しているという報告がありました。
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。
SecNews Weekly Report 2020/4/2nd
こんにちわ、モグ(@moneymog)です。
今週はWeb会議ツールのZoomの問題に起因して、政府や会社等で利用禁止する動きがみられました。また、リモートワークへのセキュリティ考察の記事が多く投稿されたように感じます。
その他、オーストラリア政府のコロナ関連サイバー犯罪に対して手段を選ばないという発表やヤフー社のリモート「Micro Hardening」演習などが報告されました。
目次
- 注目記事
- Web会議・在宅勤務
- コロナ
- 事案
- 攻撃
- 脆弱性
- サービス・製品
- キャリア・経営
- 教育・世代
注目記事
Australian Signals Directorate (ASD) is hacking crooks behind Coronavirus-themed attacks
オーストラリア政府がコロナ関連のサイバー犯罪を取り締まるために、ハックバックを含むあらゆる手段の実施を発表
(参考)サイバー攻撃 防衛相が反撃事例提示 原発メルトダウン、航空機の墜落、ダム放流新型コロナウイルスに打ち克つリモート環境でのセキュリティ対応
ヤフー社のリモート「Micro Hardening」演習の報告。通常、一か所に集合して行いますが、これによりモートでのインシデント対応の課題が見えてきそうでよいですね
Web会議・在宅勤務
Zoomの問題と対応
Zoomについて、中国データセンター経由やMac、Linux用のパッケージのメンテナンスが不十分という情報が見られました。また、株主から提訴されるという情報もあり、株価高騰から提訴までの事例から、事業チャンスを逃さないためにもセキュリティは大事というのが感じ取れます。
Zoom sued by shareholder over security issues
Zoomが株主からセキュリティの問題で訴えられたという報告
Zoomの利用禁止
米国ニューヨーク市、台湾政府、ドイツ外務省、Google社がZoomを利用禁止しているとのこと。
German foreign ministry limits the use of Zoom over security concerns
ドイツ外務省も、Zoomの利用を制限しているという報告
Web会議テーマ等の攻撃
Zoom以外にもWebExを狙った攻撃も報告されています。
Fake Cisco ‘Critical Update’ used in phishing campaign to steal WebEx credentials
WebExを狙ったフィッシングキャンペーンの報告RSA、パンデミックに便乗するオンライン詐欺とその被害に遭わないための心得
パンデミックに便乗するオンライン詐欺とその対策
Web会議サービス
Zoom以外にもWeb会議サービスはいろいろあるので、要件に応じて選択するのがよさそうですね。個人的にはTeamsがよさそうなイメージです。
手引きおよびテレワークセキュリティ考察
Zoomの活用手引きやテレワークを安全に行うための考察が投稿されています。
コロナ
コロナ関係の脅威も継続しています。また、ツイッターで話題になった「おじさん構文」のコピペ遊びも記事になっていますね。また、マネーフォワード社から助成金検索サイトが提供されました。
「新型コロナウイルス(COVID-19)」便乗脅威の最新情報
コロナ関係の便乗脅威の調査報告「コロナこわいけどぉ、安倍の声聞いたら元気出た」――”工作疑惑""もささやかれた謎の大量ツイート、「最初の投稿者」に真相を聞いた
謎の大量ツイートの調査記事、騒動の真相は「仲間うちでのコピペ遊び」コロナウイルス感染症(COVID-19) 支援情報まとめ
コロナウイルス感染症に関連して整備された補助金・助成金等の支援制度から、利用可能な制度を探すことができる検索サイト
事案
国内では、Amebaの広告配信システムやソニーミュージックの公式サイトの改ざんなどが報告されました。世界的には、BGPハイジャックやランサムに多額の金額を支払ったという報告がされています。
Popular OGUsers hacking forum breached for the second time in a year
有名なハッキングフォーラム「OGUsers」が二度目のハッキング被害Russian telco Rostelecom hijacks traffic for IT giants, including Google, Amazon and Facebook
ロシアのRostelecomに関連するBGPハイジャック事案Travelex paid $2.3 Million ransom to restore after a ransomware attack
外貨両替大手Travelex社がランサムの復号のために230万ドルを支払いKey Ring digital wallet exposes data of 14 Million users in data leak
Key Ringの1400万のユーザ情報を誤って公開
攻撃
北朝鮮APTグループの中国政府機関を狙ったキャンペーンを実施中との報告もされており、過去に日本を攻撃したこともあるということなので、注意が必要です。 また、アメックスやLINEに関する不安を煽るフィッシングメールの攻撃が報告されています。
DarkHotel APT uses VPN zero-day in attacks on Chinese government agencies
北朝鮮APTグループの中国政府機関を狙ったキャンペーン
(参考)IEの脆弱性 (CVE-2020-0674) とFirefoxの脆弱性 (CVE-2019-17026) を悪用する攻撃PowerPoint ‘Weakness’ Opens Door to Malicious Mouse-Over Attack
パワポのマウスオーバーで感染を誘発する手法ファイア・アイ、年次セキュリティレポート日本版を公開
幅広いシステムや環境への攻撃、CyberCrime as a Service、クラウドへの攻撃、内部脅威が増加。検知までの日数が短縮。Hackers target Docker servers to deploy the new Kinsing cryptocurrency miner
DockerのパスワードなしのAPIポートを狙った攻撃キャンペーンDark Nexus: A New Emerging IoT Botnet Malware Spotted in the Wild
MiraiやQbotと類似性がある新たなIoTボット「Dark Nexus」の動向
脆弱性
FireFoxとChromeの脆弱性が報告されています。また、トレンドマイクロ社製品のDLL読み込み周りの脆弱性も複数報告されています。
Firefox 74.0.1 addresses two zero-days exploited in the wild
Firefox version 74.0.1のリリース情報Firefoxに重大な脆弱性、アップデートを
修正されたバージョンはFirefox 75、Firefox ESR 68.7Google Chromeに重大な脆弱性、アップデートを
修正されたバージョンはChrome 81.0.4044.92 for Windows/Mac/LinuxJVNVU#99911229:トレンドマイクロ株式会社製の複数製品のインストーラにおける DLL 読み込みに関する脆弱性
サービス・製品
国内パブリッククラウド市場の調査報告があり、3位は富士通が食い込んでしました。また、IPAから「yamory」「AX-NV」の検証レポートが公開されました。
セキュリティ製品の有効性検証の試行について
「yamory」「AX-NV」の検証レポートを掲載[神ツール]セキュリティインシデントの調査が捗るAmazon DetectiveがGAしたのでメリットとオススメの使い方を紹介します
AWSリソースからログを自動収集、分析し、グラフにまとめる機能を保有
キャリア・経営
CISOの役割や待遇等に関する記事と35歳以上の81%が官公庁への転職に興味があるという報告がありました。
最高情報セキュリティ責任者(CISO)とは--今知っておきたい全てのこと
CISOの役割や待遇等についての解説ミドル2500人に聞く「民官転職」意識調査『ミドルの転職』ユーザーアンケート
35歳以上の2,634名が対象、81%が官公庁への転職に興味があり、理由の第1位は社会貢献
教育・世代
うそを見抜くポイントの記事や子供のSNSに関する調査等の報告がありました。
根拠のないうわさや広告…健康情報、見抜くためのポイント5つ
基本的なことですが、実施できている人はそんなに多くない印象です保護者の約4割がSNSの年齢制限を認知せず|東京都
SNSを通じて、知らない人とやりとり経験(保護者解答)、小学校低学年:30.3%、小学校高学年:26.8%世代間ギャップを超えたセキュリティのあり方
世代の情報に対する価値観は、50代:情報を持つこと、40代:情報を共有すること、20、30代:情報のありかと取得方法
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。
SecNews Weekly Report 2020/4/1st
こんにちわ、モグ(@moneymog)です。
先週に続き今週もコロナ関係の攻撃が継続しております。また、テレワーク増加により、
ユーザが急増しているZoom関連では脆弱性等のセキュリティ上の課題が複数報告されております。
また、IPAからのiPhoneの不審なカレンダー通知の注意喚起や標的型攻撃グループ「Gamaredon」の日本への攻撃等の報告がされております。
目次
- 注目記事
- Zoom
- コロナ
- 事案
- 攻撃
- 防御
- 脆弱性
- サービス・製品
- その他
注目記事
iPhoneに突然表示される不審なカレンダー通知に注意!
iCloudカレンダーの共有機能等を悪用したと考えられる攻撃で、通知内容に不審サイトのURL記載され、タップしたら被害にあう可能性があるとのこと標的型攻撃グループ「Gamaredon」による日本への攻撃を初観測
テンプレートインジェクションという手法を用いてるとのこと
Zoom
Web会議サービス「Zoom」の脆弱性やセキュリティ上の課題が複数報告されており、CEOが謝罪し、対策を約束しました。 また、悪用のためと思われるZoom関係のドメイン取得の増加やアンドロイド版「Zoom」の偽Appが報告されております。
Windows版Zoomにユーザー名やパスワード漏洩の脆弱性。メッセージに書かれた外部アドレスに注意
Web会議サービス「Zoom」の脆弱性の報告ZoomのCEOが一連の問題について謝罪 修正と透明性を約束
Zoomの一連の問題についての謝罪の報告Zoom爆撃と予防策についてまとめてみた
Zoomを狙った荒らし攻撃についてのまとめ記事COVID-19: Hackers Begin Exploiting Zoom's Overnight Success to Spread Malware
悪用のためと思われるzoom関連ドメイン取得の急増報告Crooks use tainted Zoom apps to target users at home due to CoronavirusSecurity Affairs
アンドロイド版「Zoom」の偽Appの報告
コロナ
先週から実施されている、LINE調査を装う詐欺や在宅勤務者を標的とした詐欺の報告がされており、警視庁からもテレワーク向け注意喚起が出ております。 また、コロナテーマの攻撃が引き続き報告されています。
LINE調査装う詐欺注意 新型コロナで厚労省呼び掛け
新型コロナのLINE調査装って、クレジットカード番号を聞き出そうとする詐欺情報在宅勤務で直面する消費者を標的とした詐欺
在宅勤務者と標的とした詐欺等の報告Your colleague was infected with Coronavirus,this is the latest phishing lureSecurity Affairs
コロナに感染した同僚や家族等との濃厚接触を通知するフィッシングメールの報告Zeus Sphinx spam campaign attempt to exploit Coronavirus outbreakSecurity Affairs
コロナテーマに乗っかり、Zeus Sphinxマルウェア亜種を用いたキャンペーンが行われているという報告New COVID19 wiper overwrites MBR making computers unusableSecurity Affairs
PCを使用不能にするコロナテーマのマルウェアの報告テレワーク勤務のサイバーセキュリティ対策!
警視庁のテレワーク勤務者向けのセキュリティ注意喚起Important tips for safe online shopping post COVID-19 - Malwarebytes Labs
コロナ関係でオンラインショッピングをするときの注意点のまとめ記事AppTrana Offers Protection to Online Businesses During Coronavirus Outbreak
Indusface社のWeb脆弱性スキャナやWAF等のSaaSサービスを30日間無料で提供するという報告
事案
先週騒ぎになっていた、「Qiita」のユーザ情報取り扱いの不備について、説明とお詫びが出ていました。 また、ホテルマリオネットからまた個人情報の漏洩が報告されています(前回は2018年11月)。 加えて、海外で大規模な情報漏洩が報告されており、GCP上にアメリカ人2億人以上の機微な個人情報が公開されていたそうです。
ご報告とお詫び「Qiita」「Qiita Jobs」におけるユーザー情報の取り扱い不備について
「Qiita」の「読んだ記事」機能関連の報告とお詫びMarriott discloses data breach impacting up to 5.2 Million guestsSecurity Affairs
ホテルマリオネットで、約520万件の主億泊客の個人情報が漏洩したという報告Open Cloud Database Exposes 200 Million Americans
GCP上にアメリカ人2億人以上の個人情報の漏洩報告
(一次)Report: unidentified database exposes 200 million AmericansVoter information for 4,934,863 Georgians leaked onlineSecurity Affairs
ハッカーフォーラムで、約500万人分の有権者グルジア人の個人情報が公開されてしまったという報告42 million records of Iranian users of unofficial Telegram fork leaked onlineSecurity Affairs
イランで、チャットツール「テレグラム」の非公式フォークのユーザーID等4,200万件の個人情報が公開されていたという報告
攻撃
IIJ社からTrojan.MSOffice.Sagentで検出していた、Emotet関係の検出が2/8以降に大幅減少したと報告がありました。 また、JPCERT/CCからIE (CVE-2020-0674) とFirefox (CVE-2019-17026) の脆弱性を悪用する攻撃の分析報告がありました。
wizSafe Security Signal 2020年2月 観測レポート
IIJ社のマンスリー観測レポートで、Trojan.MSOffice.Sagentで検出していた、Emotet関係の検出が2/8以降に大幅減少したと報告IEの脆弱性 (CVE-2020-0674) とFirefoxの脆弱性 (CVE-2019-17026) を悪用する攻撃
JPCERT/CCからIEとFirefoxの脆弱性を悪用する攻撃の解説Dharma ransomware source code now surfacing on public hacking forumsSecurity Affairs
Dharmaランサムのソースコードが、ロシア語のハッキングフォーラムで販売されているという報告FBI warns of nation-state actors using the Kwampirs malwareSecurity Affairs
国営ハッカーによるマルウェア「Kwampirs」を使った攻撃のFBIの注意喚起WARNING: Hackers Install Secret Backdoor on Thousands of Microsoft SQL Servers
MS-SQLサーバを狙った「Vollgar」キャンペーンの報告100K+ WordPress sites using the Contact Form 7 Datepicker plugin are exposed to hackSecurity Affairs
WordPressのプラグインの脆弱性をついた攻撃被害の報告差し込むとマルウェア感染するUSBデバイスが届いた事例についてまとめてみた
BadUSB送付攻撃の事案まとめNew Raccoon Stealer uses Google Cloud Services to evade detectionSecurity Affairs
Racoonマルウェア(別名:Legion、Mohazo、Racealer)の分析報告LimeRAT malware delivered using 8-year-old VelvetSweatshop trickSecurity Affairs
Excelのパスワード仕様を悪用して、LimeRATを広げようとするキャンペーンの報告犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
2019年の攻撃対象脆弱性ランキングTOP10
防御
ノートンライフロック社から個人情報漏えいの意識と行動調査の報告されており、被害者数が去年の約2倍で、75%の人が心配しているが、81%の人が対処方法がわからないとのことでした。
- 危機感はあるが行動に移せていない――情報漏えいが不安でも対策できていない日本の消費者
ノートンライフロック社による個人情報漏えいの意識と行動調査の報告
脆弱性
iPhoneやMacBook等のカメラにアクセスされるSafariの脆弱性の報告があり、悪意のあるサイトへのアクセスで攻撃が成功するとのことでした。 また、Windows Defenderのアップデートのバグ、Microsoft SMBv3 の脆弱性 (CVE-2020-0796) のPoC公開等も報告されていました。
How Just Visiting A Site Could Have Hacked Your iPhone or MacBook Camera
iPhoneやMacBook等のカメラにアクセスされるSafariの脆弱性の報告
(パッチ情報)Safari 13.0.5 のセキュリティコンテンツについてWindows Defenderバグ修正するアップデート「KB4052623」公開、適用には注意
Windows Defenderのアップデートにセキュアブートが有効化されているとシステムが起動しなくなる不具合の報告Experts published PoC exploits for CVE-2020-0796 privilege escalation flaw on WindowsSecurity Affairs
Microsoft SMBv3 の脆弱性 (CVE-2020-0796) のPoCが公開JVNVU#99396686: トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
トヨタ⾃動⾞製 DCU (ディスプレイコントロールユニット) の脆弱性報告A critical flaw in Rank Math WordPress plugin allows hackers to give users Admins privilegesSecurity Affairs
WordPress SEOプラグイン「Rank Math」の特権昇格の脆弱性の報告
サービス・製品
CASBのマネージドサービス、EDR運用代行サービス、IT/OTの脆弱性管理サポートサービスなどが提供予定とのことでした。
TED、「Netskope for IaaS」向けセキュリティ運用・監視サービス
東京エレクトロン デバイス社がNetskope(CASB)のマネージドサービスを提供大塚商会、「らくらくEDR」を1クライアント月額250円で提供
大塚商会のSOCが運用代行するEDRサービスの提供NECネッツエスアイ、SOCと脆弱性管理製品を組み合わせた運用サービス
NESICのIT/OTの脆弱性管理サポートサービスの提供セキュリティサービスを「さくらのクラウド」で提供
さくらインターネットがクラウド型WAFサービス(β版)を提供
その他
Cloudflare運営している無料のDNSリゾルバ「1.1.1.1」以外に、マルウェアをブロックしてくれる「1.1.1.2」、マルウェアとアダルトをブロックしてくれる「1.1.1.3」が紹介されていました。
Introducing 1.1.1.1 for Families
DNS「1.1.1.1」以外の2つのIPアドレスの紹介なぜエンジニアは勝手に育つ環境でなければ成長しないか
エンジニア育成の考え方の解説IPAのインターネット安全教室教材
IPAがインターネット安全教室での指導用教材を公開
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。
SecNews Weekly Report 2020/3/4th
こんにちわ、モグ(@moneymog)です。
先週に続き今週もコロナ関係の記事が多く、悪意のあるスマフォアプリやWordPressプラグイン、エクスプロイトキットの販売などが報告されています。
また、パッチ未提供かつ、影響範囲および影響度が大きいWindowsのAdobe Type Manager ライブラリの脆弱性が報告がされています。
その他、4月施行の改正民法について、あまり対応が進んでいないことが読み取れる実態調査が報告されています。
目次
- 注目記事 : 2件
- コロナ : 8件
- 事案 : 3件
- 攻撃 : 6件
- 防御 : 3件
- 脆弱性 : 4件
- サービス・製品 : 5件
- 学習 : 2件
- キャリア : 1件
- 経営 : 4件
注目記事
【脆弱性】Adobe Type Manager ライブラリ の未修正の脆弱性に関する注意喚起
遠隔から任意コードを実行が可能であり、既に攻撃に悪用されているとのこと。回避策にWindows エクスプローラーのプレビューと詳細ウィンドウの無効と記載ありなので、OSの基礎的な部分で使われているもののようですね。影響が大きそうなので、注視する必要がありそうです。【法律】「ITシステム・サービスの業務委託契約書見直しに関する実態調査報告」について ~民法改正とセキュリティ事故への対応状況~:IPA 独立行政法人 情報処理推進機構
4月施行の改正民法で業務委託請負者の責任が大きく変わる件への対応状況の報告。大企業でも1/3しかしらず、契約書の見直し実施はそのうち半分程度の模様。訴訟事案が大きく知られてから皆さん動くパターンですかね。
コロナ
【攻撃動向】「新型コロナウイルスから守る」と謳う偽のアプリに注意 | マイナビニュース
コロナウイルスから守るために、インストールしたらウイルスにかかりました記事。ウイルスというキーワードで混同する人っているんですかね。
(一次)Fake ""Corona Antivirus"" distributes BlackNET remote administration tool - Malwarebytes Labs | Malwarebytes Labs【攻撃動向】Fake Coronavirus Finder spread Ginp Mobile BankerSecurity Affairs
近くのコロナ感染者を探すアプリを装ったAndroidトロイの木馬Ginpの記事。クレジットカード情報だけ抜かれて、何も教えてくれないらしい。世界的な影響だけあり、次々新たな手法が出てきますね。【攻撃動向】Watch Out: Android Apps in Google Play Store Capitalizing on Coronavirus Outbreak
Google Play Store上のコロナテーマ関連の悪意のあるアプリの分析報告。コロナと全然関係なさそうなゲームなのに、サブタイトルに「コロナのための手洗い」みたいな内容を追加している模様。小手先ウェブマーケティングですね。【攻撃動向】ダークWeb、エクスプロイトキットを割引コード「COVID19」で値引き販売 | マイナビニュース
「コロナ蔓延がサイバー攻撃のチャンス!」とうたって、若手攻撃者に攻撃ツールの購入を促すキャンペーン。ブラックなマーケティングですね。
(一次)COVID-19 Impact: As Retailers Close their Doors, Hackers Open for Business - Check Point Software【攻撃動向】WordPress WP-VCD malware delivered via pirated Coronavirus pluginsSecurity Affairs
コロナ関係のWordPressプラグイン経由でバックドアが仕込まれるという報告。コロナ関係のサービスを作ろうとした場合、プラグインや情報には注意が必要ですね。【攻撃動向】Ryuk Ransomware continue to target hospitals during COVID19 outbreakSecurity Affairs
コロナパンテミックの最中も、Ryukランサムが医療機関を狙い続けているという報告。DoppelPaymerやMazeは医療機関を標的にしないと発表していたとも記載。攻撃者によっても考え方が異なるんですね。また、攻撃はある程度自動化してそうですが、どこまで制御できるんですかね。【攻撃動向】いまや違法薬物に近い扱い? 転売禁止のマスク、取引の舞台はダークウェブへ - ITmedia NEWS
マスクの転売は、フリマサイトからダークウェブへ移ったとのこと。脱法という意味で、属性は同じなんですかね。【防御考察】“フェイクニュース” 若い世代より中高年が「信じやすい」 | NHKニュース
60代が最も多く84.4%、最も低いのは40代で74%とのこと。そこまで年代で差はなさそうですね。また、実際に拡散したもので、騙されない人は4人に1人程度とのこと。情報の確度気にしてる人は10人に1人以下のイメージですね。
事案
【事案】UK security firm accidentally exposed an unprotected database with 5 Billion previously leaked recordsSecurity Affairs
英国のセキュリティ会社がSIEMとして使ってたElasticsearchを外部に公開してしまい、過去のインシデント関係の50億レコードが流出した事案。まずは、自社のセキュリティを厳格にしなければなりませんよね。明日は我が身なので、自分への戒め。【事案】FBI shuts down the Russian-based hacker platform DEER.IOSecurity Affairs
ロシアのハッキング情報売買のプラットフォーム「DEER.IO」が、FBIにより停止させられたという報告。ダークウェブではないので、足がつくのは自明ですが売れやすいとかのメリットがあったのでしょうか。【事案】2020/03/25にリリースしたユーザーページについて - Qiita Blog
ユーザーページの「読んだ記事」機能のリリースについてのお詫びと非公開にする報告。個人の行動履歴に係る部分は、個人の特定や趣味趣向の暴露等にもつながるため、注意が必要ですよね。
攻撃
【攻撃動向】China-linked APT41 group exploits Citrix, Cisco, Zoho flawsSecurity Affairs
中国の脅威アクターが、APT41がCitrixやCiscoの脆弱性を悪用したキャンペーンの分析。攻撃が中国の旧正月に一時停止したとのことで、正月は皆さんお休みしたいんですね。【攻撃動向】TrickBot Mobile App Bypasses 2‐Factor Authentication for Net Banking Services
TrickBOTの作者が、SMSのワンタイム認証コードを傍受するAndroidアプリを開発したらしい。スマホ側でも二要素認証の回避がされる時代になったんですね。また、ワンタイム認証コートを盗むときに、ばれないようにアップデート画面を偽装するなど、巧妙ですね。【攻撃動向】Pulse Connect Secure の脆弱性を狙った攻撃事案 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
Pulse Connect Secure の任意ファイルの読み取りと任意コマンド実行の脆弱性を悪用された被害が継続しているとのことで、注意喚起目的の報告。ログの調査方法も記載してあるので、該当組織は調査してみるのが良いですね。【攻撃動向】ビジネスメール詐欺の実態調査報告書
分類、手法、対策や教訓等を記載。として、対策としては、研修やプロセスの見直し、検知機能や類似ドメインモニタリング等を記載。ターゲットが人だから対策が難しいところですね。例えば、リスクベース認証のような仕組みは適用できないんですかね。【攻撃手法】Criminals hack Tupperware website with credit card skimmer - Malwarebytes Labs | Malwarebytes Labs
タッパー販売サイトが改ざんされ、クレカ情報が盗まれてしまった事案。iframeで偽のクレカ入力ページを表示し、入力後セッションタイムアウトのエラーを表示し、正規なクレカ入力ページを示す。最終的に完了するので、これは被害に気づきにくいですね。【攻撃手法】Amazon.co.jpをかたるフィッシングメールが拡散、「パスワードの入力を数回間違えた」として偽サイトに誘導 - INTERNET Watch
CAPTCHA認証から始まり、ログイン、個人情報入力、クレカ情報入力と流れるとのこと。ログインまではわかりますが、その先の個人情報の入力画面でおやっっと気づきそうですが、CAPTCHA認証に気を取られて、入れてしまうんですかね。騙し方も日々巧妙になってきていますね。
防御
【防御考察】クラウドネイティブ化に伴うセキュリティ課題とその解決策
クラウドネイティブシステムに関する、体系やフレームワークを紹介した記事。クラウドのセキュリティ考察するうえで、いろいろヒントを拾えそうな記事ですね。【防御考察】Vol.46 | Internet Infrastructure Review(IIR) | IIJの技術 | インターネットイニシアティブ(IIJ)
IIJの定期分析レポート。メモリイメージ取得とバイナリプログラム解析について、かなり深いトピックが記載されています。メモリイメージは、ダンプツールを動かしてみたら、動かなかったとかよくあるので、細かいとこまで調べられてて素晴らしいです。【防御技術】脆弱性対策:ファジング:IPA 独立行政法人 情報処理推進機構
AFLの使い方をファジング実践資料として公開。元Googleのエンジニアが作った、テスト対象のプログラムに合わせたファジングをできるツールの模様。一般的なツールは典型的なファジングパターンを試しますが、これは画期的ですね。
脆弱性
【脆弱性】Google Chromeに重大な脆弱性、すぐにアップデートを | マイナビニュース
Google Chromeの脆弱性の報告。深刻度が重大(High)が複数報告されているので、早めのアップデートが良いですね。【脆弱性】JVNVU#96545608: 複数の Apple 製品における脆弱性に対するアップデート
macOS、iOS等幅広い製品に対して、任意コード実行、権限昇格、認証回避等多数の想定影響を報告。早めにアップデートしたほうがよさそうですね。【脆弱性】JVNVU#99619336: 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題
機械学習アルゴリズムに関する脆弱性の報告。影響は実装によって異なるが、事例を3つ挙げている。アルゴリズムの脆弱性の報告はこんな感じなんですね。今後この手の報告が増えるかもしれませんね。
サービス・製品
【サービス】NECソリューションイノベータ、IoTセキュリティ診断サービス
Standardは、2020年4月施行の法令一部改正で対象となるIoT機器に対して定められた、新セキュリティ基準を検査。Advancedは、Standardに加え、脆弱性診断やペネトレーションテスト等技術的な検査の模様。
(参考)端末設備等規則等の一部改正について【サービス】キヤノンMJ、クラウド型メール情報漏えい対策サービス | マイナビニュース
o365やgmail等のクラウドメールからの漏洩対策サービス。国産開発体制で、高度な日本語フィルタリング機能があるとのこと。類似製品が結構あると思いますが、どんな差別化をしているのかが気になりますね。【サービス】トレンドマイクロ、法人向け総合エンドポイントセキュリティサービスを提供 | マイナビニュース
管理機能はSaaSで提供する総合エンドポイントサービス。リモートワーク等を想定したサービスに感じますが、タイミングが良いですね。【サービス】KDDIがシスコのセキュリティサービス「Cisco Umbrella」を提供 | マイナビニュース
DNSベースの脅威フィルタリングサービス。セキュアウェブゲートウェイとどう差別化するのかが気になります。また、CiscoなのでTalosナレッジが強みですね。【サービス】0patch releases unofficial patches for Windows 0days exploited in the wildSecurity Affairs
ACROS Securityが先日報告されたWindowsのAdobe Type Manager ライブラリの脆弱性の非公式パッチをリリースするとの報告。同社はWindows7のサポート終了後のパッチ適用等も実施していますね。応急的には欲しい機能ですが、国内だとどのくらいこのサービス売れるんですかね。
学習
【資格】IPA 独立行政法人 情報処理推進機構:情報処理技術者試験:令和2年度春期情報処理技術者試験・情報処理安全確保支援士試験の取りやめ(中止)について
2020年春の情報処理試験が中止とのこと。代替試験の実施や返金方法は検討中の模様。【資格】第249回TOEIC® Listening & Reading公開テスト 【2020年4月12日(日)】中止のお知らせ
次回のTOEICも引き続き、中止のようです。集合型の資格試験は当分の間、実施は難しそうですね。
キャリア
- 【転職経緯】仮想通貨取引所Cを退職したので辞めた理由を書く - #転職しました
上層部が保身に走り、何もせず、責任も取らずだと、やる気のある人からやめていきますよね。いろいろあった後なら、なおさらです。bigインシデント発生時は組織崩壊や離職もリスクの一つとして考えなければならないかもしれませんね。
経営
【Q&A】取締役会で必ず出るセキュリティや技術リスクの質問に、どう答えるか:Gartner Insights Pickup(151) - @IT
取締役会でのCISO向けQ&A集。注意観点は、売上高/ミッション、コスト、リスクの3点で、リスクやインシデント等5つのタイプの質問に大別できるとのこと。体系的にまとめっていて良いですね。また、これらの意思疎通取られていると、現場も仕事をし易いですね。
(一次)5 Security Questions Your Board Will Inevitably Ask - Smarter With Gartner【防御動向】企業のCISO等やセキュリティ対策推進に関する実態調査:IPA 独立行政法人 情報処理推進機構
CISO等に求められる役割は、経営層への橋渡しと対策の推進が45%越え、課題はリスクの見えるかができていないが45%越えとのこと。CISOが経営層の場合があるのは置いておいて、依然として橋渡し人材とアーキテクトのニーズが多そうですね。【他社実態】「企業におけるデータ利活用・保護の戦略立案のための手引書(案)の作成」調査報告書:IPA 独立行政法人 情報処理推進機構
データ利活用・保護の実態を調査したレポート。DXが最近バズっているけれども、炎上しやすいテーマなので、他社事例の調査は非常にありがたいですね。【ツール】サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版:IPA 独立行政法人 情報処理推進機構
各チェック項目の備考に、対策の具体例や用語の定義等も記載されているので、深い知識がなくてもある程度人によるブレを抑え込めそうな作りになっていますね。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。
SecNews Weekly Report 2020/3/3rd
こんにちわ、モグ(@moneymog)です。
先週に引き続きコロナ関係の記事が多く、リモートワークへの攻撃の増加とコロナテーマの攻撃が増え続けているという情報が多く発信されています。
その他では、「SIM Swapping」という攻撃手法とSASE(サッシー)という防御技術の概念が気になりました。
目次
- 注目記事 : 2件
- コロナ : 16件
- 事案 : 4件
- 攻撃 : 7件
- 防御 : 1件
- 脆弱性 : 2件
- サービス・製品 : 4件
- キャリア : 1件
- その他 : 2件
注目記事
【攻撃動向】Europol Arrests 26 SIM Swapping Fraudsters For Stealing Over $3 Million
SIM SwappingやSIM Hijackingと呼ばれる攻撃手法を用いて約390万$盗んだ犯人が捕まったとのこと。 盗んだ個人情報を使って、SIM業者にSIMカードを再発行させて、電話番号を乗っ取って、2要素突破やパスワードリセットを行うらしい。【防御手法】SASEとは?オールインワン製品でDX推進に向けた効率的なセキュリティ投資を!
SASE(Secure Access Service Edge)を説明した記事。ネットワーク視点で包括的に守るという概念。ゼロトラストの次のキーワードとしてはやりますかね。
あと、サッシーと読むらしいので製品宣伝のタレントには指原さんの起用が増えると面白い。
コロナ
【攻撃動向】How CISOs Should Prepare for Coronavirus Related Cybersecurity Threats
コロナ関係のサイバー攻撃へのCISOとしての向き合い方。リモートアクセスと偽コロナメールが流行っていてそれに対応が必要とのこと。対策としてはCynet社の製品を提案(察し)。【攻撃動向】Thousands of Coronavirus-related malicious domains are being created every daySecurity Affairs
コロナ関係の悪意あるドメインが毎日増えているという分析。covidやcoronaでプロキシログをあさってもよいかもしれませんね。
ただし、covidだとnicovideo.jpが引っかかるので注意が必要。【攻撃動向】Cybercriminals impersonate World Health Organization to distribute fake coronavirus e-book
WHOに成りすましたMaldocメール送付の事案。どんどん巧妙になっていくんでしょうね。【攻撃動向】Coronavirus news used by Emotet and Trickbot to evade detectionSecurity Affairs
TrickBot and Emotetがコロナ関係のニュース内容を使い始めたという分析。 引き続きコロナ関係はサイバー的にも注意が必要ですね。【攻撃動向】Is APT27 Abusing COVID-19 To Attack People ?! ....Security Affairs
APT27のコロナ関連の情報を悪用した攻撃の分析。コロナ関連で絞ってアクター分析するだけでも、それぞれの色が出てきたりするのかな。【攻撃動向】Hackers Created Thousands of Coronavirus (COVID-19) Related Sites As Bait
ハッカーがコロナ関係の大量にドメインを仕入れているという分析。 コロナ関係の攻撃が一層増えそうなので注意ですね。 (参考)OTXの「COVID-19」関連IOC【攻撃動向】新型コロナウイルスで増えるテレワーク狙う、サイバー攻撃に警戒を
テレワーク狙うサイバー攻撃への注意喚起の記事。 えいやでVPN使う企業もあるでしょうから、リスクは良く考える必要がありますよね。【防御考察】Work from home company playbook | Offensive Security
コロナ関係でリモートワークについて、効果的に組織運営する5つのヒントの記事。
4つ目の「仕事以外のことを忘れない」に共感します。仕事のパフォーマンス大いに変わってきますね。【攻撃動向】Ursnif campaign targets Italy with a new infection Chain - Security AffairsSecurity Affairs
イタリアを標的としたUrsnifキャンペーンが行われているという分析の記事。 docファイルのdropperだから、コロナ関係の情報が使われてそうな気がしますね。【攻撃動向】A cyberattack hits the US Department of Health and Human Services - Security AffairsSecurity Affairs
コロナウイルスをテーマとした攻撃の事例。米国保健福祉省が攻撃されたらしい。 チェコの主要なコロナ試験施設である大学病院も数日前に攻撃されたと記載があるが、コロナが仕事に直接関係する方々は、攻撃にひっかかりやすくなりますよね。【攻撃動向】APT36 jumps on the coronavirus bandwagon, delivers Crimson RAT
脅威アクターの間でも、コロナ関係の情報偽装を使うものがあり、それらについての分析の記事。 脅威アクターにも、この手の話題調査のためのリサーチャーとかいるのかなぁ。【防御考察】気を付けたい、テレワーク時のセキュリティ7つの落とし穴
のぞき見や公共無線LANの利用等のテレワークにおける注意点を具体的に記載。ニセの会議招集メールなんて、気が抜けた家ならアクセスしちゃう可能性ありますね。【脆弱性】今度は「CoronaBlue」? Microsoft SMBに新たな脆弱性、手違いで情報公開のフライングも
SMBv3の脆弱性の記事。「CoronaBlue」と一部で命名されたらしいが、リアルとデジタルのVirusが混ざるからやめてほしい。【時事】ネット通信量が急増 テレワークや休校が背景か 新型ウイルス
コロナにより、在宅社が増えて、トラフィックが増えたという記事。一瞬、新たなマルウェアが出てかと思ってしまうのは、職業病かな。【時事】五輪チケット、規約上払い戻しは不可 コロナで中止なら
コロナは不可抗力だから返金しないかもとのこと。この金額感で返金しないという選択肢がとられるのだろうか【サービス】IIJ、リモートアクセスVPN環境を初期設定込みで2020年5月末まで無償提供
IIJからVPN機器「SEIL/X1」の無料提供を開始。通信インフラがこういうときに動いてくれるとありがたや。
事案
【事案】SOD動画無料配信に「情報流出」報告 会員のメルアドや閲覧履歴が...会社側「調査中」
無料配信で注目度あがったのに、個人情報流出事案とは残念ですね。セキュリティの大事さがわかる事例。【事案】CERT France – Pysa ransomware is targeting local governments
Mespinozaランサムウェア(別名Pysaランサムウェア)が地方自治体を攻撃したとの報告。暗号化の拡張子は「.locked」「.newversion」等が情報として載っています。
既知の拡張子を探すだけでも、侵入検知とかできないかなぁ。
(参考1)ypid/ransomware-file-extensions: List of known Ransomware file extensions
(参考2)ランサムウエア対策特設サイト【事案】あの動画配信サービスがサイバー攻撃の被害、「生放送」ができない状態に
niconicoにDoS攻撃が発生したとの記事。DoS攻撃の裏の目的はなんなのだろうか。【事案】「アンケート」答えたら…借金30万円 大学生が被害
アンケート答えたら、個人情報悪用されて、借金背負わされた事案。 SIM Swappingとかもそうだけど、個人情報の悪用方法ってまだまだいろいろありそうな気がする。
攻撃
【攻撃動向】JPCERT/CCに報告されたフィッシングサイトの傾向
ここ一年で急激に増えてる模様。ターゲットは、世界的にはEコマース多く、国内では通信事業者、金融、LINEが多い。ドメインも巧妙なものが多い。
憶測ですが、数が増えてる理由は、攻撃手段の共通武器化やSaaSなども裏ではあるんですかねぇ。【攻撃動向】TrickBot Now Exploits Infected PCs to Launch RDP Brute Force Attacks
TrickBotにRDPBrute Force機能が追加されたという分析。 Emotetで展開されるという情報もありますし、最近よく名前を見かける印象。【攻撃動向】Most ransomware attacks take place outside the working hoursSecurity Affairs
ランサムウェアの攻撃は時間外または週末を狙われという分析。 攻撃者視点だと人減ってからの方が対処遅れるからより効果的だなぁ。【攻撃動向】クラウドストレージの誤設定による情報漏えいが続発
クラウドストレージの設定ミスによる情報漏えいに関する記事。アクセス権限周りの管理が大事なことが身に染みる情報。【攻撃手法】巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意
ワンタイムパスワードも一緒に窃取して、二要素認証を突破する手法。二要素認証もリスト型攻撃には有効ですが、フィッシングには注意が必要。【攻撃手法】感染スマホを“踏み台”に、マルウェアばらまく──巧妙化する「Roaming Mantis」の手口
スマホ向けウイルスにも解析対策の機能が追加されたり、ボットネット化する動きがあるらしい。 PCに対する攻撃のナレッジはスマフォにも生かされつつあるようです。【攻撃動向】Microsoft SMBv3の脆弱性(CVE-2020-0796)に関連するアクセスの観測について
@policeのSMBv3に関連するアクセス増加の報告。脆弱性の認知、悪用のためのスキャンという、攻撃者のいつも通りの流れ。
防御
- 【防御技術】高度なコマンドインジェクション攻撃とその対策 - WAF Tech Blog
ScutumのWAF回避攻撃への対策を紹介した記事。技術開発のむずかしさが伝わってきますね。
脆弱性
【脆弱性】Adobe Acrobat および Reader の脆弱性 (APSB20-13) に関する注意喚起
Adobe Acrobat および Readerの脆弱性の注意喚起。 悪いコンテンツ開きで、ユーザ権限での任意コード実行が行われるとのこと。【脆弱性】[サイバーセキュリティ月間2020] 製品のサポートが終了したらどうなるの?
マイクロソフト製品のサポートが終了するとどうなるのか説明した記事。2020年10月13日に「Office 2010」のサポートが終了ですか。まだ使ってる人は乗り換え準備したほうがいいですね。
サービス・製品
【サービス】オントラック、データ消去検証サービス「EVS」を日本市場で提供開始
神奈川県庁HDD流出事件関係でニーズが増えたことによる、サービス提供とのこと。
「SP800-88 Rev.1(2014)」準拠の保証らしい。インパクトの大きいニュースはニーズを生むものなんですね。【サービス】いよいよ始まる10Gbps接続の「フレッツ 光クロス」、NTT東日本を直撃!
10Gbps接続の「フレッツ 光クロス」が始まるとのこと。ついにインターネット速度が10Gになる時代になったか。【製品】ソリトン、インターネット分離環境でのファイル受け渡し装置の新製品
ソリトン社の既存製品「FileZen S」のリリース。FileZenからファイルの受け渡しがシンプル(ドラッグ&ドロップ)になったらしい。
既存のものに比べるとだいぶ使い勝手よくなってそうですね。【製品】マカフィー、SASE実現する統合クラウドセキュリティプラットフォーム発表
マカフィーの統合クラウドセキュリティプラットフォームの記事。 SASE(セキュア・アクセス・サービス・エッジ)の一部を実装するUnified Cloud Edge(=CASB+SWG+DLP)を提供するとのこと。
キャリア
- 【転職動向】転職希望の公務員が急増 外資やITへ流れる20代
20代公務員の外資やITへの転職が増えているという記事。僕もこのステップをだいぶ前に踏んだけど、技術者のキャリアが確立できないのが不安であったり不満だったんだよなぁ。
その他
【子供】Child identity theft, part 1: On familiar fraud - Malwarebytes Labs
子供の個人情報(Social Security number (SSN)等)が悪用される事例が結構あり、60%が顔見知りという記事。親はマイナンバーやメール、SNSのIDなどの管理にも気を配った方が良いかもしれませんね。
prat2【実証実験】「タチコマ」でサイバー攻撃対策、アプリ無償配布のユーザー参加型実証実験始まる
ウェブ媒介型サイバー攻撃対策プロジェクトの記事。タチコマがサイバー攻撃情報収集して、並列化して攻撃サイト見つけるとか胸熱。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。
SecNews Weekly Report 2020/3/2nd
こんにちわ、モグ(@moneymog)です。
今週はコロナ関係の記事が多く、コロナテーマの攻撃が多数報告されています。
その他では、サービス関連のプレスリリースが多くされていた印象です。
また、技術観点では、悪意のあるSMSの送信元偽装、Tabnabbingが気になりました。
目次
- 注目記事 : 2件
- コロナ : 9件
- 事案 : 6件
- 攻撃 : 5件
- 防御 : 4件
- 脆弱性 : 1件
- サービス・製品 : 7件
- キャリア : 3件
注目記事
【攻撃手法】これは見破れないかも? 「犯罪者のSMS」と「正規のSMS」が混ざって表示される送信元偽装【意外と知らない? ネットセキュリティの基礎知識】 - INTERNET Watch
送信元として設定された文字列をベースにスレッド管理するのを悪用したらしい。こんなことやられたら、仕様知らなきゃ、絶対気づけないですよね。【攻撃手法】グーグルのエンジニアが警告、「別タブで開く」リンクは実はヤバいんだって!?【SEO情報まとめ】 | 海外&国内SEO情報ウォッチ | Web担当者Forum
Tabnabbing対策で「rel=noopener」追加を推奨する記事 。新しいタブで開いたのに、転送元のページが別のページに遷移されてしまう手法で、 転送元のページがフィッシングサイトに変えられてしまうかもしれないらしい。
コロナ
【攻撃動向】新型コロナウイルスをサイバー攻撃に悪用、その手口を知ろう | マイナビニュース
コロナ話題を使った、Emotet、フィッシング、マスク詐欺等の情報。ある種のマーケティングな気もするけど、これで被害にあってしまう人の属性が気になる。
(一次)How cybercriminals are taking advantage of COVID-19: Scams, fraud, and misinformation | Digital Shadows【攻撃動向】新型コロナウイルスに便乗した架空の“マスク販売広告メール”にご注意!(速報第2弾)
架空のマスク販売広告メールからのフィッシングでの個人情報摂取事案。攻撃者は何かについけて話題を悪用しますね。【事案】厚生労働省ホームページの偽サイトにご注意ください|厚生労働省
厚生労働省ホームページの偽サイト事案 。世界的な事象は、何でも悪用される印象です。【サービス】全国一斉休校を受け無償提供されたオンラインサービスをまとめてみた - piyolog
素晴らしい動きだと思う。それに、提供するがからすると良い宣伝になるのかなと思ったり。【政府】事業継続緊急対策(テレワーク)助成金 開始(第70報)|東京都
全額補助してくれるようなので、キャッシュがない中小企業にはちょうどよさそう。要件がいろいろありそうなので要確認です。期間は2020/3/6~5/12。【分析】新型コロナウイルスのフレッツトラフィックへの影響 | IIJ Engineers Blog
IIJがネットのトラフィックで、コロナによるリモートワーク動向を分析。インターネット(情報通信)はやはり重要インフラの一つ。【偽情報】職員の不祥事のご報告とお詫び 米子医療生活協同組合
トイレットペーパー品薄デマの謝罪。情報の確度を意識しない人が多い世の中なのかなぁと思いました。あと発信者は、バイトテロに通ずるものがあり、ネットリテラシー大事ですね。【偽情報】偽情報を故意に流す「ディスインフォメーション」が、SNSの信頼を脅かす - INTERNET Watch
技術的対策はある程度効果でるかもだけど、長期的にはユーザのリテラシー向上しかないとのご意見。一次ソースとか発信者の信頼度とか意識するとか、習慣づけるのはコストが高そうな印象。【会合】サイバーセキュリティー業界の年次会合、参加者2人が新型コロナ感染 - Bloomberg
参加者は注意が必要ですね。
(一次)Two People Who Attended Cyber Event Contract Coronavirus - Bloomberg
事案
【事案】まさかスマホ落としただけで…不正アクセス容疑で男逮捕:朝日新聞デジタル
とばし携帯と同じ感じの使われ方ですね。プライベートでも紛失時のリスクを踏まえる必要がありますね。【事案】Microsoft Outlook の「取り消し」機能を誤解、誤送信が2度発生(熊本市) | ScanNetSecurity
熊本市の事案。取り消せると思うとチェックも甘くなるんですかね。あと取り消し機能なんてあったんだと思いました。【事案】フランチャイズ加盟店が管理する求人サイトの一部内容において不適切な表現が掲載されてしまった件について
Dr.ストレッチフランチャイズ加盟店である「株式会社つながり」の事案。パスワードの適切な管理が大事ですね。【法律】ダウンロード規制、閣議決定 スクショの写り込みはOK:朝日新聞デジタル
ダウンロード規制、拡大解釈してしまうビビリ民としては、こういう具体的な解釈がどんどん出てくれると嬉しい。【教育】【ほぼ15秒アニメ】子ブタと学ぼう!情報セキュリティ対策のキホン:IPA 独立行政法人 情報処理推進機構
CMっぽく、印象に残りやすいコンテンツになっていて、小中高生が見る番組のCMに入れてほしい。【攻撃動向】NICTER 解析チーム(試験運用中)さんのツイート
大規模な攻撃が行われているみたいですね。日本だけを狙った攻撃ではなさそうです。
攻撃
【攻撃手法】【それってネット詐欺ですよ!】Amazonのドメインのメールアドレスからフィッシング詐欺メールが来た【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch
IPアドレスを記録した等の脅しや送信元メールアドレスの詐称の手法と対策として自分のブラウザのブックマークからアクセスを推奨。【攻撃手法】あなたのApple IDはロックされています - 詐欺メールの見分け方と対処法 | マイナビニュース
Apple系の詐欺メールが多い印象で、本物メールも疑ってかかってしまう今日この頃ですが、セキュリティ的には安全面に倒す方が良いと思っています。【攻撃手法】パスワード盗まずに乗っ取る 新型フィッシングの手口 :日本経済新聞
記事は制限がかかっていて見れないが、おそらく(詳細)に記載の「OAuth API」を使ったフィッシング攻撃ですかね。権限連携のセキュリティも注意しなければなりませんね。
(参考)Office365のOutlookアドインを悪用するフィッシングキャンペーンが登場(大元隆志) - 個人 - Yahoo!ニュース【攻撃動向】年間脅威動向分析:2019年に発生した攻撃から読み取れるもの | トレンドマイクロ セキュリティブログ
「Emotet」「二要素認証回避」「利用者クレカ狙いのサイト改ざん」と去年もいろいろとありましたね。攻撃動向のウォッチが大事ですね。【攻撃動向】ハッカーがデバイス攻撃時に最初に試すパスワードとは - ZDNet Japan
良く試されるパスワードは、「admin」「12345」「default」「password」「root」などで、それだけ使われてるということですね。
(一次)These are the first passwords hackers will try when attacking your device | ZDNet
防御
【技術考察】【HackTheBox】Active - Walkthrough - - Qiita
HackTheBoxというサイバーセキュリティトレーニングのオンラインプラットフォームへの攻撃の記事。情報整理する上でやっぱりATT&CKは便利。【防御技術】パスワードの不安を解消! テレワーク成功のカギは「トークンレス・ワンタイムパスワード」の認証システム | マイナビニュース
PIN+毎回変わる変換リストを活用することで、最終的に入力されるパスワードがいつも異なるという手法。ネットワーク上はOTPだけど、UI上は固定パスワードが見えるけど、どの程度安全度が高まるのだろうか。【動向調査】セキュリティパッチを適用しない理由、「方法が分からない」「設定が面倒くさい」など、IPA調査 - INTERNET Watch
パッチ当ては大事だけど、内容理解が難しいことやパッチ当てによる不具合等の懸念点があるのもわかる。
(一次)2019年度情報セキュリティの倫理に対する意識調査 -調査報告書-【調査手法】普段の調査で利用するOSINTまとめ - Qiita
多くのOSINT先がまとまっていて、非常に有用です。
脆弱性
- 【脆弱性】定例外で修正されたSMBv3の脆弱性(CVE-2020-0796)についてまとめてみた - piyolog
WannaCryのようなワーム型プログラムの発生の懸念、2020/3の月例アップデートに含まれなかったから話題になったとのこと。
サービス・製品
【製品】昨今脅威を増す『改ざんサイト』に対応した新機能を「i-FILTER®」最新版に搭載、セキュリティ対策の新ジャンル「ホワイトリスト運用」を強化 猛威を振るう「Emotet」や組織のクラウドメールを狙った攻撃にも対処|デジタルアーツ株式会社
二要素認証回避対策のような気がします。送ってい良いサイトだけホワイトリスト運用するみたいですが、クレデンシャル情報をどう区別するのかが気になります。【サービス】KPMG、企業のサイバーディフェンスを強化する、Microsoft Azure Sentinel向けの新しいセ - KPMGジャパン
最近、MSS系の市場が潤っていて、レッドオーシャン化しつつあるような印象がある。【サービス】マクニカネットワークス、次世代ネットワーク型AIセキュリティ「Network Detection and Response」を提供するVectra AI社と代理店契約を締結
NDR製品を販売する模様。はやり初めにどんどん担ぐ攻めのスタイルが好感持てます。【サービス】三井物産セキュアディレクションとベライゾン、日系グローバル企業、グループ企業、エンタープライズ企業の保護を目的にサイバーセキュリティ分野で協業開始
インテリジェンス、IR支援等のよう。Verizonが日本進出のために、MBSDを窓口として助けるイメージかな。あと、日本がアジアのなかでMSS導入において最も急成長している市場らしい。【サービス】SOMPO系、金融向けサイバー侵入テストのサービス :日本経済新聞
今はやりの脅威ベースのペネトレーションテスト(TLPT)の支援サービス提供とのこと【サービス】FireEye、Mandiantの新しいサービスを発表 | FireEye
SOCの脅威検出能力、対応能力をフォーカスしたコンサルが気になるけど、担当者によって品質にばらつきがでない工夫はあるのか気になります。【社名変更】シマンテックからノートンに変更--新体制で発足 - ZDNet Japan
製品のブランド名を「ノートンLifeLock」を主軸に行く戦略ですかね。
キャリア
【サービス】地方でも中小でも「会いに来るCISO」 ~ グローバルセキュリティエキスパート株式会社の「vCISO」とは | ScanNetSecurity
セキュリティエンジニアがフリーランスとして働きやすそうなイメージの仕組みっぽい。そのうち登録してみたい。
(参考)情報セキュリティ人材のマッチングサービス | vCISO 情報セキュリティ人材のマッチングサービス【募集】非常勤職員の募集のご案内 (METI/経済産業省)
サイバーセキュリティ・情報化審議官を募集。兼業も可能なので、非常に面白そうです。【募集】NISCサイバーセキュリティ協議会構成員募集
第一類、第二類、一般の3種類の枠がある。第一類ほど貢献が必要だけど、深い情報が得られ、一般は貢献少し、得られる情報も少しとギブ&テイクの仕組みが考えられている模様です。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。