SecNews Weekly Report 2020/6/1st
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週も引き続きコロナテーマの攻撃が報告されていますが、数は多くなく落ち着いたようにも思えます。
また、国内では誹謗中傷に関連した動きが引き続きあり、法整備と加害者の意識見直しが見て取れます。
その他、仮想通貨交換所関連のドメイン名ハイジャックの事案、ジョージ・フロイド氏関連のアノニマス動向などが気になりました。
目次
注目キーワード
ドメイン名ハイジャック
当社利用のドメイン登録サービスにおける不正アクセスについて(第一報)
お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
お名前.com、Coincheck以外にbitbankも同事象が起こったようです。攻撃目的は不明ですが、コイン盗難に発展しないとよいですね。アノニマス動向(ジョージ・フロイド氏関連)
Anonymous demands justice for George Floyd and threatens attacks
There was no data breach in the cyberattack against Minneapolis Police
アノニマスはジョージ・フロイドのために正義を要求し、ミネアポリス警察に攻撃したと宣言していました。しかし、サイバー攻撃によるデータ流出はなかったようです。
コロナ、テレワーク
海外で攻撃キャンペーンの報告がありましたが、国内では特に報告はありませんでした。
A new COVID-19-themed campaign targets Italian users
COVID-19をテーマにした新しい攻撃キャンペーンがイタリアのユーザーを標的に
誹謗中傷
法整備が進むとともに、加害者の意識見直しが報告されています。
事案
NTTコムの事案は、2019年9月から、シンガポール、タイ、米国、国内サーバーと侵入されたようです。 海外拠点はセキュリティが甘くなりがちなので、見直す必要があるかもしれませんね。
攻撃
NXNSAttackというDoS攻撃とIFEOインジェクション攻撃に関する記事が投稿されていました。
Multi-platform Tycoon Ransomware employed in targeted attacks
標的型攻撃に利用されるマルチプラットフォームのTycoonランサムウェア
(参考)ようこそ画面の時に任意のプログラムを実行する方法Sodinokibi ransomware gang launches auction site to sell stolen data
Sodinokibiランサムウェア組織がオークションサイトを立ち上げ
脆弱性
Appleの10万ドル(約1090万円)の脆弱性についての報告がありました。額に見合う、影響の大きい脆弱性ですね。
サービス・製品
米CrowdStrikeからLinux環境に対する保護強化の報告がありました。Linux対応の製品はあまりないイメージですね。また、IOA(Indicator of Attack)というキーワードを初めて聞きました。
防御・ツール
情報漏えい発覚後にパスワードを変更しない人が多数という報告がされています。人に依存する以上、すべて適切に管理は難しいですね。また、サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集がリリースされています。
経営・マネジメント
改正個人情報保護法や改正著作権法が成立しました。特に前者は「クッキー」の中身も対象になるようなので、法制度の変化に伴い対応が必要な会社がありそうですね。また、米国版GDPRと言われた「カリフォルニア州消費者プライバシー法(CCPA)」が2020年の年始に開始していたそうです。あんまり話題になりませんでしたね。
教育・世代
GitLab社のフィッシングメール開封率は20%とのこと。まーこのくらいは開きますよねという印象です。
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/5/5th
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週は引き続きコロナテーマの攻撃が報告されていますが、数は多くなく落ち着いたようにも思えます。
また、国内では誹謗中傷に関連した動きが目立ちました。今後不幸な事故が起きないように、法的整備等が早く進んでほしいものです。
その他、ランサムウェアの動向報告、ダークウェブ上での個人情報販売などが気になりました。
目次
注目キーワード
ランサムウェア 日本企業は回復に要する費用が世界で2番目に高く、31%は身代金を支払うという調査が報告されています。また、攻撃手法が巧妙になってきており、平均身代金はわずか1年で10倍以上に膨れ上がったとのことです。まだまだ、ランサムウェアには気が抜けませんね。
日本企業のランサムウェア関連費用は世界第2位
The evolution of ransomware in 2019: attackers think bigger, go deeper and grow more advancedダークウェアでの個人情報販売 台湾、インド、インドネシアやMathwayユーザー等のダークウェブでの大規模な個人情報販売が報告されています。
An archive with 20 Million Taiwanese’ citizens leaked in the dark web
2,000万人の台湾人のアーカイブがダークウェブで流出
Personal details and documents for millions of Indians available in the deep web
数百万人のインド人の個人情報と文書がディープウェブで入手可能
Voter information for 2 millions of Indonesians leaked online
インドネシア人200万人の有権者情報がオンラインで流出
25 million Mathway user records available for sale on the dark web
2,500万人のMathwayユーザーの記録がダークウェブで販売
コロナ、テレワーク
接触追跡アプリ
スイスでAppleとGoogleのAPIを活用した、接触追跡アプリのテスト運用が始まりました。しかし、カタールでは接触追跡アプリの脆弱性が報告されています。日本でも接触追跡アプリの実装には注意が必要ですね。
キャリア・経営
コロナの影響で、転職者の様子見増加、Web面談が不十分なことによる学生の不満増加がみられるとのこと。また、働き方の考え方も徐々に変わりつつありそうですね。
無償提供・割引
NECや富士通からテレワーク向けのサービスが無償提供等がされています。
その他
Experts observed a spike in COVID-19 related malspam emails containing GuLoader
GuLoaderを含むCOVID-19関連のマルスパムメールの急増
誹謗中傷
木村花さんの悲劇を受けて、国や各SNSプラットフォームの動きが報告されています。
事案
NTTコミュニケーションズから情報流出の事案が報告されています。シンガポールからのラテラルムーブメントのようで、弱くなりがちな海外拠点の対策の重要性を感じさせられます。
不正疑惑の出ていたトレンドマイクロのドライバ、Windows 10 May 2020 Updateでブロック対象に指定される
Real estate app leaking thousands of user records and sensitive private messages
米国の不動産アプリ「Real estate」がアマゾンのS3バケット上に保存された数千件のユーザー記録と機密のプライベートメッセージを流出
攻撃
日本とヨーロッパの産業企業に対するMimikatz、Powershell、ステガノグラフィーと流行手法を用いた標的型攻撃等が報告されています。
Steganography in targeted attacks on industrial enterprises in Japan and Europe
日本とヨーロッパの産業企業に対するステガノグラフィーを用いた標的型攻撃3 hacking forums have been hacked and database have been leaked online
3つのハッキングフォーラムがハッキングされ、データベースがオンラインで流出Silent Night Zeus botnet available for sale in underground forums
Silent Night Zeusのボットネットが地下フォーラムで販売wizSafe Security Signal 2020年4月 観測レポート
Webサイト閲覧時に、改変したjQueryを用いてPNGファイルを読み込み、その中に埋め込まれたJavaScriptを実行する通信
を検出Ragnar Ransomware encrypts files from virtual machines to evade detection
Ragnarランサムウェアは検出を回避するために仮想マシンからファイルを暗号化する
脆弱性
iOSとAndroidのそれぞれに影響の大きそうな脆弱性が報告されています。
サービス・製品
フォーティネットから運用が捗りそうなEDRソリューションなどのサービス提供が開始されるそうです。
防御・ツール
先週話題になっていた自社を騙る偽サイトについての分析結果、対応例等の投稿や退職者の行動に関する興味深い報告がされていました。
自社を騙る偽サイト発生時の対応について
偽サイトのURLにアクセスしたタイミングで、犯人の用意したサーバがリバースプロキシのような形で正規サイトへ代理アクセスし(略)応答していたものと思われます
内部関係者によるサイバーインシデントの60%に""フライトリスク""のある従業員が関与
「フライトリスク(逃亡リスク)」がある従業員(通常は退職などで離職する予定の個人)は、多くの場合、退職日の2カ月から2週間前に行動パターンが変化
AWSやGCPといったクラウドサービスのセキュリティ項目を無料で監査できるオープンソースソフト「Scout Suite」レビュー
経営・マネジメント
漏洩事案の時のプレスリリースの行間の読み方が大変興味深い内容で、プレスリリースを出す側も参考になる内容だと感じました。
キャリア・学習
長時間労働に対する考え方やSECCON Beginners CTF 2020の裏側技術の解説等が投稿されていました。
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/5/4th
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週はコロナ関連で、コロナテーマのメール大規模キャンペーンの報告やコロナに伴う国内求人減少などが報告されました。 その他、TomcatのデシリアライゼーションやSIMスワッピングの投稿が気になりました。
目次
注目キーワード
デシリアライゼーション
Apache Tomcatに安全でないデシリアライゼーションの問題が報告されました。
シリアライゼーションは構造データをバイト列形式に変換することで、デシリアライゼーションはシリアライゼーションの逆変換です。
JVNVU#98086086: Apache Tomcat に安全でないデシリアライゼーションの問題
Tomcatの脆弱性、CVE-2020-9484の解説
(参考)安全でないデシリアライゼーション(Insecure Deserialization)入門 | 徳丸浩の日記SIMスワッピング 暗号資産レンディングサービスの米企業 BlockFi社の事例。SIMスワッピングで従業員アカウントを侵害し、社内システムに侵入したとのこと。
日本で報告がないのは、本人認証がしっかりしてるや日本語を話せる攻撃者が少ない等があったりするんですかね。
SIMスワッピングによるアカウント侵害で情報流出した事案についてまとめてみた - piyolog
コロナ、テレワーク
コロナテーマのメール大規模キャンペーンの報告やコロナに伴う国内求人減少などが報告されました。新しい攻撃手法は見かけなかったので、そろそろ攻撃の活発化が落ち着いてきたんですかね。
Microsoft warns of “massive campaign” using COVID-19 themed emails
COVID-19のテーマメールを使った「大規模キャンペーン」をマイクロソフトが警告
事案
三菱電機から最新鋭ミサイル情報流出という報告がありました。"防衛省が2018年10月に試作品発注のために評価基準や性能などの要求事項を示す紙の資料を三菱電機に貸し出し、同社がデータ化した情報が今回、流出したとみられる"とのことなので、情報管理体制が疑われる事案ですね。
攻撃
スパコンのコインマイナー感染やLinuxの構成管理ツールを用いて感染拡大するコインマイナーなどが報告されています。
Experts reported the hack of several supercomputers across Europe
ヨーロッパ各地の複数のスーパーコンピュータがハッキングされ、コインマイナーに感染FBI warns US organizations of ProLock ransomware decryptor not working
FBI、米組織にProLockランサムウェアの解読ツールが機能していないと警告Tens of thousands Israeli websites defaced
イスラエルの何万ものウェブサイトが改ざん
脆弱性
レクサス、BluetoothやBINDの脆弱性が報告されています。
サービス・製品
NRIセキュアから「NIST SP800-171」準拠支援サービスの強化、マクニカからテレワーク環境セキュリティ評価サービスの提供が報告されています。
防御・ツール
「FBIがAppleの協力なしでロック解除した」という報告がされていますが、脆弱性があったんだとしたら、手法の漏洩が心配ですね。
Appleが政府の「iPhoneのロック解除要請」を拒否したテロ事件で「FBIがAppleの協力なしでロック解除した」と当局が発表
チート対策のためオンラインゲームでもSMS認証が広がる?
SMS認証を入れることで、アカウント作り直しや複数アカウントの敷居を上げた対策SOC vs MITRE APT29 評価-Cozy Bearとの戦い
”Time Based Security – 保護、検知と対応"の考え方を解説
キャリア・学習
IBMのレイオフが報告されています。コロナ影響も一部ありそうですが、グローバル系は、レイオフがどんどん増えてくるんですかね。
IBMはレイオフを認めたが、その詳細は明かさず
公式の数字はないが数千人単位とのことです普通のエンジニアが初めて動かすディープラーニング
(使用ツール)ニューラルネットワーク Playground - Deep Insider
経営・マネジメント
自治体情報セキュリティ対策の見直しやグーグル、サイバー攻撃対策のクラウド技術で米国防総省と契約が報告されています。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
セキュリティ学習に役立つSANSのリソース
こんにちわ、モグ(@moneymog)です。
一通りセキュリティの基礎学習が終わって、次に何を学ぼうかと悩んでる方に向けて、セキュリティ学習に役立つ英語のコンテンツを紹介します。 なお、すべて英語コンテンツです。
役立ちそうな人
SANS Instituteとは
SANS Instituteは、政府や企業・団体間における研究、及びそれらに所属する人々のITセキュリティ教育を目的として1989年に設立された組織です(本部:米国ワシントンDC)。
(引用元:SANS Instituteとは|SANS JAPAN)
定期的に品質の高いトレーニングを提供しており、GIAC(Global Information AssuranceCertification)試験等も提供しています。
リンク集
- Free Cybersecurity Community Resources and Programs
SANSで提供している、ニュース、イベント、ツール、フレームワーク等のリンクが記載してあります。
チートシート
Information Security Posters
よく使うコマンドリスト等を記載したポスター、SANSの研修に行くともらえたりします。The Ultimate List of SANS Cheat Sheets
こちらも、コマンドリスト等ですが、ポスターよりもシンプルなつくりになっています。
『Writing Tips for IT Professionals』等のゼネラルスキル系もあります。
WebCast
- Cybersecurity Webcasts
ほぼ毎日、新しいWebcastが登録されています。リアルタイムで見なくても、後から閲覧可能なので定期的に興味のあるタイトルを除くのが良いと思います。
例えば、『Improving security operations using open source tools』では、セキュリティオペレーションに役立つオープンソースのツール(TheHiveやCuckoo等)の紹介等をしています。
英語コンテンツですが、TOEIC 600以上で、技術的な用語がある程度わかれば、内容は理解できると思います。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/5/3rd
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週はコロナ関連で、ワクチン研究成果に対する中国ハッカーの攻撃に対するFBIの警戒などが報告されました。 その他、大量の偽サイトやThunderspy攻撃の投稿が気になりました。
目次
注目キーワード
大量の偽サイト
アドレス末尾が「.tk」「.ga」「.gq」「.ml」からなる偽サイトが大量に存在していることが報告されています。
何かの攻撃の下準備かとも思えますが、検索エンジンの上位に出てくると厄介な印象です。ただし、アクセスできないサイトも多そうですね。
検索にはこの検索キーワードが非常に役に立ちました。
官邸も新聞社も…偽サイトが大量に出現 誰が何のために
(参考)TampererさんはTwitterを使っています 「こんな感じで検索するとほぼ偽サイトしか出てきません。 https://t.co/34FpyLXWWA」 / TwitterThunderspy攻撃
ファームウェアにパッチを当てるツールキットを用いてThunderboltのセキュリティ機能を無効化し、痕跡を残すことなくデータを奪取可能。
BIOS(UEFI)でセキュアブート、OSのパスワードロックやHDDの暗号化も解除できるということなので、紛失のリスクが高まりますね。逆にフォレンジックにも使えたりするんですかね。
Thunderboltに数分でハッキング完了可能な脆弱性。2011年以降のPCが対象
(参考)Thunderspy PoC demo 1: Unlocking Windows PC in 5 minutes - YouTube
コロナ、テレワーク
攻撃動向・事案
ワクチン研究成果に対する中国ハッカーの攻撃に対するFBIの警戒や金融機関へのサイバー攻撃増加などの報告がされています。
中国ハッカーがコロナワクチン研究成果の窃取試み FBIが警戒 米紙報道
(参考)Nation-state actors are targeting UK universities to steal info on COVID-19 researchCrooks continues to use COVID-19 lures, Microsoft warns
LokiBotがCOVID-19ルアーを継続人気メッセージアプリの偽ダウンロードサイトに注意
Telegram、Viber、WhatsApp、Zoomの偽ダウンロードサイトを紹介COVID-19 - マルウェアがパンデミックに便乗
コロナテーマを悪用するマルウェアのまとめ、Ursnif、Fareit、Emotet等についてIOCやATT&CKのテクニック情報を掲載
無償提供
マイクロソフト社がコロナ関連のIoC、富士通が一部の知的財産権、NICTが「CYDER」の教材を無償公開しています。
Open-sourcing new COVID-19 threat intelligence
(参考)Azure-Sentinel/Sample Data/Feeds at master · Azure/Azure-Sentinel
マイクロソフト社がコロナ関連のスレットインテリジェンスをオープンソース化
その他
テレワークPCを社内に接続するときに注意に関する記事やTwitter誤情報の拡散防止の報告等がありました。
事案
日経新聞、マウスコンピューター、アイ・オー・データの情報流出事案が報告されています。
Shiny Hunters group is selling data from 11 companies on the Dark Web
Shiny Huntersというハッキンググループが、ダークウェブで11社のデータを販売中
攻撃
Reverse RDP Attackの手法、HTTPステータスコードを用いたC2通信、定のIPアドレスレンジに対して攻撃を行うCarpet-bombingの攻撃の観測などが報告されています。
Improper Microsoft Patch for Reverse RDP Attacks Leaves 3rd-Party RDP Clients Vulnerable
「Reverse RDP Attack」に対する脆弱性(CVE-2019-0887)パッチの回避方法Russian APT Turla’s COMpfun malware uses HTTP status codes to receive commands
ロシアのAPT TurlaのCOMpfunマルウェアが、HTTPステータスコードを使用してコマンドを受信2020年4月 TCP SYN/ACKリフレクション攻撃の観測事例
特定のIPアドレスレンジに対して攻撃を行うCarpet-bombingと呼ばれる手法での攻撃を観測U.S Defense Warns of 3 New Malware Used by North Korean Hackers
米国防総省、北朝鮮のハッカー(Lazarus APT)が使用する3つの新しいマルウェアを警告North Korea-linked Lazarus APT uses a Mac variant of the Dacls RAT
北朝鮮のLazarus APTがMac版Dacls RATを使用Threat actors are offering for sale 550 million stolen user records
脅威のアクターが5億5000万件の盗まれたユーザー記録を売りに出すフィッシングサイト構築にクラウドサービスを利用する手口を連続して確認
認証情報を詐取するフィッシングページをホストするため、Evernote、Canva、Infogram、Lucidpress等を悪用Mirai亜種(XTC)による感染活動の観測
9673/tcpに対するアクセス、User-Agentに「XTC」の文字列を含むことが多いインターネット定点観測レポート(2020年 1~3月)
Citrix Systems 社のPoC公開直後から探索行為が始まったとのことランサムウェア攻撃に見られる「共通の傾向」とは?
潜伏期間はほとんどのケースで3日以上、76%のケースでランサムウェアは就業時間外に実行等
脆弱性
Google Firebaseを使用しているアプリやGoogleのWordPressプラグイン「Site Kit」等の脆弱性が報告されています。
推定2万4000のAndroidアプリで機密データの漏洩、ユーザーも開発者も対処を
Google Firebaseを使用しているアプリの保護設定の不備による脆弱性Google WordPress Site Kit plugin grants attacker Search Console Access
GoogleのWordPressプラグイン「Site Kit」が攻撃者に Search Console へのアクセスを許す脆弱性Zerodium will no longer acquire certain types of iOS exploits due to surplus
Zerodium社が投稿数が多いため、特定の種類のiOSエクスプロイトの取得を停止
サービス・製品
自社の強みを生かした領域の拡張やクラウド、テレワーク等のトレンドに乗ったサービス展開が見られました。
防御・ツール
MSとインテルから、マルウェアを画像に変換して分析する手法が報告されています。
MSとインテル、マルウェアを画像に変換して分析する手法を開発
識別と分類で99.07%の精度を達成し、誤検出率は2.58%とのことなので、かなり高精度ですね。脆弱なIoT機器への注意喚起は月300件前後--総務省が報告
総務省のNOTICEの活動報告
キャリア・学習
マカフィー社の退職強要や富士通の「ジョブ型」人事制度等の記事がありました。
経営・マネジメント
NCA社団法人化、改正電気通信事業法、改正情報処理促進法などの報告がありました。
その他
今年のDEF CONは中止だそうです。他のカンファレンスもあと1、2年は中止またはバーチャルになる気がしますね。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/5/2nd
こんにちわ、モグ(@moneymog)です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。
今週はコロナ関連で、海外でコロナ関連の研究情報の窃取、個人情報に対するランサム等の医療関連の機関への攻撃が報告されています。 その他、ExcelのVeryHidden属性を悪用した攻撃手法やエアギャップ(物理的な隔離) のセキュリティの投稿が気になりました。
目次
注目キーワード
VeryHidden属性(Excel)
不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」属性で非表示設定し、隠蔽する手口が報告されています。非表示シートは、シート一覧には表示されずExcelの一般機能からはシートを操作できず、ファイルの変換等が必要とのことです。
「再表示不可」で存在を隠蔽する不正Excel 4.0 マクロの手口を解析エアギャップ(物理的な隔離)
電源をスピーカーに変えてエアギャップを超えて情報を送信させる実証実験が報告されています。2016年にコードブルーでも発表されてますね。当時、衝撃を受けた記憶があります。
New Malware Jumps Air-Gapped Devices by Turning Power-Supplies into Speakers
(参考)[CB16] (物理的に分離された)エアギャップのセキュリティ:最先端の攻撃、分析、および軽減 by Mordechai Guri, Yisroel Mirsky & Yuval Elovici
コロナ、テレワーク
攻撃動向・事案
Snake Ransomware hits Europe’s largest private hospital operator Fresenius during COVID-19 outbreak
COVID-19の発生に伴い、Snakeランサムウェアがヨーロッパ最大の民間病院運営会社フレゼニウスを襲う
攻撃者は、身代金を支払わなければデータを公開するように被害者を脅されたそうですSilverTerrier gang uses COVID-19 lures in BEC attacks against healthcare, government organizations
ナイジェリアのサイバーギャング「SilverTerrier」がCOVID-19のルアーを用いてBEC攻撃を開始
攻撃対象は米国、オーストラリア、カナダ、イタリア、英国の政府医療機関、地方自治体、医療プログラム/センターを持つ大規模大学、地域の公益事業、医療出版社、保険会社などNation-state actors are targeting UK universities to steal info on COVID-19 research
国家権力者がCOVID-19研究の情報を盗むためにイギリスの大学を標的にMicrosoft spotted multiple malspam campaigns using malware-laced ISO and IMG files
ISOやIMGファイルの添付したコロナ系のスパムキャンペーンFake Microsoft Teams notifications aim at stealing Office365 logins
Microsoft Teamsからの通知を装ったフィッシング攻撃India’s Jio Coronavirus symptom checker exposed test results
インドでCOVID-19の症状セルフチェックの結果が流出非公開会議の内容を無許可参加した記者がツイートした件についてまとめてみた
Finacial Times記者が他社オンライン会議に無許可参加
その他
グーグルとアップル、新型コロナ濃厚接触の可能性知らせる「Exposure Notification」のUIとサンプルコードを公開
東京都教育委員会と、都立学校における学習支援サービスの活用に向けた協定を締結 都立学校の生徒 16 万人、教員 2 万人がオンライン学習等で利用する学習支援サービスを提供
事案
中国ハッカーに握られた社内PC 特命チーム暗闘の全貌
三菱電機の事案で、CSIRTがトレンドマイクロ社に不審なファイルを送ったが「異常なし」と回答Sodinokibi gang hacked law firm of the celebrities and threatens to release the docs
Sodinokibiランサムウェアが法律事務所GSMLawをハッキングし、756GBの法的文書を窃盗Unacademy hacked, 22 million accounts offered for sale
Unacademyがハッキングされ、2200万のアカウントが売りに出されるCAM4 adult cam site leaked 11M database records including emails, private chats
アダルトサイトCAM4が個人情報を含む7TB以上の情報を誤公開GoDaddy discloses a data breach, web hosting account credentials exposed
ホスティングプロバイダGoDaddyがアカウント情報流出TOKOPEDIA e-commerce hacked, 91 Million accounts available on the darkweb
ダークウェブで9,100万件以上のTOKOPEDIAのeコマースアカウントが4,000$で販売
攻撃
台湾企業での標的型攻撃事例で新たなランサムウェアを確認
台湾企業での標的型攻撃事例で新たなランサムウェアを確認Zoomに注意、アプリは本物でもマルウェアがインストールされているかも
Zoomインストーラを用いたRevCode WebMonitor RATKaiji, a new Linux malware targets IoT devices in the wild
IoTデバイスを標的とするカイジマルウェアHackers are scanning the internet for vulnerable Salt installs, Ghost blogging platform hacked
Ghostのプラットフォームへの攻撃増加
(参考)Hackers Breach LineageOS, Ghost, DigiCert Servers Using SaltStack Vulnerability その他にも、LineageOS、DigiCert Serversへの攻撃も報告されていますCredit card skimmer masquerades as favicon
クレジットカードスキマーがファビコンを装う手法
脆弱性
SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起
Expert released PoC exploit for CVE-2020-1967 DoS flaw in OpenSSL
OpenSSLの脆弱性(CVE-2020-1967)のPoCエクスプロイトを公開Issues in Elementor Pro and Ultimate Addons for Elementor exposed 1 Million WordPress sites at risk
WordPressのプラグイン「Elementor Pro」「Ultimate」の脆弱性の報告
サービス・製品
マイクロソフト、Webブラウザで動作する開発環境「Visual Studio Codespaces」発表。Visual Studio Onlineを名称変更、料金も値下げ
(参考)オンラインコーディングプラットフォームのセキュリティリスク
防御・ツール
President Trump’s executive order bans foreign electrical equipment from national power grid
トランプ大統領が外国製の電気機器を国の送電網に入れることを禁止する行政命令を発令Law enforcement agencies dismantled Infinity Black hacker group
キャリア・学習
経営・マネジメント
その他
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。
SecNews Weekly Report 2020/5/1st
こんにちわ、モグ(@moneymog)です。
今週はコロナ関連で、同名の別ソフトダウンロードやビジネスメール詐欺等の注意喚起がされています。
また、テレワーク環境を狙ったRDPブルートフォール攻撃の世界的な急増等が報告されています。
その他、Appleのマルチメディア処理部品にゼロクリック脆弱性やラテラルフィッシング等の手法が報告されています。
目次
注目キーワード
ゼロクリック攻撃
Google found zero-click vulnerabilities in Apple’s multimedia processing components
(先週)iPhoneのメールアプリの脆弱性を狙うゼロクリック攻撃についてまとめてみた
Appleのマルチメディア処理部品にゼロクリック脆弱性があり、細工された画像や動画をSMSやメールで送信するだけで、デバイスを乗っ取ることが可能。Appleは1月のセキュリティアップデートでこの脆弱性を対処済み。ラテラルフィッシング
Group-IB uncovers PerSwaysion – sophisticated phishing campaign targeting executives worldwide
(参考)「ラテラルフィッシング」とは?
世界150社以上のエグゼクティブを標的としたフィッシングキャンペーン「PerSwaysion」が行われており、感染したアカウントから他の幹部やビジネス関係者にフィッシングメールを展開する。日本でも1件報告あり。
コロナ、Web会議、テレワーク
コロナ関連の攻撃、詐欺
IPAから同名の別ソフトダウンロードやビジネスメール詐欺等の注意喚起がされています。また、海外ではRDPのブルートフォース攻撃、偽情報や誤報等の増加が報告されています。
ソフトウェアのダウンロードは信頼できるサイトから!(IPA)
Zoomの同名の別ソフトウェアのダウンロードに関する注意喚起偽口座への送金を促す“ビジネスメール詐欺”の手口(第三報)(IPA)
COVID-19関連の情報を悪用した例等を追記RDP brute-force attacks rocketed since beginning of COVID-19
RDPのブルートフォース攻撃が急増COVID-19 disinformation and misinformation campaigns continue to proliferate
COVID-19の偽情報や誤報が世界的に増加Experts warn of deliveries scams that use a COVID-19 theme
コロナテーマのテーマを使った宅配詐欺メールCrooks spread malware via pirated movies during COVID-19 outbreak
コロナ情勢における海賊版映画を装ってマルウェアを拡散
テレワーク向けサービス
グーグルやマイクロソフトからGoogle MeetやMicrosoft 365 Business Basic等の無償提供が実施されます。
その他
10万円給付金申請に関連して、「マイナポータル」のサイトのアクセス困難が報告されています。
事案
国内では、三井住友銀の顧客情報を含むHDDの紛失、海外では、フランスの日刊紙のElasticsearchサーバの誤った公開による7.4億件の情報流出が報告されています。
French daily Le Figaro leaks 7.4 Billion records
フランスの日刊紙「ル・フィガロ」が7.4億件の情報流出
攻撃
国内では、東京オリンピックへの支援を呼びかける偽の寄付メールが報告されています。海外では、イスラエルの水道施設のICS/SCADAシステムを狙った攻撃等が報告されています。
Hackers targeted ICS/SCADA systems at water facilities, Israeli government warns
イスラエルの水道施設のICS/SCADAシステムを狙った攻撃Crooks target US universities with malware used by nation-state actors
米国大学を狙った中国系APT3によるHupigon RATでの攻撃EventBot, a new Android mobile targets financial institutions across Europe
ヨーロッパの金融機関を狙ったAndroidマルウェア「EventBot」での攻撃Shade Ransomware gang shut down operations and releases 750K decryption keys
Shadeランサムウェア(Troldesh)が停止し、75万以上の複合カギが公開wizSafe Security Signal 2020年3月 観測レポート
PHPUnitの脆弱性(CVE-2017-9841)のスキャン通信、COVID-19を題材としたメール増加を観測
脆弱性
Microsoft Teams、Oracle WebLogic Server、VMware ESXi、Samba等の脆弱性が報告されています。また、WordPressのプラグインでも多数脆弱性が報告されています。
How An Image Could've Let Attackers Hack Microsoft Teams Accounts
GIF画像送付によるMicrosoft Teamsの脆弱性Hackers exploit SQL injection zero-day issue in Sophos firewall
ソフォス社のXG Firewallの SQLの脆弱性Critical Bugs Found in 3 Popular e-Learning Plugins for WordPress Sites
WordPressのeラーニングプラグイン「LearnPress」「LearnDash」「LifterLMS」の脆弱性100k+ WordPress sites exposed to hack due to a bug in Real-Time Find and Replace plugin
WordPressの検索置換プラグイン「Real-Time Find and Replace」の脆弱性Over 800K WordPress sites are at risk due to a flaw in Ninja Forms plugin
WordPressのお問合せフォームプラグイン「Ninja Forms」の脆弱性
サービス・製品
アンチウイルスソフト性能検証の紹介記事が投稿されています。
防御・ツール
海外で、VictoryGateボットネットのテイクダウン報告がありました。また、SysmonSearch v2.0がリリースされています。
Previously undetected VictoryGate Botnet already infected 35,000 devices
主にラテンアメリカで活動していたVictoryGateボットネットのテイクダウンMicrosoft Threat Protection leads in real-world detection in MITRE ATT&CK evaluation
MITRE Att&ckベースのMicrosoft Threat Protection評価
キャリア・学習
新入社員のキャリアに対する意識調査、中途採用比率の公表義務化に関する調査の報告がされています。
経営・マネジメント
TaniumのプラットフォームとNTTのMSSの戦略的提携が公表されています。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等を
Twitter(@moneymog)でお知らせしています。
よろしければ、フォローください。