SecNews Weekly Report 2020/3/2nd
こんにちわ、モグ(@moneymog)です。
今週はコロナ関係の記事が多く、コロナテーマの攻撃が多数報告されています。
その他では、サービス関連のプレスリリースが多くされていた印象です。
また、技術観点では、悪意のあるSMSの送信元偽装、Tabnabbingが気になりました。
目次
- 注目記事 : 2件
- コロナ : 9件
- 事案 : 6件
- 攻撃 : 5件
- 防御 : 4件
- 脆弱性 : 1件
- サービス・製品 : 7件
- キャリア : 3件
注目記事
【攻撃手法】これは見破れないかも? 「犯罪者のSMS」と「正規のSMS」が混ざって表示される送信元偽装【意外と知らない? ネットセキュリティの基礎知識】 - INTERNET Watch
送信元として設定された文字列をベースにスレッド管理するのを悪用したらしい。こんなことやられたら、仕様知らなきゃ、絶対気づけないですよね。【攻撃手法】グーグルのエンジニアが警告、「別タブで開く」リンクは実はヤバいんだって!?【SEO情報まとめ】 | 海外&国内SEO情報ウォッチ | Web担当者Forum
Tabnabbing対策で「rel=noopener」追加を推奨する記事 。新しいタブで開いたのに、転送元のページが別のページに遷移されてしまう手法で、 転送元のページがフィッシングサイトに変えられてしまうかもしれないらしい。
コロナ
【攻撃動向】新型コロナウイルスをサイバー攻撃に悪用、その手口を知ろう | マイナビニュース
コロナ話題を使った、Emotet、フィッシング、マスク詐欺等の情報。ある種のマーケティングな気もするけど、これで被害にあってしまう人の属性が気になる。
(一次)How cybercriminals are taking advantage of COVID-19: Scams, fraud, and misinformation | Digital Shadows【攻撃動向】新型コロナウイルスに便乗した架空の“マスク販売広告メール”にご注意!(速報第2弾)
架空のマスク販売広告メールからのフィッシングでの個人情報摂取事案。攻撃者は何かについけて話題を悪用しますね。【事案】厚生労働省ホームページの偽サイトにご注意ください|厚生労働省
厚生労働省ホームページの偽サイト事案 。世界的な事象は、何でも悪用される印象です。【サービス】全国一斉休校を受け無償提供されたオンラインサービスをまとめてみた - piyolog
素晴らしい動きだと思う。それに、提供するがからすると良い宣伝になるのかなと思ったり。【政府】事業継続緊急対策(テレワーク)助成金 開始(第70報)|東京都
全額補助してくれるようなので、キャッシュがない中小企業にはちょうどよさそう。要件がいろいろありそうなので要確認です。期間は2020/3/6~5/12。【分析】新型コロナウイルスのフレッツトラフィックへの影響 | IIJ Engineers Blog
IIJがネットのトラフィックで、コロナによるリモートワーク動向を分析。インターネット(情報通信)はやはり重要インフラの一つ。【偽情報】職員の不祥事のご報告とお詫び 米子医療生活協同組合
トイレットペーパー品薄デマの謝罪。情報の確度を意識しない人が多い世の中なのかなぁと思いました。あと発信者は、バイトテロに通ずるものがあり、ネットリテラシー大事ですね。【偽情報】偽情報を故意に流す「ディスインフォメーション」が、SNSの信頼を脅かす - INTERNET Watch
技術的対策はある程度効果でるかもだけど、長期的にはユーザのリテラシー向上しかないとのご意見。一次ソースとか発信者の信頼度とか意識するとか、習慣づけるのはコストが高そうな印象。【会合】サイバーセキュリティー業界の年次会合、参加者2人が新型コロナ感染 - Bloomberg
参加者は注意が必要ですね。
(一次)Two People Who Attended Cyber Event Contract Coronavirus - Bloomberg
事案
【事案】まさかスマホ落としただけで…不正アクセス容疑で男逮捕:朝日新聞デジタル
とばし携帯と同じ感じの使われ方ですね。プライベートでも紛失時のリスクを踏まえる必要がありますね。【事案】Microsoft Outlook の「取り消し」機能を誤解、誤送信が2度発生(熊本市) | ScanNetSecurity
熊本市の事案。取り消せると思うとチェックも甘くなるんですかね。あと取り消し機能なんてあったんだと思いました。【事案】フランチャイズ加盟店が管理する求人サイトの一部内容において不適切な表現が掲載されてしまった件について
Dr.ストレッチフランチャイズ加盟店である「株式会社つながり」の事案。パスワードの適切な管理が大事ですね。【法律】ダウンロード規制、閣議決定 スクショの写り込みはOK:朝日新聞デジタル
ダウンロード規制、拡大解釈してしまうビビリ民としては、こういう具体的な解釈がどんどん出てくれると嬉しい。【教育】【ほぼ15秒アニメ】子ブタと学ぼう!情報セキュリティ対策のキホン:IPA 独立行政法人 情報処理推進機構
CMっぽく、印象に残りやすいコンテンツになっていて、小中高生が見る番組のCMに入れてほしい。【攻撃動向】NICTER 解析チーム(試験運用中)さんのツイート
大規模な攻撃が行われているみたいですね。日本だけを狙った攻撃ではなさそうです。
攻撃
【攻撃手法】【それってネット詐欺ですよ!】Amazonのドメインのメールアドレスからフィッシング詐欺メールが来た【被害事例に学ぶ、高齢者のためのデジタルリテラシー】 - INTERNET Watch
IPアドレスを記録した等の脅しや送信元メールアドレスの詐称の手法と対策として自分のブラウザのブックマークからアクセスを推奨。【攻撃手法】あなたのApple IDはロックされています - 詐欺メールの見分け方と対処法 | マイナビニュース
Apple系の詐欺メールが多い印象で、本物メールも疑ってかかってしまう今日この頃ですが、セキュリティ的には安全面に倒す方が良いと思っています。【攻撃手法】パスワード盗まずに乗っ取る 新型フィッシングの手口 :日本経済新聞
記事は制限がかかっていて見れないが、おそらく(詳細)に記載の「OAuth API」を使ったフィッシング攻撃ですかね。権限連携のセキュリティも注意しなければなりませんね。
(参考)Office365のOutlookアドインを悪用するフィッシングキャンペーンが登場(大元隆志) - 個人 - Yahoo!ニュース【攻撃動向】年間脅威動向分析:2019年に発生した攻撃から読み取れるもの | トレンドマイクロ セキュリティブログ
「Emotet」「二要素認証回避」「利用者クレカ狙いのサイト改ざん」と去年もいろいろとありましたね。攻撃動向のウォッチが大事ですね。【攻撃動向】ハッカーがデバイス攻撃時に最初に試すパスワードとは - ZDNet Japan
良く試されるパスワードは、「admin」「12345」「default」「password」「root」などで、それだけ使われてるということですね。
(一次)These are the first passwords hackers will try when attacking your device | ZDNet
防御
【技術考察】【HackTheBox】Active - Walkthrough - - Qiita
HackTheBoxというサイバーセキュリティトレーニングのオンラインプラットフォームへの攻撃の記事。情報整理する上でやっぱりATT&CKは便利。【防御技術】パスワードの不安を解消! テレワーク成功のカギは「トークンレス・ワンタイムパスワード」の認証システム | マイナビニュース
PIN+毎回変わる変換リストを活用することで、最終的に入力されるパスワードがいつも異なるという手法。ネットワーク上はOTPだけど、UI上は固定パスワードが見えるけど、どの程度安全度が高まるのだろうか。【動向調査】セキュリティパッチを適用しない理由、「方法が分からない」「設定が面倒くさい」など、IPA調査 - INTERNET Watch
パッチ当ては大事だけど、内容理解が難しいことやパッチ当てによる不具合等の懸念点があるのもわかる。
(一次)2019年度情報セキュリティの倫理に対する意識調査 -調査報告書-【調査手法】普段の調査で利用するOSINTまとめ - Qiita
多くのOSINT先がまとまっていて、非常に有用です。
脆弱性
- 【脆弱性】定例外で修正されたSMBv3の脆弱性(CVE-2020-0796)についてまとめてみた - piyolog
WannaCryのようなワーム型プログラムの発生の懸念、2020/3の月例アップデートに含まれなかったから話題になったとのこと。
サービス・製品
【製品】昨今脅威を増す『改ざんサイト』に対応した新機能を「i-FILTER®」最新版に搭載、セキュリティ対策の新ジャンル「ホワイトリスト運用」を強化 猛威を振るう「Emotet」や組織のクラウドメールを狙った攻撃にも対処|デジタルアーツ株式会社
二要素認証回避対策のような気がします。送ってい良いサイトだけホワイトリスト運用するみたいですが、クレデンシャル情報をどう区別するのかが気になります。【サービス】KPMG、企業のサイバーディフェンスを強化する、Microsoft Azure Sentinel向けの新しいセ - KPMGジャパン
最近、MSS系の市場が潤っていて、レッドオーシャン化しつつあるような印象がある。【サービス】マクニカネットワークス、次世代ネットワーク型AIセキュリティ「Network Detection and Response」を提供するVectra AI社と代理店契約を締結
NDR製品を販売する模様。はやり初めにどんどん担ぐ攻めのスタイルが好感持てます。【サービス】三井物産セキュアディレクションとベライゾン、日系グローバル企業、グループ企業、エンタープライズ企業の保護を目的にサイバーセキュリティ分野で協業開始
インテリジェンス、IR支援等のよう。Verizonが日本進出のために、MBSDを窓口として助けるイメージかな。あと、日本がアジアのなかでMSS導入において最も急成長している市場らしい。【サービス】SOMPO系、金融向けサイバー侵入テストのサービス :日本経済新聞
今はやりの脅威ベースのペネトレーションテスト(TLPT)の支援サービス提供とのこと【サービス】FireEye、Mandiantの新しいサービスを発表 | FireEye
SOCの脅威検出能力、対応能力をフォーカスしたコンサルが気になるけど、担当者によって品質にばらつきがでない工夫はあるのか気になります。【社名変更】シマンテックからノートンに変更--新体制で発足 - ZDNet Japan
製品のブランド名を「ノートンLifeLock」を主軸に行く戦略ですかね。
キャリア
【サービス】地方でも中小でも「会いに来るCISO」 ~ グローバルセキュリティエキスパート株式会社の「vCISO」とは | ScanNetSecurity
セキュリティエンジニアがフリーランスとして働きやすそうなイメージの仕組みっぽい。そのうち登録してみたい。
(参考)情報セキュリティ人材のマッチングサービス | vCISO 情報セキュリティ人材のマッチングサービス【募集】非常勤職員の募集のご案内 (METI/経済産業省)
サイバーセキュリティ・情報化審議官を募集。兼業も可能なので、非常に面白そうです。【募集】NISCサイバーセキュリティ協議会構成員募集
第一類、第二類、一般の3種類の枠がある。第一類ほど貢献が必要だけど、深い情報が得られ、一般は貢献少し、得られる情報も少しとギブ&テイクの仕組みが考えられている模様です。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。