SecNews Weekly Report 2020/3/3rd
こんにちわ、モグ(@moneymog)です。
先週に引き続きコロナ関係の記事が多く、リモートワークへの攻撃の増加とコロナテーマの攻撃が増え続けているという情報が多く発信されています。
その他では、「SIM Swapping」という攻撃手法とSASE(サッシー)という防御技術の概念が気になりました。
目次
- 注目記事 : 2件
- コロナ : 16件
- 事案 : 4件
- 攻撃 : 7件
- 防御 : 1件
- 脆弱性 : 2件
- サービス・製品 : 4件
- キャリア : 1件
- その他 : 2件
注目記事
【攻撃動向】Europol Arrests 26 SIM Swapping Fraudsters For Stealing Over $3 Million
SIM SwappingやSIM Hijackingと呼ばれる攻撃手法を用いて約390万$盗んだ犯人が捕まったとのこと。 盗んだ個人情報を使って、SIM業者にSIMカードを再発行させて、電話番号を乗っ取って、2要素突破やパスワードリセットを行うらしい。【防御手法】SASEとは?オールインワン製品でDX推進に向けた効率的なセキュリティ投資を!
SASE(Secure Access Service Edge)を説明した記事。ネットワーク視点で包括的に守るという概念。ゼロトラストの次のキーワードとしてはやりますかね。
あと、サッシーと読むらしいので製品宣伝のタレントには指原さんの起用が増えると面白い。
コロナ
【攻撃動向】How CISOs Should Prepare for Coronavirus Related Cybersecurity Threats
コロナ関係のサイバー攻撃へのCISOとしての向き合い方。リモートアクセスと偽コロナメールが流行っていてそれに対応が必要とのこと。対策としてはCynet社の製品を提案(察し)。【攻撃動向】Thousands of Coronavirus-related malicious domains are being created every daySecurity Affairs
コロナ関係の悪意あるドメインが毎日増えているという分析。covidやcoronaでプロキシログをあさってもよいかもしれませんね。
ただし、covidだとnicovideo.jpが引っかかるので注意が必要。【攻撃動向】Cybercriminals impersonate World Health Organization to distribute fake coronavirus e-book
WHOに成りすましたMaldocメール送付の事案。どんどん巧妙になっていくんでしょうね。【攻撃動向】Coronavirus news used by Emotet and Trickbot to evade detectionSecurity Affairs
TrickBot and Emotetがコロナ関係のニュース内容を使い始めたという分析。 引き続きコロナ関係はサイバー的にも注意が必要ですね。【攻撃動向】Is APT27 Abusing COVID-19 To Attack People ?! ....Security Affairs
APT27のコロナ関連の情報を悪用した攻撃の分析。コロナ関連で絞ってアクター分析するだけでも、それぞれの色が出てきたりするのかな。【攻撃動向】Hackers Created Thousands of Coronavirus (COVID-19) Related Sites As Bait
ハッカーがコロナ関係の大量にドメインを仕入れているという分析。 コロナ関係の攻撃が一層増えそうなので注意ですね。 (参考)OTXの「COVID-19」関連IOC【攻撃動向】新型コロナウイルスで増えるテレワーク狙う、サイバー攻撃に警戒を
テレワーク狙うサイバー攻撃への注意喚起の記事。 えいやでVPN使う企業もあるでしょうから、リスクは良く考える必要がありますよね。【防御考察】Work from home company playbook | Offensive Security
コロナ関係でリモートワークについて、効果的に組織運営する5つのヒントの記事。
4つ目の「仕事以外のことを忘れない」に共感します。仕事のパフォーマンス大いに変わってきますね。【攻撃動向】Ursnif campaign targets Italy with a new infection Chain - Security AffairsSecurity Affairs
イタリアを標的としたUrsnifキャンペーンが行われているという分析の記事。 docファイルのdropperだから、コロナ関係の情報が使われてそうな気がしますね。【攻撃動向】A cyberattack hits the US Department of Health and Human Services - Security AffairsSecurity Affairs
コロナウイルスをテーマとした攻撃の事例。米国保健福祉省が攻撃されたらしい。 チェコの主要なコロナ試験施設である大学病院も数日前に攻撃されたと記載があるが、コロナが仕事に直接関係する方々は、攻撃にひっかかりやすくなりますよね。【攻撃動向】APT36 jumps on the coronavirus bandwagon, delivers Crimson RAT
脅威アクターの間でも、コロナ関係の情報偽装を使うものがあり、それらについての分析の記事。 脅威アクターにも、この手の話題調査のためのリサーチャーとかいるのかなぁ。【防御考察】気を付けたい、テレワーク時のセキュリティ7つの落とし穴
のぞき見や公共無線LANの利用等のテレワークにおける注意点を具体的に記載。ニセの会議招集メールなんて、気が抜けた家ならアクセスしちゃう可能性ありますね。【脆弱性】今度は「CoronaBlue」? Microsoft SMBに新たな脆弱性、手違いで情報公開のフライングも
SMBv3の脆弱性の記事。「CoronaBlue」と一部で命名されたらしいが、リアルとデジタルのVirusが混ざるからやめてほしい。【時事】ネット通信量が急増 テレワークや休校が背景か 新型ウイルス
コロナにより、在宅社が増えて、トラフィックが増えたという記事。一瞬、新たなマルウェアが出てかと思ってしまうのは、職業病かな。【時事】五輪チケット、規約上払い戻しは不可 コロナで中止なら
コロナは不可抗力だから返金しないかもとのこと。この金額感で返金しないという選択肢がとられるのだろうか【サービス】IIJ、リモートアクセスVPN環境を初期設定込みで2020年5月末まで無償提供
IIJからVPN機器「SEIL/X1」の無料提供を開始。通信インフラがこういうときに動いてくれるとありがたや。
事案
【事案】SOD動画無料配信に「情報流出」報告 会員のメルアドや閲覧履歴が...会社側「調査中」
無料配信で注目度あがったのに、個人情報流出事案とは残念ですね。セキュリティの大事さがわかる事例。【事案】CERT France – Pysa ransomware is targeting local governments
Mespinozaランサムウェア(別名Pysaランサムウェア)が地方自治体を攻撃したとの報告。暗号化の拡張子は「.locked」「.newversion」等が情報として載っています。
既知の拡張子を探すだけでも、侵入検知とかできないかなぁ。
(参考1)ypid/ransomware-file-extensions: List of known Ransomware file extensions
(参考2)ランサムウエア対策特設サイト【事案】あの動画配信サービスがサイバー攻撃の被害、「生放送」ができない状態に
niconicoにDoS攻撃が発生したとの記事。DoS攻撃の裏の目的はなんなのだろうか。【事案】「アンケート」答えたら…借金30万円 大学生が被害
アンケート答えたら、個人情報悪用されて、借金背負わされた事案。 SIM Swappingとかもそうだけど、個人情報の悪用方法ってまだまだいろいろありそうな気がする。
攻撃
【攻撃動向】JPCERT/CCに報告されたフィッシングサイトの傾向
ここ一年で急激に増えてる模様。ターゲットは、世界的にはEコマース多く、国内では通信事業者、金融、LINEが多い。ドメインも巧妙なものが多い。
憶測ですが、数が増えてる理由は、攻撃手段の共通武器化やSaaSなども裏ではあるんですかねぇ。【攻撃動向】TrickBot Now Exploits Infected PCs to Launch RDP Brute Force Attacks
TrickBotにRDPBrute Force機能が追加されたという分析。 Emotetで展開されるという情報もありますし、最近よく名前を見かける印象。【攻撃動向】Most ransomware attacks take place outside the working hoursSecurity Affairs
ランサムウェアの攻撃は時間外または週末を狙われという分析。 攻撃者視点だと人減ってからの方が対処遅れるからより効果的だなぁ。【攻撃動向】クラウドストレージの誤設定による情報漏えいが続発
クラウドストレージの設定ミスによる情報漏えいに関する記事。アクセス権限周りの管理が大事なことが身に染みる情報。【攻撃手法】巧妙な手口で「二要素認証」を突破、ネットバンキングの「ワンタイムパスワード」を狙う偽サイトに注意
ワンタイムパスワードも一緒に窃取して、二要素認証を突破する手法。二要素認証もリスト型攻撃には有効ですが、フィッシングには注意が必要。【攻撃手法】感染スマホを“踏み台”に、マルウェアばらまく──巧妙化する「Roaming Mantis」の手口
スマホ向けウイルスにも解析対策の機能が追加されたり、ボットネット化する動きがあるらしい。 PCに対する攻撃のナレッジはスマフォにも生かされつつあるようです。【攻撃動向】Microsoft SMBv3の脆弱性(CVE-2020-0796)に関連するアクセスの観測について
@policeのSMBv3に関連するアクセス増加の報告。脆弱性の認知、悪用のためのスキャンという、攻撃者のいつも通りの流れ。
防御
- 【防御技術】高度なコマンドインジェクション攻撃とその対策 - WAF Tech Blog
ScutumのWAF回避攻撃への対策を紹介した記事。技術開発のむずかしさが伝わってきますね。
脆弱性
【脆弱性】Adobe Acrobat および Reader の脆弱性 (APSB20-13) に関する注意喚起
Adobe Acrobat および Readerの脆弱性の注意喚起。 悪いコンテンツ開きで、ユーザ権限での任意コード実行が行われるとのこと。【脆弱性】[サイバーセキュリティ月間2020] 製品のサポートが終了したらどうなるの?
マイクロソフト製品のサポートが終了するとどうなるのか説明した記事。2020年10月13日に「Office 2010」のサポートが終了ですか。まだ使ってる人は乗り換え準備したほうがいいですね。
サービス・製品
【サービス】オントラック、データ消去検証サービス「EVS」を日本市場で提供開始
神奈川県庁HDD流出事件関係でニーズが増えたことによる、サービス提供とのこと。
「SP800-88 Rev.1(2014)」準拠の保証らしい。インパクトの大きいニュースはニーズを生むものなんですね。【サービス】いよいよ始まる10Gbps接続の「フレッツ 光クロス」、NTT東日本を直撃!
10Gbps接続の「フレッツ 光クロス」が始まるとのこと。ついにインターネット速度が10Gになる時代になったか。【製品】ソリトン、インターネット分離環境でのファイル受け渡し装置の新製品
ソリトン社の既存製品「FileZen S」のリリース。FileZenからファイルの受け渡しがシンプル(ドラッグ&ドロップ)になったらしい。
既存のものに比べるとだいぶ使い勝手よくなってそうですね。【製品】マカフィー、SASE実現する統合クラウドセキュリティプラットフォーム発表
マカフィーの統合クラウドセキュリティプラットフォームの記事。 SASE(セキュア・アクセス・サービス・エッジ)の一部を実装するUnified Cloud Edge(=CASB+SWG+DLP)を提供するとのこと。
キャリア
- 【転職動向】転職希望の公務員が急増 外資やITへ流れる20代
20代公務員の外資やITへの転職が増えているという記事。僕もこのステップをだいぶ前に踏んだけど、技術者のキャリアが確立できないのが不安であったり不満だったんだよなぁ。
その他
【子供】Child identity theft, part 1: On familiar fraud - Malwarebytes Labs
子供の個人情報(Social Security number (SSN)等)が悪用される事例が結構あり、60%が顔見知りという記事。親はマイナンバーやメール、SNSのIDなどの管理にも気を配った方が良いかもしれませんね。
prat2【実証実験】「タチコマ」でサイバー攻撃対策、アプリ無償配布のユーザー参加型実証実験始まる
ウェブ媒介型サイバー攻撃対策プロジェクトの記事。タチコマがサイバー攻撃情報収集して、並列化して攻撃サイト見つけるとか胸熱。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。