UJP - ニュース・徒然カテゴリのエントリ

Life is fun and easy!

不正IP報告数

Okan Sensor
 
メイン
ログイン
ブログ カテゴリ一覧

  • カテゴリ ニュース・徒然 の最新配信
  • RSS
  • RDF
  • ATOM

ブログ - ニュース・徒然カテゴリのエントリ

DNSトンネリング

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2021/6/11 23:00
 普通のDNSリクエストの中に,データ送受信が含まれる攻撃.

DNSトンネリング: 攻撃者はDNSをどう悪用するのか
https://www.paloaltonetworks.jp/company/in-the-news/2019/dns-tunneling-how-dns-can-be-abused-by-malicious-actors


PaloAlto Networksのサイトから引用

 DNSのAレコードに長いFQDNでデータを仕込んだり,TXTレコードから送り込んだりか.

 DNSクエリログも取得しておくことが大事.うちは,DNSは外部に任せていたりするからなぁ.
 去年あたりからGIGA構想とかで子供にタブレット端末が配られているわけだが,名古屋市では,操作履歴を「同意なしで記録した」ことが「発覚した」ので,ちょっと話題.

小中学生に配布のタブレット端末、履歴を市が無断記録 利用を当面停止 名古屋市
https://news.yahoo.co.jp/articles/b3675161812187dfeec3acea8e5f66c364a72760

引用:
名古屋市では国の構想に基づきタブレット端末の配備を進めていて、5月末までに市内の小中学生の約4割にあたる7万人が利用しています。

 10日開かれた市議会の委員会で、名古屋市はタブレット端末のインターネットの閲覧記録やメールの送受信など、生徒らの操作履歴を利用者の同意なく、全て記録していることを明らかにしました。
 企業向けだと各所にあるゲートウェイによるネット閲覧,EDRによる振る舞い検知用のログ収集は当たり前?だけれど,「子供を悪いインターネットから保護する」事を主目的としているだろうから,説明不足.即座に説明できない点も対応が良くない.

 教育委員会も利用停止を通知しているだけで,記録を取らないようにする改善などは求めてないのかな.ちゃんと猶予があることになていると,思いたいけど.

 他の行政はどうしているんだろうね.

Excel 4マクロ

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2021/6/10 1:38
 まだ互換性の実装があるっていうのでびっくり! 盲点といえばたしかにそうか.存在を若い人は認識してないし,古い人は忘れてる!

古いExcel 4マクロ悪用したサイバー攻撃急増、セキュリティソフト検出難しく
https://news.mynavi.jp/article/20210429-1881434/

 そう.VBA登場前の,Excel 4.0あたりで実装されていた,ワークシート関数のようなものがあった.
 それを駆使して,パラメータ入力画面とその値チェック,SequeLinkのドライバをExcelに読み込まさせてDBサーバと通信してデータを取り出し,CSVあたりに加工して出力するようなものを作った.もう30年近く前だとおもうけどな.
 5月中旬に応募したCYDERオンラインβ版ですが,残念ながら落選.
 去年入手した教材も持ち腐れだから,丁度良いのかもしれん

原子力規制委にサイバー攻撃

カテゴリ : 
セキュリティ » ニュース・徒然
ブロガー : 
ujpblog 2021/5/26 0:32
 こういう事件を見ると,ログ保管期限,とかが木になるね.官民,あるいは官でも重要度によって変わってくるけれども.まぁ,予算もあるが原子力って現在は予算潤沢なのかどうか,わからんな.

原子力規制委にサイバー攻撃、パスワード250件被害
https://www.asahi.com/articles/ASP5N5JR0P5NULBJ012.html

  • 職員のIDパスワード2540件以上が盗まれた
  • 不正アクセス覚知は2020年10月26日
  • 2019年8~9月の間にVPNの脆弱性から親友されさらに盗まれた情報で不正侵入の複利状態.
  • 行政文書の流出は確認されていない

     確認されてないけれど,無いとは言えない,それは確認されてないから.悪魔の証明か.

  • 安全のため職員は個人のメールで外部に連絡できず、部署ごとの共用メールや電話、ファクスを利用している

     これ今だに「脱ホスト」,とかを言っている組織の人にも根気強く言ってあげたい.いつも「COBOL資産が・・・」と言っているけれど,重要なのは総合的な運用をリビルドする意味があるのですか?ということだと思う.セキュリティって,サイバーセキュリティだけで無いから,話は脱線してそうでしてないつもりw
  • その頭痛,攻撃かも?

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/5/21 0:07
    米当局者の原因不明の症状、ホワイトハウス敷地入り口付近で発症 情報筋
    https://www.cnn.co.jp/usa/35170869.html

    引用:
    (CNN) 昨年11月に米国家安全保障会議(NSC)関係者2人が原因不明の症状に見舞われた件で、詳細が明らかでなかった1人はホワイトハウス敷地の入り口付近で発症していたことがわかった。情報筋2人がCNNに明らかにした。
     マイクロ波エネルギーの可能性が高いけれど,確証は無いそうだ.スポーツの試合中にレーザー光線みたいなのがあったけれど,あれは色がついていたからわかりやすかったし,ドラマのガリレオの「燃える!変人天才科学者」で唐沢寿明が演じたような攻撃か.

     常時測定器で測っていないと特定的無いね. ロシアのスパイ?とかの謎の毒殺死とかよりわかりづらい.
     「あの人最近頭痛に悩んでいた」という周りの証言が得られるようになれば自然死で処理され完全犯罪.(解剖したら脳が過熱している状態とかもあるのか)

     私は狙われないだろうけれど,一番怖いのは,そういう「マイクロ波の流れ弾」にあたることか.

    インターネットノイズ

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/5/20 0:49
     小説のような感じで始まるので面白い.

    追跡 記者のノートから ”インターネットノイズ”に潜む悪意
    https://www3.nhk.or.jp/news/special/jiken_kisha/kishanote/kishanote14/

    引用:
    私たちがふだん利用しているインターネットには、ノイズのような信号が含まれているのを知っていますか?

    ほとんどの人が気づかず、無視されているノイズ。
    しかし、大量に集めて分析してみると、ノイズの中に人間の悪意が潜んでいることがわかってきました。

    “インターネットノイズ”を追いました。
     データを集めて整理して偵察活動のようだ,との導き.

    CYDERオンライン オープンβ版

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/5/18 23:56
     もう,申し込み締め切っているけれど,応募はした.

    実践的サイバー防御演習「CYDERオンライン」オープンβ版の受講者を募集
    https://www.nict.go.jp/press/2021/04/22-1.html

    引用:
     5) 難易度:初級レベル
    ※情報システムに携わり始めたばかりの方、インシデントが発生した際の対応者、安全に情報システムを運用したい方、インシデントへの備えを学びたい方など
    6) 募集人数:300人程度
    ※申込み多数となった場合、同一組織に偏りが出ないよう調整の上、抽選とさせていただきます。
    7) 受講決定通知:応募者全員に受講の可否を、5月28日(金)までにメールでご連絡します。
     同一組織の判定ロジックがわからないけれど,去年も教材もらって,アンケートに答えそびれたので落選かな...すまん.

    パスワードマネージャ

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/5/12 11:02
     パスワード使いまわすなキャンペーンもあり,ここ1年,パスワードを管理するパスワードマネージャのニーズも上がっていると思うけれど,誰もが懸念する「パスワードマネージャに脆弱性があったら一連托生」と思われている中での事件発生.

    Passwordstate、不正アップデートとフィッシング攻撃発生
    https://news.mynavi.jp/article/20210504-1883266/

    引用:
    Click Studiosの説明によると、4月20日午後8時33分(協定世界時)から2021年4月22日午前0時30分(協定世界時)の間にインプレースアップグレードを行ったユーザーは、不正な形式の「Passwordstate_upgrade.zip」ファイルをダウンロードした可能性があるという。

     するとこんな意見も.

    パスワードマネージャはまだ使うべきか?
    https://news.mynavi.jp/article/20210511-1886558/

    引用:
    SANSは5月10日(米国時間)、「SANS Institute|Are Password Managers Still Safe and Secure?」において、パスワードマネージャは完璧なソリューションとは言えないものの、利用することで得られるメリットが多く、現状では使うほうが得られるメリットが多いと伝えた。
     メリデメ的にはメリットが多いという意見.

     有名なものを使うと狙われやすい.マイナーなものは,実際のところがどうだかわからん.


    LastPass
    https://ja.wikipedia.org/wiki/LastPass
     フリーミアムのパスワード管理サービス.ブラウザのプラグインとして利用可能だが,過去に問題があった件について情報公開されてないという不透明感がある.


    KeePass
    https://ja.wikipedia.org/wiki/KeePass
     デフォルトでは、このファイルはクラウドストレージではなく、ローカルのファイルシステムに保存される,とあるので複数台のPC・スマホを使っている立場で言うと,使い勝手は悪いかな.でも,周りの人はこれを使っている人が多いね.
    Appleがハッカーから「身代金を払わなければ未発表情報をバラす」と脅迫されていることが判明
    https://gigazine.net/news/20210421-ransomware-gang-revil-extort-apple/

     そもそも,ランサムとは関係なくサプライチェーンの中からリーク情報として未発表情報が漏れているから,いまさら感があるな.

    マジノ線

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/4/26 23:00
     第一次世界大戦後,フランスはドイツから攻めてこられないように国境に要塞を「マジノ線」という要塞を作った.「108の主要塞を15kmの間隔で配置、連絡通路として地下鉄を通している。」そうだ.
     
     長期にわたって莫大な投資で防衛線を作ったのだけれど,中立国のベルギー側を強化しなかったので,そこを迂回路され,さらにドイツ軍は新兵器の戦車を使って難なく侵攻を許してしまったそう.

     サイバーセキュリティを防衛線と捉えることができるけれど,この教訓は為になるね.

     話はそれるけれど,トランプ大統領時代にメキシコとの境界に壁を作るとか言っていたけれど,あれはバイデンになって中止になったそうだ.

    幻に終わった「トランプの壁」 バイデン氏は建設中止を表明 どうなる不法移民対策
    https://news.yahoo.co.jp/byline/inosehijiri/20201229-00215139/

    引用:
    トランプ大統領の就任以来これまでに建設された壁の距離は、384マイル。以前から立っていた分と合わせると、壁の総距離は694マイルとなった。

    〜略〜

    データをよく見ると、384マイルの9割にあたる344マイルは、古くなったり壊れかけたりした既存の壁の建て替えで、何もなかった場所に新たに建設した壁は40マイルにすぎない。
     別にトランプ発案の新しい試みではなかったようだから,また政権とか変わればチョイチョイ延長されるのだろうか.

    ESE技術者

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/4/22 0:22
     セキュリティ研究者の偽物.

    同業者装いセキュ研究者に忍び寄るサイバー攻撃者 - 解析情報にワナも
    https://www.security-next.com/125277

     わたしはESE技術者.えせ技術者.pseudo-scholar.

    フェイスブックの行動追跡

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/4/21 23:57
     「無料」のSNSサービス.目の前の財布からお金が減らないので「無料」と思っているけれど,友達関係・趣味・嗜好などの個人情報を差し出して,その対価として利用させてもらっているのがSNS.だと理解してない人がほとんどだとおもうな.
     そんな中で.

    米大学生が暴露した「フェイスブックの行動追跡」の衝撃的内容
    https://forbesjapan.com/articles/detail/40910

    引用:
    流出が報道されたデータに自分のものが含まれていることを知り、フェイスブックのデータをダウンロードしてみたという。

    「そして、"your_off_facebook_activity "というフォルダをクリックしたところ、フェイスブックが私のインターネット上のすべての行動を追跡していることが分かった」と彼は述べている。

    引用:
    プライバシー設定から「フェイスブック外でのアクティビティ」を削除し、オフサイト・トラッキングを無効にした後も、このような事態が起こったと述べている。
     これも良くある話.意図的だったとしても指摘すると「設定のミス.ただちに修正した.」などのコメント出されて終わり.

     facebookの漏洩データは誰でもダウンロードできる状態になっている.


     しかし,ちょっとお金がかかる.よって,個人的にダウンロードしてみようとは思わないな.

    Dropboxのパスワードマネージャ

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/4/15 0:50
     パスワードマネージャも色々あるけれど,Dropboxが提供しているのか...


    Dropbox、パスワード管理ツールを無料ユーザーにも提供
    https://www.watch.impress.co.jp/docs/news/1318501.html

    引用:
    Dropbox Japanは、これまで有料プランで提供していたパスワード管理ツール「Dropbox Passwords」を、4月14日よりすべての利用者に提供開始。無料のDropbox Basicプラン利用者は、同機能の限定版を試せるようになる。

     Dropboxを禁止にしている組織からは使えないのだろうなぁ...当たり前か.
     こんなニュースが.

    ISIS Cyber Group Launches Cloud, Chat Platforms to ‘Close Ranks’ Online
    https://www.hstoday.us/subject-matter-areas/cybersecurity/isis-cyber-group-launches-cloud-chat-platforms-to-close-ranks-online/

     DeepLで翻訳.

    引用:
    SISサイバーグループ、クラウドとチャットのプラットフォームを立ち上げ、オンラインで「仲間割れ」を狙う
    2021年4月6日 ブリジット・ジョンソン
    ISISを支援するサイバーセキュリティグループが、独自のクラウドとチャットプラットフォームを立ち上げました。このプラットフォームは、新たなプロパガンダを生み出し、テログループの信者がオンラインでより良い「クローズ・ランク」を実現するのに役立つと宣言しています。

    "エレクトロニック・ホライゾンズ・ファウンデーションは、オンラインに掲載された発表文の中で、「メディア分野における最近の動向と、テクノロジー企業によるコンテンツへの制限を考慮して、我々は、仲間の支持者と一般のイスラム教徒コミュニティとの間で、利益が優先されるような宣伝の場を提供するソリューションを開発することにしました」と述べています。賛同者がインターネット上にファイルをアップロードして公開するための "Horizons Cloud Platform "を開発しました」と述べています。
     ダークネットのようなものは,その場所に侵入できれば普通に横目で見ることができるけれど,こう言ったSNS化していくと,内部に入り込まないといけませんね.

    assume bridge

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/4/13 1:52
     assume bridge.アシュームブリッジ.直訳すると「橋を想定する」という意味かな.

     セキュリティ的な思惑で分離しているネットワークがあったとして,ある突破口(橋)を経由することでつなげることができてしまう状態という意味かな.

     知っている前提で話をされても,用語すらわからん.良い勉強になった.

    Intel CPU Spectre

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/3/25 1:51
    CPU脆弱性「Spectre」の概念実証と脆弱なエンドポイントを探す拡張機能「Spectroscope」をGoogleが公開
    https://gigazine.net/news/20210315-spectre-proof-of-concept/

     うちの該当しそうなLet`s Note CF-LX4はすでにBIOSにパッチ済みなのだけれど,
    面白そうなのでやってみた.

     そんなに面白くなかった.InSpectureを使ってパッチ有無で区別してみたけれど...


    Google Security Blog
    https://security.googleblog.com/2021/03/a-spectre-proof-of-concept-for-spectre.html

    引用:
    In this post, we will share the results of Google Security Team's research on the exploitability of Spectre against web users, and present a fast, versatile proof-of-concept (PoC) written in JavaScript which can leak information from the browser's memory. We've confirmed that this proof-of-concept, or its variants, function across a variety of operating systems, processor architectures, and hardware generations.

    この記事では、Spectreのウェブユーザーに対する悪用性に関するGoogleセキュリティチームの調査結果を紹介し、ブラウザのメモリから情報をリークすることができる、JavaScriptで書かれた高速で汎用性の高い概念実証(PoC)を紹介します。このPoCは、様々なOS、プロセッサ・アーキテクチャ、ハードウェア世代で動作することが確認されています。


     ハイパースレッディングの投機的実行の実行部分に含まれる脆弱性なので,パッチを当てるとパフォーマンスへの影響が懸念されていたけれど.

    IT業界を根幹から揺るがした脆弱性「Spectre」「Meltdown」はCPUのパフォーマンスにどんな爪痕を残したのか?
    https://gigazine.net/news/20210107-meltdown-spectre-cpu-security/

     ブラウザのベンチマーク,たくさんあるのね...ベンチマークのベンチマークを決めないと...

    引用:
    Phoronixは、今回のベンチマークテストの結果について「IntelのCPUを見ると、Core i7 7700Kと8700Kはセキュリティ対策により約75%まで性能が落ちていますが、ハードウェアでの対策が組み込まれたCore i9 10900Kでは、約95%以上までパフォーマンスが維持されているのが分かります。

     脆弱性の発動条件とパフォーマンス重視かどうか.25%ダウンだと考えちゃうね.
     1月に案内があった防衛庁サイバーコンテストに登録して当選したのでチャレンジしてみた.

     36問あって13問正解で,得点が1000点,ランキングは109位(同点あり)でした.トップは5914点も取っている.1つでも正解した参加者は227人で,順位的には半分くらいだけれど,自分の回答できた内容は一番簡単な問題と,トリビア系が強かっただけなので,技術力が反映されるフォレンジック,Exploitは手も足も出ない.

     CTFというものに参加したのは2回目で前回は特定のツールを使いこなすタイプでしたが同じようなルールでした.今回のCTFも,問題を解くとキーワードが出てくるのでそれを登録すると得点を得られるので,マークシート的な偶然一致とか,文書とかの曖昧さとかも全くない.あとは,その問題を一番最初に解いた人には1ポイント入るので,トップの人は端数が4あったので,少なくとも4つか14個の問題を最初に回答した模様.

     参加する環境は,WindowsまたはLinuxとあったけれど,実は両方とも必要だったね.私の場合Windows 10のLet's NoteにVPN設定をいれてCTF環境接続して,そこのMacからRemote Desktopしていたので,概ね要望された通りの環境.

     あー,フォレンジックツールは,もっとよく知っておく必要があるな.今回,出題された課題を解くためにツールを探してダウンロードして使い方を習得して,,,でダウンロードが遅いっ!みたいなこともあったし.
     あとは,プログラミングがもう少しできるといいんだろうなぁ.ついつい連番生成とかExcel開いてドラッグ!とかやっているけれど,VBAでループさせるとかの日頃から訓練をしておけばだいぶ違うのだろうな.普段使いでもGCCも入っているわけで.

    ファストフラックス

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/3/4 10:07
    高速フラックス入門: サイバー犯罪者がインフラストラクチャの復元力を向上させ検出と法執行機関によるテイクダウンを回避する方法
    https://unit42.paloaltonetworks.jp/fast-flux-101/

     長文なので読む気が起きない・・・

    サイバー攻撃を支援するネットワーク「ファストフラックス」とは?
    https://eset-info.canon-its.jp/malware_info/trend/detail/170626.html

    引用:
    ファストフラックスのネットワークの基本コンセプトは、ドメインネームを備えた複数のIPアドレスを用意し短時間のセッションでIPアドレスを変えてしまう、というものである。

    高速フラックス - Fast flux
    https://ja.wikiarabi.org/wiki/Fast_flux

    引用:
    高速フラックスは、ボットネットがフィッシングおよびマルウェア配信サイトを絶えず変化する侵害されたネットワークの背後に隠すために使用するDNS 手法です。Wikipedia site:ja.wikiarabi.org

     いくらテイクダウンしてもFQDNやIPアドレスを変え,無限増殖しているってことかね.暖簾に手押し感満載か.

    Emotet消滅への道 その2

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/3/1 16:17
     1ヶ月前のこの記事に関する話.

    警視庁 サイバー犯罪対策プロジェクト
    マルウェアに感染している機器の利用者に対する注意喚起の実施について
    https://www.npa.go.jp/cyber/policy/mw-attention.html

    引用:
     海外の捜査当局から警察庁に対して、国内のEmotetに感染している機器に関する情報提供がありました。
     令和3年2月下旬から準備が整い次第、当該情報をISPに提供し、ISPにおいて、当該情報に記載されている機器の利用者を特定し、注意喚起を行います。
     とあるので,各ネットワーク管理者などはISPからの連絡待ちですね.


    マルウェアEmotetのテイクダウンと感染端末に対する通知
    https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html
    【続報】一晩でマルウェアに豹変したバーコードアプリ、攻撃の手口が明らかに
    https://news.mynavi.jp/article/20210215-1733044/

    引用:
    Malwarebytesは2月5日(米国時間)、これまで数年間にわたってバーコードスキャナとして機能していたアプリが、1度のアップデートでマルウェアへ豹変したと伝えた。該当するアプリはすでにGoogle Playストアから削除されているが、1000万人以上のユーザーが使用していると見られており、依然として注意が必要だ。

    〜略〜

    マルウェアをアップロードしたと考えられていた提供元から、マルウェアに豹変したバージョンのアップロードは行っていないという連絡があったという。

     アプリの買収・譲渡が関係していて,表面上,変更はわからないわけだから,利用者としては気づかないだろうね. 防ぎようがない.
    引用:
    Google Playに表示される提供元を従来の提供者にしたまま、マルウェアを混入させたアプリのアップロードを行ったとされているThe space teamのアカウントの持ち主が、この取り組みによってGoogle Playで譲渡前の提供元の名義のままでマルウェアを混入させたアプリをアップロードできることを確認したようだ
     そうなると,やっぱり責任が取れそうで買収されなさそうな大企業のリリースするアプリが良いのかな.

     しかし,ゲームアプリのチートとかでは,アプリをラッピングして制御するタイプももあるから難しいな.
     ちょっと面白そう.


    NECセキュリティブログ
    トレーニングコンテンツ:脆弱なAndroidアプリ「InsecureBankv2」の紹介
    https://jpn.nec.com/cybersecurity/blog/210219/
     Windowsに搭載されている暗号化システムのBitLockerだけれど,これを使ってファイルを暗号化する


    China's APT hackers move to ransomware attacks - 全部英語
    https://www.bleepingcomputer.com/news/security/chinas-apt-hackers-move-to-ransomware-attacks/

    DRBControlというグループについて.

    WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて
    https://micro-keyword.hatenablog.com/entry/2020/02/21/015535
     引退は流行りか...

    ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開
    https://www.security-next.com/123201

    引用:
    1月30日に、攻撃グループ「FonixCrypter Project」の管理者のひとりがTwitter上へ同グループの活動を終了すると突如アナウンスを投稿。

    ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場
    https://www.security-next.com/123253

    引用:
    ランサムウェアの管理者が後悔の念とともに、すべての復号鍵を公開するとメッセンジャーツール「Telegram」上でアナウンス。

     Twitterでの投稿だと,犯人は捕まりそうだけれど,偽物もいるだろうし.

     Telegramはロシア政府も認める?エンド・ツー・エンドの暗号化されたメッセージアプリ.

    2021年サイバーセキュリティ月間

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/2/6 17:27
    ラブライバーじゃなくても参加可能?らしいが.

    2021年サイバーセキュリティ月間の関連行事のご案内
    https://security-portal.nisc.go.jp/event_detail.html

     オンラインセミナーもたくさんありので,時間があれば参加してみるかな.

    Emotet消滅への道

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/2/2 9:42
     Emotetが流行りだして1年,ようやく対応される模様.

    マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信
    https://japan.zdnet.com/article/35165702/

    引用:
     オランダの警察当局がマルウェアの「Emotet」を削除するアップデートの配信計画を進めていることを、米ZDNetが現地時間1月27日に確認した。このアップデートは、Emotetに感染しているすべてのコンピューターからこのマルウェアを削除する動作を、3月25日に開始するという。

    〜略〜

    これまでの報道によると、このアップデートには時限爆弾のようなコードが埋め込まれており、各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetマルウェアをアンインストールするという。
     C2Cされていることを逆手に取る戦法か.
     この時限爆弾が,誤爆・誤動作しなければ良いけれど...

     思い出しつつのこの記事.

    Wireshark によるパケット解析講座10: Emotet 感染トラフィックの調査 - paloalto
    https://unit42.paloaltonetworks.jp/wireshark-tutorial-emotet-infection/


    追記2021/05/12
    Malwarebytes、マルウェア「Emotet」の削除を開始
    https://news.mynavi.jp/article/20210428-1879994/

    引用:
    マルウェア「Emotet」の撲滅へ向けた次のステップが始まった。Malwarebytesは4月26日、Twitterにおいて、Emotetに感染したPCでEmotetを削除する処理を開始したことを伝えた。この処理には法的な根拠があり、先日世界の当局が共同で実施したEmotet撲滅作戦の一環とみられる。

    ラブライブ!

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/31 23:00
    『ラブライブ!サンシャイン!!』とのタイアップについて
    https://www.nisc.go.jp/security-site/month/lovelive.html


     おおお.ラブライバーにもなれるか...

    リート

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/28 12:12
     最初に気づいたのは,PriceのPurple Rainのアルバムの曲名・歌詞カードを見たとき.
     For youを,4 Uとして記載があった.オシャレだなぁと思ったけれど,こういうのは「リート(leet)」というらしい.

    引用:
    leetは、主に英語圏においてインターネット上で使われるアルファベットの表記法である。leetspeakとも呼ばれる。 leet は、英語の eliteが eleet に変化し、さらに語頭の e がとれてできた俗語である。日本ではハッカー語と呼ばれることもある。

     よく使われるパスワードで, password を p@assword としている感じかな.

     そういえば,パスワードがp@asswordと設定してある外人が使うPCでログインできず作業できない問題があったけれど,原因は日本語配列なのに英語キーボードレイアウトに変更していたから,,,というオチがあった仕事を思い出した.もう10年くらい前の話だけど.
     2020年9月に「半年後の来年2月9日に強制適用」と書いてからのあと2週間でその半年が.

     「Netlogon セキュア チャネル接続を確立する場合に、特権の昇格の脆弱性が存在」という事で.

    引用:
     定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュア チャネル接続を使用しているアカウントを特定します。
     このイベントが発生していたら,2021年1月の強制モード時に接続できない問題が出る.

    5827 非SecureRPC接続の試行(接続拒否・マシン)
    5828 非SecureRPC接続の試行(接続拒否・信頼)
    5829 非SecureRPC接続が許可されている場合

     AD運用していてちゃんとWindows Update適用している企業は,再度確認が必要かな.

    SolarWinds Orion その4 振り返り

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/27 0:11
     ちょっと久しぶりに. 

    FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供
    https://japan.zdnet.com/article/35165296/

    引用:
     サイバーセキュリティ企業のFireEyeは米国時間1月19日、SolarWindsをハッキングした攻撃者が使用した技法について詳しくまとめたレポートを発表した。
     また、このレポートと同時に、攻撃グループ(UNC2452とも呼ばれる)が使用した技法を検出することができる「Azure AD Investigator」と呼ばれるツールをGitHub上で無料で公開した。
     日本では被害がなかった?のであまり騒ぎにはなって無いようだけれど.

    引用:
     FireEyeは、この日発表した35ページに及ぶレポートで、攻撃の最初の段階で使用された技法に加え、一般的な企業が攻撃の検出、修復、堅牢化のために利用できる戦略について詳しく説明している
     英語のレポートはしんどいなぁ.

    SolarWindsハッキング事件について現在までわかっていること
    https://www.gizmodo.jp/2020/12/what-we-know-so-far-about-the-solarwinds-hacking-scandal.html

    引用:
     ハッカーは、SolarWindsが同社のウェブサイトに投稿した複数のバージョンのOrionにSunburstを仕込みました。そして企業や政府機関の顧客がサイトからソフトウェアをアップデートした時にネットワークに忍び込んだのです。その後は数日から数週間ほど息を潜めて時を待ちます。ひとたび活動を開始すると、まずは新しい環境を偵察し、その詳細をマルウェアの主に送信します。クレバーなことに、ハッカーたちはSunburstとの通信をOrionのトラフィックに偽装していたため、普通のIT系職員のアクセスと見分けがつかないようになっていました。ここからもレベルの高さが伺えます。
     まぁ,偵察活動時には派手な動きをしないのは常套手段から,ダブルオー7以外は.


    脅威調査 UNC2452を防御するためのMicrosoft365の修復および強化戦略
    https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html


    Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452
    https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf

    んー.攻撃者にとって攻撃の効率が良いのは防衛側の手の内がわかっている事だから,Azure ADとかon.microsoft.comとかクラウド上のサービスは公開情報とも言えるのかなぁ.

     大企業しか使ってなさそうだけれど,このFireEyeのレポート,Mandiantというソリューションの営業資料でもあるのかな.マッチポンプ的な匂いすら

    侵害調査サービス ネットワークにおける進行中または過去の攻撃活動を特定
    https://www.fireeye.jp/mandiant/compromise-assessment.html

     概要はこっちの記事が柔らかい.

    Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される
    https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/

    引用:
     UCN2452は攻撃対象者に感染させたマルウェアを用いて、Active Directoryのトークン署名証明書を盗みだし、任意のユーザーのトークンを偽造することが明らかになっています。このトークンにより、UCN2452はMicrosoft 365などのアプリケーションに多要素認証を必要とせず、任意のユーザーとしてアプリケーションにログインできるとのこと。さらに、UCN2452はAzure Active Directoryに信頼されたドメインを追加することで、UCN2452が制御できるIdPを追加します。

     これにより、UCN2452は任意のユーザーとして電子メールの送受信やファイルの転送・実行などさまざまな操作を行えるようになります。また、攻撃者は承認されたユーザーとして認識されているため、攻撃の検出は非常に困難です。

    追記 2021/02/03
    中国人とみられるハッカー団、米政府機関システムに侵入=関係筋
    https://jp.reuters.com/article/cyber-solarwinds-china-idJPKBN2A307N

     農務省内の連邦職員向けの給与業務を担当する機関...

    追記 2021/03/01

    米政府サイバー攻撃「史上最大かつ最も巧妙」=マイクロソフト社長
    https://jp.reuters.com/article/cyber-solarwinds-microsoft-idJPKBN2AF07Y

    引用:
    サイバーセキュリティーの専門家は、攻撃を受けたシステムを特定し、ハッカー集団を撃退するには数カ月かかる可能性があるとの見方を示している。

    「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明
    https://gigazine.net/news/20210301-solarwinds-password-intern/

    引用:
    2021年2月26日にアメリカ合衆国下院による公聴会が開かれました。この中でSolarWindsのサーバーが「solarwinds123」というセキュリティ性の低いパスワードで保護されていた件について議員に質問されたSolarWindsのCEOは、「インターンの間違い」に関連した出来事と説明しました。
     日本でよくある,業務委託が・・・のやつかな.

    追記 2021/03/12

    ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに
    https://gigazine.net/news/20210309-supernova-web-shell-linked-china/

    引用:
    この大規模なサプライチェーン攻撃とは別に、中国のハッキンググループもOrion Softwareのアップデートファイルにマルウェアを仕掛けていたと報じられています。
     穴があったら,隙間なく入り込まれてしまうわけだ.

    SUPERNOVA: 斬新な .NET Webシェル
    https://unit42.paloaltonetworks.jp/solarstorm-supernova/

    引用:
    Webシェル自体は通常、スクリプトページに埋め込まれたマルウェアロジックであり、そのほとんどが、インタープリタ型プログラミング言語かコンテキスト(最も一般的には PHP、Java JSP、VBScript/JScript ASP、C# ASP.NET)で実装されています。Webシェルは、リモートサーバーからコマンドを受信し、Webサーバーの基盤となるランタイム環境のコンテキストで実行されます。
     寝る前に読むには,難易度が高い.自分で分析することは無理.

    BitLockerバイパス

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/26 19:06
     BitLockerが破られたのではなくて,「回避」だね.たしかにバイパスだし.

    Windowsのストレージ暗号化機能「BitLocker」をバイパス可能な脆弱性が報告される
    https://gigazine.net/news/20210118-windows-bitlocker-bypass/

     まぁ,メニューの並びとか,複数条件はありそうだが.

     起動ドライブ丸ごと暗号化してOS起動時に聞いてくるタイプだと,関係ないかな.

    防衛省サイバーコンテスト

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/25 2:14
     昨年秋,防衛技官(サイバーセキュリティ要員)の選考採用試験というのが話題になったけれど,今度はコンテスト.

    防衛省サイバーコンテスト 参加者募集中
    https://www.mod.go.jp/j/approach/defense/cyber/c_contest/

     参加のためにはまず200人は先着順かな.

    引用:
    6 参加者に準備をいただくもの
    PPTPまたはL2TP/IPsecを用いてVPN接続が可能なネットワーク環境
    Linux又はWindowsが動作するパソコン
     Let's Noteを使うか...

    Bug Bounty

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/19 0:28
     ちょっと古いけれどこんな記事が.

    ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入
    https://jp.techcrunch.com/2016/03/02/bug-bounty/

     3年ほど前,擬似マネーシステム?の運用を行っていた際に,進捗会議で「賞金稼ぎが来た」という話題になった.
     別に物理的にきたわけではなく,サイトの正式な問い合わせ窓口からの連絡.

     「致命的なバグを見つけた.バグを教えてあげるから賞金をよこしなさい(意訳)」

     身元を調べると,有名なバグハンターで,値切りつつ対価をお支払いして,バグを教えてもらい,対応策まで指南してもらったそうです.

     よくあるコーディング間違いとか,設定漏れとか1つのソースからあちらこちらのサイトをチェックして声かけ活動しているのかな.ゲーム感覚だね.というか,オンラインゲームのチートとやることは同じ.

    追記2021/02/25
    大手テック企業にハッキングしまくり、合法的に13万ドルを稼いだ男
    https://www.gizmodo.jp/2021/02/this-researcher-hacked-into-35-major-tech-companies-including-microsoft-tesla-and-netflix.html

     これは副業にできたらかっこいいかな.

    ホワイトハッカー養成

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/13 22:36
     こんなニュースが.

  • ホワイトハッカー220人養成 五輪組織委
    https://www.sankei.com/affairs/news/210104/afr2101040010-n1.html

    引用:
     東京五輪・パラリンピックの開会式を約半年後に控え、大会組織委員会がサイバー攻撃に対処する要員「ホワイトハッカー」を220人養成したことが4日、分かった。

     大会組織委員会のプレスリリースがどこにあるのかわからないけれど,去年,アメリカで「ブラックリスト」のブラックが黒人差別を連想させると話題になっていた頃があったなぁ.
     ちなみに,海外ニュースだと,"ethical hackers" 「倫理的なハッカー」となっている.

  • Tokyo 2020 train "ethical hackers" to counter potential cyber-attacks
    https://www.insidethegames.biz/articles/1102669/tokyo-2020-train-ethical-hackers


    追記
     元ネタは毎日新聞だそうだ.

  • サイバー攻撃に対処 東京オリンピック組織委、「ホワイトハッカー」220人養成
    https://mainichi.jp/articles/20210104/k00/00m/050/178000c
  • パスワードがなくなる日

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2021/1/8 19:31
     んー.

    2020年は「パスワードをなくす準備は整った」--マイクロソフトが振り返り
    https://japan.zdnet.com/article/35164287/

     銀行のパスワードは4桁なんだろうけど,無くなってないなぁ.生体認証も,生体認証情報が漏れた時に取り返しがつかない問題は解決してないし.

    2021年のセキュリティ予測

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/31 19:48
     今しがた,紅白歌合戦も始まった年の瀬だけれど,来年の予測記事.

    新型コロナ便乗やランサムウェアの脅迫、2021年はさらに激化も セキュリティ企業が予測
    https://www.itmedia.co.jp/news/articles/2012/14/news047.html

     コロナ禍に便乗した詐欺的なものやランサムウェアは普通に増加すると思うけれど,あまり意識してないところで5G系もあるか.

    引用:
    Check PointやKaspersky Labは、5GやIoTの普及に伴い、不正侵入やデータ窃盗、改ざんの危険も増大すると予想する。「5Gの利用が増え、その接続に依存するデバイスが増えれば、攻撃者が悪用できる脆弱性を探すインセンティブも強まる」(Kaspersky)
     言われてみればそうだな.色々なものが今後ネットワークにつながっていくので,エアコンの電源OFF/ONができない程度の問題では無くなるな.

    100万台以上のIoTデバイス・産業デバイスに影響する33個の脆弱性「AMNESIA:33」が発見される
    https://gigazine.net/news/20201210-amnesia-33-vulnerabilities-iot-smart-home-devices/
     今年もいろいろありましたが,意識調査. 


    マカフィー、2020年の10大セキュリティ事件ランキングを発表 第7回「2020年のセキュリティ事件に関する意識調査」を実施
    https://www.mcafee.com/enterprise/ja-jp/about/newsroom/press-releases/press-release.html?news_id=2020121501
     なんか,新しいもの順になっている感はあるけれど,トップは「ドコモ口座」を発端とする件.
    引用:
    2020年を代表する事件“電子決済サービスを通じて不正預金引き出し

    今年を代表する事件としてランキングの第1位に登場したのは電子決済サービスを通じて、利用者の預金が何者かに不正に引き出された事件でした。ユーザーはサービス口座と銀行口座を容易に紐付けることができ、利便性の高さから注目が集まっていました。利便性のみを追求した結果、セキュリティの甘さを狙われたこの事件は、世間に大きな衝撃を与えました。
     これによって露呈したのは,ここ数年「勝手に引き出されている」と金融機関や決済会社に問いかけても,ちゃんと取り合ってくれなかったという事.

     「銀行に行ってお金を引き出す.使ったらお金が物理的になくなる.」という概念のままの思考だと,色々な決済サービスを使ってあちらこちらから引き出されて,悪意や間違いに気づかなかったら,気づかない方が悪い,という時代だ.まぁ,今回の場合「様々な決済サービスを使っていなくても」というのがミソだけれど. 新時代のスリのようなものか.

     以前,ポイントカードのシステム運用を2年ほどやっていたけれど,「ポイント」も即時貯まるものや,ちょっと遅れて貯まるもの,後日貯まるもの,キャンペーンに応募したらもらえるものなどもあるし,ポイントの有効期限,期間限定ポイントの付与と削除,ポイントで一部支払い・・・など利用シーンも便利になっているので,逆にその今,自分の持っているポイントがいくらあるのか,全部把握している人なんていないよね.ちょっとくらい抜かれていても気づかない.
     US-CERTからのクリスマスプレゼント?として,Sparraow.ps1というツールがgithubで提供.

    Microsoft Azure/ 365向け異常検出ツールを無償で公開、CISA
    https://news.mynavi.jp/article/20201228-1614525/

     これはこれも一種のサプライチェーンなのか?としてメモした,クラウドストライク社がAzure ADを狙われた時に作ったツールの模様.その後,github で公開されて有益だってことでCISAによって広く広報されているようだ.

     詳細はクラウドストライクUSのブログで.

    CrowdStrike Launches Free Tool to Identify and Help Mitigate Risks in Azure Active Directory
    https://www.crowdstrike.com/blog/crowdstrike-launches-free-tool-to-identify-and-help-mitigate-risks-in-azure-active-directory/

     英語読むのしんどいな.DeepL を使っているけど...

     Microsoft 365 Personalだけ使っていても,このツール動くのかな? そこはちょっときになる.
     Microsoft PowerAutometeを試験的に使うために,いくつかのTwitterの投稿を監視(ツイートをTeamsに投稿する)フローを定義していたのだけれど,最近「無料で使える回数上天を超えた」的なメッセージとともに停止された.
     そのこともあってか,Twitterから送られてくるダイジェスト版のメールのURLをクリックしても,電話番号認証が必要だと言ってログインできない.

     まず,メールに書いてある記事をクリックすると,記事ではなくて次のようなページが表示される.


     [自動音声通話で受け取る]ボタンを押すと,次のように表示される.


     認証コードがこないので,[コードが届かない場合]を押す.

     [自動音声通話で受け取る]ボタンを押すと,次のように表示される.


     認証コードがこないので,[コードが届かない場合]を押す.

     [自動音声通話で受け取る]ボタンを押すと,次のように表示される.


     認証コードがこないので,[コードが届かない場合]を押す.

     [自動音声通話で受け取る]ボタンを押すと,次のように表示される.


     認証コードがこないので,[コードが届かない場合]を押す.

    ...続きを読む

     こんな記事が.

    ロシア系ハッカー、マイクロソフト販売業者通じ不正侵入の可能性
    https://jp.reuters.com/article/global-cyber-usa-24-idJPKBN28Y20O

     EDR市場のリーダ企業、クラウドストライクなので、企業の質として狙われていても不思議ではないけれど,利用しているクラウドサービス側から落とされようとした様だ.
     でも、Microsoftの製品をどこから買っているかなんて,内部の人しかわからないと思うけど.どこから買っても同じだろうし.
     マイクロソフトが警告したということは,これは直販でお願いしますという事なのかな?

    サイバーAI犬キーホルダー

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/26 23:57
     10月末に応募した小島よしおのサイバーセキュリティ教室のキーホルダー,届きました.


     厳選ある抽選による.裏面のQRコードは警視庁サイバーセキュリティ対策本部のTwitterのURLでした.

    Smooz問題

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/23 1:32
     これが話題.

    ポイ活ブラウザアプリSmoozは閲覧情報をすべて外部送信している
    https://security.srad.jp/story/20/12/20/1711210

    引用:
    ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。
     ポイント集めることを「ポイ活」というのか...はさておき.ブラウザで検索した情報がアスツール社という知名度は高くない会社に送られていることが問題視されている模様.

     日頃,ネットサービスで「無料サービスを使っている」と思っていても,その対価として自分の何かの情報を差し出している事は理解しておくべきことだけれど,その意識はない人の方が多い.
     まぁ,集めた情報をどう管理しているのかは,今の所,明らかにされてないので不適切だと言い切れないと思う.利用者は,そういう情報取得されているという事を認識すると,気持ち悪さを感じる事はあるとおもう.

    2020.12.28追記
     炎上してまもなく,情報収集はソフトウェアのバグだったと言うことで修正版のアプリをリリースしたりで対応したが,あまり前置きをおかずに事業終了となってしまった.
     現在のままだと炎上を抑えられないと持ったのだろう.また,事業として努力して魅力的する程の収益が得られてなかったとか,担当者が突然辞めたとかもありそう.

     どうも,今回「目についた」事で「プロ」の人たちがアプリの解析をして,複数の脆弱性が発掘されたりとかしているから,早急な火消しに走ったのかな.

    Smoozサービス終了に寄せて
    https://gist.github.com/mala/f443d5d0ba1b46137684e555ade08098
     使い始めたツールのデータベースのデフォルト設定が,意図せず公開となっている件.
     メーカは脆弱性ではなく「設定不備」と整理する模様.

     つまり,設定値は網羅的に確認して意味・意図を把握し判断して設定する責任は,利用者にある.

     複雑化した社会で,それを実装するのは難しいね.IT機器を買って,全ての機能を保証期間内にして初期不良がないことを確認するのも,消費者側の責任なのか.

    目の付け所がシャープです

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/22 1:03
     こんなニュースが.

    シャープ、UTMアプライアンスのWi-Fi対応モデルを2021年1月に発売 チェック・ポイントのエンジンを採用
    https://cloud.watch.impress.co.jp/docs/news/1296461.html

     シャープのIT機器って,あまりイメージがなくて薄型パソコンとかあったなーって思ったら忘れてたけれどザウルスがあったか.
     何年か前にセキュリティを強調した複写機をやっているというのはCMでみた覚えがあるけれど,UTMがあるなんて. 今回は無線LAN搭載が目玉.

     中小企業向けのUTMだと,ちょっと(一般の人は)聞いたことがない海外メーカの製品がいくつかあるけれど,そういうのよりは「あのシャープの」という意味はあるだろうなぁ.

    Egegor(えぐれがー)

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/16 15:21
     ホンダを襲った?とされるランサムウェアのMazeの変化版が,流行りだしているそうだ.

     テクニカルな部分の分析記事.

    Maze ランサムウェアの亜種とみられる Egregor の攻撃が増加
    https://news.sophos.com/ja-jp/2020/12/15/egregor-ransomware-mazes-heir-apparent-jp/

    脅威の評価: Egregorランサムウェア
    https://unit42.paloaltonetworks.jp/egregor-ransomware-courses-of-action/

     Rundll32.exeか.過検知になるから,そのままだとIOCへの検知セットしづらいなぁ.引数のpassegregor10を絡めて検知という感じかな.

    追記2021/01/20

    ランサムウェア「Egregor」の被害受けた組織は150超、防御難しく
    https://news.mynavi.jp/article/20210112-1635938/

    引用:
    FBIはEgregorに関して、複数の異なる攻撃者が侵入およびランサムウェアイベントの実行に関与するといったように、感染と展開に多数のアクターが関与し、その活動に使われる戦術、技術、手順が大きく異る点を指摘。結果として、防御と軽減の実施に関して重大な課題をもたらしていると警告している。
     対策というか,緩和策は参考になるかな.

  • 重要なデータはオフラインでバックアップを取る
  • 重要なデータのコピーがクラウドや外付けのハードディスクなどにあることを確認する
  • 削除や変更が行われないように、システムからバックアップしたデータにアクセスできないようにする
  • すべてのホストにウイルス対策またはマルウェア対策ソフトウェアをインストールして、定義ファイルを定期的に更新する
  • 安全なネットワークのみを使用し、公衆Wi-Fiは使わない
  • 2要素認証を使用するとともに、電子メール内の不審なリンクのクリックや添付ファイルのオープンは行わない
  • 最近のRDP関連の脆弱性に関してパッチを適用する(CVE-2020-0609、CVE-2020-0610、CVE-2020-16896、CVE-2019-1489、CVE-2019-1225、CVE-2019-1224、CVE-2019-1108)
  • 疑わしい.bat、.dll、.logなどや抽出フィルタを確認する
  • アクセス制限および多要素認証および強力なパスワードの使用でRDPを安全に構成する
  • サービスを退会する際の心得

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/9 23:47
     会社の大小にかかわらず狙われたら情報漏洩してしまう昨今,何かネット上のサービスに入って,辞める時の心得を整理しておかなければ.

    論理削除の可能性
     サービスを退会しても論理削除しかされてないことがある.データベース上の削除フラグに印を残すとか,退会日をセットするなど.
     このような場合,データが盗み出された場合,退会の有無は関係ない.

    データの上書きをしておこう
     退会するのだからサービスは利用しないので,個人情報はデタラメなものに書き換えておく.名前,住所,生年月日,メールアドレス,電話番号,クレジットカード番号.
     難しいのはクレジットカード番号はデタラメのものを入れられないので,これは削除しておくか,有効期限の短いクレカに切り替えておくなどが必要か.
     また,GDPR関係もあって,生年月日も変えられないことが多い.
     個人情報の名前やニックネームを変更する際に,「退会済」(たいかいすみ)とか住所の最後の数字部分が事由欄の場合が多いので,そこに退会日を記載するなどで工夫できる.

    データの上書きは複数回しておこう
     ユーザサポートの関係で,利用しているサービスによっては個人情報の変更履歴を保存していることがある.履歴保存回数の法律上の制約や一般的な規則はないのだけれど,最低でも2回程度変えておけば良いのだろう.

    退会済み専用メアドを準備
     gmailを取得しておけば,メアドの無限増殖が可能.メアドに「+」で好きな文言を入れれば良い.退会したサービス用に専用のアドレスをセットしておけば,どこのサイトから漏れたかわかりやすい.
     ただし,gmailのエイリアス機能は有名なので+以降を除外してメールを送ってくる可能性もあるので万能ではない.

     見破られづらさで言えば,マイナーそうだけれどoutlook.comのアカウントを取得しておけば,これもエイリアスを複数取得することができる.(最大10個)
     Dropboxを禁止している会社にしか出会ったことがない.


     個人的には,ファイルの同期が遅かったから,使ってないけれど,通信は遮断する方が良いのだろうなぁ...

    パスワードZIPをふりかえる

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/2 1:13
    圧縮する意味

     インターネットが黎明期だったころ,回線が細い場合,ファイルが大きいと負荷がかかったり時間がかかったりするので圧縮して送るようになった.いまではブロードバンドで常時接続だけれど,モデムで1分いくらの従量課金時代もあった.

    LHZが消えていった

     日本ではパソコン通信の時代からLZHが主流だった.ただしデファクトスタンダードというわけではなく,ZIPもあったし自己展開方式というのもあった.
     自己展開方式はアンチウイルスで検知されまくったりPCが16bitから32bitに変わったあたりで自己展開プログラムが実行できない問題もありいつの間にか廃れていった.
     LZH形式に修正できないバグがあり利用が中止されていったのが2006年以降.ちなみに圧縮ファイルを展開することを「解凍する」と呼ぶのは,このLHZの名残り.

    ZIPが標準になった

     2000年代.いまよりセキュリティサポート期間が曖昧で,個人PCも含めるとWindows 98からWindows Vistaまで幅広くOSが混在していた時期があった.
     Windows XP/Windows 2003の頃にOSにZIP圧縮が内蔵されていき,対外的なやりとりはZIPが普及して行ったと思う.

    Lhaplus時代

     Windows Vistaからは圧縮フォルダーにパスワードがつけられなくなったらしく,圧縮ソフトとはLhaplusが入るようになっていったとおもう.日本ローカルの流行りだと思うけど.

     そういえば,Windows 2003だと,2GBを超えるファイルをOS機能で圧縮すると正常に終了するけれどファイルを展開しようとすると壊れているというひどいバグがあったなぁ.

    暗号化ZIP

     ファイルを送信する際に小さくし,ついでに暗号化して開くためにはパスワードが必要という運用が浸透してきた.
     パスワード長の制限もないし総当たりの回数も制限がないから,PCの性能によってはパスワードは短時間で解読される.なので長いパスワードをつけるというのが推奨されていた.辞書アタックもあるから長文で意味不明記号付き.

    アーカイブ形式でファイル名まるみえ

     パスワード付きZIPファイルを展開する前でも,中に何が入っているか確認できる.これによってファイル名が非常に興味のある内容だったら,パスワードクラックしたくなるとおもう.もう目の前にあるファイルは入手できているわけで.

    ZIP圧縮後,パスワード別送

     電子メールはUUCPでバケツリレーで運ばれていたことがある.近くのサーバへリレーし,そのサーバが宛先でなければ別のサーバに転送する.その転送経路はその時の最適なものが選ばれる前提担っていたから,メールを送信する際にどこの経路を通るかわからない.
     よって本文とパスワード送信するメールの時間を空けることで,盗聴された時も解読されにくい,,,という考え方がむかしあった.しかし,今はIPでほぼ直結なので経路が別々ということは考えにくい.まぁOffice 365などのクラウドを使っているとブリッジヘッドなどが違う経路を通る事もあるだろうけれど...とそこまでマニアックなことを考えている人は現代には少ない
     パスワードをあとで別で送ることで,添付ファイルの送信先を間違えた場合でも被害を軽減できるという意味が多いかな.
     「送信ボタンを押した直後に誤りを発見する率」は非常に高い.


    暗号化ZIP悪者にされる

     EmotetやIcedIDなど,悪意のあるマクロつきWordファイルが暗号化ZIPファイルに包まれてセキュリティソフトの検疫を突破して企業内ネットワークに侵入してくる事案が多発.
     これがきっかけ?

     ファイルアップローダを推奨する方法に切り替えていこうとしているようだけれど,ちょっとお金の匂いがしちゃうなぁ.
     「宅ふぁいる便」みたいなことにならないように...

    なんかあったときの連絡先

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/12/1 10:46
    サイバーインシデント緊急対応企業一覧 - JNSA
    https://www.jnsa.org/emergency_response/

    引用:
    サイバーインシデントは予期しないタイミングで起こります。また、サイバーインシデントは通常のシステム障害とは異なり、専門知識がないと状態の把握すら困難です。
    そのような時に、緊急で対応を請け負ってくれる、頼りになるJNSA所属企業を取りまとめました。
    初期相談が無料の企業もございますので、ご都合に合わせ直接お問い合わせください。
     なんか,,,たかそうだな...でも,値段相応なのだろうけれど.

    Dridex分析結果

    カテゴリ : 
    セキュリティ » ニュース・徒然
    ブロガー : 
    ujpblog 2020/11/24 10:14
     マクロファイルで侵入したマルウェアは,C2サーバから悪意のあるソフトウェア,マルウェアをダウンロードすることを試みる.
     不特定多数を狙ったマルウェアの場合,その感染したサイトでは既にそのURLに対してブロックさえていることが多いから,多くのサイトへ接続するような情報がはいっていうというのが面白い.

    フィッシングメールによって拡散されたDridexダウンローダーの解析レポートを公開
    https://eset-info.canon-its.jp/malware_info/trend/detail/201120.html

    DopplerPaymerというleakサイトがあるらしいけれど,もう閉鎖されたかなぁ.

    マクロからのEXEの生成方法などが詳しく分析されて居て参考になります.

    広告スペース
    Google