ブログ - セキュリティカテゴリのエントリ
WithSecure(旧F-Secure)がGitHubで可視化ツールを公開したというので,ちょっとみてみようかと.
インシデント関連データの可視化ツールをGitHubで公開 - WithSecure
https://www.security-next.com/138434
引用:
GitHub - WithSeureLabs/detectree:Data visualization for blue teams
https://github.com/WithSecureLabs/detectree
インストール方法は書いてないんだけれど,JavaScriptフレームワークの「Svelte」の環境を整えれば,何かしらが動くところまで実行できました.
あとはデータを入れるだけかな・・・
バックエンドアダプタを定義することによって,データを取り出せるってことかなぁ.今ひとつ説明がないので判らないな.
最初から入っているバックエンドアダプタを見ると,Elastic Searchのものが設定されています...
インシデント関連データの可視化ツールをGitHubで公開 - WithSecure
https://www.security-next.com/138434
引用:
同ツールは、ログデータを構造化し、疑わしいアクティビティや関連するプロセス、宛先となるネットワーク、ファイル、レジストリーキーなどの関係性について可視化を図るツール。
GitHub - WithSeureLabs/detectree:Data visualization for blue teams
https://github.com/WithSecureLabs/detectree
インストール方法は書いてないんだけれど,JavaScriptフレームワークの「Svelte」の環境を整えれば,何かしらが動くところまで実行できました.
あとはデータを入れるだけかな・・・
バックエンドアダプタを定義することによって,データを取り出せるってことかなぁ.今ひとつ説明がないので判らないな.
最初から入っているバックエンドアダプタを見ると,Elastic Searchのものが設定されています...
$ cat /Users/ujpadmin/bin/detectree/src/backend_adapters/elastic.ts🆑
import { Client } from '@elastic/elasticsearch';
export async function query(config: any, id: string, start: string, end: string): Promise<any> {
const result = await getData(config.backend, id, start, end, config.mappings);
return result;
}
// extract the value specified in str using dot notation from the object in obj
function getValue(str, obj) {
return str.split('.').reduce((o, d) => o[d], obj);
}
不理解による設定考慮漏れのようなことは多々あるし,バージョンアップしたら機能が増えて設定増えてたなんてこともあるから,道具の種類は最小限がいいかな.でも反対されるんだよね.老害なんて言われて.老害だけれどw
誤設定のKubernetesインスタンスが90万超存在、保護対策の実施を
https://news.mynavi.jp/techplus/article/20220701-2384300/
引用:
誤設定のKubernetesインスタンスが90万超存在、保護対策の実施を
https://news.mynavi.jp/techplus/article/20220701-2384300/
引用:
非ルートユーザーのみを許可
コンテナに対して定期的に脆弱性スキャンを実行
構成ファイルでハードコードされたクレデンシャルの代わりにKubernetes Secretsを使用
匿名ログインの無効
認証の強化
すべてのセキュリティパッチを更新して適用
「使われていない」または「使われなくなった」コンポーネントの削除
よくあるタイプなんだけれど,誘導先のFQDNがまだ活性化されていたのと,ログインの際に絵あわせ(CAPY)が用意されていた点が特徴的かな.
米国の固定回線なのにロケーションが沖縄と言い張る.もしかして沖縄の米軍基地の中とか?
ログイン画面がこれ.
米国の固定回線なのにロケーションが沖縄と言い張る.もしかして沖縄の米軍基地の中とか?
ログイン画面がこれ.
Excel VBAで業務改善していることも多いけれど,ランサムウェアのEmotetなどはVBAのファイルを送り付けることで初期感染することが知られているので,VBAをオフにする,というのも1つの手段.
マイクロソフトのマクロ悪用対策で攻撃減少、しかし代替手法が増加
https://japan.zdnet.com/article/35191182/
仕組みとしてはゾーン識別子を使ったもので新しい仕組みでもないしレジストリ値の配布で制御できる.知っている人は簡単に解除できるwけれどデフォルトでそうなるというのがミソなのでしょう.
ただし周知徹底とユーザ教育がなければ解錠方法をユーザに展開するのもダメなので運用が難しいかな.
マイクロソフトのマクロ悪用対策で攻撃減少、しかし代替手法が増加
https://japan.zdnet.com/article/35191182/
仕組みとしてはゾーン識別子を使ったもので新しい仕組みでもないしレジストリ値の配布で制御できる.知っている人は簡単に解除できるwけれどデフォルトでそうなるというのがミソなのでしょう.
ただし周知徹底とユーザ教育がなければ解錠方法をユーザに展開するのもダメなので運用が難しいかな.
こんんあSMSメッセージが.
興味深いのは,このメッセージが着信した電話番号は,auからMNPした回線のものなので,KDDIからメッセージが来ていても違和感がないのかもしれない.
ちなみにリンク先のCuttlyのサイトでは404エラーになっていました.
興味深いのは,このメッセージが着信した電話番号は,auからMNPした回線のものなので,KDDIからメッセージが来ていても違和感がないのかもしれない.
ちなみにリンク先のCuttlyのサイトでは404エラーになっていました.
【重要なお知らせ】au PAY マーケット ご利用確認のお願い というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/8/3 11:10
au PAY マーケットなるサービスを騙るフィッシングメールが到着.メールが来てから4日も経過していたけれど,まだフィッシングサイトはテイクダウンされていませんでした.
まだMicrosoft EdgeとGoogle Chromeでアクセスできたので,フィッシング審議協議会にも通報しておきましたが...
まだMicrosoft EdgeとGoogle Chromeでアクセスできたので,フィッシング審議協議会にも通報しておきましたが...
むかし,システム開発の遅れをお客さんにバレないようにするための施策で,上司が考えたのは「テスト結果の大量送付」でした.
当時はメインフレームでテストした結果をテストデータと共に確認用プログラムでダンプしたバイナリデータを大量に紙(シスアウトと呼んでた)に印刷し,蛍光ペンと付箋でチェックしていたのだけれど,そのシスアウトを大量にお客さんに「納品物」として送付.納品検査をしてくれと依頼.
バグが見つかったら再度それを印刷して送付.それをやっている間に遅れていた開発を続けるという二重体制.
シスアウトの量というのがイメージできないと思うけれど,B4サイズくらいの連票紙で,一箱7,8キロにはなるんじゃないかな.それを10箱以上持ち込む感じ.
納品検査作業の遅延を開発遅延に転化させて遅延が相手のせいにしてしまうひどい?上司でした
ハッカー集団「アノニマス」がロシアから「分析に数年かかるレベルの膨大なデータ」を盗み出している
https://gigazine.net/news/20220801-anonymous-cyberwarfare-russia/
当時はメインフレームでテストした結果をテストデータと共に確認用プログラムでダンプしたバイナリデータを大量に紙(シスアウトと呼んでた)に印刷し,蛍光ペンと付箋でチェックしていたのだけれど,そのシスアウトを大量にお客さんに「納品物」として送付.納品検査をしてくれと依頼.
バグが見つかったら再度それを印刷して送付.それをやっている間に遅れていた開発を続けるという二重体制.
シスアウトの量というのがイメージできないと思うけれど,B4サイズくらいの連票紙で,一箱7,8キロにはなるんじゃないかな.それを10箱以上持ち込む感じ.
納品検査作業の遅延を開発遅延に転化させて遅延が相手のせいにしてしまうひどい?上司でした
ハッカー集団「アノニマス」がロシアから「分析に数年かかるレベルの膨大なデータ」を盗み出している
https://gigazine.net/news/20220801-anonymous-cyberwarfare-russia/
メールの見た目は6月に来たフィッシングメールに近いけれど今回はサイトがテイクダウンされていなかったので興味深く確認してみました.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
まず,フィッシングメール.
リンク先のURLが既に怪しいのだけれど,アクセスしてみる.
誘導先のURLから本物のフィッシングサイトに転送されています.
転送前のFQDNはtight-pond-54f1.28kgwe168834.workers.devでCloudFlareでホスティングされています.
防衛省サイバーコンテスト,第2回目が開催されるそうです.
防衛省サイバーコンテストの開催について
https://www.mod.go.jp/j/approach/defense/cyber/c_contest/
募集期間を延長した!というニュースで知ったのだけれど,あまりアピールされてないのかな.
前回は株式会社ラックが運営していたけれど,今回はデジタルハーツだということでした.
防衛省サイバーコンテストの開催について
https://www.mod.go.jp/j/approach/defense/cyber/c_contest/
募集期間を延長した!というニュースで知ったのだけれど,あまりアピールされてないのかな.
前回は株式会社ラックが運営していたけれど,今回はデジタルハーツだということでした.
DNSリクエストに見せかけて外部に情報を持ち出す手段がDNSトンネリング.
「Saitama」マルウェアがDNSにメッセージを隠匿した巧妙な方法が明かされる
https://news.mynavi.jp/techplus/article/20220526-2352002/
引用: 去年見ていたシステムでは,Googleやazureなどのサーバにつけられているランダムに近いような名前のホスト名のサーバへのDNSリクエストが軒並みアラート対象になっていましたね.
つまりそういうのもあるので,DNSリクエストログを保存しておきましょう,ということでしょう.ということはDNSを自前で持つ必要があるということかな.
「Saitama」マルウェアがDNSにメッセージを隠匿した巧妙な方法が明かされる
https://news.mynavi.jp/techplus/article/20220526-2352002/
引用:
Saitamaが使っていたドメインルックアップのシンタックス
ドメイン = メッセージ, カウンタ.ルートドメイン
カウンタは通信を要求する最初の段階でランダムに生成される数値だ。SaitamaはこれをBase36でエンコードして使用する。ただし、エンコードにはC&CサーバとSaitamaで保持しているハードコードされたBase36が使われており一般的なエンコードとは異なっている。
つまりそういうのもあるので,DNSリクエストログを保存しておきましょう,ということでしょう.ということはDNSを自前で持つ必要があるということかな.
1年経つのが1年以下に感じる今日この頃.
情報セキュリティ白書2022
https://www.ipa.go.jp/security/publications/hakusyo/2022.html
買えば2200円(税込)ですがIPAにユーザ登録してダウンロードすれば無料.とはいえ250ページくらいあるのでダウンロードも大変.紙で保管するのはもっと大変だろうなぁ.
情報セキュリティ白書2022
https://www.ipa.go.jp/security/publications/hakusyo/2022.html
買えば2200円(税込)ですがIPAにユーザ登録してダウンロードすれば無料.とはいえ250ページくらいあるのでダウンロードも大変.紙で保管するのはもっと大変だろうなぁ.
【東京電カエナジーパートナー】情報更新のお知らせ #758103 というフッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/28 1:17
フィッシングメール上だと「東京電カエナジーパートナー」だと言っているけれど,誘導先のサイトは「東北電力フロンティア」だったりする.
件名にも本文にも東京電力だと記載があるのに,メールフッタやリンク先が東北電力.
件名にも本文にも東京電力だと記載があるのに,メールフッタやリンク先が東北電力.
告知: 重要な機会のガイダンス というGMO インターネットのWEBメールを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/27 17:14
あまり見ないタイプのフィッシングメールが来た.
モザイクで伏せてある部分は,とあるドメインになるもので,件名,本文,メアド,誘導先のリンクにたくさん埋め込まれています.
どこから送ってきたのか調べる為にメールヘッダを確認してみました.
モザイクで伏せてある部分は,とあるドメインになるもので,件名,本文,メアド,誘導先のリンクにたくさん埋め込まれています.
どこから送ってきたのか調べる為にメールヘッダを確認してみました.
アマゾンの規約に違反したため、アカウントがロックされました! というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/22 2:28
お客様が不在の為お荷物を持ち帰りました。こちらにてご確認ください というSMSのURLがUnicodeだった件
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/14 17:07
貴方の名前で未払いがあります。出来るだけすぐに借金を清算してください。 というセクストーションメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/12 1:49
ちょっと今日は出かけていたのだけれど,帰ってこたらこんなメールが73通も同内容のセクストーションメールが来ていました.そういうキャンペーンの模様.月曜日だし?
今回は日本語版と英語版の入手ができたので,ちょっとみてみました.
引用: 今回は,過去にメールアドレスが漏洩したもの,サイト用にデフォルトで用意されるべきメールアドレス(infoとか),何だか不明な存在したことがないメールアドレス(エラーメールをサルベージしてる),ブログにあえて記載したクローリングされるであろうメールアドレス,それら全てに送信してきているようです.
また,docomo.ne.jp で作っている短い文字数のメアドにも来ていました.ドコモの迷惑メール対策を突破しているということですね.
引用:
今日現在の22万円相当のビットコイン価格を調べてみた.
今回は日本語版と英語版の入手ができたので,ちょっとみてみました.
引用:
こんにちは!
悲しいことに、今から残念な話をお伝えします。
ネット閲覧に利用されている全デバイスへの完全なアクセス権を数ヶ月前に、私は獲得しました。
そのすぐ後に、貴方がとった全てのネット上の活動記録をつけ始めています。
また,docomo.ne.jp で作っている短い文字数のメアドにも来ていました.ドコモの迷惑メール対策を突破しているということですね.
引用:
私のウォレットに ¥220000 (送金時の為替レートで、¥220000 相当のビットコイン)を送金してくれれば、お金の受け取りが終わるとすぐに、貴方が登場する全てのイヤラシイ動画は削除します。
今日現在の22万円相当のビットコイン価格を調べてみた.
【重要】アカウントは48時間後に自動的に削除されます。AMAZONをご利用いただきありがとうございます。メール番号:84488581 というフィッシングメールはGoogle翻訳を
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/10 1:51
最近ちょっと流行りの傾向.
フィッシングサイトへの誘導のURLに,Google翻訳を付けている.これはセキュリティゲートウェイ対策だと思われる.
メールヘッダを見てみる.
alexusMailerを使っているのと,Google翻訳を使っているのを考えると,以前調べたAMEXを騙る手口と同じもののよう.前回のAMEXのものとヘッダを見比べると,残っている情報の類似点が多い.
フィッシングサイトへの誘導のURLに,Google翻訳を付けている.これはセキュリティゲートウェイ対策だと思われる.
メールヘッダを見てみる.
alexusMailerを使っているのと,Google翻訳を使っているのを考えると,以前調べたAMEXを騙る手口と同じもののよう.前回のAMEXのものとヘッダを見比べると,残っている情報の類似点が多い.
三越伊勢丹WEBを騙るフィッシングメール.まだサイトがテイクダウンされてなかったので,アクセスしてみた.
メールはこんな感じ.
アクセスすると新規会員にもなれるっぽい?
ランダムなメールアドレスとパスワードでログインしてみる.
SSL証明書は,Let's Encryptだった.
クレジットカード番号などを適当に入れてみるも・・・
お客様番号エラーとしてこれ以上先にいけなかった.お客様番号のチェックをしている風だが桁数チェックだけ.
入力が終わると,正しいストアに転送されて終了.
メールヘッダを確認すると...
そもそも,差出人がアマゾンを語っているし,いつものChina Unicomだし.Foxmailだし.
メールはこんな感じ.
アクセスすると新規会員にもなれるっぽい?
ランダムなメールアドレスとパスワードでログインしてみる.
SSL証明書は,Let's Encryptだった.
クレジットカード番号などを適当に入れてみるも・・・
お客様番号エラーとしてこれ以上先にいけなかった.お客様番号のチェックをしている風だが桁数チェックだけ.
入力が終わると,正しいストアに転送されて終了.
メールヘッダを確認すると...
そもそも,差出人がアマゾンを語っているし,いつものChina Unicomだし.Foxmailだし.
メタップスペイメントは裏方なので,実際の影響範囲はpiyoさんの記事にまとめられていますね.
メタップスペイメントの情報流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/03/04/193000
クレジットカード番号等取扱業者に対する行政処分を行いました
https://www.meti.go.jp/press/2022/06/20220630007/20220630007.html
・クレジットカード番号をデータベースに保存して保持していた.
・PCIDSS監査機関に対しての報告不足
・ペンテストして脆弱性があることがわかっていたが無かったものと改ざん
・情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた
・クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。
・クレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。
PCI DSSで定められていることをやってないって事で経産省も黙っていられなかったってことか.被害を受けた人は,クレジットカード番号の変更などの実害も出てるようだし.
採用ページを見たら若い会社かと思ったら,もう創業20年以上の老舗ですな.
メタップスペイメント|採用サイト
https://www.metaps-payment.com/company/recruit/
沿革
https://www.metaps-payment.com/company/history.html
メタップスペイメントの情報流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2022/03/04/193000
クレジットカード番号等取扱業者に対する行政処分を行いました
https://www.meti.go.jp/press/2022/06/20220630007/20220630007.html
・クレジットカード番号をデータベースに保存して保持していた.
・PCIDSS監査機関に対しての報告不足
・ペンテストして脆弱性があることがわかっていたが無かったものと改ざん
・情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた
・クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。
・クレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。
PCI DSSで定められていることをやってないって事で経産省も黙っていられなかったってことか.被害を受けた人は,クレジットカード番号の変更などの実害も出てるようだし.
採用ページを見たら若い会社かと思ったら,もう創業20年以上の老舗ですな.
メタップスペイメント|採用サイト
https://www.metaps-payment.com/company/recruit/
沿革
https://www.metaps-payment.com/company/history.html
あなたのアカウントは停止されました、情報を更新してください のフィッシングメールが流行り その2
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/7 15:26
今年の2月に大量に来ていたアマゾンを騙るフィッシングメールですが,また大量に来ています.
テレビCMをよくやっているけれど,年に一度のアマゾンプライムデーが7月12日から開催されるから,それに合わせてということだろうか.というかAmazonのセールってなんか毎月何らかのものをやっているような?
取り急ぎ手元にある11通をみてみたら,誘導先のURLは次の3つでした.
https[:]//www.elektro-stoeckl.com/
https[:]//www.kvp-consulting.com/
https[:]//www.0bmexico.com/
3つともすでにテイクダウンされているのでサイトは確認できませんでした.
IPアドレスは1つだけ汚れているのがありましたけれど,一旦全部報告しておきました.
https[:]//www.abuseipdb.com/check/116.138.210.116
https[:]//www.abuseipdb.com/check/175.148.74.54
https[:]//www.abuseipdb.com/check/175.148.74.136
https[:]//www.abuseipdb.com/check/175.173.181.225
https[:]//www.abuseipdb.com/check/175.165.128.140
https[:]//www.abuseipdb.com/check/175.173.182.253
https[:]//www.abuseipdb.com/check/59.58.104.129
https[:]//www.abuseipdb.com/check/42.55.252.135
https[:]//www.abuseipdb.com/check/42.59.84.18
https[:]//www.abuseipdb.com/check/123.188.37.222
基本的にはChina Unicomというプロバイダ.
使い回し感はあるし,そもそも同じメアドに何通もくるので,何度か収集したメアドリストを使って,それを名寄せ(uniq)してないのだろうなと推測.
テレビCMをよくやっているけれど,年に一度のアマゾンプライムデーが7月12日から開催されるから,それに合わせてということだろうか.というかAmazonのセールってなんか毎月何らかのものをやっているような?
取り急ぎ手元にある11通をみてみたら,誘導先のURLは次の3つでした.
https[:]//www.elektro-stoeckl.com/
https[:]//www.kvp-consulting.com/
https[:]//www.0bmexico.com/
3つともすでにテイクダウンされているのでサイトは確認できませんでした.
IPアドレスは1つだけ汚れているのがありましたけれど,一旦全部報告しておきました.
https[:]//www.abuseipdb.com/check/116.138.210.116
https[:]//www.abuseipdb.com/check/175.148.74.54
https[:]//www.abuseipdb.com/check/175.148.74.136
https[:]//www.abuseipdb.com/check/175.173.181.225
https[:]//www.abuseipdb.com/check/175.165.128.140
https[:]//www.abuseipdb.com/check/175.173.182.253
https[:]//www.abuseipdb.com/check/59.58.104.129
https[:]//www.abuseipdb.com/check/42.55.252.135
https[:]//www.abuseipdb.com/check/42.59.84.18
https[:]//www.abuseipdb.com/check/123.188.37.222
基本的にはChina Unicomというプロバイダ.
使い回し感はあるし,そもそも同じメアドに何通もくるので,何度か収集したメアドリストを使って,それを名寄せ(uniq)してないのだろうなと推測.
これも珍しくないタイプのフィッシングメール.
クレジットカード番号を入力させて,最後は本物のサイトに飛んで終わり.ただ,各入力項目のチェック精度が悪いので品質の低いサイト.
こんなメール.ユニークIDっぽいのが2つついているので,私が特定されないように削ってアクセス.
クレジットカード番号を入力させて,最後は本物のサイトに飛んで終わり.ただ,各入力項目のチェック精度が悪いので品質の低いサイト.
こんなメール.ユニークIDっぽいのが2つついているので,私が特定されないように削ってアクセス.
この中の事情の詳しい人の話を読むと・・・
Kさん
https://twitter.com/aki_kanemoto/status/1540115220764700672?s=20&t=qxJ-x4n7VD1VPdWpLDiJJw
引用: ツイートはもっと続くが,,,このニュース.
個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入
https://kahoku.news/articles/20220629khn000029.html
引用: 他所との調整が必要で根本的解決策を待つ以前にアクションしているという点が評価できるのかな.
Kさん
https://twitter.com/aki_kanemoto/status/1540115220764700672?s=20&t=qxJ-x4n7VD1VPdWpLDiJJw
引用:
尼崎市の漏洩の件で情報セキュリティに詳しいという学識経験者がいろいろコメントしてるけど、自治体が置かれている状況を理解している学識経験者は皆無なんだなと実感
古いシステム、環境で良いなんて自治体関係者は誰も思っていない
そもそもなぜUSB等の可搬媒体を使用しているのかという問題は
各自治体が定めている個人情報保護条例に『外部とのオンライン結合を禁止』しているため、自治体から見ればどこともオンライン回線での接続は禁止されているためUSB等の可搬媒体を使用している
それでは個人情報保護条例を変えればいいという話になるが、それも簡単にはいかない
国が定めている個人情報保護法は平成14年に制定されたが、それ以前に各自治体で各自で自らの情報を守るために条例を定めている
一番早い自治体は確か神奈川県で昭和61年ぐらいに定めてたはず
国が法政化する遥か前から自治体は自ら情報漏洩の防衛を前提に条例を定めていた
個人データ持ち出しにGPS付き専用ケース 尼崎USB紛失受け名取市が導入
https://kahoku.news/articles/20220629khn000029.html
引用:
宮城県名取市は29日、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表した。ダイヤルキー付きで移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できる。
デジタル庁からガイドラインが出ていました.
政府情報システムにおける脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁
引用: 有名大企業に限るってことですかね.当然そうなるか.
政府情報システムにおける脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁
引用:
1)脆弱性診断サービスの選定
高度化するサイバー攻撃の脅威を未然に防ぐためには、十分な経験と能力を有したセキュリティベンダーの選定を要することから、選定に際しては経済産業省の定義する「情報セキュリティサービスに関する審査登録機関基準7」を満たすことの確認に加えて、脆弱性を検出する能力を測るため、ペネトレーションテストの国際資格の保有状況や CTF(Capture The Flag)等のセキュリティコン
テストにおける上位入賞実績、CVE(Common Vulnerabilities and Exposures)の付与された脆弱性の発見数等を問い合わせること等が有効である。また、診断サービスの調達においては、上記の基準に沿った有識者や有資格者が、診断の実施の中で、どのような役割として、何名、どの期間に関わる予定であるかを確認することが望ましい。
NETGEARに関連しているというので興味深くみてみたのですが.具体的な機種名とかパッチ情報とかは今のところありませんね.
小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か
https://gigazine.net/news/20220630-zuorat-soho-campaign/
ZuoRAT Hijacks SOHO Routers To Silently Stalk Networks
https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/
引用:
小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か
https://gigazine.net/news/20220630-zuorat-soho-campaign/
ZuoRAT Hijacks SOHO Routers To Silently Stalk Networks
https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/
引用:
ZuoRATアクティビティの調査中に、ASUS、Cisco、DrayTek、NETGEARを含む多数のSOHOルータメーカーからの感染を示すテレメトリが観察されました。ただし、この記事の執筆時点では、JCG-Q20 モデル ルーターのエクスプロイト スクリプトしか入手できませんでした。この場合、アクターは、ruckus151021.py と呼ばれる概念実証を参照する Python でコンパイルされた Windows ポータブル実行可能 (PE) ファイルを使用して、既知の CVE (CVE-2020-26878 および CVE-2020-26879) を悪用しました。このスクリプトの目的は、資格情報を取得して ZuoRAT をロードすることでした。
Personal Voicemessage というWhatsAppを騙るフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/7/1 17:26
20年以上使っているhotmailのメールアドレスに来たフィッシングメール.
フェイスブックが買収して,現在利用者は20億人を超えたメッセージングサービス.御多分に洩れず私は使ってない・・・
メッセージはhotmailに届いているけれど,メーラーとしてはApple Mailで受け取っています.受け取っている時点で,Playと書いてあるメッセージのリンクが,safelinks,protection.outlook.com経由になっていますね.
実際にはvantiburgict.nlにリンクが飛ぶようです.
強気にこれをクリックしてみます.
フェイスブックが買収して,現在利用者は20億人を超えたメッセージングサービス.御多分に洩れず私は使ってない・・・
メッセージはhotmailに届いているけれど,メーラーとしてはApple Mailで受け取っています.受け取っている時点で,Playと書いてあるメッセージのリンクが,safelinks,protection.outlook.com経由になっていますね.
実際にはvantiburgict.nlにリンクが飛ぶようです.
強気にこれをクリックしてみます.
これまでウチでは見かけないタイプのAmazonを騙るフィッシングメール.
誘導先はすでにテイクダウンされていたので解析はできませんでした.
仕方ないのでメールヘッダを確認.
香港のサーバからNTTPCコミュニケーションズのWebARENAが用意しているVPSを経由しているように見えるけれど,偽装かもしれないとのこと.
X-MailerもLffvmk 0というものなので,そういうパターンとしては他のフィッシングメールでよく見るものと同等かな.
誘導先はすでにテイクダウンされていたので解析はできませんでした.
仕方ないのでメールヘッダを確認.
香港のサーバからNTTPCコミュニケーションズのWebARENAが用意しているVPSを経由しているように見えるけれど,偽装かもしれないとのこと.
X-MailerもLffvmk 0というものなので,そういうパターンとしては他のフィッシングメールでよく見るものと同等かな.
ETCが異常に2回使用されました。(ETC利用照会サービス) というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/30 8:31
最近は文面にちょっと手の込んだ感じになっているものが増えてきた気がする.
これなんか,北海道の道央自動車道を使った翌日に,第三京浜を通過しているので,インポッシブルトラベルとまでは言えないが,ちょっと遠い.(あるいは重労働)
誘導先のURLにアクセスすると既にテイクダウンされていました.
最近このlocalhost向けに変更されていることが多いのだけれど,これはDNS制御なのかな?
これなんか,北海道の道央自動車道を使った翌日に,第三京浜を通過しているので,インポッシブルトラベルとまでは言えないが,ちょっと遠い.(あるいは重労働)
誘導先のURLにアクセスすると既にテイクダウンされていました.
最近このlocalhost向けに変更されていることが多いのだけれど,これはDNS制御なのかな?
市場最低価格 代引き スーパーコピー ブランド 専門店 という詐欺メールのURLをWarpDriveをつこてみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/30 8:14
NICTの実証実験だと言うことで,Chrome拡張機能をインストールしてみた.
「WarpDrive」が再始動 - 「タチコマSA」がChrome拡張機能に
https://www.security-next.com/136943
引用: 常識に反して?普段,ChromeはWebミーティングでしか使ってないのだけれど,これしか対応してないと言うのだから仕方ない.
まずはプロジェクトのサイトにアクセス.
WARPDRIVE
https://www.warpdrive-project.jp/index.html
使用許諾に同意して拡張機能をインストールしたら,普通に分析対象のWebサイトにアクセス.
拡張機能のボタンを押すと,オーバレイで画面が出てきてタチコマというキャラが分析結果を表示してくれます.うちのサイトは「異常なしであります!」だそう.
「ページを解析する」ボタンを押すと,次のような画面に.
ページとそれを取り巻く構成要素などがビジュアライズされて表示されます.掴んでぐるぐると回したりして全体を俯瞰して見ることができます.
「WarpDrive」が再始動 - 「タチコマSA」がChrome拡張機能に
https://www.security-next.com/136943
引用:
「WarpDrive」は、「Web-based Attack Response with Practical and Deployable Research InitiatiVE」より名付けられたプロジェクト。特定のウェブサイトを閲覧すると攻撃が行われるウェブ媒介型攻撃の実態把握と対策技術向上を目指している。
まずはプロジェクトのサイトにアクセス.
WARPDRIVE
https://www.warpdrive-project.jp/index.html
使用許諾に同意して拡張機能をインストールしたら,普通に分析対象のWebサイトにアクセス.
拡張機能のボタンを押すと,オーバレイで画面が出てきてタチコマというキャラが分析結果を表示してくれます.うちのサイトは「異常なしであります!」だそう.
「ページを解析する」ボタンを押すと,次のような画面に.
ページとそれを取り巻く構成要素などがビジュアライズされて表示されます.掴んでぐるぐると回したりして全体を俯瞰して見ることができます.
詐欺の被害に遭うと名簿が出回る的なことじゃなくて,攻撃者にしてみればバックドアを開けて置いたりと別の侵入経路を用意しているってことだろうね.
ランサム攻撃、身代金支払企業の8割が再被害 米社調査
https://www.nikkei.com/article/DGXZQOUC105OG0Q2A610C2000000/
引用:
ランサム攻撃、身代金支払企業の8割が再被害 米社調査
https://www.nikkei.com/article/DGXZQOUC105OG0Q2A610C2000000/
引用:
身代金を支払った企業のうち、80%はその後も1回以上のランサム攻撃を受けた。そのうち48%は2回目も同じ攻撃者からの被害だったという。また68%は2回目の攻撃が1回目から1カ月以内に発生し、より高額の身代金を要求された。1回目に身代金を支払った企業のうち、44%が2回目、9%が3回目も支払うことになった。
尼崎で46万人分の個人情報入りUSBメモリが紛失した事件で,思わぬ社会問題が.
重要なデータなのに委託先の委託先の委託先に委託したらしく,なすり合いとまでは言わないけれど,北の技術者に委託していた件と同じ構造.じゃぁ社員だったらミスはしなかったのか?というとそんなことも無く.
ベネッセの事件があった後,業務委託で個人情報や機密情報を取り扱う業務はNGを出す下請け会社が続失していました.何かあったら責任取れないし責任があるほどの契約金でもないってね.
尼崎市のUSBメモリ紛失、役所への大量の苦情電話が「市民の迷惑」になりうる理由
https://gendai.ismedia.jp/articles/-/96774
重要なデータなのに委託先の委託先の委託先に委託したらしく,なすり合いとまでは言わないけれど,北の技術者に委託していた件と同じ構造.じゃぁ社員だったらミスはしなかったのか?というとそんなことも無く.
ベネッセの事件があった後,業務委託で個人情報や機密情報を取り扱う業務はNGを出す下請け会社が続失していました.何かあったら責任取れないし責任があるほどの契約金でもないってね.
尼崎市のUSBメモリ紛失、役所への大量の苦情電話が「市民の迷惑」になりうる理由
https://gendai.ismedia.jp/articles/-/96774
手っ取り早く調査対象のサイトがどんなツールを使っているか外形からわかる部分をリストしてくれるサイト.
BuiltWith Technology Lookup
https://builtwith.com/
利用は無料.
調査するにはURLを入れるだけ.
Usage Statisticsで利用している技術のトレンドもわかりますね.ま,うちの場合スタンダードなやつです.
BuiltWith Technology Lookup
https://builtwith.com/
利用は無料.
調査するにはURLを入れるだけ.
Usage Statisticsで利用している技術のトレンドもわかりますね.ま,うちの場合スタンダードなやつです.
うちのカミさんもビックリしていたけれど古典的な情報漏洩.
路上で寝てたくらい泥酔していて持ち出したUSBメモリが無くなっていたそうだ.
兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び
https://www.biprogy.com/pdf/news/info_220623-3.pdf
泥酔とか書いてないな.お詫びってなんだろう.
セキュリティ教育の一丁目一番地みたいなエピソードだけれど,意外とよくあるんだよね.身近でも2回あったし.一つは電車で荷物を忘れたのと,一つは車上荒らしだったけれど,結局カバンごと全部出てこなかったな.
その時は個人情報も顧客情報も入ってなくてパソコンもBIOSとストレージが暗号化されているから大丈夫って事で終わったけど.落とした財布が戻ってきて日本は安全だ!エピソードは良く聞くけれど,失ったIT機材入りパソコンの返却率は相当低いと思う.でも見つかるといいな.
今回話題になったのは二つ.
・ビプロジーは4月に社名変更した日本ユニシスのことだと認知された.
・記者会見でパスワードは13桁で尼崎市として意味のある単語と数字で始めだけ大文字にして年1回変更,文法的にも正しい
13桁のパスワードは10万年かかるらしい.量子コンピュータだともっと速いそうだ.一緒に紛失した持ち物の中にパスワードのメモは無いのかな?
Amagasaki2022だという予想も出ているそう・・・
その件で,この件を思い出した.
230億円超相当のビットコインが入ったUSBのパスワードを忘れた人の末路
引用:
あ! 13桁で・・・というのは自爆コードでは?
あるいは本当は8桁なのに13桁で始めたら永遠に解けないというブラフ...
セキュリティ部門を統括する人たちは,USBメモリとか外付けディスクとかを嫌って,ログも残るファイル転送を推奨するけれど,容量が大きい場合はちょっと大変なので選択肢が狭くなってくる.でも今回の場合32GBメモリなので最大でもその程度.伝送にすべきだったね.
追記2022/06/24 17:00現在
紛失した本人からカバンと共にUSBデバイスが見つかったと連絡があったそうだ.現時点で詳細不明.今回は良い教訓になった気がする.
追記2022/06/24 21:00現在
NHKニュースで見つかったことがトップニュースになっている.無くしたのは40歳男性.スマホの位置情報をもとに警察と共に足取りを調べ自分で見つけたのだそう.路上で寝ていた場所の近くの住宅の一角にあったそうだ.投げ入れた?
AIで小説を書いてもらった.
引用: アンダーラインを入れたところが自分で書いたところ.なんだ,AIが結果を予測しているではないか!
路上で寝てたくらい泥酔していて持ち出したUSBメモリが無くなっていたそうだ.
兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び
https://www.biprogy.com/pdf/news/info_220623-3.pdf
泥酔とか書いてないな.お詫びってなんだろう.
セキュリティ教育の一丁目一番地みたいなエピソードだけれど,意外とよくあるんだよね.身近でも2回あったし.一つは電車で荷物を忘れたのと,一つは車上荒らしだったけれど,結局カバンごと全部出てこなかったな.
その時は個人情報も顧客情報も入ってなくてパソコンもBIOSとストレージが暗号化されているから大丈夫って事で終わったけど.落とした財布が戻ってきて日本は安全だ!エピソードは良く聞くけれど,失ったIT機材入りパソコンの返却率は相当低いと思う.でも見つかるといいな.
今回話題になったのは二つ.
・ビプロジーは4月に社名変更した日本ユニシスのことだと認知された.
・記者会見でパスワードは13桁で尼崎市として意味のある単語と数字で始めだけ大文字にして年1回変更,文法的にも正しい
13桁のパスワードは10万年かかるらしい.量子コンピュータだともっと速いそうだ.一緒に紛失した持ち物の中にパスワードのメモは無いのかな?
Amagasaki2022だという予想も出ているそう・・・
その件で,この件を思い出した.
230億円超相当のビットコインが入ったUSBのパスワードを忘れた人の末路
引用:
最高クラスの安全性を誇ると言われている暗号化USBデバイスの「IRONKEY(アイアンキー)」に入れ、保管することにしました。
ー略ー
その「アイアンキー」のパスワード入力失敗回数は10回まで…。最後の10回目まで間違えた場合には、この「アイアンキー」内のデータには永遠にアクセスできないようになってしまします。
あ! 13桁で・・・というのは自爆コードでは?
あるいは本当は8桁なのに13桁で始めたら永遠に解けないというブラフ...セキュリティ部門を統括する人たちは,USBメモリとか外付けディスクとかを嫌って,ログも残るファイル転送を推奨するけれど,容量が大きい場合はちょっと大変なので選択肢が狭くなってくる.でも今回の場合32GBメモリなので最大でもその程度.伝送にすべきだったね.
追記2022/06/24 17:00現在
紛失した本人からカバンと共にUSBデバイスが見つかったと連絡があったそうだ.現時点で詳細不明.今回は良い教訓になった気がする.
追記2022/06/24 21:00現在
NHKニュースで見つかったことがトップニュースになっている.無くしたのは40歳男性.スマホの位置情報をもとに警察と共に足取りを調べ自分で見つけたのだそう.路上で寝ていた場所の近くの住宅の一角にあったそうだ.投げ入れた?
AIで小説を書いてもらった.
引用:
セキュリティ事故
その日は最後に住民データをUSBメモリにしまって作業終了.気の合う仲間と共にガッツリと気を失うまで飲み明かした. 気がついたのは路上,はて?いつから眠っていたのだろうか? 今は午前3時.あれ?持っていたカバンが見当たらない!お酒を飲みすぎたせいか頭が痛い.とりあえずコンビニで水を買って飲もうと思い歩き出した. しかし,歩いているうちに自分がどこを歩いていたのか分からなくなってきた. そして,気づいた時には見知らぬ場所に立っていたのだ.
「ここは一体どこだ?」
まずは一旦自分の行動を振り返ってカバンを探してみる.どうするどうする?こんな時,社員教育では……
『迷ったらその場を動くな!』
そうだ,まずは動かないことが大切だ.じっとしていれば誰かに見つけてもらえるかも.でもこの場から動いてしまった方が早く見つけられるかも?そんな事を考えながらしばらくウロウロしていると,目の前に大きな未来像が見えてきた.そう,テレビで大々的に報じられて取引先の上長が頭を下げている姿だ.
「あの時は大変だったよ」
「えっ!?何ですかいきなり!」
部下の一人が驚いている.
「あぁすまないね.ちょっと思い出しただけさ」
私は今,会社からの帰り道にある公園にいる.ベンチに座ってぼんやりと夜
これも既にテイクダウンされているのだけれど,しつこくフィッシングメールがきますね.
うちに到着した実績からすると,ばらまきの範囲としては広範囲の模様.
メールの本文とのバランスでは違和感がとてもあるイオンのロゴ.調べ方が悪いかもしれないけれど,ちょっと古いキャンペーンのようですが,ソースコードを見ると一応イオンの公式サイトから素材を持ってきていました.
そしてソースを見ていると何か不思議な隠し文字があることを発見.
うちに到着した実績からすると,ばらまきの範囲としては広範囲の模様.
メールの本文とのバランスでは違和感がとてもあるイオンのロゴ.調べ方が悪いかもしれないけれど,ちょっと古いキャンペーンのようですが,ソースコードを見ると一応イオンの公式サイトから素材を持ってきていました.
そしてソースを見ていると何か不思議な隠し文字があることを発見.
ネット上で情報漏洩事件はよくあるけれど,よくありすぎて情報が埋もれてしまう.
漏洩事故を起こした会社のプレスリリースをメディアが取り上げるか否か,みたいな店もあるし企業側も取り下げをする場合もあるからいつまで出ているかわからない.
クレジットカード会社視点で漏洩情報を載せているページがあったのでリンクを.
重要なお知らせ|クレジットカードはUCカード
https://www2.uccard.co.jp/important/
UCカードって,みずほ銀行系なのね.MastercardとVISAがあるようだから,世の中の多くのカード情報漏洩事件が含まれていると考えられます.
「漏洩の可能性がある」場合に「モニタリング強化している」という発表がある点も有益かな.
漏洩事故を起こした会社のプレスリリースをメディアが取り上げるか否か,みたいな店もあるし企業側も取り下げをする場合もあるからいつまで出ているかわからない.
クレジットカード会社視点で漏洩情報を載せているページがあったのでリンクを.
重要なお知らせ|クレジットカードはUCカード
https://www2.uccard.co.jp/important/
UCカードって,みずほ銀行系なのね.MastercardとVISAがあるようだから,世の中の多くのカード情報漏洩事件が含まれていると考えられます.
「漏洩の可能性がある」場合に「モニタリング強化している」という発表がある点も有益かな.
【最終警告】:Amazonお客様のプライム 会員資格がキャンセルされます というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/22 1:08
ピーティックスで漏洩してメアドにアマゾンを騙るフィッシングメールが来たのだけれど,こいつがどうもおかしい.
どうおかしいかというとSpamAssasinで判定されてないのです.なぜだろう.
メール本文を見ると不自然なものが無い.
メールヘッダを見ると色々とわかってくる.
メールはK&Kコーポレーションという尼崎にあるプロバイダが発行元になっているけれど,ODNのゲートウェイを二つ通過して送信されている模様.その間に入っているウイルス検知ゲートウェイでは怪しいと判定されてない.
ちなみにODNのIPアドレスの汚れ具合を見ると,結構悪い感じだった.
どうおかしいかというとSpamAssasinで判定されてないのです.なぜだろう.
メール本文を見ると不自然なものが無い.
メールヘッダを見ると色々とわかってくる.
メールはK&Kコーポレーションという尼崎にあるプロバイダが発行元になっているけれど,ODNのゲートウェイを二つ通過して送信されている模様.その間に入っているウイルス検知ゲートウェイでは怪しいと判定されてない.
ちなみにODNのIPアドレスの汚れ具合を見ると,結構悪い感じだった.
Evernoteを騙るフィッシングメールなのだけれど.
誘導先URLにアクセスすると既に本物に転送されるようになっていました.最近,この手法で対応されているものが多い. DNS世界の神の仕業というか.
誘導先URLにアクセスすると既に本物に転送されるようになっていました.最近,この手法で対応されているものが多い. DNS世界の神の仕業というか.
Amazon.co.jpの注文番号249-0545162-1436634 という太和田誠宛のフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/21 1:38
この誰だかわからない受取人が設定されているパターンって,最近流行りなんですかね.
他人宛の荷物を受け取っちゃおうという心理的な弱点を狙っているとかなのかな.ちなみに誘導先のURLはいつも閉鎖済み.
日本郵便の伝票番号を検索してみると・・・
他人宛の荷物を受け取っちゃおうという心理的な弱点を狙っているとかなのかな.ちなみに誘導先のURLはいつも閉鎖済み.
日本郵便の伝票番号を検索してみると・・・
【Amazon】重要なお知らせはタイムリーに処理してください というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/18 16:52
「タイムリーに処理してください」だなんて上から目線.犯人が使う言葉を翻訳ソフトにかけたらそういう命令口調になるのでしょう.そうなるとどこの国なのか・・・
既に誘導先FQDNは閉鎖済みでした.
記載のある住所をストリートビューで見てみるとこんな感じ.
集合住宅か.部屋番号までは記載がなかったので本当の住所かどうかは不明.
メールヘッダを確認してみる.
既に誘導先FQDNは閉鎖済みでした.
記載のある住所をストリートビューで見てみるとこんな感じ.
集合住宅か.部屋番号までは記載がなかったので本当の住所かどうかは不明.
メールヘッダを確認してみる.
フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン)の報告書を読んで
- カテゴリ :
- セキュリティ » 文献・統計・参考資料
- ブロガー :
- ujpblog 2022/6/16 18:51
2022 年 3 月 3 日 (木)に開催されたイベントについて,発表資料が掲示されていました.
フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン)
https://www.antiphishing.jp/news/event/techwg_openday2021_online.html
ガイドライン 2022年版 重要 5 項目として次の項目.
・利用者に送信するメールには「なりすましメール対 策」を施すこと
・複数要素認証を要求すること
・ドメインは自己ブランドと認識して管理し、利用者に周知すること
・すべてのページにサーバ証明書を導入すること
・フィッシング詐欺対応に必要な組織編制とすること フィッシング詐欺について利用者に注意喚起すること
フィッシングの動向
・2021年は対前年2.3倍の526,504件に増加 この2年間で9倍に増加する深刻な状況(届出件数)
SMSフィッシングを受け取る人が多くなっていて,主に宅配業者とECサイトとのこと.そして10代,20代の若い男性が引っかかりやすいのだそう.
そしてCAPY(ログイン時の絵あわせのやつ)の人の発表.
FIDOとは?
引用:
FIDO2 FIDOの新規格
→専用のソフトウェアに依存せずFIDO認証完結させる
FIDO2でどう変わるか?
→WebAuthn(ウェブオースン) API
FIDO2をWebブラウザで実装するAPIとして設計されている
Webブラウザ + FIDO対応の認証器を使用することでFIDO認証が可能
従来 スマートフォンアプリケーションの開発が必要
→ FIDO2 WebブラウザのAPIをJavaScriptなどから操作する
パスワードの代替として今後標準になってくる実装ということか.各種ブラウザでも対応しているしYahoo! JapanもFIDO2に準じた指紋認証,顔認証利用のログインに対応してくるそう.
URL配信の課題
このの報告の中に,こんな結果がありました.
引用: そうか.まだテイクダウンされてないサイトを通報した後アクセス不能になっていると思っていたけれど,実はフィッシングサイト側が短時間設置で逃げるパターンで運用しているということなのね.
なので同じ文面で誘導先URLが違うフィッシングメールが沢山送られてくるのか.
技術的以外の対策
フィッシングメールに対する技術的なものだけじゃなくて,利用者に対する補償対策.
フィッシング詐欺にあうことを前提とした事後対策として補償条件はあるにしても騙された利用者が不利益にならないようにしているが,フロントにある企業が積極的対策をしている企業とそうでもない企業では補償に差が出るような仕組みもあったほうがいいねってことか.企業側で推進する動機になるだろうね.
フィッシング対策協議会 技術・制度検討 WG 報告会 (オンライン)
https://www.antiphishing.jp/news/event/techwg_openday2021_online.html
ガイドライン 2022年版 重要 5 項目として次の項目.
・利用者に送信するメールには「なりすましメール対 策」を施すこと
・複数要素認証を要求すること
・ドメインは自己ブランドと認識して管理し、利用者に周知すること
・すべてのページにサーバ証明書を導入すること
・フィッシング詐欺対応に必要な組織編制とすること フィッシング詐欺について利用者に注意喚起すること
フィッシングの動向
・2021年は対前年2.3倍の526,504件に増加 この2年間で9倍に増加する深刻な状況(届出件数)
SMSフィッシングを受け取る人が多くなっていて,主に宅配業者とECサイトとのこと.そして10代,20代の若い男性が引っかかりやすいのだそう.
そしてCAPY(ログイン時の絵あわせのやつ)の人の発表.
FIDOとは?
引用:
安全性が高く、処理が高速であるオンライン認証技術です。
FIDO Alliance という業界団体により仕様の策定が行われており、 生体認証を安全に使用できるという点で近年注目を浴びています。
U2F
FIDO を用いて二要素認証を実現する仕組みです。 ID、パスワードで認証を行い、それとは別にユーザが保有す る認証器を用いて認証を行います。
UAF
FIDOの認証自体で認証を行う仕組みです。 パスワードの代替として注目を浴びています。
FIDO2 FIDOの新規格
→専用のソフトウェアに依存せずFIDO認証完結させる
FIDO2でどう変わるか?
→WebAuthn(ウェブオースン) API
FIDO2をWebブラウザで実装するAPIとして設計されている
Webブラウザ + FIDO対応の認証器を使用することでFIDO認証が可能
従来 スマートフォンアプリケーションの開発が必要
→ FIDO2 WebブラウザのAPIをJavaScriptなどから操作する
パスワードの代替として今後標準になってくる実装ということか.各種ブラウザでも対応しているしYahoo! JapanもFIDO2に準じた指紋認証,顔認証利用のログインに対応してくるそう.
URL配信の課題
このの報告の中に,こんな結果がありました.
引用:
大半の場合、オンライン上でアクティブな時間は わずか4~8時間程度しかありませんでした。 1時間ごとにリストを更新したとしても、 情報を入手してリストとして提供されるまでに 一般的に3~5日経過しているため、 発表される頃には既に問題のサイトはユーザーから 情報をだまし取った上で消滅している可能性があります。
なので同じ文面で誘導先URLが違うフィッシングメールが沢山送られてくるのか.
技術的以外の対策
フィッシングメールに対する技術的なものだけじゃなくて,利用者に対する補償対策.
フィッシング詐欺にあうことを前提とした事後対策として補償条件はあるにしても騙された利用者が不利益にならないようにしているが,フロントにある企業が積極的対策をしている企業とそうでもない企業では補償に差が出るような仕組みもあったほうがいいねってことか.企業側で推進する動機になるだろうね.
【American Expressカード】ご利用確認してください。メール番号: というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/15 20:06
アメックスを騙るフィッシングメール.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
メール番号というのが件名と本文内にあるのだけれど,一致しない.ちなみにカミさんにも届いていて,そちらの番号とも違う.
誘導先のURLがGoogle翻訳経由のようになっている.これは何かセキュリティフィルタを越えるための工夫なのか?
誘導先のFQDNにアクセスしてみる.
企業でセキュリティソフトを入れると,関係ない問題までセキュリティソフトのせいとされて批判がよく上がるので,現在導入しているものを変えたくないという意見は多い.
でも最近はPCの性能もアップしてきてセキュリティソフトの動作も気にならないことも多いと思っていたけれど,そうでもない現実もある.
サイバー攻撃でウイルス感染の病院、パソコン古くセキュリティーソフト稼働させず
https://www.yomiuri.co.jp/national/20220607-OYT1T50257/
引用:
サードウェーブとマカフィーのセキュリティソフト裁判が終結
https://game.watch.impress.co.jp/docs/news/1413698.html
引用:
でも最近はPCの性能もアップしてきてセキュリティソフトの動作も気にならないことも多いと思っていたけれど,そうでもない現実もある.
サイバー攻撃でウイルス感染の病院、パソコン古くセキュリティーソフト稼働させず
https://www.yomiuri.co.jp/national/20220607-OYT1T50257/
引用:
調査報告書によると、電子カルテシステムにアクセスするパソコンの端末が古く、新しいセキュリティー対策ソフトを入れると、システムの動作が遅くなる恐れがあったという。電子カルテの販売事業者の指示で、ソフトの稼働が止められていた。
サードウェーブとマカフィーのセキュリティソフト裁判が終結
https://game.watch.impress.co.jp/docs/news/1413698.html
引用:
マカフィーのセキュリティソフトをプリインストールする契約を、両社の間で交わした際、契約の前提となるユーザーライセンスの更新率について、40%という現実と大きく隔たりのある虚偽の実績値が示され、その結果、サードウェーブに多額の経済的損害を与えたというもの。
新しいデバイスからアマゾンにログインしたと連絡が来た.
アマゾンのアカウント持ってないけどな,というのは置いといてアクセスしてみたら既に対策されていて本物のサイトに転送されるようになっていた.
VTで確認すると,そんなに酷いスコアではないが,Google Safebrowsingがフィッシングと判断しているから,精度は高いと判断されたのでしょう.
今回気になったのは迷惑メールフラグがつかなかったこと.
ちゃんとしてクラウドサービスを使っているので,問題なかった模様.スパムアサシンのスコアも付かなかった.
しかし,X-MailerにFoxmailが入っているので,この辺りのスコアを見る必要があるのかな.
アマゾンのアカウント持ってないけどな,というのは置いといてアクセスしてみたら既に対策されていて本物のサイトに転送されるようになっていた.
VTで確認すると,そんなに酷いスコアではないが,Google Safebrowsingがフィッシングと判断しているから,精度は高いと判断されたのでしょう.
今回気になったのは迷惑メールフラグがつかなかったこと.
ちゃんとしてクラウドサービスを使っているので,問題なかった模様.スパムアサシンのスコアも付かなかった.
しかし,X-MailerにFoxmailが入っているので,この辺りのスコアを見る必要があるのかな.
【三井住友銀行】契約締結前交付書面兼説明書に関する重要なお知らせ というフィッシングメール
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2022/6/13 13:36
メールの件名がこれまでと違う特徴のあるものが到着.
「契約締結前交付書面兼説明書の改訂」という内容から誘導先でどうやってクレジットカード番号とかアカウントを搾取するのだろうと興味深く誘導先のFQDNを覗いてみたけれど既にテイクダウンされて本物のサイトにリダイレクトされるようになっていました.
「契約締結前交付書面兼説明書の改訂」という内容から誘導先でどうやってクレジットカード番号とかアカウントを搾取するのだろうと興味深く誘導先のFQDNを覗いてみたけれど既にテイクダウンされて本物のサイトにリダイレクトされるようになっていました.
歳をとる(経験を重ねる)と,早く上司に相談・報告すべきだとわかるけれど,若いと誤魔化そうとしたりバレなけえればやり過ごせると考えることも多いのかもね.
メール誤送信後の対応、「上司に報告」2割強
https://www.security-next.com/137112
引用:
逆説的に考えるとメール送信のような業務はベテランにやってもらうべき?
メール誤送信後の対応、「上司に報告」2割強
https://www.security-next.com/137112
引用:
誤送信後に「上司に報告する」と回答した人を年代別に見ると、20代は8.3%、30代が33.3%、40代が21.7%、50代が24.2%だった。
逆説的に考えるとメール送信のような業務はベテランにやってもらうべき?
うちには初めてきた気がするタイプのフィッシングメール.
メール本文に画像ビーコンが埋め込まれていたので,ちょっとうかつだった.
AbuseIPDB では未登録だが VirusTotal では少なからずマリシャスと登録されています.
ロボット判定のキャプチャが実装されていたり,クレジットカード番号からブランドを判別して画面を出すなど巧妙.しかし有効期限などのチェックはされていません.
メールのソースコードをBASE64からでコードすると,埋め込まれたビーコンが出てきました.
プレイスフォルダとは,作成中のサイトという意味.実際にアクセスすると次の通り.
引用:
次に誘導先のURLにアクセスしてみた.
失敗した後に,本物のサイトに転送されます.
メール本文に画像ビーコンが埋め込まれていたので,ちょっとうかつだった.
AbuseIPDB では未登録だが VirusTotal では少なからずマリシャスと登録されています.
ロボット判定のキャプチャが実装されていたり,クレジットカード番号からブランドを判別して画面を出すなど巧妙.しかし有効期限などのチェックはされていません.
メールのソースコードをBASE64からでコードすると,埋め込まれたビーコンが出てきました.
プレイスフォルダとは,作成中のサイトという意味.実際にアクセスすると次の通り.
引用:
恭喜, 站点创建成功!
这是默认index.html,本页面由系统自动生成
本页面在FTP根目录下的index.html
您可以修改、删除或覆盖本页面
FTP相关信息,请到“面板系统后台 > FTP” 查看
おめでとうございます!サイトは正常に作成されました。
これはデフォルトのindex.htmlで、このページはシステムによって自動的に生成されます。
このページは、FTPのルートディレクトリにあるindex.html
このページを修正、削除、上書きすることができます。
FTP関連は「パネルシステム・バックエンド>FTP」でご確認ください。
次に誘導先のURLにアクセスしてみた.
失敗した後に,本物のサイトに転送されます.
ETCに関係するフィッシングメールも,それなりの頻度でくるのだけれど今回は特別.
メールの件名は日本語だけれど,本文が全て中国語のようです.これはどういう事でしょう?
ちなみに「使用记录确认」とは翻訳すると「使用実績の確認」なのだそうです.
引用:
これは翻訳前の原文を送付してしまった関係かな?あるいは日本にいる中国語を話す人をターゲットに?
メールの件名は日本語だけれど,本文が全て中国語のようです.これはどういう事でしょう?
ちなみに「使用记录确认」とは翻訳すると「使用実績の確認」なのだそうです.
引用:
感谢您使用 ETC 服务。
我们计划在不久的将来升级系统。在您的 ETC 账户中检测到账户提醒风险。请再次确认ETC支付方式。
如果您想继续这项服务,请点击以下链接了解更多信息。
ETCサービスをご利用いただき、ありがとうございます。
近い将来、システムのアップグレードを予定しています。 お客様のETCアカウントでアカウントアラートリスクが検出されました。 ETCのお支払い方法を再度ご確認ください。
継続を希望される方は、下記のリンクより詳細をご確認ください。
これは翻訳前の原文を送付してしまった関係かな?あるいは日本にいる中国語を話す人をターゲットに?
時事ネタにも敏感に反応し対応しているようだ.
山口県だけでなく,葛飾区でも御振り込みが発覚して話題.そういうニュースに便乗した件名になっているフィッシングメールが来たので感心した.
しかし誘導先のサーバは既に停止されていたので様子を見ることはできませんでした.
山口県だけでなく,葛飾区でも御振り込みが発覚して話題.そういうニュースに便乗した件名になっているフィッシングメールが来たので感心した.
しかし誘導先のサーバは既に停止されていたので様子を見ることはできませんでした.
新しい文面の詐欺メール.
Do kwon(ドー・クォン)というのは韓国人でステーブルコインのterraUSDとかTerra(LUNA)を運営していた暗号通貨開発者.
その人がビットコインとかETH(イーサリアム)で5000 BTC(20,291,664,070円≒200億円)をプレゼントするイベントを開催する模様.
仮想通貨に詳しくないけれど,韓国発の仮想通貨が大暴落したというニュースは軽く知っているので,そういう感度が高い人は,このお誘いに乗るのかもしれない.
新LUNAトークンが最高値から90%近く下落、下げ基調継続
https://vc.morningstar.co.jp/010851.html
引用:
アクセスしてみると,Microsoft Defender SmartScreenでは安全でないサイトとして報告されていると警告が出ますね.
これはLuna2.0Foundationからの公式プレゼントです。
参加するには、使用する暗号通貨をクリックして利用規約を確認してください。
そこにいるすべての暗号ファンのための特別な景品イベントを開催します。
プレゼントに参加したいなら、とても簡単です!
参加したい場合は、簡単に参加できます。
詳細については、以下のBTCまたはETHエアドロップポータルに移動してください:
https://kwoneventt.com/その人がビットコインとかETH(イーサリアム)で5000 BTC(20,291,664,070円≒200億円)をプレゼントするイベントを開催する模様.
仮想通貨に詳しくないけれど,韓国発の仮想通貨が大暴落したというニュースは軽く知っているので,そういう感度が高い人は,このお誘いに乗るのかもしれない.
新LUNAトークンが最高値から90%近く下落、下げ基調継続
https://vc.morningstar.co.jp/010851.html
引用:
新たなテラ・ブロックチェーンのネイティブトークンであるテラ(LUNA)は、取引初日に急騰した後、一貫して下落している。業界観測筋は、このテラを復活させる試みがうまくいくのか疑問視し続けている。
アクセスしてみると,Microsoft Defender SmartScreenでは安全でないサイトとして報告されていると警告が出ますね.
