ブログ - セキュリティカテゴリのエントリ
本年を締め括る?大量のセクストーションスパム.うちには現在74件ほど届いています.
しかしちょっとこれまでと違う内容.
引用: これまでは基本的にパソコンをハッキングしてカメラ機能で勝手に録画したシナリオだったけれど今回は公衆便所での姿をビデオに収めたようです.そしてじゃ,どうやって私と紐づけるのか?
引用: トイレに設置したカメラについているBluetooth機能とハッキングツールが,私が持っているスマホをハックして電話番号を盗んだ想定.
技術的にそれを実装しようとすると,トイレにラズパイでも仕込んで攻撃をするとかが考えられるけれど,機器の電源問題と,トイレなんて所要時間3分程度のことだし,短時間でそれを成し遂げるのは困難か.
そして暴露されたくなければ20万円分をビットコインで支払えとあるのだけれど,その時に今回始めての特徴が.
引用: 当然たくさんきたメール全てのきのIDは同じIDでした.
そしてここが問題.
引用: 送信者のFromメールアドレスは実在していそうなメアドが使われています.これはなりすましされているアカウントで,フィッシングメール自体はbccで送信したのでしょう.
ちょうど,機能,送信ドメイン認証を設定したのだけれど,うちからピーティックスで漏洩したメールアドレスが使われてなければいいけど...
しかしちょっとこれまでと違う内容.
引用:
こんにちは!
このレターは重要情報を含みます。
と言うのも、あなたが参加しているとても性的な動画を入手しました。
その動画は、あなたのとても性的、または刺激的なトイレでの様子、排尿をとらえています。
撮影されたトイレはあなたのご自宅ではなく、公衆便所でした。
引用:
さらに、カメラはBluetooth機器と連動していて、一番近いデバイスをスキャンできるようになっています(例えば、トイレ内のあなたのスマートフォンですね)。
Bluetoothを利用した特別なハッキング用のソフトウェアのお陰で、あなたの電話番号を特定することも、ネット上に既に流出している個人情報と合わせることも簡単です。
そのようにして、あなたの連絡先一覧を見つけました。そしてあなたのご友人、知人、ご家族の電話番号全てを入手しました。
技術的にそれを実装しようとすると,トイレにラズパイでも仕込んで攻撃をするとかが考えられるけれど,機器の電源問題と,トイレなんて所要時間3分程度のことだし,短時間でそれを成し遂げるのは困難か.
そして暴露されたくなければ20万円分をビットコインで支払えとあるのだけれど,その時に今回始めての特徴が.
引用:
ビットコインの取引を完了するときは、ID「76461」を指定してください。この情報は、取引の説明欄(コメント)に必ず記載してください。^
そしてここが問題.
引用:
私のメールに返信する必要はありません!適当な個人情報の長い一覧から拝借しただけで、送信者のアドレスは私のものではありません!
ちょうど,機能,送信ドメイン認証を設定したのだけれど,うちからピーティックスで漏洩したメールアドレスが使われてなければいいけど...
ほぼ1年ぶりにDMARCレポートが送られてきたので,すっかり忘れているので,レポートの中身を解読してみる.
まず,送られてきたXML形式のレポートはこれ.
ブロックごとに解読.
まず,送られてきたXML形式のレポートはこれ.
<?xml version="1.0" encoding="UTF-8" ?>
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>noreply-dmarc-support@google[.com</email>
<extra_contact_info>https://support.google[.com/a/answer/2466580</extra_contact_info>
<report_id>6674644931422901562</report_id>
<date_range>
<begin>1640476800</begin>
<end>1640563199</end>
</date_range>
</report_metadata>
<policy_published>
<domain>ujp.jp</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>none</p>
<sp>none</sp>
<pct>100</pct>
</policy_published>
<record>
<row>
<source_ip>27.89.248[.243</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>fail</dkim>
<spf>fail</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>ujp「.jp</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>keyboardcoronation[.com</domain>
<result>fail</result>
<selector>selector</selector>
</dkim>
<spf>
<domain>keyboardcoronation[.com</domain>
<result>softfail</result>
</spf>
</auth_results>
</record>
</feedback>
気になったのは,今の時代にフロッピー・・・じゃなくて.
警視庁、フロッピーディスク2枚紛失 38人の個人情報入り
https://mainichi.jp/articles/20211227/k00/00m/040/078000c
引用:
区営住宅の申し込みをすると,暴力団関係者かどうか確認されるプロセスが漏洩.
足を洗ってお金がない元暴力団,みたいなのは区営住宅に申し込みする前に,警察に「足を洗いました」的なことを言うと良いのかな?
警視庁、フロッピーディスク2枚紛失 38人の個人情報入り
https://mainichi.jp/articles/20211227/k00/00m/040/078000c
引用:
警視庁は27日、東京都目黒区にある区営住宅の申込者38人分の個人情報が入ったフロッピーディスク(FD)2枚を紛失したと発表した。申込者が暴力団関係者かどうか照会するため、同区から個人情報を提供されていた。
区営住宅の申し込みをすると,暴力団関係者かどうか確認されるプロセスが漏洩.
足を洗ってお金がない元暴力団,みたいなのは区営住宅に申し込みする前に,警察に「足を洗いました」的なことを言うと良いのかな?
キヤノンオンラインショップからのメルマガがspamassassinでスパム判定される
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2021/12/27 17:04
スパム対応にSpamAssassinを導入しているけれど,キヤノンからのメールが初めてスパム判定された.
よってヘッダを確認.
SpamAssassinが件名にJUNK MAILと付与している.X-Spam-Score: 9.124になっているのでスパム判定された模様.
消化器のモリタの関係のドメインが使われているようになっているが,過去にデジアナコミュニケーションズという会社が持っていたドメインからメール配信されている模様.
ヘッダの中にあるスコアを確認.
GAPPY_LOW_CONTRASTというのは,Gappy subject + hidden text:ギャップのある被写体+隠し文字ということで,隙間のある件名と,隠し文字が含まれているという点.
件名を見ると,確かに半角スペースが多いのと,何らかのコードが流行っている.
引用:
そして合計で6点近いスコアを出しているのが,CHARSET_FARAWAY_HEADERとMIME_CHARSET_FARAWAYというキャラクターセットに関するもの.
CHARSET_FARAWAY_HEADER
A foreign language charset used in headers
MIME_CHARSET_FARAWAY
MIME character set indicates foreign language
ヘッダや本文に外国語の文字セットが使われているとのこと.
本文を見てみる.
iso-2020-jpとShift_JISは解るが,3DSHIFT-JISというのが含まれている.これがスコアを上げてしまったのかと思われる.
よってヘッダを確認.
SpamAssassinが件名にJUNK MAILと付与している.X-Spam-Score: 9.124になっているのでスパム判定された模様.
消化器のモリタの関係のドメインが使われているようになっているが,過去にデジアナコミュニケーションズという会社が持っていたドメインからメール配信されている模様.
ヘッダの中にあるスコアを確認.
X-Spam-Status: Yes, score=9.124
tagged_above=2
required=6
tests=[CHARSET_FARAWAY_HEADER=3.2, 🈁
GAPPY_LOW_CONTRAST=2.497,🈁
HEADER_FROM_DIFFERENT_DOMAINS=0.249,
HTML_FONT_LOW_CONTRAST=0.001,
HTML_MESSAGE=0.001,
MIME_CHARSET_FARAWAY=2.45,🈁
MPART_ALT_DIFF=0.724,
RCVD_IN_DNSWL_BLOCKED=0.001,
SPF_HELO_NONE=0.001,
SPF_PASS=-0.001,
URIBL_BLOCKED=0.001]
autolearn=no
件名を見ると,確かに半角スペースが多いのと,何らかのコードが流行っている.
引用:
***JUNK MAIL*** 【アウトレット】台数限定アウトレットセール開催中! [COS_211221_2]
そして合計で6点近いスコアを出しているのが,CHARSET_FARAWAY_HEADERとMIME_CHARSET_FARAWAYというキャラクターセットに関するもの.
CHARSET_FARAWAY_HEADER
A foreign language charset used in headers
MIME_CHARSET_FARAWAY
MIME character set indicates foreign language
ヘッダや本文に外国語の文字セットが使われているとのこと.
本文を見てみる.
iso-2020-jpとShift_JISは解るが,3DSHIFT-JISというのが含まれている.これがスコアを上げてしまったのかと思われる.
シャープマスク抽選販売事務局 X-Ms-Exchange-Organization-Scl
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2021/12/27 16:09
シャープマスク抽選販売事務局からのメールがスパム判定されているので,調べてみた.
まずはスパム判定されたメールのヘッダを確認.
このメールはHi-Ho経由で受信しているメールで,件名に[meiwaku]がついている.ヘッダの一番下にあるX-Klms-Antispam-RateとX-Klms-Antispam-Statusによって,スパム判定をしているのはカスペルスキーのエンジンの模様.
このヘッダに登場するメールサーバを検証サイトで調べても,不審なものは発見されなかった.
それでもっとよくヘッダをみると,見慣れないX-Ms-Exchange-Organization-Sclというヘッダが.
調べるとこんな感じ.
スパム対策スタンプ
https://docs.microsoft.com/ja-jp/exchange/antispam-and-antimalware/antispam-protection/antispam-stamps?view=exchserver-2019
引用:
コンテンツの中身が「メッセージがスパムである可能性が非常に高い」とMicrosoftのゲートウェイが判断している模様.
ということでコンテンツ=本文を見てみると,HTMLじゃなくて普通のテキストメールなのだけれど...
この見慣れないFQDNくらいかな.
こんなのが6年前からあったのね.
新ドメイン「jp.sharp」の運用開始について - 2019年3月25日
https://corporate.jp.sharp/info/notices/190325-1.html
これくらいかなぁ.
まずはスパム判定されたメールのヘッダを確認.
このメールはHi-Ho経由で受信しているメールで,件名に[meiwaku]がついている.ヘッダの一番下にあるX-Klms-Antispam-RateとX-Klms-Antispam-Statusによって,スパム判定をしているのはカスペルスキーのエンジンの模様.
このヘッダに登場するメールサーバを検証サイトで調べても,不審なものは発見されなかった.
それでもっとよくヘッダをみると,見慣れないX-Ms-Exchange-Organization-Sclというヘッダが.
調べるとこんな感じ.
スパム対策スタンプ
https://docs.microsoft.com/ja-jp/exchange/antispam-and-antimalware/antispam-protection/antispam-stamps?view=exchserver-2019
引用:
SCL (Spam Confidence Level) スタンプ
SCL スタンプには、内容に基づいたメッセージの評価レベルが示されます。コンテンツ フィルター エージェントは、Microsoft SmartScreen テクノロジを使用してメッセージのコンテンツを評価し、各メッセージに SCL レベルを割り当てます。次の表に SCL 値の説明を示します。
0 から 9
0 は、メッセージがスパムである可能性が非常に低いことを示します。
9 は、メッセージがスパムである可能性が非常に高いことを示します。
-1 メッセージはスパム対策スキャンをバイパスしました (メッセージが内部の送信者からだった場合など)。
コンテンツの中身が「メッセージがスパムである可能性が非常に高い」とMicrosoftのゲートウェイが判断している模様.
ということでコンテンツ=本文を見てみると,HTMLじゃなくて普通のテキストメールなのだけれど...
この見慣れないFQDNくらいかな.
こんなのが6年前からあったのね.
新ドメイン「jp.sharp」の運用開始について - 2019年3月25日
https://corporate.jp.sharp/info/notices/190325-1.html
これくらいかなぁ.
メルカリを使っていないカミさんに来たフィッシングメール.
古典的な感じだけれど,このフィッシング先にアクセスしてみる.アクセスする際に,念のためユニークキーは適当な文字列に置き換え.
もう2日経過しているのにMicrosoft Edgeでブロックされていません.Google ChromeもSafariも同じ.これはフィッシングサイト登録業務が,年末年始の長期休暇に入っている可能性が・・・
それよりも最近はフィッシングサイトも転送系が多いね.今回もcwtmvvw.cnからmeqsru.cnに転送されています.
古典的な感じだけれど,このフィッシング先にアクセスしてみる.アクセスする際に,念のためユニークキーは適当な文字列に置き換え.
もう2日経過しているのにMicrosoft Edgeでブロックされていません.Google ChromeもSafariも同じ.これはフィッシングサイト登録業務が,年末年始の長期休暇に入っている可能性が・・・
それよりも最近はフィッシングサイトも転送系が多いね.今回もcwtmvvw.cnからmeqsru.cnに転送されています.
当方を医療機関と間違って,癒しの音楽CD紹介・販売メルマガを送ってくる業者があって,ずっと無視していたのだけれどいつまで経っても(数年単位)停止されないので,本文に案内があった通り件名を「配信停止」としてメールで連絡しました.
その後,メルマガは来なくなったのだけれど,代わりに次のようなメールが.
その本文を引用したメールなので,その業者がメルマガ(たぶんメーラを使ったbcc送信)のPCがマルウェアに感染して,受信したメールが漏洩したと想定.
返信メールは英語だしリンク先がZIPなので,これは面白いサンプルが取れる!とおもって急いでアクセスしたのですが...
その後,メルマガは来なくなったのだけれど,代わりに次のようなメールが.
その本文を引用したメールなので,その業者がメルマガ(たぶんメーラを使ったbcc送信)のPCがマルウェアに感染して,受信したメールが漏洩したと想定.
返信メールは英語だしリンク先がZIPなので,これは面白いサンプルが取れる!とおもって急いでアクセスしたのですが...
個人情報含む書類が郵便事故で所在不明に - 大和リビング
https://www.security-next.com/132539
引用: 日本郵便のレターパックは,追跡サービスがあるというけれど,拠点拠点の通過情報しかわからないだろうと想定.
また,レターパックの利用シーンとして請求書や業務用サンプルの送付などは想定されているけれど,個人情報を送ることは想定してない模様.ただし,禁止されているわけでもない.
レターパック
https://www.post.japanpost.jp/service/letterpack/
取るべき手段は,電子データで送付する事なのだろうか.
郵便物等の損害賠償制度
https://www.post.japanpost.jp/service/songai_baisyo.html
レターパックは損害補償の対象では無い.
上記損害賠償精度の紹介の中にこのように記載がある.
引用: 個人情報は貴重品と捉えることができるので,ゆうぱっくのセキュリティサービスが良かったのかもしれない.
セキュリティサービス - ゆうパック
https://www.post.japanpost.jp/service/fuka_service/security/index.html
運賃+380円.
運賃が60サイズで東京から東京だとして計算すると,運賃810円+380円となる.レターパックの520円よりは高いが,30万円から50万円の価値がある場合は,これで送るのが良い.
しかし,どちらにしても紛失したら公式発表が必要なら,安い方が良いのか.このあたりは組織としてどうするかを想定しておくのが良いのだろう.
https://www.security-next.com/132539
引用:
大和リビングは、自社宛てに郵送した顧客情報含む書類が、郵送の過程で所在不明になったことを公表した。
同社によれば、10月8日に名古屋東営業所から東海支店宛てにレターパックプラスで郵送した書類が、所在不明となったもの。
また,レターパックの利用シーンとして請求書や業務用サンプルの送付などは想定されているけれど,個人情報を送ることは想定してない模様.ただし,禁止されているわけでもない.
レターパック
https://www.post.japanpost.jp/service/letterpack/
取るべき手段は,電子データで送付する事なのだろうか.
郵便物等の損害賠償制度
https://www.post.japanpost.jp/service/songai_baisyo.html
レターパックは損害補償の対象では無い.
上記損害賠償精度の紹介の中にこのように記載がある.
引用:
現金、宝石等の貴重品を送る場合
必ず一般書留・現金書留(簡易書留を除きます。)としてください。
セキュリティサービス - ゆうパック
https://www.post.japanpost.jp/service/fuka_service/security/index.html
運賃+380円.
運賃が60サイズで東京から東京だとして計算すると,運賃810円+380円となる.レターパックの520円よりは高いが,30万円から50万円の価値がある場合は,これで送るのが良い.
しかし,どちらにしても紛失したら公式発表が必要なら,安い方が良いのか.このあたりは組織としてどうするかを想定しておくのが良いのだろう.
タイトルの通り,このサイト.
regular expressions 101
https://regex101.com/
便利便利.サンプルデータをペーストする際には,重要なデータは置かないようにしなければいけないが.
regular expressions 101
https://regex101.com/
便利便利.サンプルデータをペーストする際には,重要なデータは置かないようにしなければいけないが.
次から次へと問題・課題が出てくるので,早くアップグレードするのが吉なんだろうけれども,現場はどうなのだろう?
この夏までの仕事場の元ボスは,(脆弱性がよく見つかるので)Javaが嫌いだったから,関係してないと思うけどな.
AWSアカウントを「Log4Shell」で乗っ取る方法が報告される
https://gigazine.net/news/20211223-aws-account-takeover-via-log4shell/
引用: ちょっと複合的な感じか.
「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ
https://gigazine.net/news/20211223-apache-log4j-alibaba-cloud/
引用: 中国の法律的には,ベンダじゃなくて政府に報告するのね...
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?
https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/
引用: 先に中国政府に報告したら,Apacheに連絡したかどうか・・・?
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用:
この夏までの仕事場の元ボスは,(脆弱性がよく見つかるので)Javaが嫌いだったから,関係してないと思うけどな.
AWSアカウントを「Log4Shell」で乗っ取る方法が報告される
https://gigazine.net/news/20211223-aws-account-takeover-via-log4shell/
引用:
セキュリティ企業のGigasheetが「Log4ShellでAWSアカウントを乗っ取る方法」を公開しました。Gigasheetによると、この方法はあくまでAWSのセキュリティ設定がずさんな場合にのみ起こりえる現象であり、AWSがLog4Shellに関する固有の問題を抱えているということを意味しているわけではないとのこと。
「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ
https://gigazine.net/news/20211223-apache-log4j-alibaba-cloud/
引用:
世界最大級の小売&電子商取引企業であるアリババグループが所有する日刊紙・South China Morning Postなどの報道によると、中国政府は「Apache Log4j」に関する重大な脆弱性を政府に最初に報告しなかったとして、アリババグループのクラウドコンピューティング部門・Alibaba Cloudと工業情報化部の取引を6カ月間停止する措置を取ったとのこと。
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?
https://gigazine.net/news/20211213-cve-2021-44228-jndi-lookup/
引用:
2021年11月24日に、Alibaba Cloudのセキュリティチームが、Apache Log4jのバージョン2.0-beta9からバージョン2.14.1までにリモートコード実行の脆弱性を発見したと、Apacheに報告しました。
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用:
警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。
年末の忙しい時に大変だろうな...
「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査
https://japan.zdnet.com/article/35181091/
Apache Log4jにまた脆弱性、バージョン2.17.0公開
https://japan.zdnet.com/article/35181084/
引用:
連鎖というか,たぶんみんな興味深く見つめているから,見つかるのだろうな.
引用:
「Apache Log4j」の脆弱性、3万5000超のJavaパッケージに影響の恐れ--グーグル調査
https://japan.zdnet.com/article/35181091/
Apache Log4jにまた脆弱性、バージョン2.17.0公開
https://japan.zdnet.com/article/35181084/
引用:
バージョン2.0-alpha1から2.14.16までにサービス妨害(DoS)状態を発生させる恐れのある脆弱性が存在し、最新版で修正された。
連鎖というか,たぶんみんな興味深く見つめているから,見つかるのだろうな.
引用:
ASFよると、バージョン2.0-alpha1~2.14.16では、自己参照Lookupでの制御されない再起が保護されていない。このためロギング構成のコンテキストルックアップで「$$ {ctx:loginId}」などデフォルト以外のパターンレイアウトを使用している場合、攻撃者がスレッドコンテキストマップ(MDC)で再帰ルックアップを含む悪意ある入力データを作成するなどして、スタックオーバーエラーが発生し、システムが停止してしまうとしている。
精度が悪いフィッシングメールだと,日本語がヘンだったりするけれど,スペルミスもヘンと感じる発端の一つだとおもう.
デルのネットワークスイッチの中にあるチップに記載されてるスペルミス.これはスパイチップなんじゃないか?と考えデルに問い合わせたらちゃんと答えが返ってきた話.
ニセモノ感を漂わせる「Megatrands」というスペルミスのステッカーが貼られたチップは模造品なのか?
https://gigazine.net/news/20211216-american-megatrands/
引用: しかしこれ最後まで読むと,これがデルの批判記事じゃなくてHPE頑張れよって記事になっているという.
デルのネットワークスイッチの中にあるチップに記載されてるスペルミス.これはスパイチップなんじゃないか?と考えデルに問い合わせたらちゃんと答えが返ってきた話.
ニセモノ感を漂わせる「Megatrands」というスペルミスのステッカーが貼られたチップは模造品なのか?
https://gigazine.net/news/20211216-american-megatrands/
引用:
「2018年にBloomberg発のスパイチップ騒動が起きた時、多くの人が目に見えないスパイチップを恐れましたが、Dellのデバイスには肉眼で見える欠陥が長年にわたり放置されていました。もし業界がこれほどあからさまな不具合を見つけられないとしたら、目に見えないスパイチップへの懸念が高まるのは当然と言えます」と述べました。
日本郵便、約21万人分の顧客情報を紛失 “紙多すぎ”で扱いきれず
https://www.itmedia.co.jp/news/articles/2112/15/news148.html
引用:
金融商品なのに,日本郵便が先頭なんだな.ゆうちょ銀行は連名だけど,「郵便局」で管理することのようだから,責任は日本郵便の方が重いということなのか?
引用: 既に電子データ化し失われたデータもなく紙は誤って廃棄されたという見込みなので問題ないという認識のよう.
誤って廃棄だから,適切に処理(裁断・溶解など)されたかわからないけれど,それが落とし所なのだろう.
電子化するとルールに沿ったフローしかできないので「コレ特急で処理して!」が使えない世界w
https://www.itmedia.co.jp/news/articles/2112/15/news148.html
引用:
日本郵便は12月15日、金融商品について顧客の取引内容を記載した「金融商品仲介補助簿」などを紛失したと発表した。合わせて約21万4000人分の顧客情報が記載されていたという。仲介補助簿には、氏名や記号番号、取引内容(購入・解約)、取引金額、銘柄などを記載しているという。
金融商品なのに,日本郵便が先頭なんだな.ゆうちょ銀行は連名だけど,「郵便局」で管理することのようだから,責任は日本郵便の方が重いということなのか?
引用:
仲介補助簿については保存場所や期間を定めていたが、各郵便局での保存期間の認識の違いや、保存する箱の入れ間違いにより、保存期間内に誤って廃棄してしまった。その他の書類についても「紙媒体で作成・保存すべき書類が膨大な環境にあることが、取扱いのミスにつながった」とした。
誤って廃棄だから,適切に処理(裁断・溶解など)されたかわからないけれど,それが落とし所なのだろう.
電子化するとルールに沿ったフローしかできないので「コレ特急で処理して!」が使えない世界w
Javaでアプリを作成していると,トランザクションやセッションを追跡するためにログを吐き出す仕組みとしてlog4jライブラリを組み込んでいるのは普通のことだけれど,そのLog4jライブラリの脆弱性がでています.
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
引用: ログを書き出すライブラリがに実装された謎機能?が問題の模様で,思わず影響を受けるものが多いそうで.
昨年のSolarWindsよりも酷い状態じゃないかな.
既にLookup機能を無効化するように修正されたバージョンがリリースされていまますが,新たにJava8用のLog4jがリリースされたそうです.
引用:
RiskIQの詳細記事(英語だけど)
CVE-2021-44228 - Apache Log4j Remote Code Execution Vulnerability
https://community.riskiq.com/article/505098fc
GreyNoiseは、この脆弱性を悪用するためにインターネットをスキャンしていることが確認されたIPのリストを公開しています.
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
引用:
ワークアラウンド.
引用:
追記2021/12/17
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用: 基本的に8080ポートを使った攻撃観測が多いのか.8080なのでProxy回避の直アクセスやや管理画面などを想定しているのかなぁ.
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について - 警視庁
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210050.html
引用:
Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列
から、一部の文字列を変数として置換します。その内、JNDI Lookup機能が悪用
されると、遠隔の第三者が細工した文字列を送信し、Log4jがログとして記録す
ることで、Log4jはLookupにより指定された通信先もしくは内部パスからjava
classファイルを読み込み実行し、結果として任意のコードが実行される可能性
があります。
昨年のSolarWindsよりも酷い状態じゃないかな.
既にLookup機能を無効化するように修正されたバージョンがリリースされていまますが,新たにJava8用のLog4jがリリースされたそうです.
引用:
** 更新: 2021年12月15日追記 ******************************************
The Apache Software Foundationは、Apache Log4jのバージョン2.16.0
(Java 8以降のユーザー向け)および2.12.2(Java 7のユーザー向け)を公開
しました。
RiskIQの詳細記事(英語だけど)
CVE-2021-44228 - Apache Log4j Remote Code Execution Vulnerability
https://community.riskiq.com/article/505098fc
GreyNoiseは、この脆弱性を悪用するためにインターネットをスキャンしていることが確認されたIPのリストを公開しています.
https://gist.github.com/gnremy/c546c7911d5f876f263309d7161a7217
引用:
主にLDAPのJNDIリソースを利用した攻撃が確認されていますが、RMIやDNSなど他のJNDIリソースに拡大する可能性があります。これらの文字列は、潜在的にログに記録されるあらゆる値に注入される可能性があります。可能性のあるフィールドは、ユーザーエージェント、ウェブフォーム、ウェブページ名、またはユーザーデータが送信される他の任意の場所です。これらの値は、もしログに記録されるために送られると、Log4j を使ってアプリケーションによって解析され、実行され ることができます。以下は、悪用されようとしていることを検知できる文字列です。${jndi:ldap ${jndi:dns ${jndi:rmi ${jndi:nis ${jndi:nds ${jndi:corba ${jndi:iiop
ワークアラウンド.
引用:
アップグレードされた Log4j ライブラリを使用する前にこの問題を軽減したい組織で、2.10 から 2.14.1 の間の Log4J バージョンを使用している場合、JVM 起動パラメーターに次のプロパティを適用し、Java プロセスを再起動することが可能です。-DLog4j2.formatMsgNoLookups=true
追記2021/12/17
「Log4j」脆弱性の攻撃数、警察庁がリアルタイム公開
https://www.itmedia.co.jp/news/articles/2112/15/news103.html
引用:
警察施設のインターネット接続点に設置したセンサーで、脆弱性をついた攻撃のアクセスを観測。1センサー当たりの平均の推移をグラフに示した。1時間ごとに更新している。
Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について - 警視庁
https://www.npa.go.jp/cyberpolice/important/2021/202112141.html
こんな注意喚起が.
JVN#88993473 複数のエレコム製 LAN ルーターにおける複数の脆弱性
https://jvn.jp/jp/JVN88993473/
お値段安い目の家庭用ルータとして使われているから導入数は多そう.
「管理画面にログイン可能な隣接するネットワーク上」とあるから,まずその隣接するネットワークに第三者がいる必要があるが...
JVN#88993473 複数のエレコム製 LAN ルーターにおける複数の脆弱性
https://jvn.jp/jp/JVN88993473/
お値段安い目の家庭用ルータとして使われているから導入数は多そう.
「管理画面にログイン可能な隣接するネットワーク上」とあるから,まずその隣接するネットワークに第三者がいる必要があるが...
これ.
LINE Pay、国内約5万アカウントの決済情報が「GitHub」に漏えい
https://www.itmedia.co.jp/mobile/articles/2112/07/news135.html
引用:
似たような事があったなーと思って振り返ると,今年の2月にSMBCで“年収診断”したさにGitHubに公開かってのがあった.
やはり発生した対岸の火事をベースに自分たちがどう対応できるかを考える必要があるのだろう.
そして空いこれ.
LINEにおける個人情報の取り扱いに関連する主な予定について
https://linecorp.com/ja/pr/news/ja/2021/3680
LINE Pay、国内約5万アカウントの決済情報が「GitHub」に漏えい
https://www.itmedia.co.jp/mobile/articles/2112/07/news135.html
引用:
LINE Payは、12月6日に一部ユーザーのキャンペーン情報がソフトウェア開発プラットフォーム「GitHub」上で閲覧できる状態になっていたと発表。氏名/住所/電話番号/メールアドレス/クレジットカード番号/銀行口座番号などは含まれておらず、現時点でのユーザーへの影響は確認されていない。
似たような事があったなーと思って振り返ると,今年の2月にSMBCで“年収診断”したさにGitHubに公開かってのがあった.
やはり発生した対岸の火事をベースに自分たちがどう対応できるかを考える必要があるのだろう.
そして空いこれ.
LINEにおける個人情報の取り扱いに関連する主な予定について
https://linecorp.com/ja/pr/news/ja/2021/3680
陸・海・空・宇宙,そこに第5の戦場と位置付けられるサイバー空間にて防衛・国家安全保障の点から最新情報の共有を目的として開催された「サイバー防衛シンポジウム熱海2021」に参加しました.リモートなので1000円.
サイバー防衛シンポジウム熱海2021
https://www.5th-battlefield.com/index.html
基本的には防衛省の人やOBが参加しています.
一番興味深かったのは元防衛庁情報本部長の太田文雄氏の基調講演『敵の可能行動を考える』ですかね.
これまでのサイバー攻撃を振り返っているのだけれど,新聞の切り抜きの数が半端ない.大手新聞各社も取り上げる案件に違いがあるのだと思うけれど,全網羅かな.ピヨさんも新聞デーがあるね.
状況を平時,グレイゾーン,有事に分けるのだそうだけれど,普段の活動中,サイバー攻撃に際して「平時」というのは存在しないと思うから,グレイゾーン,有事の前提で活動するんだという話だった.
Defend Forward.誰が何をしているか常に把握する.セキュリティアナリストレポートなどでよくAPT攻撃グループの報告があるけれど,これらがどの国の支援を受けているか,活発かどうかを注視しておく事が重要な模様.国レベルだと攻撃者も多いだろうからそういう情報網も大事だね.
APTグループも国会支援型と,国家放任型の2つに分かれるらしい.ロシアっぽいけどロシア政府は関知しないみたいな感じか.
心理戦,偽情報をだして市民・政治家を攻撃みたいなのもある,フェイク動画などで世論を動かすなどもあるけれど,嘘かほんとかを見極める力が必要.これはSNSで拡散されているなんでもない情報も同じ.
先週出版.中国安全保障レポート
http://www.nids.mod.go.jp/publication/chinareport/index.html
また現役の自衛官の人が初めて公演したそうなのだけれど,資材調達担当をしていて,「買ったものが正しいものか」という視点が重要だと気づいたところから今の営みが始まったという点が面白い.たしかにアマゾンで買い物して偽物に出会ったという話はよく聞くし.
防衛省の予算で言うとこれまでは人材育成に力を入れていた分が,来年度はスキルマップを整備しようと言う事だそうです.「サイバーセキュリティ」といっても範囲は広いからね.
サイバーディフェンス研究所 CHO/最高ハッキング責任者の林真吾氏の妄想ハッキングも面白かった.攻撃者になったつもりで,目的を達成する演習をやり続ける.攻撃の対象を定め,どこから攻撃をするのが良いかを考えて行く仮説と検証という感じかな.
実際にDoSに適したインフラを海外ホスティング会社に定め,スキャンをしたらその会社に何度か注意を受けたとかゆるい格安ホスティングは踏み台に使われやすいんだろうな.
隣国の整備状況を把握するのも重要.こういうメディアも使ったりするそうだ.
https://jamestown.org/
The Jamestown Foundation
引用:
ジェームスタウンというのはアメリカの最初の植民地からとってあるのかな? CHINA BRIEF,EURASIA DAILY MONITOR,TERRORISM MINITORなどがリストされているけれど,中国が一番上にあるんだな.
世界の動きは,日本のテレビだと得る事が出来ないからなー.
あと「超限戦」という中国の軍事トップの人が書いた本がすごいらしい.1999年に戦略研究として公開されてその筋だと必読書なのだそうで.
引用: あとは日本の最初のサイバー攻撃ってなんだろうという話がありました.各省庁のホームページが改竄された事件があったけれど,あれは犯人が捕まってないが,それかな?というらしい.
中央官庁Webページ集中改ざん事件(2000年)
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html
その頃の情報はネットにあってもリンク切れや深掘り報道もなかったりしているから,過去事案の情報保全というのも大事だという話も出た.ナショナルサイバーセキュリティの時代.
あとは実務的なところで言うと,ランサムウェア対策.3か所バックアップと1つは本体からの存在の隠蔽.そして大半のデータが残るようにするという考え方というのが参考になった.
キーワード
ゴーストネット
スタックスネット
C4ISR
対心理情報課程
コモンクライテリア
Red Star OS
サイバーレンジ
サイバー防衛シンポジウム熱海2021
https://www.5th-battlefield.com/index.html
基本的には防衛省の人やOBが参加しています.
一番興味深かったのは元防衛庁情報本部長の太田文雄氏の基調講演『敵の可能行動を考える』ですかね.
これまでのサイバー攻撃を振り返っているのだけれど,新聞の切り抜きの数が半端ない.大手新聞各社も取り上げる案件に違いがあるのだと思うけれど,全網羅かな.ピヨさんも新聞デーがあるね.
状況を平時,グレイゾーン,有事に分けるのだそうだけれど,普段の活動中,サイバー攻撃に際して「平時」というのは存在しないと思うから,グレイゾーン,有事の前提で活動するんだという話だった.
Defend Forward.誰が何をしているか常に把握する.セキュリティアナリストレポートなどでよくAPT攻撃グループの報告があるけれど,これらがどの国の支援を受けているか,活発かどうかを注視しておく事が重要な模様.国レベルだと攻撃者も多いだろうからそういう情報網も大事だね.
APTグループも国会支援型と,国家放任型の2つに分かれるらしい.ロシアっぽいけどロシア政府は関知しないみたいな感じか.
心理戦,偽情報をだして市民・政治家を攻撃みたいなのもある,フェイク動画などで世論を動かすなどもあるけれど,嘘かほんとかを見極める力が必要.これはSNSで拡散されているなんでもない情報も同じ.
先週出版.中国安全保障レポート
http://www.nids.mod.go.jp/publication/chinareport/index.html
また現役の自衛官の人が初めて公演したそうなのだけれど,資材調達担当をしていて,「買ったものが正しいものか」という視点が重要だと気づいたところから今の営みが始まったという点が面白い.たしかにアマゾンで買い物して偽物に出会ったという話はよく聞くし.
防衛省の予算で言うとこれまでは人材育成に力を入れていた分が,来年度はスキルマップを整備しようと言う事だそうです.「サイバーセキュリティ」といっても範囲は広いからね.
サイバーディフェンス研究所 CHO/最高ハッキング責任者の林真吾氏の妄想ハッキングも面白かった.攻撃者になったつもりで,目的を達成する演習をやり続ける.攻撃の対象を定め,どこから攻撃をするのが良いかを考えて行く仮説と検証という感じかな.
実際にDoSに適したインフラを海外ホスティング会社に定め,スキャンをしたらその会社に何度か注意を受けたとかゆるい格安ホスティングは踏み台に使われやすいんだろうな.
隣国の整備状況を把握するのも重要.こういうメディアも使ったりするそうだ.
https://jamestown.org/
The Jamestown Foundation
引用:
ジェームスタウン財団は、ワシントンD.C.に拠点を置く防衛政策シンクタンクです[2]。 1984年にソ連からの亡命者を支援するために設立され、現在では、米国にとって現在の戦略的重要性を持つ出来事や傾向について、政策立案者に情報を提供し、教育することを目的としています。中国、ロシア、ユーラシア、世界のテロリズムなどをテーマにした出版物を発行しています。
ジェームスタウンというのはアメリカの最初の植民地からとってあるのかな? CHINA BRIEF,EURASIA DAILY MONITOR,TERRORISM MINITORなどがリストされているけれど,中国が一番上にあるんだな.
世界の動きは,日本のテレビだと得る事が出来ないからなー.
あと「超限戦」という中国の軍事トップの人が書いた本がすごいらしい.1999年に戦略研究として公開されてその筋だと必読書なのだそうで.
引用:
【目次】
第1部 新戦争論
第一章 いつも先行するのは兵器革命
第二章 戦争の顔がぼやけてしまった
第三章 教典に背く教典
第四章 アメリカ人は象のどこを触ったのか
第2部 新戦法論
第五章 戦争ギャンブルの新たな見方
第六章 勝利の方法を見出す――側面から剣を差す
第七章 すべてはただ一つに帰する――超限の組み合わせ
第八章 必要な原則
中央官庁Webページ集中改ざん事件(2000年)
http://www.kogures.com/hitoshi/history/virus-2000-web-kaizan/index.html
その頃の情報はネットにあってもリンク切れや深掘り報道もなかったりしているから,過去事案の情報保全というのも大事だという話も出た.ナショナルサイバーセキュリティの時代.
あとは実務的なところで言うと,ランサムウェア対策.3か所バックアップと1つは本体からの存在の隠蔽.そして大半のデータが残るようにするという考え方というのが参考になった.
キーワード
ゴーストネット
スタックスネット
C4ISR
対心理情報課程
コモンクライテリア
Red Star OS
サイバーレンジ
タイトル通りなのだけれど.
アカウントがロックされた的な案内が多い中,商品配送からのフィッシングはあまりみたことない気がする.そしてやっぱり日本語がおかしい.
Microsoft Edgeだと既にフィッシングサイトとして認知されているようです.が,無理矢理アクセスしてみます.
アカウントがロックされた的な案内が多い中,商品配送からのフィッシングはあまりみたことない気がする.そしてやっぱり日本語がおかしい.
Microsoft Edgeだと既にフィッシングサイトとして認知されているようです.が,無理矢理アクセスしてみます.
1週間ほど前になるけれど,ピーティックスで漏洩したメールアドレスに来たフィッシングメール.
出来立てほやほやだったり転送していると検証サイトでも判断が鈍るようです.
楽天を騙りながらアマゾンの偽メアドを使っているあたり精度が悪いw
出来立てほやほやだったり転送していると検証サイトでも判断が鈍るようです.
楽天を騙りながらアマゾンの偽メアドを使っているあたり精度が悪いw
息の根を止められたはずのEmotetが復活しているようです.ザオリク.
【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html
うちにはEmotetは来ないからなー.以前所属していた組織だとたくさん来ていたけれど,アンチウイルスソフトが反応していたし.その意味ではパターンファイルは最新化しておかないとね.
【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html
うちにはEmotetは来ないからなー.以前所属していた組織だとたくさん来ていたけれど,アンチウイルスソフトが反応していたし.その意味ではパターンファイルは最新化しておかないとね.
総務省沖縄総合通信事務所、沖縄サイバーセキュリティネットワーク主催のオンラインセミナーに参加しました.
サイバーセキュリティセミナー in ResorTech Okinawaの開催
https://www.soumu.go.jp/soutsu/okinawa/hodo/2021/21_11_02-002.html
【講演1】地域におけるサイバーセキュリティ人材の育成について
【講演2】40分でわかる実践的防御演習CYDER(主に自治体の皆様向けバージョン)
Cisco Webexでの開催だったのだけれど,Safariで接続していたらマイクが使えなくて主催者のご挨拶が開始から5分程度は聞き逃しました.Google Chromeにすればよかった.
資料は公開しないでということなのでメモの程度になるけれど,総務省では「ICTサイバーセキュリティ総合対策2021」に具体的な施策をまとめているそうです.
ICTサイバーセキュリティ総合対策2021 - 総務省
https://www.soumu.go.jp/main_content/000761893.pdf
テレワークと増え続けるIoT機器の対策が多いのかな.
最も時間がかかる?のが,サイバーセキュリティ人材だけれど,興味深いのが「地方で人材育成しても給料の良い都会に転職してしまう」という嘆き?のような現状.
優秀な人材を確保しておきたいなら良い待遇というのもあるけれど,良い待遇って給与面だけじゃなくて,攻撃されやすい組織に所属することで腕を磨くことができるというのも,あると思います.知識を身につけても実践できないと面白みがないからね.
あとはNICTのナショナルトレーニングセンターのCYDERという教育について.東京オリパラ向けで実施されたサイバーコロッセオをレガシー化?する目的もあり,行政だと無料で受けられるっていうので,これは受けるべきだろうね.でも公務員は定期配置転換とかもあるから難しいんだろうね.
サイバーセキュリティセミナー in ResorTech Okinawaの開催
https://www.soumu.go.jp/soutsu/okinawa/hodo/2021/21_11_02-002.html
【講演1】地域におけるサイバーセキュリティ人材の育成について
【講演2】40分でわかる実践的防御演習CYDER(主に自治体の皆様向けバージョン)
Cisco Webexでの開催だったのだけれど,Safariで接続していたらマイクが使えなくて主催者のご挨拶が開始から5分程度は聞き逃しました.Google Chromeにすればよかった.
資料は公開しないでということなのでメモの程度になるけれど,総務省では「ICTサイバーセキュリティ総合対策2021」に具体的な施策をまとめているそうです.
ICTサイバーセキュリティ総合対策2021 - 総務省
https://www.soumu.go.jp/main_content/000761893.pdf
テレワークと増え続けるIoT機器の対策が多いのかな.
最も時間がかかる?のが,サイバーセキュリティ人材だけれど,興味深いのが「地方で人材育成しても給料の良い都会に転職してしまう」という嘆き?のような現状.
優秀な人材を確保しておきたいなら良い待遇というのもあるけれど,良い待遇って給与面だけじゃなくて,攻撃されやすい組織に所属することで腕を磨くことができるというのも,あると思います.知識を身につけても実践できないと面白みがないからね.
あとはNICTのナショナルトレーニングセンターのCYDERという教育について.東京オリパラ向けで実施されたサイバーコロッセオをレガシー化?する目的もあり,行政だと無料で受けられるっていうので,これは受けるべきだろうね.でも公務員は定期配置転換とかもあるから難しいんだろうね.
今日たくさん来ているセクストーション・スパム.
こんな文書で始まります.
引用: 「チェーンで機能」とか「エクスプロイト」とか素で意味が解る人がいるのだろうか...
被害は,このビットコインアドレスへの入金を追えば良いのかな.
17QoiF3Vvb6VPnUJtSCdtXteUH9LvbXTBW
こんな文書で始まります.
引用:
それが起こったのです。ゼロクリックの脆弱性と特別なコードを使用して、Webサイトを介してあなたのデバイスをハッキングしました。
私の正確なスキルを必要とする複雑なソフトウェア。
このエクスプロイトは、特別に作成された一意のコードを使用してチェーンで機能し、このようなタイプの攻撃は検出されません。
被害は,このビットコインアドレスへの入金を追えば良いのかな.
17QoiF3Vvb6VPnUJtSCdtXteUH9LvbXTBW
カミさんのドコモ回線にKDDIからSMSが届いたというので調べてみた.
duck.orgというダイナミックDNSサービスを使って,スイス・ブラジルに置いてあるサーバに転送されるようだけれど,何もない模様.既にテイクダウンされている?
duck.orgというダイナミックDNSサービスを使って,スイス・ブラジルに置いてあるサーバに転送されるようだけれど,何もない模様.既にテイクダウンされている?
facebookにログインしていたら,そごう・西武の閉店セールという広告が出た.
今は消えているけれど,「本物ですか?」「本物です!」「安いから買いました」「これ詐欺じゃないの?」などのコメントがあったけれど,もうそれも消えていました.
アカウントはまだ残っていて,最近ロゴマークを変更して仕込んだ模様w
それにしても,2020年7月に西武百貨店から警告もでているのに,facebookもこういう広告を許してしまう模様.そうなると全ての広告が怪しい...
ルイ・ヴィトン西武池袋店の名前を不正に利用した悪質なデジタル広告について 2020年7月8日(水) 西武池袋本店
https://www.sogo-seibu.jp/ikebukuro/topics/page/lv-information.html
今は消えているけれど,「本物ですか?」「本物です!」「安いから買いました」「これ詐欺じゃないの?」などのコメントがあったけれど,もうそれも消えていました.
アカウントはまだ残っていて,最近ロゴマークを変更して仕込んだ模様w
それにしても,2020年7月に西武百貨店から警告もでているのに,facebookもこういう広告を許してしまう模様.そうなると全ての広告が怪しい...
ルイ・ヴィトン西武池袋店の名前を不正に利用した悪質なデジタル広告について 2020年7月8日(水) 西武池袋本店
https://www.sogo-seibu.jp/ikebukuro/topics/page/lv-information.html
ランサムウェアも病院を狙うのは人道的にどうなのかな,っていうふうに思うけれど,お金が取れればなんでもいいのか.
被害にあって2ヶ月近くになるけれど,動きがありました.
病院にサイバー攻撃、新規患者受け入れ2か月停止…身代金払わず2億円で新システム
https://www.yomiuri.co.jp/national/20211126-OYT1T50244/
引用:
ニップンの事件もそうだったけれど,この対応は正しい.
引用:
バックアップもだめだったということだから,バックアップはオフラインにするというセオリーが有効ですな.
追記2022/01/03
サーバー復旧、通常診療へ 徳島のサイバー攻撃被害病院
https://www.nikkei.com/article/DGXZQOUF0316J0T00C22A1000000/
引用:
復旧方法がセキュリティ対策に関わる? まぁ再開できて良かった.
被害にあって2ヶ月近くになるけれど,動きがありました.
病院にサイバー攻撃、新規患者受け入れ2か月停止…身代金払わず2億円で新システム
https://www.yomiuri.co.jp/national/20211126-OYT1T50244/
引用:
徳島県つるぎ町の町立半田病院(120床)で、院内のシステムがサイバー攻撃を受けて電子カルテを使用できなくなる被害があり、同病院は26日、システムを新しくした上で、停止していた新規患者の受け入れを来年1月4日に再開すると発表した。個人情報の保護と引き換えに求められていた「身代金」は支払わない。
ニップンの事件もそうだったけれど,この対応は正しい.
引用:
同病院はシステムの復旧を模索してきたが、地域医療への影響が長期化する恐れがあるとして断念。別のサーバーを用いるなどしてシステムを再構築することに決めた。システムの構築などにおよそ2億円かかるという。
バックアップもだめだったということだから,バックアップはオフラインにするというセオリーが有効ですな.
追記2022/01/03
サーバー復旧、通常診療へ 徳島のサイバー攻撃被害病院
https://www.nikkei.com/article/DGXZQOUF0316J0T00C22A1000000/
引用:
病院によると21年12月29日に復旧が確認された。
病院は復旧方法について「今後のセキュリティー対策に関わるので公表しない」としている。
復旧方法がセキュリティ対策に関わる? まぁ再開できて良かった.
前回はアヤシイなぁと思っていたけれど,今回はその可能性があるのでちょっと.
某レジストラである,お名前.comから,こういうメールが来た.
2021.11.21 お知らせ 【注意】お名前.com を装ったフィッシングメールにご注意ください
https://www.onamae.com/news/domain/20211121_1/
前回も言っている通り,お名前.comでしか使ってないメアドに来ているので,これは漏洩したのだろうと思われる.
まだ未公表(未確認)なのか,2014年の漏洩事故の時にこのメアドが漏洩していたのか...?
「お名前.com」メルマガでユーザー情報流出、誤送信メールは16万4,650件
https://internetcom.jp/busnews/20141205/onamae-com-leakages-users-information.html
メアド流出チェックをしても未登録の模様.
';--have i been pwned?
https://haveibeenpwned.com/
Norton - メールアドレス流出チェック
https://jp.norton.com/breach-detection
まだ,お名前.comでしか使ってないメールアドレスへの迷惑メールは2件しか来てないので,被害は少ないけれど.
ピーティックスで漏洩したメールアドレスへの迷惑メールは週3回以上来るけどね.MySpaceで漏洩したメアドへは毎日数通くるけど.
某レジストラである,お名前.comから,こういうメールが来た.
2021.11.21 お知らせ 【注意】お名前.com を装ったフィッシングメールにご注意ください
https://www.onamae.com/news/domain/20211121_1/
前回も言っている通り,お名前.comでしか使ってないメアドに来ているので,これは漏洩したのだろうと思われる.
まだ未公表(未確認)なのか,2014年の漏洩事故の時にこのメアドが漏洩していたのか...?
「お名前.com」メルマガでユーザー情報流出、誤送信メールは16万4,650件
https://internetcom.jp/busnews/20141205/onamae-com-leakages-users-information.html
メアド流出チェックをしても未登録の模様.
';--have i been pwned?
https://haveibeenpwned.com/
Norton - メールアドレス流出チェック
https://jp.norton.com/breach-detection
まだ,お名前.comでしか使ってないメールアドレスへの迷惑メールは2件しか来てないので,被害は少ないけれど.
ピーティックスで漏洩したメールアドレスへの迷惑メールは週3回以上来るけどね.MySpaceで漏洩したメアドへは毎日数通くるけど.
UC CARD アットユーネットを騙るフィッシングメール Microsoft Defender SmartScreen Web報告
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2021/11/24 1:23
UC CARDを騙るフィッシングメールが来た.珍しい物ではないけれど.
いつもようにMicrosoft Edgeでアクセスしてみた.
「このサイトにフィッシングの脅威が含まれていないことを報告」をクリックしてみた.
無記名で連絡できるみたいだなぁ...
そして安全でないサイトへの移動を続けるにしてみた.
面白みはない模様.
いつもようにMicrosoft Edgeでアクセスしてみた.
「このサイトにフィッシングの脅威が含まれていないことを報告」をクリックしてみた.
無記名で連絡できるみたいだなぁ...
そして安全でないサイトへの移動を続けるにしてみた.
面白みはない模様.
先日開催されたセミナーの資料が配布されています.
フィッシング対策セミナー 2021(オンライン)開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html
忘れてて,講演 4の「金融犯罪の不正検知へのAI活用」から聴講しました.ながらだったのであまり頭に入らなかったけれど,講演 5「最近のフィッシング報告の動向」にあった通報サイトは活用させてもらっています.無記名で応募できる気軽さと,貢献?がわからないね...
報告 - フィッシング対策協議会
https://www.antiphishing.jp/registration.html
フィッシング対策セミナー 2021(オンライン)開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2021.html
忘れてて,講演 4の「金融犯罪の不正検知へのAI活用」から聴講しました.ながらだったのであまり頭に入らなかったけれど,講演 5「最近のフィッシング報告の動向」にあった通報サイトは活用させてもらっています.無記名で応募できる気軽さと,貢献?がわからないね...
報告 - フィッシング対策協議会
https://www.antiphishing.jp/registration.html
SAISON CARD お客様情報の確認というフィッシングメールが その3 サイトが後で稼働する件
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2021/11/18 0:11
明治安田生命を騙るフィッシングメールが着ました.
ドメインが「めいじやすだん」になっている.その前に記事の内容については「マガジンハウス」という出版社になっている.
試しに「めいじやすだん」にアクセスするとコレ.
ドメインが「めいじやすだん」になっている.その前に記事の内容については「マガジンハウス」という出版社になっている.
試しに「めいじやすだん」にアクセスするとコレ.
うちのRTX1200には関係ないのか.
JVNVU#91161784 ヤマハ製のルーターにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91161784/index.html
引用: GUIでの設定もリッチになってきたから利用者は多いかと.
JVNVU#91161784 ヤマハ製のルーターにおける複数の脆弱性
https://jvn.jp/vu/JVNVU91161784/index.html
引用:
想定される影響は各脆弱性により異なりますが、当該製品のWeb GUIにログインした状態のユーザーが、攻撃者の作成した罠ページにアクセスすることで、次のような影響を受ける可能性があります。
ここ2日くらいのセクストーション・スパムは「残念ながら凶報がございます。」の書き出しだ.
どのような翻訳ソフトを使ったのかな.なんか,トレンドがあるよね.業者?が変わったなっていう.
どのような翻訳ソフトを使ったのかな.なんか,トレンドがあるよね.業者?が変わったなっていう.
川の上流にある隣の市が運営する防災・安全情報メールに記載があって知ったのだけれど,警視庁が提供するアプリがありました.
防犯アプリ Digi Police
https://www.keishicho.metro.tokyo.lg.jp/kurashi/tokushu/furikome/digipolice.html
Yahoo!防災アプリに自分の住所や実家の住所を登録しているけれど,ちょっと怖い事案も沢山通知が来てましたね.ベータ版だから最近来ないのかな?
小泉孝太郎のCM動画もあります.テレビでは見ないやつかな.
興味深いのは30秒,15秒,6秒とあって,6秒って聞き慣れない感じだけれど,それぞれ見てみると動画の作り方のヒントがわかる?
防犯アプリ Digi Police
https://www.keishicho.metro.tokyo.lg.jp/kurashi/tokushu/furikome/digipolice.html
Yahoo!防災アプリに自分の住所や実家の住所を登録しているけれど,ちょっと怖い事案も沢山通知が来てましたね.ベータ版だから最近来ないのかな?
小泉孝太郎のCM動画もあります.テレビでは見ないやつかな.
興味深いのは30秒,15秒,6秒とあって,6秒って聞き慣れない感じだけれど,それぞれ見てみると動画の作り方のヒントがわかる?
中小企業が行っているセキュリティ対策も大手と同じで経営とのバランスで積み上げるだけだから金額だけ言っても仕方ない気がするね.
中小企業の個人情報安全管理コスト、年10万未満が6割強
https://www.security-next.com/131154
中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月
https://www.ppc.go.jp/files/pdf/R2_chuushou_anzenkanri_report.pdf
水道代,電気代,ガス代,セキュリティ対策代としてインフラとして捉えるかどうか.
個人情報保護委員会 広報・お知らせ 調査等
https://www.ppc.go.jp/news/surveillance/
中小企業の個人情報安全管理コスト、年10万未満が6割強
https://www.security-next.com/131154
中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月
https://www.ppc.go.jp/files/pdf/R2_chuushou_anzenkanri_report.pdf
水道代,電気代,ガス代,セキュリティ対策代としてインフラとして捉えるかどうか.
個人情報保護委員会 広報・お知らせ 調査等
https://www.ppc.go.jp/news/surveillance/
素性のよろしくないIPアドレスのチェックを行うサイト.
https://greensnow.co
引用:
まだちょっと精度(登録情報)が低いかなぁ.
ブラックリストが提供されているので,定期的にこれを取得してブロックしても良いのかもしれない.
https://blocklist.greensnow.co/greensnow.txt
https://greensnow.co
引用:
GreenSnowは、コンピュータセキュリティの最高のスペシャリストで構成されたチームで、世界中にあるさまざまなコンピュータから大量のIPを採取しています。GreenSnowは、SpamHaus.orgと比較して、スパム以外のあらゆる種類の攻撃を受けています。リストは自動的に更新され、リストに掲載されたIPアドレスはいつでも撤回することができます。
近々、Fail2BanやConfigServer Security & Firewallでこのリストを使用するためのガイドができる予定です。
モニターされる攻撃/ブルートフォースは以下の通りです。スキャンポート、FTP、POP3、mod_security、IMAP、SMTP、SSH、cPanel ...
詳細やリストへの参加については、お問い合わせください。
まだちょっと精度(登録情報)が低いかなぁ.
ブラックリストが提供されているので,定期的にこれを取得してブロックしても良いのかもしれない.
https://blocklist.greensnow.co/greensnow.txt
某レジストラでしか使ってないメアドに,迷惑メールが来た.
そのレジストラは,これまでは漏洩事件は報道されてないようだけれど...
そしてそのフィッシングで示していたサイトは,未だブロックされてない模様.
そのレジストラは,これまでは漏洩事件は報道されてないようだけれど...
そしてそのフィッシングで示していたサイトは,未だブロックされてない模様.
$ dig www.2dwpe87[.cn @1.1.1.1
; <<>> DiG 9.10.6 <<>> www.2dwpe87[.cn @1.1.1.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48658
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;www.2dwpe87.cn. IN A
;; ANSWER SECTION:
www.2dwpe87.cn. 600 IN A 155.94.182.75
;; Query time: 281 msec
;; SERVER: 1.1.1.1#53(1.1.1.1)
;; WHEN: Sun Oct 31 18:03:35 JST 2021
;; MSG SIZE rcvd: 59
$
1ヶ月前の情報だけれど.これでセキュリティ人材は国家優先になるのかな.
政府、「サイバーセキュリティ戦略」を閣議決定
https://www.security-next.com/130238
引用:
サイバーセキュリティ戦略 令和3年9月28日
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf
政府、「サイバーセキュリティ戦略」を閣議決定
https://www.security-next.com/130238
引用:
政府は、今後3年間の政府におけるサイバーセキュリティ施策や実施方針となる「サイバーセキュリティ戦略」を9月28日に閣議決定した。日本語版と英語版を同時公開している。
前回2018年7月の決定より3年が経過し、サイバーセキュリティ基本法に基づいて前日27日にサイバーセキュリティ戦略本部で決定したあらたな戦略案を閣議決定したもの。
「DX with Cybersecurity」を掲げ、デジタル庁を中心に推進するデジタルトランスフォーメーションとあわせてセキュリティ対策を推進。中小企業など含めたサプライチェーンの信頼確保などを推し進める。
サイバーセキュリティ戦略 令和3年9月28日
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf
午前中に来た楽天を騙るフィッシングサイト.
5時間後にMicrosoft EdgeでアクセスするとMicrosoft Defender Smart Screenによってブロックされている.
アマゾン用に使っているドメインの使い回しかw
5時間後にMicrosoft EdgeでアクセスするとMicrosoft Defender Smart Screenによってブロックされている.
アマゾン用に使っているドメインの使い回しかw
10月に入ってすぐに大騒ぎ?になったApache HTTP Serverのディレクトリ・トラバーサルについて検証結果が出ていました.
【検証】Apacheのパストラバーサルの脆弱性 (CVE-2021-41773、CVE-2021-42013)を悪用する攻撃通信
https://www.nri-secure.co.jp/blog/apache-http-server-vulnerability
Apache 2.4.49とApache 2.4.50に影響があって,Apache 2.4.48とApache 2.4.51は問題ないんですね.まぁApache 2.4.48以前は別の脆弱性があるんでしょうけど.
PoCも公開されています.
CVE-2021-41773
https://github.com/lorddemon/CVE-2021-41773-PoC
取り急ぎ問題ありませんでしたw
引用:
【検証】Apacheのパストラバーサルの脆弱性 (CVE-2021-41773、CVE-2021-42013)を悪用する攻撃通信
https://www.nri-secure.co.jp/blog/apache-http-server-vulnerability
Apache 2.4.49とApache 2.4.50に影響があって,Apache 2.4.48とApache 2.4.51は問題ないんですね.まぁApache 2.4.48以前は別の脆弱性があるんでしょうけど.
PoCも公開されています.
CVE-2021-41773
https://github.com/lorddemon/CVE-2021-41773-PoC
取り急ぎ問題ありませんでしたw
引用:
$ python3 PoC.py www.ujp.jp
Server www.ujp.jp IS NOT VULNERABLE
[MacPro2013:server 16:51:46 ~/bin/CVE-2021-41773 ]
$
脆弱なIoT機器の調査について
https://www.ict-isac.jp/news/news20181022.html
引用:
ということで,このページにあるIPアドレスはホワイトリストに入れる感じがいいのかな.
https://www.ict-isac.jp/news/news20181022.html
引用:
このような状況を踏まえ、ICT-ISAC Japanでは、2017年度に総務省、国立大学法人横浜国立大学等と連携し、サイバー攻撃観測網や脆弱性探索手法を活用して、重要IoT機器(国民生活・社会生活に直接影響を及ぼす可能性の高いIoT機器)を中心に、インターネットに接続されたIoT機器について調査を行いました。
ICT-ISAC Japanでは、サイバーセキュリティの確保のためには継続的な調査が必要と考えられるため、総務省等と連携し、今年度も日本国内のインターネットに接続されたIoT機器について、バナー情報の取得等により脆弱なIoT機器調査を再開することとしました。
ということで,このページにあるIPアドレスはホワイトリストに入れる感じがいいのかな.
実際にたくさんの被害があったから,こういう概念は必要だろうね
セキュリティトレンド:注目の高まるアタックサーフェス
https://news.yahoo.co.jp/byline/ohmototakashi/20210930-00260671
引用:
その企業が持っているグローバルIP
機関システムなど,外部クラウドを利用しているサービス
くらいまでは把握できると思うけれど,こじんまりとしたプロジェクトで少人数で使っているシステム(チャットツールとか)みたいな,いわゆる「シャドーIT」になるものまでは把握しきれないからね.
それなりの値段だったら諸経費精算から追いかける事もできるかもしれないが,数百円だったら自腹する人もおおいだろうしね.
セキュリティトレンド:注目の高まるアタックサーフェス
https://news.yahoo.co.jp/byline/ohmototakashi/20210930-00260671
引用:
Covid-19感染拡大によって企業を取り巻くIT環境は大きく変わり、世界中で一気にテレワークが普及した。この急速な変化によってインターネットから直接アクセス可能なVPNや、クラウド上に公開されたIT資産、脆弱性を放置されたサーバー等がサイバー攻撃の標的となった。
現在、これらのインターネット上からアクセス可能になっている「資産」を保護するための「ASM(Attack Surface Management)」と呼ばれる技術の注目が高まってきている。
くらいまでは把握できると思うけれど,こじんまりとしたプロジェクトで少人数で使っているシステム(チャットツールとか)みたいな,いわゆる「シャドーIT」になるものまでは把握しきれないからね.
それなりの値段だったら諸経費精算から追いかける事もできるかもしれないが,数百円だったら自腹する人もおおいだろうしね.
以下のツールをこのサイトに組み込もうとしているのだけれど,エラーになってうまくいかない.
エラーコードが出てくるけれど,調べるとgithubのソースコードにたどり着く...
IPA、サイバーセキュリティ注意喚起サービス「icat for JSON」公開
https://japan.zdnet.com/article/35078287/
エラーコードが出てくるけれど,調べるとgithubのソースコードにたどり着く...
IPA、サイバーセキュリティ注意喚起サービス「icat for JSON」公開
https://japan.zdnet.com/article/35078287/
毎年10月はサイバーセキュリティ月間だそうで.もう終わりそうだけど.
This October: Commit to Being Cyber-Aware
https://www.cisecurity.org/newsletter/this-october-commit-to-being-cyber-aware/
引用: 毎週1つ,4つのメッセージがあるそうです.
Week 1: Be Cyber Smart
Week 2: Fight the Phish!
Week 3: Explore. Experience. Share
Week 4: Cybersecurity First
全部英語だけれどツールキットも!
MS-ISAC Toolkit
https://www.cisecurity.org/ms-isac/ms-isac-toolkit/
ツールキットって何があるのかと言うと,啓蒙活動に使えるハンドブックとかカレンダーとか.
This October: Commit to Being Cyber-Aware
https://www.cisecurity.org/newsletter/this-october-commit-to-being-cyber-aware/
引用:
In its most recent annual Cost of a Data Breach report, the Ponemon Institute reviewed more than 500 incidents around the world. The results were sobering: the average data breach costs an organization $4.24 million, and takes 287 days to identify and contain.
That’s why Cybersecurity Awareness Month – designated every October for the last 18 years – is an important reminder of just how critical cybersecurity awareness is at all levels of government and across every industry.
Ponemon Instituteは、最新の年次報告書「Cost of a Data Breach」において、世界各地で発生した500件以上の事件を調査しました。平均的なデータ漏洩のコストは424万ドル(約4億円)で、特定して封じ込めるまでに287日かかります。
だからこそ、18年前から毎年10月に設定されている「サイバーセキュリティ意識向上月間」は、政府のあらゆるレベル、あらゆる業界において、サイバーセキュリティに対する意識がいかに重要であるかを思い出させてくれる重要な月間なのです。
Week 1: Be Cyber Smart
Week 2: Fight the Phish!
Week 3: Explore. Experience. Share
Week 4: Cybersecurity First
全部英語だけれどツールキットも!
MS-ISAC Toolkit
https://www.cisecurity.org/ms-isac/ms-isac-toolkit/
ツールキットって何があるのかと言うと,啓蒙活動に使えるハンドブックとかカレンダーとか.
ドメイン宛のいくつかのメールアドレス宛に,エンジニア派遣の情報が来る.
ずっと放置していたけれど,関係なさすぎなので解除してみることに.
インフォ,人事,リクルート,採用あたりのメールアドレスに対して送ってきているが,配信停止依頼してちゃんと止まるのだろうか?
この株式会社ワークタンクの関戸さんは,ネットの情報によると概念のようなものらしくで,代替わりしているそう...
むかし,外国人店員が珍しい頃,新宿のカレー屋の店頭に「鈴木道子」という名札をつけた店員が複数人いたな.一人は韓国人風だけれど,一人はインド系なので明らかに違う.今だから思うけれど,就労問題なんだろうな.
ずっと放置していたけれど,関係なさすぎなので解除してみることに.
インフォ,人事,リクルート,採用あたりのメールアドレスに対して送ってきているが,配信停止依頼してちゃんと止まるのだろうか?
この株式会社ワークタンクの関戸さんは,ネットの情報によると概念のようなものらしくで,代替わりしているそう...
むかし,外国人店員が珍しい頃,新宿のカレー屋の店頭に「鈴木道子」という名札をつけた店員が複数人いたな.一人は韓国人風だけれど,一人はインド系なので明らかに違う.今だから思うけれど,就労問題なんだろうな.
個人用だと,もう十分な機能を備えていると思われます.有償のアンチウイルス対策ソフトと比べて,検知性能やパターンファイルの提供速度が遅いとも言えないしトラブル何ない点も評価されるべき.
OS標準で十分になったマルウェア対策 それでも注意すべき「セキュリティ対策」は何か
https://www.itmedia.co.jp/news/articles/2108/31/news064.html
引用:
しかし企業向け,で考えるとまだ物足りない.中央管理機能を持っていなかったり,ロギング機能の充実,そしてEDRが無いということかな.
そしてよく「Macにはアンチウイルス対策ソフトが不要か」議論がある.市場規模が少ないので狙われにくいとか,対ウイルスに強いとか色々な議論がされているけれど,実はXProtectやMRTの機能について知らない人が多い.これもOS標準搭載のマルウェア対策.
macOSでのマルウェアからの保護
https://support.apple.com/ja-jp/guide/security/sec469d47bd8/web
OS標準で十分になったマルウェア対策 それでも注意すべき「セキュリティ対策」は何か
https://www.itmedia.co.jp/news/articles/2108/31/news064.html
引用:
先日、SNSでちょっとした調査結果が盛り上がっていました。それは、アンチウイルスと呼ばれる分野の製品で名だたる製品群が販売されている中、Windowsに付属している「Microsoft Defender」がかなりいい成績を残しているということです。
確かに、第三者機関であるAV-TESTやAV-Comparativesの結果を見ると、無料であるはずのDefenderの成績は他の有料製品と遜色ない結果がでています。個人的にも、“既知のマルウェア”に対する検知率は十分で、Windows 10製品を購入したのち、マルウェア対策製品を入れなかったとしても、それなりの防御は可能、と認識しています。
しかし企業向け,で考えるとまだ物足りない.中央管理機能を持っていなかったり,ロギング機能の充実,そしてEDRが無いということかな.
そしてよく「Macにはアンチウイルス対策ソフトが不要か」議論がある.市場規模が少ないので狙われにくいとか,対ウイルスに強いとか色々な議論がされているけれど,実はXProtectやMRTの機能について知らない人が多い.これもOS標準搭載のマルウェア対策.
macOSでのマルウェアからの保護
https://support.apple.com/ja-jp/guide/security/sec469d47bd8/web
現役の人たちは,この件で右往左往しているそうで.
JVN#51106450
Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/
世の中的な顛末は,ピヨさんのブログで.
Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/10/10/031834
引用: この夏の,PrintNightmareの時も,そういうのがあったな.
JVN#51106450
Apache HTTP Server におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN51106450/
世の中的な顛末は,ピヨさんのブログで.
Apache HTTP Server の深刻な脆弱性CVE-2021-41773とCVE-2021-42013についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2021/10/10/031834
引用:
脆弱性の詳細について知りたい
今回パストラバーサル、RCEの脆弱性は10月4日以降に修正された3件の内、CVE-2021-41773、CVE-2021-42013の2つ。CVE-2021-42013はCVE-2021-41773の修正が不十分であったことに起因する脆弱性で、脆弱性の種類、影響は同様。
ハニボもその1つか.
定点観測友の会という名のコミュニティー活動について
https://blogs.jpcert.or.jp/ja/2021/09/sigmon72.html
引用:
個人で参加できるわけじゃないけれど,観測結果で特異点がある場合はアナウンスされているので,それを活用するのが良いのかな.自分に影響しそうな攻撃予兆の流行りの兆候把握.
定点観測友の会という名のコミュニティー活動について
https://blogs.jpcert.or.jp/ja/2021/09/sigmon72.html
引用:
参加組織(順不同)
警察庁、国立研究開発法人情報通信研究機構(NICT)、パナソニック株式会社、株式会社インターネットイニシアティブ(IIJ)、横浜国立大学、JPCERT/CC
個人で参加できるわけじゃないけれど,観測結果で特異点がある場合はアナウンスされているので,それを活用するのが良いのかな.自分に影響しそうな攻撃予兆の流行りの兆候把握.