ブログ - セキュリティカテゴリのエントリ
スパムメールのメールヘッダをMicrosoftのMessage Header Analyzer使って可視化する
- ブロガー :
- ujpblog 2021/3/10 23:53
迷惑メールがどこから送られてきたかをトレースするには,メールヘッダをみるのが良いのだけれど,通過したメールサーバによって色々付くので読みにくい.
それをコピペだけで整形してくれるWebツールをMicrosoftが用意していたので使ってみた.
Message Header Analyzer
https://mha.azurewebsites.net/
今回使ったのはこういうカミさんのところに届いたフィッシングメール.
古典的.すでにプロバイダのHi-Hoで迷惑メール扱いされて件名に[meiwaku]が付加されているし,Apple Mailも迷惑メールトイ判断している.
まずは,Webブラウザで,Message Header Analyzerのサイトにアクセス.
メールからメールヘッダをコピペして,Analyze headersボタンを押すだけ.
表組みされて表示されるだけだけれど,生のメールヘッダを見るよりずいぶん楽.
このメールを見ると,Return-Pathが実際の企業向けにしてあるので,宛先不明メールを受け取るようにしていれば,企業側でもフィッシングメール被害が出ていることを把握できちゃうね.
それをコピペだけで整形してくれるWebツールをMicrosoftが用意していたので使ってみた.
Message Header Analyzer
https://mha.azurewebsites.net/
今回使ったのはこういうカミさんのところに届いたフィッシングメール.
古典的.すでにプロバイダのHi-Hoで迷惑メール扱いされて件名に[meiwaku]が付加されているし,Apple Mailも迷惑メールトイ判断している.
まずは,Webブラウザで,Message Header Analyzerのサイトにアクセス.
メールからメールヘッダをコピペして,Analyze headersボタンを押すだけ.
表組みされて表示されるだけだけれど,生のメールヘッダを見るよりずいぶん楽.
このメールを見ると,Return-Pathが実際の企業向けにしてあるので,宛先不明メールを受け取るようにしていれば,企業側でもフィッシングメール被害が出ていることを把握できちゃうね.
リバース・ブルーと・フォース・アタックなどの手口にも焦点が上がった,ドコモ口座事件.犯人が逮捕されたと報道があったけれど,調べたらソフトバンクショップの人間が情報を持ち出していたというオチだった.
盗んだ人は直接はドコモ口座事件に絡んでないようだけれど,鮮度・濃度が良いデータだと別の犯罪に利用される良い例かな.
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される
https://security.srad.jp/story/21/03/04/0033240/
引用:
追記2021/03/28
600のメールアカウントを無断使用 ドコモ口座不正引き出し
https://mainichi.jp/articles/20210318/k00/00m/040/047000c
引用: 休眠アカウントも管理しておくべきだな.あとはちゃんと削除する.
盗んだ人は直接はドコモ口座事件に絡んでないようだけれど,鮮度・濃度が良いデータだと別の犯罪に利用される良い例かな.
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される
https://security.srad.jp/story/21/03/04/0033240/
引用:
容疑者が取得した情報は、最終的にドコモ口座事件の主犯とされる被告に渡り、それが犯罪に悪用されたと見られている。
追記2021/03/28
600のメールアカウントを無断使用 ドコモ口座不正引き出し
https://mainichi.jp/articles/20210318/k00/00m/040/047000c
引用:
アカウントは、特定のプロバイダー(接続事業者)1社に集中していた。
〜略〜
アカウントのパスワードの多くは、インターネット上に流出していた。定期的にメールを送受信しないとアカウントが勝手に使われても気付きにくいことが悪用されたとみられる。
Cloud Security Posture Managementの略.クラウドサービスの設定ミスを検出するものかな.
ガートナーの推計だと,今後5年間にパブリッククラウドの利用をコントロールできない組織の90%は不適切設定だそうだ. ちょっと文書の意味がわからない.パブリッククラウドを使わざるを得ない組織は90%設定ミスしていて漏洩のリスクがある,ということか.
自動だったり手動だったりするようだ.コンフィグレーション監査と同等か.
ガートナーの推計だと,今後5年間にパブリッククラウドの利用をコントロールできない組織の90%は不適切設定だそうだ. ちょっと文書の意味がわからない.パブリッククラウドを使わざるを得ない組織は90%設定ミスしていて漏洩のリスクがある,ということか.
自動だったり手動だったりするようだ.コンフィグレーション監査と同等か.
要件整理の際に使えそう.
日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
https://www.edr.jp/blog/what-is-nist.html
引用:
日本企業の関心が高まる「NIST」とは? ~サプライチェーンの参加要件に~
https://www.edr.jp/blog/what-is-nist.html
引用:
各国で多くの企業が対応を求められている規約は「NIST SP800-171」。仕様書のタイトルは、「連邦政府外のシステムと組織における管理された非格付け情報の保護」、IPA(情報処理推進機構)が翻訳版を公開しています。
〜略〜
米国の政府機関が調達する製品や技術を扱う企業に向けたセキュリティ基準で、内容を端的に表すと、“調達活動における製造から供給に至るまでのサプライチェーンにおいて、一貫したセキュリティレベルを担保せよ”というものです。
〜略〜
技術要件(77項目)
1.アクセス制御
4.構成管理
5.識別と認証
7.メンテナンス
10.物理的保護
13.システムと通信の保護
14.システムと情報の完全性
非技術要件(33項目)
2.意識向上と訓練
3.監査と責任追跡性(説明責任)
6.インシデント対応
8.メディア保護
9.要員のセキュリティ
11.リスクアセスメント
12.セキュリティアセスメント
高速フラックス入門: サイバー犯罪者がインフラストラクチャの復元力を向上させ検出と法執行機関によるテイクダウンを回避する方法
https://unit42.paloaltonetworks.jp/fast-flux-101/
長文なので読む気が起きない・・・
サイバー攻撃を支援するネットワーク「ファストフラックス」とは?
https://eset-info.canon-its.jp/malware_info/trend/detail/170626.html
引用:
高速フラックス - Fast flux
https://ja.wikiarabi.org/wiki/Fast_flux
引用:
いくらテイクダウンしてもFQDNやIPアドレスを変え,無限増殖しているってことかね.暖簾に手押し感満載か.
https://unit42.paloaltonetworks.jp/fast-flux-101/
長文なので読む気が起きない・・・
サイバー攻撃を支援するネットワーク「ファストフラックス」とは?
https://eset-info.canon-its.jp/malware_info/trend/detail/170626.html
引用:
ファストフラックスのネットワークの基本コンセプトは、ドメインネームを備えた複数のIPアドレスを用意し短時間のセッションでIPアドレスを変えてしまう、というものである。
高速フラックス - Fast flux
https://ja.wikiarabi.org/wiki/Fast_flux
引用:
高速フラックスは、ボットネットがフィッシングおよびマルウェア配信サイトを絶えず変化する侵害されたネットワークの背後に隠すために使用するDNS 手法です。Wikipedia site:ja.wikiarabi.org
いくらテイクダウンしてもFQDNやIPアドレスを変え,無限増殖しているってことかね.暖簾に手押し感満載か.
マイクロソフトの月次アップデートの前に情報が出ている模様.
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210012.html
引用:
githubにあるpowercat.ps1を使っている模様.netcatのPowerShell版..
追記2021/03/08
Microsoft Exchange Onlineは影響を受けない
Exchange Server の脆弱性の緩和策
https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/
引用:
解説:英語
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
追記2021/05/12
FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
https://jp.techcrunch.com/2021/04/14/2021-04-13-fbi-launches-operation-to-remotely-remove-microsoft-exchange-server-backdoors/
引用:
Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210012.html
引用:
マイクロソフトから脆弱性を修正するためのアップデートが公開されています。マイクロソフトは、まず外部ネットワークに接続しているExchange Serverにて優先的に対策を実施することを推奨しています。早期の対策実施を検討してください。
- Microsoft Exchange Server 2019
- Microsoft Exchange Server 2016
- Microsoft Exchange Server 2013
githubにあるpowercat.ps1を使っている模様.netcatのPowerShell版..
追記2021/03/08
Exchange Server の脆弱性の緩和策
https://msrc-blog.microsoft.com/2021/03/07/20210306_exchangeoob_mitigations/
引用:
これらの緩和策は、もしお客様の Exchange Server が既に侵害されている場合の復旧策にはなりません。また攻撃に対しての完全な保護策でもありません
Exchange Server 2013/2016/2019 にセキュリティ更新プログラムを適用できない場合の暫定的な緩和策
IIS Re-Write ルールを導入することや、ユニファイド メッセージング (UM) や Exchange Control Panel (ECP) VDir、オフラインアドレス帳 (OAB) VDir サービスを無効にすることです。
解説:英語
HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/
追記2021/05/12
FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
https://jp.techcrunch.com/2021/04/14/2021-04-13-fbi-launches-operation-to-remotely-remove-microsoft-exchange-server-backdoors/
引用:
ヒューストンの裁判所は、米国内にある数百のMicrosoft Exchange(マイクロソフト・エクスチェンジ)メールサーバーのバックドアの「コピーと削除」を行うというFBIの作戦に許可を与えた。数カ月前、そのサーバーの4つの未発見の脆弱性を突いたハッカー集団が、数千ものネットワークに攻撃を加えている。
米国時間4月13日、米司法省はこの作戦を公表し「成功した」と伝えた。
2021年3月、Microsoftは、新たな中国の国家支援型ハッカー集団Hafnium(ハフニウム)が、企業ネットワークが運用するExchangeメールサーバーを狙っていることを発見した。4つの脆弱性を連結すると、脆弱なExchangeサーバーへの侵入が可能となり、コンテンツが盗み出せるようになる。
〜略〜
FBIがサイバー攻撃を受けた民間のネットワークを実際にクリーンアップしたのは、これが最初だと思われる。
このニュースを見て感じたのは...
AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除される
https://gigazine.net/news/20210217-salesforce-endgame/
引用: AWS(Amazon Web Service)とかGCP(Google Cloud Platform)とかMicrosoft Azureとか,利用者の多いサービスだと,利用者は「中の人」なので「中の人」が気付きやすい盲点のようなものも共有されがちなんじゃないかな.
善意だろうが,悪意だろうが.
AWSアカウント攻撃ツールをSalesforceがリリースするも速攻で削除される
https://gigazine.net/news/20210217-salesforce-endgame/
引用:
EndgameはAWS用のペネトレーションテストツールで、SalesforceのエンジニアであるKinnaird McQuade氏が開発しました。Endgameを用いると、あるAWSアカウントのリソースを他のAWSアカウントで悪用したり、インターネット上に公開したりできるとのこと。
善意だろうが,悪意だろうが.
悪用されがちツール.
Responder And MultiRelay For Windows
https://github.com/lgandx/Responder-Windows
仕組みの理解.
LLMNRとNBTとは – DNS サーバが無いのに名前解決ができる理由
https://turningp.jp/server-client/windows/windows-llmnr-netbios
Responder And MultiRelay For Windows
https://github.com/lgandx/Responder-Windows
仕組みの理解.
LLMNRとNBTとは – DNS サーバが無いのに名前解決ができる理由
https://turningp.jp/server-client/windows/windows-llmnr-netbios
$ git clone https://github.com/lgandx/Responder-Windows🆑
Cloning into 'Responder-Windows'...
remote: Enumerating objects: 151, done.
remote: Total 151 (delta 0), reused 0 (delta 0), pack-reused 151
Receiving objects: 100% (151/151), 7.73 MiB | 9.68 MiB/s, done.
Resolving deltas: 100% (43/43), done.
[macmini2014:ujpadmin 01:31:08 ~/bin ]
$ ls -la Responder-Windows/🆑
total 4
drwxr-xr-x 6 ujpadmin staff 192 3 3 01:31 .
drwxr-xr-x 10 ujpadmin staff 320 3 3 01:31 ..
drwxr-xr-x 12 ujpadmin staff 384 3 3 01:31 .git
-rwxr-xr-x 1 ujpadmin staff 3290 3 3 01:31 README.md
drwxr-xr-x 3 ujpadmin staff 96 3 3 01:31 binaries
drwxr-xr-x 16 ujpadmin staff 512 3 3 01:31 src
[macmini2014:ujpadmin 01:31:18 ~/bin ]
$ tree Responder-Windows/🆑
Responder-Windows/
├── README.md
├── binaries
│ └── Responder
│ ├── MultiRelay.exe🈁
│ ├── Responder.conf
│ ├── Responder.exe
│ ├── logs
│ └── relay-dumps
└── src
├── LICENSE
├── Responder.conf
├── Responder.py
├── certs
│ ├── gen-self-signed-cert.sh
│ ├── responder.crt
│ └── responder.key
├── files
│ ├── AccessDenied.html
│ └── BindShell.exe
├── fingerprint.py
├── logs
├── odict.py
├── packets.py
├── poisoners
│ ├── LLMNR.py
│ ├── MDNS.py
│ ├── NBTNS.py
│ └── __init__.py
├── servers
│ ├── Browser.py
│ ├── DNS.py
│ ├── FTP.py
│ ├── HTTP.py
│ ├── HTTP_Proxy.py
│ ├── IMAP.py
│ ├── Kerberos.py
│ ├── LDAP.py
│ ├── MSSQL.py
│ ├── POP3.py
│ ├── Proxy_Auth.py
│ ├── SMB.py
│ ├── SMTP.py
│ └── __init__.py
├── settings.py
├── tools
│ ├── BrowserListener.py
│ ├── DHCP.py
│ ├── DHCP_Auto.sh
│ ├── FindSMB2UPTime.py
│ ├── FindSQLSrv.py
│ ├── Icmp-Redirect.py
│ ├── MultiRelay
│ │ ├── MultiRelay.py
│ │ ├── RelayMultiCore.py
│ │ ├── RelayMultiPackets.py
│ │ ├── SMBFinger
│ │ │ ├── Finger.py
│ │ │ ├── __init__.py
│ │ │ └── odict.py
│ │ ├── creddump
│ │ │ ├── CHANGELOG
│ │ │ ├── COPYING
│ │ │ ├── README
│ │ │ ├── __init__.py
│ │ │ ├── cachedump.py
│ │ │ ├── framework
│ │ │ │ ├── __init__.py
│ │ │ │ └── win32
│ │ │ │ ├── __init__.py
│ │ │ │ ├── addrspace.py
│ │ │ │ ├── domcachedump.py
│ │ │ │ ├── hashdump.py
│ │ │ │ ├── lsasecrets.py
│ │ │ │ ├── newobj.py
│ │ │ │ ├── object.py
│ │ │ │ ├── rawreg.py
│ │ │ │ └── types.py
│ │ │ ├── lsadump.py
│ │ │ └── pwdump.py
│ │ ├── odict.py
│ │ └── relay-dumps
│ ├── RunFinger.py
│ └── odict.py
└── utils.py
17 directories, 67 files
[macmini2014:ujpadmin 01:31:29 ~/bin ]
$
東京商工リサーチによる報告.
「上場企業の個人情報漏えい・紛失事故」調査(2020年)
https://www.tsr-net.co.jp/news/analysis/20210115_01.html
引用: 単純計算で,5人に1人は漏洩しているわけだから,逆にいうと漏洩するという前提で生きていかねばなるまい.
「上場企業の個人情報漏えい・紛失事故」調査(2020年)
https://www.tsr-net.co.jp/news/analysis/20210115_01.html
引用:
2020年に上場企業とその子会社で、個人情報の漏えい・紛失事故を公表したのは88社、事故件数は103件、漏えいした個人情報は2,515万47人分に達した。
1ヶ月前のこの記事に関する話.
警視庁 サイバー犯罪対策プロジェクト
マルウェアに感染している機器の利用者に対する注意喚起の実施について
https://www.npa.go.jp/cyber/policy/mw-attention.html
引用: とあるので,各ネットワーク管理者などはISPからの連絡待ちですね.
マルウェアEmotetのテイクダウンと感染端末に対する通知
https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html
警視庁 サイバー犯罪対策プロジェクト
マルウェアに感染している機器の利用者に対する注意喚起の実施について
https://www.npa.go.jp/cyber/policy/mw-attention.html
引用:
海外の捜査当局から警察庁に対して、国内のEmotetに感染している機器に関する情報提供がありました。
令和3年2月下旬から準備が整い次第、当該情報をISPに提供し、ISPにおいて、当該情報に記載されている機器の利用者を特定し、注意喚起を行います。
マルウェアEmotetのテイクダウンと感染端末に対する通知
https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html
https://www.nict.go.jp/press/2021/02/16-1.html
あいかわらずTCP 23番への通信が多い.
Mirai観戦ホストの増大
複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が
家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.
ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.
あいかわらずTCP 23番への通信が多い.
Mirai観戦ホストの増大
複数の防犯カメラレコーダの脆弱異性を悪用された観戦活動が
家族やペット,駐車場,店舗などで安い監視カメラを使うのは考えものかもしれないな.せめてアップデータが手に入るメーカのものを選んでいないと.カメラの映像が乗っ取られるとか以前に,攻撃の踏み台になっているわけなので.
ADB(Android Debug Bridge)の使う5555/TCPを狙った攻撃が増大.裏技的についつい開発者モードをオンにしがちだけれど,これは使わないときはオフにすべきだろうね.でも戻すことは忘れがちだとおもう.
【続報】一晩でマルウェアに豹変したバーコードアプリ、攻撃の手口が明らかに
https://news.mynavi.jp/article/20210215-1733044/
引用:
アプリの買収・譲渡が関係していて,表面上,変更はわからないわけだから,利用者としては気づかないだろうね. 防ぎようがない.
引用: そうなると,やっぱり責任が取れそうで買収されなさそうな大企業のリリースするアプリが良いのかな.
しかし,ゲームアプリのチートとかでは,アプリをラッピングして制御するタイプももあるから難しいな.
https://news.mynavi.jp/article/20210215-1733044/
引用:
Malwarebytesは2月5日(米国時間)、これまで数年間にわたってバーコードスキャナとして機能していたアプリが、1度のアップデートでマルウェアへ豹変したと伝えた。該当するアプリはすでにGoogle Playストアから削除されているが、1000万人以上のユーザーが使用していると見られており、依然として注意が必要だ。
〜略〜
マルウェアをアップロードしたと考えられていた提供元から、マルウェアに豹変したバージョンのアップロードは行っていないという連絡があったという。
アプリの買収・譲渡が関係していて,表面上,変更はわからないわけだから,利用者としては気づかないだろうね. 防ぎようがない.
引用:
Google Playに表示される提供元を従来の提供者にしたまま、マルウェアを混入させたアプリのアップロードを行ったとされているThe space teamのアカウントの持ち主が、この取り組みによってGoogle Playで譲渡前の提供元の名義のままでマルウェアを混入させたアプリをアップロードできることを確認したようだ
しかし,ゲームアプリのチートとかでは,アプリをラッピングして制御するタイプももあるから難しいな.
ちょっと面白そう.
NECセキュリティブログ
トレーニングコンテンツ:脆弱なAndroidアプリ「InsecureBankv2」の紹介
https://jpn.nec.com/cybersecurity/blog/210219/
NECセキュリティブログ
トレーニングコンテンツ:脆弱なAndroidアプリ「InsecureBankv2」の紹介
https://jpn.nec.com/cybersecurity/blog/210219/
FQDNから怪しさを調査するツールは色々とあるけれど,今時のダークモードでチャートが出てくるのが新しい感じがする.
dnsdumpster
https://dnsdumpster.com
例えば,このような古臭い迷惑メール.
本文にあるFQDNを入れて調べてみる.
まぁわかりやすくロシアのトップドメインを使っているから,そうなるでしょうと.
DNSレコードの可視化がよくできている気がする.
dnsdumpster
https://dnsdumpster.com
例えば,このような古臭い迷惑メール.
本文にあるFQDNを入れて調べてみる.
まぁわかりやすくロシアのトップドメインを使っているから,そうなるでしょうと.
DNSレコードの可視化がよくできている気がする.
転職サイトのマイナビ転職で不正アクセス時間.
マイナビ転職、約21万人のWeb履歴書に不正アクセス
https://pc.watch.impress.co.jp/docs/news/1306632.html
引用:
マイナビ転職で使っていたメアドには,10年くらい前から迷惑メールが来ているけどな.
マイナビ転職、約21万人のWeb履歴書に不正アクセス
https://pc.watch.impress.co.jp/docs/news/1306632.html
引用:
2000年から現在に至るまでに「マイナビ転職」に登録したユーザーのうち、21万2,816名のWeb履歴書に対し、2021年1月17日~2月9日のあいだに不正アクセスが行なわれた。外部で不正に取得されたと思われるパスワードを使ったなりすましで、一部ユーザーのWeb履歴書へ不正ログインが行なわれた。
マイナビ転職で使っていたメアドには,10年くらい前から迷惑メールが来ているけどな.
Windowsに搭載されている暗号化システムのBitLockerだけれど,これを使ってファイルを暗号化する
China's APT hackers move to ransomware attacks - 全部英語
https://www.bleepingcomputer.com/news/security/chinas-apt-hackers-move-to-ransomware-attacks/
DRBControlというグループについて.
WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて
https://micro-keyword.hatenablog.com/entry/2020/02/21/015535
China's APT hackers move to ransomware attacks - 全部英語
https://www.bleepingcomputer.com/news/security/chinas-apt-hackers-move-to-ransomware-attacks/
DRBControlというグループについて.
WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて
https://micro-keyword.hatenablog.com/entry/2020/02/21/015535
Process Hacker
https://processhacker.sourceforge.io
https://shimimin.hatenablog.com/entry/2019/03/17/200323
Windows セキュリティに除外を追加する
https://support.microsoft.com/ja-jp/office/windows-セキュリティに除外を追加する-811816c0-4dfd-af4a-47e4-c301afe13b26
https://faq.nec-lavie.jp/qasearch/1007/app/servlet/relatedqa?QID=018507
https://processhacker.sourceforge.io
https://shimimin.hatenablog.com/entry/2019/03/17/200323
Windows セキュリティに除外を追加する
https://support.microsoft.com/ja-jp/office/windows-セキュリティに除外を追加する-811816c0-4dfd-af4a-47e4-c301afe13b26
https://faq.nec-lavie.jp/qasearch/1007/app/servlet/relatedqa?QID=018507
引退は流行りか...
ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開
https://www.security-next.com/123201
引用:
ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場
https://www.security-next.com/123253
引用:
Twitterでの投稿だと,犯人は捕まりそうだけれど,偽物もいるだろうし.
Telegramはロシア政府も認める?エンド・ツー・エンドの暗号化されたメッセージアプリ.
ランサムウェア「Fonix」が活動停止 - 謝罪して復号鍵を公開
https://www.security-next.com/123201
引用:
1月30日に、攻撃グループ「FonixCrypter Project」の管理者のひとりがTwitter上へ同グループの活動を終了すると突如アナウンスを投稿。
ランサムウェア「Ziggy」も活動中止 - 復号ツールも登場
https://www.security-next.com/123253
引用:
ランサムウェアの管理者が後悔の念とともに、すべての復号鍵を公開するとメッセンジャーツール「Telegram」上でアナウンス。
Twitterでの投稿だと,犯人は捕まりそうだけれど,偽物もいるだろうし.
Telegramはロシア政府も認める?エンド・ツー・エンドの暗号化されたメッセージアプリ.
FQDNを入力するだけで簡単にWebサイトの安全性を教えてくれるサイト.
TrebdMicro Site Safety Center
https://global.sitesafety.trendmicro.com/?cc=jp
早速,当サイトを検査.
「電子機器の販売・評価」を行うとある.販売はしてないけどなぁ...
TrebdMicro Site Safety Center
https://global.sitesafety.trendmicro.com/?cc=jp
早速,当サイトを検査.
「電子機器の販売・評価」を行うとある.販売はしてないけどなぁ...
NISCからも注意喚起出ているし実際に漏洩事件も起こっているし.
Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf
freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス
https://www.itmedia.co.jp/news/articles/2102/10/news135.html
引用:
Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について
https://www.nisc.go.jp/active/infra/pdf/salesforce20210129.pdf
freee、個人情報約3000件が閲覧可能な状態に Salesforce製品の設定ミス
https://www.itmedia.co.jp/news/articles/2102/10/news135.html
引用:
クラウド会計ソフトを提供するfreeeは2月10日、メールアドレスなど2898件の個人情報が外部から閲覧可能な状態になっていたと発表した。
相変わらずメールが来る.
引用: メールに気づいてから随分時間が経っていたので,Microsoft Edgeでブロックされるかと思ってアクセスしたら,警告なしにアクセスできた.
結果的には,以前調査したアマゾンを騙る偽装サイトなのだけれど,土日だとマイクロソフトの中の人も休みなのかな.
引用:
弊社のモニタリングにより。普段と違う不審なログインが見つかり。誰かがお客様のいつもお使いになった支払方法を変更しようとしていたそうです
あなたのAmazοnのアカウント:peatixで漏洩したメアド
ログイン日時:2021/2/7 2:15:44
IPアドレス:36.240.179.207
装備:Linux; Android 8.0.0
場所:京都府 八幡市
Amazon会員個人情報を確認する必要があります。今アカウントを確認できます。
結果的には,以前調査したアマゾンを騙る偽装サイトなのだけれど,土日だとマイクロソフトの中の人も休みなのかな.
ラブライバーじゃなくても参加可能?らしいが.
2021年サイバーセキュリティ月間の関連行事のご案内
https://security-portal.nisc.go.jp/event_detail.html
オンラインセミナーもたくさんありので,時間があれば参加してみるかな.
2021年サイバーセキュリティ月間の関連行事のご案内
https://security-portal.nisc.go.jp/event_detail.html
オンラインセミナーもたくさんありので,時間があれば参加してみるかな.
ちょっとだけ話題に.
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
https://www.itmedia.co.jp/news/articles/2101/29/news107.html
引用: 年収査定システムとしては,たぶんオープンソース・コミュニティに対する貢献度を図る際に,githubへのコミット数やリアクションを「参考にする」程度であって,何でもかんでもアップロードすれば良い,と言うわけではないけれど,若気の至りでやってしまった,と言う事だろうな.
どんな罪になるのだろう.漏洩は瑕疵ではあるが故意では無いでしょう.
記事によるとソースコードの中に登場した各社は「影響がない」的なコメントを出しているから,被害は無いと言うことになる? 納品したものを流出させた場合と,納品前の開発中時点のソースの所有者は誰?ということか.
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】
https://www.itmedia.co.jp/news/articles/2101/29/news107.html
引用:
委託先のSEとみられる人物が、自身の書いたソースコードから年収を診断できるWebサービスを利用するため、SMBCなどから委託を受けて開発したコードをソースコード共有サービス「GitHub」に公開したのが原因。
どんな罪になるのだろう.漏洩は瑕疵ではあるが故意では無いでしょう.
記事によるとソースコードの中に登場した各社は「影響がない」的なコメントを出しているから,被害は無いと言うことになる? 納品したものを流出させた場合と,納品前の開発中時点のソースの所有者は誰?ということか.
いま,もっとも注目すべき脆弱性はこれだな.
引用:
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html
引用:
「Zerologon」の脆弱性(CVE-2020-1472)に対する修正プログラムは2020年8月にリリースされましたが、「Netlogon Remote Protocol」がWindows以外の製品にも実装されていることから、Microsoft社はそれらの製品との互換性を考慮し、本脆弱性への対処を2段階に分けて実施すると発表(*6)しました。ソフトウェア製品の利用者およびシステム管理者は、Microsoft社が案内している専用のガイダンスページを参照の上、自組織で必要となる作業を把握し、2段階目のリリース(2021年2月9日公開予定)時には早急に対応できるよう準備を行ってください。
脆弱性対策情報データベースJVN iPediaの登録状況 [2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/JVNiPedia2020q4.html
ソフトウェア等の脆弱性関連情報に関する届出状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html
引用: ワークアラウンドは無い,ということか.意識高い系だろうね.日々悩みを抱えたままよりは良さそう.
https://www.ipa.go.jp/security/vuln/report/vuln2020q4.html
引用:
修正完了したウェブサイトの件数は73件(累計7,994件)でした。修正を完了した73件のうち、ウェブアプリケーションを修正したものは68件(93%)、当該ページを削除したものは5件(7%)で、運用で回避したものはありませんでした。
Emotetが流行りだして1年,ようやく対応される模様.
マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信
https://japan.zdnet.com/article/35165702/
引用: C2Cされていることを逆手に取る戦法か.
この時限爆弾が,誤爆・誤動作しなければ良いけれど...
思い出しつつのこの記事.
Wireshark によるパケット解析講座10: Emotet 感染トラフィックの調査 - paloalto
https://unit42.paloaltonetworks.jp/wireshark-tutorial-emotet-infection/
追記2021/05/12
Malwarebytes、マルウェア「Emotet」の削除を開始
https://news.mynavi.jp/article/20210428-1879994/
引用:
マルウェア「Emotet」、感染ホストから一斉削除へ--蘭警察がアップデート配信
https://japan.zdnet.com/article/35165702/
引用:
オランダの警察当局がマルウェアの「Emotet」を削除するアップデートの配信計画を進めていることを、米ZDNetが現地時間1月27日に確認した。このアップデートは、Emotetに感染しているすべてのコンピューターからこのマルウェアを削除する動作を、3月25日に開始するという。
〜略〜
これまでの報道によると、このアップデートには時限爆弾のようなコードが埋め込まれており、各マシンの時刻が2021年3月25日正午になった時に、そのコンピューターからEmotetマルウェアをアンインストールするという。
この時限爆弾が,誤爆・誤動作しなければ良いけれど...
思い出しつつのこの記事.
Wireshark によるパケット解析講座10: Emotet 感染トラフィックの調査 - paloalto
https://unit42.paloaltonetworks.jp/wireshark-tutorial-emotet-infection/
追記2021/05/12
Malwarebytes、マルウェア「Emotet」の削除を開始
https://news.mynavi.jp/article/20210428-1879994/
引用:
マルウェア「Emotet」の撲滅へ向けた次のステップが始まった。Malwarebytesは4月26日、Twitterにおいて、Emotetに感染したPCでEmotetを削除する処理を開始したことを伝えた。この処理には法的な根拠があり、先日世界の当局が共同で実施したEmotet撲滅作戦の一環とみられる。
『ラブライブ!サンシャイン!!』とのタイアップについて
https://www.nisc.go.jp/security-site/month/lovelive.html
おおお.ラブライバーにもなれるか...
https://www.nisc.go.jp/security-site/month/lovelive.html
おおお.ラブライバーにもなれるか...
最初に気づいたのは,PriceのPurple Rainのアルバムの曲名・歌詞カードを見たとき.
For youを,4 Uとして記載があった.オシャレだなぁと思ったけれど,こういうのは「リート(leet)」というらしい.
引用:
よく使われるパスワードで, password を p@assword としている感じかな.
そういえば,パスワードがp@asswordと設定してある外人が使うPCでログインできず作業できない問題があったけれど,原因は日本語配列なのに英語キーボードレイアウトに変更していたから,,,というオチがあった仕事を思い出した.もう10年くらい前の話だけど.
For youを,4 Uとして記載があった.オシャレだなぁと思ったけれど,こういうのは「リート(leet)」というらしい.
引用:
leetは、主に英語圏においてインターネット上で使われるアルファベットの表記法である。leetspeakとも呼ばれる。 leet は、英語の eliteが eleet に変化し、さらに語頭の e がとれてできた俗語である。日本ではハッカー語と呼ばれることもある。
よく使われるパスワードで, password を p@assword としている感じかな.
そういえば,パスワードがp@asswordと設定してある外人が使うPCでログインできず作業できない問題があったけれど,原因は日本語配列なのに英語キーボードレイアウトに変更していたから,,,というオチがあった仕事を思い出した.もう10年くらい前の話だけど.
2020年12月単月のレポート.
2020年12月 マルウェアレポート - ESET マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2012.html
検出数は過去6ヶ月で最も多い.Emotetと年末商戦に向けてのアドウェアかな.
2020年12月 マルウェアレポート - ESET マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2012.html
検出数は過去6ヶ月で最も多い.Emotetと年末商戦に向けてのアドウェアかな.
サポート終了している古いWi-Fiルータについての情報を出してくるのは好感が持てるね.
エレコムのルーターなどで脆弱性。サポート終了のため使用中止を勧告
https://pc.watch.impress.co.jp/docs/news/1302714.html
引用:
複数のNEC製のWi-Fiルーターに脆弱性、生産終了した「Aterm WF800HP」など
「Aterm WG2600HP」「Aterm WG2600HP2」も対象
https://internet.watch.impress.co.jp/docs/news/1302016.html
引用:
JVNVU#92444096 TP-Link 製 TL-WR841N V13 (JP) におけるOSコマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU92444096/
TP-LinkのWi-Fiルータは対性能比でコストパフォーマンスが良かったので妹ちゃん2号の自宅に導入したけれど,今回は対象外のようだ.
https://pc.watch.impress.co.jp/docs/news/1302714.html
引用:
エレコム株式会社とロジテック株式会社のネットワーク関連製品に、それぞれ複数の脆弱性が報告されている。
エレコムの対象製品は、無線ルーター「WRC-1467GHBK-A」、「WRC-300FEBK」、「WRC-300FEBK-A」、「WRC-300FEBK-S」、「WRC-F300NF」、ネットワークカメラ「NCC-EWF100RMWH2」、プリントサーバー「LD-PS/U1」、Androidアプリ「ELECOM File Manager」。
ロジテックの対象製品は、無線ルーター「LAN-WH450N/GR」、「LAN-W300N/PR5B」、「LAN-W300N/PGRB」、「LAN-W300N/RS」。
「Aterm WG2600HP」「Aterm WG2600HP2」も対象
https://internet.watch.impress.co.jp/docs/news/1302016.html
引用:
NECプラットフォームズ株式会社が提供するAtermシリーズの複数の無線LANルーターに脆弱性が存在するとして、同社および脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」が情報を公開した。
脆弱性の影響を受けるのは、生産を終了した以下3製品になる。
・「Aterm WF800HP」ファームウェア バージョン1.0.19以前
・「Aterm WG2600HP」ファームウェア バージョン1.0.2以前
・「Aterm WG2600HP2」ファームウェア バージョン1.0.2以前
https://jvn.jp/vu/JVNVU92444096/
TP-LinkのWi-Fiルータは対性能比でコストパフォーマンスが良かったので妹ちゃん2号の自宅に導入したけれど,今回は対象外のようだ.
記念号,,,という事で.
IPA NEWS No.50
https://www.ipa.go.jp/files/000088112.pdf
内容はカジュアルなんだけれど.安心窓口相談員の人が,パソコンサンデーのDr.パソコンに似ているな.
Dr.パソコンの宮永好道氏は,シャープの顧問だったのか.
IPA NEWS No.50
https://www.ipa.go.jp/files/000088112.pdf
内容はカジュアルなんだけれど.安心窓口相談員の人が,パソコンサンデーのDr.パソコンに似ているな.
Dr.パソコンの宮永好道氏は,シャープの顧問だったのか.
前回からの
情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/txt/2020/q4outline.html
Emotetが終息?休止?しているからウイルス検出も連動して少なくなってきているということかなぁ.
あ,これあまり気にしてなかったけれど.
iPhoneに突然表示される不審なカレンダー通知に注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200330.html
そういえば,Hot Pepperでお店を予約すると予約メールが来て自動的にカレンダーに追加されてたない.Siriの提案とかいう事で.
情報セキュリティ安心相談窓口の相談状況[2020年第4四半期(10月~12月)]
https://www.ipa.go.jp/security/txt/2020/q4outline.html
Emotetが終息?休止?しているからウイルス検出も連動して少なくなってきているということかなぁ.
あ,これあまり気にしてなかったけれど.
iPhoneに突然表示される不審なカレンダー通知に注意!
https://www.ipa.go.jp/security/anshin/mgdayori20200330.html
そういえば,Hot Pepperでお店を予約すると予約メールが来て自動的にカレンダーに追加されてたない.Siriの提案とかいう事で.
2020年9月に「半年後の来年2月9日に強制適用」と書いてからのあと2週間でその半年が.
「Netlogon セキュア チャネル接続を確立する場合に、特権の昇格の脆弱性が存在」という事で.
引用: このイベントが発生していたら,2021年1月の強制モード時に接続できない問題が出る.
5827 非SecureRPC接続の試行(接続拒否・マシン)
5828 非SecureRPC接続の試行(接続拒否・信頼)
5829 非SecureRPC接続が許可されている場合
AD運用していてちゃんとWindows Update適用している企業は,再度確認が必要かな.
「Netlogon セキュア チャネル接続を確立する場合に、特権の昇格の脆弱性が存在」という事で.
引用:
定期的に、イベント 5827、5828、および5829 を監視して、脆弱なセキュア チャネル接続を使用しているアカウントを特定します。
5827 非SecureRPC接続の試行(接続拒否・マシン)
5828 非SecureRPC接続の試行(接続拒否・信頼)
5829 非SecureRPC接続が許可されている場合
AD運用していてちゃんとWindows Update適用している企業は,再度確認が必要かな.
ちょっと久しぶりに.
FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供
https://japan.zdnet.com/article/35165296/
引用: 日本では被害がなかった?のであまり騒ぎにはなって無いようだけれど.
引用: 英語のレポートはしんどいなぁ.
SolarWindsハッキング事件について現在までわかっていること
https://www.gizmodo.jp/2020/12/what-we-know-so-far-about-the-solarwinds-hacking-scandal.html
引用: まぁ,偵察活動時には派手な動きをしないのは常套手段から,ダブルオー7以外は.
脅威調査 UNC2452を防御するためのMicrosoft365の修復および強化戦略
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452
https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf
んー.攻撃者にとって攻撃の効率が良いのは防衛側の手の内がわかっている事だから,Azure ADとかon.microsoft.comとかクラウド上のサービスは公開情報とも言えるのかなぁ.
大企業しか使ってなさそうだけれど,このFireEyeのレポート,Mandiantというソリューションの営業資料でもあるのかな.マッチポンプ的な匂いすら
侵害調査サービス ネットワークにおける進行中または過去の攻撃活動を特定
https://www.fireeye.jp/mandiant/compromise-assessment.html
概要はこっちの記事が柔らかい.
Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される
https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/
引用:
追記 2021/02/03
中国人とみられるハッカー団、米政府機関システムに侵入=関係筋
https://jp.reuters.com/article/cyber-solarwinds-china-idJPKBN2A307N
農務省内の連邦職員向けの給与業務を担当する機関...
追記 2021/03/01
米政府サイバー攻撃「史上最大かつ最も巧妙」=マイクロソフト社長
https://jp.reuters.com/article/cyber-solarwinds-microsoft-idJPKBN2AF07Y
引用:
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明
https://gigazine.net/news/20210301-solarwinds-password-intern/
引用: 日本でよくある,業務委託が・・・のやつかな.
追記 2021/03/12
ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに
https://gigazine.net/news/20210309-supernova-web-shell-linked-china/
引用: 穴があったら,隙間なく入り込まれてしまうわけだ.
SUPERNOVA: 斬新な .NET Webシェル
https://unit42.paloaltonetworks.jp/solarstorm-supernova/
引用: 寝る前に読むには,難易度が高い.自分で分析することは無理.
FireEye、SolarWindsインシデントの詳細を公開--対策ツールも提供
https://japan.zdnet.com/article/35165296/
引用:
サイバーセキュリティ企業のFireEyeは米国時間1月19日、SolarWindsをハッキングした攻撃者が使用した技法について詳しくまとめたレポートを発表した。
また、このレポートと同時に、攻撃グループ(UNC2452とも呼ばれる)が使用した技法を検出することができる「Azure AD Investigator」と呼ばれるツールをGitHub上で無料で公開した。
引用:
FireEyeは、この日発表した35ページに及ぶレポートで、攻撃の最初の段階で使用された技法に加え、一般的な企業が攻撃の検出、修復、堅牢化のために利用できる戦略について詳しく説明している
SolarWindsハッキング事件について現在までわかっていること
https://www.gizmodo.jp/2020/12/what-we-know-so-far-about-the-solarwinds-hacking-scandal.html
引用:
ハッカーは、SolarWindsが同社のウェブサイトに投稿した複数のバージョンのOrionにSunburstを仕込みました。そして企業や政府機関の顧客がサイトからソフトウェアをアップデートした時にネットワークに忍び込んだのです。その後は数日から数週間ほど息を潜めて時を待ちます。ひとたび活動を開始すると、まずは新しい環境を偵察し、その詳細をマルウェアの主に送信します。クレバーなことに、ハッカーたちはSunburstとの通信をOrionのトラフィックに偽装していたため、普通のIT系職員のアクセスと見分けがつかないようになっていました。ここからもレベルの高さが伺えます。
脅威調査 UNC2452を防御するためのMicrosoft365の修復および強化戦略
https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html
Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452
https://www.fireeye.com/content/dam/collateral/en/wp-m-unc2452.pdf
んー.攻撃者にとって攻撃の効率が良いのは防衛側の手の内がわかっている事だから,Azure ADとかon.microsoft.comとかクラウド上のサービスは公開情報とも言えるのかなぁ.
大企業しか使ってなさそうだけれど,このFireEyeのレポート,Mandiantというソリューションの営業資料でもあるのかな.マッチポンプ的な匂いすら
侵害調査サービス ネットワークにおける進行中または過去の攻撃活動を特定
https://www.fireeye.jp/mandiant/compromise-assessment.html
概要はこっちの記事が柔らかい.
Windowsのソースコードを盗み出したハッカー集団の手口と無料対策ツールが公開される
https://gigazine.net/news/20210120-ucn2452-solarwinds-technique/
引用:
UCN2452は攻撃対象者に感染させたマルウェアを用いて、Active Directoryのトークン署名証明書を盗みだし、任意のユーザーのトークンを偽造することが明らかになっています。このトークンにより、UCN2452はMicrosoft 365などのアプリケーションに多要素認証を必要とせず、任意のユーザーとしてアプリケーションにログインできるとのこと。さらに、UCN2452はAzure Active Directoryに信頼されたドメインを追加することで、UCN2452が制御できるIdPを追加します。
これにより、UCN2452は任意のユーザーとして電子メールの送受信やファイルの転送・実行などさまざまな操作を行えるようになります。また、攻撃者は承認されたユーザーとして認識されているため、攻撃の検出は非常に困難です。
追記 2021/02/03
中国人とみられるハッカー団、米政府機関システムに侵入=関係筋
https://jp.reuters.com/article/cyber-solarwinds-china-idJPKBN2A307N
農務省内の連邦職員向けの給与業務を担当する機関...
追記 2021/03/01
米政府サイバー攻撃「史上最大かつ最も巧妙」=マイクロソフト社長
https://jp.reuters.com/article/cyber-solarwinds-microsoft-idJPKBN2AF07Y
引用:
サイバーセキュリティーの専門家は、攻撃を受けたシステムを特定し、ハッカー集団を撃退するには数カ月かかる可能性があるとの見方を示している。
「過去10年で最も深刻なサイバー攻撃」の原因となったSolarWindsのサーバーが「solarwinds123」というパスワードだった件をCEOが「インターンの間違い」と説明
https://gigazine.net/news/20210301-solarwinds-password-intern/
引用:
2021年2月26日にアメリカ合衆国下院による公聴会が開かれました。この中でSolarWindsのサーバーが「solarwinds123」というセキュリティ性の低いパスワードで保護されていた件について議員に質問されたSolarWindsのCEOは、「インターンの間違い」に関連した出来事と説明しました。
追記 2021/03/12
ロシア政府支援のハッカーによるSolarWinds製品を悪用した大規模ハッキングの影で中国のハッカーも同製品にマルウェアを仕掛けていたことが明らかに
https://gigazine.net/news/20210309-supernova-web-shell-linked-china/
引用:
この大規模なサプライチェーン攻撃とは別に、中国のハッキンググループもOrion Softwareのアップデートファイルにマルウェアを仕掛けていたと報じられています。
SUPERNOVA: 斬新な .NET Webシェル
https://unit42.paloaltonetworks.jp/solarstorm-supernova/
引用:
Webシェル自体は通常、スクリプトページに埋め込まれたマルウェアロジックであり、そのほとんどが、インタープリタ型プログラミング言語かコンテキスト(最も一般的には PHP、Java JSP、VBScript/JScript ASP、C# ASP.NET)で実装されています。Webシェルは、リモートサーバーからコマンドを受信し、Webサーバーの基盤となるランタイム環境のコンテキストで実行されます。
定期レポート.2020年1月1日〜2020年3月31日までの集計期間だが.
JSOC INSIGHT vol.28
https://www.lac.co.jp/lacwatch/report/20210125_002411.html
CirtixのNetScaler(CVE-2019-19781)と,Apache Tomcat(CVE-2020-1938) への攻撃が多かった模様.
JSOC INSIGHT vol.28
https://www.lac.co.jp/lacwatch/report/20210125_002411.html
CirtixのNetScaler(CVE-2019-19781)と,Apache Tomcat(CVE-2020-1938) への攻撃が多かった模様.
こんなニュース.
ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明
https://www.security-next.com/122653
海外製のルータかな?と思って確認.
JVNVU#90340376 Dnsmasq における複数の脆弱性 (DNSpooq)
https://jvn.jp/vu/JVNVU90340376/index.html
ヤマハは,「脆弱性情報提供済み」となってますね.どういう意味かというと.「調整機関から脆弱性情報の提供をしている」なのだそうです.
つまりまだ,調査中なのかな.
脆弱性レポートの読み方
https://jvn.jp/nav/jvnhelp.html
経過観察かな
ルータなどで広く利用されるDNSに脆弱性「DNSpooq」が判明
https://www.security-next.com/122653
海外製のルータかな?と思って確認.
JVNVU#90340376 Dnsmasq における複数の脆弱性 (DNSpooq)
https://jvn.jp/vu/JVNVU90340376/index.html
ヤマハは,「脆弱性情報提供済み」となってますね.どういう意味かというと.「調整機関から脆弱性情報の提供をしている」なのだそうです.
つまりまだ,調査中なのかな.
脆弱性レポートの読み方
https://jvn.jp/nav/jvnhelp.html
経過観察かな
BitLockerが破られたのではなくて,「回避」だね.たしかにバイパスだし.
Windowsのストレージ暗号化機能「BitLocker」をバイパス可能な脆弱性が報告される
https://gigazine.net/news/20210118-windows-bitlocker-bypass/
まぁ,メニューの並びとか,複数条件はありそうだが.
起動ドライブ丸ごと暗号化してOS起動時に聞いてくるタイプだと,関係ないかな.
Windowsのストレージ暗号化機能「BitLocker」をバイパス可能な脆弱性が報告される
https://gigazine.net/news/20210118-windows-bitlocker-bypass/
まぁ,メニューの並びとか,複数条件はありそうだが.
起動ドライブ丸ごと暗号化してOS起動時に聞いてくるタイプだと,関係ないかな.
数週間前,仮想通貨が高騰しているという話題もあったけれど,その関連かな.
スパムアサシンでもApple Mailでも迷惑メールとして判定されています.
メールの内容は古典的な模様.
引用: 送信先のIPアドレスは中国.
現在は汚れたレポートはない模様.
スパムアサシンでもApple Mailでも迷惑メールとして判定されています.
メールの内容は古典的な模様.
引用:
MyEtherWalletをご利用いた だきありがとうございますが、アカウント管理チームは 最近MyEtherWalletアカウントの異常な操作を 検出しました。
アカウントを安全に保ち、盗難な どのリスクを防ぐため、アカウント管理チームによってアカウントが停止されています。次のアドレスでアカウントのブロックを解除することができます。
現在は汚れたレポートはない模様.
昨年秋,防衛技官(サイバーセキュリティ要員)の選考採用試験というのが話題になったけれど,今度はコンテスト.
防衛省サイバーコンテスト 参加者募集中
https://www.mod.go.jp/j/approach/defense/cyber/c_contest/
参加のためにはまず200人は先着順かな.
引用: Let's Noteを使うか...
防衛省サイバーコンテスト 参加者募集中
https://www.mod.go.jp/j/approach/defense/cyber/c_contest/
参加のためにはまず200人は先着順かな.
引用:
6 参加者に準備をいただくもの
PPTPまたはL2TP/IPsecを用いてVPN接続が可能なネットワーク環境
Linux又はWindowsが動作するパソコン
最近,テレビCMでコインチェックをよく見るようになった.
流出NEM交換容疑、31人立件 ダークウェブで計188億円
https://this.kiji.is/725032557304709120
引用:
そしてJK17という人の話題は忘れていたけれど,この事件の捜査協力していたという肩書きの人が,今日のバラエティ番組で「野良WiFiを探す」コーナーにでてた.
流出NEM交換容疑、31人立件 ダークウェブで計188億円
https://this.kiji.is/725032557304709120
引用:
2018年に暗号資産(仮想通貨)交換業者「コインチェック」から約580億円分のNEM(ネム)が流出した事件で、警視庁は22日、盗まれたネムと知りながら他の仮想通貨に交換したとして、組織犯罪処罰法違反(犯罪収益収受)の疑いで、これまでに13都道府県に住む23~43歳の男31人を立件したと明らかにした。
そしてJK17という人の話題は忘れていたけれど,この事件の捜査協力していたという肩書きの人が,今日のバラエティ番組で「野良WiFiを探す」コーナーにでてた.
Multiple Vulnerabilities in Cisco Products Could Lead to Arbitrary Code Execution
- カテゴリ :
- セキュリティ » 脆弱性情報/注意喚起
- ブロガー :
- ujpblog 2021/1/22 10:11
引用:
最近だとこういうのもある.
シスコの古いRVルータはセキュリティアップデートの提供なし、確認を
https://news.mynavi.jp/article/20210118-1657049/
対象機種はこれ.
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
引用: まぁ,サポート終了しているの,脆弱性があることを伝えているだけで十分だと思うけどね.
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U
CiscoのSD-WAN、DNA Center、Smart Software Manager Satellite製品に複数の脆弱性が発見されており、そのうち最も深刻なものは、システム権限で任意のコードを実行できる可能性があります。
SD-WANは、クラウドベースのネットワークアーキテクチャに使用されている
DNA Centerは、Digital Network Architecture製品の管理プラットフォームです。
スマートソフトウェアマネージャーは、エンタープライズ製品のアクティベーションキー/ライセンスマネージャーです。
これらの脆弱性のうち最も深刻な脆弱性を悪用することに成功すると、攻撃者はシステム権限で任意のコードを実行することができ、攻撃者はデータの閲覧、変更、削除を行うことができます。
影響を受けるシステム
Cisco IOS XE SD-WAN バージョン 16.12.4 より前のバージョン
Cisco IOS XEユニバーサル17.2、17.3、17.4
Cisco SD-WAN 18.Xバージョン18.4.5以前のバージョン
Cisco SD-WAN 19.2.Xバージョン19.2.2以前のバージョン
Cisco SD-WAN 19.3.0 より前のバージョン
Cisco SD-WAN 20.1、20.3、20.4 より前のバージョン
Cisco SD-WAN vBond Orchestrator
Cisco SD-WAN vEdge クラウド ルーター
Cisco SD-WAN vEdge ルーター
Cisco SD-WAN vManage ソフトウェア
Cisco SD-WAN vSmart コントローラ
1.3.1以前のDNA Centerソフトウェアのバージョン
Cisco Smart Software Manager Satellite 6.3.0以前のバージョン
以下の対応をお勧めします。
適切なテストを行った後、直ちにCiscoが提供するアップデートをインストールしてください。
外部からのサービスが必要な場合を除き、ネットワーク境界で外部アクセスをブロックする。グローバルアクセスが必要ない場合は、ネットワーク境界で脆弱なホストへのアクセスをフィルタリングする。
すべてのシステムとサービスに最小特権の原則を適用し、すべてのソフトウェアを最小のアクセス権を持つ非特権ユーザとして実行する。
最近だとこういうのもある.
シスコの古いRVルータはセキュリティアップデートの提供なし、確認を
https://news.mynavi.jp/article/20210118-1657049/
対象機種はこれ.
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
引用:
シスコはこれら脆弱性を修正したファームウェアをリリースしないと説明しているほか、問題を回避する方法も公開していない。
なぜなら、上記の製品はすでにサポート終了を迎えているためだ。サポートが終了した製品の情報は次のページにまとまっている。
Cisco Small Business RV110W, RV130, RV130W, and RV215W Routers Remote Command Execution and Denial of Service Vulnerabilities
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-overflow-WUnUgv4U
ちょっと古いけれどこんな記事が.
ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入
https://jp.techcrunch.com/2016/03/02/bug-bounty/
3年ほど前,擬似マネーシステム?の運用を行っていた際に,進捗会議で「賞金稼ぎが来た」という話題になった.
別に物理的にきたわけではなく,サイトの正式な問い合わせ窓口からの連絡.
「致命的なバグを見つけた.バグを教えてあげるから賞金をよこしなさい(意訳)」
身元を調べると,有名なバグハンターで,値切りつつ対価をお支払いして,バグを教えてもらい,対応策まで指南してもらったそうです.
よくあるコーディング間違いとか,設定漏れとか1つのソースからあちらこちらのサイトをチェックして声かけ活動しているのかな.ゲーム感覚だね.というか,オンラインゲームのチートとやることは同じ.
追記2021/02/25
大手テック企業にハッキングしまくり、合法的に13万ドルを稼いだ男
https://www.gizmodo.jp/2021/02/this-researcher-hacked-into-35-major-tech-companies-including-microsoft-tesla-and-netflix.html
これは副業にできたらかっこいいかな.
ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入
https://jp.techcrunch.com/2016/03/02/bug-bounty/
3年ほど前,擬似マネーシステム?の運用を行っていた際に,進捗会議で「賞金稼ぎが来た」という話題になった.
別に物理的にきたわけではなく,サイトの正式な問い合わせ窓口からの連絡.
「致命的なバグを見つけた.バグを教えてあげるから賞金をよこしなさい(意訳)」
身元を調べると,有名なバグハンターで,値切りつつ対価をお支払いして,バグを教えてもらい,対応策まで指南してもらったそうです.
よくあるコーディング間違いとか,設定漏れとか1つのソースからあちらこちらのサイトをチェックして声かけ活動しているのかな.ゲーム感覚だね.というか,オンラインゲームのチートとやることは同じ.
追記2021/02/25
大手テック企業にハッキングしまくり、合法的に13万ドルを稼いだ男
https://www.gizmodo.jp/2021/02/this-researcher-hacked-into-35-major-tech-companies-including-microsoft-tesla-and-netflix.html
これは副業にできたらかっこいいかな.
(このブログの)どこのカテゴリが良いのか悩む.
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2020年11月1日版を公開
https://www.jssec.org/report/20201101_securecoding.html
ま,必要になった時に参照.
追記2021年10月29日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】
https://www.jssec.org/report/20211019_securecoding.html
JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2020年11月1日版を公開
https://www.jssec.org/report/20201101_securecoding.html
ま,必要になった時に参照.
追記2021年10月29日
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2021年10月19日版】
https://www.jssec.org/report/20211019_securecoding.html
このドメイン,フィッシングサイトとか悪意のあるサイトに使われているのでテイクダウンさせたいなぁ〜と思った時にどうするか.
UDRPで言いつけるみたい.当然,素人が言いつけたところで,すぐには動かないだろうけれど.
UDRP(Uniform Domain Name Dispute Resolution Policy:統一ドメイン名紛争処理方針
https://www.nic.ad.jp/ja/drp/udrp.html
10年くらい前に関わったアパレルだと,新ブランドを作る際に「周辺ドメインは全部ゲット」をしていたな.その時は商標侵害が目的だったけれど,これも同じ.
となると,騙られたサイトが申し入れをするのか,セキュリティ会社が申し入れをするのか,その両方か.あるいはサーバの運営会社の判断でテイクダウンするかとかかな.
UDRPで言いつけるみたい.当然,素人が言いつけたところで,すぐには動かないだろうけれど.
UDRP(Uniform Domain Name Dispute Resolution Policy:統一ドメイン名紛争処理方針
https://www.nic.ad.jp/ja/drp/udrp.html
10年くらい前に関わったアパレルだと,新ブランドを作る際に「周辺ドメインは全部ゲット」をしていたな.その時は商標侵害が目的だったけれど,これも同じ.
となると,騙られたサイトが申し入れをするのか,セキュリティ会社が申し入れをするのか,その両方か.あるいはサーバの運営会社の判断でテイクダウンするかとかかな.
三井住友カードを騙るフィッシングメールを語る.
朝一番に気づいたので,分析してみた.
引用: いつもいつも!
至至急! というのでサイトにアクセス.
ブラウザでブロックされてない模様.
不適切なIDと雑多なパスワードでログインしてみる.
ログインできたのでテスト用のカード番号に似た数字や期限切れの有効期限,存在しない2月31日の誕生日などを正確に入力.
さらっと本物のページにリダイレクトされた.クレカの番号もチェックされなかったから,バリデーションも甘い.手抜き.
メールヘッダを見ると,誘導先とは違うFQDNから送られている..cnなので中国ドメイン..cnドメインは今は中国でしか取得できないはず.
VirusTotalでの評価はすでにフィッシングサイトと認識.
urlscan.ioでもマリシャス評価.
マリシャスなフィッシングサイトのIPアドレスは,アメリカにある.
メールの送信元その1のIPアドレスは,中国.
メールの送信元その2のIPアドレスも,中国.
そして先ほどMicrosoft Edgeでアクセスすると,Microsoft Defender SmartScreenが警告してくれました.
警告を無視すると,まだサイトにアクセスできるので,テイクダウンまでは進められてない模様.
やっぱりこのタイムラグかなぁ.雨後の筍のように増殖するフィッシングサイトを見つけ続けるのは難しいから,「しらばく放置」だね.
朝一番に気づいたので,分析してみた.
引用:
いついつも三井住友カードをご利用いただきありがとうございます。
いつも三井住友カードをご利用いただきありがとうございます。
弊社では、お客様に安心してカードをご利用いただくことを目的に、
第三者による不正使用を防止するモニタリングを行っています。
当社の検出を経て、第三者が不正利用されてる恐れがあります。
至至急! というのでサイトにアクセス.
ブラウザでブロックされてない模様.
不適切なIDと雑多なパスワードでログインしてみる.
ログインできたのでテスト用のカード番号に似た数字や期限切れの有効期限,存在しない2月31日の誕生日などを正確に入力.
さらっと本物のページにリダイレクトされた.クレカの番号もチェックされなかったから,バリデーションも甘い.手抜き.
メールヘッダを見ると,誘導先とは違うFQDNから送られている..cnなので中国ドメイン..cnドメインは今は中国でしか取得できないはず.
VirusTotalでの評価はすでにフィッシングサイトと認識.
urlscan.ioでもマリシャス評価.
マリシャスなフィッシングサイトのIPアドレスは,アメリカにある.
メールの送信元その1のIPアドレスは,中国.
メールの送信元その2のIPアドレスも,中国.
そして先ほどMicrosoft Edgeでアクセスすると,Microsoft Defender SmartScreenが警告してくれました.
警告を無視すると,まだサイトにアクセスできるので,テイクダウンまでは進められてない模様.
やっぱりこのタイムラグかなぁ.雨後の筍のように増殖するフィッシングサイトを見つけ続けるのは難しいから,「しらばく放置」だね.
こんなニュースが.
ホワイトハッカー220人養成 五輪組織委
https://www.sankei.com/affairs/news/210104/afr2101040010-n1.html
引用:
大会組織委員会のプレスリリースがどこにあるのかわからないけれど,去年,アメリカで「ブラックリスト」のブラックが黒人差別を連想させると話題になっていた頃があったなぁ.
ちなみに,海外ニュースだと,"ethical hackers" 「倫理的なハッカー」となっている.
Tokyo 2020 train "ethical hackers" to counter potential cyber-attacks
https://www.insidethegames.biz/articles/1102669/tokyo-2020-train-ethical-hackers
追記
元ネタは毎日新聞だそうだ.
サイバー攻撃に対処 東京オリンピック組織委、「ホワイトハッカー」220人養成
https://mainichi.jp/articles/20210104/k00/00m/050/178000c
https://www.sankei.com/affairs/news/210104/afr2101040010-n1.html
引用:
東京五輪・パラリンピックの開会式を約半年後に控え、大会組織委員会がサイバー攻撃に対処する要員「ホワイトハッカー」を220人養成したことが4日、分かった。
大会組織委員会のプレスリリースがどこにあるのかわからないけれど,去年,アメリカで「ブラックリスト」のブラックが黒人差別を連想させると話題になっていた頃があったなぁ.
ちなみに,海外ニュースだと,"ethical hackers" 「倫理的なハッカー」となっている.
https://www.insidethegames.biz/articles/1102669/tokyo-2020-train-ethical-hackers
追記
元ネタは毎日新聞だそうだ.
https://mainichi.jp/articles/20210104/k00/00m/050/178000c
テレビでも実名報道だったし,結構な扱いだったかな.
楽天「転職元の機密流出で社員逮捕」仰天の弁明
真っ向からぶつかるソフトバンクと楽天の主張
https://toyokeizai.net/articles/-/403493
引用: 転職は経験者採用なので経験を期待しているけれど,情報持ち出しは期待してないはず.自分用のメモ的なものだろうな.
以前,勤めていたソシャゲーの会社が倒産した直前,仕事が取れないモヒカン頭の営業が,PCを持ってトンズラ.トンズラの際に重要な取引先へ花見で口が滑ったとかで情報を漏洩して,倒産の引き金を引いた事件があった.
その後,弁護士を通してPCを返却してもらい,PCのファイル復活をさせたらSVNからソースコードを抜き出していた痕跡がでてきた.
その証拠を元に社長が機密情報漏洩による損害賠償をしようと破産弁護士と話をしていたのだけれど,ソースコードをSVNにダウンロードした証拠はあっても「別のPCに持ち出しせずに消した」と言われれば成立しないから,訴えるのは厳しいと言ってた.
そもそも,花見で口が滑った件も周りからの証言で録音とか物的証拠もないので,これも難しい.社長が悔しそうにしていたな...そのモヒカン,盗んだソースコードでキャラクターもそのままのアプリをリリースしているけれどやっぱるヒットせず,中国にトンズラしたみたいだ.
そしてなんか既視感があるとおもったら・・・
ソフトバンク機密情報漏洩 露幹部職員が出国か
元社員は自宅からサーバーにアクセス疑い
https://www.sankei.com/affairs/news/200210/afr2002100033-n1.html
引用: 1年前か.この時は「逮捕されたソフトバンク元社員」とされているけれど,今回は元ソフトバンクで,今回は「楽天モバイル社員」ということだな.
ここで気になるのは,ログ保存期間だな.
真っ向からぶつかるソフトバンクと楽天の主張
https://toyokeizai.net/articles/-/403493
引用:
2019年12月31日までソフトバンクに在籍していたエンジニアが、最新の5Gネットワークに関する営業秘密を不正に持ち出し、翌日の2020年1月1日には競合の楽天モバイルに転職していたという事件だ。
以前,勤めていたソシャゲーの会社が倒産した直前,仕事が取れないモヒカン頭の営業が,PCを持ってトンズラ.トンズラの際に重要な取引先へ花見で口が滑ったとかで情報を漏洩して,倒産の引き金を引いた事件があった.
その後,弁護士を通してPCを返却してもらい,PCのファイル復活をさせたらSVNからソースコードを抜き出していた痕跡がでてきた.
その証拠を元に社長が機密情報漏洩による損害賠償をしようと破産弁護士と話をしていたのだけれど,ソースコードをSVNにダウンロードした証拠はあっても「別のPCに持ち出しせずに消した」と言われれば成立しないから,訴えるのは厳しいと言ってた.
そもそも,花見で口が滑った件も周りからの証言で録音とか物的証拠もないので,これも難しい.社長が悔しそうにしていたな...そのモヒカン,盗んだソースコードでキャラクターもそのままのアプリをリリースしているけれどやっぱるヒットせず,中国にトンズラしたみたいだ.
そしてなんか既視感があるとおもったら・・・
元社員は自宅からサーバーにアクセス疑い
https://www.sankei.com/affairs/news/200210/afr2002100033-n1.html
引用:
在日ロシア通商代表部の幹部職員の求めに応じ、大手通信会社「ソフトバンク」の元社員が機密情報を持ち出したとされる事件で、情報を受け取ったとみられる同部幹部職員で外交特権を持つ男が10日、日本を出国したとみられることが分かった。警視庁公安部は男が元社員をそそのかしたとみており、近く不正競争防止法違反の教唆容疑で書類送検する方針。
ここで気になるのは,ログ保存期間だな.
少しだけ報道されたこの案件.
引用:
迷惑がかかるから明言されてないけれど「イベント管理サービス」で情報流出したのはピーティックスだろうね.そのIDが使われてログインされた模様.
不正アクセスによる迷惑メールの送信について - 愛媛大学
https://www.ehime-u.ac.jp/post-143243/
私のところにもその11月27日にメールが来ていてピーティックスの不正アクセス事件 その7 さっそくフィッシングメール到着に分析結果を載せてみたけれど,その時は愛媛大学ではなかったな.別の3万5千通にメールが飛んで行ったのだろう.
愛媛大に不正ログイン 迷惑メール3万5000件送信
https://www.itmedia.co.jp/news/articles/2101/05/news057.html
引用:
学外のイベント管理サービスに登録していた本学の学部用メールアドレス利用者のメールアカウントとパスワードが、同サービス運営会社が第三者による不正アクセスを受けた際に流出
迷惑がかかるから明言されてないけれど「イベント管理サービス」で情報流出したのはピーティックスだろうね.そのIDが使われてログインされた模様.
不正アクセスによる迷惑メールの送信について - 愛媛大学
https://www.ehime-u.ac.jp/post-143243/
私のところにもその11月27日にメールが来ていてピーティックスの不正アクセス事件 その7 さっそくフィッシングメール到着に分析結果を載せてみたけれど,その時は愛媛大学ではなかったな.別の3万5千通にメールが飛んで行ったのだろう.
愛媛大に不正ログイン 迷惑メール3万5000件送信
https://www.itmedia.co.jp/news/articles/2101/05/news057.html
定期的にチェック対象のトレンドマイクロのブログ.
2021年セキュリティ脅威予測
https://blog.trendmicro.co.jp/archives/26881
引用: 変化点に,ノウハウの欠落が出やすいから,盲点も出やすいだろうね.
2021年セキュリティ脅威予測
https://blog.trendmicro.co.jp/archives/26881
引用:
2020年、業務体制が分散型に移行する中、デバイスやソフトウェアの再配置などが試みられました。攻撃者は、こうした状況に伴う企業のセキュリティ態勢のギャップに便乗し、リモートワークでのセキュリティ上の弱点やサポートの準備不足などを利用するでしょう。