ブログ - セキュリティカテゴリのエントリ
自分用ToDoです.
緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認
https://www.lac.co.jp/lacwatch/report/20201201_002363.html
Sigcheck ツールでファイルの署名をテキスト出力する
http://tooljp.com/Windows10/doc/Sysinternals/sigcheck.exe.html
緊急レポート】Microsoft社のデジタル署名ファイルを悪用する「SigLoader」による標的型攻撃を確認
https://www.lac.co.jp/lacwatch/report/20201201_002363.html
Sigcheck ツールでファイルの署名をテキスト出力する
http://tooljp.com/Windows10/doc/Sysinternals/sigcheck.exe.html
SASL LOGIN authentication failed概況 20201204
- カテゴリ :
- セキュリティ » 攻撃/ブルートフォース
- ブロガー :
- ujpblog 2020/12/4 1:16
毎日のMailSumのレポートが楽しみな今日この頃.
ブルートフォースは封じられた...が,よくみると近いサブネットからゆるりとアクセスが来ている.
AbuseIPDBにレポートするには,面倒なタイプ.
ブルートフォースは封じられた...が,よくみると近いサブネットからゆるりとアクセスが来ている.
AbuseIPDBにレポートするには,面倒なタイプ.
Thunderbirdを使ってヘッダのSPF,DKIM,DMARCヘッダをタグに設定してみた
- カテゴリ :
- セキュリティ » スパム・フィッシング
- ブロガー :
- ujpblog 2020/12/4 1:06
迷惑メールを判定する1つの指標としてAuthentication-Resultsヘッダが使えるけれど,Apple Mailでヘッダを表示させて読むのは辛いので,Thunderbirdでタグを使ってみることにした.Apple Mailでは,今現在タグ機能がない.
設定は,カスタムヘッダでAuthentication-Resultsの条件を登録する.
SPF,DKIM,DMARCとAUTHがpassのものとnoneのものを設定することにした.
普段メールフィルタを設定しない人なので,このAuthentication-Resultsの設定しかない.
そして今まで受け取った迷惑メールをフィルタ適用してみた.
想定通りの,見やすい感じになっている!
そして他のメールも順次見ていくと...
DKIMもSPFもpassしている迷惑メールの存在.
ヘッダを確認.
sendgrid.netを使って送信されているのか..
設定は,カスタムヘッダでAuthentication-Resultsの条件を登録する.
SPF,DKIM,DMARCとAUTHがpassのものとnoneのものを設定することにした.
普段メールフィルタを設定しない人なので,このAuthentication-Resultsの設定しかない.
そして今まで受け取った迷惑メールをフィルタ適用してみた.
想定通りの,見やすい感じになっている!
そして他のメールも順次見ていくと...
DKIMもSPFもpassしている迷惑メールの存在.
ヘッダを確認.
sendgrid.netを使って送信されているのか..
Dropboxを禁止している会社にしか出会ったことがない.
個人的には,ファイルの同期が遅かったから,使ってないけれど,通信は遮断する方が良いのだろうなぁ...
個人的には,ファイルの同期が遅かったから,使ってないけれど,通信は遮断する方が良いのだろうなぁ...
J-CRATは,こういう組織.
引用:
サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度上半期]
https://www.ipa.go.jp/files/000086892.pdf
サイバーエスピオナージ,電子的な手法を用いて政府機関や企業の情報を盗み出す諜報活動のこと.VPNで初期突破することが多い.
フィッシングメールからマルウェアに感染した場合にコマンドが手入力されてデータが外部へ転送されるので相応の時間がかかることがある→すでに入り込まれている可能性もある.
攻撃者の指令環境(C2 サーバ)が通信可能にある状態はごく短時間
デコイファイル...おとりファイル.
2020年8月以降,企業に対し「金銭を支払わなければ DDoS 攻撃を行う」という趣旨の脅迫文を送り実際にDDoS攻撃を観測.
数か月以上前に攻撃を受けて既に攻撃者が立ち去ったとみられる組織の攻撃痕跡を調 査
引用:
IPAは、標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊(J-CRAT:Cyber Rescue and Advice Team against targeted attack of Japan)を発足させました。
サイバーレスキュー隊(J-CRAT) 活動状況 [2020 年度上半期]
https://www.ipa.go.jp/files/000086892.pdf
株式会社アプラス,という会社を知らなかったけれど,新生銀行系列の中堅クレジットカード・信販会社だそうだ.
存在を知らなかったけれど,カードを停止すると連絡があった.
日本語がちゃんとしている.テキストメールにみえてHTMLメールでリンクを隠している.
今回不思議だったのは,その誘導先のURLが,正しいURLに置き換えられていることを発見.
今現在は,フィッシングサイトはテイクダウンされているようだけれど.
アプラスはフィッシング対策協議会にも案内が出ているようで,多くのバリエーションが出ている模様.
アプラスをかたるフィッシング (2020/11/16)
https://www.antiphishing.jp/news/alert/aplus_20201116.html
公式サイトの魚拓.
カミさんの方に来ているアプラスを騙るフィッシングメールは,日本語が不自然.
SPFヘッダがsoftfailというのは初めてみた.「認証情報を公開しているが、正当なメールであっても認証失敗する可能性もある」ということだそうです.
存在を知らなかったけれど,カードを停止すると連絡があった.
日本語がちゃんとしている.テキストメールにみえてHTMLメールでリンクを隠している.
今回不思議だったのは,その誘導先のURLが,正しいURLに置き換えられていることを発見.
今現在は,フィッシングサイトはテイクダウンされているようだけれど.
アプラスはフィッシング対策協議会にも案内が出ているようで,多くのバリエーションが出ている模様.
アプラスをかたるフィッシング (2020/11/16)
https://www.antiphishing.jp/news/alert/aplus_20201116.html
公式サイトの魚拓.
カミさんの方に来ているアプラスを騙るフィッシングメールは,日本語が不自然.
SPFヘッダがsoftfailというのは初めてみた.「認証情報を公開しているが、正当なメールであっても認証失敗する可能性もある」ということだそうです.
後で読む.
サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。
https://www.jasa.jp/info/koukaishiryou20201117topics/
引用:
サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。
https://www.jasa.jp/info/koukaishiryou20201117topics/
引用:
専門監査人WGで作成いたしました
「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開いたしました。
併せて皆様からのパブリックコメントへの回答も掲載していますので
ご確認ください。
朝から迷惑メール.
本文が画像だから何も見えず.
メッセージのソースを確認.
fasshonnovaというサイトからメールが送られてきている模様.
サイトにアクセスしてみる.
すでにフィッシングサイト扱いになっている.
警告を無視してアクセスしてみる.
まだテイクダウンされてない模様.
可視化してみる.
すでに色々なセキュリティサイトでフィッシングとされている模様.Google Safebrowsingでもフィッシングとしているし.
メール送信のIPアドレスも可視化.
アムステルダムか.
最後にurlscan.ioでの分析結果.
長生きしているということは,テイクダウンできない理由があるのかなぁ.
本文が画像だから何も見えず.
メッセージのソースを確認.
fasshonnovaというサイトからメールが送られてきている模様.
サイトにアクセスしてみる.
すでにフィッシングサイト扱いになっている.
警告を無視してアクセスしてみる.
まだテイクダウンされてない模様.
可視化してみる.
すでに色々なセキュリティサイトでフィッシングとされている模様.Google Safebrowsingでもフィッシングとしているし.
メール送信のIPアドレスも可視化.
アムステルダムか.
最後にurlscan.ioでの分析結果.
長生きしているということは,テイクダウンできない理由があるのかなぁ.
圧縮する意味
インターネットが黎明期だったころ,回線が細い場合,ファイルが大きいと負荷がかかったり時間がかかったりするので圧縮して送るようになった.いまではブロードバンドで常時接続だけれど,モデムで1分いくらの従量課金時代もあった.
LHZが消えていった
日本ではパソコン通信の時代からLZHが主流だった.ただしデファクトスタンダードというわけではなく,ZIPもあったし自己展開方式というのもあった.
自己展開方式はアンチウイルスで検知されまくったりPCが16bitから32bitに変わったあたりで自己展開プログラムが実行できない問題もありいつの間にか廃れていった.
LZH形式に修正できないバグがあり利用が中止されていったのが2006年以降.ちなみに圧縮ファイルを展開することを「解凍する」と呼ぶのは,このLHZの名残り.
ZIPが標準になった
2000年代.いまよりセキュリティサポート期間が曖昧で,個人PCも含めるとWindows 98からWindows Vistaまで幅広くOSが混在していた時期があった.
Windows XP/Windows 2003の頃にOSにZIP圧縮が内蔵されていき,対外的なやりとりはZIPが普及して行ったと思う.
Lhaplus時代
Windows Vistaからは圧縮フォルダーにパスワードがつけられなくなったらしく,圧縮ソフトとはLhaplusが入るようになっていったとおもう.日本ローカルの流行りだと思うけど.
そういえば,Windows 2003だと,2GBを超えるファイルをOS機能で圧縮すると正常に終了するけれどファイルを展開しようとすると壊れているというひどいバグがあったなぁ.
暗号化ZIP
ファイルを送信する際に小さくし,ついでに暗号化して開くためにはパスワードが必要という運用が浸透してきた.
パスワード長の制限もないし総当たりの回数も制限がないから,PCの性能によってはパスワードは短時間で解読される.なので長いパスワードをつけるというのが推奨されていた.辞書アタックもあるから長文で意味不明記号付き.
アーカイブ形式でファイル名まるみえ
パスワード付きZIPファイルを展開する前でも,中に何が入っているか確認できる.これによってファイル名が非常に興味のある内容だったら,パスワードクラックしたくなるとおもう.もう目の前にあるファイルは入手できているわけで.
ZIP圧縮後,パスワード別送
電子メールはUUCPでバケツリレーで運ばれていたことがある.近くのサーバへリレーし,そのサーバが宛先でなければ別のサーバに転送する.その転送経路はその時の最適なものが選ばれる前提担っていたから,メールを送信する際にどこの経路を通るかわからない.
よって本文とパスワード送信するメールの時間を空けることで,盗聴された時も解読されにくい,,,という考え方がむかしあった.しかし,今はIPでほぼ直結なので経路が別々ということは考えにくい.まぁOffice 365などのクラウドを使っているとブリッジヘッドなどが違う経路を通る事もあるだろうけれど...とそこまでマニアックなことを考えている人は現代には少ない
パスワードをあとで別で送ることで,添付ファイルの送信先を間違えた場合でも被害を軽減できるという意味が多いかな.
「送信ボタンを押した直後に誤りを発見する率」は非常に高い.
暗号化ZIP悪者にされる
EmotetやIcedIDなど,悪意のあるマクロつきWordファイルが暗号化ZIPファイルに包まれてセキュリティソフトの検疫を突破して企業内ネットワークに侵入してくる事案が多発.
これがきっかけ?
ファイルアップローダを推奨する方法に切り替えていこうとしているようだけれど,ちょっとお金の匂いがしちゃうなぁ.
「宅ふぁいる便」みたいなことにならないように...
インターネットが黎明期だったころ,回線が細い場合,ファイルが大きいと負荷がかかったり時間がかかったりするので圧縮して送るようになった.いまではブロードバンドで常時接続だけれど,モデムで1分いくらの従量課金時代もあった.
LHZが消えていった
日本ではパソコン通信の時代からLZHが主流だった.ただしデファクトスタンダードというわけではなく,ZIPもあったし自己展開方式というのもあった.
自己展開方式はアンチウイルスで検知されまくったりPCが16bitから32bitに変わったあたりで自己展開プログラムが実行できない問題もありいつの間にか廃れていった.
LZH形式に修正できないバグがあり利用が中止されていったのが2006年以降.ちなみに圧縮ファイルを展開することを「解凍する」と呼ぶのは,このLHZの名残り.
ZIPが標準になった
2000年代.いまよりセキュリティサポート期間が曖昧で,個人PCも含めるとWindows 98からWindows Vistaまで幅広くOSが混在していた時期があった.
Windows XP/Windows 2003の頃にOSにZIP圧縮が内蔵されていき,対外的なやりとりはZIPが普及して行ったと思う.
Lhaplus時代
Windows Vistaからは圧縮フォルダーにパスワードがつけられなくなったらしく,圧縮ソフトとはLhaplusが入るようになっていったとおもう.日本ローカルの流行りだと思うけど.
そういえば,Windows 2003だと,2GBを超えるファイルをOS機能で圧縮すると正常に終了するけれどファイルを展開しようとすると壊れているというひどいバグがあったなぁ.
暗号化ZIP
ファイルを送信する際に小さくし,ついでに暗号化して開くためにはパスワードが必要という運用が浸透してきた.
パスワード長の制限もないし総当たりの回数も制限がないから,PCの性能によってはパスワードは短時間で解読される.なので長いパスワードをつけるというのが推奨されていた.辞書アタックもあるから長文で意味不明記号付き.
アーカイブ形式でファイル名まるみえ
パスワード付きZIPファイルを展開する前でも,中に何が入っているか確認できる.これによってファイル名が非常に興味のある内容だったら,パスワードクラックしたくなるとおもう.もう目の前にあるファイルは入手できているわけで.
ZIP圧縮後,パスワード別送
電子メールはUUCPでバケツリレーで運ばれていたことがある.近くのサーバへリレーし,そのサーバが宛先でなければ別のサーバに転送する.その転送経路はその時の最適なものが選ばれる前提担っていたから,メールを送信する際にどこの経路を通るかわからない.
よって本文とパスワード送信するメールの時間を空けることで,盗聴された時も解読されにくい,,,という考え方がむかしあった.しかし,今はIPでほぼ直結なので経路が別々ということは考えにくい.まぁOffice 365などのクラウドを使っているとブリッジヘッドなどが違う経路を通る事もあるだろうけれど...とそこまでマニアックなことを考えている人は現代には少ない
パスワードをあとで別で送ることで,添付ファイルの送信先を間違えた場合でも被害を軽減できるという意味が多いかな.
「送信ボタンを押した直後に誤りを発見する率」は非常に高い.
暗号化ZIP悪者にされる
EmotetやIcedIDなど,悪意のあるマクロつきWordファイルが暗号化ZIPファイルに包まれてセキュリティソフトの検疫を突破して企業内ネットワークに侵入してくる事案が多発.
これがきっかけ?
ファイルアップローダを推奨する方法に切り替えていこうとしているようだけれど,ちょっとお金の匂いがしちゃうなぁ.
「宅ふぁいる便」みたいなことにならないように...
セキュリティインシデントカレンダーがいいね.趣味?でセキュリティ情報集めていても限界がある.
wizSafe Security Signal 2020年10月 観測レポート
https://wizsafe.iij.ad.jp/2020/11/1128/
wizSafe Security Signal 2020年10月 観測レポート
https://wizsafe.iij.ad.jp/2020/11/1128/
必要になった時に見ようメモ.
クラウドサービス利用におけるリスク管理上の留意点- 日本銀行
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
蔑視の方に,参考にすべき規格への静的wリンクがありました.
クラウドサービス利用におけるリスク管理上の留意点- 日本銀行
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
蔑視の方に,参考にすべき規格への静的wリンクがありました.
気温的には,もう冬が到来だけどね.このレポートは10月20日に発表されています.
セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策
https://www.lac.co.jp/lacwatch/report/20201020_002299.html
それくらいお金がかかるのかな?というのが先に来るなぁ...事業を推進するのは大変だ.
セキュリティ診断レポート 2020 秋 〜テレワーク環境で攻撃者が狙いやすい3つのポイントとセキュリティ対策
https://www.lac.co.jp/lacwatch/report/20201020_002299.html
それくらいお金がかかるのかな?というのが先に来るなぁ...事業を推進するのは大変だ.
サイバーインシデント緊急対応企業一覧 - JNSA
https://www.jnsa.org/emergency_response/
引用: なんか,,,たかそうだな...でも,値段相応なのだろうけれど.
https://www.jnsa.org/emergency_response/
引用:
サイバーインシデントは予期しないタイミングで起こります。また、サイバーインシデントは通常のシステム障害とは異なり、専門知識がないと状態の把握すら困難です。
そのような時に、緊急で対応を請け負ってくれる、頼りになるJNSA所属企業を取りまとめました。
初期相談が無料の企業もございますので、ご都合に合わせ直接お問い合わせください。
情報修習先として利用価値はたかそうです.ありがとうございます.
ばらまきメール回収の会
https://twitter.com/retrieve_member
ばらまき型メールから日本を守る、知られざる善意の50人
https://xtech.nikkei.com/atcl/nxt/column/18/00138/072700596/
ばらまきメール回収の会
https://twitter.com/retrieve_member
ばらまき型メールから日本を守る、知られざる善意の50人
https://xtech.nikkei.com/atcl/nxt/column/18/00138/072700596/
いくつかある中のの無料のブラックリストサービス.
www.BlockList.de
http://www.blocklist.de/en/index.html
引用:
目的別にIPアドレスリストを入手できますね.
Export all blocked IPs
http://www.blocklist.de/en/export.html
サブネットでまとめられるものはまとめて欲しいところですけどねぇ...
www.BlockList.de
http://www.blocklist.de/en/index.html
引用:
www.blocklist.de is a free and voluntary service provided by a Fraud/Abuse-specialist, whose servers are often attacked via SSH-, Mail-Login-, FTP-, Webserver- and other services.
The mission is to report any and all attacks to the respective abuse departments of the infected PCs/servers, to ensure that the responsible provider can inform their customer about the infection and disable the attacker.
www.blocklist.de は、SSH-、Mail-Login-、FTP-、Webserver-などを経由して攻撃されることが多いサーバーを対象に、詐欺/悪用の専門家が提供する無料・任意のサービスです。
ミッションは、感染したPC/サーバのそれぞれの不正利用部門にあらゆる攻撃を報告し、責任あるプロバイダが顧客に感染を知らせ、攻撃者を無効化できるようにすることです。
目的別にIPアドレスリストを入手できますね.
Export all blocked IPs
http://www.blocklist.de/en/export.html
サブネットでまとめられるものはまとめて欲しいところですけどねぇ...
既視感があるなとおもったら8月のことだったか.
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
https://www.jpcert.or.jp/newsflash/2020112701.html
引用:
警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?
https://news.yahoo.co.jp/byline/ohmototakashi/20201128-00210012/
Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。
https://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
パッチ適用されてないIPアドレス5万件が公開されたということは,「もう用済み」なのか「全員第三者からの忠告」なのか.怖いね.
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
https://www.jpcert.or.jp/newsflash/2020112701.html
引用:
JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。
警察庁に不正アクセス。Fortinet製SSL-VPNの脆弱性CVE-2018-13379を悪用か?
https://news.yahoo.co.jp/byline/ohmototakashi/20201128-00210012/
Fortinet製SSL-VPNの脆弱性にパッチ未適用のリスト約5万件が公開される。日本企業も含む。
https://news.yahoo.co.jp/byline/ohmototakashi/20201124-00209286/
パッチ適用されてないIPアドレス5万件が公開されたということは,「もう用済み」なのか「全員第三者からの忠告」なのか.怖いね.
ランサムウエアによるサイバー攻撃について【注意喚起】 - 内閣サイバーセキュリティセンター
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf
バックアップと,リストアを確認・・・大きな追加投資なしで,これはできるハズ
不正アクセスの迅速な検知体制・・・大企業じゃないと難しいかな.
迅速にインシデント対応を行うための対応策・・・これはBCP
https://www.nisc.go.jp/active/infra/pdf/ransomware20201126.pdf
多くのIcedIDを分析した結果が掲載されています.
IcedIDの感染につながる日本向けキャンペーンの分析
https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/
この分析記事しかないけれど,IoCも後悔していますね.
ばらまきメール回収の会の人の解説記事.
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
https://bomccss.hatenablog.jp/entry/2020/11/30/130150
IcedIDの感染につながる日本向けキャンペーンの分析
https://mal-eats.net/2020/11/12/analysis_of_the-_icedid_campaign_for_japan/
この分析記事しかないけれど,IoCも後悔していますね.
ばらまきメール回収の会の人の解説記事.
返信型メールで感染する2つのマルウェア Emotet / IcedIDの区別
https://bomccss.hatenablog.jp/entry/2020/11/30/130150
ちょっと古い記事だけれど.
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
https://internet.watch.impress.co.jp/docs/column/security/1244790.html
狙われるということは,よく使われているという裏返しだけどね.
犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
https://internet.watch.impress.co.jp/docs/column/security/1244790.html
狙われるということは,よく使われているという裏返しだけどね.
ピーティックスで漏洩したメアドに早速迷惑メールが到着.
「メルカリ事務所サービス有效期限切になります」とか,
日本語がおかしい...marcari事務所? マルカリ? まるまる借りたのか...バーソナルショツバーって.「バーソナルショツバー」だなんて,手打ちの目コピーなんだろうな.
メールヘッダを確認.
ddsdhjkjkjhgで.comなんていうのはPCだと丸見えなので,スマホ向けだとわかる.
ヘッダの中でも異様なのはコレ.
jibunbankって,そのままだと「じぶん銀行」のWebサーバ1号機辺りが送信元ってこと?
ドメインを確認.
GMOで取得している模様.
次に,誘導先のサイトがどうなっているのかurlscanを使って確認.
もうテイクダウンされているのか.IPアドレスはつけ変わってサイト自体は何もない模様.
ドメイン取得は11月26日の模様.
続いて,送信元のIPアドレスを調査.
香港のホスティング会社.今現在は汚れた情報は記録がない.
ちなみに,メールのこの文書で検索すると,定期的にばらまかれている模様.
引用:
まとめるとこんな感じか.
ピーティックスで漏洩した漢字名とメアドがセットで使われている.(最大の特徴)
2バイト文字を扱える言語圏の人だが解像度が良いディスプレイを使っているので濁音と半濁音の区別がつかないので,東スポの記事で「ノーバンとノーパン」で騙されがちな人.
jibunbankのWebサーバから,香港のホスティング会社のサーバを経由してメール送信されているようになっているがそれも偽装の可能性もある.
ピーティックスを使ったのは8年前のKDDIのイベントに参加したことだったけれど,auじぶん銀行は関連がなくもない.
月末になると,この文書のフィッシングメールが放出されている模様なので,ピーティックスの件とは偶然の一致の可能性もあるが,情報セットがこれまでにない.
「メルカリ事務所サービス有效期限切になります」とか,
日本語がおかしい...marcari事務所? マルカリ? まるまる借りたのか...バーソナルショツバーって.「バーソナルショツバー」だなんて,手打ちの目コピーなんだろうな.
メールヘッダを確認.
ddsdhjkjkjhgで.comなんていうのはPCだと丸見えなので,スマホ向けだとわかる.
ヘッダの中でも異様なのはコレ.
jibunbank-static_web_1.jibunbank-static_default ([172.18.0.5])
ドメインを確認.
GMOで取得している模様.
次に,誘導先のサイトがどうなっているのかurlscanを使って確認.
もうテイクダウンされているのか.IPアドレスはつけ変わってサイト自体は何もない模様.
ドメイン取得は11月26日の模様.
続いて,送信元のIPアドレスを調査.
香港のホスティング会社.今現在は汚れた情報は記録がない.
ちなみに,メールのこの文書で検索すると,定期的にばらまかれている模様.
引用:
メルカリをご利用いただきありがとうございます。
これはあなたのサービスが現在中断されたという通知です。
このサスペンションの詳細は次の通リです。
下記サービスの有効期限(2020年11月28日)が近づいているためお知らせします。
有効期限が過ぎる前に、ぜひごアカウントをご更新ください。
停止理由:アカウントに確認が必要 今すぐ確認する:https[://www.mercari.com/jp/
アカウントを確認されない場所、以下の機能が制限されることとなりますが、ご了承いただけますようお願いいたします。
·購入の制限
·新規出品の取リ下げ(バーソナルショツバーのみ)
·出品商品の取リ下げ(バーソナルショツバーのみ)
*このメールは返信しても届きません。お問い合わせはアプリを起動して[お問い合 わせ]からお願いいたします。
まとめるとこんな感じか.
トレーニングのために何か迷惑メールきてないかな?と思って超久しぶりに迷惑メールフォルダをひらいたのだけれど,ネタ的な迷惑メールが.
情報漏洩事件を起こしたピーティックスから「【重要】プロフィールページ公開に伴う、プライバシー設定について」というメール.
まず,迷惑メールに振り分けられているから,4年も気づかなかった...
こうなるとSNSプラットフォームを目指していることがわかる.
KDDI の有料イベントに参加するために必須だったのでユーザ登録したのだけれど,入場時に見せる画面にも表示されるので恥ずかしいニックネーム?じゃなくて普通に本名で登録.その情報が勝手に公開されるという情報.
なんとデフォルトが無断で公開状態.ひどい.
そして評判を調査.
2016年当時も話題になっていた模様.そして,彼らの一部は安全のために退会したようだけれど,退会しても削除フラグが設定されるだけだった模様.
迷惑メールにはいっているので気づかなかった.実際迷惑な話だから,正しく振り分けられているんじゃないか.
今回,不正アクセスで情報漏洩しているけれど,もともと4年前に公式に情報公開しているじゃないかというオチか.
情報漏洩事件を起こしたピーティックスから「【重要】プロフィールページ公開に伴う、プライバシー設定について」というメール.
まず,迷惑メールに振り分けられているから,4年も気づかなかった...
こうなるとSNSプラットフォームを目指していることがわかる.
KDDI の有料イベントに参加するために必須だったのでユーザ登録したのだけれど,入場時に見せる画面にも表示されるので恥ずかしいニックネーム?じゃなくて普通に本名で登録.その情報が勝手に公開されるという情報.
なんとデフォルトが無断で公開状態.ひどい.
そして評判を調査.
2016年当時も話題になっていた模様.そして,彼らの一部は安全のために退会したようだけれど,退会しても削除フラグが設定されるだけだった模様.
迷惑メールにはいっているので気づかなかった.実際迷惑な話だから,正しく振り分けられているんじゃないか.
今回,不正アクセスで情報漏洩しているけれど,もともと4年前に公式に情報公開しているじゃないかというオチか.
これま,今後発展していくのかな.
ライティングスタイル分析の機能について
https://success.trendmicro.com/jp/solution/1122083
引用: 日本語の分かち書きはもう15年くらい前にはオープンソースで実現できていたわけで,その人のクセも学習できるでしょう.
普段よりちょっと改まって頼みごとをしたいときに,文体を変えたりするとスコアがあがるのかな.
ライティングスタイル分析の機能について
https://success.trendmicro.com/jp/solution/1122083
引用:
ビジネスメール詐欺 (BEC) では会社役員などの高プロファイルユーザが標的となります。Cloud App Security では、偽装される可能性のある高プロファイルユーザのライティングスタイルモデルを学習し、ユーザ本人が作成したメールメッセージであるかを機械学習の結果に基づき判定します。
普段よりちょっと改まって頼みごとをしたいときに,文体を変えたりするとスコアがあがるのかな.
EmotetとかIcedIDとか,マクロを使ったマルウェアは,アンチウイルスソフトなどが結構検知してくれるけれど,ニーズによってコントロールするのが良いのか.ま,利便性・業務効率とのトレードオフか.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
インターネットからダウンロードした素性のわからないVBAは,一旦実行できないようにしておくのが良いね.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
インターネットからダウンロードした素性のわからないVBAは,一旦実行できないようにしておくのが良いね.
今月初旬に引き続きこれらの話題.進化もしている模様.
緊急セキュリティ速報:マルウェア「IcedID」に注意
https://www.trendmicro.com/ja_jp/about/announce/announces-20201110-01.html
分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意
https://www.lac.co.jp/lacwatch/people/20201106_002321.html
こういうのもあって,中身の見えないパスワード付きZIPが敬遠されるという世の中にしていこうとされている感じかなぁ.
ランサムウェアについてはこんな記事も.
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
緊急セキュリティ速報:マルウェア「IcedID」に注意
https://www.trendmicro.com/ja_jp/about/announce/announces-20201110-01.html
分析レポート:Emotetの裏で動くバンキングマルウェア「Zloader」に注意
https://www.lac.co.jp/lacwatch/people/20201106_002321.html
こういうのもあって,中身の見えないパスワード付きZIPが敬遠されるという世の中にしていこうとされている感じかなぁ.
ランサムウェアについてはこんな記事も.
ランサムウェアでブラジルの最高裁判所が閉鎖、Windowsの主要なランサムウェアがLinuxに乗り換えた事例としては初
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
facebookからログイン失敗通知が来た.
こ,これは,先日調べた本物のfacebookからのメールだ.
ログイン失敗の履歴は,[設定][セキュリティとログイン][セキュリティとログインに関する最近のメール]で確認.
前回メールが来たのが11月10日だった.
それ以前は5年ほどログインしてないし,セキュリティ通知も来てない
Peatixのサーバが不正アクセスを受けたのは10月16日〜17日にかけてだ.
Peatixの漏洩したメアドと,このフェイスブックのメアドは同じ.
あとは,わかるな...orz
こ,これは,先日調べた本物のfacebookからのメールだ.
ログイン失敗の履歴は,[設定][セキュリティとログイン][セキュリティとログインに関する最近のメール]で確認.
あとは,わかるな...orz
なるほどね.ロシアのカスペルスキーのCEO名義のブログだけれど.
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
支払い保留
税務署からの通知
めっちゃきになるでしょう.ただし,食いついて来た獲物は,それ単体では大きくないけれど,その先の取引先が大きい場合は・・・
中小企業を釣り上げる詐欺の手口
https://blog.kaspersky.co.jp/how-scammers-hook-smb/28694/
めっちゃきになるでしょう.ただし,食いついて来た獲物は,それ単体では大きくないけれど,その先の取引先が大きい場合は・・・
Wordpress 用FileManager の脆弱性やDockerAPI を狙ったアクセスの観測
- カテゴリ :
- セキュリティ » 攻撃/ブルートフォース
- ブロガー :
- ujpblog 2020/11/24 11:20
Wordpress 用FileManager を標的としたアクセスの観測等について
https://www.npa.go.jp/cyberpolice/important/2020/202011201.html
WordPress用.
Docker API用.
アクセスログ状に,これらのアクセスが記録されて居たら,何かあるってことかな.
https://www.npa.go.jp/cyberpolice/important/2020/202011201.html
WordPress用.
wp-content/plugins/wp-file-manager/readme.txt
wp-content/plugins/wp-file-manager/lib/php/
GET /v1.16/version
GET /version
GET /_ping
HEAD /_ping
GET /v1.18/coutainers/json
GET /v1.40/containers/json?all=1
GET /info
GET /images/json?
アクセスログ状に,これらのアクセスが記録されて居たら,何かあるってことかな.
マクロファイルで侵入したマルウェアは,C2サーバから悪意のあるソフトウェア,マルウェアをダウンロードすることを試みる.
不特定多数を狙ったマルウェアの場合,その感染したサイトでは既にそのURLに対してブロックさえていることが多いから,多くのサイトへ接続するような情報がはいっていうというのが面白い.
フィッシングメールによって拡散されたDridexダウンローダーの解析レポートを公開
https://eset-info.canon-its.jp/malware_info/trend/detail/201120.html
DopplerPaymerというleakサイトがあるらしいけれど,もう閉鎖されたかなぁ.
マクロからのEXEの生成方法などが詳しく分析されて居て参考になります.
不特定多数を狙ったマルウェアの場合,その感染したサイトでは既にそのURLに対してブロックさえていることが多いから,多くのサイトへ接続するような情報がはいっていうというのが面白い.
フィッシングメールによって拡散されたDridexダウンローダーの解析レポートを公開
https://eset-info.canon-its.jp/malware_info/trend/detail/201120.html
DopplerPaymerというleakサイトがあるらしいけれど,もう閉鎖されたかなぁ.
マクロからのEXEの生成方法などが詳しく分析されて居て参考になります.
令和2年10 月期観測資料
https://www.npa.go.jp/cyberpolice/important/2020/202011202.html
引用: センサー設置して各ポートへのアクセス状況をログ集計しているだけだけれど,データが集まって来たら傾向がでるのだろうな.
https://www.npa.go.jp/cyberpolice/important/2020/202011202.html
引用:
インターネットとの接続点に設置したセンサーにお いて検知したアクセス件数は、一日・1IP アドレス当たり 6,454.4 件で、令和2年9月期(以下「前月 期」という。)の 6,588.0 件と比較して 133.6 件(2.0%)減少しました
「効かない」というか,基本認証が有効になっている場合,それが迂回路になっているって.
MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。
https://news.yahoo.co.jp/byline/ohmototakashi/20201121-00208854/
引用: Office 365/Microsoft 365を使っているとメールもOutlookを使っていてIMAPやPOPなどとは無縁な気がするけれど,何かしらのRPAの自動化ツールと連携している場合に利用するから仕方なく有効化していることもあるかもね.サーバ設定を見る権限のある人は,確認しておいた方が良いね.
MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。
https://news.yahoo.co.jp/byline/ohmototakashi/20201121-00208854/
引用:
三菱電機が契約しているMS365に不正アクセスが発生した。このニュースを見て「我社のMS365はMFA(多要素認証)を利用しているから大丈夫」と思った人も少なくないだろう。しかしMS365に対する不正アクセスの多くはMFAをバイパスするIMAP等が狙われている。
ピーティックスの不正アクセス事件.8年前に一度利用した事がありアカウントも有効だったけれど,公式には案内が来てなかったがやっとメールで連絡がきた.
メール本文の一部を引用すると,次の通り.
引用: 「引き出された事実は確認されておりません」と表現されているけれど「引き出されておりません.」とは違うので,出ちゃっている可能性もあるということか.盗み出した者が暴露してないと,漏洩しているとは言えないしね.ログがないので絶対大丈夫とかまでは言えないのかな.例のハッキングフォーラムに出ているデータは421万件だそうで,他のデータの存在は不明とある. No DetectはNo leakedでは無い.
引用: 暗号化されたパスワードは漏洩してなくても,メアドは出ているからなぁ.不審なログインとかもありえるのだろうな.
今回の実質的被害は,まだ確認されてないけれど.GoTo に関連するような地方自治体のキャンペーン応募で数多く利用されていたようなので,漏洩したであろうユーザのリテラシー的には様々.
不正アクセスによるPeatixの情報流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/11/20/132324
メール本文の一部を引用すると,次の通り.
引用:
<不正に引き出されたお客様情報>
Peatixに登録されているお客様の以下の情報が不正に引き出されたことを確認しております。
氏名
アカウント登録メールアドレス
暗号化されたパスワード
アカウント表示名
言語設定
アカウントが作成された国
タイムゾーン
なお、クレジットカード情報および金融機関口座情報などの決済関連情報ならびにイベント参加履歴、参加者向けのアンケートフォーム機能で取得したデータ、住所、電話番号などの情報が引き出された事実は確認されておりません。
引用:
また、Peatixの会員登録の際に、ソーシャルメディアとのログイン連携にてご登録されたお客様の個人情報に関しては、暗号化されたパスワードは保持しておりません。そのため、ソーシャルメディアとのログイン連携にてご登録されたお客様に関しては、本件において暗号化されたパスワードが引き出された事実は確認されておりません。
今回の実質的被害は,まだ確認されてないけれど.GoTo に関連するような地方自治体のキャンペーン応募で数多く利用されていたようなので,漏洩したであろうユーザのリテラシー的には様々.
不正アクセスによるPeatixの情報流出についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/11/20/132324
667万件のデータが漏洩したピーティックスのデータベースのダンプデータは裏サイトに転がっていました.
サンプルとして公開されているものを見ると漏洩しているメルアドのドメインが集計されてました.
そりゃぁデータベースなので集計は簡単だなぁ.
漏洩したのはSQLダンプ.テーブル定義も確認できました.
これだと住所・クレカ番号は収録されてない模様.ただしニックネーム.本名などが...
実データ的なところでは,パスワードはNULLになっているけれど,パスワード?ハッシュは漏洩した模様.
今回,本名で登録していたから,本名とメールアドレスのセットが漏洩か.標的型攻撃とかで使われそうだなぁ.
サンプルとして公開されているものを見ると漏洩しているメルアドのドメインが集計されてました.
そりゃぁデータベースなので集計は簡単だなぁ.
漏洩したのはSQLダンプ.テーブル定義も確認できました.
これだと住所・クレカ番号は収録されてない模様.ただしニックネーム.本名などが...
実データ的なところでは,パスワードはNULLになっているけれど,パスワード?ハッシュは漏洩した模様.
今回,本名で登録していたから,本名とメールアドレスのセットが漏洩か.標的型攻撃とかで使われそうだなぁ.
前回までにログインできたので,ピーティックスのアカウントが残っていることは確認できた.そして,表向き,どのような情報が保持されているかを確認.
領収書データ!がある...
そうだよなぁ.KDDI ∞ Laboだ.オープンしたての,渋谷のヒカリエに行ったのだった.もう8年も前なのか.
どういう決済手段で支払ったか覚えがないのだけれど,クレカかなぁ...その情報は,ログインしても参照できないから,持ってないように見える.(それは油断すぎる)
そして今現在,ピーティックスを使ってKDDI ∞ Laboのイベント管理+集金をしていたKDDIのプレスリリースを見ても,特に何も記載がない.
KDDI Open Innovation Program
https://www.kddi.com/open-innovation-program/
KDDI ∞ Labo
https://www.kddi.com/open-innovation-program/mugenlabo/
2020年:ニュースリリース - KDDI
https://www.kddi.com/corporate/newsrelease/2020/
KDDI
https://www.kddi.com
Peatix プライバシーポリシー
https://about.peatix.com/ja/privacy.html
一部引用.
引用:
ピーティックスのプラポリだとイベント主催者に対して提供することがあるわけだが必ず利用する訳でもないから,KDDIはイベント参加者の情報を持ってない事案の可能性.
あるいは8年もまえのイベントなので受け取ったデータは廃棄している.
当時の担当者は離任して詳細不明
気づいてない
どれだろう.8年前に利用したサービスの,その後の行方を管理するのは実際は無理.「桜を見る会」の名簿みたいに,即消しが理想
領収書データ!がある...
そうだよなぁ.KDDI ∞ Laboだ.オープンしたての,渋谷のヒカリエに行ったのだった.もう8年も前なのか.
どういう決済手段で支払ったか覚えがないのだけれど,クレカかなぁ...その情報は,ログインしても参照できないから,持ってないように見える.(それは油断すぎる)
そして今現在,ピーティックスを使ってKDDI ∞ Laboのイベント管理+集金をしていたKDDIのプレスリリースを見ても,特に何も記載がない.
KDDI Open Innovation Program
https://www.kddi.com/open-innovation-program/
KDDI ∞ Labo
https://www.kddi.com/open-innovation-program/mugenlabo/
2020年:ニュースリリース - KDDI
https://www.kddi.com/corporate/newsrelease/2020/
KDDI
https://www.kddi.com
Peatix プライバシーポリシー
https://about.peatix.com/ja/privacy.html
一部引用.
引用:
当社は、イベント主催者に対し、以下のいずれかの目的で、当社で保有する会員情報及びイベント主催者が必要とする参加者情報を含むお客様の個人情報を、当該イベント主催者又は当社との間で共同開発契約、事業提携契約その他当社のサービスに関して協業することを内容とする契約を締結した第三者(以下「協業先となる第三者」といいます。)*に提供し、これをイベント主催者又は協業先となる第三者と共同して利用することがあります。なお、この共同利用に際してイベント主催者又は協業先となる第三者に対し提供される個人情報の管理については、当社及び当該イベント主催者又は当該協業先となる第三者になります。
イベント主催者において、その開催するイベントにおける参加者を管理すること。
イベント主催者において、その開催するイベントに参加する予定の又は参加した会員に対し、連絡をとること。
当社と協業先となる第三者の協業により、当社のサービスを安全かつ確実に提供すること。
当社と協業先となる第三者の協業により、会員向けサービスをより充実したものにすること。
当社と協業先となる第三者の協業により、特別なサービスや新しいサービスを提供すること。
どれだろう.8年前に利用したサービスの,その後の行方を管理するのは実際は無理.「桜を見る会」の名簿みたいに,即消しが理想
3日前にブログに書いたピーティックスの漏洩事故だけれど,ピーティックスからは露営した対象者にメールとかで案内が来ない.ネットの記事を読むと,先ずはパスワードを変えろというのだけれど,メールも2017年から来てないようだし,消えてるんじゃ無いかと思ってみた.
メリットないからSNSと連動なんてしてないのは正解.メールアドレスを入力.
残念.パスワード変更しろって.つまり,漏洩したデータの中に含まれているということだ.
確認メールが届いた.
難しいパスワードを設定.一部公開...w
メリットないからSNSと連動なんてしてないのは正解.メールアドレスを入力.
残念.パスワード変更しろって.つまり,漏洩したデータの中に含まれているということだ.
確認メールが届いた.
難しいパスワードを設定.一部公開...w
ずっとドコモのケータイを使っているけれど,4〜5年,iモードもSPモードも使わずに電話番号だけの契約にしていたので,ドコモメールを使う文化がない.
2019年の5月に,ガラケーからスマホに(契約上)乗り換えた時にdocomo.ne.jpのメールアドレスを取得できたので取ったけれど,誰にも教えずに,,,というか自分でも忘れいたら,なんと15ヶ月で140通もメールが溜まっていた.
必要?まともだったのは,ドコモからの「データ量に関するお知らせ」で,これは在宅勤務開始の4月分以降,データ量が5GBを越えることがなくなったので通知がこなくなっていた.
代わりに,迷惑メールが来ている.これは実はマッチポンプなんじゃないか?(データ量を消費するための・・・)
メールによっては,フィッシング用のURLすら無いものがある.返信するんだろうけれど,そもそも標的型メールのように返信したくなるような内容でも無い.
iモードメールの時は,迷惑メール対策が無料だったけれど,残念ながら現在は有料とのこと.
せっかく迷惑メールが来る専用のメアドをゲットできたので,それはそれで観察のために保持しておくかな.
2019年の5月に,ガラケーからスマホに(契約上)乗り換えた時にdocomo.ne.jpのメールアドレスを取得できたので取ったけれど,誰にも教えずに,,,というか自分でも忘れいたら,なんと15ヶ月で140通もメールが溜まっていた.
必要?まともだったのは,ドコモからの「データ量に関するお知らせ」で,これは在宅勤務開始の4月分以降,データ量が5GBを越えることがなくなったので通知がこなくなっていた.
代わりに,迷惑メールが来ている.これは実はマッチポンプなんじゃないか?(データ量を消費するための・・・)
メールによっては,フィッシング用のURLすら無いものがある.返信するんだろうけれど,そもそも標的型メールのように返信したくなるような内容でも無い.
iモードメールの時は,迷惑メール対策が無料だったけれど,残念ながら現在は有料とのこと.
せっかく迷惑メールが来る専用のメアドをゲットできたので,それはそれで観察のために保持しておくかな.
送信ドメイン認証(SPF)が設定されたメールサーバだと,応答内容がメールヘッダのAuthentication-Resultsに現れるというので,表示するようにしてみた.
設定したのは,Apple Mail.
設定は簡単だけれど,ヘッダが表示されている適当なメールが,意外と少ない.
最初に見つけたのが,MS-ISACからのメール.
その次に見つけたのが,Google AdSenseからのメール.
なるほどね.DMARCの設定が,自分の方針とはまるで違う.まぁ偽装メール送られまくっているだろうから,REJECTが正しいのかな.
逆に自分のメールサーバからgmailにメールを送った時,どのようにヘッダが表示されているかを確認.
いいじゃなーい DMARCもpassになっているので,信頼性は高い方じゃないかな.後は証明書とかかなぁ.
信頼性を求められる,お金払えとか購入したとかのメールは,Authentication-Resultsを確認すると騙されにくいかもしれない.
設定したのは,Apple Mail.
設定は簡単だけれど,ヘッダが表示されている適当なメールが,意外と少ない.
最初に見つけたのが,MS-ISACからのメール.
その次に見つけたのが,Google AdSenseからのメール.
なるほどね.DMARCの設定が,自分の方針とはまるで違う.まぁ偽装メール送られまくっているだろうから,REJECTが正しいのかな.
逆に自分のメールサーバからgmailにメールを送った時,どのようにヘッダが表示されているかを確認.
いいじゃなーい DMARCもpassになっているので,信頼性は高い方じゃないかな.後は証明書とかかなぁ.
信頼性を求められる,お金払えとか購入したとかのメールは,Authentication-Resultsを確認すると騙されにくいかもしれない.
カプコン、標的型攻撃被害で顧客情報など約35万件流出の可能性
https://cybersecurity-jp.com/news/45639
引用:
不正アクセスによる情報流出に関するお知らせとお詫び - CAPCOM
http://www.capcom.co.jp/ir/news/html/201116.html
そしてVirusTotalにアップロードされた検体から,三井物産セキュアディレクションがニーモニックレベルで分析した結果.
企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析
https://www.mbsd.jp/research/20201111.html
まぁ,ホンダの時もそうだけれど,これをみると完全に標的型なのでもう防ぎ用がない.やはり早期に安全なバックアップへシステムへの切り替えやリストアができる体制が必要かな.瞬時の首都移転みたいなイメージで.
追記 2021.01.20
「カプコン」にサイバー攻撃…テロ集団が突きつける「身代金要求」のヤバすぎる中身
https://gendai.ismedia.jp/articles/-/78545
引用: メールシステムが安全だと言い切れない以上,別の手段で連絡を取ったというのはよかったんじゃ無いかな.「そういうセカンダリの連絡網を整備している」というのは大事ですな.
https://cybersecurity-jp.com/news/45639
引用:
株式会社カプコンは2020年11月16日、同社にて発生していた第三者による不正アクセスに関連して、同社グループシステムが保有する顧客情報、従業員情報、採用応募者情報、関係先情報など合計約35万件が外部流出した可能性があると明らかにしました。
不正アクセスによる情報流出に関するお知らせとお詫び - CAPCOM
http://www.capcom.co.jp/ir/news/html/201116.html
そしてVirusTotalにアップロードされた検体から,三井物産セキュアディレクションがニーモニックレベルで分析した結果.
企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析
https://www.mbsd.jp/research/20201111.html
まぁ,ホンダの時もそうだけれど,これをみると完全に標的型なのでもう防ぎ用がない.やはり早期に安全なバックアップへシステムへの切り替えやリストアができる体制が必要かな.瞬時の首都移転みたいなイメージで.
追記 2021.01.20
「カプコン」にサイバー攻撃…テロ集団が突きつける「身代金要求」のヤバすぎる中身
https://gendai.ismedia.jp/articles/-/78545
引用:
会社のメールさえ使えない
〈システムの異常が検知されました〉
ゲームメーカーとして日本有数の規模を誇るカプコンの社内コンピューターに突如、警告画面が表示されたのは、11月2日未明のことだった。
〜略〜
「従業員への連絡もままならず、ふだんは使用しない緊急時用の安否確認サービスを使って、起きている事態が社員に一斉に通知されました」
ほう.
霞ヶ関でパスワード付きzipファイルを廃止へ 平井デジタル相
https://www.itmedia.co.jp/news/articles/2011/17/news150.html
実質意味がない運用になっているというのはある.それで,代替手段をどうするかは,この記事には無かった.会見の内容としてもにも無かったのかもしれない.
引用: 持ち出せるスマホで見れない方が良いのでは?と思ったりもした.
霞ヶ関でパスワード付きzipファイルを廃止へ 平井デジタル相
https://www.itmedia.co.jp/news/articles/2011/17/news150.html
実質意味がない運用になっているというのはある.それで,代替手段をどうするかは,この記事には無かった.会見の内容としてもにも無かったのかもしれない.
引用:
「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思うし、メール内容をスマホで見れないのは致命的だ」とし、全廃することを決めた。
イベント管理で有名?な,ピーティックスで不正アクセスと情報漏洩の可能性がある模様.
弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ
https://announcement.peatix.com/20201117_ja.pdf
PDFでテキストが引用できないので,画像で魚拓.
677万件のデータが引き出された可能性があるそうだ.Peatixは有料イベントに参加したことがあるけれど,2017年からはメールも来てないんだが.
漏洩しているかどうか,注目かな.
弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ
https://announcement.peatix.com/20201117_ja.pdf
PDFでテキストが引用できないので,画像で魚拓.
677万件のデータが引き出された可能性があるそうだ.Peatixは有料イベントに参加したことがあるけれど,2017年からはメールも来てないんだが.
漏洩しているかどうか,注目かな.
中小企業には「お助け隊」として浸透させていくのか.弱いところから侵入されるから,そこを封じねばならないからなぁ.
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます
https://www.meti.go.jp/press/2020/10/20201030011/20201030011.html
引用:
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されます
https://www.meti.go.jp/press/2020/10/20201030011/20201030011.html
引用:
本年11月1日に、主要経済団体のリーダーシップの下、多様な産業分野の団体等が集まり、サプライチェーン全体でのサイバーセキュリティ対策の推進を行うことを目的としたサプライチェーン・サイバーセキュリティ・コンソーシアム(Supply Chain Cybersecurity Consortium: SC3)が設立されることになりました。
本コンソーシアムの設立総会は本年11月19日を予定しております。
IPAの発表.
インターネット定点観測レポート(2020年 7~9月)
https://www.jpcert.or.jp/tsubame/report/report202007-09.html
TCP 445ポートが増えている模様.SMBですな.うちにもそういうのが届いて居るか,モニタリングしてみるかなぁ...
インターネット定点観測レポート(2020年 7~9月)
https://www.jpcert.or.jp/tsubame/report/report202007-09.html
TCP 445ポートが増えている模様.SMBですな.うちにもそういうのが届いて居るか,モニタリングしてみるかなぁ...
ちょっと前に身代金要求したけれど払えなかったので経営危機という話題があったけれど,今回話題のゲーム会社は,四半期売上が237億円以上,営業利益が107億円以上で,身代金請求額は11億円だそうだ.痛いけれど払える金額.犯人グループもそういう実現性のある規模で言ってくるそうだ.
じゃぁ払うべきなのか.
ランサムウェア被害企業に追い打ちをかける報道機関
https://news.yahoo.co.jp/byline/ohmototakashi/20201113-00207630/
犯人に払ってもその後に流出されなくなると保証されるわけでもないわけだから,これはもう流出した情報被害者への補填にあてるべきでしょう.どっちにしてもそっちは確実に出費するし.身代金は払わないという手段以外,対抗手段は無いな.
じゃぁ払うべきなのか.
ランサムウェア被害企業に追い打ちをかける報道機関
https://news.yahoo.co.jp/byline/ohmototakashi/20201113-00207630/
犯人に払ってもその後に流出されなくなると保証されるわけでもないわけだから,これはもう流出した情報被害者への補填にあてるべきでしょう.どっちにしてもそっちは確実に出費するし.身代金は払わないという手段以外,対抗手段は無いな.
メモのみ.コメントなし.備忘ようです...
IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
「IoTセキュリティ手引書 Ver1.0」をリリース - 一般社団法人セキュアIoTプラットフォーム協議会
https://www.secureiotplatform.org/release/2020-11-10
IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました
https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html
「IoTセキュリティ手引書 Ver1.0」をリリース - 一般社団法人セキュアIoTプラットフォーム協議会
https://www.secureiotplatform.org/release/2020-11-10
Emotetのとくちょは,Officeファイルのマクロファイルとして企業内ネットワークに受け入れられ,その後,そのマクロが悪意のあるプログラムをダウンロードしてくるところから始まる.
という事で,Active Directoryでマクロファイルについてコントロールすれば,幾らかは脅威を避けることができるでしょう.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
ただしまぁ,マクロファイルはRPAとか自動化の中にあるので,そう簡単に封鎖できないのが現状なので,企業ごとにどの対策を取るかは,バランスをみて設定ということかな.
という事で,Active Directoryでマクロファイルについてコントロールすれば,幾らかは脅威を避けることができるでしょう.
マルウェア感染対策を目的としたVBAマクロ実行の無効化
https://wizsafe.iij.ad.jp/2020/09/1044/
ただしまぁ,マクロファイルはRPAとか自動化の中にあるので,そう簡単に封鎖できないのが現状なので,企業ごとにどの対策を取るかは,バランスをみて設定ということかな.
IPAが開設している安心相談窓口があるというブログ記事を書いたのが7月で,その後の相談状況が報告されていました.
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
ウイルス検出の件数が多いようだけれど,これはEmotetで着弾したものも含まれるのだと思うが,相談窓口に相談する人たちのリテラシー的なものも感じることができるなぁ.
クローズアップ現代+でも,最初カプコンの話題に触れていて訪問・・・しているのは別の会社でしたが,社会性のある問題に発展しているのかな.
コロナ禍 あなたを狙うサイバー攻撃 - NHK クローズアップ現代+
https://www.nhk.or.jp/gendai/articles/4482/index.html
情報セキュリティ安心相談窓口の相談状況[2020年第3四半期(7月~9月)]
https://www.ipa.go.jp/security/txt/2020/q3outline.html
ウイルス検出の件数が多いようだけれど,これはEmotetで着弾したものも含まれるのだと思うが,相談窓口に相談する人たちのリテラシー的なものも感じることができるなぁ.
クローズアップ現代+でも,最初カプコンの話題に触れていて訪問・・・しているのは別の会社でしたが,社会性のある問題に発展しているのかな.
コロナ禍 あなたを狙うサイバー攻撃 - NHK クローズアップ現代+
https://www.nhk.or.jp/gendai/articles/4482/index.html
何かあった時に,そもそもあったのか? いつあったのか.いつからあったのか.どこから始まったのか.どこまでの範囲か,などを調べて影響調査する必要がある.あるいは全て捨てるか.
調べるためにはログを保存しておく必要があって,そのログを調べることができる仕組みと,その訓練が必要.急に運転しろと言われても最上級のベンツだと最新鋭すぎてエンジンの掛け方も分からんとおもうし.
じゃぁどれくらいログを保存しておく必要があるかという議論が必要で,本来なら永久的にということになるけれど,ストレージが安くなったと言っても限界もある.
そんな時の手助けになる資料がこれ.
「企業における情報システムのログ管理に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy28/reports/log_kanri/index.html
なんのログをいつまでに,法令による要求も記載がある.
3 年(不正アクセス禁止法の時効)から 7 年(詐欺罪や窃盗罪の時効)
そして,IPAはログ検索ツールの新バージョンをリリース.
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html
LogonTracerによるイベントログの可視化
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
PCの動きは複雑.PC,ルータ,ファイヤウォールなど色々なログが混ざり合い,とてもシーケンシャルなデータを目で追いきれないから可視化は大事だね.そもそも,上役に報告する際にビジュアル化されていると説得力が上がるのではなかろうか.
関連:訴訟ホールド
追記:
ログを活用した高度サイバー攻撃の早期発見と分析
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告
https://www.ipa.go.jp/files/000025363.pdf
調べるためにはログを保存しておく必要があって,そのログを調べることができる仕組みと,その訓練が必要.急に運転しろと言われても最上級のベンツだと最新鋭すぎてエンジンの掛け方も分からんとおもうし.
じゃぁどれくらいログを保存しておく必要があるかという議論が必要で,本来なら永久的にということになるけれど,ストレージが安くなったと言っても限界もある.
そんな時の手助けになる資料がこれ.
「企業における情報システムのログ管理に関する実態調査」報告書について
https://www.ipa.go.jp/security/fy28/reports/log_kanri/index.html
なんのログをいつまでに,法令による要求も記載がある.
そして,IPAはログ検索ツールの新バージョンをリリース.
LogonTracer v1.5 リリース
https://blogs.jpcert.or.jp/ja/2020/10/logontracer-1_5.html
LogonTracerによるイベントログの可視化
https://blogs.jpcert.or.jp/ja/2017/11/logontracer.html
PCの動きは複雑.PC,ルータ,ファイヤウォールなど色々なログが混ざり合い,とてもシーケンシャルなデータを目で追いきれないから可視化は大事だね.そもそも,上役に報告する際にビジュアル化されていると説得力が上がるのではなかろうか.
関連:訴訟ホールド
追記:
ログを活用した高度サイバー攻撃の早期発見と分析
https://www.jpcert.or.jp/research/APT-loganalysis_Presen_20151117.pdf
コンピュータセキュリティログ管理ガイド 米国国立標準技術研究所による勧告
https://www.ipa.go.jp/files/000025363.pdf
この2つのニュース.
中国のハッキング大会“天府杯 2020”で11製品が攻略、「Firefox」は即座に脆弱性を修正
https://forest.watch.impress.co.jp/docs/news/1288055.html
引用:
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
https://www.security-next.com/119815
引用:
ハッキング大会中に見つけるわけじゃなくて,あらかじめ見つけておき,見つからないように大会に参加して披露するタイプなのだとおもう.
そして,発表したものは既にある程度用無しとなったもの,賞味期限切れが出て来るのだろうな.そう思うよ.
Googleがいまだに悪用されているWindowsのゼロデイバグを公表
https://jp.techcrunch.com/2020/10/31/2020-10-30-google-microsoft-windows-bug-attack
中国のハッキング大会“天府杯 2020”で11製品が攻略、「Firefox」は即座に脆弱性を修正
https://forest.watch.impress.co.jp/docs/news/1288055.html
引用:
8日に終了した“天府杯 2020”では、ターゲットにされた16の製品のうち「Firefox」を含む以下の11の製品が攻略され、23の攻撃がデモンストレーションされた。
米政府、中国関与のサイバー攻撃で利用された脆弱性25件を公表
https://www.security-next.com/119815
引用:
米国家安全保障局(NSA)が、連邦政府機関の情報システムや防衛産業基盤、国防総省などを標的とするサイバー攻撃に中国が関与したと名指しし、実際に悪用されたり、探索行為の対象となった脆弱性のリストを公表した。
ハッキング大会中に見つけるわけじゃなくて,あらかじめ見つけておき,見つからないように大会に参加して披露するタイプなのだとおもう.
そして,発表したものは既にある程度用無しとなったもの,賞味期限切れが出て来るのだろうな.そう思うよ.
Googleがいまだに悪用されているWindowsのゼロデイバグを公表
https://jp.techcrunch.com/2020/10/31/2020-10-30-google-microsoft-windows-bug-attack
facebookのメール通知は全てオフにしているのだけれど,facebookmail.comからメールが来た.
あたかもフィッシングメールのような感じ.
メールヘッダをみるとDKIMはあるけれど,SPFもDMARCもない.X-MailerのZuckMailというのはザッカーバーグのことらしい.
IPアドレスを見るとfacebookのようだ.(通報がたくさんあるようだがorz)
ということでログインして見た.
前回のログインは,5年半前か.
とりあえず,セキュリティとログインで,ログイン通知が来るように設定し,パスワードも変更した.
そして一度ログアウトしてログイン.
2要素用のメールが来た.2要素の認証を選んだつもりはないのだけれど,まぁ安心かな.
ログイン時間ははUTC+9と補助表記されているのでわかりやすいかな.街の名前が渋谷になっているけれど,いつも思うけれど,ざっくり「東京」という以外だいぶ遠いな.
facebookは良く情報漏洩しているから信頼してないのだけれど,別所から自分のメアドが流出していることも確認※しているから,そのアカウントを使ってログインが試みられたのだと思われる.
最近知り合いもfacebookのアカウントが乗っ取られて,広告誘導メールが送信されまくっていたのでね.
印象として,乗っ取られたアカウントから「乗っ取られたから迷惑メッセージを送信したようで削除願います」と言われても,そのメッセージ自体が乗っ取り犯の何かの誘導かもしれないし.疑心暗鬼.
※迷惑メールの送信元として使われた形跡があった.エラーメールが飛んで来て発覚.
あたかもフィッシングメールのような感じ.
メールヘッダをみるとDKIMはあるけれど,SPFもDMARCもない.X-MailerのZuckMailというのはザッカーバーグのことらしい.
IPアドレスを見るとfacebookのようだ.(通報がたくさんあるようだがorz)
ということでログインして見た.
前回のログインは,5年半前か.
とりあえず,セキュリティとログインで,ログイン通知が来るように設定し,パスワードも変更した.
そして一度ログアウトしてログイン.
2要素用のメールが来た.2要素の認証を選んだつもりはないのだけれど,まぁ安心かな.
ログイン時間ははUTC+9と補助表記されているのでわかりやすいかな.街の名前が渋谷になっているけれど,いつも思うけれど,ざっくり「東京」という以外だいぶ遠いな.
facebookは良く情報漏洩しているから信頼してないのだけれど,別所から自分のメアドが流出していることも確認※しているから,そのアカウントを使ってログインが試みられたのだと思われる.
最近知り合いもfacebookのアカウントが乗っ取られて,広告誘導メールが送信されまくっていたのでね.
印象として,乗っ取られたアカウントから「乗っ取られたから迷惑メッセージを送信したようで削除願います」と言われても,そのメッセージ自体が乗っ取り犯の何かの誘導かもしれないし.疑心暗鬼.
※迷惑メールの送信元として使われた形跡があった.エラーメールが飛んで来て発覚.
日々遮断していることで,エラーも減って来ました.
総当たりで突破される可能性が低くなるだけの意味はあるね.ルータのCPUも目に見えて増えてはいないし.
世の中的にはIoTマルウェアのパケットが増加しているそうだ.
日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について
https://blog.nicter.jp/2020/10/jp_mirai_spike/
んー.プロバイダと切断する都度IPアドレスが変わるタイプを使われるとIPアドレスのブロックというのも限界(過剰)となることもあるということか.
総当たりで突破される可能性が低くなるだけの意味はあるね.ルータのCPUも目に見えて増えてはいないし.
世の中的にはIoTマルウェアのパケットが増加しているそうだ.
日本国内のMiraiの特徴を持つパケットの送信元IPアドレス数急増について
https://blog.nicter.jp/2020/10/jp_mirai_spike/
んー.プロバイダと切断する都度IPアドレスが変わるタイプを使われるとIPアドレスのブロックというのも限界(過剰)となることもあるということか.