ここまでやれば合格できる！AWS未経験からSAA(ソリューションアーキテクト–アソシエイト)で合格するまでの具体的方法

先日、数か月の勉強期間の末。無事、AWS SAAに合格してきました！ せっかくなので、 「なぜ、わざわざ15,000円+税もする試験を受けようと思ったか」 「どのくらい勉強をすれば合格できるのか」 「なにから、どう勉強すればいいのか」 をなるべく具体的にご紹介しつつ、少しでもローリスクハイリターンな自己投資をするための手助けにしたくて、記事を書いてみました！ ぜひ、おうち時間が増えているこの期間に、価値のある自己投資と将来のキャリアアップへの一助としてみてください。 ちなみに、こちらが認定書です。 720点で合格なんですが、結構ギリギリ(笑) 目次 AWS SAAの価値はこれほど高い！ 使った…

ダークネットで観測された2020年に日本を標的とした数々の攻撃について

イスラエルのサイバーセキュリティインテリジェンス企業であるKELAより、日本に対するサイバー攻撃の観測状況が公開されました。 ke-la.com これらの情報については、KELAがダークウェブに対して行った独自情報に基づくものなので、情報を活用する際には、慎重に取り扱うことをオススメします。 本記事では、公開された情報をもとに概要をまとめます。 目次 日本を標的にした攻撃の脅威について 販売される個人情報 ランサムウェアの被害 Pulse Secureの脆弱性（CVE-2019-11510）悪用による被害 まとめ 日本を標的にした攻撃の脅威について まずは以下の図をご覧ください。 英語で表記さ…

中華系ハッキンググループAPT10によるZeroLogonの脆弱性（CVE-2020-1472）を悪用した新たな攻撃の観測について

米国のセキュリティベンダーSymantecよりAPT10による新たな攻撃キャンペーンの観測状況が公開されました。 symantec-enterprise-blogs.security.com APT10による攻撃活動については以前にも触れました。（この時の活動がAPT10によるものだったかどうかは不明.ただし、当該記事でツールと攻撃手法の類似性は指摘あり。） micro-keyword.hatenablog.com 本記事では、公開された情報をもとに概要をまとめます。 目次 2020年10月現在の観測状況 今回の攻撃の特徴 まとめ 標的となった企業とその分野 以前に当ブログでも紹介させていただ…

SaltStackの脆弱性（CVE-2020-16846およびCVE-2020-25592）公開について

少し前になりますが、構成管理ソフトウェアSaltStackの脆弱性に関する情報が公開されました。 www.saltstack.com このうち、CVE-2020-16846およびCVE-2020-25592については、セキュリティリスクCriticalないしHighに位置づけられるものだと推測されています。 これらの詳細についてまとめつつ、リスクを少し考えてみようと思います。 目次 今回確認された脆弱性 セキュリティ更新パッケージとパッチ 2020年5月に攻撃活動が観測されたSaltStackの脆弱性 現在の観測状況 まとめ 今回確認された脆弱性 今回、SaltStackより公開された脆弱性は…

Amazon Japanを装ったフィッシングメールがEmotetと同規模の脅威に

メールセキュリティに強みを持つセキュリティベンダーProofpointにより、Amazon Japanを装ったフィッシングメールに関する調査記事が公開されました。 Amazon Japanを装ったフィッシングメールは、2020年の8月から10月にかけて増加しており、脅威としてEmotetを配布するメールの規模と同規模にまで成長しているとの内容です。 www.proofpoint.com 本記事では、観測状況と攻撃の特徴についてまとめます。 目次 2020年10月現在の観測状況 どんなメールか？ リンクを開いてしまうと？ 誰に送られる？ フィッシングメールやサイトを見つけたら まとめ 2020年…

NCSCおよびUS-CERTから注意喚起が出されたMicrosoft SharePointの脆弱性(CVE-2020-16952)ついて

英国のNCSC(National Cyber Security Center)より、現地時間の2020年10月16日、Microsoft SharePointの脆弱性(CVE-2020-16952)に関する注意喚起が発行されました。 www.ncsc.gov.uk その後、US-CERTからも同様にして、注意喚起が発行されています。 なお、マイクロソフトはすでにパッチを公開しており、先日の10月の更新プログラムにも含まれていることが確認できます。 https://www.jpcert.or.jp/at/2020/at200038.html https://portal.msrc.microso…

OneDriveやBox、Office文書形式など、攻撃者が利用するサービスについて

米国のセキュリティベンダNetskopeより、攻撃者が利用するサービスについての興味深い記事が公開されました。 www.netskope.com 内容自体、それほどボリュームのあるものではないのですが、ご紹介です。 目次 攻撃者が好むクラウドサービスとは？ インターネット上に晒されているパブリッククラウド マルウェアのファイル形式トレンドは？ まとめ 攻撃者が好むクラウドサービスとは？ 今やマルウェアの配布手段として、全体の50%以上がクラウドサービス経由だとのことです。 以下の図は、COVID-19のパンデミック前後で、悪用されるサービスの傾向がどう変化したかを示しています。 OneDriv…

日本を含む東アジアの企業を狙ったAPTグループBlacktech(Palmerworm)の新たな攻撃

米国のセキュリティベンダーSymantecにより、APTグループPalmerworm(別名BlackTech)の新たな攻撃キャンペーンが観測されました。 symantec-enterprise-blogs.security.com BlackTechによる攻撃については、以前にも当ブログで紹介しました。 BlackTechの説明なども書いているので、併せてご確認ください。 micro-keyword.hatenablog.com 今回の観測では、以前に紹介したPLEADではなく、新たなマルウェアファミリーの利用が確認されたとのことです。 今回は、この辺りの情報について簡単にまとめます。 目次 …

AndroidおよびiOSのInstagramアプリに存在するMozjpeg実装に係る脆弱性について

CheckPointより、 AndroidおよびiOSのInstagramアプリに存在するRCE脆弱性の内容が公開されました。 research.checkpoint.com 当該脆弱性については、2020年2月10日にFacebookよりリリースされたパッチにて修正済みです。 以前にも、Instagramの脆弱性はご紹介しましたが、この時はパスワードリセットの仕組みに問題があり、アカウント乗っ取りができてしまうというものでした。 micro-keyword.hatenablog.com 今回公開されたRCE脆弱性は半年前に修正済みでもありますし、悪用の事実も確認されていないとのことなので、緊…

Magentoで構築されたECサイトを狙った過去最大規模の攻撃について

ECサイトのセキュリティ対策などに強みを持つオランダのセキュリティベンダSansecの発表により、今週末(2020年9月11日~14日)にかけて、Magentoで構築されたECサイトに対する過去最大規模の攻撃が観測されたことが明らかになりました。 sansec.io 本攻撃は、特にMagentoで構築されたECサイトを狙う攻撃グループとして知られるMagecartによる攻撃だとされています。 Magecartについては、過去の記事でも紹介しているので、ご参考にしてください。 micro-keyword.hatenablog.com micro-keyword.hatenablog.com 目次…

PayPayやメルペイは関係ないでいいんだっけ？ドコモ口座の不正送金問題を踏まえた考察

9月8日ごろから話題になっている、「ドコモ口座を悪用した不正送金問題」について、当ブログでも深堀りをしようと思い、まとめることにしました。 www.nikkei.com 以前、7pay事件の際にも、記事を書きましたが、ちょっと似たような空気を感じています。 micro-keyword.hatenablog.com 理由については、記事の最後で書きますが、まずは本題から行きましょう。 目次 まずは不正送金の流れを確認 攻撃者はどうやって暗証番号を入手するのか なぜ自身の銀行口座が他人のアカウントに紐づくのか 攻撃者目線で考えるSMS認証の重要性 SMS認証に対応している決済サービス 銀行口座登録…

WordPressのプラグインFile Managerの脆弱性を悪用した攻撃が確認。70万以上のサイトに影響か。

Wordfenceのブログにて、WordPressのプラグインFile Managerに存在していたゼロディ脆弱性と攻撃の悪用情報が明らかになりました。 wordfence.com 当該脆弱性のパッチは、昨日、2020年9月1日(現地時間)に公開されたとのことですが、アクティブインストールの数も700,000件を超えており、早急なバージョンアップが推奨されています。 当記事では、脆弱性に関する情報と周辺情報をまとめ、公開します。 目次 脆弱性の概要と影響範囲 利用状況と日本ユーザへの影響予測 WordPress運用者へのススメ まとめ 脆弱性の概要と影響範囲 Wordfenceの脅威インテリジ…

WindowsにVisual Studio CodeをインストールしてDjangoの開発環境を快適にしてみた

先日、やってみた系の記事として、Djangoで作ったアプリケーションをAWS Elastic Beanstalkへデプロイする方法をご紹介しました。 今回は、デプロイする前の開発段階で、ローカルのコーディングをより効率化する開発環境のご紹介です。 タイトルですでにお察しかとは思いますがVisual Studio Code、通称VSCodeです！ 今回は、VSCodeの簡単なご紹介とDjangoの開発環境構築チュートリアルをご紹介します。 アプリケーション開発に限らず、HTMLやCSS、Markdownの編集やPythonやRuby、JavaScriptのコーディングにも使えてとても便利なので、…

日本も標的！北朝鮮の攻撃グループ(LazarusおよびBeagleBoyz)による最近の活動

フィンランドに本社を構えるセキュリティベンダーF-Secureの調査レポート、および米国のCISAとFBIと財務省が出した共同注意喚起にて、北朝鮮のサイバー犯罪グループLazarusおよびBeagleBoyzによる攻撃活動が立て続けに明らかになりました。 https://labs.f-secure.com/assets/BlogFiles/f-secureLABS-tlp-white-lazarus-threat-intel-report.pdf us-cert.cisa.gov 後述しますが、このBeagleBoyzというハッキンググループも、活動の共通点などからLazarusの派生組織だと…

コスパ最強！Google Pixel 4aを最速で購入して使ってみた

2020年8月20日、Google Pixelシリーズの最新作Google Pixel 4aを購入しました！ Google Pixel 4aは昨年発売されたGoogle Pixel 4の廉価版モデルなのですが、前作のGoogle Pixel 3aも十分スペックが高く、発表前から高コスパスマホとして注目されていました。 私自身、4年ほど前SIMフリーに移行してからは、中古の端末(Xperia XZ、Xperia XZ1)を使っていたのですが、やはり型落ちした製品だということもあり、あまり満足はしていませんでした。 ただ、今回、発売されたGoogle Pixel 4aが税込み42,900円であるこ…

Dharmaランサムウェアを利用し、日本を含む国々を標的にしたイランのハッカーグループの活動について

シンガポールを拠点に活動する、ロシアのセキュリティベンダGroup-IBのブログにて、イランのハッカーグループに関する活動観測が公開されました。 https://www.group-ib.com/media/iran-cybercriminals/ 本記事では、その概要と関連情報について、まとめます。 目次 攻撃者の目的 標的となった国 攻撃の手法 Dharmaランサムウェアとは まとめ 攻撃者の目的 Group-IBは2020年の6月ごろ、イランのハッカーグループによる攻撃を観測し、それらの攻撃が金銭目的であることを確認しました。 ただ、攻撃の痕跡や利用したツールを見る限り、国家の介入が推定…

AWS Elastic Beanstalkを使ってDjangoアプリをデプロイしてみた(後編)

前回の記事では、クラウドサービスについて、おさらいしつつElastic Beanstalkを使ってみようと思ったきっかけについて、書いてみました。 micro-keyword.hatenablog.com 後編では実際の手順も含めて、ハンズオン形式でご紹介します。 目次 はじめに 実行環境 ローカルで仮想環境をセットアップ Djangoのインストールとプロジェクト作成 Elastic Beanstalkデプロイ前の準備 Elastic Beanstalkにサイトをデプロイ 環境クリーニング まとめ はじめに アプリケーション作成のフレームワークは正直何でもよかったのですが、私自身アプリケーショ…

AWS Elastic Beanstalkを使ってDjangoアプリをデプロイしてみた(前編)

読者の皆様の中には、システムやアプリ開発でAWSを使って実装している方も多いかと思います。 私自身も、スクラップ&ビルドでいろいろなシステムやアプリを作っています。 いずれも、趣味の範囲でやっているものなので、どれも作り込みは甘く、文字通りスクラップしているようなことが多いです(笑) そんな中、なぜAWSを活用するようになったか、そして、今回、AWS Elastic Beanstalkを使ってみてどう感じたか、簡単に書いてみようかと思います。 目次 そもそもAWSってなに？ クラウドサービスとは IaaS、PaaS、SaaSとは？ 勉強目的で使うAWSの利点と欠点 自身の端末のリソースを食いつ…

Alexaの脆弱性と悪用の方法について

セキュリティベンダーのCheckPointより、Alexaの脆弱性を悪用した攻撃手法の解説記事が公開されました。 research.checkpoint.com 脆弱性自体は、すでにAmazonによって修正済みだとのことですが、脆弱性がどういうものでどういった攻撃手法が使われたのかという点は、今後IoTデバイスと呼ばれる機器に起こりうる脅威を知る良いきっかけになると思うので、簡単にまとめてみます。 目次 脆弱性の概要とユーザへの影響 攻撃の流れ まとめ 脆弱性の概要とユーザへの影響 CheckPointの研究者によると、AmazonおよびAlexaが利用するサブドメインにCORS(Cross-…

コロナ太り解消！若手社会人が自粛期間を利用して無理なく6キロ落とした話～メンタル編～

シリーズものとして書いている「コロナ太り」に対抗するためのダイエット記事について、今回は最終回「メンタル編」です。 おさらいとして、私自身、5月2日から7月23日の約1か月半で体重を約6.3kg(62.7kg→56.4kg)減らすことに成功しました。 ダイエットの経緯や減量後に感じたメリットなどや食事法、運動のコツについては、これまでの記事を参考にしていただければと思います。 それでは、メンタル編、スタートです。 目次 ダイエットってきついよね コツは人生を少しだけハッピーに過ごしてみること 楽しみ方のご提案 習い事のススメ 環境を整えてみる 自宅に用意する3種の神器 おすすめの書籍など それ…

朝鮮系攻撃グループDarkHotelが悪用した可能性のあるMicrosoftの脆弱性CVE-2020-1380について

本日2つの情報が公開されました。 1つ目は2020年8月11日(現地時間)のPatch Tuesdayで公開された、悪用の事実を確認済みの脆弱性CVE-2020-1380およびCVE-2020-1464について。 こちらは、US-CERTからも注意喚起が出されています。 us-cert.cisa.gov Patch Tuesdayというのは、当ブログでも何度か紹介していますが、Microsoft製品のセキュリティ更新プログラムが配信される毎月第2火曜日(現地時間)のことです。 2つ目は、2020年8月12日(現地時間)に公開された、Kasperskyの攻撃観測記事です。 securelist.…

コロナ太り解消！若手社会人が自粛期間を利用して無理なく6キロ落とした話～運動編～

シリーズ物として書いている「コロナ太り」に対抗するためのダイエット記事について、今回は「運動編」です。 おさらいとして、私自身、5月2日から7月23日の約1か月半で体重を約6.3kg(62.7kg→56.4kg)減らすことに成功しました。 ダイエットの経緯や減量後に感じたメリットなどや食事法については、前回、前々回の記事を参考にしていただければと思います。 それでは、運動編、スタートです。 目次 やせるための運動とは 代謝を上げることの重要性 筋トレで体型が変わるのは嫌だ 自宅でできるシンプル筋トレメニュー 部分痩せってできるの？ 効果的な有酸素運動 超回復の重要性 実際の運動メニュー まとめ…

コロナ太り解消！若手社会人が自粛期間を利用して無理なく6キロ落とした話～食事編～

コロナ太り解消！若手社会人が自粛期間を利用して無理なく6キロ落とした話～食事編～ 前回の記事にて書いた「コロナ太り」に対抗するためのダイエット記事について、今回は「食事編」として、記事を書きます。 おさらいとして、私自身、5月2日から7月23日の約1か月半で体重を約6.3kg(62.7kg→56.4kg)減らすことに成功しました。 ダイエットの経緯や減量後に感じたメリットなどは、前回の記事を参考していただければと思います。 micro-keyword.hatenablog.com それでは、食事編、スタートです。 目次 やせる食事法とは 食べていいものダメなもの 日本人の主食白米について 調理…

コロナ太り解消！若手社会人が自粛期間を利用して無理なく6キロ落とした話～モチベーション編～

コロナ禍において、外出自粛や在宅ワークが推奨される中、筆者も家から出ない生活が続き、案の定「コロナ太り」しました。 厳密にいうと、社会人5年目あたりから、つまりアラサーに突入してから、学生の頃より太ってきたなと感じたのは事実ですが。。 そして、緊急事態宣言が出た、5月2日に体重を計測したところ、ここ数年間での最高値62.7kgを記録してしまいました。 そこで、ダイエットを決意し継続したところ、7月23日に現在56.4kgを記録し、6kg強の減量に成功しました！ 自分自身で決めた目標に向けて頑張っていただけなので、単純にうれしかったというのが率直な感想ですが、冷静に考えてみると、実はすごいんじゃ…

【更新】北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAについて

Kasperskyのブログにて、北朝鮮のサイバー犯罪グループLazarusとの関連が想定されるマルウェアフレームワークMATAの調査内容が公開されました。 securelist.com 同マルウェアフレームワークは2018年4月に確認されており、ペイロードを取得するローダー、追加モジュールの取得や事項を行うオーケストレータなどが含まれており、Windows版、Linux版、macOS版が存在するとのことです。 本記事では、同フレームワークの概要について、調査記事を参考に記載します。 目次 MATAフレームワークへの感染地域 攻撃者の狙い Lazarusとの関連 Windowsバージョン Lin…

Emotetへの感染を試みる活動が5か月ぶりに確認された件

Twitterなどを中心に話題になり始めていますが、Emotetへの感染を試みる活動が5か月ぶりに確認されました。 セキュリティベンダMalwareBytesからも活動再開について、ブログ記事として公開されています。 blog.malwarebytes.com 5か月前というと、当ブログでは以下の記事が、直近の活動として該当します。 micro-keyword.hatenablog.com micro-keyword.hatenablog.com 2020年2月16日に当ブログで公開した「Wi-Fi経由でEmotetに感染させる攻撃手法について」の情報ソースであるBinary Defenceの…

SIGRed（CVE-2020-1350）WindowsDNSサーバーのRCE脆弱性について

Microsoft Security Response Centerより「Windows DNS サーバの脆弱性情報 CVE-2020-1350 に関する注意喚起」が発行されました。 msrc-blog.microsoft.com 当該脆弱性については、報告元であるCheck Pointより、SIGRedと命名されています。 research.checkpoint.com CVSSにて基本スコア10.0となっている当該脆弱性について、海外のブログやWebニュースでも広く取り上げられていたので、本記事でもまとめてみます。 目次 影響を受ける製品とその影響 脆弱性の対応策 まとめ 影響を受ける製品…

ロシアのサイバー犯罪グループCosmic LynxによるBEC活動の観測について

Eメールセキュリティにおいて強みをもつ、米国のセキュリティベンダーAgariより、ロシアのサイバー犯罪グループCosmic Lynxの活動に関するブログ記事が公開されました。 https://www.agari.com/email-security-blog/cosmic-lynx-russian-bec 本記事では、Agariの見解を踏まえつつ、Cosmic LynxおよびBECの近況についてご紹介します。 目次 BECに関する注意喚起と過去の大きな被害について BEC脅威は拡大傾向 Cosmic Lynxの活動 Cosmic Lynxの手口 まとめ BECに関する注意喚起と過去の大きな被害…

Torを使ったサイバー攻撃の戦術とその対策案

US-CERTより、FBIとの共同寄稿として、Torを使ったサイバー攻撃の戦術およびその対策案についてのアラートが発行されました。 www.us-cert.gov 本記事では、US-CERTの記事を中心として、Torについて、また、最近何かと話題のATT＆CKについてご紹介しつつ、解説していこうと思います。 目次 まずTorについて Torのアクセスはたどれないの？ Torを利用した攻撃の戦術 ATT&CKとは Torを用いた悪意のある活動 Torを利用した攻撃のへの対応策 ExitノードのIPアドレスを用いた検知 Torを用いた通信の特徴を踏まえた検知 具体的な防御策 まとめ まずTorにつ…

Trickbotを起点にCobaltStrikeを活用した潜入活動を行う攻撃手法について

米国のセキュリティベンダーSentinelOneより、Trickbotのオペレータの攻撃手法に関する興味深い記事が公開されていましたので、ご紹介します。 labs.sentinelone.com 最初の章でご紹介しますが、Emotet→Trickbot→Ryukの流れでの感染拡大は、昨年末の日本でも広く確認されました。 今回のパターンでは、Trickbotに感染した後の話が書かれていますが、今回の記事で紹介されたanyrun上の検体をVirusTotalで確認した時の検知名がEmotetになっていることからも、おそらく、昨年の活動で用いられた検体である可能性が高いです。 https://app…

アプリケーションのエラーログを装ったファイルを用いる攻撃手法について

Huntress Labsという米国のセキュリティベンダが公開するブログ記事にて、興味深い攻撃手法が公開されました。 https://blog.huntresslabs.com/hiding-in-plain-sight-556469e0a4eblog.huntresslabs.com 私自身、当該組織については、良く知らなかったのですが、先日のRSA Conference 2020でも出展されていたようです。 https://www.rsaconference.com/usa/us-2020/expo-and-sponsors/huntress-labswww.rsaconference.c…

Windows版Facebook Messengerにてバックドアを実行できる脆弱性について

Reason Cybersecurityが公開するブログにて、「Facebook Messengerデスクトップアプリを使用した永続化手法」という題で、Windows版Facebook Messengerの脆弱性についての情報が公開されました。 blog.reasonsecurity.com このReason Cybersecurityという企業は、創業者でありCTOのAndrewが、2004年にWindowsに買収されのちのWindows Defender開発に寄与したとされる、GIANT Company Softwareの共同創業者ということで知られているようです。 www.reasons…

ホンダへのサイバー攻撃にSNAKEランサムウェアが使われた可能性

ホンダは6月9日、社内システムで起きた障害の発生により、メール、ファイルサーバ、業務システムに接続できない状況であることを明らかにしています。 www.asahi.com www3.nhk.or.jp xtech.nikkei.com www.itmedia.co.jp 障害は6月8日の午前中から発生しており、当初は国内工場の端末から検査システムなどへのアクセスもできない状況だったとのことです。 その影響により、国内工場での出荷が一時できなくなり、8日の午後になるまで国内の3工場すべてで出荷を停止していたとのことです。 その後、6月9日午前の段階で、検査システムなどへの国内工場からのアクセスに…

<続編>テレワークへの影響調査を眺めていろいろ考えてみた

今回の記事もサイバーセキュリティはほとんど関係ないので悪しからず。 今回の記事も前回の続きになります。 micro-keyword.hatenablog.com ※本記事は、パーソル総合研究所「新型コロナウイルス対策によるテレワークへの影響に関する緊急調査」を参考に執筆しています。 rc.persol-group.co.jp https://rc.persol-group.co.jp/research/activity/files/telework.pdf 目次 3蜜回避のための取り組みについて 企業ごとの差異 テレワークを実施しない理由 テレワークの課題とは まとめ 3蜜回避のための取り組み…

テレワークへの影響調査を深読みしてみた

今回の記事はサイバーセキュリティにほとんど関係ないです！あしからず。 少し前の記事にはなってしまうのですが、2020年4月17日にパーソル研究所が公開したテレワークに関する調査結果がとても興味深かったので、個人的にまとめてみました。 セキュリティ関係ないので記事にするかどうかは悩んだのですが、せっかくなので公開しようと思った次第です。 そして、書いていくうちに、ボリュームが大きくなってしまったので、今回は、昨今米国の事件で話題になっている格差とも絡めつつまとめていきます。 ※本記事は、パーソル総合研究所「新型コロナウイルス対策によるテレワークへの影響に関する緊急調査」を参考に執筆しています。 …

産業制御システム(ICS)製造企業を狙った標的型攻撃の観測について

カスペルスキーのICS-CERTより複数の国の産業制御システム製造企業を狙った標的型攻撃に関する記事が公開されました。 ics-cert.kaspersky.com カスペルスキーによると2020年5月上旬の時点で、日本、イタリア、ドイツ、イギリスで攻撃が確認されていることが確認されています。 本記事では、攻撃の手法を掘り下げつつ、まとめます。 目次 感染はフィッシングメールから メールに添付されたExcelファイル まとめ 感染はフィッシングメールから 標的型攻撃の起点となるのは、攻撃者より送られるフィッシングメールであることが確認されています。 このフィッシングメールは、近頃流行りのばらま…

OSINT実践～Kaspersky2020年1Q脅威レポートを見て～

現地時間の5月20日(水)、KasperskyのサイバーセキュリティブログSecurelistにて、2020年1Qの統計レポートが公開されました。 securelist.com securelist.com レポート中には、日本での活動が最も活発だった攻撃観測がありました。(なんとなく察しが付く方も多いとは思いますが) 今回は事実確認も含め、いろいろと調べてみたので、その調査方法などが参考になればと思い、記事にまとめてみました。 新卒でセキュリティ業界に配属された方もいるかと思うので、良い事例として活用いただけると、ありがたいなーと思っています。 目次 2020年1Qも宅配便業者を装った攻撃が…

在宅勤務の増加に伴うRDPの悪用を試みる攻撃の増加

COVID-19の影響で世界中の企業が在宅勤務など、リモートワークを急速に普及させています。 その中でも最も容易な手法として挙げられるのが、Windows製品で主に用いられるRDPです。 ポート番号3389で利用されるRDPですが、急速に利用をし始めた企業や個人が多いためか、企業VPNなどを介さずに、直接インターネットからアクセスできる状況になっているユーザが多数存在すること。 そして、攻撃者がその公開されたRDPを狙う活動が活発化していることが、セキュリティベンダーより確認されています。 そしてその観測はロックダウンが本格化してきた2020年3月以降に顕著に表れているとのことです。 今回は、…

GWに確認されたWordPressの脆弱性と攻撃観測について

みなさんGW、というよりSTAY HOME週間はいかがお過ごしだったでしょうか。 私もおうち時間を過ごしていたんですが、長年見ずにいた「タイタニック」と「ショーシャンクの空に」を見ることができました。 こういった話を見ると、危機管理だったり機転だったりセキュリティに通じる何かを感じることがあるのかなーと、勝手に思っていました。 さて話変わって、早速本題ですが、当ブログでも時々紹介しているWordfenceのブログにて、WordPressの主にプラグインに係る脆弱性の情報が複数公開されました。 普段であれば、静観することが多いのですが、後述の通り、今回は「短期間での攻撃の急増」、「広い影響範囲」…

Shadeランサムウェアが運用を停止。75万以上の復号鍵が公開される

Shadeランサムウェアを用いた攻撃を行っていたとみられるオペレータチームよりShadeランサムウェアの復号鍵がgithubにて公開されました。 github.com 本件について、これまでのShadeランサムウェアの活動等も振り返りつつまとめていきます。 目次 Shadeオペレータの声明 Shadeランサムウェアのこれまで まとめ Shadeオペレータの声明 公開されたgithubにて、Shadeランサムウェアのオペレータは以下のように述べています。 Shade、Troldesh、Encoder.858として知られるランサムウェアの作成チームである これらは同じランサムウェアを指すとみられる…

GIFを表示しただけなのに~Microsoft Teamsの脆弱性を用いたアカウント乗っ取り~

イスラエル発のセキュリティベンダーCyberArkのブログ記事によると、GIF形式の画像ファイルにかかる脆弱性がMicrosoft Teamsには存在し、アカウント乗っ取りの危険性があることが明らかになりました。 www.cyberark.com COVID-19の影響でWeb会議用アプリを使い始めた方も多いと思います。 企業のセキュリティ担当者の方を中心に本記事をご参考にしていただけると幸いです。 目次 修正バージョンの公開 脆弱性の概要 社外からTeamsアクセスの可能性について まとめ 修正バージョンの公開 本件に関して、すでに4月20日(現地時間)にパッチが公開されているとのことです。…

国家が支援するハッキンググループによる標的型攻撃の動向(COVID-19関連)

先日の記事にてCOVID-19をテーマにしたサイバー攻撃を取り上げましたが、これらの攻撃の裏で、国家の後ろ盾があると考えられるハッキンググループによる標的型攻撃に関する観測結果が公開され始めています。 一つは、Googleの脅威分析グループ(TAG)による調査結果です。 www.blog.google もう一つは、FireEyeの調査結果です。 www.fireeye.com これらの攻撃観測に関しては、政府や企業における特に機密性の高い情報が狙われることも多いためか、多くの情報が開示されることは少ないです。 そのため、限られた情報にはなりますが、ベンダが公表している内容をベースに現状をまとめ…

iPhoneやiPadのメール機能にゼロディ脆弱性攻撃が確認されている件

米国のセキュリティベンダーZecOpsよりiPhoneにデフォルトでインストールされているメールアプリの脆弱性に関する記事が公開されました。 blog.zecops.com 本件、すでに標的型攻撃での悪用が確認されていること。 そして、後述の通り、日本のキャリアの重役を標的にしていたということを踏まえ、まとめていきます。 目次 脆弱性の概要 影響を受けるバージョン 攻撃観測について 攻撃のしくみ 脆弱性悪用時の異常動作 ゼロクリック攻撃について まとめ 脆弱性の概要 ZecOpsより、今回の脆弱性に関して、わかりやすい図があったので、まずは簡単に。 iOS 6以降のバージョンに影響 Apple…

COVID-19をテーマに政府や医療機関を狙ったサイバー攻撃の観測について

PaloAlto社の脅威インテリジェンスチームUnit42の提供するブログにて、新型コロナウィルスCOVID-19をテーマにしたサイバー攻撃に関する観測内容が公開されました。 unit42.paloaltonetworks.com 同記事では、ランサムウェア攻撃と情報窃取マルウェアAgentTeslaの攻撃について、紹介されています。 以前より、新型コロナウィルス関連のサイバー攻撃については記事にしてきましたが、実際の被害状況や注意喚起が目立つようになってきたことも踏まえ、まとめてみます。 以前に公開した記事としては以下の3点になりますので、ご参考まで。 micro-keyword.haten…

HP製Windows端末を脅かすHP Support Assistantの脆弱性

米国のロチェスター工科大学に在学中だとされる18歳の学生が執筆するブログにて、興味深い脆弱性の調査結果が明らかになりました。 脆弱性の解説だけでなく検証動画の公開もあり内容も非常に充実しています。 d4stiny.github.io 10代でここまでしっかりっした文章が書けて、体系立てた検証ができると知ると、国籍こそ違いますが、私たちにとっても。よいモチベーションになりますね。 ちなみにこのDemirkapiさんは、昨年にもDellのサポートソリューションDell SupportAssistに関する脆弱性を発見した実績がある方でした。 forest.watch.impress.co.jp では…

Zoomを使っても大丈夫？セキュリティ観点でどんな問題があったのか

昨今の新型コロナウィルスの影響による在宅ワークの推奨を受けて、ビデオ会議ツールの利用が進んできています。 その中でも利便性含め、多くの組織で使われ始めているソフトウェアがZoomです。 ただこのZoom、セキュリティ感度の高い方々からは、そのセキュリティ上のリスクについて連日話題になり始めていることにお気づきかと思います。 諸々の脆弱性については、随時対処していることをZoom側が公表しており、少しずつ改善されている様子です。 ただ、これまでにどのような問題が存在したのか、そして、今後もZoomを使い続けて問題ないかという点で不安を抱える方もいるかと思いますので、本記事にて、大まかにまとめてみ…

GoogleDriveを悪用したRaccoonなどへの感染活動が日本に影響

ここ数日のうちにZscalerおよびTrendMicroが情報窃取マルウェアを用いた感染活動に関する記事を公開しました。 www.zscaler.com blog.trendmicro.com いずれの記事でも特徴的なのはGoogleDriveを悪用している点と、日本へ比較的大きな影響を与えている点です。 TrendMicroの記事では、Google Cloud Servicesという表現を用いている箇所も複数みられるので、可能性としては、GoogleDrive以外のサービスにもつながっている可能があります。 ただ、文中で、「GoogleDriveのURLに接続して、C&Cサーバを復号化。形式…

ギフトカードとともに郵送されるUSBによるマルウェア感染活動

米国のソフトウェア会社Trustwave社よりソーシャルエンジニアリング攻撃に関する、興味深い記事が公開されていたのでまとめてみます。 www.trustwave.com 目次 攻撃者から送られてくるギフトカード USBを挿すとどうなるか まとめ 攻撃者から送られてくるギフトカード 以下の画像をご覧ください。 BESTBUYという米国の家電量販店より、手紙とギフトカード、そして、銀色のUSBカードが届いている様子がわかります。 BESTBUYは日本でいうところのヤマダ電機みたいな感じですかね。 手紙の内容には、長年のご愛顧に感謝し、ギフトカードをお送りします。 対象となる商品のリストは、USB…

APT41によるCitrixやCisco、ZOHO製品の脆弱性を悪用した攻撃観測

攻撃グループWinntiグループとの関連性が強いとされるAPT41の攻撃観測について、FireEyeよりブログ記事が公開されました。 www.fireeye.com 2020年になってからの1月20日から3月11日の期間に、Citrix ADCおよびNetScaler GatewayやCisco routers、Zoho ManageEngine Desktop Centralといった製品の脆弱性をついた攻撃がFireEyeの顧客において観測されたとのことです。 APT41の概要およびその定義については、FireEyeが昨年レポートを公開しているので、ご参考までにご活用ください。 https:…

WindowsにおけるAdobe Type Manager LibraryのRCE脆弱性について

Microsoftより現在サポート対象となっている全てのWindows製品に影響しうる脆弱性についてのアドバイザリが公開されました。 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV200006 マイクロソフトによると、当該脆弱性は、限定的な標的型攻撃において悪用が確認されているとの事です。 今回の脆弱性はatmfd.dllと言う名のAdobe Type Manager Libraryに起因するものだとの事です。 本脆弱性に関しては、US-CERTおよびCERT/CCからも注意喚起が公開されています。 …

Windows10などで用いられるファイル共有プロトコルSMBv3の脆弱性について

本日は、Patch Tuesdayと呼ばれるMicrosoft製品のセキュリティ更新プログラムが配信される日です。 毎月第2火曜日は、この日に該当するのですが、日本では、時差の関係で第2水曜日または第3水曜日になります。 そんな本日、極めて極めて影響度の高い脆弱性に関する情報が公開されました。 https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/adv200005 2020年3月11日21時45分の現時点では、まだ、日本語ページでも本文が翻訳されていない状況です。 今回のリリースは、簡潔に伝えると、Wannacr…

ZOHOが提供する統合管理ソフトManageEngine Desktop CentralのRCE脆弱性について

SaaSで提供するWebアプリケーションベンダであるZOHOが提供するManageEngine Desktop Centralにて、遠隔の第三者が認証なしにリモートコード実行を行える脆弱性が公開されました。 https://www.manageengine.com/products/desktop-central/remote-code-execution-vulnerability.html NVD - CVE-2020-10189 本脆弱性に関しては、US-CERTからも注意喚起が公開されています。 www.us-cert.gov 目次 脆弱性の概要 影響を受けるバージョン 修正バージョン…

米国CIA関連のAPT-C-39による中国へのサイバー攻撃について

米国と中国は、米中貿易戦争と呼ばれるほど、貿易面において対立を続けていますが、サイバー攻撃においても例外ではありません。 つい先日の2月中旬にも、Equifaxへのサイバー攻撃の件で、中国の人民解放軍第54研究所のハッカー4名を訴訟しました。 www.bbc.com サイバー攻撃においては、中国から米国への攻撃という構図をよく目にしている気がしています。 しかし今回はその逆で、米国から中国へ、それも、米国のCIAが攻撃を行なっているとのブログ記事が、中国のセキュリティベンダー奇虎360(Qihoo 360)によって公開されました。 blogs.360.cn 目次 APT-C-39による諜報活動…

脆弱性Ghostcat(Apache Tomcatの脆弱性CVE-2020-1938) の脅威について

Webアプリケーションの開発などでよく用いられるJavaの実行環境ソフトウェアApacheTomcatにおいて、 脆弱性の実証コードが多数確認され、誰でも簡単に実行可能な状態であることが明らかになっています。 記事のタイミングが遅くなってしまいましたが、依然、脅威度は高いと思いますので、公開します。 目次 何が問題なの？ 脆弱性の実証コードが公開されている 脆弱性の該当箇所がデフォルトで有効になっている 影響範囲が広い 脆弱性悪用の例 脆弱性の修正プログラム 【ご参考】専門機関からの注意喚起 何が問題なの？ 脆弱性の実証コードが公開されている ソースコード共有サイトGithub上にすでに多数の…

商用ツールRecoms RATを利用した新型コロナウィルス対策を装うマルウェアについて

CoronaVirusSafetyMeasures_pdf.exeという名前、つまり「コロナウイルス安全対策」という名前のファイルを用いて、標的の端末にRemcos RATとマルウェアペイロードをダウンロードさせようとする攻撃活動が観測されています。 本攻撃の観測は、ヨーロッパのMSSP(Managed Security Service Provider)であるYoroiというベンダーのブログにて公開されました。 blog.yoroi.company 目次 マルウェアの動作 オンラインファイル共有ストレージの利用 Remcos RATの実行 キーボード入力情報の窃取 商用ツールRecoms R…

ランサムウェアDoppelPaymerによるリークサイトの開設

セキュリティ情報サイトBleepingComputerによると、ランサムウェアDoppelPaymerの運営者が、身代金の要求に応えなかった被害者のファイルを公開するための専用サイトの開設を確認したとのことです。 www.bleepingcomputer.com 今回はこの件について、簡単にまとめます。 目次 確認されたリークサイト DoppelPaymerとは 過去に確認された同様の手法 まとめ 確認されたリークサイト 今回確認されたリークサイトはこのようなものです。 DoppelPaymerのオペレーターによると本サイトはテスト段階であるとのことで、BleepingComputerは伝えら…

WinntiとAPT27に関連が想定されるハッカー集団DRBControlについて

セキュリティベンダーのトレンドマイクロより、ハッカー集団DRBControlに関するレポートが公開されました。 www.trendmicro.com https://documents.trendmicro.com/assets/white_papers/wp-uncovering-DRBcontrol.pdf トレンドマイクロがDRBControlと名付けたこのグループは、調査の結果、中華系の標的型攻撃グループとして有名なWinntiおよびAPT27との関連が見られるとのことで、本レポートでは言及されていました。 当該内容に触れつつ、まとめた内容を記載します。 目次 DRBControlの概…

スマートデバイスをBluetooth経由で第三者が操作できてしまう脆弱性SweynToothについて

シンガポール工科デザイン大学（Singapore University of Technology and Design）学者より、Bluetoothを実装するデバイスに影響を及ぼす脆弱性が公開されました。 https://asset-group.github.io/disclosures/sweyntooth/sweyntooth.pdf 併せて、専用のサイトも公開されています。 ASSET Research Group: SweynTooth このレポートでは、Bluetooth Low Energy（BLE）通信を実装するSoC(System on a Chip)における脆弱性について、…

Wi-Fi経由でEmotetに感染させる攻撃手法について

昨年8月ごろからの活動再開以降、Emotetを利用したサイバー攻撃が多数確認されています。 以下はその当時作成した記事になります。 micro-keyword.hatenablog.com つい昨日、セキュリティベンダーのCheckPointが公開したマルウェアレポートでも、2020年1月に最も影響を及ぼしたマルウェアとしてランク付けされています。 blog.checkpoint.com 先日別途作成した記事の通り、最近では新型コロナウィルスと関連付けた検体も確認されています。 micro-keyword.hatenablog.com そんな、Emotetですが、主要なメール経由ではなく、Wi…

新型コロナウィルス関連のサイバー攻撃まとめ

不謹慎というべきか、先述した内容や以前紹介した記事の通り、新型コロナウィルスに関連した攻撃が複数観測されています。 これまでにブログで紹介したものを含め、本記事に整理してみました。 目次 Emotetへの感染 フィッシングメール NanocoreRATへの感染 フィッシングメール 詐欺サイト SMSを使ったマルウェア感染 Emotetへの感染 本件は、以前まとめたものがあるので参照してみてください。 micro-keyword.hatenablog.com Parallaxへの感染 本件もちょうど先ほど書いた記事があるので、ご参考にどうぞ micro-keyword.hatenablog.co…

新型コロナウィルスに関連で用いられるマルウェアParallaxについて

新型コロナウィルスに関連したサイバー攻撃が次々と観測され始めています。 以前Emotetについても触れましたが、 micro-keyword.hatenablog.com 今回は新たにハッカーフォーラムで流通しつつあるマルウェアParallaxについてご紹介します。 目次 Parallaxの発見 ハッカーフォーラム上での売買 Parallaxが提供する機能 スパム経由でのParallax配布 新型コロナウィルス関連を偽装 見積書への偽装 画像共有サイトImgurの画像を用いたステガノグラフィによるもの Parallaxが紐づく攻撃インフラ まとめ Parallaxの発見 マルウェアParall…

Bitbucketを利用してさまざまなマルウェアを落としてくる攻撃について

Bitbucketを利用した、特徴的な攻撃について、Cybereasonのブログにて公開されました。 www.cybereason.com この攻撃では、「ランサムウェア」、「Stealer」、「コインマイナー」など、さまざまな種類のマルウェアが、Bitbucketを通して、展開されます。 新たな攻撃の手法として、特徴的だったので、本記事でまとめてみます。 目次 Bitbucketとは マルウェア配布の流れ それぞれのマルウェアの挙動 Azorult Predator STOPランサムウェア Vidar コインマイナーEvasive まとめ Bitbucketとは ソフトウェア開発を行っている…

Winntiグループによる香港の大学を狙った標的型攻撃について

2020年1月31日、セキュリティベンダのESET社のブログにて、Winntiグループによる香港の大学を狙った標的型攻撃に関するブログ記事が公開されました。 www.welivesecurity.com 今回の攻撃キャンペーンにおける標的は香港の大学でしたが、当該グループは過去に日本の組織を狙った攻撃も行っています。 そのため、過去分も掘り下げつつ、Winntiグループについて、まとめていきます。 目次 香港の大学を対象にした攻撃 Winntiグループの過去の攻撃 日本を含むゲーム業界への攻撃 CCleanerにバックドアを埋め込んで悪用した攻撃 ASUS Live Updateを利用した攻撃…

新型肺炎に関する内容を装ったEmotetの感染活動

新型コロナウィルスに関連した肺炎患者について、増加の一途をたどっています。 1月29日時点で、中国の保健当局の発表によると、患者数は7711人、死者は170人だとのことです。 www3.nhk.or.jp 日本にチャーター機で帰国した日本人のうち3名が、新たに新型コロナウィルスへの感染を確認されているとのことです。 www3.nhk.or.jp そんな中、きわめて不謹慎なスパムメールが観測されています。 www.bleepingcomputer.com exchange.xforce.ibmcloud.com スパムメールはマルウェアEmotetを配布するもので、昨年の秋ごろから活動が再開され…

東京オリンピックの転売サイトを使ったサイバー犯罪集団MageCartの情報窃取活動

ついに東京五輪の開幕まで、ちょうどあと半年になりましたね。 巷では、サイバー攻撃が話題になっていますが、標的型攻撃となってくるとなかなか防ぐのは難しいもので。。。 個人的には、むしろ起こってしまった後の避難訓練のようなものが重要になってくると、思っています。 2人のセキュリティリサーチャーによる調査結果 さて、そんな東京五輪に関する話題ですが、サイバー犯罪集団MageCartが五輪チケットの転売サイトを通じて情報窃取活動を行っているとの調査ブログが公開されました。 www.goggleheadedhacker.com ところでこの記事は2020年1月25日付ですが。。。 未来。。。 少し信ぴょ…

ランサムウェアFTCODEについて～ChromeやFirefoxに保存された認証情報の取得を試みる～

米国のセキュリティベンダZscalerより、ランサムウェアFTCODEに関する観測記事が公開されました。 www.zscaler.com 本ランサムウェアはイタリア語圏のユーザを対象としているものの、その機能が、情報を暗号化するだけでなく、情報窃取も行うものであり、興味深かったので、読み解いてみました。 FTCODEについて 作成言語 Powershell 攻撃の対象だと考えられるユーザ層 イタリア語圏 これまで、FTCODEは文書ファイルに含まれるマクロを実行することで、ダウンロードされていました。 そして、今回の、最近の活動では、VBScriptsを利用し、Webサイト経由でダウンロードさ…

社会人5年目の20代が大手SIerからWeb系企業へ転職を決めたときの話

大手電機メーカーのSIerに入社して、4年9か月。 現在の企業を退職し、新しく別の会社に入社することを決意しました。 転職先はWeb系の企業。 システムを作って納める立場から、システムを運用する立場への変化です。 転職を決断した理由と、今後どんな人生を歩んでいきたいか。 約半年間、考えた内容は、他の誰かにも役に立つものと思い、今回文章に起こすことにしました。 目次 これまでの経歴 転職を考えたきっかけ 今の企業でのキャリアを模索 コストセンターとプロフィットセンター 人月という考え方 私が感じたコストセンター そもそも部署異動をすることについて 自分は今後何になりたいか なりたい人物像と必要な…

Tiktokが抱える色々な問題について(XSS,CSRF脆弱性など)

Tiktok みなさん一度は耳にしたことがあると思います。 若者に大流行！ と言われているくらいなので、使っていない私はもう若者ではないのかも。。。 と今更ながら思っている悲しみ。。。 少し調べてみると、こんな記事が diamond.jp 記事によると、TiktokはFacebook、Twitter、Instagramに並ぶ世界的SNSになろうとしているようです。 確かに、MMD研究所が示す資料を見てもTiktokも徐々に利用率を伸ばし始めていることが示されていますね。 webtan.impress.co.jp 先ほどの、ダイアモンドの記事では、Facebook、Twitter、Instagr…

Firefoxの脆弱性(CVE-2019-17026)について

現地時間の1月8日、Firefoxの脆弱性に関する修正バージョンFirefox 72.0.1 and Firefox ESR 68.4.1が公開されました。 www.mozilla.org 本バージョンの公開は、前日の1月7日に、Firefox72およびFirefox68.4が出た直後の出来事であり、 背景として、今回の修正された脆弱性を悪用した攻撃がすでに観測されていることが関係あると考えられます。 Security Vulnerabilities fixed in Firefox 72 — Mozilla Security Vulnerabilities fixed in Firefox …

【保存版】2泊4日クアラルンプール一人旅

先日、有給休暇の消化のため、クアラルンプールに一人旅をしてきました。 サイバーセキュリティが1ミリも関係なくて申し訳ないです。。。 備忘録がてら書いてみたので、ご参考まで。 プライベートでの一人旅は初めてだったのですが、いろいろな発見があったので、 メモ代わりに記載しておきます。 なお、本記事は2019年12月29日時点の情報です。 あらかじめご了承ください。 目次 旅のスケジュール 事前準備 LCCエアアジアに乗ってみて マレーシアの通信環境 移動手段について キャッシュレス事情について 食事について トイレ事情 ホテルについて 天気&服装 観光の注意点 まとめ おまけ(ポケモンGOでコータ…

経済産業省を装うフィッシング攻撃の観測レポートについて

Thread Intelligence のプラットフォームを提供することで知られているAnomali社より、政府系の調達機関を装い認証情報を窃取しようとする攻撃に関するレポート記事が公開されました。 www.anomali.com 記事中で述べられている調達機関は、買い手と売り手を結びつける組織だと定義されています。 目次 どの国の組織を装うか 攻撃者が用意するサイトと証明書 フィッシングサイトと攻撃インフラのマッピング 攻撃者の狙いと現状 フィッシング攻撃の観測について(国内) どの国の組織を装うか 今回、攻撃者がフィッシングサイトを装った対象として、米国の機関が50件以上で最も多かったよう…

経済産業省を装うフィッシング攻撃の観測レポートについて

Thread Intelligence のプラットフォームを提供することで知られているAnomali社より、政府系の調達機関を装い認証情報を窃取しようとする攻撃に関するレポート記事が公開されました。 www.anomali.com 記事中で述べられている調達機関は、買い手と売り手を結びつける組織だと定義されています。 目次 どの国の組織を装うか 攻撃者が用意するサイトと証明書 フィッシングサイトと攻撃インフラのマッピング 攻撃者の狙いと現状 フィッシング攻撃の観測について(国内) どの国の組織を装うか 今回、攻撃者がフィッシングサイトを装った対象として、米国の機関が50件以上で最も多かったよう…

米国がロシアのハッカー組織に訴訟～マルウェアDridexとは～

現地時間の2019年12月5日にUS-CERTよりマルウェアDridexに関する注意喚起が公開されました。 www.us-cert.gov Dridex自体は2014年に発見されて以降、広く観測されています。 本注意喚起の発行背景としては、開発と配布に関与が確認されているハッカー組織に対する訴訟によるものだと考えられます。 一連の訴訟について 米国財務省の出したプレスリリースは以下に掲載されています。 Treasury Sanctions Evil Corp, the Russia-Based Cybercriminal Group Behind Dridex Malware U.S. D…

ハッカー集団Tickによる日本のシンクタンクや広告代理店を狙った標的型攻撃について

2019年11月29日にトレンドマイクロのブログにて、ハッカー集団Tickの活動についての記事が公開されました。 https://blog.trendmicro.com/trendlabs-security-intelligence/tag/operation-endtrade/ https://documents.trendmicro.com/assets/pdf/Operation-ENDTRADE-Tick-Multi-Stage-Backdoors-for-Attacking-Industries-and-Stealing-Classified-Data.pdf 本活動は、Operat…

ストーカーウェアについてUS-CERTが注意喚起～情報窃取型マルウェアの現状～

米国の情報セキュリティ対策組織US-CERTより、2019年10月23日(現地時間)ストーカーウェアに関する注意喚起が、スマートフォンユーザに向けて公開されました。 www.us-cert.gov また、2019年11月27日(現地時間)に米国のセキュリティベンダーZscalerよりストーカーウェアに関する観測ブログが公開されました。 www.zscaler.com 本記事では、これらの観測について詳細を掘り下げていきます。 目次 国内で観測されているEmotetについて ストーカーウェアとは ストーカーウェアの販売が禁止された事例 発見されたストーカーウェアたち まとめ 国内で話題のEmot…

Googleフォームに来た回答に自動で確認メールを送信させてみた

Googleフォーム、便利ですよね～ 簡単な調査や確認を取るためによく使うのですが、 - 例えばセミナーのアンケートであったり - 出席確認であったり - イベントの申し込みであったり その用途は幅広いですね！ ただ、回答した人に対して、何らかのメッセージが届いたらいいとは思いませんか？ 例えば、 アンケートに答えた人に対して、専用のリンクを張って、セミナー資料を配布したり 出席者に対してのみ、場所の案内図や参加費の振込先を記載したり イベント申し込みの特典を返信メールで送ったり 特にクラウドストレージやスマホ決済が普及しつつある今、少し柔軟に考えれば、これまでのWebの常識も覆せることもでき…

ブラックフライデー関連？佐川急便を語る不審なSMSについて

本日は、身の回りで起きかけたサイバーインシデントについてです。 みなさん、11月29日(金)は何の日かわかりますか？ そう、ブラックフライデーです！ と言ってピンとくるものだろうか。。。(笑) ブラックフライデーというのは、アメリカにおけるThanksgiving Day、つまり感謝祭である11月の第4木曜日の翌日に行われる、大セール日を指します。 Thanksgiving Dayは正式な休暇ではないものの、休暇になることが多いようで、翌日のブラックフライデーはThanksgiving Dayの売れ残りを売り切るとの意味合いが強いようです。 まぁ、個人的にはあまりピンとこないのですが。。 そん…

7月に発見されたDockerの脆弱性CVE-2019-14271の実証について

PaloAltoのセキュリティリサーチャにより、今年2019年の7月に公開された、Dockerのcpコマンドの脆弱性CVE-2019-14271の調査結果に関する記事が公開されました。 unit42.paloaltonetworks.com 本件については、11月20日に米国のサンディエゴで開催されるKubeCon + CloudNativeCon 2019に当該記事の執筆者らが発表するそうです。 kccncna19.sched.com サンディエゴ行きたい。。 イメージでは、ビーチと公園とラテンミュージックって感じですね。 ちなみに、Despacitoっていう曲が、筆者は好きです。 www.…

Adobe Flash Playerのアップデートなどを装ったマルウェアサイトによって情報窃取を狙う攻撃について

クラウド型のセキュリティソリューションを提供することで知られているZscalerのThreatLabZによって、攻撃観測に関する、記事が公開されました。 www.zscaler.com 今回の観測では、以下2種類の手法で、RAT(Remote Access Trojan)に感染させる動きが見られたとのことです。 感染手法 Adobe Flash Playerに関する偽のアップデートページから 偽の文字フォントアップデートページから これらの偽ページへの誘導は、攻撃者によって、CMSベースのWebサイトに埋め込まれたスクリプトの動作によって行われるものです。 CMS本体はもちろんですが、プラグイ…

NTTデータ傘下のスペイン企業がランサムウェアの被害に

現地時間の11/4(月)早朝に、NTTデータの子会社Everisより、社内向けにランサムウェア感染の周知が行われたことが明らかになりました。 これが、流出してしまうガバナンスに少々驚いていますが。。。 私自身は、本件のスクショをツイートしたものが情報源になりました。 Esta parece ser la nota que everis ha mandado a sus trabajadores. #ransomware pic.twitter.com/1UOT8jDO4s— Arnau Estebanell Castellví (@ArnauEstebanell) November 4, 20…

ダークウェブ等で公開されたフォーチュン500選出企業の認証情報に関する調査結果について

ImmuniWebより、ダークウェブ上に存在する認証情報についての調査結果が公開されました。 www.immuniweb.com ImmuniWebは、スイスの企業High-Tech Bridgeが、2007年にペネトレーションテストツールとして、公開したものです。 特徴として、AIおよびマシンラーニングの活用によりセキュリティの監視やテストなどの機能を提供します。 今回のImmuniWebの調査では、企業を対象としたデータ流出に焦点を当て、フォーチュン500に選出された企業を対象に、10つの業種に分類して情報を公開しています。 目次 フォーチュン500ってなんだっけ？ ダークウェブ上等で発見…

東京五輪2020が狙い？マイクロソフトがサイバー攻撃の観測について言及

Microsoft Threat Intelligence Center より、世界中のアンチドーピング団体およびスポーツ団体への攻撃観測に関する記事が公開されました。 blogs.microsoft.com マイクロソフトは、一連の攻撃が、ロシア軍と関連があるとされているStrontium(別名APT28,fancy bear)によるものだと言及しています。 余談ですが、これら国家の関与が疑われるような標的型攻撃グループには俗称がつくことが多々あり、ベンダーがそれぞれ固有の名前をつけます。 マイクロソフトは、Strontiumのように元素記号の名前をつけます。 www.microsoft.c…

P&G傘下のECサイトがハッキングされた件について

2019年5月ごろからFirst Aid BeautyというP&G傘下の美容製品販売サイトにマルウェアが仕込まれていたことがわかりました。 Hacked: @ProcterGamble's https://t.co/qz62iHDazn has had a payment skimmer since May 5th. Fairly advanced: malware does not activate for non-US visitors, or if you run Linux (ie security researchers). pic.twitter.com/HAc7UunK5n— W…

世界中の大学の認証情報を狙った攻撃活動が今も継続中～2018年の観測では、日本の大学も対象に～

2019年10月14日(現地時間)、メールセキュリティに強みを持つProofpoint社より大学の認証情報を狙った攻撃観測およびその手法に関する記事が公開されました。 www.proofpoint.com 本記事では、上記に関する情報および昨年から活発になっている本キャンペーンについてまとめた内容を記載します。 目次 - 攻撃グループCobalt Dickesについて - 被害の概要 - 巧妙な手口 - 攻撃の流れ - フィッシングメールのサンプル - フィッシングの被害にあわないために 攻撃グループCobalt Dickesについて 本攻撃は、PhishLabsによって、Silent Lib…

Windows向けiTunesおよびiCloudのゼロディ脆弱性がランサムウェア攻撃に悪用された件

Windows向けiTunesおよびiCloudのゼロディ脆弱性がランサムウェアBitPaymerを使った攻撃に悪用された事が確認されました。 本件に関して、発見者であるイスラエル発のセキュリティ企業Morphisec Labsより情報が公開されています。 blog.morphisec.com 上記の情報では、iTunesに関してのみ述べられており、現在確認できる日本語の情報では、それ以上のことは述べられていません。 ただ、Appleの公式情報からも、iCloudに関しても、同様のアップデートが反映されていることが読み取れますので、iTunesと同様にして、確実に対応すべきだと判断し、記載しま…

ランサムウェアビジネスの観点から考えるSodinokibiとGandCrabの類似点

MaAfeeの調査機関 McAfee ATR(Advanced Threat Research) Lab より、Sodinokibiに関する調査記事が公開されました。 securingtomorrow.mcafee.com securingtomorrow.mcafee.com McAfee ATRでは、Sodinokibi(別名REvil)に関する調査内容を昨年流行したGandCrabとの関連性に言及しつつ、全4回に分けて記事を公開しました。 現在、Episode1「検体のコードや機能面での類似点」とEpisode2「RaaS運用モデルの類似点」が公開されています。 特に、Episode2が…

ラグビーワールドカップに関連したサイバー犯罪について

ラグビーワールドカップ、盛り上がってますね！ こういったイベントが行われる際には、それに伴いサイバー犯罪も活発になる傾向があります。 平昌五輪の際は、OlympicDestroyerが話題になり、大会そのものに影響を及ぼしましたが、そうでなくても、フィッシング詐欺や関連サイトへのDDoS攻撃などが観測されることが多々あります。 そして今回、日本開催のラグビーワールドカップですが、Fortinetからフィッシングに関する、サイバー犯罪の情報が公開されました。 www.fortinet.com ブログにもある通り、Fortinetの調査機関、FortiGuard Labsの観測では、多数の不審サイ…

フォーラム構築ソフト「vBulletin」の脆弱性(CVE-2019-16759)を突いたサイバー攻撃について

結構時間をかけて書いたので、割とボリュームが出てしまいました。 ただ、比較的まとまっているかと思うので、勉強のため、攻撃パケットの確認のため、幅広くご活用いただけると幸いです。 目次 注意喚起と攻撃の観測 vBulletinとは 今回の脆弱性CVE-2019-16759について 観測されている攻撃パケット 注意喚起と攻撃の観測 9/26(木)にLACから、本日9/27(金)にはIPAから、vBulletin の脆弱性(CVE-2019-16759)に係る注意喚起が発行されています。 www.lac.co.jp www.ipa.go.jp この攻撃により、vBulletinで作成されたWebサイ…

【まとめ】アマゾン(Amazon.co.jp)で他人の注文履歴や住所・氏名が見れてしまっている件

みなさんもニュース等でご覧になっているかと思いますが、Amazonがまた話題になっています。 別人の #Amazon 注文履歴・住所、丸見えか #アマゾン ジャパン「調査中」 https://t.co/CU4NkLdz4n pic.twitter.com/EWyClAfGyb— 産経ニュースWEST (@SankeiNews_WEST) September 26, 2019 産経さんのシンプルなツイート(笑) また、というのは先日AWSの件からという部分であり。。。 その件は、8月23日の午後に起きたものなので、このあたりを参考に。 www.itmedia.co.jp Amazonとは言ったも…

ランサムウェアNemtyの脅威～Paypalの偽サイト利用など～

目次 2018年から2019年9月までの流れ Nemtyの登場 Nemtyの活動活発化 GandCrabやsodinokibiとの関連性 まとめ 2018年から2019年9月までの流れ 2018年1月から急速に感染を広げ、2019年6月には終了宣言が行われたランサムウェアGandCrab。 終了宣言のタイミングで、本ブログでも取り上げました。 micro-keyword.hatenablog.com GandCrabは、国内の病院でも被害が確認されており、世界中で話題になりました。 tech.nikkeibp.co.jp そのGandCrabの後継と入れ替わるように登場したのが、sodinok…

Emotetの活動が活発化、Trickbotだけでなく今後ランサムウェアRyukへの感染も

Emotetの活動が活発化 先日のブログでもご紹介しましたが、8月21日頃よりEmotetボットネット活動が再開されています。 micro-keyword.hatenablog.com ブログでも紹介した通り、Emotetは他のマルウェアの配布に使われることもあり、結果として、感染機器および機器が接続されたネットワークにおいて大きな影響を与える可能性があります。 Emotetボットネットは、バンキングトロジャンであるTrickbotの配布やランサムウェアRyukの配布でも知られており、これらの検体が組織内で発見された場合、初期感染時にEmotetに感染している可能性があります。 それこそ、先日…

スマートフォンの遠隔操作を引き起こすSIMカードに係る脆弱性について

先日、スマートフォン関連のサイバーニュースとして、以下の記事を書きました。 micro-keyword.hatenablog.com 当該記事はAndroidに係る攻撃ケースでしたが、今度はSIMカードに係る脆弱性についての記事です。 立て続けにスマートフォン関連のサイバートピックが出てくると知識もどんどんシフトしていかなければ！と思いますね。 脆弱性の発表について 今回の脆弱性はほとんどのSIMカードにプリインストールされているS@T browserというソフトウェアに起因するものです。 simjacker.com AdaptiveMobile Security社が公開したもので、発表者はこ…

ランサムウェアRyukに機能拡張(情報窃取)

ランサムウェアRyukはこれまでランサムウェアとしての機能である、ファイルの暗号化および金銭の要求を行う機能でよく知られていました。 しかし、今回、ファイル検索を行ったのち機密情報を窃取する機能を備えたRyukが、セキュリティリサーチャであるVitali Kremezによって確認されました。 2019-09-11: 🆕Possible #Ryuk-Based FTP #Stealer/Uploader🔒Change: Encryption ➡️ File Searcher🔦Sensitive Document Searcher & Upload Looking for .docx & .xls…

みずほ銀行ATM計画停止の裏で～ITエンジニアの現場と本質的な課題～

本屋でこんなものを見つけてしまいました。 https://www.nikkeibpm.co.jp/item/nc/568/saishin.html 2019年7月13日未明から16日朝にかけて行われたシステム移行をもって完了した、 みずほ銀行の基幹システム完成についての特集です。 www.j-cast.com 2018年の9月から複数回に渡って全国のATMが停止し、当時は、「また止まるのかよー」みたいな会話を道端でたくさん耳にしました(笑) ちなみに、個人的にはこの動画が好きでした(笑) www.youtube.com 今回の日経コンピュータの特集を参考に、本件のまとめと、自身の見解をお話しで…

メール転送エージェントEximに深刻な脆弱性

2019年9月6日に、Eximに深刻な脆弱性CVE-2019-15846が公表されました。 https://lists.exim.org/lurker/message/20190906.102039.7eeb3210.en.html 本脆弱性は、TLSのコネクション形成に用いられる SNI(ServerName Indication)と呼ばれるデータに係るもので、攻撃者が加工したSNIデータをhandshakeの際に送ることで成立します。 Eximサーバにおいて、TLSコネクションを有効にしている場合影響を受けます。 Exim開発チームの提供バージョンでは、デフォルトで無効なようですが、いくつ…

Android製スマートフォンを狙った高度なフィッシング手法

Androidベースのスマートフォンを狙った、高度なフィッシング攻撃について、Checkpointが出した記事が話題になっています。 research.checkpoint.com 今回の手法はマルウェアを落としたり、接続先のサイトで認証情報を入れさせたりするものではありません。 SMSを使って、スマートフォンの設定を変更し、ネットワークのルーティングそのものを攻撃者の用意したサーバに向けてしまいます。 Checkpointのブログでは、Samsung, Huawei, LG,Sonyなどが例に挙げられていますが、Androidベースのスマートフォンはすべて対象だと思って間違いないかと思います…

SharePointを悪用して検知を回避するフィッシング攻撃

最近本ブログでもお馴染みになってきた、Cofenseのブログにて、興味深い攻撃が紹介されていました。 https://cofense.com/phishing-emails-using-sharepoint-slip-past-symantecs-gateway-attack-banks/ 本攻撃の最終目的はOffice365の認証情報獲得なのですが、そのフィッシングサイトまでの流れが、企業でよく実装されていそうなシステムの流れになっています。 まず、攻撃者は以下のようなフィッシングメールからユーザーにアクセスを誘います。 特徴的なのは、SymantecのATPというサービスを使っている際に変…

Kasperskyのインシデントレスポンスレポートを見て

Kasperskyのインシデントレスポンスレポートを見て 目次 KasperskyとGERTについて モニタリングツールから見えてくる攻撃の種類 攻撃の入り口となる要素 まとめ ※ 最初に申し上げておきますが、私はKasperskyの回し者でも何でもなく、単純な興味と感想を本ブログに記載します。 KasperskyとGERTについて 現地時間の2019年8月29日に、セキュリティベンダーのKasperskyよりインシデントレスポンスレポートが発行されました。 securelist.com セキュリティベンダーというと大体が米国のベンダで、最近だとイスラエルもあったり。。 そんな中、Kasper…

Quasar RATを用いたフィッシングキャンペーンについて

目次 Quasar RATについて 今回の感染手法 まとめ QuasarRATについて 現地時間の2019年8月26日、米国のセキュリティベンダーCofenseより、Quasar RATを利用したフィッシング攻撃に関する記事が公表されました。 cofense.com Quasar RATはオープンソースで提供されるリモートアクセスツールです。 これまでに、PwCレポートで、APT10が利用するRATとして紹介されていることをはじめ、多くのAPTグループによって利用が確認されています。 https://www.pwc.com/jp/ja/japan-service/cyber-security/…

XPERIA XZ1が壊れたと思ったら試してほしい5つのコト

目次 XPERIAと闘う私 動かなかったときの対応策5選 それでもなぜ、XPERIAを使うのか XPERIAと闘う私 XPERIA XZの基盤が浮いてFeliCaが使えなくなった2018年4月。 XPERIA XZの基盤がさらに浮き通話中ボタンが押せなくなった2018年8月。 XPERIA XZの基盤がさらにさらに浮きカメラが使えなくなった2019年4月。 ついに、XPERIA XZ1へ買い換え。 XPERIA XZ1が充電できなくなり電子マネー難民になる2019年7月。 購入店で交換。 XPERIA XZ1が急につかなくなり焦った2019年8月、というより今さっき。 XPERIAコノヤローで…