◼︎問題のWord文書には不正なマクロが仕込まれており、これを使ってバックドア型マルウェア「Rising Sun」をダウンロードさせ、コンピュータやシステムに関する情報を収集して、攻撃者が制御するサーバに送信する仕掛けだった。
2018年12月27日木曜日
2018年12月14日金曜日
2018年はソーシャルエンジニアリングやフィッシングが前年比2倍に、Webサーバへの攻撃は減少(CrowdStrike)
◼︎2018年にCrowdStrikeが携わった、サイバー侵害を受けた200件以上の組織のうち、サイバー攻撃による侵害を自社内で検知できたケースは75%であった。昨年から増加はしているが、増加率は7%にとどまっている。ドエルタイム(ある侵害が最初に発生した日から検知された日までの期間)も平均85日と2017年の調査結果(86日)とほぼ同等となっている
◼︎ソーシャルエンジニアリング、フィッシングおよびスピアフィッシングを活用した攻撃数が2017年の11%から、2018年には33%と大きく増加した。これはBEC(ビジネスメール詐欺)の隆盛によるという。一方、Webサーバに対する攻撃数は、単一ベクトル攻撃としては最大であるものの、前年の37%から19.7%に減少している。
恥ずかし画像詐欺とランサム攻撃が融合 - 「証拠動画」のリンクにワナ
◼︎実在しないにも関わらず、盗撮した画像や動画の公開をちらつかせ、金銭をだまし取る詐欺が発生している
◼︎従来の攻撃では、インターネット上へ流出したと見られるパスワードを記載し、端末を侵害したことを事実のように見せかけたり、SNSをはじめとする公開情報から入手したと見られるパートナーや雇用者、職業などを示して信用させ、金銭を脅し取ろうとしていたが、メールの内容がさらに悪質化している
◼︎PowerPointファイルへのリンクなどとして外部へ誘導するが、実際はマルウェア「AZORult」へ感染させることを目的としたURLで、最終的にはランサムウェアの「GandCrab」に感染する
2018年12月13日木曜日
サイバー犯罪組織の動きに見る攻撃手法の変化--ファイア・アイ
◼︎サイバー犯罪者は、Microsoftの提供直後にリバースエンジニアリングなどの方法でパッチや更新情報の内容を分析し、直ちにその結果を攻撃手法に組み込もうとする。特に企業ユーザーは、業務システムへのパッチ適用に伴う影響を見極めるためパッチを適用するまでに時間をかける場合があり、犯罪者にとってはこの間が攻撃の成功率を高められるチャンスになる。「未修正の脆弱性を狙う『ゼロデイ攻撃』は有名だが、パッチ公開直後を狙う『ハーフデイ攻撃』にも注意すべき」(千田氏)という。
◼︎サイバー犯罪者は、いったん侵入に成功した組織のシステム環境へ侵入を繰り返す。犯罪者の目的は、侵入を防ぐ対策の突破ではなく、あくまで対策を突破した後にシステムの内部環境を深く理解することにあるからだという。
2018年12月5日水曜日
2019年日本企業がさらされるサイバー攻撃に関する12の予測とは? (CYFIRMA)
■「Tick」と「STONE PANDA」が東京オリンピックに関心を示していると指摘した。
■「LINEARMY16」という攻撃グループが国内の大手製造業にスピアフィッシング攻撃を実行していることがわかっているほか、「WINNTI」というグループがPDFファイルに組み込んだバックドアを通じて日本のIT企業からコード署名証明書を盗んだという。
日本語化される法人向け詐欺と個人への脅迫――トレンドマイクロが2018年第3四半期セキュリティ動向を発表
1. 日本語のなりすましメールによるビジネスメール詐欺を初確認
2. 一般利用者を狙う日本語版「セクストーション」を確認
3. 偽のSMSによる不正アプリ拡散が急拡大、前期比約14倍に増加
4. フィッシング詐欺はピークから半減も依然継続
5. ランサムウェアの攻撃総数は急減するも継続する法人被害
2019年度セキュリティ動向、8つの脅威を予測(ウォッチガード)
1:ファイルレスマルウェアワーム「vaporworms」が台頭
2:攻撃者によるインターネットの支配
3:国家規模のサイバー攻撃の増加を受け、国連のサイバーセキュリティ条約が成立
4:AIを活用したチャットボットによる攻撃
5:生体認証の大規模ハッキングにより認証が多要素化
6:国家規模の「Fire Sale」攻撃が現実化
7:公共機関や産業制御システムを標的としたランサムウェアにより都市機能が麻痺
8:Wi-Fi脅威の6つのカテゴリを用いたWPA3 Wi-Fiネットワークのハッキング
2:攻撃者によるインターネットの支配
3:国家規模のサイバー攻撃の増加を受け、国連のサイバーセキュリティ条約が成立
4:AIを活用したチャットボットによる攻撃
5:生体認証の大規模ハッキングにより認証が多要素化
6:国家規模の「Fire Sale」攻撃が現実化
7:公共機関や産業制御システムを標的としたランサムウェアにより都市機能が麻痺
8:Wi-Fi脅威の6つのカテゴリを用いたWPA3 Wi-Fiネットワークのハッキング
2018年11月29日木曜日
「注意喚起しても効かない……」、さくらインターネットから利用者への“お願い
◼️WordPressのREST API脆弱性を悪用した攻撃が確認された2017年2月、ユーザーへ注意喚起を実施し、1カ月後に注意喚起の効果を測定したところ、改ざんされたままのサイトは減少するどころか微増していた
◼️注意喚起が効かない原因としては、管理者がいない(退職・卒業・他界、保守契約が切れた、委託業者が廃業した)
◼️管理の意思がない(インストールだけ試した)、飽きる(個人でブログを開設したもののアフィリエイトが儲からない……)などの理由で適切に管理されていない可能性が考えられるという。
2018年11月27日火曜日
不正ログインの試行件数が5、6月に上昇 - 1カ月あたり40億件以上
■2018年における不正ログインの傾向について同社は、通常1週間で700万件ほどのログインが行われるサイトにおいて、48時間に850万回と大量のログイン試行が行われたケースがある一方、あえて試行回数を抑え、検知を逃れる「ローアンドスロー」攻撃が展開されるなど、多様化が進んでいると指摘している。
2018年11月19日月曜日
FFRIのエンドポイントセキュリティソフト「yarai 3.2」、管理コンソールでEDR機能を標準提供
◼️Javaマルウェア対策
◼️DDE(Dynamic Data Exchange:動的データ交換)やHTMLヘルプファイルを悪用した攻撃対策
◼️巧妙な偽装技術に対抗するため、ディープラーニングを利用した独自の検出ロジックを搭載
2018年11月15日木曜日
シマンテック、クラウドの態勢管理や運用監視など、クラウドセキュリティ3製品を提供
■CSPM(クラウド態勢管理、Cloud Security Posture Management)の「CWA(Cloud Workload Assuarance)」
→AWSとAzureについて、リソースを可視化し、コンフィギュレーションやコンプライアンスの問題がないかを監視する。
■CWP (Cloud Workload Protection) Storage DLP
→AWS S3に入っている情報をスキャンして、漏えいしては困る情報などを自動的に分類する
◼️クラウド向けの運用監視サービス(MSS:Managed Security Service)である「MSS Managed Cloud Defense」の拡充。
→クラウドセキュリティの訓練を積んだ専門家の対応や、リスクの管理、S3の権限管理、インシデント対応などのサービスを提供
2018年11月13日火曜日
2018年11月12日月曜日
2018年11月9日金曜日
企業はパッチを適用していない--大半の脆弱性は1カ月経っても未対応
◼︎情報開示から4週間経っても修正されない脆弱性は全体の70%に及び、3カ月後になってもパッチが適用されていないケースでさえ55%近くにのぼるという。
2018年11月6日火曜日
標的型サイバー攻撃向け特化型脅威対策製品市場は2022年までの年間平均成長率18.2%で436億円に拡大――IDC予測
◼︎標的型サイバー攻撃向け特化型脅威対策製品
サンドボックスエミュレーションやコードエミュレーション、ビッグデータ/アナリティクス、コンテナ化などの非シグネチャベースの技術による脅威対策製品であり、エンドポイント製品とゲートウェイ製品に分類している。
◼︎セキュリティ情報/イベント管理製品
SOC(Security Operation Center)の基盤としてセキュリティインシデントを分析し、管理する。
◼︎脅威インテリジェンスセキュリティサービスは、脆弱性情報や不正IP情報、既知のシグネチャ情報、レピュテーション情報などについて、機械学習機能などAIを活用したビッグデータ/アナリティクスによって相関分析を施すことで、早期にセキュリティ脅威を特定することができる脅威インテリジェンスを活用したサービスになる。
◼︎2017年11月に経済産業省から公開された「サイバーセキュリティ経営ガイドライン Ver 2.0」に記載されている「攻撃の検知」への対応が求められ、サイバーレジリエンス(回復力)が向上するソリューションが必要となる。
2018年11月1日木曜日
エンドポイント型脅威対策市場が急成長、NGAVとEDRが牽引(ミック経済研究所)
◼︎2017年度のエンドポイント型脅威対策ソリューション市場は前年対比111.6%の611.8億円、2018年度は前年対比110.9%の678.3億円
◼︎「アンチウイルス・アンチマルウェア」「次世代エンドポイントプロテクションプラットフォーム」「不正PC 検知・排除アプライアンス」「検疫ネットワークツール」
◼︎次世代エンドポイントプロテクションプラットフォーム市場が急拡大
◼︎脅威インテリジェンスなどを使って未知のマルウェアや非マルウェア型の脅威を検知し、高い確率で防御する「次世代アンチウイルス(NGAV)」
◼︎マルウェア検知機能の他にマルウェア侵入後の調査・解析、インシデントレスポンス(事後対処)を迅速に実施できる機能を重視した「Endpoint Detection & Response(EDR)」で形成される。
ネットで盗難被害のクレカ情報、目立つ「不正トラベル」への悪用(JC3)
◼︎同センターによれば、犯行グループは日本国内の旅行に詳しい旅行代理店を偽装。割引などもちらつかせ、訪日希望の旅行者を誘引。
◼︎旅行の申込者に対して、窃取したクレジットカード情報で決済し、旅行を手配。その際に得た予約情報を旅行者に伝えて正規の予約を行ったと信じさせ、料金をだまし取っていた。
マクニカネットワークス、セキュリティとネットワーク管理に有効な「プロキシログ分析 はじめてセット」を提供開始
◼︎情報処理推進機構(IPA)が公開する「『高度標的型攻撃』対策に向けたシステム設計ガイド」
◼︎攻撃をログから検知する方法としてWeb Proxyログの有効性が記載されており、多くの企業でログ統合管理製品やSIEM製品の検討、導入が増えつつある。
◼︎マシンデータ分析プラットフォーム「Splunk Enterprise」
→Web Proxyをはじめ、ADやファイアウォールなどのあらゆるデータを取り込むことで、複数ログを様々な観点から相関的に分析することができ、柔軟に分析手法をカスタマイズできる製品として高く評価されている
→実装開発のノウハウ習得や、最適に稼働させるインフラ構築に時間とコストを要するといった課題が残されている
⇨業者が対応し金がかかる
◼︎「Symantec Proxy SG(旧製品名:Blue Coat SG)」
→Web分離(無害化)を含めた堅牢なWebセキュリティ基盤を実現
◼︎「プロキシログ分析 はじめてセット」
→Symantec Proxy SG(旧製品名:Blue Coat SG)」のログを対象に、マクニカネットワークス独自のノウハウをテンプレート化した「Macnicaプロキシログ分析App」と「Splunk Enterprise」に最適な専用サーバ「Gemini Appliance」および、「Splunk Enterprise」をセットで提供するソリューションになる。
→ウェブ閲覧状況やProxy、エージェントなどによってブロックされたWeb一覧といったセキュリティの観点で有効なレポートやダッシュボードのみでなく、ネットワーク帯域の可視化による障害検知といったネットワーク管理にも有効な機能を提供
→付加サービスとして提供する「プロキシログ分析 はじめてセット構築サービス」によって、「Gemini Appliance」のセットアップからラッキングまでの作業、「Symantec Proxy SG」 のログ取り込みから「Macnicaプロキシログ分析App」への実装、「Splunk Enterprise」の製品レクチャーといった一連の構築作業を実施
2018年10月30日火曜日
デジタルデータソリューション、標的型攻撃向け出口対策製品をラックと共同開発
◼︎ホワイトハッキング・セキュリティサービスを展開する「デジタルデータハッキング」(以下、DDH)を10月1日に立ち上げ、同事業において、株式会社ラックと共同開発した標的型攻撃向け出口対策製品「DDH BOX」を販売開始する
◼︎「DDH BOX」は、標的形攻撃でハッカーが情報を抜き取る際に使用するC&Cサーバー(Command&Controlサーバー)への不正通信を検知し、その通信を即座に遮断する出口対策製品。これによって企業は、万が一マルウェアに感染した場合でも、外部への情報流出を未然に防ぐことができるという。
◼︎サイバーセキュリティ導入の障害として、『資金の欠如』を挙げた中小企業は40%にのぼっている。そのため、中小企業からは、低コストで簡単に設置ができ、運用管理者が不要なセキュリティ製品が求められている」と指摘。
◼︎ 「一方で、日本を狙ったサイバー攻撃は年々増加しており、2017年は過去最高の1504億件、1日4億件ものサイバー攻撃が観測された。その中でも、大きなビジネスリスクとなるのが特定の組織内の情報を狙った標的型攻撃で、近年も大規模な情報流出事件が相次いで発生している」と、標的型攻撃へのセキュリティ対策の重要性を訴えた。
◼︎標的型攻撃の手法はメール攻撃が9割を占めており、これに対応するセキュリティ対策として、現在、多くの企業で導入されているのが、ファイアウォールやUTMなどによる『入り口対策』とサンドボックスやEDRなどによる『内部対策』だ。しかし、毎日約120万件も生成されているマルウェアをすべて検知・ブロックするのは不可能であり、実際に、セキュリティ対策をしている企業の約7割がマルウェアに感染しているという現実がある。こうした背景を受け、これからの標的型攻撃への対策は、マルウェアに感染しても情報を外に流さない『出口対策』を強化することが重要であると判断し、『DDH BOX』の開発に取り組んだ」(熊谷氏)と説明した。
◼︎ 「DDH BOX」の大きな特徴は、ハッカーが使用するC&Cサーバーの情報をリスト化して搭載することで、その通信先への不正アクセスが発生した際に、情報が流出する前に検知し遮断できる点。C&Cサーバーのリストは365日毎日更新され、常に最新の脅威リストが提供される。
◼︎「DDH BOX」では、アラートが発報された時点で、年間300万円までのサイバー保険が適用できる点も特徴となっている。具体的には、アラート発報(メール通知)後、情報流出調査のため対象機器を共有し、デジタルデータソリューションが共有した機器のフォレンジック調査を行い調査レポートを提出。年間300万円までのサイバー保険適用範囲であれば、攻撃によって消去・改ざん・破壊されたデータを復旧することができる。また、インシデント発生後の対応に関するコンサルティングも提供する。
マルウェア解析に見るセキュリティ対応自動化のアプローチ(カスペルスキー)
◼︎ユーザーなどから受け取る解析のためのサンプルファイルは、毎日200万以上
◼︎アンチマルウェアチームの人員は世界で85人
◼︎「Kaspersky Security Network(KSN)」に集められ、ファイルのパスやハッシュといったメタデータを付与してデータベースに追加される。まずは既知のマルウェアかどうかを照合し、ウェブクローラを使った不審サイトからのファイルダウンロードの有無、ボットネットの監視による不正通信の発生状況といった基礎的な解析を行う。
◼︎サンプルの提供からフィードバックまでに要する時間は、平均10~20分ほどだという
◼︎前段の解析で特定に至らなかったサンプル(いわゆる未知のファイルなど)がマルウェアかどうかを判定すべく、ファイル実行の前後の観点から静的解析と動的解析のアプローチを採る。前者の判定においてキモになるのが、数ペタバイトものサンプルデータの機械学習から作成する「決定木」だ。
◼︎多くのマルウェアは、攻撃者が検知を逃れるためにまず正規のプロセスを実行して正常な動作を装うが、最終的には悪意のある挙動を示す。「挙動ごとにスコアリングの結果が変化するので、解析後はアナリストがスコアリング結果をもとにモデルのチューニングを繰り返し、誤検知を減らすべく解析精度を改善させている」
◼︎同社が毎日受け取る200万以上のサンプルは、上述した仕組みによって自動処理され、このうち36万のサンプルが最終的にマルウェアと判定されている。特定されないサンプルの大部分は、悪意が認められないジャンクファイルだが、Zakorzhevsky氏によれば、所感として5~10%ほどのサンプルが「未知」として特定に至らないという。未知のままのサンプルは、特定に至るまで解析作業を繰り返す。時間が経つことで判定材料となる情報が充実し、特定しやくするなるためだ。
◼︎アナリストが手作業で対応しなければならない高度なマルウェアが潜んでいる。対象となるのは、標的型攻撃マルウェアあるいは国家的組織の関与が疑われるような極めて特殊なサイバー攻撃に使われるマルウェアであり、後者のマルウェアが潜む割合は、同社が特定しているマルウェア全体の0.1%に過ぎないという。同社の自動化への取り組みは、わずかに潜む高度な脅威の可視化に、85人のアナリストの能力を集中させるためというわけだ。
◼︎この取材の1カ月ほど前だが、面接した候補者がマルウェア解析手法についてやけに詳しく、怪しいと感じた。そこでアナリストがこの人物の素性を調べると、アンダーグラウンドのフォーラムでマルウェア開発のノウハウを積極的に投稿している攻撃側の人間だと分った。こういうことは時々ある
2018年10月16日火曜日
サイバー攻撃の主流はランサムウェアからマイニングマルウェアに? 2018年第1四半期以降急増
◼︎ランサムウェアは第2四半期に約99万件の新種が発見された
◼︎仮想通貨のマイニングマルウェアは2018年の第1四半期以降に急増。2017年第4四半期に約40万件に達したサンプル数は、2018年第1四半期に290万件に急増し、前四半期比629%増となった
◼︎仮想通貨のレートが高騰したことが要因として考えられており、「ランサムウェアよりもマイニングマルウェアの方が金儲けをしやすい手段として攻撃者に捉えられている可能性がある
◼︎JavaScriptのマルウェアの検知数は第2四半期に約724万件と前四半期比約204%の増加を見せた。過去3四半期では減少傾向にあったが、2018年第2四半期には過去最高のサンプル数を記録。悪質なウェブサイトに転送させるリダイレクターや、仮想通貨のマイングマルウェアに多用される傾向があるため増加したと見られる。
◼︎LNK形式のマルウェアは約38万件検知された。同マルウェアは、Windowsに標準搭載された「PowerShell」を悪用するファイルレスマルウェアで、シグネチャーベースのアンチウイルス製品での検知を逃れやすい。
2018年10月15日月曜日
北朝鮮における資金調達専門のハッカーグループ「APT38」--その実態に迫る
◼︎素早い一撃離脱型の戦略を採るのではなく、攻撃を実行する最適なタイミングが来るまでじっくり待ち構えられるだけの時間とツールを有した、国家の支援を受けた犯罪グループ特有の忍耐力を持っている
◼︎APT38が標的とする国や地域に区別はなく、彼らの手から逃れられる安全地帯はないとし、ポーランドやマレーシア、ベトナムといった世界中の国々に対して小規模なハッキングが実行されている
2018年10月10日水曜日
2018年10月4日木曜日
両備システムズ、官公庁向けのマルウェア対策ソリューション「R-Cloud Proxy for Cisco AMP」
◼︎R-Cloud Proxy for Cisco AMPは、シスコのマルウェア対策製品である「Cisco Advanced Malware Protection(AMP) for Endpoints」を、LGWAN(総合行政ネットワーク)回線経由で利用できるようにするソリューション。
2018年10月3日水曜日
Alphabetのセキュリティ子会社が企業向けサービス「VirusTotal Enterprise」を発表
◼︎Googleの持株会社が設立したサイバーセキュリティ企業Chronicleは、米国時間9月27日、「VirusTotal」の企業顧客向けに一連の新たな機能を提供すると発表した。
◼︎VirusTotal Enterpriseでは、既存のVirusTotalの機能に加えて、より強力な脅威検知機能や、VirusTotalの無料・有料のサイトが提供している機能を統合する新たなインターフェースといった新たな機能が利用できる。
◼︎「VirusTotal Private Graph」だろう。この機能を利用すると、社内インフラをVirusTotalに接続することで、社内ネットワークがどのようにマルウェアに感染したかを示す関係グラフを作成することができる。
警察庁把握の標的型攻撃メール、前期から半減するも高水準 - 「Excelファイル」が約半数
◼︎警察庁が2018年上半期に把握した標的型攻撃メールは2578件
◼︎同庁では、7769の事業者が参加するサイバーインテリジェンス情報共有ネットワークにおいて、情報窃取を目的としたサイバー攻撃に関する情報を事業者と共有しており、同ネットワークを通じて把握した攻撃動向について取りまとめたもの。
◼︎一般的なセキュリティ対策ソフトで検知できず、業務ファイルに見せかけてメールでマルウェアを送付し、情報を窃取する攻撃をメールを利用した「標的型攻撃」と定義。
2018年10月2日火曜日
CTCが「Cybereason EDR」を販売、導入支援や解析レポートなどのマネージドサービスも提供
◼︎Cybereason EDRの導入やリスクの判定、対策支援、解析レポートなどのマネージドサービスを提供するのみならず、すでに導入済みのセキュリティ対策と連携したCybereason EDRの導入も支援する
上のサイバー犯罪検挙、4183件 - 仮想通貨の不正送金が大幅増(警察庁)
◼︎2018年上半期におけるサイバー犯罪の検挙件数は4183
◼︎オンラインバンキングの不正送金被害は211件で、被害額は約3億7200万円。前年同期から件数ベースでは5件減、被害額ベースで1億9500万円減となった。
→法人口座における被害額が約2億6600万円減となったことが影響。ただし、個人の被害は約7000万円増となっている。
◼︎不正送金先としては、ベトナム人名義の口座が約65%を占め、中国人名義が約15%、日本人名義が約12%だった。
2018年10月1日月曜日
2018年9月18日火曜日
2018年9月10日月曜日
お手軽にマルウェアや詐欺サイトを作れる時代に ――プランに応じてサイバー犯罪者をサポートするサイトの存在(キヤノンITソリューションズ)
◼️ランサムウェアを販売する「Ransom as a Service(RaaS)」や、アカウント情報を詐取するための偽ウェブサイト作成サービス「Phishing as a Service(PhaaS)」、DDoS攻撃を行うためのボットネットを販売する「DDoS as a Service(DaaS)」などが存在する
◼️PhaaSでは作成可能な偽ウェブサイトの一覧が表示されており、ボタンを数クリックするだけで簡単に作成できる
→AppleやMicrosoft、Google、Amazonなど50社以上の偽のログインサイトをラインアップしており、同サイトはPhaaSが提供するクラウドサーバー上に設置される。
◼️とあるPhaaSサイト内では、盗み取ったアカウント情報を売買するための機能も備えており、SNSのアカウント情報が10ドル程度で販売されていたという。PhaaS利用者は詐取したアカウント情報をビットコインなどに換金できるという。
ファイア・アイ、機械学習を使ったマルウェア対策機能をリリース
◼️「MalwareGuard」
◼️同機能は「FireEye Endpoint Securityエージェント」に統合され、既存ユーザーは追加料金なしで利用できる。無償トライアル版も提供する。
2018年8月22日水曜日
破壊をもたらすサイバー攻撃を可視化して阻止する--実戦向き対策(サイバーリーズン)
◼️一つは、攻撃の前にしっかりと組織を調査し、よく使う添付ファイルの形式や、メールをやり取りする相手などの情報を調べ上げ、その上で攻撃を行っていること。
◼️もう一つは、これまで"山"ほどに組まれてきたゲートウェイセキュリティの検知を回避する技術ができあがっていること。
◼️3つ目は、検知の対象となるファイル自体がないケースが出てきたことだ。
◼️さらに、通信のSSL化が拍車をかけている。非常に高価なサンドボックスでさえも、暗号化された添付ファイルを復号できなければスルーしてしまう。つまり、非常に高価なゲートウェイ装置をスルーされてしまうのが日本の現状であるとした。
◼️侵入後の攻撃者の戦法も変化しており、攻撃者が人手を介したコマンドで攻撃してくる。そのため、ファイルやマルウェアがない状態
★従来は、情報漏えいの賠償金やインシデントレスポンスの費用などを考慮する必要があった。しかし破壊を伴う攻撃では、業務停止に陥り、売上の損失、コストの計上、信頼の失墜なども加味しなければならない。さらに影響を受けたデータに欧州連合(EU)の市民に関わる情報が含まれていて、72時間以内にEU当局に伝えられなかった場合は、高額な罰則違反金を払わなくてはならない。
目指すは自動復旧と根本原因解析――ソフォスがサーバ向けエンドポイントプロテクションを発表
◼️不正にブロックチェーンのマイニングを行う「クリプトマイニング」においては、クライアントPCよりもリソースが潤沢なサーバが狙われる
◼️サーバ上でランサムウェアのデモアプリが実行されると、即座にIntercept X for Serverが検知し挙動をブロック。その情報が同社独自のプロトコルで、ソフォスのファイアウォールに伝搬した。その後はサーバ上での通信がブロックされるため、C&Cサーバと通信するようなマルウェアの行動がブロックされる。さらに、その後しばらくするとサーバでクリーンアップ作業が行われ、ランサムウェアが駆除されると元の通り通信が行えるようになる。
マルウェアを混入させる「ソフトウェアサプライチェーン攻撃」、多くの組織が脅威と考えるも対応は不十分~CrowdStrike調査
◼️ソフトウェアサプライチェーン攻撃とは、ソフトウェア製品やハードウェア製品内のソフトウェアについて、開発・製造・流通・配布などのサプライチェーンの過程においてマルウェアを混入させる攻撃
2018年8月7日火曜日
バンキングマルウェア「URLZone」が日本をターゲットに、請求書を装ったメール本文も自然な日本語に進化中
◼️「10年前は、シグネチャファイルを作成して対処するだけで脅威は収まった。しかし、ここ数年は使い捨てのマルウェアが利用されているため、シグネチャベースのセキュリティ製品や、『Virus Total』で検知されなかったからといって安心できるわけではない」と警告する。
◼️2017年にCylance製品のユーザーが検知した上位10種類のマルウェアは、「WannaCry」「Cerber」「Locky」「Petya」「Polyransom」などのランサムウェアや、「Upatre」「Emotet」「Ramnit」「Fareit」「Terdoi/Zloader」などのバンキングマルウェアだったという。
◼️セキュリティ対策として、
1)ハード/ソフトウェアを常に最新の状態に保つこと、
2)アクセス権限を管理すること、
3)リモートアクセスを制限し、かつモニターすること、
4)ソーシャルエンジニアリングとフィッシングに対するトレーニングを行うこと、
5)脆弱なインフラに対しては物理的なセキュリティを強化すること
2018年7月24日火曜日
起訴状で明らかになった、ロシア人ハッカーの巧妙すぎる手口
◼️「スピアフィッシング(標的型)」メールを送信して正面のドアから侵入していたという。選挙職員を騙して「ヒラリークリントン_支持率.xlsx」などの偽のリンクをクリックさせようとするメールである。騙されて偽のリンクをクリックすると、選挙職員たちのパスワードがばれてしまう。
◼️ハッカーらは、X-Agentと呼ばれるマルウェアを使用して、DCCCのコンピューターを感染させ、DNCのネットワークにアクセスできるようにした。彼らが入手したのはメールだけに止まらない。マルウェアを使って攻撃者らは、職員が仕事でタイピングしている内容やスクリーンショットを手に入れられた。セキュリティ・ソフトウェアは大量のデータをシステムから抜き出そうとする疑わしい行動を検知できることが多いが、X-Agentはデータファイルを持ち出す前にファイルを圧縮して暗号化していた。
◼️盗み出した情報をばらまくのに使うドメインを登録するための支払いをルーマニアに本拠を構える企業に支払いをするのに、ビットコインが使われた
◼️ロシア人らはまた、自分たちのサイバー攻撃を、単独で行動するルーマニア人のハッカーであるグシファー 2.0(Guccifer 2.0)の仕業に見せかけようとした(起訴状によると、匿名の米国議員候補が後に、盗まれた情報にアクセスする目的でグシファーと接触したという)。
不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方(前編)
◼️「IPAのJ-CRATの支援を得て、レジストリなどに改変が加えられていないかをツールでチェックする作業を、学内にある2万1000台のWindowsホスト全台に対して行いました」(柏崎氏)。その結果、今回の不正アクセスに関連したもの以外にも、幾つか怪しい挙動が見つかり、検体の解析や対処に追われたという。
◼️ 「もちろん、大阪大学でも脆弱性検査はやってはいました。ですが頻度は2年に1回で、予算額が決まっていることもあり、重要なサーバ以外は任意でのチェックという形を取っており、十全な備えができていたとはいえないと思います」(柏崎氏)
◼️脆弱性スキャナーの「Nessus」を利用している
→「そこでNessusの評価版を入れて、shodan.ioで検出された800以上の大阪大学のIPv4アドレスを突っ込み、ひたすら脆弱性チェックを行いました。そうしたら、何とまあサポート外OSの多いこと……『Critical』や『High』の脆弱性がこれでもかというほど検出され、画面は真っ赤な状態でした」(柏崎氏)
◼️東陽テクニカから「Tenable.io」の提案を受け、採用することにしたという。
2018年7月18日水曜日
PwCサイバーサービス、社内に潜伏するマルウェアを検出する「スレットハンティングサービス」を提供開始
◼️スレットハンティングサービスは、ウイルス対策ソフトなどのセキュリティ対策をくぐり抜ける新種、亜種のマルウェアを、定期診断型アプローチにより検出し、被害を未然に防ぐことを目指すサービス。
◼️コンピュータの利用状況や通信を記録したログデータを、AIを搭載した分析エンジンが検索し、マルウェアが残した痕跡を収集。また、集めたデータをマルウェア分析の高度な知見を有する専門家が分析し、誤検知を除外し、さらには脅威情報と照合することで、他の攻撃との関連性などを調査、報告する。
◼️マルウェアの侵入時期を予測することは困難なため、セキュリティパッチやアンチウィルスソフトによる日常的な対策に追加する形で、四半期に一回などの定期的な集中診断としての利用を推奨していくとしている。
下火になったランサムウェア、それでも警戒を解くべきでない理由
◼️クリプトジャッキング攻撃は、PCをマルウェアに感染させて、プロセッサの処理能力を秘密裏に利用して仮想通貨をマイニングさせ(通常は、比較的マイニングしやすいMoneroが対象になる)、得られた通貨を攻撃者のウォレットに預けるというものだ。
◼️ランサムウェアとは違い、この攻撃は隠密性が高く、感染が発見されない限り攻撃者の安定した収入になる。クリプトジャッキング攻撃は検出されにくい性質を持っていることから、2018年に入ってから人気が急上昇している
◼️短期的には、ファイルが暗号化されている間業務ができないというダメージを受けるが、長期的な影響としては、顧客からの信用を失ったり、ユーザーからデータを安全に守れない企業だと思われてしまったりする可能性もある。
セキュリティア、EDRを実装した次世代アンチウィルス製品「Carbon Black Defense」を販売開始
■「Cb Defense」の3つの特徴
1. クラウド上でビッグデータの解析の1つである「イベントストリーミング」処理を利用し、リアルタイムでファイルのみではなくイベントの流れ(関係性)を分析し、セキュリティリスクを判断する独自技術「ストリーミングプリベンション」による高精度な脅威の検知、既知/未知のマルウェアに加え、ファイルレスマルウェアの検知を実現している。
2. 感染端末の自動隔離や調査に必要な論理的な隔離ネットワーク構築機能を持つ最先端のEDR機能。
3. クラウドを使用した低負荷設計、CPUならびにメモリの利用率は1%以下。
■「Cb Defense」の使い方・利用シーン
- 在宅勤務などのテレワーク環境の標的型攻撃対策強化
- GDPR、改正割賦販売法、改正個人情報保護法等の対策
- 自治体セキュリティ強靭化対策、医療ガイドライン(略称)対策
■「Cb Defense」の製品概要
- 既知・未知マルウェアやファイルレス攻撃であっても検出が可能
- EDR機能によるセキュリティインシデントに繋がるイベントへの対応
- 万一の感染時でも早期検知により被害拡大を防ぎ、初期対応から復旧までをも実現
2018年7月9日月曜日
NECソリューションイノベータ、CylancePROTECTに監視・運用などを加えたエンドポイント脅威対策サービス
■サービスメニュー
- Basic:最小提供クライアント数 20~/マルウェア対策/運用レポート
- Basic+:最小提供クライアント数 251~/マルウェア対策/運用レポート/運用代行
- Professional:最小提供クライアント数 251~/マルウェア対策/運用レポート/ファイル解析
- Professional+:最小提供クライアント数 251~/マルウェア対策/運用レポート/運用代行/ファイル解析
- Basic mini:最小提供クライアント数 5~/マルウェア対策/運用レポート/運用代行
- Professional mini:最小提供クライアント数 5~/マルウェア対策/運用レポート/運用代行/ファイル解析
■サービスの特徴
1. 運用代行:セキュリティポリシーのメンテナンスなど、「CylancePROTECT」の運用に必要な作業を代行。
2. ファイル解析:検知・防御のアラートを監視し、脅威の深刻度を通知。また、セキュリティ対策製品を運用する際に課題となる使用可否の判別が難しいファイルについて、セキュリティ対策の専門家が解析を行い、判断をサポート。
3. 運用レポート:エンドポイントにおける脅威対策状況を見える化し、定期的に報告。ビジュアル化されたレポートにより、運用状況の確認や検知した脅威に関する情報、防御状態などの報告作業の負荷軽減を支援。
2018年7月4日水曜日
「正規」を隠れ蓑にする攻撃の隠ぺいが巧妙化――トレンドマイクロが「サイバー攻撃分析レポート 2018年版」を公開
◼️標的組織内の端末を遠隔で制御し続ける上で使われるC&Cサーバは、同社が確認したもののうち83.3%がクラウドサービスやホスティングサービスなどの正規サービス上に設置されていることを確認
ソフトバンク、未知の脅威にも対応可能なモバイル向けセキュリティ製品「zIPS」を販売
◼️AIを搭載した独自の脅威検出エンジンを搭載し、未知の攻撃にも対処可能なモバイルセキュリティソリューション。
◼️iOS/Android搭載端末に対応しており、ネットワークを経由した盗聴やシステムの改ざん、標的型攻撃などによる脅威からユーザーのモバイル環境を保護するという。
◼️モバイル端末内のOSのプロセス上で発生する、不自然な挙動の兆候に着目して開発され、AIを活用した独自の脅威検出アルゴリズムにより、既知および未知の攻撃を検知できるのが特徴。
◼️脅威を検出すると同時にモバイル端末に警告を通知するので、企業は早急に対策に取り掛かれるとした。
◼️管理面では、zIPSの専用管理ツール「zConsole(ジーコンソール)」を提供。各モバイル端末で発生した攻撃や脅威を一元的に集約しているため、いつ、どのような脅威が発生したのかを時系列で確認できる。
◼️脅威検知後に遠隔操作でモバイル端末の初期化作業を行う、といったことも可能になる。◼️EMM/MDMサービスとしては、現時点でAirWatch、MobileIronおよびMicrosoft Intuneとの連携に対応するとのこと。
グーグル、VirusTotal Monitorをリリース--ウイルス対策ソフトの誤判定を軽減
◼️VirusTotal Monitorでは、開発者が公開前のファイルをアップロードし、70種類以上のウイルス対策ソフトの最新のシグネチャによるスキャンが行われる。スキャンによって「不審なソフトウェア」と判定された場合は、その結果が開発者へ通知されると同時に、その判定を行ったウイルス対策ソフトベンダーにもファイルや開発者などの情報が通知される。
◼️しばしウイルス対策ソフトは、実際には正規のソフトウェアであるにも関わらず、ファイルの構造やプロセスなどのさまざまな観点から誤ってマルウェアと判定(誤判定)したり、マルウェアとは断定してなくても「悪質性が疑われる(偽陽性)」と判断したりすることがある。
◼️Googleは、ウイルス対策ソフトによる誤判定や間違った偽陽性判定によって"レッテル"を貼られたソフトウェアには、ウイルス対策ソフトのエンドユーザーや世間が厳しい目が向けられてしまい、開発者が労力を掛けて生み出したソフトウェアの収益機会が失われてしまうと指摘する。
◼️従来は、開発者自身が個々のウイルス対策ソフトベンダーと調整せざるを得ないことが多く、大きな負担になっていたほか、ベンダー側の対応の遅れから影響が拡大するなどの問題があった。
マルウェアの「URLZone」、プロセスホローイング手法で日本企業に攻撃
◼️攻撃では、まず不正なマクロを埋め込んだOfficeファイルを添付するフィッシングメールが企業に送り付けられる。
◼️企業の受信者がこのマクロを実行してしまうと、PowerShellを通じて、URLZoneのダウンロードと実行に至る。
◼️URLZoneは、Dropboxなどの正規アプリケーションに偽装されており、実行後は動作している環境がサンドボックスなどの仮想化環境か、実際のコンピュータ環境かを確認する
◼️仮想化環境を検知した場合は、URLZoneの動作が停止するが、実際のコンピュータ環境と判断した場合は、プロセスホローイング手法が実行される。具体的には、「explorer.exe(エクスプローラー)」もしくは「iexplorer.exe(Internet Explorer)」のプロセスを起動して不正なコードを挿入し、悪意ある動作を隠ぺいする。
◼️こうして攻撃者が設置したコマンド&コントロール(C2)サーバに接続し、最終的にボットネットマルウェアの「Cutwail」やオンラインバンキングマルウェアの「Ursnif(別名:DreamBot、Goziなど)」をユーザーのコンピュータに送り込む。
☆不正な添付ファイルを開かないようにするなどの従業員へのセキュリティ教育と技術的な対策が重要だとアドバイ
2018年6月27日水曜日
シマンテック、ウェブ無害化を実装したセキュリティサービスを発表
◼️「Symantec Web Security Service(WSS)」を強化し、新たにアイソレーション(分離)技術によるウェブ無害化やSD-WAN型のネットワーク制御などの機能の提供を開始
◼️WSSは、Symantecが2016年に買収したBlueCoat Systemsのプロキシ制御やURLフィルタリングなどの機能と、Symantecクのマルウェア対策やデータ漏えい防止(DLP)などのセキュリティ機能を統合して提供しているもの。
◼️Fireglassのアイソレーション技術は、ウェブサーバから配信されるコンテンツをいったんコンテナ環境において検査し、不正サイトへのリンクや不正な動作を実行するスクリプトなどの有害なコンテンツを"無害化"する。
◼️無害化したコンテンツをレンダリング情報としてユーザーのウェブブラウザに配信することにより、ユーザーが万一危険なコンテンツを内包するウェブページにアクセスしても、不正サイトの誘導やマルウェアのダウンロードといった実質的な被害を避けることができる
「CSVファイル」用いた標的型攻撃、4月以降も - 複数攻撃手法を併用
◼️トレンドマイクロが2017年7月より「ChessMaster」として追跡している攻撃グループ。「APT 10」「menuPass」「StonePanda」「Red Apollo」「CVNX」「POTASSIUM」といった別名で呼ばれる攻撃グループと同一グループ
◼️ChessMasterは、これまでも遠隔操作が可能となる「リモートアクセスツール(RAT)」といったマルウェアの感染を狙い、細工した文書ファイルをメールで日本国内の組織へ送りつける標的型攻撃を展開
◼️おもなターゲットは、政府機関、学術研究者、報道機関、テクノロジー系企業、マネージドサービスプロバイダなどで、機密情報の窃取を目的に活動
2018年6月12日火曜日
2018年6月6日水曜日
2018年5月31日木曜日
アールワークス、システム改ざん検知・復旧ソフト「WebARGUS」のSaaS版「SECURE-ARGUS」を提供
◼️デジタル・インフォメーション・テクノロジー株式会社と株式会社アールワークス
◼️ウェブサイトの検知改ざん・復旧ソフトウェア「WebARGUS Enterprise Edition」のSaaS化事業で協業
◼️SaaSとして提供することで、顧客側での管理サーバーの購入・構築・維持を不要とする。
◼️SECURE-ARGUSの料金は、初期費用が無料、月額費用が3万4000円(税別)。監視設計、監視対象サーバーへのエージェントのインストールなど監視初期設定は個別見積もり
2018年5月30日水曜日
「Windows Defender」は低評価?--MSがウイルス対策ソフト比較テストの結果を検証
◼️「Windows Defender」は15製品中7位
◼️「Windows Defender Advanced Threat Protection」(ATP)の「スタックコンポーネント」を導入するオプションも顧客に提供されていることから、Windows Defenderは全体像から見て半分程度
◼️Defenderには、合法的なアプリを誤ってマルウェアと判定する問題がまだ残っている
2018年5月28日月曜日
インフォセックとトレンドマイクロ、標的型サイバー攻撃の兆候早期検知・被害拡大防止を目的としたMDRサービスの試験提供を開始
◼️端末アセスメントサービス
サイバー攻撃で用いられるような不審ファイルが端末内に存在するといったサイバー攻撃の兆候やバックドアの設定などの感染の兆候を、Indicator of Compromise(攻撃の痕跡を示す情報)とIndicator of Attack(脅威の兆候を示す情報)に基づきルール化したデータとクラウド型セキュリティ技術基盤 「Trend Micro Smart Protection Network(SPN)」を活用して端末内の脅威の兆候を可視化。この検出結果をもとに、インフォセックのセキュリティアナリストが解析を実施し、アラート内容や付随情報等を総合して脅威の深刻度をレポートする。
◼️端末追跡分析サービス
感染が疑われる特定端末に関するレジストリ情報などのさまざまな情報を収集し、これらの情報をもとにインフォセックのセキュリティアナリストが、これまでのMSS(Managed Security Service)における知見や実績、技術を活用し、発見された不正プログラムの動作状況や危険度の分析を元にタイムリーなインシデントレスポンス支援を提供する。
カスペルスキー、法人向けセキュリティ製品「Kaspersky Endpoint Security 11 for Windows」を販売開始
◼️脆弱性攻撃ブロック:Adobe AcrobatやMicrosoft Office、Internet Explorerなど、企業や組織で広く利用されているアプリケーションの脆弱性を突く攻撃を防御。脆弱性のあるアプリケーションの最新情報を保持し、プロセスを監視して悪意のあるコードの実行など、通常とは異なる不審な挙動があった場合はブロックし攻撃を未然に阻止する。
◼️ふるまい検知:プログラムの実際の動きをふるまい用データベース(BSS)とマッチングさせることで、不審な挙動のプログラムを検知する。未知の脅威からの保護に有効。また新たに、外部からの共有フォルダの暗号化に防止する機能を追加した。これにより、共有フォルダ内のファイルに対してリモートコンピューターからの処理が暗号化の試行であった場合、そのコンピューターを自動的に信頼しないホストのリストに追加し、共有フォルダへのアクセスをブロックすることが可能。
◼️修復エンジン:マルウェアによって、システムファイルやレジストリが改竄、変更された場合でも、エンドポイント側で自動的にロールバックし元の状態に戻す。
◼️「Kaspersky Endpoint Detection and Response(KEDR)」のエージェントが組み込まれている。KEDRはエンドポイントの動作ログを収集し、それらを可視化・分析することで不審なふるまいを検知し、速やかなインシデント対応をサポートする。
2018年5月25日金曜日
SNSにより異なるサイバー犯罪者のメリット(EMCジャパン)
◼️Facebook
膨大な数の多様な利用者がおり、犯罪者にとって最も頼れるプラットフォーム。Facebookをベースに活動する犯罪グループは増加しており、アカウント数も急増している。特に、マーケットプレイス機能やストーリー機能が活用されている。◼️Instagram
主に、犯罪者自身の製品やサービスを宣伝するために使われている。eコマースサイトで違法に購入した商品の注文履歴や、ハッキングされた銀行口座のスクリーンショットなどが自慢げに投稿されているという。インチキ広告も多い。また、ストーリー機能は、共有時間が24時間に限られていることも、犯罪者に受けている。投稿した写真や動画を相手が見たら自動的に消去する機能も好都合としている。◼️YouTube
犯罪者の間でもっとも人気があり、広告やトレーニング動画の投稿に使われている。投稿された動画は、Googleで犯罪用語を検索した結果として表示されるようになっているほか、投稿された動画はYouTubeに長期間とどまる傾向があることも、犯罪者は利点と考えているという。
2018年5月24日木曜日
WannaCry騒動から1年を経て教訓は生かされたか--次なる脅威への備えは
◼️WannaCryがあれほどの速さで広がったのは、攻撃者グループが、通常のマルウェアに米国家安全保障局(NSA)から流出したハッキングツール「EternalBlue」を組み合わせ、脆弱性を持つ「Windows」システムに自動的に伝播していく、ワームに似た能力を持たせたためだ。
◼️300ドル相当のビットコインを指定されたアドレスに送ることを要求し、身代金が3日以内に支払われなかった場合には、要求額が2倍になると被害者を脅迫した。また、身代金が1週間以内に支払わなかった場合には、ファイルは永久的に削除されるとも書かれていた。
◼️研究者らは、WannaCryのコードがずさんで、身代金の支払元と特定の被害者を結びつけることができず、復号化のための鍵を送ることができないことを突き止めていた。
しかも研究者らは、復号化の鍵そのものが機能しないと結論づけた。
◼️2017年8月にこの資金を現金化したが、手にした金額は約14万ドルだった。
◼️大手ベンダーがパッチを提供したら、すぐにあらゆるものを確実に保護し、パッチを適用し、最新の状態に保てるようにする必要がある。これにはパッチ管理や、重要資産や重要インフラの可視化といった技術的には難しくない課題があるが、これらについては改善の余地がある」
◼️成功例として「Google Chrome」を挙げた。
「ユーザーは、セキュリティパッチが適用され、アップデートされたことさえ気づかない。Googleが脆弱性を把握すると、Google側でそれを修正してしまい、ユーザー側で何かをクリックしたりする必要がないのは助かる」
2018年5月23日水曜日
メニコン子会社でクレジットカード情報が漏えい--約668万円の被害確認
◼️既に27人が不正使用の被害に遭い、約668万円の被害が発生していることを明らかにした。
◼️原因はウェブアプリケーションの脆弱性を利用した外部から不正アクセス
中国でのべ2億件超の日本人情報が販売、企業流出も確認--ファイア・アイ
◼️中国でのべ2億件以上の日本人の個人情報が販売されていたと発表した。
◼️情報の中には同社の顧客企業の流出したデータが含まれていたことも確認したという。
◼️同社傘下のセキュリティ調査会社iSIGHTが分析を行った結果、日本のウェブサイトや企業などから流出したデータである可能性が高い
◼️個人や企業の従業員などのIDやパスワード、氏名、ニックネーム、住所、生年月日、年齢、携帯電話番号など多岐にわたる
◼️総量では5Gバイトを超える
◼️ネット上での販売価格は1000元(約1万7300円)と、こうした情報の不正販売としては"異常な格安ぶり"
◼️「よくIDやパスワードの使い回しが指摘されるが、改めてその状況が確認された。
「次の攻撃はこれだ」、Antuitが日本に特化したサイバー脅威情報の提供サービス
◼️ビッグデータ分析に強みを持つAntuit(アントゥイット)
◼️今後発生しそうなサイバー攻撃や攻撃者が使う手法といった「サイバー・スレット(脅威)・インテリジェンス(CTI)」の提供を中核としたセキュリティサービスの提供を始めた。
→日本に特化
◼️サービス名は「CYFIRMA(サイファーマ)360°サイバーセキュリティサービス」。
◼️「ダークWeb」や「ディープWeb」を自動巡回する900個以上のソフトロボを運用するなどして、28万2000個以上のデータソースからサイバー脅威情報を収集。AI(人工知能)と機械学習を使って分析し、顧客企業ごとにカスタマイズした脅威情報を毎日提供
◼️情報提供サービスの利用料は1社当たり月額300万円
2018年5月22日火曜日
2018年5月21日月曜日
2018年5月18日金曜日
2018年5月17日木曜日
2018年4月26日木曜日
クロス・ヘッド、エフセキュアと連携して企業のGDPR対策のための包括的なセキュリティサービスを提供
◼️クロス・ヘッド株式会社
◼️エフセキュア株式会社
◼️5月から施行されるGDPR(EU一般データ保護規則)に向けた、日本企業の対策のため包括的なセキュリティサービスを5月31日に開始
◼️GDPRは、EUにおける新しい個人情報保護の枠組みとして、個人データの処理と移転に関するルールを定めた規則で、5月25日から施行される。
◼️GDPR対策コンサルティング、運用体制の構築支援や、外部からのサイバー攻撃、「F-Secure RDS」の運用監視サービスを提供
脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位(ServiceNow)
◼️ServiceNow Japan株式会社
◼️日本企業は情報セキュリティ部門の予算や人材などの85%(世界9カ国平均は79%)を、ファイアウォールやデータ漏えい防止ツールなどのデータの保護・検出機能に投資している一方、セキュリティレスポンスへの投資は限られている。レスポンスに対する投資は、オランダと並んで最も低い値(15%、世界9カ国平均は21%)となっている。
2018年4月24日火曜日
AI分析で攻撃の兆候をリアルタイム検知――大阪市、1万7000台のエンドポイントを常時監視する「Cybereason EDR」を導入
◼️Cybereason EDRではサイバー攻撃の兆候を検知した場合、管理画面で攻撃の詳細を可視化。侵害箇所、感染原因、感染経路など、被害を正確に把握し、迅速に対処できるようにする。
◼️Cybereason EDRの分析エンジン「Hunting Engine」は、攻撃の兆候を「振る舞い分析」や攻撃手法などから洗い出し、ログを横断的に分析することで統計的に異常な行動を発見する。
2018年4月18日水曜日
約27万件のログイン情報が外部へ流出(三菱地所・サイモン
約27万件のログイン情報が外部へ流出(三菱地所・サイモン)
https://scan.netsecurity.ne.jp/article/2018/04/16/40814.html
https://scan.netsecurity.ne.jp/article/2018/04/16/40814.html
2018年4月16日月曜日
最大2,855件の顧客情報流出を新たに確認(ポルシェ ジャパン)
最大2,855件の顧客情報流出を新たに確認(ポルシェ ジャパン)
http://cf.netsecurity.ne.jp/c/aA79aczgoEr2ppa3
http://cf.netsecurity.ne.jp/c/aA79aczgoEr2ppa3
- 不正アクセスにより流出した顧客情報の範囲を特定し、再発を防止するために、データフォレンジックを専門とする外部機関に追加調査業務を委託し3月30日に調査結果を受領。その結果、2月26日に公表した初動調査で確認できなかった顧客情報の流出が今回新たに確認された
- 2月26日発表時のものも含めて最大31,574件の顧客情報の流出の可能性
- 再発防止策として委託先のWebアプリケーションの修正を実施し、当該攻撃への対策としてIPAが推奨する対策が実施されていることが今回の調査より確認された
CASBサービス進出(ネットワンシステムズ)
http://cf.netsecurity.ne.jp/c/aA79aczgoEr2ppaz
http://cf.netsecurity.ne.jp/c/aA79aczgoEr2ppaz
- クラウドからの情報漏えいを防止するセキュリティサービス「CASBサービス for Sanctioned IT」を同日より販売開始
- 業が利用を許可しているクラウドにおいて、利用者の不審な行動の検知と、セキュリティポリシーに応じた機密データの保護(削除/共有制限/暗号化等)により、情報漏えいのリスクを低減するもの
- 価格は1ユーザあたり年額1,080円から
- 利用者・管理者の詳細な行動履歴を収集し、一元的かつドリルダウン可能な管理画面での「可視化機能」
- 利用者・管理者の行動を分析し、情報漏えいにつながる不審な行動を検知する「脅威防御機能」
- 機密情報を含むデータを検知し、操作を制御する「コンプライアンス機能」
- 機密情報を含むデータをアップロードする際に、自動的に暗号化する「データセキュリティ機能」を搭載することが特徴
カーボンブラック社のEDR製品を販売開始、CSIRT向けツールとも連携(GRCS)
カーボンブラック社のEDR製品を販売開始、CSIRT向けツールとも連携(GRCS)https://scan.netsecurity.ne.jp/article/2018/04/10/40785.html
- 「Cb Defense」の提供を開始する。また、同製品の導入・運用支援サービスの提供を開始するほか、GRCS製品のCSIRT向けインシデント管理ツール「CSIRT MT」と「Cb Defense」の連携機能をリリースする。
- 未知の攻撃を含めた検知を行った攻撃情報を、自動的に「CSIRT MT」に連携しインシデント情報としてチケット化する。「CSIRT MT」における管理によって、以降のフェーズの調査や暫定対応・恒久対応までの抜け漏れを防ぐとともに、状況の可視化を実現、インシデント対応の品質の高度化と省力化を実現する
登録:
投稿 (Atom)