毎月100件超のウェブ改ざん、委託状況含めてチェックを

http://www.security-next.com/095840

起訴状で明らかになった、ロシア人ハッカーの巧妙すぎる手口

http://ascii.jp/elem/000/001/710/1710896/?topnew=5

◼️「スピアフィッシング（標的型）」メールを送信して正面のドアから侵入していたという。選挙職員を騙して「ヒラリークリントン_支持率.xlsx」などの偽のリンクをクリックさせようとするメールである。騙されて偽のリンクをクリックすると、選挙職員たちのパスワードがばれてしまう。

◼️ハッカーらは、X-Agentと呼ばれるマルウェアを使用して、DCCCのコンピューターを感染させ、DNCのネットワークにアクセスできるようにした。彼らが入手したのはメールだけに止まらない。マルウェアを使って攻撃者らは、職員が仕事でタイピングしている内容やスクリーンショットを手に入れられた。セキュリティ・ソフトウェアは大量のデータをシステムから抜き出そうとする疑わしい行動を検知できることが多いが、X-Agentはデータファイルを持ち出す前にファイルを圧縮して暗号化していた。

◼️盗み出した情報をばらまくのに使うドメインを登録するための支払いをルーマニアに本拠を構える企業に支払いをするのに、ビットコインが使われた

◼️ロシア人らはまた、自分たちのサイバー攻撃を、単独で行動するルーマニア人のハッカーであるグシファー 2.0（Guccifer 2.0）の仕業に見せかけようとした（起訴状によると、匿名の米国議員候補が後に、盗まれた情報にアクセスする目的でグシファーと接触したという）。

不正アクセスを受けた大阪大学が模索する、新しい「CSIRT」の在り方（前編）

http://www.itmedia.co.jp/enterprise/articles/1807/17/news008.html

◼️「IPAのJ-CRATの支援を得て、レジストリなどに改変が加えられていないかをツールでチェックする作業を、学内にある2万1000台のWindowsホスト全台に対して行いました」（柏崎氏）。その結果、今回の不正アクセスに関連したもの以外にも、幾つか怪しい挙動が見つかり、検体の解析や対処に追われたという。

◼️　「もちろん、大阪大学でも脆弱性検査はやってはいました。ですが頻度は2年に1回で、予算額が決まっていることもあり、重要なサーバ以外は任意でのチェックという形を取っており、十全な備えができていたとはいえないと思います」（柏崎氏）

◼️脆弱性スキャナーの「Nessus」を利用している

→「そこでNessusの評価版を入れて、shodan.ioで検出された800以上の大阪大学のIPv4アドレスを突っ込み、ひたすら脆弱性チェックを行いました。そうしたら、何とまあサポート外OSの多いこと……『Critical』や『High』の脆弱性がこれでもかというほど検出され、画面は真っ赤な状態でした」（柏崎氏）

◼️東陽テクニカから「Tenable.io」の提案を受け、採用することにしたという。

PwCサイバーサービス、社内に潜伏するマルウェアを検出する「スレットハンティングサービス」を提供開始

https://cloud.watch.impress.co.jp/docs/news/1131843.html

◼️スレットハンティングサービスは、ウイルス対策ソフトなどのセキュリティ対策をくぐり抜ける新種、亜種のマルウェアを、定期診断型アプローチにより検出し、被害を未然に防ぐことを目指すサービス。

◼️コンピュータの利用状況や通信を記録したログデータを、AIを搭載した分析エンジンが検索し、マルウェアが残した痕跡を収集。また、集めたデータをマルウェア分析の高度な知見を有する専門家が分析し、誤検知を除外し、さらには脅威情報と照合することで、他の攻撃との関連性などを調査、報告する。

◼️マルウェアの侵入時期を予測することは困難なため、セキュリティパッチやアンチウィルスソフトによる日常的な対策に追加する形で、四半期に一回などの定期的な集中診断としての利用を推奨していくとしている。

下火になったランサムウェア、それでも警戒を解くべきでない理由

https://japan.zdnet.com/article/35122071/

◼️クリプトジャッキング攻撃は、PCをマルウェアに感染させて、プロセッサの処理能力を秘密裏に利用して仮想通貨をマイニングさせ（通常は、比較的マイニングしやすいMoneroが対象になる）、得られた通貨を攻撃者のウォレットに預けるというものだ。

◼️ランサムウェアとは違い、この攻撃は隠密性が高く、感染が発見されない限り攻撃者の安定した収入になる。クリプトジャッキング攻撃は検出されにくい性質を持っていることから、2018年に入ってから人気が急上昇している

◼️短期的には、ファイルが暗号化されている間業務ができないというダメージを受けるが、長期的な影響としては、顧客からの信用を失ったり、ユーザーからデータを安全に守れない企業だと思われてしまったりする可能性もある。

セキュリティア、EDRを実装した次世代アンチウィルス製品「Carbon Black Defense」を販売開始

https://enterprisezine.jp/article/detail/10949

■「Cb Defense」の3つの特徴 

　1. クラウド上でビッグデータの解析の1つである「イベントストリーミング」処理を利用し、リアルタイムでファイルのみではなくイベントの流れ（関係性）を分析し、セキュリティリスクを判断する独自技術「ストリーミングプリベンション」による高精度な脅威の検知、既知／未知のマルウェアに加え、ファイルレスマルウェアの検知を実現している。

　2. 感染端末の自動隔離や調査に必要な論理的な隔離ネットワーク構築機能を持つ最先端のEDR機能。

　3. クラウドを使用した低負荷設計、CPUならびにメモリの利用率は1％以下。

　■「Cb Defense」の使い方・利用シーン

• 在宅勤務などのテレワーク環境の標的型攻撃対策強化
• GDPR、改正割賦販売法、改正個人情報保護法等の対策
• 自治体セキュリティ強靭化対策、医療ガイドライン（略称）対策

　■「Cb Defense」の製品概要

• 既知・未知マルウェアやファイルレス攻撃であっても検出が可能
• EDR機能によるセキュリティインシデントに繋がるイベントへの対応
• 万一の感染時でも早期検知により被害拡大を防ぎ、初期対応から復旧までをも実現

IPA、経産省基準に適合したセキュリティ事業者を公開--ユーザーの判断材料に

 https://japan.zdnet.com/article/35122014/

ウェブ経由のマルウェア、「WordPress」改ざんサイトから多数検知

http://www.security-next.com/095307

NECソリューションイノベータ、CylancePROTECTに監視・運用などを加えたエンドポイント脅威対策サービス

https://enterprisezine.jp/article/detail/10940

■サービスメニュー

• Basic：最小提供クライアント数 20～／マルウェア対策／運用レポート
• Basic＋：最小提供クライアント数 251～／マルウェア対策／運用レポート／運用代行
• Professional：最小提供クライアント数 251～／マルウェア対策／運用レポート／ファイル解析
• Professional＋：最小提供クライアント数 251～／マルウェア対策／運用レポート／運用代行／ファイル解析
• Basic mini：最小提供クライアント数 5～／マルウェア対策／運用レポート／運用代行
• Professional mini：最小提供クライアント数 5～／マルウェア対策／運用レポート／運用代行／ファイル解析

　■サービスの特徴 

　1. 運用代行：セキュリティポリシーのメンテナンスなど、「CylancePROTECT」の運用に必要な作業を代行。

　2. ファイル解析：検知・防御のアラートを監視し、脅威の深刻度を通知。また、セキュリティ対策製品を運用する際に課題となる使用可否の判別が難しいファイルについて、セキュリティ対策の専門家が解析を行い、判断をサポート。

　3. 運用レポート：エンドポイントにおける脅威対策状況を見える化し、定期的に報告。ビジュアル化されたレポートにより、運用状況の確認や検知した脅威に関する情報、防御状態などの報告作業の負荷軽減を支援。

「正規」を隠れ蓑にする攻撃の隠ぺいが巧妙化――トレンドマイクロが「サイバー攻撃分析レポート 2018年版」を公開

https://enterprisezine.jp/article/detail/10901

◼️標的組織内の端末を遠隔で制御し続ける上で使われるC&Cサーバは、同社が確認したもののうち83.3％がクラウドサービスやホスティングサービスなどの正規サービス上に設置されていることを確認

ソフトバンク、未知の脅威にも対応可能なモバイル向けセキュリティ製品「zIPS」を販売

https://cloud.watch.impress.co.jp/docs/news/1129091.html

◼️AIを搭載した独自の脅威検出エンジンを搭載し、未知の攻撃にも対処可能なモバイルセキュリティソリューション。

◼️iOS／Android搭載端末に対応しており、ネットワークを経由した盗聴やシステムの改ざん、標的型攻撃などによる脅威からユーザーのモバイル環境を保護するという。

◼️モバイル端末内のOSのプロセス上で発生する、不自然な挙動の兆候に着目して開発され、AIを活用した独自の脅威検出アルゴリズムにより、既知および未知の攻撃を検知できるのが特徴。

◼️脅威を検出すると同時にモバイル端末に警告を通知するので、企業は早急に対策に取り掛かれるとした。

◼️管理面では、zIPSの専用管理ツール「zConsole（ジーコンソール）」を提供。各モバイル端末で発生した攻撃や脅威を一元的に集約しているため、いつ、どのような脅威が発生したのかを時系列で確認できる。

◼️脅威検知後に遠隔操作でモバイル端末の初期化作業を行う、といったことも可能になる。◼️EMM/MDMサービスとしては、現時点でAirWatch、MobileIronおよびMicrosoft Intuneとの連携に対応するとのこと。

グーグル、VirusTotal Monitorをリリース--ウイルス対策ソフトの誤判定を軽減

https://japan.zdnet.com/article/35121281/

◼️VirusTotal Monitorでは、開発者が公開前のファイルをアップロードし、70種類以上のウイルス対策ソフトの最新のシグネチャによるスキャンが行われる。スキャンによって「不審なソフトウェア」と判定された場合は、その結果が開発者へ通知されると同時に、その判定を行ったウイルス対策ソフトベンダーにもファイルや開発者などの情報が通知される。

◼️しばしウイルス対策ソフトは、実際には正規のソフトウェアであるにも関わらず、ファイルの構造やプロセスなどのさまざまな観点から誤ってマルウェアと判定（誤判定）したり、マルウェアとは断定してなくても「悪質性が疑われる（偽陽性）」と判断したりすることがある。

◼️Googleは、ウイルス対策ソフトによる誤判定や間違った偽陽性判定によって"レッテル"を貼られたソフトウェアには、ウイルス対策ソフトのエンドユーザーや世間が厳しい目が向けられてしまい、開発者が労力を掛けて生み出したソフトウェアの収益機会が失われてしまうと指摘する。

◼️従来は、開発者自身が個々のウイルス対策ソフトベンダーと調整せざるを得ないことが多く、大きな負担になっていたほか、ベンダー側の対応の遅れから影響が拡大するなどの問題があった。

HTTPSのフィッシングサイトは全体の約3割--パロアルトネットワークス調査

https://japan.zdnet.com/article/35121224/

マルウェアの「URLZone」、プロセスホローイング手法で日本企業に攻撃

https://japan.zdnet.com/article/35121156/

◼️攻撃では、まず不正なマクロを埋め込んだOfficeファイルを添付するフィッシングメールが企業に送り付けられる。

◼️企業の受信者がこのマクロを実行してしまうと、PowerShellを通じて、URLZoneのダウンロードと実行に至る。

◼️URLZoneは、Dropboxなどの正規アプリケーションに偽装されており、実行後は動作している環境がサンドボックスなどの仮想化環境か、実際のコンピュータ環境かを確認する

◼️仮想化環境を検知した場合は、URLZoneの動作が停止するが、実際のコンピュータ環境と判断した場合は、プロセスホローイング手法が実行される。具体的には、「explorer.exe（エクスプローラー）」もしくは「iexplorer.exe（Internet Explorer）」のプロセスを起動して不正なコードを挿入し、悪意ある動作を隠ぺいする。

◼️こうして攻撃者が設置したコマンド＆コントロール（C2）サーバに接続し、最終的にボットネットマルウェアの「Cutwail」やオンラインバンキングマルウェアの「Ursnif（別名：DreamBot、Goziなど）」をユーザーのコンピュータに送り込む。

☆不正な添付ファイルを開かないようにするなどの従業員へのセキュリティ教育と技術的な対策が重要だとアドバイ