破壊をもたらすサイバー攻撃を可視化して阻止する--実戦向き対策（サイバーリーズン）

https://japan.zdnet.com/article/35123314/

◼️一つは、攻撃の前にしっかりと組織を調査し、よく使う添付ファイルの形式や、メールをやり取りする相手などの情報を調べ上げ、その上で攻撃を行っていること。

◼️もう一つは、これまで"山"ほどに組まれてきたゲートウェイセキュリティの検知を回避する技術ができあがっていること。

◼️3つ目は、検知の対象となるファイル自体がないケースが出てきたことだ。

◼️さらに、通信のSSL化が拍車をかけている。非常に高価なサンドボックスでさえも、暗号化された添付ファイルを復号できなければスルーしてしまう。つまり、非常に高価なゲートウェイ装置をスルーされてしまうのが日本の現状であるとした。

◼️侵入後の攻撃者の戦法も変化しており、攻撃者が人手を介したコマンドで攻撃してくる。そのため、ファイルやマルウェアがない状態

★従来は、情報漏えいの賠償金やインシデントレスポンスの費用などを考慮する必要があった。しかし破壊を伴う攻撃では、業務停止に陥り、売上の損失、コストの計上、信頼の失墜なども加味しなければならない。さらに影響を受けたデータに欧州連合（EU）の市民に関わる情報が含まれていて、72時間以内にEU当局に伝えられなかった場合は、高額な罰則違反金を払わなくてはならない。

目指すは自動復旧と根本原因解析――ソフォスがサーバ向けエンドポイントプロテクションを発表

http://www.atmarkit.co.jp/ait/articles/1807/30/news101.html

◼️不正にブロックチェーンのマイニングを行う「クリプトマイニング」においては、クライアントPCよりもリソースが潤沢なサーバが狙われる

◼️サーバ上でランサムウェアのデモアプリが実行されると、即座にIntercept X for Serverが検知し挙動をブロック。その情報が同社独自のプロトコルで、ソフォスのファイアウォールに伝搬した。その後はサーバ上での通信がブロックされるため、C＆Cサーバと通信するようなマルウェアの行動がブロックされる。さらに、その後しばらくするとサーバでクリーンアップ作業が行われ、ランサムウェアが駆除されると元の通り通信が行えるようになる。

マルウェアを混入させる「ソフトウェアサプライチェーン攻撃」、多くの組織が脅威と考えるも対応は不十分～CrowdStrike調査

https://cloud.watch.impress.co.jp/docs/news/1135596.html

◼️ソフトウェアサプライチェーン攻撃とは、ソフトウェア製品やハードウェア製品内のソフトウェアについて、開発・製造・流通・配布などのサプライチェーンの過程においてマルウェアを混入させる攻撃

国内組織の35％がランサムウェアで被害--JPCERT/CCが実態調査

 https://japan.zdnet.com/article/35123248/

バンキングマルウェア「URLZone」が日本をターゲットに、請求書を装ったメール本文も自然な日本語に進化中

 https://internet.watch.impress.co.jp/docs/news/1135059.html

◼️「10年前は、シグネチャファイルを作成して対処するだけで脅威は収まった。しかし、ここ数年は使い捨てのマルウェアが利用されているため、シグネチャベースのセキュリティ製品や、『Virus Total』で検知されなかったからといって安心できるわけではない」と警告する。

◼️2017年にCylance製品のユーザーが検知した上位10種類のマルウェアは、「WannaCry」「Cerber」「Locky」「Petya」「Polyransom」などのランサムウェアや、「Upatre」「Emotet」「Ramnit」「Fareit」「Terdoi/Zloader」などのバンキングマルウェアだったという。

◼️セキュリティ対策として、

1）ハード／ソフトウェアを常に最新の状態に保つこと、

2）アクセス権限を管理すること、

3）リモートアクセスを制限し、かつモニターすること、

4）ソーシャルエンジニアリングとフィッシングに対するトレーニングを行うこと、

5）脆弱なインフラに対しては物理的なセキュリティを強化すること

日本セーリング連盟のオリ強サイトが改ざん - 未使用の旧CMSが原因か

 http://www.security-next.com/095846