2019年12月24日火曜日
サイトへのアクセス、AIがbotか判定 ECサイトの買い占めなど防止 日立が提供
セキュリティサービスを提供する米PerimeterXが開発。AIがマウスの動きやキーボードの入力速度を分析し、アクセス元がbotかどうか判定する。botの場合は、マウスの動きが直線的であったり、キーボードの入力が速く等間隔であったり、規則性があるという。botの可能性があるときは文字入力や画像選択などをさせる「CAPTCHA」を表示して、不正なアクセスを防ぐ。CAPTCHAの正誤結果はAIにフィードバックし、自動学習によって識別精度を高める。
Wordファイルは危ないと心せよ、あの「便利な機能」がEmotetウイルスを呼ぶ
■パソコンに保存されているメールソフトの設定情報や過去のメールを盗みだし、送信元を偽装する。過去のメールを引用して、そのメールの返信を装うこともある。
■感染拡大にWordファイルを使っていることも大きな理由だと筆者は考えている。ユーザーの多くはWordファイルをそれほど警戒しないためだ。
■感染拡大にWordファイルを使っていることも大きな理由だと筆者は考えている。ユーザーの多くはWordファイルをそれほど警戒しないためだ。
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
1.クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サーバからECサイトのサーバに返ってきたトークンを使って決済処理を行う「トークン型」。
→決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。
2.決済自体を決済会社側で行う「リダイレクト型」だ。
→決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。
いずれもECサイト側でクレジットカード情報を保持していない
■従来のECサイトでは、各サイトのデータベースにクレジットカード情報が保存されていたため、「SQLインジェクション」やバックドア攻撃などでセキュリティ的に脆弱なサイトのデータベースから情報を直接盗むことができた。「
■ECサイトを構築するためのシステムとして、「EC-CUBE」というコンテンツ管理システムが広く用いられている。「最新バージョンは4系だが、バージョン2系が特に広く普及している」と徳丸氏は話す。攻撃で狙われているのはこの「バージョン2系」だという。
→決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。
これにより、ユーザーが入力欄に番号を入力すると、番号が攻撃者のサーバにも送られることになってしまう。
2.決済自体を決済会社側で行う「リダイレクト型」だ。
→決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。
本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。
最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。
いずれもECサイト側でクレジットカード情報を保持していない
■従来のECサイトでは、各サイトのデータベースにクレジットカード情報が保存されていたため、「SQLインジェクション」やバックドア攻撃などでセキュリティ的に脆弱なサイトのデータベースから情報を直接盗むことができた。「
■ECサイトを構築するためのシステムとして、「EC-CUBE」というコンテンツ管理システムが広く用いられている。「最新バージョンは4系だが、バージョン2系が特に広く普及している」と徳丸氏は話す。攻撃で狙われているのはこの「バージョン2系」だという。
「Google Play」が取り組む不正アプリ対策、1日500億件超の審査・解析など実施
■Google Playでは、過去12カ月間で1160億のアプリ・ゲームが全世界でダウンロードされているが、その中には改変されたアプリや悪質なコンテンツが含まれるもの、不正な広告を表示するものが存在している。Googleでは被害を防ぐため不正アプリを特定する専任のチームを擁しており、毎日500億件を超えるアプリを審査・解析して挙動を確認している。
■個人情報を流出させたり、ボットネットに対してユーザーの電話番号をリスト化する挙動が見られるSDKも確認されたという。
■デベロッパー用の新規アカウントは毎日数千件作成されているという。この中には、悪意ある攻撃者が一度公開が禁止されたアプリを再公開する目的で作成したアカウントが含まれる。審査ではそうしたアプリが公開される前にポリシーに違反しているものがないか特定して阻止する。
■個人情報を流出させたり、ボットネットに対してユーザーの電話番号をリスト化する挙動が見られるSDKも確認されたという。
■デベロッパー用の新規アカウントは毎日数千件作成されているという。この中には、悪意ある攻撃者が一度公開が禁止されたアプリを再公開する目的で作成したアカウントが含まれる。審査ではそうしたアプリが公開される前にポリシーに違反しているものがないか特定して阻止する。
香港デモを標的にした中国からのDDoS攻撃、「Great Cannon」の稼働を確認
中国のサイバー攻撃システム「Great Cannon」を使ったDDoS攻撃が、香港の抗議運動組織のWebサイトに対して仕掛けられているという。
不正アクセスでクレカ情報流出のおそれ - モーターマガジン社
■2018年8月21日から2019年6月27日におかけて、同サイトで商品を購入した顧客のクレジットカード情報が外部へ流出し、一部が不正利用された可能性があることが判明したもの。
■システムの脆弱性を突かれたことによる不正アクセスが原因だという。
■システムの脆弱性を突かれたことによる不正アクセスが原因だという。
ウェブサーバにマルウェア、攻撃の踏み台に - JP共済生協
■11月に確認された気象庁を装う「なりすましメール」において、同組合が利用するウェブサーバがマルウェアをホストするために悪用されたもの。
■不正アクセスを受けた原因について、ブルートフォース攻撃などによりパスワードが破られてファイル転送用のアカウントがログインを許し、問題のファイルがアップロードされたと説明。
■不正アクセスを受けた原因について、ブルートフォース攻撃などによりパスワードが破られてファイル転送用のアカウントがログインを許し、問題のファイルがアップロードされたと説明。
象印のECサイトに不正アクセス、最大28万件の顧客情報が流出 決済画面が改ざん
■子会社が運営するECサイト「象印でショッピング」が不正アクセスを受け、氏名やメールアドレスなど、最大28万件の顧客情報が流出したと発表した。流出したメールアドレス宛には、不審なサイトに誘導するメールが送られているといい、そこでクレジットカード情報が窃取された可能性もあるという。
■ECサイトのシステムが不正アクセスを受け、個人情報の抜き出しに加え、商品情報と決済情報を入力する画面が改ざんされたという。
■流出したメールアドレス宛には「○○○○(顧客の氏名)おめでとうございます!オリジナルQUOカード キャンペーン実施中!」という件名のメールが送信されていることも判明。メール本文のURLから改ざんされたサイトへと誘導し、クレジットカード情報を入力させるものだったとしている。
■偽サイトでは、カード名義人名、クレジットカード番号、有効期限、セキュリティコードが窃取された可能性があるという。漏えいした件数は調査中で、対象の顧客には順次連絡する方針。監督官庁や警察当局、個人情報保護委員会などには報告済みとしている。
■ECサイトのシステムが不正アクセスを受け、個人情報の抜き出しに加え、商品情報と決済情報を入力する画面が改ざんされたという。
■流出したメールアドレス宛には「○○○○(顧客の氏名)おめでとうございます!オリジナルQUOカード キャンペーン実施中!」という件名のメールが送信されていることも判明。メール本文のURLから改ざんされたサイトへと誘導し、クレジットカード情報を入力させるものだったとしている。
■偽サイトでは、カード名義人名、クレジットカード番号、有効期限、セキュリティコードが窃取された可能性があるという。漏えいした件数は調査中で、対象の顧客には順次連絡する方針。監督官庁や警察当局、個人情報保護委員会などには報告済みとしている。
2段階認証でも突破する詐欺サイトが急増 作成ツール出回る
■詐欺サイト上で打ち込ませたIDやパスワードを正規の銀行サイトに入力、利用者のもとに届いた1回限り有効なパスワード(ワンタイムパスワード)を再び詐欺サイトに入力させ、盗み取る手口だ。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。
■フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的
■金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。
■フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的
■金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。
クラウドソースペネトレーションテストを提供する新会社--レッドチーム・テクノロジーズが事業開始
■デジタルハーツホールディングスとラックは11月28日、合弁会社「レッドチーム・テクノロジーズ」を設立、12月1日に事業開始すると発表した。
1.米Synackのクラウドソースペネトレーションテストを日本国内で提供開始する
2.IoT機器や自動運転基盤などを対象とした「先進IT基盤検証サービス」
3.外部から顧客の社内重要システムへの侵入を試みる「レッドチームサービス」の計3種のサービスを提供する。
★セキュリティ診断は「脆弱性を見つける」サービスで対象はIT部門向け
→リアルな現場の声としては、人材や予算の不足もあってセキュリティ対策が不十分であることは現場としてはよく分かっており、ペネトレーションテストやレッドチーム演習を実施するまでもなく「結果は分かっている」ため、現場からはこうしたサービスを利用すべきという声が上がってくることはないのだという。当然、セキュリティ対策が不十分であることが露呈すればIT部門としては失点と見なされるという理由もある。そのためもあって、経営レベルでこうしたテスト/対策の価値を正しく理解し、自社のセキュリティレベル向上のために活用していくという意識が重要になるとした。
★ペネトレーションサービスは「脅威を実証してみせる」サービスで経営レベルの判断で実施されるものだと位置づけた。
1.米Synackのクラウドソースペネトレーションテストを日本国内で提供開始する
2.IoT機器や自動運転基盤などを対象とした「先進IT基盤検証サービス」
3.外部から顧客の社内重要システムへの侵入を試みる「レッドチームサービス」の計3種のサービスを提供する。
★セキュリティ診断は「脆弱性を見つける」サービスで対象はIT部門向け
→リアルな現場の声としては、人材や予算の不足もあってセキュリティ対策が不十分であることは現場としてはよく分かっており、ペネトレーションテストやレッドチーム演習を実施するまでもなく「結果は分かっている」ため、現場からはこうしたサービスを利用すべきという声が上がってくることはないのだという。当然、セキュリティ対策が不十分であることが露呈すればIT部門としては失点と見なされるという理由もある。そのためもあって、経営レベルでこうしたテスト/対策の価値を正しく理解し、自社のセキュリティレベル向上のために活用していくという意識が重要になるとした。
★ペネトレーションサービスは「脅威を実証してみせる」サービスで経営レベルの判断で実施されるものだと位置づけた。
グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出
■政府の支援を受けたハッキンググループからの電子メール攻撃に関する警告をユーザーに送っており、
■2019年7~9月の3カ月間に1万2000件を超える警告を149カ国のユーザーに送信したという。
■Googleにおけるハッカー対策のエリート部隊「Threat Analysis Group」(TAG)
■2019年7~9月の3カ月間に1万2000件を超える警告を149カ国のユーザーに送信したという。
■Googleにおけるハッカー対策のエリート部隊「Threat Analysis Group」(TAG)
標的型攻撃相談、2019年度上半期は221件 - 80件でレスキュー支援
■2019年度上半期にサイバーレスキュー隊「J-CRAT」へ寄せられた標的型攻撃に関する相談は221件だった。そのうち80件にレスキュー支援を実施したという。
■サイバーレスキュー隊「J-CRAT」は、標的型攻撃による被害の低減などを目的とした組織で、情報処理推進機構(IPA)が2014年7月に設置。同隊特別窓口へ寄せられた標的型攻撃の相談状況について取りまとめた。
■2019年4月から9月までの2019年度上半期に寄せられた標的型攻撃に関する相談は221件。2018年度下半期の258件から37件減少した。
■そのうち、J-CRATによるレスキュー支援の対象となったケースは80件。2018年度下半期の93件から13件減となった。しかし、前年度同期の34件と比較すると2.3倍の規模であり、予断を許さない状況となっている。
■実際に隊員を派遣する「オンサイト支援」は18件だった。
偽の当選画面を表示させる「DOC/Fraud」が日本で急増
■2019年10月は詐欺サイトへのリンクが埋め込まれたdocファイル「DOC/Fraud」の検出が急増し、世界全体の検出数のうち日本は最多の約26%を占めている。同社のマルウェアラボの調査では、偽の当選画面が表示されるファイルが確認され、注意喚起を行っている。
■一時的に活動を停止していたEmotetの感染を狙った攻撃は8月後半から活動を再開し、10月には世界中で多数確認され日本国内でもEmotetの感染被害が報告されている。
■Emotetは主に別のマルウェアを配布するダウンローダーとして使われ、例えばTrickbotやUrsnifなどのバンキングマルウェアやランサムウェアなどに感染させる。
■一時的に活動を停止していたEmotetの感染を狙った攻撃は8月後半から活動を再開し、10月には世界中で多数確認され日本国内でもEmotetの感染被害が報告されている。
■Emotetは主に別のマルウェアを配布するダウンローダーとして使われ、例えばTrickbotやUrsnifなどのバンキングマルウェアやランサムウェアなどに感染させる。
不在通知を装ったSMSを経由したフィッシング詐欺サイト数が急増(BBSS)
■不在通知を装ったSMS経由でのフィッシング詐欺サイト数が、8月に212件だったものが、9月には371件と前月の1.75倍まで増加している。
■主な手口は、不在通知を装ったSMSからフィッシングサイトに誘導され、
■Android端末からアクセスした場合は、不正アプリをダウンロードするように案内
■iOS端末からアクセスした場合はApple IDを詐取される。
■BBSSではスミッシング詐欺被害防止のためのチェックポイントとして、
・「情報元不明のアプリのインストールは許可しない」
・「メールやSMSで案内されたURLが正規URLかを確認する」
・「SSL通信が提供されているかどうかをチェックする」を挙げている。
■主な手口は、不在通知を装ったSMSからフィッシングサイトに誘導され、
■Android端末からアクセスした場合は、不正アプリをダウンロードするように案内
■iOS端末からアクセスした場合はApple IDを詐取される。
■BBSSではスミッシング詐欺被害防止のためのチェックポイントとして、
・「情報元不明のアプリのインストールは許可しない」
・「メールやSMSで案内されたURLが正規URLかを確認する」
・「SSL通信が提供されているかどうかをチェックする」を挙げている。
SaaSへの不正アクセスでクレカ情報流出か - 支那そば通販サイト
■支那そばの専門店である直久の通信販売サイトが利用していたSaaSサービスが不正アクセスを受け、顧客のクレジットカード情報が流出した可能性があることがわかった。
■同サイトが利用していた全研本社のアプリケーションサービス「Allin1OFFiCE」のサーバが不正アクセスを受け、顧客情報が流出した可能性があることが判明したという。
■流出の可能性があるのは、2017年4月27日から2018年3月28日までの間
■同サイトでクレジット決済を利用した顧客のカード情報最大133件。カード名義やカード番号、有効期限、セキュリティコードが含まれる。
■「Allin1OFFiCE」を運用するサーバの脆弱性が突かれたことによる不正アクセスが原因としている。
改ざん起因の「Webmin」脆弱性に対するアクセス観測 - JPCERT/CCまとめ
■「telnet」で利用する「TCP 23番ポート」宛てのパケットが最多。
■次いで「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が多かった。
■さらに「ssh」で使用する「TCP 22番ポート」が続く。
■次いで「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が多かった。
■さらに「ssh」で使用する「TCP 22番ポート」が続く。
2019年7月12日金曜日
正規サイトを改ざんして偽当選サイトへ誘導する攻撃、リダイレクト先はランダムに変化して偽警告なども表示
▪️同社の調査によれば、偽警告などが表示される原因として、
1) 閲覧したウェブサイトの広告に不正なものが紛れ込んだ、
2)閲覧したウェブサイトが改ざんされたことを挙げている。
もしウェブサイト閲覧中に偽警告などが表示された場合は、ウェブブラウザーのタブを閉じる、ウェブブラウザー自体を終了する、PCを再起動することで対処できるとしている。
「サポート詐欺」急増、偽の警告で金銭をだまし取る驚愕の手口とは
▪️サポート詐欺とは、特定のWebサイトにアクセスしたWebブラウザーに偽の警告画面と電話番号を表示して、偽のサポートセンターに電話をかけさせるネット詐欺。電話してきたユーザーに対し、有料のサポート契約などを勧めて金銭をだまし取る。
▪️一般のWebサイトに配信される広告などに、攻撃者のWebサイトのリンクを仕込む。
▪️電話に出た担当者が、パソコンを調査するためだとして、一般的なリモートデスクトップツールをユーザーにインストールさせる。
2019年6月12日水曜日
2019年6月11日火曜日
デル、EDRと24H365監視、およびインシデント対応の統合サービス
▪️デルは6月6日、CrowdStrikeのエンドポイントセキュリティサービスと、Secureworksの監視サービスやインシデント対応サービスなどを統合したエンドポイント セキュリティ ソリューション「Dell SafeGuard and Response」の提供を開始した。
具体的には、CrowdStrikeの次世代ウィルス対策(NGAV)ソリューション「CrowdStrike Falcon Prevent」、CrowdStrikeのエンドポイントでの検知と対応(EDR)ソリューション「Falcon Insight」、エンドポイントの状態を24時間365日監視するSecureworks Managed Endpoint Protection、インシデントが発生した場合、オンデマンド インシデント対応スペシャリスト チームを配備するSecureworks Incident Management Retainerを組み合わせて提供する。
2018年の国内セキュリティ製品市場は3,070億円、サービス市場は7,890億円(IDC Japan)
▪️Dawson氏は、マルウェアの拡散にURLが使われることが増えたのは、サイバー犯罪者が、ユーザーがクラウドやウェブベースのサービスを信頼するようになったことを利用しているためかもしれないと考えている。
▪️ 「ユーザーは長年の間、知らない送信者から受け取った添付ファイルを開かないように教育されてきている。その一方で、ファイル共有サービスやウェブベースのアプリケーションの利用が増えているため、疑わずにリンクをクリックしてしまうことが多い」と同氏は言う。
▪️Proofpointは、企業のセキュリティ部門に対して、ソーシャルエンジニアリングによって拡散されるEmotetやその他の危険なペイロードの脅威に対抗するには、ユーザーがリンクをクリックすることを前提とし、そこから防御のためのポリシーを立案することを推奨している。電子メールが受信箱に届くこと自体を防ぐことで、ダメージが発生する可能性を大きく縮小できるという。
2019年6月6日木曜日
Office 365は北朝鮮のサイバー攻撃並みに危険?米機関が注意喚起
▪️米国土安全保障省(DHS)のサイバーセキュリティー機関であるNCCIC(National Cybersecurity and Communications Integration Center)
▪️システム管理者はメールシステムのお守りから解放され、ユーザーはインターネット経由で業務メールを送受信できるようになった。恩恵は大きい。
だがNCCICが指摘するように、問題はセキュリティーだ。クラウドのメールサービスがオンプレミスのメールシステムと大きく異なるのは、ログイン画面が社外、つまりインターネット上に用意されていること。Webブラウザーさえあれば、誰でもログイン画面にアクセスできてしまう。
にもかかわらず、オンプレミスのメールシステムと同様に、ユーザー名とパスワードのユーザー認証しか用意していないところが多い。このため推測や総当たり、フィッシングなどでパスワードが攻撃者に知られると、不正にログインされてしまう。
2019年6月5日水曜日
2019年6月3日月曜日
「生活」関連の偽販売サイト急増、前月から3倍以上(BBSS)
▪️同社が収集した偽販売サイトと報告のあったURLのうち、約11%が新生活を切り口にしていた。2019年3月度の約3%と比較すると、4月度は8ポイント増加している。こうした偽販売サイトで商品を購入すると、粗悪な商品が送られる、または商品が送られずに購入代金を搾取されるなどの被害に遭う可能性がある。また、クレジットカード支払いで商品購入した場合には、犯罪者からカード番号を利用され二次被害に遭う可能性もあるとして、注意を呼びかけている。
ランサムウェア感染目的のばらまき型スパムメールが増加に転じる(トレンドマイクロ)
▪️2017年から全体的に減少傾向にあったが、2019年1月1日からランサムウェアの感染を目的とした「ばらまき型」のマルウェアスパムを国内で観測、1月8日までの約1週間で約388万件にのぼった。
→2019年第1四半期の攻撃総数は約3,750万件と、2018年1年間の7割に迫る勢いとなっている。同四半期のランサムウェア検出台数に大幅な増加は見られなかったが、法人においては問い合わせ件数が若干増加しており、RAT(遠隔操作ツール)の侵入後にランサムウェアを感染させられた事例も確認されている。
▪️フィッシングサイト詐欺は2018年後半に沈静化の傾向にあったが、同四半期に活発化し、★100万以上のユーザがフィッシングサイトに誘導された。この間に主にフィッシングメールキャンペーンは41件が確認されており、2018年1年間の97件に対して4割を越えるペースとなっている。送信者に実在企業を偽装する手法が多く、★特に大手IT企業の偽装が約68%を占めた。
▪️同四半期には、24件の情報漏えいが公表されており、★このうち5件が内部犯行であった。
外部からの攻撃を原因とする19件のうち、自身の調査により気づいたのは5件で、★多くの被害組織が攻撃そのものに気づいていなかった。また、トレンドマイクロの調査では、3月に公表された2件の情報サービス業での被害事例のものとされる情報が、被害の公表前にアンダーグラウンドサイト上で売買可能とされていたという。
▪️グローバルのトピックには、「継続するランサムウェアの法人被害、標的型攻撃での利用を確認」「人気正規サービスによる隠ぺい手口と大規模なサプライチェーン攻撃が発生」「増加傾向のエクスプロイトキットと ICS 関連の脆弱性リスク」「衰えないフィッシング攻撃の脅威」が挙げられている。
▪️グローバルのトピックには、「継続するランサムウェアの法人被害、標的型攻撃での利用を確認」「人気正規サービスによる隠ぺい手口と大規模なサプライチェーン攻撃が発生」「増加傾向のエクスプロイトキットと ICS 関連の脆弱性リスク」「衰えないフィッシング攻撃の脅威」が挙げられている。
2019年5月29日水曜日
サプライチェーンリスク診断など8サービスをリリース - ソリトン
▪️「security-risk.jp」は、企業やグループ、取引先など、サプライチェーンにおけるリスクを診断するクラウドサービス。
▪️ウェブアプリケーション向けのペネトレーションサービス「国際基準侵入テスト」
▪️IoT機器のファームウェアにおける脆弱性を調査する「IoTセキュリティ診断サービス」を提供する。
▪️インシデント発生時にクラウドでログを管理できる「証跡保管サービス」
▪️「Windows脅威・誤検知判定サービス」
▪️「OS脆弱性攻撃無害化サービス」
▪️「メールセキュリティ運用支援サービス」
▪️「CYBERGYMトレーニング」
2019年5月27日月曜日
もみじまんじゅうの販売サイトに不正アクセス、カード情報が流出の可能性(藤い屋)
▪️同サイトのシステムの一部の脆弱性を突いた第三者からの不正アクセスにより、2018年10月15日から2019年1月28日までの期間にシステムが改ざんされた痕跡があり、カード決済を選択した顧客が偽の決済画面へ誘導され、そこで入力したカード情報が流出し、一部のカード情報については不正利用された可能性があることが判明した。
2019年5月22日水曜日
「月に50億件の脅威を検知」--マイクロソフトが明らかに
▪️「Microsoft Defender Advanced Threat Protection」(ATP、旧称「Windows Defender Advanced Protection」)だが、この製品はMicrosoft Threat Protectionの一部に過ぎない。
▪️最近リリースされたマネージドSIEMサービス「Azure Sentinel」
▪️「Microsoft Defender ATP」
▪️「Office 365 ATP」
▪️「Azure ATP」
▪️「Microsoft Cloud App Security」
▪️「Azure Security Center」
▪️「Azure Active Directory」(AD)
などがThreat Protectionの一部
2019年5月21日火曜日
不正アクセス受け、サイトに不正ファイル - 周東総合病院
▪️ウェブサイトが改ざんされた原因については、サイト管理ツールの脆弱性、あるいは2019年3月まで公開していた旧サイトのデータにあるFlashの脆弱性を突かれた可能性が高いと説明している。
2019年5月20日月曜日
ファームウェアの脆弱性診断をクラウドで行えるサービス(ソリトン)
▪️Refirm Labs社と提携し、IoTファームウェア脆弱性調査を開始、そのクラウドベースのプラットフォーム「Centrifuge(セントリフュージ)」を提供すると発表した。Centrifugeは、ソースコード不要の脆弱性自動解析を行い、実用的で詳細な脆弱性診断レポートを提供するもの。サポートOSは、Linux・QNX・Android(今後、UEFI(Unified Extensible Firmware Interface)、リアルタイムOS(VxWorks等)をサポート予定)。
▪️システム開発ライフサイクルに導入することで、生産管理全体のセキュリティを効率よく管理できる。価格は112万5,000円から(税別)。なお、7日間、最大3つのファームウェアを診断できる無償トライアルも提供する。
BBSec、Carbon Black製品を利用したエンドポイント向けセキュリティ運用支援サービスを提供
▪️EDR-MSS for CB Defenseは、Carbon Blackのエンドポイント向けセキュリティソフトウェア「CB Defense」を利用して、エンドポイントのセキュリティ対策を強化するサービス。CB Defenseは、従来型のウイルス対策機能に加えて、EDR(Endpoint Detection and Response)、NGAV(次世代ウイルス対策)といった機能を備えており、従来型のウイルス対策製品では検知が困難な、ファイルレス攻撃などに対しても対処を可能にするという。
1月に施行、ベトナムサイバーセキュリティ法の対応のポイントとは?
▪️IIJはベトナムサイバーセキュリティ法の施行に伴い、同日、ベトナム向けクラウドサービス「FPT HI GIO CLOUD」をハノイに拡大することを発表し、説明会を開催した。
「OWASP IoT Top 10 2018」について解説(ラック)
▪️OWASP IoT Top 10 2018は、Webアプリケーションのセキュリティに関するオープンソースのコミュニティであるOWASP(Open Web Application Security Project)が作成したもの。
I1:Weak, Guessable, or Hardcoded Passwords
(強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード)
総当たり攻撃で容易に解読される認証情報や、ありがちな認証情報を使うこと、あるいは認証情報が変更できないこと。ファームウェアやクライアントソフトウェアのバックドア機能には、デプロイされたシステムに対して本来許可されていないアクセスを提供するものもある。
I2:Insecure Network Services
(安全でないネットワークサービス)
デバイス上に不要な、もしくは安全ではないネットワークサービスが動作しており、特にインターネットに公開されているもの。これにより、情報の機密性、完全性・信頼性、可用性が侵害されたり、不正なリモート制御を許したりしてしまう。
I3:Insecure Ecosystem Interfaces
(安全でないエコシステムインタフェース)
デバイス外部のエコシステムに、デバイスや関連コンポーネントへの侵入を許してしまう安全でないWeb、バックエンドAPI、クラウド、もしくはモバイルのインタフェースがあること。認証・認可の欠如、暗号化の欠如もしくは脆弱な暗号化、入出力のフィルタリングの欠如がよくある問題として挙げられる。
I4:Lack of Secure Update Mechanism
(安全な更新メカニズムの欠如)
デバイスを安全に更新するための機能が欠如していること。デバイス上でのファームウェア検証、安全な配信(データ送信中に暗号化されていない)、ロールバック防止機構、更新によるセキュリティ変更の通知の欠如などがある。
I5:Use of Insecure or Outdated Components
(安全でない、もしくは古いコンポーネントの使用)
デバイスの侵害につながる非推奨、もしくは安全でないソフトウェアコンポーネント・ライブラリを使用していること。オペレーティングシステムのプラットフォームに対する安全でないカスタマイズや、侵害されたサプライチェーンからのサードパーティ製ソフトウェアやハードウェアコンポーネントの使用などもある。
I6:Insufficient Privacy Protection
(不十分なプライバシー保護)
利用者の個人情報がデバイス上やエコシステム内に保存されており、その利用者の個人情報が安全に使用されていない、不適切に使用されている、もしくは利用者の許可なく使用されていること。
I7:Insecure Data Transfer and Storage
(安全でないデータの転送と保存)
保存中、転送中、処理中といったエコシステム内のあらゆる場所での機微データの暗号化やアクセス制御が欠如していること。
I8:Lack of Device Management
(デバイス管理の欠如)
資産管理、更新管理、安全な廃棄、システム監視、レスポンス機能といった、本番環境にデプロイされたデバイスへのセキュリティ機能が不足していること。
I9:Insecure Default Settings
(安全でないデフォルト設定)
デフォルトの設定が安全でない状態で出荷されたデバイスやシステムのこと。もしくは、使用者がシステムをより安全な状態にするための機能が制限されているデバイスやシステムのこと。
I10:Lack of Physical Hardening
(物理的なハードニングの欠如)
物理的なハードニング対策がなされていないこと。そのため、潜在的な攻撃者が、リモート攻撃やデバイスのローカル制御を奪うために有益となる機微情報を入手できてしまうこと。
(強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード)
総当たり攻撃で容易に解読される認証情報や、ありがちな認証情報を使うこと、あるいは認証情報が変更できないこと。ファームウェアやクライアントソフトウェアのバックドア機能には、デプロイされたシステムに対して本来許可されていないアクセスを提供するものもある。
I2:Insecure Network Services
(安全でないネットワークサービス)
デバイス上に不要な、もしくは安全ではないネットワークサービスが動作しており、特にインターネットに公開されているもの。これにより、情報の機密性、完全性・信頼性、可用性が侵害されたり、不正なリモート制御を許したりしてしまう。
I3:Insecure Ecosystem Interfaces
(安全でないエコシステムインタフェース)
デバイス外部のエコシステムに、デバイスや関連コンポーネントへの侵入を許してしまう安全でないWeb、バックエンドAPI、クラウド、もしくはモバイルのインタフェースがあること。認証・認可の欠如、暗号化の欠如もしくは脆弱な暗号化、入出力のフィルタリングの欠如がよくある問題として挙げられる。
I4:Lack of Secure Update Mechanism
(安全な更新メカニズムの欠如)
デバイスを安全に更新するための機能が欠如していること。デバイス上でのファームウェア検証、安全な配信(データ送信中に暗号化されていない)、ロールバック防止機構、更新によるセキュリティ変更の通知の欠如などがある。
I5:Use of Insecure or Outdated Components
(安全でない、もしくは古いコンポーネントの使用)
デバイスの侵害につながる非推奨、もしくは安全でないソフトウェアコンポーネント・ライブラリを使用していること。オペレーティングシステムのプラットフォームに対する安全でないカスタマイズや、侵害されたサプライチェーンからのサードパーティ製ソフトウェアやハードウェアコンポーネントの使用などもある。
I6:Insufficient Privacy Protection
(不十分なプライバシー保護)
利用者の個人情報がデバイス上やエコシステム内に保存されており、その利用者の個人情報が安全に使用されていない、不適切に使用されている、もしくは利用者の許可なく使用されていること。
I7:Insecure Data Transfer and Storage
(安全でないデータの転送と保存)
保存中、転送中、処理中といったエコシステム内のあらゆる場所での機微データの暗号化やアクセス制御が欠如していること。
I8:Lack of Device Management
(デバイス管理の欠如)
資産管理、更新管理、安全な廃棄、システム監視、レスポンス機能といった、本番環境にデプロイされたデバイスへのセキュリティ機能が不足していること。
I9:Insecure Default Settings
(安全でないデフォルト設定)
デフォルトの設定が安全でない状態で出荷されたデバイスやシステムのこと。もしくは、使用者がシステムをより安全な状態にするための機能が制限されているデバイスやシステムのこと。
I10:Lack of Physical Hardening
(物理的なハードニングの欠如)
物理的なハードニング対策がなされていないこと。そのため、潜在的な攻撃者が、リモート攻撃やデバイスのローカル制御を奪うために有益となる機微情報を入手できてしまうこと。
機械学習で文体の違いから不正検出、トレンドマイクロがビジネスメール詐欺対策
▪️緊急性が高いメールを送る可能性がある経営幹部一人ひとりについて、過去に送信した500通程度のメールを機械学習させる。大文字の利用頻度や空白行の多さ、文章の長さなど約7000種類の特徴量を基にメールの書き方の癖のモデルを作成する。送信者のモデルに当てはまらないメールが送信されたときに、宛先の社員には「通常の文体と異なるようです」といった警告を付与して送付し、管理者と本人にも同時に通知する。メールを受け取った社員が警告に基づいて慎重に対応できるため詐欺の被害に遭いにくくなる。学習対象は自社が管理するメールアカウントのみ。外部の特定の送信者のメールを学習する使い方には現時点では対応していない。
詐欺集団は盗んだ個人情報の販促にSNSを利用、RSAが指摘
▪️EMCジャパンのセキュリティー部門であるRSA事業本部
▪️「詐欺集団は、フィッシングなどで盗んだクレジットカード情報やアカウント情報の販促活動をSNSで行っている」
▪️1つは、リバースヴィッシング攻撃。ヴィッシングは「Voice Phishing」からの造語で、電話を使うフィッシングの手口。ヴィッシングは従来からあった手口で、詐欺集団が銀行を装って利用者に電話をかけ、口座情報などを聞き出すのが一般的だった。リバースヴィッシングは、電話をかけるのは詐欺集団ではなく、だまされる利用者自身だという。例えば詐欺集団はGoogleマップで、編集機能を使って銀行の電話番号を詐欺集団が用意した電話番号に書き換える。利用者がGoogleで銀行の電話番号を検索すると、偽の電話番号が表示され、そこに電話をかけることで被害に遭う。
▪️もう1つは、2要素フィッシング攻撃。詐欺集団は、ソフトウエア開発支援サービス「GitHub(ギットハブ)」に公開されたEvilginxやCredSniperといったツールを利用してフィッシングサイトを構築。
→このフィッシングサイトは、正規サイトとの通信の間でプロキシーとして働き、ユーザーの入力データを盗聴する。詐欺集団はこの情報を使って、オンラインバンキングを不正に操作する。利用者のパソコンをウイルスに感染させて入力データを盗む手法と比べてタイムラグが小さくなるので、ワンタイムパスワードのようにリアルタイム性が要求される2要素認証でも防ぎにくくなるという。
▪️RSA事業本部では、流出したアカウント情報が悪用されるのを防ぐ方法の一つとして、パスワードの定期変更を挙げた。1つのパスワードを複数のサービスで登録するのをやめて、パスワードはなるべく複雑な文字列を使用し、定期的に変更することが対策として重要だという。コーヘンディレクターは、「この対策の実現には、パスワードマネジャーを利用するとよい」とした。
2019年5月17日金曜日
クレデンシャルスタッフィング攻撃とは?--その具体的手法
▪️不正に取得したユーザー名とパスワードのペアを使って、他の複数のウェブサイトやアプリケーションへのログインを自動的に実行していくという攻撃手法を指している。
▪️現時点では大半のクレデンシャルスタッフィング攻撃はIoTボットネットを経由して実行されている。
2019年5月16日木曜日
情報漏洩より怖い、通販サイトを襲うクレジットカードの「有効性確認」
▪️クレジットカード情報として流出した可能性があるのは1140件。これとは別に、攻撃者から3万91件の「クレジットカードの有効性確認」を実行されたことを明らかにした。
▪️いわゆる「クレジットマスター」と呼ばれる攻撃手法で、クレジットカード番号を作成したとみられる。
▪️クレジットカード番号は、全体の14桁から16桁までのうち、最初の6桁まではクレジットカードの国際ブランドや発行会社などを示すものになっている。7桁以降、最後から2桁目までの数字が各個人に割り振られる番号である。ただし、個人に割り振られる番号はランダムに設定されるものではなく、ある法則を持たせるように決まっている。
▪️クレジットマスターとは、規則を満たすクレジットカード番号をソフトウエアなどで計算して生成する手法を指す。全くランダムな番号よりも、クレジットマスターで生成した番号のほうが有効である可能性は高くなる。
▪️とは言え、クレジットマスターによって作り出した番号なら必ず有効になるとは限らない。そこで攻撃者は、クレジットマスターで作成した番号のリストを用意して、通販サイトなどで大量のオーソリゼーションを行う。
▪️しかし多くの通販サイトは、ユーザーごとにオーソリゼーションに失敗できる回数に上限を付けるなどして、有効なクレジットカード番号探しをしにくくしている。
QRコード決済のPayPayは2018年12月、このオーソリゼーションの失敗回数に上限を付けていなかったため、問題視された。現在は、制限を付けている。
登録:
投稿 (Atom)