私はサイバーセキュリティ関連のビジネスに携わっています。 なかなかとっつきにくい「サイバーセキュリティ」の世界を分かりやすく丁寧に説明しようと思います。 またその他、ITに関わる情報やビジネスに関することなら何でも投稿しようと思いますので、宜しくお願いします。
2019年12月24日火曜日
サイトへのアクセス、AIがbotか判定 ECサイトの買い占めなど防止 日立が提供
Wordファイルは危ないと心せよ、あの「便利な機能」がEmotetウイルスを呼ぶ
■感染拡大にWordファイルを使っていることも大きな理由だと筆者は考えている。ユーザーの多くはWordファイルをそれほど警戒しないためだ。
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
→決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。
2.決済自体を決済会社側で行う「リダイレクト型」だ。
→決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。
いずれもECサイト側でクレジットカード情報を保持していない
■従来のECサイトでは、各サイトのデータベースにクレジットカード情報が保存されていたため、「SQLインジェクション」やバックドア攻撃などでセキュリティ的に脆弱なサイトのデータベースから情報を直接盗むことができた。「
■ECサイトを構築するためのシステムとして、「EC-CUBE」というコンテンツ管理システムが広く用いられている。「最新バージョンは4系だが、バージョン2系が特に広く普及している」と徳丸氏は話す。攻撃で狙われているのはこの「バージョン2系」だという。
「Google Play」が取り組む不正アプリ対策、1日500億件超の審査・解析など実施
■個人情報を流出させたり、ボットネットに対してユーザーの電話番号をリスト化する挙動が見られるSDKも確認されたという。
■デベロッパー用の新規アカウントは毎日数千件作成されているという。この中には、悪意ある攻撃者が一度公開が禁止されたアプリを再公開する目的で作成したアカウントが含まれる。審査ではそうしたアプリが公開される前にポリシーに違反しているものがないか特定して阻止する。
香港デモを標的にした中国からのDDoS攻撃、「Great Cannon」の稼働を確認
不正アクセスでクレカ情報流出のおそれ - モーターマガジン社
■システムの脆弱性を突かれたことによる不正アクセスが原因だという。
ウェブサーバにマルウェア、攻撃の踏み台に - JP共済生協
■不正アクセスを受けた原因について、ブルートフォース攻撃などによりパスワードが破られてファイル転送用のアカウントがログインを許し、問題のファイルがアップロードされたと説明。
象印のECサイトに不正アクセス、最大28万件の顧客情報が流出 決済画面が改ざん
■ECサイトのシステムが不正アクセスを受け、個人情報の抜き出しに加え、商品情報と決済情報を入力する画面が改ざんされたという。
■流出したメールアドレス宛には「○○○○(顧客の氏名)おめでとうございます!オリジナルQUOカード キャンペーン実施中!」という件名のメールが送信されていることも判明。メール本文のURLから改ざんされたサイトへと誘導し、クレジットカード情報を入力させるものだったとしている。
■偽サイトでは、カード名義人名、クレジットカード番号、有効期限、セキュリティコードが窃取された可能性があるという。漏えいした件数は調査中で、対象の顧客には順次連絡する方針。監督官庁や警察当局、個人情報保護委員会などには報告済みとしている。
2段階認証でも突破する詐欺サイトが急増 作成ツール出回る
■フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的
■金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。
クラウドソースペネトレーションテストを提供する新会社--レッドチーム・テクノロジーズが事業開始
1.米Synackのクラウドソースペネトレーションテストを日本国内で提供開始する
2.IoT機器や自動運転基盤などを対象とした「先進IT基盤検証サービス」
3.外部から顧客の社内重要システムへの侵入を試みる「レッドチームサービス」の計3種のサービスを提供する。
★セキュリティ診断は「脆弱性を見つける」サービスで対象はIT部門向け
→リアルな現場の声としては、人材や予算の不足もあってセキュリティ対策が不十分であることは現場としてはよく分かっており、ペネトレーションテストやレッドチーム演習を実施するまでもなく「結果は分かっている」ため、現場からはこうしたサービスを利用すべきという声が上がってくることはないのだという。当然、セキュリティ対策が不十分であることが露呈すればIT部門としては失点と見なされるという理由もある。そのためもあって、経営レベルでこうしたテスト/対策の価値を正しく理解し、自社のセキュリティレベル向上のために活用していくという意識が重要になるとした。
★ペネトレーションサービスは「脅威を実証してみせる」サービスで経営レベルの判断で実施されるものだと位置づけた。
グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出
■2019年7~9月の3カ月間に1万2000件を超える警告を149カ国のユーザーに送信したという。
■Googleにおけるハッカー対策のエリート部隊「Threat Analysis Group」(TAG)
標的型攻撃相談、2019年度上半期は221件 - 80件でレスキュー支援
偽の当選画面を表示させる「DOC/Fraud」が日本で急増
■一時的に活動を停止していたEmotetの感染を狙った攻撃は8月後半から活動を再開し、10月には世界中で多数確認され日本国内でもEmotetの感染被害が報告されている。
■Emotetは主に別のマルウェアを配布するダウンローダーとして使われ、例えばTrickbotやUrsnifなどのバンキングマルウェアやランサムウェアなどに感染させる。
不在通知を装ったSMSを経由したフィッシング詐欺サイト数が急増(BBSS)
■主な手口は、不在通知を装ったSMSからフィッシングサイトに誘導され、
■Android端末からアクセスした場合は、不正アプリをダウンロードするように案内
■iOS端末からアクセスした場合はApple IDを詐取される。
■BBSSではスミッシング詐欺被害防止のためのチェックポイントとして、
・「情報元不明のアプリのインストールは許可しない」
・「メールやSMSで案内されたURLが正規URLかを確認する」
・「SSL通信が提供されているかどうかをチェックする」を挙げている。
SaaSへの不正アクセスでクレカ情報流出か - 支那そば通販サイト
改ざん起因の「Webmin」脆弱性に対するアクセス観測 - JPCERT/CCまとめ
■次いで「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が多かった。
■さらに「ssh」で使用する「TCP 22番ポート」が続く。
2019年7月12日金曜日
正規サイトを改ざんして偽当選サイトへ誘導する攻撃、リダイレクト先はランダムに変化して偽警告なども表示
もしウェブサイト閲覧中に偽警告などが表示された場合は、ウェブブラウザーのタブを閉じる、ウェブブラウザー自体を終了する、PCを再起動することで対処できるとしている。
「サポート詐欺」急増、偽の警告で金銭をだまし取る驚愕の手口とは
2019年6月12日水曜日
2019年6月11日火曜日
デル、EDRと24H365監視、およびインシデント対応の統合サービス
具体的には、CrowdStrikeの次世代ウィルス対策(NGAV)ソリューション「CrowdStrike Falcon Prevent」、CrowdStrikeのエンドポイントでの検知と対応(EDR)ソリューション「Falcon Insight」、エンドポイントの状態を24時間365日監視するSecureworks Managed Endpoint Protection、インシデントが発生した場合、オンデマンド インシデント対応スペシャリスト チームを配備するSecureworks Incident Management Retainerを組み合わせて提供する。
2018年の国内セキュリティ製品市場は3,070億円、サービス市場は7,890億円(IDC Japan)
2019年6月6日木曜日
Office 365は北朝鮮のサイバー攻撃並みに危険?米機関が注意喚起
だがNCCICが指摘するように、問題はセキュリティーだ。クラウドのメールサービスがオンプレミスのメールシステムと大きく異なるのは、ログイン画面が社外、つまりインターネット上に用意されていること。Webブラウザーさえあれば、誰でもログイン画面にアクセスできてしまう。
にもかかわらず、オンプレミスのメールシステムと同様に、ユーザー名とパスワードのユーザー認証しか用意していないところが多い。このため推測や総当たり、フィッシングなどでパスワードが攻撃者に知られると、不正にログインされてしまう。
2019年6月5日水曜日
2019年6月4日火曜日
2019年6月3日月曜日
「生活」関連の偽販売サイト急増、前月から3倍以上(BBSS)
ランサムウェア感染目的のばらまき型スパムメールが増加に転じる(トレンドマイクロ)
▪️フィッシングサイト詐欺は2018年後半に沈静化の傾向にあったが、同四半期に活発化し、★100万以上のユーザがフィッシングサイトに誘導された。この間に主にフィッシングメールキャンペーンは41件が確認されており、2018年1年間の97件に対して4割を越えるペースとなっている。送信者に実在企業を偽装する手法が多く、★特に大手IT企業の偽装が約68%を占めた。
▪️同四半期には、24件の情報漏えいが公表されており、★このうち5件が内部犯行であった。
▪️グローバルのトピックには、「継続するランサムウェアの法人被害、標的型攻撃での利用を確認」「人気正規サービスによる隠ぺい手口と大規模なサプライチェーン攻撃が発生」「増加傾向のエクスプロイトキットと ICS 関連の脆弱性リスク」「衰えないフィッシング攻撃の脅威」が挙げられている。
2019年5月29日水曜日
サプライチェーンリスク診断など8サービスをリリース - ソリトン
▪️インシデント発生時にクラウドでログを管理できる「証跡保管サービス」
▪️「Windows脅威・誤検知判定サービス」
▪️「OS脆弱性攻撃無害化サービス」
▪️「メールセキュリティ運用支援サービス」
▪️「CYBERGYMトレーニング」
2019年5月27日月曜日
もみじまんじゅうの販売サイトに不正アクセス、カード情報が流出の可能性(藤い屋)
2019年5月24日金曜日
2019年5月22日水曜日
「月に50億件の脅威を検知」--マイクロソフトが明らかに
2019年5月21日火曜日
不正アクセス受け、サイトに不正ファイル - 周東総合病院
2019年5月20日月曜日
ファームウェアの脆弱性診断をクラウドで行えるサービス(ソリトン)
BBSec、Carbon Black製品を利用したエンドポイント向けセキュリティ運用支援サービスを提供
1月に施行、ベトナムサイバーセキュリティ法の対応のポイントとは?
「OWASP IoT Top 10 2018」について解説(ラック)
(強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード)
総当たり攻撃で容易に解読される認証情報や、ありがちな認証情報を使うこと、あるいは認証情報が変更できないこと。ファームウェアやクライアントソフトウェアのバックドア機能には、デプロイされたシステムに対して本来許可されていないアクセスを提供するものもある。
I2:Insecure Network Services
(安全でないネットワークサービス)
デバイス上に不要な、もしくは安全ではないネットワークサービスが動作しており、特にインターネットに公開されているもの。これにより、情報の機密性、完全性・信頼性、可用性が侵害されたり、不正なリモート制御を許したりしてしまう。
I3:Insecure Ecosystem Interfaces
(安全でないエコシステムインタフェース)
デバイス外部のエコシステムに、デバイスや関連コンポーネントへの侵入を許してしまう安全でないWeb、バックエンドAPI、クラウド、もしくはモバイルのインタフェースがあること。認証・認可の欠如、暗号化の欠如もしくは脆弱な暗号化、入出力のフィルタリングの欠如がよくある問題として挙げられる。
I4:Lack of Secure Update Mechanism
(安全な更新メカニズムの欠如)
デバイスを安全に更新するための機能が欠如していること。デバイス上でのファームウェア検証、安全な配信(データ送信中に暗号化されていない)、ロールバック防止機構、更新によるセキュリティ変更の通知の欠如などがある。
I5:Use of Insecure or Outdated Components
(安全でない、もしくは古いコンポーネントの使用)
デバイスの侵害につながる非推奨、もしくは安全でないソフトウェアコンポーネント・ライブラリを使用していること。オペレーティングシステムのプラットフォームに対する安全でないカスタマイズや、侵害されたサプライチェーンからのサードパーティ製ソフトウェアやハードウェアコンポーネントの使用などもある。
I6:Insufficient Privacy Protection
(不十分なプライバシー保護)
利用者の個人情報がデバイス上やエコシステム内に保存されており、その利用者の個人情報が安全に使用されていない、不適切に使用されている、もしくは利用者の許可なく使用されていること。
I7:Insecure Data Transfer and Storage
(安全でないデータの転送と保存)
保存中、転送中、処理中といったエコシステム内のあらゆる場所での機微データの暗号化やアクセス制御が欠如していること。
I8:Lack of Device Management
(デバイス管理の欠如)
資産管理、更新管理、安全な廃棄、システム監視、レスポンス機能といった、本番環境にデプロイされたデバイスへのセキュリティ機能が不足していること。
I9:Insecure Default Settings
(安全でないデフォルト設定)
デフォルトの設定が安全でない状態で出荷されたデバイスやシステムのこと。もしくは、使用者がシステムをより安全な状態にするための機能が制限されているデバイスやシステムのこと。
I10:Lack of Physical Hardening
(物理的なハードニングの欠如)
物理的なハードニング対策がなされていないこと。そのため、潜在的な攻撃者が、リモート攻撃やデバイスのローカル制御を奪うために有益となる機微情報を入手できてしまうこと。
機械学習で文体の違いから不正検出、トレンドマイクロがビジネスメール詐欺対策
詐欺集団は盗んだ個人情報の販促にSNSを利用、RSAが指摘
2019年5月17日金曜日
クレデンシャルスタッフィング攻撃とは?--その具体的手法
2019年5月16日木曜日
情報漏洩より怖い、通販サイトを襲うクレジットカードの「有効性確認」
▪️クレジットカード番号は、全体の14桁から16桁までのうち、最初の6桁まではクレジットカードの国際ブランドや発行会社などを示すものになっている。7桁以降、最後から2桁目までの数字が各個人に割り振られる番号である。ただし、個人に割り振られる番号はランダムに設定されるものではなく、ある法則を持たせるように決まっている。
▪️クレジットマスターとは、規則を満たすクレジットカード番号をソフトウエアなどで計算して生成する手法を指す。全くランダムな番号よりも、クレジットマスターで生成した番号のほうが有効である可能性は高くなる。
▪️とは言え、クレジットマスターによって作り出した番号なら必ず有効になるとは限らない。そこで攻撃者は、クレジットマスターで作成した番号のリストを用意して、通販サイトなどで大量のオーソリゼーションを行う。
▪️しかし多くの通販サイトは、ユーザーごとにオーソリゼーションに失敗できる回数に上限を付けるなどして、有効なクレジットカード番号探しをしにくくしている。
QRコード決済のPayPayは2018年12月、このオーソリゼーションの失敗回数に上限を付けていなかったため、問題視された。現在は、制限を付けている。