企業の14％がセキュ事故経験 - サイバー保険加入率は12％

http://www.security-next.com/103286

WAFとマルウェア検知をセット、ウェブサイト向けクラウドサービス

http://www.security-next.com/103217

▪️セキュアイノベーションは、クラウド型のウェブセキュリティ対策サービス「secuWAF」を提供開始した。

シトリックスがサイバー攻撃被害に、社内ネットワークに侵入される

 https://tech.nikkeibp.co.jp/atcl/nxt/news/18/04369/

▪️外部のハッカー集団は「パスワードスプレー（password spraying）」と呼ばれる手法を使って、シトリックスの社内ネットワークに侵入した。

▪️これは、複数のアカウントに同一のパスワードを使ってログインを試みる手法。

▪️多くの企業は同じアカウントに対してログインが複数回失敗すると、そのアカウントをロックするようにしている。

▪️同じアカウントにログインを試す頻度を下げ、アカウントロックを回避しながら侵入を試みるのがパスワードスプレー攻撃だ

▪️シトリックスを狙ったのはイラン系のハッカー組織であり、オフィス文書や電子メールなど6TB（テラバイト）ものデータをシトリックスから盗み出したという。犯行があったのは2018年12月で、シトリックス以外にも200以上の米国政府機関や米国企業が同様の攻撃に遭ったとしている。

ソリトン、CSIRTの構築と運用を支援するサービスを提供

https://cloud.watch.impress.co.jp/docs/news/1173702.html

CrowdStrike、モバイルデバイス向けEDRソリューションを発表

https://news.mynavi.jp/article/20190308-785167/

グーグル、不正なウェブサイトから保護する「Web Risk API」をベータ版に

https://japan.zdnet.com/article/35133832/

JPCERT／CC、中南米のCSIRT動向調査を初公開

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/04308/

▪️メキシコは連邦警察の傘下にCSIRTを、置き、科学捜査の一部として位置付けている。

▪️ブラジルの場合は非政府組織だ。

▪️一方、世界では政府内の情報通信系省庁やセキュリティー専門省庁の内部に設置するのが一般的

2018年はDDoS攻撃26％増、「じゅうたん爆撃DDoS攻撃」など巧妙化

 http://www.security-next.com/103370

▪️「じゅうたん爆撃型DDoS攻撃」は、特定のIPアドレスをターゲットとするのではなく、サブネット全体やCIDRブロックを対象とした手法。

いたずらスクリプトのURL貼った女子中学生の補導、海外でも波紋

https://japan.cnet.com/article/35133776/

攻撃トラフィックは前年比32％増、企業側のインシデント検出はより困難に――エフセキュアが最新の脅威リサーチ発表

 https://enterprisezine.jp/article/detail/1178

▪️最近の調査データによると、多くの企業は、ファイアウォールやエンドポイント保護などの予防対策をすり抜ける攻撃を捉えるための可視性を備えていない。エフセキュアのリサーチでは、22％の企業が、12か月間に1回の攻撃すら検出しなかった事実が明らかになっている。そして、20％の企業が同期間に1回、31％が2～5回攻撃を検出している。

▪️今日の脅威は、10年前や5年前とは全く様相が異なります。もはや予防対策と戦略が全ての脅威を阻止することはなく、調査対象となった企業の多くが、セキュリティ上で発生している全体像を把握できていません。多くの企業は、インシデントの発生によって多額の費用負担が必要となるまで、セキュリティの重要性を真剣に理解することがないのです。ですので、丸一年攻撃を検出できていない企業があっても驚きではありません

▪️産業別では、金融業界やICT分野の企業が最も多くの攻撃を検出し、検出数が最小だったのはヘルスケアおよび製造業だった。

▪️観測された攻撃トラフィックの最大の発信元と宛先は、どちらも米国ベースのIPアドレス。▪️Webベース攻撃の最も一般的な発信元はNginxだった。

無人潜水機など海事技術狙う「APT 40」 - 中国関与か

http://www.security-next.com/103093

▪️2013年より中国海軍における能力向上を目的に活動しており、技術、物流、防衛産業などを標的にしていると同社は説明。同国が関与する可能性について「中程度」の確証を持っていると述べた。

ランサムウェア＋標的型攻撃＝？ 新たな攻撃、被害は数百万ドル

 https://www.itmedia.co.jp/news/articles/1903/11/news101.html

国内のマルウェア検知数トップはオフィス文書などに仕込まれたダウンローダー型

 https://forest.watch.impress.co.jp/docs/news/1172893.html

▪️国内でもっとも検出されたのは「Microsoft Office」で利用されるVBA製のダウンローダー型マルウェア"VBA/TrojanDownloader.Agent"。Excel文書やWord文書に埋め込まれたVBAが実行されると、さらに他のマルウェアをダウンロード・実行しようとするという。

▪️Webクエリファイル（.iqy）をExcelで開くことで感染するもの

▪️ステガノグラフィーという方法でデータを隠蔽した画像ファイルをExcelマクロでダウンロードさせて感染するもの

▪️Word文書のオブジェクト内にコマンドを隠蔽した攻撃手法も確認されており、代替テキストや極端に小さいテキストボックス内にコマンドが隠蔽された例が観測されている。

▪️Webブラウザー上で動作するJavaScript製のマルウェアが増加しており、2018年は2017年に比べ3倍以上の検出数となっている。たとえば、Webブラウザー上で不正な広告を表示するJavaScript"JS/Adware.Agent"は、国内で検出されたマルウェアの2位（9.6％）にランクインしている。

▪️マルウェアの3位は、Webページなどに埋め込まれる"HTML/FakeAlert"。Webブラウザーで"Windowsセキュリティシステムが破損しています"などと偽の警告を表示し、PC修復ツールと称したソフトを購入させようとするという。 

▪️世界全体でみるともっとも多く検出されたマルウェアは"JS/CoinMiner"。仮想通貨を採掘するJavaScriptで、検出数の6.0％を占めている。仮想通貨を採掘するマルウェアは32bit版や64bit版のWindowsで動作する"Win32/CoinMiner"や"Win64/CoinMiner"も上位にランクイン。"JS/CoinMiner"は日本でも検出数で4位となっている。

不正アクセスによる改ざんでオンライン通販サイトから偽の決済フォームに誘導、カード情報が流出（ハセ・プロ）

https://scan.netsecurity.ne.jp/article/2019/03/05/42052.html

▪️同社が運営するオンライン通販サイトにて、顧客がカード番号を入力する際に意図的にフィッシングサイトを経由させる手口によりカード情報が窃取されたことが判明したと発表した。

フィッシングが増加、報告数が8カ月ぶりに2000件超 - サイトの約半数はHTTPS対応

 http://www.security-next.com/103008

▪️フィッシング対策協議会によれば、2月に同協議会へ寄せられたフィッシングの報告は2100件。前月の1713件から387件増加した。2000件を超えたのは、2018年6月から8カ月ぶり。

東京エレクトロンデバイス、SentinelOneのエンドポイントセキュリティ製品の運用サービス「MS1」を提供開始

 https://cloud.watch.impress.co.jp/docs/news/1172115.html

▪️「SentinelOne Endpoint Protection Platform」を利用する企業向けに、セキュリティ運用とインシデント対応を一貫して行うセキュリティサービス「MS1（マネージド・センチネルワン）」の提供を3月1日に開始

・EPPでのマルウェアやファイルレス攻撃など攻撃の防御

・EDRでのインシデント発生時の攻撃内容の可視化

・組織内の横断的なサーチ

・攻撃前の状態への修復が可能

・サイバーセキュリティ経営ガイドラインで謳われている防御・検知・対応・復旧

▪️MS1は、SentinelOne Endpoint Protection Platformの導入企業向けに、TED-SOC（TED-Security Operation Center）がセキュリティ運用とインシデント対応を一貫して行うセキュリティサービス。

・24時間365日体制での独自の冗長監視により確かな検知

・インシデント発生時には検知、ログ調査、正検知／過検知の切り分け、対処までを迅速に実施

・月次レポートにより状況報告とリスクアセスメントを行い、セキュリティ軽減策や環境に応じた最適な運用を提案

▪️24時間365日、専門部門のエンジニアによる監視体制で対応し、管理テナントからのメールおよび監視基盤からのAPIによる二重監視で脅威を検知するとともに、脅威検出時は直ちにメールもしくは電話で通知

▪️インシデント発生時には、管理テナントへログインし、調査・対応を実施。リモートでのログ取得、正検知・過検知の切り分け、正検知の際のファイルの隔離、過検知の際のホワイトリスト登録などの対処を一貫して行う。

▪️運用についても、顧客に代わってSentinelOne Endpoint Protection Platformの運用ノウハウをもったプロフェッショナルが運用することで、迅速かつきめ細やかな対応により運用負荷・コストを軽減する。

▪️リスクアセスメントレポートについては、脅威検知状況、利用状況の統計などをまとめ、セキュリティエンジニアによる分析レポートを毎月提供。24時間365日の問い合わせ受付にも対応し、技術的な質問、トラブルなどの問い合わせに受付可能な窓口（日本語のみ）を休日夜間も提供する。

通販サイトを狙うアカウント不正侵入攻撃、Akamaiが警鐘

 https://www.itmedia.co.jp/enterprise/articles/1902/28/news076.html

▪️通販サイトを狙う、認証情報不正利用攻撃の横行に対して警鐘を鳴らしている。

▪️認証情報不正利用を試みる攻撃は、2018年5月～12月にかけて100億回を超えた。

▪️通販サイトの中でも特に、アパレル関連サイトが狙われやすい

PayPalかたるフィッシングメール出回る 不審なログインがあったと偽サイトに誘導

https://www.itmedia.co.jp/news/articles/1902/28/news102.html

▪️不審なログインがあったとかたり、同サービスへのログイン情報などを詐取しようとするフィッシングメールが出回っている

「だまし」の手口が多様化した2018年の国内サイバー犯罪（トレンドマイクロ）

https://japan.zdnet.com/article/35133484/

▪️2018年のセキュリティ動向レポート「2018年 年間セキュリティラウンドアップ」

→セキュリティの一斉検挙？

▪️日本のトピックに「だましの手口の多様化」と「メールの脅威の急増」

・フィッシング

・セクストーション（性的な脅迫）スパム

→アダルトサイトなど利用した人の"うしろめたさ"につけ込んで仮想通貨などによる金銭を要求する。

→セクストーションスパムは、特に2018年9月中旬から拡散しており、同年12月までに少なくとも15万件以上が検知された。同社が確認した範囲では、1182万円相当（2019年1月1日時点のビットコイン価格で換算）の仮想通貨が被害者から犯罪者側に送金されていたという。

・偽装SMS（ショートメッセージサービス）

→宅配業者などの不在通知を装ってフィッシング同様に偽サイトへの誘導と機密情報の窃取を狙う

・ビジネスメール詐欺（BEC）

・偽警告

▪️トレンドマイクロによれば、2018年に国内で検知したフィッシングサイトへの誘導は443万1970件で、2017年の180万5038件から2.5倍に増加し、過去最大規模だった。詐称の手口ではAmazonやAppleなどになりすますものは44.3％を占めた。

攻撃グループ「Tick」、資産管理ソフトへの脆弱性攻撃を継続 - 標的型攻撃

http://www.security-next.com/102741

▪️従来のドライブバイダウンロード攻撃から、メールによる標的型攻撃へシフト。添付ファイルを用いてマルウェアへ感染させようとしていた。

▪️2018年2月以前であれば、データの送受信にハードコードされた固定のRC4キーを暗号化に用いていたため、通信内容を解読できたが、3月以降はランダムなRC4キーとRSA暗号を用いるよう変更されるなど巧妙化

▪️資産管理ソフト「SKYSEA Client View」の脆弱性を狙った攻撃で注目を集めたが、同様の活動を2018年以降も継続しており、同センターの観測システムで脆弱性のスキャン行為が観測されている