サイバーセキュリティビジネス: 5月 2019

▪️同サイトのシステムの一部の脆弱性を突いた第三者からの不正アクセスにより、2018年10月15日から2019年1月28日までの期間にシステムが改ざんされた痕跡があり、カード決済を選択した顧客が偽の決済画面へ誘導され、そこで入力したカード情報が流出し、一部のカード情報については不正利用された可能性があることが判明した。

「アンとケイト」に不正アクセス、登録情報が流出の可能性（マーケティングアプリケーションズ）

https://scan.netsecurity.ne.jp/article/2019/05/24/42369.html

2019年5月24日金曜日

不正アクセスで顧客情報1.3万件が流出した可能性 -愛媛CATV

http://www.security-next.com/105040

2019年5月22日水曜日

「月に50億件の脅威を検知」--マイクロソフトが明らかに

https://japan.zdnet.com/article/35137134/

▪️「Microsoft Defender Advanced Threat Protection」（ATP、旧称「Windows Defender Advanced Protection」）だが、この製品はMicrosoft Threat Protectionの一部に過ぎない。

▪️最近リリースされたマネージドSIEMサービス「Azure Sentinel」

▪️「Microsoft Defender ATP」

▪️「Office 365 ATP」

▪️「Azure ATP」

▪️「Microsoft Cloud App Security」

▪️「Azure Security Center」

▪️「Azure Active Directory」（AD）

などがThreat Protectionの一部

北朝鮮の攻撃グループ、「Bluetoothデバイス」情報を収集

http://www.security-next.com/105014

2019年5月21日火曜日

不正アクセス受け、サイトに不正ファイル - 周東総合病院

http://www.security-next.com/104988

▪️ウェブサイトが改ざんされた原因については、サイト管理ツールの脆弱性、あるいは2019年3月まで公開していた旧サイトのデータにあるFlashの脆弱性を突かれた可能性が高いと説明している。

2019年5月20日月曜日

ファームウェアの脆弱性診断をクラウドで行えるサービス（ソリトン）

https://scan.netsecurity.ne.jp/article/2019/01/29/41890.html

▪️Refirm Labs社と提携し、IoTファームウェア脆弱性調査を開始、そのクラウドベースのプラットフォーム「Centrifuge（セントリフュージ）」を提供すると発表した。Centrifugeは、ソースコード不要の脆弱性自動解析を行い、実用的で詳細な脆弱性診断レポートを提供するもの。サポートOSは、Linux・QNX・Android（今後、UEFI（Unified Extensible Firmware Interface）、リアルタイムOS（VxWorks等）をサポート予定）。

▪️システム開発ライフサイクルに導入することで、生産管理全体のセキュリティを効率よく管理できる。価格は112万5,000円から（税別）。なお、7日間、最大3つのファームウェアを診断できる無償トライアルも提供する。

BBSec、Carbon Black製品を利用したエンドポイント向けセキュリティ運用支援サービスを提供

https://cloud.watch.impress.co.jp/docs/news/1166822.html

▪️EDR-MSS for CB Defenseは、Carbon Blackのエンドポイント向けセキュリティソフトウェア「CB Defense」を利用して、エンドポイントのセキュリティ対策を強化するサービス。CB Defenseは、従来型のウイルス対策機能に加えて、EDR（Endpoint Detection and Response）、NGAV（次世代ウイルス対策）といった機能を備えており、従来型のウイルス対策製品では検知が困難な、ファイルレス攻撃などに対しても対処を可能にするという。

1月に施行、ベトナムサイバーセキュリティ法の対応のポイントとは？

https://news.mynavi.jp/article/20190129-763793/

▪️IIJはベトナムサイバーセキュリティ法の施行に伴い、同日、ベトナム向けクラウドサービス「FPT HI GIO CLOUD」をハノイに拡大することを発表し、説明会を開催した。

「OWASP IoT Top 10 2018」について解説（ラック）

https://scan.netsecurity.ne.jp/article/2019/01/30/41895.html

▪️OWASP IoT Top 10 2018は、Webアプリケーションのセキュリティに関するオープンソースのコミュニティであるOWASP（Open Web Application Security Project）が作成したもの。

I1：Weak, Guessable, or Hardcoded Passwords
（強度の弱いパスワード、推測可能なパスワード、もしくはパスワードのハードコード）
　総当たり攻撃で容易に解読される認証情報や、ありがちな認証情報を使うこと、あるいは認証情報が変更できないこと。ファームウェアやクライアントソフトウェアのバックドア機能には、デプロイされたシステムに対して本来許可されていないアクセスを提供するものもある。

I2：Insecure Network Services
（安全でないネットワークサービス）
　デバイス上に不要な、もしくは安全ではないネットワークサービスが動作しており、特にインターネットに公開されているもの。これにより、情報の機密性、完全性・信頼性、可用性が侵害されたり、不正なリモート制御を許したりしてしまう。

I3：Insecure Ecosystem Interfaces
（安全でないエコシステムインタフェース）
　デバイス外部のエコシステムに、デバイスや関連コンポーネントへの侵入を許してしまう安全でないWeb、バックエンドAPI、クラウド、もしくはモバイルのインタフェースがあること。認証・認可の欠如、暗号化の欠如もしくは脆弱な暗号化、入出力のフィルタリングの欠如がよくある問題として挙げられる。

I4：Lack of Secure Update Mechanism
（安全な更新メカニズムの欠如）
　デバイスを安全に更新するための機能が欠如していること。デバイス上でのファームウェア検証、安全な配信（データ送信中に暗号化されていない）、ロールバック防止機構、更新によるセキュリティ変更の通知の欠如などがある。

I5：Use of Insecure or Outdated Components
（安全でない、もしくは古いコンポーネントの使用）
　デバイスの侵害につながる非推奨、もしくは安全でないソフトウェアコンポーネント・ライブラリを使用していること。オペレーティングシステムのプラットフォームに対する安全でないカスタマイズや、侵害されたサプライチェーンからのサードパーティ製ソフトウェアやハードウェアコンポーネントの使用などもある。

I6：Insufficient Privacy Protection
（不十分なプライバシー保護）
　利用者の個人情報がデバイス上やエコシステム内に保存されており、その利用者の個人情報が安全に使用されていない、不適切に使用されている、もしくは利用者の許可なく使用されていること。

I7：Insecure Data Transfer and Storage
（安全でないデータの転送と保存）
　保存中、転送中、処理中といったエコシステム内のあらゆる場所での機微データの暗号化やアクセス制御が欠如していること。

I8：Lack of Device Management
（デバイス管理の欠如）
　資産管理、更新管理、安全な廃棄、システム監視、レスポンス機能といった、本番環境にデプロイされたデバイスへのセキュリティ機能が不足していること。

I9：Insecure Default Settings
（安全でないデフォルト設定）
　デフォルトの設定が安全でない状態で出荷されたデバイスやシステムのこと。もしくは、使用者がシステムをより安全な状態にするための機能が制限されているデバイスやシステムのこと。

I10：Lack of Physical Hardening
（物理的なハードニングの欠如）
　物理的なハードニング対策がなされていないこと。そのため、潜在的な攻撃者が、リモート攻撃やデバイスのローカル制御を奪うために有益となる機微情報を入手できてしまうこと。

ファイア・アイ、BEC対策などメールセキュリティの機能を拡張

https://japan.zdnet.com/article/35131929/

機械学習で文体の違いから不正検出、トレンドマイクロがビジネスメール詐欺対策

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/03974/?ST=nxt_thmit_security

▪️緊急性が高いメールを送る可能性がある経営幹部一人ひとりについて、過去に送信した500通程度のメールを機械学習させる。大文字の利用頻度や空白行の多さ、文章の長さなど約7000種類の特徴量を基にメールの書き方の癖のモデルを作成する。送信者のモデルに当てはまらないメールが送信されたときに、宛先の社員には「通常の文体と異なるようです」といった警告を付与して送付し、管理者と本人にも同時に通知する。メールを受け取った社員が警告に基づいて慎重に対応できるため詐欺の被害に遭いにくくなる。学習対象は自社が管理するメールアカウントのみ。外部の特定の送信者のメールを学習する使い方には現時点では対応していない。

新種のランサムウェア「Anatova」--高い技術を有した開発者が背後に？

https://japan.zdnet.com/article/35131879/

詐欺集団は盗んだ個人情報の販促にSNSを利用、RSAが指摘

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/03986/

▪️EMCジャパンのセキュリティー部門であるRSA事業本部

▪️「詐欺集団は、フィッシングなどで盗んだクレジットカード情報やアカウント情報の販促活動をSNSで行っている」

▪️1つは、リバースヴィッシング攻撃。ヴィッシングは「Voice Phishing」からの造語で、電話を使うフィッシングの手口。ヴィッシングは従来からあった手口で、詐欺集団が銀行を装って利用者に電話をかけ、口座情報などを聞き出すのが一般的だった。リバースヴィッシングは、電話をかけるのは詐欺集団ではなく、だまされる利用者自身だという。例えば詐欺集団はGoogleマップで、編集機能を使って銀行の電話番号を詐欺集団が用意した電話番号に書き換える。利用者がGoogleで銀行の電話番号を検索すると、偽の電話番号が表示され、そこに電話をかけることで被害に遭う。

▪️もう1つは、2要素フィッシング攻撃。詐欺集団は、ソフトウエア開発支援サービス「GitHub（ギットハブ）」に公開されたEvilginxやCredSniperといったツールを利用してフィッシングサイトを構築。

→このフィッシングサイトは、正規サイトとの通信の間でプロキシーとして働き、ユーザーの入力データを盗聴する。詐欺集団はこの情報を使って、オンラインバンキングを不正に操作する。利用者のパソコンをウイルスに感染させて入力データを盗む手法と比べてタイムラグが小さくなるので、ワンタイムパスワードのようにリアルタイム性が要求される2要素認証でも防ぎにくくなるという。

▪️RSA事業本部では、流出したアカウント情報が悪用されるのを防ぐ方法の一つとして、パスワードの定期変更を挙げた。1つのパスワードを複数のサービスで登録するのをやめて、パスワードはなるべく複雑な文字列を使用し、定期的に変更することが対策として重要だという。コーヘンディレクターは、「この対策の実現には、パスワードマネジャーを利用するとよい」とした。

黒豆の通販サイトに不正アクセス - クレカ情報流出の可能性

http://www.security-next.com/104908

▪️決済代行会社より指摘

2019年5月17日金曜日

▪️不正に取得したユーザー名とパスワードのペアを使って、他の複数のウェブサイトやアプリケーションへのログインを自動的に実行していくという攻撃手法を指している。

▪️現時点では大半のクレデンシャルスタッフィング攻撃はIoTボットネットを経由して実行されている。

2019年5月16日木曜日

都教委の採用に関するサイトが改ざん - 外部サイトへ誘導

http://www.security-next.com/104826

情報漏洩より怖い、通販サイトを襲うクレジットカードの「有効性確認」

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/02142/

▪️クレジットカード情報として流出した可能性があるのは1140件。これとは別に、攻撃者から3万91件の「クレジットカードの有効性確認」を実行されたことを明らかにした。

▪️いわゆる「クレジットマスター」と呼ばれる攻撃手法で、クレジットカード番号を作成したとみられる。

▪️クレジットカード番号は、全体の14桁から16桁までのうち、最初の6桁まではクレジットカードの国際ブランドや発行会社などを示すものになっている。7桁以降、最後から2桁目までの数字が各個人に割り振られる番号である。ただし、個人に割り振られる番号はランダムに設定されるものではなく、ある法則を持たせるように決まっている。

▪️クレジットマスターとは、規則を満たすクレジットカード番号をソフトウエアなどで計算して生成する手法を指す。全くランダムな番号よりも、クレジットマスターで生成した番号のほうが有効である可能性は高くなる。

▪️とは言え、クレジットマスターによって作り出した番号なら必ず有効になるとは限らない。そこで攻撃者は、クレジットマスターで作成した番号のリストを用意して、通販サイトなどで大量のオーソリゼーションを行う。

▪️しかし多くの通販サイトは、ユーザーごとにオーソリゼーションに失敗できる回数に上限を付けるなどして、有効なクレジットカード番号探しをしにくくしている。

　QRコード決済のPayPayは2018年12月、このオーソリゼーションの失敗回数に上限を付けていなかったため、問題視された。現在は、制限を付けている。

2019年5月15日水曜日

不正アクセスでホームページが2ヶ月近く閲覧不可能に、カード情報が流出の可能性も（JR九州ドラッグイレブン）

https://scan.netsecurity.ne.jp/article/2019/02/07/41939.html

2018年のサイバー攻撃関連通信は前年比で約1.4倍の増加――NICTが「NICTER観測レポート2018」を公開

https://enterprisezine.jp/article/detail/11688

ユニクロ・GUの通販サイトにリスト型攻撃、不正ログイン46万件　氏名や住所、身体のサイズなど流出

https://www.itmedia.co.jp/news/articles/1905/14/news059.html

政府、サイバー攻撃“反撃ウイルス”作成へ　脅威増す「電子戦」に日本の勝機はあるか

https://www.itmedia.co.jp/news/articles/1905/14/news057.html

▪️サイバーに携わる専門部隊は、北朝鮮では約7000人、中国は約13万人規模とされる。防衛省は約150人から220人体制へ増員しようとしているが、それでも人員は桁違いに少ない。

2019年5月14日火曜日

捜査情報の入ったCD-Rからウイルス感染、福岡県警がイントラを一時停止

https://tech.nikkeibp.co.jp/atcl/nxt/news/18/04092/

大塚商会のホスティング、5000サイトの改ざん被害の真相

https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00138/020600229/

▪️Pastebinには、改ざんされたWebサイトのURLが「http://ドメイン名/BD.html」と書かれていたことから、各Webサイトに設置された静的コンテンツはBD.htmlというファイルだったと推測できる。

▪️「Zone-H（ゾーンエイチ）」というセキュリティー関連の情報サイトには、改ざんされた時点の画面がアーカイブされていた。これを見ると、Pastebinの書き込みにあった「We are ErrOr SquaD」などの文言が一致する。攻撃者の目的の1つは、自身の改ざんを誇示するものだと考えられる。

▪️攻撃者は、ユーザー環境にあった「WordPress」に不正ログインし、WordPressを踏み台にしてOSの脆弱性を悪用。別のユーザー環境を改ざんしたとみられる。

▪️共有サーバータイプでは、OSやHTTPサーバーソフトなどが別のユーザーと完全に分離されていない。そのため、1つのユーザー環境が乗っ取られたり、ウイルスに感染したり、リソースを大きく使ったりすると、別のユーザー環境に悪影響が及びやすい。今回の改ざんではOSの脆弱性によって、まさにそれが現実になってしまった。

▪️アルファメールライトは物理サーバー1台に対して1つのIPアドレスを割り当てていたので、1台の物理サーバーを1000ユーザー強で共有していたのだろう。改ざん被害は4台の物理サーバーで起こり、WordPressへの不正ログインは各物理サーバーで最低1回は成功していたと考えられる。

▪️被害が出た最大の原因はサーバーにOSの脆弱性が残っていたこと。多くのホスティングサービス事業者は、共有サーバータイプで使う物理サーバーのOSやHTTPサーバーソフトなどのソフトウエアは「最新の状態で提供する」とうたっている。しかしそのような運用は、現実的には難しい。なぜなら、ソフトウエアのアップデートによって、ユーザー環境に悪影響を及ぼす可能性があるからだ。

国産ランサムウェア対策製品、米国特許取得（MBSD）

https://scan.netsecurity.ne.jp/article/2019/05/13/42320.html

▪️株式会社富士通ソーシアルサイエンスラボラトリがパートナーとなり、1ユーザー年間4,800円のライセンス価格で2018年6月から一般販売を開始した。官公庁等を中心にすでに数千端末に導入されている。

Webマガジン「NOYIE」が第三者からの不正アクセスで改ざん被害（平成建設）

https://scan.netsecurity.ne.jp/article/2019/05/13/42319.html

狙われる経営幹部、標的はクラウドへシフト――Verizonが情報流出の実態について分析した年次報告書を発表

https://www.itmedia.co.jp/enterprise/articles/1905/10/news070.html

北朝鮮のトネリングツール「ELECTRICFISH」が明らかに

http://www.security-next.com/104801

2019年5月13日月曜日

t

2019年はこんなセキュリティ脅威が！15社予測まとめ《前編》

http://ascii.jp/elem/000/001/801/1801130/?topnew=4

▪️AI／機械学習の適用先としてまず考えられるのが、サイバー攻撃の一部プロセス、特に手間のかかる（労働集約的な）プロセスの自動化／効率化である。現在の企業がAI／機械学習技術を導入して業務の自動化や効率化を図るように、攻撃者たちも常に「ビジネス効率の良い」攻撃を模索しているからだ。

▪️ファジングはソフトウェアのテスト手法のひとつで、設計開発時に想定されていないような異常なデータ（たとえば極端に長い文字列、極端に大きな数値など）を入力し、それがソフトウェアの異常な挙動（たとえばシステムクラッシュ、メモリリークなど）を引き起こさないかどうかを確認していく作業だ。通常は開発者やセキュリティリサーチャーが脆弱性を発見するために、膨大な回数のデータ入力を繰り返す自動化／半自動化された専用ツール（ファジングツール）を用いて、ラボ内で行う。

▪️フォーティネットでは、セキュリティ製品が備える機械学習エンジンに汚染された学習データを与え、判断を誤らせる「機械学習ポイズニング（Machine Learning Poisoning）」攻撃の発生を予測している。

　たとえば、機械学習によるアノマリ検知（異常なふるまいの検知）技術を組み込んだセキュリティ製品が増えているが、機械学習ポイズニングによって、特定の攻撃だけは見逃すよう仕向けることを狙うという。ファイア・アイも同様の警告を発している。

　「正規トラフィックと脅威を混合させたり、機械学習モデルを混乱させるデータをあえて学習させるような、AIベースの（セキュリティ）ソリューションを回避する新たな手口が登場すると予測されます」（ファイア・アイ）

▪️トレンドマイクロやウォッチガードが予測しているのが、チャットボットを使ったフィッシング詐欺の発生だ。最近ではECサイトやオンラインバンキング、そのほかあらゆる業種のWebサイトで、ユーザーが質問や相談をするためのチャットツールが用意されている。また、LINEのようなメッセージングアプリ上で企業アカウントを開設し、問い合わせを受け付けるケースも増えた。こうしたトレンドを悪用するわけだ。

　具体的には、正規サイト上に表示した偽のチャットツールやSNSのなりすましアカウントを使い、そこでのやり取りを通じてユーザーをフィッシングサイトに誘導したり、マルウェアのインストールを促したり、個人情報を聞き出したりする。ここにチャットボットエンジンを導入すればやり取りを半自動化することができるので、手間をかけることなく"スムーズに"フィッシング攻撃を完了できるだろう。チャットボットに慣れたユーザーほど、多少不自然なやり取りであってもボットが応答しているのだろうと考え、怪しまない可能性が高い。

岐阜・多治見のバス会社ホームページが改ざん被害

https://www.chunichi.co.jp/s/article/2019050890000025.html

サポートサイトに不正アクセス、顧客情報が流出 - 日立ICS

http://www.security-next.com/104609

管理者の約50％が標的型メール訓練によって業務生産性の低下を実感

https://japan.zdnet.com/article/35136675/

▪️標的型攻撃対策として標的型メール訓練を導入している企業は71.8％に上った。標的型メール訓練について、情報システム管理者・従業員ともに半数以上は「社内の教育」と認識しており、「利用者自身の知識で補っている」との実感を持っている。しかし情報システム管理者の半数は「製品の効果」も実感している。

2019年5月9日木曜日

全16サイトから盗まれた6億人分のアカウント情報がダークウェブで販売開始へ

https://gigazine.net/news/20190213-600-million-accounts-sale/

「TVer」のアプリとWebサイトに不正アクセス、番組画像等が改ざん被害（プレゼントキャスト）

https://scan.netsecurity.ne.jp/article/2019/05/03/42289.html

JBSが「Microsoft Cloud App Security」のマネージドサービスを提供開始

https://japan.zdnet.com/article/35136582/

▪️Microsoft Cloud App Securityは、社内で使われているSaaSの利用状況を可視化しながら、制御と維持を行うサービス。

▪️シャドーITの発見やリスクの評価、ポリシーの適用、アクティビティーの調査、脅威の防止などに役立てられる。

▪️今回提供されたマネージドセキュリティサービスでは、JBSのセキュリティ専門家が企業に代わって監視と分析をすることで、安全なクラウドの利用を支援するという。

中華人民共和国サイバー攻撃体制、改編後の組織構成と役割

https://scan.netsecurity.ne.jp/article/2019/05/08/42302.html

2019年5月8日水曜日

地下市場をやめ独自のショップを開設する犯罪者が増加--四半期レポート（マカフィー）

https://scan.netsecurity.ne.jp/article/2019/01/17/41847.html

▪️特にデータ漏えいに関しては、電子商取引サイトを狙うマルウェアに興味が集中。

▪️オンライン購入の際のIPロケーション（位置情報）チェックが追加されると、盗まれたクレジットカード情報と同じ郵便番号の感染したコンピュータへの需要が高まる。これにより、異なる場所でカード情報を利用するなど発覚のリスクを低減できる。

代表アドレスへ履歴書送付、APTグループ「OceanLotus」が日系自動車企業東南アジア拠点攻撃の可能性（マクニカネットワークス）

https://scan.netsecurity.ne.jp/article/2019/04/26/42274.html

▪️履歴書の送付を装った代表アドレスへのメールが多く観測されている。

▪️メールにはWordファイルが添付されており、これを開くとTemplate Injectionの手法でマクロを自動的にダウンロードし、マクロを有効にすると悪意のあるコードが実行される。ローダーに公開・商用ツールの「Cobalt Strike/CACTUSTORCH」を使用するという特徴があり、これによりバックドアや内部活動ツール、ダウンローダーなどをロードする。

▪️添付ファイルにマクロが含まれておらず、マクロはHTTPSでダウンロードされる。また、コードはメモリ上でのみ実行されるので、検知は難しいとしている。同社では、東南アジアに拠点のある自動車関連企業はガバナンス、注意喚起が必要としている。

登録: 投稿 (Atom)

2019年5月29日水曜日

2019年5月27日月曜日