2019年12月24日火曜日
サイトへのアクセス、AIがbotか判定 ECサイトの買い占めなど防止 日立が提供
セキュリティサービスを提供する米PerimeterXが開発。AIがマウスの動きやキーボードの入力速度を分析し、アクセス元がbotかどうか判定する。botの場合は、マウスの動きが直線的であったり、キーボードの入力が速く等間隔であったり、規則性があるという。botの可能性があるときは文字入力や画像選択などをさせる「CAPTCHA」を表示して、不正なアクセスを防ぐ。CAPTCHAの正誤結果はAIにフィードバックし、自動学習によって識別精度を高める。
Wordファイルは危ないと心せよ、あの「便利な機能」がEmotetウイルスを呼ぶ
■パソコンに保存されているメールソフトの設定情報や過去のメールを盗みだし、送信元を偽装する。過去のメールを引用して、そのメールの返信を装うこともある。
■感染拡大にWordファイルを使っていることも大きな理由だと筆者は考えている。ユーザーの多くはWordファイルをそれほど警戒しないためだ。
■感染拡大にWordファイルを使っていることも大きな理由だと筆者は考えている。ユーザーの多くはWordファイルをそれほど警戒しないためだ。
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説
1.クレジットカード情報をECサイトの画面で受けつつも直接決済サーバに送り、決済サーバからECサイトのサーバに返ってきたトークンを使って決済処理を行う「トークン型」。
→決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。
2.決済自体を決済会社側で行う「リダイレクト型」だ。
→決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。
いずれもECサイト側でクレジットカード情報を保持していない
■従来のECサイトでは、各サイトのデータベースにクレジットカード情報が保存されていたため、「SQLインジェクション」やバックドア攻撃などでセキュリティ的に脆弱なサイトのデータベースから情報を直接盗むことができた。「
■ECサイトを構築するためのシステムとして、「EC-CUBE」というコンテンツ管理システムが広く用いられている。「最新バージョンは4系だが、バージョン2系が特に広く普及している」と徳丸氏は話す。攻撃で狙われているのはこの「バージョン2系」だという。
→決済方法にトークン型を用いていた場合。攻撃者は、ECサイト管理者が間違って誰でも見られる状態にしてしまっている「あるページ」から情報を抜き、管理コンソールにログイン。手順を踏んでバックドアを設置し、決済画面でクレジットカード番号を入力する欄に10行程度の攻撃コードを追加する。
これにより、ユーザーが入力欄に番号を入力すると、番号が攻撃者のサーバにも送られることになってしまう。
2.決済自体を決済会社側で行う「リダイレクト型」だ。
→決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。
本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。
最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。
いずれもECサイト側でクレジットカード情報を保持していない
■従来のECサイトでは、各サイトのデータベースにクレジットカード情報が保存されていたため、「SQLインジェクション」やバックドア攻撃などでセキュリティ的に脆弱なサイトのデータベースから情報を直接盗むことができた。「
■ECサイトを構築するためのシステムとして、「EC-CUBE」というコンテンツ管理システムが広く用いられている。「最新バージョンは4系だが、バージョン2系が特に広く普及している」と徳丸氏は話す。攻撃で狙われているのはこの「バージョン2系」だという。
「Google Play」が取り組む不正アプリ対策、1日500億件超の審査・解析など実施
■Google Playでは、過去12カ月間で1160億のアプリ・ゲームが全世界でダウンロードされているが、その中には改変されたアプリや悪質なコンテンツが含まれるもの、不正な広告を表示するものが存在している。Googleでは被害を防ぐため不正アプリを特定する専任のチームを擁しており、毎日500億件を超えるアプリを審査・解析して挙動を確認している。
■個人情報を流出させたり、ボットネットに対してユーザーの電話番号をリスト化する挙動が見られるSDKも確認されたという。
■デベロッパー用の新規アカウントは毎日数千件作成されているという。この中には、悪意ある攻撃者が一度公開が禁止されたアプリを再公開する目的で作成したアカウントが含まれる。審査ではそうしたアプリが公開される前にポリシーに違反しているものがないか特定して阻止する。
■個人情報を流出させたり、ボットネットに対してユーザーの電話番号をリスト化する挙動が見られるSDKも確認されたという。
■デベロッパー用の新規アカウントは毎日数千件作成されているという。この中には、悪意ある攻撃者が一度公開が禁止されたアプリを再公開する目的で作成したアカウントが含まれる。審査ではそうしたアプリが公開される前にポリシーに違反しているものがないか特定して阻止する。
香港デモを標的にした中国からのDDoS攻撃、「Great Cannon」の稼働を確認
中国のサイバー攻撃システム「Great Cannon」を使ったDDoS攻撃が、香港の抗議運動組織のWebサイトに対して仕掛けられているという。
不正アクセスでクレカ情報流出のおそれ - モーターマガジン社
■2018年8月21日から2019年6月27日におかけて、同サイトで商品を購入した顧客のクレジットカード情報が外部へ流出し、一部が不正利用された可能性があることが判明したもの。
■システムの脆弱性を突かれたことによる不正アクセスが原因だという。
■システムの脆弱性を突かれたことによる不正アクセスが原因だという。
ウェブサーバにマルウェア、攻撃の踏み台に - JP共済生協
■11月に確認された気象庁を装う「なりすましメール」において、同組合が利用するウェブサーバがマルウェアをホストするために悪用されたもの。
■不正アクセスを受けた原因について、ブルートフォース攻撃などによりパスワードが破られてファイル転送用のアカウントがログインを許し、問題のファイルがアップロードされたと説明。
■不正アクセスを受けた原因について、ブルートフォース攻撃などによりパスワードが破られてファイル転送用のアカウントがログインを許し、問題のファイルがアップロードされたと説明。
象印のECサイトに不正アクセス、最大28万件の顧客情報が流出 決済画面が改ざん
■子会社が運営するECサイト「象印でショッピング」が不正アクセスを受け、氏名やメールアドレスなど、最大28万件の顧客情報が流出したと発表した。流出したメールアドレス宛には、不審なサイトに誘導するメールが送られているといい、そこでクレジットカード情報が窃取された可能性もあるという。
■ECサイトのシステムが不正アクセスを受け、個人情報の抜き出しに加え、商品情報と決済情報を入力する画面が改ざんされたという。
■流出したメールアドレス宛には「○○○○(顧客の氏名)おめでとうございます!オリジナルQUOカード キャンペーン実施中!」という件名のメールが送信されていることも判明。メール本文のURLから改ざんされたサイトへと誘導し、クレジットカード情報を入力させるものだったとしている。
■偽サイトでは、カード名義人名、クレジットカード番号、有効期限、セキュリティコードが窃取された可能性があるという。漏えいした件数は調査中で、対象の顧客には順次連絡する方針。監督官庁や警察当局、個人情報保護委員会などには報告済みとしている。
■ECサイトのシステムが不正アクセスを受け、個人情報の抜き出しに加え、商品情報と決済情報を入力する画面が改ざんされたという。
■流出したメールアドレス宛には「○○○○(顧客の氏名)おめでとうございます!オリジナルQUOカード キャンペーン実施中!」という件名のメールが送信されていることも判明。メール本文のURLから改ざんされたサイトへと誘導し、クレジットカード情報を入力させるものだったとしている。
■偽サイトでは、カード名義人名、クレジットカード番号、有効期限、セキュリティコードが窃取された可能性があるという。漏えいした件数は調査中で、対象の顧客には順次連絡する方針。監督官庁や警察当局、個人情報保護委員会などには報告済みとしている。
2段階認証でも突破する詐欺サイトが急増 作成ツール出回る
■詐欺サイト上で打ち込ませたIDやパスワードを正規の銀行サイトに入力、利用者のもとに届いた1回限り有効なパスワード(ワンタイムパスワード)を再び詐欺サイトに入力させ、盗み取る手口だ。2段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。
■フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的
■金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。
■フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するURL付きのショートメッセージサービス(SMS)を送り、偽サイトでIDやパスワードなどを入力させる手口が一般的
■金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、IDやパスワードを入力するとワンタイムパスワードの入力を要求してくる。
クラウドソースペネトレーションテストを提供する新会社--レッドチーム・テクノロジーズが事業開始
■デジタルハーツホールディングスとラックは11月28日、合弁会社「レッドチーム・テクノロジーズ」を設立、12月1日に事業開始すると発表した。
1.米Synackのクラウドソースペネトレーションテストを日本国内で提供開始する
2.IoT機器や自動運転基盤などを対象とした「先進IT基盤検証サービス」
3.外部から顧客の社内重要システムへの侵入を試みる「レッドチームサービス」の計3種のサービスを提供する。
★セキュリティ診断は「脆弱性を見つける」サービスで対象はIT部門向け
→リアルな現場の声としては、人材や予算の不足もあってセキュリティ対策が不十分であることは現場としてはよく分かっており、ペネトレーションテストやレッドチーム演習を実施するまでもなく「結果は分かっている」ため、現場からはこうしたサービスを利用すべきという声が上がってくることはないのだという。当然、セキュリティ対策が不十分であることが露呈すればIT部門としては失点と見なされるという理由もある。そのためもあって、経営レベルでこうしたテスト/対策の価値を正しく理解し、自社のセキュリティレベル向上のために活用していくという意識が重要になるとした。
★ペネトレーションサービスは「脅威を実証してみせる」サービスで経営レベルの判断で実施されるものだと位置づけた。
1.米Synackのクラウドソースペネトレーションテストを日本国内で提供開始する
2.IoT機器や自動運転基盤などを対象とした「先進IT基盤検証サービス」
3.外部から顧客の社内重要システムへの侵入を試みる「レッドチームサービス」の計3種のサービスを提供する。
★セキュリティ診断は「脆弱性を見つける」サービスで対象はIT部門向け
→リアルな現場の声としては、人材や予算の不足もあってセキュリティ対策が不十分であることは現場としてはよく分かっており、ペネトレーションテストやレッドチーム演習を実施するまでもなく「結果は分かっている」ため、現場からはこうしたサービスを利用すべきという声が上がってくることはないのだという。当然、セキュリティ対策が不十分であることが露呈すればIT部門としては失点と見なされるという理由もある。そのためもあって、経営レベルでこうしたテスト/対策の価値を正しく理解し、自社のセキュリティレベル向上のために活用していくという意識が重要になるとした。
★ペネトレーションサービスは「脅威を実証してみせる」サービスで経営レベルの判断で実施されるものだと位置づけた。
グーグル、政府の支援を受けたハッカーの標的を3カ月で1.2万件超検出
■政府の支援を受けたハッキンググループからの電子メール攻撃に関する警告をユーザーに送っており、
■2019年7~9月の3カ月間に1万2000件を超える警告を149カ国のユーザーに送信したという。
■Googleにおけるハッカー対策のエリート部隊「Threat Analysis Group」(TAG)
■2019年7~9月の3カ月間に1万2000件を超える警告を149カ国のユーザーに送信したという。
■Googleにおけるハッカー対策のエリート部隊「Threat Analysis Group」(TAG)
標的型攻撃相談、2019年度上半期は221件 - 80件でレスキュー支援
■2019年度上半期にサイバーレスキュー隊「J-CRAT」へ寄せられた標的型攻撃に関する相談は221件だった。そのうち80件にレスキュー支援を実施したという。
■サイバーレスキュー隊「J-CRAT」は、標的型攻撃による被害の低減などを目的とした組織で、情報処理推進機構(IPA)が2014年7月に設置。同隊特別窓口へ寄せられた標的型攻撃の相談状況について取りまとめた。
■2019年4月から9月までの2019年度上半期に寄せられた標的型攻撃に関する相談は221件。2018年度下半期の258件から37件減少した。
■そのうち、J-CRATによるレスキュー支援の対象となったケースは80件。2018年度下半期の93件から13件減となった。しかし、前年度同期の34件と比較すると2.3倍の規模であり、予断を許さない状況となっている。
■実際に隊員を派遣する「オンサイト支援」は18件だった。
偽の当選画面を表示させる「DOC/Fraud」が日本で急増
■2019年10月は詐欺サイトへのリンクが埋め込まれたdocファイル「DOC/Fraud」の検出が急増し、世界全体の検出数のうち日本は最多の約26%を占めている。同社のマルウェアラボの調査では、偽の当選画面が表示されるファイルが確認され、注意喚起を行っている。
■一時的に活動を停止していたEmotetの感染を狙った攻撃は8月後半から活動を再開し、10月には世界中で多数確認され日本国内でもEmotetの感染被害が報告されている。
■Emotetは主に別のマルウェアを配布するダウンローダーとして使われ、例えばTrickbotやUrsnifなどのバンキングマルウェアやランサムウェアなどに感染させる。
■一時的に活動を停止していたEmotetの感染を狙った攻撃は8月後半から活動を再開し、10月には世界中で多数確認され日本国内でもEmotetの感染被害が報告されている。
■Emotetは主に別のマルウェアを配布するダウンローダーとして使われ、例えばTrickbotやUrsnifなどのバンキングマルウェアやランサムウェアなどに感染させる。
不在通知を装ったSMSを経由したフィッシング詐欺サイト数が急増(BBSS)
■不在通知を装ったSMS経由でのフィッシング詐欺サイト数が、8月に212件だったものが、9月には371件と前月の1.75倍まで増加している。
■主な手口は、不在通知を装ったSMSからフィッシングサイトに誘導され、
■Android端末からアクセスした場合は、不正アプリをダウンロードするように案内
■iOS端末からアクセスした場合はApple IDを詐取される。
■BBSSではスミッシング詐欺被害防止のためのチェックポイントとして、
・「情報元不明のアプリのインストールは許可しない」
・「メールやSMSで案内されたURLが正規URLかを確認する」
・「SSL通信が提供されているかどうかをチェックする」を挙げている。
■主な手口は、不在通知を装ったSMSからフィッシングサイトに誘導され、
■Android端末からアクセスした場合は、不正アプリをダウンロードするように案内
■iOS端末からアクセスした場合はApple IDを詐取される。
■BBSSではスミッシング詐欺被害防止のためのチェックポイントとして、
・「情報元不明のアプリのインストールは許可しない」
・「メールやSMSで案内されたURLが正規URLかを確認する」
・「SSL通信が提供されているかどうかをチェックする」を挙げている。
SaaSへの不正アクセスでクレカ情報流出か - 支那そば通販サイト
■支那そばの専門店である直久の通信販売サイトが利用していたSaaSサービスが不正アクセスを受け、顧客のクレジットカード情報が流出した可能性があることがわかった。
■同サイトが利用していた全研本社のアプリケーションサービス「Allin1OFFiCE」のサーバが不正アクセスを受け、顧客情報が流出した可能性があることが判明したという。
■流出の可能性があるのは、2017年4月27日から2018年3月28日までの間
■同サイトでクレジット決済を利用した顧客のカード情報最大133件。カード名義やカード番号、有効期限、セキュリティコードが含まれる。
■「Allin1OFFiCE」を運用するサーバの脆弱性が突かれたことによる不正アクセスが原因としている。
改ざん起因の「Webmin」脆弱性に対するアクセス観測 - JPCERT/CCまとめ
■「telnet」で利用する「TCP 23番ポート」宛てのパケットが最多。
■次いで「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が多かった。
■さらに「ssh」で使用する「TCP 22番ポート」が続く。
■次いで「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が多かった。
■さらに「ssh」で使用する「TCP 22番ポート」が続く。
登録:
投稿 (Atom)