はてなブックマーク

今年に入り入国規制も緩和されてインバウンド (訪日外国人旅行)も回復しつつあり、ホテル、コテージ、ペンションのような宿泊施設への問い合わせも増加しています。そのような状況に乗じてか、最近、国内の宿泊施設に着弾した攻撃メールの分析依頼を受けました。注意喚起のため、分析した内容を本ブログにて公開します。 攻撃者は最初のメールでいきなりマルウェアを送るのではなく宿泊に関する質問をし、宿泊施設側が返信した後にマルウェアをダウンロードさせるURLを送ってきました。攻撃で使われたマルウェアはインフォスティーラー型のVidar Stealerで、アンチウイルス製品対策としてファイルサイズが300MBに肥大化されていました。Vidar Stealerは、実行後すぐに情報を窃取し攻撃者のC2サーバへアップロードすると自身を削除します。そのため感染に気づかないまま被害者の情報がダークウェブ上で売買されてしまう

はじめに 国内のECサイトを含め、世界中で「ペイメントアプリケーションの改ざん（以下、Webスキミング）」による情報漏えいが多発しています。 皆さんもおそらく下記のような情報漏えいのお詫びを目にしたことがあるかと思います。 当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ このたび、当サイトにおきまして、第三者による不正アクセスを受け、お客様の個人情報xxx,xxx件が漏えいした可能性があることが判明いたしました。お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 Webスキミングは、Webサイトが保有するデータベースの侵害等による情報漏えいではなく、何かしらの理由でWebサイトに不正なJavaScript（以下、スキマー）が設置されることによって引き起こされる情報漏えいです。 そのため、Webスキミングは

■概要 日本時間の2023年2月3日（金）～4日（土）頃にVMware社のESXiサーバを標的にしたランサム攻撃（通称 ESXiArgs）が始まり、48時間弱でグローバルで3000台以上が被害にあう緊急事態となっています。注意喚起のため本ブログを公開することとしました。ESXiサーバをご利用の方は、至急自社環境のチェックと、今後しばらくは関連する情報を注視することを強く推奨します。 ■被害の観測 ESXiArgsにより暗号化されたサーバはESXiのログイン画面が以下のように改ざんされ、サーバ内のデータが暗号化されます。身代金額は被害を受けたサーバごとに微妙に異なり約2BTC（約600万円）が要求されているようです。 外部に公開されたESXiサーバのログイン画面が改ざんされるということはShodanやCensysのようなデバイス検索エンジンで被害台数を調査できます。2023年2月5日 16時

■概要 Fortinet社のFortiOS、FortiProxyおよびFortiSwitchManagerの管理画面の認証がバイパスされる脆弱性　CVE-2022-40684　が公開されました*1。脆弱性を悪用した攻撃を受けた場合、サーバの設定変更やユーザ追加等、機器に対して様々な操作が行われ、攻撃者が組織内へ侵入するポイントになりうる可能性があります。 本脆弱性はすでに実際の攻撃で悪用が観測されており、脆弱性を悪用するための手法やPoCも公開され*2、さらには脆弱性を悪用するための活動も急速に増加し始めているとの報告*3もあります。こういった状況を受け、Shodanで観測できる情報も踏まえて情報や注意点をまとめます。本脆弱性を起因としたインシデントが今後、爆発的に増加することが懸念される状況です。 *1: https://www.fortiguard.com/psirt/FG-IR-22

はじめに 近年、BoxやGoogle Drive等のようなオンラインストレージサービスを利用するケースが増えています。 それに伴い、オンラインストレージサービス特有の機能による情報漏えい事件も増加しています。 下記のような「個人情報漏えいのお詫び」を皆さんも目にされたことがあるのではないでしょうか。 個人情報漏えいのお詫びクラウドサービス上で作成したファイルで個人情報を管理しておりましたが、閲覧範囲を「このリンクを知っているインターネット上の全員が閲覧できます」と設定したことから、リンクを知っていれば誰でも閲覧できる状態であり、一部の方の個人情報がインターネット上において閲覧できる状態でありました。 対応状況個人情報を含むすべてのファイルに閲覧制限を実施し、社外からのアクセスができない状態に変更しました。 このようなオンラインストレージサービス特有の情報漏えいが生じる要因は様々ありますが、

はじめに 弊社では、最近BEC（ビジネスメール詐欺）のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社（*1）やZscaler社（*2）が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA（多要素認証）を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm

セキュリティ研究センターでは、2022年4月に日本の組織を標的としたスピアフィッシングを確認し、それを起点とする攻撃の分析を行いました。その攻撃はショートカットファイルやISOファイルの悪用、マルウェアの１つは今年3月にリリースされたGo言語 1.18で開発されており解析が困難であるなどの特徴がみられました。分析を通して得た関連情報から今回の攻撃は3月頃から続いている攻撃キャンペーンの１つであると考えています。ここでは、導入済みのセキュリティ対策が今回の攻撃に有効であるかの検討やインシデント対応の参考になるよう分析の詳細結果について共有します。 初期アクセス(Initial Access) 標的組織にスピアフィッシングメールを配送します。そのメールに記載したURLからファイルをダウンロード、実行するように誘導します。ダウンロードされるファイルの種類は、ショートカットファイルとISOファイル

■概要 2022年1月25日に海外のメディア*1より新型のDeadBoltランサムウェアがQNAP社製NASを標的にした活動を行っていることが報道されました。今回、一連の事案に関する調査を行いましたので、現在の被害状況などを共有したいと思います。 *1 https://www.bleepingcomputer.com/news/security/new-deadbolt-ransomware-targets-qnap-devices-asks-50-btc-for-master-key/ ■事案の概要 DeadBoltランサムウェアにより攻撃を受けた場合、NASデバイスは、サーバ内のファイルが暗号化され、拡張子が「.deadbolt」になります。また、ランサムウェアの攻撃者が残す脅迫文（いわゆるランサムノート）は、サーバ内にテキストファイルとして残されるのでなく、NASへのログインページを

■概要 Palo Alto Networks社のNWアプライアンスで利用されるPAN-OSに関する非常にリスクの高い脆弱性 CVE-2021-3064 が2021年11月10日に公表されました。 本ブログの執筆時点（2021年11月11日）では、ターゲットとなるサーバを探索する活動は観測*1されているものの、本脆弱性を悪用した活動は報告されていません。しかしながら、2021年12月10日には本脆弱性を発見したセキュリティベンダより脆弱性の詳細情報が公開される予定*2であり、その前後で実際の攻撃が始まってしまう恐れがあります。 今回の脆弱性は一度攻撃が始まってしまうとその対応がパッチ適用のみでは終わらず、後述の通り非常に煩雑になってしまう恐れがあります。また、自組織の侵害に悪用された場合には、ランサムウェアの被害等の極めて深刻なインシデントにつながる恐れがあるため、早めの対策を強く推奨します

■概要 本記事はシンガポールの関連会社に勤めるH先輩から、業者が納品したUSBメモリを挿入したらマルウェアが検知されたとの連絡を受け、解析をした記録となります。 先輩Hは子供の卒業式の動画を集めて、記念動画入りUSBメモリの作成をとある業者に発注しました。納品されたUSBメモリをパソコンに挿入するとアンチウィルスソフトにより、以下のポップアップが立ち上がったそうで、調査依頼を受けました。 駆除されていない納品したての別のUSBメモリを貸してもらい、中身を調査することにしました。USBドライブを開いてみると以下のようになっていました。 動画ファイル以外にもいくつかのファイルが見えます。 ショートカットファイルの解析 まずはショートカットファイルを調べます。 ショートカットとマルウェア本体 ファイル名 ショートカットのターゲット Microsoft.lnk wscript.exe //e:VB

■概要 2021年3月3日、後にProxyLogonとの通称が脆弱性発見者より公表されたExchange Serverの脆弱性CVE-2021-26855と、それに関連するいくつかの脆弱性（CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）がすでに攻撃者により悪用されている状況が観測され、国内外の多くの機関から注意喚起が行われています。 本脆弱性を悪用するためのAttack Surface/攻撃対象面であるExchange ServerのOWAの画面については、その性質上インターネット側にアクセス元を制限せずに公開されていていることが多く、これは世界中の攻撃者がいつでも脆弱なサーバを攻撃できるということになります。マイクロソフト社より情報が公開された当初、攻撃は観測されているものの限定的なものである、との見方がありましたが、その後かなり広範囲ですでに

■概要 2021年2月23日にVMware社のvCenter Serverに対する危険度の高い脆弱性であるCVE-2021-21972が公表されました。その影響範囲をShodanにて調査したところ、筆者の当初の予想に反して同脆弱性の影響を受けると考えられるサーバが世界的に多数確認されました。 本記事では取り急ぎ、その観測状況について記したいと思います。 なお、脆弱性情報の公開から約20時間後の2月24日時点で攻撃を行うための条件やスキャンツール等が早くも公開されてしまった状況です。今後、間違いなく本脆弱性は悪用されます。パッチの適用やサーバへのアクセス制限、侵害状況の確認を早急に実施してください。 ■CVE-2021-21972について vSphere Client（HTML5版）のプラグインを通じてリモートの攻撃者が事前認証なしでvCenter Serverの任意のコマンドが実行可能とな

前置き このブログを普段からよく見ていないと気付かないと思いますが、「マクニカネットワークス セキュリティ研究センターブログ」は、2020年6月にデザインが刷新されました。その刷新にあたって込められた思いの一つが、「軽めの内容の記事でも良いから、もう少し更新頻度を高めよう！」です。 ところが、サイトデザイン刷新後に瀬治山氏が内容の濃い記事を立て続けに3本投稿したことにより、低くしたハードルが早くも高められてしまった状況です(笑)。そこで、私が先陣を切って少し軽め(?)の記事をお届けしようと思います。 概要 コロナ禍において、在宅勤務者が増加している。 自宅のインターネット接続環境は、セキュリティ対策が甘いことが多い。 集合住宅で提供されているインターネット接続サービスには、ファイヤウォールやNATが提供されていないものもある。 SMB、RDPが公開されているデバイス数の増加 新型コロナウイ

2020年7月1日に公表されたF5 Networks社のBIG-IPの脆弱性（CVE-2020-5902）について、すでに様々な機関やセキュリティリサーチャーより注意喚起が出されている通り、極めて重大な脆弱性とそれを悪用可能な攻撃手法が流通し、実際の攻撃が観測されている状況です。 また、BIG-IPの脆弱性以外にもPulse Secure（CVE-2019-11510）やCitrix（CVE-2019-19781）の脆弱性に代表されるように、2019年頃から複数のネットワーク機器の脆弱性が発見され重大なインシデントのきっかけとなる事態が続いています。

■概要 2020年2月に公表されたMicrosoft Exchange Serverの脆弱性 CVE-2020-0688について、本脆弱性を複数のAPTグループが利用した痕跡を確認したとしてUS-CERTから注意喚起が出されたり、2020年6月24日にも改めてMicrosoft社より注意喚起が出されました。 本記事では当該脆弱性の概要をまとめ、前回の記事*1同様に弊社がSHODANで観測した情報を紹介したいと思います。 *1：/blog/2020/06/smbshodan.html 本脆弱性の影響を受けるサーバが特に海外を中心として多数存在しているため、海外拠点や子会社の対策状況を早急に確認いただくことを推奨いたします。

2020年6月現在、WindowsOSにおけるSMBに関する緊急度の高い脆弱性が複数公表されています。似た内容が多くやや混乱しやすいと感じたことから脆弱性概要や対策を整理するとともに、弊社がSHODANで観測した情報などと併せ、本ブログでまとめることとしました。本記事が脆弱性対策の参考となれば幸いです。

検体解析やインシデント対応の中で、あるテクニックがオペレーションの多くの場面で使われているのを観測する事があります。 最近の標的型攻撃では、APT10 ANEL[1] やBlackTech TSCOOKIE[2]などエンコード・暗号化されたコードを実行時にデコード・復号し、メモリ上でPE形式のコードを実行するタイプ(ここでは、ローダーと呼称します)が多く観測されています。 攻撃者グループが使うエンコード・暗号方式も違いがあり、上述のバックドア型のマルウェアだけでなくMimikatzのようなツールも検出を回避するのにローダーが使われる事があります。 今回は、弊社で観測したOceanLotus/APT32 の検出回避テクニックについて解説します。 OceanLotus/APT32は、ベトナムに拠点を置くと見られるグループで東南アジア圏で活発な活動が観測されています。FireEye社は、彼らの観

弊社の脅威分析チームは、セキュリティ研究センターと連携し国内のセキュリティ対策向上の一助となるよう日本を標的とする攻撃者グループが使うマルウェア等のTTP(Tactics, Techniques, Procedures)を日々分析しています。 先月は、標的型攻撃と考えられるメールに添付されていたマルウェアを解析しました。その調査の中で1次RATに感染した後の攻撃者の初期活動を分析し、攻撃者がQuasarRAT等のオープンソースツールを使う事が分かりました。オープンソースツールを悪用する事自体は珍しい事ではありませんが、今回の調査では公開情報にないツールの使用も観測でき、分かった内容について解説をします。 図1. 今回観測した攻撃の概要図 メール配送されたdocファイル このdocファイルは、マクロを含んでおり有効にすると外部よりファイルをダウンロードします。ダウンロードするURLでは" 2

要約 Windows OSが日本語設定である場合のみ次のステージに進むマルウェアを観測しました。 このマルウェアの日本語設定の確認方法として、コマンドのエラー文を用いるという過去見られなかった手口が利用されていました。 マルウェア概要 弊社では領収証に偽装したマクロが付いたWordドキュメントファイルを用いた攻撃を観測しました。この攻撃で利用されたマルウェアの動作に過去見られなかった手口が存在しました。本記事ではその手口について解説いたします。 このWordドキュメントファイルは「領収証.doc」という名前でメールを用いてユーザーに配送されました。この「領収証.doc」を開くと、マクロを有効にすることを促す文面が表示されます。 図 「領収証.doc」を開いたところ マクロを有効にすると以下のようなエラーダイアログが表示されます。 図 「領収証.doc」のマクロを有効にした際のエラーダイアロ

マクロを悪用するマルウェアは、バラマキ型/標的型攻撃にて多く使われており特別珍しいものではありません。最近では金銭窃取が主目的であるバンキングマルウェアが、マクロからPowerShellを起動して外部から新たなマルウェアをダウンロードするのを目にする事が多いです。 今回、弊社が解析したマクロを悪用するマルウェアでは、過去見られなかった新しい手口が使われているのを観測しました。ここでその特徴について解説したいと思います。 観測できた攻撃の流れは、以下になります。 図1. 攻撃の流れ 特徴1. マクロ パスワードロック 今回の検体は、ユーザがファイルを開いて、マクロを有効にすると処理が発動するものでした。 最初にマクロの内容をExcelで確認しようとしましたが、マクロの編集にパスワードが掛かっていた為、アプリケーションからはマクロのコードを確認をする事ができませんでした。 そこで、Philip

攻撃者が、インターネット上で利用可能なブログやコードレポジトリサービスに、暗号化したC2サーバのIPアドレスを掲載し、マルウェアがその情報を読み取ってC2サーバへ接続する手口は、デッド・ドロップ・リゾルバー(Dead Drop Resolver)として知られています。 その手法を使う代表的なマルウェアは、Elirks、Winnti等があります。 最近弊社で解析したマルウェアで過去見られた手口とは少し異なる部分がありましたので、記載したいと思います。 過去、観測された手口では、攻撃者がブログ記事にC2サーバのIPアドレスを暗号化した情報とその前後に識別子を記載し、マルウェアはブログ記事のページにアクセスしてその識別子を検索して暗号化された情報を抽出していました。下記は、過去に観測された攻撃者がブログに掲載した内容です。 図1. ブログに記載されていた暗号化されたC2情報 暗号化された情報の復

先週弊社では、防衛装備に関連した調査報告を偽装したドキュメントを使った攻撃を観測しました。皆様に注意喚起を促す目的で、調査の一部を共有したいと思います。 防衛装備に関連した調査報告を偽装したドキュメントは、図1のように、WORDやPDFを偽装した二重拡張子のファイルで、おそらくメールに添付されたかたちで標的企業に配送されたと見られます。 図1、WORDやPDFで防衛関連の調査報告書を偽装したEXEファイル SHA256 (PDF偽装ファイル) : dc7521c00ec2534cf494c0263ddf67ea4ba9915eb17bdc0b3ebe9e840ec63643 SHA256 (DOC偽装ファイル) : 42da51b69bd6625244921a4eef9a2a10153e012a3213e8e9877cf831aea3eced [動作概要] ファイルを実行した場合、WORD

2017年5月12日夜間頃より世界規模で攻撃が観測されているWannaCryの解析結果をお知らせします。WannaCryの動作概要と、ランサムウェアとしては新しい動作となる、キルスイッチとMS17-010脆弱性をついた感染拡大の部分については、少し詳しく解説していきます。 今回調査に用いた検体は、VirusTotalよりダウンロードした以下のSHA256ハッシュ値を持つWannaCryのドロッパー検体です。亜種の存在の報告もあがっており、挙動が異なる可能性もあるため、最初にこの点に触れておきたいと思います。 SHA256 : 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c [概要] WannaCryはドロッパーEXEの実行で開始され、開始直後に、キルスイッチと名付けられたURLにアクセスします。 http:/

先月、複数の情報ソースから同様のフィッシングメールの報告を受けました。メール本文は日本語、おとりのファイルも受信組織の業種に関連するものでした。そして、添付ファイルはPowerShellスクリプトを含むショートカットでした。 以下に、概要および解析結果を記します。 ■概要 フィッシングメールにショートカットがZIP圧縮されて添付されており、数個のPowerShellおよび実行ファイルが多段で利用されている一連の攻撃となっています。 最終的なマルウェアは入手できおらず、攻撃者の意図は残念ながら把握できておりませんが、メール本文およびおとりのファイルから察するに標的型攻撃の可能性がございます。また、ショートカット攻撃およびPowerShellスクリプトが絡む攻撃は年々増加しているため、ユーザ教育（ショートカットは実行してはいけない）や実行制限をご検討ください。 図、攻撃の全体像 ■解析結果およ

標的型攻撃等に対する警戒心の高まりから、以前にも増して、VirusTotalを活用される企業が多くなっているかと思います。疑わしいファイルを無料で分析できるため、気軽に使える反面、機微な情報を含むファイルをアップロードしてしまった場合、他の組織に入手されてしまうリスクがあります。いったんVirusTotalにアップロードしてしまったファイルは、それがマルウェアか否かに関係なく、VirusTotal Intelligence（有償サービス）の契約ユーザが自由に入手できることを意味します。 アンチウイルスベンダーをはじめ、多くのセキュリティベンダーは、VirusTotal Intelligenceを契約し、VirusTotalにアップロードされるマルウェア検体を分析することで、脅威の動向を把握しようと努めています。弊社も、特に日本からアップロードされるマルウェア検体を入手することで、脅威の動向

標的型攻撃において、攻撃者はフリーメールサービスをよく使うことが知られています。Backdoor.Emdiviのケースでも、*****@excite.co.jp　や　*****@yahoo.co.jp　などのフリーメールアドレスが差出人となっている攻撃メールを多数確認しています。 一方、差出人メールアドレスで取引先ドメインを詐称した標的型攻撃メールや詐欺メールもよく見られます。多くの方がご存じのように、メールヘッダの偽装は極めて簡単なため、詐称メールを送る技術的な敷居は低く、そのためツール類も出回っておりますが、弊社では、ここ最近、一部の攻撃者／犯罪者が"フリーメールサービス"を使って、取引先メールアドレスを詐称していることを、標的型攻撃や詐欺の事案で確認しました。ここで言う「詐欺」とは、取引先になりすまして、送金先口座の変更を依頼する旨のメールを送り金銭を横取りする犯罪などです。以降、読