はてなブックマーク

■はじめに 情報窃取を伴うランサムギャングのリークサイトを観察しはじめたのは、コロナ禍と言われ始めた2020年頃でもう4年ほどが経ちました。過去には何度かその観察結果をまとめたエントリを書きました。お恥ずかしながら昨年、かまけてしまい2022年の振り返りを書くことができなかったので今年は書いてみようとふと思い立ってこれを書き始めています。（以後、出てくる数字はあくまでリークサイトの観察から自身が確認できたものですので実際の被害の件数とは異なることに注意してください） ■何を観察してきたか 観察の対象は、基本的にランサムギャングのリークサイトです。昨今のランサム攻撃は、皆さんがご存じの通りファイルやシステムのロックだけではなく、情報窃取型の脅迫や場合によっては身代金の支払いを急かすためにDDoSを行ったり、窃取した情報を元に利害関係者に連絡するというケースもあります。様々な方法で脅迫を行って

■概要 #OpRussia からの派生したオペレーション（以下、OP）として #OpRedScare というものが立ち上げられています。「Red Scare」とは、日本語にすると「赤狩り」となりWikipediaには以下のように説明されています。 赤狩り（あかがり、英: Red Scare）は、政府が国内の共産党員およびそのシンパ（sympathizer：同調者、支持者）を、公職を代表とする職などから追放すること。第二次世界大戦後の冷戦を背景に、主にアメリカとその友好国である西側諸国で行われた。 OpRussiaは、当初ロシアをターゲットとしていたOPでしたが、OpRedScare は、ロシアに加え、ベラルーシも含まれていることから別名とされているようです。状況の変化によって派生したものと考えらるため、実質的には、OpRussiaとして扱って問題ないかと思います。このOPにおいて共有されて

■はじめに 2020年02月14日（バレンタインデー！）以前に「脆弱性管理でCVSS基本値だけに振り回されないためのメモ – Feat. Known Exploited Vulnerabilities Catalog」というエントリー（現在はこのエントリとの区別の為にタイトルを変更しています）を公開しました。したがって、このエントリは以前のエントリをご覧になられていることを前提に書いています。 当該エントリー内でKnown Exploited Vulnerabilities Catalog（以下、KEVC）に掲載されている脆弱性を分析する1つのアプローチとしてCVSSの基本値を用いました。エントリー内でも説明しているのですが、すべてNISTが算出しているという理由からCVSS v2.0を集計の際に使用していました。CVSS v3.xのほうがいいという意見もいただきましたので、このエントリー

■はじめに 2020年02月14日（バレンタインデー！）以前に「脆弱性管理でCVSS基本値だけに振り回されないためのメモ – Feat. Known Exploited Vulnerabilities Catalog」というエントリー（現在はこのエントリとの区別の為にタイトルを変更しています）を公開しました。したがって、このエントリは以前のエントリをご覧になられていることを前提に書いています。 当該エントリー内でKnown Exploited Vulnerabilities Catalog（以下、KEVC）に掲載されている脆弱性を分析する1つのアプローチとしてCVSSの基本値を用いました。エントリー内でも説明しているのですが、すべてNISTが算出しているという理由からCVSS v2.0を集計の際に使用していました。CVSS v3.xのほうがいいという意見もいただきましたので、このエントリー

■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」（以下、KEVC）は、米国土安全保障省のCISA（Cybersecurity & Infrastructure Security Agency）が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 （CVE） ベンダー/プロジェクト名 （Vendor/Product） 製品脆弱性名 （Vulnerability Name）

■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」（以下、KEVC）は、米国土安全保障省のCISA（Cybersecurity & Infrastructure Security Agency）が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 （CVE） ベンダー/プロジェクト名 （Vendor/Product） 製品脆弱性名 （Vulnerability Name）

■概要 2022年2月8日に「Maze」「Egregor」「Sekhmet」の開発者であると自称する「Topleak」という名前のユーザが、BleepingComputerフォーラムでこれらの復号のためのマスターキーを投稿しました。投稿によると、マスターキーの投稿は昨今の逮捕やサーバのテイクダウンとは無関係であり、計画されていたことであると語られています。また、これらの関わっていたチームのメンバーは、決してこのような活動に戻ることはなく、ランサムウェアのソースコードは全て消去するとも書かれてありました。 以下は、この投稿された複数のマスターキーを用いてEmsisoftが復号ツールをリリースしていましたので試したメモです。 ■感染 復号を試すには、まず、当該ランサムウェアに感染しファイルを暗号化させる必要があるため、まず手頃な「Maze」を検証環境上で感染させました。下図、左が感染前、右が感

■はじめに 世間が本格的にコロナ禍になったと言える初回の緊急事態宣言が行われた2020年4月頃から以前から関心のあった、窃取した情報の公開、売買を行うランサムグループのリークサイトを定期的に確認し、記録を取るということを始めました。初めは手動で毎日時間の空いたときにチェックをしていましたが、それでは追いつかないため自動巡回し、通知、ログの保存を行うスクリプトを作り、改良を重ねて始めた頃と比べると幾分楽になりました。それにより情報の中身や集計などの時間を割くこともできるようになりました。このブログでも過去に2回のエントリーを掲載しています。 ・標的型ランサム観察記 2020年10月31日まで版 ・標的型ランサム観察記 2021年振り返り版 全体編 また、あるときからチェックしているランサムグループのリーク数をランキング形式にして毎月、月初め頃にツイートするようになりました。今回はそのチェック

■概要 2022年01月22日、共同通信社より「サイバー攻撃対策、経営責任に」という記事が出ておりました。内容は、政府が重要インフラ事業者のサイバーセキュリティ対策において経営陣の責任を明確化する検討を始めたというものです。関係者によると今春に5年ぶりの抜本改定を予定している「重要インフラ行動計画」に盛り込むそうで、情報漏洩などによる損害が発生した場合は、会社法上の賠償責任を問う可能性があるとのことでした。こちらに関しては関係者からの聞き取りであり具体的なことは示されていないためこの段階でコメントすることは時期尚早かと思います。気になったのはこの記事の中にあった「重要インフラを狙った主なサイバー攻撃」と表で紹介されていたものでした。それをきっかけに調査を行ったことをメモしていきます。 ■気になった表 まずは、前述の気になった表について触れます。その表は2列で構成され、左側に年と月を右側にサ

■概要 2022年01月04日に、幼稚園から高校、大学向けのWebサイトのデザイン、ホスティング、コンテンツ管理ソリューションを115か国、8,000以上の学校に提供しているアメリカのSaaSプロバイダーであるFinalsite社がランサムウェアの被害に遭いました（公表は06日）。そして、同日、ホストしていた学校のWebサイトにアクセスできなくなったり、エラーが表示されるという事象が発生。Finalsite社のコミュニケーションディレクターであるMorgan Delack氏によるとランサムウェアへの感染がそれらの事象の直接的な原因ではなく、顧客データを保護するために積極的にシステムをオフラインにし、それによって約5000の学校のWebサイトがオフラインなるとのことでした。この件に関して、Finalsite社は、特設ページ（Finalsite ransomware incident comm

■はじめに 1年以上前となりますが、このブログで「標的型ランサム観察記 2020年10月31日まで版」というエントリを書きました。そちらでは、2020年4月から始めた標的型ランサム攻撃（TargetedではなくHuman Operatedと呼ぶべきかもしれませんがここでは便宜上標的型ランサム攻撃とします）の観察・記録から見えてきたことを書きました。ポッドキャストやTwitterを通じて自身の調査したことなどをその都度、発信してはいましたがブログではまとめた情報を発信していませんでした。そこで今回は2022年を迎えたということもあり、2021年の間、標的型ランサム攻撃を観察、記録してきた結果を共有いたします。 ■何を観察・記録してきたのか？ 観察の対象は、基本的にランサムグループのリークサイトです。昨今のランサムウェア攻撃は、皆さんがご存じの通りファイルやシステムのロックだけではなく、情報窃

■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが

■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが

福島原発の事故後、大量保管されている処理済み汚染水を貯めるタンクは2022年秋ごろに満杯となるため増設を検討し、早ければ2023年には処理水を海に放出を開始する方針を日本政府が正式決定しました。この決定に対してアノニマスは、環境汚染を危惧しての抗議をしています。（ハッシュタグを含む初ツイートは2021年04月13日） あるアノニマスは、この件に関して、2012年07月09日にドイツのヘルムホルツ海洋研究センター（以下、GEOMAR）よりリリースされた汚染水の広がりに関するシミュレーション結果「Fukushima – The fate of contaminated waters（July 9, 2012/）」を挙げ、GEOMARは、福島で汚染された核廃水が投棄された場合、57日で太平洋の半分が汚染されると予測しており、3年後、カナダとアメリカは核放射能汚染の影響を受けるという試算結果を紹介

■概要 ミャンマー国軍は、2021年02月01日に総選挙で不正があったという主張のもとクーデターを起こし、アウン・サン・スー・チー国家顧問やウィン・ミン大統領、国民民主連盟の幹部など少なくとも45名を拘束しました。現在は、ミン・アウン・フライン将軍が事実上の国家指導者となり、1年間の非常事態宣言を宣言し、ミン・スエ副大統領が大統領代行に就任しています。政権を掌握したミャンマー軍は、非常事態宣言が解除された後に総選挙を行うとの意向を表明しており、その結果を受けて選出された政党に政権を譲渡するとのことです。 このクーデターに対する抗議行動は、ミャンマーや隣接するアジア諸国にも広がっておりに日本国内でも行われています。こうした動きに対して、AnonymousもSNS上などで反応し #OpMyanmar というオペレーションを立ち上げ支援をしています。ターゲットリストを共有し、(D)DoSによりサ

■概要 ミャンマー国軍は、2021年02月01日に総選挙で不正があったという主張のもとクーデターを起こし、アウン・サン・スー・チー国家顧問やウィン・ミン大統領、国民民主連盟の幹部など少なくとも45名を拘束しました。現在は、ミン・アウン・フライン将軍が事実上の国家指導者となり、1年間の非常事態宣言を宣言し、ミン・スエ副大統領が大統領代行に就任しています。政権を掌握したミャンマー軍は、非常事態宣言が解除された後に総選挙を行うとの意向を表明しており、その結果を受けて選出された政党に政権を譲渡するとのことです。 このクーデターに対する抗議行動は、ミャンマーや隣接するアジア諸国にも広がっておりに日本国内でも行われています。こうした動きに対して、AnonymousもSNS上などで反応し #OpMyanmar というオペレーションを立ち上げ支援をしています。ターゲットリストを共有し、(D)DoSによりサ

■概要 オンラインフォーラムにて130万件のClubhouseユーザのデータがリークされているとの海外メディアが報じました。オンラインフォーラムにて投稿された内容には以下の記載がありました。 130万件のユーザデータは、ClubhouseのAPIを通じて抽出したとのことです。 ■ユーザデータに含まれていた情報 当該データを確認したところ以下の項目を含む情報でした。（）内はデータ内の項目名をそのまま記載しています。 ユーザID（user_id) 名前（name） プロフ画像のURL（photo_url） Clubhouse ID（username） Twitter ID（twitter） Instagram ID(instagram) フォロワー数(num_followrs) フォロー数（num_following） アカウント作成日時（time_create） 招待されたユーザID（inv

■Emotet＆IcedID EmotetとIcedIDについての比較において最も注目すべき点は「Execution」の「Command and Scripting Interpreter」でないでしょうか。ここはEmotet及び、IcedIDをドロップする際に利用されるテクニックが挙げられているのですが共通するものが「Visual Basic」です。平たく言うと添付やリンクからエンドポイントに入り込んだOfficeファイル（WordやExcelなど）が開かれた際にマクロが動作し、感染プロセスが開始されることです。昨年は、Emotetの感染被害が多く、話題となりました。亜種も多数存在し、ウイルス対策ソフトではすべてを完全に検知できないという問題もあります。ウイルス対策ソフトやEDRを組み合わせて対応するということも良いのですが、検知するフェーズの前に根本的にブロックする。つまり、ユーザがフ

■概要 ランサム犯罪者グループCL0Pにより大容量ファイル転送アプライアンスAccellion FTA（以下、FTA）の0dayの脆弱性を悪用された攻撃と脅迫が観測されています。2021年2月22日のFireEyeの発表によると 2020年12月と2021年1月に世界中の約100社が攻撃を受けていると発表されました。2021年1月12日付けのAccellionのプレスリリースでは影響を受けた50未満の顧客にパッチをリリースしたと記載されていますが、同日のAccellionのプレスリリースでは、初期フォレンジックの結果、合計約300のFTAの顧客のうち100未満が攻撃の犠牲となり、25未満が重大なデータ窃取が行なわれたと記載されていました。この25未満の顧客の一部は既にCL0Pによる脅迫を受けていることが明らかになっています。 攻撃では、脆弱性を利用してFTAを攻撃し、DEWMODEという名

FireEyeが12月8日付のブログで標的型攻撃を受け、社内で開発したレッドチーム用攻撃ツールが盗まれたことを公表しました。 発表ではゼロデイの脆弱性を利用する手法は含まれていないとのことですが様々な既知の脆弱性をテストするための手法が納められており、それらが攻撃者の手に渡ることでその攻撃者が利用したり、それが公開され多くの攻撃者が利用することも想定されます。その想定される事態のためにFireEyeは、盗まれたツールが検証する脆弱性についての情報を公開しました。公開した情報にはツールに含まれている攻撃を検知するために、Snort、ClamAV、Yaraの検知ルールなどが含まれているのですが、ツールが利用する脆弱性のうち優先的に対処すべき脆弱性のCVEリストを公開しています。 それらについて一覧表にしましたので共有します。 過去に国内でも利用され被害が報じられた脆弱性も含みますが、これを良い

■はじめに 2015年末に強くランサムウェアに興味を持ち、2017年に韓国ウェブホスティング企業を標的としたランサムウェア攻撃を知り、当時こういったものが後に益々増えてくることを危惧していました。 そして、世界全体がコロナ禍となり、自宅での仕事が増えはじめた4月頃から標的型ランサムの攻撃者が増えてきたことと腰を据えて仕事がしやすくなったということもあり可能な範囲で自分なりに記録を取るようにしていました。ボクのTwitterを見てくださっている方は、ご存じかとは思いますが不定期にそれらをまとめたものをツイートしていました。たまにいただく講演のお仕事でも発表しておりました。そこでふと思い立ってこのエントリを書いています。別段、暇で暇でしょうがないというわけではなく、むしろこの時期は逆なのですが、色々と立て込むと逆にこういうことがしたくなるんですよね。 というわけで、ボクが観察、記録した標的型ラ

■はじめに 2015年末に強くランサムウェアに興味を持ち、2017年に韓国ウェブホスティング企業を標的としたランサムウェア攻撃を知り、当時こういったものが後に益々増えてくることを危惧していました。 そして、世界全体がコロナ禍となり、自宅での仕事が増えはじめた4月頃から標的型ランサムの攻撃者が増えてきたことと腰を据えて仕事がしやすくなったということもあり可能な範囲で自分なりに記録を取るようにしていました。ボクのTwitterを見てくださっている方は、ご存じかとは思いますが不定期にそれらをまとめたものをツイートしていました。たまにいただく講演のお仕事でも発表しておりました。そこでふと思い立ってこのエントリを書いています。別段、暇で暇でしょうがないというわけではなく、むしろこの時期は逆なのですが、色々と立て込むと逆にこういうことがしたくなるんですよね。 というわけで、ボクが観察、記録した標的型ラ

今夜の「ほんまでっか!?TV」の放送でスマホのアプリを紹介しました。 諸事情がありスタジオでのデモやスクリーンショットなどを紹介することができませんでした。また、テレビ、番組の時間の都合上、1つの話題を深く掘り下げられずオンエアとなるケースもあります。番組をご覧いただいた方の中に自分でも使ってみたいと思った方も少なからずいらっしゃるかもしれません。そこで、今回のエントリでは、紹介したアプリをインストールから設定までを簡単に紹介します。ちなみにアプリのインターフェイスや設定項目の多くは日本語化されております。 まず、今回取り上げたスマホのアプリは、「Haven: Keep Watch」（以下、「Haven」）というもので米国家安全保障局（NSA）による米国人の携帯電話への監視活動を内部告発したエドワード スノーデン氏が、理事を務める「Freedom of the Press Foundati

「Have I Been Pwned」のメールアカウント漏洩通知サービス「Notify me」と「Domain search」登録メモ memo 今年度に入ったあたりからメールとパスワードのセットが流出しているであるとか、売買されているというニュースやリリースなどが目立つと感じています。 そういった内容を受けてかプライベート、仕事の繋がりのある方からお問い合わせをいただくこともあります。問い合わせの内容としては「あなたのところの組織のメールアドレスとパスワードがダークウェブで売買されているのを発見した。それについての情報提供が必要であればうちのサービスを契約しませんか？」という売り込みを受けたのだが、何か情報持ってない？といったような類いのものです。こうした状況はあまりよろしくない気がするので、そんな状況を少しでも緩和することができそうな「Have I Been Pwned」というサイトの