はてなブックマーク

新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■しかくはじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最

新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2023年版)」を今年も公開します。 ■しかくインプットで参照している情報源(海外) ランサムウェア攻撃やフィッシング攻撃等、サイバー攻撃インシデントの多くでは、出し子、買い子、送り子といった犯罪活動の協力者などを除き、日本の警察に逮捕された容疑者はそれほど多くない事が、ニュース等の報道を見ていると分かるかと思います。海外から日本の組織が攻撃を受けているケースが多いと推定される中、自己防衛が重要であり、最近は脅威インテリジェンスを活用して攻撃の初期段階、初期兆候を重要視する企業も増えてきています。海外の主要セキュリティサイトの情報をいち早く把握する事で、脅威インテリジェンス並とまでは言えないかも知れませんが、国内サイトで報じられるまでの時差を稼ぐ事が可能になるケースもあり、当ブログでも有力海外ソースの発信情報をチェッ

決済代行会社のメタップスペイメント社から、ここ数年で最大のカード漏洩(国内)が発表されました。発表された内容を読むと下記の記事にある様に"やられ放題"と書かれても仕方が無い、基本セキュリティ対策の不備が含まれています。この不正アクセス事件について専門家の立場で考えてみます。 www.itmedia.co.jp 公式発表 ・不正アクセスによる情報流出に関するご報告とお詫び(2/28)[魚拓] ※(注記)第2報 ・不正アクセスに関するご報告とお詫び(1/25)[魚拓] ※(注記)第1報 2. 不正アクセスおよび流出情報について 今回は決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出いたしました。 1 トークン方式クレジットカード決済情報データベース 2021年10月14日から2022年1月25日に利用されたクレジットカード番号数(括弧内は流出情報):460,395件

1月下旬からEmotet被害(注意喚起)リリースを出す企業・組織が増えています。JPCERT等もアラートを出していますが、結構な数のリリースが出ていますので、不審な"添付(ZIP)ファイル"やURL付きのメールには十分にご留意ください。 www.jpcert.or.jp ※(注記)3/1〜3/4でリリースを調べ直しました。良かったらご覧ください。 Emotet被害リリースを調べてみた【2022年3月1日〜3/4】 - Fox on Security 本日(3月1日)時点でざっと調べてみたEmotet関連のリリース(1月末〜)は以下の通りです。84件確認しています。 2月22日以降、少なくても24件のリリースが出ており新たな攻撃キャンペーンに警戒が必要です。 SEQ 日付 企業・組織名 リリース 84 2022年3月1日 株式会社ファインデックス New 弊社社員を装った不審なメールについて 83 20

専門分野という事もあり、カード情報漏洩事件をウォッチして数年経ちますが、ずっと気になっていた事があります。公式リリースがそこそこの頻度で「消える」事です。 お気づきの方も多いかと思いますが、当ブログのカード情報漏洩系の分析記事では、なるべく企業等のカード情報漏洩発表リリースの魚拓を取る様にしています。 こうした魚拓を取る手法は、カード情報漏洩事件をほぼ拾われている、ScanNetSecurityさんが長年実施してきている事なのですが、企業がリリースを出しているのに、何故魚拓を取るのだろうと当初不思議に思っていたのですが、自分でインシデントを調べ始めて分かったのですが、意外にリンク切れが発生します。 ※(注記)ScanNetSecurity参考記事(※(注記)赤枠部分が魚拓になっています) 先日、2021年の国内カード情報漏洩インシデントの調査データを集計していたのですが、(当方が把握している限りですが)7

新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増しています。去年に引き続き、今年も絶対外したくない海外サイトからご紹介します。 サイト キタきつね寸評 1位 morningstar SECURITY 不動の1位です。ジャンルの広さ、情報の更新頻度、関連ソースの網羅性など、英語系のセキュリティニュースとしては群を抜いた、最良のまとめサイトです。 私は「Daily Security News(最も人気のあるセキュリティニュース)」(一番上)と「Security Blogs(セキュリティブログ)」(下から3つ目)を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exp

本日は、あまり興味を惹く参考記事がなかったので、某サイトをネットサーフィンした件を書きたいと思います。 本日、作業cy・・勤務時間外に見ていたのは、このブログでも過去に何度か記事を書いた事がある、世界の監視カメラ映像を見れる某サイトです。 日本でも、サイト管理者集計ですが、本日時点で1,519台のカメラが掲載されており、オリンピック前に総務省が肝煎りで実施した、サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の結果を嘲笑う様な掲載数を誇ります。 ※(注記)このほとんどが監視カメラのパスワード設定なし、又は脆弱なパスワード設定によるものとサイト管理者は公言しています。 URLリンクを貼るのは自己規制しますが、ググればすぐ出てくるサイト(ロシア系だったと思います)なので、業務をサボりたい休憩時間を有効に使いたい方は、たまに見てみると良いかと思います。 久しぶりに閲覧したのですが、ち

スイーツパラダイスの通販サイトを利用したユーザが、クレジットカードが不正利用されたケースが多発している様です。 www.itmedia.co.jp Twitterでは9日午後8時ごろ、11月下旬に開催されたオンラインゲーム「原神」のコラボカフェイベントなどの際に同サイトでクレジットカード決済を行った人々から、上記のような報告が上がり始めた。海外のショッピングサイトやAppleなどの名義で身に覚えのない引き落としがあったという。 ITmedia NEWS編集部が井上商事に問い合わせたところ「Twitterでの報告を見て気付き、被害が拡大しないよう公式通販サイトをメンテナンス中とした」と説明。「問題の原因が当社にあるのか、別のところにあるかを含めて現在調査中」としている。 公式発表(スイーツパラダイス) ・特に見当たらず(新着情報)(コラボ情報) キタきつねの所感 スイーツなどが食べ放題サービ

あまり大きな話題にはなっていませんが、沖電気工業(OKI)の社内サーバに不正アクセス被害があったと発表されていたのが気になりました。 www.nikkei.com 公式発表(12/2) ・当社ファイルサーバーへの不正アクセスについて (魚拓) OKIは、2021年11月8日、当社ネットワークに対する第三者からの不正アクセスを確認しました。社内調査の結果、社内のファイルサーバーに不審なアクセスがあり、一部のデータが読み出された可能性があることが11月30日に判明しました。外部の専門機関による調査も実施し、お客様に関する情報や個人情報が含まれるかなどの詳細を確認中です。 当社といたしましては、不正アクセスの確認後、速やかに該当するネットワークの切断や外部からのアクセス制限など必要な対策を講じており、関係機関への報告も実施しております。 (公式発表より引用) キタきつねの所感 まだ侵害があった旨

人為的エラーが原因のデータ漏えいは、全てのデータ侵害事件の17%を占めるとのデータがありますが、従業員を叱る(北風)方式を採るとストレスを生み出し、生産性を低下させる可能性がある様です。 www.darkreading.com 従業員の大多数は、サイバーセキュリティの問題を引き起こすことを決して意図しない、善意の勤勉な人々です。実際、2020 年には、すべてのデータ侵害の 17% が 人為的エラーによって引き起こされました。これは、2019 年の 2 倍の量です。 おそらく、新しい従業員は、会社のデータを自分の iCloud アカウントに自動的にアップロードするデフォルト設定があることを知らずに、個人の iCloud ドライブを仕事用デバイスに追加して個人情報をより簡単に利用できるようにします。または、パンデミックの最中にリモートで作業するチーム メンバーは、自分のコンピューターが読み込ま

12月9日、12月15日の山本一郎氏の記事はセキュリティ関係者の間、あるいはTwitterの中で大きな話題となりました。斉藤氏も自身のブログで「ブログ等におけるご指摘について」というコメント記事を日本語のみで書かれていますが、Twitterのフォロワー数水増し疑惑や経歴詐称の部分で部分が気になったので、少し調べてみました。 ●くろまる山本一郎氏 12月15日記事 news.yahoo.co.jp ●くろまる山本一郎氏 12月9日記事 news.yahoo.co.jp また、12月27日の産経ニュースによれば、経済産業省と内閣府の参与について、経済産業省が12月15日付(自己都合)、内閣府が12月13日付(辞職願)でいずれも辞任している事が判明した。 www.sankei.com 斉藤ウィリアム氏は、12月21日付けで釈明コメントを自身のブログに出していますが、山本氏の指摘内容に答え切れている説明とは判断で

コロナ禍の影響もあるのか、婚活市場ではマッチングアプリの利用者が拡大している様です。そんな中、累計会員数が600万人を超える「Omiai」が不正アクセスを受け、本人確認書類(個人情報)を約171万件漏えいした可能性があると発表しました。 mainichi.jp 公式発表 ・不正アクセスによる会員様情報流出に関するお詫びとお知らせ (魚拓) (前略) その後、不正送信の可能性がある通信ログを解析した結果、一部会員様(既に退会された旧会員様も含む)の年齢確認書類の画像データが4月20日〜4月26日の間、数回にわたって外部に流出した可能性が高いことが判明しました。 2. 対象となる情報 対象:2018年1月31日〜2021年4月20日の期間に、当社へ年齢確認審査書類をご提出いただいた171万1千756件分(アカウント数)の年齢確認書類の画像データ。 年齢確認審査書類の主な種別: 運転免許証、健康

テストのカバレッジを可視化してくれるCodecovサービスのインフラが侵害され、Bash Uploaderに1月下旬から約3か月間バックドアを仕掛けられていた様です。 securityaffairs.co 公式発表 ・Bash Uploader Security Update (4/15) Codecovは、システムとデータのセキュリティを非常に重要視しており、お客様を保護するために多数の保護手段を実装しています。2021年4月1日木曜日に、誰かがBash Uploader スクリプトへの不正アクセスを取得し、許可なく変更したことを知りました。アクターは、CodecovのDockerイメージ作成プロセスでエラーが発生し、Bashアップローダースクリプトの変更に必要なクレデンシャルを抽出できるようになったため、アクセスを取得しました。 (中略) 調査の結果、2021年1月31日以降、サードパ

水道等インフラへのサイバー攻撃、まだ海外でしか発生した報道を見ませんが、今後警戒すべき攻撃です。 www.reuters.com (ロイター)-ハッカーはフロリダ州タンパ近郊の約15,000人の水を処理する施設のコンピューターシステムに侵入し、危険なレベルの添加剤を給水に追加しようとしたと、ピネラス郡保安官は月曜日に述べた。 (中略) 金曜日の試みは阻止されました。ボブ・グァルティエリ保安官はインタビューで、ハッカーはオールズマーの町の施設にいる従業員のコンピューター上で、TeamViewerという名前のソフトウェアプログラムにリモートでアクセスして、他のシステムを制御できるようになったと語った。 「男はそこに座ってコンピューターを監視していましたが、突然、コンピューターにアクセスしたことを示すウィンドウがポップアップ表示されました」とGualtieri氏は述べています。「次に誰かが知って

新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増している気がしますので、今年は海外情報源から書きたいと思います。 昨年の記事では多くの海外サイトを紹介しましたが、試行錯誤の結果、まとめサイトでもある「morningstar SECURITY」や「DataBreaches.net」を押さえておけば、主要サイトが概ねカバーされると分かったので、今年は数を絞っています。 サイト キタきつね寸評 morningstar SECURITY 去年と変わりませんが、情報の更新頻度、そして関連ソースの網羅性という意味では、英語系のセキュリティニュースとしては最良の情報ソースの1つかと思います。私は「Daily Secur

2020年はランサムオペレータ(攻撃者)にとって多くの成功があった年、シュナイアー氏のブログ記事は、まさにその通りだなと思います。 www.schneier.com ランサムウェア攻撃の規模と重大度は2020年に明るい線を越えたと言う研究者もいますが、今年は段階的で残念ながら予測可能な権限委譲の次のステップに過ぎないと説明する研究者もいます。彼らの技術を磨くのに何年も費やした後、攻撃者はより大胆に成長しています。彼らは、組織のデータを盗み出し、被害者が追加料金を支払わない場合はそれを解放すると脅迫することにより、恐喝のような他の種類の恐喝を武器庫に組み込み始めました。最も重要なことは、ランサムウェアの攻撃者は、多くの個人を攻撃し、多くの小さな身代金の支払いを蓄積するモデルから、大きなターゲットの小さなグループに対する攻撃を慎重に計画するモデルに移行したことです。そこから彼らは大規模な身代金

楽天グループ3社のクラウド型営業管理システムが第三者の海外からのアクセスがあり、最大148.6万件の情報が流出した可能性があると発表しました。 xtech.nikkei.com 楽天は2020年12月25日、クラウド型営業管理システムに保管していた情報の一部が社外の第三者から不正アクセスを受けていたと発表した。楽天のほか、楽天カードや楽天Edyも被害に遭い、最大で延べ148万件超の顧客情報が不正にアクセスできる状態だった。日経クロステックの取材で、このクラウド型営業管理システムが米salesforce.com(セールスフォース・ドットコム)のシステムだったことが分かった。 不正アクセスの原因は、楽天がクラウド型営業管理システムのセキュリティー設定を誤ったことにある。2016年に同システムのアップデートがあった際、セキュリティー設定のデフォルト値が変わったという。再設定が必要だったが、できて

今年最大級のインシデントと言っても過言では無いかも知れません。IT監視サービスを全世界30万社以上に提供しているSolarWinds社のSolarWinds Orion Platformの更新ソフトがポイゾニング攻撃を受けた結果、米国財務省などの多くの政府機関が侵害を受けた可能性があり、最大で1.8万社に影響が出た可能性があると報じられています。 www.fireeye.com 公式発表(SolarWinds社) SolarWinds Security Advisory(12/15) 元ソース(FireEye社) Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Multiple Global Victims With SUNBURST Backdoor(12/13) キタきつねの所感 Solar

MySQLを狙ったランサムキャンペーン(PLEASE_READ_ME)についての調査レポートが海外主要ブログのいくつかで取り上げられていました。 www.infosecurity-magazine.com 研究者は、MySQLデータベースサーバーを標的とするアクティブなランサムウェアキャンペーンについて警告しています。PLEASE_READ_MEと呼ばれるランサムウェアは、これまでに世界中で少なくとも85,000台のサーバーを侵害しており、販売用のWebサイトに少なくとも250,000件の盗まれたデータベースを投稿しています。 MySQLはオープンソースのリレーショナルデータベース管理システムです。この攻撃は、インターネットに接続されたMySQLサーバー上の弱い資格情報を悪用します。MySQLサーバーは世界中に500万近くあります。1月にランサムウェアキャンペーンを最初に観察して以来、研究

三菱電機が今年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。 digital.asahi.com 複数の関係者によれば16日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられたIPアドレス(ネット上の住所)から接続があったためだ。 同社は不正アクセスの発生と判断し、接続を遮断した。調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。 接続元のIPアドレスを手掛かりに調べたところ、新たに2人の社員アカウントからの接続も見つかった。いずれもクラウドサービスの管理を任されている社員のものだった。ハッカー

2018年のマリオットのデータ流出事件の罰金は1,840万ポンド(約25億円)で決着する様です。3億3900万人の個人情報データの漏えい事件でしたので、1人当たりに換算すると0.05ポンド(約7円)となります。 www.theregister.com この攻撃は当初、チェーンのゲスト予約データベースに5億件のレコードを公開したと考えられていましたが、その後の調査により、その数値が下方修正されました。 公開されたデータには、暗号化せずに保存された525万人のゲストのパスポート番号、1850万の暗号化されたパスポート番号、910万の暗号化されたクレジットカード番号が含まれていました。 公共の傷害に侮辱を加え、ICOはマリオットの罰金を当初の信号値である9,900万ポンドから5分の4に削減し、その後、繰り返しかかとを引きずりました。 情報コミッショナーのエリザベス・デナム氏は、「企業が顧客のデー

地銀数行の口座からドコモ口座へ不正送金被害が発生した件、まだ広がりを見せていますが、単純な事件要因ではなさそうなので、少し調べてみました。 mainichi.jp NTTドコモの電子マネー決済サービス「ドコモ口座」を利用し、地方銀行口座から不正に預金を引き出される被害が相次いでいる。各行はそれぞれの口座とドコモ口座を連携させるための新規登録を停止。被害件数や被害総額は調査中だが、今後拡大する可能性もある。 8日までに被害が確認されたのは、七十七銀行(仙台市)、中国銀行(岡山市)、東邦銀行(福島市)、滋賀銀行(大津市)、鳥取銀行(鳥取市)の5行。このほか、大垣共立銀行(岐阜県大垣市)でも不正の疑いのある取引があった。 ドコモ口座は、開設時に登録した銀行口座から入金することで、ウェブ上で買い物や送金などができる。ドコモの顧客ID「dアカウント」と、銀行口座の情報があれば簡単に作れるため利用者は

少し前のKrebs氏の記事ですが、これからサイバーセキュリティのキャリアをお考えの方に対する助言が出ていました。 krebsonsecurity.com これらの経営幹部レベルの対応における共通のテーマは、非常に多くの候補者が、ビジネスを推進する情報システムの運用、維持、および防御に関するより実際的な懸念を伴う実務経験を欠いているということです。 確かに、学位を取得したばかりのほとんどの人は実務経験がありません。しかし幸いにも、サイバーセキュリティのややユニークな側面は、自主的な研究と昔ながらの試行錯誤を通じて、実践的なスキルと基礎知識をある程度習得できることです。 私が読者への返答にほとんどいつも含める重要なアドバイスの1つは、コンピューターと他のデバイスが相互に通信する方法のコアコンポーネントを学ぶことです。ネットワーキングを習得することは、他の多くの学習領域が築く基本的なスキルだから

データ復元サービスの法人問い合わせで多いのは「退職者PC調査」「データ復旧」「社内不正」なのだそう。消したデータを復元するニーズは非常に高いようです。 dime.jp 退職者のパソコン・スマートフォン調査では、デジタル機器に残された基本操作の履歴(ログイン・ログオフ)、USB接続履歴、インターネットアクセス履歴、ファイルの削除日等を手がかりに、退職者が退職時ないしは在職中に不正行為を行っていないかを調査。 職者調査の場合、相談を受けるなかで特に多いのは「退職者が在職中に使用していたパソコンからデータが大量に削除ないしは初期化されていた」というケースだ。 実際に対象社員が使用していたパソコンを調査すると、在職中に社内の顧客情報や技術情報を閲覧・コピーし、USBやクラウドストレージを利用して外部へ持ち出していたことが判明した事例も多数あったという。深刻なものになると、退職者が社の機密情報を持ち

NTT Comの不正アクセス事件の第2報が出ていました。内容を見るといわゆる裏口から不正侵入されていた事も書かれており、正直驚きました。 japan.zdnet.com 公式発表 当社への不正アクセスによる情報流出の可能性について(第2報) NTTコミュニケーションズは7月2日、5月28日に公表した同社設備への不正侵入と一部情報の外部流出の可能性について、新たにBYOD端末からのリモートアクセスを通じた経路での侵入も判明したと発表した。情報の外部流出の可能性についても83社分が新たに判明したとしている。 同社によると、調査で新たにVDIサーバーを経由して一部の社内ファイルサーバーへの不正アクセスが確認され、社内ファイルが閲覧された可能性があることが5月26日に判明した。リモートアクセスを利用したBYOD端末からの不正アクセスが判明し、全てのBYOD端末とシンクライアント専用端末のリモートア

先日、Amazonやらせレビューの記事を書きましたが、いろいろ調べている中でAmazonセラーフォーラムでも、こうした議題が討議されていました。こうした場でのコメントも色々とAmazon、あるいは業者の手法が書かれているので勉強になりました。 sellercentral-japan.amazon.com ◆だいやまーくキタきつねの所感 さて、本日はAmazonセーラーフォーラムのご紹介ではなく、国内ツール(サクラチェッカーやレビュー探偵)があるのなら、海外のツールはどのあたりを評価ポイントに考えているのかが気になったので、海外ツールを調べてみました。 「Fack review checker」でググってみると、以下の2つが出てきたので、こちらを見てみます。 ■しかくFakespot ■しかくReviewMeta.com まずはFAKESPOTですが、米国ニューヨークの会社が運営しており、Amazon(USA)やW

新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。 ※(注記)私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。」、およびその記事の元となった根岸さんの2011年の「私のセキュリティ情報収集術」の影響を強く受けて、自分なりに試行錯誤しているものです。必ずしも多くのセキュリティ担当の方に向いている情報収集のやり方ではないかも知れません。 ■しかくインプットに使っている情報ツール 情報収集に使っているツールはそんなに変わってません。忙しいセキュリティ担当の方は、いかにRSSをうまく使いこなすかがカギになるのかと思います。 ツール キタきつね寸評 備考(リンク) RSS Reader 去年から海外ニュースを拾うのに使い勝手が良かったので、このソフトを使っていま

家の鍵を開けっぱなしで外出した際に泥棒にあった、そんな状態が管理レスカメラは近い気がしますが、地方紙のこの記事は、ハッキングされた!と騒ぎ立てる前にすべき事が多い事を改めて考えさせられます。 www.the-miyanichi.co.jp 都農町の東児湯消防組合消防署都農分遣所の監視カメラの映像が、関係者に無断でインターネットサイトに流出していたことが28日、分かった。同組合消防本部(高鍋町)は何者かがカメラをハッキングしたとみており、29日にもカメラの設置業者などに依頼し、原因を調査する。 (宮崎日日新聞記事より引用) ◆だいやまーくキタきつねの所感 記事の画像を見ると、私が調査でたまに見る某サイトに掲載されていた事が確認できました。名前(URLリンク)はこの記事では出しませんが、セキュリティ分野の意識の高い方(特にIoTセキュリティ周りにお詳しい方)は、どこのサイトだかは分かるかと思います。(※(注記)ヤ