【グローバル】Zoomの偽インストーラが発見される
Trendmicro社の記事の引用となります。
https://blog.trendmicro.co.jp/archives/25286
概要
トレンドマイクロ社は、2種類の偽Zoomインストーラファイルを発見した。
・攻撃者が、リモートで不正活動を実行するためのバックドア型のマルウェアを感染コンピュータにインストールする。
・Devil Shadowと呼ばれるボットをインストールする。
これらはもちろんZoomから配信されたものではなく、攻撃者が用意したものである。
対応策としては、Zoomの公式ダウンロードセンターからインストーラをダウンロードすること。
また、偽インストーラの場合、インストールに時間がかかることで異常に気付くことができるとのこと。
思うこと
インストール時間については、ユーザが気付くのはなかなか難しいと思うので、正規サイトからインストーラをダウンロードすることが最重要となりそうですね。
ただ、Zoomの公式サイトが改ざんされた場合は異常なインストールをダウンロードさせられることもあるかと。そういった場合に備えて、マルウェアやBotを検知する仕組みも必要と思います。
以上
【グローバル】COVID-19がサイバーセキュリティ業界に与える長期的な影響
InformationWeek IT Networkのまとめ記事になります。
概要
昨今のCOVID-19による大混乱は、過去味わったことのない非常にユニークな経験である。
物理的な紙幣や対面での営業がなくなり、すべてのやり取りがデジタルで完結する状態の今、サイバーセキュリティの観点で求められているのは、ずばり"柔軟性"と言える。
COVID-19の影響で日々変わりうるビジネスモデルやシステム構成に対して、セキュリティ担当者は”Blocker”として機能するのではなく、"Enabler"として機能しなければいけない。
セキュリティ担当者がEnablerとして機能することで、持続可能な競争上の優位性をもたらし、企業にとって長期的な成功をおさめるということが今後ますます必要となる。
思うこと
私もCISSPホルダーとして常に考えているのは、セキュリティがビジネスを阻害する要因になってはならないという点です。ガチガチなセキュリティで安全性を担保したとしても、それによってビジネスに悪影響が出るのであればそれはそのセキュリティ対策は企業にとって失敗と言えます。
また、柔軟性の観点にも含まれそうですが、COVID-19によってシステムの可用性が今まで以上に求められているように思います。システムの停止がビジネスの停止に直結しうる中、安心・安全に継続して使い続けられるシステムを構築することが必要だと考えます。
以上
【日本】TIS社の"RemoteWorks"に他のユーザIDが表示される脆弱性が発見され、サービス終了へ
ScanNetSecurityからの引用記事となります。
https://scan.netsecurity.ne.jp/article/2020/06/22/44230.html
概要
TIS社は、同社が提供する”RemoteWorks”に以下のような脆弱性があることを公開した。
- システム利用時に、他の利用者のユーザIDを含むエラーメッセージが表示される
- システム利用時に、他の利用者のWindowsログイン画面が表示される
なおこの現象は、「システムのトラフィック増大等により処理に遅延が発生した際に、他のユーザとのセッションの取り違え」が発生するとのこと。
現時点で外部からの攻撃や情報漏洩が発生した可能性は低いとしている。
一方で、問題の根本解決のためには、アーキテクチャ全体の見直しが必要となるため、同社はサービスを終了することを決定した。
思うこと
サービスを終了することで、リスクの”回避”を行った形ですね、、苦渋の決断だったと思います。。
高負荷時に予期せぬ挙動をする、というのはよくある脆弱性ですが、 負荷(ストレス)テストを実施していなかったか、もしくはやっていたものの発見できなかった形ですかね。
あとは素人の意見ですが、こういった脆弱性が起きることを前提に、アジャイル的に変更が加えやすいアーキテクチャにしておくのが大事のかなと思ったりしました。
以上
【グローバル】ランサムウェア攻撃7種
Gatefyの引用記事となります。
https://gatefy.com/blog/real-and-famous-cases-ransomware-attacks/
概要
ランサムウェアは、攻撃者がファイルやシステムへのアクセスを暗号化等によりブロックすることで、ユーザのアクセスを不可能な状態にするマルウェアです。
攻撃者はそれらのファイルやシステムを人質として、身代金を請求します。
ユーザが身代金を支払うと、攻撃者が暗号を複合するための"複合キー"をユーザに渡すことで、復旧が可能な状態となります。
なお、身代金はビットコインやモネロなどの仮想通貨で請求されることが多く、これによりサイバー犯罪者の追跡が困難になっています。
この記事では、有名な7種類のランサムウェアを取り上げます。
ランサムウェアの種類
Ryuk(2019, 2020)
Ryukでは、一般的なマルウェアと同様、危険なリンクや添付ファイルを用いてメール経由でマルウェアを拡散させます。
攻撃の特徴として、システム全体を復旧させるための身代金額は30万ドルを超える場合もあり、他のランサムウェアと比べても高額である特徴があります。
Ryukによる被害は100社以上に上り、6,000万ドルを超える被害をもたらしています。
SamSam(2018)
SamSamは、2015年後半頃から発生したランサムウェアです。
特に、イランのハッカーが病院・地方自治体・公的機関を含むアメリカ及びカナダの200以上の組織に対してSamSamを使用していたことが大きなニュースとなっていました。
攻撃の特徴として、初めに数台のマシンのロックを解除するための初期支払いを請求し、その支払いに基づいて実際に数台のマシンをロックします。これにより、身代金を支払えば確実にロックを解除するという意思表示を行っています。
WannaCry(2017)
損失額の面で歴史上もっとも破壊的なランサムウェアは、2017年に発見されたWannaCryです。総額、40億ドルと推定されています。
WannaCryは電子メール詐欺、フィッシングにより拡散します。また、Windows OSの脆弱性を悪用していたことが、拡散が広まった原因だともいわれています。
現在でもWannaCryによる被害が報告されているため、注意が必要になります。
Petya(2016年)
Petyaは、Windowsを利用するマシンのBoot Recordに感染して機能します。
それにより、OS全体へのアクセスをブロックします。
TeslaCrypt(2015年)
Call of Duty, Minecraft, Warcraftなどのゲームファイルに感染し、マップやユーザプロファイルをブロックしたことで知られています。
CryptoLocker(2013年)
Cryptolockerは、ランサムウェアの手口があまりなかった当時、画期的な出来事として注目を浴びていました。300万ドル以上の損失を残し、20万台以上のWindowsベースのコンピュータに感染したといわれています。
AIDS Trojan or PC Cyborg(1989)
PCサイボーグともしられるAIDSトロイの木馬は、歴史上最初に登録されたランサムウェアです。これを作成した生物学者のジョセフポップは、ランサムウェアの父と言えます。
AIDSトロイの木馬は、感染したフロッピーディスク使用して、1989年にスウェーデンのストックホルムで開催された、世界保健機構の国際エイズ会議の参加者に配布されました。
これは、ファイルディレクトリを隠してファイルをブロックした後、被害者にパナマのメールボックスに対して189ドルを送るよう指示しました。
思うこと
これらは一例に過ぎず、日々大量の新種のマルウェアが生み出されていると思います。
最近ランサムウェア系の記事をまとめている際に出てきたものは、天使のイラストを用いた"Kupidon"や、"Maze"あたりですね。
今後、一般的な対策(メール対策やバックアップ、不正アクセス防止、パッチ適用など)では対応しきれない攻撃が出てくる可能性もあるため、最新の攻撃手法を継続的に調査することが重要ですね。
以上
【アメリカ】過去最大のDDoS攻撃が行われる
Cyware Socialからの引用記事です。
https://cyware.com/news/the--ever-ddos-attack-89b5996b
概要
ある巨大サービスプロバイダが過去最大のDDoS攻撃にあった。
最初の攻撃で、同プロバイダは1.44TbpsものDDoS攻撃を受けた。続けて、同プロバイダに対して、500MbpsのDDoS攻撃が行われた。
Akamai社によれば、これらの攻撃は多くは開示されていないものの、社会的な原因で攻撃を受けているという。
なお、過去最大のDDoS攻撃は、Githubに対して行われた2018年の1.3Tbpsの攻撃であった。
技術的な特徴
一般的な攻撃が2~3種類のトラフィックで構成されるのに対し、この攻撃は9種類もの異なるトラフィックで構成され、攻撃は1時間にも渡って継続されていた。
攻撃に用いられたデバイスは、どれも異なるリージョンから接続されていたという。
思うこと
テレワークや週末の自宅待機の影響で、オンライン上で仕事をすることやショッピングを行うことが当然となってきているため、DDoSによるシステム中断は企業にとって大きなインパクトを与えます。
セキュリティ用語で言い換えれば、コロナの影響を受けて特に"可用性"が重要であることが再認識されている状況です。
機密性や完全性にとらわれてガチガチなシステムを構築するのではなく、柔軟な可用性の高いシステムを構築することが今後より求められるかと思います。
以上
【アメリカ】Keizer市がランサムウェア被害にあい、$48,000の身代金を支払う
Keizertimesのまとめ記事になります。
https://www.keizertimes.com/posts/1639/keizer-city-computers-hacked?&web_view=true
概要
カイザー市は、6/10(水)にハッキング被害にあい、データ復旧のために$48,000の身代金を支払ったと報道した。
なお、機微な情報へのアクセスは行われていなかったとしている。
同市は、関係当局に依頼を掛けデータ復旧に努めたものの、すぐにデータ復旧のための唯一の手段は身代金を支払うことだと分かった。
思うこと
相変わらずランサムウェア被害が多い。復旧のための唯一の方法が「身代金を支払うしかない」、という状況にならないように攻撃者の手の届かないところへバックアップを取得することが必要になるかと思います。
以上
【グローバル】有名なハッキンググループ7選
United States CYBERSECURITY Magazineのまとめ記事になります。
https://www.uscybersecurity.net/infamous-hacking-groups/
概要
昨今、ハッキンググループによる攻撃がニュースになることが多くあるかと思います。
一部のグループは国の支援を受けていると噂されるなど、国境をまたいで国家レベルで大きな脅威となっています。
ハッキンググループ
Anonymous
おそらく最も象徴的で人気のあるハッキンググループであり、彼らは特にDDoS攻撃で知られている分散型のハッキンググループです。
攻撃は政治団体、外国政府、宗教団体等に対して頻繁に行われています。その他にも、児童ポルノサイトなど彼らが不適切と考えるグループに対して攻撃を行います。
政治的・社会的メッセージを込めた攻撃を行うハクティビストという見方もあれば、一部ではテロリストグループと中傷する人々もいます。
Chaos Computer Club(CCC)
ヨーロッパ最大のハッキンググループです。
元々は攻撃を仕掛けるグループではなく、人々を教育するためにセキュリティ欠陥を公開するためのグループでした。
Homebrew Computer Club
自作のコンピュータネットワークを作成するための非公式なハッキンググループでした。このグループは現在は存在していませんが、シリコンバレーで生まれ、数々のハッカー及びコンピュータエンジニア(AppleのSteve Wozniak等)を生み出したグループとして有名です。
Legion of Doom(LOD)
ハッキング技術の歴史で最も影響力のあるグループの1つとして知られるハッキンググループです。Hacker Manifestoと呼ばれる世界中のハッカーの倫理と目的を示した著名なエッセイがあります。
映画Hackerにおいても、このマニフェストが強く参照されています。
Master of Deception(MOD)
ニューヨークを拠点とするハッキンググループで、電話会社を悪用することで知られていました。彼らの名前はLegion of Doom(DOM)を文字って作成されており、これはLODが方向性を失っていることを主張するためのものであったといわれています。
FBIは電話会社でハッキングした後、多数のメンバーを逮捕しています。
Lizard Squad
マレーシア航空を攻撃したと主張するハッキンググループです。
過去にFacebookもダウンさせた実績があります。
主にDDoS攻撃で知られており、これまでにLeague of Legends, Destine, Play Station Networks, Xbox Live棟の多数のゲームサーバを対象にDDoSを起こしています。
以上