【日本】サイバー攻撃によりホンダ社のインド、ブラジル、トルコの工場が停止
International Business Timesのまとめ記事となります。
https://www.ibtimes.co.uk/honda-cyberattack-halts-plants-india-brazil-turkey-1679384?&web_view=true
概要
サイバー攻撃によりホンダ社の複数の工場(計11工場)が影響を受け、インド、ブラジル、トルコが停止に陥った。
サイバー攻撃は今週初めに社内サーバを標的として開始され、その後企業システム内でウイルスが蔓延した。
影響はホンダ社内でとどまっている様子。
思うこと
国内のサイトにはより詳細に経緯などが乗っている。
https://piyolog.hatenadiary.jp/entry/2020/06/10/030123
詳細は非公開だが、社内サーバへ不正アクセスが行われたのち、マルウェアに感染した様子。
その後、一部のPCでマルウェア感染、工場システムの停止などがあったものの、それ以外の顧客情報の漏洩など社外を含む大きな影響は確認されていない。いわゆるOA環境のサーバにアクセスされたものの、そこから感染拡大させないための対策は最低限とれていたのかもしれない。
いざというときに、即時対応できるレスポンス体制の重要性、水平攻撃を避けるための環境分離・隔離の重要性を再度認識した。
以上
【アメリカ】Maze Ransomware再び。USの航空宇宙サービスプロバイダがターゲットに
Cywareのまとめ記事になります。
概要
ハッカーグループであるMazeグループは、今度はUS政府及び航空事業者とつながりの深い航空宇宙メンテナンスサービス企業をターゲットとした。
このケースでは、攻撃者は窃取した管理者アカウントを用いて、同社のドメインコントローラ、イントラネットサーバ及びファイルサーバに攻撃を仕掛けた。
同社によると、1.5TBもの非暗号化ファイルが盗まれ、同ファイル内には機微な情報が含まれていた。
セキュリティTips
組織は以下のような対策が求められる
・OS及びアプリケーションを最新化する
・ポップアップ広告をクリックしない
・悪意のあるメールを開かない
・非公式なサイトから、侵害されたソフトウェアをダウンロードしない
思うこと
今回のケースもそうだが、メールを用いた攻撃というより、事前にアカウントを窃取して内部環境にアクセスした状態でのランサムウェア攻撃が増えているという。
その場合、メール対策だけではなくアカウント・アクセス管理により事前の侵入を許さないことが重要。
また、データを暗号化するのと同時に、データの持ち出しも行われるケースが多い。事業は止まるし、情報も漏洩する。最悪のケースを避けるために、可能な限り予防する対策、また被害を広げないための事後対策を強化する必要があることを再認識。
以上
【グローバル】最新のランサムウェア"Kupidon"がデータを狙っている
BLEEPINGCOMPUTERのまとめ記事となります。
https://www.bleepingcomputer.com/news/security/kupidon-is-the-latest-ransomware-targeting-your-data/
概要
最新のランサムウェア”Kupidon”が企業及び個人のデータを狙っている。
攻撃者はシステムへのアクセスが成功すると、被害者の端末上で手動でファイルを行う。それによりファイルの拡張子が".kupidon"となり暗号化される。
同時に、攻撃者は"!KUPIDON_DECRYPT.TXT"というメモ書きを残し、被害者への要求事項を記す。
身代金の要求は300ドル~1200ドル程度で、他のランサムウェアに比べると現実的な金額が設定されており、支払いに至ってしまうケースが少なくない。
今の時点で、Kupidonのサンプルは見つかっていない状態であり、見つかり次第、積極的に情報共有を行っていく予定である。
思うこと
攻撃者の手口が、被害者が円滑に支払いを済ませられるよう非常に丁寧になってきていると感じる。例えば今回のケースだと、身代金を支払い後は暗号キーと"Kupidon Virus Decryptor"というアプリとAESキーを送付してくるとのこと。
この丁寧さが、被害者に強烈なショックを残さないことを意図していて、近い将来に再度攻撃を仕掛けることを考えている・・・とも受け取れる。
今後も、安全な環境へのデータバックアップやアンチウイルスツールの利用などにより攻撃者に対峙していく必要がある。
以上
【グローバル】10万件以上のPBX利用企業を狙ったフィッシング攻撃が横行
BLEEPINGCOMPUTERをまとめた記事になります。
概要
攻撃者は、PBX(内線通話の交換機)を利用している企業に対して、メールの防御機能をバイパスするフィッシング攻撃を仕掛けている。
メッセージはPBXからのボイスメール通知のふりをして送付され、メールのチェック機能を通すための件名を付与している。
5月中旬に行われた洗練されたフィッシング攻撃として、ログイン情報を窃取するために偽のメール通知が利用された。メールセキュリティ企業のIronScales社は、その手のフィッシングメールを10万社以上で検出している。
思うこと
フィッシングメール対策として、悪意のあるURLや添付ファイルの検知が真っ先に出てくるが、それらの対策では今回のようなケースは対応が難しいものと思われる。
送信元ドメインの認証や(今回のケースはバイパス出来てしまうという記載もあったが、詳細はわからず。)、従業員へのフィッシングメール訓練など複数観点で攻撃を食い止める必要があると思う。
また、インターネット回線での通話機能が優れてきた今、従来のPBX利用が減少している傾向にあるはず。この記事から推測できるのは、そういった「注目が薄れてきた技術」を狙った攻撃が今後もどんどん出てくるのではないかと思う。
以上
【グローバル】Github botを用いた仮想通貨の窃盗
HackReadをまとめた記事となります。
https://www.hackread.com/hackers-use-github-bot-steal-eth-in-seconds/?web_view=true
概要
仮想通貨が従来のお金に代わって地位を築き上げている一方で、デジタルネイティブ故のリスクが存在することは間違いない。
顕著な例として、Reddit(英語圏の検索サイト)ユーザがものの100秒程度で、1200ドルの仮想コインを失った。
同ユーザによると、彼は意図せず公開状態となっていたGithubのリポジトリ上に、12文字のリカバリーフレーズを保存していたという。
ハッカーたちは、ボットを用いてGithubをスキャンし、Mnemonic Phrase(ニーモニックフレーズ。アカウント復旧などに使う際の英単語)を検索している。
考えうる対策
平文のクレデンシャル情報が公開されたレポジトリ上に保管されていることで、botがその情報をかぎつける可能性があるためより慎重に扱うべきである。
今回のケースで言えば、mnemonic praseやプライベートキーは、オフライン環境で管理され鵜ことが望ましい。
またTrezorやLedgerのようなハードウェアウォレットを利用する、インターネット上のアクセスがないコールドウォレットを活用することも有効である。
不便に思えるかもしれないが、苦労して稼いだお金を守るためには価値のある行動と言える。
思うこと
国内では、投資対象としての仮想通貨ブームが少し落ち着きつつあると感じている。今後流行るとしたら、それは投資対象というより紙幣の代わりとして使うことが一般的になってきたタイミングと思われる。Paypayなどのキャッシュレス決済が少しずつ根付いてきた今、それは十分にありえそう。
クレデンシャル情報が平文で保存されているケースは、今でも少なくない。付箋にクレデンシャル情報を書くのは愚かと分かるものの、メモ帳やExcelに情報を保管しておくのも同等に危険であるとは感覚的に感じられないのだと思う。
攻撃者がbotのような技術を駆使して攻撃を仕掛けてくる以上、守る側も鍵管理の仕組みやメモに残さない運用を取り入れていくべきである。
以上
【アメリカ】軍の委託業者が極秘の核ミサイルデータを盗まれる
SC Mediaのニュースをまとめた記事になります。
概要
ハッカーは、アメリカ軍の委託業者であるWestech Internationalのシステムにアクセスすることで、極秘の核ミサイルデータの窃取、ハードドライブの暗号化、ドキュメントの流出などを恐喝目的で行った。
流出した情報には、会社のメールアドレス、給与情報、その他個人情報も含まれているという。
同社のシステムはMaze Ransomwareというロシア語の犯罪市場で手に入るランサムウェアによって暗号化されていた。
各種専門家の見方
Matt Lock氏によれば、もはやサイバー犯罪は金稼ぎのために無秩序に攻撃を行うレベルの話ではないとしている。企業は、サイバー攻撃は避けられないものという前提を持ち、いつ何時もどんなユーザも信用しないというゼロトラストの原理を適用すべきである。
今回の類の攻撃で恐ろしい特徴は、攻撃者は重要データを暗号化する前にデータを盗み、保持していることである。企業は、身代金を払ってデータを複合できたとしても、情報が流出した事実は変わらないこととなる。
Tony Cole氏によれば、これは委託業者がランサムウェア攻撃に利用された目立った例であるという。
ランサムウェアに適切に対処するには、リアクティブなインシデントレスポンスの姿勢から、攻撃を予想し、予防していく姿勢に変わる必要がある。
実践的な方法としては以下のような予防的対策の強化が考えられる。
・すべてのデータが安全なオフライン環境にバックアップされていること。
・NISTやISOの標準にのっとって安全なインフラ環境とすること。
・合わせて、水平移動、ランサムウェア検知及び軽減のためのメカニズムを導入すること。
・インシデントレスポンスを少なくとも年次で作成し、実践し、アップデートすること。
・システムのアップデートとを行い最新のパッチを適用しておくこと。
個人的に思うこと
まず核ミサイルの極秘情報が漏洩したという事実から、それが戦争や紛争に悪用されることを想像して身震いしました。「命よりも大事なものはない」という原則は、サイバーセキュリティの世界で「機密情報よりも大事なものはない」と言い換えられるのかもしれません。
最近になって、またランサムウェア被害のニュースが増えてきた気がします。対面での営業・業務が困難な今、IT環境が停止してしまうことは企業にとって死活問題となります。その点が、早く復旧したいという思いをあおり、身代金の支払いに至ってしまう原因の1つではないか。また攻撃者もそれを狙ってランサムウェアを多数仕掛けているのではないかと推測しています。
以上
【日本】ドメイン登録情報の改ざんによりコインチェック社のメール200件以上が漏洩
HOT FOR SECURITYのニュースをまとめた記事となります。
概要
仮想通貨事業者のコインチェックによると、同社宛の複数のメールがハッカーの手に渡った。
ハッカーは、第三者のドメイン(お名前.com)のコインチェックのアカウントに不正アクセスしたうえで、ドメイン登録情報を変更した。
5/31~6/1の間に問い合わせを行った顧客約200名からのメールがハッカーの手に渡った様子。
個人的に思うこと
DNSの設定を悪用すれば、通信をいくらでも思いのままに出来ることが再確認できました。これを機に、DNSサービスを含めその他クラウドサービスのアカウント・アクセス管理状況を見直してみましょう。
<追記(20200607)>
色々と情報が出てきました。
アカウント窃取の前段階として、通信を改ざん出来る脆弱性をついて、メールアドレスを改ざんしていた可能性がある様子。
その後、パスワード変更機能を用いて、管理者アカウントのパスワードを変更してアクセスできたのではないかと。
前半部分のメールアドレスの改ざんについては、アプリの脆弱性をついた攻撃のようなので利用者側が防ぐことは難しいですね。一方で、パスワード変更機能を用いた部分については、ID/Passがユーザの手に渡ったとしてもMFAを導入していればログインは防げたのではないか、と推測しています。
https://piyolog.hatenadiary.jp/entry/2020/06/04/170423
https://www.youtube.com/watch?v=1MpNWGLTP1g
<追記(2020/6/5)>
単純なアカウント管理の問題ではなく、お名前.comのID情報と、お名前.com Naviの通信を改ざんできる何らかの不具合があったとのこと。(*1)
外部サービスが起因となるインシデントが発生することを想定して、導入済みのサービス一覧やシステム構成図を整備しておくこと、またインシデント発生時の対応フローを定めておくことが重要となりそうです。
*1 https://www.onamae.com/news/domain/20200603_1/
これについて調査を行ったところ、悪意のある第三者が、当該お客様のIDと、「お名前.com Navi」における通信を改ざんできる不具合(※)を利用して、お客様のお名前.com会員情報(メールアドレス)を書き換えたことが判明しました。
以上