2021/10/31

バンコクのサクララウンジにお子様用フライトシミュレーターが登場 / Japan Airlines Young Passengers Now Have Their Own Flight Simulator At The Bangkok Sakura Lounge


Japan Airlines Young Passengers Now Have Their Own Flight Simulator At The Bangkok Sakura Lounge:

バンコクのサクララウンジを利用する子供は、現地整備チームが製作したフライトシミュレーターを使うことができます。

JALによると、武漢ウイルスパンデミックが発生している間、地元のチームはちょっとした工作をして、両親がラウンジでくつろいでいる間に子供たちが使えるようにこのおもちゃを作ったそうです。

バンコクのJALサクララウンジは、近年改装され、とても素敵な空間になっています。フード&ドリンクの品揃えも充実していますが、それは大人の旅行者の楽しみでもあります。

これで子供たちもフライトの待ち時間を楽しく過ごせますね。

このフライトシムのディテールはとても素晴らしいですね。



空港ラウンジの中には、ビジネス客だけでなく、お子様連れのご家族をターゲットにしたものもあり、進化しています。

特にドーハのカタール航空のラウンジでは、アル・サフワのファーストクラスを筆頭に、子供用のプレイルームが充実しています。

次回、バンコクからワンワールドを利用して旅行する際には、JALサクララウンジ(営業時間が限られています)を利用して、見てみてはいかがでしょうか。

JALが子供たちのためにラウンジでちょっとしたクリエイティブなエンターテイメントを用意しているのは良いことだと思います。通常、JALのラウンジにはたくさんの子供たちがいます。というのも、タイと日本の間には多くの家族連れが行き来していて、多くの人がJAL/oneWorldのステータスやキャビンクラスに応じてラウンジを利用しているからです。

on 10月 31, 2021 by B-SON |  

2021/10/30

サイバーセキュリティ、プライバシー、OSINTブログの一覧 / List of 20+ infosec, privacy and OSINT blogs(転載)


List of 20+ infosec, privacy and OSINT blogs:

OSINTを使いこなすために、皆さんは何を読み、誰をフォローしていますか?

今回は、OSINT、プライバシー、サイバーセキュリティ全般に関連するテーマに触れているブログのリストを紹介することにしました。

OSINTを実践することは、シャワーを浴びることに似ていますが、一度浴びただけで永遠にきれいな状態を保つことはできません。知識を維持し、錆びつかないようにするためには、定期的にOSINT技術を練習し、コミュニティや業界全体で何が起こっているかを常に把握しておく必要があります。

そのために、このリーディングリソースのリスト(アルファベット順)がお役に立てれば幸いです。

  1. Bellingcat – このブログは、有名な調査ジャーナリストの集団による素晴らしいブログであり、素晴らしいニュースレターです。

  2. Bleeping Computer – Bleeping Computerは、マルウェアやランサムウェアの報道でよく知られており、速報性のある記事を包括的にカバーする最初の報道機関となることがよくあります。

  3. Bushido Token – 経験豊富なセキュリティ・リサーチャーが匿名で運営する脅威情報サイトです。様々なツールや調査方法について、素晴らしい洞察が得られます。複数のトピックをカバーしています。

  4. Cyber Shafarat – 中東やアジアに関連したサイバーセキュリティや捜査に関するトピックを扱っています。ジハディズムやリークされた情報など、その他の問題についてもしっかりとカバーしています。

  5. Cyber Threat Intelligence – 過去または現在進行中のサイバーセキュリティインシデントの概要を毎週紹介し、新たな脅威についても徹底的に分析しています。

  6. Daniel Miessler – 有名なセキュリティ専門家やライターによる多彩なブログです。情報セキュリティやプライバシーに関するニュースを定期的に取り上げています。テクノロジー、未来論、哲学、モラルの問題を結びつけるユニークな声です。

  7. Dark Reading – ニュース、アップデート、コメンタリー、製品リリースなどを掲載しています。これはブログというよりはニュースの発信源ですが、貴重なコンテンツを公開しているため、このリストに加えることにしました。

  8. DFIR Diva – イベント、認定資格、学習教材、一般的なアドバイスなどの情報を掲載しています。この業界のほとんどの男性よりも多くの資格や証明書を持つ、女性のインフォセック専門家によって書かれています。

  9. E-Forensics Magazine – デジタル・フォレンジック、オンライン調査、ツールのレビューなどに関する豊富なコンテンツを持つブログです。また、様々なオンラインコースも提供しています。

  10. Graham Cluley – 数十年の経験を持つ独立した作家、講演者、ポッドキャスターとして非常に高い評価を得ています。彼のコンテンツは、しばしば教育的であると同時に娯楽的でもあります。

  11. Hackers Arise – 文字通り、サイバーセキュリティ、OSINT、ハッキングをテーマにした膨大な資料、ガイド、記事に加え、様々な有料トレーニングオプションや書籍があります。

  12. Hakin9 – E-Forensics Magazineの姉妹サイトで、ハッキングに特化したサイトです。技術的に複雑な程度の異なる記事を定期的に掲載しています。ツールや方法論のレビューも充実しています。

  13. Hatless1der – OSINTコミュニティに非常に積極的に貢献している人のブログです。彼は非常に有用なツールやリソースのリストを作成し、彼のブログではOSINTの「実際の生活」での応用を紹介しています。

  14. Intel Techniques – 最高の書籍著者の一人であり、OSINTとエクストリーム・プライバシーのリーダーである著者のブログ(さらに素晴らしいポッドキャストもあります!)です。OSINT実務者の読書リストに加えておきたい一冊です。

  15. Krebs on Security – 業界のレジェンドによる、紹介不要のブログです。サイバー犯罪、詐欺、不正、マルウェア、ボットネット攻撃などの情報が充実しています。一流の調査研究も行っています。

  16. NixIntel – は、元LEの捜査官が書いたブログで、OSINTのヒントや捜査の例、実践的なアドバイスなどがあります。あなたもLinuxが好きですか?

  17. Offensive Osint – 興味深いツールやテクニック、そして徹底した調査の深堀りが含まれています。高度な技術的詳細に加え、非常に役に立つチュートリアルもあります。

  18. Osint Curious – OSINTの専門家や愛好家の集まりで、ライブストリーム、ポッドキャスト、ブログ、ブログエントリー、そして新しいDiscordチャンネルなど、コミュニティのために大規模な教育活動を行っています。

  19. Out3r Space – 厳密にはOSINTに関連していないニッチなブログですが、非常に興味深い洞察力と高度な技術的専門知識を持っていることが多いです。ブログの経験が豊富な人が書いています。

  20. PhishLabs – 脅威となる情報のニュースとアップデート。メーリングリストに登録すると、詳細なレポートをご覧いただけます。

  21. Secjuice – 毎週、複数の著者が寄稿しています。サイバーセキュリティに関する数百の記事、テクニカルガイド、さらには様々なHack The Boxマシンのウォークスルーが数十種類もあります。

  22. Sector035 – OSINTコミュニティで最も定期的かつ徹底的な貢献者の一人として知られています。Week in OSINT "ダイジェスト、ソリッドレビュー、ハンズオンウォークスルーで知られています。

  23. Skopenow – オンライン調査の領域から、とても良いニュースと最新情報をお届けします。クリアネットとダークウェブの両方で、最近の詐欺や不正をカバーしています。

  24. Wondersmith_rae – 著名なOSINT実務家、作家、講演者によるMedium上の個人ブログです。

2021/10/29

イベント来場者管理サービス、大量アクセスで個人情報をお漏らし(転載)


【セキュリティ ニュース】イベント来場者管理サービス、大量アクセスで個人情報を誤表示

イベントなどの来場者を管理できるクラウドサービス「イーベ!」の一部イベント申し込みフォームにおいて、申込者本人とは異なる別人の個人情報が表示される障害が発生した。

同システムを運営するフラッグシステムによれば、無料利用期間にあるアカウント1件より設置された4件の申込みフォームにおいて、10月22日12時ごろより同日19時過ぎにかけて、一部申込者に重複するIDを発行する不具合が発生したもの。

ほぼ同時に申し込んだ利用者に対し、あとから申し込みを行った利用者の氏名、電話番号、メールアドレスなどが表示された可能性があるという。

申込みの受付開始となった同日12時ごろよりアクセスが集中。1時間あたり最大約35万件と同サービスの想定を大きく上回るアクセスがあり、サービス全体においてページが表示されなくなる障害なども生じていたという。

大量のアクセスに対し、アクセスの制限など対応を進めていたが、同日15時ごろに他人の情報が表示されたとの報告が同アカウントより寄せられ、調査を行ったところ個人情報の流出が判明した。

同社では、大量のアクセスが予想される場合、事前に相談を行い、あらかじめ対策を講じているが、障害が発生したアカウントは無料契約による利用だったため、障害が発生するまで問題に気が付かなかったと釈明。重複したIDについて修正を実施し、同アカウントの利用者に状況を報告した。

障害の発生を受けて同社ではプログラムを修正。無料契約で運用できるアクセス数に制限を設けるなど、再発防止に取り組むとしている。

KLab ID への不正ログインに関するお知らせ(転載)


KLab ID への不正ログインに関するお知らせ KLab株式会社
klab.com/jp/press/info/…

モバイル向けゲームを提供するKLabは、同社会員サービス「KLab ID」が不正アクセスを受けたことを明らかにした。

同社によれば、7月22日12時半過ぎごろから第三者が利用者本人になりすましてログインを試みる「パスワードリスト攻撃」を受けたもの。7月27日17時半ごろ不正ログインの発生を検知した。7月28日の時点で2439件のアカウントが不正ログインを許したという。

アカウントが不正にログインされた場合、生年月日、性別、言語のほか、秘密の質問および回答、連携するアプリ名、連携アプリ内の表示情報などを閲覧されたおそれがある。

同社では、今回の不正ログインの直前となる7月21日22時ごろから22日12時42分にかけて、会員の新規登録機能が大量のアクセスを受けていた。

本来同機能は、あらたな会員登録希望者に対し、最初にメールアドレスの入力を求め、送信したメールによってメールアドレスの所有者であるか確認するものだが、メールアドレスが登録済みであるかも判別できることから、同機能に対して機械的に大量のメールアドレスを入力することで、攻撃対象者のリストを絞り込んでいたものと見られる。

OSINTのURL操作に関するヒント / Osint Me Tricky Thursday #8 – URL manipulation(転載)

Osint Me Tricky Thursday #8 – URL manipulation

1. URLの基本を理解する

URL(Uniform Resource Locator)という略語の正確な意味を思い出せないことがあっても、それが何であり、何をするものであるかは誰もが知っています。それは、特定のIPアドレスに存在するオンラインリソースにアクセスするための、ブラウザの人間が読めるリンクです。

URLは、ウェブサイトのランディングページ(例:osintme.com)を指す一般的なものから、ファイルへのパスを使ってより定義されたオブジェクトやリソース(例:ウェブサイト上のPDFフォームやテキストファイル)を指すものまであります。


多くのドメインには、通常のユーザーがアクセスしたり検索したりすることのない隠しURLがあります。それらのURLはディープウェブの一部であり、検索エンジンにインデックスされていないものもありますが、正確なURLを発見してアクセスすることでアクセスできる場合もあります。

2. サブドメインの列挙

インターネット上で有効なドメイン名は、以下の構成要素で成り立っています。

  1. トップレベルドメイン - URL文字列の最後のドットの後に続くもの。一般的なトップレベルドメインの例は以下の通りです。.com、.org、.gov、.net、.uk、.ie...

  2. セカンドレベルドメイン - トップレベルドメインの前にあるもの。例えば、このブログのセカンドレベルドメインはb-son、トップレベルドメインは.netです。

  3. サブドメイン - セカンドレベルドメインの前に位置するもの。例えば、aws.amazon.com - awsの部分がここではサブドメインになっています。

サブドメインの列挙は、使用頻度の低いサブドメインや、通常のユーザーがアクセスすることを想定していないサブドメインを特定し、公開するために使用されます。これは、セカンドレベルドメインの前に一般的な単語を追加するだけで、手動で行うことができます。

  • blog.example.com
  • news.example.com
  • mail.example.com
  • store.example.com

しかし、手動でのドメイン列挙は、長期的には効果がありません。手間と時間がかかるだけでなく、サブドメインに一般的でない名前がある場合には、まったく効果がありません。

Sublist3rのようなツールを使って、サブドメインの列挙を自動化することができます。

https://github.com/aboul3la/Sublist3r

The Harvesterというのもあります。

https://github.com/laramies/theHarvester

または、Spyse's Subdomain Finderなどのウェブツールを利用することもできます。

https://spyse.com/tools/subdomain-finder

3. IPアドレスによる直接接続

URLバーは、ドメイン名のような人間が読める入力に対してのみ機能するものではありません。

DNS(Domain Name System)のエントリーは、人間が読みやすい名前(www.google.com)で表示されますが、これはウェブサイトに接続する唯一の方法ではありません。すべての解決可能なドメインは、IPアドレスを指すAレコード(アドレスレコード)として知られています。

下記URLを例に説明します。

http://helpdesk.delivery.htb

このマシンを危険にさらす作業の一部として、IPアドレスを使って接続することがありましたが、ポート番号を追加することでさらに強化することができます。

http://10.129.229.49:22

http://10.129.229.49:80

もちろんポートが開いていればの話ですが、様々なポートを使ってオンラインリソースに接続することで、より多くの情報が得られることがあります。

注:この方法は、セキュリティ設定の詳細に依存するため、常に動作するとは限りません。また、Cloudflareなどのサービスやホスティングプロバイダーがこの接続方法をブロックしている可能性があります。

4. 数字のあるものは?列挙してください。

この手法は、順番に並んだリソースの存在を暗示するURLがあれば、どこでも使うことができます。例えば、LinkedInのグループを例にとってみましょう。

https://www.linkedin.com/groups/113/

そのURLの最後には、桁を入れ替えて操作できる数字があり、その数字の値を少しずつ増やしたり減らしたりしながら、リストアップされたリソースを検索することができます。

これは、フォトギャラリー、ファイルディレクトリ、ユーザー名などで特に有効です。

5. 画像の解像度を上げる

時々、低解像度の画像ファイルを含むリンクを目にすることがあります。もっと解像度の高い画像があるはずなのに、その正確なURLがわからないということがあります。

高解像度の画像は、URLからサイズを操作することで見ることができる場合があります。以下の画像を見てください。

https://ucarecdn.com//985d4f2c-973a-4ae6-a2b1-f992683da70b/-/resize/200x/

では、この「/200x/」の部分を、前に2を加えて「/2200x/」に変更してみてください...。

この方法が有効かどうかは、各ウェブサイトや各URLによります。例えば、このピザの画像のように、サービスによってパラメータの位置が異なり、URLの異なる部分に配置されます。

https://cdn.shopify.com/s/files/1/1405/0664/products/4791207-9790062099-Pizza1_250x250_crop_center@2x.progressive.jpg?v=1469649640

250×250の値(ここではピクセル)が気になった方は、他の値に変更してみてください。

例えば

https://cdn.shopify.com/s/files/1/1405/0664/products/4791207-9790062099-Pizza1_1250x1250_crop_center@2x.progressive.jpg?v=1469649640

他のサービスでは、URLの「small」を「large」に置き換えるなどして、サイズのパラメータを変更することができるかもしれません。

6. URLの最後に何かを追加する

多くのウェブサイトには、検索エンジンにインデックスされていないファイル(robots.txtなど)があります。

Googleの説明によると、robots.txtファイルは、ウェブサイトへのクローラーのトラフィックを管理するために使用され、ファイルの種類にもよりますが、通常はファイルをGoogleから遮断するために使用されます。

このファイルは、機密データを公開するものではありませんが、現在開発中のリソースや、ウェブサイトの所有者が広く一般に見られたくないものをユーザーに示す可能性があります。

この方法を試すには、ランダムなウェブサイトにアクセスして、この値 - /robots.txt - をURLに追加します(他のオプションも試してみてください)。

https://www.rte.ie/robots.txt

7. URLの短縮を解除する

短縮URLサービスは、非常に長くて煩雑なURLを、短くて読みやすく、人に優しいリンクに凝縮するために合法的に使用されます。しかし、残念なことに、これらのサービスは、詐欺師やサイバー犯罪者が、疑わしいと思われるURLを隠すために使用されることもあります。

幸いなことに、これらのリンクの短縮を解除するためのリソースやトリックがいくつかあります。

Bitlyで短縮されたURL(短縮されたURLにBitlyの名前が入っていることでわかる)であれば、URLの最後に+記号を加えるだけで短縮を解除することができます。

https://bit.ly/3F3vlKO

https://bitly.com/3F3vlKO+

この方法は、他のいくつかのURL短縮サービスでも有効です。その他のサービスについては、短縮されたリンクを切り離すのに役立つ以下のリソースのいずれかをご利用ください。

8. Webパラメータの改ざん[厳密にはOSINTではない!!!]

これらの URL 関連のヒントとコツの最後の部分は、OSINT、ペンテスト、および脆弱性の悪用の境界線上にある、非常にグレーな領域です。これらの手法の正当な使用例は、ウェブアプリケーションのペンテストです。

OWASP は、このような行為をウェブ・パラメータの改ざんとして分類し、不十分な記述や十分なセキュリティが確保されていないウェブ・アプリケーションに対して URL レベルで実行可能な数多くの攻撃を特定しています。

OWASPのページにあるように

攻撃者は、URL のパラメータを直接改ざんすることができます。例えば、ユーザが自分のプロファイルをコンボボックスから選択し、アカウントから引き落とすことを許可するウェブアプリケーションを考えてみましょう。

http://www.attackbank.com/default.asp?profile=741&debit=1000

この場合、攻撃者はURLを改ざんし、profileやdebitに別の値を使用することができます。

http://www.attackbank.com/default.asp?profile=852&debit=2000

他にも、属性パラメータなどを変更することができます。以下の例では、ステータス変数を改ざんして、サーバーからページを削除することが可能です。

http://www.attackbank.com/savepage.asp?nr=147&status=read

ページを削除するためにステータス変数を修正する。

http://www.attackbank.com/savepage.asp?nr=147&status=del

2021/10/27

OSINTの収集と使用に関する「JAPANアプローチ」とは? / OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?(転載)


 OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?

デジタル化が進むにつれ、人々は生活の多くをオンラインで過ごすようになり、その過程で、自分のアイデンティティ、活動、社会的交流などのデジタルフットプリントをインターネット上に残すようになりました。このようなパラダイムシフトは、犯罪者と法執行機関の双方に恩恵をもたらしています。犯罪者は常に革新的な犯行方法を発見し、法執行機関は捜査の解決に役立つ新たな情報資源を利用できるようになりました。 

現在、法執行機関にとって最も重要な情報資源の一つがOSINT(オープンソース・インテリジェンス)です。簡単に言えば、OSINTは法執行機関の捜査能力を高め、犯罪の脅威に対する対応力を向上させるのに役立ちます。

しかし、それは何なのでしょうか?また、なぜ法執行機関ではこれほどまでに対立があるのでしょうか?

OSINTとは?

他の多くの用語と同様に、OSINTは軍の中で誕生しました。OSINTが広く受け入れられ、使われるようになったのは90年代半ばのことである。インターネットから収集されたOSINTは、今日では業界全体で使用されており、その普及を牽引しているが、OSINTの情報源には、印刷された書籍、新聞、雑誌、テレビやラジオの放送、写真など、より「伝統的」なものもある。 

オープンソース・インテリジェンス」という言葉は30年以上前から使われていますが、今日に至るまで標準的な定義はありません。 

しかし、英国国防省によるOSINTの定義(「公開された情報から得られた情報で、一般への配布やアクセスが制限されているもの」)や、NATOによるOSINTの定義(「公開された情報から得られた情報で、一般への配布やアクセスが制限されている他の未分類の情報」)は、法執行機関の捜査においてオープンソース・インテリジェンスがどのように利用されているかを理解するのに役立つかもしれない。

法執行機関によるOSINTの使用は合法的か?

簡単に言えば、「イエス」です。

2001年にNATOがOSINTハンドブックを作成したことで、多くの人にとってオープンソース・インテリジェンスは紛れもなく合法的なものだと考えられるようになりました。最近では、2010年にCIAが「情報は秘密でなくても価値がある」という声明を出し、OSINTが「一般に入手可能」であることに言及したことで、この地位が強化された。また、2011年には英国国防省が、偏見のない方法で作成されたOSINTは他の情報と同様に尊重され、正当なものであると述べている。

これらの声明は、法執行機関や情報機関によるOSINTの使用が制度的に正当化されていることを反映しているが、一般市民と当該組織の個々のメンバーの両方からの認識は、しばしば矛盾に巻き込まれている。

ここでは、これらの矛盾のいくつかを取り上げ、それらがOSINTの受け止め方にどのような影響を与えるかを説明する。

矛盾1:法執行機関はOSINTを使用する際に人々のプライバシーを尊重していない

法執行機関の捜査官は、OSINTに関して、特に捜査の収集と発見の段階で、隠密なアプローチを必要とすることがよくあります。しかし、隠密なアプローチといっても、捜査官が好き勝手なことをしたり、人々のプライバシーや市民的自由を侵害したりするわけではありません。それどころか、私たちよりも厳しい基準を守ることが求められているのです。

法執行機関によるOSINTの収集と使用は、1998年にケント州警察が策定した「JAPANアプローチ」や2016年の欧州一般データ保護規則(GDPR)で定義されているようなベストプラクティス、ガイドライン、規制に沿ったものでなければなりません。JAPANとは、Justified(正当な)、Authorized(認可された)、Proportionate(釣り合いのとれた)、Auditable(監査可能な)、Necessary(必要な)という5つの原則の頭文字をとったもので、捜査のためのデータ収集を管理することで、個人の公正で尊重された扱いを保証するものです。 

矛盾2:法執行機関は「高レベル」のデータソースにアクセスできる 

法執行機関の捜査官は、車両登録証や運転免許証、監視システムの画像など、他の政府機関が収集したデータにアクセスすることができます。また、法執行機関やその関連組織に特化した専門企業が提供するソーシャルメディア、モバイル機器、ブロックチェーンなどの情報にもアクセスできる。

このようなアクセスの違いは、一部の一般市民や活動家グループを悩ませています。最も懸念されているのは、法執行機関が画像と顔認識ソフトウェアを組み合わせて使用することで、悪用された場合、抗議活動中の監視やモニタリング活動が抑圧的な戦術に変わる可能性があることです。そこで、収集を正当化し、事後的に監査できるようにするために、これまで述べてきたさまざまな慣行やガイドラインが必要になってくるのです。

制度上の認識:OSINTは他の情報源に比べて信頼性が低い 

法執行機関やその他の政府機関で働く人々がOSINTの分野をどのように認識しているかというと、OSINTは他のリソースに比べて技術的に洗練されていないと考えられがちである。例えば、英国の警察システムでは、OSINTは通常E41 Intelligenceと評価されている。そのため、それらの調査結果はあまり深刻ではないとみなされます。つまり、警察内で情報を流すことはできても、その情報源は未検証とみなされるため、その信頼性を判断することができないのである。 

実際のところ、正しく責任を持って使用すれば、オープンソース・インテリジェンスは、他のインテリジェンスを検証する上で非常に有効であることが証明されています。その一例が、欧州警察の「Stop Child Abuse - Trace an Object」プロジェクトです。このプロジェクトでは、欧州警察のCSAM(child sexual abuse material)データベースをベースに、児童性的虐待の捜査を進めるためのOSINTをクラウドソースで収集しています。欧州刑事警察機構(ユーロポール)は、警察が調査しても成果が得られなかった検閲済みの画像をプロジェクトのウェブサイトに掲載し、一般の人々がそれを確認して情報を提供できるようにしています。2020年末までに、10人の被害者が特定され、2人の犯罪者が起訴されました。

法執行機関の捜査にOSINTがどのように使われているか

法執行機関によるOSINTの利用は、ソーシャルメディアに焦点を当てたものが多くなっています。より具体的には、アナリストが以下のように使用することができます。

  • 関心のある人物を密かに分析・監視する  
  • 潜入捜査官や組み込み捜査官が偽装のために収集した既存の情報を複製する 
  • 人間による分析など、異なる方法やソースで収集された情報にさらなる信頼性を与える

法執行機関のチームも、サイバーセキュリティの調査にオープンソース・インテリジェンスを活用することがあります。この場合、サーフェイス・ウェブやダーク・ウェブのフォーラムや市場を監視してデータを収集することで、脅威となる人物や、マルウェアやデータ・ダンプなどのE-クライム製品の販売促進などの犯罪行為を特定するのに役立ちます。さらに調査を進めるために、OSINTアナリストは、過去のデータ侵害に含まれる情報を参照して、新しい攻撃をプロファイリングし、監視し、特定の脅威の行為者に帰属させることができます。

2021/10/26

マルウェアが通信する悪性な通信先の情報や、侵害された URL の一覧が投稿されてくるデータベース【URLhaus】

 

マルウェアが通信する悪性な通信先の情報や、侵害された URL の一覧が投稿されてくるデータベース。 投稿されてくる URL は Malware Bazaar と同じくタグ付けがされているので、 毎日投稿を上から眺めるもよし、特定のキーワードを一定間隔で収集するもよしです。 例えば、「マルウェアの置き場にされてしまっている日本企業を調べたい!」と思った場合は「.co.jp」なんかで調べると大量に結果が返ってきます。

この結果を見ると、タグに Emotet があることからすでにいくつかの企業の Web サイトが侵害されて Emotet の置き場にされていることがわかります。 例え co.jp ドメインでも、通信先にこれらのドメインがあった場合は、悪性の可能性が高くなると言えるでしょう。

on 10月 26, 2021 by B-SON |  

Contiが窃取データの販売を開始 / Conti Ransom Gang Starts Selling Access to Victims(転載)


Conti Ransom Gang Starts Selling Access to Victims:

ランサムウェアギャング「Conti」のアフィリエイトプログラムは、最近そのビジネスプランを変更したようです。Contiのマルウェアに感染し、身代金の支払いを拒否した組織は、Contiの被害者を辱めるブログに追加され、被害者から盗んだ機密ファイルを公開したり、販売したりします。しかし、この48時間の間に、サイバー犯罪シンジケートは被害者を辱めるブログを更新し、ハッキングした組織の多くにアクセス権を販売していることを示しました。

"この組織のネットワークにアクセスし、そのネットワークからデータを販売する買い手を探しています。"と、Contiのブログに掲載された最近の複数の被害者リストに挿入された、紛らわしい言葉のメッセージが書かれている。

なぜこのような変更を行ったのか、Contiがこの動きから何を得ようとしているのかは明らかではありません。また、今後、機密データを抽出するためにアクセス権を販売する予定であるならば、なぜ企業にハッキングしたことを宣伝するのかも明らかではありません。Contiはコメントを求められても答えませんでした。

コンピュータ・セキュリティ企業であるEmsisoft社の最高技術責任者であるFabian Wosar氏は、「事業を閉鎖しようとしていて、その前に進行中の侵害からのデータやアクセスを売りたいのではないか」と述べています。「しかし、そのようなやり方をすると、侵害が進行していることを企業に警告することになるので、いささか馬鹿げている。」

米国と欧州の政策立案者たちは、ランサムウェアの上位グループの活動を停止させるための取り組みを進めています。先日、ロイター通信は、米国政府が、ランサムウェアの関連グループであるREvilのコンピュータシステムに侵入するためのハッキング活動を行っていると報じました。REvilは、専門家によると、被害者への対応がContiと同様に攻撃的で冷酷であると言われています。さらに、REvilは、被害者のデータを売り始めた最初のランサムウェアグループのひとつです。

REvilのダークネットの被害者を辱めるサイトはオフラインのままだ。これに対し、Contiの代表者は10月22日、ロシア語のハッキングフォーラムに、REvilへの攻撃を「世界情勢における米国の一方的な、治外法権的な、盗賊まがいの行動」と非難する長文の文章を投稿した。

「このような無差別な攻撃行為を合法化する法律が、たとえアメリカ国内であっても、50州のどこかの郡であってもあるのだろうか」というのが、Contiの日記の内容です。「サーバーのハッキングは、アメリカでも、アメリカのどの管轄区域でも、突然合法になるのか?仮に、外国のサーバーをハッキングできるようなとんでもない法律があったとしましょう。サーバーを攻撃された国から見て、どの程度合法なのでしょうか?インフラは、宇宙に飛んでいるわけでも、中立国の海に浮かんでいるわけでもありません。それは誰かの主権の一部なのです。」

Contiの新しい方向性は、被害企業を交渉のテーブルに着かせるための策略に過ぎないかもしれない。

あるいは、ロシア語からの翻訳で何かが失われたのかもしれない(Contiのブログは英語で公開されている)。しかし、ランサムウェアの配布から、盗まれたデータやネットワークアクセスの販売へと移行することで、Contiは、最近、盗まれたデータを公開したり販売したりしないという約束と引き換えに企業を恐喝することに重点を置いている、多くの競合するランサムウェアのアフィリエイトプログラムと事業を一致させている可能性があります。

しかし、Digital Shadows社が最近のランサムウェアのまとめで指摘しているように、多くのランサムウェアグループは、データ漏洩サイトの管理や、盗んだデータをダークウェブ上でダウンロードできるようにホスティングすることが困難になっています。

結局のところ、1社の窃取データをTor経由でダウンロードするのに何週間もかかるとなると、たとえダウンロードが成功したとしても、交渉戦術として機密データを流出させるという脅威は、その威嚇性を失うことになります。また、ユーザーにとっても不都合なことです。その結果、一部のランサムウェアグループは、公共のファイル共有サイトを利用してデータを公開することになりました。公共のファイル共有サイトは、より高速で信頼性が高いものの、法的手段ですぐに削除されてしまいます。

また、データリークサイトは、ランサムウェアギャングに潜入するための潜在的な手段でもあります。最近、米国当局によるREvilギャングの侵害が報告されたことからも明らかです。

Digital ShadowsのIvan Righi氏は、「2021年10月17日、ランサムウェア「REvil」の代表者が、ロシア語圏の犯罪フォーラムで、彼らのデータ漏洩サイトが「ハイジャック」されたことを明らかにした」と書いています。REvilのメンバーは、未知の個人が、開発者が所有する同じ鍵を使って、REvilのウェブサイトのランディングページとブログの隠されたサービスにアクセスしたと説明した。そのユーザーは、ランサムウェア・ギャングのサーバーが侵害され、その責任者である個人が自分を「探している」と考えていた。

Mandiant社の最近のレポートによると、ContiとRyukランサムウェアの両方を実行したとされるグループであるFIN12は、データ流出を伴う攻撃では12日以上かかるのに対し、ランサムウェア攻撃を3日以内に行うことができたとのことです。

この数字を見ると、Contiは、データ流出に関する業務をより多く(もちろん有料で)外部に委託することで、時間はかからないが同じように収益性の高いランサムウェアの展開に注力しようとしているだけなのかもしれません。

「第4四半期が近づくにつれ、データ漏洩サイトの管理に関する問題が、新たなランサムウェアグループがデータ漏洩サイトを利用することを躊躇させるのか、それともこれらの問題を回避するためにどのような創造的なソリューションを生み出すのかが注目されます」とRighiは締めくくりました。「Ryukは、データ漏洩サイトを利用しなくても、ランサムウェアの脅威の中で効果的かつトッププレイヤーであり続けることを証明しています。実際、Ryukはデータ漏洩サイトやデータ流出を必要としないことで成功しています。」

タピオカ通販サイト、流出クレカ情報が不正利用された可能性(転載)


タピオカ通販サイト、流出クレカ情報が不正利用された可能性:

「タピオカ」を扱う通信販売サイト「タピオカワールド」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかとなった。

同サイトを運営するネットタワーによれば、同サイトに対して脆弱性を突く不正アクセスがあり、クレジットカードの名義や番号、有効期限、セキュリティコードを窃取するよう決済アプリケーションが改ざんされたという。

2020年2月14日から2021年3月29日にかけて同サイトで商品を購入した顧客226人が利用したクレジットカード情報301件が外部に流出し、不正に利用された可能性がある。2021年4月9日にクレジットカード会社から情報流出の可能性について指摘があり、問題が判明した。

外部事業者による調査は2021年8月28日に完了し、個人情報保護委員会には同月31日に報告。警察には9月1日に被害を申告した。

対象となる顧客に対しては、2021年10月25日よりメールで連絡を取り、事情を説明するとともに謝罪し、身に覚えのない請求が行われていないか確認するよう呼びかけている。

同社では、不正アクセスを受けたサイトについて2021年3月29日に閉鎖。あらたなサーバ上に新サイトを構築し、2021年4月5日より再開済みだという。

プレスリリースバックアップ

2021/10/25

観測されたマルウェア検体を情報共有用途で一般公開しているデータベース【Malware Bazaar】


 観測されたマルウェア検体を分析者に投稿してもらい、 アンチウイルスベンダーや情報セキュリティ担当への情報共有用途で一般公開しているデータベースです。 これらの投稿には、分析者がすでに「どのような攻撃で使われた検体か」をタグ付してくれているものが非常に多いです。 そのため、リアルタイムの投稿を追うだけでどのようなマルウェアが世界で飛び交っているかがパッとわかります。

https://bazaar.abuse.ch/

オリンパス、2度目のランサムウェア攻撃で、米国などのシステムが暗号化される / Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密(転載)


Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密:

日本の大手ハイテク企業であるオリンパスに対する「進行中」のサイバー攻撃は、米国政府の制裁を受けているロシアの悪意あるグループが仕掛けたものであると、攻撃について知る2人の人物が語っています。 

「Macaw」は、マルウェア「WastedLocker」の新しい亜種で、どちらも2019年に米財務省から制裁を受けたロシアを拠点とする犯罪シンジケート「Evil Corp」が作成したものです。

これは、2021年9月にヨーロッパ、中東、アフリカのネットワークがBlackMatterランサムウェアに攻撃されたのに続き、この数ヶ月で2度目のランサムウェア攻撃です。 (BlackMatterはEvil Corp.との関係を知られていない)

セキュリティ企業Recorded Futureのシニア脅威アナリストであるAllan Liska氏は、「Olympusは2021年9月にBlackMatterに攻撃され、2021年10月にMacawに攻撃されました。Macawマルウェアは、ハッキングされたコンピュータに身代金請求書を残していました」とコメントしています。

オリンパスは声明で、「データ侵害の可能性」を調査していると述べました。「ダブルランサム」と呼ばれるランサムウェア・グループがよく使う手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、それを脅すというものです。 解読されたファイルの身代金が支払われない場合は、ファイルがオンラインで公開されます。

2021/10/24

オープンソースの脅威情報蓄積プラットフォーム【Open CTI】


Open CTI 自体はオープンソースの脅威情報蓄積プラットフォームで、 インターネットに接続すると他の分析者が蓄積したインテリジェンスを閲覧することができます。


Open CTI は docker image から build して内部にプラットフォームを建てる形で利用することになるのですが、 ThreatPursuit VM を利用している人は docker-compose コマンドを叩くだけで建つのですぐに利用できます。 情報の網羅性としては高いわけではなく MISP のような他イベントとの関連性の面は弱い一方、 APT の活動やばらまき型メール, マルウェア解析情報といった有力な情報も流れてくるので、1日1回 Activities をざっと眺めるだけでも損はないです。 以下のURLからデモ版を見ることができるので、興味がある人は是非クリックしてみてください!!

https://demo.opencti.io/dashboard

2021/10/23

Hunting用のマルウェアデータセットを提供してくれる【mquery】


インテリジェンス業務を行っていると、自社に着弾したマルウェアと同種のものを捕まえて解析し、 攻撃の分析に役立てようとする営みをすることがあると思います。 これを Threat Hunting と言います。 では、インテリジェンス分析者はどうやって「同種のもの」を捕まえてきているかというと、 最も多くの場合「Yara rule」と呼ばれるシグネチャマッチングで行っています。 つまり、同種のものを捕まえられるようなルールを書き、大量のデータセットに対して検索することで捕まえてくるというわけです。 また、Yara rule で検体を Hunting できた場合は自組織の EDR やネットワークフォレンジック装置にルールを組み込むことで、 より高度で効果的な防御をすることができます。

では、Hunting 対象のデータセットはどこにあるでしょうか? もっとも有名なのは Virus Total というオンラインのウイルススキャンサービスですが、 Hunting の機能は少々高額で初心者がいきなりこれを試すことはハードルが高いです。 そこで役立つのが、CERT.PL が提供している mquery というサービスです。 mquery はマルウェアのデータセットを提供しており、Yara rule を提出するとルールにマッチしたマルウェアの検体を提供してくれます。 マルウェアのデータセットも 76,000 近くあるため、試しに Hunting するには十分です。 

これの強みは、オンラインサンドボックスでできないようなシグネチャマッチングによる検索を、擬似的に mquery が代用してくれているという点です。 mquery を使ってシグネチャマッチした検体のハッシュ値がわかれば、 他のオンラインサンドボックスやインテリジェンスサービスに投稿された検体に到達することができ、非常に有用です。 また、mquery と同じくYara ruleでHuntingできるサービスとして、CrowdStrike が提供してくれている Hybrid Analysis というオンラインサンドボックスがあります。こちらでもHunting, ルール検証ができるので、良性・悪性入り混じったサンプルでのルール検証がしたい場合などは有効活用できると思います。

米Miles日本上陸へ 徒歩でも電車でも“マイル”がたまる(転載)~貯まった”マイル”が航空会社のマイレージに変換できるかが個人的なポイント~


飛行機だけではなく、徒歩や自転車、自動車、電車などの移動手段を自動判別し、“マイル”を付与するアプリ「Miles(マイルズ)」。運営する米コネクトIQラボは2021年8月、海外初進出となる日本でティザーサイトをオープンした。

18年から米国で展開されている「Miles(マイルズ)」アプリは、100万人以上の登録ユーザーを獲得してきた。“マイル”と交換する特典(リワード)を提供するパートナー企業は、ウォルマートやスターバックス、アマゾン・ドット・コム、フードデリバリーのドアダッシュなど、実に200以上の有名ブランドがそろう。

これまでMilesのユーザーは累計40億マイル(約64億キロメートル)を移動し、120億マイルを獲得。そのうち35億マイルが700万件以上のリワードと交換された。「ユーザーは5000万ドル(約55億円)以上の節約に役立っており、リワードを提供するパートナー企業には2億ドル(約220億円)以上の収益をもたらしている」という。こうしたユーザーの移動を軸として巨大な経済効果を生む有力プラットフォームが、ついに本格上陸する。

Milesのユーザーメリットは実に明快だ。スマホにアプリをダウンロードし、常時GPSの取得を許可する設定にしておけば、ユーザーの移動手段をAI(人工知能)が自動で判別し、それぞれに応じた“マイル”が勝手にたまっていく。マイルが一定数たまると、映画やレンタカーの割引チケット、コーヒーショップの無料チケット、ネット通販のギフトカードなど、用意されたリワードへの交換が可能となる。

【2021/10/23追記】
全ての移動でマイル加算する「Miles」日本上陸、交換特典にJALなど参画

2021/10/22

インターネット上に存在するあらゆる端末をスキャンしているサービス【GreyNoise】


 インターネット上に存在するあらゆる端末をスキャンしているサービスとして Shodan や Censys が非常に有名だと思いますが、 GreyNoise もそんなサービスの一つです。 ただし、用途は微妙に異なり、「サービスのどこに穴があるか」といったどちらかというと攻撃者目線で使う Shodan とは違い、 GreyNoise は「どこの IP から攻撃が飛んできているか」という防御者目線で使うことが多いです。 簡単な例をあげると、「SMBGhost のスキャンをしてくる IP を教えろ」とクエリ書くだけで、 その結果と Malicious かどうかの判定まで出してくれます。


Malicious 判定のついた IP を自動で収集してきて、 もし通信をしていた場合はアラートをあげさせることでインテリジェンスになったりします。 また、「自社関連で誰かマルウェア感染していないか?」というのも簡単ながら調査できます。 例えば、ntt というワードで検索すると、自社の提供する ISP 配下で、明らかに Mirai に感染して bot 化されたような端末が見つかります。

「アルファアイコンオフィシャルショップサイト」への 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(転載)


「アルファアイコンオフィシャルショップサイト」への 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 
alphaicon.com/news-details/1…

2021年10月20日

お客様各位

株式会社アイコンズ

 

弊社が運営する「アルファアイコンオフィシャルショップサイト」への

不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

 

 

このたび、以下のサイト

「アルファアイコンオフィシャルショップサイトhttps://shop-alphaicon.com/

におきまして、第三者による不正アクセスを受け、クレジットカード情報(93件)が漏洩した可能性があることが判明いたしました。

関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび郵送にてお詫びとお知らせを個別にご連絡申し上げております。

 

今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

 

 

 

1.経緯

2021年7月12日、契約する保守会社から、サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年7月12日「アルファアイコンオフィシャルショップサイト」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2021年8月18日、調査機関による調査が完了し、2021年7月6日~2021年7月12日の期間に 「アルファアイコンオフィシャルショップサイト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

 

2.個人情報漏洩状況

(1)原因

 「アルファアイコンオフィシャルショップサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

 

(2)個人情報漏洩の可能性があるお客様

2021年7月6日~2021年7月12日の期間中に「アルファアイコンオフィシャルショップサイト」においてクレジットカード決済をされたお客様93名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

 

上記に該当する93名のお客様については、別途、電子メール、書面にて個別にご連絡申し上げます。

 

 

3.お客様へのお願い

 既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

 なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

 

4.公表が遅れた経緯について

2021年7月12日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

 

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

具体的には漏洩のあったシステムを、破棄し新たなシステムにてサイトを再構築しております。

改修後の「アルファアイコンオフィシャルショップサイト」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年10月1日に報告済みであり、また、所轄警察署にも2021年10月1日被害申告しており、今後捜査にも全面的に協力してまいります。


プレスリリースバックアップ

弊社サーバーへの不正アクセスについて(転載)


弊社サーバーへの不正アクセスについて コックフーズ株式会社
cook-foods.co.jp/news/%e5%bc%8a…

コックフーズ株式会社は2021年10月15日、同社が運用するサーバーがランサムウェアに感染し、取引先データなどを含む一部企業情報が流出したと明らかにしました。

発表によると、同社では2021年10月6日、一部システムに障害が発生。原因を明らかにするため外部調査機関を通じて詳細を調査したところ、ランサムウェアに感染したことによる障害であると判明しました。

コックフーズ株式会社はランサムウェアの感染により、企業情報に流出および暗号化被害が生じたとしています。具体的には、取引先データや人員情報の他、経理データや商品関連情報に暗号化被害が生じたほか、外部流出が確認されたとのことです。

コックフーズ株式会社によると、同社は被害発生を受け、警視庁のサイバー犯罪対策課に通報し、状況を報告しています。

また、今後は外部専門家の知見を活かし、セキュリティ対策を強化することで再発を防止するとのこと。

なお、同社は2021年10月13日時点でシステムの復旧を終え、通常業務を再開しています。

当社運営サービスにおける個人情報の流出に関するお詫びとお知らせ(転載)


[PDF] 当社運営サービスにおける個人情報の流出に関するお詫びとお知らせ 株式会社メディア工房
mkb.ne.jp/news/wp-conten…

当社運営サービスにおける 
個人情報の流出に関するお詫びとお知らせ 

このたび、当社の運営するサービス「きゃらデン」(以下「本件サービス」といいます。)において、本件 サービスに登録するキャスト(本件サービスの一部を業務として提供する者)の個人情報(キャストの氏名、 269 件)が流出した可能性があることが判明いたしました。 

現在、情報流出の範囲及び原因等を調査しておりますが、現時点で判明しております情報流出の概要と今後 の当社の対応を、取り急ぎ、下記のとおり、ご報告いたします。 

お客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。 

記 

1.情報流出の概要 

(1)経緯 
2021 年 10 月4日、本件サービスの公式 SNS に、ダイレクトメッセージを通じて個人情報の流出に関 する通報を受け、情報流出の存在が発覚いたしました。


(2)流出した個人情報 
現在調査中ですが、現時点においては、本件サービスに登録している又は登録していたキャストの 一部の皆様に関する氏名(269 件)が流出した可能性があると認識しております。
※その他、個人情報には該当しませんが、当該キャストに使用(消費)された本件サービス内通貨の 額が流出した可能性があります。

 

(3)原因
現在調査中ですが、現時点においては、外部から不正アクセスを受けたことに因るものと考えられ ます。

 

2.今後の当社の対応について 

情報が流出した可能性のあるキャストの皆様に対しては、本日以降順次本件のお詫びと注意喚起のご連 絡を行ってまいります。キャストの皆様及びお客様におかれましては、誠に恐縮ではございますが、不審 な連絡等にご注意いただきますようお願い申し上げます。 

当社としましては、このたびの事態を厳粛に受け止め、情報流出範囲の特定、原因究明及び対策を急 ぎ行ってまいります。また、不正アクセスについて確認できた場合には、採り得る法的措置も検討いた します。 

なお、本件に関して、今後新たな情報が判明した場合は、随時お知らせ又は当社ホームページにてご 報告いたします。 

3.業績への影響について 

本件による当社業績への影響については現在精査中です。今後業績に重要な影響を及ぼすことが明らか になった場合には、速やかに開示いたします。 

プレスリリースバックアップ) 

不正アクセスに関する当社対応について【最終報告 2021年9月27日】(転載)


不正アクセスに関する当社対応について【最終報告 2021年9月27日】
yayoi-kk.co.jp/news/20210927-…

 弥生株式会社は、2021年6月22日に公表した第三者による不正アクセス事象について、これまでの当社対応等を踏まえ、最終報告をいたします。なお、公表時から現時点において、情報漏洩や悪用された事象は確認されておりません。
 お客さまをはじめ、関係者の皆さまには多大なるご迷惑およびご心配をお掛けしましたことを深くお詫び申し上げます。今後は全社一丸となり再発防止の実行に着実に取り組んでまいります。
 

1. 発生事象

 以降に記載する日時において、弊社サービスをご利用いただく際に必要な認証連携サービス(ログイン機能)に対して、外部からの不正なアクセスが発生し、お客さまのログイン情報(「弥生ID(メールアドレス)」と「パスワード」など)の一部が不正アクセスを行う第三者から参照されうる状態でした。大きく2つの事象が発生しました。
 

事象1

 一定期間内に連携アプリケーションとの連携設定を行ったお客さまの弥生IDとパスワードが不正アクセスを行う第三者に参照される可能性がありました。
対象期間
  • 2021年5月10日(月)10:00~2021年6月16日(水)18:57
対象件数
  • 18,364件
 対象期間中に認証基盤システムのログイン画面から「ログイン」ボタンをクリックした方(ログインの成否に関わらない)。以下<1>と<2-A><2-B>が該当します。
 
<1> 弥生IDとパスワードを利用して連携アプリケーション*との連携設定を試みたお客さまが該当します。対象件数は17,504件※1です。
※1 弥生ID(メールアドレス)を間違って「ログイン」ボタンをクリックした方のうち、7月5日までに既に登録していた弥生IDを変更あるいは新規で弥生ID登録をした36件を含む
 
<2-A> 「弥生シリーズ ログイン画面」で間違った弥生IDなどとパスワードを入力し、「ログイン」クリック後に「弥生IDまたはパスワードが違います」※2とメッセージが出たお客さまが該当します。対象件数※3は600件です。
※2 「弥生IDまたはパスワードが違います」のメッセージは、弥生IDが未登録の場合や弥生ID(メールアドレス)の打ち間違い等が原因で表示されます
※3 弊社「あんしん保守サポート」の「お客様番号」と思われるケースは除く
 
<2-B> <2-A>と同事象のお客さまのうち、弊社「あんしん保守サポート」の「お客様番号」と思われる数字を入力されているケース。対象件数は260件です。
 
* 該当する連携アプリケーション
【弊社のサービス】
  • 口座連携
  • Misoca(ミソカ) ※YAYOI SMART CONNECTと連携設定した場合のみ対象です
 
【他社のサービス】
  • Airレジ(株式会社リクルート)
  • スマレジ(株式会社スマレジ)
  • MakeLeaps(メイクリープス株式会社)
  • Staple(クラウドキャスト株式会社)
  • ユビレジ(株式会社ユビレジ)
  • UレジFOOD(株式会社USEN)
  • ぐるなびPOS+(株式会社ぐるなび)

 

事象2

 弊社サービスにお客さまがログインした際に一時的に保持しているログイン情報(弥生IDとパスワードを暗号化したもの)に対して、不正アクセスを行う第三者に参照される可能性がありました。ただし、事象検知時点で問題は解消しており、お客さまにて作業等を行っていただく必要はありませんでした。
対象期間
  • 2021年5月18日(火)23:54~2021年6月16日(水)18:57
対象件数
  • 585,341件
 該当期間中に弊社クラウドアプリケーション**を利用されたお客さま
 
** 弊社クラウドアプリケーション
  • やよいの白色申告 オンライン
  • やよいの青色申告 オンライン
  • 弥生会計 オンライン
  • やよいの給与明細 オンライン
  • Misoca(ミソカ)
  • 弥生マイポータル

 

1. お客さまへの対応(全体)

  • 6月22日にインフォメーション(弥生Webサイト)を公開。以後、新たに判明した事実を元に内容を随時更新し、情報発信を行いました。
  • 専用窓口「情報セキュリティ専用窓口[臨時]フリーダイヤル※4」を設置し、お客さまからの問い合わせ対応を行いました。
※4 2021年9月末で受付を終了し、以後本件についてはこちらで対応を継続いたします

 

2. 【事象1】のお客さまへの対応

 「なりすましログイン」防止のため、該当するお客さまのパスワードを弥生側で変更後、仮パスワードを発行、その後お客さまにてパスワード再設定を実施いただきました。パスワード再設定のお願いは、インフォメーションでの全体告知に加え、メール、郵送、電話にて個別連絡を実施しました。2021年9月15日時点でのパスワード再設定率は93.5%※5になります。
※5 パスワード未再設定の方については、複数回の架電および郵送でのご連絡を実施しました。これ以上はお客さまのご迷惑になる可能性が高いため、弊社からのご連絡は控えております。パスワードは弊社にて変更済のため、なりすましログインは防止されます
 

3. 【事象2】のお客さまへの対応

 前述の通り、事象検知時点で問題は解消しており、お客さまにて作業等を行っていただく必要はありませんでした。
 

再発防止に向けた今後の取り組み

 本事象の検知後、システム面と業務運用面の両面で、問題とその原因の検証を行ってまいりました。検証結果を踏まえ、再発防止に向けて、不正な侵入を防ぐためのセキュリティ対策の強化、脆弱性対応の定期化および外部専門家による継続支援、不正アクセス検知早期化に向けたシステム再設計など、社内横断対策チームを組成のうえ、活動を開始しております。今後は全社一丸となり再発防止の実行に着実に、継続的に取り組んでまいります。

オンラインサイト「Explorer」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(転載)


弊社が運営するオンラインサイト「Explorer」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ 有限会社 エクスプローラー
e-explorer.jp/c/information

海外ブランドの衣料品など扱う通信販売サイト「Explorer」において、利用者のクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明した。

同サイトを運営するエクスプローラーによると、ウェブサイトを改ざんされ、情報を窃取するプログラムが設置されたという。2020年8月31日から2021年2月8日にかけて、商品購入時に入力されたクレジットカード情報が窃取され、悪用された可能性がある。

対象となる顧客は206人で、クレジットカードの名義、番号、有効期限、セキュリティコードなどが被害に遭った可能性がある。2月8日に決済代行会社から情報流出の可能性について指摘があり、問題が判明した。

外部事業者による調査は8月20日に終了。警察には8月24日に被害を申告し、9月2日に個人情報保護委員会へ報告を行ったとしている。

対象となる顧客に対しては、9月27日よりメールや書面で経緯を説明するとともに謝罪を実施。身に覚えのない請求などがないか確認するよう注意を呼びかけている。

日本の政府機関が富士通のツールを足掛かりにデータ漏洩の被害を受ける / Japanese government agencies suffer data breaches after Fujitsu hack(転載)~ソリトンの次は富士通かぁ~

Japanese government agencies suffer data breaches after Fujitsu hack

富士通の情報共有ツール「ProjectWEB」を介して、日本の複数の省庁が不正アクセスを受けました。

富士通の発表によると、ProjectWEBを利用したプロジェクトへの不正アクセスが行われ、一部の顧客情報が盗まれたとのことです。

なお、今回の不正アクセスが、脆弱性を狙ったものなのか、サプライチェーンを狙ったものなのかは明らかになっておらず、現在調査を進めています。

攻撃者は、少なくとも76,000件のメールアドレスにアクセス

昨日、国土交通省と内閣サイバーセキュリティセンター(NISC)は、富士通の情報共有ツールを介して攻撃者が内部情報を入手できたことを発表しました。

また、富士通は、攻撃者がProjectWEBを利用したプロジェクトに不正にアクセスし、独自のデータを盗み出したと発表しました。

富士通のProjectWEBは、企業や組織が、プロジェクトマネージャーやステークホルダーなどと、社内で情報を交換することを可能にします。

ProjectWEBログイン画面

ProjectWEBを経由して政府機関のシステムに不正にアクセスすることで、少なくとも76,000件のメールアドレスや、メールシステムの設定などの専有情報を取得することができたことが、国土交通省によって確認されています。

富士通の資料によると、2009年の時点で、このツールは約7,800のプロジェクトで広く使用されていたとのことです。

情報共有ツールの活用例を示す富士通ProjectWEBの概要  

なお、流出した電子メールアドレスには、専門家会議のメンバーなど外部の関係者のものも含まれており、個別に通知を受けています。

成田空港でも、航空管制データやフライトスケジュール、業務に関する情報が盗まれ、影響を受けました。

また、日本の外務省では、情報漏えいにより、一部の研修資料が流出しました。

内閣サイバーセキュリティセンター(NISC)は、富士通のツールを利用している政府機関や重要インフラ組織に対し、不正アクセスや情報漏えいの兆候がないか確認するよう、複数の注意喚起を行いました。

富士通、オンラインポータル「ProjectWEB」を一時停止

富士通は、この問題の範囲と原因を完全に調査している間、ProjectWEBポータルを停止しているとのことです。

ログインポータルへのURLにアクセスしようとするとタイムアウトしてしまいます。


ProjectWEBポータルは「soln.jp」ドメインでホストされていたため、自分の組織が影響を受けているか、あるいはかつて顧客であったかどうかを確認する一つの方法は、ネットワークログにこのドメインや前述のURLの痕跡を探すことです。

富士通は、プレスリリースの中で、関係当局に通知するとともに、顧客と協力して侵害の原因を特定すると述べています。

現在、富士通はこの事件を徹底的に調査しており、日本の当局と緊密に協議しています。富士通の広報担当者は、「予防措置として、このツールの使用を停止し、影響を受ける可能性のあるお客様にはその旨をお伝えしています」と述べています。

この攻撃の技術的な詳細については未定ですが、この事件は、何百もの顧客組織に影響を与えたファイル共有ツール「Accellion」のハッキング事件と似ています。

【参考】

2021/10/21

Wiresharkチュートリアル / Wireshark Tutorial: Wireshark Workshop Videos Now Available


Wiresharkチュートリアル(無償): unit42.paloaltonetworks.com/wireshark-work… #パケット解析 #マルウェア解析

Wiresharkは、ネットワークアクティビティのパケットキャプチャー(pcap)を確認するためのツールです。2018年以降、私はさまざまなWiresharkチュートリアルを執筆し、世界各地のカンファレンスで対面式のワークショップを実施してきました。私の対面式ワークショップは、情報セキュリティの職務に就いている人がWiresharkを使って、Windowsベースのマルウェア感染によるトラフィックをレビューできるようにするためのものでした。

2020年初頭から、COVID-19(武漢ウイルス)による渡航制限により、これらの対面式ワークショップは中止となりました。このような状況を受けて、以前行われていた対面式ワークショップのほとんどの部分を再現するために開発されたビデオチュートリアルの初期シリーズを発表したいと思います。

以下は、Wireshark Workshopのビデオです。

第1部:導入と前提条件(バックアップ


第2部:Wiresharkの設定(バックアップ


第3部:ホストの識別(バックアップ


第4部:悪意のない活動(バックアップ


第5部:Windowsマルウェア感染の紹介(バックアップ


これらのビデオは、"Part 1: Introduction and Prerequisites "から順番に見ていくようにデザインされています。第1部の後、各ワークショップのビデオは、前のビデオでカバーされた内容に基づいています。

このWiresharkワークショップのビデオで使用されたPcapsは、このGitHubリポジトリ (バックアップ)で公開されています。このリポジトリには、ワークショップのビデオで使用されたスライドのPDFファイルも含まれています。



個人情報の漏えいに関するお詫び ロゴヴィスタ株式会社(転載)


【重要】個人情報の漏えいに関するお詫び ロゴヴィスタ株式会社 2021年9月24日
logovista.co.jp/lverp/informat…

翻訳ソフトなどを開発、販売しているロゴヴィスタは、サーバが不正アクセスを受け、登録ユーザーのメールアドレスが流出したことを明らかにした。

同社によれば、9月18日から22日の間、SQLインジェクションによる不正アクセスを受けたもの。登録ユーザーのメールアドレス約12万8000件が外部に流出した可能性がある。

9月24日にユーザー登録に利用した専用のメールアドレスに迷惑メールが届いたとの指摘がユーザーより寄せられ、調査を行ったところ被害が判明した。

同社ではウェブサイトの緊急メンテナンスを実施。対象となるユーザーには経緯の説明と謝罪を行うとともに、日本情報経済社会推進協会(JIPDEC)や当局へ報告を行っている。

「オムニECシステム®️」一部サーバーへの不正アクセスについて(転載)


[PDF] 「オムニECシステム®️」一部サーバーへの不正アクセスについて 株式会社ジーアール grinc.co.jp/information202…
grinc.co.jp/information202…

ジーアールが提供するeコマースサービス「オムニECシステム」が不正アクセスを受けたことがわかった。少なくとも15万件近くの情報が流出した可能性があり、同システムを採用する複数事業者に影響が広がっている。

「オムニECシステム」は、スーパーや量販店向けに提供されているeコマースシステム。オンラインストアや予約サイトなどに活用されている。ジーアールによれば、同システムに関する2台のサーバが不正アクセスを受けたもので、2021年9月3日に被害を確認した。

不正プログラムが設置され、入力された情報を抜き取られたり、サーバ内のデータを参照された可能性があり、同サービスを利用していたスーパーマーケットチェーンを展開する小売事業者などへ影響が広がっている。

ギフトカタログの受注システムとして採用していた天満屋ストアでは、ギフトの依頼主の氏名、住所、電話番号など7万1480件が流出した可能性があることが判明。

住友商事子会社のサミットでは、予約販売商品の購入サイトである「サミット予約ネット」で同システムを採用しており、「氏名」「住所」「性別」「電話番号」「メールアドレス」「注文情報」など、約4万件の顧客情報を窃取された可能性があるという。

2021/10/20

Offensive Rust #ペネトレ #悪用禁止(転載)


github.com/trickster0/Off… #ペネトレ #悪用禁止

OffensiveRustはRustを武器に、インプラント開発や一般的な攻撃活動を行うためのツール。

なぜRust?

  • C/C++のような言語よりも高速である
  • 多目的言語であり、優れたコミュニティがある
  • Cargoと呼ばれる素晴らしい依存関係のビルド管理機能が内蔵されている
  • LLVMベースであるため、静的なAV検知を回避するのに適している
  • nix/MacOSからWindowsへのクロスコンパイルが非常に簡単で、pingwツールチェーンをインストールするだけでよい。