2021年10月16日~31日 サイバー攻撃のタイムライン / 16-31 October 2021 Cyber Attacks Timeline


 2021年10月の第2回目のサイバー攻撃のタイムラインが発表され、86件のイベントを収集した10月前半の明らかな中断の後、イベント数(111件)が急激に増加しました。当然のことながら、ランサムウェアが引き続き脅威の中心となっており、直接的または間接的にイベントの30.6%(111件中34件)を占めています(前回のタイムラインでは28.6%)。

当然のことながら、脆弱性は、日和見主義の攻撃者や国家が関与する攻撃者にとって、攻撃者が最初にアクセスするための好ましい手段の1つとして、脅威の状況を特徴づけ続けています。「Google Chrome」プラットフォームの「annus horribilis」は続いており、この2週間でも、新たな脆弱性が大量に悪用されています。CVE-2021-21224、CVE-2021-31956、CVE-2021-38000、そしてCVE-2021-38003。

メガ・ブリーチの季節はまだ終わっていません。今回は、モスクワの5,000万人のドライバーのデータが、地下フォーラムでわずか800ドルで売られてしまいました。

アラブ首長国連邦の会社の従業員に、取締役が別の組織の買収の一環として資金を要求したと信じ込ませるために、偽装メールと偽装音声を使って、詐欺師のグループが3500万ドルを奪いました。

この2週間、サイバースパイの分野では特に多くの出来事がありましたが、これは驚くべきことではありません。2021年5月以降、140社のマネージド・サービス・プロバイダやクラウド・サービス・プロバイダが攻撃を受け、少なくとも14社が侵害されたことを受けて、大規模なサプライチェーン攻撃を行ったNobeliumグループが新たなキャンペーンを展開しています。北朝鮮のLazarus Groupは、韓国のシンクタンクとラトビアの資産監視ソリューションを開発している企業を標的とした新たなキャンペーンを行い、影から戻ってきました。しかし、HarvesterやLightBasinのような新しいアクターも登場しています。そして、リストはこれだけでは終わらない...。

日本関連は2件あります。

フォーティネットの研究者が、日本のMinecraftゲーマーを狙ったと思われるランサムウェア「Chaos」の亜種を発見しました。

KDDIを装い、日本で人気のウイルス対策製品である「あんしんセキュリティ」を装ったフィッシングキャンペーンで、Androidの情報窃取ツール「FakeCop」の新たな亜種が発見されました。



Visa LINE Payのカード不正利用(転載)


Visa LINE Payのカード不正利用 

Twitter上でカード不正利用が多数呟かれていており、投稿を見ると、LINE Pay VISAカードのユーザが不正利用の被害を受けている様に思えます。投稿で具体的な加盟店として名前が挙がっているのが「工画堂スタジオ」なのですが、その他にも、(不正利用された際に使われた)加盟店がある様です。

工画堂スタジオのECサイトが閉鎖中だったので、このサイトからカード情報漏えいが発生したのかと思ったのですが、「同一人物からのものと見られる多数のアカウント登録及び所品購入を内容とする不審なアクセスを検知」した事が公表されていますので、スキマーを使ったECサイトの侵害からのカード情報漏えいというよりは、他で入手されたカード情報が、このECサイトで不正利用された可能性の方が高い気がします。 

ランサムエアギャング「Atomsilo」がエーザイをハッキングしたと主張


Atomsilo https://darkfeed.io/2021/12/19/atomsilo-2/

Atomsilo

https://darkfeed.io/2021/12/19/atomsilo-2/

「遊ぶカネ欲しさ」ではない? ソニー生命「170億円事件」に浮かぶ大和銀行「1100億円事件」との意外な共通点(転載)


「遊ぶカネ欲しさ」ではない? ソニー生命「170億円事件」に浮かぶ大和銀行「1100億円事件」との意外な共通点 

ソニー生命で170億円にものぼる巨額の不正送金事件が発覚した。逮捕された男性社員は、ソニー生命がバミューダ諸島に保有していた完全子会社である「エスエー・リインシュアランス」の口座を介して、米国の別口座へ不正に1億5500万ドルを送金した疑いが持たれているという。

エスエー・リインシュアランス社は2021年9月に解散しており、手続きのさなかに精算を担当していた従業員が資金を移動させたという。被害者であるソニー生命側も、170億円という巨額の資金を従業員が動かせる状態であったことから内部統制についての懸念が生まれてくる。場合によっては法令等順守にかかる内部管理体制の不備があるとして、他の金融機関と同様、金融庁による何らかの行政処分が下される可能性すらある。

近年、従業員による着服や横領といった事件が発覚する例が増えている。2021年9月にはJA高知県の50代職員が、保険契約を勝手に解約して払戻金を受け取るという手口で2011年からの10年で4471万円を不正に着服していることが発覚したばかりだ

2020年には第一生命の元従業員が、合計で19億5000万円を保険契約者から不正に騙(だま)し取っていたことが明らかとなったほか、住友重機械労働組合の積立年金を当時の会計担当であった女性が合計で10億円を超える額を、2013年から2018年にわたって着服していた疑いがあるとして逮捕されている。

上記で挙げたような10億円、20億円といった着服金額だが、これは日産自動車の元会長であるカルロスゴーン氏が私的に流用した日産の資金に匹敵する規模である。ゴーン氏は日産という大企業の会長という立場と、映画顔負けの国外脱出劇といった要素でインパクトが大きいものの、18億円という金額自体は着服事案の中では突出して大きな額とはいえない。

しかし、今回発覚した170億円にのぼる詐取は、これまでの着服事案とは一線を画すレベルで大きい。直近で私的流用が問題となった最も大きい着服事案が大王製紙の事例で、106億円だ。これは従業員ではなく、同族経営者で当時の会長であった井川意高氏がカジノで遊ぶために複数の子会社から総額で106億円を不正に引き出していたもので、ソニー生命の事例はこれをさらに上回る水準である。

創業家で自身が会長という立場であれば、巨額の引き出しがバレないと信じて犯行に出るのも分からなくはないが、今回170億円を引き出したのは一介の社員であり、会社自体も内部管理体制が他業種と比べて厳しい保険会社で行われた事件である点で異質だ。犯行に及んだ社員もまさかバレないと信じて犯行に及ぶほど愚かでもないだろう。

170億円という過去の着服事例からは一線を画す被害金額から考えても、容疑者のソニー生命社員は生活費や遊行費のためではなく、何らかの組織的な事情が介在した結果犯行に及んだ可能性がある。それだけでなく、背後で指示をしていた黒幕や共犯の存在も疑われてきそうだ。

では、今回の着服が私的流用ではないとしたらどのような要因が考えられるだろうか。

可能性としては、不正な取引における損失穴埋めが挙げられる。従業員の不正のうち、被害額が100億円を超える事例のほとんどが、ビジネス上の失敗を穴埋めするための不正取引である。その中でも2つの事件を今回はピックアップしたい。

まずピックアップしたい事例が1995年の大和銀行(現:りそな銀行)のニューヨーク支店で発覚した巨額の不正取引事件である。当時、米国債トレーダーであった井口俊英氏がもたらした11億ドル、当時の為替レートで1100億円にものぼる巨額損失によって、大和銀行は米国から別途巨額の制裁金がかけられただけでなく、米国からの退去命令も受けるといった三重苦に見舞われることとなった。

同氏は、84年に初めて5万ドルを着服したものの、95年までそれが明るみに出ることはなかった。着服がバレずに気が大きくなったのか、その4年後には52万ドルを着服している。きっかけは変動金利債券の取引損失だ。損失が明らかになってトレーダーをクビになることを恐れ、同氏は書類を偽造するなどして、自己裁量の取引を行うようになった。この時井口氏はニューヨーク支店の実質的な支配人であったことから、その不正を指摘できる者が支店にはいなかったのだ。

巨額のポジションは米国の巨大な債券市場を動かすには十分すぎるほどだった。彼が債券を売買するとすぐさまその手口は「トレーダートゥシ」によるものと看破され、徐々に身動きが取れないカモとなり、損失が膨らんでいった。

結局、同氏はもはや1100億円にも膨らんだ損失をトレードで取り返すのは不可能と悟ったのか、当時大和銀行の頭取であった藤田彬氏に自白し事件が明るみに出ることとなったのである。

この事件では、簿外取引の損失をケイマン諸島の法人に付け替えるという、いわゆる“飛ばし”が組織的に行われていた。この策は功を奏し、ケイマン法人に飛ばした損失は穴埋めが上手くいったようで、飛ばしから7年後に解散している。

ソニー生命の事例との共通点は、大和銀行と同じタックスヘイブンであるバミューダ諸島の子会社を介した不正事案となっている点だ、どちらも事件発覚時には解散している点でも類似性がある。海外における関係会社において、どちらのパターンでも一人の従業員に大きな裁量が任されていた点も重なる。

ちなみに、従業員の不正が原因で会社に損害を与えた最も大きい金額は48億2000万ユーロ、当時の為替レートで7600億円である。その人物は同社のトレーダーであったジェローム・ケルビエル氏だ。同氏は本来、同じ商品の市場間の価格差に着目し、安い方を買い、高い方を売ることでリスクを極力抑えて利ざやを稼ぐという裁定取引を任されていた。

しかし、同氏は片方のポジションを架空の取引に偽装するという手口で、裁定取引をしているとみせかけ実際はリスクを取ったポジションで取引を行っていた。ケルビエル氏の不正は2005年から07年までの株高の恩恵を受けているうちは明るみに出ることがなかったが、世界金融危機の発生した08年1月に不正が発覚、ポジションは精算されることとなった。同氏の築いたポジションを全て精算したあとに残ったのは7600億円もの損失だけだった。

動機は「自分が成功し、金融の天才だと誰もが認めるようになると本当に信じていた」というもので、自己承認欲求の高まりが招いた事件であるといえる。

ちなみに、同氏は当然ソシエテジェネラルをクビになったが、この解雇が不当であるとして逆に同社を訴えた。この訴えはなんと第一審で認められ、16年にはソシエテジェネラルに対してケルビエル氏に40万ユーロを賠償する判決を下したのである。理由は、ソシエテジェネラル側はケルビエル氏の不正取引を把握していながら、利益が出ていたため見過ごしていたと認定されたからだ(なおその後、ソシエテジェネラル側は控訴している)。

この2つの事例の他にも、銅の不正取引で3000億円近い損失を出した住商巨額損失事件などが有名だ。ビジネスの中でも金融商品がらみの不正取引は被害額が大きくなりやすい傾向がある。

ソニー生命の事例は、現段階では動機などが明らかになっていないものの、過去事例と照らし合わせれば、「遊ぶ金欲しさ」や「ほんの出来心」といった典型的な着服事案とは明確に区別されるべき犯罪である可能性が高い。全貌の究明が待たれるところである。

週刊OSINT 2021-45号 / WEEK IN OSINT #2021-45(転載)

 

Week in OSINT #2021-45

今号も、役に立つヒントや便利なツールをご紹介します。

忙しくしていると時間が経つのが早いですね。リラックスする時間がほとんどありませんでしたので、もっと静かな時間が近づいていることを願っています。今回は、メールやDMで送られてきたヒントなど、いくつかの素晴らしいコンテンツを確保することができました。ありがとうございます。本当に助かります。

  • Wayback Search
  • Online Privacy Tips
  • Sterra
  • Trace Labs Guide

ツール: Wayback Search

Lorenzo Romani氏は、Internet ArchiveのWayback Machineからすべてのコンテンツを簡単にダウンロードできる小さなツールを作成しました。このツールを起動してドメイン名を入力すると、検索してすべてのコンテンツをダウンロードしてくれます。ちょっとした注意点があります。サブフォルダを指定することはできず、ベースとなるドメインのみを指定します。すべてをダウンロードした後は、小さな検索ツールを使って、ダウンロードしたコンテンツの中から特定のキーワードを見つけることができます。このツールにはPython3版とGo版がありますので、使いやすい方を選んでください。


小技: Online Privacy Tips

Twitterユーザーの「Maderas」は、オンラインプライバシーに関するリソースの小さなリストをツイートしました。このリストは、Googleを自分の生活から追い出したいと思っている人のために、さまざまなリソースを集めたGitHubのレポから始まります。また、ブラウザ、検索エンジン、VPN比較シートなどの情報も掲載されています。この情報の中には、2019年12月に最終更新されたとする2番目のVPNシートのように、古いものもあることに注意してください。しかし、それでもこの情報は、あなたが完璧なプライバシーを意識したセットアップを見つけるのに役立つ貴重なものです。

注:ブラウザの自動更新をオフにする方法があります。ただし、セキュリティアップデートも受け取れなくなりますのでご注意ください。猜疑心を持つか、安全を確保するか、賢明な選択をしてください。

ツール: Sterra

Sterraは、Twitterユーザーの「аэт」が開発した新しいツールで、これはInstagram Helperツールの代わりになる便利なツールのようです。この拡張機能ではアカウントを作成する必要があるため、多くの人が(私のように)このツールをやめてしまいました。このパイソンスクリプトはその穴を埋めるもので、フォロワーやフォローしているアカウント、相互フォロワー、そしてバイオグラフィーで得られるすべての情報をダウンロードすることができます。時間の都合上、私自身はこのツールをテストしていませんので、ご自身の責任でお使いください。また、Instagramのスクレイピング制限はかなり厳しいので、失っても構わないアカウントを使うようにしてください。

記事: Trace Labs Guide

osintme.comのブログでは、Trace LabsのCTFガイドを紹介しています。これまでにもいくつかのガイドはありましたが、誰かの個人的な経験やヒントを読むのはいつでもいいものです。CTFに関してだけでなく、一般的にも常に学ぶべきことがあります。準備、心構え、調査そのものに関する素晴らしいヒントです。今回も貴重な情報を得ることができました。

VAIOに楽天モバイルのSIMを入れてみる


以前購入したVAIOに、同じく依然申し込んだ楽天モバイルのSIMを入れてみた。

元々VAIO購入時に1年間有効のSIMがついていたので、バックアップがてらそれを使っていたのだが、1年の有効期限を迎え、PCから直接通信デバイスがあることが非常に便利に思えてきた。

一方、楽天モバイルは1年間無料キャンペーン時に申し込んだものだが、意外に使い勝手が良く、VAIO SIMの有効期限切れとともにVAIOに楽天モバイルのSIMを入れて使ってみることにした。

楽天モバイルのSIMをノートパソコンに突っ込んで使う事例はネットに出ていたが、意外にも全くつながらない。

んで、参考になったのは下記のサイト

楽天モバイルUN-LIMITをVAIO S13 LTE搭載モデルで使う方法アーカイブ

特に、下記部分

ーー

そういえば、以前SIMカードを入れ替えた際も、SIMを入れ替えても旧SIMカードの情報を保持して繋がらなかった事を思い出しました。

この手順で以前解決したので試しに行ってみました。

「旧SIMカードを挿入する」→「接続できている事を確認」→「シャットダウン」→「旧SIMカードを抜く」→「SIMなしで起動」→「シャットダウン」→「楽天モバイルSIMカードを挿入」→「起動」→ なぜか繋がる

ーー

実際は上記では復旧しなかったのだが、パソコンの設定に関しては意外にも上記のようなアナログな部分が残る。

そこでもう少し手順を増やしてやってみる

「旧SIMカードを挿入する」→「接続できている事を確認」→「SIMロック解除(VAIO SIMは容量制限があり、必要時にのみ接続するため、SIMにパスコードを設定していた)」→「APN削除」→「シャットダウン」→「旧SIMカードを抜く」→「SIMなしで起動」→「シャットダウン」→「楽天モバイルSIMカードを挿入」→「起動」

これで無事解決。

通信速度も悪くない。

続いてモバイルホットスポットの設定に進む。

ここで新たな問題発生。

設定を有効にしようとすると、「接続を共有するには、最初にこの機能を携帯データ通信プランに追加する必要があります。」と表示される。



日本語のマイクロソフト(マイクソ)コミュニティにも同じ問い合わせがあったが、クソみたいな回答しかなかった。

ネットの世界をいろいろ徘徊した結果、英語のマイクソのコミュティで関連する記事を見つけたが、どうもOSのかなり深いところをいじくる感じである。



 


Googleの新しいフライト検索ハック / Google’s New Flight Search Hack(転載)


Google’s New Flight Search Hack:

航空券を検索する際に、長年にわたって利用してきたのが、現在はGoogleが所有しているITA Matrixでした。これはデモサイトで、実際には予約はできませんでした(ただし、検索結果を利用して予約できるようにするハッキングされたツールはありました)。ITA Matrixは、希望する正確な運賃や経路、航空会社を指定して、旅行期間やその他の機能に基づいて絞り込むことができる、最も迅速で最も強力な検索方法です。

バックエンドは古く、メンテナンスもされていませんが、何人かのGooglerが新しい技術に移植して存続させています。これがその新しいサイトです。もちろん、ほとんどの人はGoogle Flightsを使うでしょう。


実録:ランサムウエアに感染するとこうなる


プリンターが止まらない 戦慄のランサムウエア 被害企業が語った|サイカルジャーナル|www3.nhk.or.jp/news/special/s…

プリンターから、突如、大量の紙が出てきた。止まらない。

紙には「あなたの会社のデータは盗まれ、暗号化された」という脅迫のメッセージ。

ことし8月、日本国内の企業で実際に発生した、身代金要求型のサイバー攻撃だ。

これ以上、被害を増やさないためにと、その企業が取材に応じてくれた。

いま何が起きているのか。

地方の産業を支える企業にサイバー攻撃

東北地方にある中堅の食品加工会社。

ことし8月、システム担当者の男性が、出勤して異変に気づいた。


パソコンの画面をクリックして、ファイルを調べると、取り引きデータのファイルがすべてLockbitというファイル名に書き換えられていた。


クリックしても「問題が発生しました」と表示され、開くことができない。


その直後、複数の部署から、次々と連絡が入った。

「取引などに使用する基幹システムが使えない」

対応に追われていた昼過ぎ、さらに異様な事態が起きた。

突然、プリンターが、大量の印刷物を吐き出し始めたのだ。


「あなたの会社のデータは盗まれ、暗号化された。このままだと闇サイトに公開されることになる」

ハッカー集団からの犯行声明。脅迫のメッセージだった。

印刷物は、社内のほかの拠点のプリンターからも一斉に出てきた。

システム担当者は、ただちに、プリンターの電源を切るよう、各部署に指示した。

プリンターは、ふだんインターネットには直接つながっていない、いわゆるイントラのプリンターだった。

この会社では、警察のアドバイスに従い、ハッカー集団とは、やりとりをしないことにした。

その後、更新していなかったソフトウエアを狙われた可能性があることが分かった。

システムは今も復旧していない。

取引の処理をすべて手入力で行うなど業務の負担は格段に増えている。

ちなみに2021年8月にランサムウエアの被害が発生した日本の組織は下記となる。

いずれかの組織が取材に応じてくれたのだろう。