【セキュリティ事件簿#2024-100】笛吹市商工会 サポート詐欺による不正アクセスに関する調査報告と再発防止策について 2024/4/15

 

当会では2月27日(火)にインターネット技術を悪用したサポート詐欺被害（以下「本インシデント」といいます。）を受け、外部専門機関の協力のもと、本インシデントに関する調査を進めてまいりました。

調査結果がまとまりましたので、当該調査結果および再発防止に向けた取り組みにつきましてご報告申し上げます。

なお、当会のシステムは現時点で復旧しており、今後も継続的にセキュリティ対策の強化を図ってまいります。

関係する皆様につきましては、ご心配とご迷惑をおかけいたしましたこと、深くお詫び申し上げます。　

【対応経緯】

■　2024年2月27日(火)

当会の職員がインターネット技術を悪用したサポート詐欺にあい、業務用パソコン１８台中２台に遠隔操作ソフトウエアがインストールされ、当会パソコンへの不正アクセスが行われたことが発覚しました。

同日、外部に接続しているネットワークを遮断いたしました。

■　2024年2月27日(火)・28日(水)

笛吹警察署及び山梨県商工会連合会など関係機関へ報告するとともに、外部専門機関に相談し、被害範囲の確認など初期対応いたしました。

■　2024年3月7日(木)

外部専門機関に不正アクセスされたパソコン２台を送り、調査を依頼いたしました。依頼した調査内容は以下の通りです。

　・不正アクセス被害を受けた可能性のある機器に対する安全性確認

　・被害を受けた機器の各種ログなどの解析を通した被害の詳細・範囲の分析

　・侵入経路の調査、及び安全性確認

■　2024年3月15日(金)

本インシデントに関するお知らせをホームページへ掲載いたしました。

また同日、全会員に事案発生の通知を発送いたしました。

■　2024年3月18日(月)

本インシデントに関する記者会見を開催いたしました。

■　2024年4月9日(火)

外部専門機関の調査が終了し、調査報告書を受領いたしました。

　　※　調査報告詳細は下記調査結果を参照

■　2024年4月下旬～

外部専門家の協力のもと、「セキュリティ対策委員会」を設置し、今後の再発防止策等について検討してまいります。

【調査結果】

外部専門機関による調査にて、プログラムの実行記録、追加されたファイル等、様々な角度から不正プログラムの蔵置及び攻撃実行有無を確認しましたが、不正プログラムの蔵置や攻撃が実行された記録は確認されませんでした。

不正アクセスされたパソコンに残された記録から情報流出について、すべての可能性を否定するには至りませんでしたが、本調査においては情報流出の形跡は確認できませんでした。

しかしながら、情報漏えいの可能性は否定できないことから、商工会として、会員からの情報等注意深く監視し、以下の再発防止策を徹底しつつ、引き続き有事の際に備えて参ります。

【再発防止策について】

今回の被害を受け、次の再発防止策を実施いたします。

　・職員への継続的な情報セキュリティへの意識向上に向けた教育の実施

　・職員間のコミュニケーションの向上を図る体制づくり

　・ネットバンクの運用体制の見直し（２段階認証の体制構築等）

　・商工会等におけるネットワーク等セキュリティ環境の整備及び向上

リリース文（アーカイブ）

【2024/3/15リリース分】 

 リリース文（アーカイブ）

【セキュリティ事件簿#2024-151】厚生労働省 令和5年5月31日に終了した「都道府県の外国人用相談窓口」サイトのURLについて

 

新型コロナウイルス感染症流行下において、外国人に対する新型コロナウイルス感染症に関する情報提供を強化するため、令和2年9月1日から令和5年5月31日まで、多言語対応の外国人専用相談窓口WEBサイトを開設しておりました。

当該サイトのURLとして、「https://www.covid19-info.jp」を利用していましたが、令和5年5月31日の委託業務終了とともに、当該URLの利用も既に終了しています。

令和5年6月1日以降、「covid19-info.jp」のドメインおよび当該ドメインを用いたwebやメールは、厚生労働省の事業とは全く関係ありませんので、ご注意ください。

なお、委託業務廃止後（令和5年6月1日以降）の「都道府県の外国人用相談窓口」の情報については、厚生労働省のホームページ（https://www.mhlw.go.jp/stf/newpage_33166.html）

に掲載していますので、こちらをご参照ください。

リリース文（アーカイブ）

OSINTニュース_v20240422

 

2024年4月1日に発生したイスラエルによるシリアのイラン大使館攻撃や、同4月14日に発生したイランによるイスラエルへのミサイル攻撃はとても残念な事件だ。

これ以上戦争の火種が広がらないことを祈りつつOSINT関連のニュースをお届けします。

今回のラインナップは以下の通り。

• Hacktoria Contracts
• Phishing Investigation
• Goosint Links
• Easy Dorks
• Wayback Analytics

Site: Hacktoria Contracts

Hacktoriaは、新しいウェブサイトと新しいビジネスモデルの開発に励んでいる。ここ数年、彼らは素晴らしいアートワークのエキサイティングなCTFをたくさん提供してくれた！そして、彼らが新しくなったサイトで頑張っている間に、最初の2つの "Hacktoria contracts "を公開しました！今こそラトビア・コネクションをチェックし、ジオロケーション、ハッキング、解読のスキルを練習し、バッジを獲得する時です！

Article: Phishing Investigation

この記事は興味深い読み物で、活発なフィッシング・キャンペーンを調査する方法を示しています。Manuel Botは、OSINT IndustriesやTelegram botのような外部サイトを利用して、電話番号やユーザーアカウントの情報を収集しています。というのも、使われているテクニックがすべて知られているわけではないので、情報を独自に検証できるとは限らないからです。しかし、調査員が目的を達成するために、最近のツールがどのようなことができるかを見るのは、本当に素晴らしいことです。

Site: Goosint Links

デジタルコンポーネントのオープンデータソースに関しては、このサイトが役に立ちます！たくさんのカテゴリーがあるので、ぜひチェックしてほしい。これはSOCMINTとは全く異なるものなので、何の知識もなしに飛びつかないように。SOCMINTが何であるか知っていて、何か必要なものがあるのなら、このサイトで利用可能なリソースの広範なリストをチェックしてください！ここ数ヶ月の間に多くの人がこのサイトをシェアしています

Tip: Easy Dorks

Manuel Botが、Cyber Sudoによる、ソーシャルメディア・プロフィールを素早く偵察するための素晴らしいヒントを紹介します。いくつかの簡単なグーグル検索によって、プロフィールが世に出回っているかどうかを素早く知ることができます。ソーシャル・メディアのプロフィールを見つけるための、エレガントで便利なGoogle/Bing/whatever検索を、ユーザー名や実名に基づいて考えてみてください！

Instagram:

site:http://instagram.com "username"

Facebook:

site:http://facebook.com "username" inurl:posts

Reddit：

site:reddit.com/user "username"

Tutorial: Wayback Analytics

Bellingcat のゲストライターJustin Clarkが、Wayback Machineを使ってGoogle Analyticsのコードを取得し、ウェブサイトを同じ管理者に接続する方法について記事を書いています。小さなPythonスクリプトを使うことで、この膨大なインターネットアーカイブに問い合わせ、特定の期間内に特定のGoogle Analyticsコードを使用したドメインのURLを取得することができます。これも本当に便利なツールだ！

出典：Week in OSINT #2024-04

【セキュリティ事件簿#2024-150】株式会社広済堂ビジネスサポート 不正アクセスによる迷惑メールの送付に関するお知らせとお詫び 2024/4/5

 

拝啓　時下ますますご清栄のこととお慶び申し上げます

平素は格別のお引き立てを賜り厚く御礼申し上げます

この度、弊社の運営する求人サイト「Workin.jp」のメールサーバーより、不特定多数の方に迷惑メールが送信された事実を確認いたしました。メールを受信された皆様には多大なるご迷惑とご心配をおかけいたしましたこと、心よりお詫び申し上げます。

今回の不正アクセスによる個人情報および機密情報の漏洩はなかったことを確認しております。

また、メールサーバーにおいては外部からのアクセスを遮断し、以降は迷惑メールの送付は行われておりません。

また、送信されたメールはフィッシングメールであることを確認しており、皆様に於かれましては、当該メールおよび添付ファイルの開封、URLのクリック等を行うことなく、削除していただきますよう、お願い申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-149】大阪府済生会富田林病院 個人情報漏洩の疑い事案について 2024/4/2

 

２０２４年２月２９日に、病院外において当院職員が個人で使用しておりますパソコンで、インターネット利用時に「サポート詐欺」に遭い、遠隔でパソコンを閲覧できるアプリケーションをダウンロードされ、結果として遠隔操作可能時間が20分程度発生するという事案が発生いたしました。

その為、パソコン内のデータ内容等を確認したところ、特定診療科の患者さまの一部個人情報（診療内容等）が保存されていることが判明いたしました。尚、個人の連絡先情報等は含まれておりませんでした。

これを受けまして、専門家によるパソコン及び該当データ検証および調査をいたしましたが、患者さまの情報へアクセスし抜き取られた等の被害に繋がる情報流出は確認されませんでした。該当患者さまには個別にご報告致しております。

当院と致しましては、現状情報の漏洩に至っていないと認識しておりますが、当該事案について厳粛に受け止め、国や大阪府警察本部サイバーセキュリティ指導対策課及び関係機関への報告を行うとともに対応について指導を受けております。

患者さま、関係する皆様におかれましてはご心配をお掛けすることとなり深くお詫び申し上げます。

今後、このようなことが無いよう再発防止に向け職員教育を徹底してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-148】会津若松市 イベント申込者個人情報の不適切な取扱いについて 2024/4/4

 

概要

市が支援・協力している市内大戸地区の地域運営組織「大戸まちづくり協議会」が主催するイベント「まるごと健康ウィーク！！inおおとvol.2」において、市職員がオンラインの申込フォームの設定を誤り、イベント申込者8名の個人情報が、一定期間公開されていた可能性があるという事案が発生しました。

関係者の方々に深くお詫びしますとともに、このようなことが起きないよう、個人情報の管理につきまして、改めて周知徹底を図ってまいります。

不適切な取扱いの内容

令和6年2月28日から3月7日までの期間に、イベントのオンライン申込フォームのアクセス制限の設定を誤って共有設定に変更してしまったため、それ以前に申し込みをいただいていた8名の方の個人情報（1月申込4名の住所、氏名、電話番号及びメールアドレスと、3月7日申込の１組4名の氏名、電話番号）が新たに申込しようと申込フォームにアクセスした方に閲覧可能な状態になっていたものです。

発生原因

今回の不適切な個人情報の取扱が発生した原因は、イベント周知用のチラシに記載したQRコードを誤って管理者用URLから作成してしまったこと、さらに、その後、誤ってアクセス制限を誰でも編集・閲覧可能な共有設定に変更してしまったことという2つのミスが重なったことによるものです。これにより、アクセス制限設定前は、管理者用URLから作成した二次元コードでアクセスしても個人情報を閲覧することはできませんでしたが、その後の誤ったアクセス制限設定後は、申込フォームにアクセスした方がすでに申し込まれていた個人情報を閲覧可能となってしまったものです。

対応状況

令和6年3月8日、外部関係者からの情報提供により申込フォームが編集可能となっていることを把握。情報漏えいの可能性もあることから、直ちに申込フォームを閉鎖し情報拡散を防ぐ処置を行い、事実確認と原因究明を行いました。事実確認の結果、少なくとも3月7日に申し込みを行おうとした1名の方が、先に申込されていた4名の方の個人情報を閲覧できたことを確認したところです。

また、申込内容が閲覧可能となってしまった方々への対応については、3月14日から15日までに事前に概要の連絡を行った上で、イベント当日の3月16日に直接お会いして事案の内容や原因など詳細説明と謝罪を行ったところです。

今後の対応

今後、このようなことを繰り返さないよう、オンライン申込フォームについて、より安全性の高いものに変更するとともに、情報セキュリティに関する職員の研修を行ってまいります。さらに、複数の職員で事前に確認を行うなど、チェック体制の充実を図ってまいります。

なお、職員に対して、個人情報の管理について、改めて周知徹底を図ってまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2024-147】東京高速道路株式会社 メールアカウント不正利用に関するお詫びとご報告 2024/4/10

 

2024年4月9日（火）、弊社のメールアカウントが不正に利用され、不特定多数に大量のメールを送信していることが発覚いたしました。

現在のところ、個人情報の流出などの被害は確認されておりません。

同メールアカウントは、使用を停止しており、同メールアカウントを使用していたパソコンについては、ウイルス等に感染している形跡はありませんでした。

この度は多大なるご心配をおかけして申し訳ございません。

従来よりセキュリティ管理を徹底しておりますが、より強固なセキュリティ管理とすべく、対策を徹底してまいります。

リリース文（アーカイブ）

バグバウンティやASM（Attack Surface Management）で使えそうなツール

1. 始めに

免責事項

本文の内容は、セキュリティに関する知識を広く共有する目的で書かれており、悪意のある行為を奨励するものではありません。

注意点

紹介されるツールの中には、ファジング（総当たり）による列挙や検証を行うものが含まれています。

総当たりを行うツールは、対象に負荷をかけたり、悪影響を与える可能性があるため、注意が必要です。

もし総当たりを行うツールを利用する場合は、対象の規約（スキャンツールの使用、レート制限など）をよく確認し、規約に従って慎重に実行してください。

ツールを実行する対象が「本番環境」であることを忘れずに、倫理的な観点を持って脆弱性を探しましょう。

2. Tools

ffuf

ffuf は、Web アプリケーションに対して使える高速なファジングツールです。

これにより、サブドメインやディレクトリ、パラメーターなどをワードリストを使って総当たりで列挙することができます。

ワードリストには、SecLists や Auto_Wordlists などを使うのが一般的かと思います。

例) ffuf でディレクトリパスを列挙する場合

$ ffuf -w SecLists/Discovery/Web-Content/raft-large-directories.txt -u https://<Domain>/FUZZ

注意点として、ffuf は総当たりによる列挙のため、十分に注意して利用してください。

関連：Webディレクトリ探索ツール三選： gobuster、ffuf、dirb

subfinder

subfinder は、指定したドメインのサブドメインを列挙するツールです。

subfinder のロジックは「パッシブサブドメイン列挙 (Passive Subdomain Enumeration)」で、外部のサービスから DNS をベースに列挙します。

これにより、バグバウンティの対象が「*.example.com」のようにサブドメインも含まれる場合は、サブドメインを列挙して調査対象のドメインを列挙することができます。

例) subfinder でサブドメインを列挙する場合

$ subfinder -d <Domain> -all

nuclei

nuclei は、シンプルなYAML のテンプレートをベースに対象を脆弱性スキャンするツールです。

YAML のテンプレートは、nuclei-templates にあり、自分で簡単にカスタムすることもできます。

これにより、対象のドメインを簡単に脆弱性スキャンをすることができます。

例) nuclei で脆弱性スキャンする場合

$ nuclei -u https://<Domain>

注意点として、nuclei は総当たりによるスキャンツールのため、十分に注意して利用してください。

naabu

naabu は、Go でできた高速なポートスキャンをするツールです。

これにより、対象の開いているポート番号を手軽に列挙することができます。

例) naabu でポートスキャンする場合

$ naabu -host <Domain>

getallurls (gau)

getallurls (gau) は、Wayback Machine などから既知の URL をパラメーター付きで列挙するツールです。

これにより、対象のドメインの URL を手軽に列挙することができ、どういうディレクトリやパラメーターがあるかを、対象の機能のイメージしやすい形で URL を取得することができます。

例) gau による URL を列挙する場合

$ gau <Domain>

xnLinkFinder

xnLinkFinder は、クローリングによって対象のエンドポイントやパラメーターを列挙するツールです。

これにより、対象のドメインにあるエンドポイントを列挙して、各機能のパスや API のエンドポイントを確認することができます。

例) xnLinkFinder でエンドポイントを列挙する場合

$ python3 xnLinkFinder.py -i <Domain> -sp https://<Domain> -sf <Domain> -v

注意点として、xnLinkFinder はクロールによるスキャンツールのため、十分に注意して利用してください。

dirseaech

dirseaech は、Web アプリケーションのディレクトリを列挙するツールです。

これにより、対象のドメインのディレクトリを列挙して、公開を意図していないディレクトリやファイルを確認することができます。

ちなみに、-e で拡張子リストを指定して実行することもできます。(例: -e js,php,jsp,asp)

例) dirseaech でディレクトリパスを列挙する場合

$ python3 dirsearch.py -u https://<Domain>

注意点として、dirseaech は総当たりによる列挙のため、十分に注意して利用してください。

Arjun

Arjun は、指定した URL 上にあるパラメーターを列挙するツールです。

これにより、対象のドメインのディレクトリで、非公開なパラメーターを列挙して、Reflected XSS や SQL Injection などができるか検証することができます。

例) Arjun でパラメーターを列挙する場合

$ arjun -u "https://<Domain>/<Path>"

注意点として、Arjun は総当たりによる列挙のため、十分に注意して利用してください。

byp4xx

byp4xx は、「403 Forbidden」などを回避できるかを検証するツールです。

これにより、閲覧禁止のディレクトリやファイルに対して、アクセス制限の回避ができるか手軽に検証することができます。

例) byp4xx で 403 な URL を回避できるか検証する場合

$ byp4xx https://<Domain>/<Path>

注意点として、byp4xx は総当たりによる検証のため、十分に注意して利用してください。

3. その他

Google Dorks

Google Dorks (Google Hacking)とは、Google 検索のオプションである高度な検索演算子を使用して、特定の条件で情報を効率よく取得する手法です。

関連：使えるGoogle Dorks5選

出典：バグバウンティで使えるおすすめのツール10選