2021年9月1日~15日 サイバー攻撃のタイムライン / 1-15 September 2021 Cyber Attacks Timeline(転載)


1-15 September 2021 Cyber Attacks Timeline:

秋が始まり、私はついに2021年9月の最初のタイムラインを公開することができました。今年の活動の最高潮にはまだ遠いものの、今回のタイムラインでは93件のイベントを収集しており、前回のタイムラインの78件と比較して増加しています。ランサムウェアは引き続き脅威の中心となっており、その割合は前期とほぼ同じで(25.8% vs 24.4%(93件中24件))、新たに有名な被害者が歓迎されない被害者リストに加わりました。

今年の特徴であり、終わりがないと思われる傾向は、注目度の高い脆弱性が悪用されることです。Confluence(CVE-2021-26084)、Zoho(CVE-2021-40539)、Microsoft MSHTMLレンダリングエンジン(CVE-2021-40444)のソフトウェアの欠陥を一斉に悪用した複数のイベントが発生していることがわかりますが、古いCVE-2018-13379を通じて入手した50万件のVPN認証情報のダンプは考慮されていません。

興味深いことに、いくつかの大規模な情報漏洩も含まれています。その中でも最悪なのは、Anonymous集団が物議を醸したウェブホスティングプロバイダーであるEpikから1,500万件の記録を漏洩させたことです。その他にも、イスラエルやフランスでも興味深い出来事がありました。CITY4Uのウェブサイトからイスラエル人700万人の個人情報が流出したことや、パリでCOVID-19(武漢ウイルス)テストを受けた約140万人の個人情報が流出したことなどです。

また、Mustang Pandaによる少なくとも10のインドネシア政府省庁を対象とした新たなキャンペーンや、上記のZohoの脆弱性を悪用した一部のAPTアクターなど、興味深い出来事もありました。

日本関連は、オリンパスがBlackMatterランサムウェアの攻撃を受け、EMEA(ヨーロッパ、中東、アフリカ)の一部のITシステムに影響を受けました。

オマーン・エア(WY)がワンワールド加盟を計画中 / Oman Air approaches Qatar Airways for guidance with oneworld alliance membership(転載)


オマーン・エア(WY)がワンワールド加盟を計画中  (魚拓)

Oman Air approaches Qatar Airways for guidance with oneworld alliance membership (魚拓)

2021年9月現在、ワンワールドには中東の航空会社が2つあります。

・カタール航空(QR)

・ロイヤルヨルダン航空(RJ)

航空会社のアライアンスは、旅をより良いものにするためのものです。 

1つの航空会社ではなく、アライアンス加盟の複数航空会社の特典やマイレージの獲得を多くの地域で、楽しむことができるようになります。 

先日、ワンワールドにアラスカ航空(AS)が加盟したばかりですが、今度はもう一つ、中東に新たなパートナーとなりうる航空会社が現れました。 

それは、オマーン・エア(WY)。

カタールの新聞によると、オマーン航空(WY)は、カタール航空(QR)のCEOに、申請書をまとめるにあたっての「指導」を打診したと述べています。 

このようなプロセスには通常1年以上かかりますが、QRは現在、ワンワールドの中で非常に大きな影響力を持っています。

(QRは、ブリティッシュ・エアウェイズ(BA)やキャセイパシフィック航空(CX)など、ワンワールド加盟航空会社3社に直接・間接的に出資しています) 

現時点ではまだ、加盟が確実、という訳ではなさそうです。 

ワンワールドは、日本航空(JL)、キャセイパシフィック航空(CX)、マレーシア航空(MH)、カンタス航空(QF)など、アジア太平洋地域を非常によくカバーしています。 

また、北米やヨーロッパにおいても、アメリカン航空(AA)、ブリティッシュ・エアウェイズ(BA)、イベリア航空(IB)、S7航空(S7)などがあります。 

WYはQRのように知られている航空会社ではありませんが、ロンドン(LHR)、パリ(CDG)、バンコク(BKK)、シンガポール(SIN)などへ就航しており、いずれも素晴らしい座席、空港施設、サービスを提供しています。

WYは34都市に就航しており、2022年には44都市に拡大するとしています。 

保有機は47機で、32機のジェット機を運航しています。 

WYがワンワールドに加盟すれば、1つのアライアンスに中東の航空会社が3つ存在することになり、1つも中東の航空会社がないスターアライアンスに対して優位な地位を築くことができるでしょう。 

ちなみに、スカイチームには 

・サウディア(SV)

・ミドルイースト航空(ME) 

という2つの航空会社が加盟しています。 

WYの保有機材について、長距離路線ではボーイング B787-8、B787-9、エアバス A330-200、-300を、短距離路線ではボーイング B737-800、B737-900、B737 MAX 8を使用しています。 

長距離路線においてはエアバスA330-300およびボーイング B787-9でファーストクラスを提供しています。 

WYの機内食はイスラム教の食事規定に従っていますが、中東以外の地域ではアルコールを提供しています(ただし、アルコールが禁止されている国への路線やラマダン期間中は提供していません)。

オマーンの首都・マスカットとその周辺地域は、近くの山にある素晴らしい展望台、マスカットの美しいビーチ、素晴らしい砂漠のツアーなど、中東の人氣スポットの一つとなっています。 

カタール航空が2021年スカイトラックス・アワードで1位を受賞 / Qatar Airways cleans up at the 2021 Skytrax awards(転載)~日系はANAが3位、JALが5位、ピーチが70位~

2021年のスカイトラックス・エアライン・アワードでは、カタール航空がまたしても大成功を収めました。

良くも悪くも、スカイトラックス・エアライン・アワードは業界の基準とされています。スカイトラックス社の航空会社スターランキングシステムは現実味が薄いですが、年間アワードは世界最大の航空会社乗客満足度調査によって投票されています。

この賞は1999年から実施されています。今回は、2019年9月から2021年7月までの長期にわたる旅客調査を対象としています。

カタール航空の受賞内容:

  • エアライン・オブ・ザ・イヤー
  • 世界のベストビジネスクラス
  • 世界最高のビジネスクラス航空会社のラウンジ
  • 世界最高のビジネスクラス航空座席
  • 世界で最も優れたビジネスクラスの機内食
  • 中東のベストエアライン

多くの人は、これは現実を正しく反映していると考えるでしょう。エアライン・オブ・ザ・イヤーは受賞に値するもので、今回で6回目の受賞となります。カタール航空は、パンデミックが発生しても、財務的な問題を全く考慮せず、できる限り多くの国にサービスを提供し続けることを決定しました。一時は世界最大の国際航空会社となっていました。

ドーハのハマド国際空港は、「Skytrax 2021 World Airport Awards」でも「World's Best Airport」のタイトルを獲得しました。

また、航空連合のワンワールドが「ベスト・エアライン・アライアンス」を受賞しました。

以下、2021年の世界の航空会社トップ100です。

  1. Qatar Airways
  2. Singapore Airlines
  3. ANA All Nippon Airways
  4. Emirates
  5. Japan Airlines
  6. Cathay Pacific Airways
  7. EVA Air
  8. Qantas Airways
  9. Hainan Airlines
  10. Air France
  11. British Airways
  12. China Southern Airlines
  13. Lufthansa
  14. Aeroflot
  15. Garuda Indonesia
  16. KLM Royal Dutch Airlines
  17. Turkish Airlines
  18. Swiss International Air Lines
  19. Bangkok Airways
  20. Air New Zealand
  21. Etihad Airways
  22. Korean Air
  23. Thai Airways
  24. Virgin Atlantic
  25. Asiana Airlines
  26. Saudi Arabian Airlines
  27. Austrian Airlines
  28. Vistara
  29. AirAsia
  30. Delta Air Lines
  31. Finnair
  32. JetBlue Airways
  33. Air Canada
  34. Virgin Australia
  35. Iberia
  36. Aegean Airlines
  37. Ethiopian Airlines
  38. China Airlines
  39. Southwest Airlines
  40. Scoot
  41. Vietnam Airlines
  42. Oman Air
  43. Air Astana
  44. Gulf Air
  45. LATAM
  46. Aer Lingus
  47. Azul Airlines
  48. Vueling Airlines
  49. IndiGo
  50. EasyJet
  51. Malaysia Airlines
  52. Philippine Airlines
  53. WestJet
  54. Fiji Airways
  55. Azerbaijan Airlines
  56. Jetstar Airways
  57. Ryanair
  58. Royal Brunei Airlines
  59. Air Transat
  60. United Airlines ★超絶不満。ランク外だろ!(怒)
  61. Alaska Airlines
  62. SAS Scandinavian
  63. Hong Kong Airlines
  64. Juneyao Airlines
  65. Jetstar Asia
  66. Flynas
  67. South African Airways
  68. LOT Polish
  69. Brussels Airlines
  70. Peach
  71. S7 Airlines
  72. Eurowings
  73. TUI Airways
  74. Hawaiian Airlines
  75. Norwegian
  76. American Airlines
  77. TAP Portugal
  78. China Eastern Airlines
  79. Kenya Airways
  80. Air Malta
  81. Royal Air Maroc
  82. Air Mauritius
  83. Air Canada rouge
  84. Xiamen Airlines
  85. Copa Airlines
  86. Bamboo Airways
  87. Jet2.com
  88. SpiceJet
  89. JetSmart
  90. Spring Airlines
  91. American Eagle
  92. StarFlyer
  93. Air China
  94. Porter Airlines
  95. Air Arabia
  96. Wizz Air
  97. Royal Jordanian Airlines
  98. Avianca
  99. STARLUX Airlines
  100. Citilink

38億件のクラブハウスとFacebookユーザーの記録がオンラインで販売される / 3.8 Billion Clubhouse and Facebook User Records are Being Sold Online(転載)


3.8 Billion Clubhouse and Facebook User Records are Being Sold Online:

 サイバーニュースによると、クラブハウスとフェイスブックのユーザー約38億人の記録を持つデータベースが、大手ハッカーフォーラムでオークションにかけられているという。出品者は、データベース一式に10万ドルを要求しているが、低コストのために小さなキャッシュに分割する用意があると報じられている。

これらの記録には、電話番号、住所、氏名などの機密情報が含まれています。これらの情報は、2021年7月24日にクラブハウスのシステムがハッキングされ、その際に入手されたものと思われます。しかし、被害はクラブハウスのユーザーだけではありません。

2021年9月4日の投稿によると、データベースには、クラブハウスのアカウントを持っていないユーザーのプロフィールも含まれています。その電話番号は、クラブハウスが以前、利用者に連絡先リスト全体を共有することを要求していた結果、クラブハウスのシステムに吸い上げられ、吸い上げたクラブハウスのシステムがハッキングされることでハッカーの手に渡った可能性があります。

クラブハウスでは、ユーザーが連絡先をアプリと同期する必要があるため、同社のサーバーがハッキングされると、ユーザーの携帯電話の連絡先も明らかになってしまいます。その結果、クラブハウスのIDとパスワードを持っていない人も、自分のデータがハッカーサイトにさらされ、危険にさらされる可能性が出ています。FacebookのユーザーIDがどのようにして混入したのかはまだ不明です。

スクレイピングされたとされるクラブハウスの電話番号は、ハッカーフォーラム上で「悪いサンプル」というレッテルを貼られ、スキャマーの興味を引くことができませんでした。

しかし、サイバーニュース社の上級情報セキュリティ専門家であるMantas Sasnauskas氏によると、これらは「詐欺師にとっては金鉱となる可能性がある」とのことです。詐欺師たちは、ハッキングされた電話番号の持ち主について、ユーザー名、電話番号の接尾辞に基づく所在地、クラブハウスのネットワークサイズ、Facebookのプロフィールなど、より多くの情報にアクセスできるようになるという。

これにより、詐欺師は、被害者のFacebookアカウントから得た情報をもとに、地域に密着した大規模な詐欺キャンペーンを展開したり、カスタマイズされた詐欺を行ったりすることが容易になります。「人はソーシャルメディアで情報を過剰に発信する傾向があります。詐欺師は、Facebookアカウントから得た情報を使って電話をかけるなど、詐欺を成功させるためにどのようなベクトルを採用すべきか、洞察を得ることができます」とSasnauskasは述べています。

システム会社から「故障は4千年に1度」と説明されて鵜呑みにするのは、みすぼらしい銀行がすることです。。。(転載)~ITベンダーの言うことを鵜呑みにしないのは基本中の基本~



システム会社から「故障は4千年に1度」と説明…みずほ銀、他の大手行とは異なり4社に委託 : 経済 : ニュース : 読売新聞オンライン yomiuri.co.jp/economy/202110…

みずほ銀行と、持ち株会社のみずほフィナンシャルグループは8日、8~9月にあったシステム障害の調査結果を金融庁に報告した。店頭窓口の取引が停止した障害は、機器故障の予兆を見落としていたことが判明した。機器の保守点検や障害時の復旧体制を見直す。

みずほ銀の石井哲・副頭取が報告後に記者会見し、8~9月に起きた店舗窓口の取引停止や、ATM(現金自動預け払い機)のトラブルといった4件について、原因を説明した。

全国の店舗で窓口取引が停止した8月20日の障害は、機器が故障した後に予備機の故障も重なったのが原因だった。機器は約6年前に導入し、みずほは故障を想定していなかった。みずほは「システム会社から、(二重の)故障が起きる確率は4000年に1度と説明された」と強調した。ただ、同じ型番の機器で故障率は今年度2倍に増えているデータがあったが、みずほは故障の予兆としてとらえていなかった。

みずほによると、今年発生した8回の障害のうち、8月の障害のほか、外貨建て送金やATMのトラブルの計5件は、機器故障に起因するものだった。復旧に15時間を要した障害もあり、みずほは再発防止策として、機器故障の予兆把握や、障害時の早期復旧のため、システム会社からの出向者を増やすなど体制を整備する。

みずほは2019年に中枢システム「MINORI(みのり)」を稼働した。他の大手行はいずれもシステム会社1社と組んでいるが、みのりは4社に委託しており、体制の問題が指摘されている。石井氏は「みのりの安定稼働を維持・継続するための体制ができていなかった。システム会社にも入ってもらい、我々の能力を高める必要がある」と述べた。

金融庁は9月、みずほに対し、年内に計画するシステム更新を事前に報告させる業務改善命令を出したが、一連の障害原因を踏まえ、みずほにガバナンス(企業統治)上の課題がないかどうか判断する。

VPNの選択に関するガイドライン / NSA, CISA Issue Guidelines for Selecting and Securing VPNs(転載)

Selecting and Hardening Remote Access VPN Solutions

仮想プライベートネットワーク(VPN)は、ユーザーが安全なトンネルを介して企業ネットワークにリモートで接続することを可能にします。このトンネルを介して、ユーザーは、電子メール/コラボレーション・ツール、機密文書リポジトリ、境界線のファイアウォールやゲートウェイなど、通常はオンサイト・ユーザーに提供される内部サービスや保護機能を利用することができます。リモートアクセスVPNサーバは、保護されたネットワークへのエントリーポイントであるため、敵対者の標的となります。このNSA-CISA合同情報シートでは、以下のガイダンスを提供しています。

既知の脆弱性を迅速に修正し、強力な認証情報を使用するためのベストプラクティスに従った実績のある、信頼できるベンダーの標準ベースのVPNを選択すること。

VPNサーバーの攻撃対象を以下の方法で削減することにより、VPNの危険性を低減します。

強力な暗号化と認証の設定

厳密に必要な機能のみを実行する

VPNを利用したアクセスの保護と監視

アクティブ・エクスプロージョン

複数の国家のAdvanced Persistent Threat(APT)アクターが、公開されているCVE(Common Vulnerabilities and Exposures)を悪用して、脆弱なVPN機器を危険にさらしています。場合によっては、悪用コードがオンラインで自由に入手できることもあります。これらの公開されたCVEを悪用することで、悪意のある行為者は以下のことが可能になります。

  • クレデンシャルハーベスティング

  • VPNデバイス上での任意のコードのリモートコード実行

  • 暗号化されたトラフィック・セッションの暗号的弱体化

  • 暗号化されたトラフィックセッションの乗っ取り

  • デバイスからの機密データ(設定、認証情報、鍵など)の恣意的な読み取り

これらの影響は、通常、VPNを介したさらなる悪意のあるアクセスにつながり、企業のネットワークやIDインフラ、場合によっては別のサービスまでもが大規模に侵害されることになります。

リモートアクセスVPNを選択する際の注意点

リモートアクセスVPNを選択する際には、以下の推奨事項を考慮してください。

  • SSL/TLS(Secure Sockets Layer/Transport Layer Security)VPNと呼ばれる製品を含む、標準外のVPNソリューションを選択することは避けてください。これらの製品には、TLS を介してトラフィックをトンネリングするためのカスタムおよび非標準の機能が含まれています。カスタムまたは非標準の機能を使用すると、製品が使用するTLSパラメータが安全であっても、追加のリスクが発生します。NSAとCISAは、標準化されたVPNのセキュリティ要件に対して検証された、標準化されたインターネット鍵交換/インターネット・プロトコル・セキュリティ(IKE/IPsec)VPNを推奨しています。

    • 有効なVPN(Conformance Claim: EP_VPN_GWまたはMOD_VPNGW)については、米国情報保証パートナーシップ(NIAP)の製品準拠リスト(PCL)を参照してください。NIAP認定機器は、明確に定義されたセキュリティ機能と要件に対して、サードパーティの研究所で厳密にテストされています。プロプライエタリなプロトコルは、セキュリティ要件が定義されている場合とされていない場合があり、標準ベースのプロトコルほどの分析とテストが行われていない場合があります。

  • 製品がIKE/IPsec VPNをサポートしているかどうか、ベンダーのドキュメントをよく読んでください。製品によっては、VPNトンネルを構築する際にサポートしているプロトコルについての包括的な情報がドキュメントに記載されていない場合があります。準拠している規格が明示されていない製品や、独自の方法でVPNを構築していると主張する製品は避けてください。

  • IKE/IPsec VPNを確立できない場合に、製品がSSL/TLSを独自のVPNプロトコルまたは非標準ベースのVPNプロトコルで使用しているかどうかを確認する。IKE/IPsecの交渉が失敗する状況を理解すること。可能であれば、SSL/TLSのプロプライエタリまたは非標準ベースのVPNフォールバックを無効にする。

  • 潜在的な製品がFIPSで検証された暗号モジュールを使用し、承認された暗号アルゴリズムのみを使用するように構成できることを確認する。

  • 製品が強力な認証資格とプロトコルをサポートし、弱い認証資格とプロトコルがデフォルトで無効になっていることを確認する。多要素認証の使用を計画し、使用される認証情報をサポートする製品を選択する。

  • 定期的なソフトウェア・アップデートによる製品のサポートや、既知の脆弱性を迅速に修正してきた実績のあるベンダーを調査し、選択すること。製品の予想使用期間全体をカバーするサポート期間を確保し、製品が寿命になる前に交換する。

  • 製品のソフトウェア部品表(Software Bill of Materials: SBOM)を要求し、検証することで、基盤となるソフトウェアコンポーネントのリスクを判断することができる。多くのベンダーは、既知の脆弱性を含む古いバージョンのオープンソースソフトウェアを製品に使用しているため、このリスクを管理することは非常に重要です。

  • 製品が自身のコードの完全性を検証する強固な方法を持ち、定期的にコード検証を行っていることを確認してください。ネットワークの境界にあるセキュリティ・デバイスとして、VPN ゲートウェイは敵対者にとって人気のあるターゲットです。デバイスの完全性を検証する機能がなければ、侵入を検知することは不可能な場合が多いのです。

  • 製品に以下のような侵入に対する保護機能が含まれていることを確認する。

    • 署名入りバイナリやファームウェアイメージの使用

    • 実行前にブートコードを検証するセキュアブートプロセス

    • ランタイムプロセスおよびファイルの整合性検証

  • 自分で製品を検査できないリスクを理解すること。VPNベンダーの中には、タイムリーなインシデント対応を妨げるような方法でデバイスを暗号化しているところがあります。製品の所有者がデバイスを完全に検査することができない製品は、追加のリスクをもたらし、結果的にメーカーが製品サポートのチョークポイントとなる可能性があります。インシデント対応が遅れると、洗練されたアクターが自分の痕跡を隠すために必要な時間を確保することができます。

  • 組織のリスク許容度に照らし合わせて、候補となるデバイスの追加機能を検討する。リモートでアクセスできる管理ページやウェブベースの内部サービスへのアクセスなど、多くの追加機能は便利ですが、こうした機能は製品の攻撃対象を増やし、敵対者に狙われて悪用されることが多いため、リスクを伴います。VPN のコア機能の保護に重点を置き、多くの追加機能を持たない製品を選択するか、最低でも追加機能が無効化できること、できればデフォルトで無効化されていることを確認してください。

アクティブハードニング

選択したVPNソリューションを導入した後、以下のアクションを実行することで、VPNを危険に対してさらに強固にすることができます。

承認された強力な暗号プロトコル、アルゴリズム、および認証情報のみを要求する。

  • 国家安全保障システム(NSS)は、NSAが承認した商用国家安全保障アルゴリズム(CNSA)スイートのアルゴリズムを使用することが求められます(CNSSP(Committee on National Security Systems Policy)15の付属書B参照)。NSS以外の米国政府のシステムは、NSSを保護するために承認されたアルゴリズムを含む、NISTが指定するアルゴリズムを使用する必要があります。NSAとCISAは、他のシステムでもCNSAスイートに含まれる暗号アルゴリズムを使用することを推奨しています。
  • IKE/IPsecを使用するようにVPNを構成し、可能であればSSL/TLS VPN機能とフォールバック・オプションを無効にする。

  • サーバーの認証には、信頼できるサーバー証明書を使用し、定期的に(例えば1年ごとに)更新すること。自己署名証明書やワイルドカード証明書は、それぞれ信頼すべきではない、または過度に広い範囲で信頼されているため、使用を控えてください。
  • 利用可能な場合は、クライアント証明書認証を使用します。VPNソリューションの中には、スマートカードなどを使用してVPNにアクセスしようとするリモートクライアントのために、パスワードを使用するよりも強力な認証形式であるクライアント証明書認証をサポートしているものがあります。サポートされている場合は、クライアント証明書認証を使用して、有効で信頼できる証明書を提示していないクライアントからの接続を VPN が禁止するようにします。
    • クライアント証明書認証が利用できない場合は、サポートされている他の形態の多要素認証を使用して、悪意のある行為者が漏洩したパスワードで認証するのを防ぎます。
リモートアクセスVPNの攻撃対象を減らす。
  • 急速に悪用されることの多い(時には24時間以内に)既知の脆弱性を緩和するために、パッチやアップデートを直ちに適用する。

    • すべてのベンダーのパッチガイダンスに明示的に従う。例えば、ベンダーが定期的なパッチガイダンスの一環として、デバイスに関連するすべてのパスワードを変更することを推奨している場合、組織は例外なく、インフラ内のすべてのパスワードを変更する準備をしなければなりません。
    • メジャーアップデートを行う場合や、悪用されていることがわかっている脆弱性のあるバージョンからアップデートする場合は、以下の点を考慮してください。
      • VPNユーザー、管理者、サービスアカウントの認証情報の更新。
      • VPNサーバーの鍵や証明書を失効させたり、新たに生成したりすることで、VPN接続情報をユーザーに再配布する必要がある場合があります。
      • アカウントを見直し、すべてのアカウントがリモートアクセスに期待され、必要とされていることを確認する。異常なアカウントは侵害の可能性を示します。
  • VPN装置への外部からのアクセスをポートやプロトコルで制限する。
    • IKE/IPsec VPNでは、UDPポート500および4500、Encapsulating Security Payloadのみを許可します。

    • SSL/TLS VPNの場合は、TCPポート443などの必要なポートやプロトコルのみを許可する。

  • 可能であれば、既知のVPNピアのIPアドレスを許可リストに入れ、それ以外をブロックします。注意:未知のピアIPアドレスがVPNにアクセスすることが予想される場合、これは難しいかもしれまん。

2021年8月16日~31日 サイバー攻撃のタイムライン / 16-31 August 2021 Cyber Attacks Timeline(転載)



お待たせしました。2021年8月の2回目のタイムラインが発表されました。夏の終わりに発生した攻撃は78件で、過去12ヶ月間の最小値に相当し、減少したようです。ランサムウェアは引き続き脅威の中心となっていますが、その割合は24.4%(78件中19件)で、前週の39.6%とは対照的でした。この期間、より多くのランサムウェアの運用が停止したこと(Ragnarokなど)、多くの地域で学校が休校になったこと(公的な活動が鈍化したこと)、そして、もしかしたら悪党たちが夏の間は休むことにしたのかもしれません。

Fetch.ai(260万ドル相当が消失)、Liquid(9,000万ドル相当)、Cream Finance(2,900万ドル相当)を狙った数百万規模の攻撃が新たに記録されました。

脆弱性は世界中の組織を悩ませ続け、サイバー犯罪者はそれを悪用し続けています。ProxyShell(CVE-2021-34473、CVE-2021-34523、CVE-2021-3120)は依然としてトップターゲットのひとつですが、ProxyToken(CVE-2021-33766)などの新しい脆弱性も加わり、Confluenceサーバを標的とした新しい脆弱性(CVE-2021-26084)はその一例です。

サイバースパイの分野でも、記録されたイベントの数がこれまでの数ヶ月間に比べてかなり少なく、異常に落ち着いています。APT37はかなり活発に活動しているようだ。このタイムラインには、Confucius、Siamesekitten、SparklingGoblinが行ったキャンペーンも含まれています。

イランでは「Adalat Ali(Ali's Justice)」と呼ばれるハクティビストグループがエビン刑務所の内部CCTVシステムに侵入し、ベラルーシでは「Cyber Partisans」が政府の暴露文書をリークし始めました。


日本関連は2件あります。



ランサムウェアCONTIについてのアラート / Alert (AA21-265A):Conti Ransomware(転載)

 

Alert (AA21-265A)

要約

注:このアラートは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9 を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。

Cybersecurity and Infrastructure Security Agency(CISA)とFederal Bureau of Investigation(FBI)は、米国および国際的な組織を対象とした400件以上の攻撃において、ランサムウェア「Conti」の使用が増加していることを確認しました。(FBI Flash: Conti Ransomware Attacks Impact Healthcare and First Responder Networksを参照)。典型的なContiランサムウェアの攻撃では、悪意のあるサイバーアクターがファイルを盗み、サーバーやワークステーションを暗号化して、身代金の支払いを要求します。

Contiランサムウェアからシステムを保護するために、CISA、FBI、NSAは、本アドバイザリに記載されている緩和策を実施することを推奨します。この緩和策には、多要素認証(MFA)の義務付け、ネットワークセグメンテーションの実施、オペレーティングシステムとソフトウェアの最新化などが含まれます。

技術詳細

Contiは、RaaS(ransomware-as-a-service)モデルのランサムウェアの亜種と考えられていますが、その構造には、一般的なアフィリエイトモデルとは異なるバリエーションがあります。Contiの開発者は、アフィリエイトのサイバーアクターが使用する収益の一定割合ではなく、ランサムウェアのデプロイ担当者に賃金を支払い、攻撃が成功した場合には収益の一部を受け取っていると考えられます。

コンティのアクターは、多くの場合、ネットワークへの最初のアクセス[TA0001]を通じて得ることができます。

  • 悪意のある添付ファイル[T1566.001]や悪意のあるリンク[T1566.002]を含むカスタマイズされた電子メールを使用したスピアフィッシングキャンペーン。

    • 悪意のあるWordの添付ファイルには、TrickBotやIcedID、Cobalt Strikeなどの他のマルウェアをダウンロードしたり、ドロップしたりするためのスクリプトが埋め込まれていることが多く、最終的にはランサムウェア「Conti」を展開することを目的とした、横方向への移動や攻撃ライフサイクルの後半の段階で使用されます。

  • リモートデスクトッププロトコル(RDP)の認証情報の盗難または脆弱性[T1078]
  • 電話(ソーシャルエンジニアリング)
  • 検索エンジン最適化で宣伝された偽物のソフトウェア。
  • その他のマルウェア配布ネットワーク(ZLoaderなど)、等
  • 外部資産に共通する脆弱性

実行段階[TA0002]では、ウイルス対策エンジンが作動するリスクを減らすために、より攻撃的なペイロードを使用する前にgetuidペイロードを実行します。CISAとFBIは、Contiのアクターが侵入テストツールであるRouter Scanを使用して、ウェブ・インターフェースを備えたルータ、カメラ、ネットワーク接続ストレージ・デバイスを悪意を持ってスキャンし、ブルートフォース攻撃[T1110]を行っているのを確認しています。さらに、アクターはKerberos攻撃[T1558.003]を使用してAdminハッシュを取得し、ブルートフォース攻撃を行おうとしています。

Contiのアクターは、被害者のネットワーク上で永続性を維持するために、正規のリモート・モニタリング・管理ソフトウェアやリモート・デスクトップ・ソフトウェアをバックドアとして悪用することが知られています[TA0003]。アクターは、被害者のネットワーク上ですでに利用可能なツールを使用し、必要に応じてWindows SysinternalsやMimikatzなどのツールを追加して、ユーザーのハッシュや平文の認証情報を取得します。これにより、アクターはドメイン内で特権を拡大したり[TA0004]、その他のポストエクスプロイトやラテラル・ムーブメント[TA0008]のタスクを実行することができます。いくつかのケースでは、行為者は侵入後のタスクを実行するためにTrickBotマルウェアを使用します。

最近流出した脅威アクターの「プレイブック」によると、Conti社のアクターは、以下のようなパッチが適用されていない資産の脆弱性を利用して、特権を拡大し[TA0004]、被害者のネットワークを横に移動する[TA0008]こともあります。

  • 2017年 Microsoft Windows Server Message Block 1.0サーバの脆弱性。
  • Windows Print spooler サービスにおける「PrintNightmare」の脆弱性(CVE-2021-34527)
  • Microsoft Active Directory Domain Controller システムにおける「Zerologon」の脆弱性(CVE-2020-1472)。

このプレイブックと一緒に流出した資料には、コンティ社のアクターがコマンド&コントロール(C2)サーバーとの通信に使用していた4つのCobalt Strikeサーバーのインターネットプロトコル(IP)アドレスが記載されています。

  • 162.244.80[.]235
  • 85.93.88[.]165
  • 185.141.63[.]120
  • 82.118.21[.]1

CISAとFBIは、Contiのアクターが被害者ごとに異なるCobalt StrikeサーバのIPアドレスを使用しているのを確認しています。

Contiは、オープンソースのコマンドライン・プログラム「Rclone」を使用してデータを流出させます[TA0010]。また、被害者の機密データを盗み出して暗号化した後、暗号化されたデータを公開するために身代金の支払いを要求し[T1486]、身代金が支払われない場合はデータを公開すると被害者を脅すという二重の恐喝手法を採用しています。

MITRE ATT&CKテクニック

Contiランサムウェアは、表1に示したATT&CK技術を使用しています。

Table 1: Conti ATT&CK techniques for enterprise
Initial Access
Technique TitleIDUse
Valid AccountsT1078Conti actors have been observed gaining unauthorized access to victim networks through stolen Remote Desktop Protocol (RDP) credentials. 
Phishing: Spearphishing Attachment T1566.001Conti ransomware can be delivered using TrickBot malware, which is known to use an email with an Excel sheet containing a malicious macro to deploy the malware.
Phishing: Spearphishing Link T1566.002Conti ransomware can be delivered using TrickBot, which has been delivered via malicious links in phishing emails.
Execution
Technique TitleIDUse
Command and Scripting Interpreter: Windows Command Shell T1059.003Conti ransomware can utilize command line options to allow an attacker control over how it scans and encrypts files.
Native Application Programming Interface (API) T1106Conti ransomware has used API calls during execution.
Persistence
Technique TitleIDUse
Valid AccountsT1078Conti actors have been observed gaining unauthorized access to victim networks through stolen RDP credentials. 
External Remote ServicesT1133Adversaries may leverage external-facing remote services to initially access and/or persist within a network. Remote services such as virtual private networks (VPNs), Citrix, and other access mechanisms allow users to connect to internal enterprise network resources from external locations. There are often remote service gateways that manage connections and credential authentication for these services. Services such as Windows Remote Management can also be used externally.
Privilege Escalation
Technique TitleIDUse
Process Injection: Dynamic-link Library InjectionT1055.001Conti ransomware has loaded an encrypted dynamic-link library (DLL) into memory and then executes it. 
Defense Evasion
Technique TitleIDUse
Obfuscated Files or Information T1027Conti ransomware has encrypted DLLs and used obfuscation to hide Windows API calls.
Process Injection: Dynamic-link Library InjectionT1055.001Conti ransomware has loaded an encrypted DLL into memory and then executes it.
Deobfuscate/Decode Files or Information T1140Conti ransomware has decrypted its payload using a hardcoded AES-256 key.
Credential Access
Technique TitleIDUse
Brute ForceT1110Conti actors use legitimate tools to maliciously scan for and brute force routers, cameras, and network-attached storage devices with web interfaces.
Steal or Forge Kerberos Tickets: KerberoastingT1558.003Conti actors use Kerberos attacks to attempt to get the Admin hash.
System Network Configuration Discovery T1016Conti ransomware can retrieve the ARP cache from the local system by using the GetIpNetTable() API call and check to ensure IP addresses it connects to are for local, non-internet systems.
System Network Connections Discovery T1049Conti ransomware can enumerate routine network connections from a compromised host.
Process DiscoveryT1057Conti ransomware can enumerate through all open processes to search for any that have the string sql in their process name.
File and Directory Discovery T1083Conti ransomware can discover files on a local system.
Network Share DiscoveryT1135Conti ransomware can enumerate remote open server message block (SMB) network shares using NetShareEnum().
Lateral Movement
Technique TitleIDUse
Remote Services: SMB/Windows Admin Shares T1021.002Conti ransomware can spread via SMB and encrypts files on different hosts, potentially compromising an entire network.
Taint Shared ContentT1080Conti ransomware can spread itself by infecting other remote machines via network shared drives.
Impact
Technique TitleIDUse
Data Encrypted for ImpactT1486Conti ransomware can use CreateIoCompletionPort()PostQueuedCompletionStatus(), and GetQueuedCompletionPort() to rapidly encrypt files, excluding those with the extensions of .exe.dll, and .lnk. It has used a different AES-256 encryption key per file with a bundled RAS-4096 public encryption key that is unique for each victim. Conti ransomware can use "Windows Restart Manager" to ensure files are unlocked and open for encryption.
Service StopT1489Conti ransomware can stop up to 146 Windows services related to security, backup, database, and email solutions through the use of net stop.
Inhibit System RecoveryT1490Conti ransomware can delete Windows Volume Shadow Copies using vssadmin.

対策

CISA、FBI、NSAは、ランサムウェア「Conti」による攻撃の危険性を低減するために、ネットワーク防御者が以下の緩和策を適用することを推奨しています。

多要素認証を使用する

  • 外部からのネットワークへのリモートアクセスに多要素認証を要求する。

ネットワークセグメンテーションの導入とトラフィックのフィルタリング

  • ランサムウェアの拡散を抑えるために、ネットワークと機能の間に強固なネットワークセグメンテーションを導入・確保する。ネットワーク間の無秩序な通信を排除する非武装地帯を定義する。

  • ネットワークトラフィックをフィルタリングして、既知の悪意のあるIPアドレスとの出入りを禁止する。

  • フィッシングメールがエンドユーザに届かないよう、強力なスパムフィルタを導入する。ユーザーが悪意のあるウェブサイトにアクセスしたり、悪意のある添付ファイルを開いたりしないようにするためのユーザートレーニングプログラムを導入する。実行可能ファイルを含む電子メールをフィルタリングし、エンドユーザに届かないようにする。

  • ユーザーが悪意のあるWebサイトにアクセスするのを防ぐために、URLブロックリストや許可リストを導入する。

脆弱性をスキャンし、ソフトウェアを更新する。

  • アンチウイルス/アンチマルウェアプログラムを設定し、最新のシグネチャを使用してネットワーク資産の定期的なスキャンを行う。

  • ネットワーク資産のソフトウェア、オペレーティング・システム、アプリケーション、ファームウェアを適時にアップグレードする。一元化されたパッチ管理システムの使用を検討する。

不要なアプリケーションを削除し、コントロールを適用する。

  • 日常業務に必要ないと思われるアプリケーションを削除する。コンティの脅威アクターは、リモート監視・管理ソフトウェアやリモートデスクトップソフトウェアアプリケーションなどの正規のアプリケーションを利用して、組織の企業を悪意を持って搾取します。

  • 不正なソフトウェア、特にリモートデスクトップやリモート監視・管理ソフトウェアを調査すること。

  • アプリケーションの許可制を導入し、組織のセキュリティポリシーで認められたプログラムの実行のみをシステムに許可する。ソフトウェア制限ポリシー(SRP)やその他のコントロールを導入し、一般的なインターネットブラウザの一時フォルダや圧縮/解凍プログラムなど、ランサムウェアがよく使用する場所からプログラムが実行されないようにする。

  • 電子メールで送信されるMicrosoft Officeファイルのマクロスクリプトを無効にして実行を防止する。電子メールで送信されたMicrosoft Officeファイルを開く際には、Microsoft Officeスイートのフルアプリケーションではなく、Office Viewerソフトウェアの使用を検討してください。

  • CISAとオーストラリア、カナダ、ニュージーランド、イギリスのサイバーセキュリティ当局が共同で作成したアラート「Publicly Available Tools Seen in Cyber Incidents Worldwide」では、一般に公開されているツールが悪意を持って使用されていないかどうかを確認するためのガイダンスを掲載しています。

エンドポイントおよび検出対応ツールの導入 

  • エンドポイントおよび検知対応ツールは、エンドポイントのセキュリティ状態を高度に可視化し、悪意あるサイバーアクターから効果的に保護することができます。