ランサムウェア関連会社の不満分子がContiグループの技術マニュアルを流出させる / Disgruntled ransomware affiliate leaks the Conti gang's technical manuals（転載）

Disgruntled ransomware affiliate leaks the Conti gang's technical manuals https://therecord.media/disgruntled-ransomware-affiliate-leaks-the-conti-gangs-technical-manuals/:

therecord.media/disgruntled-…

ランサムウェア「Conti」プログラムの不満を持つメンバーが、ハッキングされた企業の内部にアクセスし、横方向に移動し、アクセスをエスカレートさせ、ファイルを暗号化する前にデータを流出させる方法をアフィリエイトメンバーに教育するためにContiギャングが使用したマニュアルと技術ガイドをリークしました。

このファイルは、XSSと呼ばれる地下のサイバー犯罪フォーラムでリークされたもので、Contiギャングが企業ネットワークに侵入するために支払っていた低額の報酬に問題があったと思われる個人によって共有されました。

この人物は、フォーラム全体に流されたメッセージの中で、ContiグループがCobalt Strikeコマンド＆コントロール・サーバーをホストしているIPアドレスのスクリーンショットを共有していました。Cobalt Strikeコマンド＆コントロール・サーバーは、Contiのアフィリエイトメンバーがハッキングされた企業ネットワークにアクセスするために使用します。

さらに、この人物は「Мануали для работяг и софт.rar」という名前のRARアーカイブも公開していました。これを大まかに訳すと「仕事中毒者とソフトウェアのためのマニュアル」となります。

このアーカイブには、ネットワーク侵入時に様々なハッキングツールや正規のソフトウェアまで使用する方法が書かれた37のテキストファイルが含まれています。

例えば、流出したマニュアルには、以下のようなガイドが含まれています。

• Rcloneソフトウェアをデータ流出用のMEGAアカウントで構成する。
  
  
• AnyDeskソフトウェアを被害者のネットワークへのパーシステンスおよびリモートアクセスソリューションとして設定する（Contiの既知の手口）。
  
  
• Cobalt Strike エージェントの設定と使用
  
  
• NetScanツールを使った内部ネットワークのスキャン
  
  
• ペンテストフレームワーク「Metasploit」を仮想プライベートサーバ（VPS）にインストールする。
  
  
• Ngrokのセキュアトンネルを使用してRDPでハッキングされたネットワークに接続する
  
  
• ハッキングされた企業のネットワーク内で昇格し、管理者権限を得る
  
  
• ドメインコントローラを乗っ取る
  
  
• Active Directoryからパスワードをダンプする（NTDS dumping）
  
  
• SMBブルートフォースアタックの実行
  
  
• ルーター、NASデバイス、セキュリティカメラをブルートフォースする
  
  
• ZeroLogon exploitを使用する
  
  
• Kerberoasting攻撃を行う
  
  
• Windows Defenderの保護機能を無効にする
  
  
• シャドーボリュームコピーの削除
  
  
• アフィリエイターが自分のOSで匿名ネットワーク「Tor」を利用できるように設定する方法、など。

Ransomware-as-a-Service（RaaS）の運営会社からの流出は極めて稀ですが、公開されたデータは、セキュリティ研究者が画期的だと評するようなものではありません。

今回流出したファイルには、Conti社をはじめとするランサムウェアギャングが何年にもわたって過去の侵入時に使用してきた基本的な攻撃戦術や技術のガイドが含まれています。

しかし、今回の流出により、一部のセキュリティ企業は、Contiの侵入を検知する能力を向上させるために、より強力な防御プレイブックをまとめて顧客に勧めることができるでしょう。

米国が国内の重要インフラに対して行われたサイバー攻撃に係る情報に対して日本円で最大約10億円の報奨金を出すとのこと / Reward Offer for Information on Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure（転載）～Torを経由してダークウェブ上から情報提供ができるあたりが、日本より5年は進んでいる気がする～

米国が国内の重要インフラに対して行われたサイバー攻撃に係る情報に対して日本円で最大約10億円の報奨金を出すとのこと。 Rewards for Justice – Reward Offer for Information on Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure state.gov/rewards-for-ju…: 
state.gov/rewards-for-ju…

外交安全保障局が運営する米国務省の司法のための報奨（RFJ）プログラムは、外国政府の指示または支配下で行動しているときに、コンピュータ不正使用防止法（CFAA）に違反して米国の重要インフラに対する悪意のあるサイバー活動に参加した人物の特定または居場所につながる情報に対して、最高1,000万ドルの報奨金を提供しています。

米国の重要インフラを標的とした悪意のあるサイバー操作は、CFAAに違反する可能性があります。CFAAに違反する行為には、ランサムウェア攻撃の一環としての脅迫状の送信、意図的なコンピュータへの不正アクセス、または許可されたアクセスを超えて保護されたコンピュータから情報を取得する行為、故意にプログラム、情報、コード、コマンドの送信を引き起こし、その結果、保護されたコンピュータに意図的に不正な損害を与える行為などがあります。保護されているコンピューターには、米国政府および金融機関のコンピューターシステムだけでなく、州間または外国間の商取引や通信に使用されている、または影響を与えるコンピューターも含まれます。

このようなサイバー脅威を深刻にとらえるのにふさわしく、司法のための報奨プログラムは、潜在的な情報源の安全と安心を守るためにダーク・ウェブ（Torベース）のヒント報告チャンネルを設置しました。司法のための報奨プログラムはまた、情報源の移転や報奨金の支払いの可能性だけでなく、情報の迅速な処理を可能にするために省庁間のパートナーと協力しています。報酬の支払いには、暗号通貨での支払いも含まれます。

この報奨提供に関する詳細情報は、司法のための報奨のウェブサイト（www.rewardsforjustice.net ）に掲載されています。外国政府の指示または支配下にある行為者がCFAAに違反して米国の重要インフラに対して行った悪質なサイバー活動に関する情報をお持ちの方は、司法のための報奨事務局にTorベースのヒント報告チャンネルであるhe5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion（Torブラウザが必要）を通じて連絡することをお勧めします。

1984年の開始以来、このプログラムは、テロの防止、テロリストの指導者の裁き、米国の国家安全保障への脅威の解決に役立つ実用的な情報を提供した世界各地の100人以上の人々に、2億ドルを超える金額を支払ってきました。ツイッターでのフォローはこちらから https://twitter.com/RFJ_USA 

日本航空は、搭乗したオリンピック選手の横暴をオーストラリアオリンピック委員会に報告 / Japan Airlines Complains To Australian Olympic Committee After Athletes Stole Alcohol From The Galley, Got Severely Drunk & Vomited In The Toilet（転載）～オーストラリア人は総じて野蛮な人種ということか？～

Japan Airlines Complains To Australian Olympic Committee After Athletes Stole Alcohol From The Galley, Got Severely Drunk & Vomited In The Toilet:

日本航空がオリンピック選手の機内での泥酔行為について正式な苦情を申し立てました。オーストラリアのオリンピック選手は、通常、バリやタイでオーストラリア人観光客だけが見せるような評判通りの活躍を見せているようです。

日本航空は国際オリンピック委員会（IOC）に、過度の飲酒、マスクの着用拒否、客室乗務員の無視、ギャレーからのアルコールの盗用、選手がトイレで嘔吐した事件などがあったことを通知しました。

固定観念を持つことは決して良いことではありませんが、特に今年のオリンピックのような国際的な舞台で国を代表するアスリートにとっては、固定観念を確認することはより悪いことでしょう。

メディアの報道によると、金曜日にシドニーに着陸したこのフライトには、9つのスポーツから49人のオーストラリア人選手が搭乗していました。悪行を告発されたオリンピアンの大半は、ラグビーとサッカーのチームから来ていました。

ロイターが報じた内容

オーストラリアオリンピック委員会は、東京からの帰国便で泥酔した選手たちが見せた「容認できない」行動の調査と処罰を、国内のラグビーとサッカーの両連盟に委ねると、イアン・チェスターマン総代表が水曜日に発表しました。

チェスターマン氏は、木曜日の日本航空（JAL）のフライトで起きた、過度の飲酒、マスク着用の拒否、客室乗務員の無視、そして選手がトイレで嘔吐したという事件に「深く失望した」と述べました。

「この行動は明らかに受け入れがたいものであり、このチームが設定した基準を満たしていません」と記者会見で述べました。

金曜日にシドニーに着陸したこの便には、9つのスポーツから49名の選手が搭乗していました。日本航空の広報担当者は、「現在も調査中」であると述べています。

チェスターマン氏によると、AOCはJALから今回の不正行為について報告を受けましたが、JALは正式な苦情を申し出ることはせず、今後もオーストラリアの選手をオーストラリアに送り続けるとのことです。

彼は、AOCに与えられる最も重い制裁である、将来の大会でオーストラリア代表として参加することを禁止するという措置が取られないことを強く示唆しました。 

今回のJAL便での悪行は、オーストラリアのラグビー選手やボート選手が、競技終了を祝って選手村の部屋を破損したことに続くものです。チェスターマン氏によると、漕ぎ手たちは謝罪したとのことです。

"オリンピックキャンペーンの紛れもないストレスや緊張感を解放する適切な方法があると思いますよ。

"しかし、他の人に迷惑をかけるような行動は全くもって不適切である。数人の人間が、非常に強いチームの評判を落としているのだ。"

もし、このような行為がカンタス航空のフライトで行われていたとしたら、これらの人々はその場で処分され、シドニーに到着した航空機は国境警備隊/AFPに出迎えられていただろうと思う。JALはこの状況ではあまりにも甘すぎる。

共同通信社では、ロイターの記事に含まれていない詳細情報を追加しました。

報告書によると、他の乗客によると、一部の選手は航空会社スタッフの指示に従わずに着席し、航空会社スタッフの懇願にもかかわらず、機内のギャレーに保管されていたアルコールをあさったとされています。さらに、ある乗客の報告によると、複数の選手が嘔吐を始め、飛行機の近くにあるトイレの一つが 使えなくなったとのことでした。

「明らかに、彼らはずっと飲んでいたので、マスクをしていなかった」と乗客の一人はタブロイド紙に語った。

日本航空は、オーストラリアオリンピック委員会に苦情文書を送付したことを確認し、水曜日に共同通信に「国を代表するアスリートとして旅をしているのだから、その事実を理解して行動してほしい」と語った。

これは、現時点では議論の余地すらない、深刻で恥ずかしい疑惑です。また、JALのシドニー便ほどではありませんが、ニュージーランドを拠点とするスポーツ選手が帰国便でかなりひどい行動をとったという同様のニュースもありました。

まとめ

オーストラリアのラグビー選手とサッカー選手が、先週、東京からシドニーへのフライト中に、犯罪行為とまではいかないまでも、非常に恥ずかしい行為を行いました。その内容は、客室乗務員の指示に従わず、機内の調理室を荒らし、自らアルコールを摂取してひどく酔っぱらってしまうというものでした。

普通の乗客は到着した時点で確実に逮捕されていたはずなのに、なぜスポーツをしている人たちには例外が設けられているのか不思議でならない。ここでは2層構造になっているようだ。これらのスポーツ選手は、その行動によって所属するスポーツ協会からの処分を受けるかもしれませんが、フライト中の違法行為には対処できません。

患者情報含む医師個人のクラウドアカウントが乗っ取り被害 - 岡大病院（転載）～二要素認証を設定していてアカウントを乗っ取られるというのが理解に苦しむ～

患者情報含む医師個人のクラウドアカウントが乗っ取り被害 - 岡大病院（1ページ目 / 全2ページ）：Security NEXT security-next.com/128794:  

security-next.com/128794

岡山大学病院は、同院医師が個人で利用していたクラウドサービスのアカウントがフィッシング攻撃により乗っ取られたことを明らかにした。クラウドには患者情報含むファイルが保存されているという。

同院によれば、7月23日に医師が、スマートフォンにおいて宅配事業者を装ったショートメッセージサービス（SMS）によるフィッシング、いわゆる「スミッシング」の被害に遭い、個人で利用するクラウドサービスのIDとパスワードを詐取されたもの。

被害に遭ったクラウドのアカウントには、同院や連携医療機関である福山市民病院で2015年4月以降に同医師が治療にあたった患者に関する個人情報のべ269人分が保存されていた。氏名や年齢、治療経過などの情報が含まれる。

同アカウントでは二要素認証も設定していたが、フィッシングにより第三者に乗っ取られ、同医師がアカウントにアクセスできなくなる一方、アカウントを乗っ取った第三者は、8月4日の時点でもデータを閲覧できる状態となっている。

被害の発覚を受け、クラウドサービス事業者に対して、医師よりフィッシング被害に遭ったアカウントの停止を求めたが、本人確認ができないなどとして対応を断られたという。

同院では、患者情報を扱う際、原則院内のパソコンを用いることとし、外部に持ち出す場合は、匿名化やパスワードを設定することなどを定めていた。

今回のケースでは、個人で使用する外部クラウド上へデータを保存しており、一部ファイルにしかパスワードが設定されていないなど、規則が守られていなかったという。

同院では、対象となる患者に書面と電話を通じて経緯の説明と謝罪を行っている。また今回の事態を受けて、所管する文部科学省へ報告したほか、警察に被害を相談している。

新型コロナ(武漢ウイルス)ワクチン接種完了！

いろいろあって、職域でワクチン接種をすることとなり、本日2回目が終わった。

元々積極的にワクチンを打つつもりはなかったのだが、在宅勤務がイヤで出勤するスタイルを貫いていたら、職域のワクチン接種案内があって、受けざるを経なくなってしまった。。。

通常新種のワクチンは5年くらいは様子見をした方が良いというのだが、 この行動が果たしてよかったのかは今後の未来で判明することとなる。

ま、打ってしまったものは仕方ないので、先を考えることにする。

とりあえず、ワクチンパスポートに必要なパーツがそろったので、まずはワクチンパスポートを申し込んでみる。

今年中に国外に旅することはできるだろうか！？

自分の体に注入されたワクチン情報を記念に残しておく

「ノミダニフィラリアサイト」登録ユーザーと獣医師の個人情報流出（転載）～想定損害賠償額は3.6億円程度か～

[PDF] 個人情報流出に関するお詫び ベーリンガーインゲルハイムアニマルヘルスジャパン株式会社 2021年7月30日 n-d-f.com/pdf/notice.pdf: 
n-d-f.com/pdf/notice.pdf

「ノミダニフィラリアサイト」登録ユーザーと獣医師の個人情報流出、警視庁の連絡で発覚

動物用医薬品を研究・開発するベーリンガーインゲルハイム アニマルヘルス ジャパン株式会社は7月30日、同社の「ノミダニフィラリアサイト」の登録ユーザー及び獣医師の個人情報等が、当該サイトの管理、運営等を委託する企業のサーバからの流出が判明したと発表した。

これは6月25日に、警視庁からインターネット上に同社保有情報の流出の可能性がある旨の連絡が同社にあり、同社及び委託先で外部専門家の協力も得ながら調査を実施、流出した情報の内容と同社及び委託先で管理する情報の突合、同社が現在使用するサーバへの脆弱性チェック等の行ったところ、流出した情報は旧サーバで 2020年5月から8月までの期間、保存された情報であることを確認したというもの。当時のログ情報等の保存期間が徒過したこともあり、流出原因の特定には至っていないが、同期間内に旧サーバに不正アクセスが行われた可能性が高いと判断している。

流出した可能性があるのは、2020年5月から8月の期間に保存された下記の情報。

・ユーザーの登録情報：5万件余り

氏名またはニックネーム、居住する都道府県または住所、メールアドレス、パスワード、電話番号（任意）、LINE登録の氏名（LINE でサービス登録した場合）、LINE または Apple 発行のシステム連携用 ID（LINE または Apple でサービスログインした場合）、写真（任意）

・獣医師の情報：1万件余り

氏名、動物病院名、動物病院の住所、動物病院の電話番号、メールアドレス、写真（任意）

　同社では7月30日から、対象のユーザー及び獣医師に順次個別に説明と連絡を行っており、ユーザーに対し、パスワード変更を呼びかけている。

　同社では7月5日と7月21日に、個人情報保護委員会に報告を行っている。

　同社では既に、本サイト及びサーバのセキュリティチェックを行い、現時点で外部からのハッキングに脆弱性がないことを確認、さらにセキュリティ強化を実施している。

バックアップ（プレスリリース）

川崎重工への不正アクセス（転載）～不正アクセスは悲報だが、自社(システム監査)での検知という点がスバラシイ。2021年の主要課題はパスワード強化と多要素認証(ゼロトラスト)か～

 川崎重工への不正アクセス

年の瀬に川崎重工が半年前にAPT攻撃に遭っていた事が発表されました。

www3.nhk.or.jp

公式発表

・当社グループへの不正アクセスについて（12/28） （魚拓）

１．概要
2020年6月11日、社内で実施しているシステム監査において、本来発生しないはずの海外拠点（タイ）から日本国内のサーバへの接続を発見し、同日中に不正アクセスとして同拠点と国内拠点との通信を遮断しました。しかし、続いて断続的に他の海外拠点（インドネシア、フィリピン、米国）を経由した国内のサーバへの不正アクセスが確認されたため、海外拠点からのアクセス監視強化とアクセス制限の厳格化を進め、不正アクセスを遮断しました。その後も全社的なセキュリティ対策強化を継続的に実施して
います。

（公式発表より引用）

キタきつねの所感

政府が重要インフラと定義しているのは「情報通信」、「金融」、「航空」、「空港」、「鉄道」、「電力」、「ガス」、「政府・行政サービス」、「医療」、「水道」、「物流」、「化学」、「クレジット」、「石油」の14分野となりますが、川崎重工は重要インフラ機器製造事業者として、サイバー攻撃の情報共有を行うJ-CSIPにも参加しています。

2020年は、三菱電機(1月/11月）、NEC（2月）、三菱重工（8月）がインシデント発表（いずれもAPT攻撃であった可能性が高い）している事を考えると、日本の重要インフラ分野が（海外から）狙われていると言っても過言ではないかも知れません。 

参考：

　三菱電機の情報管理を考えてみる - Fox on Security

　NECも氷山の一角 - Fox on Security

　三菱重工へのソーシャルエンジニアリング - Fox on Security

　三菱電機は二段階認証を破られた - Fox on Security

海外拠点経由で、本丸（国内サーバー）を狙うサプライチェーン攻撃手法は、三菱重工（地方拠点）の手口、あるいは今年4月にトヨタの系列販売店等から最大310万件の個人情報が漏えいした事件（海外拠点経由）の手口に似ている気がしますが、公式発表を読んでもあまり事件の詳細（侵入手口）が書かれておらず、恐らく川崎重工側も別な攻撃に繋がる事を懸念してあまり開示しないと思いますので、想像の域を出ません。

　トヨタも狙われる - Fox on Security 

開示されている情報が少ない中、公式発表に書かれた時系列を見ると、少し気になる点がありました。

最初に書いておくべきなのは、国内システム監査（自社）で侵害の兆候を見つけている事です。リアルタイム監視で事件の兆候を見つけられていないものの、APT攻撃を自社で検知できた（第一発見者）のは、川崎重工のセキュリティ対策が（全般的には）しっかりしていた証ではないかと思います。 

2点目は、海外拠点（タイ）からの不正アクセスを確認して海外拠点（タイ）と国内データセンターとの接続を遮断した（6/11）後に、海外拠点（インドネシア、フィリピン、米国）から国内拠点への別な不正アクセスが複数回発生している点です。

これは、川崎重工の海外拠点が4か所以上、侵害を受けていた事を示唆しています。川崎重工の公式発表には初期侵入部分に経緯が書かれてないので、以下過分に想像になりますが、最初の侵入（タイ拠点？）から、横移動（ラテラルムーブメント）が成功した、つまり海外拠点間のネットワーク分離（セグメンテーション）に問題があった可能性を感じます。

しかし、APT攻撃者が最初の検知後（タイからの不正アクセスルートが遮断された後）にも執拗に拠点を変えて不正アクセス試行をしている部分を、川崎重工が検知出来ている事を考えると、一部情報が外部流出した部分は別にして、防衛は成功したと言っても良いのではないでしょうか。 

別な気づきとしては、（全般的な防衛に成功しても）内部侵害が発生してしまったこのケースでは、3万台のエンドポイント端末検査を含めて正常化までに半年かかっている事です。

APT攻撃ではなかなか難しい事かとは思いますが、まずは入らせない事、そして入られた場合に備えて被害範囲を最小限にする事（＝セグメンテーション）がいかに重要であるかを改めて感じました。 

各社の報道を見ていて、NHKの記事に初期侵入に関するヒントがありました。インシデントの原因となったのは「特権ID」（＝パスワード問題）だった様です。

何者かが社内システムのIDやパスワードを不正に入手したとみられるものの、どれだけの情報が流出したおそれがあるのかなど詳しいことは分かっておらず、セキュリティーに関する外部の専門機関とともに調査を続けています。

（NHK NEWS WEB記事より引用） 

おそらく、特権IDのパスワードに「使い回し」があったのではないかと推測します。その推測根拠は、他社ではありますが「三菱重工」事件における公式発表内容です。

影響範囲が当該従業員の社有ＰＣから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。
（特権アカウントを悪用され他機器にログインされたものと考えております。）これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。

（三菱重工8/7リリースより引用） 

仮にこの推測が正しければ、重要インフラのセキュリティ対策において、内部アクセスに対する、パスワードの強化、多要素認証導入（ゼロトラスト設計）は2021年の主要課題となってくる気がします。 

余談です。報道各社の記事タイムスタンプを見ると、12/28午後（14時過ぎ）にこの事件が報じられ始めているのですが、株価にも影響が出にくい時間帯、そして年末年始のお休みや、年末年始に出る別のニュースの影響で、人々の事件に対する印象が薄くなるタイミングに、川崎重工の広報戦略の「強かさ」を感じました。

 

 

 

米国政府、StopRansomware.govで初のランサムウェアに関するワンストップサービスを開始 / U.S. Government Launches First One-Stop Ransomware Resource at StopRansomware.gov（転載）

SttyK (してぃーきっず) retweeted:

U.S. Government Launches First One-Stop Ransomware Resource at StopRansomware.gov

New Website Provides Cybersecurity Resources from Across the Federal Government

#StopRansomware

justice.gov/opa/pr/us-gove…

ランサムウェアは、デバイス上のファイルを暗号化し、ファイルやファイルに依存するシステムを使用不能にするよう設計された、進化し続けるマルウェアです。悪意のあるアクターは、復号化と引き換えに身代金を要求します。身代金が支払われない場合、流出したデータや認証情報を売ったり、漏らしたりすると脅すこともあります。ここ数カ月、ランサムウェアが大きな話題となっていますが、米国の州・地域・部族・領土（SLT）の政府機関や重要インフラ組織では、何年も前から被害が拡大しています。

悪意のある者は、時間の経過とともにランサムウェアの戦術を変化させ続けています。連邦政府機関は、国内外におけるランサムウェアの攻撃とそれに関連する戦術、技術、手順に対する認識を維持するために、引き続き警戒しています。

ランサムウェアの被害に遭っていませんか？「ランサムウェアガイド」の「ランサムウェア対応チェックリスト」を参考にしてください。

ランサムウェアを回避する方法を知りたいですか？「How Can I Protect Against Ransomware」は、バッドプラクティスの回避について学べる貴重な資料です。

米国シークレットサービスは、「Preparing for a Cyber Incident」という文書の中で、サイバーインシデントをどこにどのように報告するかについてのガイダンスを提供しています。同様に、NISTの「Ransomware Protection and Response」では、対応と復旧に関する情報を提供しています。

国家にとって重要な16の重要インフラ部門すべてについて、部門別のガイダンスが提供されます。この16の重要インフラ部門を無効にしたり破壊したりすると、安全保障、経済厚生、公衆衛生、安全に大きな損害を与えることになります。これらのセクターには、エネルギー、食品、医療、情報技術が含まれており、最近のサイバー攻撃で標的となったセクターの一部です。現在の一般的なガイダンスは、今すぐ実施すべきです。

Stopransomware.govでは、米国国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁、米国シークレットサービス、米国司法省の連邦捜査局、米国保健社会福祉省、米国標準技術研究所、米国財務省によるガイダンスやリソースを提供しています。