観測されたマルウェア検体を分析者に投稿してもらい、 アンチウイルスベンダーや情報セキュリティ担当への情報共有用途で一般公開しているデータベースです。 これらの投稿には、分析者がすでに「どのような攻撃で使われた検体か」をタグ付してくれているものが非常に多いです。 そのため、リアルタイムの投稿を追うだけでどのようなマルウェアが世界で飛び交っているかがパッとわかります。
観測されたマルウェア検体を情報共有用途で一般公開しているデータベース【Malware Bazaar】
観測されたマルウェア検体を分析者に投稿してもらい、 アンチウイルスベンダーや情報セキュリティ担当への情報共有用途で一般公開しているデータベースです。 これらの投稿には、分析者がすでに「どのような攻撃で使われた検体か」をタグ付してくれているものが非常に多いです。 そのため、リアルタイムの投稿を追うだけでどのようなマルウェアが世界で飛び交っているかがパッとわかります。
オリンパス、2度目のランサムウェア攻撃で、米国などのシステムが暗号化される / Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密(転載)
日本の大手ハイテク企業であるオリンパスに対する「進行中」のサイバー攻撃は、米国政府の制裁を受けているロシアの悪意あるグループが仕掛けたものであると、攻撃について知る2人の人物が語っています。
「Macaw」は、マルウェア「WastedLocker」の新しい亜種で、どちらも2019年に米財務省から制裁を受けたロシアを拠点とする犯罪シンジケート「Evil Corp」が作成したものです。
これは、2021年9月にヨーロッパ、中東、アフリカのネットワークがBlackMatterランサムウェアに攻撃されたのに続き、この数ヶ月で2度目のランサムウェア攻撃です。 (BlackMatterはEvil Corp.との関係を知られていない)
セキュリティ企業Recorded Futureのシニア脅威アナリストであるAllan Liska氏は、「Olympusは2021年9月にBlackMatterに攻撃され、2021年10月にMacawに攻撃されました。Macawマルウェアは、ハッキングされたコンピュータに身代金請求書を残していました」とコメントしています。
オリンパスは声明で、「データ侵害の可能性」を調査していると述べました。「ダブルランサム」と呼ばれるランサムウェア・グループがよく使う手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、それを脅すというものです。 解読されたファイルの身代金が支払われない場合は、ファイルがオンラインで公開されます。
オープンソースの脅威情報蓄積プラットフォーム【Open CTI】
Open CTI 自体はオープンソースの脅威情報蓄積プラットフォームで、 インターネットに接続すると他の分析者が蓄積したインテリジェンスを閲覧することができます。
Open CTI は docker image から build して内部にプラットフォームを建てる形で利用することになるのですが、 ThreatPursuit VM を利用している人は docker-compose コマンドを叩くだけで建つのですぐに利用できます。 情報の網羅性としては高いわけではなく MISP のような他イベントとの関連性の面は弱い一方、 APT の活動やばらまき型メール, マルウェア解析情報といった有力な情報も流れてくるので、1日1回 Activities をざっと眺めるだけでも損はないです。 以下のURLからデモ版を見ることができるので、興味がある人は是非クリックしてみてください!!
Hunting用のマルウェアデータセットを提供してくれる【mquery】
インテリジェンス業務を行っていると、自社に着弾したマルウェアと同種のものを捕まえて解析し、 攻撃の分析に役立てようとする営みをすることがあると思います。 これを Threat Hunting と言います。 では、インテリジェンス分析者はどうやって「同種のもの」を捕まえてきているかというと、 最も多くの場合「Yara rule」と呼ばれるシグネチャマッチングで行っています。 つまり、同種のものを捕まえられるようなルールを書き、大量のデータセットに対して検索することで捕まえてくるというわけです。 また、Yara rule で検体を Hunting できた場合は自組織の EDR やネットワークフォレンジック装置にルールを組み込むことで、 より高度で効果的な防御をすることができます。
では、Hunting 対象のデータセットはどこにあるでしょうか? もっとも有名なのは Virus Total というオンラインのウイルススキャンサービスですが、 Hunting の機能は少々高額で初心者がいきなりこれを試すことはハードルが高いです。 そこで役立つのが、CERT.PL が提供している mquery というサービスです。 mquery はマルウェアのデータセットを提供しており、Yara rule を提出するとルールにマッチしたマルウェアの検体を提供してくれます。 マルウェアのデータセットも 76,000 近くあるため、試しに Hunting するには十分です。
これの強みは、オンラインサンドボックスでできないようなシグネチャマッチングによる検索を、擬似的に mquery が代用してくれているという点です。 mquery を使ってシグネチャマッチした検体のハッシュ値がわかれば、 他のオンラインサンドボックスやインテリジェンスサービスに投稿された検体に到達することができ、非常に有用です。 また、mquery と同じくYara ruleでHuntingできるサービスとして、CrowdStrike が提供してくれている Hybrid Analysis というオンラインサンドボックスがあります。こちらでもHunting, ルール検証ができるので、良性・悪性入り混じったサンプルでのルール検証がしたい場合などは有効活用できると思います。
米Miles日本上陸へ 徒歩でも電車でも“マイル”がたまる(転載)~貯まった”マイル”が航空会社のマイレージに変換できるかが個人的なポイント~
飛行機だけではなく、徒歩や自転車、自動車、電車などの移動手段を自動判別し、“マイル”を付与するアプリ「Miles(マイルズ)」。運営する米コネクトIQラボは2021年8月、海外初進出となる日本でティザーサイトをオープンした。
18年から米国で展開されている「Miles(マイルズ)」アプリは、100万人以上の登録ユーザーを獲得してきた。“マイル”と交換する特典(リワード)を提供するパートナー企業は、ウォルマートやスターバックス、アマゾン・ドット・コム、フードデリバリーのドアダッシュなど、実に200以上の有名ブランドがそろう。
これまでMilesのユーザーは累計40億マイル(約64億キロメートル)を移動し、120億マイルを獲得。そのうち35億マイルが700万件以上のリワードと交換された。「ユーザーは5000万ドル(約55億円)以上の節約に役立っており、リワードを提供するパートナー企業には2億ドル(約220億円)以上の収益をもたらしている」という。こうしたユーザーの移動を軸として巨大な経済効果を生む有力プラットフォームが、ついに本格上陸する。
Milesのユーザーメリットは実に明快だ。スマホにアプリをダウンロードし、常時GPSの取得を許可する設定にしておけば、ユーザーの移動手段をAI(人工知能)が自動で判別し、それぞれに応じた“マイル”が勝手にたまっていく。マイルが一定数たまると、映画やレンタカーの割引チケット、コーヒーショップの無料チケット、ネット通販のギフトカードなど、用意されたリワードへの交換が可能となる。
【2021/10/23追記】
全ての移動でマイル加算する「Miles」日本上陸、交換特典にJALなど参画
インターネット上に存在するあらゆる端末をスキャンしているサービス【GreyNoise】
インターネット上に存在するあらゆる端末をスキャンしているサービスとして Shodan や Censys が非常に有名だと思いますが、 GreyNoise もそんなサービスの一つです。 ただし、用途は微妙に異なり、「サービスのどこに穴があるか」といったどちらかというと攻撃者目線で使う Shodan とは違い、 GreyNoise は「どこの IP から攻撃が飛んできているか」という防御者目線で使うことが多いです。 簡単な例をあげると、「SMBGhost のスキャンをしてくる IP を教えろ」とクエリ書くだけで、 その結果と Malicious かどうかの判定まで出してくれます。
Malicious 判定のついた IP を自動で収集してきて、 もし通信をしていた場合はアラートをあげさせることでインテリジェンスになったりします。 また、「自社関連で誰かマルウェア感染していないか?」というのも簡単ながら調査できます。 例えば、ntt というワードで検索すると、自社の提供する ISP 配下で、明らかに Mirai に感染して bot 化されたような端末が見つかります。
「アルファアイコンオフィシャルショップサイト」への 不正アクセスによる個人情報漏えいに関するお詫びとお知らせ(転載)
alphaicon.com/news-details/1…
2021年10月20日
お客様各位
株式会社アイコンズ
弊社が運営する「アルファアイコンオフィシャルショップサイト」への
不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
このたび、以下のサイト
「アルファアイコンオフィシャルショップサイトhttps://shop-alphaicon.com/」
におきまして、第三者による不正アクセスを受け、クレジットカード情報(93件)が漏洩した可能性があることが判明いたしました。
関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。
なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび郵送にてお詫びとお知らせを個別にご連絡申し上げております。
今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。
関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。
記
1.経緯
2021年7月12日、契約する保守会社から、サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年7月12日「アルファアイコンオフィシャルショップサイト」でのカード決済を停止いたしました。
同時に、第三者調査機関による調査も開始いたしました。2021年8月18日、調査機関による調査が完了し、2021年7月6日~2021年7月12日の期間に 「アルファアイコンオフィシャルショップサイト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。
以上の事実が確認できたため、本日の発表に至りました。
2.個人情報漏洩状況
(1)原因
「アルファアイコンオフィシャルショップサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。
(2)個人情報漏洩の可能性があるお客様
2021年7月6日~2021年7月12日の期間中に「アルファアイコンオフィシャルショップサイト」においてクレジットカード決済をされたお客様93名で、漏洩した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード
上記に該当する93名のお客様については、別途、電子メール、書面にて個別にご連絡申し上げます。
3.お客様へのお願い
既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。
お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。
4.公表が遅れた経緯について
2021年7月12日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。
本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。
5.再発防止策ならびに弊社が運営するサイトの再開について
弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
具体的には漏洩のあったシステムを、破棄し新たなシステムにてサイトを再構築しております。
改修後の「アルファアイコンオフィシャルショップサイト」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。
また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年10月1日に報告済みであり、また、所轄警察署にも2021年10月1日被害申告しており、今後捜査にも全面的に協力してまいります。
プレスリリース(バックアップ)
弊社サーバーへの不正アクセスについて(転載)
cook-foods.co.jp/news/%e5%bc%8a…
コックフーズ株式会社は2021年10月15日、同社が運用するサーバーがランサムウェアに感染し、取引先データなどを含む一部企業情報が流出したと明らかにしました。
発表によると、同社では2021年10月6日、一部システムに障害が発生。原因を明らかにするため外部調査機関を通じて詳細を調査したところ、ランサムウェアに感染したことによる障害であると判明しました。
コックフーズ株式会社はランサムウェアの感染により、企業情報に流出および暗号化被害が生じたとしています。具体的には、取引先データや人員情報の他、経理データや商品関連情報に暗号化被害が生じたほか、外部流出が確認されたとのことです。
コックフーズ株式会社によると、同社は被害発生を受け、警視庁のサイバー犯罪対策課に通報し、状況を報告しています。
また、今後は外部専門家の知見を活かし、セキュリティ対策を強化することで再発を防止するとのこと。
なお、同社は2021年10月13日時点でシステムの復旧を終え、通常業務を再開しています。
当社運営サービスにおける個人情報の流出に関するお詫びとお知らせ(転載)
mkb.ne.jp/news/wp-conten…
当社運営サービスにおける
個人情報の流出に関するお詫びとお知らせ
このたび、当社の運営するサービス「きゃらデン」(以下「本件サービス」といいます。)において、本件
サービスに登録するキャスト(本件サービスの一部を業務として提供する者)の個人情報(キャストの氏名、
269 件)が流出した可能性があることが判明いたしました。
現在、情報流出の範囲及び原因等を調査しておりますが、現時点で判明しております情報流出の概要と今後
の当社の対応を、取り急ぎ、下記のとおり、ご報告いたします。
お客様をはじめ関係者の皆様に多大なるご心配とご迷惑をおかけいたしましたことを深くお詫び申し上げます。
記
1.情報流出の概要
(1)経緯
2021 年 10 月4日、本件サービスの公式 SNS に、ダイレクトメッセージを通じて個人情報の流出に関 する通報を受け、情報流出の存在が発覚いたしました。
(2)流出した個人情報
現在調査中ですが、現時点においては、本件サービスに登録している又は登録していたキャストの 一部の皆様に関する氏名(269 件)が流出した可能性があると認識しております。
※その他、個人情報には該当しませんが、当該キャストに使用(消費)された本件サービス内通貨の 額が流出した可能性があります。
(3)原因
現在調査中ですが、現時点においては、外部から不正アクセスを受けたことに因るものと考えられ ます。
2.今後の当社の対応について
情報が流出した可能性のあるキャストの皆様に対しては、本日以降順次本件のお詫びと注意喚起のご連 絡を行ってまいります。キャストの皆様及びお客様におかれましては、誠に恐縮ではございますが、不審 な連絡等にご注意いただきますようお願い申し上げます。当社としましては、このたびの事態を厳粛に受け止め、情報流出範囲の特定、原因究明及び対策を急 ぎ行ってまいります。また、不正アクセスについて確認できた場合には、採り得る法的措置も検討いた します。なお、本件に関して、今後新たな情報が判明した場合は、随時お知らせ又は当社ホームページにてご 報告いたします。
3.業績への影響について
本件による当社業績への影響については現在精査中です。今後業績に重要な影響を及ぼすことが明らか になった場合には、速やかに開示いたします。
不正アクセスに関する当社対応について【最終報告 2021年9月27日】(転載)
yayoi-kk.co.jp/news/20210927-…
弥生株式会社は、2021年6月22日に公表した第三者による不正アクセス事象について、これまでの当社対応等を踏まえ、最終報告をいたします。なお、公表時から現時点において、情報漏洩や悪用された事象は確認されておりません。
お客さまをはじめ、関係者の皆さまには多大なるご迷惑およびご心配をお掛けしましたことを深くお詫び申し上げます。今後は全社一丸となり再発防止の実行に着実に取り組んでまいります。
1. 発生事象
以降に記載する日時において、弊社サービスをご利用いただく際に必要な認証連携サービス(ログイン機能)に対して、外部からの不正なアクセスが発生し、お客さまのログイン情報(「弥生ID(メールアドレス)」と「パスワード」など)の一部が不正アクセスを行う第三者から参照されうる状態でした。大きく2つの事象が発生しました。
事象1
一定期間内に連携アプリケーションとの連携設定を行ったお客さまの弥生IDとパスワードが不正アクセスを行う第三者に参照される可能性がありました。
対象期間
- 2021年5月10日(月)10:00~2021年6月16日(水)18:57
対象件数
- 18,364件
対象期間中に認証基盤システムのログイン画面から「ログイン」ボタンをクリックした方(ログインの成否に関わらない)。以下<1>と<2-A><2-B>が該当します。
<1> 弥生IDとパスワードを利用して連携アプリケーション*との連携設定を試みたお客さまが該当します。対象件数は17,504件※1です。
※1 弥生ID(メールアドレス)を間違って「ログイン」ボタンをクリックした方のうち、7月5日までに既に登録していた弥生IDを変更あるいは新規で弥生ID登録をした36件を含む
<2-A> 「弥生シリーズ ログイン画面」で間違った弥生IDなどとパスワードを入力し、「ログイン」クリック後に「弥生IDまたはパスワードが違います」※2とメッセージが出たお客さまが該当します。対象件数※3は600件です。
※2 「弥生IDまたはパスワードが違います」のメッセージは、弥生IDが未登録の場合や弥生ID(メールアドレス)の打ち間違い等が原因で表示されます
※3 弊社「あんしん保守サポート」の「お客様番号」と思われるケースは除く
<2-B> <2-A>と同事象のお客さまのうち、弊社「あんしん保守サポート」の「お客様番号」と思われる数字を入力されているケース。対象件数は260件です。
* 該当する連携アプリケーション
【弊社のサービス】
- 口座連携
- Misoca(ミソカ) ※YAYOI SMART CONNECTと連携設定した場合のみ対象です
【他社のサービス】
- Airレジ(株式会社リクルート)
- スマレジ(株式会社スマレジ)
- MakeLeaps(メイクリープス株式会社)
- Staple(クラウドキャスト株式会社)
- ユビレジ(株式会社ユビレジ)
- UレジFOOD(株式会社USEN)
- ぐるなびPOS+(株式会社ぐるなび)
事象2
弊社サービスにお客さまがログインした際に一時的に保持しているログイン情報(弥生IDとパスワードを暗号化したもの)に対して、不正アクセスを行う第三者に参照される可能性がありました。ただし、事象検知時点で問題は解消しており、お客さまにて作業等を行っていただく必要はありませんでした。
対象期間
- 2021年5月18日(火)23:54~2021年6月16日(水)18:57
対象件数
- 585,341件
該当期間中に弊社クラウドアプリケーション**を利用されたお客さま
2. 【事象1】のお客さまへの対応
「なりすましログイン」防止のため、該当するお客さまのパスワードを弥生側で変更後、仮パスワードを発行、その後お客さまにてパスワード再設定を実施いただきました。パスワード再設定のお願いは、インフォメーションでの全体告知に加え、メール、郵送、電話にて個別連絡を実施しました。2021年9月15日時点でのパスワード再設定率は93.5%※5になります。
※5 パスワード未再設定の方については、複数回の架電および郵送でのご連絡を実施しました。これ以上はお客さまのご迷惑になる可能性が高いため、弊社からのご連絡は控えております。パスワードは弊社にて変更済のため、なりすましログインは防止されます
3. 【事象2】のお客さまへの対応
前述の通り、事象検知時点で問題は解消しており、お客さまにて作業等を行っていただく必要はありませんでした。
再発防止に向けた今後の取り組み
本事象の検知後、システム面と業務運用面の両面で、問題とその原因の検証を行ってまいりました。検証結果を踏まえ、再発防止に向けて、不正な侵入を防ぐためのセキュリティ対策の強化、脆弱性対応の定期化および外部専門家による継続支援、不正アクセス検知早期化に向けたシステム再設計など、社内横断対策チームを組成のうえ、活動を開始しております。今後は全社一丸となり再発防止の実行に着実に、継続的に取り組んでまいります。
登録:
投稿 (Atom)