観測されたマルウェア検体を情報共有用途で一般公開しているデータベース【Malware Bazaar】

観測されたマルウェア検体を分析者に投稿してもらい、アンチウイルスベンダーや情報セキュリティ担当への情報共有用途で一般公開しているデータベースです。これらの投稿には、分析者がすでに「どのような攻撃で使われた検体か」をタグ付してくれているものが非常に多いです。そのため、リアルタイムの投稿を追うだけでどのようなマルウェアが世界で飛び交っているかがパッとわかります。

https://bazaar.abuse.ch/

オリンパス、2度目のランサムウェア攻撃で、米国などのシステムが暗号化される / Olympus 连续遭两次勒索软件攻击在美国等多地系统被加密（転載）

Olympus 连续遭两次勒索软件攻击在美国等多地系统被加密:

日本の大手ハイテク企業であるオリンパスに対する「進行中」のサイバー攻撃は、米国政府の制裁を受けているロシアの悪意あるグループが仕掛けたものであると、攻撃について知る2人の人物が語っています。

「Macaw」は、マルウェア「WastedLocker」の新しい亜種で、どちらも2019年に米財務省から制裁を受けたロシアを拠点とする犯罪シンジケート「Evil Corp」が作成したものです。

これは、2021年9月にヨーロッパ、中東、アフリカのネットワークがBlackMatterランサムウェアに攻撃されたのに続き、この数ヶ月で2度目のランサムウェア攻撃です。 (BlackMatterはEvil Corp.との関係を知られていない)

セキュリティ企業Recorded Futureのシニア脅威アナリストであるAllan Liska氏は、「Olympusは2021年9月にBlackMatterに攻撃され、2021年10月にMacawに攻撃されました。Macawマルウェアは、ハッキングされたコンピュータに身代金請求書を残していました」とコメントしています。

オリンパスは声明で、「データ侵害の可能性」を調査していると述べました。「ダブルランサム」と呼ばれるランサムウェア・グループがよく使う手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、それを脅すというものです。解読されたファイルの身代金が支払われない場合は、ファイルがオンラインで公開されます。

オープンソースの脅威情報蓄積プラットフォーム【Open CTI】

Open CTI 自体はオープンソースの脅威情報蓄積プラットフォームで、インターネットに接続すると他の分析者が蓄積したインテリジェンスを閲覧することができます。

Open CTI は docker image から build して内部にプラットフォームを建てる形で利用することになるのですが、 ThreatPursuit VM を利用している人は docker-compose コマンドを叩くだけで建つのですぐに利用できます。情報の網羅性としては高いわけではなく MISP のような他イベントとの関連性の面は弱い一方、 APT の活動やばらまき型メール, マルウェア解析情報といった有力な情報も流れてくるので、1日1回 Activities をざっと眺めるだけでも損はないです。以下のURLからデモ版を見ることができるので、興味がある人は是非クリックしてみてください!!

https://demo.opencti.io/dashboard

Hunting用のマルウェアデータセットを提供してくれる【mquery】

インテリジェンス業務を行っていると、自社に着弾したマルウェアと同種のものを捕まえて解析し、攻撃の分析に役立てようとする営みをすることがあると思います。これを Threat Hunting と言います。では、インテリジェンス分析者はどうやって「同種のもの」を捕まえてきているかというと、最も多くの場合「Yara rule」と呼ばれるシグネチャマッチングで行っています。つまり、同種のものを捕まえられるようなルールを書き、大量のデータセットに対して検索することで捕まえてくるというわけです。また、Yara rule で検体を Hunting できた場合は自組織の EDR やネットワークフォレンジック装置にルールを組み込むことで、より高度で効果的な防御をすることができます。

では、Hunting 対象のデータセットはどこにあるでしょうか? もっとも有名なのは Virus Total というオンラインのウイルススキャンサービスですが、 Hunting の機能は少々高額で初心者がいきなりこれを試すことはハードルが高いです。そこで役立つのが、CERT.PL が提供している mquery というサービスです。 mquery はマルウェアのデータセットを提供しており、Yara rule を提出するとルールにマッチしたマルウェアの検体を提供してくれます。マルウェアのデータセットも 76,000 近くあるため、試しに Hunting するには十分です。

これの強みは、オンラインサンドボックスでできないようなシグネチャマッチングによる検索を、擬似的に mquery が代用してくれているという点です。 mquery を使ってシグネチャマッチした検体のハッシュ値がわかれば、他のオンラインサンドボックスやインテリジェンスサービスに投稿された検体に到達することができ、非常に有用です。また、mquery と同じくYara ruleでHuntingできるサービスとして、CrowdStrike が提供してくれている Hybrid Analysis というオンラインサンドボックスがあります。こちらでもHunting, ルール検証ができるので、良性・悪性入り混じったサンプルでのルール検証がしたい場合などは有効活用できると思います。

米Miles日本上陸へ　徒歩でも電車でも“マイル”がたまる（転載）～貯まった”マイル”が航空会社のマイレージに変換できるかが個人的なポイント～

飛行機だけではなく、徒歩や自転車、自動車、電車などの移動手段を自動判別し、“マイル”を付与するアプリ「Miles（マイルズ）」。運営する米コネクトIQラボは2021年8月、海外初進出となる日本でティザーサイトをオープンした。

18年から米国で展開されている「Miles（マイルズ）」アプリは、100万人以上の登録ユーザーを獲得してきた。“マイル”と交換する特典（リワード）を提供するパートナー企業は、ウォルマートやスターバックス、アマゾン・ドット・コム、フードデリバリーのドアダッシュなど、実に200以上の有名ブランドがそろう。

これまでMilesのユーザーは累計40億マイル（約64億キロメートル）を移動し、120億マイルを獲得。そのうち35億マイルが700万件以上のリワードと交換された。「ユーザーは5000万ドル（約55億円）以上の節約に役立っており、リワードを提供するパートナー企業には2億ドル（約220億円）以上の収益をもたらしている」という。こうしたユーザーの移動を軸として巨大な経済効果を生む有力プラットフォームが、ついに本格上陸する。

Milesのユーザーメリットは実に明快だ。スマホにアプリをダウンロードし、常時GPSの取得を許可する設定にしておけば、ユーザーの移動手段をAI（人工知能）が自動で判別し、それぞれに応じた“マイル”が勝手にたまっていく。マイルが一定数たまると、映画やレンタカーの割引チケット、コーヒーショップの無料チケット、ネット通販のギフトカードなど、用意されたリワードへの交換が可能となる。

【2021/10/23追記】
全ての移動でマイル加算する「Miles」日本上陸、交換特典にJALなど参画

インターネット上に存在するあらゆる端末をスキャンしているサービス【GreyNoise】

インターネット上に存在するあらゆる端末をスキャンしているサービスとして Shodan や Censys が非常に有名だと思いますが、 GreyNoise もそんなサービスの一つです。ただし、用途は微妙に異なり、「サービスのどこに穴があるか」といったどちらかというと攻撃者目線で使う Shodan とは違い、 GreyNoise は「どこの IP から攻撃が飛んできているか」という防御者目線で使うことが多いです。簡単な例をあげると、「SMBGhost のスキャンをしてくる IP を教えろ」とクエリ書くだけで、その結果と Malicious かどうかの判定まで出してくれます。

Malicious 判定のついた IP を自動で収集してきて、もし通信をしていた場合はアラートをあげさせることでインテリジェンスになったりします。また、「自社関連で誰かマルウェア感染していないか?」というのも簡単ながら調査できます。例えば、ntt というワードで検索すると、自社の提供する ISP 配下で、明らかに Mirai に感染して bot 化されたような端末が見つかります。

「アルファアイコンオフィシャルショップサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ（転載）

「アルファアイコンオフィシャルショップサイト」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ
alphaicon.com/news-details/1…

2021年10月20日

お客様各位

株式会社アイコンズ

弊社が運営する「アルファアイコンオフィシャルショップサイト」への

不正アクセスによる個人情報漏えいに関するお詫びとお知らせ

このたび、以下のサイト

「アルファアイコンオフィシャルショップサイトhttps://shop-alphaicon.com/」

におきまして、第三者による不正アクセスを受け、クレジットカード情報（93件）が漏洩した可能性があることが判明いたしました。

関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび郵送にてお詫びとお知らせを個別にご連絡申し上げております。

今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

記

1.経緯

2021年7月12日、契約する保守会社から、サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受け、2021年7月12日「アルファアイコンオフィシャルショップサイト」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2021年8月18日、調査機関による調査が完了し、2021年7月6日～2021年7月12日の期間に　「アルファアイコンオフィシャルショップサイト」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2.個人情報漏洩状況

(1)原因

　「アルファアイコンオフィシャルショップサイト」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2021年7月6日～2021年7月12日の期間中に「アルファアイコンオフィシャルショップサイト」においてクレジットカード決済をされたお客様93名で、漏洩した可能性のある情報は以下のとおりです。

・カード名義人名

・クレジットカード番号

・有効期限

・セキュリティコード

上記に該当する93名のお客様については、別途、電子メール、書面にて個別にご連絡申し上げます。

3.お客様へのお願い

　既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせいただきますよう、併せてお願い申し上げます。

　なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社に依頼しております。

4.公表が遅れた経緯について

2021年7月12日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5.再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

具体的には漏洩のあったシステムを、破棄し新たなシステムにてサイトを再構築しております。

改修後の「アルファアイコンオフィシャルショップサイト」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2021年10月1日に報告済みであり、また、所轄警察署にも2021年10月1日被害申告しており、今後捜査にも全面的に協力してまいります。

プレスリリース（バックアップ）