2022年2月16日～28日 サイバー攻撃タイムライン / 16-28 February 2022 Cyber Attacks Timeline

16-28 February 2022 Cyber Attacks Timeline:

ロシアのウクライナ侵略は、必然的にサイバー空間にも影響を及ぼすことになりました。

ランサムウェアによる攻撃は続いており、このタイムラインでも少なくとも1件の非常に有名な犠牲者が出ていますが、より高いレベルの活動を示しているのはロシア・ウクライナ戦線であり、ウクライナの企業に対する追加攻撃が DDoS、スピアフィッシングキャンペーン、HermeticWiper という新しい破壊的マルウェアによって実施されています。そして、もう一方の戦線では、ロシア政府に宣戦布告し、データを流出させ、複数のロシア機関（主に報道機関、銀行、さらにはクレムリン）に長期にわたるDDoS攻撃を加えているAnonymous集団があります（そして、この攻撃も次のタイムラインを特徴付けることになると思われます）。

ランサムウェアは引き続き脅威を特徴づけています。

また、フィンテック分野の企業に対する大規模な攻撃も続いています。NFT OpenSeaプラットフォームのユーザー17人が、200万ドル相当の損害を受け、大変な目にあいました。

例によって、このタイムラインには複数のサイバースパイ活動が登場します。中国発の新しいステルス型バックドア「Daxin」が発見され、2年以上隠されて、複数の組織に対して展開されました。同様に、このタイムラインには、以下のような複数の既知のアクターが登場します。OilRigとMuddyWater（イラン）、APT10とAPT27（中国）、Sandworm（ロシア）。このリストには、TunneVisionと呼ばれるイランの攻撃者（VMware Horizonサーバー上のLog4jを悪用）と、米国の防衛関連企業（CDC）を標的としたロシアの攻撃者による2つの新しいオペレーションも含まれています。

日本関連は2件でした。

美容製品のeコマースを展開するACROが公表した情報漏えい事件で、10万枚以上の決済カードの情報が流出した。この情報漏洩は、第三者である決済処理ベンダーの脆弱性が利用された結果です。

トヨタ自動車は、重要部品のサプライヤーの1つである小島工業がランサムウェア攻撃を受けたと報じられ、システム障害により自動車の生産業務を停止することを発表しました。

サイトで使っている技術を分析するサイト：built with

私のセキュリティ情報収集法を整理してみた（2022年版）

最近のサイトは特に広告やアクセス分析などで色々なAPI、プラグイン等を使っていますが、攻撃者にそうしたソフトウェアサプライチェーンを狙われている事を考えると、自社でサードパーティサービスを把握しきれていない場合は、このbuilt withを棚卸に使う事も有効なのではないかと思います。

サイトを外部から調査する場合も、手動で調べるよりはこうしたサイトを使う方が、求める情報（例えば何のECサイト構築パッケージを使っているか・・・）にたどり着くのが早い時があります。 

下記は先日紹介した詐欺サイトの調査結果

ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare / OFFICIALY: [Anonymous #OpRedScare] Launched!

OFFICIALY: [Anonymous #OpRedScare] Launched!:

ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare メモ 

#OpRussia からの派生したオペレーション（以下、OP）として #OpRedScare というものが立ち上げられています。

OpRussiaは、当初ロシアをターゲットとしていたOPでしたが、OpRedScare は、ロシアに加え、ベラルーシも含まれていることから別名とされているようです。

主張に関しては、OpRussiaと同じと見て問題ありません。このOPが開始された辺りにアノニマスから出されたメッセージは以下の動画でした。

共有されたドキュメントによるとこのOPの目的は、ロシアとベラルーシのインフラ（銀行、輸送、軍事、エネルギー）を無効にすることですが、一方で、病院、学校などといったヘルスケア / 教育関連サービスへの攻撃は禁止しています。

ターゲットに対する攻撃手法や手順などの共有も行われていました。基本的な手順としては以下のような手順が紹介されていました。「」で記述しているものはソフトウェアの名前です。

1. ロシアのIP空間の特定ポートに「massscan」を実行する。
2. スキャンデータを収集し、何が応答しているのかを確認する。
3. 「SQLmap」、「OpenVAS」、「WPScan」など特定用途に特化したスキャンを実行する。
4. 複数のスキャンとOSINTでデータを検証する。
5. スキャンのデータを元に脆弱性と攻撃コードを発見する。
6. 「Metasploit」などで脆弱性を悪用する。
7. サービスを停止させる

前述の情報以外にも様々な情報が共有されていました。主に共有されていた情報は下記の通りです。

• インターネットにおいて匿名化をはかる方法やツール
• ターゲットの情報収集手段
• WebシェルやcpanelおよびRDPなどのアクセス経路販売サイト
• ターゲットに対する調査結果（DNSやオープンポート情報など）

--         

Dear fellow citizens, children of the planet earth. Today the world woke up different. Today, the world has witnessed a gross and ugly violation of international law, a violation of human rights. Today, the world has witnessed the ugly actions of President Putin, as a self-forgotten Dictator without even thinking about giving a green course to a military operation against a peaceful, Slavic and democratic state.

Anonymous Declares a WAR against Russia Federation.

Operation #OpRedScare launched!

How to Join in this Operation & Supporting:

------------------------------------------------------------------------------------------------------

Operation: #OpUkraine

Join via Web IRC chat: https://webchat.anonops.com/

Channel: /join #OpUkraine

Objects: This is NOT an offensive operation please see #OpRedScare instead || This operation is focused on providing support for Ukrainians

------------------------------------------------------------------------------------------------------

Operation: #OpRedScare

Join via Web IRC chat: https://webchat.anonops.com/

Channel: /join #OpRedScare

Objects: To identitfy Russian infrastructure (banking, transporation, military, energy) | Please do NOT attack any health/education related services as hospital, school etc

www.AnonOps.com

Join IRC in these channels, for the latest news about #OpRedScare & #OpUkraine

Wiresharkによるパケット解析講座 5: Trickbot感染の調査 / Wireshark Tutorial: Display Filter Expressions

Wireshark Tutorial: Display Filter Expressions

概要

ホストが感染した、または侵害されたとき、セキュリティ専門家は、ネットワークトラフィックのパケットキャプチャ（pcaps）にアクセスして、活動の内容を理解し、それがどのような種類の感染であるかを特定しなければなりません。

本チュートリアルでは、Trickbotを特定する方法についてのヒントを提供します。Trickbotは情報窃取を行うバンキングマルウェアで、2016年以降、感染被害が確認されています。Trickbotは悪意のあるスパム（マルスパム）を介して、またはEmotet、IcedID、Ursnifなどのマルウェアによって配信されます。

Trickbotには明確なトラフィックパターンがあります。本チュートリアルでは、2つの異なる経路で起こったTrickbot感染pcapsを確認していきます。1つめはマルスパム経由でのTrickbot感染、2つめはほかのマルウェア経由で配信されたTrickbot感染です。

注意: 本チュートリアルの解説は、この回で行ったカスタマイズ済みWireshark列表示を前提としています。またこの回で解説したWiresharkディスプレイフィルタもすでに実装されているものとしています。まだ完了していない場合はこれらの内容を完了してから読み進めてください。

マルスパム経由のTrickbot

Trickbotは多くの場合マルスパム経由で配信されます。マルスパムには、請求書や文書を偽装したリンクが含まれていて、そのリンクから悪意のあるファイルをダウンロードさせようとします。ダウンロードされるファイルは、TrickbotのWindows実行可能ファイルの場合もあれば、Trickbot実行可能ファイルのためのダウンローダーである場合もあります。あるいは、電子メール内のリンクを使い、Trickbotの実行可能ファイルや、ダウンローダーを含むzipアーカイブを返してくる場合もあります。

下図は、2019年9月に発生した感染事例のフローチャートです。この事例では、メールにリンクが含まれていて、クリックするとzipアーカイブを返すようになっていました。このzipアーカイブには、Windowsショートカットファイルが含まれていて、そのショートカットファイルがTrickbot実行可能ファイルをダウンロードします。このTrickbot感染に関連するpcapは、こちら（バックアップ）に保存してあります。

このpcapは、パスワードで保護されたzipアーカイブファイル「2019-09-25-Trickbot-gtag-ono19-infection-traffic.pcap.zip」内に入っています。パスワードには「infected」と入力し、zipアーカイブからpcapを抽出したらWiresharkで開いてください。開いたら、前回までの講座で作成したディスプレイフィルタ、「basic」を適用して、Webベースの感染トラフィックを確認してください(下図参照)。

このトラフィックからは、最近のTrickbot感染でよく見られる次の活動が確認できます。

• 感染したWindowsホストがIPアドレスの確認をしている
• 447/tcp、449/tcp経由でHTTPS/SSL/TLSのトラフィックが発生している
• 8082/tcp経由でHTTPのトラフィックが発生している
• 「.png」で終わるHTTPリクエストがあり、Windows実行可能ファイルを返している

このTrickbot感染に特有なのは、www.dchristjan[.]comに対するHTTPリクエストがzipアーカイブを返していること、そして144.91.69[.]195に対するHTTPリクエストがWindows実行可能ファイルを返していることでしょう。

ではここで、下図に示す手順でwww.dchristjan[.]comあてのリクエストを確認してみましょう。パケットを右クリックしてコンテキストメニューを開き、[Follow(追跡)]、[HTTP Stream(HTTPストリーム)]の順に選択してトラフィックを確認します。

表示されたHTTPストリームから、zipアーカイブが返されている痕跡を確認できます(下図参照)。

上図からは、zipアーカイブに含まれるファイル名が「InvoiceAndStatement.lnk」であることも確認できます。

Wiresharkでは、トラフィックからzipアーカイブをエクスポートすることができます。

 [File(ファイル)]、[Export Objects(オブジェクトをエクスポート)]、[HTTP]を選択

HTTPオブジェクトのリストからContent Typeがapplication/zipの行を選んで[Save(保存)]をクリック

お使いの環境がBSD系、Linux系、Mac OS X 環境であれば、続けてコマンドラインから、エクスポートしたファイルがzipアーカイブであることを簡単に確認し、ファイルのSHA256ハッシュ値を確認し、アーカイブ内容を展開することができます。この事例のアーカイブ内容はWindowsショートカットファイル(InvoiceAndStatement.lnk)なので、下図に示すようにSHA256ハッシュを確認して取得することもできます。

ファイルの種類を識別するコマンドは file [ファイル名] です。また、このファイルに対応するSHA256ハッシュ値は、shasum -a 256 [ファイル名] コマンドで得られます。

さて、144.91.69[.]195へのHTTPリクエストはWindows実行可能ファイルを返していました。これはTrickbotが初期に利用するWindows実行可能ファイルです。このHTTPリクエストのHTTPストリームを追跡すると、これが実行可能ファイルであることを示す痕跡を見つけることができます。

またpcapからは、この実行可能ファイルを抽出することができます。

初期感染トラフィックに見られるのは、443/tcp、447/tcp、449/tcp経由のHTTPS/SSL/TLSトラフィックと、感染WindowsホストからのIPアドレス確認です。この例での感染の場合、Trickbot実行可能ファイルのHTTPリクエストの直後に443/tcp経由で複数のIPアドレスに対してTCP接続が試行され、その後449/tcp経由で187.58.56[.]26へのTCP接続が成功している様子が確認できます。

以前の講座で作成したディスプレイフィルタ「basic+」を使うと、これらのTCP接続試行を確認できます。

447/tcp、449/tcp経由で行われたさまざまなIPアドレスへのHTTPS/SSL/TLSトラフィックからは、まともなものではない証明書のデータが見つかります。

証明書の発行者を確認するには、Wireshark 2.xでは「ssl.handshake.type == 11」でフィルタリングします。Wireshark 3.xを使っている場合は、「tls.handshake.type == 11」でフィルタリングします。次に、フレームの詳細セクションに移動して情報を展開し、下図に示した手順に従って証明書発行者データを見つけます。

赤い四角で囲んだ部分が証明書発行者の情報

上図からは、以下の証明書発行者データが、449/tcpを介した187.58.56[.]26へのHTTPS/SSL/TLSトラフィックで使用されていることがわかります。

• id-at-countryName=AU
• id-at-stateOrProvinceName=Some-State
• id-at-organizationName=Internet Widgits Pty Ltd

まともなHTTPS/SSL/TLSトラフィックであれば、州や県の名前が「Some-State」であったり、組織名が「Internet Widgits Pty Ltd」になっていたりすることはありえません。これらは、これが悪意のあるトラフィックであることを示す痕跡です。また、証明書発行者データにこうした異常が見られるのは、Trickbotに限ったことではありません。

では、まともなHTTPS/SSL/TLSトラフィックの正常な証明書発行者とは、どのように見えるものなのでしょうか。これについては、同じpcap内で先に発生していたMicrosoftのドメイン72.21.81.200への443/tcpのトラフィックを見るとよいでしょう。これは、下図に示すような内容であることがわかります。

• id-at-countryName=US
• id-at-stateOrProvinceName=Washington
• id-at-localityName=Redmond
• id-at-organizationName=Microsoft Corporation
• id-at-organizationUnitName=Microsoft IT
• id-at-commonName=Microsoft IT TLS CA 2

Trickbotに感染したWindowsホストは、さまざまなIPアドレス確認用サイトを使用してIPアドレスを確認します。これらの確認サイト自体は悪意があるものではありませんし、トラフィックそのものも本質的には悪意はありません。ただし、この手のIPアドレス確認行為は、Trickbotその他のマルウェアファミリ全般によく見られるものです。なおTrickbotの場合、以下を含む正当なIPアドレス確認サービスを利用しています。

• api.ip[.]sb
• checkip.amazonaws[.]com
• icanhazip[.]com
• ident[.]me
• ip.anysrc[.]net
• ipecho[.]net
• ipinfo[.]io
• myexternalip[.]com
• wtfismyip[.]com

繰り返しますが、IPアドレスの確認自体はとくに悪意のある行為ではありません。ただ、IPアドレスの確認と他のネットワークトラフィックでの行為があわされば、本事例で見てきたとおり、感染の指標として使えるようになります。

449/tcp経由のHTTPS/SSL/TLSトラフィックの直後に感染WindowsホストがIPアドレスの確認をしている。
それ自体に悪意はないものの、このIPアドレス確認はTrickbot感染によって起こる活動の一部

現時点のTrickbotによる感染は、8082/tcp経由のHTTPトラフィックを生成します。このトラフィックは、感染ホストからのシステム情報、ブラウザキャッシュとメールクライアントのパスワードといった情報を送信します。この情報は、感染ホストからTrickbotが使うコマンド&コントロール(C2)サーバーに送信されます。

C2とのトラフィックを確認するには、次のWiresharkフィルタを使用します。

http.request and tcp.port eq 8082

このフィルタを適用すると、以下のHTTPリクエストを確認できるようになります。

• 170.238.117[.]187 port 8082 - 170.238.117[.]187 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/81/
  
  
• 170.238.117[.]187 port 8082 - 170.238.117[.]187 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/83/
  
  
• 170.238.117[.]187 port 8082 - 170.238.117[.]187 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/81/
  
  
• 170.238.117[.]187 port 8082 - 170.238.117[.]187:8082 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/81/
  
  
• 170.238.117[.]187 port 8082 - 170.238.117[.]187:8082 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/90
  
  
• 170.238.117[.]187 port 8082 - 170.238.117[.]187:8082 - POST /ono19/BACHMANN-BTO-PC_W617601.AC3B679F4A22738281E6D7B0C5946E42/90

「81」で終わるHTTP POSTリクエストは、webブラウザや電子メールクライアントなどのアプリケーションにキャッシュされたパスワードデータを送信しています。「83」で終わるHTTP POSTリクエストは、webブラウザなどのアプリケーションが送信したフォームデータを送信しています。また、「90」で終わるHTTP POSTリクエストは、システム情報を送信していることが確認できます。これらHTTP POSTリクエストのどれか1つをTCPストリームないしHTTPストリームとして追跡すれば、この感染で窃取されたデータを確認できます。

「81」で終わるHTTP POSTリクエストの内容を追跡したところ。Chrome webブラウザからTrickbotに窃取されたログイン資格情報(webサイト、ユーザー名、パスワード、Chrome保存のパスワード)。このデータは、Trickbot感染ホストから8082/tcpを経由のHTTPトラフィックによって送信されている

「90」で終わるHTTP POSTリクエストの内容を追跡したところ。Trickbot感染ホストが8082/tcp経由のHTTPトラフィックで送信していたシステムデータ。データは実行中のプロセスリストから始まっている

「90」で終わるHTTP POSTリクエストの内容追跡続き。で開始した同じHTTPストリームの続き。Trickbot感染ホストが8082/tcp経由のHTTPトラフィックでシステムデータを送信している

TrickbotはHTTP GETリクエストを使い、「.png」で終わるWindows実行可能ファイルをさらに送信してきます。Trickbotのフォローアップを行うこれらの実行可能ファイルは、感染WindowsホストがActive Directory環境のクライアントの場合、脆弱なドメインコントローラ（DC）に感染するために使用されます。

次のWiresharkフィルタを使うと、pcap内にあるこれらHTTP GETリクエストのURLを見つけることができます。

http.request and ip contains .png

フィルタリングで見つかった3つのGETリクエストそれぞれについて、TCPストリームないしHTTPストリームを追跡してください。Windows実行可能ファイルの痕跡が見つかるはずです。ただしこの事例でのHTTPレスポンスヘッダは、それが明らかにWindows実行可能ファイルやDLLファイルであっても、返されたファイルを「image/png」だと識別しています。

末尾が「.png」のURLを使って送信されたWindows実行可能ファイル。Content-Typeは「image/png」と認識されてしまっているが、実際にはEXEやDLLなどの実行可能ファイルであることが先頭2バイトのマジックナンバーが「MZ」であることから確認できる

これらのファイルについても、先に説明した手順でWiresharkからエクスポートし、Windows実行可能ファイルであることを確認し、SHA256ファイルハッシュを取得することができます。

他のマルウェアによって配信されるTrickbot

Trickbotはほかのマルウェアによって配信されることも多くあります。たとえばTrickbotはEmotetによる感染でフォローアップ用マルウェアと見なされることが多いですし、IcedIDやUrsnifなど別のマルウェアに感染した場合のフォローアップにもよく使われます。

ただやはりEmotetがTrickbotを配信する例が多いので、ここではEmotetとTrickbotの感染について確認してみることにしましょう。本チュートリアルではTrickbotの活動に焦点を当てたいと思います。

Trickbot + Emotet の活動を表す簡易フローチャート。Emotetに感染し、Emotetの感染後活動が見られた後、Trickbotに二次感染し、Trickbotの感染後活動が続く

対応するpcapはこちらのページ（バックアップ）からをダウンロードしてください。このpcapは、パスワードで保護されたzipアーカイブファイル「2019-09-25-Emotet-infection-with-Trickbot-in-AD-environment.pcap.zip」内にあります。パスワードには「infected」と入力し、zipアーカイブからpcapを抽出してWiresharkで開いてください。前回までの講座で作成したディスプレイフィルタ「basic」を適用して、webベースの感染トラフィックを確認します(下図参照)。

経験豊かなアナリストであれば、Emotetの生成するトラフィックとTrickbotの生成するトラフィックとをひと目で識別できるでしょう。Emotetによる感染後活動は、HTTPトラフィックでサーバーからエンコードデータを受信する内容となっています。これはコマンド&コントロール通信にHTTPS/SSL/TLSトラフィックを使うTrickbotの感染後の活動とは明らかに異なります。たとえば、下図に2019年9月の感染事例で確認されたEmotetとTrickbotの感染トラフィックを示していますが、この図からも両者が極めて異なっていることがわかります。

この特定の感染例は、感染Windowsクライアントが10.9.25.102、DCが10.9.25.9というActive Directory環境で発生したものです。トラフィックの最後のあたりに、DCがTrickbotに感染した兆候が見られます（下図参照）。

では、クライアントからどのようにしてDCに感染が広がったのでしょうか。Trickbotはある特定のEternalBlueエクスプロイトを使い、MicrosoftのSMBプロトコルを介して横展開します。この事例で感染Windowsクライアントは、445/tcp経由で10.9.25.9のDCに情報を数回送信した後、Trickbot実行可能ファイルを185.98.87[.]185/wredneg2.pngから受信していました。

「basic+」フィルタを使い、DCが185.98.87[.]185に通信を張る直前の、10.9.25.102のクライアントと10.9.25.9のDCとのトラフィックのSYNセグメントをフィルタリング表示してみましょう(下図参照)。

DCが196.98.87[.]185/wredneg2.pngからTrickbotの実行可能ファイルを取得する直前、10.9.25.102のクライアントから10.9.25.9のDC（灰色で表示）へのトラフィックを「basic+」フィルタでフィルタリング表示

TCPストリームをどれか1つ選び、右クリックしてコンテキストメニューから[追跡]を実行してください。ここでは、接続元が10.9.25.102、接続元のTCPポートが49321、接続先が10.9.35.9、接続先TCPポートが445の行を追跡しています。このトラフィックはクライアントがDCに送るものとしてはかなり特異な内容であるため、EternalBlueエクスプロイトに関連したものと考えられます。このトラフィックを表示したのが下図です。

445/tcp経由でクライアントからDCへ送信された特異なトラフィックの例。おそらくEternalBlueベースのエクスプロイトに関連している

この特異なSMBトラフィックとDCの感染を除けば、こちらのpcapで見られたTrickbot特有の活動は、マルスパムのpcapで見られた内容と非常によく似ています。

クレディセゾン、永久不滅ポイントによるウクライナ支援の募金受付を開始

クレディセゾン、永久不滅ポイントによるウクライナ支援の募金受付を開始:

クレディセゾンは、2022年3月4日（金）～4月15日（金）まで、永久不滅ポイントによるウクライナ支援の募金受付を開始した。

セゾンカードやUCカードの利用で貯まる永久不滅ポイントでウクライナへの募金が可能となる。100ポイント＝500円として100ポイント単位で受け付ける。

1度の交換は最大99口となるため、100口以上の交換の場合は、複数に分けて手続きすることで寄付が可能だ。

春夏秋冬理論とは～諸々の12という周期を4分割して考える～

人生の波があるとして、その波に乗るためにはどうしたらいいだろうか？

そんな問いに対する答えの一つとして、「春夏秋冬理論」がある。

これは、季節が春、夏、秋、冬と流れがあるように、人生にも流れがあるという考え方である。

この理論は4000年の歴史がある西洋占星術と、東洋占星術との融合により生まれた理論で、これをベースに人生をSカーブで分かりやすくしたものとなり、全ての事象は12星座や12支や12ヵ月で使われている数字と同じ12のサイクルで回っていて、人生においても12年で一巡りする という考え方となる。

JPモルガンの格言に「億万長者は占いを信じないが、大富豪は活用する」というのがあるようで、占いは知らないよりも知っておいたほうが良い「情報」であり、先人の知恵と考えます。

つまり、「信じる、信じない」ではなく、「活用する、活用しない」がポイントとなります。

春夏秋冬は3年ごとに移り変わり、冬（3年）、春（3年）、夏（3年）、秋（3年）の12年がひとサイクルとなる。

それぞれの季節でのポイントは以下の通り

■冬：これから12年の種をまく（資格取得、仕組みづくり等、広く薄くいろいろチャレンジ）

■春：水をやりつつ選択と集中（冬でまいた広くチャレンジした中から伸びそうなものを選択し注力。物事はミドルスピードで）

■夏：春に育てた芽が開花（春に取捨選択した芽が大きく開花する。物事はフルスピードで。一番忙しい季節）

■秋：これまでの季節の過ごし方が結果となって表れる時期（収穫するだけ。仕掛けてはいけない）

下記のサイトで、自分が今どの季節なのかを知ることができる。

https://seasons-net.jp/

自分が尊敬する人の一人、ウラケンさんも参考にしているらしい。

【祝】「podcast - #セキュリティのアレ」総務大臣奨励賞受賞

「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表 

soumu.go.jp/menu_news/s-news…

ポッドキャスト番組「セキュリティのアレ」が2021年度 総務大臣奨励賞を受賞──運営者のひとり、IIJ 根岸にインタビュー

セキュリティ専門のポッドキャスト「セキュリティのアレ」(https://www.tsujileaks.com/)の配信を通じ、セキュリティエンジニアや研究者、様々な組織のセキュリティ担当者、セキュリティの世界を志す学生などに対し、サイバーセキュリティに係る国内外の最新の情報を、ユーモアを交えつつ、適時かつ平易に、継続的に提供することで、我が国のサイバーセキュリティの向上に多大な貢献をした。

ランサムウエアギャング”Pandora”が"GlobalWafers Japan"をハッキングしたと主張

DarkTracer : DarkWeb Criminal Intelligence retweeted: [ALERT] Pandora gang has announced "GlobalWafers Japan" on the victim list.:

GlobalWafers(グローバルウェーハズ)：台湾のハイテク製造会社で、世界第3位のシリコンウエハーサプライヤーである。(wikipedia)

プレスリリース（アーカイブ）

ウクライナ危機で航空界が対応、ロシア航空機の米国領空通過を禁止 / Russian Aircraft Banned from U.S. Airspace as Aviation World Responds to Ukraine Crisis

Russian Aircraft Banned from U.S. Airspace as Aviation World Responds to Ukraine Crisis: 

ロシア連邦とそこに運航する航空会社の両方に対する制裁のリストは増えており、相互接続契約の取り消し、空域の閉鎖、航空機の運航を維持するための支援の縮小などが含まれています。

米国とEUが空域を閉鎖、企業は協定を取り消し

CNNによると、EU加盟国、英国、カナダはいずれも、「ロシア所有、ロシア登録、ロシア支配」の航空機をすべて領空封鎖したという。これには、アエロフロート航空とS7航空が運航する民間航空機と、すべての民間航空機が含まれる。

 米国は2022年3月1日（火）、ジョー・バイデン大統領が一般教書演説でロシアへの継続的な対応としてこの措置を発表し、多くのNATO同盟国とともに空域を閉鎖することになりました。その後、連邦航空局が発表した速報では、2022年3月2日（水）午後9時（東部標準時）から禁止が開始されると発表されました。

空域が閉鎖されるとはいえ、すでにいくつかの航空会社は、ロシアに拠点を置く2大航空会社との関係を断つという異例の措置をとった。アメリカン航空、アラスカ航空、デルタ航空の3社は、アエロフロートとS7の両社とのコードシェアおよびインターライン契約を停止することを発表した。アラスカ航空とアメリカン航空は、ワンワールド・アライアンスを通じてS7航空と提携関係にあり、デルタ航空はスカイチームを通じてアエロフロートと提携関係にあります。どちらのアライアンスも、ロシアの航空会社の将来についてコメントしていません。

さらに事態を複雑にしているのは、大手民間航空機メーカーがいずれもロシアの航空会社に対するサービスを停止していることだ。ガーディアンによると、エアバスとボーイングの両社は、部品や航空機のサポート、訓練など、航空会社へのサポートを停止しているという。ボーイング社はモスクワに訓練キャンパスを有しているが、シカゴに本社を置く航空宇宙企業はロイター通信に、モスクワでの業務を一時停止していると語った。 

ロシアの航空業界を崩壊させる可能性のある航空禁輸措置

空港へのアクセスや他の航空会社や大手航空宇宙企業からのサポートがなければ、ロシアの航空会社のその場しのぎの禁輸措置は、国の産業にとって大きな問題を引き起こす可能性がある。Aviation International Newsの社説は、制裁によって航空機の安全性が損なわれるだけでなく、航空会社が保険を利用できなくなり、航空機のリースがキャンセルされる可能性があり、その結果、ロシアの航空会社が倒産に陥る可能性があると指摘している。

ウクライナにおけるサイバーオペレーションに関連した情報をCurated Intelがまとめてくれてる！ありがたい。

ウクライナにおけるサイバーオペレーションに関連した情報をCurated Intelがまとめてくれてる！ありがたい。 
github.com/curated-intel/…

Access Brokers

Date	Threat(s)	Source
23 JAN	Access broker "Mont4na" offering UkrFerry	RaidForums [not linked]
23 JAN	Access broker "Mont4na" offering PrivatBank	RaidForums [not linked]
24 JAN	Access broker "Mont4na" offering DTEK	RaidForums [not linked]
27 FEB	KelvinSecurity Sharing list of IP cameras in Ukraine	vHUMINT [closed source]
28 FEB	"w1nte4mute" looking to buy access to UA and NATO countries (likely ransomware affiliate)	vHUMINT [closed source]

Data Brokers

Threat Actor	Type	Observation	Validated	Relevance	Source
aguyinachair	UA data sharing	PII DB of ukraine.com (shared as part of a generic compilation)	No	TA discussion in past 90 days	ELeaks Forum [not linked]
an3key	UA data sharing	DB of Ministry of Communities and Territories Development of Ukraine (minregion[.]gov[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
an3key	UA data sharing	DB of Ukrainian Ministry of Internal Affairs (wanted[.]mvs[.]gov[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (40M) of PrivatBank customers (privatbank[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	DB of "border crossing" DBs of DPR and LPR	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (7.5M) of Ukrainian passports	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB of Ukrainian car registration, license plates, Ukrainian traffic police records	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (2.1M) of Ukrainian citizens	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (28M) of Ukrainian citizens (passports, drivers licenses, photos)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (1M) of Ukrainian postal/courier service customers (novaposhta[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (10M) of Ukrainian telecom customers (vodafone[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (3M) of Ukrainian telecom customers (lifecell[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
CorelDraw	UA data sharing	PII DB (13M) of Ukrainian telecom customers (kyivstar[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
danieltx51	UA data sharing	DB of Ministry of Foreign Affairs of Ukraine (mfa[.]gov[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
DueDiligenceCIS	UA data sharing	PII DB (63M) of Ukrainian citizens (name, DOB, birth country, phone, TIN, passport, family, etc)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
Featherine	UA data sharing	DB of Ukrainian 'Diia' e-Governance Portal for Ministry of Digital Transformation of Ukraine	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
FreeCivilian	UA data sharing	DB of Ministry for Internal Affairs of Ukraine public data search engine (wanted[.]mvs[.]gov[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
FreeCivilian	UA data sharing	DB of Ministry for Communities and Territories Development of Ukraine (minregion[.]gov[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
FreeCivilian	UA data sharing	DB of Motor Insurance Bureau of Ukraine (mtsbu[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
FreeCivilian	UA data sharing	PII DB of Ukrainian digital-medicine provider (medstar[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
FreeCivilian	UA data sharing	DB of ticket.kyivcity.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of id.kyivcity.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of my.kyivcity.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of portal.kyivcity.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of anti-violence-map.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dopomoga.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of e-services.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of edu.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of education.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of ek-cbi.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mail.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of portal-gromady.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of web-minsoc.msp.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of wcs-wim.dsbt.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of bdr.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of motorsich.com	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dsns.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mon.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of minagro.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of zt.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of kmu.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dsbt.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of forest.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of nkrzi.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dabi.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of comin.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dp.dpss.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of esbu.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mms.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mova.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mspu.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of nads.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of reintegration.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of sies.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of sport.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mepr.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mfa.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of va.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mtu.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of cg.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of ch-tmo.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of cp.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of cpd.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of hutirvilnij-mrc.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dndekc.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of visnyk.dndekc.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of dpvs.hsc.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of odk.mvs.gov.ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of e-driver[.]hsc[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of wanted[.]mvs[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of minregeion[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of health[.]mia[.]solutions	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mtsbu[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of motorsich[.]com	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of kyivcity[.]com	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of bdr[.]mvs[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of gkh[.]in[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of kmu[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mon[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of minagro[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
FreeCivilian	UA data sharing	DB of mfa[.]gov[.]ua	No	TA discussion in past 90 days	FreeCivilian .onion [not linked]
Intel_Data	UA data sharing	PII DB (56M) of Ukrainian Citizens	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
Kristina	UA data sharing	DB of Ukrainian National Police (mvs[.]gov[.]ua)	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
NetSec	UA data sharing	PII DB (53M) of Ukrainian citizens	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
Psycho_Killer	UA data sharing	PII DB (56M) of Ukrainian Citizens	No	TA discussion in past 90 days	Exploit Forum .onion [not linked]
Sp333	UA data sharing	PII DB of Ukrainian and Russian interpreters, translators, and tour guides	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
Vaticano	UA data sharing	DB of Ukrainian 'Diia' e-Governance Portal for Ministry of Digital Transformation of Ukraine [copy]	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]
Vaticano	UA data sharing	DB of Ministry for Communities and Territories Development of Ukraine (minregion[.]gov[.]ua) [copy]	No	TA discussion in past 90 days	RaidForums [not linked; site hijacked since UA invasion]

Vetted OSINT Sources

Handle	Affiliation
@KyivIndependent	English-language journalism in Ukraine
@IAPonomarenko	Defense reporter with The Kyiv Independent
@KyivPost	English-language journalism in Ukraine
@Shayan86	BBC World News Disinformation journalist
@Liveuamap	Live Universal Awareness Map (“Liveuamap”) independent global news and information site
@DAlperovitch	The Alperovitch Institute for Cybersecurity Studies, Founder & Former CTO of CrowdStrike
@COUPSURE	OSINT investigator for Centre for Information Resilience
@netblocks	London-based Internet's Observatory