国際カンファレンス参加レポート ~Black Hat USA, DEF CON~ - JPCERT/CC Eyes
こんにちは。JPCERT/CC 国際部の中野です。2023年8月9日から13日にかけて、世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加してきましたので、その様子をご紹介します。 なお、私がカンファレンスで聴講した発表は技術的な内容のものではなく、ポリシー(法や政策)にフォーカスしたものになるため、このブログ記事でそういった国際セキュリティカンファレンスの「ポリシーサイド」を知っていただければ幸いです。 各カンファレンスの様子 Black Hat USAは1997年からアメリカ、ネバダ州のラスベガスで開催されているセキュリティカンファレンスで、マルウェアや攻撃手法、脆弱性の分析だけでなく、サイバーセキュリティに関する法律・制度、サイバーセキュリティ業界の雇用など、サイバーセキュリティについて幅広い
MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - - JPCERT/CC Eyes
JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック(以降本記事ではMalDoc in PDFとする)が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。 なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成され
Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes
JPCERT/CCでは、2023年2月頃、国内のルーターにマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。 マルウェア実行までの攻撃の流れ 初めに攻撃者はWEBUIが外向けに開いているルーターを狙って脆弱性などを使用し、各種スクリプトを実行した後、最終的にマルウェアGobRATを感染させます。図1は、マルウェアGobRATがルーターに感染するまでの攻撃の流れです。 Loader Script には主に次の機能があり、各種スクリプトの生成やGobRATのダウンロードを行うなど、ローダーの役割を担っています。なお、バックドア用と推測されるSSH公開鍵は Loader Script 内にハードコードされています。 Loader Script はcrontabを使って Start Script のフ
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
JPCERT/CCが確認したフィッシングサイトのURLを公開 - JPCERT/CC Eyes
前回公開した2021年度のフィッシングサイトドメインの傾向を紹介したブログを公開後、フィッシングサイト情報を提供して欲しいという要望を多くいただいたため、この度、2019年1月から2022年6月までのJPCERT/CCが確認したフィッシングサイトのURLデータを公開しました。フィッシングサイトのURLデータは、以下のGitHubレポジトリを通じて公開しています。 Phishing URL dataset from JPCERT/CC https://github.com/JPCERTCC/phishurl-list/ 各カラムの情報は以下のとおりです。 date: 確認した日付 URL: フィッシングサイトURL全体 description: 騙られたブランド情報 本公開情報は、JPCERT/CCに報告されたフィッシングサイト情報をもとに、フィッシングコンテンツの確認ができたサイトの情報で
攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes
JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。 https://github.com/JPCERTCC/Lazarus-research/ 上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot(資料内では、Kaosと記載していますが、本ブログではYamaBotと記載します)について、Windows OSをターゲットにしたものが最近確認されました。YamaBotは、Go言語で作成されたマルウェアで、各プラットホーム向けに作成されたマルウェア間で機能が多少異なります。YamaBot以外にも、攻撃グループLazarusは、VSingleなどマルチプラットフォームをターゲットにしたマルウェアを複数使用しています。
なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ - JPCERT/CC Eyes
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
サイバー攻撃被害情報の共有と公表のあり方について - JPCERT/CC Eyes
2022年4月20日、総務省、経済産業省、警察庁、NISCの連名にて、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」と題する報道発表が行われました。JPCERT/CCはこの検討会について、各省庁とともに事務局を担当する予定です。 JPCERT/CCがサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会に事務局として参加 この検討にあたって、JPCERT/CCがこれまでどのような問題意識を持ち、論点整理や提言を行ってきたのか、2020年度に総務省調査研究事業としてJPCERT/CCが実施した「サイバー攻撃被害情報の共有と公表のあり方について」と題した調査・検討[1]の報告内容も踏まえて、簡単にご紹介したいと思います。 被害組織がお詫び? サイバー攻撃の被害組織がプレスリリースを出す場合、「お詫び」といった謝罪の言葉がよく用いられます。確かに、個人情報や営業秘密の漏
Anti-UPX Unpackingテクニック - JPCERT/CC Eyes
Windows OSを狙うマルウェア(PEフォーマット)は、コードの分析を困難にするためのさまざまな難読化やパッキングが行われており、その種類は多岐にわたります。それに比べて、Linux OSを狙うマルウェア(ELFフォーマット)のパッキング手法は数が限られており、ほとんどの場合UPXやUPXベースのパッキング手法が用いられています。 今回は、Linux OSを狙うマルウェアによくみられる、upxコマンドでのアンパックを困難にするAnti-UPX Unpackingテクニックについて解説します。 Anti-UPX Unpackingテクニックを使用したマルウェア Anti-UPX Unpackingテクニックを使用した最も有名なマルウェアは、IoT機器をターゲットに感染を広げているマルウェアMirai、およびそれらの亜種のマルウェアです。図1は、UPXパッキングされたバイナリとMiraiの
制御システムセキュリティカンファレンス 2022 開催レポート - JPCERT/CC Eyes
2022年2月3日に制御システムセキュリティカンファレンス2022を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年の初回開催から毎年実施し、今回の開催で14回目となります。 前回、はじめてオンラインで開催したところ、首都圏を中心に北海道から九州まで、全国各地よりご参加いただいたことから、今回もオンライン開催とし、440名の方々に視聴参加をいただきました。JPCERT/CC Eyesでは開催レポートとして、開会・閉会のご挨拶および6つの講演の様子を紹介いたします。 開会挨拶 経済産業省 サイバーセキュリティ・情報化審議官 江口 純一 経済産業省サイバーセキュリティ・情報化審議官の江
仮想通貨マイニングツールの設置を狙った攻撃 - JPCERT/CC Eyes
痕跡削除攻撃者はマイニングツールを配信した後、侵入したサーバーについて以下のログファイルの中身を/dev/nullとすることで、痕跡を削除していました。 /var/log/security /var/log/wtmp /var/log/btmp /var/log/utx.lastlog /var/log/utx.log また、/var/log配下にある各ログファイルから、指定した文字列が含まれる行を削除するスクリプトが使用されていました。以下に、使用されたbashスクリプトの一部を示します。 #!/bin/bash echo " Linux Hider v2.0 by mave" echo " enhanced by me! " echo "[+] [Shkupi Logcleaner] Removing $1 from the logs........ ." echo "" if [ -
マルウェアEmotetのテイクダウンと感染端末に対する通知 - JPCERT/CC Eyes
(更新日時 2021年11月19日) 本記事は2021年5月時点の記事のため、古い内容が含まれます。 2021年1月のテイクダウン作戦により当時のEmotetは全て停止しましたが、2021年11月14日よりEmotetが活動を再開したことを確認しています。 2019年10月以降、日本国内にてEmotetの感染事例が急増し、JPCERT/CCではこれまで注意喚起の発行や感染が疑われる場合の調査手順を公開し注意を呼び掛けていました。 2021年1月にEuropolは欧米各国の共同作戦によるEmotetのテイクダウンを発表しましたが、以後、各国CERTのネットワークを介して被害者への通知を行うことが示されています。日本国内では引き続きEmotetの感染端末が存在しており、JPCERT/CCでは国内外の各国機関等と連携し、利用者へ通知をしています。 本ブログ記事では、2章、3章でEmotetのテイ
マルウェアLODEINFOのさらなる進化 - JPCERT/CC Eyes
前回、前々回のブログで、日本国内の組織を狙ったマルウェアLODEINFOの機能や進化について紹介してきましたが、JPCERT/CCでは今年も引き続きLODEINFOを利用した活発な攻撃を確認しています。機能の拡張も継続して行われており、未実装だったコマンドの実装や、新たなコマンドの追加などを確認しています。 今回は、前回と同様に、LODEINFOに追加されたアップデート内容と、最近の攻撃動向について紹介します。 LODEINFOのバージョン 以前のブログで紹介したLODEINFOの最新バージョンはv0.3.6でしたが、現在の最新バージョンはv0.4.8を確認しています。図1は、JPCERT/CCで確認しているLODEINFOのバージョン推移です。 図1:LODEINFOのバージョンの推移 LODEINFOの感染に使用されるWord文書ファイル LODEINFOは、以前に紹介した通り、標的型
攻撃グループLazarusが侵入したネットワーク内で使用するツール - JPCERT/CC Eyes
攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus(Hidden Cobraとも言われる)も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。 今回は、攻撃グループLazarusが使用するツールについて紹介します。 ネットワーク内部での横展開 まずは、ネットワーク内部での横展開(Lateral Movement)に使用されるツールです。AdFindはActive DirectoryからWindowsネットワーク内のクライアントやユーザーの情報を収集することが可能なツールで攻撃グループLazarusに限らず他の攻撃者でも使用されていることが確認されています[1]。SMBMapについては、以前のブログで紹介したとおり、マルウェアを別のホストに
CNA活動レポート 〜日本の2組織が新たにCNAに参加〜 - JPCERT/CC Eyes
2020年12月4日、MITRE社と国内の2組織から、CNA(CVE Numbering Authority)について発表がありました。 The MITRE Corporation LINE Added as CVE Numbering Authority (CNA) Mitsubishi Electric Added as CVE Numbering Authority (CNA) LINE株式会社 LINEがCVE Numbering Authority(CNA)の一員に 三菱電機株式会社 製品セキュリティーへの取組 この発表を受けて、CNAとCVE(Common Vulnerabilities and Exposures)に関して、また関連するJPCERT/CCの活動の近況についてお話します。 CNAの役目は、個別製品の脆弱性に対して、識別子番号CVEを採番して割り当てることです。C
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training 本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま
攻撃グループBlackTech が使用するLinux用マルウエア (ELF_TSCookie) - JPCERT/CC Eyes
以前のJPCERT/CC Eyesで攻撃グループBlackTechが使用するマルウエアTSCookieやPLEAD、IconDownについて説明しましたが、この攻撃グループは他にもいくつかのマルウエアを使用することが分かっています。これまで紹介したマルウエアはWindows OSに感染するものでしたが、JPCERT/CCの調査では、Linux OSに感染するTSCookieやPLEADの亜種が存在することを確認しています。 今回は、攻撃グループBlackTech が使用するLinux 版TSCookieについて紹介します。 TSCookie のWindows版とLinux版の違い Linux 版TSCookieはWindows版と同じコードを多く使用しているため、機能のほとんどが同一です。図1はTSCookie のWindows版とLinux版のコードの一部を比較した結果です。 図 1:T
日本国内の組織を狙ったマルウエアLODEINFO - JPCERT/CC Eyes
JPCERT/CCでは、2019年12月頃に日本国内の組織を狙った標的型攻撃メールを確認しています。 標的型攻撃メールには、これまでJPCERT/CCでは確認していなかった、「LODEINFO」と呼ばれる新たなマルウエアに感染させようとする不正なWord文書が添付されていました。 今回は、新たなマルウエアLODEINFOの詳細について紹介します。 LODEINFOが動作するまでの流れ 図1は、LODEINFOが動作するまでの流れを示しています。 図 1:LODEINFOが動作するまでの流れ JPCERT/CCが確認した検体では、Word文書のマクロを有効化することでLODEINFOがホスト上に作成され、以下のコマンドでrundll32.exeから実行されます。 wmic process call create "cmd /c cd %ProgramData%&start rundll32.
Japan Security Analyst Conference 2020開催レポート~前編~ - JPCERT/CC Eyes
JPCERT/CCは、2020年1月17日に御茶ノ水ソラシティカンファレンスセンターにて Japan Security Analyst Conference 2020 (JSAC2020)を開催しました。本カンファレンスは、日々セキュリティインシデントに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー攻撃に対抗するための技術情報を共有することを目的に開催しています。今回は3回目の開催となり、301名の方々にご参加いただきました。 本カンファレンスでは、講演募集(CFP)に応募いただいた22件の中から8件を採択し、講演いただきました。講演資料はJSACのWebサイトで公開しています。JPCERT/CC Eyesではカンファレンスの様子を2回に分けて紹介します。 オープニングトーク ~2019年のインシデントを振り返る~ 講演者: JPCERT/CC インシデントレスポンスグ
マルウエアEmotetへの対応FAQ - JPCERT/CC Eyes
2019年10月以降、日本国内にてEmotetの感染事例が急増しています。JPCERT/CCでは、次の通り注意喚起を発行しています。 JPCERT/CC: マルウエア Emotet の感染に関する注意喚起 https://www.jpcert.or.jp/at/2019/at190044.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染活動について https://www.jpcert.or.jp/newsflash/2019112701.html JPCERT/CC: CyberNewsFlash マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報) https://www.jpcert.or.jp/newsflash/2020072001.html JPCERT/CC: CyberNewsFlash マルウェ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
