タグ

ブックマーク / blogs.jpcert.or.jp (9)

  • サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~ - JPCERT/CC Eyes

    はじめに 2024年4月23日~26日、NATO CCDCOE主催の国際サイバー演習「Locked Shields 2024」が開催され、JPCERT/CCから筆者を含む5名が参加しました。今回はこうした演習に官民双方が参加することの意義について考えます。 演習の概要等はこれまでにもさまざまな参加者/組織の方の記事が出ていますので、そちらをご覧いただければと思います。 注記:「なぜ、終わってから半年も経って“感想文”を出しているのか」と思われるかもしれませんが、けっして、筆者がサボっていたとか、うっかり忘れていたわけではなく、演習内容に関する情報開示について関係各方面から厳正で丁寧な確認をいただいた、という次第です。 リアルタイムインシデント対応の機会 演習の番はDay0からDay2まで3日間あり、毎日7時間の演習時間内に演習環境上でさまざまなサイバー攻撃が同時多発的に発生し、リアルタイ

    サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~ - JPCERT/CC Eyes
    TakayukiN627
    TakayukiN627 2024/12/26
    リアルタイムインシデントや大規模/同時多発事案のようなシビアなケースについては、ほとんどの組織に対応知見がありません。
  • 「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes

    Top > “その他”の一覧 > 「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― 「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アクティブ・ディフェンス」といった言葉を様々な文書で目にする機会が増えたかと思います。他方で、具体的にどういう行為を示すのか解説されているものは少ないため、困惑される方も多いかと思います。こうしたテーマにおいては、そうした用語の既存の定義を巡る議論になりやすいですが、日々変化する脅威に対抗するアプローチの概念もまた、ケーススタディなどを踏まえて日々進化していく必要があります。今日は具体的な事例を交えながら、これらの言葉が示すテーマを今後議論していくために必要な視点についてご紹介したいと思います。 バラバラな用語のそれぞれのニュアンス 「積極的サイバー防御」という日語の用語が

    「積極的サイバー防御」(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes
  • 正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes

    JPCERT/CCでは、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻撃を確認しました。 この攻撃は、入社希望者を装ったメールを組織の採用担当窓口に送信し、マルウェアに感染させるものでした。 記事では、以下の項目に分けて攻撃手法について解説します。 マルウェア感染までの流れ ダウンローダーの分析 バックドアの分析 同種のマルウェアを使用したキャンペーン マルウェア感染までの流れ 図1は、今回の初期侵害の概要です。 図1:初期侵害の流れ 攻撃は、標的型攻撃メールが起点となり、メールに記載されているGoogle Driveのリンクからファイルをダウンロードさせる形となっていました。 Google Driveのリンクにアクセスすると、マルウェアが含まれたVHDXファイルがダウンロードされます。 VHDXファイルは、仮想ディスクに用いられるファイル形式

    正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes
  • 侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes

    侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性

    侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes
  • インシデント相談・情報提供窓口対応状況 - JPCERT/CC Eyes

    JPCERT/CCでは、2024年3月からインシデント対応に関する相談や情報提供を受け付ける窓口の運用を開始しています。この窓口では、被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社など被害組織以外からも受け付けており、実際にセキュリティベンダーなどから相談をいただいています。 インシデント相談・情報提供(被害組織/保守・調査ベンダー向け) https://www.jpcert.or.jp/ir/consult.html この窓口の運用がスタートして、まだ3カ月しか経過していませんが、今回はどのような相談が来ているのかについて紹介します。この内容をご覧いただき、どのような内容をJPCERT/CCに相談できて、実際にどのような対応をJPCERT/CCがするのか参考にしてもらえればと思います。 セキュリティベンダーよりランサムウェア攻撃への対応方法の相談 1つ目に

    インシデント相談・情報提供窓口対応状況 - JPCERT/CC Eyes
  • 攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes

    JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[

    攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes
  • 日本の組織を狙った攻撃グループKimsukyによる攻撃活動 - JPCERT/CC Eyes

    JPCERT/CCでは、2024年3月にKimsukyと呼ばれる攻撃グループによる日の組織を狙った攻撃活動を確認しました。今回は、その攻撃手法について紹介します。 攻撃の概要 確認した攻撃では、安全保障・外交関係の組織をかたって標的型攻撃メールが送信されていました。メールには圧縮ファイルが添付されており、展開すると以下のような2重拡張子になっている複数のファイルが格納されています。(ファイル名は省略) (1) [省略].docx[大量のスペース].exe (2) [省略].docx[大量のスペース].docx (3) [省略].docx[大量のスペース].docx 末尾の拡張子を隠蔽するために、ファイル名には大量のスペースが含まれており、最終的に(1)のEXEファイルを実行することでマルウェアに感染します。図1は、EXEファイル実行後の流れです。 図1: EXEファイル実行後の流れ なお

    日本の組織を狙った攻撃グループKimsukyによる攻撃活動 - JPCERT/CC Eyes
  • 最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes

    ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか?」といった問い合わせをいただくことが増えてきました。 先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被害は確かに増加していますが、これらの攻撃被害の増加の原因/背景について技術的に不正確な解説も見受けられ、正しく対策が行われない、または対策に必要な情報が適切に伝わらないことが危惧されます。今回は攻撃の「動向」というものをどのようにとらえ、社会全体で危機感を共有していくのか、JPCERT/CCの今の考え方を解説します。 攻撃の「増減」は立場によって見え方が異なる ①観測者による見え方の違い 一口に「サイバー攻撃」といっても、無差別にバラまかれるフィッシングメールやマルウェアに感染させる

    最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes
  • ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes

    JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま

    ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
  • 1