侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes
侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性
インシデント相談・情報提供窓口対応状況 - JPCERT/CC Eyes
JPCERT/CCでは、2024年3月からインシデント対応に関する相談や情報提供を受け付ける窓口の運用を開始しています。この窓口では、被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社など被害組織以外からも受け付けており、実際にセキュリティベンダーなどから相談をいただいています。 インシデント相談・情報提供(被害組織/保守・調査ベンダー向け) https://www.jpcert.or.jp/ir/consult.html この窓口の運用がスタートして、まだ3カ月しか経過していませんが、今回はどのような相談が来ているのかについて紹介します。この内容をご覧いただき、どのような内容をJPCERT/CCに相談できて、実際にどのような対応をJPCERT/CCがするのか参考にしてもらえればと思います。 セキュリティベンダーよりランサムウェア攻撃への対応方法の相談 1つ目に
攻撃グループMirrorFaceの攻撃活動 - JPCERT/CC Eyes
JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR(2022年ごろから使用)を使用する攻撃グループMirrorFace(Earth Kashaとも呼ばれる)の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1:攻撃グループMirrorFaceの攻撃活動タイムライン (JPCERT/CCへの報告や他のベンダーから公開されているレポート[
日本の組織を狙った攻撃グループKimsukyによる攻撃活動 - JPCERT/CC Eyes
JPCERT/CCでは、2024年3月にKimsukyと呼ばれる攻撃グループによる日本の組織を狙った攻撃活動を確認しました。今回は、その攻撃手法について紹介します。 攻撃の概要 確認した攻撃では、安全保障・外交関係の組織をかたって標的型攻撃メールが送信されていました。メールには圧縮ファイルが添付されており、展開すると以下のような2重拡張子になっている複数のファイルが格納されています。(ファイル名は省略) (1) [省略].docx[大量のスペース].exe (2) [省略].docx[大量のスペース].docx (3) [省略].docx[大量のスペース].docx 末尾の拡張子を隠蔽するために、ファイル名には大量のスペースが含まれており、最終的に(1)のEXEファイルを実行することでマルウェアに感染します。図1は、EXEファイル実行後の流れです。 図1: EXEファイル実行後の流れ なお
最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes
ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか?」といった問い合わせをいただくことが増えてきました。 先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被害は確かに増加していますが、これらの攻撃被害の増加の原因/背景について技術的に不正確な解説も見受けられ、正しく対策が行われない、または対策に必要な情報が適切に伝わらないことが危惧されます。今回は攻撃の「動向」というものをどのようにとらえ、社会全体で危機感を共有していくのか、JPCERT/CCの今の考え方を解説します。 攻撃の「増減」は立場によって見え方が異なる ①観測者による見え方の違い 一口に「サイバー攻撃」といっても、無差別にバラまかれるフィッシングメールやマルウェアに感染させる
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training 本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
