RFC 9116「security.txt」の紹介(2022年8月)の続報 - JPCERT/CC Eyes
早期警戒グループの戸塚です。昨年(2022年)8月に「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」[1]で、同年4月に公開された「RFC 9116:A File Format to Aid in Security Vulnerability Disclosure」[2]を紹介しました。本記事では、その続報を2つお届けします(RFC 9116自体や私の業務との関係に関しては、2022年8月の記事をご確認ください)。 1つ目は、RFC 9116のおかげで開発者との脆弱性関連情報のコーディネーション(調整)が大変スムーズにできた事例です。 開発者との調整では、連絡しても応答がもらえないケースが少なくないことは昨年8月の記事でも書きました。このような場合、別の連絡先があればそちらにも連絡を試みます。今
カスタマイズ可能なマルウェア検知ツールYAMA - JPCERT/CC Eyes
攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あります。このような未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになりますが、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要があります。 このような問題を解決するためにJPCERT/CCでは、マルウェア検知をサポートする目的でYAMAというツールを作成し、公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能で
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃 - JPCERT/CC Eyes
JPCERT/CCは、2019年6月から継続して攻撃を行っている標的型攻撃グループDangerousPassword [1][2](CryptoMimicまたは、SnatchCryptoとも呼ばれる)に関連すると思われる、暗号資産交換事業者の開発者を狙った攻撃を5月末に確認しています。この攻撃は、マシン上にPythonやNode.jsがインストールされたWindows、macOS、Linux環境をターゲットとしたものです。 今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアについて解説します。 Pythonマルウェアを起点としたWindows環境における攻撃 攻撃者は、QRコードを扱うためのPythonモジュール(https://github.com/mnooner256/pyqrcode)のbuilder.pyというファイルに不正なコードを挿入したものをあらかじめ用意し、
Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes
JPCERT/CCでは、2023年2月頃、国内のルーターにマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。 マルウェア実行までの攻撃の流れ 初めに攻撃者はWEBUIが外向けに開いているルーターを狙って脆弱性などを使用し、各種スクリプトを実行した後、最終的にマルウェアGobRATを感染させます。図1は、マルウェアGobRATがルーターに感染するまでの攻撃の流れです。 Loader Script には主に次の機能があり、各種スクリプトの生成やGobRATのダウンロードを行うなど、ローダーの役割を担っています。なお、バックドア用と推測されるSSH公開鍵は Loader Script 内にハードコードされています。 Loader Script はcrontabを使って Start Script のフ
Malware Analysis Operations(MAOps)の自動化 - JPCERT/CC Eyes
日々発生するインシデント調査を効率化するために、分析を自動化することは、すべてのマルウェア分析者が取り組んでいる課題ではないかと思います。クラウドを中心とした技術(CI/CDやサーバーレス、IaCなど)は、MAOpsを効率的に自動化することができる素晴らしいソリューションです。今回は、JPCERT/CCで行っているクラウド上でのマルウェア分析の自動化方法について、以下の事例をもとに紹介します。 Malware C2 Monitoring Malware Hunting using Cloud YARA CI/CD system Surface Analysis System on Cloud Memory Forensic on Cloud Malware C2 Monitoring C2サーバーを監視することは、攻撃者の活動を理解する上で重要なため、多くのマルウェア分析者は日ごろから行っ
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩 - JPCERT/CC Eyes
Top > “標準・ガイド”の一覧 > A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩 早期警戒グループの戸塚です。早期警戒グループでは、注意喚起や早期警戒情報といったセキュリティ情報や、JVNアドバイザリの発信を行っています。私は、脆弱性コーディネーターとして、セキュリティ研究者などの脆弱性発見者からJPCERT/CCに報告された脆弱性関連情報に基づいて、対象製品の開発者と対策策定などの調整をし、JVNアドバイザリの公表に至る一連のコーディネーション業務を担当しています。この記事では、脆弱性コーディネーターの視点から、脆弱性調整を行う機関や脆弱性発見者が開発者との連携をしやすくするために、開発者組織が実施可能な対策の一つとして、今年、2022年4月に正式公開された「RFC 9116:A File
連載「標準から学ぶICSセキュリティ」の初回を公表しました - JPCERT/CC Eyes
製造プラントや様々なインフラを稼働させるために利用されている産業用制御システム(ICS)のセキュリティの国際標準としてIEC 62443と採番された十冊以上の分冊から構成されたシリーズ標準があり、注目されています。その一方で、ICSの現場を担当しておられる方々から、標準の存在は知っているが、膨大な文書量を目にして躊躇するばかりで活用するに至っていないとの声も漏れ聞いています。JPCERT/CCでは、ICSを担当されている現場の方々に向けた読み物として、「標準から学ぶICSセキュリティ」と題した連載において、国際標準IEC 62443シリーズおよびその中で定義されているセキュリティ概念を順次紹介させていただくこととし、その初回の「ICSセキュリティ標準IEC 62443シリーズの全体概要」を公開しました。 標準から学ぶICSセキュリティ https://www.jpcert.or.jp/ic
なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ - JPCERT/CC Eyes
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes
JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。 https://github.com/JPCERTCC/Lazarus-research/ 上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot(資料内では、Kaosと記載していますが、本ブログではYamaBotと記載します)について、Windows OSをターゲットにしたものが最近確認されました。YamaBotは、Go言語で作成されたマルウェアで、各プラットホーム向けに作成されたマルウェア間で機能が多少異なります。YamaBot以外にも、攻撃グループLazarusは、VSingleなどマルチプラットフォームをターゲットにしたマルウェアを複数使用しています。
最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes
ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか?」といった問い合わせをいただくことが増えてきました。 先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被害は確かに増加していますが、これらの攻撃被害の増加の原因/背景について技術的に不正確な解説も見受けられ、正しく対策が行われない、または対策に必要な情報が適切に伝わらないことが危惧されます。今回は攻撃の「動向」というものをどのようにとらえ、社会全体で危機感を共有していくのか、JPCERT/CCの今の考え方を解説します。 攻撃の「増減」は立場によって見え方が異なる ①観測者による見え方の違い 一口に「サイバー攻撃」といっても、無差別にバラまかれるフィッシングメールやマルウェアに感染させる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
