ラックの脅威分析チームは、2022年4月頃から、KCPプロトコル※1をC2通信として利用する新たなマルウェア「gokcpdoor」を使用した攻撃活動を日本国内の製造業や学術機関などで確認しています。この攻撃活動は、中国を拠点とする攻撃者グループによるものと見られ、日本国内の組織や海外拠点へ同様の攻撃が行われている可能性がうかがえます。 ※1 GitHub - skywind3000/kcp: :zap: KCP - A Fast and Reliable ARQ Protocol そこで今回は、KCPプロトコルをC2通信として利用するgokcpdoorを利用した一連の攻撃キャンペーンをもとに、背後にある攻撃者像や同様の攻撃に対する検知や防御手法を紹介します。本内容は、2023年10月4日から6日に開催されたセキュリティカンファレンスVirus Bulletin Conference 202

シャドーITとは、企業が使用を許可していないにもかかわらず、従業員が勝手な判断で導入したIT機器やソフトウェアなどです。近年はリモートワークの普及によって管理者の目が届きにくくなり、シャドーITが多発しています。 シャドーITは不正アクセスや情報漏えいなどが起こる懸念があるため、企業は対策を講じることが大切です。この記事では、シャドーITの概要、発生しやすいサービスやツール、企業がとるべき対策について解説します。リスクを減らして安全性を高めたい企業の方は、ぜひ参考にしてください。 シャドーITとは｜管理部門が把握していないIT機器やソフトウェア、クラウドサービスなどのこと シャドーITとは企業の管理部門の許可を得ず、従業員が独断で導入したIT機器やソフトウェアなどです。シャドーITは適切に管理できないため、脆弱性が潜んでいても対応されにくく、情報漏えいやマルウェア感染などのリスクを招きます

モバイルアプリ開発内製化の自動化を目指して DX推進は、モバイルアプリの内製化において、革新的な成果をもたらします。開発内製化により、企業はモバイルアプリの開発プロセスを自社のビジネスニーズや戦略に適した形でカスタマイズできます。 DXのアプローチにより、従来のソフトウェア開発手法とは異なるアジャイルな開発環境が実現され、スピーディーなリリースとアプリケーションの迅速なアップデートが可能となります。その効果から、競合他社に先駆けて市場に参入し、新しいビジネスの機会を迅速に掴むことができるでしょう。 さらに、DX推進はモバイルアプリの開発内製化における品質向上とセキュリティ対策に寄与します。テストの自動化、および品質管理の強化によって、アプリケーションのバグやエラーを早期に発見し修正できます。さらに、セキュリティ技術の進化や脅威への迅速な対応が求められる中、DXのアプローチによってモバイルア

セキュリティ対策にあたって重要な視点は、セキュリティ強度、コスト、利便性の3つです。昨今では、この軽視されがちな「利便性」を考慮し直す傾向です。理由としては2つあります。 1つはエンドユーザーからみて使い勝手が悪いと本来のサービスを使わず独自の方法、すなわちシャドーITとして行ってしまうことです。もう1つは管理者からみて作業の負担が高い（運用性が悪い）と保守が疎かになります。その結果、本来意図したセキュリティを保つことができず、気づきづらいセキュリティホールを作ってしまい、結果としてセキュリティ強度が下がります。 重要なことは、欲張りすぎない、運用を意識するということです。過度にセキュリティ強度を高くしても利便性や運用性が悪くなってしまうと、逆にセキュリティ強度は下がります。また、自動化を見据えた設計は運用の面からも重要です。 以前のセグメンテーション製品は、設計の容易さ、運用性が良いとは

ランサムウェアとは ランサムウェアとは「ランサム（身代金）」と「ソフトウエア」を組み合わせた造語である。一般的なコンピュータウイルスと技術的な構成は同じだが、対象となる組織の情報資産を暗号化し、データを「人質」にとるための機能が備わっている。 ランサムウェアの仕組み ランサムウェアは、一般的なコンピュータウイルスと同様に、コンピュータ内部に侵入することから攻撃を本格化させる。コンピュータに侵入したランサムウェアは、自身を実行することでコンピュータのローカルストレージ（ハードディスクドライブ）やドライブマウントや同期設定されたクラウドストレージ（OneDriveやDropbox、Google Drive等）のファイルを暗号化する。 暗号化は、独自の暗号機能を有するものから、公開鍵暗号式を利用するものまで数多くのバリエーションがある。暗号化によりデータを「人質」化した後は、ランサムウェアは「ス

最近では、メタバースなどのバーチャルな空間に接する機会が増えています。しかし、正直、そうした空間に慣れていない方も多いのではないでしょうか。リアルなコミュニケーションに勝ることはないと言う方もいますが、昨今はゲームを通じて、オンライン空間でコミュニケーションを取ることが当たり前になっています。 「LAC Virtual EXPO」は、3D空間のようなデザインの2Dの空間です。一度、そうした空間に足を踏み入れてみることが大事かもしれません。仕事にかこつけて覗いてみましょう。 今回は、新しいことは好きだけど、少し慎重な皆さんに、oviceに入る手順とVirtual EXPOをどのように楽しんだらよいか歩き方を紹介します。 oviceの歩き方 LAC Virtual EXPOへの参加申し込み まずは、LAC Virtual EXPOのトップページにお越しください。 https://www.lac

最近、「ゼロトラスト」という言葉をよく耳にします。しかし、ゼロトラストをきちんと説明できる人は少ないのではないでしょうか？ 今回は、よく聞く言葉だけど「ゼロトラスト」について説明できない、実はよく理解していないという方々に向けて、ゼロトラストの意味や実装の仕組みについて分かりやすく説明をします。 IT業界外のゼロトラストへの理解 そもそもゼロトラストというキーワードがでたのは、いつだったのでしょうか。ゼロトラストとは、1994年にスティーブン・ポール・マーシュ氏がコンピュータセキュリティに関するスターリング大学の博士論文で使用した造語が発祥とされており、ネットワークセキュリティに関する考え方の1つです。その後、2018年11月に、Forrester Research社が、「Zero Trust eXtended（ZTX）フレームワーク」と改め、ゼロトラストモデルを実現するための7つの要件を

今、最も警戒する情報セキュリティ上の脅威は何かと問いかけた場合、「ランサムウェア」と答える企業がとても多いでしょう。世界中でランサムウェアの被害が相次いでおり、日本でも複数の病院で業務が止まるなど未曾有の脅威となっています。IPA（情報処理推進機構）が毎年発行している情報セキュリティ10大脅威で、2021年から2023年にかけて3年連続で「ランサムウェアによる被害」が、組織向け脅威の第一位となっています。 本記事では、昨今のランサムウェアの動向と手法そしてその対策まで、ネットワークセキュリティの観点から解説します。（全二回） 本記事の要点・サマリ ランサムウェアの攻撃は侵入してからが長い 侵入経路は多様で複雑、全ての侵入経路をふさぐのは困難 ランサムウェア侵入後の内部ネットワークを制御することが有効 内部の通信制御技術のマイクロセグメンテーションが台頭 ネットワークセキュリティが有効 サイ

テレワークの拡大やクラウドの普及を背景に、セキュリティの考え方は急速に変化しています。従来のように社内にファイアウォールなどの境界をつくる境界防御型では、テレワークやクラウドを導入した場合に情報漏えいや不正アクセスなどを防ぎきれないリスクがある、ということが要因の1つに挙げられます。 今、注目されているのはゼロトラストというセキュリティの考え方です。そしてゼロトラストセキュリティと関連して頻繁に出てくるワードに、「SASE」というセキュリティフレームワークがあります。 この記事は境界防御型のセキュリティの課題を確認する情報システム部担当者に向けて、SASEとは何か、仕組み、主な機能、注目される背景などについて解説します。新たなセキュリティ管理体制を構築する参考にしてください。 SASE（サシー）とは SASE（サシー）とはガートナー社が提唱したセキュリティフレームです。ここではSASEの概

IPA（情報処理推進機構）が7月に「情報セキュリティ白書 2022」を発行しました。IPAは、最新の攻撃手法・情報セキュリティ対策の収集・分析などを通じて、情報セキュリティ上の脅威やサイバー攻撃の傾向を把握し、新たな脅威動向の予測とそれによる被害の未然防止を実現するための取り組みを実施しています。 情報セキュリティ白書は、収集・分析した情報をまとめたもので、情報の網羅性と参照性が高く、幅広く活用されています。白書は前年度の状況をまとめているので、振り返りにも役立ちます。2021年は、延期されていた東京オリンピックが無観客で開催されましたが、既に遠い昔のようにも感じますね。 情報セキュリティ白書は、「第1章：情報セキュリティインシデント・脆弱性の現状と対策」、「第2章：情報セキュリティを支える基盤の動向」、「第3章：個別テーマ」で構成されており、それぞれ詳しく解説しています。2021年度の主

最近バズワードになっている「ゼロトラスト」について「会社の指示で情シス部門がゼロトラストを導入しなければならない」、「クラウドにSSOを導入するのと何が違うのか」といった相談がありました。ゼロトラストについてうまく説明できないとしたら、予算を作ることも導入に踏み切ることも難しいと思います。 こうした疑問についてNISTやIPAのゼロトラスト・アーキテクチャからラックの考えるゼロトラストについて紐解いて行きたいと思います。 情報セキュリティとは 皆さんご存知のように、情報セキュリティとは、アクセスを認可された者だけが、情報にアクセスできることを確実にする「機密性」、情報および処理方法が正確であることおよび完全であることを保護する「完全性」、認可された利用者が必要な時に情報および関連する資産にアクセスできることを確実にする「可用性」の3つの概念によって構成されています。その目的は「情報」を守る

離れた場所にいる人へ電子ファイルを届けたいとき、どのような方法を利用していますか？ メールへのファイル添付、ファイル転送サービスやオンラインストレージの利用など、方法は様々にあります。中でもよく使われていたのが、パスワード付きの添付ファイルとパスワードを別のメールで送付する、いわゆるPPAPという方法ではないでしょうか。 ところが、2020年11月24日、内閣府と内閣官房でPPAPを廃止すると当時の平井卓也デジタル改革担当大臣が発表しました。PPAPの問題点の指摘や廃止の活動はこれ以前よりありましたが、この発表によりPPAPの問題点を再認識させ、各省庁や民間企業に対してPPAP廃止に向けた活動を加速させました。それから2年近く経とうとしている現在でもPPAPの廃止に踏み切れていない企業が多くあると認識しています。 ※ 平井内閣府特命担当大臣記者会見要旨 令和2年11月24日 - 内閣府 本

LAC Advisory No.131 デジタルペンテスト部の平井です。 楽天モバイル株式会社が提供する小型基地局（フェムトセル）のRakuten Casaに、ハードコードされた認証情報の使用に関する脆弱性が存在することが分かりました。 影響を受けるシステム 楽天モバイル株式会社Rakuten Casaの以下のソフトウェアバージョン AP_F_V1_4_1 AP_F_V2_0_0 解説 Rakuten Casaのソフトウェアには、利用者が設定した管理者パスワードとは別に、個体情報から生成されたパスワードがrootユーザーへ設定されている問題がありました。また、このパスワードは管理画面からは変更ができないものとなっています。 個体情報を手に入れた攻撃者がパスワードを生成して利用することで、Rakuten Casaへrootユーザーでログインすることが可能になります。ログインが可能になることで

JSOCアナリストの高井です。 Microsoft社は3月2日（米国時間）、Microsoft Exchange Serverの複数の脆弱性に関する情報を公開しました。また、3月4日に当該脆弱性の解説記事を公開しており、その中でCVE-2021-26855の脆弱性チェックツールを紹介しています。 公開された脆弱性が悪用されると、該当する製品が動作しているサーバにおいて、認証回避ののち、ファイル作成や任意のコード実行などの被害が発生する恐れがある危険な脆弱性のため早急な対応が必要です。 英国のセキュリティ企業Volexity社は、本脆弱性を狙った攻撃活動が早くとも約2か月前の2021年1月6日には始まっていたと報告しています。すなわち、これらの製品が、脆弱性の修正パッチが存在しない、いわゆるゼロデイの状態で攻撃の脅威にさらされていたことを意味します。 JSOCでは実際にファイル作成やコマンド

スマートフォンアプリケーション診断を担当している西田です。 ラックのスマートフォンアプリケーション診断では、開発者の意図に反して、スマートフォンアプリケーション（以下、スマホアプリ）とサーバ間の通信に含まれる重要情報がキャッシュされる問題を頻繁に検出しています。本稿ではこの問題の概要と対策について解説します。 皆さまのセキュアなスマホアプリ開発の一助となれば幸いです。 セキュリティ上の影響 スマホアプリの専用ディレクトリ※1 に重要情報を含むキャッシュが保存されている場合、攻撃者にキャッシュを窃取され、スマホアプリの不正利用や、個人情報漏洩、金銭的被害につながる恐れがあります。このシナリオでは、キャッシュが保存されている専用ディレクトリにアクセスできることが前提になります。 本来、AndroidやiOSのスマホでは、スマホアプリの専用ディレクトリにユーザが直接アクセスすることはできません。

「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ 2015年6月 9日　|　お知らせ 2015年6月1日に日本年金機構が発表した、基礎年金番号を含む個人情報が漏えいした事件に関して、背景や想定される原因を、当社が知り得た範囲で整理し、対処方針など他山の石として学ぶべきことを提言するものです。 日本年金機構は、何らかの目的をもって攻撃を繰り返す犯罪者により、個人情報の窃取という被害を受けました。攻撃は執拗かつ巧妙であると見られ、その手法は標的型サイバー攻撃という、狙いをさだめた攻撃対象に対して特化された電子メールやウイルスを仕込んで行われたものでした。 本来は情報系システムとは切り離された基幹系システムで管理されている個人情報が窃取された原因は、日本年金機構内で行われていた業務手順により、情報系システムに個人情報がコピーされていたためでした。 情報を守るために切り離された２つの

当社の緊急対応チーム『サイバー救急センター』は、標的型攻撃に関する調査を行う過程で、正規のソフトウェアのアップデートを装いコンピューターウイルスに感染させる、複数の事案を確認しました。本件は当社が2013年10月9日に発表した「日本でも発生した『水飲み場型攻撃』に対して注意喚起」とは異なる、新しい標的型攻撃の手口と捉えています。 本注意喚起情報は、当該ソフトウェアを使用しているお客様が、本事案の悪影響を受けていないかを確認する方法をお伝えするために公開いたします。また、今後、企業内で使用している正規ソフトウェアのアップデートにおいて同様の仕掛けがなされる危険性もあり、あわせて注意喚起するものです。 2014/03/10 更新 本注意喚起情報を多くの皆様にご覧いただき、また100件を超える電子メールおよびお電話でのお問い合わせをいただました。情報を発信した企業としての責任として、お問い合わせ

2012年8月31日 改訂 本件につきましては、7月29日ごろに問題が公表されてから8月20日前後まで、メーカーや公的機関等からの詳細な情報提供がありませんでした。弊社としては、早期の告知を優先し、まずは明らかになっている情報を報告させていただいたため、初版のリリース時には脆弱性の影響範囲について過大な評価となる記述となっておりました。 一部のお客様、および関係者の方々よりご指摘をいただき、ご迷惑をおかけしたことをお詫び申し上げます。メーカーからのアドバイザリや追加情報をもとに記載内容を見直しましたため、以下の通り改訂させていただきます。 暗号化通信（VPN）や無線LAN（WPA2）の認証として、一般企業で広く使われているMS-CHAPv2（Microsoft CHAP version 2）というプロトコルに、パスワードが完全に解読されてしまうという脆弱性が発見され、公表されました。 その