標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
2019年末現在、Emotetによる被害が国内で収まる気配がありませんが、昨年のブログ記事でも言及したように、Emotetはメール情報を窃取するだけでなく、他のマルウェアを呼び寄せるダウンローダーの性質を持つことが特徴の一つです。海外ではすでに以前よりEmotetからTrickBot等、他のマルウェアがダウンロードされているケースが報告されていますが、最近になり、Emotetから最終的に「Ryuk」という標的型攻撃ランサムウェアの感染に繋がるという事例が海外で複数確認されています。つまり、場合によっては日本国内でもいずれRyukの感染被害が明るみに出てくる可能性が今後想定出来なくはありません。 そこで本記事では、標的型攻撃ランサムウェア「Ryuk」についてその詳細を解説します。 ■Ryukとは 2018年夏頃に初めて存在が確認された「Ryuk」という標的型ランサムウェアは、これまで海外で多
Webセキュリティ腕試しサイトを無償公開 | News | 三井物産セキュアディレクション株式会社
三井物産セキュアディレクション株式会社(本社:東京都中央区、代表取締役社長:鈴木大山、以下 MBSD) は、Webセキュリティに関する腕試しサイト「MBSD Secu-cise (セキュサイズ)」を2023年4月24日より無償で一般公開しました。 Webアプリケーションを開発した経験のない初心者の方や、腕に自信がある方、セキュリティに興味のある方など、自身のWebセキュリティに関する技術力を確かめるために無償で利用することができます。腕試し結果はスコアで表示され、他の参加者のスコアと比較することができます。 ■MBSD Secu-ciseの概要 MBSD Secu-ciseはクラウド上に構築された環境となっており、インターネット経由で誰でも参加することが可能です。課題は全7問あり、課題の内容はWebアプリケーション診断の実案件で発生した事象を題材にしています。 ■開発者の想い この度公開さ
マルチバイト文字とURL | 技術者ブログ | 三井物産セキュアディレクション株式会社
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
ランサムウェア「LockBit 2.0」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
すでに多くのニュースや公開記事で言及されているように、「LockBit 2.0」はリークサイトを持つ暴露型ランサムウェア攻撃グループの中で現在(2021年後半)最も活発である攻撃グループです。LockBit 2.0のリークサイト上では、いきなり窃取データが暴露されるのではなく、「被害組織名」とともに「暴露までの残り時間」をリアルタイムでカウントし被害組織に圧力をかけます。そのため、リークサイトに初めて掲載された時点においては被害組織と攻撃者間で金銭の支払いに関する交渉が行われているかもしくは交渉前の段階にあるケースが多いものと考えられます。 LockBit 2.0の開発者は自身のサイト上で、LockBit 2.0のランサムウェアが世界で最も暗号化速度が速く他のランサムウェアよりも優れていると、攻撃の実働部隊であるアフィリエイトに向け詳細にアピールしており、加えて他のランサムウェアには無い新
プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
早速ですが、まずは以下の図1をご覧ください。 真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか? 図 1 プロセス情報がデタラメになっている様子 図1では、Process ExplorerやProcess Hackerで見る限り、プロセス名は「こんばんは!★」(拡張子なし)となっています。各ツールで表示されたプロセスのプロパティ情報を見ると、Process Explorerでは実体の場所がExplorer.exeであるかのように見えてしまっています。 一方でProcess Hackerでは、メッセージボックスのプロセスがMicrosoftの有効なデジタル署名を持っているかのように見えており、実体の場所が「こんばんは!★」を指しているように見えます。 では該当の「こ
機械学習モデルの学習データを推論する方法 | 技術者ブログ | 三井物産セキュアディレクション株式会社
近年、機械学習を使用した医療診断技術や顔認識・音声認識技術などが登場しており、患者のレントゲン写真から病気の種類を予想するシステムや、顔認証を行うシステムなどに利用されています。その一方で、システムが学習したデータを特定する攻撃手法も盛んに研究されており、データ・プライバシー侵害の懸念も広がっています。特に、システムの挙動から学習データを推論する「メンバーシップ推論攻撃(Membership Inference Attacks)」は数年前から多くの検証が行われており、現実的な脅威になる可能性が高まっています。 メンバーシップ推論攻撃は、攻撃対象の分類器(以下、標的分類器)に正常な入力データを与え、標的分類器から応答された分類結果を観察することで、入力したデータが分類器の学習データに含まれているか否か(=メンバーシップか否か)を推論します。仮に、近年プライバシーや自由の侵害などを理由に反対意
SNAKE(EKANS)ランサムウェアの内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
ここ数日ホンダがサイバー攻撃を受けたというニュースが世界各国で報じられています。 本記事では、一部で関連性が指摘されているVirusTotalにアップロードされたSNAKEランサムウェアの検体(※)について解析を行い、現時点までに判明した内容を簡単ですが共有します。海外ではすでにいくらか情報は出ているものの、日本語での解析記事はあまりないと思われるため何かの参考になれば幸いです。 ※ハッシュ値:d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1 なお弊社では、本検体がホンダに対するサイバー攻撃と関連があるかどうかは把握しておらず、本記事はあくまで上記ハッシュ値の検体の解析結果に終始している点をご了承ください。 ■検体調査 まず、当該検体は以下の通り、日本国内から6/8頃にVirusTotalにアップロードされてい
パスワードってどこにあるの?その2 | 技術者ブログ | 三井物産セキュアディレクション株式会社
前回はWindowsの認証の仕組みやSAM(Security Account Manager)に関してご紹介しました(URL)。今回は、Active Directoryについて取り上げたいと思います。 まずは、Active Directoryのおさらいですが、アカウント、グループやコンピュータなどのリソースをドメインで一元管理できるディレクトリサービスを提供しており、グループポリシーを用いてこれらのリソースを管理することが可能です。また、認証基盤を提供しており、シングルサインオンによるリソースの活用ができることもポイントです。 Active Directoryでの認証に利用されているKerberos認証はTGT(Ticket Granting Ticket)やService Ticketと呼ばれる許可証のようなチケットを用いて利用者だけではなく、サーバ(Domain Controller
パスワードってどこにあるの?その1 | 技術者ブログ | 三井物産セキュアディレクション株式会社
筆者はペネトレーションテストなどを担当しており、お客様が利用されているシステムや端末などにセキュリティ上の問題があるか調査します。業務の中でよくWindowsに認証情報などが残存していないかくまなく調べますが、特定の条件を除き、利用されているアカウントの生のパスワードはWindows上には保存されていません。では、Windowsはどうやって認証情報をチェックするのでしょうか。Windows内部やActive Directoryでのパスワードの管理などについて、2回にわけてご紹介したいと思います。今回は、Windows内部でパスワードはどのように保存されており、どのように認証が行われているかご紹介したいと思います。 Windowsはアカウント名とパスワードによる認証以外にもバージョンによってスマートカードなどの多要素認証もサポートしています。また、アカウント名とパスワードによる認証もActi
隠された(見えない)デスクトップに潜む脅威とその仕組み
2018.09.14 コンサルティングサービス事業本部 サイバーインテリジェンスグループ 吉川 孝志 普段我々がWindows PCを操作するときに必ず目にする領域、いわゆる、ファイルやフォルダのアイコンが並んでいる「デスクトップ」という領域があります。 実はそのデスクトップの裏側に、通常では見ることのできない「隠されたデスクトップ」が存在し悪用されている可能性があります。本記事では、その脅威と仕組みを掘り下げて解説します。 結論から述べると、Windows OSでは通常のデスクトップ(”Default”という名称のデスクトップ)の他に新たな別のデスクトップを任意に作成することができる仕組みが存在します。ただし、一般のユーザーが簡単に作成できるような方法や手段は用意されていません。あくまでプログラムからデスクトップを新たに作成するコード(Win32API)を呼び出して明示的に作成する必要が
Burp Suite Japan LT Carnivalイベントレポート
Burp Suite Japan LT Carnivalイベントレポート 2018.07.13 プロフェッショナルサービス事業部 洲崎 俊 皆さんこんにちは、私は、MBSDに所属する『とある診断員』の洲崎と申します!今回は、7/5に開催されたBurp Suite Japan LT Carnivalというイベントの内容を弊社ブログにてレポートいたします。 Burp Suiteというツールを知っていますか? 皆さんはBurp Suiteというツールをご存知でしょうか?Burp SuiteとはPortSwigger社が開発している脆弱性診断ツールであり、「ローカルプロキシ」と呼ばれる機能を持ったソフトウェアの一つです。 ローカルプロキシとはその名の通りクライアントのLocal環境で動作するプロキシのことで、このソフトウェアを利用することで、HTTPプロトコルの通信内容の詳細を確認したり、通信内容
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
2017.09.04 プロフェッショナルサービス事業部 米山 俊嗣 セキュリティ診断(Webアプリケーション診断やネットワーク診断)の結果、バナーに表示されたバージョンを隠しましょう、TRACEメソッドを無効にしましょうなどの報告をすることがあります。これらの設定は、サーバを構築する上での”お作法”ではあると考えていますが、この”お作法”を行ったから大丈夫というわけではありません。 今回はこのような設定を行っても、バージョンは特定できるものなので、やはり、パッチはしっかりと当てましょうというお話になります。 さて、Apache httpd 2.2.XはEOLが2017年12月と発表されており、2.2.34が最終バージョンになる可能性が高く、このタイミングで、リプレースやバージョンアップを考えている方もいらっしゃると思います。既に運用中のシステムで何か変えることは色々と難しいと思いますが、リ
「WannaCry 2.0」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
ここ連日ランサムウェア「WannaCry」が世間を騒がせています。 弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。 本記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。 ■WannaCryに感染するまでの複数検体の関連について まず初めに、今回の感染で利用される一連のファイルの関連図を以下に示します。 世間で公開されている今回の攻撃の分析において、個別のファイルの視点で捉えているケースはあまり多くないと思われますが、実際にはこれだけ多くのファイルが関連しあって今回の攻撃
機械学習を用いた診断AIの概要 | 技術者ブログ | 三井物産セキュアディレクション株式会社
1. はじめに 先日、某セキュリティ系の勉強会で「AIにWebアプリケーション診断をさせてみる」と題し、Webアプリケーション診断(以下、Webアプリ診断)を行う人工知能(以下、診断AI)のデモを行ったところ、意外にも好評でしたので、本Blogで少し深堀したいと思います。 なお、本Blogでは機械学習アルゴリズムにも触れますが、これらの詳細な解説は行っておりません。機械学習アルゴリズムの詳細については、「6.参考文献」に示した書籍やWebサイトで解説されておりますので、そちらでご確認いただければ幸いです。 それでは、診断AIの概要について解説を始めます。 2. 最終目標 以下の動作を実現できる「診断AI」を目指して開発を進めています。 「人間の診断員と同じように、診断対象のWebアプリをクローリングしながら診断を行い、発見した脆弱性を開発者、または、サイトオーナに報告することができる。」
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
検出例から学ぶクロスサイトリクエストフォージェリ | 技術者ブログ | 三井物産セキュアディレクション株式会社
セキュリティnews | 三井物産セキュアディレクション株式会社
ITリスクマネジメントのリーディングカンパニー -MBSD
三井物産セキュアディレクション株式会社
三井物産セキュアディレクション株式会社