DNSの不正使用手法をまとめた技術ドキュメントの公開 - JPCERT/CC Eyes
はじめに Domain Name System(DNS)はインターネットサービスを使用する上で欠かせない基幹サービスであり、DNSが関連するセキュリティインシデントへの対処は、健全なインターネットを維持するために重要です。本ブログでは、JPCERT/CCもメンバーとして参加しているFIRSTのDNS Abuse SIGが、2023年2月に公開したDNS Abuse Techniques Matrixについて、その日本語版をJPCERT/CCが主体となり作成および公開したので紹介します。 2023年2月、FIRSTのDNS Abuse SIGが公開したDNS Abuse Techniques Matrix - DNS Abuse Techniques Matrix https://www.first.org/global/sigs/dns/DNS-Abuse-Techniques-Matri
なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ - JPCERT/CC Eyes
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
GitHubからC2サーバーの情報を取得するマルウェアVSingle - JPCERT/CC Eyes
実際に、攻撃者が使用したGitHubレポジトリには、図2のように<videolink1>タグ内にURLが含まれています。マルウェアは、GitHubレポジトリからこのURLを取得して、C2サーバーとして接続します。JPCERT/CCで確認した攻撃者の使用したGitHubレポジトリはAppendix Aをご覧ください。 図2: 攻撃者の使用したGitHubレポジトリの例 通信方式 以前のVSingleは、システムコールを使用してC2サーバーと通信していましたが、wgetコマンドを使用するように変更されています。図3は、wgetコマンドを実行するコードの一部です。(Windows OSをターゲットにしたバージョンでは、これまでと変更はなく、wgetコマンドは使用せずにWindows APIを使用して通信を行います) 図3: wgetコマンドを実行するコードの一部 通常のマルウェアは、システムコー
インターネットスキャンデータから見るウクライナ - JPCERT/CC Eyes
JPCERT/CC サイバーメトリクスグループは、インターネット上で発生しているインシデントなどサイバーセキュリティ上の変化をデータを通じて分析し、データに基づいたサイバーセキュリティ対策を呼びかけるなどの活動を実施しています。例えば、定点観測システムTSUBAMEや、インターネットリスク可視化サービスMejiroなどを提供しています。今回は、さまざまな形で報じられているウクライナの情勢を、インターネットからはどう見えるのかを、Shodan Trendsのデータを用いて確認してみました。 Shodanとは Shodan [1] は、インターネットに対してスキャンを行い、その応答からどこにどのような機器がインターネットからアクセスできる状態で接続されているかを検索するためのサービスです。さまざまな検索クエリによって機器の検索が可能で、よりコネクティッドな国はどこか、どのバージョンのソフトウェ
サイバー攻撃被害情報の共有と公表のあり方について - JPCERT/CC Eyes
2022年4月20日、総務省、経済産業省、警察庁、NISCの連名にて、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」と題する報道発表が行われました。JPCERT/CCはこの検討会について、各省庁とともに事務局を担当する予定です。 JPCERT/CCがサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会に事務局として参加 この検討にあたって、JPCERT/CCがこれまでどのような問題意識を持ち、論点整理や提言を行ってきたのか、2020年度に総務省調査研究事業としてJPCERT/CCが実施した「サイバー攻撃被害情報の共有と公表のあり方について」と題した調査・検討[1]の報告内容も踏まえて、簡単にご紹介したいと思います。 被害組織がお詫び? サイバー攻撃の被害組織がプレスリリースを出す場合、「お詫び」といった謝罪の言葉がよく用いられます。確かに、個人情報や営業秘密の漏
Anti-UPX Unpackingテクニック - JPCERT/CC Eyes
Windows OSを狙うマルウェア(PEフォーマット)は、コードの分析を困難にするためのさまざまな難読化やパッキングが行われており、その種類は多岐にわたります。それに比べて、Linux OSを狙うマルウェア(ELFフォーマット)のパッキング手法は数が限られており、ほとんどの場合UPXやUPXベースのパッキング手法が用いられています。 今回は、Linux OSを狙うマルウェアによくみられる、upxコマンドでのアンパックを困難にするAnti-UPX Unpackingテクニックについて解説します。 Anti-UPX Unpackingテクニックを使用したマルウェア Anti-UPX Unpackingテクニックを使用した最も有名なマルウェアは、IoT機器をターゲットに感染を広げているマルウェアMirai、およびそれらの亜種のマルウェアです。図1は、UPXパッキングされたバイナリとMiraiの
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training 本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま
攻撃グループBlackTech が使用するLinux用マルウエア (ELF_TSCookie) - JPCERT/CC Eyes
以前のJPCERT/CC Eyesで攻撃グループBlackTechが使用するマルウエアTSCookieやPLEAD、IconDownについて説明しましたが、この攻撃グループは他にもいくつかのマルウエアを使用することが分かっています。これまで紹介したマルウエアはWindows OSに感染するものでしたが、JPCERT/CCの調査では、Linux OSに感染するTSCookieやPLEADの亜種が存在することを確認しています。 今回は、攻撃グループBlackTech が使用するLinux 版TSCookieについて紹介します。 TSCookie のWindows版とLinux版の違い Linux 版TSCookieはWindows版と同じコードを多く使用しているため、機能のほとんどが同一です。図1はTSCookie のWindows版とLinux版のコードの一部を比較した結果です。 図 1:T
イベントログを可視化して不正使用されたアカウントを調査 ~LogonTracer~(2017-11-28)| JPCERTコーディネーションセンター(JPCERT/CC)
セキュリティインシデントの調査においてイベントログの分析は欠かせない作業です。Active Directory(以下、「AD」という。)で管理されたネットワークでは、ADのイベントログを分析することで不正使用されたアカウントや侵入されたホストを知ることができます。イベントログを分析する際、イベントビューアーでは詳細な分析をすることが難しいため、テキスト形式にエクスポートして分析したり、SIEMやログ管理システムにログをインポートして分析したりするのが一般的です。しかし、イベントログは環境によっては膨大になるためどこから分析を始めたらよいか、どこに注目して分析したらよいか分からないという問題があります。 JPCERT/CC では、そのようなイベントログの分析をサポートするツール「LogonTracer」を作成し、公開しました。今回は、この「LogonTracer」の機能や導入方法について紹介
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
