東京五輪に関係するファイルを装った以下のファイル名を持つマルウェアが2021年07月20日(火) 15時頃、VirusTotalにアップロードされたことを確認しました。 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 早速ですが、本記事では該当検体の解析結果を共有します。 該当のファイルはVirusTotalにフランスからアップロードされており、ジェネリック検出が多いもののすでに複数のアンチウイルス製品によって検知されていることを確認しています。 図１　VirusTotalにアップロードされた不審なファイル 上記のファイルのプロパティには以下の通り何も情報が付与されていません。 図２　プロパティ情報 該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳細表示で見た場合は以下のように拡張子がEXEであることがわか

前回はWindowsの認証の仕組みやSAM(Security Account Manager)に関してご紹介しました(URL)。今回は、Active Directoryについて取り上げたいと思います。 まずは、Active Directoryのおさらいですが、アカウント、グループやコンピュータなどのリソースをドメインで一元管理できるディレクトリサービスを提供しており、グループポリシーを用いてこれらのリソースを管理することが可能です。また、認証基盤を提供しており、シングルサインオンによるリソースの活用ができることもポイントです。 Active Directoryでの認証に利用されているKerberos認証はTGT(Ticket Granting Ticket)やService Ticketと呼ばれる許可証のようなチケットを用いて利用者だけではなく、サーバ(Domain Controller

筆者はペネトレーションテストなどを担当しており、お客様が利用されているシステムや端末などにセキュリティ上の問題があるか調査します。業務の中でよくWindowsに認証情報などが残存していないかくまなく調べますが、特定の条件を除き、利用されているアカウントの生のパスワードはWindows上には保存されていません。では、Windowsはどうやって認証情報をチェックするのでしょうか。Windows内部やActive Directoryでのパスワードの管理などについて、2回にわけてご紹介したいと思います。今回は、Windows内部でパスワードはどのように保存されており、どのように認証が行われているかご紹介したいと思います。 Windowsはアカウント名とパスワードによる認証以外にもバージョンによってスマートカードなどの多要素認証もサポートしています。また、アカウント名とパスワードによる認証もActi

ここ連日ランサムウェア「WannaCry」が世間を騒がせています。 弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。 本記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。 ■WannaCryに感染するまでの複数検体の関連について まず初めに、今回の感染で利用される一連のファイルの関連図を以下に示します。 世間で公開されている今回の攻撃の分析において、個別のファイルの視点で捉えているケースはあまり多くないと思われますが、実際にはこれだけ多くのファイルが関連しあって今回の攻撃

この1～2年の間に機械学習を使用したサービスやプロダクトが数多くリリースされています。それと同時に、機械学習モデルに対する攻撃手法も多く発表されています[1] [2] [3]。 本ブログでは、EPFLのFlorian氏らが発表した論文「Stealing Machine Learning Models via Prediction APIs」から「Model Extraction Attacks」と呼ばれる機械学習モデルに対する攻撃手法の一例を紹介します。 Model Extraction Attacks 「Model Extraction Attacks」とは、機械学習サービス(ML Service)に対する入力値と、それに対応する出力値を基に、ML Serviceで使用しているMLモデル(Logistic Regression、Multilayer Perceptron、Decision