侵入型ランサムウェア攻撃発生時に残るWindowsイベントログの調査 - JPCERT/CC Eyes
侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性
フィッシングサイト経由の認証情報窃取とドメイン名ハイジャック事件 - JPCERT/CC Eyes
JPCERT/CCでは、2023年7月上旬に、日本国内で利用されていたドメインが不正に別のレジストラーに移管されるドメインハイジャックの事例を確認しました。今回は、その攻撃事例を紹介します。 攻撃の概要 図1は、今回の攻撃の流れを図にしたものです。攻撃者は、事前に検索サイトの広告でレジストラーのフィッシングサイトが表示されるようにしていました。 図1: 攻撃の流れ フィッシングサイトにアクセスしたドメイン管理担当者が、アカウントおよびパスワード(以下「認証情報」という。)を入力することで、攻撃者に認証情報を窃取されます。このフィッシングサイトに認証情報を入力すると、正規サイトにログイン済みの状態としてリダイレクトする仕組みとなっており、フィッシングの被害に気付きにくいようになっていました。 その後、攻撃者は、窃取した認証情報を使用して、レジストラーの正規サイトにログインし、ドメインを別のレ
「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ - JPCERT/CC Eyes
Top > “その他”の一覧 > 「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ はじめに 昨年9月に「『積極的サイバー防御』(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について―」というブログ記事[1]を公表したところ、多くの反響をいただきました。 この時に示したとおり、「積極的サイバー防御」「アクティブサイバーディフェンス」「能動的サイバー防御」といったさまざまな呼称の概念は経緯的にも、また、使う人/組織においても非常に多義的であり、定義することにあまり意味はありません。他方で、この1年ほどの間に国内において主に注目が集まっているのは、この多義的なもののうち、より侵害性のある手段を用いた、offensiveなオペレーション(※)です。今回はこうしたoffensiveなオペレーションについて、その
MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - - JPCERT/CC Eyes
JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック(以降本記事ではMalDoc in PDFとする)が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。 なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成され
カスタマイズ可能なマルウェア検知ツールYAMA - JPCERT/CC Eyes
攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あります。このような未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになりますが、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要があります。 このような問題を解決するためにJPCERT/CCでは、マルウェア検知をサポートする目的でYAMAというツールを作成し、公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能で
なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~ - JPCERT/CC Eyes
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
