Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

三菱重工へのソーシャルエンジニアリング

三菱重工への攻撃起点は社用モバイルPCでのSNS不正利用だった様です。

www.nikkei.com

 

三菱重工業は7日、名古屋市などの拠点のインターネット通信網が第三者による不正なアクセスを受けたと発表した。在宅勤務中の社員が社内ネットワークを経由せずにSNS(交流サイト)を利用した際、業務用のパソコンがウイルスに感染した。同じサーバーを利用する複数の従業員の個人情報の一部が流出した。

機密情報や取引先の情報の漏洩は確認されていない。5月21日に不正アクセスを検知して調査を始め、従業員の個人情報の流出を確認した。

在宅勤務中の社員のパソコンは社内ネットワークを経由して接続しているが、一部のパソコンで外部接続ができるようになっていたという。再発防止に向け、従業員が会社のパソコンから外部ネットワークに接続できないようにする対策を講じた。三菱重工はネットへの接続体制の「社内の監視体制を一層強化する」としている。

日経新聞記事より引用)

 

公式発表

 

キタきつねの所感

恐らく標的型攻撃の一環だったのかと思います。公式発表に詳しい経緯が書かれていましたので引用しますが、社用端末でSNS(私用)を利用したのが発端の様です。

リクルートや広報等の理由で公式SNSアカウントを当該従業員が持っていた可能性もありますが、それについては公式発表で触れられていませんので、私用だったと推測して記載しています。

 

普通は社内ルールでこうしたSNSの私用利用が禁止が書かれていると思いますので、まずここに原因があったと考えるべきかと思います。

2点目のポイントが、『社内ネットワークを経ずに外部ネットワークに接続できた』事です。これも原因の1つとなっていますが、時期(4/29)を考えると、ここは仕方が無かった面もあるかと思います。

4/7からの緊急事態宣言中ですので、急遽のテレワークで端末設定が徹底されてなかった可能性は、三菱重工だけでなく普通にあった時期かと思いますし、不安に思う心理からSNSで情報収集される方もこの時期多かったのはよく分かります。

しかし普通は・・・私用端末でSNS利用するのではないかとは思いますが。。。

4/29 当社グループの従業員が、在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークへ接続SNSソーシャル・ネットワーキング・サービス)を利用した際に、第三者から受領したウイルスを含んだファイルをダウンロードしたことにより、当該従業員の社有PCが感染。
5/7 当該従業員が出社し、社内ネットワークに接続。
5/18 社内ネットワークを通じ、感染が拡大。
5/21 外部不正通信を検知し、調査を開始。
5/22~ 不正アクセスを受けた機器が判明したため、ネットワークから遮断する等の初動対策を直ちに行った後、通信ログ等の解析を開始。
6/16~ パケット情報を分析、その解読・精査を開始。
7/21 流出を確認した情報の精査を完了。

 

続きを読む

三越伊勢丹グループサイトへのスプレー攻撃

三越伊勢丹オンラインストアとエムアイカードサイトが、不正ログインによって会員情報が不正閲覧されたと発表されていました。

www.security-next.com


三越伊勢丹は、同社が運営する「三越伊勢丹オンラインストア」およびグループ会社であるエムアイカードのウェブサイトにおいて、第三者が本人になりすまして不正にログインする被害が確認された。

同社によれば、7月6日から8月3日にかけて海外のIPアドレスから、第三者が利用者本人のIDとパスワードを利用してなりすましてログインする不正アクセスを確認したもの。

今回の不正ログインにより、「三越伊勢丹オンラインストア」の顧客情報1万5336件が不正に閲覧された可能性がある。氏名や住所、電話番号、生年月日、メールアドレス、クレジットカード情報の下4桁、有効期限などが含まれる。

さらに「エムアイカードホームページ」の会員情報3583件についても閲覧された可能性がある。会員の氏名や請求予定額、保有ポイントなどが含まれる。

(Security Next記事より引用)

 

公式発表

 

キタきつねの所感

三越伊勢丹グループ関連2サイトで、約1.9万件の会員情報が不正閲覧されたと発表されました。不正ログイン手法が会員の「パスワードの使い回し」が原因と思われる「リスト型アカウントハッキング(リスト型攻撃)」と発表されています。

 

しかし、侵害を受けた期間や事後対策を考えると(細かい所ですが「パスワードスプレー攻撃」だった可能性を感じます

 

参考:「パスワードスプレー」攻撃に警戒を--日米で注意喚起 - ZDNet Japan

続きを読む

Pulse SecureのVPN製品が狙われている

Pulse Secure製品の脆弱性に対する記事が出ていました。と言っても、昨年発表された脆弱性なのですが、日本での影響が懸念されます

www.zdnet.com

 

ハッカーは本日、900を超えるPulse Secure VPNエンタープライズサーバーのIPアドレスとともに、プレーンテキストのユーザー名とパスワードのリストを公開しました。

脅威インテリジェンス会社KELAの助けを借りてこのリストのコピーを入手したZDNet は、サイバーセキュリティコミュニティの複数のソースでその信頼性を検証しました。

レビューによると、リストには以下が含まれます:

・Pulse Secure VPNサーバーのIPアドレス
・Pulse Secure VPNサーバーのファームウェアバージョン
・各サーバーのSSHキー
・すべてのローカルユーザーとそのパスワードハッシュのリスト
・管理者アカウントの詳細
・最後のVPNログイン(ユーザー名とクリアテキストパスワードを含む)
VPNセッションCookie

ZDNet記事より引用)※機械翻訳

 

キタきつねの所感

ロシアのハッカーズサイトで、900以上のPulse SecureのVPNサーバーの認証情報のリストが共有されているのが発見されました。リストの内容分析を行ったZDNetによるとコンパイルされた日付が「2020/6/24~2020/7/8」となっており、このリストが「現役」である可能性が高い事を示唆しています。

 

vpn-folder.png

ZDNet記事より引用

 

これの何が問題なのか?よくある事ではないのか?と思われる方もいるかと思いますが、VPNサーバーが侵害されて内部に侵入されると、企業や組織には非常に深刻なインシデントをもたらす可能性が高くなります。

このリストには高確率で「日本企業/組織」の情報が含まれているので、現在進行形、あるいは近い将来に日本企業/組織からインシデントが発生する可能性が懸念されるのです。

続きを読む

お盆休みには「釣り針」にご用心

英国での「無料視聴」スミッシング攻撃が記事になっていました。日本ではこれからお盆休みの方も多いかと思いますので注意が必要かと思います。

www.infosecurity-magazine.com

 

シンクタンク国会議事堂の研究者は、「無料テレビライセンス」を提供するテキストメッセージ詐欺を発見しました。

詐欺は、75歳以上のユニバーサル無料テレビライセンスを廃止するというBBCの物議を醸す決定と一致して、被害者の個人的な財務データを盗むように設計されています

パーラメントストリートの研究者によると、数百人の英国の消費者がすでに詐欺の標的になっています。受信者の電話に送信されるテキストメッセージから始まります。「COVID-19により、1年間無料でテレビライセンスを提供できます。申し込み時のサービス。」メッセージは、公式のTVライセンスブランドを使用する詐欺的なWebサイトにアクセスするようにユーザーに促します。

そこから、被害者は名前、生年月日、自宅の住所、銀行口座の詳細など、さまざまな個人情報を入力するよう求められ、盗まれます。

(InfoSecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

英国でのスミッシング事例が報じられています。英国では2か月遅れで、75歳以上のBBC無料視聴」の特例措置が決まり、8月から支払い免除となる様です。この措置に合わせて、SMSベースのフィッシング(スミッシング)攻撃が確認されています。

スミッシング - Wikipedia

 

旬のネタに合わせたこうした強かなフィッシング攻撃、攻撃者は流行のネタに「便乗」してくる事には留意が必要です。

続きを読む

セキュリティで一番必要なのは好奇心

少し前のKrebs氏の記事ですが、これからサイバーセキュリティのキャリアをお考えの方に対する助言が出ていました。

krebsonsecurity.com

 

これらの経営幹部レベルの対応における共通のテーマは、非常に多くの候補者が、ビジネスを推進する情報システムの運用、維持、および防御に関するより実際的な懸念を伴う実務経験を欠いているということです。

確かに、学位を取得したばかりのほとんどの人は実務経験がありません。しかし幸いにも、サイバーセキュリティのややユニークな側面は、自主的な研究と昔ながらの試行錯誤を通じて、実践的なスキルと基礎知識をある程度習得できることです。

私が読者への返答にほとんどいつも含める重要なアドバイスの1つは、コンピューターと他のデバイスが相互に通信する方法のコアコンポーネントを学ぶことです。ネットワーキングを習得することは、他の多くの学習領域が築く基本的なスキルだからです。データパケットがどのように機能するかを深く理解せずにセキュリティで仕事を得ようとすることは、最初に元素の周期表を習得せずに化学エンジニアになろうとすることに少し似ています。

(Krebs on Security記事より引用)※機械翻訳

 

キタきつねの所感

著名なセキュリティ専門家のBrian Krebs氏の、これからセキュリティのキャリアを進む方への助言は、どういった資格を得るべきとも、どのセキュリティの分野が最も明るい未来があるか、といった事よりも、実践的な部分にウェイトを置いています。

 

サイバーセキュリティの職務は全世界的に不足気味であると言われていますが、AIやビックデータ等を含めて、多岐の分野がある中で、各企業の経営層とも定期的に話し合うKrebs氏が、実践的な部分を助言するというのは、なかなか興味深いものがあります。

 

とは言え、Krebs氏は同時に「しかし、私の言葉を信じないでください」と続けます。 

続きを読む

■【Weekly Pickup】2020年7月26日~8月1日

先週読んだ記事の中で、気になったモノをピックアップします。

※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。

※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。

「english button」の画像検索結果は英語記事になります。※は良記事(個人の感想です)

 

サイバー攻撃(海外)

整理No  

日付

     

記事タイトル(リンク)

 

1595

7月25日

Instacartは個人情報流出の原因をユーザーのパスワード再利用と発表、しかし二段階認証はなし

1599

7月26日

Records for 7.5 million users of the digital banking app Dave leaked online

デジタルバンキングアプリDaveの750万ユーザーの記録がオンラインで流出 「english button」の画像検索結果

1608

7月27日

ShinyHunters Offers Stolen Data on Dark Web

ShinyHuntersがダークウェブで盗んだデータを提供 「english button」の画像検索結果

1615

7月28日

Cosmetics Giant Avon Leaks 19 Million Records

化粧品のジャイアンエイボンが1900万件のレコードをリーク 「english button」の画像検索結果

1625

7月29日

Vatican Infiltrated by Chinese Hackers Ahead of Sensitive Talks

バチカン、中国のハッカーによる機密交渉の先に潜入 「english button」の画像検索結果

1628

7月31日

Ohio Researcher Admits Selling Secrets to China

オハイオ州の研究者は中国に秘密を売ることを認めている 「english button」の画像検索結果

1634

7月31日

CWT Travel Agency Faces $4.5M Ransom in Cyberattack, Report

CWT旅行代理店、サイバー攻撃で450万ドルの身代金を要求、レポート 「english button」の画像検索結果

1649

7月22日

中国からの大学の仲間はこれまでで最も多作なハッカーの間でなりました、と米国は言います

1653

8月2日

Cal State Northridge Pays Ransom To Hackers After Cyberattack

カリフォルニア州立大学ノースリッジがサイバー攻撃の後、ハッカーに身代金を支払う 「english button」の画像検索結果

 

続きを読む

CWTのランサム被害

米国で5番目に大きなビジネス専門の旅行代理店であるCWT(旧カールソン・ワゴン・トラベル)がランサム被害を受け、ランサム(身代金)を支払ったと報じられていました。

threatpost.com


世界中の顧客を抱える企業旅行代理店業界の巨人であるCWTは、ランサムウェア攻撃を受けて、未知のハッカーに450万ドルの支払いを迫られた可能性があります。

独立系マルウェアハンター@JAMESWTは木曜日にツイートし、CWT(旧称Carlson Wagonlit Travel)に対して使用されたマルウェアサンプルが7月27日にVirusTotalにアップロードされたと発表した。彼はまた、問題のランサムウェアラグナルロッカーであることを示す身代金メモを含めました。

Threatpostへのメディアの声明で、CWTはサイバー攻撃を確認しました。この攻撃は先週末に行われたと述べています。「予防措置としてシステムを一時的にシャットダウンした後、システムがオンラインに戻り、インシデントが停止したことを確認できます。」

 

@JAMESWTはまた、身代金要求が414ビットコイン、または現在の為替レートで約450万ドルを要求したと報告しました。CWTのスポークスパーソンは身代金が支払われたかどうか、攻撃の技術的な詳細、またはどのようにして迅速に回復できたかについてのコメントを拒否しました

(Threat Post記事より引用)※機械翻訳

 

公式発表

 

 

キタきつねの所感

CWTはビジネス旅行専門の旅行代理店で150か国以上の国と地域にネットワーク網を持ちます。従業員は約1.8万人(※日本の最大手JTBの従業員は約3万人)と、全米でも大手の旅行代理店です。

 

どうやら7月下旬にランサムが拡散した様ですが、マルウェアハンターのJAMESWT氏がTwitterでランサムメモと、BTCの取引ログから414BTCが支払われたらしいと投稿し、CWTのランサム被害について海外メディアが一斉に書き始めた様です。

続きを読む