Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

コロナ禍のインサイダー脅威

考えてみた。

北米の雇用形態は日本とは違うので、警戒レベルは違うのかと思いますが、在宅勤務の拡大によってBYOD問題やシャドーITなどのグレーゾーンが拡大しているのは日本も同じ状況かと思いますので、インサイダーという視点を企業も意識しておく必要がある事を、この記事を読んで感じました。

www.darkreading.com

特に2020年3月のCOVID-19の発生以来、脅威の状況は拡大し、多様化しています。現在、世界の労働力はほとんど離れており、自宅だけでなく、ほぼどこからでも働くことができます。電子メールフィッシング攻撃や従業員のVPN資格情報を標的とするボイスフィッシング攻撃などのエクスプロイトに対するセキュリティ意識の欠如は、コストがかかる可能性があります。

雇用主に対する労働者の忠誠心の低下と変化、および従業員の解約率の上昇も、灰色の領域を拡大します。例としては、意図しない不正行為やリソースの誤用、セキュリティの脆弱性の無視、会社のポリシーへの違反、盗難などがあります。WaymoとUberの間の2018年の企業秘密紛争は、従業員が退職するときに雇用主が知的財産(IP)を保護する際に直面する大きなリスクを強調しています。

すべてのグレーエリアのケースが壊滅的な損失をもたらすわけではありませんが、全体としてすぐに非常にコストがかかる可能性があります。被害を受けた企業からの言及はめったになく、レーダーの下で発生する小さなケースが増えています。危険なのは、灰色の領域での過失や悪意のある慣行が、承認や行動なしに広く受け入れられるようになることです。

(DARK Reading記事より引用)※機械翻訳

 

キタきつねの所感

大事そうな所にアンダーラインを引いてみると、かなり多くなっています。つまりこの記事が(私にとって)良記事である事を示唆しています。

この記事を読んで、普段から感じているモヤモヤとした事が、きちんと文章となって出された(そうそう!)という感覚に陥りました。

※英語記事ではありますが、(内部不正系に興味があれば)Google先生などの力を借りて全文を読まれる事をお勧めします。Dark Readingの記事はGoogle先生の翻訳でも怪しげな日本語になる事はあまりなく、普通に読めます。

 

前段の「労働者の忠誠心の低下と変化」は日本でも現在進行形の課題だと思います。航空会社、レストラン等の接客業などコロナ禍の影響で職を失った方も多いかと思います。テレワークをしている従業員の中にも、業務とは関係の無い事をやっている(サボっている)従業員も結構いるでしょうし、研修も満足に受けられない新入社員や給与が減らされた従業員は、裏で転職活動に精を出しているかも知れません。

そろそろ私もやった方が良いのだろうか・・・・

続きを読む

安全なECサイト利用

クレジットカード情報漏えい事件 考えてみた。

久しぶりにブログへのコメントを頂きました。回答を返したのですが、考えてみるとカード情報漏えいのインシデントの事ばかりを書いていて、安全なECサイト利用について個人的な考えを書いてないなと思いましたので、少し書いてみます。

f:id:foxcafelate:20201021054739j:plain

 

キタきつねの所感

過去記事に対する上記のコメントを頂きました。回答を作る上で、改めて思ったのが、ECサイトの脆弱点を説明するが難しいという事です。

 

まず「素人でも分かる安全なECサイトの見分け方」という点が一番お知りになりたい事だったのだと思います。暫く考えてみたのですが、「コレ!」というものは無い気がします。

 

例えば、URLの「鍵マーク」です。ECサイトの安全性という観点では、カード情報や個人情報を送信する際の暗号化(保護)と、フィッシングサイトへ誘導されてカード情報を窃取される攻撃に対して防御効果が考えられます。

しかし、SSL/TLS証明書を無料で配布する「Let'sEncrypt」などがありますので、httpサイトよりははるかにマシではあるものの、ECサイトの安全性という観点では、フィッシングサイトでない事の主判断要素として使うのは危険かと思います。

※むしろ鍵付きが当たり前になったと言うべきかも知れません

緑のURL/鍵マーク(EV証明書)は、企業等の審査がある分だけ更にマシですし、無料の証明書に比べて信用度も高いのですが、海外ではEV証明書でのインシデントも発生している様ですので、判断要素の1つとしては未だに有効だと思いますが、これだけで大丈夫とは言えない気がします。

 

続きを読む

ブラジルの銀行を襲っているVizom

不正アクセス事件 海外事件 考えてみた。

ブラジルの銀行口座を狙った新たなマルウェアIBMの研究者によって見つかりました。ビデオ会議ソフトウェアを装った攻撃の特徴から「Vizom」と名付けられています。

threatpost.com

 

ブラジル人は、被害者の財務データを吸い上げて銀行口座を空にするために、Windowsユーザーを標的とする新しいオーバーレイマルウェアについて警告を受けています。研究者たちは、Vizomと呼ばれるマルウェアが、Windowsエコシステムの創造的な悪用で補うほど洗練されていないことを述べています。

ボストンを拠点とするIBMSecurityの調査部門であるTrusteerは、新しいコードがブラジルのオンライン銀行ユーザーを対象としたキャンペーンで積極的に使用されていると述べました。オーバーレイマルウェアラテンアメリカで蔓延しており、過去10年間で最大の犯罪者でした。

Vizomは、攻撃ベクトルが潜在的な被害者の受信トレイに配信されるマルスパムおよびフィッシングキャンペーンを介しているという点で、他のオーバーレイマルウェア株と似ています。

(Threat Post記事より引用)※機械翻訳

 

キタきつねの所感

昨日の海外記事では多くのサイトでこの攻撃手法が取り上げられていました。

 

Vizomの動作については、以下の様になる様です。(Security Inteligence記事より引用)

 

オーバーレイ攻撃は古くから存在しますが、ブラジルでは10年以上攻撃が拡大している様です。記事ではブラジルの銀行が大規模な対象となっており、同じ手法が欧州でも確認されているとあります。

この攻撃は、理論上は日本の金融機関でも十分成立しますので、留意が必要かと思います。

 

攻撃の中身を詳しく見ていくと、

続きを読む

■【Weekly Pickup】2020年10月11日~10月17日

セキュリティ記事Weeklyレビュー

先週読んだ記事の中で、気になったモノをピックアップします。

※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。

※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。

「english button」の画像検索結果は英語記事になります。※は良記事(個人の感想です)

 

サイバー攻撃(海外)

整理No  

日付

     

記事タイトル(リンク)

 
2453

10月11日

An Employee In Giga Fremont Is Fired After Sabotaging Part Of The Tesla Factory

テスラ工場の一部を妨害した後、ギガフリーモントの従業員が解雇される 「english button」の画像検索結果
2454

10月9日

Parents Using School Payment Service Have Card Details Compromised

学校の支払いサービスを使用している保護者は、カードの詳細が危険にさらされています 「english button」の画像検索結果
2455

10月11日

Tyler Technologies finally paid the ransom to receive the decryption key

Tyler Technologiesはついに身代金を支払い、復号化キーを受け取りました 「english button」の画像検索結果
2456

10月10日

Carnival confirms data breach as a result of the August ransomware attack

カーニバルは、8月のランサムウェア攻撃の結果としてのデータ侵害を確認しました 「english button」の画像検索結果
2460

10月15日

Joker’s Stash Breaches Dickey’s Barbecue Pit

ジョーカーの隠し場所がディッキーズバーベキューピットに違反 「english button」の画像検索結果
2462

10月16日

Dickey’s PoS Breach Could Hit Three Million Cards

ディッキーズのPoS違反は300万枚のカードに当たる可能性があります 「english button」の画像検索結果
2463

10月15日

Cyber-Attack on Major US Bookseller

米国の主要な書店に対するサイバー攻撃 「english button」の画像検索結果
2473

10月12日

Home security cams hacked in Singapore, and stolen footage sold on adult websites

シンガポールでホームセキュリティカムがハッキングされ、アダルトWebサイトで盗まれた映像が販売された 「english button」の画像検索結果
2475

10月17日

Cosmote reveals cyber attack exposed telephone data from thousands of customers

Cosmoteは、サイバー攻撃にさらされた何千もの顧客からの電話データを明らかにします 「english button」の画像検索結果
2477

10月14日

Hackers Claim to Have Access to 50,000 Home Security Cameras

ハッカーは50,000台のホームセキュリティカメラにアクセスできると主張している 「english button」の画像検索結果
2486

10月17日

Haldiram attacked by ransomware, attackers demand USD 7,50,000 ransom

ランサムウェアに攻撃されたHaldiram、攻撃者は750,000米ドルの身代金を要求 「english button」の画像検索結果
2487

10月15日

Carnival Corp. Ransomware Attack Affects Three Cruise Lines

CarnivalCorp。のランサムウェア攻撃が3つのクルーズラインに影響を与える 「english button」の画像検索結果
続きを読む

SonicWall製品の脆弱性

調べてみた。 考えてみた。

金曜日のInfosecurity Magazineの記事にSonicWall製品の脆弱性の記事が出ていました。日本でもSonicWall製品を利用しているユーザーは多いかと思いますので、注意が必要かと思います。

www.infosecurity-magazine.com

ベンダーが今週重大な欠陥のセキュリティアップデートを発行した後、世界中のほぼ800,000のVPNに緊急のパッチが必要です。

Tripwireの研究者は、SonicWallのネットワークセキュリティアプライアンスNSA)、より具体的には、その基盤となるSonicOSソフトウェアにスタックベースのバッファオーバーフロー脆弱性を発見しました。

バグを発見したTripwireのセキュリティ研究者CraigYoungによると、問題は製品管理とSSLVPNリモートアクセスに使用されるHTTP / HTTPSサービスに存在します。明らかに、カスタムプロトコルハンドラーを含む認証されていないHTTPリクエストによってトリガーされる可能性があります。

「熟練していない攻撃者は、この欠陥を利用して、永続的なサービス拒否状態を引き起こす可能性があります」とYoung氏は続けます。

「TripwireVERTは、スタックの破損によって実行フローを迂回させる機能も確認しており、コード実行の悪用が実行可能である可能性が高いことを示しています。この欠陥は、事前認証と、通常はパブリックインターネットに公開されているコンポーネント(SSLVPN)内に存在します。」

 

(Infosecurity Magazine記事より引用)※機械翻訳

 

キタきつねの所感

別な記事を書こうかと思って違う調べ物をしている最中に、この記事にぶつかりました。閲覧数も少ない日曜日は少しゆるい記事を書くのが好きなのですが、現時点で、日本記事が見当たりませんでしたので、面倒だなと思いながら、関連記事を調べました。

元はTripwireの研究者が見つけた脆弱性の様です。SonicWall側でパッチが出た事から海外では記事が出始めた、という経緯かと思われます。

 

普通の製品の脆弱性のニュースでしたら、「ふーん」で終わるのですが、SonicWall製品は、FWやVPN装置といった企業ネットワークの基幹に設置される事が多いので、スルーできませんでした。

現時点ではSonicWall側は悪用や顧客への影響は確認してないと言うものの、CVSS9.4の緊急度の高い脆弱性である事、そして去年からCitrixやPulseSecure製品の脆弱性を突いての「ランサム」攻撃が大きな問題となっている事を考えると、今回の脆弱性を突いたエクスプロイト(具体的な攻撃コード)がすぐに出てきてしまう可能性を感じます。

 

日本でもSonicWall製品を利用しているユーザーは多いかと思いますので、脆弱性情報を確認し、必要に応じて早期のパッチ当て(すぐにパッチを当てられない場合は緩和策の検討)を行う事が必要かと思います。以下、脆弱性の概要です。

続きを読む

磁気カードスキミングにご用心

考えてみた。

国内では久しぶりに磁気カードスキミングのニュースを見ました。この手の攻撃に感度が鈍い地方のATM施設が狙われた気がします。

www.nikkei.com

山梨中央銀行などは14日、偽造されたキャッシュカードやクレジットカードで不正に現金を引き出されたと発表した。現時点で計160万円の不正な出金が確認されたという。

(中略)


不正な出金は県内外のコンビニエンスストアなどに設置されたATMの取引で確認された。14日に偽造キャッシュカードで1件50万円が引き出された。偽造クレジットカードでもキャッシングなどの取引で計110万円(4件)が引き出されたという。

同行は12日、偽造キャッシュカードによる不正使用を検知し、14日午後3時までに16件を確認した。これらの顧客について調査したところ、偽造クレジットカードの不正使用による被害が判明したという。

偽造されたキャッシュカードはいずれも生体認証機能付きICキャッシュカードではなかったといい、同行では被害防止のためICカードへの切り替えも呼び掛けた。

 (日経新聞記事より引用)

 

キタきつねの所感

磁気カードスキミングの上で、複数犯(出し子)が偽造カードを使ってATMから現金を窃取する、小規模なATMキャッシュアウト攻撃の様です。

 

山梨中央銀行の発表では180万円(10/16現在)の被害が出ている様ですが、もう少し被害総額は膨らみそうです。

というのは、山梨中央銀行が被害を受けた記者会見の内容が記事になっているのですが、どうやら名前が開示されてない「他行」でも山梨県内のATMから不正出金されている様です。

※日経の10/14記事で「山梨中央銀行などは・・・」となっていた事からもそれは分かりますが。

www.news24.jp

続きを読む

Kasetusya ONLINE SHOPもEC-CUBE

クレジットカード情報漏えい事件 不正アクセス事件 調べてみた。

教育本、おもちゃ、実験器具等を販売する仮説社からカード情報漏えいが発表されていました。

f:id:foxcafelate:20201016050810p:plain

 

公式発表

2. 個人情報流出状況
(1)原因
ホームページの内容が外部から書き換え可能になっていたことが原因で、クレジットカード情報が流出する事態となりました。
(2)個人情報流出の可能性があるお客様
2019 年 9 月 3 日から 2020 年 7 月 10 日の期間中、「Kasetusya ONLINE SHOP」においてクレジットカード情報入力画面にカード情報を入力されたお客様 1128 名で、流出した可能性のある情報は以下の4点です。
・カード会員氏名
・カード番号
・カード有効期限
・セキュリティコード
上記に該当する 1128 名のお客様については、別途、電子メールにて個別にご連絡申し上げます

(公式発表より引用)

 

キタきつねの所感

同じ様な記事を見て飽きている方が多いかと思います。実は私もです。しかし、今回のインシデント発表に微妙に違いを感じました

少し前に記事を書いた2つのインシデントの公式発表では原因部分を以下の様に書いています。

CELL CELLAR公式ショップ

(1)原因
 弊社が運営する「CELL CELLAR セルセラ 公式ショップ(旧MFⅢ-JAPAN)」のシステムの一部の脆弱性をついたことによる第三者不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

東映ビデオ

(1) 原因
 システムの一部の脆弱性をついたことによる第三者不正アクセス

 

今回の発表内容と見比べてみますと、書き方が少し違います。

(1)原因
ホームページの内容が外部から書き換え可能になっていたことが原因で、クレジットカード情報が流出する事態となりました。

 

最近インシデント発表を読んでいて多いと感じるのはWebページが書き換えられ、外部の偽決済ページ(フィッシングサイト)に誘導してカード情報を窃取する攻撃なのですが、今回の原因の書き方だと、少し合ってない気がします。

続きを読む