Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

海外事件

Codecovへの新たなサプライチェーン攻撃

テストのカバレッジを可視化してくれるCodecovサービスのインフラが侵害され、Bash Uploaderに1月下旬から約3か月間バックドアを仕掛けられていた様です。 securityaffairs.co 公式発表 ・Bash Uploader Security Update (4/15) Codecovは、システムとデータ…

FBIが感染したExchangeサーバからWebシェルを削除

FBIは、ハッカーが多くの米国組織のMicrosoft Exchangeサーバにインストールしたマルウェアを削除する権限を裁判所に求め、悪意あるスクリプトを削除する特別オペレーションを実施した様です。 www.infosecurity-magazine.com 米国当局は、3月にパッチが適用…

データセンターへの爆破攻撃

AWSのデータセンターをプラスティック爆弾で攻撃する事を計画していた20代のテキサス在住の男性がFBIによって逮捕された件が報じられていました。 www.bleepingcomputer.com 1月下旬に別の情報源から見つかったFBIエージェントは、Signal暗号化メッセージン…

UCLAもAccellion FTA経由でデータを漏えいした(Cl0Pランサム)

米国の有名大学が次々とAccellion FTA経由の侵害により重要情報を窃取された事を発表していますが、最新の被害者は日本でもよく名前が知られた名門UCLA(カリフォルニア大学ロサンゼルス校)だった様です。 ktla.com 公式発表(UCLA) ・Update on Accellion…

BazarCallの攻撃手法は警戒が必要

日本ではまだ顕在化していない攻撃だと思いますが、Bleeping Computerのコールセンターを使ったマルウェア感染手法の記事が気になりました。 www.bleepingcomputer.com 多くのマルウェアキャンペーンと同様に、BazarCallはフィッシングメールから始まります…

ShellもAccellion FTA経由で侵害された

エネルギー大手のシェル(RoyalDutch Shell)もAccellionのファイル共有サービス経由でデータ侵害を受けたと発表されていました。 securityaffairs.co 公式発表(Shell)3/18 ・THIRD-PARTY CYBER SECURITY INCIDENT IMPACTS SHELL Shellは、Accellionのファ…

Acerへのランサム被害(REvil)

ランサムオペレータREvil(Sodinokibi)のリークサイトにAcerの機密情報が掲載され、過去最高の5,000万ドル(約54億円)の身代金が要求されている報じられていました。 securityaffairs.co 台湾のコンピューター大手エイサーは、REvilランサムウェア攻撃の犠…

Molson Coorsのランサム被害

世界的な有名な多くのブランドを持つ米国の醸造会社Molson Coorsがサイバー攻撃を受けて製造に影響を与えたと報じられていました。 www.infosecurity-magazine.com 公式発表(Form8-K) ・MOLSON COORS BEVERAGE COMPANY(3/11) 2021年3月11日、Molson Coor…

Verkadaの特権ID管理

ホワイトハッカーと言えるのか迷う所ですが、ハッカー(グループ)がシリコンバレーのスタートアップ企業Verkada社顧客(テスラの中国サプライヤー、Cloudflare、Okta、アラバマ刑務所、病室、警察の尋問エリア等)の監視カメラ15万台(最大)へのルートシェ…

QualysもAccellion FTA経由で侵害された

日本ではSalesforce設定ミスがHOTですが、米国ではSolarWindsだけでなくAccellionからも”被害者”が次々と出てきています。クラウドセキュリティや診断で定評があるQualys社がAccellion FTA経由でデータを窃取された様です。 www.bleepingcomputer.com 昨日、…

インターンの設定ミスがSolarWinds侵害の原因か

全米史上最も深刻なセキュリティ侵害となったSolarWindsユーザのAPT攻撃は、「インターン」の設定したパスワードによって発生した。米下院公聴会でのやり取りでは脆弱なパスワードに注目が集まっている様です。 edition.cnn.com 元SolarWindsCEOのKevinThomp…

Lazarusの針が防衛産業を狙っている

北朝鮮が支援していると言われるAPTグループLazarusに関するKaspersky ICS CERTの調査レポートが出ていました。「ThreatNeedle(脅威の針)」はフィッシング成功後に警戒すべき段階的な攻撃の様です。securelist.com 元レポート(Kaspersky 2/25) ・Lazarus …

ボンバルディアのデータ漏えい

カナダの航空機メーカーのボンバルディア(Bombardier)が、Accellion FTA共有サービスの脆弱性を突かれ、Clopランサムのサイトで公開されていると報じられていました。 securityaffairs.co ボンバルディアは、そのデータの一部がClopランサムウェアギャング…

起亜自動車アメリカがランサム被害

韓国の起亜自動車アメリカ(Kia Moters America)が、DoppelPaymerのランサム被害を受けたと報じられています。 www.bleepingcomputer.com Kia Motors Americaは、DoppelPaymerギャングによるランサムウェア攻撃に苦しんでおり、盗まれたデータを漏らさない…

カードスキマーは進化中(Part2)

「ICカードだからスキミングは大丈夫」とは言えないと改めて感じる、スキマー攻撃事例がKrebs氏の記事に出ていました。 krebsonsecurity.com スキミングに関連するあらゆるものの完全な吸盤として、私は最近、いくつかの店舗の決済カード端末の上にBluetooth…

サムソンの内部漏洩対策

攻める中国に守る韓国、スポーツではなく産業技術を奪う争いは、かつての日本企業がそうであった様に、攻撃側が有利な状況の様です。 news.yahoo.co.jp 国情院が韓国国会に提出した資料によると、19年までの5年間で摘発した技術流出案件は123件にのぼる。そ…

Accellion次の犠牲者はSingtel

シンガポールの大手通信キャリアSingtelが利用していたサードパーティ(Accellion)のファイル転送システム(FTA)がサイバー攻撃を受け、1月に侵害を発表したニュージーランド準備銀行と同様に、顧客情報が漏えいしていた可能性があると発表しました。 www.…

TeamViewerがインフラを脅かす

水道等インフラへのサイバー攻撃、まだ海外でしか発生した報道を見ませんが、今後警戒すべき攻撃です。 www.reuters.com (ロイター)-ハッカーはフロリダ州タンパ近郊の約15,000人の水を処理する施設のコンピューターシステムに侵入し、危険なレベルの添加…

Costwayのカード情報は2重に攻撃された

北米やヨーロッパを中心に家具や家電製品などを販売するCostwayのECサイト(Magento)に昨年後半に仕掛けられた”スキマー”の後ろには、「鵜飼」が居た様です。 threatpost.com 北米とヨーロッパでトップの小売業者の1つであるCostwayの支払いWebページで、2…

インテルの決算情報漏えい

インテルが四半期報告の”情報漏えい”を起こし、決算発表前に第三者がPRニュースルームサイトで収益情報にアクセスした様です。 www.infosecurity-magazine.com インテルの広報担当者は当時、フィナンシャルタイムズに次の ように語っています。「インフォグ…

Joker's Stashの閉鎖予告

悪名名高きカードダンプデータの販売サイト「Joker's Stash」が30日以内(~2/15)に営業を停止すると発表しました。 www.flashpoint-intel.com 2021年1月15日、「ジョーカーズスタッシュ」として知られる悪名高い信頼性の高いカードショップは、本日、30日以…

ニュージーランド準備銀行へのサイバー攻撃

ニュージーランド準備銀行がサイバー攻撃を受けたと報じられていました。 www.nbcnews.com ニュージーランド、ウェリントン—ニュージーランドの中央銀行は日曜日、そのデータシステムの1つが、商業的および個人的に機密情報にアクセスする可能性のある身元不…

Nissan North Americaのパスワード設定

昨日のニュースの中では、この記事が衝撃的でした。日産の内部ツールやアプリケーションのソースコードがGitサーバーの「設定ミス」によって漏えいしたと報じられています。残念ながら2021年も「パスワード問題」は続きそうです。 japan.cnet.com 日産自動車…

Juspayのデータ侵害

インドでAmazon等の主要なECサイトへ決済代行サービスを提供しているJuspayがデータ侵害を受け、Darkwebで顧客情報が販売されていると報じられていました。 inc42.com 最近のインド最大のデータ漏えいと思われるものの中で、影響を受けたユーザー数の観点か…

SolarWinds事件(SunBurst)のフォレンジック調査

SolarWindsの事件は、影響する組織が200以上とも言われ、どうやら2021年まで尾を引きそうです。関連する記事の中でReversingLabsの創設者TomislavPeričin氏の(現時点のける)フォレンジック調査記事が目を惹きました。 blog.reversinglabs.com 概要IT監視お…

SolarWindsへのAPT攻撃

今年最大級のインシデントと言っても過言では無いかも知れません。IT監視サービスを全世界30万社以上に提供しているSolarWinds社のSolarWinds Orion Platformの更新ソフトがポイゾニング攻撃を受けた結果、米国財務省などの多くの政府機関が侵害を受けた可能…

TSYSのランサム被害

北米で3番目の規模を誇る決済プロセシングサードパーティのTotal System Services(TSYS)がRyuk(Conti)ランサムの被害を受けた様です。 krebsonsecurity.com 12月8日、Contiランサムウェア株(「Ryuk」とも呼ばれます)の展開を担当するサイバー犯罪組織は、…

MySQLを狙う2重恐喝キャンペーン

MySQLを狙ったランサムキャンペーン(PLEASE_READ_ME)についての調査レポートが海外主要ブログのいくつかで取り上げられていました。 www.infosecurity-magazine.com 研究者は、MySQLデータベースサーバーを標的とするアクティブなランサムウェアキャンペー…

FireEyeも侵害される「第5の戦場」

世界的なサイバーセキュリティ企業のFireEyeがAPT攻撃を受け、レッドチームの評価用ツール(ゼロディではない)が窃取されたとブログで発表しました。 jp.techcrunch.com 普段、サイバー攻撃の被害者が最初に電話をかける会社であるFireEye(ファイア・アイ…

Kopterのデータ侵害

新たなランサム被害が報じられていました。スイスのヘリコプターメーカーKopterがLOCKBITランサムウェアにより2重脅迫を受け、脅迫を拒否した事により内部情報(機密情報)を公開された様です。 www.zdnet.com ヘリコプターメーカーの Kopter は、ハッカーが…