View profile

今週の気になるセキュリティニュース - Issue #8

Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi
事件、事故
加賀電子株式会社の米国子会社において、虚偽の送金指示による約 5億円の資金流出が発生
(コメント) おそらくビジネスメール詐欺 (BEC) による被害と思われる
LINE の個人情報管理の問題について、データを今後国内に完全移転する方針を発表
松井証券の取引システムの開発・運用業務の委託先である SCSK の元従業員が、電子計算機使用詐欺罪等の容疑で警視庁に逮捕。業務上付与された権限を不正に使用して顧客情報を取得し、顧客になりすまして有価証券を売却して代金を得ていた。
本件は、当社の証券取引システムの開発・運用業務の委託先であるSCSK株式会社の元従業員1名が、2017年6月29日から2019年11月12日にかけて、業務上付与された権限を不正に使用し、当社の複数のお客様の顧客ID、パスワード、取引暗証番号を不正に取得した後、当社のお客様になりすまして有価証券を売却し、その売却代金や、別途お預かりしていた現金を不正に取得していたという事案です。また、SCSK株式会社の元従業員は、本件を実行するにあたり、銀行に提出するための本人確認書類を偽造するなど、不正な手段を用いて、被害顧客と同姓同名の架空の銀行口座を開設したと考えられます。当社の業務委託先の元従業員が、このような不正を起こしたことは誠に遺憾であり、今回の事態を厳粛に受け止めております。
三菱電機が 2020年11月に公表した第三者による不正アクセス事案について、その後の調査結果を公表
今回の不正アクセスは、中国にある当社子会社への不正アクセスを契機として、第三者が当社および当社国内子会社の一部の従業員のクラウドアクセス用アカウント情報を窃取し、当社が契約しているクラウドサービスおよび関連サーバーを攻撃したものであることが判明しました。マルウエアによる侵害やソフトウエアの脆弱性を突いた攻撃ではなかったため、正常な利用を含む多くのログの中から不正アクセスを探索する必要があり、全容の調査に 4 カ月余りを要しました。 当社は、不正アクセスの検知直後に不正アクセス元を遮断するなどの対策を講じた後、2020 年 11 月 30 日には当該中国子会社への不正アクセス箇所を特定し、当社グループ全従業員のアカウント情報の改廃やアクセス制御強化などの追加対策を講じました。
Accellion FTA の脆弱性による新たな被害事例
Slack が他組織のユーザに対してもメッセージを送ることができる新機能 Slack Connect をリリース。しかしハラスメント行為などに利用される危険性を指摘され一部機能を制限するように修正
(補足) 相手へのメッセージ内容を含む招待メールが Slack から送信されるが、受信者はこれをブロックすることができない。また管理者が Slack Connect を無効にしても、招待メールは届いてしまう。そのため招待メールにメッセージが付加できないように修正された
Android スマートフォンで WebView の不具合により、アプリが強制終了する問題が発生。最新版へのアップデートにより解消される
Google Japan
Android アプリが一部のユーザーで強制終了する問題を修正しました。不具合が解消しない場合は、Google Play ストアから Android システムの WebView と Google Chrome をアップデートしてください。ご迷惑をおかけした皆さまにお詫び申し上げます。

https://t.co/IYtyEr5FC8
https://t.co/JyU6EsGNSz
攻撃、脅威
CrowdStrike が INDRK SPIDER と呼称するアクター (Evil Corp) の最近の活動について報告。WastedLocker を進化させた亜種 Hades ランサムウエアが利用されている
Based on significant code overlap, CrowdStrike Intelligence has identified Hades ransomware as INDRIK SPIDER’s successor to WastedLocker. Hades ransomware — first publicly identified by security researchers in December 2020 — was named for a Tor hidden website that victims are instructed to visit; however, Hades is merely a 64-bit compiled variant of WastedLocker with additional code obfuscation and minor feature changes. The WastedLocker-derived Hades ransomware is unrelated to a similarly named ransomware family, Hades Locker, identified by security firms in 2016.
PRODAFT が米国および欧州をターゲットにした攻撃グループ SilverFish の活動についてレポートを公開。SolarWinds 事案や、Evil Corp の活動との関連性を指摘している。
In this report, we were able to analyze various servers and samples allowing us to link the SilverFish group with the infamous SolarWinds attacks, which became public around December 2020 [3]. Moreover, the PTI Team has uncovered that the same servers were also used by EvilCorp [17] which modified the TrickBot infrastructure for the purpose of a large scale cyber espionage campaign. EvilCorp is known to be responsible for the development and distribution of the Dridex [23] and WastedLocker [6] malware.
(コメント) 攻撃者の C2 サーバにアクセスしてデータを分析するなど、かなりアグレッシブな調査を行っている
Facebook が中国のアクター (Earth Empusa / Evil Eye) による攻撃活動とその対応について報告
Today, we’re sharing actions we took against a group of hackers in China known in the security industry as Earth Empusa or Evil Eye — to disrupt their ability to use their infrastructure to abuse our platform, distribute malware and hack people’s accounts across the internet. They targeted activists, journalists and dissidents predominantly among Uyghurs from Xinjiang in China primarily living abroad in Turkey, Kazakhstan, the United States, Syria, Australia, Canada and other countries. This group used various cyber espionage tactics to identify its targets and infect their devices with malware to enable surveillance. 
脆弱性
Microsoft Exchange Server の脆弱性に関する続報
  • Microsoft, ID Ransomware などが Black Kingdom / Pydomer と呼ばれるランサムウェアの感染活動を観測
  • Microsoft / RiskIQ, Kryptos Logic などの観測データによると、3/23 時点で約 3万 IP の脆弱な Exchange Server が存在。この 1週間で半分以下に減少した
  • Shadowserver の観測データによると、3/25 時点で約 4万弱の IP に Web Shell が存在
MalwareTech
Someone just ran this script on all vulnerable Exchange servers via ProxyLogon vulnerability. It claims to be BlackKingdom "Ransomware", but it doesn't appear to encrypt files, just drops a ransom not to every directory. https://t.co/POYlPYGjsz
Security Response
Our work continues, but we are seeing strong momentum for on-premises Exchange Server updates:
• 92% of worldwide Exchange IPs are now patched or mitigated.
• 43% improvement worldwide in the last week. https://t.co/YhgpnMdlOX
Kryptos Logic
ProxyLogon stats: 250k uniq IPs scanned, 29796 vulnerable, 97827 shells across 15150 unique IPs. This data has been loaded into Telltale (https://t.co/caXU7rqHaI). Please patch and run Microsoft's MSERT tool to clean up any webshells
Shadowserver
Updated Special Report run to add extra data and re-test exposed webshells: +220990 events, 38798 IPs, 45747 hostnames, 141935 webshell paths, with 48197 active shells returning version info. Expanded webshell scan set to follow, but please urgently remediate compromised systems. https://t.co/go0D6kREv7
その他
マネーロンダリングの罪に問われた北朝鮮国籍の容疑者が裁判を受けるために米国に移送。容疑者を引渡したマレーシアに対して、北朝鮮は外交断絶を宣言した。
Facebook が misinformation への対策について、最近の取り組みデータを公表。2020年10月から12月までに約 13億の偽アカウントを無効にするなどの対策を実施した。
Chrome 90 (Stable 版は 4月リリース) からアドレスバー入力時にデフォルトで HTTPS が使用されるようになる
(コメント) Firefox では 2020年 11月にリリースされたバージョン 83 から HTTPS-Only モードという機能が搭載されているが、デフォルトでは無効になっている。
TLS 1.0 と TLS 1.1 の使用を禁止する RFC 8996 が発行される
This document formally deprecates Transport Layer Security (TLS) versions 1.0 (RFC 2246) and 1.1 (RFC 4346). Accordingly, those documents have been moved to Historic status. These versions lack support for current and recommended cryptographic algorithms and mechanisms, and various government and industry profiles of applications using TLS now mandate avoiding these old TLS versions. TLS version 1.2 became the recommended version for IETF protocols in 2008 (subsequently being obsoleted by TLS version 1.3 in 2018), providing sufficient time to transition away from older versions. Removing support for older versions from implementations reduces the attack surface, reduces opportunity for misconfiguration, and streamlines library and product maintenance.
(コメント) 主要なブラウザはすでに 2020年 7月から TLS 1.0/1.1 をデフォルトで無効にしている (Firefox 78, Chrome 84, MS Edge 84 以降)
NICT が NICTER プロジェクトのダークネット観測網における2020年第4四半期 (10~12月) の観測結果を公開
Did you enjoy this issue? Yes No
Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

If you don't want these updates anymore, please unsubscribe here.
If you were forwarded this newsletter and you like it, you can subscribe here.
Created with Revue by Twitter.