リソース

ブログ

サイバー犯罪者がダークウェブで COVID-19 の偽ワクチンを密売
Post 2020-04-16
サイバー犯罪者がダークウェブで COVID-19 の偽ワクチンを密売

ハッカーや詐欺師は、企業や消費者からデータを盗んだり、さまざまなコミュニティに社会不安をもたらしたりするサイバー攻撃キャンペーンの一環として、COVID-19 のパンデミックを利用してマルウェアやフィッシング メールを送りつけていますが、その一方で、ハッカー グループの間には、架空のワクチンを販売するなどの 「人としての一線を越えた行動は容認しない」 という暗黙の了解がありました。家族が COVID-19 ウイルスに感染した家庭では医学的な治療法を必死に模索していると考えられます。CYFIRMA の研究者の観察によれば、そのような状況の中、何百万人もの命を危険にさらすこのウイルスの危険性はハッカーも認識しています。ワクチンが手に入るというニュースが出れば、大勢の人が過剰に反応して、多くの地域社会で大混乱が発生する可能性もあります。 ダークウェブ マーケットプレイスでは、一部のグループが、売り手に対して、偽の COVID-19 治療薬を売り込まないよう要請しているのが目撃されています。「Monopoly」 と呼ばれるダークウェブ フォーラムでは、「コロナウイルスの治療法として商品を売っているところを捕らえられたベンダーは、この市場から永久に追放されるだけでなく、スペイン風邪のように疎外されるべきである」 と掲示されています。また、このフォーラム投稿は、今般のパンデミックの重大さを説き、この危機をマーケティング ツールとして使用しないように売り手に求めていました。 ダークウェブには、コミュニティのメンバーに COVID-19 の医学研究への貢献を奨励するグループもあります。あるロシア語で書かれたダークウェブ フォーラムでは、ゲーム愛好家に対して、コンピュータの GPU 処理能力を、国際的な分散型コンピュータ ネットワークに貸し出して、ウイルス ゲノムのシークエンシングや関連研究を支援するよう強く求めていました。(GPU とは、非常に高い計算能力を備えた画像処理ユニットで、通常、ビデオ ゲームや高性能コンピューティングの作業負荷に対して用いられます。) ダークウェブには、パンデミック危機を利用して利益を得ることに対して道徳的な立場をとっているグループが存在する一方、対極の考えを持つ詐欺師も大勢います。 CYFIRMA の研究者は、この…

サイバー犯罪者が暗黙の行動規範を破り、ダークウェブで COVID-19 のワクチン詐欺を広める
Post 2020-04-01
サイバー犯罪者が暗黙の行動規範を破り、ダークウェブで COVID-19 のワクチン詐欺を広める

CYFIRMA リサーチ チーム – 2020年4月   CYFIRMA リサーチ チームによれば、ダークウェブ マーケットプレイスのハッカーや詐欺師の間で大きな変化が見られます。ダークウェブ マーケットプレイスには、偽ワクチンの勧誘販売を最小限に留めるという暗黙の合意がありましたが、この一週間の観察では、サイバー犯罪者の姿勢とアプローチに深刻な変化が確認されています。 CYFIRMA は、COVID-19 のパンデミックを利用して金銭的利益を得ようとするサイバー犯罪者のアプローチと行動に変化が生じていることを確認しました。 (※ CYFIRMA は、脅威検出とサイバー インテリジェンスのプラットフォームを提供する会社です。Goldman Sachs、Zodius Capital および Z3 Partners の支援を受けています。) ハッカーや詐欺師は、企業や消費者からデータを盗んだり、さまざまなコミュニティに社会不安をもたらしたりするサイバー攻撃キャンペーンの一環として、COVID-19 のパンデミックを利用してマルウェアやフィッシング メールを送りつけていますが、その一方で、ハッカー グループの間には、架空のワクチンを販売するなどの 「人としての一線を越えた行動は容認しない」 という暗黙の了解がありました。家族が…

国家支援型ハッカー グループが攻撃メカニズムを拡張し、スパイ活動にコモディティ マルウェアを活用
Post 2020-03-24
国家支援型ハッカー グループが攻撃メカニズムを拡張し、スパイ活動にコモディティ マルウェアを活用

CYFIRMA リサーチ チーム ここ数十年にわたり、国家支援型ハッカー グループの活動が盛んです。潤沢な資金を受けたこうしたハッカー グループは、政府のために、知的財産を盗み出したり、送電網、通信、金融システムなどの生活に不可欠なサービスに打撃を与えたり、日常生活に大きな混乱をもたらしたりします。また、国家支援型のハッカーは、経済を揺るがし、社会不安を生み出すために、民間企業も標的としています。国家主導のハッキングとしては、北朝鮮のハッカー グループ Guardian of the Peace による Sony Pictures に対するサイバー攻撃が非常に有名です。この攻撃は、北朝鮮の指導者キム・ジョンウンが否定的に描かれている映画 「The Interview」 の上映に対する報復として実行されました。顕著な国家主導型サイバー攻撃としては、他にも、中国系ハッカーの関与が疑われる三菱電機での最近のデータ漏洩、北朝鮮系ハッカーがインドの原子力発電所に対して仕掛けたデータ窃取キャンペーン、サウジアラビアの石油会社に対するイランのサイバースパイ活動などがあります。 上記の攻撃には、すべてに共通するテーマがあります。ハッカー グループが、高性能で悪質なモジュール式の多面的ソフトウェアを展開していたということです。サイバー攻撃者は、データを抽出したり、破壊したり、重要かつ機密性の高い運用テクノロジーや機械を制御することができました。マルウェアは、意図した被害をもたらすように慎重に設計およびカスタマイズされていたのです。 CYFIRMA リサーチ チームによる最近の観測で、国家支援型のハッカー グループの間で、攻撃メカニズムの速度とタイプに変化が見られました。2019年12月、ハッカー コミュニティの複数の会話の中で EMOTET キャンペーンの開始が話題に上っているのを弊社の研究者が傍受しました。こうしたハッカー グループはすべて国家によって運営され、資金提供を受けていることがわかっており、好んで用いられる攻撃メカニズムは単純にコモディティ マルウェアです。この種のマルウェアは、名前が示唆するとおり、すぐに利用できるツールから設計されていて、ハッカーは素早く再加工して攻撃を開始することができます。その後数か月の間に、コモディティ マルウェアを使用した国家主導の攻撃件数は増え続けています。確認されたキャンペーンの事例を以下に示します。…

新型コロナウィルスのサイバー空間への影響
Post 2020-03-19
新型コロナウィルスのサイバー空間への影響

CYFIRMAのリサーチチームの調査 医療関係者がCOVID-19ウィルスと戦い、各国が自粛や閉鎖ムードにあり、世界経済がバランスを崩している一方で、サイバー空間では別の戦争が激化しています。 昨今、より複雑化した攻撃手法によりサイバー脅威とリスクは増加しています。ハッカーの技術がかつてないほど急速に進化し、高度な技術と、洗練されたソーシャルエンジニアリングが融合されています。現在発生しているウィルスの世界的大流行により、国家および企業のあらゆる準備力と回復力が試されているのです。 “CYFIRMAの脅威ビジビリティ&インテリジェンスをベースにした調査によると、2月から3月上旬にかけて新型コロナウィルスの大流行に関連するサイバー脅威の痕跡が600%以上大幅に増加していることが判明しています。” サイバー脅威の痕跡とは、ダークウェブ、ハッカーフォーラム、および非公開の機密性の高いコミュニティにて検知された会話を意味します。これらの情報源からCYFIRMAリサーチチームが確認できた内容は、各国政府や企業にとって決して良い知らせではありません。ハッカー達は懸命に働いており、政治的および金銭的目標を達成するために、現在の恐怖と不確実で混乱している状況を悪用する方法を積極的に検討しています。 米国コンピューター緊急事態対応チーム(US-CERT)は、人々をだまして個人情報を窃取したり、偽の慈善団体にへの寄付を促すような、詐欺に関する警告を発表しました。連邦取引委員会(Federal Trade Commission)も同様の詐欺について警告しています。 “CYFIRMAリサーチチームに加え、複数のセキュリティベンダーは、攻撃者が人間の不安を逆手に取った脅しの策略を用い、LokiBot、RemcosRAT、TrickBot、FormBookなどのマルウェアを拡散したことを報告しています。” これらハッカー達のコミュニティは広範に広がり、広東語、北京語、ロシア語、英語、韓国語で会話し、不足の事態への備えが十分ではない国や企業に大混乱をもたらすキャンペーンを次々に実行しています。 ダークウェブのハッカーフォーラムでは、香港のグループが中国本土をターゲットとした新しいフィッシングキャンペーンを実行する計画を立てていました。このグループは、中国共産党に責任を負わせることにより、不信感を生み出し、社会の不安を扇動することを目指しているようでした。 ハッカーの会話をより深く分析した結果、台湾のグループも同様のフィッシングやスパムキャンペーンについて議論しており、中国本土の影響力のある人物をターゲットにして、さらなる不安を引き起こそうとしています。 韓国語を話すハッカーは洗練されたフィッシングキャンペーンを使用して金銭的利益を得ようと計画しており、機密情報を窃取するマルウェアを備えたEMOTETの新しい亜種を作成しています。(EMOTETは2014年に最初に検出されたマルウェアであり、 2019年もっとも拡散されたマルウェアの一つです)これらのハッカーは、日本、オーストラリア、シンガポール、米国をターゲットにすることを計画していました。 CYFIRMAリサーチチームは、韓国の企業を標的とする北朝鮮のハッカーを検知しました。彼らはフィッシングメールの受信者をだまして開封させ、そこから彼らのマシンやネットワークにマルウェアを拡大させるために、「コロナウィルスに関する通知」という意味の韓国語を表題として使っています。 COVID-19に関連し、多くのハッカーグループが、疾病管理センター(CDC)や世界保健機関(WHO)などの権威ある団体を騙った偽装メールを使用していることが検知されました。これらの偽装メールの件名と内容は病気の最新情報や治療法など非常に人々の関心をそそる文面です。 また、企業の経営層からのメールのように偽装され、すべての従業員に送信された新型コロナウィルスをテーマにした偽装メールも検知されました。企業ネットワークに感染するマルウェアが埋め込まれたこれらのフィッシング攻撃は、ソーシャルエンジニアリング戦術を展開してデータや資産を盗みます。 データを盗むためのサイバー攻撃以外に、中国、日本、米国でビットコインを使用したマスクや健康用品を販売する偽のウェブサイトの計画も検知されています。 問題を悪化させるために、ハッカーは偽のニュースを拡散し、さらに混乱を招く戦略も立てていました。ダークウェブ市場を調査することにより、CYFIRMAはCOVID-19ウィルスの治療と根絶を主張するオーガニック医薬品を販売する違法グループを発見しました。ハッカーのコミュニティでのこれらの議論は、北京語、日本語、英語で行われていました。 “「CoronaVP」と呼ばれる新しいマルウェアについての議論が、ロシアのハッカーコミュニティで確認されています。これは個人情報を盗むように設計された新しいランサムウェア、またはEMOTETの亜種の可能性があります。” COVID-19のパンデミックを悪用するハッカーの動機は、金銭的利益と、社会的混乱を引き起こす政治的スパイが存在しています。サイバー空間の犯罪者達は、金銭的および政治的目的の両者を達成するためのツール、技術、知識、および資金を十分に備えています。デジタル化が進んでいる現在の世界では、サイバー犯罪は収益性の高いビジネスであり、世界経済にパンデミックが影を落とし続けている状況下において、攻撃の頻度と洗練度が高まることが予想されます。 サイバーインテリジェンスのフィールドの中で我々が得た重要な学びは、警戒を続けていくことの重要性です。そして、ビジネスにおいて最も危険な要素は、往々にして目に見えないものです。 自分たちに関連した脅威インテリジェンスをタイムリーに活用することの重要性は強調するまでもありません。サイバー脅威を早期に検知することで、企業は多大な金銭的損害や不可逆的なブランド損害から自社を守れるからです。 https://www.cisomag.com/cyberthreats-due-to-coronavirus/

戦術的脅威インテリジェンスとは? CYFIRMAが提供する戦術的脅威インテリジェンスの有効性について
Post 2019-06-21
戦術的脅威インテリジェンスとは? CYFIRMAが提供する戦術的脅威インテリジェンスの有効性について

戦略的脅威インテリジェンスおよびマネジメント的脅威インテリジェンスのブログで述べたとおり、サイバー脅威インテリジェンス一つの包括的専門分野のように見えるかもしれませんが、実際には、サイバー脅威インテリジェンスの総合的なプロセスやステップに対応するサブカテゴリから構成されています。その中で、戦略的脅威インテリジェンスが主要な意思決定者、CEO、取締役などの必ずしもサイバーセキュリティというテーマに熟達していない人を対象とするのに対し、戦術的脅威インテリジェンス(Tactical Threat Intelligence)は、特に技術的詳細を理解したセキュリティ担当者向けに特別に提供されるものです。 戦術的脅威インテリジェンスとは何か 戦術的インテリジェンスにより、企業内のSOCチームは、サイバー脅威にプロアクティブに対応することが出来るようになります。例えば、自社を標的とするハッカー集団が利用している、 悪質な活動に使用されているIPアドレス(C&CサーバーやマルウェアをホストしているサーバーのIPアドレスなど) マルウェアシグネチャ(MD5ハッシュ)やSHA フィンガープリント フィッシング ドメインやURL などのIoC(*)情報を、既設のセキュリティコントロールに取り込み、モニタリング、検知、ブロックすることが可能になります。 *IoC: Indicator of Compromiseの略で脅威存在痕跡(攻撃の痕跡を表す情報)のこと。 具体的には、戦術的インテリジェンスにより、組織は以下を行えるようになります。 ブラックリストとして、悪質なトラフィックを検知および制限する サーバーやエンドポイントに対する侵入やシステム感染を検知する 脅威を検知、抑制および修正する エンドユーザに届くフィッシングメールを防止する 機密データの流出を防止する アンチウィルスやEDRツールにマルウェアシグネチャを連携し、悪質なソフトウェアの実行を防止・検知する SIEMにIoC情報を取り込み、社内環境上での不審なふるまいや通信に対してアラートする 戦術的脅威インテリジェンス レポートの対象読者は誰か? CIRT、SOC、NOC などのオペレータが主な対象となり、セキュリティ体制の一員としてサイバー脅威に対してプロアクティブに対応し、サイバーセキュリティの強化に向けて悪質な IP、マルウェア シグネチャおよびミューテックス、フィッシング ドメイン、ボットネット…

マネジメント的脅威インテリジェンス: ハッカーのキャンペーンとTTPを理解し、セキュリティ対策プロセスを強化
Post 2019-06-10
マネジメント的脅威インテリジェンス: ハッカーのキャンペーンとTTPを理解し、セキュリティ対策プロセスを強化

このブログシリーズでは、サイバー脅威インテリジェンス(CTI)の 3 つのサブカテゴリについて論じています。ここで最も重要となるのが、企業全体でセキュリティを強化するために、様々なレベルの脅威情報をどのように収集、分析および活用するかを理解することです。 前回の投稿では、戦略的脅威インテリジェンスを取り上げました。 今回は CYFIRMA が提供するマネジメント的脅威インテリジェンスについて説明します。 マネジメント的脅威インテリジェンスとは何か? CYFIRMAの定義するマネジメント的脅威インテリジェンスとは、自社及び自社の属する業界を標的とするハッカーグループが現在行っている、あるいは今後実行するキャンペーンと、その攻撃の仕組みやツールについての理解を、インシデント管理プロセス、変更管理プロセス、パッチ管理プロセス、およびリリース管理プロセスなどの社内プロセスに対して統合するためのインテリジェンスとなります。 マネジメント的インテリジェンスにより、お客様企業や組織は以下を行うことが出来ます。 セキュリティポリシー、プロセス、および対応について確実かつ効果的な意思決定を実行すること 自組織の攻撃対象エリア、脅威および脆弱性を評価すること セキュリティマネジメントの有効性を高め、維持すること リスクの優先順位付けを更新し、組織全体のリスク登録簿を最新の状態に更新すること ハッカーグループのプロファイル、活動、及び手法に基づいて情報セキュリティコンプライアンスマトリックスを最新状態に更新すること マネジメント的脅威インテリジェンスの対象読者: CISO、セキュリティマネージャ、CSIRT責任者など、組織のセキュリティ体制についての深い洞察と分析から得た結論を実質的に推し進めることができるマネージャクラスが対象です。 なぜ CYFIRMA のマネジメント的 脅威インテリジェンスが重要なのか? 一般的なセキュリティツールのみでは、追加の情報源及びその情報の分析なしには自社に対するリスクや脅威が正確に特定できない場合があり、組織が不完全なデータを受け入れざるを得ないということも珍しくありません。また、複数のソースからデータが収集されている場合、アナリストがその膨大な情報量に圧倒され、情報と知見を行動につなげることが困難になることもあります。 CYFIRMA のマネジメント的インテリジェンスは、複数の情報源からのデータを統合し、自動的に分析することで実用的な知見を引き出すことができます。それにより、潜在的な脅威を検知、防止および修正するために、リスクに応じて問題に優先順位を付け、組織的なリソースを選択的に配置することができるようになります。 お薦め記事:CYFIRMA サイバー脅威分析プラットフォーム (CAP) どうすれば主要な意思決定者は確実にマネジメント的脅威インテリジェンスの効果を挙げられるか? 組織が取り組む脅威インテリジェンスをテーマとした活動すべてを、実用性に向けて調整することをお勧めします。セキュリティリーダーはインテリジェンスの専門家と相談の上で、組織内のサイバーセキュリティ関連データの分析や活用を簡素化する脅威インテリジェンスプラットフォームに投資することにより、データの分析後に出される明らかな危険信号を見逃さないようなプロセスを構築することが可能となります。 重要なことは、セキュリティリーダーが組織固有のセキュリティ情勢に対して、機敏かつ能動的に組織が対応していくために人や予算などのリソースを調達する責任があるということです。…

CYFIRMAが提供する「戦略的脅威インテリジェンス」の重要性と脅威ランドスケープを理解することのメリット
Post 2019-05-30
CYFIRMAが提供する「戦略的脅威インテリジェンス」の重要性と脅威ランドスケープを理解することのメリット

サイバー脅威インテリジェンス(CTI)をお客様視点で見ると、最初はある一つの包括的専門分野のように見えるかもしれません。しかし、実際には、サイバー脅威インテリジェンスは3つのサブカテゴリ、すなわち戦略的脅威インテリジェンス、マネジメント的脅威インテリジェンス、戦術的脅威インテリジェンスに分類することが出来ます。 このブログシリーズでは、これらのサブカテゴリを個別に取り上げます。ここで最も重要となるのが、企業全体でセキュリティを強化するために、脅威情報をどのように収集、分析および活用するかを理解することです。 では、まず初めに、戦略的脅威インテリジェンスから見ていきましょう。 戦略的脅威インテリジェンスとは何か? 戦略的脅威インテリジェンスは、特定企業やその業界に対して活動しているハッカーグループ(英語ではThreat Actorという)、どういった活動を誰に行っているのか、活動の背景や動機、使用しているTTP(攻撃の手口のこと。戦術、テクニック、手順の略)を明らかにすることにより、サイバー脅威についての幅広い知見を提供します。これにより、企業や組織はインテリジェンスをサイバーセキュリティ戦略、ガバナンスおよびポリシーの策定や見直しに活用することができるようになります。 戦略的インテリジェンスは、主に、組織内の意思決定者が利用する情報になります。 戦略的インテリジェンスにより、組織は以下を行えるようになります。 企業が属する業界や企業ブランドに対する活発かつ差し迫った脅威やリスクを特定する 自組織に関連するサイバーセキュリティ上のリスクを定性的・定量的に分析する サイバー脅威プロファイル、及び自社のリスクプロファイルに対する対策を判断する リスクに基づいて、人、プロセスおよびテクノロジーなどのセキュリティ組織を構成する重要要素に対するセキュリティ投資や施策に優先順位を付ける、あるいは適切に見直す 経営層に対するリスク報告の一環として活用する 戦略的脅威インテリジェンスレポートの対象読者は誰か 一般的には、経営層、CISO、セキュリティ担当マネジャー、CRO、リスク担当マネジャーなどが対象です。CYFIRMAが提供するレポートをお読みいただければ、サイバー脅威やリスクの実態、リスクに関連するビジネス上の決定すべき事項、および自組織にとってこれらの脅威が何を意味するかが明確になるはずです。この戦略的 脅威インテリジェンスレポートを武器に、経営者は、サイバーセキュリティの取り組みや関連投資が事業の最優先事項と確実に合致するように、より的確な指揮を執ることができます。 戦略的脅威インテリジェンスの収集で CYFIRMA が用いる一般的な情報源 サーフェスウェブ全体のオンライン情報源 ディープウェブ、ダークウェブ上のハッカーフォーラム 各国、及びグローバルのメディア 政府関連機関発行している政策文書や、各国のサイバーセキュリティ関係者グループ(CIRT/CERT、ISACなど) グループまたは個人の関係者によるソーシャルメディア上の活動 業界に特化した出版物など なぜ CYFIRMA の戦略的脅威インテリジェンスが重要なのか? サイバー脅威インテリジェンスにおいて、戦略的インテリジェンスに取り組む上での最大の問題は、入手可能な情報の量と、その情報をいかに戦略的な意思決定に向けて処理・分析・レポートするか、という点です。ディープウェブ、ダークウェブ上の情報など、通常はアクセスそのものが困難な高価値の情報源を利用することで、自組織が分析すべき膨大な量の情報を確保することができます。 CYFIRMA…

CEOや取締役が今認識すべきこと -「サイバーセキュリティの時代」は、無視することも回避することも出来ない
Post 2019-01-04
CEOや取締役が今認識すべきこと -「サイバーセキュリティの時代」は、無視することも回避することも出来ない

現代において、サイバーセキュリティリスクは、組織が管理しなければならない最も予測不可能なリスクの 1つです。 昨今のサイバー攻撃で何度も目撃されているように、管理の不十分なサイバーセキュリティリスクは企業ブランドの低下、株価への悪影響、金銭的な罰則、および規制当局による捜査を招く可能性があります。 サイバー脅威は複雑さの観点で指数関数的に成長しており、あらゆる規模の組織や企業に影響を与えています。最高経営責任者( CEO)および取締役は、組織に対する潜在的なサイバーリスク、リスク選好、潜在的な対応策、対応プロセス、セキュリティ成熟度を理解し、サイバーセキュリティ対応の文化を醸成・推進するための基軸となる人財を受け入れる必要があります。 今日の組織はアジリティやビジネススピードの向上によって齎される生産性を追求し、拡大し続けるサプライチェーンネットワークに依存していますが、そのすべてにおいてサイバーセキュリティの役割は日に日に明確になっています。 残念ながら、新しいテクノロジーを利用・悪用し、絶え間なく進化するサイバー脅威は、組織のサイバーセキュリティ戦略に大きな影響を与えることになります。これを転機とし、 CEO及び取締役会メンバーは、サイバーリスクマネジメントや組織的なセキュリティ対策に関与する必要があります。  ではなぜ、役員層がサイバーセキュリティ対策についての理解度を高め、関与する必要があるのでしょうか? サイバーセキュリティを「リーダーシップの問題」として規定することで、企業の意思決定者はこの重要な問題をIT部門のものとして限定するのではなく、サイバーセキュリティ対策に潜在的なギャップがあるということを認識できます。 このナレッジは、タイムリーな是正措置、積極的な関与、組織全体のビジョンステートメントおよび戦略へのサイバーセキュリティの統合などを確実にし、あらゆる法的および財務的影響を最小限に抑えます。 最高経営責任者(CEO)と取締役会メンバーが自らサイバーセキュリティに正対することにより、「これは重要な課題である」と人々に対してシグナルを送ることになります。 さらに、管理ポリシーやサイバーセキュリティ関連のベストプラクティスは、部門を横断して、より統一的な対応を齎すでしょう。 潜在的な脅威に対する経営陣の総体的アプローチは、士気を高める運動であり、積極的・独創的で、時代に適応し、歩みを進めているリーダーシップチームであることを示します。サイバー攻撃への計画及び準備は、企業のステークホルダーからの信頼を増大させます。適切な実行計画は潜在的な財務インパクトを適切に考慮し、ハッキングやサイバー攻撃が発生した際の自社の過失に対する申し立てに対して、適切に対応することに役立ちます。 多くの場合、CEOはサイバーセキュリティの専門家ではありませんが、関連する専門家を組織の取締役会に含めることで一度に2つの目的を達成できます。 まず、サイバーセキュリティに関するリーダーシップチームの総合的な知識を高めることが出来ること、次に、この重要な分野に直接関与することで自社、あるいは周辺でサイバー脅威が発生した際に見逃すことがなくなることです。 企業のステークホルダーや消費者は、サイバー脅威の防止、及び対応におけるCEOの説明責任を求めています。 これは、法的措置を採用しなければならない可能性があるサイバー脅威インシデントに特に当てはまります。 現在、サイバー攻撃やデータ侵害の被害は拡大しており、サイバーセキュリティ対策とリスク管理はほとんどの組織にとって極めて重要な課題となっています。 CEOおよび取締役会のメンバーが事業計画や事業遂行に組み入れなければならない、「サイバーセキュリティに対する価値観」が明らかに必要とされています。  すべての進歩的なCEOや取締役会が検討しなければならない、8つのサイバーセキュリティに対する価値観を提言したいと思います。 1: 組織のサイバーセキュリティの対策に関するすべての事項について、単一の窓口となる取締役を任命し、オーナーシップを設定する 企業のCEO、CISOおよび取締役は、組織全体のサイバーセキュリティ対策に責任を持つ部門について説明責任を負う必要があります。 経営幹部は、サイバーセキュリティリスクを増大させることなく、組織内の全員が与えられた役割を遂行できるようにするためのポリシーを確実に実施する必要があります。 上層部によるリーダーシップは、現場やミドルレベルの組織階層における混乱や権力闘争を防ぐために重要になります。 2: リスク選好度、および特定されたリスクに対する組織的な閾値を定義・検討するための明確な枠組みを構築する。 組織固有のサイバーセキュリティリスクを評価および管理する。 まず、貴社のビジネスが「サイバー脅威のインパクトを受けない」という仮定から離れてください。 むしろ、「この組織では起こりえない」という考えよりも、「何が・いつ・なぜ・どうやって」起きうるかと考えることの方がより生産的です。 次に、組織の重要な資産を特定し、サイバーセキュリティ侵害が発生した場合の影響を分析・特定します。 これらのリスクアセスメント後、主要なセキュリティ対策をリスト化し、予算を配分し、迫っているサイバー脅威とその原因を回避する方法について従業員を教育することができます。 常に、組織のセキュリティ関連目標の計画、実行、および管理に関して、厳しい質問をしてください。 3: 明確なサイバーセキュリティの目標を掲げ、その目標を全社的な事業戦略およびリスク管理戦略と統合します。 サイバーセキュリティ目標に対する進捗状況が常に取締役会に報告されている、との注意を含めることが有効です。 4: サイバーセキュリティ目標の立案、実行、テスト、および反復ベースの改善について、詳細な計画を立案します。 サイバーセキュリティリスクは測定可能なものでなければなりません、サイバーセキュリティイニシアチブをサンプリングして定量化できることを確認してください。 5: 自社に対する潜在的なサイバーセキュリティ脅威について、脅威を分析・可視化し、適切な状況認識を確保する。 6: 取締役会は、定量的なデータを元に、組織のサイバーセキュリティ対策について報告する責任をある取締役に持たせる必要があります。 取締役会では、組織のサイバーリスク管理フレームワークを踏まえ、進化するサイバー脅威に関する詳細な議論を含めるべきです。リスク管理フレームワークは、セキュリティ予算の確保や人員配置を加速させます。 認証基準やコンプライアンス基準も優れていますが、業界におけるベストプラクティスおよび業界標準に従うことは、依然としてサイバー脅威に対する最優先事項です。 7: 適切な人財を雇用することが重要です。 組織のサイバーセキュリティ対策は、それを担う人財と同じくらい優れています、すなわち有能な人材は優れたセキュリティ対策を実現します。知識豊富で独創的な人財は、日常的な意思決定をするために大胆さを兼ね備えていない人々よりも、サイバーセキュリティを担当する上ではるかに効果的です。 サイバーセキュリティが全ての物事における役割を拡大していることから、関連するスキル、知識、および能力を適切に保有する人財を必要とするということは当たり前のことになっています。 優れたサイバーセキュリティ担当者は、組織全体の健全なサイバーセキュリティ対策にとって非常に重要です。…

“CYFIRMAセキュリティアップデート-2-“ 「Rocke」と呼ばれるハッカーグループによるクリプトマイナーの拡散
Post 2018-09-12
“CYFIRMAセキュリティアップデート-2-“ 「Rocke」と呼ばれるハッカーグループによるクリプトマイナーの拡散

AUTHOR Antuitリサーチチーム   他の仮想通貨よりも匿名性が高いと言われる“Monero”ですが、エスペラント語で「コイン」「硬貨」という意味を持つとか。 感染したシステム上でこの“Monero”を主に狙う目的で、仮想通貨マイニングマルウェアを展開しているキャンペーンが発見されました。「Rocke」という名前のハッカーグループがこのキャンペーンに関与していると考えられています。このグループは中国を拠点として活動している可能性が高く、Gitリポジトリ、HttpFileServers(HFS)などのツールキットやシェルスクリプト、JavaScriptバックドア、ELF、PEマイニングなど、被害者のマシン上で仮想通貨をマイニングするための悪意あるプログラムを利用しています。 以前、同グループが仮想通貨マイニングキャンペーンを実行するためにApache Struts、Oracle WebLogicサーバー(CVE-2017-10271)、およびAdobe ColdFusion(CVE-2017-3066)の脆弱性を利用しました。 現行のキャンペーンでは、ハッカーグループがパッチの適用されていないApache Strutsマシンをターゲットにしていることが判明しています。ハッカーグループはターゲットシステムに0720.binという名前の悪質なファイルをダウンロードするために、ターゲットにリクエストコマンドwgetを送信する傾向があります。マリシャスなファイルを分析すると、さらに以下のファイルが含まれていることが確認されました: 感染したシステム上の他のcryptominerを破壊するためのa7という名前のシェルスクリプト。その他のシェルスクリプトlowerv2.shとrootv2.shが、被害者のマシンにcryptominerをインストールし、実行します。 3307.binという名前の実行可能ファイルとリンク可能な(ELF)ファイル。 config.jsonという名前のjsonファイル:このファイルは、XMRigという名前のMoneroマイナーを設定するために使用されます。 Pools.txt:これはオープンソースの汎用Stratumプール・マイナーに使用される設定ファイルです。このマイナーはMoneroとAeonをマイニングする機能を持っています。 さらに、悪意のあるファイルには、XMR-Stakの亜種であるBashf、XMRigの亜種であるBashgなどの他のマイナーが含まれています。 さらに、TermsHost.exeという名前のPE 32 Moneroのマイナーも、当ファイルの中に発見されています。 弊社では、Moneroマイニングサンプルなどを分析し、当該キャンペーンに関連付けられているドメインやIPアドレスのいくつかを特定しており、IPアドレスは中国から発信されていることが判明しています。 推奨対策 以下、我々の推奨する対策です。 IDSシステムとSIEMに上記IoCを検出ルールとして追加し、感染のチェックをしてください。発見された場合は、感染の根本原因を見つけるためにさらに調査する必要があります。 プロキシサーバー、DNSサーバー、メールサーバー、ファイアウォールログで上記ネットワークインジケータが存在するかどうかを調べる。 上記ホストインジケータのブロックをエンドポイントセキュリティシステムとアンチウイルスシステムに設定する。 安全で分離した環境ですべてのデータを定期的にバックアップしてください。これは攻撃された場合の迅速な回復に役立ちます。 アンチウイルスおよびマルウェア対策のソリューションが定期的にスキャンを自動的に実行するように設定する。

“CYFIRMAセキュリティアップデート-1-“ IoTボットネット「Hakai」の高度な進化と感染の拡大に警戒
Post 2018-09-07
“CYFIRMAセキュリティアップデート-1-“ IoTボットネット「Hakai」の高度な進化と感染の拡大に警戒

AUTHOR Antuitリサーチチーム   今週、複数メーカーの“ルータ”を狙った攻撃で使われたことがニュースにもなっている「Hakai」というボットネットですが、我々の調査では、様々なIoT機器への攻撃にも使わる可能性があり、今後警戒が必要です。 「Hakai」ボットネットと呼ばれるIoTマルウェアの最新の亜種が発見されています。ハッカーたちはこのIoTマルウェアの亜種に対して、徐々に高度な属性を組み込み、洗練化させてきました。今後ますます、多くのシステムを危険にさらす可能性が高いのです。 今年初めに発見された「Hakai」の変種は、数年前にオンラインで流出したIoTマルウェアの変種である「Qbot」をベースにしていました。「Hakai」のこの最初のバージョンは、複雑なプログラムではなく、大規模な攻撃キャンペーンも実行されませんでしたが、ハッカーたちはマルウェアコードをすばやく変更し、ボットネットが発見されてから1ヶ月以内に被害が観測されています。 IoTマルウェア「Hakai」の進化 以下に、「Hakai」の進化を追ってみます。 サイバーセキュリティ業界において、最初に「Hakai」による攻撃が検知されたのは、2018年7月21日でした。コードネーム「Anarchy」と名乗るハッカーは、1日で1万8千台のルータに損害を与えたと主張しています。ハッカーは、Huawei HG532ルータのリモートコード実行の脆弱性であるCVE-2017-17215を利用しました。このCVE-2017-17215は有名な脆弱性であり、以前にはSatoriボットネットとMiraiボットネットにも悪用されています。感染したデバイスは、DDoS(Distributed Denial-of-Service)攻撃を実行するために利用され、悪質なパケットをポート37215に送信してリモートコードを実行したのです。 以来、IoTマルウェアによる攻撃は増加しています。同年8月になると、「Hakai」ボットネットはますます多くのデバイスを脅かすようになり、より多くのセキュリティ上の欠陥を悪用してきています。 当初は、「Hakai」ボットネットはHuaweiルータだけに感染していました。このボットネットはその後、D-LinkとRealtekのルータにも感染しました。このボットネットは、デフォルトまたは弱いパスワードを持つIoTデバイスをtelnetスキャナで検索し、ターゲットにしました。 HNAPプロトコルをサポートするD-Linkルータは、IoTボットネットHakaiのターゲットとなっていました。このマルウェアは、2つのD-Linkルータの脆弱性を利用しています。マルウェアがDIR-645ファームウェアのセキュリティ上の欠陥を悪用し、ワイヤレスLANおよびWANネットワーク上のハッカーがワイヤレスルータに対するコマンド注入および、バッファオーバーフロー攻撃を実行することが可能となります。 さらに同8月までに、中南米で広く拡散されていることが判明しました。 同年8月20日、研究者らは、ブラジルを中心にラテンアメリカのD-Link DSL-2750Bルータのセキュリティ上の欠陥を悪用しようとするHaikaiボットネットの亜種を発見しました。 そして、最近になり、さらに2つの新しい亜種が発見されています。 それぞれ「Kenjiro」と「Izuku」と呼ばれています。これらにはいくつかのコードのバリエーションがあります。 Antuitの見解 マルウェアの作成者は、攻撃の成功率を高めるためにマルウェアコードに変更を加え、常に努力しています。Hakaiボットネットの作成者たちは、より多くのデバイスを侵害する為に、マルウェアスクリプトに高度な改良を加えています。このボットネットマルウェアにかかると、デフォルトまたは弱いパスワードでさえハッカーがIoTデバイスを侵害して、コントロールするのに十分です。 さらに、IoTデバイスの全所有者の15%以上が、購入したデバイスのデフォルトパスワードを変更していないと昨年発表された研究報告書に記載されていた点に注目しました。これにより、マニュアルに記載されているパスワードと同じパスワードを持つ数百万のIoTデバイスが脆弱だという事になります。ボットネットを作成するマルウェア開発者は、ブルートフォース攻撃を展開し、既定のパスワードのリストを利用してこれらのデバイスを侵害し、それらをIoTデバイスのボットネットの一部として組み込みます。 推奨対策 以下、我々の推奨する対策です。 前述のIoCを使用してIDSシステムとSIEMに検出ルールを追加し、感染の可能性を探してください。検知された場合は、攻撃経過の根本原因を見つけるために感染をさらに調査する必要があります。 前述のホストインジケータをブロックするように、エンドポイントセキュリティシステムとアンチウイルスシステムを構成する。 IoTデバイスのデフォルトの認証情報を使用しないでください。もしデフォルトの認証情報のままご利用されている場合、ハッカーは簡単に機器を攻撃できてしまいます。また、定期的にパスワードを変更してください。 定期的に最新のマルウェアシグネチャを使用して、ファイアウォールとアンチウイルスソフトウェアをアップデート/パッチしてください。 常に機器を最新の状態に保ってください。更新情報やパッチをチェックし、最新化してください。 リモート管理をオフにすると、攻撃者はリモートアクセスを介してデバイスにアクセスできなくなります。telnetでリモート管理をオフにしてみてください。…