米大統領選、中ロが大規模サイバー攻撃 Microsoftが警告

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月~20年6月にかけて200以上の組織を攻撃。8月18日~9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」(マイクロソフト)という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁 ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3~9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5~6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

延べ900社の顧客情報流出か 多要素認証を無効化される

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/080700061/

※「ゼロトラスト」で、認証発行の山、「多要素認証」で防御しようとしても、この有様だ…。

※ もっとも、「閉鎖予定の拠点」の「防御体制」が脆弱で、そこを突かれた…、という事情もあるようだ…。

『NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。

 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。

 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。

 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外部に流出した可能性がある。河野太郎防衛大臣は2020年5月29日の閣議後記者会見で、不正アクセスの報告を受けたと明らかにしたうえで「しっかり調査していただきたい」と要請した。監督官庁の総務省幹部も「現状把握と顧客対応をしっかりやってほしい」とくぎを刺す。

撤去予定の海外サーバーに「隙」
 社内調査により、攻撃者の侵入経路は2通りあったことが判明している。

 1つが顧客向けサービスの監視や障害の切り分けなどを担うシンガポールの運用サーバーを踏み台としたルートだ。攻撃者は2019年9月ごろに同サーバーに侵入。その後、タイなど複数の海外拠点を経由し、2019年12月に法人向けクラウドサービス「Bizホスティング エンタープライズ(BHE、2018年3月にサービスの提供を終了)」と「Enterprise Cloudオプションサービス」の運用サーバーに入り込んでいた。ここを足掛かりに法人向けクラウドの工事情報管理サーバーのほか、社内セグメントのアクティブディレクトリー(AD)運用サーバーや社内ファイルサーバーへと触手を伸ばしていた。

 NTTコムは2020年5月7日、社内セグメントのADサーバーに対する不正な遠隔操作を試みたログを検知した。遠隔操作の踏み台になった同セグメントのAD運用サーバーを同日中に緊急停止し、社内調査を進めた。その後、AD運用サーバーのアクセス元だった法人向けクラウドの運用サーバーを停止したり、マルウエアによる外部サイトとの通信を遮断したりした。

 実は、最初に侵入を許したシンガポールの運用サーバーは撤去予定だった。同サーバーを収容するデータセンターが老朽化し、2019年10月に新データセンターへの移転を計画していた。同サーバーも新しいものに切り替わる予定だった。まさに撤去直前のタイミングを攻撃者に突かれた。

 同サーバーは撤去を間近に控えていたこともあり、セキュリティー上の脅威を検出するEDR(Endpoint Detection and Response)を導入できていなかった。NTTリミテッド・ジャパンの飯田健一郎社長は「もっと対策の感度を上げておくべきだった」と悔やむ。

 攻撃者がどういった脆弱性を突いてシンガポールの運用サーバーに侵入したかについては「継続調査を実施したが、機器の撤去でログを確認できないため、原因を特定できなかった」(NTTコム)と説明する。』

『社員になりすまし
 もう1つは日本にあるVDI(仮想デスクトップ基盤)サーバー経由だ。シンガポールの運用サーバーを踏み台にした不正アクセスを調査する過程で、複数の社員が勤務日以外に社内のファイルサーバーにアクセスしていることを2020年5月25日に突き止めた。翌26日にはファイルサーバーのアクセス元がすべてVDIサーバーだったことが判明。さらに27日、何者かが社員になりすましてVDIサーバーにログインしていた事実を確認した。

 NTTコムは社員がVDIサーバーにログインする際、IDとパスワードとは別に、ランダムに並んだ数字の表を使う「マトリクス認証」を導入していた。同社の久野誠史デジタル改革推進部情報システム部門担当部長は「攻撃者は特殊な方法でVDIサーバーに接続していた」と打ち明ける。

 特殊な方法とは、マトリクス認証を無効化し、主にIDとパスワードだけでVDIサーバーにログインできるというものだ。久野担当部長は「我々も認識していなかったVDI全体の抜け道があった。攻撃者はちょっとした(システム上の)『穴』をいくつも組み合わせていた」と語る。

 攻撃者はこの抜け道を見つけ出し、不正入手した社員のIDとパスワードを使って自身の端末でVDIサーバーの認証を突破していた。しかもNTTコムはVDIサーバーへの接続時に端末のウイルス対策ソフトの種類やバージョンもチェックしていたが、攻撃者はこれらも把握し、インストールしたうえで侵入していた。2020年8月6日時点で社員のIDとパスワードの流出経路は判明していないが、社内セグメントのADサーバーからは流出していないことを確認している。

 NTTコムは緊急対応を既に済ませ、2020年5月26日時点でVDI全体の利用を停止した。翌27日に全社員のパスワードも強制リセットした。同社によると、27日以降、不正ログインがないことを確認できているという。

 ルートが異なる2つの不正アクセスに関連はあるのか。NTTコムの小山覚情報セキュリティ部部長は「(攻撃者が同一かどうかは)何とも言えない。攻撃元のアトリビューション(特定)は実施していない」と話す。ただ、どちらも「サイバー攻撃の専門集団」(同社)としている。

 あるサイバーセキュリティーの専門家は「同一の攻撃主体ではないか」としたうえで、「攻撃の途中でユーザーの認証情報を入手し、VDIサーバー経由の接続に切り替えたのではないか。正当なアカウントとパスワードを使ったアクセスのほうがより隠密な行動ができるからだ」と分析する。実際、攻撃者は日勤の時間帯しか動かず、「ばれないようにひっそりと活動していた」(久野担当部長)。攻撃者はメール送信といった目立つ行動も控えていた。

 別のサイバーセキュリティーの専門家は「BlackTechによる攻撃の可能性がある」と指摘する。BlackTechとは、中国政府との関係が噂されるサイバー攻撃集団だ。既に明らかとなっている三菱電機に対するサイバー攻撃にも関与したとされる。BlackTechの攻撃の特徴は「海外拠点の通信機器の脆弱性を利用する」(同)点にあり、特に情報通信や製造業、学術機関が狙われる傾向にある。

UEBAやEDRを導入
 NTTコムは再発防止を急いでいる。まず社員の正当なIDとパスワードを使った「なりすまし攻撃」により、影響範囲の特定に時間がかかった反省から、攻撃者の振る舞いを細かく把握できる「UEBA(Userand Entity Behavior Analytics)」を2021年3月までに本格導入する計画だ。EDRも2020年秋までに、サーバーも含めて全端末への導入を終える。

 サイバー攻撃の動向や企業のセキュリティー対策に詳しいラックの西本逸郎社長は「被害範囲の特定や封じ込めにEDRは有効だ」と語る。パソコンなどのログを詳細に洗い出す「フォレンジック」には、パソコン1台当たり2週間かかるケースもある。「EDRを導入すれば、こうした時間を大幅に短縮できる」(西本社長)。

 NTTコムはセキュリティー対策の有効性を検証する「Red Team」の人員拡充も検討する。社内のITやOT(制御技術)システムに対して、疑似的なサイバー攻撃を仕掛け、対策の実効性を評価する「TLPT(Threat Led Penetration Test)」のプランを策定し、それに合わせるような形で、Red Teamの体制の詳細を詰める。「今後は撤去予定の設備に対するセキュリティー対策も徹底する」(小山部長)。

 NTTコムで判明した今回のサイバー攻撃は多くの企業にとって対岸の火事ではない。新型コロナウイルスの流行により、企業はいや応なく在宅勤務の拡充などを迫られている。そんな中で、利用範囲が拡大するIT機器のセキュリティー水準をどう担保するか。早急に対策が求められる。』

7月の最も望まれるマルウェア:Emotetが5か月の不在後に再び攻撃

(グーグル翻訳文)7月の最も望まれる(※「Wanted」だ…。お尋ね者の…、という感じだろう)マルウェア:Emotetが5か月の不在後に再び攻撃
https://blog.checkpoint.com/2020/08/07/julys-most-wanted-malware-emotet-strikes-again-after-five-month-absence/

『Check Point Researchは、銀行の認証情報を盗み、ターゲットネットワーク内に拡散することを目的とした、非活動期間後のEmotetボットネット拡散スパムキャンペーンの急激な増加を発見しました

2020年7月の最新のグローバル脅威インデックスは、5か月の不在の後、Emotetがインデックスの1位に急上昇し、世界の5%の組織に影響を与えていることを明らかにしました。

2020年2月以降、Emotetの活動(主にマルスパムキャンペーンの波を送る)は鈍化し始め、7月に再び出現するまで最終的には停止しました。このパターンは、Emotetボットネットが夏季に活動を停止したが、9月に再開した2019年に観察されました。

7月、Emotetはマルスパムキャンペーンを広め、被害者にTrickBotとQbotを感染させました。これらは、銀行の資格情報を盗んだり、ネットワーク内に広まったりするために使用されています。一部のマルスパムキャンペーンには、「form.doc」や「invoice.doc」のような名前の悪意のあるdocファイルが含まれていました。研究者によると、悪意のあるドキュメントはPowerShellを起動して、リモートのWebサイトからEmotetバイナリをプルし、マシンに感染してボットネットに追加します。Emotetの活動の再開は、ボットネットの規模と能力を世界的に強調しています。

Emotetが今年の数か月間休止していて、2019年に最初に確認されたパターンCheck Pointを繰り返したのは興味深いことです。CheckPointの研究者は、ボットネットの背後にいる開発者が機能と機能を更新していると想定しています。しかし、それは再びアクティブになるため、組織はこれらの脅威を運ぶマルスパムのタイプを特定する方法について従業員を教育し、電子メールの添付ファイルを開いたり、外部ソースからのリンクをクリックしたりするリスクについて警告する必要があります。企業は、そのようなコンテンツがエンドユーザーに到達するのを防ぐことができるマルウェア対策ソリューションの展開も検討する必要があります。

調査チームはまた、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44%の組織に影響を及ぼし、次に「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を与えると警告しています。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38%です。

上位のマルウェアファミリ

*矢印は、前月と比較したランクの変化に関連しています。

今月、Emotetは最も人気のあるマルウェアであり、組織の5%が世界的に影響を及ぼし、続いてDridexとAgent Teslaがそれぞれ4%の組織に影響を及ぼしています。

1、↑Emotet – Emotetは高度な自己増殖型のモジュール型トロイの木馬です。Emotetは元々はバンキング型トロイの木馬でしたが、最近では他のマルウェアや悪意のあるキャンペーンの配布元として使用されています。検出を回避するために、永続性と回避技術を維持するために複数の方法を使用します。さらに、悪意のある添付ファイルやリンクを含むフィッシングスパムメールを介して拡散する可能性があります。
2、↑Dridex – DridexはWindowsプラットフォームを標的とするトロイの木馬で、スパムメールの添付ファイルを介してダウンロードされると報告されています。Dridexはリモートサーバーに接続し、感染したシステムに関する情報を送信します。また、リモートサーバーから受信した任意のモジュールをダウンロードして実行することもできます。
3、↓エージェントテスラ –エージェントテスラは、被害者のキーボード入力、システムクリップボードを監視および収集し、スクリーンショットを撮り、被害者のマシンにインストールされているさまざまなソフトウェア(以下を含む)に属する資格情報を持ち出すことができる、キーロガーおよび情報スティーラーとして機能する高度なRATです。 Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアント)。
4、↑Trickbot – Trickbotは、新しい機能、機能、および配布ベクトルで常に更新されている主要な多機能ボットです。これにより、Trickbotは柔軟でカスタマイズ可能なマルウェアになり、多目的キャンペーンの一部として配布できます。
5、↑Formbook – Formbookは、さまざまなWebブラウザーから資格情報を収集し、スクリーンショットを収集し、キーストロークを監視および記録し、C&Cの注文に従ってファイルをダウンロードして実行できるinfoStealerです。
6、↓XMRig – XMRigは、Monero暗号通貨のマイニングプロセスに使用されるオープンソースのCPUマイニングソフトウェアであり、2017年5月に初めて公開されました。
7、↑Mirai – Miraiは、有名なモノのインターネット(IoT)マルウェアで、Webカメラ、モデム、ルーターなどの脆弱なIoTデバイスを追跡し、ボットに変えます。ボットネットは、事業者が大規模なサービス拒否(DoDoS)攻撃を仕掛けるために使用します。
8、↓Ramnit – Ramnitは、銀行の資格情報、FTPパスワード、セッションCookie、個人データを盗む銀行用トロイの木馬です。
9、↓Glupteba – Gluptebaは、徐々にボットネットに成熟したバックドアです。2019年までに、公開のBitCoinリストを介したC&Cアドレス更新メカニズム、統合されたブラウザスティーラー機能、ルーターエクスプロイトが含まれていました。
10、↑RigEK – RigEKは、Flash、Java、Silverlight、およびInternet Explorerのエクスプロイトを提供します。感染チェーンは、脆弱なプラグインをチェックしてエクスプロイトを配信するJavaScriptを含むランディングページへのリダイレクトから始まります。

よく利用される脆弱性

今月は、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44%の組織に影響を及ぼし、続いて「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を及ぼします。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38%です。

1、↑MVPower DVRリモートコード実行 – MVPower DVRデバイスに存在するリモートコード実行の脆弱性。リモートの攻撃者は、この脆弱性を悪用して、巧妙に細工されたリクエストを介して、影響を受けるルーターで任意のコードを実行できます。
2、↓ OpenSSL TLS DTLSハートビート情報漏えい(CVE-2014-0160; CVE-2014-0346) – OpenSSLに存在する情報漏えいの脆弱性。この脆弱性は、TLS / DTLSハートビートパケットを処理する際のエラーが原因です。攻撃者はこの脆弱点を利用して、接続されているクライアントまたはサーバーのメモリの内容を公開することができます。
3、↑ HTTPペイロードを介したコマンドインジェクション– HTTPペイロードを介したコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に細工したリクエストを被害者に送信することにより、この問題を悪用できます。悪用に成功すると、攻撃者はターゲットマシンで任意のコードを実行できるようになります。
4、↔ 茶山(※英文だと、「Dasan」だ…。DASAN Network Solutionsのことか…。韓国の会社だ…。「通信事業者向けのネットワークソリューションに注力し、グローバル企業として成長しています。 KT、SKB、LGU+など、韓国通信事業者における市場シェアは1位です。また、日本の通信事業者、台湾のCHT、ベトナムのViettelなど、グローバル通信事業者にもソリューションを提供し、世界市場での競争力を認められています。」ということだ…。)GPONルータ認証バイパス(CVE-2018から10561) -認証バイパスの脆弱性が茶山GPONルータに存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。
5、↑HTTPヘッダーのリモートコード実行(CVE-2020-13756)– HTTPヘッダーにより、クライアントとサーバーはHTTPリクエストで追加情報を渡すことができます。リモートの攻撃者は、脆弱なHTTPヘッダーを使用して、犠牲PCで任意のコードを実行する可能性があります。
6、↑ Apache Struts2コンテンツタイプのリモートコード実行– Jakartaマルチパートパーサーを使用したApache Struts2にリモートコード実行の脆弱性が存在します。攻撃者は、ファイルアップロードリクエストの一部として無効なコンテンツタイプを送信することにより、この脆弱性を悪用する可能性があります。悪用に成功すると、影響を受けるシステムで任意のコードが実行される可能性があります。
7、↓ Webサーバーに公開されたGitリポジトリの情報漏えい– Gitリポジトリで情報漏えいの脆弱性が報告されています。この脆弱性の不正利用に成功すると、アカウント情報が意図せずに開示される可能性があります。
8、↑SQLインジェクション(いくつかの手法)–アプリケーションのソフトウェアのセキュリティの脆弱性を利用しながら、クライアントからアプリケーションへの入力にSQLクエリのインジェクションを挿入します。
9、↑ PHP php-cgiクエリ文字列パラメーターのコード実行 –リモートコード実行の脆弱性がPHPで報告されています。この脆弱性は、PHPによるクエリ文字列の不適切な解析とフィルタリングが原因です。リモートの攻撃者は、巧妙に細工されたHTTPリクエストを送信することにより、この問題を悪用する可能性があります。悪用に成功すると、攻撃者はターゲット上で任意のコードを実行できるようになります。
10、↓WordPress portable-phpMyAdminプラグインの認証バイパス– WordPress portable-phpMyAdminプラグインに認証バイパスの脆弱性が存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。

トップモバイルマルウェアファミリー

今月はxHelperが最も人気のある(※「流行している」だろう…)マルウェアで、NecroとPreAMoがそれに続きます。

1、xHelper –他の悪意のあるアプリをダウンロードして広告を表示するために使用される、2019年3月以降に流行した悪意のあるアプリケーション。アプリケーションはユーザーから身を隠すことができ、アンインストールされた場合に備えて再インストールされます。
2、Necro – NecroはAndroidトロイの木馬ドロッパーです。他のマルウェアをダウンロードし、侵入型の広告を表示したり、有料サブスクリプションを請求することでお金を盗んだりできます。
3、PreAMo – PreAmoはAndroidマルウェアで、Presage、Admob、Mopubの3つの広告代理店から取得したバナーをクリックしてユーザーを模倣します。』

 ※ まあまあ、ありとあらゆる「コード」に脆弱性があり、「機密情報」が盗まれる危険性がある…、ということだ…。特に、「リモート」で「操作可能なもの」は、危ない…、ということだ…。


 そういうことに「無頓着な」ヤカラが、爆発的に増加しているのが「現状」だ…。「IoT」とは、そういうことだ…。「対策」なるものも、そういうのが「現状」だということを前提に、立てないとならないという話しになる…。あらゆる端末の90%以上(98%くらいもか)は、「抜かれている」と考えた方がいい…。

Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由

https://xtech.nikkei.com/atcl/nxt/column/18/00001/04385/

『サーバー用OSのWindows Serverに危険な脆弱性が見つかった。悪用されるとコンピューターを乗っ取られる恐れなどがある。危険度を表す指標CVSSは最大値の10.0。米国土安全保障省(DHS)は政府機関に対策を命じる緊急指令を発令した。悪用した攻撃は未確認だが近いうちに出現する可能性は高い。攻撃が出回る前にセキュリティー更新プログラムや回避策を適用する必要がある。

17年前から存在する
 今回の脆弱性はWindows Serverに含まれるWindows DNS Serverに見つかった。Windows DNS Serverは米Microsoft(マイクロソフト)製のDNSサーバーソフト。発見者である米Check Point Software Technologies(チェック・ポイント・ソフトウェア・テクノロジーズ)によると17年前から存在するという。

同社によれば、Windows Server 2003から最新版のWindows Server 2019までが影響を受けるとしている。つまり全てのWindows Serverが対象になる。

 マイクロソフトはこの脆弱性を修正するセキュリティー更新プログラムを2020年7月14日(米国時間、以下同)に公開した。現在サポート期間中のWindows Serverに加え、2020年1月に延長サポートが終了しているWindows Server 2008および2008 R2に対しても更新プログラムを提供している。一方、それ以前の古いWindows Serverはサポート期間が終了しているため提供していない。

 今回の脆弱性はDNSのSIGレコードが関係する。このためチェック・ポイントは脆弱性を「SIGRed」と名付けた。細工が施されたデータを送信されるとバッファーオーバーフローが発生し、任意のプログラムを実行される恐れがある。その結果、コンピューターを乗っ取られたり、ウイルス(マルウエア)に感染させられたりする可能性がある。

 この脆弱性を修正するセキュリティー更新プログラムの公開を受けて、前述のようにDHSは7月16日に緊急指令を発令。政府機関に対策するよう命じた。

 緊急指令は法令で定められていて強制力がある。今までに3回しか発令されていない。初めて発令されたのは2019年1月。このときはDNSの改ざんが相次いだための対応だった。2度目は2020年1月。WindowsのRDPに見つかった脆弱性に関して発令された。そして今回が3度目である。

ワームに悪用される
 今回の脆弱性に対して緊急指令を発令したのは、まず第一に危険度が高いためだ。コンピューターを乗っ取られるだけではなく、ワームに悪用される恐れもある。ここでのワームとは、ネットワーク経由で勝手に感染を広げるウイルスのこと。今回の脆弱性を悪用すれば、人手を介することなく感染を拡大できる。このような脆弱性は「ワーム可能な(wormable)脆弱性」と呼ぶ。

 影響範囲も広い。前述のようにWindows Serverの全てのバージョンが影響を受ける。また、DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)クリストファー・クレブスディレクターは7月16日付の公式ブログにおいて、政府機関の多くがWindows Serverを利用していると述べている。

緊急指令 20-03を解説するブログ
(出所:DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁)
[画像のクリックで拡大表示]


 脆弱性を悪用する攻撃が出現する可能性も高いとしている。セキュリティー組織の米SANS Institute(サンズインスティチュート)はセキュリティー更新プログラムの公開直後時点で、「DoSエクスプロイト(脆弱性を突いてコンピューターを正常に動作させなくするプログラム)」は確認したが、コンピューターを乗っ取るようなプログラムは未確認としていた。

 緊急指令の発令時点でCISAも悪用を認識していないとしているが、公開されているセキュリティー更新プログラムをリバースエンジニアリングすることで脆弱性の詳細は明らかにされるだろうとしている。

 前出のクレブスディレクターも「今のところ出現していないが、今回の脆弱性を悪用するプログラム(エクスプロイト)が現れるのは時間の問題」と公式ブログで強調する。

国内でもすぐに対策を
 もう1点気になるのが、今回の脆弱性はサーバーOSが対象であることだ。クライアントに比べて台数は少ないものの、セキュリティー更新プログラムの自動更新を有効にしていない可能性が高い。「セキュリティー更新プログラムは事前に検証したうえで適用する」という運用にしている組織は、今回のセキュリティー更新プログラムをまだ適用していない恐れがある。

 DNSの緊急指令は米国政府機関向けだが、当然のごとく対岸の火事ではない。国内でも対策が急務だ。今回の脆弱性対策としては、セキュリティー更新プログラムの適用のほかに、レジストリーを変更するという回避策がある。セキュリティー更新プログラムをすぐに適用できない組織は回避策でしのごう。

 詳細はマイクロソフトの情報(https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1350)などを参照してほしい。攻撃が出回ってからでは遅い。』

エモテット(Emotet)の話し(その1)

最近、三菱電機がサイバー攻撃された話しがあった…。

三菱電機にサイバー攻撃 中国系か、防衛情報流出恐れ(2020/1/20 10:38)

https://www.nikkei.com/article/DGXMZO54586740Q0A120C2MM0000/

それで、ちょっと情報を集めてみた。

「情報流出は完全には防げない」、三菱電機にサイバー攻撃の衝撃 セキュリティー対策にはコスト上昇の課題も
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/03510/?P=1

ログ消去もされていた三菱電機の不正アクセスについてまとめてみた – piyolog (※ 画像元のサイトです)
https://piyolog.hatenadiary.jp/entry/2020/01/20/172436

この「ログも消去されていた」と言うことで、思い出したのが、「エモテット(Emotet)」と言うマルウエアの話しだ…。

エモテット(Emotet)は、単なる「マルウエア」と言うよりも、「標的メール自動作成ツール群」「標的メール自動作成プラットフォーム」とでも言うべきものだ…。

ある日、何の変哲もない、日常の業務に関係したメールが送られて来る…。

黒塗り部分は、全て通常業務で自分がやり取りしている関係先のものだ…。取り引き先の会社、出席したセミナーの関係者、出席した学会の関係者とか…。メールの「住所録」に記載のあるものだ…。それで、信用して(真正のメールだと思って)、記載されているリンクをクリックして、リンク先に飛んでみると、大変なことになる…、と言うパターンだ…。

個人でも、油断できないぞ…。今どきは、「ネット通販」やらない人はいない御時世だ…。普段よく利用しているネット通販会社から、メールが送られて来る…。次のような文面だ…。

『Аmazon お客様

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。

お知らせ: 

パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon 』

ご丁寧に「ログイン・ボタン」まで作られていて、「パスワードは誰にも教えないでください。」とかご親切にも「お知らせ」してくれている…。

それで、「こりゃ、大変だ…。」とか思って、リンク先に飛んでみると、大変なことになる…、というパターンだ…。

エモテット(Emotet)は、こういう「標的メール」作成の元になる、メール・ソフトのユーザーの「個人情報」を窃取するマルウエアなんだ…。