象印のECサイトに不正アクセス

別ページでまとめています。

リクナビの内定辞退率利用企業に行政指導

政府の個人情報保護委員会が就活情報サイト「リクナビ」で就活生の個人情報を利用し、内定辞退率を予測、本人に十分な了解を得ずに販売していた問題に対して、リクルートキャリアとデータを購入し利用していた企業に対して行政指導が行われました。

個人情報の保護に関する法律に基づく行政上の対応について

行政指導を受けた企業は問題の発端となったリクルートキャリアを含め35社である。

【参考】
個人情報保護委、“リクナビの内定辞退率”利用企業に行政指導 トヨタ、京セラなど35社 - ITmedia NEWS

神奈川県の行政文書が流出、破壊処理予定のHDDを不正転売

12月6日、朝日新聞デジタルが個人情報や秘密情報を含む神奈川県の行政文書が記録されていたHDDがヤフーオークションを通じて転売され、情報が流出していたことを報じました。
その後の調査で、HDDを転売していたのは神奈川県にHDDをリースしている会社がデータの廃棄処理を委託した会社の従業員であることが報じられました。

神奈川県の発表

富士通リース（リース会社）

株式会社ブロードリンク（処理委託会社）
当社従業員による不正行為について
お客様各位：当社管理下におけるハードディスク及びデータの外部流出に関するお詫び
当社管理下におけるハードディクス及びデータの外部流出に関するお詫び
再発防止対策について
弊社から盗難されたハードディスク等をお持ちの方向け

SNS上でも本件に関して様々な意見が飛び交っていました。

ブロードリンク社のお詫び文読んでたら、黒塗りの部分がパワポで四角形を被せただけなので丸見えになっている。
詫び文で情報漏えいする間抜けを晒しておくと同時に、各社の広報担当者におかれましてもPDFの黒塗り事故についてご注意いただきたい。https://t.co/8kLRcVGhJt pic.twitter.com/t6ltpwqCmI

— Tsukasa Hamano (@hamano) December 10, 2019

これ、「連絡されたし」だけでなく、その後どうしたいのかを書かないと、購入者は怖くて電話できないでしょうに / “弊社から違法に持ち出されたハードディスク等をネットオークションでご購入された方々へ - 株式会社ブロードリンク” https://t.co/RDiKaBvhWZ

— 徳丸 浩 (@ockeghem) December 11, 2019

ハードディスクの購入者の多くは既に使い始めているでしょう。それを「調査のために送付しろ」と言われても困るわけですよ。「先に代替品を送るのでお使いのデータを退避後に当該HDDを着払いで送付ください」くらいのことは、リリース文面に書いておかないと、怖くて電話したくないと思います

— 徳丸 浩 (@ockeghem) December 11, 2019

ブロードリンクの一件は廃棄予定のパーツを勝手に持ち出せることも問題だけど、それ以上にデータ消去依頼されたHDDのデータを消去せず作業完了報告書を発行し、挙句にHDDが無くなっても気付きもせずに放置する体制が続いていたことよ。転売したやつより会社の体制の方が相当ヤバいよ。

— k-u (@k_umemoto) December 9, 2019

富士通のリリースによると「富士通リース株式会社は東京センチュリー株式会社が80％を出資・・」として、無関係に読めるような書きぶり。一方、東京センチュリーによると富士通リース株20%は富士通とのこと。企業スタンスが問われるリリースかと。https://t.co/8OZfjpRx8d https://t.co/ABUahl3tuW

— ICHIRO SATOH (@ichiro_satoh) December 8, 2019

【参考】
「世界最悪級の流出」と報じられた廃棄ハードディスク転売事案についてまとめてみた - piyolog
神奈川県庁のHDD流出、容疑の業者は官民で取引多数の大手 防衛省も「しっかり調査する」 影響範囲大か (1/2) - ITmedia NEWS
個人情報が保存された神奈川県庁のHDD計54TB、転売される 処理会社の従業員が横領 (1/2) - ITmedia NEWS
納税記録・職員評定…秘密のはずが 世界最悪級の流出：朝日新聞デジタル
消しても消しきれず HDD情報、完全消去は破壊のみ - 毎日新聞
情報流出の内容、県から回答なし 「対策取りようない」：朝日新聞デジタル
神奈川県庁の情報流出問題に関与か HDD窃盗の容疑で男を逮捕 - ライブドアニュース
HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪 ずさんな管理体制明らかに (1/2) - ITmedia NEWS
ブロードリンク社長「心より深くおわび」 辞任の意向も：朝日新聞デジタル

日本地図センターのウェブサイトが改ざん

日本地図センターのサイトが改ざんされ、不審なサイトにリダイレクトされていたようです。

【重要なお知らせ】現在、Yahoo検索やGoogle検索等で「日本地図センター」と検索すると、中国語のような説明文が表示されます。
これをクリックすると地図センターではないページにアクセスする可能性がございます。
皆様には、この検索結果を絶対にクリックしないように、強くお願いいたたします。 pic.twitter.com/SYwHcNkAYJ

— （一財）日本地図センター (@JapanMapCenter) December 11, 2019

【参考ツイート】

日本地図センターのサイト、cookieに「isfirstvisited:"false"」が保存されていないと外部サイト（www[.]888051[.]com）に飛ばされるスクリプトが埋め込まれている模様（1回目のアクセスでcookieに保存される）https://t.co/PpRpkADQER

— piyokango (@piyokango) December 11, 2019

日本地図センター、なるほど

iPhone飛ばし先は最終ここに
https://m.888051[.]com:8440/register?id=33846410 pic.twitter.com/2cwgLMRdbK

— J416@C97火西え44a◆DY//wVKWks (@j416dy) December 11, 2019

Twitterアカウントのプロフィール欄のURLをクリックしてて見た際にも中国語のサイトにリダイレクトされました。

通信内容を見ると、.cn 等から色々とJSファイルを読み込んでおり、[数字].com の "look.js" ファイルにリダイレクト先のURLが記載されていました。
トップページ自体を改竄されたのでは？

— SkyArts.com (スカイアーツ)📝超高機能テキストエディタWrix 無料配信中！ (@SkyArts_dot_com) December 11, 2019

日本地図センターがおかしなサイトに飛ばされる件。

ドメインや検索結果自体に問題はないけど、Webサイトで使ってるjQueryのJavaScript（jquery.easing.1.3.js）の末尾にリダイレクトが仕込まれてた。 pic.twitter.com/Jq2S9DgmUS

— 山口健太｜Kenta Yamaguchi (@tezawaly) December 11, 2019

いやこれ表示されてるURLは正しいから地図センター自体のハッキング完了してるやん。。。
検索結果だけじゃなくて即刻公開停止せな。 https://t.co/79jvDtyw7N

— 雪砂 (@FantasticDawn) December 11, 2019

【参考】
日本地図センターのウェブサイトが改ざん、再開時期は未定 - INTERNET Watch

フィッシング報告状況

フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 月次報告書 | 2019/11 フィッシング報告状況

MSパッチ

2019 年 12 月のセキュリティ更新プログラム

Chrome

【セキュリティ ニュース】「Chrome 79」では深刻な脆弱性2件含む51件の修正を実施（1ページ目 / 全1ページ）：Security NEXT

Intel

Intelの複数製品に特権昇格の脆弱性 | マイナビニュース

Intel Releases Security Updates | CISA

Adobe

【セキュリティ ニュース】「Adobe Acrobat/Reader」に複数の深刻な脆弱性 - 更新リリース（1ページ目 / 全2ページ）：Security NEXT

Adobe Security Bulletin

JPCERT/CC

Adobe Acrobat および Reader の脆弱性 (APSB19-55) に関する注意喚起
2019年12月マイクロソフトセキュリティ更新プログラムに関する注意喚起
ISC BIND 9 の脆弱性に関する注意喚起
マルウエア Emotet の感染に関する注意喚起

フィッシング対策協議会

フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | UC Card をかたるフィッシング (2019/12/06)
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | みずほ銀行をかたるフィッシング (2019/12/11)

Emotet

Emotetの攻撃キャンペーンを助長するアジアの侵害ドメイン
ASCII.jp：メールで感染するEmotetウイルスが国内で猛威、気をつけることは？ (1/2)

神奈川県警（笑）

最近のサイバー相談とその対応について

リバースエンジニアリングの参考文献集

GitHub - alphaSeclab/awesome-reverse-engineering: Reverse Engineering Resources About All Platforms(Windows/Linux/macOS/Android/iOS/IoT) And Every Aspect!

MBSD Blog

標的型攻撃ランサムウェア「Ryuk」の内部構造を紐解く | MBSD Blog

イエラエセキュリティ

OSCP、OSCE、そしてOSEE…… 世界最高峰難度のセキュリティ資格保持者、試験を語る｜セキュリティブログ

2019年振り返り

【12/7】2019年のセキュリティトピックの振り返り, Hiroki Hada

Other

漫画村を追い詰めたハッカーが語る〈ブラックハッカー〉から〈ホワイトハッカー〉への道 - VICE
GitHub - ueno1000/about_PenetrationTest: ペネトレーションテストについて

マルウェア「Emotet」への注意喚起

10月以降、日本国内で不審なメールに添付されたファイルを実行したことにより、マルウェア「Emotet」に感染する事象が多数発生しています。
本事象について、IPA, JPCERT他多数のベンダーから注意喚起が行われました。

・IPA

・JPCERT

この勢いに乗っかって私が見つけたEmotet感染に繋がるDocファイルの画像集置いときます。
開いた瞬間印象に残りやすいと思うので、注意喚起や想起に使えるかもです。
もちろんこれ以外のバージョンもありますし、今後攻撃者によって新バージョンが更新されていくと思います。 pic.twitter.com/odPfpUBTpB

— watoly (@wato_dn) November 27, 2019

Emotetの感染経路にメールが利用されており、実在する組織を語ったものや、最近では「返信型」と呼ばれる件名に「Re: ～」がついてるなどあたかも返信を装うメールで着弾するようです。

【参考】
【注意喚起】猛威をふるっているマルウェアEmotetの検知状況について | セキュリティ対策のラック
変化を続けるマルウェア「EMOTET」の被害が国内でも拡大 | トレンドマイクロ セキュリティブログ

フィッシングサイトの注意喚起

あるメディアで信頼できるサイトの見分け方を紹介した際に、”信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」”という誤解を生じかねない方法を紹介をしたことを受け、Twitterで活動するセキュリティの専門家たちが、フィッシング詐欺に対する対策を紹介していました。

また、別メディアでは、ネット通販で購入時にクレジットカード入力画面に遷移する際に、偽の画面に誘導（おそらく、正規の入力画面が改ざんされたと思われる）しカード情報を盗み出す事案が発生していることを紹介していた。
しかし、その対策として紹介していたのは、「.com」や「.jp」を正規のドメイン、「.co」を個人が取得できるドメインであるため、注意が必要というとんでもない的外れの対策でした。　

.com や .jp も個人で取得できるし、 .co も正規のドメインなので、この説明はミスリード pic.twitter.com/SmEVN8Wvzh

— Kazushi Nagayama 🗿 長山一石 (@KazushiNagayama) December 2, 2019

この件について、SNS上でもセキュリティの専門家たちが、様々な指摘を行っていました。

鍵マークなら90%安全に匹敵するくらい有害な言説。.comとか.jpなフィッシングサイトはいくらでもあるのに。誰だこんな嘘八百をテレビ局に吹き込んだのは https://t.co/b62yc7ubSz

— 楠 正憲 (@masanork) December 3, 2019

なるほど、じゃあ #LINE をかたる #Phishing は .com だから正規…んなわけない。攻撃者へ寄与していることに気付いて欲しい。誰に取材したんだろ？あと取材に応じてくれた人の情報を正しく理解してオンエア内容作ったかな？後者の段階でダメになるなら取材協力する人いなくなりそう。 @ZIP_TV https://t.co/1mVD7mP8SA

— nakamuratomofumi (@tomoaxe) December 3, 2019

これはまずい説明です。
私のツイートを含め国内フィッシングハンター達のツイートを見てください。
フィッシングサイト「.com」、「.jp」などドメインで判別してはいけません。 https://t.co/Kj5PWaXa1O

— KesagataMe (@KesaGataMe0) December 3, 2019

またこの事例の場合、画面遷移を改ざんと思われるため、正規のサイトが改ざんされているので、URL/ドメインは正規の者である可能性があります（.jp/.comという意味ではなく）。
そのため、URL/ドメインに注目しても不正な画面であると見破ることはできないという指摘もありました。

この放送の内容は、公式サイトが改ざんされ途中で偽の決済ページが割り込んでくる奴とのことなので、利用者側の注意でどうにかなることではありません。ドメインがどうのはどーでもいいので、クレカの利用明細に覚えのない請求が無いかどうかを毎月必ず確認するよう心掛けてください。

— Naomi Suzuki (@NaomiSuzuki_) December 3, 2019

テレビを見てないので間違っているかもしれませんが、「偽画面に誘導…カード情報盗む」という見出しからは、一般的なフィッシングではなく、ECサイトの画面遷移改ざんの方を連想します。であれば、利用者が見破るのは極めて難しいと思うのですが。正常系でも別サイトに遷移する場合が多いですし https://t.co/9boQUM3kkF

— 徳丸 浩 (@ockeghem) December 3, 2019

同様にメディア側の注意喚起と誤解による対策が複数報道されました。

こちらは同じ案件のNHKニュース。放送の最後でボソッと「URLを確認することが重要です」とつぶやきますが、それは無理ゲー。重要なのはそこではなく、利用明細を確認することです https://t.co/5WgFevVdDO

— Naomi Suzuki (@NaomiSuzuki_) December 3, 2019

おいおい、正規サイト改ざんによる被害なのに「URLをよく確認することが重要」とか何言ってんの？https://t.co/rwFpDxOWaf pic.twitter.com/D1XBTMjlzx

— Hiromitsu Takagi (@HiromitsuTakagi) December 3, 2019

【参考】
インターネットバンキングの不正送金の被害に注意

楽天、ニセ役員からの英語の電話で情報漏洩

楽天から従業員の情報が外部に流出するという事件が報道されました。
報道によると、
・役員を名乗る人物から英語での電話を受けた
・出張先からの接続が悪く社内ネットワークに接続できないから、指定する従業員のメールアドレスを教えてほしい、と連絡
・社内システムから情報を抜き出す方法を具体的に指示
・指示内容が具体的であったため役員本人だと信じた
・出力した情報をニセ役員が指定する社外のメールアドレスに送信
・別部署の同僚と話したことから問題が発覚
・流出したのは従業員の氏名、役職、メールアドレス、内線番号などで個人住所や家族名、銀行口座などは含まれていない
・メディア（西日本新聞「あなたの特命取材班」）への情報提供から報道につながった
・文春オンラインでは、本事案について全従業員あてに送られた社外秘の注意喚起メールを掲載

【参考】
楽天が虚偽電話で被害に遭った名刺記載レベルの従業員情報流出についてまとめてみた - piyolog

IIJ

wizSafe Security Signal 2019年10月 観測レポート
wizSafe Security Signal 2019年10月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
2019年10月 TCP SYN/ACKリフレクション攻撃の観測事例 – wizSafe Security Signal -安心・安全への道標- IIJ

ウェブルート

ウェブルート脅威レポート2019　中間アップデート

McAfee

A Christmas Carol Scam Edition