前回、似たようなことをやりはじめてから、2回で三日坊主になってしまいましたが、また、気になった記事をまとめるのを再開したいと思います。(今度は、三日坊主にはならない!!。。。。多分)
令和元年も残り1ヶ月をきり、寒い日が続きますが、体調に気を付けて今後ともハニーポットの観測やセキュリティに関連したブログを更新していきます。
最近ちょっと気になっているのは、月額課金でランチが食べられる「always LUNCH」です。
残念ながら、現在、利用可能なのは渋谷区だけになりますので、利用はできないですが、職場がエリア内になれば試してみたいですね!!
では、12月1~5日で気になった記事をまとめていきます。
【目次】
【セキュリティニュース】
マルウェア「Emotet」への注意喚起
10月以降、日本国内で不審なメールに添付されたファイルを実行したことにより、マルウェア「Emotet」に感染する事象が多数発生しています。
本事象について、IPA, JPCERT他多数のベンダーから注意喚起が行われました。
・IPA
・JPCERT
この勢いに乗っかって私が見つけたEmotet感染に繋がるDocファイルの画像集置いときます。
— watoly (@wato_dn) November 27, 2019
開いた瞬間印象に残りやすいと思うので、注意喚起や想起に使えるかもです。
もちろんこれ以外のバージョンもありますし、今後攻撃者によって新バージョンが更新されていくと思います。 pic.twitter.com/odPfpUBTpB
Emotetの感染経路にメールが利用されており、実在する組織を語ったものや、最近では「返信型」と呼ばれる件名に「Re: ~」がついてるなどあたかも返信を装うメールで着弾するようです。
【参考】
【注意喚起】猛威をふるっているマルウェアEmotetの検知状況について | セキュリティ対策のラック
変化を続けるマルウェア「EMOTET」の被害が国内でも拡大 | トレンドマイクロ セキュリティブログ
フィッシングサイトの注意喚起
あるメディアで信頼できるサイトの見分け方を紹介した際に、”信頼できるWebサイトの見分け方のポイントは「アドレスバーにカギのアイコンが付いているかどうか」”という誤解を生じかねない方法を紹介をしたことを受け、Twitterで活動するセキュリティの専門家たちが、フィッシング詐欺に対する対策を紹介していました。
また、別メディアでは、ネット通販で購入時にクレジットカード入力画面に遷移する際に、偽の画面に誘導(おそらく、正規の入力画面が改ざんされたと思われる)しカード情報を盗み出す事案が発生していることを紹介していた。
しかし、その対策として紹介していたのは、「.com」や「.jp」を正規のドメイン、「.co」を個人が取得できるドメインであるため、注意が必要というとんでもない的外れの対策でした。
.com や .jp も個人で取得できるし、 .co も正規のドメインなので、この説明はミスリード pic.twitter.com/SmEVN8Wvzh
— Kazushi Nagayama 🗿 長山一石 (@KazushiNagayama) December 2, 2019
この件について、SNS上でもセキュリティの専門家たちが、様々な指摘を行っていました。
鍵マークなら90%安全に匹敵するくらい有害な言説。.comとか.jpなフィッシングサイトはいくらでもあるのに。誰だこんな嘘八百をテレビ局に吹き込んだのは https://t.co/b62yc7ubSz
— 楠 正憲 (@masanork) December 3, 2019
なるほど、じゃあ #LINE をかたる #Phishing は .com だから正規…んなわけない。攻撃者へ寄与していることに気付いて欲しい。誰に取材したんだろ?あと取材に応じてくれた人の情報を正しく理解してオンエア内容作ったかな?後者の段階でダメになるなら取材協力する人いなくなりそう。 @ZIP_TV https://t.co/1mVD7mP8SA
— nakamuratomofumi (@tomoaxe) December 3, 2019
これはまずい説明です。
— KesagataMe (@KesaGataMe0) December 3, 2019
私のツイートを含め国内フィッシングハンター達のツイートを見てください。
フィッシングサイト「.com」、「.jp」などドメインで判別してはいけません。 https://t.co/Kj5PWaXa1O
またこの事例の場合、画面遷移を改ざんと思われるため、正規のサイトが改ざんされているので、URL/ドメインは正規の者である可能性があります(.jp/.comという意味ではなく)。
そのため、URL/ドメインに注目しても不正な画面であると見破ることはできないという指摘もありました。
この放送の内容は、公式サイトが改ざんされ途中で偽の決済ページが割り込んでくる奴とのことなので、利用者側の注意でどうにかなることではありません。ドメインがどうのはどーでもいいので、クレカの利用明細に覚えのない請求が無いかどうかを毎月必ず確認するよう心掛けてください。
— Naomi Suzuki (@NaomiSuzuki_) December 3, 2019
テレビを見てないので間違っているかもしれませんが、「偽画面に誘導…カード情報盗む」という見出しからは、一般的なフィッシングではなく、ECサイトの画面遷移改ざんの方を連想します。であれば、利用者が見破るのは極めて難しいと思うのですが。正常系でも別サイトに遷移する場合が多いですし https://t.co/9boQUM3kkF
— 徳丸 浩 (@ockeghem) December 3, 2019
同様にメディア側の注意喚起と誤解による対策が複数報道されました。
こちらは同じ案件のNHKニュース。放送の最後でボソッと「URLを確認することが重要です」とつぶやきますが、それは無理ゲー。重要なのはそこではなく、利用明細を確認することです https://t.co/5WgFevVdDO
— Naomi Suzuki (@NaomiSuzuki_) December 3, 2019
おいおい、正規サイト改ざんによる被害なのに「URLをよく確認することが重要」とか何言ってんの?https://t.co/rwFpDxOWaf pic.twitter.com/D1XBTMjlzx
— Hiromitsu Takagi (@HiromitsuTakagi) December 3, 2019
楽天、ニセ役員からの英語の電話で情報漏洩
楽天から従業員の情報が外部に流出するという事件が報道されました。
報道によると、
・役員を名乗る人物から英語での電話を受けた
・出張先からの接続が悪く社内ネットワークに接続できないから、指定する従業員のメールアドレスを教えてほしい、と連絡
・社内システムから情報を抜き出す方法を具体的に指示
・指示内容が具体的であったため役員本人だと信じた
・出力した情報をニセ役員が指定する社外のメールアドレスに送信
・別部署の同僚と話したことから問題が発覚
・流出したのは従業員の氏名、役職、メールアドレス、内線番号などで個人住所や家族名、銀行口座などは含まれていない
・メディア(西日本新聞「あなたの特命取材班」)への情報提供から報道につながった
・文春オンラインでは、本事案について全従業員あてに送られた社外秘の注意喚起メールを掲載
【レポートリリース】
IIJ
wizSafe Security Signal 2019年10月 観測レポート
wizSafe Security Signal 2019年10月 観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ
2019年10月 TCP SYN/ACKリフレクション攻撃の観測事例 – wizSafe Security Signal -安心・安全への道標- IIJ
ウェブルート
【おわりに】
雑なまとめで申し訳ありませんが、
ここまでお付き合いいただきありがとうございます。<(_ _)>
【更新履歴】
2019/12/05 公開