LockBit 3.0 ランサムウェア : Chromeでもダークウェブへアクセスさせる親切なハッカー

今度の投稿では、 LockBit 3.0 ランサムウェア 攻撃の事例を分析し、実際の攻撃が実行される行為とそれを防ぐ方法を説明します。 LockBit 3.0 ランサムウェア とは? LockBit 3.0 ランサムウェア(LockBit Black)とは、ランサムウェア犯罪組織のLockBitが作ったランサムウェアです。2019年の9月に初攻撃が発生し、アップグレードされたLockBit 2.0では2021年の7月末まで活動し続けてきました。このグループは世界中の企業に対して多大な損害を与え、2022年の7月上旬、LockBit 3.0でバージョンアップして再び登場しました。LockBit 3.0プログラムに感染されると、他のランサムウェア攻撃と同様に感染されたデバイスの全てのファイルが暗号化され、感染されたデバイスのデータを復旧あるいは流出を防ぐためには身代金(Ransom)を払えと要求します。 履歴書に偽装したLockBit 3.0 ランサムウェア配布のメール 2022年9月14日、ある企業のメールに次のような履歴書メールが受信されました。メールのタイトルは「水原健太郎」で人と名前のような形をしていました。メールは入社の申し込みをするために履歴書を送るという内容でした。下のメールはLockBit

By |2022-09-26T10:27:40+09:009月 23rd, 2022|Tags: , , , |0 Comments

クラウド攻撃対象領域:放置された有効なAWS資産検知

AWSのようなクラウド攻撃対象領域でも数多くのシステムがデフォルトページのまま、放置されています。AWSクラウド資産の特性をよく理解しているエンジニアやAWSのデフォルトページを見たことがある方々は関連するキーワードを使い、OSINT(Open Source Intelligence)検索でデフォルトページ状態の放置されたシステムを簡単に検知できます。AWSもやはり、特定の製品名を知らなくてもいくつのキーワードで クラウド攻撃対象領域 を見つけられます。 今回の投稿は以前掲載されたデフォルトページ漏洩で発生するセキュリティ脅威と続く内容なので、前回の投稿を先に読むことをお勧めします。 放置されたAWS資産で クラウド攻撃対象領域 を検知 代表的なキーワードとして"Instance data"があります。クラウドにはVMインスタンスが多く使われているため、単純にこのキーワードを検索してみても、デフォルト状態のAWSシステムをたくさん見つけられます。 https://www.criminalip.io/ja/asset/search?query=%22Instance+data%22 "Instance data" "Instance data"キーワードで検索した放置されているAWSクラウド攻撃対象領域サーバー 下のスクリーンショットをみると、Instance dataのデフォルトページにはVMインスタンスのID、Private

デフォルトページ漏洩で発生するセキュリティ脅威

デフォルトページ とは、システムが活性化された状態で攻撃対象領域に放置された初期設定のページを意味します。 全てのシステムは設置してから最初に稼働されるデフォルトページがあります。デフォルトページでは初期システムを設定するなど、様々な設定作業を行えます。 ハッカーがデフォルトページ漏洩の脆弱性を見つける方法 攻撃対象領域には思ったより多くのシステムが何の設定もされないまま、デフォルト状態で放置されています。このようなデフォルトページにはハッカーが好む情報がたくさんあり、数多くのセキュリティ脅威はこのようなデフォルトページから発生します。 まずは、ハッカーが漏洩されたデフォルトページを通じてターゲットのインフラ情報を探し、分析する過程を調べてみました。デフォルトページは設置する際、基本的には見られるページとエラー発生のメッセージが示されるページがあります。Criminal IP(https://www.criminalip.io/ja)検索エンジンでクラウドサービスに関する様々なデフォルトページをいくつの検索フィルターを通じて見つけられます。 システムを少しでも運営した経験がある場合、アプリケーションの情報を知らなくても、基本的な常識だけでデフォルトページを見つけられます。基本的にCIPのIT資産検索(https://www.criminalip.io/ja/asset)で管理者ページまたは、デフォルトページにありそうなキーワードである‘System Information’を検索できます。公開されたウェブサーバーのみを検索するためには、‘System Information’キーワードと共にサーバーのステータスコードが200である場合のみをフィルタリングして検索できます。さらに、各国名コード(Country Code)と特定のサービスのポート番号で組み合わせると、より興味深い検索結果が出ます。 https://www.criminalip.io/ja/asset/search?query=%22System%20Information%22%20status_code:%22200%22 "System Information" status_code:"200" Criminal IPで System Information

Kpop ディープフェイク エロ サイト:Cloudflare に隠れてある本当のサーバー IP 追跡

ディープフェイク (Deepfake) とは AI 技術を活用した画像合成技術です。実際、存在する人物の肖像や特定の身体部位を既存の画像または、ビデオに合成した編集映像を総称します。合成しようとする人物の顔が写っている高画質の動画をディープラーニングし、既存のビデオにフレーム単位で合成します。 韓国の場合、このようなディープフェイク映像を製作して配布すると、肖像権侵害または、パブリシティー権侵害になれます。さらに、ディープフェイクを活用したポルノの場合、性的暴力犯罪に関する特例法第14条2項に従って処罰されます。ディープフェイクに対する問題が社会的なイシューとして挙げられ始めてポルノハブ(Pornhub)のような大型ポルノ プラットホームはアップロードされた ディープフェイク エロ 動画を全て削除する措置を取りました。そのあと、制作されたディープフェイク映像を集めた専用のサイトが密かに作り出し始めました。 Kpop アイドルと日本の AV を合成した ディープフェイク エロ サイト CIP Team はこのようなディープフェイク サイトを追跡してみました。なんと、ディープウェブ、ダークウェブではない誰でもアクセスできるサーフェイスウェブで相当な不法ディープフェイク サイトを見つけました。特に、Kpop アイドルの顔にポルノ動画を合成して運営するサイトが中心になって、この中でいくつかのサイトは韓国の

DDoS 攻撃のケース 分析、IP インテリジェンスで対応する方法

最近、 WEB サービスを提供する企業に約 20 時間の間、Get Flooding Attack 型の DDoS 攻撃のケース が発生しました。CIP チームは被害を受けた企業の協力で攻撃当時のデータを提供され、Criminal IP で攻撃データを分析しました。(企業名は匿名にしますが、データは全て実際のデータであります。)サイトのログイン ページで様々な攻撃トラフィックが入ってその攻撃でサイトのログイン サーバーへ深刻な負荷がかかり、ログインの機能が麻痺されました。 WEB サービス企業から提供された DDoS 攻撃のケース データの一部

By |2022-08-12T17:01:40+09:007月 26th, 2022|Tags: , , , , |0 Comments

APIキー 一つで起こる個人情報漏れ、そして造作

デバッグ モードが活性化されたジャンゴ(Django)ウェブ アプリケーションを Criminal IP(https://www.criminalip.io/ja) で検索すると、3,100を超えるウェブ アプリケーションで DB アカウント及びパスワード、そして APIキー がネットでそのまま漏洩されていることを確認できます。すなわち、これはジャンゴで開発されたサイトを通じて企業の個人情報や機密ドキュメントなどが簡単に取られてしまう可能性があることを示します。CIP チームはジャンゴやララベル(Laravel)などのウェブ アプリケーションに関するキーワード検索で Credential 情報漏れの深刻さを調べてみます。 クレデンシャル(Credential)とは? クレデンシャル(Credential)の辞書上の意味は‘資格証明’で、通常では特定の人がその資格を持っているかを証明する手法を表します。あらゆる身分証と証明書などが Credentialに含まれます。しかし、クラウド環境や Facebook、Twitter、Line などのように

クリプトジャッキング の検知:暗号通貨採掘悪性コードによって感染されたアプリケーション

クリプトジャッキング (CryptoJacking)とは暗号通貨(Cryptocurrency)とハイジャッキング(Hijacking)の複合語で、他人のコンピューターリソースを勝手に使って暗号通貨を採掘する行為を示します。サイバー犯罪者たちは悪意のあるリンクが含まれている迷惑メールを送って感染させる手法を使って被害者のコンピューターでクリプトマイニング Javascript コードをロードするウェブサイトへのリンクをクリックするように誘導します。このような手法でこっそり設置された暗号通貨の採掘悪性コードの急増と伴い、クリプトジャッキングの攻撃を受けた企業はネットワークが中断されるか、莫大なクラウド費用を負わされるかもしれません。 特に、ブラウザマイニング(Browser mining)Javascript 機能を利用すると、だった2つや3行の Javascript コードを挿入するだけで手軽に PC を感染させられます。ハッカーがよく使うクリプトジャッキング方式でコインハイブ(CoinHive)とディップマイナー(DeepMiner)があります。Criminal IP チームで分析した結果、この2つの クリプトジャッキング はかつてより少なくなったですが、未だにたくさんの PC が感染されていることが分かりました。 Criminal IP アセット検索でコインハイブ(CoinHive)マイナーボットを検索

複合機脆弱性 イシュー:プリントしたファイルがネットで漏洩される理由

自分の履歴書、住民票やマイナンバーカードのコピ、成績表などのがネットで広がっていると思うとどんな気分になりますか。 プリンタ複合機(MFP、Multi-Function Printers)を利用してあらゆる重要な個人情報をスキャンし、役所などに提出することは企業や個人、誰にでも起こる日常的な出来事です。このような重要な個人情報のスキャンファイルをオンラインで転送したり、メール、OneDrive、Dropboxなどでリンクを添付したりする場合、zip パスワードをかけたり、ダウンロードの期限制限を設定したりするなど、様々な情報セキュリティ政策に従ってファイルを送ります。 しかし、プリンタ複合機そのままのセキュリティに関してはあまり無神経な場合がたくさんあります。全ての複合機には下のような管理者ページがあり、このページにアクセスすると、誰かがスキャンしたファイルが残っている場合があります。SMB プロトコルを用いてスキャンされたファイルをシェアフォルダへコピスる機能を使った後、または、メールで転送したファイルがそのまま残される場合があります。 その上、さらに大きい問題は個人や企業の複合機(MFP)にログイン認証をしなくてもスキャンフォルダにアクセスできる場合が多いことです。これによってスキャンファイルだけではなく、ファックスの受信リストに残されている受信者メール情報が漏洩されるなど追加的な個人情報漏れのセキュリティ事故が発生しています。 複合機(MFP)管理者ページの画面 複合機(MFP)管理者ページで提供する受信者情報ページ   インターネットに漏洩されている 複合機脆弱性 このような複合機(MFP)イシューは企業内のオフィス網でも問題として注目されているが、更に深刻な点はこの複合機がインターネットの外部につながっているところです。次のスクリーンショットは Criminal IP のアセット検索で

Atlassian Confluence ゼロデイ 脆弱性(CVE-2022-26134)に漏洩されたサーバー

ワシントンD.Cに位するサイバーセキュリティ会社の Volexity1) によると、インターネットにつながられているウェブサーバーに対する侵害対応の進行中、Atlassian Confluence (アトラシアンコンフルエンス)サーバーが設置されたサーバーにウェブシェルがアップロードされていることが発見されました。Volexity は Atlassian Confluence と関連する問題と判断し、エクスプロイトコードを作成し、最新のパッチが適用された状態でもリモートコード実行が可能なゼロデイ脆弱性であることを確認し、そのイシューを Atlassian にリポートしました。(5月31日 PDT) Atlassian ではイシューを提供され、ゼロデイ脆弱性であることを確認した後、認証されていないリモートコード実行脆弱性の CVE-2022-26134 に関するセキュリティ勧告 を発表した。最初は、セキュリティパッチを公開せず、脆弱性のみを発表しましたが、6/3 PDT 現在、パッチと臨時の処置方法を含めセキュリティ勧告が再投稿されています。また、同時に Volexity

By |2022-08-04T18:11:56+09:006月 5th, 2022|0 Comments

Criminal IPで確認した中国の HTTP File Server に隠されている新たなマルウェアサイト

NAS セキュリティの問題としてキューナップ(QNAP)とシノロジー(Synology)などがよく論ぜられています。CVEで公開される脆弱性以外にもインターネットで無防備で漏洩され、簡単な総当たり攻撃によって手軽に NAS の重要資料が流出されています。 最近ではこのような常用 NAS 製品以外にも、オープンソースやフリーウェアで使用されている簡易 NAS にもたくさんの問題が指摘されています。代表的な例として HFS HTTP File Server Files があります。何度のクリックで設置され、ファイルをドラッグするだけで、様々なファイルを簡単にアップロードでき、外部でも URL で容易にファイルを共有できるなど、設置と利用がとても簡単であるため、個人は無論、中小規模の企業でもよく使う便利な NAS として知られています。下のイメージはサーバーを起動した画像です。

By |2022-08-04T18:12:06+09:005月 18th, 2022|0 Comments
Load More Posts
Go to Top