みなさん、こんにちは。Rakuten-CERTの福本です。
　先日、東京工業大学 蔵前会館にてOWASP World Tour Tokyoが開催されました。このOWASPの本格的なトレーニングイベントはなんと無償で提供され、有志のボランティアによって運営されました。サテライト会場も含め総勢700名を超える参加者が集まり、これだけのイベントがスポンサー無しで実施できたということが、いまのOWASP Japanのセキュリティコミュニティの強さを示しているのかなと思います。今回のトレーニング内容についてですが、各所での様々なOWASPのプロジェクトの活用例が充実しており、会場からは、このケーススタディを参考にして自社で同じような取り組みをやってみたいね、という声が多く聞かれました。参加出来なかった方も、こちらからトレーニング資料を見ることが出来ますので興味があればぜひ参考に！


会場の様子。すごい熱気。

　そして、トレーニング会場をご提供頂いた東京工業大学の田中教授からのウェルカムスピーチの中で、なんとこの日、東京工業大学がOWASP Academic Supporterの申請をしたという発表は本当にサプライズでしたね！横にいたチャプターリーダーの岡田さんのリアクションも大きかったですねｗ

　また、最近では楽天を装った偽サイトは6000件、楽天を装ったフィッシングメールもかなり増えています。これらは別に新しい攻撃というわけではなく昔からあるユーザーを狙った金銭目的のサイバー犯罪ですが、激しさを増しているところに違いがあります。既にやっているユーザーへの啓発や注意喚起だけでは限界があり、大事なユーザーをどう守っていくか、それが今後のインターネットサービスの発展にとって重要な事であり、また業界全体で取り組む必要がある大きな課題なのかなと思います。さらに言うとこれがIoTの発展に伴ってサイバー犯罪は大きな問題となるはずで（特にランサムウェアはお金になりそうでやばい）、犯罪者にやりたい放題されないよう、インターネットの向こう側にいる犯罪者と戦っていかないといけないと、僕は思うのです。   

Mirai IoT Botnet に手を加えたと推測されるマルウェアが話題に挙っています。
攻撃を受けた際のログやマルウェアの検体解析などから、Miraiのソースコードを改造し、Metasploit moduleを組み込んだものとみられています。
すぐに根本的な対応ができるわけではありませんが、IoT機器を悪用した攻撃が本格化してきたなぁ、といった印象がありますね。

　（参考）

• Port 7547 SOAP Remote Code Execution Attack Against DSL Modems
• New Mirai attack vector – bot exploits a recently discovered router vulnerability
• Mirai Tracker （おまけ）

また、これらの動きに拍車を掛けそうなのが、ダークウェブでのレンタルBotnetサービス動きです。以前からこれらのサービスは確認はされていましたが、今回の一件でより人気（？）がでるかもしれません。そうなりますと、一般的なところではDDoS攻撃による脅迫行為の増加などが容易に想像ができますので、新たなサイバーギャングらが新たに登場するのでしょう。サイバー空間内の脅威が次代へ移り変わっていることをヒシヒシと感じられますね。

しばらく目が離せない脅威であるとともに、攻撃を受けた際の対応を改めて考えさせられる一件であるように思います。

ではでは。

リオ五輪ですが開会式を明日に控え、熱を帯びてきていますね。
ブラジル（というより南米）といったら、サイバー犯罪が多いこともあるせいか、サイバー空間での盛り上がりも個人的には注目しています。
＃今のところ、被害報告などは特に何もありませんが・・・

こぢんまりとは、動きが出てきているようです。


攻撃としては、こちらのDDoSツールの使用を呼びかけていました。（現在、削除済み）
標的は五輪公式ページではなく、政府系のサイトのようです。



ハクティビズムによるものが殆どではないかと思いますが、動向が気になるところです。
＃日本は内閣改造による影響が、9.18でどの程度でるかが焦点かもしれませんね。。。

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。




さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。


（補足）
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。

ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

先月、BEC(Business Email Compromise)の典型的な手口を紹介しつつ、注意喚起を行いました。
エフセキュアブログ : 社長のメールは真に受けるな！

このブログ記事のように社長のメールであれば無視しておけば済むんですが、BECというのは、いわゆる詐欺ですから、攻撃者は手を替え品を替え、あの手この手で襲いかかってきます。時に攻撃者はこちらがメールを無視できないという立場を巧みに利用することもあります。

まず攻撃者は企業のウェブサイト内にある問い合わせフォームからメッセージを送ります。問い合わせ内容は、「御社の新製品に興味があるので、カタログを送ってほしい」という感じです。


[一般的な問い合わせフォーム]

当然そういったメッセージを受け取った企業は喜び勇んで返信するでしょう。


[攻撃者が企業からの返信を受信したところ]

ここで、攻撃者は受信したメッセージへリプライしますが、その際にマルウェアを添付します。

[攻撃者がマルウェア付きメールを送信しているところ]

マルウェアの中身はこのように実行ファイル(bat,exeなど)になっています。

[添付ファイルの中身]

担当者は自分で送ったメールに対する返信なので、ついうっかり添付ファイルを開いてしまう・・可能性が高くなるというのが攻撃の手口です。

対策：
実行ファイルをダブルクリックしないように注意するという精神論ではどうしても限界がありますので、不特定多数の顧客から問い合わせを受け付ける人の端末では、実行ファイルの実行をシステム的に制限しておくことをおすすめします。
具体的な方法は過去の記事で紹介しています。

• エフセキュアブログ : 標的型攻撃メールの手口と対策
• エフセキュアブログ : ランサムウェアから身を守るための裏ワザ

BEC(Business Email Compromise)というサイバー犯罪の手口が、昨年から少しずつ話題になりはじめ、FBIからも再三に渡って注意喚起が出されておりまして、先日とうとう合計の被害額が31億ドルを超えたそうです。


Internet Crime Complaint Center (IC3) | Business E-mail Compromise: The 3.1 Billion Dollar Scam より

日本ではビジネスメール詐欺と呼ばれていますが、その手口を簡単に紹介します。

犯人は社長(または経理担当者や取引先など)になりすまし、従業員にメールを送ります。

今出先なんだけど、この前話してた業務提携の件で至急この口座に300万円送金してくれ！

普通こんなメールを受け取ったら即スパムフォルダ行きでしょう。
ところが、もし実際に提携話が存在しており、この従業員が社長から、

今度の出張で提携先候補と契約金500万円前後で交渉する。終わり次第結果を連絡する。

というメールを事前に受け取っていたとしたらどうでしょう？

犯人はあらかじめマルウェアやフィッシングなどを利用し、社長のメールボックスを盗み見ていますので、事前の会話内容を把握しタイムリーな話題を使うことが可能なんです。

数週間後には、

従：社長、この前の契約金の領収書が来ないんですが・・
社：契約金？何の？
従：えっ？
社：えっ？

となりそうですが、犯人はメールボックスの監視を続け、なりすましで適当にお茶を濁しながらマネーロンダリングのための時間を稼ぎます。


犯人がお茶濁しメールを作成している様子

抄訳

被害者：今日銀行に確認しましたが、まだ入金されていませんでした。再度銀行に確認しますので、送金に使った銀行コードを教えてください。

犯人：ご機嫌いかがですか？健やかにお過ごしのことと思います。
ご参考までにお伝えしておくと、こちらは先日まで休暇をいただいておりまして、本日より業務に復帰したところです。送金に関しては情報をいただけると幸いです。

相手がいくらタイムリーな話題や二人だけの秘密を知っているからといって、信用してはいけません。
社長以外にも、取引ベンダーや経理担当、弁護士などになりすますパターンもありますが、
典型的な手口として、外出先や緊急事態を理由にしてフリーメールで連絡が来ることが多いです。そこで気づければよいのですが、それよりも基本的な対応として、「振込先の変更」や「新規の振込先」などをメールで指示されたとしても必ず電話でも確認する、ということをおすすめします。

今のところはまだ英語での詐欺が主流ですので、海外とのやりとりが多い企業の方は特に要注意です。

(しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ！」というグラフが出てきます。

第三者機関の評価・受賞暦｜シマンテックストアより引用	エンドポイントセキュリティ製品（個人向け）の技術評価 | トレンドマイクロより引用	カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。

エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ！」というグラフではなく、あえて順位を書き出してみると、
一位：カスペルスキー
二位：トレンドマイクロ
三位：エフセキュア
となっているのです。

これは確かに信用できそうですね。

３月頃から埋め込みオブジェクトを悪用した攻撃メールをちらほら見かけます。
Outlookユーザを狙った攻撃と推測され、Outlook 2010より古いバージョンなどでは添付ファイルのコピーをそのまま保存することができません。ドラッグ＆ドロップでは、偽装アイコンの画像ファイルのみが保存されることになります。そのため、標的ユーザはファイルの内容を確認するためについクリックしてしまうようです。



なお、Outlook 2013からのバージョンでは埋め込まれたオブジェクトのコピーを保存することができます。取り出してみると、おなじみの（？）ドキュメントファイルを装った実行ファイルであることがわかります。



ただ、埋め込みオブジェクトであるためか若干状況が異なります。EXEファイルでは先頭にあるはずのMZシグネチャが中央付近に確認できます。その上部には埋め込んだドキュメントファイルのパスが記述されています。つまり、単純にファイルシグネチャのみでファイルの種別を判定し、解析の実行有無を決定している類のセキュリティツールでは実行ファイルであることが認識できず、該当メールを見逃してしまう可能性があります。
＃現在、そのような製品があるかは未確認です。昔あったような・・・。




埋め込みオブジェクトを利用した攻撃は以前から存在しているものですが、APTで利用されたものは久しぶりに見ましたので報告させて頂きました。社内のサイバーセキュリティ訓練・演習や啓発活動に使ってみてはいかがでしょうか。

エフセキュアブログによると、Petyaに感染するとマシンを復旧する方法は一つしか無いと書かれています。

エフセキュアブログ : Petya：ディスク暗号化ランサムウェアより抜粋

サーバのヘルプ無しでマシンを復旧する唯一の方法は、デバッガを使って感染プロセスの途中でsalsa20のキーを捕捉することだ。これは通常のコンピュータユーザにとっては、あまり魅力的な対抗手段ではない。

皆さんお分かりかと思いますが、これはエフセキュアブログ流のジョークであり、実際には「復旧方法は無い」という意味の文章です。

しかしその後、leostone氏が感染マシンを復旧する方法を発見し、公開しました。(hack-petya mission accomplished!!!)
もはやPetyaに身代金を支払う必要はありませんし、デバッガを使う必要もありません。

復旧までの道のりを簡単に紹介します。
続きを読む

Lockyの実行ファイル (1fd40a253bab50aed41c285e982fca9c)

	2016/2/16	2016/3/24
エフセキュア	検知せず	Trojan.GenericKD.3048336
カスペルスキー	検知せず	Trojan-Ransom.Win32.Locky.d
マイクロソフト	検知せず	Ransom:Win32/Locky!rfn
シマンテック	Suspicious.Cloud.5	Trojan.Cryptolocker.AF
トレンドマイクロ	検知せず	Ransom_LOCKY.A

JavaScriptで書かれたLockyのローダー (6288aee880e2775046f1388b28b87ea0)

	2016/3/23	2016/3/28
エフセキュア	Trojan-Downloader:JS/Dridex.W	Trojan-Downloader:JS/Dridex.W
カスペルスキー	HEUR:Trojan-Downloader.Script.Generic	Trojan-Downloader.JS.Agent.jkb
マイクロソフト	検知せず	検知せず
シマンテック	検知せず	検知せず
トレンドマイクロ	検知せず	JS_LOCKY.KB

＃ローダーだけでは悪意を判断できないので、「検知せず」は見逃しを意味するものではない。

元記事にある「すでにかなり長い間、双方とも検知している」というのが具体的にどれくらいの間なのかもわかりますね。

侵入後にPowerShellを悪用する事例が多く聞かれるようになりましたが、マルウェアの配送（メール、ウェブ経由）の際にも利用されているケースが出てきています。
まだ、多くは確認できていませんが、攻撃者にとって有用であることを考慮しますと、徐々に増加するものと予想されます。
現在のところ、その特性上のせいかウイルス対策ソフトによる検知率は芳しくありません。

下図のケースでは、ワードファイルを装ったショートカットファイルに細工が施されたもので、PowerShellを利用して外部の悪性サイトからマルウェアをダウンロードする仕組みになっています。



その他では、XLSファイルにPowerShellが埋め込まれているものを確認しています。
Windows 7 から標準搭載されているPowerShellは大変便利な拡張可能なシェルです。しかし、それ故に悪用も容易である事は想像に難くありません。
その点を考慮してかはわかりませんが、スクリプト・ファイル（.ps1拡張子）の実行はWindowsの標準設定では制限されています。
しかし、安心はできません。実は、以前から既に回避策は多数報告されています。これらの現状に鑑みますと、今後を見据えての対策を検討しておきたいところです。

参考URL:
15 Ways to Bypass the PowerShell Execution Policy
https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/

DEFCON優勝の快挙に始まり、HITCON、SECCONも制覇した韓国CTFチームCyKorですが、その母体がBoB(Best of the Best)というサイバーセキュリティエリート技術者養成所だというのは有名な話です。

秀逸なのは養成所の基本コンセプトで、毎年数千人の応募者の中から選ばれた100名余りの受講生に対して教育を提供する過程において、いかにして特に優秀な10人にまで削っていくか、という点が重要視されているのです。残酷な言い方をすれば、せっかく最初の140名に選ばれても養成所内での成績が悪いと、すぐにクビになります。


BoBのWebサイトに記載されている基本的なコンセプト

先日、その養成所に講師として呼ばれ、六日間の特別講義をする機会に恵まれましたので、その一端を紹介したいと思います。私が担当したのは30人から10人に絞り込むステージです。
続きを読む