はてなブックマーク

報道等でご承知のとおり、国内にてLinkedInを初期感染経路とする不正アクセスが確認されています。 警察庁：北朝鮮を背景とするサイバー攻撃グループ TraderTraitor による暗号資産関連事業者を標的としたサイバー攻撃について https://www.npa.go.jp/bureau/cyber/pdf/020241224_pa.pdf（PDF） このLinkedInを悪用した攻撃は、主に攻撃グループLazarusが使用するもので、JPCERT/CCでは2019年ごろから国内の組織に対するLinkedInを悪用した攻撃を継続的に確認しています。過去のインシデント事例の教訓として、業務で使用するホスト上でLinkedInを使用する行為は非常に危険であり、特別な理由がない限り、避けるべき行為であると考えます。このような被害を低減するために、業務端末でのSNSの使用を制限（SNSアプリの

今回は、前回に引き続き水飲み場攻撃の事例を紹介します。2回目は、2023年にあるメディア関連のWebサイトが悪用された事例を取り上げます。 攻撃の流れ 図1に水飲み場攻撃の流れを示します。改ざんされたWebサイトにアクセスするとLZHファイルがダウンロードされ、LZHファイル内に含まれるLNKファイルを実行すると、マルウェアに感染します。 図1：攻撃の流れ 改ざんされたWebサイトには、図2のようなJavaScriptが埋め込まれており、Webサイトに特定のアカウントでログイン（Basic認証）しているユーザーに対してマルウェアがダウンロードされる仕組みになっていました。 図2：改ざんされたWebサイトに設置されていた不正なコード（1） マルウェアをダウンロードさせるWebページは図3のように、メンテナンス中であるかのようなメッセージが表示され、自動的にLZHファイルがダウンロードされます

はじめに 2024年4月23日～26日、NATO CCDCOE主催の国際サイバー演習「Locked Shields 2024」が開催され、JPCERT/CCから筆者を含む5名が参加しました。今回はこうした演習に官民双方が参加することの意義について考えます。 演習の概要等はこれまでにもさまざまな参加者／組織の方の記事が出ていますので、そちらをご覧いただければと思います。 注記：「なぜ、終わってから半年も経って“感想文”を出しているのか」と思われるかもしれませんが、けっして、筆者がサボっていたとか、うっかり忘れていたわけではなく、演習内容に関する情報開示について関係各方面から厳正で丁寧な確認をいただいた、という次第です。 リアルタイムインシデント対応の機会 演習の本番はDay0からDay2まで3日間あり、毎日7時間の演習時間内に演習環境上でさまざまなサイバー攻撃が同時多発的に発生し、リアルタイ

現在、多くの方が攻撃者の侵入経路はVPNやファイアウォールなどの外部公開資産の脆弱性の悪用であると認識されているのではないでしょうか。実際にJPCERT/CCに報告されるセキュリティインシデントの多くも、そのような機器からの侵入です。その理由は、APT攻撃グループだけでなくランサムウェアアクターやサイバークライムアクターなど多くの攻撃グループにVPN機器の脆弱性が悪用され、インシデント数もそれに準じて多くなっているためです。このような特定の侵入経路から発生するセキュリティインシデントの増加にともなって、他の侵入経路への対策が忘れられがちになることがあります。攻撃者は、メール経由やWebサイト経由、SNS経由などさまざまな方法で攻撃を行っています。図1は、JPCERT/CCが確認した標的型攻撃に関連するセキュリティインシデントのタイムラインです。 図1：2023年から2024年にかけてJPC

JPCERT/CCでは、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻撃を確認しました。 この攻撃は、入社希望者を装ったメールを組織の採用担当窓口に送信し、マルウェアに感染させるものでした。 本記事では、以下の項目に分けて攻撃手法について解説します。 マルウェア感染までの流れ ダウンローダーの分析 バックドアの分析 同種のマルウェアを使用したキャンペーン マルウェア感染までの流れ 図1は、今回の初期侵害の概要です。 図1：初期侵害の流れ 本攻撃は、標的型攻撃メールが起点となり、メールに記載されているGoogle Driveのリンクからファイルをダウンロードさせる形となっていました。 Google Driveのリンクにアクセスすると、マルウェアが含まれたVHDXファイルがダウンロードされます。 VHDXファイルは、仮想ディスクに用いられるファイル形式

Windows OSのログと言えば、イベントログのことを思い浮かべる人が多いかもしれません。マルウェア感染などのインシデント調査時は、Windows OSのイベントログを調査して、インシデントの解明につながる痕跡を探すことが一般的です。ただし、イベントログはWindows OS上の不審な挙動を検知するために設計されたものではないため、インシデント調査時に欲しい情報が見つかるとは限りません。そのため、監査ログを有効化したり、Sysmonをインストールしてより多くの情報を得るように工夫する必要があります。 Windows OSではイベントログ以外にも、OS内の不審な挙動を検知することができる、Event Tracing for Windows（ETW）と呼ばれる機能が存在します。これは、カーネルやプロセスが発生するイベントを管理するための仕組みで、アプリケーションのデバッグなどに用いられます。

侵入型ランサムウェア攻撃の被害発生時の初動対応で難しいのは、侵入経路の特定です。昨今のセキュリティインシデントの傾向からVPN機器の脆弱性が悪用される可能性が高いことはご存じのとおりかと思いますが、被害発生時に想定される侵入経路は複数あることが多いため、調査に時間を費やしてしまうことが多々あります。そのため、被害端末に残っている暗号化されたファイルの拡張子や脅迫文が書かれたランサムノート等をもとに攻撃グループを推定し、その攻撃グループが過去に使用していた侵入経路を把握した上で、侵入経路の調査にあたることが、スムーズな初動対応を進める上で重要です。ただ、これまでのJPCERT/CCの経験では暗号化されたファイルの拡張子やランサムノートだけでは攻撃グループを特定できなかったことも複数あります。 今回は、そのような攻撃グループ特定のサポートとしてWindowsイベントログの情報が使用できる可能性

はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME（インターネット定点観測システム）における2024年4～6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 TP-LINK製のルーターからtelnetを探索する動きについて JPCERT/CCでは、日々TSUBAMEで収集したデータを分析しています。今回紹介する事例としては、あるメーカーの無線LANルーターからTelnetへの探索が、ゴールデンウィーク前ごろから特定のIS

Androidマルウェアを動的分析する場合、Windowsマルウェアのようにデバッカーを使ってコードを追いかけることは難しいのが現状です。Frida[1]によって動的にメソッドをフックする方法[2]がありますが、メソッドの途中の状態を取得することは難しく、また、FridaはAndroid専用のツールではないため、取得できる情報に限りがあります。今回は、Androidマルウェアをより柔軟に動的分析する方法として、smaliガジェット挿入手法を紹介します。 smaliガジェット挿入手法は、APKファイル内に分析用ガジェットを作成・挿入し、リパッケージしたAPKファイルを作成することで、動的分析を可能にする方法です。 逆コンパイル結果の確認 まず初めに、Androidマルウェアのどの部分を動的分析したいかを特定するために、Androidマルウェアのコードを確認します。APKファイルは、JADXや

JPCERT/CCでは、2024年3月からインシデント対応に関する相談や情報提供を受け付ける窓口の運用を開始しています。この窓口では、被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社など被害組織以外からも受け付けており、実際にセキュリティベンダーなどから相談をいただいています。 インシデント相談・情報提供（被害組織／保守・調査ベンダー向け） https://www.jpcert.or.jp/ir/consult.html この窓口の運用がスタートして、まだ3カ月しか経過していませんが、今回はどのような相談が来ているのかについて紹介します。この内容をご覧いただき、どのような内容をJPCERT/CCに相談できて、実際にどのような対応をJPCERT/CCがするのか参考にしてもらえればと思います。 セキュリティベンダーよりランサムウェア攻撃への対応方法の相談 1つ目に

JPCERT/CCでは、2019年ごろから継続してマルウェアLODEINFOやNOOPDOOR（2022年ごろから使用）を使用する攻撃グループMirrorFace（Earth Kashaとも呼ばれる）の活動を確認しています。この攻撃グループのターゲットは、当初はマスコミや政治団体、シンクタンク、大学などでしたが、2023年からは製造業や研究機関などを狙うようになりました。また、ネットワーク内部に侵入する方法として、当初は標的型攻撃メールを使用してターゲット組織に侵入する特徴がありましたが、2023年ごろから外部公開資産の脆弱性を悪用してネットワーク内に侵入するパターンも並行して使用するようになりました。図1に、MirrorFaceの攻撃活動の変遷を示します。 図1：攻撃グループMirrorFaceの攻撃活動タイムライン （JPCERT/CCへの報告や他のベンダーから公開されているレポート[

JPCERT/CCでは、2024年3月にKimsukyと呼ばれる攻撃グループによる日本の組織を狙った攻撃活動を確認しました。今回は、その攻撃手法について紹介します。 攻撃の概要 確認した攻撃では、安全保障・外交関係の組織をかたって標的型攻撃メールが送信されていました。メールには圧縮ファイルが添付されており、展開すると以下のような2重拡張子になっている複数のファイルが格納されています。（ファイル名は省略） (1) [省略].docx[大量のスペース].exe (2) [省略].docx[大量のスペース].docx (3) [省略].docx[大量のスペース].docx 末尾の拡張子を隠蔽するために、ファイル名には大量のスペースが含まれており、最終的に(1)のEXEファイルを実行することでマルウェアに感染します。図1は、EXEファイル実行後の流れです。 図1: EXEファイル実行後の流れ なお

はじめに 2024年6月25日、JPCERT/CCからVolt Typhoonの攻撃活動に関する注意喚起を発行しました。 重要インフラを狙う長期的な攻撃キャンペーンのインパクトやその戦術に注目が集まるところ、こうした脅威にどのようなアプローチで対応していけばよいのか考えてみたいと思います。 JPCERT/CC Operation Blotless攻撃キャンペーンに関する注意喚起 https://www.jpcert.or.jp/at/2024/at240013.html インディケータ情報依存からの脱却の必要性 今年の5月に開催されたRSAカンファレンスにて、FBI、NSA、CISA、Microsoftの各担当者がVolt Typhoonに関する共同セッションを行いました。 この発表において、NSAの担当者であるAdamski氏は、Volt Typhoonに関するNSAやCISAのアドバイ

はじめに 先日、経済産業省から「攻撃技術情報の取扱い・活用手引き」が公開[1]されました。これはインシデント対応支援にあたるファーストレスポンダー（※）や専門組織同士の情報共有を促進するためのレファレンスで、JPCERT/CCは検討会共同事務局として参加し、また、手引き案の作成にも携わりました。 （※）ファーストレスポンダー：インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関などのこと（「攻撃技術情報の取扱い・活用手引き」15ページ参照） サイバー攻撃の高度化・複雑化だけでなく、ランサムウェア攻撃のように、インシデント初動対応時点では、ごく限られた情報で速やかな対応判断が必要になるケースが増えています。2024年1月に開催されたJSAC2024において、JPCERT/CC 佐々木からは「ランサムウェア攻撃のアクター特定をすべきこれだけの

JPCERT/CCは、2024年2月7日に制御システムセキュリティカンファレンス2024を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年の初回開催から毎年実施し、今回の開催で16回目となります。 オンラインでの開催は今回で4回目となり、日本全国各地より419名の方々に視聴参加をいただきました。JPCERT/CC Eyesでは開催レポートとして、開会・閉会のご挨拶および7つの講演の様子を紹介いたします。 開会挨拶 経済産業省　サイバーセキュリティ・情報化審議官 上村 昌博 経済産業省サイバーセキュリティ・情報化審議官の上村氏より開会のご挨拶をいただきました。 近年、サイバーとフィジ

JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています（一部非公開）。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者：BlackBerry Japan 株式会社 糟

JPCERT/CCでは、攻撃グループLazarusが不正なPythonパッケージを公式PythonパッケージリポジトリーであるPyPIに公開していることを確認しました（図1）。今回確認したPythonパッケージは以下のとおりです。 pycryptoenv pycryptoconf quasarlib swapmempool pycryptoenvやpycryptoconfは、Pythonで暗号化アルゴリズムを使う際に用いられるPythonパッケージpycryptoに類似したパッケージ名になっており、攻撃者は、ユーザーが同名のパッケージをインストールする際のタイポを狙って、マルウェアを含む不正なパッケージを準備していたと考えられます。 今回は、この不正なPythonパッケージの詳細について紹介します。 図1: 攻撃グループLazarusが公開していたPythonパッケージ 不正なPython

早期警戒グループの戸塚です。昨年（2022年）8月に「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」[1]で、同年4月に公開された「RFC 9116：A File Format to Aid in Security Vulnerability Disclosure」[2]を紹介しました。本記事では、その続報を2つお届けします（RFC 9116自体や私の業務との関係に関しては、2022年8月の記事をご確認ください）。 1つ目は、RFC 9116のおかげで開発者との脆弱性関連情報のコーディネーション（調整）が大変スムーズにできた事例です。 開発者との調整では、連絡しても応答がもらえないケースが少なくないことは昨年8月の記事でも書きました。このような場合、別の連絡先があればそちらにも連絡を試みます。今

こんにちは。JPCERT/CC 国際部の中野です。2023年8月9日から13日にかけて、世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加してきましたので、その様子をご紹介します。 なお、私がカンファレンスで聴講した発表は技術的な内容のものではなく、ポリシー（法や政策）にフォーカスしたものになるため、このブログ記事でそういった国際セキュリティカンファレンスの「ポリシーサイド」を知っていただければ幸いです。 各カンファレンスの様子 Black Hat USAは1997年からアメリカ、ネバダ州のラスベガスで開催されているセキュリティカンファレンスで、マルウェアや攻撃手法、脆弱性の分析だけでなく、サイバーセキュリティに関する法律・制度、サイバーセキュリティ業界の雇用など、サイバーセキュリティについて幅広い

JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック（以降本記事ではMalDoc in PDFとする）が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。 なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成され

攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あります。このような未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになりますが、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要があります。 このような問題を解決するためにJPCERT/CCでは、マルウェア検知をサポートする目的でYAMAというツールを作成し、公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能で