今宵のサイバーセキュリティについて気になること:am I infected?, ランサムウェア支払い拒否, 公安調査庁の役割, PayPal顧客データ侵害, Git脆弱性, LACWATCH 「情シス部門のゼロトラスト導入に向けて#2」など

横浜国立大学 情報・物理セキュリティ研究拠点が運営するマルウェア感染・脆弱性診断サービス「am I infected? 」で、自宅のルーターを診断しました。

https://amii.ynu.codes/

サービス詳細

本サービスは、横浜国立大学 情報・物理セキュリティ研究拠点が運用しているハニーポットのほか、ゼロゼロワンが開発・提供する IoT 検索エンジン「Karma」のデータ

国立研究開発法人情報通信研究機構(NICT:エヌアイシーティー)が開発・運用するサイバー攻撃観測・分析システム「NICTER」のデータを利用しています。

横浜国立大学 情報・物理セキュリティ研究拠点とゼロゼロワンは、2021 年 6 月より横浜国立大学内外のセキュリティスキャンに関する共同研究を行っており、今回のサービスは学外の IP アドレスに対するセキュリティスキャンの成果を活用しています。また、横浜国立大学は、NICT が昨年 4 月に創設した産学官連携拠点 CYNEX(Cybersecurity Nexus) に参画しており、CYNEX のサブプロジェクトである Co-Nexus S(Security Operation & Sharing)より NICTER の観測データの提供を受けています。

横浜国立大学 家庭用ルーターなど IoT 機器のマルウェア検査サービス
「am I infected?」の無料提供を開始
〜5 分以内に検査結果をメールでお知らせ。マルウェアに感染していた場合の対処法までサポート〜https://www.ynu.ac.jp/hus/koho/27684/34_27684_1_1_220224124738.pdf

【グローバル動向】支払いを拒否する被害者が増え、ランサムウェアの収益が減少 by  CHAINALYSIS TEAM

2022年のランサムウェア被害は4億5680万ドル、前年の7億6560万ドルから約40%減少しました。

Ransomware Revenue Down As More Victims Refuse to Pay

考えられる要因は複数あります。

2019年以降、被害者支払率は76%からわずか41%に低下しており、2021年9月の身代金支払い時の制裁違反の可能性に関するOFAC勧告を準拠したこと、サイバー保険は、EDRと多要素認証の導入を条件とし保険金を身代金の支払いに充てることを禁止したことなどが挙げられます。

しかし、ランサムウェアの新種は増え続けております。ランサムウェアのライフサイクルを収益を通じて可視化すると、Contiの後継や、avast のような復号化ソフトの影響、そしてLockbitの持続的なパワーが示されています。

DEV-0237などアフィリエイトと呼ばれ、他のサイバー犯罪者に、Hive、Conti、Ryuk、BlackCatなど使用して攻撃を実行することを許可し、その対価として少額の固定収益を受け取ります。ランサムウェアのエコシステムを構成する実際のプレイヤーは少ないと思われます。

Contiは、アフィリエイトだけでなく、管理者がどのように自身のブランドを変更し、系統を切り替えているかを観察する上で興味深いケースです。Contiはプーチン政権への支持を表明、FSBとのつながりが指摘され閉鎖しましたが、系統を変えグループに分かれて活動しております。

ほとんどのランサムウェア攻撃者が、搾取した資金を主流の集中型取引所に送金していることがデータで示されています。ランサムウェアのマネーロンダリングに利用されるダークネットの非合法サービス利用率は減少し、ミキサーの利用率は11.6%から15.0%に上昇しました。

Chainalysis – World Economic Forum

https://jp.weforum.org/organizations/chainalysis
Chainalysis社は、米国の連邦捜査局、麻薬取締局、内国歳入庁犯罪捜査局、および英国の国家犯罪庁などを顧客としており、ビットコイン・ビジネス向けのアンチ・マネー・ローンダリング・ソフトウェアを設計・開発しています。
同社の製品には、犯罪者を特定し、データを可視化し、アウトプットを人々や組織と共有するインタラクティブな調査ツール「REACTOR」や、資金源と送金先を含む取引ベースのリスクスコアリングソリューション「API」があり、リスクを測定することができます。
また、アナリストが犯罪者の収益や新たな脅威を推定するための活動監視レポートやdiligenceツールも提供しています。

Chainalysis レポートが用いた被害者の身代金支払いの統計について、Coveware の Bill Siegel 氏が提供したものです。

参考:Coveware社のレポート「2022 年第 2 四半期に身代金の中央値が低下し、ランサムウェアの被害者の支払いが減少

Fewer Ransomware Victims Pay, as Median Ransom Falls in Q2 2022

公安調査庁の役割

サイバー空間の安全確保の対策
https://www.gov-online.go.jp/eng/publicity/book/hlj/html/202212/202212_09_jp.html

最新次計画「サイバーセキュリティ2022」におけるサイバー関連調査の推進に向け、人的情報収集・分析体制の強化及び関係機関への適時適切な情報提供等、サイバーインテリジェンス対策に資する取り組みを推進します。

具体的には、サイバー攻撃を実行した本体の実態を解明し、その情報を政府機関に提供すること、政府機関や企業に対するサーバー攻撃の予兆を早期に把握し、その関係機関に提供することなどです。

検討情報を強化するために、公安調査庁は今年4月に「サイバー特別調査室」を立ち上げています。経済団体、企業、大学、研究機関との意見交換や、一般向けた講演会の開催を実施し、また、サイバーセキュリティに関するパンフレットを作成し、一般向けで啓発を行っています。

サイバー空間における脅威の概況2022

PayPal Credential Stuffing 顧客データが侵害

PayPalは12月6日から12月8日にかけて、Credential Stuffingによって顧客アカウントのデータが侵害されましたが、2 週間後の12月20日までインシデントは発見されませんでした。

PayPalによれば、この事件により個人情報が悪用された、あるいはお客様の口座で不正な取引が行われたことを示唆する情報はなかった模様です。

PayPal NOTICE OF SECURITY INCIDENT
https://s3.documentcloud.org/documents/23578067/paypal-notice.pdf

Windows セキュリティおよび Microsoft Defender for Endpoint のセキュリティ インテリジェンス ビルドで、誤って削除された Windows ショートカット リンクの一部をボリューム シャドウ コピーから復元

Windows セキュリティおよび Microsoft Defender for Endpoint のセキュリティ インテリジェンス ビルド 1.381.2134.0 ~ 1.381.2163.0で、誤って削除された Windows ショートカット リンクの一部をボリューム シャドウ コピーから復元できる模様です。

Microsoft Intune を使用してスクリプト( AddShortcuts.ps1 )を展開する方法について

Step-by-step guide to run PowerShell scripts via Intune on Windows 10/11
https://github.com/microsoft/MDE-PowerBI-Templates/blob/master/ASR_scripts/AddShortcuts_with_Intune.md

Git Projectは脆弱性CVE-2022-41903およびCVE-2022-23521に対処するパッチをリリース CVSS 9.8

影響:リモートコード実行(RCE)
深刻度:重大

整数オーバーフローにより、任意のヒープ領域の読み取りと書き込みが発生し、リモートでコードが実行される可能性があります。

対策

最新版に更新することをお勧め致します。

LACWATCH 「情シス部門のゼロトラスト導入に向けて#2 通信の保護を考えてみよう」を執筆致しました!

微力ですが情シス部門や一人情シス、セキュリティ担当者の方に届けられたらと願っております。
どうぞよろしくお願い致します。

https://www.lac.co.jp/lacwatch/people/20230117_003257.html

NISTによるゼロトラストの考え方「ネットワークの場所に関係なく、全ての通信を保護する」ことから、クラウドの普及が進み始めた2016年をモデルケースに現状とのギャップを把握し、

情シス部門のゼロトラスト導入に向けて#2 通信の保護を考えてみよう

ゼロトラスト成熟度モデルを用いて具体的にどのような保護を、どこへ導入できるか幅広く検討致します。

情シス部門のゼロトラスト導入に向けて#2 通信の保護を考えてみよう

お役に立ちましたら幸いです。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ