「不正アクセス」カテゴリーアーカイブ

不正アクセス事案を受けたシステム保守委託先への損害賠償請求についてまとめてみた

2020年2月19日、前橋市は2018年3月の不正アクセス事案を受け、委託先のNTT東日本に対し損害賠償請求の提訴をすることを明らかにしました。ここでは関連する情報をまとめます。

約1億7700万円を請求

  • 前橋市教育委員会が被害を受けた不正アクセス事案に対し、適切な管理を行っていなかったとして委託先のNTT東日本に対し民事訴訟を提訴するというもの。債務不履行、不法行為責任に基づく損害賠償を請求する。請求額は復旧対応費や弁護士費用、損害遅延金支払いなど約1億7735万円。*1
  • 前橋市が2月19日に開催された教育福祉常任委員会にて明らかにされた。(同会議題「訴えの提起について(損賠賠償請求)」)
  • 不正アクセス被害を受けたのはMENETと呼称された市教育委員会のネットワーク。児童・生徒の個人情報など約4万7千人が影響を受けた。当時の状況は以下にてまとめている。

piyolog.hatenadiary.jp

  • 請求額の内訳は常任委員会を取り上げた報道では訴訟を控えているという理由で明らかにされていない。市の資料から少なくとも以下の内容が含まれるとみられる。
請求に含まれるとみられる項目 金額
前橋市教育情報ネットワーク(MENET)不正アクセスに係る調査、パソコンクリーンインストール等の対応経費(2018年6月補正予算 106,734千円
前橋市教育情報ネットワーク(MENET)不正アクセスに係るネットワーク再構築等の対応経費(2018年9月補正予算 50,236千円
  • NTT東日本は取材に対し対応は代理人に委託しており、その中身や立場についての回答を控えた。*2
第三者委員会の検証

前橋市の第三者委員会が検証した内容によれば、セキュリティ上の重大な問題が事案発生まで放置された原因として、委託事業者側に対しては以下を挙げていた。

本事案では,市教委からのサーバについての通信条件が不明確であることに起因して,本システムが試験時及び運用開始時に基本設計に従わないセキュリティ上の重大な問題を持つネットワークであるまま本事案発生まで放置された。

これにつき,システムを構築した委託事業者側の原因としては次のようなことが考えられる。
・詳細設計以降の再委託先への委託において,管理確認が不十分であった。
・プロジェクト管理の一つである,市教委側とのコミュニケーションを自らが担っているという認識が不足していた。
・運用開始後も,運用業務の中のプロジェクト管理の一つであるコミュニケーションを自ら担っているという認識が不足していたことから,市教委側からの不正アクセス前に生じていた不具合等の調査依頼を受けたことを契機に,ネットワーク上の不備を修正する機会が複数回あったにもかかわらず,活用できなかった。
・個人情報を取り扱うシステムにふさわしい高セキュリティなシステム構築を自らが担っているという認識が不足していた。このため,提案書,要件定義書および基本設計書に高セキュリティと記載し,これを実施する姿勢をうち出していたにも関わらず,セキュリティ設計における当然の注意(due care)を果たすことができなかった。

さらに同報告書では以下内容等が指摘されていた。

  • DMZから機微なネットワークへのリクエスト到達を確認するファイアウォールのテスト項目が存在したが、実際は確認していないにも関わらずこれをやったことにして「到達しないことを確認した」としていた。委託事業者、再委託先の一部関係者はDMZから機微なネットワークに接続可となっている認識があったが事業者全体に共有されていなかった。
  • 市から委託事業者に不具合(本来アクセスできないサーバーへのアクセスが可能、プロキシを経由しないインターネット通信)が報告されていたが、市教委が委託事業者からの情報提供依頼に応答せず、委託事業者もフォローをしていなかったために不具合も放置されたままとなってしまった。
  • 他県の教育ネットワークで発生した事案を受け委託事業者に不正アクセス対策の安全性確認を依頼したが、委託事業者は基本設計書を確認し問題ないと回答を行っていた。(他県の事案とは佐賀県のSEI-NETだと思われる
  • 2017年8月に不正アクセスを受けて以降、ウイルス対策ソフトのアラート管理を行っていなかった。

前橋市とNTT東日本のやり取り

提訴に至るまでの経緯は以下の通り。交渉は代理人を通じてやり取りを行っていた。

日時 出来事
2019年1月 前橋市が損害額を確定しNTT東日本と賠償交渉を開始。同社へ請求書を送付。
2019年2月 NTT東日本より市に対し自社責任外であり請求理由はないとする回答。
2019年7月 前橋市よりNTT東日本へ請求主張を補う文書を送付。
2019年9月 NTT東日本より市に対し現時点で反論の予定はないとの回答。
2020年2月19日 前橋市は教育福祉常任委員会で取り上げ。
2020年3月3日 前橋市 市議会第1回定例会で提案される予定。可決されれば提訴。

更新履歴

  • 2020年2月21日 AM 新規作成

防衛装備品情報も影響を受けたNECへの不正アクセスについてまとめてみた

2020年1月30日、NECが外部より不正アクセスを受け、外部へ情報流出した可能性があると複数のメディアが報じました。*1 *2 *3 *4 *5 1月31日、NECは不正アクセス被害を発表しました。ここでは関連する情報をまとめます。

発端は脅威レポート

  • セキュリティ企業の脅威レポートに掲載された通信パターンの発生を確認したことが発端。(一部報道では社外からの情報により発覚ともある。)
  • 2014年に北陸の子会社のPCがマルウェアに感染し、そこを起点に本社ネットワークに広がった可能性がある。
  • 不正アクセス被害を受けていたと公表されたのは3年前の少なくとも半年間(2016年12月~2017年6月まで?)。初期侵入後、内部に感染被害が拡大。未知のマルウェア検知システム等で検知されず。一部のログが消去されたとも報じられている。

社内ファイル約2万8千件に不正アクセス判明

  • 不正アクセス被害が確認されたのは防衛事業部門が利用する他部門との情報共有用社内サーバー。
  • NECは外部との暗号通信を解読し、サーバーに保存されていたファイル27,445件への不正アクセス事実が判明。
  • これらファイルには個人情報、秘密情報(防衛機密に該当する情報はネットワークを遮断した場所に保管)は含まれていない。またNECは流出等の被害事実は確認していない。
  • 防衛省が被害確認のため、NECへ職員を派遣しファイルを精査。多くが海上自衛隊関連のファイルであることが確認された。潜水艦用センサーの情報(海上自衛隊)など自衛隊装備に関連する資料も含まれていた。
  • 中国系グループ由来の標的型攻撃を受けた疑いがある。
日時 出来事
2014年頃 NEC子会社(北陸地方)のPCがマルウェアに感染。
2016年12月以降 NECが外部より不正アクセスを受け侵入。
2017年6月 社内PCより不正通信の発生を検出。調査を開始。
2018年7月 外部サーバーとの暗号通信の解読に成功。複数のファイルへのアクセスが判明。
当該ファイルに関連する顧客へ個別に状況説明
2020年1月30日 報道各社がNECの不正アクセスを報道。
2020年1月31日 NECが不正アクセス被害を発表。

「被害は確認していない」

  • 報道各社の取材に対し、NECなどは流出事実は確認していないとコメント。
NEC ・日頃よりネットワークに対する不正アクセスの試みが疑われる事例が存在する。
・これまで情報流出事実やその被害は確認していない。
・情報流出が全くないとは言い切れない。
防衛省 ・保護すべき情報の流出事実はない。
・対象はNECとの契約情報。日本の防衛体制への影響はない。

NECの公式発表

jpn.nec.com

Tickを取り上げた脅威レポートで発覚?

2017年6月、セキュリティ企業の脅威レポートに記載された通信パターンの発生有無を確認した結果、社内のPCから不正通信が行われていることを確認し、感染PCの隔離・調査、不正通信先の検知・遮断を実施しました。

  • NECの発表中にある2017年6月に「発行された」という説明はないが、同時期にセキュリティ企業が公開し、かつレポート中に通信パターンの説明が付記されているものではSecureworksが2017年6月23日に公開したレポートが該当する。
  • 同レポートではTick(BRONZE BUTLER)による活動行為として説明が行われている。

f:id:piyokango:20200202060034p:plain
Secureworksが2017年6月23日公開したBRONZE BUTLERのレポート

更新履歴

  • 2020年1月31日 AM 新規作成
  • 2020年1月31日 AM NECのプレスリリースを反映
  • 2020年1月31日 AM 続報反映、全体構成を修正

三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル

三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル

三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル

三菱電機が大規模なサイバー攻撃を受けていたことが明らかになり、取引先の官庁や企業は20日、事実確認に追われた。漏れた可能性のある「企業機密」がどのような情報なのか三菱電機は明示せず、公表に後ろ向きな企業姿勢を問題視する声も出ている。 三菱電機の社内調査によると、不審な動きに最初に気づいたのは昨年6月2...

はてなブックマーク - 三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル はてなブックマークに追加

三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル

三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル

三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル

三菱電機が大規模なサイバー攻撃を受けていたことが明らかになり、取引先の官庁や企業は20日、事実確認に追われた。漏れた可能性のある「企業機密」がどのような情報なのか三菱電機は明示せず、公表に後ろ向きな企業姿勢を問題視する声も出ている。 三菱電機の社内調査によると、不審な動きに最初に気づいたのは昨年6月2...

はてなブックマーク - 三菱電機、サイバー被害だんまり 取引先に半年説明せず:朝日新聞デジタル はてなブックマークに追加

ログ消去もされていた三菱電機の不正アクセスについてまとめてみた

2020年1月20日、三菱電機は自社ネットワークが不正アクセスを受け、個人情報等が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。報道によれば現在も三菱電機は不正アクセスへの社内調査等を進めています。

発端は研究所サーバーの不審ファイル動作

  • 2019年6月28日に情報技術総合研究所のサーバーで不審なファイルが動作したことを社内で検知。
  • 同じファイルが中国、及び国内他拠点で検出され内部侵害の被害を受けている可能性を受け調査を開始。

報道された出来事を時系列にまとめると以下の通り。

日時 出来事
2017年後半? 三菱電機の中国国内子会社でマルウェア感染。
2019年3月18日 三菱電機が中国拠点のウイルスバスター法人向け製品の脆弱性を悪用された攻撃を受ける。*1
アップデート機能を悪用し中国拠点で侵害範囲が拡大。
2020年4月3日 中国拠点端末より国内拠点のウイルス対策管理サーバーを侵害。
三菱電機の国内拠点に侵害範囲を拡大。
2019年4月4日 Trend Microがウイルスバスター法人向け製品の脆弱性を修正。
2019年6月28日 情報技術総合研究所のサーバーで不審ファイルを検出。
2019年7月8日 三菱電機が社内ネットワークに不正アクセスされている事実を把握。
2019年7月10日 社内端末の一斉調査により複数拠点侵害の可能性が高いと判断。
2019年7月17日 不正な通信先の遮断。封じ込め完了と判断。
2019年8月1日 保全した端末のフォレンジック調査等の詳細調査を開始。
2019年8月 三菱電機が防衛装備庁にセキュリティ侵害事案について報告。
2019年8月29日 三菱電機がJPCERT/CCへ把握したインディケーター情報を報告。
2019年8月31日 影響を受けた端末のアクセス可能だったファイルの洗い出し作業を開始。流出可能性ファイルの仕分けも開始。
2019年9月10日 Trend Micro、JPCERT/CCがウイルスバスター製品の脆弱性CVE-2019-9489を注意喚起。
2019年10月28日 Trend Micro、JPCERT/CCがウイルスバスター製品の脆弱性CVE-2019-18187を注意喚起。
2019年秋 三菱電機の社内調査により情報流出の可能性が判明。
2019年11月15日 保全端末のフォレンジック調査、通信ログ等の突合調査等を終了。
2020年1月 三菱電機が個人情報保護委員会に情報流出の可能性を報告。*2
2020年1月10日 三菱電機が経済産業省へセキュリティ侵害事案について報告。*3
2020年1月20日 朝日新聞が三菱電機の不正アクセスを報道。
同日 三菱電機が不正アクセス被害を発表。機密性の高い情報の流出は否定。
同日 官房長官が三菱電機の事案について経産省、NISCを中心に引き続き注視する考えをコメント。*4
同日 三菱電機が第二報として個人情報の流出など被害詳報を発表。
2020年2月7日 三菱電機が精査を進めた結果、防衛省機微情報流出の可能性が判明。
2020年2月10日 三菱電機、防衛省が機微情報の流出の可能性が確認されたと発表。
2020年2月12日 三菱電機が不正アクセスの経緯や手口の詳報を発表。

影響は週報から採用応募者の情報まで

流出の可能性のある、または影響が確認されていない情報は以下の通り。*5 *6 *7 *8

外部流出の可能性がある情報 ①個人情報
・従業員4,566人(2012年度実施のアンケート結果)
・採用応募者1,987人(2017/10~2020/4新卒、2011~2016経験採用)
・グループ関係退職者1,569人(企業年金基金所有の情報)

②企業機密情報
・執行役員会議資料
・研究所内で共有された週報
・JR、私鉄、自動車大手、通信、電力企業等数十社との共同開発、商談、製品受注等の取引関連情報
・防衛省、資源エネルギー庁、原子力規制委員会、内閣府、環境省、JAXA等10を超える政府、官公庁とのやり取りに係る情報

③防衛省の機微情報
装備品に関する研究試作入札関連情報で防衛省の定める注意情報に該当。
防衛装備庁が2018年10月30日に貸し出しをした装備品の研究試作に関連する資料
研究試作に関連する総合評価落札方式の評価基準、研究試作への性能要求事項等。
影響の確認されていない情報 ・電力、鉄道等に係る機微情報、機密性の高い技術情報、取引先情報
  • 流出の可能性がある情報での被害、影響は現時点で確認されていない。
  • 影響を受けた件数はログ消去により確定できていないため、最大数が計上されている。
  • 流出の可能性のある個人情報の対象者宛には1月20日より郵送で通知。
  • 影響の確認されなかった情報は別のネットワークで管理していたため被害を免れた。*9 *10
  • 2月7日に防衛省の機微情報流出の可能性が浮上。注意情報に該当するもので「当該事務に関与しない職員にみだりに知られることが業務の遂行に支障を与えるおそれのある情報」として定義されている
  • 防衛省より注意情報を含む文書十数ページ分を貸借し、それをPDFにしてインターネットとつながっているPCに保管していた。
  • PDF化は三菱電機が無許可にやっていたもの。防衛省は保全の徹底とその誓約書の提出も受けていた。
感染の疑いのある端末132台

社内ネットワークに接続されたPC 24.5万台を調査した結果、通信の確認された全端末台数を把握。

感染の疑いの確認された端末 132台
重要な情報にアクセス可能な端末 国内9台、中国拠点確認中

ログ消去され被害範囲確定できず

f:id:piyokango:20200214035805p:plain
不正アクセス事案の概要

  • 不正アクセスは中国関係会社の侵害から始まり、国内14事業部の大半、管理部門の一部などに広まったとみられる。
  • 中間管理職が操作するPCを対象とした不正アクセス行為も発生していた。*11
  • 情報は送信用端末に集約され、数回に分けて外部へ約200MBのデータが送信されていた。
  • 実際に情報が外部へ流出したかについては一部端末でログが消去されていたため確認できなかった。*12
  • マルウェアはPowershellを用いたファイルレスタイプ。Powershellのファイル名はブラウザのものと同じものが設定されていた。
  • 最初に被害を受けた中国関係会社への不正アクセスがいつ頃始まったのかは判明していない。
  • ルーターの脆弱性を悪用して社内PCへの侵入が行われた痕跡があった。*13
原因はウイルス対策システムの脆弱性と発表
  • 三菱電機はウイルス対策システムの脆弱性を突かれた不正アクセスが原因と発表。悪用当時、脆弱性は未修正(ゼロデイ)の状態だった。
  • 三菱電機はウイルス対策システムの具体名を明らかにしない方針。*14報道ではTrend Micro ウイルスバスター法人向け製品と複数報じられている。
  • 悪用されたのは2019年4月修正の脆弱性(CVE-2019-9489とみられる)。ウイルスバスターの管理サーバーが乗っ取られ、アップデート機能の悪用により不正アクセスにつながるファイルが社内PCに配布された。
  • Trend Microによれば脆弱性が悪用されたケースは2件確認している。(具体的な顧客名は非公表)

報道後公表した理由

  • 2月12日に不正アクセスの詳細について発表。
    • [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第 3 報)
    • 公表した理由は「サイバーセキュリティーに資する情報の共有」のためと説明。

「Tick」他複数グループによる不正アクセスと報道

  • 三菱電機は6月28日に検出した不審ファイルの調査を通じ過去10年間の攻撃状況を調査。その結果、複数のグループによる攻撃を受けていた可能性があることが判明。*16
  • 朝日は「社内調査」、読売は「関係者」をソースとしている。広報担当者は回答を控える方針の模様。報道当初は今回の不正アクセスをTickが行ったかのように各社から報じられていた。
  • 攻撃の関与が推定されるグループ、その影響は以下の通り。直近の出来事に関わっていたグループはBlackTechとみられている。
攻撃グループ/マルウェア名 攻撃時期(観測時期) 被害の状況
BlackTech 2017年後半~現在? 今回の不正アクセス行為を行ったと報じられたグループ。中国関係会社の侵害後、一端沈静化し2019年になり国内拠点へ侵害を拡大。
Tick 2013年以前~現在? 攻撃時期として最も長期。BlackTech同様に中国関係会社への攻撃が確認されている。
Aurora Panda 2013年頃 攻撃を受けたとだけで、詳細は報じられていない。
Emdivi 2015年6月頃 Emdiviの使用確認とだけで、詳細は報じられていない。
Tickの特徴
  • Tickは中国由来とみられるグループで日本、韓国を攻撃対象とする。命名したのはSymantec。別呼称は「Bronze Butler(Secureworks)」「REDBALDKNIGHT(Trend Micro)」の2つ。
  • グループの活動目的は企業の知的財産情報の窃取と分析されている。また目的達成後は証跡を全て削除する。
  • 使用するマルウェアとしてRATではDASERF、xxmm、Datper等が確認されている。ラテラルムーブメントにはWindows標準コマンドやMimikatz等のクレデンシャル情報を取得するツールを使って内部で侵害を拡大する。
  • SKYSEA Client Viewの脆弱性(CVE-2016-7836)の悪用やUSBドライブを悪用したエアギャップへの展開を行う手口なども報告されていた。

更新履歴

  • 2020年1月20日 PM 新規作成
  • 2020年1月21日 AM 第二報の内容を反映、見出しを一部修正(事実確認できず→被害範囲確定できず)
  • 2020年1月21日 AM 続報反映
  • 2020年1月23日 AM 続報反映
  • 2020年2月12日 AM 続報反映
  • 2020年2月13日 PM 続報反映

*1:ウイルスソフトの欠陥悪用 三菱電機のサイバー攻撃,共同通信,2020年1月22日

*2:三菱電機、サイバー被害だんまり 取引先に半年説明せず,朝日新聞,2020年1月20日

*3:三菱電機サイバー攻撃「速やかな公表検討すべきだった」経産相,NHK,2020年1月21日

*4:菅官房長官「機微の情報流出はない」三菱電機不正アクセス,毎日新聞,2020年1月20日

*5:三菱電機に大規模サイバー攻撃 中国の集団が関与の可能性,共同通信,2020年1月20日

*6:三菱電機、サイバー攻撃を認める 「被害や影響なし」,朝日新聞,2020年1月20日

*7:中国系ハッカー集団、大規模攻撃か…三菱電機の機密や情報流出?,読売新聞,2020年1月20日

*8:三菱電、サイバー攻撃で8千人の情報流出か,共同通信,2020年1月20日

*9:三菱電機にサイバー攻撃 企業機密の流出懸念―個人情報8000人分も,時事通信,2020年1月20日

*10:中国系集団「Tick」の犯行か 三菱電機にサイバー攻撃 8000人分情報流出,毎日新聞,2020年1月20日

*11:【独自】三菱電機にサイバー攻撃 防衛などの情報流出か,朝日新聞,2020年1月20日

*12:三菱電機にサイバー攻撃 中国系か、防衛情報流出恐れ,日本経済新聞,2020年1月20日

*13:【独自】サイバー攻撃4集団 標的の分野・時期は様々,朝日新聞,2020年1月22日

*14:情報流出に揺れる三菱電機、不正アクセスの原因となった製品名は「ノーコメント」,日経 xTech,2020年1月21日

*15:三菱電機にサイバー攻撃 個人情報や機密情報が流出の可能性,ITmedia,2020年1月20日

*16:複数のハッカー集団、攻撃か いずれも中国系 三菱電機,朝日新聞,2020年1月22日

不正アクセスなどのトラブルで2019年に終了したサービスをまとめてみた

ここでは2019年に不正アクセスなどに起因して終了(停止)したサービスをまとめます。

トラブルを受け終了(停止)したサービス

2019年に終了
運営元 終了(停止)したサービス サービスの停止時期 廃止(停止)原因
ディー・エル・マーケット DLmarket 2018年11月12日停止
2019年3月25日終了発表
2019年6月28日終了
不正アクセスによる情報流出
オージス総研 宅ふぁいる便 2019年1月23日停止
2019年3月14日休止発表
不正アクセスによる情報流出
セブン・ペイ 7pay 2019年7月4日新規会員登録停止
2019年8月1日廃止発表
2019年9月30日終了
不正アクセスによる決済不正利用
リクルートキャリア リクナビDMPフォロー 2019年7月31日休止
2019年8月4日廃止決定
一部利用者のプライバシーポリシーの同意取得漏れ、および利用者に対する配慮不足
ホビボックス ECオーダー.com 2019年12月23日終了発表 不正アクセスによる情報流出、および安心して利用できる環境準備のための根本的な問題解決できず
(参考)2018年以前に終了
  • 以下ニュースなどで取り上げられていたものを掲載。
運営元 終了(停止)したサービス サービスの停止時期 廃止(停止)原因
スクウェア・エニックス オフィシャルグッズオンラインショップ 2012年9月13日停止
2012年10月16日終了発表
不正アクセスによる情報流出
gooyaAd(当時) ザ・インタビューズ 2016年2月15日終了発表 復旧不可能な事象発生により提供維持が困難
BookLive! リコネ 2016年7月8日終了発表 データ不整合による情報流出
スプリックス ゴルスタ 2016年9月5日終了発表 管理者によるユーザー情報の流出、および不適切な運営管理体制
ブライブ カオスサーガ 2016年11月16日終了発表 他社コンテンツの著作権侵害
DeNA WELQなど 2016年11月29日WELQ非公開
2016年12月5日他全記事非公開
不適切な記事の掲載、および記事作成のプロセスに問題
日販アイ・ピー・エス MagDeli 2017年6月30日終了 諸般の事情によるもの
不正アクセスにより情報流出していた

更新履歴

  • 2019年12月29日 AM 新規作成

教員用PC貸与が発端となった中学生による校内不正アクセス事案についてまとめてみた

2019年12月4日、新潟県長岡市内の中学校に通う生徒が校内のサーバーに記録された成績表を改ざんを行っていたとして不正アクセス禁止法などの容疑で書類送検されました。19日に中学校の校長が記者会見を行い、管理体制に不備があり保護者や関係者に不安を与えたとして謝罪しました。ここではこの事案に関連する情報をまとめます。

スライドショー作成のために貸与

f:id:piyokango:20191221043842p:plain
事案の概要図

  • 教員が委員会活動のためとして教員用PCを生徒に貸していた。
  • 委員会活動とは具体的には給食時間に発表するスライドショーの準備。全校生徒に学校行事の写真を見せるもの。*1
  • 生徒は自分のPCの性能では作業が追い付かない等と訴え借りていた。*2
  • 使用中は教員が横にいたが、3分ほど教室を離れる時もあった。
  • 生徒による不正行為はパスワード窃取と自宅からのリモート操作により行われていた。

事件に関連するタイムラインを整理すると次の通り。

日時 出来事
2019年6月中旬 教員が生徒に教員用PCを貸し出し。
生徒が教員用PCからサーバーの接続情報を入手。
2019年9月頃 生徒が学校のHDDを窃盗。
2019年9月~10月頃 生徒が教員用PCへ不正アクセスした疑いのある期間。
2019年10月3日 生徒が自分の成績表を改ざん。
2019年10月7日夜 教員が不正操作の疑念のあるタブレット端末を発見。*3
同月 中学校から新潟県警に不正アクセスの被害を相談。HDDの盗難も被害届。生徒の関与が発覚。
2019年12月4日 新潟県警が生徒を不正アクセス禁止法違反などの容疑で新潟地検へ書類送検。
2019年12月18日 複数のマスコミが事案を報道。
2019年12月19日 中学校校長が記者会見し管理体制に不備があったとして謝罪。
(1)教員離席時にパスワード窃取
  • 生徒は2日わたって、教員が目を離した隙に教員用PCで次の行為を行っていた。
1日目 デスクトップ上のショートカットから教員用サーバーのIPアドレスを確認。IPアドレスを紙に記録。
2日目 解析用プログラムを使って、教員用サーバーのID、パスワードを入手。
  • 解析プログラムはインターネット検索を通じて見つけたもの。
  • パスワードを盗み出す行為自体は2~3分程度で完了した。
(2)校内の放置タブレットをリモート操作
  • 学校の生徒用タブレットに遠隔操作が可能なアプリをインストール。
  • 生徒用タブレットから教員用サーバーにネットワーク上は接続することが可能だった。*4
  • 生徒は自身のスマートフォン等からこの生徒用タブレットをリモート操作し、盗んだ認証情報を使って教員用サーバーに接続していた。
  • 昼休み時間中は希望する生徒にコンピューター室が解放されている。
  • 生徒用タブレットはラックにしまわれない置きっぱなしのものがあり、それが悪用された。*5
  • 中学校側はタブレット端末の数を定期的にチェックしていなかった。(1,2個紛失していても気づかなかったと会見でコメント)*6

教員用サーバーに保管されていた情報

  • サーバーには次の内容を含む情報が保管されており、閲覧や変更が出来る状態にあった。
    • 全校生徒の成績記録
    • 行事写真
  • 学校行事や授業の記録写真約10枚を友人に送っていた。
  • 他生徒の成績改ざんや流出は確認されていない。
3教科の成績を改ざん
  • 成績通知表が渡される前日に改ざんし、親に見せるために印刷していた。*7
  • 生徒が成績の改ざんを行ったのは「社会」、「美術」、「技術家庭」。*8
  • 5段階の成績評価で「3」から「4」に書き換えを行っていた。「2」を「5」にするような変更は行われていなかった。

当初の動機は写真の閲覧

不正行為に対し、生徒は以下が理由だったと話している。

教員用サーバーの不正アクセス ・サーバーに保管された写真を見るため
・色々な場面でためらうこともあったが、好奇心が勝って続けてしまった
成績表の改ざん ・親に良い成績を見せたかったため
・高校入試が有利になると思った

学校のハードディスクも窃盗

  • 不正アクセス行為の前に生徒は職員用のハードディスクの窃盗も行っていた。
  • 生徒は郊外にHDDを持ち出したが中身は確認できなかった。*9

中学校から被害届を受け事案化

  • 新潟県警は生徒を不正アクセス禁止法違反、窃盗の容疑で書類送検。
  • 送検されたのは新潟県長岡市内の中学校に通う3年の生徒。
  • 2019年9月~10月頃、自身の通う中学校のタブレット端末を遠隔操作アプリで操作し、事前に入手した認証情報を使い教員用サーバーに不正アクセスし自分の成績表を改ざんするなどした疑い。
  • 生徒は容疑を認めている。*10
  • 中学校校長は生徒を「以前からコンピューターに興味がある子」と説明していた。

事案発生に伴うデマ


次のようなデマがTwitterや掲示板などで流れていた。

  • 成績を全てオール5にした
  • 成績を全て10000000点にし、他生徒を-9000000000000点にした。

更新履歴

  • 2019年12月21日 AM 新規作成

実名入りで届く象印を騙ったQUOカード当選詐欺について調べてみた

2019年12月15日未明よりQUOカード当選と称して象印を騙った詐欺メールが届いたという報告がTwitter上に複数あがっています。件名や本文に実名が入っていることから、2019年12月5日に象印マホービンが発表した「象印でショッピング」への不正アクセスによる個人情報流出の情報が悪用されている可能性があります。ここでは関連する情報をまとめます。

「おめでとうございます!」実名入り件名で届く当選詐欺メール

12月15日頃にTwitterへ報告が上がっている当選詐欺メールは以下のもの。

差出人アドレス shopmaster@zojirushi.co.jp
件名 ****様 おめでとうございます!オリジナルQUOカード 年末大感謝祭キャンペーン!
本文 毎度、ZOJIRUSHI製品をご愛用いただき、誠にありがとうございます。
****様
3000円分のオリジナルQUOカードを当選されました。

★ご当選おめでとうございます★
つきましては、賞品発送のため下記のURLにクリックして頂き必要な情報をご記入お願い致します。
<当選詐欺サイトのURL>
--------
プレゼント内容
オリジナルQUOカード3,000円分
※プレゼントですので、100円の配送料が発生します、ご了承ください。
※プレゼントはレターパックで発送しております。発送完了はメールでお知らせ致します。
賞品は2週間以内に発送予定です。
※ご記入いただきました個人情報は、弊社個人情報保護方針に基づき管理いたします。

f:id:piyokango:20191215054641p:plain
メール本文中に含まれていた画像

  • 2019年12月4日に発生した詐欺メールと同様にQUOカードの当選詐欺であることから、同じグループによる詐欺行為が疑われる。

f:id:piyokango:20191215070112p:plain
12月4日もQUOカード当選詐欺が発生し、同じ画像が用いられた

当選したのに送料100円がかかる詐欺サイト

f:id:piyokango:20191215055125p:plain
クリック後に表示されるページ

  • メール本文のURLzojirushi.online/Xmas/をクリックすると象印でショッピングを模した詐欺サイトが表示される。
  • 詐欺メールに記載されていた通り、3000円のQUOカードを発送するため100円の送料がかかるとうたい注文させる構成。
  • 誤って詐欺サイトへ入力してしまうと次の情報が第三者に渡ってしまう。
    • 氏名(カナ含む)
    • 連絡先メールアドレス
    • パスワード
    • 住所(郵便番号を含む)
    • 電話番号
    • 性別
    • 生年月日
    • クレジットカード番号
    • クレジットカード有効期限
    • クレジットカード セキュリティコード
    • お届けに関する事項

f:id:piyokango:20191215070331p:plain
当選詐欺の流れ

公式サイトをプロキシするトップページ

f:id:piyokango:20191215070810p:plain
個人情報流出のお知らせだけ表示がない詐欺サイトのトップページ

  • 詐欺サイトトップページ以下は象印マホービン公式サイトをプロキシする挙動を行っている。そのため、ドメインはzojirushi.onlineのまま、公式サイト上の正規のページが問題なく表示される。
  • 「象印でショッピング」からコピーしたためか/Xmax/中のリンクは一部機能しないが、404の場合は詐欺サイトのトップページにリダイレクトするためエラー表示は行われない。

f:id:piyokango:20191215062804p:plain
画像は全て公式サイトへリダイレクトする

  • 詐欺サイトに用いられたドメインの取得日は2019年12月3日。前回発生した当選詐欺メールは12月4日であったことから、それよりも前にドメインを準備していた可能性がある。また、CSSなどのコンテンツの「last-modified」は12月14日の21時頃と返される。

f:id:piyokango:20191215071129p:plain
詐欺メールをまく直前に設置?

  • 当選詐欺に使用されていたドメインに対し、PassiveTotalでは2つのIPアドレスが紐づいていることを確認した。意図したものかは定かではないが、2件ともGeoIP上は日本国内となっている。
45.32.24.225
66.42.44.113

更新履歴

  • 2019年12月15日 AM 新規作成
  • 2019年12月16日 PM 象印マホービンの注意喚起を追記
  • 2020年2月4日 AM 象印マホービンの調査結果を追記

国内で相次ぐ不審メールの注意喚起と返信型Emotetについてまとめてみた

2019年9月以降、マルウェアEmotetに関連するとみられるなりすましメールの注意喚起が国内の複数の組織で呼びかけられています。ここでは関連する情報をまとめます。

Emotet関連(を疑わせる)2019年9月以降の注意喚起

  • Emotetに関連、あるいは直接言及はないものの関連が推定される注意喚起や報道は以下の通り。関連すると発表されたものはその旨表記。括弧表記はpiyokangoが確認したもの。
注意喚起日 発信元 概要
2019年10月3日 大阪大学 2019年9月27日以降に発生。大阪大学を騙り、やり取りに返信するなりすましメールを確認。詳細調査中。
2019年10月15日 クレイトシ 10月15日頃から問い合わせ返答等を騙るメールが発生。メールは自社から送信されたものではない。(Emotetの送信インフラに利用されていたドメインから送出)
2019年10月24日 神戸大学 <Emotet関連公表事例>
10月11日に大学院医学部内の端末がEmotetに感染。同日頃よりやり取りのあった相手にマルウェア付きメールが届く事象が発生。過去やり取りされた日本語本文の内容も悪用されていた。
2019年10月末以降 ANAクラウンプラザホテル神戸(プレミアクラブ) 2019年10月以降、ホテル公式アドレスを詐称した不審メールがプレミアクラブ会員へ届くと報道。データ管理委託企業から流出した可能性があり調査中。
2019年11月5日 ニッポンレンタカー 2019年10月18日以降、同社を騙る不審メールが発生。調査した結果、顧客の問合せ対応を行っていたPC1台がマルウェアに感染し情報流出の疑い。その後の第三者調査で流出痕跡を確認できずと発表。
2019年11月1日 首都大学東京 <Emotet関連公表事例>
10月18日に教員PCがEmotetに感染し、同日なりすましメールが発生。21日に注意喚起。教員とやり取りのあったメール18,843件が影響を受けた。詳細については調査を継続中。
2019年11月8日 双葉電子工業 <Emotet関連公表事例>
フィリピン子会社のPCがマルウェアに感染し、メールアドレスが窃取。発表時点では二次被害を確認していない。10月30日にEmotet類似のメールを受信し一部ユーザーのアドレス帳が窃取。
2019年11月12日 イオン <Emotet関連報道事例 *110月25日頃よりイオングループを騙る第三者からの不審メールを確認。過去のメールのやり取りが引用され開くとマルウェアに感染するWord文書ファイルが添付。(例示された偽メールの文面はEmotetで観測されているものと同じ。)
時期不明(2019年11月20日以降) 名古屋青果 11月20日頃から同社になりすました不審メールが発生。メール覚知後の調査で社内の一部PCよりマルウェアを検出した。発覚後はなりすまされたメールアドレスを廃止した。
2019年11月21日 佐賀市観光協会 協会会員企業より不審メールを受信したとの報告を受領。添付ファイルを開かせようとする内容で注意を呼びかけ。(例示された不審メールの送信元アドレスがEmotetの拡散に使用されているドメイン)
2019年11月22日 アプリグッド 11月20日頃、社内のやり取りメールになりすました不審メールが発生。調査したところ、社内PC1台がOutlook等の情報窃取を目的としたマルウェアに感染していたことが判明。過去にやり取りした相手からメールがあり社員が添付されたファイルを開いていた。
2019年11月23日 白亜ダイシン 同社運営のオンラインショップを騙って11月14日頃から過去の注文履歴を含む不審メールが発生。調査の結果、社内PC1台がマルウェアに感染しており、調査の結果過去の注文情報などが窃取されたことが判明した。
2019年11月25日 京都市観光協会 <Emotet関連報道事例 *2
11月25日頃から協会になりすました不審メールが発生。不審メールは第三者が発出したもので協会より送信されたものではない。原因は協会職員のPCがマルウェアに感染していたため。
2019年11月28日 西村製作所 社員や社名を騙った不審メールが発生。同社から送信されたメールではない。その後の対策において、社内PCで情報流出が確認されネットワークから隔離。全てのPCに対し詳細調査中。
2019年11月29日 JPIジャパン 10月中旬頃から社員を装った不審メールが届いていることを把握。社員のPCがマルウェアに感染していたため。
2019年12月3日 サンウェル <Emotet関連公表事例>
自社のなりすましメールが届いたとの連絡を顧客より受領。調査したところ、社内PCがメールを通じてマルウェアに感染していたことが判明。取引先になりすましメールが送信された可能性がある。感染したのはEmotet。
2019年11月25日 福田真 社内PCがマルウェアに感染したことを報告。合わせて不審メールへの注意を呼びかけ。29日に続報として調査結果を発表。PC1台が感染し、顧客情報が流出した可能性がある。また11月20日以降、同社を騙るメールが発生していることを報告。
2019年12月9日 群馬中央病院 <Emotet関連公表事例>
12月3日に院内運用システムがEmotetに感染していることが判明。12月2日に事務処理PC1台で不審メールを受信していた。その後病院を騙る不審メールが関係機関へ届く事象が発生した。
2019年12月10日 リーガル・ホールディングス <Emotet関連公表事例>
12月7日に社員を装った不審メールを把握。11月28日にEmotetに感染していたことが判明。感染PCの隔離とメールアドレスアカウントの一時閉鎖を実施。
2019年12月10日 おめめどう <Emotet関連公表事例>
自社PCがEmotetに感染。11月28日に関係者からスパムメールが届いたという連絡を受けた。
2019年12月10日 行政管理研究センター <Emotet関連公表事例>
センター内PCがEmotetに感染。返信型Emotetのメールの発生も確認。一部業務を委託されていた日本行政学会にも影響が波及
2019年12月11日 横浜市立大学 <Emotet関連公表事例>
12月10日に教職員を装った不審メールが学内で拡散されていることを確認。過去にやり取りした内容が含まれていた。マルウェアをEmotetとは表記していないが注意喚起にはIPAのEmotetに関わる公開情報を参考として掲載している。
2019年12月12日 NTT西日本ビジネスフロント <Emotet関連公表事例>
12月10日にNTT西のグループ会社社員がEmotetに感染。12月11日に同社顧客より不審メールを受け取ったと9件の申告。調査の結果社外アドレス63件を含む1343件のメールアドレス流出の可能性。それ以外の情報流出事実なし。
2019年12月13日 H2 <Emotet関連公表事例>
12月6日に届いたメールを開封し、マルウェアに感染。IPAへ報告したところ当該マルウェアがEmotetの可能性ありと回答を受領。
2019年12月17日 シナネン <Emotet関連公表事例>
12月16日にグループ会社内のPC1台がEmotetに感染。同日中に社員名を使った不審メールが発生。翌日には取引先からも同様のメールを受け取ったとの報告を受けた。
2019年12月18日 加藤製作所 <Emotet関連公表事例>
12月9日に社内PCがEmotetに感染。過去メールの送受信履歴が流出し、これに含まれるメールアドレスに対し、社員を名乗る不審メールが発生。
2019年12月18日 菊池建設 社内PCがマルウェアに感染。16日頃から社員を装った不審メールが複数の宛先に送信されていることが判明。
2019年12月18日 ミノス <Emotet関連公表事例>
同社サービス利用ユーザーがEmotetに感染し、同社になりすましメールが発生。
2019年12月19日 ニシハツ <Emotet関連公表事例>
社員用PCがTrickbotに感染していることが判明。なりすましメールが発信されていることも確認。
2019年12月19日 ダンケル <Emotet関連公表事例>
取引先名で送られてきたメールの添付ファイルを社員が開封しEmotetに感染。第三者にさらに拡散された。
2019年12月20日 長崎県物産振興協会 <Emotet関連公表事例>
14日より関係者を装ったメールが届き始める。16日に職員が添付ファイルを開封しマルウェアに感染。その後、その職員とやり取りのあった取引先へ不審メールが送られていることが報告された。
2019年12月20日 三共フロンティア 取引先を偽装した標的型攻撃メールを受信し、マルウェアに感染。その後、自社を騙る不審メールが発生していると取引先から連絡を受領。
2019年12月23日 関西電力 <Emotet関連公表事例>
12月16日に社内PCがEmotetに感染。当該PCでやり取りのあった情報が流出した可能性あり。23日時点で社員を騙るメールなどは確認されていない。
2019年12月24日 ザ・パック 12月13日に社内PCが標的型攻撃メールを受け感染。その後自社を騙る不審メールの発生を確認。
2019年12月24日 軽金属製品協会 <Emotet関連公表事例>
12月17日になりすましメールの連絡受領を受け調査したところEmotetに感染していることが判明。ネットワーク内部への拡散は確認されず。
2020年1月16日 ソリッドシステムソリューションズ 1月16日10時頃社員になりすましたメール送信の事象を確認。その後の調査によりマルウェア感染端末を特定し駆除。
2020年1月20日 岐阜新聞社 <Emotet関連公表事例>
会社、社員になりすました不審メールが届いたとの連絡を受領し調査を実施。調査した結果、社内PC1台がEmotetに感染していることを確認。
  • 首都大学東京が受信した「実在する雑誌社」もEmotetの被害を受けていた可能性がある。
  • 2019年5月には東京都保険医療公社 多摩北部医療センターでもEmotet感染の被害があり、不審メールがその後発生していた。

piyolog.hatenadiary.jp

返信型Emotetに騙されやすい?

f:id:piyokango:20191126060124p:plain
ANY.RUNへのEmotet検体のアップロード状況
2019年9月以降、Emotetの活動が再度活性化しているとの報告が挙がっている。

f:id:piyokango:20191126053108p:plain
Emotet感染後に起こる被害

Emotet感染後に発生懸念のあるリスクは以下の3つ。

  1. 感染端末内に保管されたメール情報や資格情報の流出
  2. 流出情報の悪用とスパムボット化を通じた外部拡散
  3. 感染端末を起点とした内部拡散
①感染端末に保管されたメール情報や資格情報の流出

Emotet感染後、次のような情報が外部へ流出する恐れがある。(以下はMSBDの調査記事より)返信偽装に用いられていることから、受信したメールの情報(宛先、件名、本文)も窃取されるとみられる。

  • SMTPサーバーの資格情報などを含むOutlookに設定された情報
  • Nirsoftで取得できるメールやブラウザ、ネットワーク認証情報
②流出情報の悪用とスパムボット化を通じた外部拡散
  • Emotetの外部拡散の際に、感染端末に保管されたメールを悪用する事例が確認されている。
  • 実際のメールの返信を装い、元のメールのスレッドに割り込むもの。Emotetに感染誘導するメールの件名には元の件名の前に「Re:」等が最初につけられている。
  • 表示される送信者名や件名、引用された本文が実際にやり取りした内容であることから騙されやすい。
  • Emotetでは2019年3月頃から返信を装う手口の悪用が確認されている。手口自体は新しいものではなく、やり取り型と呼ばれていた標的型攻撃URSNIFでも見られていた。
  • 返信を装ったメールは4月と比較して2019年9月以降は送信されようとしたメールの内、約8.5%から約25%と増加傾向にあり積極的に使われている可能性あり。
  • 受信メールの悪用だけでなく、SMTPサーバーの資格情報が盗まれることから、Emotetを拡散するインフラに悪用される恐れがある。
駆除後も撒かれ続ける不審メール
  • なりすましメールは別のボット端末が他のSMTPサーバーから発信しているため、感染した端末や自社のSMTPサーバーへの対処が組織内で完了してもなりすましメールの発信は止まらない場合がある。
  • 2019年5月に感染被害のあった東京都保険医療公社多摩北部医療センターでは9月に再びなりすましメールが確認されたとして再度の注意を呼び掛けている。
  • Emotetに感染したか言及はないがニッポンレンタカーでは11月14日になりすましメールが確認されている。
  • Emotetに感染した端末がC2より命令を受け、窃取された資格情報などを使って外部のSMTPサーバーへアクセスし、Emotetに感染誘導するメールを送出する。
③感染端末を起点とした内部拡散
  • Emotetに感染した端末に対し、外部から別のマルウェア(TrickBot)がダウンロードされる場合がある。
  • TrickBotは次の機能を用いて情報収集やネットワーク内部に拡散する。(以下はサイバーリーズンの解析記事より)
自動実行機能 感染した端末にタスクとサービスを作成する
検知回避機能 正規プロセスにインジェクションする
Windows Defenderの無効化、削除を行う
内部拡散機能 ネットワーク共有に自身のコピーを行う
CVE-2017-0144が悪用される場合もある
mimikatzを用いて認証情報を収集する
ブラウザ情報窃取機能 Cookieや閲覧履歴等のブラウザデータの窃取する
プロキシとして機能しブラウザのデータを収集する
  • さらにその後標的型ランサムウェアによる被害を受ける事例が確認されている。
  • 実際に標的型ランサムウェアに感染するかは感染後の組織の様相を見て選別をされているとみられており、感染したすべての組織がランサムウェアの被害を受けるわけではない。
  • ランサムウェアによる被害までに時間差があり、被害から1年以上前にEmotet感染していた可能性がある事例もある。

piyolog.hatenadiary.jp

気になる注意喚起

Emotet関連と判断にたる情報は確認できていないながらも、時期や内容からpiyokangoがその可能性として気になっている注意喚起を複数確認。

他事案と同日発生
2019年10月11日(神戸大学と同日) 日本口腔科学会 学会認定医アドレス(jss-nintei@onebridge.co.jp)迷惑メールについて
返信を装ったメールが届いたという報告。
2019年11月23日 ジャパンフィッシングショー運営事務局(旧称) Twitterへ返信を装ったメールが届いたという報告。同事務局サイトではお知らせ等確認できず(11月26日時点)
複数の同業企業で集中的に注意喚起
  • 食品系
2019年11月15日 国分グループ 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月15日 伊藤食品 【注意】迷惑メールに関するお詫びと注意喚起のお願い
2019年11月18日 旭食品 当社社名等をかたった不審なメールにご注意ください
2019年11月18日 三菱食品 わが社社員名等を騙った不審メールに関する注意喚起
2019年11月18日 伊藤忠食品 当社社名等をかたった迷惑メール、詐欺メールにご注意ください
2019年11月19日 加藤産業 迷惑メールに関するお詫びと注意喚起
2019年11月23日 ヤマエ久野 【重要なお知らせ】当社社名と社員名を装った迷惑メール(なりすましメール)に関する注意喚起
  • 農協系
2019年11月21日 上伊那農業協同組合 ~当JAを騙ったウイルスメールにご注意ください~
2019年11月26日 福岡八女農業協同組合 当組合名等をかたった迷惑メール・詐欺メールにご注意ください
  • 建設系
2019年11月28日 住友林業ホームテック [PDF] 【注意喚起】当社社員をかたった不審なメールにご注意ください
2019年12月2日 住友林業ホームエンジニアリング 【注意喚起】当社社員をかたった不審なメールにご注意ください
2019年12月10日 ナカノフドー建設 [PDF] 【重要】弊社社員を騙った迷惑メール(なりすましメール)に関する注意喚起
2019年12月16日 三和建設 【重要なお知らせ】弊社アカウントを装った迷惑メールにご注意ください
2019年12月17日 清水建設 当社を装った不審なメールにご注意ください
2019年12月18日 大和ハウス工業 弊社社員を装った不審なメール(なりすましメール)にご注意ください
2019年12月19日 エアウォーター 不審メール(なりすましメール)に関するお詫びと注意喚起
添付ファイルやURLをクリックするとフィッシングではなく、マルウェアに感染する恐れ
不明 ミラサポ ミラサポを名乗る不審なメールにご注意ください
2019年11月5日 笠井トレーディング ● Kasai-Tradingを騙る迷惑メールについて(重要) ●
2019年11月7日 日ポリ化工 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月8日 東京商工会議所 東京商工会議所を装った「なりすましメール」にご注意ください
2019年11月8日 グロウス 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月13日 クレヨン スパムメールについて(2019.11.13)
2019年11月14日 全国経営者協議会 【重要】迷惑メール(なりすましメール)に関するお詫びとお知らせ(11.14)
2019年11月15日 同友会グループ 弊会の名前を装った不審メールにご注意ください
弊会の名前を装った不審メールにご注意ください<続報>
2019年11月22日 ウェルネス伯養軒 【注意喚起】不審なメールにご注意ください
2019年11月22日 戸村精肉本店 当社の名前を装った迷惑メールにご注意ください
2019年11月22日 嬉野観光ホテル大正屋 なりすましメールにご注意下さい!
2019年11月26日 ゼクセル販売四国 当社社名等をかたった迷惑メール、詐欺メールにご注意ください
2019年11月26日 フジクラ フジクラのメールアドレスを装った「迷惑メール」にご注意ください
2019年11月27日 名古屋トヨペット 名古屋トヨペットを装ったメールにご注意ください
2019年11月27日 信託協会 当協会職員のメールアドレスの不正利用による迷惑メール送信事案の発生について
2019年11月29日 沖電気工業 当社名などをかたった「なりすましメール」にご注意ください
2019年11月29日 オプテックス・エフエー [PDF] なりすましメールに関する注意喚起
2019年11月29日 ボンペックスジャパン 【緊急連絡_重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年11月30日 秋田TOP進学塾 当社社名および社員名等を騙った不審メールに関する注意喚起
2019年11月30日 坂東太郎グループ 「迷惑メール」「なりすましメール」にご注意ください」
2019年12月2日 おめめどう 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月4日 エッサム エッサム社員の名前を装った「迷惑メール」にご注意ください
2019年12月4日 佛教大学 迷惑メール(なりすましメール)に関するお詫びとお知ら
2019年12月5日 UCC上島珈琲 【重要】当社社員と偽る迷惑メール(なりすましメール)に関する注意喚起
2019年12月5日 アクロスコーポレーション 【注意】当社名・当社社員を騙った不審メールにご注意ください
2019年12月6日 飯田市 こども発達センターひまわりを装った成りすましメール(迷惑メール)にご注意ください
2019年12月6日 YKK AP YKK APを装った不審なメールにご注意ください
2019年12月6日 播磨環境管理センター 当社を装った不審なメールにご注意ください
2019年12月9日 いわき市 いわき市職員を名乗る不審メールにご注意ください
2019年12月11日 京都工芸繊維大学 京都工芸繊維大学を騙る不審メールについて(注意喚起)
2019年12月10日 シーイーシー 当社メールマガジンを模した不審なメールについて
2019年12月? 富国石油 なりすましメールに関する注意のお願い
2019年12月11日 宅都グループ [PDF] 【重要】なりすましメール(迷惑メール)に関するお詫びと注意喚起
2019年12月11日 NKエンジニアリング 【注意喚起】なりすましメールの添付ファイルを開かないでください。
2019年12月12日 日本コミュニティーガス協会 【重要 会員事業者の皆様へ】
2019年12月12日 松阪市 本市を騙った迷惑メールについて
2019年12月13日 レッツ 株式会社レッツを装った不正メールにご注意ください。
2019年12月13日 オイシックス・ラ・大地 【重要】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月16日 理研グリーン 【注意喚起】なりすましメールにご注意ください
2019年12月16日 宇佐市 市役所農政課をかたる不審なメールにご注意ください。
2019年12月17日 ピティナ 【注意喚起】ピティナになりすましたメールにご注意ください
2019年12月17日 サンドラッグ [PDF] 弊社社員を装った不審メール(なりすましメール)に関するお詫びと注意喚起について
2019年12月18日 日本精神神経学会 【重要】JSPNを騙る迷惑メールにご注意ください
2019年12月18日 赤穂市 なりすましメールにご注意ください
2019年12月18日 ベルグリーンワイズ 【ご注意ください】弊社ベルグリーンワイズを装った不審なメール
2019年12月18日 セントラルユニ 【重要なお知らせ】迷惑メール(なりすましメール)に関するお詫びと注意喚起
2019年12月19日 ビジネスガイド社 [PDF] 不審なメール(なりすましメール)にご注意ください
2019年12月19日 あわしま堂 【注意喚起】当社社名等をかたった「なりすましメール」にご注意ください。
2019年12月19日 横浜企業経営支援財団 【重要】IDEC横浜職員・専門家を名乗る不審メールについてのお知らせ
2019年12月19日 東芝プラントシステム [PDF] 当社を騙る不審なメールにご注意ください
2019年12月20日 フジ日本精糖 [PDF] 弊社社員名等を騙った不審メール(なりすましメール)に関する注意喚起
2019年12月20日 大和ハウスインシュアランス 弊社社員を装った不審なメール(なりすましメール)に ご注意ください
2019年12月23日 エリーパワー 【注意喚起】当社社員になりすましたメール送信について
2019年12月24日 コマツ コマツ社員になりすましたメールにご注意ください
2019年12月24日 フォーサイト フォーサイトを騙る迷惑メールにご注意ください
2019年12月24日 近畿車両 [PDF] 当社社員を装った不審なメールに関する注意喚起について
2019年12月27日 大興電子通信 弊社およびグループ会社の社員を装った「なりすましメール」に関する注意喚起について
2020年1月 ブレイン 当社社員と偽る迷惑メール(なりすましメール)に関するご注意
2020年1月14日 大阪府建築士事務所協会 『なりすましメール』にご注意ください。
2020年1月15日 末広開発 【緊急】たかおかストリートを装った不審なメールにご注意ください!!
2020年1月16日 渋谷区 渋谷区を装った「なりすまし」メールにご注意ください
2020年1月16日 JFEシステムズ 【注意喚起】弊社「MerQuriusコンファレンス2019」ご案内メールを悪用した不審メールにご注意ください
2020年1月16日 東京電設サービス 弊社社員を装った不審なメールにご注意ください
2020年1月17日 中央化学 弊社社員名をかたった不審メールに関する注意喚起
2020年1月22日EMA PICTURES 弊社を装ったウイルスメールについて
2020年1月22日 千葉県 県職員を装った「なりすましメール」に御注意ください
2020年1月22日 大新社 迷惑メール(なりすましメール)に関するお詫びと注意喚起のお願い
2020年1月24日 つばさ建築工房 なりすましメールにご注意ください
2020年1月24日 伊藤ハム米久ホールディングス 当社グループ従業員を騙った迷惑メール(なりすましメール)にご注意ください
2020年1月24日 レンタルのニッケン 【重要】弊社社員を装った迷惑メール(なりすましメール)について
2020年1月29日 ユアテック 【重要】弊社社員と偽る迷惑メール(なりすましメール)に関するお詫びとご注意について

更新履歴

  • 2019年11月26日 AM 新規作成
  • 2019年11月26日 PM 事例追記
  • 2019年11月28日 PM 事例追記
  • 2019年11月29日 AM 事例追記
  • 2019年11月30日 AM 事例追記
  • 2019年12月3日 PM 事例追記
  • 2019年12月5日 PM 事例追記
  • 2019年12月10日 PM 事例追記
  • 2019年12月14日 AM 事例追記
  • 2019年12月16日 AM 事例追記
  • 2019年12月17日 PM 事例追記
  • 2019年12月20日 AM 事例追記
  • 2019年12月21日 AM 事例追記
  • 2019年12月23日 AM 事例追記
  • 2019年12月26日 AM 事例追記
  • 2020年1月16日 AM 事例追記
  • 2020年1月23日 PM 事例追記

ジョージア国内1万5千サイトの一斉改ざんについてまとめてみた

2019年10月28日、ジョージアで政府や裁判所など多数のWebサイトが改ざんされるなどの被害が出たと報じられました。また同時期に同国内のテレビ局でもシステム障害が発生しました。ここでは関連する情報をまとめます。

元大統領の写真を使った改ざん

f:id:piyokango:20191030081621p:plain
改ざんサイトで表示された画像

  • 政府当局が確認した改ざん被害は約2000サイト。その後原因となったホスティング事業者からは1万5000のサイトが影響を受けたと発表された。(現在そのリリース文は更新されていて数は確認できず)
  • 大量の改ざん被害は2019年10月28日午後に発生したと大統領報道官が述べている。
  • 改ざん後のサイトでは2013年まで大統領でその後ウクライナに亡命したMikheil Saakashvili氏の写真が表示。「 I'LL BE BACK」というメッセージもつけられていた。
  • Gov.geドメインで公開されている大統領府や裁判所、ニュースサイト、市議会等、様々な公的なサイトも影響を受けた。

f:id:piyokango:20191030180319p:plain
政府系のgov.geドメインのサイトも多数が影響を受けたとみられる

2つのテレビ局で同時発生した障害

  • ジョージアのテレビ局「TV Imedi」「TV Maestro」でも同時期にシステム障害が発生。
  • TV Imedi関係者が障害の様子をFacebookに投稿。サイバー攻撃に起因するものと説明。
  • その後現地時間で28日17時までには復旧されると投稿していた。
  • TV Maestroでも当時の様子を動画で公開している。砂嵐状態のテレビが設置されたスタジオの様子などが映されていた。

www.facebook.com

  • ZDnetではTV Pirveliも影響を受けたのではないかと報じている。

ホスティング事業者に不正アクセス

  • 一斉改ざんはジョージアのホスティング事業者「PRO Service」が不正アクセスを受けたことが原因。
  • 攻撃の標的は州政府、民間企業、メディア等のWebサイトを管理するサーバー。結果的に1万5000のサイトに影響が及ぶこととなった。
  • PRO Serviceは10月28日明け方にサイバー攻撃を受けたと説明している。
  • 10月28日20時頃までに影響を受けたサイトの約半数を復旧。29日15時までに復旧を終えたと発表。

f:id:piyokango:20191030171957p:plain
PRO Serviceの10月29日の発表文

  • 攻撃元に関する推測はメディア先行で行われているが、不正アクセスの帰属や手法に関する説明は掲載されていない。
  • PRO Serviceは内務省のサイバーセキュリティ部門、データ交換局、主要な業界関係者と連携。
  • 根本的な原因は特定されたと説明。後日その顛末を説明するとしている。

タイムラインの整理

  • 関連するタイムラインを整理すると以下の通り。
日時 出来事
2019年10月28日早朝 PRO Serviceのホスティングサービスに不正アクセス。
同日午後 ジョージア国内の大量のサイトが改ざんされる事象が発生。
同日午後 ジョージアのテレビ局2つでシステム障害が発生。
同日午後 ジョージア政府がサイバー攻撃の調査を開始したと報じられる。
同日17時頃 TV Imediのシステム障害が回復したとみられる。(関係者がSNSへ投稿)
同日20時 PRO Serviceが影響を受けたシステムの半数が復旧したと発表。
2019年10月29日 15時 PRO Serviceが影響を受けたシステム全数が復旧したと発表。

改ざんサイトにGIF画像埋込

  • 改ざん発生当時のコードは以下のもの。(キャッシュより)

f:id:piyokango:20191030082711p:plain
キャッシュに残っていた改ざん当時のHTMLコード

  • HTMLのコード中にGIF画像brother.lviv.ua/content/dot.gifが埋め込まれているがこれが何かは確認ができず。30日時点でこのGIF画像の設置はされておらず、これが元々削除されていたのか、この件を受けて対応されたのかは不明。
  • GIFとは異なり元大統領の画像1.jpegはPRO Serviceの改ざんされたサーバー自体に設置されたファイルが表示されていた。

更新履歴

  • 2019年10月30日 PM 新規作成
  • 2019年10月31日 PM 国名が正しくなかったため、ジョージアに表記を修正。

三菱UFJ銀行が不正アクセスを受けた通信暗号化装置について調べてみた

三菱UFJ銀行は法人顧客向けに提供するローカルキャッシュマネジメントサービスの認証システムで利用する通信暗号化装置が不正アクセスを受け、海外拠点の顧客の口座情報等が外部に流出したと発表しました。ここでは関連する情報と発表で言及があった「通信暗号化装置」についてpiyokangoが調べた情報をまとめます。

不正アクセス原因は通信暗号化装置の脆弱性

  • 通信暗号化装置の具体的な製品名は記載無し。
  • インターネット経由でLCMSに接続する際にユーザー認証し、通信を暗号化するための装置といった説明。
  • 外部からの不正アクセスはこの装置に対して行われた。原因は脆弱性が存在したため。
  • 通信暗号化装置の脆弱性はバージョンアップにて対応された。
タイムラインの整理
  • 関連する事象を時系列に整理すると以下の通り。
日時 出来事
2019年9月25日 通信暗号化装置への不正アクセスが発生。*1
2019年10月4日 三菱UFJ銀行が通信暗号化装置への不正アクセスを認識。
三菱UFJ銀行から影響を受けた法人顧客へ説明。
2019年10月25日 三菱UFJ銀行が不正アクセス被害を発表。
不正アクセスにより流出した情報
  • LCMSを利用する台湾に拠点を置く法人顧客13社に関連する次の情報が流出。
  • 第三者に関する情報は1,305件(9月25日~10月3日までの取引)が影響を受けた。*2
    • 台湾拠点の法人顧客の口座情報
    • 台湾拠点の法人顧客の振込先名、金額等の取引明細
    • 台湾拠点の法人顧客の取引明細に含まれる取引先、従業員等第三者に関する情報
  • 三菱UFJ銀行は発表時点で影響を受けた顧客は特定済で個別の説明も済んでいる。13社の内、12社は日系の企業。
  • 発表時点で流出した情報の二次被害は確認されていない。
  • 第三者に関する情報は顧客側の意向を踏まえて対応をとる方針。
  • 流出した情報にはID、パスワードは含まれていない。この情報を使って送金などもできないと説明。
  • 台湾の現地法人である三菱日聯銀行も発表をしている。台北支店と高雄支店が影響を受けた。*3

以下はpiyokangoが確認した非公式情報です。

「通信暗号化装置」とは何だったのか調べてみる

  • 台湾向けのローカルキャッシュマネジメントサービスと説明があることから、具体的にはBTMU-TCMS(Taiwan Cash Management Service)が不正アクセスの影響を受けたとみられる。
  • BTMU-TCMSは2007年10月に開始された台湾専用のインターネットバンキングサービス。
  • 三菱東京UFJ銀行(当時)のインタビュー記事では「台湾固有のニーズ」に対応するためにローカルのシステムを構築したと説明されている。
  • TCMS等のキャッシュマネジメントサービスは次のページよりアクセスすることができる。

f:id:piyokango:20191029052108p:plain
三菱UFJ銀行CMSメニューページ

Pulse Secure 製品と酷似したログインページ
  • メニューページ中にあるTCMS(Taiwan)をクリックするとログインページが表示される。

f:id:piyokango:20191029052234p:plain
TCMSのログインページ

  • このログインページを確認したところ、TCMSの認証システムにはPulse Secure社のSSL VPN製品が利用されているものとみられる。
    • 三菱UFJ銀行用にカスタマイズされているが、HTMLやJavaScriptなどがPulse Secure社の同製品のものと酷似。
    • URLの文字列/dana-na/auth/url_default/welcome.cgiがPulse Secure社の同製品のものと同一。
    • 同製品に共通して存在する特徴的なTYPOJavaSriptがTCMSのログインページにも存在する。
    • バージョン情報等を取得できるテキストファイルより、「Pulse Secure Network Connect 8.2」の文字列が存在。
    • shodanでもPulse Secure社製品が稼働しているといった分析をしている。

f:id:piyokango:20191029052727p:plain
Pulse Secure社特有のTYPO JavaSriptがTCMSのページ中にも存在

  • 広報発表、公開情報、時期を踏まえるとPulse Secure社製品とみられる認証システムが不正アクセスを受けたと考えられるが、10月28日時点で報道等で裏付けをする情報はなく、あくまでもpiyokangoの推測であり、断定させる確証がないことには留意が必要
9月にJPCERT/CCが注意喚起
  • Pulse Secure社のSSL VPN製品に深刻な脆弱性が存在し、既に攻撃も発生しているとして2019年9月6日にJPCERT/CCより注意喚起が行われていた。
  • 脆弱性はCVE-2019-11510で識別されているもの。検証コードや動画も公開されている。

piyolog.hatenadiary.jp

  • CVE-2019-11510の影響を受ける製品を調査しているBad Packetsによれば10月23日時点で日本にはまだ600台以上の製品が存在するとのこと。


更新履歴

  • 2019年10月29日 AM 新規作成

*1:三菱UFJ銀行の台湾法人向けネットバンキングで情報漏洩、口座番号など1305件流出,日経xTech,2019年10月25日

*2:三菱UFJに不正アクセス=台湾拠点の顧客情報が漏えい,時事通信,2019年10月25日

*3:三菱日聯銀、不正アクセスで一部情報漏えい,NAA ASIA,2019年10月28日

長崎県職員による業務ネットワークへの不正アクセスについてまとめてみた

2019年9月26日、長崎県警は長崎県庁職員が業務ネットワークで不正アクセスを行ったとして不正アクセス禁止法違反の容疑で書類送検したと発表しました。ここでは関連する情報をまとめます。

事案の概要

  • 容疑は2017年1月6日~2019年2月25日にかけ、自分の業務用PCを使い、他職員61人のID、パスワードを入力して業務ネットワークに324回にわたり不正アクセスを行った疑い。*1
  • 長崎地検へ書類送検されたのは長崎県 県民生活部 係長 男性 50歳。
  • 普段の勤務態度にも問題はなかった。
  • 男性は容疑を認めている。
  • 「異動が心配で、異動先部署の業務内容を知りたかった」と動機を供述している。
日時 出来事
2015年9月頃 男性職員が不正アクセス行為を始める。
長崎県が職員の不正アクセス行為を把握。*2
2019年4月 長崎県が長崎県警へ不正アクセスの被害相談。*3
2019年9月26日 長崎県警が男性を不正アクセス禁止法違反の容疑で長崎地検へ書類送検。
同日 長崎県が県職員による不正アクセス行為について発表。*4

県職員が行った不正アクセス

  • 県内部の調査では男性は46の課 職員97名になりすまし2015年9月から2019年に2月にかけて537回にわたり別の部署約167万件の業務用データをダウンロードし、USBメモリに保存していた。*5
  • 男性が持ち出したデータには市民の個人情報(氏名、住所、電話番号等)も含まれていた。*6
  • 持ち出した業務用データは自宅に持ち帰り閲覧などしていた疑いがもたれている。
  • 不正アクセスで取得された情報の外部への流出は確認されていない。
初期設定のままのパスワードを悪用
  • 男性は初期設定のままの職員のパスワードを対象に不正アクセスを行っていた。
  • 初期設定ではパスワードは職員番号(6桁の数字)が設定されていた。なおIDも職員番号となっている。*7
  • パスワード変更の指示は職員に対して行われていたがこれを放置していた。*8

長崎県の調査で発覚

  • 長崎県の情報政策課が大量の不審なアクセスをログから確認し発覚。
  • 1台のPCから複数の職員IDへアクセスが繰り返し行われていた。
  • 長崎県は2019年4月に警察へ相談し、ログイン履歴の解析、別職員の聞き取り等捜査を進め不正ログイン行為が確認された。

長崎県のその後の対応

  • 全ての職員の業務ネットワークのパスワードを複数の英数字、記号を組み合わせたものへ変更。
  • 不正アクセス行為を特定できるシステム導入に向けた検討を進める。
  • 男性に対しては刑事処分の結果が出るのを待ち、今後検討する。現在は通常通りの業務にあたっている。

更新履歴

  • 2019年9月28日 AM 新規作成

長崎県職員による業務ネットワークへの不正アクセスについてまとめてみた

2019年9月26日、長崎県警は長崎県庁職員が業務ネットワークで不正アクセスを行ったとして不正アクセス禁止法違反の容疑で書類送検したと発表しました。ここでは関連する情報をまとめます。

事案の概要

  • 容疑は2017年1月6日~2019年2月25日にかけ、自分の業務用PCを使い、他職員61人のID、パスワードを入力して業務ネットワークに324回にわたり不正アクセスを行った疑い。*1
  • 長崎地検へ書類送検されたのは長崎県 県民生活部 係長 男性 50歳。
  • 普段の勤務態度にも問題はなかった。
  • 男性は容疑を認めている。
  • 「異動が心配で、異動先部署の業務内容を知りたかった」と動機を供述している。
日時 出来事
2015年9月頃 男性職員が不正アクセス行為を始める。
長崎県が職員の不正アクセス行為を把握。*2
2019年4月 長崎県が長崎県警へ不正アクセスの被害相談。*3
2019年9月26日 長崎県警が男性を不正アクセス禁止法違反の容疑で長崎地検へ書類送検。
同日 長崎県が県職員による不正アクセス行為について発表。*4

県職員が行った不正アクセス

  • 県内部の調査では男性は46の課 職員97名になりすまし2015年9月から2019年に2月にかけて537回にわたり別の部署約167万件の業務用データをダウンロードし、USBメモリに保存していた。*5
  • 男性が持ち出したデータには市民の個人情報(氏名、住所、電話番号等)も含まれていた。*6
  • 持ち出した業務用データは自宅に持ち帰り閲覧などしていた疑いがもたれている。
  • 不正アクセスで取得された情報の外部への流出は確認されていない。
初期設定のままのパスワードを悪用
  • 男性は初期設定のままの職員のパスワードを対象に不正アクセスを行っていた。
  • 初期設定ではパスワードは職員番号(6桁の数字)が設定されていた。なおIDも職員番号となっている。*7
  • パスワード変更の指示は職員に対して行われていたがこれを放置していた。*8

長崎県の調査で発覚

  • 長崎県の情報政策課が大量の不審なアクセスをログから確認し発覚。
  • 1台のPCから複数の職員IDへアクセスが繰り返し行われていた。
  • 長崎県は2019年4月に警察へ相談し、ログイン履歴の解析、別職員の聞き取り等捜査を進め不正ログイン行為が確認された。

長崎県のその後の対応

  • 全ての職員の業務ネットワークのパスワードを複数の英数字、記号を組み合わせたものへ変更。
  • 不正アクセス行為を特定できるシステム導入に向けた検討を進める。
  • 男性に対しては刑事処分の結果が出るのを待ち、今後検討する。現在は通常通りの業務にあたっている。

更新履歴

  • 2019年9月28日 AM 新規作成

ローソン公式サイト・アプリ管理サーバーへの不正アクセスについてまとめてみた

2019年9月25日、ローソンは同社のWebサイトやアプリを管理するサーバーで不正アクセスを検知したとして公開を一時的に停止し、26日朝復旧しました。ここでは関連する情報をまとめます。

公式発表

2019年9月25日

  • 公式サイト上でも一時停止のお知らせを掲載している。
2019年9月26日

サーバーへの不正アクセスの状況

  • ローソンは2019年9月24日 20時頃に不正アクセスを受けていることを把握。
  • Webサイトを開く際に時間がかかりすぎるために調査を行ったことが発端。*1
  • 不正アクセス判明後すぐに公開の取りやめを行った。公開取りやめを行った理由は攻撃を避けるため。*2
  • ローソンは2019年9月25日 お昼時点で攻撃元の調査及びその対応を行っている。
  • Webサイトの改ざん、及び個人情報の流出は発生していないと広報担当は回答。
  • 外部の専門機関へ調査を依頼中。
  • 「不正アタック」が具体的に何かについては明らかにされていない。

一時遮断による影響

遮断時間は以下の通り。

  • 2019年9月24日 20時頃~2019年9月26日 5時半頃(約33時間半)

一時遮断による影響は以下の通り。

  • ローソン公式サイトの閲覧停止
  • ローソン公式アプリの利用停止(クーポン等利用できない)

f:id:piyokango:20190925162101p:plain
アプリ起動直後のエラー表示
f:id:piyokango:20190925162030p:plain
一部画面ではエラーが表示される。

  • 不正アクセスを受けた管理サーバーが具体的にどれかは不明だが、公式サイト、公式アプリ*3とも219.127.175.159に接続する。
  • ddosmonなどではこのIPアドレスへの攻撃トラフィックは9月25日時点で検出していない。

更新履歴

  • 2019年9月25日 PM 新規作成
  • 2019年9月26日 PM 復旧に伴い更新

*1:ローソン、HPとアプリ停止 サーバーが不正攻撃受ける,朝日新聞,2019年9月25日

*2:ローソンのサーバに攻撃 アクセス遮断でWebサイトとアプリを一時停止,ねとらぼ,2019年9月25日

*3:アプリはこれ以外にも2つのIPアドレスに接続する。

J-Coin Payテスト環境で発生したデータ削除とビットコイン要求についてまとめてみた

2019年9月4日、みずほフィナンシャルグループは同社がサービスを提供しているキャッシュレス決済システム J-Coin Payにおいて、テスト用に構築されたシステムが外部から不正アクセスを受け、システム内で管理していた加盟店等の情報が外部へ流出した可能性があるとして、被害を発表しました。その後、システムに保存されたデータが削除され、ビットコインを要求するメッセージが記録されていたとも報じられています。ここでは関連する情報をまとめます。

みずほフィナンシャルグループの発表

日時 出来事
2019年8月16日~27日 テスト用システムのIPアドレス制限等が外れた状態となっていた。
2019年8月27日 テスト用システムの加盟店データの削除が発生。みずほFGが不正アクセスを把握。
2019年9月4日 みずほFGがJ-Coin Payテスト用システムへの不正アクセス被害を発表。

被害はデータ削除

f:id:piyokango:20190905065944p:plain
被害の状況

  • テスト用システムに保存されていた加盟店等の情報が削除されていた。
  • システム上にはビットコインを要求するメッセージが残されていた。
  • ビットコイン要求のメッセージの発見を受け、不正アクセス被害を確認した。
  • 2019年9月4日時点で加盟店への不審なメール、電話などは確認されていない。
  • 削除されたデータやメッセージへの対応はみずほFGのリリースでは確認できなかった。
流出の可能性がある情報

不正アクセスにより外部への流出の可能性が否定できないとして以下の情報が影響を受けたと発表。

①J-Coin Pay加盟店法人等の情報 7,930件
②J-Coin Pay加盟店法人等の個人の情報 10,539件
③J-Coin Pay参画の金融機関名 32件

①、➁の情報には次のものが含まれていた。

  • 企業名
  • 代表者氏名
  • 連絡窓口担当者氏名
  • 住所
  • 電話番号
  • メールアドレス
  • 一部代表者の生年月日
被害を受けたテスト用システム
  • 実際のサービスには使用されない開発用の環境。
  • 決済サービスや関連システムとは独立しており、他システムへの影響はない。
  • ID、パスワード、預金口座等利用者の情報は格納されていなかった。

原因は作業ミスと説明

みずほFGは発表や取材に対して次を理由として説明している。

  • 作業ミスによりテスト用システムに外部からアクセス可能な状況となっていた。(IPアドレス制限が外れたままであった)
  • ID、パスワード*1による認証があったが、不正ログインされた。*2
  • 作業終了後に削除すべきデータを消し忘れてしまっていた。

日本経営協会の被害事例

削除されたデータは人質?

www.imperva.com

  • Impervaは2017年にデータベースを狙った身代金を要求する攻撃が起きていることを報告している。
  • その当時、同社が観測した2つの事例においてはデータベースの削除だけ行われており、データを盗み出すような挙動が見られなかったことから、身代金支払いによる被害回復の可能性は低いとして支払いを推奨していなかった。

更新履歴

  • 2019年9月5日 AM 新規作成
  • 2019年9月5日 PM 原因箇所について表現を修正

*1:パスワードが第三者に破られるようなものだったかの説明は確認できなかった。

*2:みずほ銀行 スマホ決済で不正ログイン 利用者情報含まれず,NHK,2019年9月4日

キャッシュレス決済サービスの補償制度の状況についてまとめてみた

スマートフォンアプリなどで利用されるキャッシュレス決済サービスを提供する事業者でフィッシング詐欺などの被害を補償する制度が導入され始めています。ここでは各社のサービスにおける補償制度についてまとめます。

補償制度の導入状況

2019年8月28日時点で、規約上で補償制度の記述が確認できたのは6社。
それ以外は記載がないか、提供事業者側で故意、または重大な過失があった場合のみ。

決済サービス名 補償規定 補償上限額
(第三者より回収できた金額を差し引く)
申告可能期日 補償手数料 警察への申告 フィッシング詐欺対応
PayPay 有り
PayPay補償制度に関する規約
原則全額 不正利用被害発生日から60日以内
連続で発生した場合は最終日が対象
サービス提供元負担 必要 明記有り
d払い 有り
第9条 補償等
原則全額 不正利用被害認知日から30日以内
申告から90日以内に発生した不正利用が対象
記載無し 必要 明記有り
メルペイ 有り
第 17 条 不正利用等
原則全額 記載無し 記載無し 必要 明記有り
LINE Pay 有り
第32条 不正使用補償サービス
1事故あたり原則10万円上限 不正利用被害発生日から31日以内(受理日含む) サービス提供元負担 必要 明記有り
J-Coin Pay 有り
第20条 補償サービス
原則全額 記載無し 記載無し 恐らく該当 明記有り
&Pay 有り
&Payによる不正な送金等に係る補償について
30万円上限 不正利用被害日から30日以内 記載無し 必要 記載無し
故意、重大な過失に該当する恐れあり
楽天 Pay 記載無し
サービス提供者の故意、重大な過失に限定
第7条 楽天ID及びパスワードの管理等
記載無し 記載無し 記載無し 記載無し 記載無し
Origami Pay 記載無し
サービス提供者の故意、重大な過失に限定
第6条 モバイル端末の紛失及びアカウントの不正利用
記載無し 記載無し 記載無し 記載無し 記載無し
au Pay 記載無し 記載無し 記載無し 記載無し 記載無し 記載無し
Amazon Pay 記載無し 記載無し 記載無し 記載無し 記載無し 対象外
ファミペイ 記載無し
サービス提供者の故意、重大な過失に限定
第5条(暗証番号等の管理)
記載無し 記載無し 記載無し 記載無し 記載無し
QUOカードPay 不正利用に対する補償制度無し
第14条(スマートフォンおよびアカウントの管理)
記載無し 記載無し 記載無し 記載無し 対象外
Pixiv Pay 不正利用に対する補償制度無し
第11条 登録メールアドレス、ID及びパスワードの管理等
記載無し 記載無し 記載無し 記載無し 対象外
コーナンPay 不正利用に対する保証制度無し
第6条(パスワードの管理)
記載無し 記載無し 記載無し 記載無し 対象外
ゆうちょPay 不正使用に対する保証制度無し
21 免責
記載無し 記載無し 記載無し 記載無し 対象外
YOKA!Pay 不正使用に対する保証制度無し
第20条(免責)
記載無し 記載無し 記載無し 記載無し 対象外
りそなPayB 不正使用に対する保証制度無し
第6条 パスワード等の管理
(アプリ内から確認)
記載無し 記載無し 記載無し 記載無し 対象外
Sma-sh pay 正使用に対する保証制度無し
第10条 Sma-sh payの管理
記載無し 記載無し 記載無し 記載無し 対象外

補償制度の導入日

導入6社の導入(改訂)日を確認すると次の通り。

LINE Pay 2015年2月15日に改訂
【より安心・快適にご利用いただくために】LINEの送金・決済サービス「LINE Pay」、安全のしくみをご紹介
J-Coin Pay 改訂日の記述がないため、サービス開始当初から導入されていた模様
&Pay 2019年7月4日に改訂
メルペイ 2019年8月15日に改訂
PayPay 2019年8月28日に改訂
不正利用による被害を補償する制度の導入について ~ 「PayPay」をより安心してご利用いただくために ~
d払い 2019年8月28日に改訂
「d払い」等における不正利用の被害を補償する制度を導入

更新履歴

  • 2019年8月29日 AM 新規作成
  • 2019年8月29日 AM 申告期限の表記が曖昧だったため訂正、主にスマートフォン用アプリで利用されるキャッシュレス決済という主旨のため表現を修正

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

クレジットカード大手の三井住友カードは、会員向けのスマートフォンアプリに不正なアクセスがあり、およそ1万6700件で不正なログインがあった可能性があると発表しました。 クレジットカードが悪用されるなどの被害は確認されていませんが、利用者の氏名や利用明細が閲覧された可能性があるということです。

はてなブックマーク - 三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース はてなブックマークに追加

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース

クレジットカード大手の三井住友カードは、会員向けのスマートフォンアプリに不正なアクセスがあり、およそ1万6700件で不正なログインがあった可能性があると発表しました。 クレジットカードが悪用されるなどの被害は確認されていませんが、利用者の氏名や利用明細が閲覧された可能性があるということです。

はてなブックマーク - 三井住友カード 会員向けスマホアプリに不正アクセス | NHKニュース はてなブックマークに追加

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。

Capital Oneによる公式発表

(1)影響範囲

影響が及んだ人数の内訳は以下の通り。

米国 約1億人
カナダ 約600万人
  • 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
  • クレジットカード番号、ログイン情報は侵害されていない。
(2)外部へ流出した情報
  • クレジットカードへの申し込みを行った消費者、および中小企業に関する情報。
  • 2005年~2019年初めまでの間に収集された情報が対象。
  • 氏名、住所、郵便番号、電話番号、メールアドレス、生年月日、年収(自己申告)が含まれる。
  • 一部では以下の情報も含まれていた。
    • カードのスコア、与信限度額、残高、支払い履歴、連絡先情報を含む顧客ステータス情報。
    • 2016年、2017年、2018年の合計23日間のトランザクションデータの断片。

これに加え、米国、カナダでは次の情報が流出した。

社会保障番号 アメリカ 約14万人
カナダ 約100万人
銀行口座番号 アメリカ 約8万件

インシデントタイムライン

日時 出来事
2019年3月22日、23日 Capital OneのAWS環境へ不正アクセスが発生。
2019年6月27日 女が自分のSlackチャンネルへ違法取得したDBとみられるリストを投稿。
2019年7月17日 Capital Oneへデータリークに関する情報提供。
2019年7月19日 Capital Oneが流出の事実を確認。
2019年7月29日 FBIが不正アクセス事件関与の女を逮捕。
同日 米司法省が女の逮捕を発表。
2019年7月30日 Capital Oneがインシデントを公表。

原因はWAF設定ミス

f:id:piyokango:20190806055240p:plain

事件関与の人物

  • 逮捕、起訴されたのはワシントン州シアトル在住 ソフトウェアエンジニア 女 33歳。
  • Amazon.comは摘発された人物が過去クラウド部門従業員であったことを確認。
  • 当該人物とみられる経歴書によれば、2015年5月~2016年9月まで勤務。
  • 流出したデータがAWSのS3に格納されていたとみられることからインサイダーの犯行と当初噂されていたことがあった。
逮捕までの経緯

f:id:piyokango:20190806045137p:plain
(女が特定された背景)

  • 女はSNS(Twitter)に頻繁にペットの猫の写真をアップロードしていた。
  • VPNサービス(IPredator)、Torを介してAWSへの不正アクセスを行っていた。
  • 獣医の手紙とともに自宅の住所を投稿していた。
  • そこからFBIが女の居場所を特定したとみられる。
  • TwitterアカウントやSlackのチャンネルは削除、停止の措置が取られている。

f:id:piyokango:20190806045421p:plain

事件捜査の状況
  • 女はComputer Fraud and Abuse(コンピュータに関する詐欺、濫用)の容疑で起訴されている。
  • この事案の起訴状は司法省より公開されている。
  • 有罪となった場合、最高5年間の懲役、及び25万ドルの罰金となる。
  • 女がこの事件を起こした動機は不明。
  • 検察側は女が窃取した情報を外部へ共有するつもりであったと主張している。
DBリストに他企業の名前
  • 2019年6月27日に女が投稿したデータベースリストにCapital One以外の組織とみられるものが含まれていた。
  • これらを合計すると485GB。
  • 起訴状等から「ISRM-WAF-Role.tar.xz」がCapital Oneの流出データとみられる。
  • リスト中のInfoBloxはKrebsOnSecurityからの問い合わせに対し現時点で侵害の兆候は見られないと回答。
ファイル名 ファイル名から類推される組織
42lines.net.tar.xz 42 Lines
ISRM-WAF-Role.tar.xz Capital One
Rotate_Access_key.tar.xz
apperian.tar.xz Apperian
apperian2.tar.xz Apperian
astem.tar.xz Astem.net
cicd-instance.tar.xz
code_deploy_role.tar.xz
ec2_s3_role.tar.xz
ecs.tar.xz
ford.tar.xz Ford
fuckup.tar.xz
globalgarner.tar.xz globalgarner.com
hslonboarding-prod-backup1.tar.xz
indentiphy.img
infobloxcto.tar.xz InfoBlox
iwcodeacademy.tar.xz Codecademy
s3_logrotate_role.tar.xz
safesocial.tar.xz safesocial.media
service_devops.tar.xz
starofservice.tar.xz StarOfService S.A.S

(KrebsOnSecurityに掲載された投稿リストより)

更新履歴

  • 2019年8月6日 AM 新規作成

クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた

2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。

偽決済画面だらけのサーバー

  • 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。

f:id:piyokango:20190610003921p:plain

  • サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。
  • 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。
  • この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。
  • 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。
問題のドメインsearch-hot.comを調べる
  • 問題のページが稼働していたドメインsearch-hot.comは2018年以降、クレジットカードの情報流出被害で偽決済画面が表示されるURLとして報告されていたものだった。

f:id:piyokango:20190610010132p:plain
www.i-ori.jp
www.bunnyfa-yokohama.com

  • 偽決済画面が表示される事例については徳丸さんの記事が詳しい。

blog.tokumaru.org

  • このドメインには2つのIPアドレスがこれまで紐づいていた。
167.179.73.64
45.63.95.198
  • さらにIPアドレスを調べてみたところ、偽決済画面のページが複数設置されていた。
(1)167.179.73.64についての調査
  • 167.179.73.64について調べたところ、以下の結果となった。

f:id:piyokango:20190610002049p:plain

  • search-hot.comドメイン配下に設置された偽決済画面のページはURL中にepsilon_card3.phpが含まれており、決済代行サービス GMOイプシロンを利用するECサイトを狙っていたとみられる。
  • 伊織、バニーファミリー横浜の他、JA秋田しんせいの偽決済画面の設置されていた。

f:id:piyokango:20190610010640p:plain

  • urlscan.ioでは次の調査履歴が残っており、被害報告が確認できないURLが3件*1含まれていた。
  • いずれも偽決済画面らしきコンテンツは分析結果上から確認できなかったため、実際に設置されていたかどうかは定かではない。

f:id:piyokango:20190610012156p:plain

  • 洋菓子ウエストは「決済代行会社と類似したドメインURL」と説明していたが、似せたドメインはpay.f-regi.co.comが用いられていたとみられる。

www.ginza-west.co.jp

(2)45.63.95.198についての調査

  • 45.63.95.198、および周辺情報を調べたところ、複数の情報がかかった。興味深いものだけを抽出すると以下の結果となった。

f:id:piyokango:20190610002123p:plain

この調査では次の複数の決済代行サービスに似せたドメインを確認した。

  • CREDIX
  • ヤマトフィナンシャル(クロネコWebコレクト)
  • ルミーズ
  • イオンクレジットサービス(イオンレジ)
  • エフレジ(F-REGI)

この中で気になったのはクロネコWebコレクト、ルミーズに似せたドメイン。

クロネコWebコレクトに似せたドメインで気になったポイント
  • ヤマトフィナンシャルからは2018年11月に注意喚起が行われている。

[PDF] 当社サイトを騙る偽装サイト(フィッシングサイト)への注意喚起

弊社が運営しております「Naturas Psychos Product」のサイトにおいても、「クロネコ web コレクト」リンク方式の決済サービスを行っており、セキュリティー強化のため 2019 年1月 26 日から「NaturasPsychos Product」サイトのサービス利用を停止してメンテナンスを行っております。

長期に渡り、皆様にはご心配とご迷惑おかけし誠に申し訳ありません。
この度、かねてより準備を進めておりましたホームページのリニューアルが完了し、公開の運びとなりました。
安心してご購入いただけるようセキュリティ面の強化を目的とした
カートシステムのリニューアルを実施しております。

ルミーズに似せたドメインで気になったポイント
  • ルミーズに似せたドメイン配下に偽入力フォームの存在を確認した。

f:id:piyokango:20190610012532p:plain

  • 当該フォーム中にパズル販売を行っている企業名が掲載されていた。
  • この件との関係性は不明だが「システム不具合が発生したとして調査を行っている」と6月10日現在Webサイト上に掲載されている。

f:id:piyokango:20190610000224p:plain

謝辞

  • 今回は@ozuma5119さんより情報を頂きました。ありがとうございます。
  • @ozuma5119さんの尽力により関係者への連絡が行われ問題のサイトはテイクダウンされたようです。

更新履歴

  • 2019年6月10日 AM 新規公開

*1:同一サイトと思わしきものが1件含まれているように見え、実際には2件とみられる

ヤマダ電機通販サイトの不正アクセスについてまとめてみた

2019年5月29日、ヤマダ電機は自社運営の通販サイトが不正アクセスを受け、クレジットカード情報が外部へ流出した可能性があると発表しました。ここでは関連する情報をまとめます。

公式発表

  • 2019年5月29日

www.yamada-denki.jp

  • 調査結果を踏まえ、システムのセキュリティ対策、監視体制の強化を図っている。
  • カード情報の登録等機能の再開は改めて案内する。
情報流出の可能性のある通販サイト

www.yamada-denkiweb.com
ymall.jp

インシデントタイムライン

日時 出来事
2019年3月18日までに ヤマダウェブコム・ヤマダモールが不正アクセスを受け、ペイメントアプリケーションが改ざんされる。
カード情報流出の可能性がある対象期間
2019年4月16日 クレジットカード会社より情報流出の疑義について連絡。*1
同日 ヤマダ電機が情報漏えいの可能性を把握。
カード情報流出の可能性がある対象期間
2019年4月26日 ヤマダウェブコム・ヤマダモールでシステムメンテナンス。カード登録を休止する措置。
同日 ヤマダ電機がP.C.F.FRONTEOへ不正アクセスの調査を依頼。
2019年5月7日 ヤマダ電機が警察へ被害相談。
2019年5月20日 P.C.F.FRONTEOによる調査が完了。
2019年5月22日 ヤマダ電機が警察へ被害届を提出。*2
2019年5月28日 ヤマダ電機が個人情報保護委員会へ不正アクセス被害を報告。
2019年5月29日 ヤマダ電機が不正アクセス被害とクレジットカード情報流出の可能性を発表。

被害の状況

  • ヤマダウエブコム・ヤマダモールが不正アクセスを受けた。
  • ペイメントアプリケーションの改ざんが行われた。
    • - ヤマダ電機のWebサイトではカード情報を取得しない仕組みとなっていた。*3
  • 改ざんにより特定期間中にクレジットカード情報が流出した可能性がある。
流出可能性の対象件数 最大37,832件

以下行為を行った場合に該当
・新規カード登録
・カード登録情報の変更
流出可能性の対象期間 2019年3月18日~2019年4月26日(40日間)
流出可能性のカード情報 ・クレジットカード番号
・カード有効期限
・セキュリティコード
カードの悪用 一部不正利用された恐れあり。*4
  • 流出した可能性があるのはカード情報のみで他個人情報は影響を受けていない。
  • 警察、個人情報保護委員会へは報告済み。
4月16日時点で被害公表をしなった理由
  • ヤマダ電機は5月29日の発表で次の通り説明。

2019年4月16日情報漏洩の可能性は判明しましたが、正確な状況を把握しない段階で公表することは却って混乱を招くこととなることから、「ヤマダウエブコム・ヤマダモール」での新規クレジットカード登録、及びクレジットカード情報の変更を停止させて頂き、詳細調査を依頼している第三者調査機関の最終報告書をもって報告する事とさせていただきました。調査に時間がかかり、情報公開が遅れた事につきましても、深くお詫び申し上げます。

  • カード登録等の機能停止が情報漏えいの把握から10日経過した理由については触れられていない。

更新履歴

  • 2019年5月30日 AM 新規作成

東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた

2019年5月20日、東京都保健医療公社は多摩北部医療センターの職員端末が不正アクセスを受け、端末内の情報が流出した可能性があると発表しました。また職員関係者に対してスパムメールが送出される事案がその後発生し、これは端末内に保存された情報が流用されたとみられます。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン
日時 出来事
2019年5月1日 職員宛にマルウェアが添付されたメールが届く。
2019年5月2日 職員が添付ファイルを開き、マルウェアに感染。
2019年5月15日 17時56分 多摩北部医療センターメールサーバーに不審メールが届く
多摩北部医療センター職員端末やメールアカウントで不正アクセス発生
2019年5月16日 9時頃 公社、都庁の複数職員にスパムメールが届く
同日 9時半頃 多摩北部医療センター職員の端末をネットワークから遮断
同日 12時45分頃 多摩北部医療センター院内LANの影響調査開始
同日 14時半頃 警視庁へ通報
同日 16時半頃 警視庁職員や都職員(セキュリティ担当)が公社事務局を訪問。状況確認を実施。
同日 21時1分頃 東京都より送信元のIPアドレスの情報提供。公社メールサーバーで遮断。
2019年5月17日 侵害されたアカウントの被害件数を確認。
2019年5月18日 5時20分頃まで 流出の可能性があるメールアドレス宛に連絡。
2019年5月20日 東京都保険医療公社が不正アクセス被害を発表。
2019年6月7日 東京都保険医療公社が外部組織の調査結果を発表。
不正アクセスによる被害
  • 多摩北部医療センター職員(医師)1名の端末、メールアカウントが不正アクセスを受けた。
  • 流出可能性があるメールボックスの状況は以下の通り。
① 侵害アカウントのメール保管件数 8,335件
② ①に含まれるアドレス件数 1,533件
③ ①に含まれる患者情報等の個人情報のメール件数 24件
④ ③に含まれる個人情報の件数 3,671人(本文15人、添付ファイル3,656人)
  • 5月20日の段階では④の情報流出の事実は確認されていない。
  • ②の内、メールアドレス以外の個人情報流出の可能性ある人へは電話、郵便で連絡中。
  • 職員端末から接続できたサーバーの情報も流出した可能性がある。
  • 流出した情報を用いたとみられるスパムメールが発生している。
都庁メールサーバー宛 5件
公社メールサーバー宛 30件
都立病院、院内LAN 6件
その他やり取りのあったアドレス宛 5件
  • 差出人名は職員の名前が使われている。
  • 実際には職員のアドレスからは送出されていない。
  • メール本文は英文でマルウェアに感染するとみられる添付ファイル付き。
  • 5月20日時点の発表10件から6月6日時点で46件のメールが報告されている。
不正アクセスの原因
  • メールの添付ファイルを開きマルウェア「Emotet」に亜種に感染したことによる。
  • 職員は「不審なメールを開いた自覚はない」と話していることが報じられていた。*1
その他
  • 不正アクセス発生事後の全台(329台)のスキャンにより別端末で感染事実が確認された。
  • スキャンは多摩北部医療センターを対象に行われたもの。
マルウェア感染 9台
マルウェア感染の疑い 10台
  • 第二報ではいずれも今回のEmotet感染事案との関連はないとして報告された。

mail.tokyo-hmt.jpに接続試行するEmotet

any.run
f:id:piyokango:20190521055636p:plain

  • Any.Runでmail.tokyo-hmt.jpに接続を試みるEmotetの解析ログが残っている。
  • mail.tokyo-hmt.jpは公社のメールサーバー。
  • 解析日は2019年5月15日。
  • このEmotetと今回の事案との因果関係は不明。

更新履歴

  • 2019年5月21日 AM 新規作成
  • 2019年5月22日 AM 続報追記
  • 2019年6月8日 AM 続報追記

*1:患者らの情報流出か 医師PCに不正アクセス 都外郭団体,日本経済新聞,2019年5月21日夕刊

大手ウイルス対策ベンダ3社への不正アクセスについてまとめてみた

2019年5月10日、米国セキュリティ企業 AdvIntel(Advanced Intelligence, LLC)は大手のウイルス対策ベンダ3社が不正アクセスを受け、ソースコード等の機密情報が盗まれた可能性を報告しました。
その後、この3社はTrendMicro、Symantec、McAfeeと報じられ一部企業は不正アクセスを受けたとコメントしています。ここでは関連する情報をまとめます。

AdvIntelの調査報告(2019年5月10日)

Top-Tier Russian Hacking Collective Claims Breaches of Three Major Anti-Virus Companies

  • 2019年3月に米国拠点の大手ウイルス対策ベンダ3社から独占情報を盗んだと声明。
  • 不正アクセスは「Fxmsp」と呼称されるグループにより行われたものと報告。
  • 盗まれた情報にはソフトウェア開発に関するソースコードも含まれていた。
  • ハッキングフォーラムで盗んだ情報やネットワークアクセスに関する手口を販売。
  • 販売価格は30万ドル(3300万円相当)
  • Fxmspは2019年4月24日に3社への侵害を行ったと主張していた。
Fxmspについて
  • 英語、ロシア語話者で構成されるハッカーグループ。
  • 報じられたエビデンス(チャット画像)ではキリル文字で行われていた。
  • 2017年頃からアンダーグラウンドコミュニティで活動しAdvIntelはトップクラスと評価。
  • 様々な企業、政府を標的にしたことで知られ、これまでに100万ドル相当の収益を得たとみられる。
  • 外部公開されたRDP、ADを介した攻撃手法が知られている。
  • 最近は大規模な標的を対象にクレデンシャル窃取を目的としたボットを使用。
  • ロシア語圏ハッキングフォーラムに活動が集中していたが、2019年5月11日に投稿、オファーを一斉削除した。
  • FireEyeも2018年10月のUISGCONで[PDF] Fxmspの調査報告を行っている。

Fxmspは3社の侵害について次のコメントをしている。

  • 侵害に関連する調査は主に過去6か月間が対象とされるため、2018年10月から2019年4月までフォーラム上では沈黙していた。
  • ウイルス対策企業はネットワーク内の活動をだれも監視していない。
  • 窃取された情報がWeb上で確認された場合にのみ検出されると確信。
Fxmspが主張する3社から盗んだ情報
  • 以下の製品に関連する機密情報が盗まれた可能性がある。
    • 開発関連の文書
    • 機械学習に関係する分析情報
    • ウイルス対策ソフトのソースコード
    • Webセキュリティソフトウェア(セキュリティプラグイン?)のソースコード
    • そのほかPOS用のウイルス対策ソフト、メール用のアンチウィルス等様々。
  • Fxmspからフォルダのスクリーンショットが証拠として示された。
  • 盗まれたデータは30TB以上に及ぶ。
  • AnyDeskの画面を通じて証拠を示せると主張。
  • 盗まれた情報がWeb上に暴露されたといった情報、報道は5月14日時点で出ていない。

侵害されたとみられる3社

www.bleepingcomputer.com

  • Fxmspにより侵害されたのは次の3社とみられる。
被害を受けたとみられる企業 被害の有無
TrendMicro テストラボへの不正アクセス、一部低リスクの情報流出あり。
Symantec Nortonへの影響なし。
McAfee 5月14日時点で影響確認中。(侵害を否定していない)
(1) TrendMicro

TrendMicroが発表した声明は以下の通り。

  • 最近確認された声明について積極的な調査を行っている。
  • 単一のテストラボが侵害された。
  • 低リスクのデバッグ関連情報がいくつか盗まれた。
  • 侵害されたラボは隔離済みで、追加情報は現在無し。
  • 現時点でソースコードや顧客情報が盗まれた兆候はない。

これについて、AdvIntel側のコメント。

  • AdvIntelが最初(2019年4月24日)に連絡したセキュリティベンダ。
  • トレンドマイクロの出した声明に疑問を呈している。
  • Fxmspによる30TB超データへのアクセスや実際のファイル(100MB以上の.symファイル)を証拠として提示できる。

Fxmspがチャットで語っていたTrendMicro内の状況

  • TM社内へは企業内のローカルネットワークへのアクセスを行えた。
  • ネットワーク内で自由にアクセスすることが可能であった。
  • 認証済のnet share、またはRDPを介してのみ横移動することが可能。
  • 販売対象のアクセス方法はTeamViewer、AnyDeskを用いたもの。
  • TM社内のネットワークは巨大であり、各々異なる監視が行われている。
  • 全てのデータを抽出すると1000TBを超え、数か月かかるため危険である。
(2) Symantec
  • AdvIntelから5月8日にパートナーを通じてSymantecへ連絡。
  • その後、2019年5月9日、10日に2回 改善のリクエストを行っている。
  • 一部でSymantec側はAdvIntelからのコンタクトがないと報じられていたが、その後SymantecはAdvIntelのリサーチャーとコンタクトし、影響範囲を確認済。
  • Norton製品の他、顧客への影響は確認されていない。
  • AdvIntelはSymantec社内への無許可のエンティティの有無を判断するには証拠がさらに必要とコメント。
(3) McAfee
  • AdvIntelから5月9日にMcAfeeへ連絡したが返事待ちの状況。
  • 取材に対して、McAfee側は続けて確認中であるとコメント。

AdvIntelについて

  • 調査責任者はYelisey Boguslavskiy氏。
  • 以前はFlashpointなどで働いていた。
  • 2019年3月にFP社を離れ、AdvIntelを設立。*1


更新履歴

  • 2019年5月14日 PM 新規作成

大手ウイルス対策ベンダ3社への不正アクセスについてまとめてみた

2019年5月10日、米国セキュリティ企業 AdvIntel(Advanced Intelligence, LLC)は大手のウイルス対策ベンダ3社が不正アクセスを受け、ソースコード等の機密情報が盗まれた可能性を報告しました。
その後、この3社はTrendMicro、Symantec、McAfeeと報じられ一部企業は不正アクセスを受けたとコメントしています。ここでは関連する情報をまとめます。

AdvIntelの調査報告(2019年5月10日)

Top-Tier Russian Hacking Collective Claims Breaches of Three Major Anti-Virus Companies

  • 2019年3月に米国拠点の大手ウイルス対策ベンダ3社から独占情報を盗んだと声明。
  • 不正アクセスは「Fxmsp」と呼称されるグループにより行われたものと報告。
  • 盗まれた情報にはソフトウェア開発に関するソースコードも含まれていた。
  • ハッキングフォーラムで盗んだ情報やネットワークアクセスに関する手口を販売。
  • 販売価格は30万ドル(3300万円相当)
  • Fxmspは2019年4月24日に3社への侵害を行ったと主張していた。
Fxmspについて
  • 英語、ロシア語話者で構成されるハッカーグループ。
  • 報じられたエビデンス(チャット画像)ではキリル文字で行われていた。
  • 2017年頃からアンダーグラウンドコミュニティで活動しAdvIntelはトップクラスと評価。
  • 様々な企業、政府を標的にしたことで知られ、これまでに100万ドル相当の収益を得たとみられる。
  • 外部公開されたRDP、ADを介した攻撃手法が知られている。
  • 最近は大規模な標的を対象にクレデンシャル窃取を目的としたボットを使用。
  • ロシア語圏ハッキングフォーラムに活動が集中していたが、2019年5月11日に投稿、オファーを一斉削除した。
  • FireEyeも2018年10月のUISGCONで[PDF] Fxmspの調査報告を行っている。

Fxmspは3社の侵害について次のコメントをしている。

  • 侵害に関連する調査は主に過去6か月間が対象とされるため、2018年10月から2019年4月までフォーラム上では沈黙していた。
  • ウイルス対策企業はネットワーク内の活動をだれも監視していない。
  • 窃取された情報がWeb上で確認された場合にのみ検出されると確信。
Fxmspが主張する3社から盗んだ情報
  • 以下の製品に関連する機密情報が盗まれた可能性がある。
    • 開発関連の文書
    • 機械学習に関係する分析情報
    • ウイルス対策ソフトのソースコード
    • Webセキュリティソフトウェア(セキュリティプラグイン?)のソースコード
    • そのほかPOS用のウイルス対策ソフト、メール用のアンチウィルス等様々。
  • Fxmspからフォルダのスクリーンショットが証拠として示された。
  • 盗まれたデータは30TB以上に及ぶ。
  • AnyDeskの画面を通じて証拠を示せると主張。
  • 盗まれた情報がWeb上に暴露されたといった情報、報道は5月14日時点で出ていない。

侵害されたとみられる3社

www.bleepingcomputer.com

  • Fxmspにより侵害されたのは次の3社とみられる。
被害を受けたとみられる企業 被害の有無
TrendMicro テストラボへの不正アクセス、一部低リスクの情報流出あり。
Symantec Nortonへの影響なし。
McAfee 5月14日時点で影響確認中。(侵害を否定していない)
  • SC Mediaの取材には4社目の侵害についてもコメントしている。*1
  • 4社目がどこかFxmspから開示されておらず、AdvIntelも把握していない。
(1) TrendMicro

www.trendmicro.com
TrendMicroが発表した声明は以下の通り。

  • 最近確認された声明について積極的な調査を行っている。
  • 単一のテストラボが侵害された。
  • 低リスクのデバッグ関連情報がいくつか盗まれた。
  • 侵害されたラボは隔離済みで、追加情報は現在無し。
  • 現時点でソースコードや顧客情報が盗まれた兆候はない。
  • 中国南京の拠点が被害を受けたとの報道は事実と異なる。

これについて、AdvIntel側のコメント。

  • AdvIntelが最初(2019年4月24日)に連絡したセキュリティベンダ。
  • トレンドマイクロの出した声明に疑問を呈している。
  • Fxmspによる30TB超データへのアクセスや実際のファイル(100MB以上の.symファイル)を証拠として提示できる。

Fxmspがチャットで語っていたTrendMicro内の状況

  • TM社内へは企業内のローカルネットワークへのアクセスを行えた。
  • ネットワーク内で自由にアクセスすることが可能であった。
  • 認証済のnet share、またはRDPを介してのみ横移動することが可能。
  • 販売対象のアクセス方法はTeamViewer、AnyDeskを用いたもの。
  • TM社内のネットワークは巨大であり、各々異なる監視が行われている。
  • 全てのデータを抽出すると1000TBを超え、数か月かかるため危険である。
(2) Symantec
  • AdvIntelから5月8日にパートナーを通じてSymantecへ連絡。
  • その後、2019年5月9日、10日に2回 改善のリクエストを行っている。
  • 一部でSymantec側はAdvIntelからのコンタクトがないと報じられていたが、その後SymantecはAdvIntelのリサーチャーとコンタクトし、影響範囲を確認済。
  • Norton製品の他、顧客への影響は確認されていない。
  • AdvIntelはSymantec社内への無許可のエンティティの有無を判断するには証拠がさらに必要とコメント。
(3) McAfee
  • AdvIntelから5月9日にMcAfeeへ連絡したが返事待ちの状況。
  • 取材に対して、McAfee側は続けて確認中であるとコメント。

AdvIntelについて

  • 調査責任者はYelisey Boguslavskiy氏。
  • 以前はFlashpointなどで働いていた。
  • 2019年3月にFP社を離れ、AdvIntelを設立。*2


更新履歴

  • 2019年5月14日 PM 新規作成
  • 2019年5月15日 AM 続報(4社目の侵害)追記
  • 2019年5月21日 AM トレンドマイクロ社の発表を追記

TVerの改ざんについてまとめてみた

2019年4月29日、動画配信サービスのTVerはWebサイト、アプリから参照される画像などが改ざんされたと発表しました。ここでは関連する情報をまとめます。

公式リリース


tver.jp

被害の状況

f:id:piyokango:20190430010119p:plain
不正アクセスされたとみられるコンテンツ管理システム(アーカイブより、現在アクセス不可)

  • TVerのコンテンツ管理システムが外部から不正アクセスを受けた。
  • 何者かにより新規投稿や複数の番組画像の一部や番組説明、タイトルが改ざんされた。

f:id:piyokango:20190430011032p:plain

  • コンテンツが改ざんされた期間は2019年4月29日0時~3時半頃。
  • アップロードされていた画像には違法なものも含まれていたとみられる。
  • マルウェア感染などコンテンツ閲覧者への直接的な影響はない。
  • TVer上で行われていたアンケート情報の漏洩は確認されていない。

原因

f:id:piyokango:20190430095102p:plain

  • コンテンツ管理システムのアカウント情報(ID、パスワード)が外部から参照可能であったため。*1
  • データが参照可能となっていた経緯(サーバーの設定変更の詳細)は不明。

f:id:piyokango:20190430005511j:plain

  • パスワードは平文で保存されていた可能性がある。
  • 画像設置の行為は改ざんされる1日前から行われていた模様。

f:id:piyokango:20190430010015p:plain
f:id:piyokango:20190430095120j:plain

更新履歴

  • 2019年4月30日 AM 新規作成
  • 2019年4月30日 AM 画像を修正(補足書きなど追記)

Docker Hubの不正アクセスについてまとめてみた

2019年4月27日、Dockerはコンテナ共有サービス「Docker Hub」が不正アクセスを受け約19万件のアカウントに影響が及んだとして情報漏えいの可能性について発表しました。ここでは関連する情報をまとめます。

公式リリース

f:id:piyokango:20190429031238p:plain
success.docker.com

被害の状況

  • Docker Hubのデータベースが不正アクセスを受けた。
  • 不正アクセスにより一部のユーザー情報が盗まれた恐れがある。
  • 影響を受けたのは約19万件のアカウント。全ユーザー数の約5%未満。
  • Dockerは不正アクセスの時間は短時間と説明。
  • 2019年4月25日にDockerがDocker Hubデータベースへの不正アクセスを把握。
  • この侵害によるDockerの公式イメージへの影響はない。
  • 不正アクセスの手口については明らかにされていない。
メール届いた場合は影響を受けた恐れ
  • Dockerから連絡メールが届いた場合はこの問題の影響を受けた恐れがある。
  • Dockerから送出されているメールの件名は「Docker Hub - User Notification


自動ビルド機能を利用していない場合も次に該当する場合は連絡が届く。

  1. 過去Github、Bitbucketのアカウントをリンクしていた
  2. パスワードハッシュが漏えいした可能性がある
  • メールの全文はBleeping Comupterに掲載されている。

www.bleepingcomputer.com

盗まれた恐れのある情報

以下のDocker Hubのアカウント情報が盗まれた恐れがある。
トークンはDocker自動ビルド用に用いられていたもの。

  • ユーザー名
  • ハッシュ化されたパスワード
  • Githubのトークン
  • Bitbucketのトークン

リポジトリ上の次のデータに対して読み書き権限が要求される。

  • Github

f:id:piyokango:20190429030618p:plain

  • Bitbucket

f:id:piyokango:20190429030622p:plain

Docker側の対応

影響を受けた可能性のあるユーザーへ以下の対応がとられている。

  • メールによる連絡
  • パスワードリセット
  • Github、Bitbucketのトークンとアクセスキーの無効化

Dockerはこの対応により自動ビルドが今後失敗すると案内。再リンクはいったんリンクの解除が必要となる場合があると説明している。

また予期しない動作(未知のIPアドレスからのアクセスなど)が発生していないかセキュリティログのチェックを推奨。

  • Github

help.github.com

  • Bitbucket

bitbucket.org

更新履歴

  • 2019年4月29日 AM 新規作成
  • 2019年4月29日 AM タイトルを修正(情報漏えい⇨不正アクセス)

カードの有効性確認を悪用した情報流出についてまとめてみた

クレジットカード悪用のためにショッピングサイトでカード情報の有効性確認が行われる事例が報告されており、この手口についてまとめます。

被害を受けたWebサイト

  • 「有効性確認」の手口がとられたと発表した組織は2019年4月までに2件です。(piyokangoが確認した限り)
No 発表日 被害組織 被害状況(対象期間) 原因
1 2018年12月7日
2018年12月14日(補足)
エディットモード
(editmode.jp)
カード情報2,169件流出
(2,169件で決済成立)
期間:2018年3月7日~2018年7月11日
外部からアクセス可能な状況となっていたため
2 2019年4月23日 エーデルワイン
(shop.edelwein.co.jp)
最大31,231会員情報流出
(1,140件で決済成立)
期間:2015年7月8日~2018年8月5日
システムの一部の脆弱性を攻撃されたため

流出したカード情報は以下4項目

  • カード名義人名
  • カード番号
  • カード有効期限
  • セキュリティコード

有効性確認の説明

  • 自社外の情報を用いて自社サイトで利用可能かを確認されたと説明。
  • 自社サイトの決済が成立するかで有効性を確認していたとみられる。
エディットモード 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。
エーデルワイン カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い、利用できるかを確認するものです。

エディットモードへの不正アクセス

補足発表で明らかにされた手口は以下の通り。

  1. 何者かがeditmode.jpへ不正アクセス
  2. 決済時に(一時利用のみであったはずの)カード情報をWebサーバー上に保管するようにシステム改変
  3. 保管されたクレジットカード情報を何者かが複数回ダウンロード
  • 2,3の間で有効性確認の決済を行っていたとみられる。
  • ダウンロードされたカード総件数は14,679件。
  • この内、2,169件(14.8%)で実際に決済が成立していた。
  • エーデルワインが同様の手口だったのかは不明。

更新履歴

  • 2019年4月24日 AM 新規作成

カードの有効性確認が発覚した情報漏えいについてまとめてみた

クレジットカードの不正利用の調査からショップサイトを通じてカードの有効性確認が行われていた事例が報告されています。ここでは関連する情報をまとめます。

有効性確認が確認されるまでの経緯

f:id:piyokango:20190425114108p:plain

  • ショップサイトへ決済代行業者から不正利用の疑念ありとの連絡。
  • 調査により不正アクセスによりカード情報を盗まれていたことが判明。
  • 調査結果より盗まれた大半のカード情報が有効性確認に利用されたものと判明。

被害を受けたWebサイト

  • 自社サイトへ「カードの有効性確認」が行われたと発表した組織(piyokangoが確認したもの)
No 発表日 被害組織 被害状況(対象期間) 原因
1 2018年12月7日
2018年12月14日(補足)
エディットモード
(editmode.jp)
カード情報2,169件流出
(2,169件で決済成立)
期間:2018年3月7日~2018年7月11日
外部からアクセス可能な状況となっていたため
2 2019年4月23日 エーデルワイン
(shop.edelwein.co.jp)
最大31,231会員情報流出
(1,140件で決済成立)
期間:2015年7月8日~2018年8月5日
システムの一部の脆弱性を攻撃されたため

2社とも流出したカード情報は以下4項目*1

  • カード名義人名
  • カード番号
  • カード有効期限
  • セキュリティコード

調査で明らかになった有効性確認行為

  • 自社外の情報を用いて自社サイトで利用可能かを確認されたと説明。
  • 自社サイトの決済が成立するかで有効性を確認していたとみられる。
  • 有効性確認の具体的な手口は明らかにされていない。
エディットモード 弊社サイト外で流出したであろうカード情報を、弊社サイトを使用して利用可能か確認することです。本件では大量に入力した痕跡を確認いたしました。
エーデルワイン カードの有効性確認とは、機械的に作成したカード情報を弊社サイトで使い、利用できるかを確認するものです。

エディットモードへの不正アクセス

補足発表で明らかにされた手口は以下の通り。

  1. 何者かがeditmode.jpへ不正アクセス
  2. 決済時に(一時利用のみであったはずの)カード情報をWebサーバー上に保管するようにシステム改変
  3. 保管されたクレジットカード情報を何者かが複数回ダウンロード
  • 何者かが2,3の間で有効性確認の決済を行っていたとみられる。
  • サーバーからダウンロードされたカード情報総数は14,679件。
  • この内、2,169件(14.8%)で実際に決済が成立していた。
  • エディットモードへの不正アクセスと有効性確認の関連は不明。
  • エーデルワインが同様の手口だったのかは不明。

更新履歴

  • 2019年4月24日 AM 新規作成
  • 2019年4月25日 PM 誤解を招くため、タイトル、本文内容を追加・修正。まとめ、イメージ図を追加。更新前の記事。

*1:会員情報の他項目については言及されていない。

海外のIT大手などを狙ったフィッシング活動についてまとめてみた

海外の大手ITベンダを含む数社がフィッシング活動の対象となり、その内インドIT大手のWiproでは不正アクセスによる被害を受けていたとして、Brian Krebs氏が4月15日に自身の取材で明らかにしました。ここでは関連する情報をまとめます。

Krebs氏が報じたインシデント

krebsonsecurity.com
krebsonsecurity.com
krebsonsecurity.com

  • Wiproはインドで3番目の規模のITアウトソーシング企業
  • 4月15日に初報、17日にWipro側のコメントを受けて、18日にIoC等のフォローアップなどの続報を報じた。
  • Wiproへ国家が関与する攻撃者により数か月の侵入発生。
  • Wiproのシステムより得た情報からフィッシング攻撃に利用されていた可能性。
  • Wiproの取引先少なくとも11社がこれの被害を受けたとみられる。
  • 侵入者の攻撃基盤に保管された複数のWiproの顧客名から明らかになったもの。
  • 被害を受けた具体的企業名の公開については情報元は断った。
  • Wipro内部は依然安全性が担保されておらず未知の侵害された端末が残っている可能性がある。
  • 米国の大手小売店からの情報によれば、Wiproへの侵害結果を悪用し小売店へギフトカード詐欺を行っていた模様。
Wipro事案の情報源
  • Wiproの件でKrebs氏への情報提供元は4者。
  • 最初の情報提供者は2名、その後さらに2名が増えた。
  • いずれも匿名を条件に取材を受けた。
Wiproへの攻撃手口
  • フィッシングを起点に合計23名のWipro従業員のアカウントが侵害。
  • ConnectWise Control(ScreenConnect)を利用してWiproのネットワークへリモート接続。
  • Wipro社内の100台以上のシステムにこのソフトウェアがインストールされていた。
  • Mimikatzなどを用いて少なくとも1台のエンドポイントが攻撃されていることが確認された。

f:id:piyokango:20190422060608p:plain

Wiproの公式発表

  • Wiproネットワーク上の少数の従業員アカウントで潜在的に異常活動を検出。
  • 今回の事案は高度なフィッシングキャンペーンに起因するもの。
  • 既に影響範囲は特定され、その封じ込めをするための軽減的な措置は講じられている。
  • セキュリティ体制強化のために脅威情報の収集及び監視を行っている。
  • 第三者のフォレンジック企業による調査支援を受けている。
  • ET techの取材に対しても同様に回答を寄せている。
Wipro COOはKrebs氏記事の多くが誤りと主張

  • 四半期毎に行われる投資家向け電話会議ではKrebs氏の情報の多くは誤りであると説明。
  • 説明に立ったのはWiproのBhanu Ballapuram COO。
  • 指摘された問題は対処済み。
  • COOは何らかのゼロデイ攻撃が用いられたと主張したが、Krebs氏の質問には答えず。
  • 攻撃関連の情報はアンチウィルスベンダと共有している。

対象となった可能性のある企業

f:id:piyokango:20190423053508p:plain
f:id:piyokango:20190423053914p:plain
f:id:piyokango:20190423054400p:plain
f:id:piyokango:20190423054706p:plain
f:id:piyokango:20190423054846p:plain

  • その内いくつかはCRN Solution Providerに選出されるIT企業大手が含まれている。
  • Krebs氏、他報道*1から一部企業がWipro同様に攻撃を受けていたことが明らかとなった。
Avanade 34名の従業員が2月に影響を受けた。
顧客ポートフォリオ、データへの影響はない。
アクセンチュア、Microsoftの調査により独立した事案であると結論。
Capgemini 内部のSOCで3月4日~19日までの間 非常に限定的なPC、サーバーで疑わしい活動を検出。
是正措置は即時に行われ、社内、および顧客への影響は確認されていない。
Cognizant 顧客データへの侵害を検出していない
大手であり、スピアフィッシングの対象となることは珍しいことではない。
特定業界への事件に関連して追加のセキュリティ対策を講じた。
Infosys 脅威インテリジェンスベンダのITサービスを利用
インディケーターを子細に分析したがネットワーク侵害たる状況は確認されていない
Rackspace 社内への影響が及んだと判断できる情報は確認されていない。
問題を確認した際な措置を講じる。
PCM 取材へのコメントは控える
Salom 3月4日~19日にかけフィッシング活動を検出。
Wipro事案との相関を確認している。
SOCや脅威インテリジェンスの自動化等の対策を講じている。

他名前が挙がっている次の組織ではコメントなど報じられていない。

関連タイムライン

日時 出来事
2019年2月 Avanadeで従業員がセキュリティ上の問題の影響を受けた。
2019年3月11日 Wiproで最初のフィッシング攻撃による被害が発生。
2019年3月16日~19日 Wiproに対してフィッシング活動が継続。22名が被害。
2019年3月4日~19日 CapgeminiのSOCで社内から疑わしい活動を検出。
2019年3月4日~19日 Salomへのフィッシング活動を検出。
2019年4月初め Wiproのインシデントについて、Krebs氏へ情報提供。
2019年4月9日 Krebs氏がWipro側へコメント要求。
2019年4月10日 Wipro 広報責任者から出張中であり、回答に数日を要すると返答。
2019年4月12日 WiproはKrebs氏の質問にいずれも該当しないとの声明を返答。
2019年4月15日 Krebs氏が取材記事を公開。
2019年4月16日 Wiproが高度なフィッシングによる潜在的な問題を検知したと発表。
2019年4月17日 Krebs氏がWiproの報道を受け続報記事を公開。
2019年4月18日 Krebs氏がIoC等の詳細な関連情報を続報として公開。

更新履歴

  • 2019年4月23日 AM 新規作成

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた

「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。

3月以降脆弱性が確認されたプラグイン

2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。

No 報告日 対象のプラグイン インストール数 バージョン 脆弱性
1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格
2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行
3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型)
4 2019/04/09 Visual CSS Style Editor 3万件超 7.1.9以前 管理者への特権昇格
  • 全て脆弱性検証コード公開と攻撃活動観測あり。
  • 報告に上がっているのは詐欺サイトへの誘導。以下はセキュリティ企業が報告しているもの。
setforspecialdomain[.]com
somelandingpage[.]com
getmyfreetraffic[.]com
hellofromhony[.]org
pastebin.com/raw/0yJzqbYf
pastebin.com/raw/PcfntxEs
185.212.131.45
185.212.128.22
185.212.131.46
86.109.170.200
176.123.9.52
  • Defiantは脆弱性を悪用する活動は同一のグループによるものと推定。
  • Yuzo Related PostsとYellow PencilはWordpress.orgで4/16時点で非公開状態。
  • Wordpress.orgで非公開化されたものはセキュリティ上の問題が生じている可能性あり。

f:id:piyokango:20190417164643p:plain
公開停止中のYuzo Related Posts

国内での被害報告



  • Sucuriによれば、プラグインが利用されているかスキャン活動も観測されている模様。
  • プラグインに内包されるJavaScriptファイルなどを探査する。
  • 以下はYuzo Related Postsを対象としたもの。
https://[WordPress Site]/wp-content/plugins/yuzo-related-post/assets/js/admin.js

f:id:piyokango:20190417131609p:plain
JPドメインでも確認した例

以下はプラグイン別に概要をまとめたもの。

(1)Easy WP SMTP

脆弱性の概要
  • インポート、エクスポートの機能のアクセス制御に不備。
  • 細工したファイルをアップロードし、認証無しにWordPressの設定を変更できる。
  • 観測された攻撃は既定のロールを管理者にし、ユーザー登録機能を有効にするもの。

(2)Social Warface

脆弱性の概要
  • プラグイン呼び出しの際、読込先のファイル(JSON)のURLを指定できる。
  • 一部のパラメーターにエスケープ漏れがあり、XSSの脆弱性が存在する。
  • 観測された攻撃例ではPastebinが利用されていた。

(3)Yuzo Related Posts

脆弱性の概要
  • プラグインから呼び出される特定のパラメーターにエスケープ漏れが存在する。
  • 送信されたデータはデータベースから消さない限り、永続的に残るもの。
  • 脆弱性はyuzo-related-postが含まれるURL。
  • このプラグインは日本語記事でも紹介されている。
対策・復旧方法

wordpress.org
開発者が推奨する対策は以下の通り。

  • 一刻も早いプラグインの削除、アンインストール
  • wp_optionsテーブルにあるyuzo_related_post_optionsのレコード削除
  • wp_yuzoviewsはこの問題に影響しないため、削除しないように注意。
  • 改良バージョンは近々公開されると開発者は予告。
  • 開発者は他のプラグインへの影響はないと説明している。

f:id:piyokango:20190417131549p:plain

(4)Visual CSS Style Editor (Yellow Pencil)

脆弱性 検証コード
  • 特定のパラメーターが指定されると管理者特権でWordPressを操作できる。
  • これを利用してプラグイン呼び出しの際にWordPressの任意のオプションを指定が可能。
  • 任意のユーザー登録を可能とするオプションを有効化することができる。

(参考)一部プラグインは有効化時情報送信

脆弱性と別話題だがプラグイン有効化の際に情報を送信している行為が確認されたとの指摘がある。
technote.space

  • プラグインが改ざんされたのではなく、この元々備わっていたもの。
  • Yuzo Related Postsでは以下箇所で管理者メールアドレス、サーバーIPに関連する情報(緯度経度等)を送信していた。
$r = get_userdata(1);$n = $r->data->display_name;$e = get_option( 'admin_email' );echo "<script>jQuery.ajax({url: 'http://ilentheme.com/realactivate.php?em=$e&na=$n&la=".$IF_MyGEO->latitude."&lo=".$IF_MyGEO->longitude."&pais_code=".$IF_MyGEO->countryCode."&pais=".$IF_MyGEO->countryName."&region=".$IF_MyGEO->region."&ciudad=".$IF_MyGEO->city."&ip=".$IF_MyGEO->ip."&code=$code&type=$type',success: function (html) { null; } });</script>";

http://ilentheme.com/realactivate.php

  • また他関連表示プラグイン「WordPress Related Posts」でも情報送信を行っていると指摘している。

technote.space

(参考)脆弱性対応をめぐり衝突が起きていた

f:id:piyokango:20190417164236p:plain

更新履歴

  • 2019年4月17日 AM 新規作成