新元号発表に伴い、ソフトバンクのキャッシュバックキャンペーンを騙るメールが確認されています。弊社では、このようなキャンペーンは実施しておらず、またこのようなメールも配信しておりません。受信した場合、本文中のURLリンクをクリックしないようご注意ください。
— SoftBank (@SoftBank) April 1, 2019

「新元号キャンペーン」と称し、料金改定やお得な料金プランのご案内などとして、携帯電話会社を騙った新元号に便乗する迷惑メールが送られている事を確認しています。当社ではこのようなメールは配信しておりませんので、本文中のURLリンクは絶対にクリックしないようご注意ください。 pic.twitter.com/95DnZZT001
— ａｕサポート (@au_support) April 2, 2019

WPA3に脆弱性（Dragonblood）

【概要】

Wi-Fiのセキュリティ規格「WPA3」に脆弱性が存在するとして、過去にWPA2の脆弱性（KRACK）を指摘した研究者が発表した。

【参考情報】

Dragonblood: Analysing WPA3's Dragonfly Handshake

Wi-Fi Alliance® security update | Wi-Fi Alliance

Wi-Fiセキュリティ新規格「WPA3」の脆弱性、対処するソフトウェアアップデートが公開 - ITmedia エンタープライズ

WPA3に脆弱性「Dragonblood」、確認を | マイナビニュース

Wi-Fiセキュリティ新規格「WPA3」に影響を及ぼす脆弱性群「Dragonblood」 - CNET Japan

Wi-Fiセキュリティ新規格「WPA3」に脆弱性、登場から1年経たずに発見される - INTERNET Watch

コインハイブ事件で横浜地検が控訴

【概要】

コインハイブ事件で不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性に無罪判決がされたものの、横浜地検がそれを不服とし、控訴した

※コインハイブ事件：自身のWebサイトにCoinhive（コインハイブ）を設置したとして、不正指令電磁的記録保管の罪に問われた事件

【参考情報】
コインハイブ事件のご報告とこれからのこと｜モロ｜note

コインハイブ事件控訴のお知らせとクラウドファンディングのお願い #JHA_Coinhive｜モロ｜note

“Coinhive事件”控訴審の訴訟費用寄付、2日で1000万円超え受付終了 - ITmedia NEWS

検察側の控訴が物議なぜコインハイブ事件は無罪判決を勝ち取れたのか、地裁判決3つの根拠を整理 - ねとらぼ

コインハイブ事件で検察側が控訴無罪判決に不服 - 弁護士ドットコム

危険なパスワードトップ10万のリストが公開

【概要】

イギリスのサイバーセキュリティセンター（NCSC）が、危険なパスワードトップ10万のリストを公開した

【参考情報】
GCHQ

使ってはいけないパスワードトップ10万が発表、第1位は？ | マイナビニュース

イギリスのサイバーセキュリティセンターが危険なパスワードを公表 (2019年5月2日) - エキサイトニュース

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

ゴールデンウィークにおける情報セキュリティに関する注意喚起：IPA 独立行政法人情報処理推進機構

「ITサプライチェーンにおける情報セキュリティの責任範囲に関する調査」報告書について：IPA 独立行政法人情報処理推進機構

情報セキュリティ安心相談窓口の相談状況［2019年第1四半期（1月～3月）］：IPA 独立行政法人情報処理推進機構

脆弱性対策情報データベースJVN iPediaの登録状況 [2019年第1四半期（1月～3月）]：IPA 独立行政法人情報処理推進機構

▼サイバー情報共有イニシアティブ（J-CSIP）運用状況[2019年1月～3月]（PDF）

https://www.ipa.go.jp/files/000073456.pdf

▼情報セキュリティ10大脅威　個人編（PDF）

https://www.ipa.go.jp/files/000073293.pdf

JPCERT コーディネーションセンター

長期休暇に備えて 2019/04

Trend Micro

「Apache Solr」の安全でないデシリアライゼーションの脆弱性「CVE-2019-0192」を検証 | トレンドマイクロセキュリティブログ

侵害サイトからフィッシングへ誘導する攻撃を韓国で確認 | トレンドマイクロセキュリティブログ

Microsoft EdgeとInternet Explorerにゼロデイ脆弱性、セッション情報が露出する恐れ | トレンドマイクロセキュリティブログ

国内スマートフォン利用者を狙う新たな動きを詳細解説 | トレンドマイクロセキュリティブログ

正規ソフト「AutoHotkey」を悪用した攻撃を確認 | トレンドマイクロセキュリティブログ

暗号化型ランサムウェア「LockerGoga」について解説 | トレンドマイクロセキュリティブログ

電子メールが乗っ取られたら?すぐやるべき5つの対策 | トレンドマイクロセキュリティブログ

複数の脆弱性を利用してさまざまなルータを狙う「Mirai」の新しい亜種を確認 | トレンドマイクロセキュリティブログ

宅配偽装SMSによるスマートフォンへの攻撃でまた新たな手口 | トレンドマイクロセキュリティブログ

この大型連休前後に法人で注意すべき標的型攻撃の特徴を解説 | トレンドマイクロセキュリティブログ

身代金要求に被害組織名を記載、標的型攻撃にランサムウェアを利用か？ | トレンドマイクロセキュリティブログ

McAfee

楽しい連休前後、後悔しない「セキュリティ・チェック」

Instagramのログイン情報を盗むフィッシング詐欺 ”Nasty List”

Kaspersky

https://blog.kaspersky.co.jp/taj-mahal-apt/23030/

https://blog.kaspersky.co.jp/dangerous-plugins/22981/

https://blog.kaspersky.co.jp/ms-office-vulnerabilities-sas-2019/23042/

https://blog.kaspersky.co.jp/macos-exe-malware/22857/

https://blog.kaspersky.co.jp/japan-big-holidays-security/23050/

https://blog.kaspersky.co.jp/details-shadow-hammer/23118/

IIJ

wizSafe Security Signal 2019年3月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

ソフトバンク・テクノロジー

CVE-2019-0211 - 脆弱性調査レポート | ソフトバンク・テクノロジー (SBT)

piyolog

神奈川県警職員が10年以上行っていた不正アクセス事案についてまとめてみた - piyolog

新元号発表に乗じたスパムメールや政府の情報漏れ対策をまとめてみた - piyolog

ライブ配信を悪用したポイント詐取事件についてまとめてみた - piyolog

ラブライブ！公式サイトの改ざんについてまとめてみた - piyolog

不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog

サードパーティ取得のFacebookデータが公開状態だった件についてまとめてみた - piyolog

危険物が製造された複数の事件についてまとめてみた - piyolog

マンガワンのチート事案についてまとめてみた - piyolog

WordPressプラグインを狙う攻撃が活発化している件をまとめてみた - piyolog

海外のIT大手などを狙ったフィッシング活動についてまとめてみた - piyolog

カードの有効性確認が発覚した情報漏えいについてまとめてみた - piyolog

Docker Hubの不正アクセスについてまとめてみた - piyolog

TVerの改ざんについてまとめてみた - piyolog

徳丸浩の日記

WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性 | 徳丸浩の日記

鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した | 徳丸浩の日記

tike blog

JPドメインの悪用について - tike blog

今回もココまで読んでいただきありがとうございました。

ではでは！

　　彡 ⌒ ミ
　　(´･ω･｀)
　○━━━○
　 ┃ 　令　┃
　 ┃ 　　　┃
　 ┃ 　和　┃
　ﾉ　　　　ﾉ
　━━━━′

＜更新履歴＞

2019/05/09 PM　公開

2019-04-17

Emotetをダウンロードさせる不審なWordファイルのPowerShellスクリプト難読化を解析してみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

※※※※※※※※※※※※※※※※注意※※※※※※※※※※※※※※※※

今回のブログ、あくまでも『ぼくのメモ』として公開しています。

今回の解析ですが、感染のリスクがありますので、

意味があまりわからない場合、実行しないことを推奨します。

本解析手法はEmotetに感染させたくないと考えている現場の

人間向けのものとなっております。

また、本解析方法を実施し、マルウェアに感染した場合でも、

当方は一切の責任を負いません。

※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※

ここ数日（4月12日～）、マルウェアのEmotetに感染させるばらまき型メールが出回っています。

出回っているメールには、不審なファイル（Wordファイル）が添付されているのですが、この不審なファイル（Wordファイル）をダウンロードし、マクロを有効化してしまうと、Emotetをダウンロードさせるために通信が発生する仕組みになっています。

この、

『ダウンロードさせるための通信』＝通信先

が、すぐにでも判明すれば、通信先を遮断したり、URLをブラックリストに投入したりすることができたりします。

ぼくのようにSOC（Security Operation Center）で仕事をしていると、こう思ってしまうのが性なんです。。。。（ってみんなそうだよね？）

いつもお世話になっているねこさん（@catnap707）がこんなツイートをしてくれました。

添付のdocファイルに含まれる #emotet のPowerShell スクリプトの難読化を解析

1 HAやhttps://t.co/qPdJy6xdozからPowerShell スクリプトのエンコードされたコードをコピーする。
2 コピーした内容をinfile.txtとして保存
3 コマンドプロンプトで、certutil.exe -decode infile.txt outfile.txt pic.twitter.com/Y44xMfj8Mu
— ねこさん⚡🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) April 16, 2019

4 デコードされたoutfile.txtを開いて、セミコロンのところで改行
5 foreach～downloadfileの手前までをコピーして、PowerShellのプロンプトにコピー
6 foreachのinの後ろの変数を入力
7 URLが得られます pic.twitter.com/pZlK6FO3NJ
— ねこさん⚡🔜Ͷow or Ͷever🔙(ΦωΦ) (@catnap707) April 16, 2019

これは！！！！！！！

最高じゃないか！！！！！！！

猫さんネ申！！！！！！！

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

しかし・・・

この方法、難読化を解析した事がないぼくがはたしてできるのか…(´；ω；｀)ｳｯ…

と思いましたが、せっかくの機会だしやってみようかなと思い、試してみました。

それに、ねこさんのこのツイートを埋もれさせたくなかったという気持ちもありました。

ではさっそくやってみましょう。

冒頭でも触れましたが、今回の解析を実施する中で、マルウェアに感染する危険性があります。

解析を実施する際には、感染しても良い環境（検証環境）や、インターネットにアクセス出来ない環境（オフライン）で実施することを推奨します。

また、解析が終わった後は、解析の際に生成したファイルは端末から完全に削除することも推奨します。

それでは、ねこさんが記載してくれた手順を1つ1つやっていきましょう。

HAやAny.run からPowerShellスクリプトのエンコードされたコードをコピーする。
コピーした内容をinfile.txtとして保存
コマンドプロンプトで、certutil.exe -decode infile.txt outfile.txt
デコードされたoutfile.txtを開いて、セミコロンのところで改行
foreach～downloadfileの手前までをコピーして、PowerShellのプロンプトにコピー
foreachのinの後ろの変数を入力→URLが得られます

HAやAny.run からPowerShell スクリプトのエンコードされたコードをコピーする。

まず解析には、Emotetをダウンロードさせるための不審なWordファイルの情報が必要なので、HA（Hybrid Analysis）や、ANY RUNで情報を得ます。

今回解析する検体は2019年4月16日のばらまき型メールに添付された検体を利用します。

2019/4/16にばらまかれた下記件名の #不審メール内容について、シートに情報を追記

▼件名
からの延滞請求書
サービス請求書
期限切れ請求書
請求書ステータスの更新
請求書https://t.co/rSSd3ICpjr
— にゃん☆たく (@taku888infinity) April 16, 2019

■検体情報

▽HASH値（SHA256）57e601ceb23ca1be8b2a1dd44fb719c6a43885e3035c14265b8770dc009820db

▽Hybrid Analysis

https://www.hybrid-analysis.com/sample/57e601ceb23ca1be8b2a1dd44fb719c6a43885e3035c14265b8770dc009820db?environmentId=100

▽ANY RUN

https://app.any.run/tasks/a593e7c3-9b9e-4ce6-933e-0114d789c0b5

今回はHybrid Analysisを使っていきます。

まずは、エンコードされているコードをコピーします。（青く選択された箇所）

f:id:mkt_eva:20190417012530p:plain

コピーした内容をinfile.txtとして保存

コピーしたものをメモ帳にペーストして『infile.txt』として保存します。

今回はわかりやすくするために、デスクトップ上に保存しました。

f:id:mkt_eva:20190417014059p:plain

コマンドプロンプトで、certutil.exe -decode infile.txt outfile.txt

コマンドプロンプトを開いて、デスクトップに移動して、

certutil.exe -decode infile.txt outfile.txt

というコマンドを実行します。

f:id:mkt_eva:20190417014539p:plain

コマンドを実行すると、『outfile.txt』が生成されていることがわかりますね。

デコードされたoutfile.txtを開いて、セミコロンのところで改行

先ほど生成された『outfile.txt』を開いて、セミコロンのところで改行します。

f:id:mkt_eva:20190417014822p:plain

foreach～downloadfileの手前までをコピーして、PowerShellのプロンプトにコピー

まずは先頭からforeach前までをコピーします。（青く選択された箇所）

f:id:mkt_eva:20190417015138p:plain

次にPowerShellを起動して、プロンプトにそのままペーストします。

f:id:mkt_eva:20190417015310p:plain

foreachのinの後ろの変数を入力→URLが得られます

foreachのinの後ろの変数を確認し、コピーします。

f:id:mkt_eva:20190417015521p:plain

コピーした変数をプロンプトにペーストします。

f:id:mkt_eva:20190417015714p:plain

すると自動的に通信先のURLが表示されます。

おおお！！！！

できたぞ！！！！！！(´∀｀*)ﾎﾟｯ

せっかくだったので、2019年4月15日のばらまき型メールに添付された検体も同じ方法で試してみました。

2019/4/15にばらまかれた下記件名の #不審メール内容について、シートに情報を追記

▼件名
読んでください
特別請求書
確認して承認してください。
[英字氏名]請求書を添付してください
請求書
の請求書
請求書の請求
注意事項：請求書https://t.co/NQrZjjmPoX
— にゃん☆たく (@taku888infinity) April 15, 2019

■検体情報

▽HASH値（SHA256）80a836c861b6a5d045d85aa9d3091035691b769ebdcd3b4de781f47c257049e7

▽Hybrid Analysis

https://www.hybrid-analysis.com/sample/80a836c861b6a5d045d85aa9d3091035691b769ebdcd3b4de781f47c257049e7?environmentId=100

▽ANY RUN

https://app.any.run/tasks/620abd44-7403-4c1c-880c-d811b133ce41

f:id:mkt_eva:20190417020405p:plain

はい、こちらも同じく通信先URLの情報を得ることができました

以上です。

今回はねこさんのツイートあってこそできたものでした…

本当にありがとうございました。今度会えたらアンちゃんに美味しいごはんをプレゼントさせてください。。。

twitter.com

今回やってみて、こういう解析を自分の手でもっとやってみたいと感じました。

ぼくもまだまだ知らないことだらけです。

もっと勉強しますね！！！！！

あ、今週末支援士の試験じゃん(;´･ω･)

ではでは( ´Д｀)ﾉ

～追記～

今回の公開時のブログ内容について、いつもお世話になっているhiroさんからご指摘を頂きました。

@taku888infinity 知識ないならやるべきではないし、ましてや公開すべきではないし、責任負わないと書いてるけど、稚拙なやり方を公開した上で感染した場合は責任は負う必要があります。
このプロセスだけを突いて感染させられる方法はいくらでも思いつくので、非常に気にしてます。 pic.twitter.com/HYJlcOESM6
— hiro_ (@papa_anniekey) April 17, 2019

情報を発信する者として、稚拙だったと反省をしています。申し訳ございません。

発信者としてもっと注意しなければいけないという事、もっと勉強しないといけない事を改めて実感しました。hiroさん、気づかせていただきありがとうございました。

＜更新履歴＞

2019/04/17 AM　公開

2019/04/17 AM　一部内容修正

2019/04/17 PM　一部内容修正

2019-04-01

2019年3月に起こったセキュリティニュースのアレコレをまとめてみた。

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

とうとう本日、今年5月1日からの新元号が公表されました。

新元号は『令和（れいわ）』とのことです。

なんだか、平成が残り1ヶ月で終わってしまうというおセンチな感じも与えないまま、あっという間に4月が終わってしまいそうですね。

『令和』はどんな時代になっていくんですかね。

ちょっとだけわくわくもしていますよ。

というわけで、前月のまとめです。

脆弱性のアレコレ
- Google Chromeに脆弱性
不審なメールや偽サイトのアレコレ
- 不審なメール情報
- 不審な偽サイト（フィッシングサイト）情報
注意喚起やニュースのアレコレ
セキュリティレポートのアレコレ

脆弱性のアレコレ

Google Chromeに脆弱性

【概要】
Google Chromeの「FileReader」に解放後メモリ利用の脆弱性が存在し、不正なコード利用される可能性がある

【CVE番号】
CVE-2019-5786

【対象】
Google Chrome　v72.0.3626.121以前

【対策】
・アップデートする（以下本脆弱性修正バージョン）
Google Chrome　v72.0.3626.121

【参考情報】
Chrome Releases: Stable Channel Update for Desktop
Google、「Chrome 72」の脆弱性を修正デスクトップとAndroid向けのアップデート公開 - ITmedia エンタープライズ
 「Chrome」へのゼロデイ攻撃が判明、最新のリリースで修正 - ZDNet Japan
「Google Chrome 72」に深刻度“High”のゼロデイ脆弱性が1件～修正版が公開（3月8日更新） - 窓の杜
 Google Chromeの脆弱性 CVE-2019-5786 についてまとめてみた - piyolog

不審なメールや偽サイトのアレコレ

不審なメール情報

2019年3月に出回った不審なメールの件名は以下のとおり

【件名一覧】
写真送付の件
写真添付
3月→
3月の請求書を添付するので
Ｆａｘください
郵送願います
【ご請求書】【ライフラインのご連絡先】
請求書を添付いたします
こちらの入金期日は3月15日の午後12時までと
警告！！パスワードの入力は数回間違いました。
アカウント情報検証を完成してください。
あなたのパスワードが侵害されました
お客様のAmazon ID情報は不足か、正しくないです。
(※) 指定請求書
(※) 注文書、請書及び請求書のご送付
2019ご請求の件
【仮版下送付】
【電話未確認】
FW: 【再送】2019/2
Re: 2019ご請求の件
(※)指定請求書
(※)注文書、請書及び請求書のご送付
2019ご請求の件

(※){Re: ,Fwd: ,Fw: ,RE: ,　, -}のいずれか

【参考情報】
注意情報｜一般財団法人日本サイバー犯罪対策センター
 情報提供｜一般財団法人日本サイバー犯罪対策センター
 ばらまき型メールカレンダー - Google スライド
 外部公開用_ウイルス付メール(ばらまきメール)まとめ/External disclosure _ virus mail summary - Google スプレッドシート

不審な偽サイト（フィッシングサイト）情報

2019年3月にフィッシングサイト協議会で報告された情報は以下のとおり
※（）は報告日時

LINE をかたるフィッシング (2019/03/06)
ゆうちょ銀行をかたるフィッシング (2019/03/04)
VJA グループ (Vpass) をかたるフィッシング (2019/03/04)
Amazon をかたるフィッシング (2019/03/04)

【参考情報】
フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報

注意喚起やニュースのアレコレ

日本マイクロソフトが新元号対応についてまとめたサイトを公開

【概要】
日本マイクロソフトが新元号対応についてまとめたサイトを公開した
新元号は4月1日に公表され、改元は5月1日に行われる予定。

【参考情報】
新元号への対応について - Microsoft mscorp

改元に伴う情報システム改修等への対応について全国説明会を実施します（METI/経済産業省）
Microsoft、元号に関する問題の修正を含むWindows向け更新プログラムをオプション配信 - 窓の杜
 マイクロソフト、新元号対応への取り組みに関するサイトを公開 | マイナビニュース
 日本マイクロソフト、新元号対応に関連する情報を集約したWebページを公開 - 窓の杜
 「OSを更新してほしい」日本MS、新元号対応の情報まとめサイト公開 - ITmedia NEWS

いたずらURLを掲示板に書き込んだとして兵庫県警が男性2名を書類送検及び女子中学生を補導

【概要】
いたずらURLを掲示板に書き込んだとして兵庫県警が不正指令電磁的記録（ウイルス）供用未遂の疑いで、男性2名を書類送検及び女子中学生を補導した

【参考情報】
for文無限ループURL投稿で補導された件についてまとめてみた - piyolog
「あなたブラクラ貼ったでしょ？」→39歳男性を書類送検検挙男性が明かす「兵庫県警“決めつけ”捜査の実態」 (1/3) - ねとらぼ
 いたずらスクリプトのURL貼った女子中学生の補導、海外でも波紋 - ZDNet Japan
“兵庫県警ブラクラ摘発”、弁護士費用の寄付呼び掛け日本ハッカー協会 - ITmedia NEWS
「私は既に萎縮している」セキュリティエンジニア、兵庫県警に情報公開請求「いたずらURLで摘発」問題で - ITmedia NEWS
アラートループ家宅捜索（いわゆる「兵庫県警ブラクラ摘発」）事件に関する寄付の呼びかけ - 一般社団法人日本ハッカー協会
 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました（その1） - ろば電子が詰まつてゐる
 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました（その2） - ろば電子が詰まつてゐる
 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました（その3） - ろば電子が詰まつてゐる

ASUSが提供するソフトウェア「Live Update」がバックドアとして攻撃者に悪用（通称：ShadowHammer）

【概要】
ASUSがASUSの提供するソフトウェア「Live Update」がバックドアとして攻撃者に悪用されているとして発表した。
自システムが受けていないかどうかをチェックするツールも公開されている。
（参照:https://www.asus.com/News/hqfgVUyZ6uyAyJe1）

【参考情報】
ASUS Global
バックドア化したASUS Live Updateを通じた攻撃（Operation ShadowHammer）についてまとめてみた - piyolog
ShadowHammer：ASUSのラップトップを狙う悪意あるアップデート | カスペルスキー公式ブログ
 ASUS、脆弱性修正したアップデートソフトウェアを公開 | マイナビニュース
 ASUS、Live Updateを悪用したAPT攻撃を確認 - ITmedia エンタープライズ
 ASUS、マルウェア配信に悪用された「Live Update」ツールの修正版を公開 - CNET Japan
【セキュリティニュース】ASUSの更新機能が侵害、マルウェア拡散 - MACアドレスで標的絞りさらなる攻撃（1ページ目 / 全2ページ）：Security NEXT

NICTがサイバー脅威情報を自動集約できる「EXIST」を公開

【概要】
NICT（国立研究開発法人情報通信研究機構）がサイバー脅威情報を自動集約できる「EXIST（EXternal Information aggregation System against cyber Threat）」を公開

【参考情報】
サイバー脅威情報集約システム EXIST
NICT、サイバー脅威情報を自動集約できるWebアプリ「EXIST」を公開：Twitterの監視もできる - ＠IT
サイバー脅威情報集約システム EXIST を構築してみた #exist ｜ DevelopersIO

宅配便業者をかたる偽SMSに新攻撃手法を確認

【概要】
宅配便業者をかたる偽SMSの新攻撃手法として、iOS端末で偽サイトにアクセス↓場合不正な構成プロファイルをダウンロードさせる仕組みが登場

【参考情報】
安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 ドコモの「あんしんスキャン」を装ったサイトにご注意ください！ | お知らせ | NTTドコモ
 継続する偽装SMS：今度は携帯電話事業者サイトの偽装とiOSを狙う不正プロファイル | トレンドマイクロセキュリティブログ

セキュリティレポートのアレコレ

IPA（独立行政法人 情報処理推進機構）

安全なウェブサイトの運用管理に向けての20ヶ条～セキュリティ対策のチェックポイント～：IPA 独立行政法人情報処理推進機構
 中小企業の情報セキュリティ対策ガイドライン：IPA 独立行政法人情報処理推進機構
 情報セキュリティ10大脅威 2019：IPA 独立行政法人情報処理推進機構
 安心相談窓口だより：IPA 独立行政法人情報処理推進機構
 Web Application Firewall 読本：IPA 独立行政法人情報処理推進機構

JPCERT コーディネーションセンター

中南米CSIRT動向調査
 Adobe ColdFusion の脆弱性 (APSB19-14) に関する注意喚起
 Apache Tomcat の脆弱性 (CVE-2019-0199) について

JNSA

セキュリティ知識分野（SecBoK2019）
セキュリティ知識分野（SecBoK）人材スキルマップ 2019 年版（PDF）
https://www.jnsa.org/press/2019/190313.pdf

Trend Micro

McAfee

公開されたままの8億900万レコードの個人情報
 Facebookユーザーへ自身の情報を安全に保つための予防策
 有効な電話番号から新たなボイスフィッシング攻撃を仕掛けるアプリに注意
 電子メールの疑わしい添付ファイルを阻止

Kaspersky

LAC

サイバー救急センターレポート第6号 | セキュリティ対策のラック
 セキュリティ診断レポート 2019 春 | セキュリティ対策のラック
 CYBER GRID JOURNAL Vol.7 | セキュリティ対策のラック

IIJ

仮想通貨ノードに対するDoS攻撃 – wizSafe Security Signal -安心・安全への道標- IIJ
2018年観測レポート振り返り – wizSafe Security Signal -安心・安全への道標- IIJ
wizSafe Security Signal 2019年2月観測レポート – wizSafe Security Signal -安心・安全への道標- IIJ

piyolog

とある診断員の備忘録

AWS、侵入テスト申請やめるってよ - とある診断員の備忘録

今回もココまで読んでいただきありがとうございました。

ではでは！

　　彡⌒ミ
　　( ´・ω・)　　(○)
　　,(ヽ∩∩ﾉ),、ヽ|〃,,,
“““ ““ ““ ““ ““ ““ ““ “``““

＜更新履歴＞

2019/04/01 PM　公開

2019-03-05

「第4回情報セキュリティ事故対応アワード」に行ってみた。 #事故対応アワード

セキュリティ

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ

さて、今回はこちらに行ってきました！

第4回情報セキュリティ事故対応アワード

news.mynavi.jp

#事故対応アワード会場とーちゃくくくく😚 pic.twitter.com/ZLAf5JJQ3W
— にゃん☆たく (@taku888infinity) March 5, 2019

当日はTwitterと連動しながらすすめる場面もありました。
その時のハッシュタグは「#事故対応アワード」

このハッシュタグをtogetterでまとめてみましたのでこちらも参考にしてみてください。

togetter.com

========================================================

2019年3月6日に第4回情報セキュリティ事故対応アワードの結果が

マイナビにより公開されましたので追記です。

news.mynavi.jp

========================================================

僕は、第1回～第3回と参加しており、幸運にも今回も参加することができました。

第1回～第3回の受賞一覧はコチラです。

news.mynavi.jp

ちなみに前回の「行ってみた。」はこちらです。参考にしていただければ幸いです。

mkt-eva.hateblo.jp

まず、「情報セキュリティ事故対応アワード」とはなんなのでしょうか。

※前回の内容と同じ部分あり

▼情報セキュリティ事故対応アワードとは

セキュリティ事故後の対応（インシデント・レスポンス）が素晴らしかった企業をセキュリティ分野の有識者が選ぶ表彰制度。

ただし、セキュリティ事故後のシステム運用/改修の詳細に踏み込むのは難しいため、主に説明責任/情報開示にスポットライトが当てられる。

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

▼部門賞一覧

最優秀賞、優秀賞、特別賞、報道賞

※報道賞は第2回から新設。有識者が「良かったと感じた記事」を讃える賞

▼評価軸

・事故発覚から、第一報までの時間（事故報告するまでの期間、頻度）

・発表内容（原因、事象、被害範囲、対応内容、CVE情報やなんの脆弱性を突かれたか等）

・自主的にプレスリリースを出したか（報道だけではなく、自社発信）

▼集計期間

・昨年1年間

※第4回の今回は2018年1月から2018年12月まで。

▼ 審査員

・徳丸浩氏（Twitter : @ockeghem）

・北河拓士氏（Twitter : @kitagawa_takuji）

・根岸征史氏（Twitter : @MasafumiNegishi）

・辻伸弘氏（Twitter : @ntsuji）

・piyokango 氏（Twitter : @piyokango）

･･･セキュリティのBIG 5の皆様です。ちなみにアワード委員長は、辻さんです。

また、事故対応アワードのツイッターアカウントも第3回からできて、リアルタイムにも発信してくれていました。

twitter.com

また前回に引き続きアワード中に受賞団体を取材した記事も公開されていました。

news.mynavi.jp

さてなんとなくですが、どんなアワードかわかっていただけたかと思います。

そして、このアワードで勘違いしてほしくないのは、このアワードは決してインシデントを起こした企業を「煽ってる」わけではなく、インシデントを起こした企業のインシデント・レスポンスを「本気で褒める」というアワードであるという点です。

この認識を持っていない限りは、情報セキュリティ事故対応アワードの開催意図を1ミリも理解できないと言っても過言ではないと僕は思います。

では、なぜ褒めるのか。

それは「情報セキュリティ事故対応アワードとは」にも書いた、

→今後の模範となる、説明/情報開示パターンを国内のセキュリティ担当者に知ってもらいたい

の一言に尽きるのでは無いでしょうか。

もちろん、企業としては事故対応アワードに表彰されない無いように日々インシデントに対しての対策や対応を練らないといけません。

しかしながら、インシデントは「起きてしまう」ものです。

インシデントが起こってしまった時にこんなことをまず1番に考える必要はありませんが、「事故対応アワードに表彰されるだけのインシデント・レスポンスをしよう」と考えるのも悪くないかもしれません。

では、今回のアワードについてまとめてみましょう。

今回の事故対応アワードは、アワードとパネルディスカッション、質問コーナーの3段階構成で行われていました。

アワードの内容、パネルディスカッション。質問コーナーの内容に関して、僕が聞き取れたり把握できたりした部分をまとめました。

第4回情報セキュリティ事故対応アワード

第4回情報セキュリティ事故対応アワード

選考概要

・調査期間：2018年1月～2018年12月

　※随時対象事例を検討
　※2018年12月下旬：審査員が集まり最終検討、受賞事例の決定
　※2019年1月：受賞企業への連絡、取材
　※2019年2月：最終打ち合わせ

・調査件数：数百件

・ノミネート：32件

最優秀賞（1社）

ただし、辞退。

前回は「該当なし」だったのに対し、今回は決まったのにも関わらず辞退という結果に。

アワードを締めくくる際「辞退、は残念。」と辻さんもコメントされていました。

※

優秀賞（4社）

1社目

【受賞】

ディノス・セシール

　※第3回でも優秀賞を受賞

　※表彰式には来ず

【インシデント内容】

複数の中国IPアドレスからメールアドレス、パスワードを使った不正アクセスが1938件が発生。490名の顧客情報の閲覧の可能性を公表した。

1938名のユーザー全員がディノス・セシールへ登録中だったため、当初は自社リストの漏洩も疑ったが、第二報にて会員登録画面でスクリーニングされていたことを明かした。

【プレスリリース】

弊社「セシールオンラインショップ」への不正アクセスと
お客様情報流出の可能性に関するお詫びとお知らせ（第一報）（PDF）

https://www.dinos-cecile.co.jp/whatsnew/topics_20180606.final.pdf

弊社「セシールオンラインショップ」への不正アクセスと
お客様情報流出の可能性に関するお詫びとお知らせ [第 2 報]（PDF）

http://www.cecile.co.jp/fst/information/C_20180608.pdf

弊社「セシールオンラインショップ」への不正アクセスと
お客様情報流出の可能性に関する調査結果のお知らせ（最終報）（PDF）

https://www.cecile.co.jp/fst/information/20180706_topics.pdf

【受賞理由（審査員コメント含む）】

・多くのサイトで頻発しているであろう小規模の不正ログインに対して、都度情報公開して真摯に対応した

・第二報で「スクリーニング」であったことを記載した

・「かも」しれない、でもしっかりと公表した

2018年のリスト型攻撃の被害事例をまとめてみた - piyolog

中国から「セシール」に490人分の不正ログイン、過去の流出データ悪用か | 日経 xTECH（クロステック）

対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃 | 日経 xTECH（クロステック）

2社目

【受賞】

株式会社　伊織

　※表彰式には来ず

【インシデント内容】

「伊織ネットショップ」が不正アクセスにより一部改ざんされ、顧客のクレジットカード情報が詐取された可能性がある。

【プレスリリース】

【重要】クレジットカード情報流出についてのお知らせ（伊織ネットショップ） - タオル専門店「伊織」

【重要】カード情報流出についての、ご質問とご回答 - タオル専門店「伊織」

【受賞理由（審査員コメント含む）】

・類似の事案が同時期に複数あったが、最も詳細に公表した

・図などを使用したわかりやすいプレスリリースであった

タオル販売「伊織ネットショップ」が改ざん被害、偽の入力画面からカード情報を詐取（伊織） | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]

今治タオルの伊織、延べ2145人分のクレカ情報流出 :日本経済新聞

タオル専門店伊織のカード情報漏えい事件について - Fox on Security

3社目、4社目

ともに、辞退。

特別賞（1社）

【受賞】

気象庁

　※国土交通省気象庁総務部企画課情報セキュリティ対策企画官豊田英司氏が登壇

【インシデント内容】

気象庁の公式アナウンスを装った迷惑メールが出回る

事案①タイムライン（2018年11月8日＜JST＞）
2018年11月8日 11時：事案①発生

2018年11月8日 16時：複数の報告

2018年11月8日 16時17分：対外発表決心

2018年11月8日 17時41分：最初の文案

2018年11月8日 19時46分：報道発表掲出→質問多数

2018年11月8日 19時58分：画像添付の決心

2018年11月8日 20時02分：ツイート

事案②タイムライン（2018年11月16日＜JST＞）
2018年11月16日 10時：事案②発生、電話が始まる

2018年11月16日 15時：オンライン報告、発生所時刻確定

2018年11月16日 16時51分：再ツイート協議

2018年11月16日 18時18分引用ツイート

【プレスリリース】

気象庁発表の警報等を装った迷惑メールにご注意下さい

https://www.jma.go.jp/jma/press/1811/08c/WARNmail.html

気象庁発表の警報等を装った迷惑メールにご注意下さい（PDF）

http://www.jma.go.jp/jma/press/1811/08c/WARNmail_20181108.pdf

事案①についての気象庁のTweet

【報道発表】（H30.11.8）最近、気象庁発表の警報等を装った迷惑メールが届いたという情報が寄せられております。
心当たりのないアドレスから届いたメールに不審なリンクがある場合にはアクセスしないようご注意ください。https://t.co/CcqYvRwsHv pic.twitter.com/exB1knNQGN
— 気象庁 (@JMA_kishou) November 8, 2018

事案②についての気象庁のTweet

【再度ご注意を】（H30.11.16）本日再び、気象庁発表の警報等を装った #迷惑メールが届いたという情報が多数寄せられております。本日午前に津波警報を発表した事実はありません。心当たりのないメールに不審なリンクがある場合にはアクセスしないよう、ご注意ください。 https://t.co/H3pU3ymtva
— 気象庁 (@JMA_kishou) November 16, 2018

【豊田氏のコメント】

・見分け方についての質問が多数きて対応した

　→ドメイン名だけが唯一の見分け方だったので公開

　→見分け方を提示しないと記者達は納得しないことを報道慣れで知っていた

・「地震は無い」と公表したため、報道発表では気を遣った

・公衆・報道が真っ先に聞きたい事は2014年9月の類似案件処理からも想像できた

　※当時のプレスリリース↓

　緊急地震速報を装った迷惑メールにご注意下さい

　http://www.jma.go.jp/jma/press/1409/24a/eewmail_20140924.html

　緊急地震速報を装った迷惑メールにご注意下さい（PDF）

　http://www.jma.go.jp/jma/press/1409/24a/EEWmail_20140924.pdf

・いつ発表については『今でしょ』。国民のメールボックスにあるリンクを開かせない

・不必要な情報提供は攻撃者を利する？
　→仕組みを理解していれば名言できる
　→『この発表はしてよい、せねばならない』

☆豊田氏のインタビューはこちら↓

気象庁の信頼、そして何より国民を守るため――使命感と知識が支えた事故対応 [事故対応アワード受賞レポート]｜セキュリティ｜IT製品の事例・解説記事

【その他関連情報】

気象庁のなりすましメールについてまとめてみた - piyolog

気象庁の「津波警報発表」を装うマルウェアメールに注意：セキュリティ通信：So-netブログ

パネルディスカッション

☆事故対応アワードを振り返って

→去年も今年も「良い対応」が多く、票が割れた。

→『ディノス・セシール』が2年連続優秀賞。少ない件数でも発表する体制に。

→危惧していたタイミングで『伊織』から詳細なプレスリリース

　※いい先行事例となった

☆事前アンケート結果

=========================

九州商船　　　　　　→11票
産総研　　　　　　　→8票
ディノス・セシール　→4票
前橋市教育委員会　　→4票
プリンスホテル　　　→4票
伊織　　　　　　　　→3票
マイネット　　　　　→1票
SOKAオンライン　　→1票
コインチェック　　　→1票

=========================

→九州商船は、調査委員会が中心で報告書が詳細だった。

　委員会の再発防止策の提言は、技術、委託、管理だったが、

　技術の実施したことは発表したが、その後2つの実施については続報無し

　選外になった

→SOKAオンラインは、ショッピングサイト改ざん被害報告を早く出した点、

　構築した企業名もリリースとして出したのはよかった

→報告書にボリュームがあればいいとは限らない

→どこの誰に向けて報告するかによって、相手の知りたいポイントは異なる

→産総研のメールアドレス大量流出の件だが、内部IDは使用されているメール

　アドレスとは異なっており、かつ2段階認証も採用済み。漏れても問題なし。

→漏れることが大前提。漏れても大丈夫なようにしておく。

質問コーナー

＜質問①＞

セキュリティ対策や取り組みのうち、意味のあるものないもの、
効果が見込まれるのになかなか取り入れられないものについてなにかあるか？

＜回答＞

→無意味なものはない

→事例を知ってるか知らないかではちがうのでは。
　プレスリリースだけでも読んでおくことは大事かも

→情報が漏えいした時に、被害の範囲の特定に時間がかかる事を考え、

　ログを使えるように取っておく（残し続けるのもよくないけど）

▽アンチパターンもしりたい
→侵入されたことを知っていてもとめなかった

→2016年JTBの事件

　※攻撃者が『情報をもっていった』ことを知った（通知で気づいた）
　※自分たちで使用料圧迫のためログを消してしまったため、復元が難しかった

　（正しいオペレーションなのに・・・）

＜質問②＞

事故の情報を全部公開することが必ずしも正しいとは限らないとおもいますがいかがでしょうか？

＜回答＞

→たしかにね。（北河さん）

→ある程度の評価軸はあったほうがいいかもしれない

→テンプレ、もあって良い気がするが『テンプレの内容だけ』を

　書けば良いになってしまうという懸念点もある

→情報を出すメリットと出さないメリットなら、

　今は出さないメリットが大きいような気がする

→パスワード平文保存で炎上した案件があったが、今後同様の事例が発生した際

　発表しづらくなるのではないか

辻さんまとめコメント

→4回目でまだまだ辞退がある。

→ぼくらだけの頑張りの循環は限界にきているかもしれない

→一人が少しずつ発信するだけでも、少しずつ変わっていく。

→何年かして振り返って良かったといえるものに、続けていきたい。

→参加者は、「公表したことを責めてはいけない」の精神を広めてほしい

今回の『行ってみた。』は以上となります。書き足りていない部分あるかもしれませんが、ご了承ください。

ここまで読んでいただきありがとうございました。

ではでは。

＜更新履歴＞

2019/03/05 PM　公開

2019/03/06 PM　第4回の開催結果（マイナビ公開）の記事を追記

脆弱性のアレコレ

Windows製品に脆弱性

Windowsタスクスケジューラに脆弱性

Intel製品に脆弱性（脆弱性名:Zombieload）

不審なメールや偽サイトのアレコレ

不審なメール情報

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

ユニクロ・GU公式サイトの約46万件のアカウントに不正アクセス

ハッキング集団により大手ウイルス対策ベンダ3社が不正アクセスを受ける

政府、反撃用ウイルスを初保有

セキュリティレポートのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

JC3

piyolog

徳丸浩の日記

脆弱性のアレコレ

Oracle WebLogic Serverに脆弱性

BINDに複数の脆弱性

Confluence Server および Confluence Data Centerに脆弱性

GNU Wgetに脆弱性

不審なメールや偽サイトのアレコレ

不審なメール情報

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

ラブライブ！公式サイトが乗っ取られる

新元号に便乗した詐欺メールが出回る

WPA3に脆弱性（Dragonblood）

コインハイブ事件で横浜地検が控訴

危険なパスワードトップ10万のリストが公開

セキュリティレポートのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

piyolog

徳丸浩の日記

tike blog

HAやAny.run からPowerShellスクリプトのエンコードされたコードをコピーする。

コピーした内容をinfile.txtとして保存

コマンドプロンプトで、certutil.exe -decode infile.txt outfile.txt

デコードされたoutfile.txtを開いて、セミコロンのところで改行

foreach～downloadfileの手前までをコピーして、PowerShellのプロンプトにコピー

foreachのinの後ろの変数を入力→URLが得られます

脆弱性のアレコレ

Google Chromeに脆弱性

不審なメールや偽サイトのアレコレ

不審なメール情報

不審な偽サイト（フィッシングサイト）情報

注意喚起やニュースのアレコレ

日本マイクロソフトが新元号対応についてまとめたサイトを公開

いたずらURLを掲示板に書き込んだとして兵庫県警が男性2名を書類送検及び女子中学生を補導

ASUSが提供するソフトウェア「Live Update」がバックドアとして攻撃者に悪用（通称：ShadowHammer）

NICTがサイバー脅威情報を自動集約できる「EXIST」を公開

宅配便業者をかたる偽SMSに新攻撃手法を確認

セキュリティレポートのアレコレ

IPA（独立行政法人情報処理推進機構）

JPCERT コーディネーションセンター

LAC

piyolog

とある診断員の備忘録

第4回情報セキュリティ事故対応アワード

選考概要

最優秀賞（1社）

優秀賞（4社）

1社目

2社目

3社目、4社目

特別賞（1社）

パネルディスカッション

質問コーナー

辻さんまとめコメント

HAやAny.run からPowerShell スクリプトのエンコードされたコードをコピーする。