podcast - #セキュリティのアレ

【関連記事】

・公文書(電子データ)の消失事故について(第2報) – 新潟県ホームページ
・新潟県から受託した公文書管理システムに係る電子データの消失事故について（続報） | 富士電機ITソリューション株式会社
・Deconstructing a Cybersecurity Event | Dragos
・当社首掛けストラップの紛失について – ニュース｜中部電力パワーグリッド
・Is Your Cybersecurity Strategy Falling Victim to These 6 Common Pitfalls? | NIST
・80g THEひとつまみ えび黒胡椒 | おせんべい、あられ、おかきの岩塚製菓株式会社

辻伸弘メモ：

雑談何しょーかな。反則5カウントの凄さ。実質反則にならないグーパンチ。最近資料作成にまみれがち。せこう、しこう。データ化することにもきちんと準備がいる。やっぱり紙やんってなるかもしれない。KaliLinuxが成長したみたいなロゴ。入社予定の社員への初手。おそらく入社が決まる前にたまたま。攻撃の目的はことごとく阻んだ。外部との連携も上手くいっていた。諦めない攻撃者。自ら公開したことが功を奏している。とはいえ備えがあったことで被害を最小限に抑えられていたからこそのスピード感。一風変わったリリース。首かけストラップ案件。紛失することで自分たちではなく、外部に被害が発生する可能性があるからですね。写真出す必要あったのかな。見つけてもらうときのため？厳密な管理してるのかもしれない。ロゴなしというのもアリなんじゃないか。識別は色で。アホやないんやで。テクノロジーと人のバランス。大事なんだけどついつい見落としがち。これこそ別でやってくれ。ユーザはパートナー。社内でセキュリティと開発が敵対関係になっていたことをどう改善したのか。正しいが故に攻撃的になることもありそう。事実は正しくても伝え方が正しくないかもしれないと考える。実施できないルールはそのルールが間違っていることを疑わないとですよね。もらって食べて、注文して、次の日到着。万歳山椒。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 03:37 |
| 3 | (N) Dragos 社のちょっと変わったインシデント事案 | 09:25 |
| 4 | (P) 首掛けストラップの紛失事案 | 27:02 |
| 5 | (T) Users are not stupid | 37:33 |
| 6 | オススメのアレ | 54:15 |

収録日: 2023年05月13日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・FortiMailを侵入経路としたインシデントについての事例紹介
・公文書管理システムの大量ファイル消失事故についてまとめてみた – piyolog
・Passkeys: What they are and how to use them
・Prime Video: 風雲！たけし城 – シーズン１

辻伸弘メモ：

GWは五連休のイメージ強い。学生気分が抜けてない。大型連休は寂しい。見ない方がいい情報もある。重要視する情報は受け取った立場によって違う。リハビリ回。かなりアカンすんでのところでの検知がスタート。FortiMailから来ていた。経由？消えているログ。規則性崩れ。フィールドの異常値。NW機器内で色々されている。攻撃が観測されていなかったり、攻撃コードがないけれどもの対応姿勢。検知・特定に至るための準備。内部to内部ズブズブ問題。ファイル消失事案。バックアップ期間が3日（合意）。削除する側ではなく、マクロ側のほうで対応した方が楽で安全だったように思うんだけれども。どうしておけばよかっただけではなく、自分たちならと考えるのがいいかも。パスワードデイなのにパスワードの話はしない。パスキーの話です。2つの注意点。パスワードレスが自動的に有効になる。ビルトインセキュリティキーが無効になりパスキーに置き換わる。ファイナルアンサーの見極め。34年ぶりに復活のアレ。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:25 |
| 3 | (T) FortiMailを侵入経路としたインシデント事例 | 09:09 |
| 4 | (P) 公文書管理システムの大量ファイル消失事故 | 25:13 |
| 5 | (N) Google アカウントが Passkeys に対応 | 40:37 |
| 6 | オススメのアレ | 54:40 |

収録日: 2023年05月07日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Microsoft shifts to a new threat actor naming taxonomy – Microsoft Security Blog
・Groups | MITRE ATT&CK®
・Mandiant Security Update – Initial Intrusion Vector | 3CX
・3CX Software Supply Chain Compromise Initiated by a Prior Software Supply Chain Compromise; Suspected North Korean Actor Responsible | Mandiant
・X_Trader Supply Chain Attack Affects Critical Infrastructure Organizations in U.S. and Europe | Symantec Enterprise Blogs
・Discarded, not destroyed: Old routers reveal corporate secrets | WeLiveSecurity

辻伸弘メモ：

今週はスタンド攻撃受けてるのか思った。もうすぐGWですね。Re:4のクリアは3回ではなく4回でした。長期休暇にやること。メンテ大事。先手先手のアレ。セキュリティ怪談師。マイナスをゼロにというイメージの払拭。お便りで気付いた観点。具体案を示さないといけないですね。既に攻撃されている可能性の考慮から早期に気付ける仕組みの再確認かな。アクターの命名を変更。クラウドストライクに近い感じ。各社バラバラ名称は減らしてほしい。マルウェアの名前バラバラ問題もある中、EmotetはEmotetになっちゃってますね。IPAもそう呼んでる。別名としてはGeodo、Mealybugがあります。続報いいですよね。以前の3CXの初手と思われる原因が判明してきた。サプライチェーン攻撃の向こう側に更に。またも個人端末が媒介。控えめに言ってこのアクター。これは縦展開やな。個人のコンピュータに狙いを定めている攻撃も見過ごせないという教訓ですね。棚からVPN。チェーンチェーンチェーン。廃棄されたネットワーク機器。フォレンジック血祭り。どれくらい現実的か。攻撃者からするとガチャ？誰でも加担できるというのは割と怖い。めちゃめちゃ冷える。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 03:52 |
| 3 | (P) Microsoft による脅威アクターの命名規則 | 11:42 |
| 4 | (N) 3CX 事件の続報 | 26:49 |
| 5 | (T) 廃棄されたネットワーク機器に残る情報 | 41:01 |
| 6 | オススメのアレ | 54:27 |

収録日: 2023年04月22日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Ransomware attack that forced a New York county back to pen and paper began in 2021, official says
・改ざんされたWebサイトからGoogle Chromeの偽エラー画面を使ってマルウェアを配布する攻撃キャンペーンについて, Rintaro Koike
・Hacker Stole My Phone, Credit Card, Identity. I Set Out to Find Them.
・Multiple U.S. Postal Service Employees And Others Arrested For $1.3 Million Fraud And Identity Theft Scheme | USAO-SDNY | Department of Justice
・公式通販サイト「おうちでのみもの。」 / TOPページ

辻伸弘メモ：

溢れている略語。そんな滑舌悪い？適当で当たる。最高生命保険ってあるんかい。普段の話でしたのかポッドキャストでしたのか分からなくなるときがある。そんなイメージあるのかぁ。デバイスごとの使用割合。思っているより使っているかもしれない説。弱いけどそれくらいしか示せない。製品によっては観点を変えれば効果の示し方があるのではなかろうか。たぶん久しぶり。BlackCat事案。少し前の事案だけど会見があったので紹介。初期アクセスから実被害まで8ヶ月。マイニングツールがあったということも考慮すると。パッチを当てるまでもかなりの時間があった。パッチ適用時には侵害を受けていることを考慮しないといけない問題。いまだにそんなんあんのんかは大体ある。身代金と復旧費用の対比。色々な偽があるけど今日はエラー画面。落ちてくるのはマイニングツール。ほりほり。手口は真似られる。どう注意喚起するのが分かりやすいか。割に合うのか合わないのか。一旦マイニング。売り手が現れるまでマイニングしておくとかってケースあるんかなぁ。SIMスワップされたある記者の体験談。不審なレシート。グッチよりアップルにお金落としてた。物理で被害が起きている。お宮入りしかけたその時！この犯罪の手口のはじまりは意外にも！サイコバニーが1番助けてくれた。狙われた理由が見当違いだった。本人確認の在り方を考え直さないといけなくなってきてるかも。店舗の味そのままに。味はスベってません。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 06:11 |
| 3 | (T) ニューヨーク州で起きたランサムウェア事案を振り返る | 14:30 |
| 4 | (P) Chrome の偽エラー画面からのマルウェア配布 | 30:59 |
| 5 | (N) SIM スワップだけじゃなかった事案 | 41:22 |
| 6 | オススメのアレ | 62:40 |

収録日: 2023年04月16日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Not just an infostealer: Gopuram backdoor deployed through 3CX supply chain attack | Securelist
・3CXのソフトウエア改ざんによるサプライチェーン攻撃についてまとめてみた – piyolog
・MULLVAD VPN AND THE TOR PROJECT TEAM UP TO RELEASE THE MULLVAD BROWSER. – Blog | Mullvad VPN
・We’ve Teamed Up With Mullvad VPN to Launch the Mullvad Browser | The Tor Project
・自宅に捜査員が…家のルーターが知らぬ間にサイバー攻撃発信元に | 毎日新聞
・報道発表資料 個人情報（電子メールアドレス）の流出について （最終報）｜豊田市
・当社システムの機能停止による豊田市が送信した電子メールアドレスの流出について（完報） | ひまわりネットワーク株式会社
・事後対応型のセキュリティアプローチがビジネスの発展を阻害、ウィズセキュアがグローバルリサーチの結果を発表 | WithSecure™
・その他の素材菓子 | 株式会社 壮関

辻伸弘メモ：

新しいことへのチャレンジ。立場の違いによる準備の違いに気付いた話。壊れかけの洗濯機。注意喚起のときに試行錯誤した事例共有。手段の目的化は避けないと。薄く長く体調崩してました。Torネットワークを使わないTorブラウザ。一度使ってみよう。スウェーデンといえば。ツール紹介いいな。今日は2Kango。定期的なアレの続報。いらんものは買わない。いらんものは使わない。インターネット止めますか？事情聴取受けますか？強制BCCシステムとは。良かれと思って入れたものがアダとなった例。安心してたら過信してたってことですよね。苦し目の再発防止策。クリボーに当たって死んだ。フェイルセーフにするんだったら強制BCCが止ったらメール送信を止るべき。また、よーわからんかった話を頑張って読んで共有。ビジネスを伸ばすのか。セキュリティを高めるのか。どっちなんだいっ？予算増えてる。コトが起きてからの対応は良くないと思ってる。でも、そうしてしまっているという話。導入効果を測りかねている。やはり可視化と理解を得る見せ方に努めないとないといけないのではないか。聞いたことあるイベント。小腹シリーズ。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 09:28 |
| 3 | (N) Mullvad Browser | 19:16 |
| 4 | (P) 家庭用ルーターの不正利用についての続報 | 30:49 |
| 5 | (P) 強制BCCシステムの障害による情報漏洩 | 36:52 |
| 6 | (T) サイバーセキュリティと企業価値の向上 | 46:47 |
| 7 | オススメのアレ | 63:02 |

収録日: 2023年04月08日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Getting Ahead of the Ransomware Epidemic: CISA’s Pre-Ransomware Notifications Help Organizations Stop Attacks Before Damage Occurs | CISA
・Ransomware Vulnerability Warning Pilot (RVWP) | CISA
・Joint Cyber Defense Collaborative | CISA
・#StopRansomware: LockBit 3.0 | CISA
・家庭用ルーターの不正利用に関する注意喚起について 警視庁
・ご家庭で Wi-Fi ルーターをより安全にお使い頂くために | 一般社団法人 デジタルライフ推進協会
・家庭向けルーター不正利用を受けた警視庁の注意喚起についてまとめてみた – piyolog
・CrowdStrike Prevents 3CXDesktopApp Intrusion Campaign
・3CX Security Alert for Electron Windows App | Desktop App
・Hackers compromise 3CX desktop app in a supply chain attack
・1日の1/2量のカルシウムがとれるコーンフレーク フロスト ｜商品情報｜ファミリーマート

辻伸弘メモ：

マスクはしてないけど1つのはずのものが2つ。水陸両用みたいなこと？忘れた頃に来るwho are you。何もないときもある辻メモ。色々な聴き方があって面白い。丁度良い塩梅が一番難しい。枝葉枝葉でWikipediaの旅みたいな話。CISAのランサムウェア対策への取り組み紹介。商用ツールってスキャナみたいなのかな。それともスレットインテル的なやつなのかな。私が担当者です。情報を伝えることも大切だけど、その活用の仕方を伝えることも大切やと思うんですよね。いきなりやってすぐにできるわけではない。やっぱ準備八割ですよね。一番見習うべきポイントは一カ所にまとまっているっていうことだと思っています。従来に加えて「新たな対策」とは。ちょっとハードル高そう。注意喚起に賛同表明って珍しいような。きちんとした対策をしていても「新たな対策」を「定期的に」する理由が知りたい。大体見覚えがないんですよね。現在進行形のインシデントの話。実はボクはSolarWindsじゃなくてEmEditorを思い浮かべていました。広く攻撃をしているように見えますが。本当のターゲットが紛れているかもしれない。実はフォーラムで…。止めた理由をしっかり認識しないといけなかった事例。めっちゃ息吸う。朝食ではなかったかもしれない。
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 04:06 |
| 3 | (T) CISA による Pre-Ransomware Notification Initiative | 13:35 |
| 4 | (P) 家庭用ルーターの不正利用に関する注意喚起 | 32:24 |
| 5 | (N) 3CX デスクトップアプリへのサプライチェーン攻撃 | 49:36 |
| 6 | オススメのアレ | 64:54 |

収録日: 2023年04月01日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・NCA infiltrates cyber crime market with disguised DDoS sites – National Crime Agency
・GoAnywhere MFT – A Forgotten Bug | Frycos Security Diary
・Clop ransomware claims it breached 130 orgs using GoAnywhere zero-day
・New victims come forward after mass-ransomware attack | TechCrunch
・Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation | OPA | Department of Justice
・FBI confirms access to Breached cybercrime forum database
・KT Software – DeInput

辻伸弘メモ：

口コミとかレビューってどういう観点で見てます？一番おもろいこと書いてる選手権。気付いてます。ナノリマス背景。かんごさんの家庭菜園の今。謎草の悲劇。巻き戻しって久々に言うた。ついにDDoSづいた。日本のではない方のNCA。偽のDDoS代行サービスサイト。登録した人はどうなったのか。心揺さぶる手法。知らせることに意味がある。DDoSのライトユーザ。実質的な効果ではないにしてもどれだけの登録ユーザがあったとかは知りたいですね。あるゼロデイ。アレフリーク。老舗のランサムギャングの主張。Lockbitを抜いたのって初じゃないでしょうか。代理店から得られた情報によって拡大する可能性も危惧。ゲームの時間に影響が出てます。過小評価しちゃいけない。製品・サービスによる影響度合いの違い。プレッシャーにも使えるかもしれない。著名フォーラムが閉鎖。ポムポムプリン。どう情報をたぐり寄せて逮捕に至ったのか。ニーズがなくなったわけではないので次はどこに行くかという状況。ハンドルネームの持つ力。キーボード綺麗にするときどうしてますか？
 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:42 |
| 3 | (N) NCA による偽の DDoS 攻撃代行サービス | 13:18 |
| 4 | (T) CL0P による GoAnywhere MFT の脆弱性を狙う攻撃 | 26:59 |
| 5 | (P) BreachForums の摘発と管理人の逮捕 | 45:54 |
| 6 | オススメのアレ | 57:09 |

収録日: 2023年03月25日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・河川カメラ338台が稼働停止、初期パスワード変更せずサイバー被害 | 日経クロステック（xTECH）
・マルウェアEmotetの感染再拡大に関する注意喚起
・Twitterの2要素認証（2FA）を使用する方法
・CVE-2023-24880 – Security Update Guide – Microsoft – Windows SmartScreen Security Feature Bypass Vulnerability
・Magniber ransomware actors used a variant of Microsoft SmartScreen bypass
・KillNet and affiliate hacktivist groups targeting healthcare with DDoS attacks – Microsoft Security Blog
・DEV-1101 enables high-volume AiTM campaigns with open-source phishing kit – Microsoft Security Blog
・スミッシング対策技術勉強会で辻がお話したときの資料
・サトシ（CV:松本梨香）- めざせポケモンマスター -with my friends- / THE FIRST TAKE – YouTube

辻伸弘メモ：

言葉探した結果「あかんやつ」。知っているものごとのカバレッジを知る。我慢してた。「はじまってます」が言いにくい。SMS認証のその後の行方。追加のアプリのハードル。実はチャプターあるんですよ。基本見る専用なので特にないんですよね。ランサムに使われていた気になる脆弱性。修正に漏れ。抜け漏れが発生することも考慮しておく必要。回避系はCVSS基本値低くなりがちなので注意。とにかく当てるだけではなく、どういった情報なのかを見るという癖を付けると感度が上がるかも。情報発信元の立場別に見てみるのもいいかも。づいてはなかった。回数とは。DoSと言っても色々なものが混ざっている。順番気になるなぁ。一括りにしていては足下すくわれるかもしれませんね。回線は大丈夫でもサーバが貧弱で落ちたみたいなこともありますよね。あとは攻撃対象になったときの事業へのインパクトも考慮しないとですね。勉強会でしゃべってきました。自分が話すことが一番勉強になるかも。なんでタイトルでわろとんねん！我々しか言ってないけれども。どんどん新しい言葉が出てくる。分かり易さと厳密性のバランス。たぶんアホじゃないんですけど賢くもないんですよね。

【チャプター】
| いつもの雑談から | 00:00 |
| お便りのコーナー | 03:00 |
| (P) Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 (CVE-2023-24880) | 14:47 |
| (N) Killnet によるヘルスケア業界への DDoS 攻撃の状況 | 28:42 |
| (T) 勉強会で伝えたかったこと | 44:02 |
| オススメのアレ | 63:01 |

収録日: 2023年03月18日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・小島プレス、サイバー被害から1年 苦難乗り越え深めた絆
・サプライヤーのシステム障害によるトヨタ自動車の国内全工場停止についてまとめてみた – piyolog
・The VulnCheck 2022 Exploited Vulnerability Report – A Year Long Review of the CISA KEV Catalog – Blog – VulnCheck
・The VulnCheck 2022 Exploited Vulnerability Report – Missing CISA KEV Catalog Entries – Blog – VulnCheck
・マルウェアEmotetの感染再拡大に関する注意喚起
・LIL UZI VERT – YouTube

辻伸弘メモ：

悩ましい暖かさ。まだ油断できない。見切り発車した花見の思い出。猫と会える喜び。今週長かった。ステッカーは全5種あるんです。カットされた版もあります。新たなステッカーの制作がはじまってます。ウチは大丈夫かの亜種。Soul Scream。何でも無いようなことが。トヨタイムスって言っちゃってますがトヨタイムズですね。丁度一年前に。レンサバでWEBサイト立ち上げ直してた。ホワイトボードは味わい深い。悲劇を学習する。自動化された中身を知る大切さ。明日カレー食べよ。事件で伝わってたことが身に染みた。いざというときの偉い人の立ち居振る舞いって割とキーなんですよね。みんな大好きKEV。カバー範囲の話。初期侵入のために比較的悪用が簡単と思われるがカタログにないもの。しかし、入っていない理由が外からは見えにくい。掲載されているものは危ないが掲載されていないから危なくないとは言い切れない問題。活用する場合はきちんとメリデメはっきりさせておかないといけないですね。セキュリティ利点欠点。活動再開。えもやんは 忘れた頃に やってくる。Emotet担当。対策としてはこれまでと大きく変わらない基本的な部分ですね。まじでzoneid変えないアーカイバ使ってください。飽きてきたところがスタートライン。根岸さんに聴いていただきたい。あっさりおすすめ。

収録日: 2023年03月12日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・阪神・岡田監督の「アレ」ですか？ 海苔の佃煮「アラ！」、サンテレビとコラボして「アレ！」になる｜Jタウンネット
・川の防災情報における河川カメラ画像について
・国土交通省が管理する簡易型河川監視カメラへの不正アクセスについてまとめてみた – piyolog
・Ransomware Research Report 2023 | Cyber Security Works
・VMware ESXiを狙ったランサムウエアキャンペーンESXiArgsについてまとめてみた – piyolog
・Global DDoS-for-hire Takedown | NETSCOUT
・アクトレイザー・ルネサンス （Actraiser Renaissance） | SQUARE ENIX

辻伸弘メモ：

ほ？ほー！ほぅ？！アレはアレに由来？アレはアレ。どれもそれもなくアレ。Spaceで話したことを根岸さんへ報告。朝礼デビューしたものの。アレカテゴリー。構えてガチガチになっていくしかないのかな。何かあったときの連絡網の充実さ加減。ランダムにやってます。沢山の河川のカメラの不具合。運用再開の目処は立っていない。脆弱なパスワードが起因？繋がっている回線の違い。大雨の前に復旧してほしい。表紙かな？ツイートかな？文字数に制限あったんかな？巻き返しに期待します。たぶん久しぶりやろ。そうでもないか。とはいえ正直、ランサムって言うの最近ちょっと恥ずかしいときある。オレが付けたサブタイトルかな？ランサムギャングが利用する脆弱性に関するレポート。脆弱性スキャンでの検出漏れがある。CVSS信じていいんかい？委員会。利用されている脆弱性の多くは古い。ということはまだまだ使えるということ。KEVに登録されていないものもある。外部リソースを使うのはいいけど依存しすぎるのはよくないですよね。「だな」→「やな」。久しぶりかどうか分からない感じも出てきてる。(D)DoS代行サービス一斉摘発の影響。減っているように見えるが例年減りがちな時期でもある。摘発だけでは限界がある。でも思ったよりインパクトはあった。攻撃者も基盤のバックアップしているんでしょうね。リブランドは差し押さえがなくても普段からやっていることっぽい。スマホ版もありましたが画面サイズないとキツイと思います。音楽がかなりいい！旧バージョンも聴ける！

収録日: 2023年03月04日

Podcast: Play in new window | Download

Subscribe: RSS