podcast - #セキュリティのアレ

【関連記事】

・Anonymousによるオペレーション #OpFukushima メモ | (n)inja csirt
・第34回セキュリティのアレ　「用語解説シリーズ：ゼロデイ」 – YouTube
・第35回セキュリティのアレ　「用語解説シリーズ：エクスプロイト」 – YouTube
・A simpler and safer future — without passwords
・MTR in Real Time: Pirates pave way for Ryuk ransomware – Sophos News
・The realities of ransomware: Five signs you’re about to be attacked – Sophos News
・患者情報の管理に関するご報告とお詫び｜千葉大学医学部附属病院
・コトバト 〜辞書を使った語彙力バトル〜｜小学館

 
 
【関連ツイート】

今日は 5月の第1木曜日、World Password Day です。毎年言ってる気がするけど、たぶんほとんど誰も知らないw 2要素認証を有効にしてみたり、パスワード管理ソフトを使ってみたり、この機会に自分のパスワード利用法を見直してみてはいかがでしょうか。#passwordday

— Masafumi Negishi (@MasafumiNegishi) May 6, 2021

2021年4月のランサムリーク確認数
カッコ内は先月確認数

1⃣➡️#CONTI 37(32)
2⃣⬆️#Revil 33(16)
3⃣⬆️#DoppelPaymer 20(12)
4⃣⬇️#CL0P 7(21)
5⃣⬆️#RonsomExx 2(2)
6⃣⬆️#Ragnar 1(0)
6⃣⬇️#Nefilim 1(7)

❄️#Netwalker Close?
☠️#Maze EoL

Total 101(90)
数字は現時点で把握できているものです。 pic.twitter.com/7DFbZEyRJE

— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) May 4, 2021

 

辻伸弘メモ：

ファンが回り始めたら仮想通貨マイニングか暗号化。誰かが何かを誰かに買わせようとするポッドキャスト。動画のポッドキャスト。ビンビンきてます。バインバインきてます。とうとうGoogleが立ち上がった。認証周りはほんと尽きない。一回飛んだら久しぶり。Windows DefenderもFWも止めるあたり慣れてるかも。取っ掛かりは小さく大きな一歩になるかもしれない。ターゲットを絞った海賊版。つもりセキュリティはまずい。ルールだけ作って終りじゃない。目標作ったらなら測定もね。間違ってたらごめんなさい。職場で流してください。

収録日: 2021年05月08日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・ネットワークセキュリティのエバンジェリスト・辻伸弘が語る『攻殻機動隊 ARISE』とネットの世界　前編 | アニメ！アニメ！
・macOS Gatekeeper Bypass (2021 Edition) | by Cedric Owens | Apr, 2021 | Medium
・All Your Macs Are Belong To Us : Objective-See
・All your base are belong to us – Wikipedia
・Mac で App を安全に開く – Apple サポート
・Shlayer malware abusing Gatekeeper bypass on macOS
・サイバー情報共有イニシアティブ（J-CSIP） 運用状況 [2021年1月～3月]
・Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 | FireEye Inc
・Click Studios Incident Management Advisory
・Moserpass supply chain
・Initial analysis of PasswordState supply chain attack backdoor code | by taha karim | Apr, 2021 | Medium

辻伸弘メモ：

リクライニングで気付いた。アレ勢。It’s over 9000!。すぐに「はい」押す。Macのバイパスはゼロデイだった。何卒でました。なじとぞ。BECではなくクラウドサービスへの攻撃を紹介。手順がいくつかある攻撃事例は有益情報。自分たちで検知することの大変さ。気付いても間に合わないこともあることを留意。「見つけられるか」「追えるのか」「間に合うのか」。これ防げるのか。ぞっとするタイプの攻撃。何を狙ったのか。ターゲットがあったのか。イニシャルアクセスブローカーなのか。自動更新止めてて救われたことあります。パスワード管理ソフトに多要素認証も預けるのか否か。どっちなんだい。

収録日: 2021年05月01日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・セキュリティのアレ – ＠IT
・内閣府職員等が利用する「ファイル共有ストレージ」に対する不正アクセスについて – 内閣府
・【FileZen】脆弱性対応の経緯 | サポート情報 | ソリトンシステムズ
・内閣府のFileZenへの不正アクセスについてまとめてみた – piyolog
・Anonymousによるオペレーション #OpFukushima メモ | (n)inja csirt
・Anonymousによるオペレーション #OpMyanmar メモ | (n)inja csirt
・Signal >> Blog >> No, Cellebrite cannot ‘break Signal encryption.’
・Signal >> Blog >> Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer from an app’s perspective
・[Official Video] JAM Project – THE HERO !! – “One Punch Man” Opening Theme ワンパンマン – YouTube

辻伸弘メモ：

緊急事態宣言由来。スパイダーマンクリアからのGhost of Tsujima。ダイエット誉。区の境を歩く。受かっていると信じてる。楽しむのが一番。社内版辻氏。ディレクトリトラサーバル。どうやって見つけたのか問題。攻撃者は自由に触れる環境を持っているのでは。注意喚起が出たらもう自分のところにも攻撃来てるかもと思うくらいが丁度いい。アノニマス担当大臣。並びで分かる。賛同を得やすいテーマ。賛同が得られてるイコール攻撃が起きるとも限らない。イガイガしてるな。なんかあったら教えてください。我らがSignal。そう言えばかんごさんの話のときに根岸さんがシグナルって言葉使ってるけどこれは自分の担当の話への布石だったのだろうか。ぬほほほ。複雑な挙動をすることが常なフォレンジック製品。最大の疑問：散歩中に見つけた鞄。拾ったら届けよう。初ヒーローはキン肉マンかアンパンマン。いい話にしようとするとふわっとさせるポッドキャスト。

収録日: 2021年04月24日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・April 2021 Update Tuesday packages now available – Microsoft Security Response Center
・Released: April 2021 Exchange Server Security Updates – Microsoft Tech Community
・Apply Microsoft April 2021 Security Update to Mitigate Newly Disclosed Microsoft Exchange Vulnerabilities | CISA
・iPhoneの「バックドア」問題について – セキュリティは楽しいかね？ Part 2
・Australian firm Azimuth unlocked the San Bernardino shooter’s iPhone for the FBI – The Washington Post
・Hacking Startup ‘Azimuth Security’ Unlocked the San Bernardino iPhone
・How a Tiny Startup Became the Most Important Hacking Shop You’ve Never Heard Of
・Investigating a unique “form” of email delivery for IcedID malware – Microsoft Security
・So Unchill: Melting UNC2198 ICEDID to Ransomware Operations | FireEye Inc
・Sodinokibi (aka REvil) Ransomware
・EmotetとIcedIDとTrickbotをATT&CKを利用して比較したメモ | (n)inja csirt
・不正アクセスに関する調査結果のご報告【第4報】 | 株式会社カプコン
・COCOA不具合調査・再発防止策検討チーム｜厚生労働省
・M-Trends Cyber Security Trends | FireEye
・Russian Foreign Intelligence Service Exploiting Five Publicly Known Vulnerabilities to Compromise U.S. and Allied Networks > National Security Agency Central Security Service > Article View
・山下達郎　「蒼氓（そうぼう）」・「踊ろよ、フィッシュ」Music Video – YouTube

【関連ツイート】

CVSS Base Score 9 以上は
9.8 CVE-2021-28480/CVE-2021-28481 Exchange
認証なしユーザー操作なしリモートコード実行
9.0 CVE-2021-28483 Exchange
認証ありユーザー操作なしリモートコード実行
悪用公開なし。がExchangeの管理者様は何卒何卒適用お願い申し上げますhttps://t.co/82dIXgbZDZ

— Yurika (@EurekaBerry) April 14, 2021

先週から複数のなりすましメール送信の被害報告を受けています。メールの特徴は #emotet と似ていますが、別のマルウェア(#IcedID)へ感染させるメールです。
なりすましメールの送信元はマルウェア起因でなくメールアカウントへの不正ログインが疑われますので、パスワードを再設定ください。 ^KS pic.twitter.com/Fob1PCbut1

— Analysis Center (@jpcert_ac) November 6, 2020

The recent surge of IcedID campaigns indicate that this malware family is likely being used to fill in some of the void left by recent malware infrastructure disruptions. We are tracking multiple active IcedID campaigns of various sizes, delivery methods, and targets. pic.twitter.com/Qfsii7q0uu

— Microsoft Security Intelligence (@MsftSecIntel) April 13, 2021

辻伸弘メモ：

ホームステイ失敗。温泉地でアレ。別荘買っちゃう。フロッピーもう知らないかな。またエクスチェン。敢えての逸らし。根岸さんが当時しっかりと追っかけていた事件。セキュリティは楽しいかねを初めて。継続ウォッチしてなかったもののしっかりと顛末をキャッチアップするのは素晴らしいと思うんですよ。ネタ被りほんとにない。ポストEmotet。せっかく書いた。言ってたわーとかは言いません。登場人物全員天邪鬼。Mトレ。自分たちでインシデントを気付くのが増えている理由の考察。外から利用できる脆弱性が多かった年かも。同じ組織への攻撃に複数のアクターが関連しているものも増えた。CobaltStrike・Empire・Metasploitはもう三銃士ですね。攻撃手口でカテゴライズしづらい。インストゥルメンタル。踊ろよ、フィッシュではなくアトムの子でした。正座は、、、せんでいい。

収録日: 2021年04月10日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・ポプラ、１４０店を「ローソン・ポプラ」か「ローソン」に切り替え　２１年３月から、収益改善図る | 地方経済 | 中国新聞デジタル
・Troy Hunt: The Facebook Phone Numbers Are Now Searchable in Have I Been Pwned
・USB-C YubiKey 5C NFC Two Factor Security Key | Yubico
・Expanding Support for Security Keys on Mobile Devices – About Facebook
・ワンタイムパスワード（OTP） – Yahoo! JAPAN IDガイド
・SMS認証を設定してより安全にYahoo! JAPANを利用しよう パスワードを使わないログイン
・Trelloの公開ボードについて – Atlassian Japan 公式ブログ | アトラシアン株式会社
・Trelloを安心して便利にお使いいただくために – Atlassian Japan 公式ブログ | アトラシアン株式会社
・Anoymousによるオペレーション #OpMyanmar メモ
・フラワーカンパニーズ　『深夜高速(25th Annivarsary Mix)』 – YouTube

【関連ツイート】

Secure your account (and that alt) with multiple security keys. Now you can enroll and log in with more than one physical key on both mobile and web.

And coming soon: the option to add and use security keys as your only authentication method, without any other methods turned on.

— Twitter Support (@TwitterSupport) March 15, 2021

辻伸弘メモ：

寒暖差の激しい季節の折。マイナンバーでビックウェーブにギリ乗れた。ポプラのポッドキャスト。珍しくええかげんなことを。みんな大好きHIB。ハヤイ・ハント。「はじまってました」の元ネタ。予備キー。Yobico社。昔、脆弱性をバンジャクセイって読む人いたなぁ。ワンタイムパスワード終了ちょと怒ってます。いただきまして予備予備キーが増えました。公開範囲の表記の仕方。

収録日: 2021年04月10日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・コンビニエンスストア等における証明書等の自動交付【コンビニ交付】 | ホーム
・ポプラのこだわりHOT弁当（ポプ弁） – 商品のご案内 | コンビニ ポプラ
・マイナンバーカードの健康保険証利用｜マイナポータル
・「マイナンバーカード保険証」本格運用が半年延期、課題は入力ミス3万件だけにあらず | 日経クロステック（xTECH）
・【2021/3/10】不審なリンクが記載されたメールの学内配送に関する注意喚起 – 情報基盤センターからのお知らせ
・A Bazar of Tricks: Following Team9’s Development Cycles
・BazarBackdoor: TrickBot gang’s new stealthy network-hacking malware
・Ransomware Amounts Rise Threefold
・CL0PによるAccellion FTAの脆弱性利用事件メモ | (n)inja csirt
・Ransomware gang urges victims’ customers to demand a ransom payment
・Ransomware gang plans to call victim's business partners about attacks
・New campaign targeting security researchers
・Update on campaign targeting security researchers
・有田と週刊プロレスと

【関連ツイート】

2021年3月のランサムリーク確認数
カッコ内は先月確認数

1⃣➡️#CONTI 32(37)
2⃣⬆️#CL0P 21(9)
3⃣⬇️#Revil 16(22)
4⃣⬇️#DoppelPaymer12(22)
5⃣⬆️#Nefilim 7(0)
6⃣⬇️#RansomExx 2(3)
7⃣⬇️#Ragnar 0(1)

❄️#Netwalker Close?
☠️#Maze EoL

Toal 90(94)
数字は現時点で把握できているものです。 pic.twitter.com/soG5OKNsa3

— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) April 3, 2021

辻伸弘メモ：

アベックと根岸カップリング。マイナンバーカード便利だった。優良ペーパードライバー。ポプラ大好き。大阪と東京で全国区。そうは広まらなさそう。らしくないアレ。ダウンローダが弾道弾に聞こえた。人類には早すぎたのかもしれない。RevilはRansomEvilの略。根岸さんの言いつけを守ってウォッチだ。被害者の関係者やメディアにアプローチ。偽のセキュリティベンダー。2011年ごろのTwitterのリンククリックセンス。行き止まり研究家。見かけによらず勉強熱心。ポプ弁食べたくなってきた。

収録日: 2021年04月03日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・根岸カップリング – Wikipedia
・EmotetとIcedIDとTrickbotをATT&CKを利用して比較したメモ | (n)inja csirt
・CL0PによるAccellion FTAの脆弱性利用事件メモ | (n)inja csirt
・Have I Been Pwned: Check if your email has been compromised in a data breach
・Black Kingdom ransomware (TTPs & IOC) | REDTEAM.PL TECHBLOG
・CSS-Exchange/Security at main · microsoft/CSS-Exchange · GitHub
・Analyzing attacks taking advantage of the Exchange Server vulnerabilities – Microsoft Security
・Black Kingdom ransomware begins appearing on Exchange servers – Sophos News
・Chromium Blog: A safer default for navigation: HTTPS
・HTTPS-Only Mode in Firefox | Firefox Help
・RFC 8996 – Deprecating TLS 1.0 and TLS 1.1
・TLS 1.0/ 1.1 Usage Report
・TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～：IPA 独立行政法人 情報処理推進機構
・SSL Server Rating Guide · ssllabs/research Wiki · GitHub
・Androidで「WebView」不具合、アンインストールはちょっと待って – ケータイ Watch
・Google Japan on Twitter: “Android アプリが一部のユーザーで強制終了する問題を修正しました。不具合が解消しない場合は、Google Play ストアから Android システムの WebView と Google Chrome をアップデートしてください。ご迷惑をおかけした皆さまにお詫び申し上げます。 https://t.co/IYtyEr5FC8 https://t.co/JyU6EsGNSz” / Twitter
・Def Tech – My Way / THE FIRST TAKE – YouTube
・オリコン合算ランキングの集計方法について | ORICON NEWS

【関連ツイート】

Our work continues, but we are seeing strong momentum for on-premises Exchange Server updates:
• 92% of worldwide Exchange IPs are now patched or mitigated.
• 43% improvement worldwide in the last week. pic.twitter.com/YhgpnMdlOX

— Security Response (@msftsecresponse) March 22, 2021

Someone just ran this script on all vulnerable Exchange servers via ProxyLogon vulnerability. It claims to be BlackKingdom "Ransomware", but it doesn't appear to encrypt files, just drops a ransom not to every directory. pic.twitter.com/POYlPYGjsz

— MalwareTech (@MalwareTechBlog) March 21, 2021

Updated Special Report run to add extra data and re-test exposed webshells: +220990 events, 38798 IPs, 45747 hostnames, 141935 webshell paths, with 48197 active shells returning version info. Expanded webshell scan set to follow, but please urgently remediate compromised systems. https://t.co/go0D6kREv7

— Shadowserver (@Shadowserver) March 25, 2021

Android アプリが一部のユーザーで強制終了する問題を修正しました。不具合が解消しない場合は、Google Play ストアから Android システムの WebView と Google Chrome をアップデートしてください。ご迷惑をおかけした皆さまにお詫び申し上げます。https://t.co/IYtyEr5FC8https://t.co/JyU6EsGNSz

— Google Japan (@googlejapan) March 23, 2021

辻伸弘メモ：

実績まとめるときの検索方法。色々まとめておくと後々便利。アベックはフランス語。ギリ寄りのギリ。EOMT-EMOTET-EMET-MOET。攻撃が高度か低度かでははかれない場合もある。ブラウザのhttp(s)へのアクセスの挙動が変わるよ。ダガー。世界中に●台あるは現役のものではない可能性もある。影響を受けない辻。問題の周知方法って大事。反省をします。

収録日: 2021年3月27日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・攻撃発生中のExchange Serverの脆弱性 ProxyLogonなどについてまとめてみた – piyolog
・March 2021 Exchange Server Security Updates for older Cumulative Updates of Exchange Server – Microsoft Tech Community
・中国ハッカー攻撃、マイクロソフトが情報流出の可能性調査 – WSJ
・China Chopper Webシェルを使用したMicrosoft Exchange Serverに対する攻撃の分析
・Exchange servers under siege from at least 10 APT groups | WeLiveSecurity
・Microsoft Security Intelligence on Twitter: "We have detected and are now blocking a new family of ransomware being used after an initial compromise of unpatched on-premises Exchange Servers. Microsoft protects against this threat known as Ransom:Win32/DoejoCrypt.A, and also as DearCry." / Twitter
・Protecting on-premises Exchange Servers against recent attacks – Microsoft Security
・A Vulnerable World: RiskIQ's Unique View of the Microsoft Exchange Landscape | RiskIQ
・全国初摘発「ドメイン名ハイジャック」　サイト乗っ取り金要求　京都府警、容疑で男２人逮捕｜社会｜地域のニュース｜京都新聞
・ドメイン名ハイジャックに備えよ! コインチェックの対応から得られた教訓 – 情報セキュリティ事故対応アワード2020受賞レポート｜セキュリティ｜IT製品の事例・解説記事
・The Hijacking of Perl.com
・Fire at Our Strasbourg Site
・3.6 million websites taken offline after fire at OVH datacenters | Netcraft News
・Octave Klaba on Twitter: "Update 11 mars 16h40 It's too slow to give you all the information with just 280 chars. Here, my video with 8min of information we have today. https://t.co/qjm3Vs0Ho2 https://t.co/xTb09wmXJ0" / Twitter
・OVH data center fire likely caused by faulty UPS power supply
・Rust on Twitter: "Update: We've confirmed a total loss of the affected EU servers during the OVH data centre fire. We're now exploring replacing the affected servers. Data will be unable to be restored." / Twitter
・Ransomware Uncovered 2020/2021
・Would You Exchange Your Security for a Gift Card? | Trustwave
・従業員へ賄賂を渡し脅迫目的で不正アクセスを企んだ米国の事件についてまとめてみた – piyolog
・勝手に送金する悪質なCD-ROMが再び確認，今度は北陸銀行をかたる | 日経クロステック（xTECH）
・Accellion Incident Information Center
・メイトーのなめらかプリン【協同乳業】

辻伸弘メモ：

生活が楽になってきた。温泉の素で我慢。リングフィットランサム。やう゛ぇえランサム。注目ってなんだ。パスワードがorange。週刊Exchange Server。国内初のドメイン名乗っ取りの検挙。自分のウェブサイトの更新をはじかれた。コラかと思うくらいの火災。事故対応として偉い人が動画で報告。クラウドにあるからという安心はいけない。なんでも丸投げは痛い目を見る。ランサム業界最大手。マルチOS対応。ウェア取れる。ヤな予測は外れて欲しい。なんねん。カスタマーチャットしてみた。スーザンありがとう。

収録日: 2021年3月13日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・How I Could Have Hacked Any Instagram Account – The Zero Hack
・How I Might Have Hacked Any Microsoft Account – The Zero Hack
・CL0PによるAccellion FTAの脆弱性利用事件メモ | (n)inja csirt
・Three Top Russian Cybercrime Forums Hacked — Krebs on Security
・Exchange Server のセキュリティ更新プログラムの公開 (定例外) – Microsoft Security Response Center
・HAFNIUM targeting Exchange Servers with 0-day exploits – Microsoft Security
・Yurika on Twitter: "3/3定例外で公開したExchangeのセキュリティ更新プログラムについて、日本語でのブログを公開しました。攻撃が確認されております、オンプレミスのExchangeをご利用の環境は何卒早めに適用をお願いいたします。Exchange Onlineは影響ありません https://t.co/ntZYaDJgMl" / Twitter
・At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software — Krebs on Security
・Orange Tsai 🍊 on Twitter: "Just report a pre-auth RCE chain to the vendor. This might be the most serious RCE I have ever reported! Hope there is no bug collision or duplicate😝" / Twitter
・ProxyLogon
・Operation Exchange Marauder: Active Exploitation of Multiple Zero-Day Microsoft Exchange Vulnerabilities | Volexity
・cyber.dhs.gov – Emergency Directive 21-02
・Mitigate Microsoft Exchange Server Vulnerabilities | CISA
・Microsoft Exchange Server Vulnerabilities Mitigations – updated March 6, 2021 – Microsoft Security Response Center
・谷中農園のいちご「スカイベリー」 | 谷中農園

辻伸弘メモ：

いつもよりながめがいい左。フォフォフォフォってなる。3時間Clubhouse。セキュリティタイタニック。一年で一番のオクパード。ただの長になる。話題になってない脆弱性とは。エレガントな総当たり。ロックされるまでが普通という間隔は普通ではない。今回は週刊ではないのでRansom Walker。Accellion持って行かれる。ただのランサム。0day大盤振る舞い。渾身の一撃。縦読みせーへんわ。やべぇヤツ。何卒インディケータ「ゆりこん」。ほぼヤバい。止める,切り離すの判断をできるように。

収録日: 2021年3月6日

Podcast: Play in new window | Download

Subscribe: RSS