podcast - #セキュリティのアレ

・「現代用語の基礎知識」選 ユーキャン 新語・流行語大賞
・AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (2)
・Your voice is my password – the risks of AI-driven voice cloning
・Ex-infosec COO pleads guilty to nightmarish sales strategy • The Register
・そいつどいつチャンネル【公式】 – YouTube
・きつね日和ch – YouTube

辻伸弘メモ：

呼ばれてへんねん。38年ぶりでした。アレがソレに貢献。脅迫の仕方が珍しいもの。何のために連絡したんだろう。時間稼ぎ？何処まで何をされたかは明らかにされていない事件。脅迫というか焦らせ方のパターン。安易に罰則というのもまずいかも。悪用のリスクを考えないといけない。盗んだ情報にお金を支払う是非。声のクローンを使った実験。もう現実ですね。これ気付けます？止められます？ITだけで実現するものではなさそうですよね。SIMスワップされてたらコールバックは対策にならないか。どこまでいけるん？自社の宣伝のために攻撃とはえげつない。ランサムでもそういうの昔あったような。早めに見ないといけない動画。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 07:50 |
| 3 | (T) BlackCat の新たな脅迫手法 | 12:16 |
| 4 | (N) AI で生成した音声クローンによるソーシャルエンジニアリング | 26:00 |
| 5 | (P) セキュリティ会社の元 COO による犯罪 | 40:04 |
| 6 | オススメのアレ | 53:32 |

収録日: 2023年12月02日

Podcast: Play in new window | Download

Subscribe: RSS

・フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | URL に特殊な IP アドレス表記を用いたフィッシング (2023/11/14)
・Is this the real life? Is this just fantasy? Caught in a landslide, NoEscape from NCC Group | NCC Group Research Blog | Making the world safer and more secure
・LOLDrivers
・NoEscape Ransomware | HC3: Analyst Note
・Diamond Sleet supply chain compromise distributes a modified CyberLink installer | Microsoft Security Blog
・Quick Wipes – 3 Pack – Jason Markk

辻伸弘メモ：

出張にかける期待がありステッカー多めに持って行ってた。どれがどういう方に刺さるか分からない。なんもおもんない回もあるんやろなぁ。目から鱗のお便り。スルーされてたらアレ勢の方、拾ってください。アイキャッチネタ募集します！変わった注意喚起。これ回避されるの？昔からあったけれども。リンクをクリックしないという注意喚起だけでは足りない気がしてます。画面の向こう側にいる人物が本当に思っている通りなのか。気付くことに全振りってのは良くないとは思う程度。対応をした内容。NoEscapeのある手口。2021年の脆弱性。手練れっぽくない。どういう理由で傾向が異なるのか。これくらいはなんとかしたい。をボトムラインに。名前がややこしいんよ。ソフトウェアサプライチェーンですね。日本も入ってた。特定のソフトウェアがあると正規の動作しかしない。目的と最終ターゲットが何かが気になるところですね。キャンバスをキャンパスって言うてまう。それは何故でしょーか。響いてへん感じか。これは。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 04:05 |
| 3 | (N) URL に特殊な IP アドレス表記を用いたフィッシング | 15:28 |
| 4 | (T) NoEscape ランサムウェアによる攻撃活動 | 31:12 |
| 5 | (P) Diamond Sleet によるソフトウェアサプライチェーン攻撃 | 50:19 |
| 6 | オススメのアレ | 66:11 |

収録日: 2023年11月25日

Podcast: Play in new window | Download

Subscribe: RSS

・In-Depth Analysis of July 2023 Exploit Chain Featuring CVE-2023-36884 and CVE-2023-36584
・Reflecting on 20 years of Windows Patch Tuesday | Windows Experience Blog
・Reflecting on 20 years of Patch Tuesday | MSRC Blog | Microsoft Security Response Center
・Hive Ransomware’s Offspring: Hunters International Takes the Stage
・岐阜県 inaba 稲葉ピーナツホームページ

辻伸弘メモ：

寝起きのチキチクで感じる冬。意外と繊細。2人目。QRなのに短縮URL使う理由。ヤン坊マー坊は1959年から。なかったことなってた。初心でね。新たなMoTW回避。口頭説明の限界に挑戦。タイミング。合わせ技一本系。単体で見ると低い危険度なるので注意が必要。これがあれば被害受けなかったのにとならないように。○分で読めますアテにならない説。20周年おめでとうございます！2003年10月。発表当時はうまくいくのか懐疑的でした。提供する側の工夫、試行錯誤大事。2008年に定例外が始まった。細かいことを考えさせないというのは鍵だと思う。Hiveどこいった？逮捕や起訴は報じられていない。韻踏んでるのは興味なさそう。公式が後継であることを否定。お前Hiveだろ？他のリークサイトとの違い。暗号化しないほうが攻撃の手間が減るのを狙ってる？RaaSの引き際パターン。食料品は見て回るのが好き。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:07 |
| 3 | (P) MotW をバイパスする脆弱性を悪用する攻撃 | 12:33 |
| 4 | (N) Patch Tuesday 20周年 | 28:14 |
| 5 | (T) Hunters International は Hive の後継なのか | 39:43 |
| 6 | オススメのアレ | 50:48 |

収録日: 2023年11月18日

Podcast: Play in new window | Download

Subscribe: RSS

・SysAid On-Prem Software CVE-2023-47246 Vulnerability – SysAid
・短縮URLサービス利用時に表示された悪質な広告についてまとめてみた – piyolog
・CISA Adds One Known Exploited Vulnerability to Catalog | CISA
・New high-severity vulnerability (CVE-2023-29552) discovered in the Service Location Protocol (SLP) | Bitsight

辻伸弘メモ：

200回です。でも通過点。身近なところにアレ勢。よかった回。ついついツイートって言う。CL0Pの新たなゼロデイ利用。脆弱性対応 != パッチ適用。侵害の可能性を意識した注意喚起。アクセス制御の余地を考える。中身いじれる製品とそれ以外。変更管理ってあまり目が向けられない印象がある。QRコードの怪。使っていた短縮URLのリダイレクトページに。紛らわしいボタン。QRにしたなら短縮やめたほうがよかったですね。自分たちでコントロールできないものを使うことのリスクを考えよう。組織で短縮URLを使う理由って。時代は繰り返される。本物より偽物のほうがでかい。久々の。KEVに追加。SLP。増幅系のやつ。一旦ため込ませるのがミソ。ローカル前提大体ソレ説。誰かが使い始めるというよりサービスで採用されたらって感じですね。「またか」ではなく「異常だ」と感じるべき。出鼻挫いていくスタイル。今後ともよろしくお願いいたします。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 03:21 |
| 3 | (T) SysAid のゼロデイを狙う CL0P の攻撃 | 10:03 |
| 4 | (P) 短縮URLサービスから広告経由で不正サイトに誘導された話 | 23:16 |
| 5 | (N) SLP を悪用する DoS 攻撃 | 40:19 |
| 6 | オススメのアレ | 56:35 |

収録日: 2023年11月12日

Podcast: Play in new window | Download

Subscribe: RSS

・Unauthorized Access to Okta’s Support Case Management System: Root Cause and Remediation | Okta Security
・Encrypted traffic interception on Hetzner and Linode targeting the largest Russian XMPP (Jabber) messaging service —
・Ransomware Vulnerability Warning Pilot updates: Now a One-stop Resource for Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware | CISA
・Scattered Ransomware Attribution Blurs Focus on IR Fundamentals
・Report: Voice of the SOC 2023 | Tines
・映画『Every Day』公式サイト 全国巡回上映中

辻伸弘メモ：

謝罪です。どっちが元祖やねんのアレ。新語・流行語大賞。新しい学校のリーダーズもね！どこで流行してるのか疑惑。気付いててもスルーしていくスタイル。勝手に全国区と思っているものってありますよね。合格者続出のポッドキャスト。今まで一番良かった回、印象に残った回教えてください！きちんと過去ネタもアップデートしていくぅ！また個人のやつ！これは根深いと思っています。伝えていかないとと思っています。JavaやないでJabberやで。切れてなーい！法執行機関の網？更新漏れはワザと？ものっそいちっちゃい文字での提出のアレが思い出される。KEVの新しい列について。2割近くって思ったより多かった。悪用された年とCVE番号のギャップ。2017年の境目。異なるタイプ攻撃者の隔たりが小さくなっているっぽい。KEVの新しい使い方思いついたんですけど。実績の軸ほしい。どこが使っているかを把握しててもすべてではないからなのか。生々しい実態調査。驚異の満足度。とはいえ燃え尽きもある。非常に燃え尽きてるってもうススやん。何年目以降燃え尽きやすいみたいな数字は知りたかった。立場が変わっても離れられないのかも。コミュニケーションがしんどいだってー！？色々大杉問題。どれくらい移る気持ちが高いのかも気になる。変わるべきは両方って多いと思うんです。なんとなく過ごしている毎日について。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 06:52 |
| 3 | (N) Okta への不正アクセスの続報 | 15:35 |
| 4 | (N) ドイツであるサービスの暗号化通信が盗聴 ? | 20:16 |
| 5 | (T) KEV カタログにランサムウェア関連の項目が追加された話 | 31:43 |
| 6 | (P) SOC に勤務する人達の本音レポート | 46:58 |
| 7 | オススメのアレ | 65:42 |

収録日: 2023年11月05日

Podcast: Play in new window | Download

Subscribe: RSS

・X-Force uncovers global NetScaler Gateway credential harvesting campaign
・Cisco IOS XE の脆弱性 CVE-2023-20198 / CVE-2023-20273 についてまとめてみた – piyolog
・Multiple Vulnerabilities in Cisco IOS XE Software Web UI Feature
・Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
・BOD 23-02: Mitigating the Risk from Internet-Exposed Management Interfaces | CISA
・Tracking Unauthorized Access to Okta’s Support System | Okta Security
・BeyondTrust Discovers Breach of Okta Support Unit | BeyondTrust
・How Cloudflare mitigated yet another Okta compromise
・Results of Major Technical Investigations for Storm-0558 Key Acquisition | MSRC Blog | Microsoft Security Response Center
・Title: DarkGate Loader delivered via Teams – Truesec
・DarkGate Opens Organizations for Attack via Skype, Teams
・濃熟旨辛どろソース｜オリバーソース

辻伸弘メモ：

結構三人で喋ってる。長らく使っているもの。ゆくゆくは丸見え。イリーガルジャージ。CPEにもなるアレ。おかえりなさい！毎回新鮮だけど大枠変わってない。自分の仕事の説明。皆さんも買って感想くれるの嬉しいんですよね。未知のメカニズム。アカウント作成の脆弱性は厄介。結構なオーダー。被害の詳細は公開されていない。まだまだに外に空いてるんですね。意識できてるのはどのくらい？できてたら制御してそうだからやっぱできてないんじゃなかろうか。再起動したら消えるのって昔ペストって呼ばれた時期ありましたね。アップデートしてないと何でやられたか追いにくいというのもある。窃取理由は書いてないけど認証情報が予め盗まれてたものが悪用！から始まる話ちょくちょく見かけるようになった。oktaの向こう側。ダメージコントロールすごっ。鍵束狙うみたいな。あたたたたたたた多機能！10人限定販売でも使う人数が10人とは限らないかな。メールやWebではない経路で来た。チャット版スレッドハイジャック。Autoit。関係あるやんけ。初のゼロ。分業・専業って手強いな。濃熟旨辛。オイソース。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:16 |
| 3 | (P) Cisco IOS XE の脆弱性を悪用する攻撃 | 13:13 |
| 4 | (N) Okta のサポートシステムへの不正アクセスの影響 | 27:24 |
| 5 | (T) DarkGate マルウェアの活動状況 | 40:44 |
| 6 | オススメのアレ | 51:50 |

収録日: 2023年10月21日

Podcast: Play in new window | Download

Subscribe: RSS

・サイバー空間をめぐる脅威の情勢等｜警察庁Webサイト
・デジタル空間に、もっと信頼を。 Originator Profile
・A new spin on the ZeroFont phishing technique – SANS Internet Storm Center
・華もち｜商品情報｜ハーゲンダッツ ジャパン Häagen-Dazs

辻伸弘メモ：

口は災いの元。例のモノが届いた？どこで何喋ったか覚えてない定期。ようやくよやく。性能以外の大事なものもある。シェバット。勉強はしないよりもしておいたほうがいいわ。っていう歌もありましたね。早く手を付けて継続すること。ライブやったことないかも。ペリスコープ覚えてますか？試験勉強きっかけとかもある。色々コメントくださいね。こっそり。通称：めぐる情勢。3部構成。上げ止まってる？二重と二重以外。団体ってなんで分けてるんやろ。注意喚起するなら同じことを広めてもいいのでは？まだまだVPN由来。侵害を受けたけどパッチはどうだったのか。エンドユーザ由来というのもあるのでは。国内では病院、港でというのでクローズアップされがちだったかも。復旧にかかった時間と費用はこれだけ出されても計りかねる。アンケート項目変わってるのあるので注意。お声がけお待ちいたしております。辻さんは置いておいてもろて。人生で初めて聞いた。広まるかなと思っていたものの。誤った、偽情報が社会的な問題に。それどやって分かりやすく判断できるようにする？W3C巻き込んで。ゴリ押しのあるある末路。プラットフォーマーの力。生存戦略なのか。フィッシングのテクニック。ゼロフォント。ちゃんとしたフィッシングメール。リスト表示されるところを対象にしているところが新しい。今回のは機械ではなく人間を騙す。実は他のジャンルではよく知られているテクニック。Preview Text Hack。騙すよりも気を惹くということのほうが効果的そう。アイスの季節です。気に入るとがっつりいくタイプ。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 06:48 |
| 3 | (T) 令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について | 16:26 |
| 4 | (P) Originator Profile の取り組み | 35:33 |
| 5 | (N) フォントサイズ 0 のちょっと変わったフィッシングメール | 49:17 |
| 6 | オススメのアレ | 59:23 |

収録日: 2023年10月08日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Analysis of Time-to-Exploit Trends: 2021-2022 | Mandiant
・中国を背景とするサイバー 攻撃グループ BlackTech に よるサイバー攻撃について（注意喚起）｜警察庁Webサイト
・People’s Republic of China-Linked Cyber Actors Hide in Router Firmware | CISA
・Reports about Cyber Actors Hiding in Router Firmware
・Coalition’s Cyber Claims Report Finds Frequency and Severity Increased in 1H 23
・しわとり・消臭・除菌・防臭ができるトータルケアスプレー「お洋服のスタイルガード」｜ライオン株式会社

辻伸弘メモ：

BODづくしのパネル。今回のパネルの辻的ハイライト。笑ってくれてましたか？寝てる人を起こすには。蚊が元気なタイミング。1000超えたから考える運用方法。ちょぴりBYODの場合の侵害の影響範囲。気付きのあるポッドキャスト。それぞれの情報収集。悪用された脆弱性の分析。悪用されるまでの日数ってどんどん短くなり続けてますよね。公表から1年経ってから悪用された脆弱性が何だったのか気になりますね。分析組織による観測範囲の偏りはあるかもしれませんね。攻撃側にもある優先度。内訳知りたい！知りたい！今出た意味。日本語のと英語のとで結構内容が異なる。ファームウェアの書き換えってめちゃくちゃ厄介やなぁ。JCDC = Joint Cyber Defense Collaborative。CISCOのアンサー。警視庁の注意喚起が参考として掲載。ほんで何したらええんかいな。出すことそのものが目的の可能性。今日も今日とて。保険会社のランサム分析。ユーロじゃなくてドルでした！単価を上げる、BigGame Hunt的なのは他のレポートでも見られますね。底打ちの上昇傾向になのかも。LockBitがアフィリエイトに向けてルールの提案。業種も規模もよりけりであり、どこに来てもおかしくないということには変わりない。皺伸ばシュッシュー！

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:31 |
| 3 | (N) Mandiant による 2021-2022年に悪用された脆弱性の分析 | 16:27 |
| 4 | (P) BlackTech の攻撃活動に関する日米共同の注意喚起 | 34:43 |
| 5 | (T) サイバー保険におけるランサムウェア被害の動向 | 48:35 |
| 6 | オススメのアレ | 66:07 |

収録日: 2023年09月30日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について｜警察庁Webサイト
・Sophos X-Ops: "In a recent intrusion, Sophos observed the latest BlackCat / ALPHV variant, dubbed Sphynx, sporting new features and being used to encrypt Azure Storage accounts." – Infosec Exchange
・KEV Catalog Reaches 1000, What Does That Mean and What Have We Learned | CISA
・When MFA isn’t actually MFA
・Google Online Security Blog: Google Authenticator now supports Google Account synchronization
・浅草今半 オンラインショップ / 佃煮

辻伸弘メモ：

落ち着きがないわ。言ってたわ案件。今日はいい感じですね。by piyokango。全裸ランサム。うまいこと言うというのは諸刃の剣。見つけたんですね。セキュリティは狭いようで広いのかもしれない。声と年齢。国による休日の違い。ディスインフォメーションかもしれない可能性の考慮。スフィンクス。ランダムっぽい引数のランサム。クラウドもターゲットにした。これまでも様々な攻撃手法を使ってきていた。検索してはいけない言葉に登録されているんですよね。独自の転送ソフトも提供している。色々な情報や思っていることを書くようになってきた。ついに1000件を超えた。追加される3つの基準。発行してからこれまでの効果。最終回みたいなことを。Noteは結構前からあったけど使われるようになったのは最近っぽい。インシデントの数は減っているのだろうか。仕組みと現実的な運用方法。やりっぱなしじゃなくて偉い！スミッシングから始まった攻撃。1人だけがひっかかってしまった。からの電話。その質と流れとは。MFAのシークレットの扱い方がキモ。書いていないことは都合が悪いのかも。仕組みの危なさを考える癖。野放しになっちゃうなぁ。使っている人は右上の雲マークを確認！自分は使わなくなった端末でバックアップしてます。かなりの下準備。白いご飯きっかけのおすすめのアレ。

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 05:33 |
| 3 | (T) BlackCat ランサムウェアの新たな攻撃手法 | 14:50 |
| 4 | (P) KEV カタログの運用状況 | 26:17 |
| 5 | (N) MFA が MFA じゃなくなる時 | 44:03 |
| 6 | オススメのアレ | 65:39 |

収録日: 2023年09月23日

Podcast: Play in new window | Download

Subscribe: RSS

【関連記事】

・Security Online Day 2023 秋の陣（2023.09.26‐27）
・「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も – ITmedia NEWS
・Amazon.co.jpのクレジットカードセキュリティ – Amazonカスタマーサービス
・Peach Sandstorm password spray campaigns enable intelligence collection at high-value targets | Microsoft Security Blog
・Malware distributor Storm-0324 facilitates ransomware access | Microsoft Security Blog
・New tool exploits Microsoft Teams bug to send malware to users
・演歌ネコII【誕生お祝い／オルゴール／熱唱系アニマルズ】 – 日本ホールマーク公式オンラインストア

辻伸弘メモ：アレがバズってた。Automaticの意味。告知あります。失恋のアレ。声から入るパターン。編集のマジックがあるので是非、三人のパネルをご視聴ください！まずは目に触れるようにすること。Amazonの不正利用に関して整理してみよう。「二段階認証が突破された」と言ってしまっていい段階なのでしょうか。何に起因してるのかサービス側とユーザ側に分けて考えてみよう。クレジットカード情報の再入力を求められるケースがある。この機能は2016年くらいかあったようですね。原因が単一とは限らないですね。SMSが飛んできていないのであれば突破ではないのかもしれない。イラン国家背景と言われているアクター。数千の組織に対しての初期侵入の方法2つとは。国家背景にしてはえらくアナクロなことしてきますね。分業してる？過去と違うアクセス方法。曜日にも分業感あるかも。足下固めないと。こうしましょうから入らずに攻撃の手口、どのような脅威なのかから入ったほうがええと思ってます。MSレポート繋がり。Stormなんちゃら多すぎてStormストームですやん。IAB活動を主にしている。ランサムギャングにも引き継ぐ。.pubへのMOTW不備の脆弱性も使ってたことも。新しいツールをすぐに取り入れてたっぽい。経路は変わっても守り方はそんなに変わらない。自分たちがまずすぐにできるものは何かを考えよう。対策だけじゃなくて、それを防ぐ脅威や事例があるといい！バックリンクあるといい！得にはアナログもいいのでは？

 
【チャプター】
| 1 | いつもの雑談から | 00:00 |
| 2 | お便りのコーナー | 04:20 |
| 3 | (P) Amazon の不正利用の謎 | 11:16 |
| 4 | (N) Peach Sandstorm による攻撃キャンペーン | 26:10 |
| 5 | (T) Storm-0324 による攻撃キャンペーン | 41:29 |
| 6 | オススメのアレ | 55:22 |

収録日: 2023年09月15日

Podcast: Play in new window | Download

Subscribe: RSS