タグ「CC Eyes」 - はてブログ

タグ CC Eyes

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 35件)

サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について - JPCERT/CC Eyes

2023/12/05 8 users JPCERT 開示促進 https パブリックコメント

はじめに先日、JPCERT/CCが事務局として参加した、専門組織同士の情報共有活動の活性化に向けた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の報告書が公開され、関連成果物のパブリックコメントが始まりました。経済産業省　サイバー攻撃による被害に関する情報共有の促進に向けた検討会 https:/... 続きを読む

TSUBAMEレポート Overflow（2023年7～9月） - JPCERT/CC Eyes

2023/10/31 5 users overflow JPCERT TSUBAME センサー比較

はじめにこのブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。今回は、TSUBAME（インターネット定点観測システム）... 続きを読む

MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - - JPCERT/CC Eyes

2023/08/22 14 users JPCERT 手法攻撃 PDFファイルファイル

JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック（以降本記事ではMalDoc in PDFとする）が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイル... 続きを読む

カスタマイズ可能なマルウェア検知ツールYAMA - JPCERT/CC Eyes

2023/08/09 7 users JPCERT カスタマイズ

攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場で... 続きを読む

なぜ被害公表時に原因を明示するのか／しないのか～個別被害公表と事案全体のコーディネーションの観点から～ - JPCERT/CC Eyes

2023/08/07 8 users 省庁コーディネーション JPCERT 報道脆弱性

はじめに複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガ... 続きを読む

開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃 - JPCERT/CC Eyes

2023/07/12 12 users JPCERT MacOS Python node.js 攻撃

JPCERT/CCは、2019年6月から継続して攻撃を行っている標的型攻撃グループDangerousPassword [1][2]（CryptoMimicまたは、SnatchCryptoとも呼ばれる）に関連すると思われる、暗号資産交換事業者の開発者を狙った攻撃を5月末に確認しています。この攻撃は、マシン上にPythonやNode.jsがインストールされたWindows、macOS、... 続きを読む

DNSの不正使用手法をまとめた技術ドキュメントの公開 - JPCERT/CC Eyes

2023/07/06 157 users JPCERT セキュリティインシデントＤＮＳ first

はじめに Domain Name System（DNS）はインターネットサービスを使用する上で欠かせない基幹サービスであり、DNSが関連するセキュリティインシデントへの対処は、健全なインターネットを維持するために重要です。本ブログでは、JPCERT/CCもメンバーとして参加しているFIRSTのDNS Abuse SIGが、2023年2月に公開したDNS Ab... 続きを読む

Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes

2023/05/29 19 users JPCERT WebUI ルーターマルウェア Go言語

JPCERT/CCでは、2023年2月頃、国内のルーターにマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。マルウェア実行までの攻撃の流れ初めに攻撃者はWEBUIが外向けに開いているルーターを狙って脆弱性などを使用し、各種スクリプ... 続きを読む

注意喚起や情報共有活動における受信者側の「コスト」の問題についてー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes

2023/05/09 166 users JPCERT アリバイガイダンスやり取り注意喚起

JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年３月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多く... 続きを読む

LogonTracer v1.6 リリース - JPCERT/CC Eyes

2022/12/21 5 users JPCERT イベントログ SIGMA インシデントリリース

JPCERT/CCでは、イベントログの分析をサポートするツール「LogonTracer」の最新バージョン1.6をリリースしました。これまでのLogonTracerは、複数のインシデントを同時に調査する機能はありませんでしたが、今回のアップデートで複数のログを管理する機能を追加しました。さらに、Sigmaを使ってイベントログの中から不審... 続きを読む

「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes

2022/09/21 11 users JPCERT ディフェンス観点文書議論

「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アクティブ・ディフェンス」といった言葉を様々な文書で目にする機会が増えたかと思います。他方で、具体的にどういう行為を示すのか解説されているものは少ないため、困惑される方も多いかと思います。こうしたテーマにおいては、そうした用語の既... 続きを読む

攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃 - JPCERT/CC Eyes

2022/09/15 9 users JPCERT BIG-IP 攻撃グループBlackTech

2022年5月頃、JPCERT/CCではF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用して日本の組織に攻撃を行う活動を確認しました。攻撃が行われた組織では、BIG-IP内のデータが漏えいするなどの被害が確認されています。この攻撃は、攻撃グループBlackTechの活動と関連しているものと推測しています。今回は、このBIG-IPの脆弱性を... 続きを読む

なぜ、SSL-VPN製品の脆弱性は放置されるのか～“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について～ - JPCERT/CC Eyes

2022/07/14 19 users JPCERT サプライチェーン脆弱性攻撃言葉

サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される... 続きを読む

攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes

2022/06/30 10 users JPCERT 攻撃グループLazarus ターゲット発表

JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。 https://github.com/JPCERTCC/Lazarus-research/ 上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot（資料内では、Kaosと... 続きを読む

サイバー攻撃被害情報の共有と公表のあり方について - JPCERT/CC Eyes

2022/04/21 5 users JPCERT NISC 連名各省庁総務省

2022年4月20日、総務省、経済産業省、警察庁、NISCの連名にて、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について」と題する報道発表が行われました。JPCERT/CCはこの検討会について、各省庁とともに事務局を担当する予定です。この検討にあたって、JPCERT/CCがこれまでどのような問題意識を持... 続きを読む

最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes

2022/04/05 95 users JPCERT Emotet 動静動向国際情勢

ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか？」といった問い合わせをいただくことが増えてきました。先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被... 続きを読む

Anti-UPX Unpackingテクニック - JPCERT/CC Eyes

2022/03/15 9 users JPCERT

Windows OSを狙うマルウェア（PEフォーマット）は、コードの分析を困難にするためのさまざまな難読化やパッキングが行われており、その種類は多岐にわたります。それに比べて、Linux OSを狙うマルウェア（ELFフォーマット）のパッキング手法は数が限られており、ほとんどの場合UPXやUPXベースのパッキング手法が用いられ... 続きを読む

ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/07/06 19 users JPCERT クロスサイトスクリプティング XSS 攻撃以下

2021年4月28日に、Trend MicroからECサイトのクロスサイトスクリプティング（以下、XSS）脆弱性を悪用した攻撃（Water Pamola）が報告［1］されていますが、JPCERT/CCでも類似した攻撃を複数確認しています。JPCERT/CCで確認したインシデントでは、EC-CUBEを使用して構築されたECサイトにXSS脆弱性があったために、攻撃... 続きを読む

ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/06/01 33 users JPCERT PHPスクリプト改ざん被害事例以下

JPCERT/CCでは、国内のWebサイトが改ざん被害を受け、不正なページが設置される事例を継続して観測しています。これらの事例では、不正に設置されたPHPスクリプト（以下、PHPマルウェア）により、ページにアクセスした訪問者が詐欺サイトや不審な商品販売サイトなどに誘導されることがわかっています。今回は、複数の調... 続きを読む

マルウェアEmotetのテイクダウンと感染端末に対する通知 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/02/22 12 users テイクダウン Europol Emotet JPCERT 以後

最終更新日:2021.2.22 2019年10月以降、日本国内にてEmotetの感染事例が急増し、JPCERT/CCではこれまで注意喚起の発行や感染が疑われる場合の調査手順を公開し注意を呼び掛けていました。 2021年1月にEuropolは欧米各国の共同作戦によるEmotetのテイクダウンを発表しましたが、以後、各国CERTのネットワークを介して被害... 続きを読む

攻撃グループLazarusが侵入したネットワーク内で使用するツール - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/01/19 7 users HIDDEN COBRA Windowsコマンド感染拡大

攻撃者がネットワーク内に侵入した後、ネットワーク内の調査や感染拡大などにWindowsコマンドや正規のツールを使用することはよく知られています。攻撃グループLazarus（Hidden Cobraとも言われる）も同じく、ネットワークに侵入後、正規のツールを使用して、情報収集や感染拡大を試みます。今回は、攻撃グループLazaru... 続きを読む

攻撃グループBlackTechが使用するLinux版マルウェア（ELF_PLEAD） - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2020/11/10 6 users JPCERT ELF 攻撃グループBlackTech

以前のJPCERT/CC Eyesで攻撃グループBlackTechが使用するLinux版マルウェアELF_TSCookieについて紹介しましたが、この攻撃グループは他にもLinux OS向けのマルウェアを使用することが分かっています。以前紹介したWindows OS向けマルウェアPLEADダウンローダがダウンロードするPLEADモジュールのLinux版マルウェア（ELF_... 続きを読む

ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2020/07/28 147 users JPCERT セキュリティインシデントハンズオン調査手法

JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント（以下、インシデント）調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、... 続きを読む

攻撃グループBlackTech が使用するLinux用マルウエア (ELF_TSCookie) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2020/02/26 6 users JPCERT マルウェアマルウエアTSCookie 調査

以前のJPCERT/CC Eyesで攻撃グループBlackTechが使用するマルウエアTSCookieやPLEAD、IconDownについて説明しましたが、この攻撃グループは他にもいくつかのマルウエアを使用することが分かっています。これまで紹介したマルウエアはWindows OSに感染するものでしたが、JPCERT/CCの調査では、Linux OSに感染するTSCookie... 続きを読む

日本国内の組織を狙ったマルウエアLODEINFO - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2020/02/20 7 users マルウェア JPCERT LODEINFO Word文書組織

はじめに JPCERT/CCでは、2019年12月頃に日本国内の組織を狙った標的型攻撃メールを確認しています。標的型攻撃メールには、これまでJPCERT/CCでは確認していなかった、「LODEINFO」と呼ばれる新たなマルウエアに感染させようとする不正なWord文書が添付されていました。今回は、新たなマルウエアLODEINFOの詳細につい... 続きを読む