タグ「CC Eyes」 - はてブログ

タグ CC Eyes

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 35件)

注意喚起や情報共有活動における受信者側の「コスト」の問題についてー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー - JPCERT/CC Eyes

2023/05/09 166 users JPCERT アリバイガイダンスやり取り注意喚起

JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年３月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多く... 続きを読む

DNSの不正使用手法をまとめた技術ドキュメントの公開 - JPCERT/CC Eyes

2023/07/06 157 users JPCERT セキュリティインシデントＤＮＳ first

はじめに Domain Name System（DNS）はインターネットサービスを使用する上で欠かせない基幹サービスであり、DNSが関連するセキュリティインシデントへの対処は、健全なインターネットを維持するために重要です。本ブログでは、JPCERT/CCもメンバーとして参加しているFIRSTのDNS Abuse SIGが、2023年2月に公開したDNS Ab... 続きを読む

ログ分析トレーニング用コンテンツの公開 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2020/07/28 147 users JPCERT セキュリティインシデントハンズオン調査手法

JPCERT/CCは、Internet Week 2016 ~ 2019にて「インシデント対応ハンズオン」と題し、標的型攻撃を受けた際のセキュリティインシデント（以下、インシデント）調査手法に関するハンズオンを行ってきました。受講者の方から高く評価していただいていた「インシデント対応ハンズオン」ですが、公開の要望が多かったため、... 続きを読む

最近の”サイバー攻撃の動向”に関する情報発信について思うこと - JPCERT/CC Eyes

2022/04/05 95 users JPCERT Emotet 動静動向国際情勢

ここ最近、「サイバー攻撃被害が増加」といった報道や緊迫する国際情勢の動静を意識した情報発信が散見されます。JPCERT/CCにも各方面から「国内へのサイバー攻撃は増えていますか？」といった問い合わせをいただくことが増えてきました。先日来、注意喚起等を行っているEmotetの感染被害急増など、特定の種類の攻撃被... 続きを読む

ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/06/01 33 users JPCERT PHPスクリプト改ざん被害事例以下

JPCERT/CCでは、国内のWebサイトが改ざん被害を受け、不正なページが設置される事例を継続して観測しています。これらの事例では、不正に設置されたPHPスクリプト（以下、PHPマルウェア）により、ページにアクセスした訪問者が詐欺サイトや不審な商品販売サイトなどに誘導されることがわかっています。今回は、複数の調... 続きを読む

マルウエアが含まれたショートカットファイルをダウンロードさせる攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/05/29 32 users しょクラウドサービスマルウェア組織標的型攻撃メール

2019年4月から5月にかけて、日本の組織に対して、不正なショートカットファイルをダウンロードさせようとする標的型攻撃メールが送信されていることを確認しています。これらの標的型攻撃メールにはリンクが記載されており、クリックするとクラウドサービスからショートカットファイルがダウンロードされます。このショ... 続きを読む

Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes

2023/05/29 19 users JPCERT WebUI ルーターマルウェア Go言語

JPCERT/CCでは、2023年2月頃、国内のルーターにマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。マルウェア実行までの攻撃の流れ初めに攻撃者はWEBUIが外向けに開いているルーターを狙って脆弱性などを使用し、各種スクリプ... 続きを読む

なぜ、SSL-VPN製品の脆弱性は放置されるのか～“サプライチェーン”攻撃という言葉の陰で見過ごされている攻撃原因について～ - JPCERT/CC Eyes

2022/07/14 19 users JPCERT サプライチェーン脆弱性攻撃言葉

サイバーセキュリティを取り巻く「用語」は元々英語由来のものが多く、翻訳することで元々のニュアンスが消えてしまう場合や、そのまま「カタカナ語」として使われ、意味が伝わりにくい場合もあります。特に、新たな攻撃手法やリスクについて、行政やセキュリティ専門組織、メディアを通じた情報発信において多用される... 続きを読む

ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/07/06 19 users JPCERT クロスサイトスクリプティング XSS 攻撃以下

2021年4月28日に、Trend MicroからECサイトのクロスサイトスクリプティング（以下、XSS）脆弱性を悪用した攻撃（Water Pamola）が報告［1］されていますが、JPCERT/CCでも類似した攻撃を複数確認しています。JPCERT/CCで確認したインシデントでは、EC-CUBEを使用して構築されたECサイトにXSS脆弱性があったために、攻撃... 続きを読む

マルウエアの設定情報を自動で取得するプラグイン ~MalConfScan with Cuckoo~ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/08/01 19 users マルウェア JPCERT 手がかりマルプラグイン

マルウエア分析において、その設定情報を取得することは重要な要素です。マルウエアの設定情報には、通信や永続化といったマルウエアの動作に関わるさまざまな情報が含まれ、インシデント調査における重要な手がかりになります。今回は、以前紹介した MalConfScan と Cuckoo Sandbox(以下、「Cuckoo」) を利用したマル... 続きを読む

攻撃グループTickによる日本の組織をターゲットにした攻撃活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/02/19 19 users JPCERT ターゲット組織攻撃活動攻撃

以前のJPCERT/CC Eyesで攻撃グループTick[1] (BRONZE BUTLER[2]とも呼ばれる) が使用していると考えられるマルウエアDatperについて紹介しましたが、この攻撃グループに関連すると考えられる攻撃は現在も継続しています。2018年以降、JPCERT/CCにて確認している攻撃は以下の2つです。標的型攻撃メールによるDatperの感... 続きを読む

短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/07/04 15 users クラウドサービス zipファイル検体組織標的型攻撃メール

2019年6月に日本の組織に対して不正なショートカットファイルをダウンロードさせようとする標的型攻撃メールが送信されていることを確認しています。これらの標的型攻撃メールにはリンクが記載されており、クリックするとクラウドサービスからzipファイルがダウンロードされます。今回は、この検体の詳細について紹介し... 続きを読む

MalDoc in PDF - 検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む手法 - - JPCERT/CC Eyes

2023/08/22 14 users JPCERT 手法攻撃 PDFファイルファイル

JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック（以降本記事ではMalDoc in PDFとする）が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイル... 続きを読む

攻撃グループBlackTechが侵入後に使用するマルウエア - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/09/03 14 users マルウエアTSCookie マルウェア PLEAD 亜種調査

以前のJPCERT/CC Eyesで攻撃グループBlackTechが使用するマルウエアTSCookieやPLEADについて説明しましたが、引き続きこの攻撃グループによる活動は行われています。JPCERT/CCの調査ではこの攻撃者がネットワーク内部に侵入した場合、これまでに説明したTSCookieとは少し異なる挙動を行う亜種を使用することを確認してい... 続きを読む

SysmonSearchを用いて不審な挙動を調査 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/01/21 14 users Sysmon SysmonSearch JPCERT 挙動

昨年9月のJPCERT/CC Eyes では、Sysmonのログを分析するツール「SysmonSearch」の機能について紹介しました。今回は、実際にSysmonSearchを使ったインシデント調査方法について具体例を基に紹介します。 SysmonSearchのインストール方法については以下URLをご覧ください。 JPCERTCC GitHub · SysmonSearch Wiki https://... 続きを読む

攻撃グループBlackTechが使うダウンローダIconDown - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2019/10/23 13 users JPCERT マルウェアマルウエアTSCookie 手段

以前のJPCERT/CC Eyesで、攻撃グループBlackTechが使用するマルウエアTSCookieやPLEADについて説明しました。この攻撃グループは、その他にもIconDownというマルウエアを使用していることを確認しています。IconDownがどのような手段によって設置・実行されるかは確認できていませんが、ESET社が公開しているブログ[1]に... 続きを読む

開発者のWindows、macOS、Linux環境を狙ったDangerousPasswordによる攻撃 - JPCERT/CC Eyes

2023/07/12 12 users JPCERT MacOS Python node.js 攻撃

JPCERT/CCは、2019年6月から継続して攻撃を行っている標的型攻撃グループDangerousPassword [1][2]（CryptoMimicまたは、SnatchCryptoとも呼ばれる）に関連すると思われる、暗号資産交換事業者の開発者を狙った攻撃を5月末に確認しています。この攻撃は、マシン上にPythonやNode.jsがインストールされたWindows、macOS、... 続きを読む

マルウェアEmotetのテイクダウンと感染端末に対する通知 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/02/22 12 users テイクダウン Europol Emotet JPCERT 以後

最終更新日:2021.2.22 2019年10月以降、日本国内にてEmotetの感染事例が急増し、JPCERT/CCではこれまで注意喚起の発行や感染が疑われる場合の調査手順を公開し注意を呼び掛けていました。 2021年1月にEuropolは欧米各国の共同作戦によるEmotetのテイクダウンを発表しましたが、以後、各国CERTのネットワークを介して被害... 続きを読む

「積極的サイバー防御」（アクティブ・サイバー・ディフェンス）とは何か ―より具体的な議論に向けて必要な観点について― - JPCERT/CC Eyes

2022/09/21 11 users JPCERT ディフェンス観点文書議論

「積極的サイバー防御」、「アクティブ・サイバー・ディフェンス」、「アクティブ・ディフェンス」といった言葉を様々な文書で目にする機会が増えたかと思います。他方で、具体的にどういう行為を示すのか解説されているものは少ないため、困惑される方も多いかと思います。こうしたテーマにおいては、そうした用語の既... 続きを読む

攻撃グループLazarusが使用するマルウェアYamaBot - JPCERT/CC Eyes

2022/06/30 10 users JPCERT 攻撃グループLazarus ターゲット発表

JPCERT/CCでは、攻撃グループLazarusの活動を継続的に調査しています。2021年には、CODE BLUEおよびHITCONにて攻撃グループLazarusの攻撃活動について発表をしています。 https://github.com/JPCERTCC/Lazarus-research/ 上記の調査レポートで共有したLinux OSをターゲットにしたマルウェアYamaBot（資料内では、Kaosと... 続きを読む

Japan Security Analyst Conference 2020開催レポート～前編～ - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2020/02/03 10 users JPCERT セキュリティアナリスト前編本カンファレンス

JPCERT/CCは、2020年1月17日に御茶ノ水ソラシティカンファレンスセンターにて Japan Security Analyst Conference 2020 （JSAC2020）を開催しました。本カンファレンスは、日々セキュリティインシデントに対応する現場のセキュリティアナリストを対象とし、高度化するサイバー攻撃に対抗するための技術情報を共有するこ... 続きを読む

攻撃グループBlackTechによるF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用した攻撃 - JPCERT/CC Eyes

2022/09/15 9 users JPCERT BIG-IP 攻撃グループBlackTech

2022年5月頃、JPCERT/CCではF5 BIG-IPの脆弱性（CVE-2022-1388）を悪用して日本の組織に攻撃を行う活動を確認しました。攻撃が行われた組織では、BIG-IP内のデータが漏えいするなどの被害が確認されています。この攻撃は、攻撃グループBlackTechの活動と関連しているものと推測しています。今回は、このBIG-IPの脆弱性を... 続きを読む

Anti-UPX Unpackingテクニック - JPCERT/CC Eyes

2022/03/15 9 users JPCERT

Windows OSを狙うマルウェア（PEフォーマット）は、コードの分析を困難にするためのさまざまな難読化やパッキングが行われており、その種類は多岐にわたります。それに比べて、Linux OSを狙うマルウェア（ELFフォーマット）のパッキング手法は数が限られており、ほとんどの場合UPXやUPXベースのパッキング手法が用いられ... 続きを読む

サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について - JPCERT/CC Eyes

2023/12/05 8 users JPCERT 開示促進 https パブリックコメント

はじめに先日、JPCERT/CCが事務局として参加した、専門組織同士の情報共有活動の活性化に向けた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の報告書が公開され、関連成果物のパブリックコメントが始まりました。経済産業省　サイバー攻撃による被害に関する情報共有の促進に向けた検討会 https:/... 続きを読む

なぜ被害公表時に原因を明示するのか／しないのか～個別被害公表と事案全体のコーディネーションの観点から～ - JPCERT/CC Eyes

2023/08/07 8 users 省庁コーディネーション JPCERT 報道脆弱性

はじめに複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガ... 続きを読む