サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
GPT-4o
blogs.jpcert.or.jp
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2024年1~3月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 2023年度の観測状況から見る日本国内の影響について JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。今回は、2023年度の観測結果から日本国内に関連するインシデント例を振り返ってみたいと思います。 国内外に設置したセンサー宛に届いたパ
はじめに 先日、経済産業省から「攻撃技術情報の取扱い・活用手引き」が公開[1]されました。これはインシデント対応支援にあたるファーストレスポンダー(※)や専門組織同士の情報共有を促進するためのレファレンスで、JPCERT/CCは検討会共同事務局として参加し、また、手引き案の作成にも携わりました。 (※)ファーストレスポンダー:インシデントの初動対応にあたる、被害組織を支援するセキュリティベンダーや運用保守ベンダー、その他専門機関などのこと(「攻撃技術情報の取扱い・活用手引き」15ページ参照) サイバー攻撃の高度化・複雑化だけでなく、ランサムウェア攻撃のように、インシデント初動対応時点では、ごく限られた情報で速やかな対応判断が必要になるケースが増えています。2024年1月に開催されたJSAC2024において、JPCERT/CC 佐々木からは「ランサムウェア攻撃のアクター特定をすべきこれだけの
JPCERT/CCは、2024年2月7日に制御システムセキュリティカンファレンス2024を開催いたしました。本カンファレンスは、国内外の制御システムにおける脅威の現状や制御システムセキュリティのステークホルダーによる取り組みを共有し、参加者の制御システムセキュリティ対策の向上やベストプラクティス確立の一助となることを目的に開催しています。2009年の初回開催から毎年実施し、今回の開催で16回目となります。 オンラインでの開催は今回で4回目となり、日本全国各地より419名の方々に視聴参加をいただきました。JPCERT/CC Eyesでは開催レポートとして、開会・閉会のご挨拶および7つの講演の様子を紹介いたします。 開会挨拶 経済産業省 サイバーセキュリティ・情報化審議官 上村 昌博 経済産業省サイバーセキュリティ・情報化審議官の上村氏より開会のご挨拶をいただきました。 近年、サイバーとフィジ
JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者:BlackBerry Japan 株式会社 糟
JPCERT/CCでは、攻撃グループLazarusが不正なPythonパッケージを公式PythonパッケージリポジトリーであるPyPIに公開していることを確認しました(図1)。今回確認したPythonパッケージは以下のとおりです。 pycryptoenv pycryptoconf quasarlib swapmempool pycryptoenvやpycryptoconfは、Pythonで暗号化アルゴリズムを使う際に用いられるPythonパッケージpycryptoに類似したパッケージ名になっており、攻撃者は、ユーザーが同名のパッケージをインストールする際のタイポを狙って、マルウェアを含む不正なパッケージを準備していたと考えられます。 今回は、この不正なPythonパッケージの詳細について紹介します。 図1: 攻撃グループLazarusが公開していたPythonパッケージ 不正なPython
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2023年10~12月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 開発中の製品から観測されたパケットについて JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。今回は、データ分析の結果、スキャン元のIPアドレスを調査する中で見つけた国内メーカーが開発していた製品が発見された件に注目してみます。 送信
はじめに 先日、JPCERT/CCが事務局として参加した、専門組織同士の情報共有活動の活性化に向けた「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の報告書が公開され、関連成果物のパブリックコメントが始まりました。 経済産業省 サイバー攻撃による被害に関する情報共有の促進に向けた検討会 https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/cyber_attack/index.html JPCERT/CCはこれまでに下記の取り組みを通じて、情報共有活動の促進に向けたルール整備に取り組んできました。 令和2年度総務省「サイバー攻撃の被害に関する情報の望ましい外部への提供のあり方に係る調査・検討の請負」の調査報告(2021年7月公開)[1] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」(2023年3
早期警戒グループの戸塚です。昨年(2022年)8月に「A File Format to Aid in Security Vulnerability Disclosure - 正しくつながる第一歩」[1]で、同年4月に公開された「RFC 9116:A File Format to Aid in Security Vulnerability Disclosure」[2]を紹介しました。本記事では、その続報を2つお届けします(RFC 9116自体や私の業務との関係に関しては、2022年8月の記事をご確認ください)。 1つ目は、RFC 9116のおかげで開発者との脆弱性関連情報のコーディネーション(調整)が大変スムーズにできた事例です。 開発者との調整では、連絡しても応答がもらえないケースが少なくないことは昨年8月の記事でも書きました。このような場合、別の連絡先があればそちらにも連絡を試みます。今
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2023年7~9月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 国内メーカーが販売するルーターから送信したとみられる不審なパケットについて JPCERT/CCでは、日々TSUBAMEで収集したデータを分析しています。 今回は、データ分析の結果、スキャン元のIPアドレスを調査する中で見つけた国内メーカーのルーターについて注目してみ
JPCERT/CCでは、2023年7月上旬に、日本国内で利用されていたドメインが不正に別のレジストラーに移管されるドメインハイジャックの事例を確認しました。今回は、その攻撃事例を紹介します。 攻撃の概要 図1は、今回の攻撃の流れを図にしたものです。攻撃者は、事前に検索サイトの広告でレジストラーのフィッシングサイトが表示されるようにしていました。 図1: 攻撃の流れ フィッシングサイトにアクセスしたドメイン管理担当者が、アカウントおよびパスワード(以下「認証情報」という。)を入力することで、攻撃者に認証情報を窃取されます。このフィッシングサイトに認証情報を入力すると、正規サイトにログイン済みの状態としてリダイレクトする仕組みとなっており、フィッシングの被害に気付きにくいようになっていました。 その後、攻撃者は、窃取した認証情報を使用して、レジストラーの正規サイトにログインし、ドメインを別のレ
こんにちは。JPCERT/CC 国際部の中野です。2023年8月9日から13日にかけて、世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加してきましたので、その様子をご紹介します。 なお、私がカンファレンスで聴講した発表は技術的な内容のものではなく、ポリシー(法や政策)にフォーカスしたものになるため、このブログ記事でそういった国際セキュリティカンファレンスの「ポリシーサイド」を知っていただければ幸いです。 各カンファレンスの様子 Black Hat USAは1997年からアメリカ、ネバダ州のラスベガスで開催されているセキュリティカンファレンスで、マルウェアや攻撃手法、脆弱性の分析だけでなく、サイバーセキュリティに関する法律・制度、サイバーセキュリティ業界の雇用など、サイバーセキュリティについて幅広い
Top > “その他”の一覧 > 「能動的サイバー防御」は効果があるのか? ~注目が集まるoffensiveなオペレーションの考察~ はじめに 昨年9月に「『積極的サイバー防御』(アクティブ・サイバー・ディフェンス)とは何か ―より具体的な議論に向けて必要な観点について―」というブログ記事[1]を公表したところ、多くの反響をいただきました。 この時に示したとおり、「積極的サイバー防御」「アクティブサイバーディフェンス」「能動的サイバー防御」といったさまざまな呼称の概念は経緯的にも、また、使う人/組織においても非常に多義的であり、定義することにあまり意味はありません。他方で、この1年ほどの間に国内において主に注目が集まっているのは、この多義的なもののうち、より侵害性のある手段を用いた、offensiveなオペレーション(※)です。今回はこうしたoffensiveなオペレーションについて、その
JPCERT/CCは、7月に発生した攻撃に、検知回避を狙って悪性なWordファイルをPDFファイルへ埋め込む新しいテクニック(以降本記事ではMalDoc in PDFとする)が使用されたことを確認しました。今回は、使用されたMalDoc in PDFの詳細とその対策について解説します。 MalDoc in PDFの概要 MalDoc in PDFで作成されたファイルはPDFのマジックナンバーやファイル構造を持つにもかかわらず、Wordで開くことが可能なファイルとなります。このファイルをWordで開くことで、ファイルにMacroが設定されていた場合、VBSが動作し、悪性の挙動を行います。 なお、JPCERT/CCが確認した攻撃では、ファイルの拡張子は.docとして使用されていたため、Windowsの設定で.docの拡張子にWordが関連付けされている場合、MalDoc in PDFで作成され
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2023年4~6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 海外センサーと国内センサーの観測パケットの違いについて ~日本を送信元としたパケット編~ TSUBAMEシステムの更新に伴い、センサーの改訂も行いました。特に海外センサーの増強を進め、海外のホスティング事業者等にセンサーを設け、17の地域に展開をしています(2023
攻撃のファイルレス化やマルウェアの難読化が進むにつれて、ファイル単体で悪意の有無を判断することは難しくなっています。そのため、現在ではサンドボックスやAIなどを活用したマルウェア検知手法やEDRなどのマルウェア感染後の不審な挙動を検知する技術が一般化しています。それでも、インシデントレスポンスの現場ではウイルス対策ソフトでは検知できないマルウェアが見つかることが多々あります。このような未知のマルウェアが見つかると、同種のマルウェアがネットワーク内部に潜伏していることを網羅的に調査することになりますが、ウイルス対策ソフトでは検知できないため、1台ずつ手動で調査する必要があります。 このような問題を解決するためにJPCERT/CCでは、マルウェア検知をサポートする目的でYAMAというツールを作成し、公開しました。YAMAは、自身で作成したYARAルールを使用してメモリスキャンをすることが可能で
はじめに 複数の省庁からメール関連システムへの不正アクセスによる情報漏えいについて被害公表がなされていますが、報道やSNS上では、どの製品の脆弱性が原因なのか明かされないことへの疑問などが指摘されています。悪用された脆弱性に関する情報の被害公表時の取り扱いは、サイバー攻撃被害に係る情報の共有・公表ガイダンス[1]検討会(事務局:NISC、警察庁、総務省、経済産業省、JPCERT/CC)で議論され、同ガイダンスにて示されています。あらためて、個別の被害公表時の扱い方と、複数組織がいる場合の全体のコーディネーションについて解説します。 ※なお、公表のあった事案の詳細は不明ですが、現時点において関連する被害公表がなされた事案について弊センターは関与していないため、本稿については個別のインシデント対応に係る守秘義務契約等になんら影響するものではない点を記しておきます。 原因となった製品の脆弱性に関
JPCERT/CCは、2019年6月から継続して攻撃を行っている標的型攻撃グループDangerousPassword [1][2](CryptoMimicまたは、SnatchCryptoとも呼ばれる)に関連すると思われる、暗号資産交換事業者の開発者を狙った攻撃を5月末に確認しています。この攻撃は、マシン上にPythonやNode.jsがインストールされたWindows、macOS、Linux環境をターゲットとしたものです。 今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアについて解説します。 Pythonマルウェアを起点としたWindows環境における攻撃 攻撃者は、QRコードを扱うためのPythonモジュール(https://github.com/mnooner256/pyqrcode)のbuilder.pyというファイルに不正なコードを挿入したものをあらかじめ用意し、
はじめに Domain Name System(DNS)はインターネットサービスを使用する上で欠かせない基幹サービスであり、DNSが関連するセキュリティインシデントへの対処は、健全なインターネットを維持するために重要です。本ブログでは、JPCERT/CCもメンバーとして参加しているFIRSTのDNS Abuse SIGが、2023年2月に公開したDNS Abuse Techniques Matrixについて、その日本語版をJPCERT/CCが主体となり作成および公開したので紹介します。 2023年2月、FIRSTのDNS Abuse SIGが公開したDNS Abuse Techniques Matrix - DNS Abuse Techniques Matrix https://www.first.org/global/sigs/dns/DNS-Abuse-Techniques-Matri
ELFマルウェアはそのマルウェアのビルド時に、シンボル情報を削除していることが見受けられます。これにより、マルウェア分析の際、関数の名前がわからないため、各関数名を特定する作業が生じます。また、分析ツールのIDAにおいて、既存のF.L.I.R.Tシグネチャ[1](以降本記事ではFLIRTシグネチャと省略)はELFマルウェアの関数に適用されないことも多く、適切なシグネチャが見つからない場合、分析が困難であるという問題があります。 今回は、この問題について、Yaraルールを使用することで関数名を明らかにする手法について解説します。なお、本手法に用いるYaraルールを自動生成するIDAスクリプト「AutoYara4FLIRT」の使い方についても紹介します。本ツールはGitHub上で公開していますので、次のWebページからダウンロードしてご利用ください。 JPCERTCC/AutoYara4FLI
JPCERT/CCでは、2023年2月頃、国内のルーターにマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。 マルウェア実行までの攻撃の流れ 初めに攻撃者はWEBUIが外向けに開いているルーターを狙って脆弱性などを使用し、各種スクリプトを実行した後、最終的にマルウェアGobRATを感染させます。図1は、マルウェアGobRATがルーターに感染するまでの攻撃の流れです。 Loader Script には主に次の機能があり、各種スクリプトの生成やGobRATのダウンロードを行うなど、ローダーの役割を担っています。なお、バックドア用と推測されるSSH公開鍵は Loader Script 内にハードコードされています。 Loader Script はcrontabを使って Start Script のフ
Top > “脆弱性”の一覧 > 注意喚起や情報共有活動における受信者側の「コスト」の問題について ー情報発信がアリバイや成果目的の自己目的化した行為にならないためにー JPCERT/CCも関わった、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」[1]が今年3月に公表されました。このガイダンスでは、被害組織同士、あるいは被害組織と専門組織間のやり取りを通じた情報共有活動や被害公表をスコープとしており、主に被害組織が情報を発信する場合を中心に解説しています。他方で、多くの組織においては、情報共有活動において「情報を受け取る」側であることが大半です。また、情報共有活動に限らず、注意喚起情報など日々多くの情報を受け取っています。 今回はこの「情報の受け取り」に係る課題、特に、“自己目的化”した注意喚起や情報共有(提供)が受け取り手側にコストを与えてしまう問題点について解説し、より効果的な注
JPCERT/CCは、2019年6月から継続して攻撃キャンペーンDangerousPassword(CryptoMimicまたは、SnatchCryptoとも呼ばれる)に関連すると考えられる暗号資産交換事業者への攻撃を確認しています。攻撃者は、ショートカットファイルをメールでターゲットに送信して、マルウェアに感染させようとする攻撃手法を長年続けているのですが、その他にもいろんなパターンの攻撃を行いながらマルウェア感染を狙っていることがわかっています。今回は、最近確認されたDangerousPasswordの攻撃手法について紹介します。 今回、紹介する攻撃パターンは以下の4つです。 Linkedinから不正なCHMファイルを送りつけてくる攻撃 OneNoteファイルを利用した攻撃 仮想ハードディスク(Virtual Hard Disk)ファイルを利用した攻撃 macOSを狙った攻撃 Link
JSAC2023の講演の様子を引き続きお伝えします。第3回はDAY2 Workshopについてです。 Surviving the hurt locker: or How I Learned to Stop Worrying and Love the Bom講演者:LINE株式会社 Simon Vestin、二関 学Simon氏、二関氏は、SBOMの説明およびSBOMを生成するプログラムを作成するハンズオンを行いました。SBOMとは、ソフトウェアやシステムを構成材料を列挙したものです。SBOMは、コンプライアンス・ライセンス管理や脆弱性管理に使用されており、複数の規格やタイプがあることを紹介いただきました。また、SBOMの作成方法として、モデリングを手動で行う方法やツールで自動化する方法を共有いただきました。 DIY CycloneDX/cyclonedx-python-lib https:
JPCERT/CCは、2023年1月25日、26日にJSAC2023を開催しました。本カンファレンスは、日本国内のセキュリティアナリストの底上げを行うため、 国内のセキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が6回目の開催であり、オンラインとオフラインで参加可能なハイブリット形式で開催しました。講演については、2日間で12件の講演、2件のワークショップおよび、7件のLightning talkを実施しました。講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 昨今の標的型ランサムウェア攻撃における正規ツールの悪用傾向とその分析/対策手法講演者:トレンドマ
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2022年10~12月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 Mirai型パケットの送信元地域別TOP5の推移について TSUBAMEで観測したMirai型の特徴を持つパケットの送信元地域別IPアドレス数のTOP5について日毎の推移のグラフを図1に、総数とTOP5の推移を図2に示します。 Mirai型パケットの送信はすべて
日々発生するインシデント調査を効率化するために、分析を自動化することは、すべてのマルウェア分析者が取り組んでいる課題ではないかと思います。クラウドを中心とした技術(CI/CDやサーバーレス、IaCなど)は、MAOpsを効率的に自動化することができる素晴らしいソリューションです。今回は、JPCERT/CCで行っているクラウド上でのマルウェア分析の自動化方法について、以下の事例をもとに紹介します。 Malware C2 Monitoring Malware Hunting using Cloud YARA CI/CD system Surface Analysis System on Cloud Memory Forensic on Cloud Malware C2 Monitoring C2サーバーを監視することは、攻撃者の活動を理解する上で重要なため、多くのマルウェア分析者は日ごろから行っ
JPCERT/CCでは、イベントログの分析をサポートするツール「LogonTracer」の最新バージョン1.6をリリースしました。これまでのLogonTracerは、複数のインシデントを同時に調査する機能はありませんでしたが、今回のアップデートで複数のログを管理する機能を追加しました。さらに、Sigmaを使ってイベントログの中から不審なログの有無を調査する機能を追加しました。 今回は、このアップデートについて紹介します。その他のアップデート内容については下記のリリースをご覧ください。 https://github.com/JPCERTCC/LogonTracer/releases/tag/v1.6.0 ログ管理機能 複数のインシデントを調査する場合、各インシデントで別々のログ管理を行ったり、複数インシデントを同時に調査したいことがあります。LogonTracerでは、ケースという単位でログ
はじめに このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。 今回は、TSUBAME(インターネット定点観測システム)における2022年7~9月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。 国内のスキャナーとみられるパケットの観測動向について TSUBAMEで観測するパケットには、さまざまな送信元が存在します。サイバー攻撃に関係するスキャン以外にも、セキュリティ研究・調査目的のスキャンが行われており、TSUBAMEでもそうしたスキャン由来のパケットも観
はじめに 2022年8月に、FIRSTがTraffic Light Protocol(以下「TLP」といいます。)のVersion 2.0を公開しました。そして、JPCERT/CCを含めた複数の日本のサイバーセキュリティ関係者が協力して翻訳とレビューを行い、9月15日には日本語版がFIRSTのWebサイトで公開されました。本記事では、TLPとは何か、そして新たに公開されたバージョン(以下「TLP v2」といいます。)で何が変わったのかを解説します。 TLPとは何か TLPとは、情報の発信者が受信者に対して、共有の範囲を指定するための決まりです。情報の発信者は、メールの件名、文書のヘッダーにTLPに沿ってラベルを書き加えます。情報の受信者は、ラベルが意味する共有範囲に従い、自組織内で共有するのか、Webサイトに掲載し広く世に広めるのかなどを判断します。 TLPは、情報が誰と共有されるべきかを
次のページ
このページを最初にブックマークしてみませんか?
『blogs.jpcert.or.jp』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く