情報収集 - 2020/11/24

今週のおすすめ/一言所管

Liquidおよび三菱電気のインシデント情報中心です。

LiquidはGoDaddyのドメイン情報が変更され、その経路はGoDaddyの従業員がIT管理者を騙った電話によるフィッシングにひっかかったことが起点と推測されています（by Krebs on Security）。これは系全体におけるサプライチェーン攻撃でもあるといえると思います。そもそもGoDaddyの従業員が、通常利用環境である電話に近い環境から、顧客環境へ影響を及ぼせてしまうのはおかしな話だとは思いますが。

三菱電気についても推測の域はでませんが、O365系のアクセストークンを窃取されたように見めます。検知ポイントとしては管理者アカウントに対するアクセスですが、実際に被害のあった情報は経理に近いものです。したがって、管理者がやられてその結果アクセス制御を緩和されて窃取されたか、あるいは管理者は被害にあわなかったものの監視対象としは薄い別の社員が被害にあったパターンが考えられます。仮に後者の場合、OAuth Phishingなどの攻撃例がありえそうです。

Zeus派生のZloaderがはやってるらしい。

フィッシングメールが主（heavily）な配送方法

主にダウンローダーとして活躍

攻撃者の興味の対象となる企業は45min以内にドメイン乗っ取りとランサム展開にもってかれる

BEC系で使われるようなメール添付PDFを経由してインスコされるBazaLoader

基本的に、reconnaisanceや横展開する用マルウェアのダウンローダー

ヘルスケアを狙うケースおおし

(Initial Accessをスコープ外とした）Malwareが最もつかうTechnique

トップ３はProcess Injection, PowerShell, Credential Dumping

8 割が設定上の不備。

残りが CVE タイプを持つ固有の脆弱性。

12-15 日で脆弱性による Exploit のリスクを軽減することを目標としている

Privacy Engineering Framework

DFDをつかったシステム分析をする

行政/会社/団体

企業のDX計画を国が認定し、投資額の一定割合を法人税から税額控除

条件1: 定期的なサイバーセキュリティー監査の実施

に加えていくつか条件がある。認定をうけるまでが長そう....

全体的によさそう

ファイルストレージを基本利用。外部事業者にはワンタイムパスワードでファイルを共有

FSにアクセスできなければ、メールで送信。PJ立ち上げ時に決めたパスワードを利用。

↑の単品ファイルの場合は、wor/excelの暗号機能

↑の複数の場合はzip+暗号化 + 電話によるパスワード

MI6からも参加してるのは熱い

事業者がマイナンバーを提出してもらいたい時にたたくAPI（多分）。

提出者の本人認証とマイナンバーそのものの真正性を担保。

APIがたたかれるとアプリのdeep link宛に来る感じ？

リクエストをうけた提供者は、認証とマイナカードの読み取り実施すると、提供処理はアプリが実施する

$120/ユーザー/年。安い

webアプリのe2eテスト用OSS

Zero config cross-browser end-to-end testing for web apps

イベント/勉強会/発表資料

Bug BountyプログラムプラットフォームのHacker Oneが提供している基礎講座

他の企業のリソースも含まれている。よさそう

ペンテストとバグバウンティの定義が自分の知ってるやつとは異なっていた

Security Podcastの「Security Weekly」でも「All professionals has different definition」みたいなことが言われていたので、きっとそういうことなのだろう

ただ、旧セキュスペでだと(HackerOneの回答は）不正解になりそう

事象

2020/11/03/05:58 Liquidのドメイン登録情報が第三者によって改ざん

2020/11/13~2020/11/14: ユーザーからの問合せメールが第三者に不正取得されいてる状態

内部電子メールアカウントも制御可能になっており、システム・インフラに不正アクセスできた

パスワードを頻繁に更新やパスワードの入力を求める電子メールが送信されてきてた？

2020/11/14 01:39: GoDaddyが修正。復旧が確認

2020/`11/14 15:44: APISHトークンを強制無効化

被害範囲

資産への影響なし

顧客情報（氏名、暗号化されたpd, APIキー, 身分証明書・セルフィー・住所証明書）

GoDaddyの従業員がソーシャルエンジニアリングを受けた模様

過去のインシデントから、GoDaddyの従業員を騙して、フィッシングGoDddyサイトにログインさせた可能性をあげている

電話をかけ、VPNやメールのトラブルシューティングをするIT部門をかたる手口

経緯

11/16: クラウドサービスに対する通常とは異なるアクセスを認識（not 検知?) -> 遮断

以前侵入された方法とは異なる

取引先の金融口座8635件および取引先の名称・住所等

アクセス元は中国のIP

社内からしかアクセスできない管理者専用アカウントを利用したことで検知

所管

社内ネットワークの管理・保守に関する管理台帳へのアクセセス権限

クラウドサービスの管理権限

今回取得された取引先の名称・住所等に関する情報へのアクセス権限

これらが、全て同じ権限を付与されていたグループ内のメンバーとは限定されない

検知されたアクセス権限をもつIdと、情報漏洩が発生した権限を持つIdは一致するとは限らない

つまり管理者だけがやられたとは限らない。広範囲にやられていた可能性はある

また、二段階認証はかけられていたが、それが突破されたことが原因とは明言されてない

迂回されたかもしれない

そして、正規のログインを使って権限だけを行使する迂回する方法はある

たとえばアクセストークンさえ窃取できれば、ユーザーと同じ権限でアクセスが可能

Bearer Tokenはそれに対処できない

三菱電機がその攻撃でやられた可能性はある。その場合は２段階認証は関係ない。

検知できるロジックとしては、トークンを使ったアクセスが不審なコンテクスト（送信元など）であった...ということぐらい

三菱電機は、社内以外から管理者アクセスがあったラ検知をあげる仕組みをいれていて、そのアラートで調べたら送信元が中国だった...というぐらいではなかろうか

その他