JPCERT/CCインシデント報告対応レポート より。
↓
↓ 10月22日 (7月1日~9月30日)
https://www.jpcert.or.jp/pr/2022/IR_Report2022Q2.pdf
大きく分けると
①フィッシングサイト
➁Webサイト改ざん
③マルウェアサイト
④スキャン
⑤DoS/ DDoS
⑥制御ステム関連
⑦標的型攻撃
⑧その他
で分類されています。
内容をいくつか抜粋して加筆修正します。
-------------------- ここから ------------------------------
資料にもありますが、フィッシングサイトに分類されるインシデントが71%。スキャニングに分類される、システムの弱点を探索するインシデントが18%。この2つで全体の89%を占めています。
<フィッシングサイト>
国外ブランド関連の報告でうは、Eコマースサイトを装ったものが69.4%。金融機関のサイトを装ったものが50.7%
海外ブランド
Amazonを装ったフィッシングが多い。
国内ブランド
三井住友カード、三菱UFJニコスカードなどのクレジットカード会社を装ったもの。ETCの利用紹介サービス、えきねっとを装ったフィッシングサイトも多発しています。
8月頃から国税庁を装ったフィッシングサイトの報告が多数。キーワードは『ntago-jp』『jpnta』。国税庁のURLは WWW.nta.go.jp です。『jpnta』はジャパンnta( National Tax Agencyの略)を意味するようです。
国内のフィッシングサイトが増加しています。
<Webサイト改ざん>
増加しています。
WebShellを設置し、そのWebShellを利用してEコマースサイトへの転送スクリプトを挿入する事例が複数件発生。(コードに書き込まれます)
具体例
↓
<標的型攻撃の傾向>
(1)不正なショートカットファイルをダウンロードさせる標的型攻撃メールを複数確認。(不正なショートカットファイルが格納されたZIPファイルをダウンロードさせる。)
具体的な例
↓
WORDのテンプレートファイル(DOT)が開かれる際にマクロを有効にすると、テンプレート内のマクロにより、このテンプレートファイルがMICROSOFT WORDのスタートアップフォルダーに保存されます。以降Wordファイルをひらくたびに、スタートアップファイルに保存されたテンプレートファイル中のマクロが、新たなファイル(DOTM)をダウンロードする仕組みになってようです。
私もWORDの事は良くわかりませんが、ZIPファイルをダウンロードして解凍した時は要注意です。
DOT:標準テンプレートの保存するためのファイルの拡張子。
DOTM:標準テンプレートファイルの拡張子。
(2)マルウェアFlowCloudを使用した攻撃
攻撃グループTA410が使用しているRATになります。FlowCloudに感染した端末から情報を搾取することを目的としています。
FlowCloud:マルウェアの一種。
esetのサイト
↓ TA410
いやはや、、こと細かく解説されています。。勉強になります。
<頻繁にスキャン対象となったポート>
・SSH (22/TCP)
セキュアポート22番はディフォルトです。 番号を変更した方が良いのですが、そのまま使用しているサーバーが多いようです。
・Telnet(23/TCP)
遠隔地にあるサーバやルーター等を端末から操作する通信プロトコルの事です。IOT機器などがハッキングされる可能性があります。
・IMAP(143/TCP)
IMAP4でメールを受信する時に使うポートの事です。
<追記です。>
(1)侵入型ランサムウェア攻撃に関する報告への対応
・Block Cat
・LockBit
の被害の報告が上がっています。
SSL-VPN製品やLog4jの脆弱性を悪用したと推定されるケースが見られるようです。機器類は常に最新に、パッチも常に最新に、当たり前ですけど。。出来ていないようです。
ちょっと今日はここまでにします。セキュリティーについては過去にブログを書いています。7月5日『ハッキング』というタイトルです。6月3日にも『セキュリティー』というタイトルでブログ書いてます。2回目ですね。。相変わらずだな。。何も変わっていません。ネットに繋がったら情報はリークすると考えた方が正しいです。
今から読み返すと、、う~ん。この国にセキュリティーは任せられないな。。という事実にぶち当たります。終わってる気がする。残念。この程度は知っておいて欲しいという事すら守られていません。
<追記の追記です。>
新しいランサムウェアです。
↓
