情報セキュリティ」カテゴリーアーカイブ

イオンカードを装ったフィッシングメール

珍しくgmailのメールアドレスに

「いつもイオンカードをご利用いただき、ありがとうございます。本メールはWeb明細(環境宣言)にご登録いただいているお客さまにお送りしております。」

実際に届いたメールの冒頭

という文面で始まるフィッシングメールが届きました。gmailに対してフィッシングメールが除去されずに届くこと自体珍しく感じますが、届いたメールを見てみると非常に手の込んだものでした。

この2月からgmailの受信基準が非常に厳しくなり、従来以上に悪意のあるメールやスパムメールの類いは送信しにくくなっているはずです。しかしどうも今回届いたメールはフィッシングメールながら受信解除ボタンを備えている等、今まで見かけたフィッシングメールとはひと味違う感じがしました。ちゃんと正規のメールとして判定されるよう工夫されているように感じました。

よくよく見ると送信元アドレスが見慣れないものだったり、文中に表示されているリンクURLは一見正規のもののようですが、マウスオーバーしてリンク先を見ると全然違うURLだったりとおかしな点はいくつもありました。

正規のサービスのメールが配信されなくなるトラブルが生じるくらい受信基準は厳しくなっていたと思いますが、これでもなお安心できない状況であるというのは驚きました。

Amazonのメッセージセンター

昨今様々な迷惑メールやフィッシングメールの類いが流通していますが、かつてに比べると文面の日本語の完成度が高くなっており、本文を見ただけで本物か偽物かを見分けるのはかなり難しくなってきていると思います。

中でも多くの人が利用しているためなのか、Amazonを名乗った偽メールは非常によく見かます。

メール単体で本物か偽物かを見分けるのは難しいですが、疑わしいメールを受け取った時に役立つのがAmazonの”メッセージセンター”です。メッセージセンターへは アカウントサービス→メッセージセンター と選択するとアクセスできます。

これは何かというと、今まで自分に対してAmazonが送信したメールの控えを見ることができるというものです。つまり、一見Amazonからのメールであってもメッセージセンターにないメールは偽物という判断が可能です。

通常の注文確認や配送のメールは見慣れていますが、まれにリコールの案内など変わったメールが来ることがあります。そういったときにこちらのメッセージセンターを確認すると、メールが本当にAmazonから配信されたものかどうかの判断ができます。

長野日報がランサムウェア被害

長野県内でも諏訪地域を中心に購読されている長野日報のサーバーがランサムウェア被害に遭ったとのことで、紙面が通常の半分くらいになっているそうです。

長野日報がランサムウェア被害 新聞はページ減らし発行 「長期化も予想される」

[ITmedia]

最近のニュースになったランサムウェア被害ではVPN機器のファームウェアが古いままで脆弱性が残っていたために攻撃されて侵入されるというケースが多かったように思います。今回はよく報道されるメーカーや病院とは異なるメディア系の業種ですし、侵入経路や発覚の経緯などにももしかしたら違いがありそうで、気になっているところです。

Google ONEによるダークウェブモニタリング

5月に発表されていた内容ではありますが、Google ONEによるダークウェブモニタリングを試してみました。これはGoogle ONE用の機能なので、無償のGoogleアカウントでは利用することができません。

New security features for all Google One plans

[blog.google]

この機能を使うと、Google ONEに登録されている個人情報や認証情報のうち、任意のものについてダークウェブ上で流通しているかどうかをチェックすることができます。

ダークウェブというのは一般的なブラウザや検索エンジンでは到達できないWeb上の空間で、漏えいした情報や違法な情報・物品の流通によく使われているそうです。

試しにメールアドレスでチェックをしてみましたが、過去に情報漏えい事件のあったショッピングサイトで使用していたメールアドレスが検出されました。

チェック自体は数秒で実施できるので、気軽にチェックができます。また、漏えいした情報があった場合、対抗策についてアドバイスももらえるので親切な設計です。

今回チェックしてみて思いましたが、自分で気をつけていてもこういった情報は外部のサービスに預けることになるので、どうしても漏えいの危険性が避けられません。

特に認証情報などについては漏えいしても重大な結果につながらないよう、パスワードの使い回しを行わないことや、設定可能な場合できる限り多要素認証を設定するなどの対策が必要であることが認識できました。

マルウェアEmotetの感染急拡大

2020年の9月頃に国内でも猛威を振るったマルウェアEmotetが再度感染を拡大させているそうです。

このマルウェアは2021年の2月頃に欧州警察機構がボットネット自体を壊滅させたので、いったんは活動が沈静化したと思われていたものです。2022年2月頃から活動の再開が観測され、2月下旬からは特に急激な感染拡大を見せているということです。

いわゆるなりすましメールにマルウェア付きの添付ファイルが付いているということなので、メールクライアントの表示上では知っている人からのメールに見えるようです。何となくメールを次々処理していく過程でうっかり開いてしまうということもあり得ると思います。

当面添付ファイル付きのメールについては全件怪しいとにらんでチェックしていくくらいには注意しておきたいところです。

WordPressとApache Log4j脆弱性

今週初め頃から、Apache Log4jの脆弱性についての注意喚起が行われています。

Log4jというのはJavaで実行されるログを記録するためのライブラリだそうなのですが、細工された文字列を記録した際にログの記録先で命令を実行してしまう場合があるそうです。

このライブラリが非常に多くのシステムで利用されているほか、ログを取るライブラリというその性質上、公開サーバを攻撃された結果として内部のログサーバに被害が発生する恐れがあるということもあって、かなり警戒されているそうです。

WordPressは関係あるのか調べてみたところ、12/18時点では公式には何もアナウンスが行われていないようでした。フォーラム上では質問がされており、モデレータの方から回答がついていました。

Is the Log4j vulnerability an issue?

[wordpress.org forum]

「WordPress本体、およびプラグインはPHPで記述されているので影響を受けない」というのが回答でした。これはなるほどという回答です。

関係して当ブログをホスティングしているサーバの方でも何らかの対策が必要かチェックしてみましたが、特に対応の必要はなさそうだったので安心しました。

現在進行形で対応に追われている方もいらっしゃると思うのですが、大ごとにならないのを祈るばかりです。

情報セキュリティ10大脅威2019(詳細版)

IPAからランキングのみが発表されていた2019年版の情報セキュリティ10大脅威に、詳細な資料が追加されました。

情報セキュリティ10大脅威 2019

[情報処理推進機構]

資料を見ていて気になったポイントがいくつかありました。

クレジットトラベル

クレジットトラベルというのは不正なクレジットカード利用の一形態で、”不正に入手したカード情報で旅行商品を仕入れ、それを他人に提供することで金銭を入手する”という手法だそうです。

旅行商品は需要に応じて提供するものなので在庫を抱えるリスクが低いですし、1回で動く金額が大きいのでこういった不正利用に使われているのかもしれません。

メール等を使った脅迫・詐欺

昔からある攻撃手段という印象も受けますが、昨今のものは他で入手したパスワードリストを用いて、あたかも攻撃側が対象者の情報を全て握っているように見せかけることもあるそうです。

確かに本来であれば本人しか知り得ない情報を混ぜられて脅迫されると、無作為に送られてくるアカウント再設定を装ったメールなどに比べれば信じてしまう率が高そうに思えます。

新規ランクインの攻撃手法ですが、解説を読んで納得が行きました。

まとめ

こんな感じで、日々の生活でも役立つ実践的な情報が載っているのでオススメです。
以前にも書きましたが、毎回平易で分かりやすい資料になっているのでとても重宝しています。

情報セキュリティ10大脅威2019

IPAから2019年版の情報セキュリティ10大脅威が発表されました。この資料は企業・個人にとって影響の大きい情報セキュリティ上の脅威をランキング形式でまとめたものです。分かりやすく書いてあるので学習や研修用の資料として役立ちます。

情報セキュリティ10大脅威 2019

[情報処理推進機構]

毎年大きく順位を変えた脅威の内容を気にしているのですが、2019年版は” メールやSNSを使った脅迫・詐欺の手口による金銭要求 ”がランク外から4位に入ってきました。

かつてのワンクリック詐欺が経路を変えただけのようにも思えますが、最近のメール詐欺は別途別サービスから盗んだユーザ情報を提示した上で脅迫するなど、あたかも相手が全て情報を入手しているかのような形で脅迫をしてくることもあるそうです。

”インターネットバンキングの不正利用”は大きく順位を落としていますが、これは従来インターネットバンキングとクレジットカードの不正利用が同一カテゴリだったものを分割したためだそうです。

分割されたもう片方の”クレジットカード情報の不正利用”は昨年に引き続き1位となっており、近年の最も注意すべき脅威となっています。

2月下旬に個別の脅威を解説した資料がリリースされるそうなので、そちらもチェックしてみるつもりです。

Spectre脆弱性の亜種が発見される

年明けから大きくニュースになっており、一段落したかに見えたSpectre脆弱性問題ですが、新たに亜種の脆弱性が発見されたそうです。

Spectre派生の新たな投機実行脆弱性が発表。多数のCPUが攻撃対象に

[PC Watch]

今回発見されたのはVariant3aとVariant4と名付けられており、Variant3aはローカルアクセスが可能な攻撃者がCPUのカーネルメモリをサイドチャネル攻撃により読み取れてしまう問題だそうです。

Variant4は投機的バイパスを利用した攻撃で、実装は複雑ながら低い特権でも古いメモリ値を読み取ることができるそうです。何となくピンと来なかったのですが、Redhatが公開している動画が分かりやすかったです。

投機的実行コードがCPU内の特権のないユーザでもアクセス可能な場所に捨てられてしまう場合があり、それを元に攻撃者が欲しいデータのアドレスを特定してデータを取得する様子が分かります。

AMDプロセッサに関して言えばBulldozer以降のCPUに影響があるとのことですが、すでにパッチは完成していて最終テストを終えているとのことです。月例の通常のWindows Updateで配信見込みとのことです。

Ryzenの脆弱性に対する緩和策をAMDが発表

3/12に一般公開となった脆弱性情報について、AMDが緩和策のリリースを行ったそうです。

AMD、CTS Labsが開示したRyzen/EPYC向け脆弱性対応ファームを近く提供

[PC Watch]

Initial AMD Technical Assessment of CTS Labs Research

[AMD Corporate blog]

今回発表されていた脆弱性は通称 Ryzenfall, Masterkey, Fallout, Chimeraの4種類ですが、いずれもBIOSアップデート経由でファームウェアを修正することで対応可能ということです。問題を修正したことによりシステムのパフォーマンスが低下することもないそうです。

どの脆弱性を悪用する場合でもシステムの管理者権限が必要であり、そもそも管理者権限が奪取されてしまった場合、これらの脆弱性を突くよりも広汎な悪意ある攻撃が可能である、という点についても触れられています。

緩和策を反映したBIOSは数週間以内にリリース見込みとのことなので、BIOSのアップデート情報を時々チェックしておけば良さそうです。