サイバーセキュリティ入門 ==== 筆者:[友利奈緒 (@K_atc)](https://twitter.com/K_atc) __ターゲットの読者__ TODO __目標__ サイバーセキュリティに入門して、悪を滅ぼし、組織を守ること。 __お断り__ 私こそがサイバーセキュリティ入門したい、というお気持ち。ここに書かれているのは基本的に公開情報です。 情報セキュリティとサイバーセキュリティの違い ---- TODO For Beginners ---- * [サイバーセキュリティガイドブック|中小企業支援|東京都産業労働局](http://www.sangyo-rodo.metro.tokyo.jp/chushou/shoko/cyber/jigyou/guidebook/) (2017/11?) サイバーセキュリティを追っかける人たち ---- ガチレベルでやってる人だと所属も名前も顔写真も公開NGな人が多い。ここには書けない 攻撃の意図を見抜け! ---- TODO ### 金銭 [商品を返品したら知らない間に1万元の借金が! クレジットテックを利用した中国の詐欺事件 - THE ZERO/ONE](https://the01.jp/p0006291/) (2017/12/18) > 陳さんは、返金手続きをしたのではなく、スマホ決済アプリに連動している消費者金融から1万元を借りてしまったのだ。その借入金が振り込まれて、残高が増えた。それに気づかない陳さんは、そのお金を販売元の口座に振り込んでしまった。 [新手詐欺サイト 検索上位に表示|NHK 首都圏のニュース](http://www3.nhk.or.jp/shutoken-news/20171221/0005257.html) (2017/12/21) > 警察庁や警察庁と連携して詐欺サイト対策にあたっている「日本サイバー犯罪対策センター」によりますと、新たな手口は「Google」などの検索サイトで商品を検索すると、正当なサイトのように見せかけるため検索結果の上位に表示されます。 そして利用者がクリックすると、偽のサイトに自動的に転送される仕組みになっているということです。 [警察とJC3、詐欺サイト約2万件発見 43人を検挙 - ITmedia ビジネスオンライン](http://www.itmedia.co.jp/business/articles/1712/21/news100.html) (2017/12/21) [注意情報|一般財団法人日本サイバー犯罪対策センター](https://www.jc3.or.jp/topics/malicious_site.html) (2017/12/21) #### クレジットカード [Credit Card Fraud Detection | Kaggle](https://www.kaggle.com/mlg-ulb/creditcardfraud) クレジットカード取引のデータセット [クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記](https://blog.tokumaru.org/2018/10/methods-of-stealing-credit-card-information.html)(2018/10/18) ### 違法取引 ### 金融操作 ### 扇動 [「フェイクニュース」:インターネットを利用した世論操作 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/15770) (2017/8/29) [安価に可能な世論操作、「フェイクニュース」の価格相場は? | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/15778) (2017/8/30) [「フェイクニュース」を見破るためには? | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/15789) (2017/8/31) 全3回の連載記事 > ※本記事の内容は当社発行のレポート「[The Fake News Machine: How Propagandists Abuse the Internet and Manipulate the Public](https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/fake-news-cyber-propaganda-the-abuse-of-social-media)」(英語)に基づくものです。「フェイクニュース」に関してより深く知るためにはレポートをご一読ください。 [サイバープロパガンダの基礎知識 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/16114) (2017/10/12) [兵器化するSNS ロシアが仕掛けるサイバー世論操作 - THE ZERO/ONE](https://the01.jp/p0006134/) (2017/11/29) ### 私たちにもできること TODO [LINEが監視される「Skygofree」の標的は日本ユーザーなのかについての調査メモ](http://did2memo.net/2018/01/20/security-skygofree-japan/) (2018/1/20) 攻撃手法 ---- ### パスワードリスト攻撃 [【セキュリティ ニュース】パスワードリスト攻撃の事前スクリーニング、大胆なその手口(1ページ目 / 全8ページ):Security NEXT](http://www.security-next.com/094772) > 同社では、攻撃開始から3分後には攻撃を自動で検知。アクセスを遮断したが、攻撃者は201件におよぶIPアドレスを使用。執拗に攻撃を繰り返した。 > なかでも今回の攻撃が巧妙だったのは、ログインの試行を同社サービスへ登録された「既存のID」のみに絞り込んでいたことだ。一時は情報流出も懸念されたが、その後の調査で同サイトの新規登録機能を悪用し、事前に「スクリーニング」が行われていたことが判明した > 攻撃者はこうした機能を逆手に取り、IDとして利用するメールアドレスがすでに登録済みであるか、未登録のIDであるか事前に調べていた。 ### 標的型攻撃のうちマルウェア感染を主とするもの [サイバー攻撃、その対策 意味ないかも  :日本経済新聞](https://www.nikkei.com/article/DGXMZO28644710X20C18A3X30000/) (2018/3/28) ### やり取り型メール攻撃 [相手を信用させる前例なき手口 コインチェック攻撃で明らかに | NHKニュース](https://www3.nhk.or.jp/news/html/20180512/k10011436321000.html) (2018/5/12) > コインチェックの通信記録や社員のメールなどを分析した結果、犯人は事件の半年余り前からSNSなどを通じてシステムの管理権限を持つコインチェックの技術者を複数割り出し、それぞれに対してネットを通じて偽名で交流を重ねていたことが関係者への取材でわかりました。 ### フィッシング [Adobeのオープンリダイレクタを悪用したフィッシング詐欺についてまとめてみた - piyolog](https://piyolog.hatenadiary.jp/entry/2019/10/01/065538)(2019/10/01) > Adobe社は利用者満足度などのアンケート等を目的としてこのサイトを利用されていたとみられる。 [[ザック先生会] フィッシング詐欺と如何に戦い、そして如何にして勝つか - Speaker Deck](https://speakerdeck.com/ozuma/zatukuxian-sheng-hui-huitusinguzha-qi-toru-he-nizhan-i-sositeru-he-nisitesheng-tuka) by @ozuma5119 (2019/10/1) [システムの穴をつくフィッシング詐欺の手口と対策 『二段階認証』も鉄壁ではない?|TIME&SPACE by KDDI](https://time-space.kddi.com/it-technology/20191021/2761)(2019/10/21) 攻撃者が二段階認証を突破するために、ログイン情報の詐取と同時に本物のサイトにログインして二段階認証の要求を飛ばすというお話。 [システムの穴をつくフィッシング詐欺の手口と対策 『二段階認証』も鉄壁ではない?|TIME&SPACE by KDDI](https://time-space.kddi.com/it-technology/20191021/2761)(2019/10/21) 攻撃者が二段階認証を突破するために、ログイン情報の詐取と同時に本物のサイトにログインして二段階認証の要求を飛ばすというお話。 [New Phishing Campaign Uses Captcha to Bypass Email Gateway - Cofense](https://cofense.com/new-phishing-campaign-uses-captcha-bypass-email-gateway/) (2019/9/9) フィシング画面の前にCAPCHAを入れることで、Secure Email Gateway (SEG) による検出を回避する。 [New Phishing Campaign Uses Captcha to Bypass Email Gateway - Cofense](https://cofense.com/new-phishing-campaign-uses-captcha-bypass-email-gateway/) (2019/9/9) フィシング画面の前にCAPCHAを入れることで、Secure Email Gateway (SEG) による検出を回避する。 [正規ブラウザ拡張機能を利用するフィッシング攻撃を確認 | トレンドマイクロ セキュリティブログ](https://blog.trendmicro.co.jp/archives/21077) (2019/05/08) > トレンドマイクロは、SingleFileを悪用して正規Webサイトのログインページをコピーし、フィッシング攻撃に利用しているサンプルを確認しました。 ### ビジネスメール詐欺(BEC) #### 事例 [日本航空 偽メールにだまされ3億8000万円余被害 | NHKニュース](https://www3.nhk.or.jp/news/html/20171220/k10011265791000.html) (2017/12/21) > 日本航空によりますと、ことし9月、実在する海外の取引先を装った電子メールで、航空機のリース代として3億6000万円を請求され、財務担当の部署の社員が指定された香港の銀行口座に送金したということです。 cf. [日本航空が被害を受けたビジネスメール詐欺をまとめてみた - piyolog](http://d.hatena.ne.jp/Kango/20171220/1513795615) (2017/12/20) ### BPC [ビジネスプロセス詐欺(Business Process Compromise、BPC)の事例と対策 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/16037) (2017/10/3) [フィッシング攻撃に注意、「ビジネスメール詐欺」の攻撃手口を分析 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/17003) (2018/2/20) ### ランサムウェア [ランサムウェアの身代金を横取りするTorプロキシサイト | スラド セキュリティ](https://security.srad.jp/story/18/02/03/1919225/) (2018/2/4) ### DoS #### 増幅型 ##### memcached [memcached のアクセス制御に関する注意喚起](https://www.jpcert.or.jp/at/2018/at180009.html) (2018/2/28) > JPCERT/CC では、2018年2月21日ごろから 11211/udp の通信ポートに対するア クセスが増加していることを、外部組織からの情報提供、およびインターネット 定点観測システム (TSUBAME) の観測データから確認しています。 [Memcachedサーバーの脆弱性を突いたリフレクション攻撃が急増。JPCERTも注意喚起を実施。 - 忙しい人のためのサイバーセキュリティニュース](http://nanashi0x.hatenablog.com/entry/2018/03/01/190000) (2018/3/1) [Memcachedを悪用したDoS攻撃のペイロードにMoneroアドレスを挿入しランサム要求 - 忙しい人のためのサイバーセキュリティニュース](http://nanashi0x.hatenablog.com/entry/2018/03/04/210638) (2017/3/4) [Memcached Servers Abused for Massive Amplification DDoS Attacks](https://thehackernews.com/2018/02/memcached-amplification-ddos.html) () [さくらVPSで利用していたmemcachedがリフレクションDDoS攻撃発信の踏み台として悪用された件 - Qiita](https://qiita.com/shibu_t/items/8d103e8747638245aae9) (2018/2/28) サイバー攻撃の規模 ---- TODO ### 私たちにもできること TODO 相手を知る ---- [北朝鮮インターネット事情 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/16218) (2017/10/27) Takedown〜悪い人たちをやっけろ!〜 ---- TODO [IoT狙ったサイバー攻撃対策強化に2法案を提出へ 総務省 - 産経ニュース](http://www.sankei.com/politics/amp/180119/plt1801190039-a.html)(2018/1/19) どこを狙うのか ---- どこ=地域・業界 [「EMOTET」を再び確認、今回は北米を中心に拡散し標的産業も拡大 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/15901) (2017/9/15) > 一つ目は、新しい地域や業界が対象となっている点です。上述のとおり従来の EMOTET は主に銀行を対象としていましたが、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の情報によると、今回確認された EMOTET の攻撃対象は特定の業界に限定されていません。製造、食品および飲料、医療関連機関など、さまざまな業界の企業が影響を受けています。このような検出状況から、EMOTET の対象が広範化したといえるでしょう。 知っておきたいサイバー攻撃の実例 ---- * Stuxnet * [ビジネス用ソフトの欠陥突くサイバー攻撃相次ぐ | NHKニュース](http://archive.is/3brkZ) by Secure Works (2017/4/11) * 開発側(Sky)の反論:[各種報道に関しまして - セキュリティ・脆弱性について](https://www.skygroup.jp/security-info/170412.html) * [韓国で確認されたサイバー攻撃「OnionDog 作戦」を綿密調査 | トレンドマイクロ セキュリティブログ](http://blog.trendmicro.co.jp/archives/15686) by TrendMicro (2017/8/17) * [北朝鮮関連サイトを踏み台とした水飲み場型攻撃 解析レポート](https://www.nttsecurity.com/-/media/nttsecurity/files/resource-center/what-we-think/20170815_%E5%8C%97%E6%9C%9D%E9%AE%AE%E9%96%A2%E9%80%A3%E3%82%B5%E3%82%A4%E3%83%88%E3%81%AE%E3%82%B5%E3%82%A4%E3%83%8F%E3%82%99%E3%83%BC%E6%94%BB%E6%92%83%E3%83%AC%E3%83%9B%E3%82%9A%E3%83%BC%E3%83%88_v1.pdf) by NTT Security (2017/8/23) OSINT ---- TODO