第95回 [PR]悪魔のテヘペロ攻撃！スペシャル！

00:00

開けてました。開けてましたね。何が?

あー、わかったわかった。年が上げたのかと思った。早すぎると思った。

まだ半年しか経ってないなと思って。早すぎるとか遅すぎるとか。早いのか遅いのか、なんか絶妙なタイミングで言ってきたなと思って。

開けましたね。梅雨ね。なんか開けたみたいだね、関東地方も。そうですよ。なんか平年で見ると3日早くて、

昨年で見ると16日早かったみたいですね。あ、そうなの?

そうなんだ。いやー、なんかめっちゃ暑いよね。暑いですよ。

マジで。今日とかもね、なんか33度とかって最高気温出てましたけど。

なんか家にいるからあんまり気にならないというか気がつかないけど。いや、来ましたね、夏が。

いやーそうですよ、本当に。でも梅雨が明けてってなると、僕散歩を復活させているので。

あー、夜中やってるやつ? そうそうそう。ちょっと前まではもうなんか天気がバンバン変わるんですよ。

雨雲レーダーみたいなやつ見ると、 1時間後に降りますとかって書いてたのに、その1時間後に見たら朝まで降らんみたいなやつとかしてて。

それがフワフワしてたから動きづらいなと思って、最近見たら全然雲ないみたいな。

でも夜とはいってもまだ結構暑いんじゃないの?そうでもない? いや、夜も暑いですよ。

だからもう短パンとTシャツとかで行っても暑い。

自撮って、だから帰ってきてからシャワー浴びたくなるぐらいかな。そんなダラダラは書かないですけど。

だから梅雨が明けてっていうのもある、雨が降ってないっていうのもあると思うんですけど、散歩してると夜中とはいえやっぱり人はいるんですよ。

あーそうなんだ。うん、ちょこちょことね。できるだけ人がいない道を選んでるんですけど、

人が住んでるところってあるわけですから、そこでいろんな人見かけますよね。

例えば? これはついつい最近の話なんですけど、両手に

ゴミを持ってゴミ捨て場に向かっている女性がいたんです。

マスクを下に貼るんですけど、顎にかけてるんですよ。

あーよくありがちな。うん。

おかしくないって一瞬、え?って思ったんですね。ゴミ捨てに行くだけでマスクをつけたのに顎ってなんでそんなになってんやろうと思って。

でもそこだけ聞い取ったらわかれへんから、この人もしかしたらゴミを両手塞がってるけどポンと置いた後にマスクをしてコンビニとかに行かはんのかな、ちょっとコンビニそこまで的な。

03:02

って思ってて気にしてみてたらそのまま家帰らはったんですよ。家から顎にマスクつけて出てきてそのまま帰っていくって何やったんやろうなっていう

ことが気になったっていうだけなんですけど。例えばマスクして出かけてさ、

家帰って外さずそのまま顎にしてそのままとか? あーそれは考えてなかったな。

わかんないけど、俺そもそもマスクって顎にしないからさ。僕もしないんですよね。外すかつけてるかどっちかだから。

中途半端な顎にしておくって見栄えも良くないし。そう、なんかねいろんなパターンの人いますよ。その顎マスクの方もいらっしゃいますし、鼻が思いっきり出てる人もいらっしゃいますし、

この間見たのはね片耳にブラブラ下げて歩いてる人いました。鼻を覆ってない人結構いるよね。まあ苦しいんだろうね多分ね。

下がってくる人もいますしね。あとまあね色々人によってありますけど、まあでもね鼻を覆わなかったらあんまり効果ないけどねマスクとしては。

そうそうそう。

いろんな人いて人間観察結構好きなんで。確かにねネギさんのパターンもあるかもしれないですね。まあ結構服装がラフやったんで一回家に帰ってゆっくりした感じやなぁと思いながらもちょっとその謎は解けないまま帰ってきたんですけど。

話しかけて聞くわけにもいかないですしね。まあね不思議じゃなそれ。

声かけ事案になっちゃいますからね僕。

それはヤバい奴ですね。そんなこんなでね今日もお便りいただいております。

前回紹介したあの家でサムギョプサルやってみたくなってきた匂い対策を考えないとというお便りが来てたんですけども。

匂いってそれがなんか気になる感じだっけ?

めちゃくちゃ匂いしますよ。

あ、そうなの?

油の匂い的なやつですか?

そうそうそうあの豚肉焼いた感じの。

豚肉でもつくんですね。

それでもサムギョプサル関係なく焼肉したらどっちみち…

焼肉も同じなんですけど、窓をね風通しよくしたりとか換気とかしてやりますけど

夜景死に水です。

なるほどね。

自分はだんだん花って慣れてくるから換気してるから結構いいんちゃうかと思うんですけど

さっきみたいに僕がね散歩行って帰ってきたらこの家サムギョプサルやったなって分かるぐらいの匂いしてますもんね。

じゃあ結構残るんだね。

残る…でもそれ言うたら全部そうですよ。

僕も家でたこ焼きとかもやりますけどたこ焼きの匂いにしますもん。

まあ多少はね。

たこ焼きとお好み焼きの匂いってやっぱ違うんですか?

違う。

この家たこ焼きやったなって。

06:01

どうでもいいよそれ。

タコだけじゃなくてイカとかも入れる海鮮でやったなぐらいまでは分かりますよね。

材料の匂いね。

そうそうそう。

そうなんですよ。

そういうところがあって。

そのサムギョプサルに関係してですね、ちょっといいですかお二人。

はい、なんでしょうか。

お二人に苦言を呈したいのと、

あとネギスさんに謝罪をしないといけないな、謝罪をしないといけないかもしれないなと思っている感じのお便りが聞いております。

一つはですね、前回僕マイターのお話ししたでしょ?ディフェンドの。

その流れからのおすすめのあれがサンチュで巻くサムギョプサルだったでしょ?

気づきました?

え?

サムギョプサルっていうのはなんですか?豚肉を?

豚肉を?

サンチュで?

マイター。

わかんねえよそんなの。

気づいてなかったんですか?

気づかねえよそんなの。

ほんまに?

気づかんかった。

本当ですか。だから辻信博メモにも書いておきました。豚肉をサンチュでマイター。

そのメモは見たよ、そのメモは見たけど。

はいはい。

それ収録の時気づかないでしょ。

本当ですか。

マイターとマイターね。

うまいね、やられたね。

全然心こもってへんやんけ。

まじか。

気づいてなかったということで。

全然。

もう一つは僕が、看護さんあたりがねぎすさんに謝らないといけないかもしれないという感じのお便りが来ているんですけれども。

僕、サラダナの話したでしょ?

レタス破った話ね。

そうそうそうそう。なんとか、なぁみたいなイタリア、なぁみたいなやつがあった時に、ねぎすさん一回知らんけどって言った後に、言い直して知らんがなって言ったんですけど、その知らんがなのなぁはなっぱのなぁやったんですか?

知らんがなそんなの。

いやいや、それもしボケたハロウィンやったら、僕ツッコメでへんなっていう反省が。

いやそれね、あの、わかんない。どっちか。

いやこれぐらいさ、ほらこれぐらいね、そこそこ付き合いが長くなると、割と自然に出てくるんでそういうのが。

確かにね。ねぎすさん結構知らんがなって普段から言いますもんね。

うん。普段から言うのと、割と自然にね、ボケたつもりなくてボケたりとかたまりするんで。

はいはいはいはい。わかるわかる。で、改めて聞き直しても、なんか恥ずかしい感じ出される時あるから、僕も言われへん時もあるんですけど。

そうねそうそうそうそう。いやその時どうだったかな?いや特に意識してずに言った気もするけど。

ああ、ということは真相in the darkってことですね。

09:01

そうですね。

うん、真相は闇の中ということで。

いやでもちょっとさ、え、それでそんなお便り来てたの?

来てました来てました。

驚くべき観察力っていうか、すごいね。

ねぎすさんが知らんがなってボケてるのにツッコミが不在。一度知らんけどと言った後にわざわざ言い直しているのに。

マジで?

○○○みたいな。

自分でも覚えてないっていうか、そうか言い直したか。それだからじゃあわざと言ったかもしんないな、もしかしたら。

ちょっとテンション上がってたかもしんないですね。

そうかもしんない。

はいはいはい、ということで。

あとはあれですね、ちょっと前回のやつかな、スマホを落としただけなのにの続編の裏話を聞きたいですというお便りが来ているので、第100回までお二人はちゃんと見といてくださいねと。

まあ難しいですよね、これ見ておいてくださいねって言っといたけども見てないっていうののフリに聞こえるもんな。

あとね、もうもちもち俺の性格わかってると思うけど、見ておいてくださいねって言われれば言われるほど見ないよ俺。

見ないね。そうなんですよ。

見たくなったら見るよ。

そうそう、それは一番ですもんね。

はい。

ということで、そろそろ今日もセキュリティの話をしていこうかなと。

そうですね。

思っておるんですが、今日は一番はカンゴさんにお願いしていいですか。

はい。

はい、私はですね、今回はちょっと前の話なんですけどね、4月9日に株式会社PRタイムズというところが、

この企業、いろんな企業の情報を確か報道機関などに対してプレスリリースという形で発信するサービスとかを行っている。

その会社が行っているその情報、発表前の情報に対して不正アクセスを受けましたと。

それについてのお詫びとご報告というのを出していたんですね。

これどんな内容だったかというと、タイトルの通りではあるんですが、PRタイムズがその情報を管理しているシステムがあるんですけども、

そのシステムに対して、5月の4日から7月の6日、大体2ヶ月くらいですかね、

その間に会員のサービスを使っている企業の13社、14アカウント、プレスリリース数で言うと230件に紐づく画像のZIPファイル230点と、

先ほどの13社に含まれる会員企業の4社のプレスリリース28件に紐づくこちらはPDFファイル28点が発表前に不正に取得されていたことが分かりましたという内容でありまして、

12:00

なんでそれが分かったかというと、先ほどお話しした会員、サービスを使っている企業から発表前にも関わらず情報がSNSに投稿されてますよという報告を受けて調査を始めて発覚したというものでして、

画像の一括ダウンロード機能というものがそのサービスにあるんですけども、プレスリリースが実際に出されているか出されていないかに関わらず、

よくある話はあるんですが、URLが推測され解析してしまうことでダウンロードが可能な状態な仕様になっていることが分かったと。

日付っぽいものがあったら変えるとかそういう感じですよね。

そうですそうです。

なのでそれが分かってすぐに緊急回収をして、暫定対応を取りましたという形で発表が行われておりまして、

今のところ把握された内容としては、先ほど申し上げた2ヶ月間の230件に紐づく情報がダウンロードされちゃいましたよというところではあるんですけども、

他にももしかしたら過去発生しているかもというところで、9日の発表を出した時点でも調査中というところと、

あとIPアドレスを特定したということも書かれており、プロバイダーに対して申告をしましたと。

なんでこんなことが起きたかというところも一応書いてあるんですが、開発段階ではこのダウンロードする機能は想定していなかったというところで、

その穴を突かれたという話を書かれておりまして、今後はこの辺の回収であったり、そこら辺を見つける体制の強化を行いますという形で内容としては締めくくられているんですけども、

ちょっと私違和感を感じたのは、これって本当に不正アクセスなのかっていうところがまず結構気にはなって、

ただこのプレスリリースというか、不正アクセスの報告を受けて、メディア等もこれを取り上げているんですけども、

いくつかのメディアは不正アクセスが発生したという形で書かれておりまして、

ちょっとこの辺っていうのが、いわゆる不正アクセス禁止法に書かれている不正アクセス行為に該当するかどうかっていうところ以上の

広義な解釈で不正アクセスっていうのがやっぱり使われるんだなというところと、

結構これ不正アクセス禁止法じゃないから、不正アクセス禁止法に該当するような不正アクセス行為じゃないからっていうので、

15:05

若干安心ではないんですが、そこを心の拠り所にして、つい試しちゃったりアクセスしてみたりなんてこともあったりするんですけども、

ちょっとこの辺が、やってる側やられる側でイメージというか受け方、感じ方、捉え方っていうのが違うんだなと。

違うんだなで終わればいいんですけど、今回のこのPRタイムズのように実際にISPに対して不正行為という形で申告されてますっていうのもあったりしてですね。

直接的な影響も自分自身に及びかねないというところもあったりして、ちょっとこの辺は少し気になるなというところはあって、

ただ先ほども言ったようにSNS上で既に情報が投稿されてるって話もあったので、ちょっとそこはどう考えてもよろしくはなかったなとは思うんですけど、

不正行為と書かれている手段を持って取ってきた情報をSNSに仮に流してしまっているんだとしたら、それはその行為が不正アクセス行為に該当するかどうか以前によろしくない行為なので、

そこは問題だと。不正アクセス禁止法とは別の観点で該当するっていうのは当然あると思うんですけども、

ちょっとこの不正アクセスっていうところに引っかかったと。

看護さんが今言ってたみたいに、厳密な意味で言うとその不正アクセス禁止法でいうところの不正アクセスには多分当たらないよね。アクセス制御機能がなかったに等しいわけだから。

前にもそういう事例があったけど、例えばディレクトリートラバーサルとか、なんとかインジェクションとか、何かしら脆弱性をついたとかだと、それでアクセス制御をバイパスしたとかだと多分アウトだけど、

これ多分、推測できちゃったのにたまたまアクセスしただけですって言おうと思えば言える事象だけ見れば?

そうですね。

別に何のアクセス制御の機能をバイパスしてないので、多分この行為だけ見たら不正アクセス禁止法違反にはならないと思うんだけど、今看護さんが言ったみたいに、こうやって特定アドレスってことは多分特定の一人がずっとやってたってことなんだよね。

把握されている中ではそういう、おそらくそうなんだろうと思います。

だとすると、何の目的でこれをやったのかっていう、例えばセキュリティの研究者が脆弱性を意味付けて報告するために検証でやりましたとかだったらおそらく違法じゃないと思うんだけど、これは多分そうじゃなくて、何らかの理由でこの問題に気づいてそれを使って、

18:08

SNSで流すのは、SNSで流した、自分は発表前の情報を知ってるぜって目立ちたいだけだったら多分最初はあれじゃないけど、仮にこれそれを使って発表前に株の取引とかやったら、

インサイダーのような。

それはでもインサイダーじゃないと思うんだよね。

インサイダーとは言わないのか。

だって内部関係者じゃないから、別に株取引したらインサイダー取引ではならないけど、多分そうやって不整理利益を得ようとした場合とかには何か多分問題になるんじゃないかと思うんだけど、

どういう目的でそのデータを使ったかとかによって多分違法性が問われるんじゃないかなっていう気がする。

少なくとも2ヶ月もやる必要はないわけですからね、仮に爆発目的なのは。

そうそう、こういう事態がどうなのかっていうのはあるので、ちょっとそれはどうかなという気がするけど、ちょっとさこれ一個さっき聞いてて気になったので聞いてもいい?

はい、お答えできるか分からない。

別にカンゴさんがやったわけじゃないよね。

すみません、私やってないですよ。

さっきの話で、事前の開発段階では想定してなかったっていう話があったけど、これでもこの仕様自体、いわゆる公開前の段階でもURLさえ分かればアクセス可能だったっていうことについては、

全く知らなかったのがね、分かってたけどリスクとして需要したっていうかアクセスされないから平気でしょって思ってて、過小評価してたのか、どっちなんだろう、分かってなかったのかな。

その辺の点末は細かくは書かれてないんですよね。本当にシステム開発段階では想定していなかったとしか書かれていなくて。

想定していなかったっていうのが、第三者にアクセスされるってことを想定していなかったっていうことなのか。

そうですね、その意味なんじゃないかなっていう感じがしますけど。

そうだよね、そういうことだとおそらく思うんだよな。だとするとそこの想定が甘かったというか。

はい、当然そうでしょうね、残念ながら。

内緒は、例えば開発をどこかに委託してて、そういう仕様じゃないと思ってたみたいなのがよくあるじゃん。

委託元は開発の委託先から、そんなことは聞いてなかった、知らなかった、事件が起きてから知るみたいなことがよくある。

そんなことできんの?みたいな。

そういう一層の問題で、知っておくべきことが知られて知ってなかったみたいな話があったりするのかなとか、そこまではないのかな。

21:00

ああ、でも委託とかは表現の中に出てこないんですよね、この中には。

じゃあ、なんかちょっと想定漏れっていう感じなのかね。

仕様設計とかっていうのは結構文言としては書いてあるんですけど。

今回の件に限らず、例えばCMSとかもそうだし、よくあるよね、ドラフト段階の原稿をチェックしたりとかレビューしたりするときに、

URLさえわかればアクセスできちゃって、特にそこにID、パスワード的なものはないとかっていうのは、よくあるよね。

そうなんですよね。

そう考えると、今回の予測可能だったっていうのはよくわかんないけど、どれくらい簡単だったのかわかんないけど。

どれくらい簡単だったんですかね。

わかんないけど、実際そういうシステムって世の中によくあるし、使われているので。

年月日とか年版とかだったりしたら簡単にわかりますよね。

だからその使用の脆弱さ具合と、あとは例えばブログのシステムとかね。

例えば僕が今毎週書いているニュースのまとめ記事を使っているサイトとかあるけど、あれもリリース前にURLさえわかれば見れるのよ、記事が。

実はね。

割と推測しやすい感じになってるんだけど、ランダムな部分って一部だけなのよ。

おそらく、そのあたりでガンガンやれば多分ね、わかる程度には。

ちょっとこれは、じゃあねぎっさんがつぶやく前に誰かがつぶやかれるっていうこともあると。

でその俺が言いたいのはそれってそこに書く内容が別に大したことないというかどの道公開する内容で

それがそのドラフト段階で見られても困らない内容だから構わないと思うんだけど今回のその pr タイムズの情報という割と

キビーなプレスリリースってねさっきも言ったけどその株価に影響したりそうそうそうちょっといろいろ影響が大きい内容の割にはちょっとねそのそれと

そのアクセス制御のあの仕組みとのバランスがちょっと悪かったなぁっていうかなんかさっき想定してなかったっていうのは

ちょっとなんかねそれはないんじゃないのっていうかねそういう事前のテストしてなかったのかということも言われかねないですよね

してないなんて言っちゃうね公開前のプレスリリース情報でかなり機微な情報だと思うんだよね

そうですでそれをね扱うしかもサービスとしてねお客さん向けに提供するサービスとしてやってる会社

としてはちょっと粗末な感じがするんだよな結構ね情報解禁とかすごいね

厳しくしますからねそうそうねだまぁあの不正ってがそのね想定しない相手に持ってかれたってのはまあその通るだろう

24:04

けどいや不正アクセスで行った奴が悪いとはちょっと言えないというかそれはね

流出したら頭悪いじゃないのって言いちょっと痛くなるよね若干若干ねネギさんが記載所と気にしてた目的なんやねんっていうのは

なんか気になりませんその株可能関係かなとも一瞬思ったけど sns に投稿されてねーなーとかね

ねわかんないねまあわかんないそうまあその目的もわかんないしその目的良ければいいって言ってるわけじゃないよそのやっぱりダメだもダメだと思うんだけど

ダメはもっとはダメだと思うけどそれはそれとしてその行った人はねそのそれで休暇すればいいけどそれはそれとしてちょっとね情報の扱いとしてはいかがなもの

かなって感じはするよねそうですね

あとは何かこのリリースの中にあのまあ看護さんたぶんリリース以外のやつも読まれていると思うんですけど

あの特定の ip アドレスの不正行為についてプロバイダーに連絡申告しましたみたいな文言があったと思うんですけど

あの警察とかに被害届出しましたって多分なかったんじゃないかなと思っててないですそうですよねのバイダーのみですね書かれているのはもしかするとそのまあなんか自分たちから

するとも不正に法律上じゃなくて不正にアクセスされたっていうことを言ってて法律上には不正アクセスにはこれ自体は当たらないっていう認識があるから

それ書いてないのかなという気もしたんですよなるほどあのホームとかのチェックとかね

あるいはでもそのまあプロバイダーに紹介をして

でやった個人がまあ仮に特定できたら

法的措置っていうかあーその次のステップとしては発するつもりなのかもしれないけどねわかんねー

その辺はちょっとこうリリース分の中ではふわっとしてるなっていう感じが確かにねそこまで書いてこういう印象を受けましたね

どうなってもその中でその先へと株価とか金融消費品取引法条文みたいなやつがあったらあの調査してわかったら出しますけどねみたいなこと書いてあったけど被害届けって言葉がなくて

ちょっとというふうなことはちょっと思いましたねはい

ありがとうございますということで

次行きますかはい行っちゃいましょうはいはいということでじゃあ次僕行きますわはいどうぞ

どうぞえー今日はねランサムじゃないんですよ違うんですか

ずるいよねなんかねずるいずるい

ランサムでもおもろいしランサムかランサム誰かどっちかしかないじゃん

まあそうなんですよそうそうそうそうなんかええのもろたなって思ってるんですよ

ずるいわ本当今日僕が取り上げるのはですね

あのトリックボットギリランサムじゃないでしょ

27:06

ある意味ランサムじゃないギリの線がわかんないですけど

トリックボットといえばあの最近あのラトビア人女性がこの開発に関わっていると言われている人が

起訴されたじゃないですか6月の頭ぐらいにそうそうそう通称マックスみたいな感じで書かれてましたけれども

結構なんか5年配の方だよねなんかねそうですねあの50代の方でしたよね確かね

であの方自体は起訴されたのは6月なんですけど 2月の6日にアメリカのマイアミに入ってきた時に逮捕されてるんですよね

もともとはブラジルの北部に住まれている方なんですけどそのタイミングで逮捕されて6月に起訴されてたということなんですけど

この人は何に関わってたかというと監視そのシステムで感染者システムに監視したり追跡したりとかできるような行動のプログラミングをしたりとか

あとはランサムウェアともつながりがあるのでそのランサムウェア攻撃の管理と実行とか身の代金の受け取りに関係するところとか

盗み出した情報をリークするための情報保存するための仕組みみたいなそういうところに関わっていたそうなんですね

僕はさっきギリランサムじゃないって言ったのはトリックボットは先行のポートキャストでも何回か言葉出てきていると思いますけど

先行マルウェアというふうに知られててトリックボットが入ってきている状態にその後リュークが来たりとかコンティが来たりとか

最近ちょっと話題になってるリビルが来たりとか新しめだとランサムXが来たりとかっていう風な先行マルウェアとして動いているという風なものなんですけども

この逮捕というものがあったんですがそういった逮捕の影響は多少なりともあったのかもしれないんですけど

事前として特に逮捕をきっかけとして収まっているわけでもなくこの2月6日以降に逮捕された6日以降に収まっているわけでもなく

猛威を振るっているないしはアップデートも行われている行われ続けているというふうなことをちょっと紹介したいなと思っております

僕がこれを紹介しようと思うきっかけになったのがビットデフェンダーというところから出ているレポートで

最近5月ぐらいの話なんですけれども新しいモジュールがトリックボットに追加されてましたよっていう風なもので

追加されたモジュールがVNC皆さんも使ったことあるお二人は使ったことあると思うんですけど

VNCいろいろありますよねタイトVNCとかいろいろそういうやつがあるかと思いますけどもそのVNCモジュールが追加されたという風なものなんですね

感染させた後にC2サーバーを介してその感染したコンピューターに対してスクリーンショットを撮ったりとか

ビジュアルでリモートデスクトップのようなものですよねそういった操作ができるようになるモジュールを追加したと

30:00

追加されただけではなくてそのモジュール自体がカスタムの右クリックメニューとかも操作することができて

そこからCMDコマンドプロンプト立ち上げてパワーシェルで次のアクションをしたりとか

あとはテスト中っていう風に右クリックメニューには書いてあるんですけどネイティブブラウザーっていうのがあって

それを使うと各種のブラウザーからパスワードダンプができる保存されているパスワードをダンプできる

盗み取ることができるというファイアホックスとかIEとかいろいろChromeとか書いてあるんですけど

このビットデフェンダーのレポートによるとIEのみ正しくまた動作するという

テスト中っていう風に書いてあるまんまだという風なことなんですね

それでさらに調べてみたんですけど僕ちょっと前に3月の22日かな

ブログを書いて確かこのあれで紹介してからブログ書きますわみたいな感じで書いたと思うんですけど

エモテッドとアイスドIDとトリックボットを比較アタックのフレームワークを使って比較してみましたみたいなものを確か書いたと思うんですけど

ここでしゃべった後にですね

それが3月22日だったのでその頃からアップデートされてないかなと思って

このVNCのやつとかもあったから再度チェックしてみようと思って見てみたらですね

3月の22日の後ちょっとしてから4月の10日付けでが最新のアップデートになっていました

このアタックのフレームワークのアパトリックスを見ていくと結構ポツポツいろんなものが追加されてまして

このVNCのやつといえば前のやつですね

前にはなかったやつで僕が気になったものを3つほど紹介しますけど

ブルートフォースクレデンシャルスタッフィングっていう

これは認証情報に認証のアクセスですね

ところのあるテクニックの名前なんですけども

そこにRDPスキャンですね

DLLが追加されたと

これはリモートデスクトップに対するブルートフォースを行うというふうなものですね

これはちょっと前の1月30日付けのビットデフェンダーのレポートに

このDLLが追加されたよっていうふうなものが

レポートの中に書かれてあったものが反映されていると

なので見つかってアタックに反映されるのはちょっとタイムラグがあるので

去年の年末から年始最近にかけてみたいなものが

新たに追加されたんだなっていうような感じなんですけども

このRDPのブルートフォース

もう一つ同じくクレデンシャルアクセスの中のテクニックで追加されたものが

クレデンシャルフロムパスワードストアーズっていうパスワードマネージャーっていうのがあるんですけど

これはサイバーリーズがレポート書いてましたが

このポッドキャスト聞かれてる方にも使われてる方いらっしゃるんじゃないかなと思うんですけど

パスワード管理ソフトのオープンソースのキーパスっていうやつがあるかと

33:00

僕も試しに昔使ってみたことあるんですけど

僕も使ってます

使ってます?

あれって.kdbxっていうファイルに暗号化して保存するんですけど

そのファイルに対して辞書攻撃を行うという機能がトリックボタンについている

これは結構前なんですけど追加されてたやつがあって

このposh kpbruteっていう

そういうkdbxですね

キーパスのファイルにアタックを仕掛けるためのツールがあって

それをベースにしてるんじゃないかっていうふうに言われてるんですが

そういったところも手広い認証情報を取ろうとする機能が追加されてたということです

最後ラテラルムーブメントのところ

僕がブログ書いた時点ではラテラルムーブメントのところは空になって横展開ですよね

何もなかったんですけどそれが追加されていまして

Exploitation of Remote Servicesっていうのがあって

これはほとんどの方が対処しているだろうと思いたいんですが

エターナルブルーとかエターナルロマンスっていう

前作戦ありましたよね2017年

懐かしいね

猛威を振るったと言えばいいんですかね

ありましたけれども

罠くらいとかが使って

それを使って横展開をするっていう機能のDLLが追加されてるという風なものがあったので

ラテラルムーブメントも新たにアタックのフレームワークに

このトリックボットのところに追加されてるという風なものがあって

他にもいくつか追加されているものがあったんですけども

なんかこれ見てて思ったのが

前ネギスさんが言ってたのかな

このポッドキャストの中で

いわゆる国家背景があると言われるような標的型と

こういった犯罪という風に呼ばれるようなところの一部が

差がなくなってきているっていう風なことを

さらに感じたかなっていうところで

前比較した時には

こことここの差分がみたいな話をしてましたけど

どんどん新しい機能をつけて

内部ネットワークから情報を盗んで

そこから展開していくための情報を取得するっていう風な

機能をつけてきてるのを見ると

ほぼ差がないというか

対策する側としては

そういうもんだとして

犯罪だろうが国家背景だろうが

差がなくなってきているという意識を持って

対処していかないといけないなっていうのを

改めて強く思ったという風なところで

今日は紹介をさせていただきました

今紹介してくれた

トリックボットに限らず

昔にはエモテットも

結構新しいモジュールが追加されたりとか

割と頻繁にというか活発に

開発が続けられて

新機能がどんどん

追加されてみたいなのがあったけど

36:00

これってどうやってやってるんだろうね

マルウェアのデベロッパーが

自分たちで必要だと思う

機能というか要件というか分からないけど

何かが最初にあって

それを順番に実装していっているのか

あるいは利用者からのフィードバックで

例えばイニシャルアクセスブローカーを

している人に対する

こういうの取っておいてもらうと助かんないけどな

みたいなフィードバックがあるんじゃないか

そういうお客様からの

フィードバックをいただいて

それを真摯に受け止めて

開発にフィードバックして

じゃあ次はこの新しい機能を追加しようとか

やってるのかな

それもあると思うんですけど

前に他のトリックボットではなくて

他のランサムの

ランサムギャングと言われるような人たちが

掲示板でペンテスターを募集してた

っていう話ちょっとしたと思うんですけど

そういうペンテスター

ペンテストを経験していると

こういうことできるとか

っていうのは気になりますよね

こういうテクニック

ペンテストではこういうテクニックよく使って

これがだいたい

こういうネットワークには存在していて

この鉄板の攻撃手法みたいなものとか

うまくいきがちとか

この業界にはこういうものが刺さるよ

みたいなものとかって

やっぱり僕も10年以上やってたんで

分かりますけど

そういうところのフィードバックもあるんじゃないかな

だからペンテスター欲しがる

実際に手を動かすペンテスターとしても

あると思うんですけども

マルウェアの開発

ツールの開発っていうところでも

そういった人の知識が

必要とされてるんじゃないかなと思いますね

僕がさっき思ったのも

マルウェアを開発するスキルと

実際にそれを使うスキルって別じゃない

そうですね

だからさっき言った

こういうモジュールが必要そうとかさ

っていうのは

使ってる人じゃないと分かんないかな

っていう

使い勝手みたいなね

あとほら

攻撃するスキルっていうのもそうだし

あとは使われる環境についての知識

今狙いたいところは

こういう環境が多いから

これに対応したくないと困るんだみたいなさ

そういうのは

今まさに現場でっていうか

最先端の

最先端っていうか

分かんないけど

犯罪現場でさ

実際に手を動かして

侵入行為に

組んでる人たちが

おそらく一番詳しいんじゃないかと

思うんだよね

そういう状況

さっきのついさんが言ったみたいに

開発者の中にそういう役割の人が

いるのか

使ってる人たちから

フィードバックを受けるのか

何かしらそういうのがないと

今何が必要って

39:01

ちょっと決めて

追加するのって

なかなかできないよね

こういう穴が

多いよっていうのもあれば

こういう風にしたら効率が上がるとかって

いくとあると思いますよね

実際のペンテストと同じで

例えばスキャンしてる時も

全部終わってからしか

結果見られへんやつと

進捗でポツポツ結果出してくれるやつ

では作業進捗が大きく変わるんですよね

なるほどね

静寂性スキャナーの話なんですけど

今のは

これ終わるまで出えへんのかみたいな

こっちはちゃんと出んのに途中でも

じゃあこっち使おうぜとかって結構

遥か昔の記憶でそういうのがありましたけど

そういうところもあるんじゃないかな

と思いますし

あとはリモートでGUIで操作できるかどうか

っていうのも結構変わってくる

コマンドラインだけだったら

攻撃者としての

パイも増やせないかなって思うんですよ

なので全部が

リモートデスクトップ動いてるわけじゃないから

じゃあVNCをDLLで動かしゃ

リモートで操作できるやん

っていう言葉があったのかもしれないですしね

メタスプロイトとかもそういうことできますけど

そういったところのフィードバックがあったのか

かもしれないなと思いました

なるほどね

いやー攻撃がなかなか工夫してくるよね

当たり前だけど

いやーなんかちょこちょこちょこちょこ

油断してるとね新しい機能ついてるなっていう

はい

思いましたね

はい

僕からは以上です

ありがとうございます

はい

ということで

最後じゃあねぎすさんお願いします

お願いします

今週はね

いろいろほら

月に1回のマイクロソフトの

パッチの公開日だったり

なんか脆弱性絡みでたくさん

今週は話題豊富だったなと

確かに

脆弱性の話最近よく見ますね

多いよね

そんな中ですね

ちょっと気になった

ゼロデイの脆弱性を使った攻撃について

ちょっと報告があったので

それについて

軽く紹介したいんですけども

軽くって言ってもね

結構内容は重たいんだけど

何かというと

7月の15日今週ですね

つい2、3日前に

カナダの

トロント大学にあるシチズンラボ

っていうところと

マイクロソフトが

それぞれ別々にだけど共同で

調査した結果を報告してるんだけど

イスラエルの

セキュリティ企業というか

スパイウェアを扱っている企業

カンディルっていうところが

あって

そこの活動について

調査した結果を

レポートとして

公開しましたと

これは何かというと

この会社ね

今スパイウェアって言ったけども

世の中結構そういう

42:01

監視の目的っていうかな

感染したPCを使っている人を

色々と監視する目的で

使われるソフトウェアがあって

これを実際に売っている会社は

結構あるんだけども

この会社は

似たような会社で

イスラエルの

NSOグループっていう

こちらも有名な会社があるんだけど

こういう会社って

単にソフトウェアを売っているだけじゃなくて

お客さんに

マルウェアスパイウェアを

感染させるための

攻撃の手法っていうのかな

エクスプロイト

あと

感染した後の監視に必要な

インフラっていうか

C2サーバーとか

そういうのも全部セットでパッケージにして

ハッキングアザーサービスって言われたりするけど

そういうパッケージとして

売っているんだよね

主に買っているのは国で

例えば

中東とか

旧ソ連系とか

欧州とかでもあるのかな

そういう国が

例えば敵対する国に対して

とか

あるいは自分たちの国の

体制を維持するために

なんだろうな

反乱分子的な

自分たちの政権の言うことを聞かないような

人たちを

監視する目的でとか

あんまりよろしくない目的で

そういうソフトウェアを使って

監視をすると

いうのが結構

行われていて

シズンラボっていうのはそういうのを重点的に

調べている組織なんだけど

そこが

今回新たな活動として

カンディールというところがそうやってますよ

というのを

報告してますと

結構

規模としても大きくて

この

マイクロソフトと共同での報告によると

少なくとも100人以上の

感染者というか被害者

がいて

政治家とか

人権団体の活動家とか

あとジャーナリストとかね

よくこういうのをターゲットになりそうな人たちが

被害者になっていて

彼らの感想だと

このうち半分はパレスティナ関連だと

言っているので

その辺の中東のイザコザ関連で

感染させられていると

残りはイスラエルとかイランとか

レバノンイエメンとか

そんな色んな名前が沢山

他にも世界中の国の名前が上がっているので

おそらく

今回見つけたのは単一の

広域のキャンペーンとかの話ではなくて

この会社がティブロックを色んな国に対して

商売をやっていて

色んな国がそれを使っていると

このツールを

そういうお話ですと

で

基本的に今回見つけた

広域ってどんなことをやっていたかというと

例えば典型的な

他にもいっぱいあると思うけど

典型的なパターンでいうと

WhatsAppとかよく使われているメッセージングのサービスを

45:01

使って

一回限りの使い捨ての短縮URLを

ターゲットに送りますと

で

うっかりターゲットがそれを

スマホとかPCとかで開いちゃうと

何らかの

ブラウザーのエクスプロイトが

発動して

それプラスWindowsとか

iOSだったりとか

OSのエクスプロイトが発動して

で

そのターゲットのPCとか

スマホとかを乗っ取ると

こういうやつね

最近はブラウザーのエクスプロイトって

ブラウザーがだいぶ進化していて

サンドボックスとかついているから

単純なエクスプロイト一発撃っただけじゃ

乗っ取れないんだけど

それプラス権限掌握のOSのエクスプロイトとか

組み合わせて

合わせ技で

ターゲットを乗っ取ると

よくこれは使われる上等手段だよね

今回もおそらくそういうのが使われたでしょうと

で

なんでこの調査にマイクロソフトが

入っているかというと

実はこの攻撃者が使った

OSのWindowsのエクスプロイトが

実は2つ使っているんだけど

これが両方とも

ローカル権限掌握の

ゼロデイ脆弱性で

今週のパッチキューズで

修正されたばっかり

が

使われてましたと

ということで

それでそういうのがあって

シズンラボはどうもヨーロッパの方の

被害者から情報提供を受けて

PCを提供してもらって

そこから

カンデルが使っている

スパイウェアを見つけたらしいんだけど

その情報をマイクロソフトにそのまま提供して

調べてもらったと

そういう協力関係みたい

マイクロソフトは結構詳しく

スパイウェアの

デビルズタウンという名前をつけているけど

そのスパイウェアの詳しい

動きとかどういう機能があるか

とかっていうのも書いてて

面白いのはよくある

マルウェアだと

ファイルを見たりとか

レジストリ見たりコマンド実行するとか

あと

ブラウザの履歴を見るとか

保存されたクッキー情報とか

クレデンシャルを取得しますとか

この辺はよくある

トリックボットみたいなのも

当然さっきの話あるし

あるんだけどちょっと変わっているのは

シグナル

スマホとかでよく使われる

我らがシグナル

あれのメッセージを

暗号化を

複合して

メッセージを取得するという機能がついているらしくて

協力ですね

ちょっとこの辺が面白いなというか

変わったところでいうと

クッキーとかを使って

被害者が使っている

SNS

例えばFacebookだとかTwitterとか

そういうアカウントを

そのまま乗っ取るというか

なりすまして

その感染したPCから

あたかも本人の代わりに

なりすましてメッセージを送ったりする

そういう機能もこのマルウェアは持っているらしくて

48:01

こういうのを見ると

単に情報を取るというか

それを使って

他にも活動を広げていこうとか

仲間を一網打尽にしよう

的なやつとか

そういうのが

明確にするなというか

そういう機能を持った

マルウェアが

世界中で見つかりました

ということですね

踏み台にしよう

そういうことですね

ある人

捕まえたというか

感染したら

協力者とか支援者とか

そういう人たちに

例えば同じようなメッセージを送って

そいつらもみんな感染させるとか

そういうことができそうだよね

感染した端末から

SMSを送るという

犯罪がありますけど

それの強力なバージョンですよね

もっと人の繋がりを

使っている

そういう感じ

スター

メッセージを送信

セキュリティのアレ

スター

コメント

こちらもおすすめ