2017-12-08 セキュリティニュースまとめ
GPS がオフでもスマートフォンの場所を追跡可能: 実証実験アプリ PinMe とその手法
人はモニタに映ったものを信じる: ニセの評価で単なる「小屋」を TripAdvisor のトップレストランにしたてあげた男のニュースからセキュリティ研究家が導く教訓
- ある男性が大手旅行ガイドサイト TripAdvisor にニセの評価を登録し、ただの「小屋」をトップレストランのようにみせかけることに成功
- ニセのレストランであれば出向いたところでそれほどひどい被害にはならないがこれがたとえば「信頼のおける水道管修理」などを謳ったものなら被害者は自宅に窃盗犯を招き入れることになりかねない
- 現代の我々は「モニタに映るネット上の情報をなんでも信じる」行動をとりがちであることを証明した形
- 本物のトップレストランなら周囲の誰かしらが情報をもっているはず
- 古い意味でのネット以外の「友人」から評価を得るか「評価者」や「最後の顧客」にコンタクトして確認するなどの慎重さが必要に
2017 年度版 Cyber Intrusion Services Casebook (CrowdStrike): 侵害発覚までの日数が短縮、セキュリティ製品善戦、マルウェアのファイルレス化さらに進む、初期攻撃ベクターに変化
- CrowdStrike 社、「Cyber Intrusion Services Casebook 2017」で 100 件のインシデント対応について調査した結果を公表
- 企業がセキュリティ侵害を受けてからインシデント発生を認識するまでの日数は 1 年前と比較して 100 日以上から 86 日へとやや改善が見られた
- セキュリティ製品が健闘、ネットワーク可視化が進むがまだまだ 86 日では長過ぎるので今後の改善が必要
- インシデント同士を相関させるツールなどが多数利用できるようになり調査時間の短縮に貢献
- 外部からの連絡ではなく自分自身でインシデントを発見した件数も 11% 増加し改善が見られる
- 侵害から発見までの日数の中には 800 日から 1000 日というものもあるがそれらは「例外的な外れ値」
- ほとんどの攻撃がファイルレスで行われる
- 66% のケースで被害組織への侵入は正当な Windows サービスを悪用している
- 窃取した認証情報を利用、メモリ内でのコード実行、リモートデスクトッププロトコル (RDP) /WMI/PowerShell/ の利用、窃取した VPNの認証情報利用、など*1
- 66% のケースで被害組織への侵入は正当な Windows サービスを悪用している
- 初期攻撃ベクターにも変化が見られる、「偵察」の割合が低下:
- WannaCry や NotPetya のような自己拡散ワーム型のマルウェアが今後の対マルウェア局面を変える