「*[インシデントまとめ]」の検索結果を表示しています
2018-04-05 02:33

前橋市教育委員会への不正アクセスについてまとめてみた

2018年4月4日前橋市教育委員会前橋市教育情報ネットワーク(MENET)が不正アクセスを受け、校務用サーバーから児童生徒の個人情報等が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。

公式発表

インシデントタイムライン

日時出来事
2017年8月中旬から公開サーバーに対し3000回以上の不正アクセスが発生。
2018年3月6日何者かが校務用サーバー不正アクセス
2018年3月16日前橋市教育委員会職員不正アクセス痕跡を覚知。
2018年3月28日前橋市教育委員会不正アクセスが確認され調査中と発表。
2018年3月30日委託先の調査会社より情報漏えいの可能性があると前橋市教育委員会へ報告。
2018年4月4日前橋市教育委員会不正アクセスによる情報漏えいがあったと記者会見し発表。
2018年4月12日前橋市市長が定例記者会見で情報漏えいの可能性について陳謝。
2018年4月16日第三者調査委員会第1回目会合が開催。

被害状況

概要を整理すると次の通り。

f:id:Kango:20180405032747p:image

被害の詳細
対象件数漏えいした恐れのある項目
平成29年11月時点で前橋市立小中特別支援学校在籍の
児童・生徒の個人情報
25,725件・学年
・組
・出席番号
・氏名
・性別
・生年月日
国籍
・住所
電話番号
・保護者氏名
アレルギー
・既往症
平成29年2月〜7月の間に前橋市立公立学校(園)で給食喫食していた
園児児童生徒及び教職員の口座情報
19,932件・銀行名
・支店名
・口座番号
・名義人氏名
過去8か月間での不正アクセス被害

発端

不正アクセスの手口

原因

対応

第三者調査委員会

次のメンバーより構成される。*13

小暮俊子氏弁護士調査委員会 委員長
横山重俊氏群馬大総合情報メディアセンター教授
青嶋信仁氏株式会社DIT セキュリティサービス事業部 事業部長

(参考)MENET関連情報

職員ネットワーク主に業務(校務)での利用を目的としたネットワークで,利用者は教職員のみとする。各学校園で,校長室,職員室,保健室,事務室等に敷設された有線ネットワーク
児童生徒系ネットワーク主に授業での利用を目的としたネットワークで,利用者は児童生徒及び教職員とする。教室,特別教室,体育館等に敷設された有線及び無線ネットワーク。尚,災害時の避難場所として学校を提供する場合は,一時的に地域住民も利用することができる。
データセンター校務系サーバー、授業系サーバー、認証・管理系サーバーなど設置。インターネットにも接続。

新聞報道

新聞社日付見出し
読売新聞2018年4月5日朝刊児童ら2万5000人情報流出 前橋 市教委に不正アクセス
朝日新聞2018年4月5日朝刊小中学生2.5万人 個人情報流出前橋 不正アクセス
毎日新聞2018年4月5日朝刊児童生徒2万人 個人情報流出前橋不正アクセス
東京新聞2018年4月5日朝刊児童個人情報流出前橋市教委 小中学校2万5000人分
日本経済新聞2018年4月5日朝刊個人情報4万件流出か前橋市教委
産経新聞2018年4月5日朝刊児童・生徒情報 4.5万件流出か 前橋市教委、サーバー更新怠る

更新履歴

*1前橋市教委サーバー 不正アクセスは8か月間に3000回以上,NHK,2018年4月6日アクセス

*2不正アクセス 3000件 昨年8月、前橋市教委に /群馬,毎日新聞年4月8日アクセス

*3前橋市教委のネットワークに /群馬,毎日新聞,2018年4月5日アクセス

*4前橋市教委 不正アクセス 2万人超の個人情報流出,毎日新聞,2018年4月5日アクセス

*5不正アクセス 小中学生の個人情報流出か(群馬県),NNN,2018年4月5日アクセス

*6前橋市教委サーバー 昨夏、外部から3000回超攻撃 先月、情報流出か,産経ニュース,4月6日アクセス

*7個人情報4万5千件流出か 前橋市教委、児童名など ,日本経済新聞,2018年4月5日アクセス

*8前橋市の個人情報流出問題 内部規則、十分順守せず,東京新聞,2018年4月10日アクセス

*9小中学生ら個人情報流出か=2万5000人分−前橋市教委,時事通信,2018年4月5日アクセス

*10前橋市教委サーバー不正アクセス ずさんな情報管理浮き彫り,産経ニュース,2018年4月5日アクセス

*11前橋市の情報流出問題 山本市長が会見で陳謝「大変な不安与えた」,東京新聞,2018年4月13日アクセス

*12個人情報流出で第三者委 初会合で委員委嘱 前橋市教委,上毛新聞,2018年4月17日アクセス

*13不正アクセス問題 前橋市教委、第三者委議事録作成せず 「丸投げいいのか」指摘も /群馬,毎日新聞,2018年4月17日アクセス

*14: [PDF] MENETにおいて扱う情報の保護に関する規則

2018-03-29 01:14

ルーターの設定情報改ざんについてまとめてみた

2018年2月末頃から何者かによるルーター内の設定情報が書き換えられる被害が報告されています。改ざんによりインターネットへ接続できなくなったり、マルウェア配布サイトへ誘導されたりする事象が発生し、日本国内でも3月半ばぐらいから同様の事象が報告があがっています。

ここでは関連情報をまとめます。

確認されている被害事象

(1) ルーターの設定情報が改ざんされる
(2) マルウェア配布サイトへ誘導される
確認時期表示されるメッセージの例ダウンロードされるファイル名
2018年3月半ばFacebook拡張ツールバッグを取付て安全性及び使用流暢性を向上します。facebook.apk
2018年3月下旬閲覧効果を良く体験するために、最新chromeバージョンへ更新してください。chrome.apk

改ざん被害が報告されているルーター

Logitecルーター対象機種(報告が上がっているもの)
Buffaloルーター対象機種(報告が上がっているもの)
NTT東日本NTT西日本ルーター対象機種
Kasperskyの観測情報

改ざんされる原因

(1)本機器をインターネット接続用途で利用している場合。

(2)インターネット接続設定でセキュリティ設定を無効にして利用している場合。

(3)機器設定用ログインパスワードを初期値より変更していない場合。

ロジテックルーターをお使いのお客様で本事象が発生している場合は、ご利用機器の設定を変更いただくことで解消いたします。

設定の変更方法については、下記の窓口にお問い合わせください。

改ざん被害を受けた場合

報告事例・報道など(関連が疑われるもの含む)

韓国
日本

新聞報道

新聞社日付見出し
朝日新聞2018年3月27日朝刊ルーターサイバー攻撃NTT法人向け機器
読売新聞2018年3月31日夕刊ルーター設定 無断変更 被害相次ぐ スマホ情報抜き取り
朝日新聞2018年4月6日朝刊ルーター被害 NTT以外も サイバー攻撃 PC・スマホ接続不可に
日本経済新聞2018年4月6日夕刊サイバー攻撃 ルーター狙う 個人情報盗む目的か

更新履歴

*1https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11187751811

*2ルーターにサイバー攻撃[TT以外も ネット使えず,朝日新聞,2018年4月6日アクセス

*3https://twitter.com/mikenekoyuzu/status/976593490489430017

*4http://blog.maxx.co.jp/?eid=362

*5https://productforums.google.com/forum/#!msg/chrome-ja/coU655lLpRA/RYCCYYMJCQAJ

2018-03-27 03:52

マイネットへの不正アクセスについてまとめてみた

2018年3月1日頃、マイネットグループの株式会社マイティゲームスのサーバーに対し不正アクセスが行われ、運営する複数のゲームサービスでシステム障害が発生しました。

ここでは関連情報をまとめます。

公式発表

(公式発表の一部は更新が適宜行われているため、最初に公開された日付を記載しています。)

インシデントタイムライン

日付出来事
2018年3月1日 11時頃何者かがマイネットの内部ネットワーク侵入し、サーバー不正アクセス
サーバー上のデータ削除スクリプトを実行。(1回目の不正アクセス
〃 11時40分マイネットシステム部門の担当者がサーバーから発出されたアラートを検知。
また同タイミングにて複数サービスにてシステム障害の発生を確認。
〃 12時頃マイネットのゲームサービス13個でシステム障害が発生。
〃 13時00分頃影響が確認されたサービスを緊急メンテナンスへ順次移行を開始。
〃 13時10分頃障害発生が確認されたサーバーが稼動している都内データセンターで調査を開始
〃 14時00分頃都内データセンター内のサーバーで異常が無いことを確認。
〃 19時00分頃不正アクセスに利用されたと見られるサーバーの特権IDでサーバーのデータを削除するスクリプトを発見。
サーバーログインパスワードの変更を実施。
〃 19時30分頃サービス影響が確認されていないタイトルから順次再開
2018年3月2日 1時頃までマイネットが影響が出たタイトル7つを再開。
〃 3時30分頃までマイネットが影響が出たタイトル2つを再開。(合計9個が再開。)
2018年3月3日 0時頃マイネットが影響が出た残りのタイトルを再開。(合計12個が再開。)
〃 17時30分頃何者かがVPN経由でマイネットのサーバー不正アクセス。データ削除コマンドを実行。(2回目の不正アクセス)
〃 17時40分頃マイネットのサービス担当者がサーバーデータベースが消失していることを確認。
〃 19時頃マイネットが複数のサービスにて不具合の発生を確認。
〃 同じ頃調査の結果、同一IPアドレスから複数アカウントVPN へのアクセスおよびサーバーへのログインが確認された。
対象のVPNアカウント及びVPN自体を全て停止。
〃 19時30分頃マイネットが当該事案が不正アクセスの可能性が高いと判断。
不正アクセスされたサーバーと類似環境にて運営中のサービス停止を決定。
〃 同じ頃緊急対策チームの組成を実施。初動対応に着手。
2018年3月4日 1時頃マイネットが3日18時頃から複数タイトルで障害が発生していると発表。
〃 21時45分マイネットが警察へ通報。
2018年3月7日以降マイネットがサービスの再開作業を開始。
2018年3月15日 15時00分頃マイネットがサービス3つを再開。
2018年3月16日 12時30分頃マイネットがサービス1つを再開。(合計4個が再開。)
2018年3月19日 12時00分頃マイネットがサービス2つを再開。(合計6個が再開。)
2018年3月19日 15時00分頃マイネットがサービス1つを再開。(合計7個が再開。)
2018年3月20日 17時00分頃マイネットがサービス2つを再開。(合計9個が再開。)
2018年3月20日 19時00分頃マイネットがサービス2つを再開。(合計11個が再開。)
2018年3月22日 12時00分頃マイネットがサービス1つを再開。(合計12個が再開。)
2018年3月22日 15時00分頃マイネットがサービス1つを再開。(合計13個が再開。)
2018年3月26日マイネットが同社サービスへの不正アクセス中間調査報告書を公開。
2018年4月17日マイネットが最新の障害対応状況を報告。
2018年4月18日マイネットが最新の障害対応状況を報告。

被害の状況

不正アクセスの概要

f:id:Kango:20180327034512p:image

システム障害が発生したサービス
Noタイトル名稼働環境稼働状況
1天下統一オンラインMobage3月15日15時頃再開
2GREE3月15日15時頃再開
3dゲーム3月22日15時頃再開
4タイトル(タイトル名非公開)<海外地域>不明3月15日15時頃再開
5〃 <国内地域>不明3月23日16時時点で停止中
6熱血硬派くにおバトルMobage3月16日12時30分頃再開
7HUNTER×HUNTER バトルコレクション<ForGroove 提供>Mobage3月19日12時頃再開
8Ameba3月23日16時時点で停止中
9dゲーム3月23日16時時点で停止中
10HUNTER×HUNTER アドバンスコレクション<ForGroove 提供>Yahoo!モバゲー3月19日12時頃再開
11HUNTER×HUNTER トリプルスターコレクション<ForGroove 提供>GREE3月22日12時頃再開
12究極×進化!戦国ブレイクYahoo!モバゲー3月19日15時頃再開
13ラグナブレイク・サーガYahoo!モバゲー3月20日17時頃再開
14DMM GAMES3月20日17時頃再開
15アヴァロン ΩAndroid3月20日19時頃再開
16iOS3月20日19時頃再開
17アヴァロンの騎士dゲーム3月23日16時時点で停止中
18GREE3月23日16時時点で停止中
19Mobage3月23日16時時点で停止中
20神魔×継承!ラグナブレイクAmeba3月23日16時時点で停止中
21dゲーム3月23日16時時点で停止中
22GREE3月23日16時時点で停止中
23mixi3月23日16時時点で停止中
24Mobage4月17日15時頃再開
25ファイナルファンタジー グランドマスターズスクウェア・エニックス提供>Android3月23日16時時点で停止中
26iOS3月23日16時時点で停止中
27ミリオンアーサー エクスタシスdゲーム4月18日15時頃再開
28GREE4月18日15時頃再開
29Mobage4月18日15時頃再開
30コロプラ4月18日15時頃再開
マイネットのサービス再開基準
その他関連する情報

マイネットのサーバー不正アクセスを受けた原因

窃取されたとみられるクレデンシャル盗んだ方法
ビジネスチャットツール(5アカウント)中間報告の段階では判明せず
VPNアカウント運用担当者間でビジネスチャット上でID、PWのやり取りが行われていた。
これが盗み見られた可能性がある。*1
グループウェアアカウント中間報告の段階では判明せず
グループ内のActive Directory中間報告の段階では判明せず
不正アクセスで確認された行為

何者かが行った不正アクセス行為は以下の通り。

2018年3月1日特権IDを用いてデータを削除するスクリプトを実行。
2018年3月3日データ削除コマンドを実行。

マイネットが行った対処内容

初動対応原因の調査
ユーザーのゲームデータの保全
開発環境の復旧
サービス再開に必要なセキュリティ対策の実施
他タイトルへの影響調査
復旧対応サービス再開に必要なセキュリティ対策
データ保全方法の強化
サーバーの復旧
一部データの復元
など
再発防止抜本的な情報セキュリティ強化対策を取るプロジェクトの立ち上げ
外部の専門アドバイザー等の再発防止への取り組み
追加で調査必要と判断した場合は、第三者による調査等の検討

更新履歴

*1「チャットから管理者IDが漏洩」、マイネットがスマホゲーム障害で公表,日経XTECH,2018年3月27日アクセス

2018-03-04 01:19

平昌五輪のサイバー関連の出来事をまとめてみた

2018年冬季オリンピック(平昌大会)に関連するサイバー空間上で起きた出来事をまとめます。

1.平昌大会に関連する不審な文書ファイル付きメール/Gold Dragon

(1) McAfeeが報告した不審メール
時期件名送信先送信先送信元FROM実際の送信元
2017年12月22日위험 경보 (전국야생조류 분변 고병원성 AI(H5N6형) 검출).docxHTAファイル埋め込み情報なし情報なし情報なし
2017年12月28日농식품부, 평창 동계올림픽 대비 축산악취 방지대책 관련기관 회의 개최.docマクロ埋め込みyj.kim@pyeongchang2018.com
ticketeting@pongchang2018.com
yeongseong.choi@pyeongchang2018.com
sanghee.cho@pyeongchang2018.com
icehockey@pyeongchang2018.com
info@nctc.go.krospf1-apac-sg.stickyadstv.com
43.249.39.152(シンガポール)
c388b693d10e2b84af52ab2c29eb9328e47c3c16
(2) 警察庁が報告した不審メール
時期件名件名送信先送信元FROM実際の送信元
2018年2月6日협박전화테러 예방.doc협박전화테러 예방sungwon.kim@kt.cominfo.kr@nctc.go.kr (表示:경찰청)情報なし
(3) Hauriが報告した不審メール
(4) Gold Dragon

2.Adobe Flash Palyer 0day

(1) KrCERT
(2) Adobe のセキュリティ情報
(3) セキュリティベンダの分析情報
(4) 攻撃の流れ概要
fec71b8479f3a416fa58580ae76a8c731c2294c24663c601a1267e0e5c2678a0
3b1395f620e428c5f68c6497a2338da0c4f749feb64e8f12e4c5b1288cc57a1c
hxxp://www.1588-2040[.]co.kr/conf/product_old.jpg
hxxp://www.1588-2040[.]co.kr/design/m/images/image/image.php
hxxp://www.korea-tax[.]info/main/local.php
hxxp://www.dylboiler[.]co.kr/admincenter/files/board/4/manager.php
(5) APT37が悪用した脆弱性

3.平昌五輪のイベントプログラムを偽装したマルウェア

OlympicGame.exe:d1ae2012fdbdbe9d8246d23f2fe4efa6865689d44cb7c7d7664366b2934f7e14

4.チケットに関連する事象

(1) 平昌五輪に乗じた詐欺行為
(2) チケット転売サイトのダフ行為

5.ロシアが平昌大会へのサイバー攻撃を行うとの疑念

(1) Fancy Bears'HTの動向

以下はリーク先に示されたページの表題

(2) ThreatConnectが発見したなりすましドメイン
インシデントNo
(疑わしいドメイン等)
詳細
Incident 20180122A: Berlinger Group Spoofed Domains
berlingergroup.com
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
89.33.246.121の専用サーバでホストされている。
vahmudzoltev@mail.comを利用して登録されており、同じアドレスで「berlinqer.com」が登録されている。
「berlinqer.com」は「91.205.149.202」でホストされている。これは正当なドメインのホスト先と同じ。
ただしmail.berlinqer.comは、berlingergroup.comをホストする同じ89.33.246.121が示されている。
berlinger.cloudは同じvahmudzoltev@protonmail.comを利用して登録されている。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180119A: UKAD Spoofed Domain
login-ukad.org.uk
英国アンチドーピング機関のドメインに類似。
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
ホストされたIPは「185.189.112.191」である。
米国のアンチドーピング機関の偽装ドメインがホストされていたIPアドレスと同じブロックである。
SOAはluciyvarn@protonmail.comが登録されている。
同じメールアドレスで他にもukad.cloudが登録されている。
adfs-ukad.org.ukはlogin-ukad.org.ukと同じ組織名「Zender inc、同じアドレスの文字列「Vapaudenkatu 57」が利用されていた。
このドメインが攻撃に利用されていたことは示していない。
Incident 20180110B: Olympic Council of Asia Spoofed Domain
ocaia.org]
12月25日にTHCServersで登録された。
このサービスは過去に使用されたものと同じである。
アジアのオリンピック評議会「ocasia.org」のドメインに類似。
このドメインにホストされたIP「193.29.187.143」はほかに6つのドメインを共存している。
FancyBearは専用サーバーを用いることが多いが、登録時期と内容から精査する価値がある。
Incident 20180103C: Domains Registered by wadison@tuta.io
networksolutions.pw
23.227.207.182
過去の攻撃で利用されたレジストラDomains4Bitcoinsを通じて登録されたドメイン
専用サーバーの登録は過去にWADAの偽装ドメインの登録に使用されたメールアドレス「wadison@tuta.io」が使われている。
このドメインは現在利用されていない。
同じ電話番号で登録されたドメイン「spiderclix.com」、アドレス「spider.worker163@yandex.com」を確認したが不確実性がありより低い脅威評価を行っている。
Incident 20180103B: USADA Spoofed Domains
webmail-usada.org
米国のアンチドーピング機関 USADAのなりすまし偽装の疑念があるドメイン
185.189.112.242がホストされていた。
ドメインのSOAレコードとしてjeryfisk@tuta.ioが使用されていた。
別のUSADAをなりすます「usada.eu」にも使用されていたメールアドレスであった。
このドメインは運用に使用されていると評価はしていない。また必ずしもFancyBearに帰属しているものでもない。
(3) ワシントンポストの報道
(4) ロシア外務省の声明

6.米国関連組織の動き

(1) 平昌大会観光客へUS-CERTの注意喚起
(2) NCFTAのサイバーセキュリティ上の脅威に関する言及

7.開会式中のシステム障害/Olympic Destroyer

以下にまとめている。

8.炎上・誹謗中傷

(1) 平昌五輪公式サイトで日本列島の表記消滅
(2) ナ・ギョンウォン議員平昌オリンピック委員職を罷免
(3) 国際放送センターのカフェテリア食事写真炎上
(4) 韓国鉄道公社(KORAIL)への不満多数
(5) NBC解説者の開会式発言炎上

(6) 五輪参加選手への誹謗中傷
誹謗中傷を受けた選手概要
김보름選手(韓国)スピードスケートパシュート女子準々決勝
同試合ゴールで同選手は一緒に出場した他2選手を大きく引き離しゴール。
準決勝進出を逃した19日のパシュート試合後、仲間の遅れが原因ともとれる発言をした。
SNSに中傷が殺到し、非公開となった。
大統領府のホームページで国家代表資格の剥奪を求める請願に35万人以上が賛同を示した。
翌20日の記者会見で涙ながらに謝罪した。
Kim Boutin選手(カナダ)スピードスケート ショートトラック女子
500メートル決勝で同選手を押したとして韓国のチェ・ミンジョン選手が失格
Facebookなどに「殺してやる」との殺害予告等中傷する投稿が1万件確認された。*19
カナダ当局が選手保護に乗り出したとの報道
韓国当局も捜査を行い、繰り返し投稿している1名を聴取すると報道*20
ブタン選手のSNSには「ブタンも崔選手を押した」「反則でメダルを取った。恥を知れ」との韓国語や英語の非難が殺到、コメントは1万件を超えた
COCはこの事案についての声明を発表。
COC statement regarding Kim Boutin
최민정選手(韓国)スピードスケート ショートトラック女子3000mリレー決勝
2位でゴールした中国代表チームが失格
3週を残してアウトからインコースに入ってこようとしその際に韓国選手に反則行為をしたため。
中国代表は自国のインタビューに試合結果を受け入れるのは難しいとコメント
失格を通じ韓国の選手のSNS(Instagram)に中国語で書かれた悪質な書き込みが殺到
韓国がどれほど卑劣か分かった」「韓国中国の属国だ」等。*21
Jan Blokhuijsen選手(オランダ)スピードスケート 男子パシュート。
競技後の記者会見で「Please treat dogs better in this country」と発言。*22
当初中央日報電子版が「犬を食用にしないでください」と誤訳した。*23
犬肉食用文化を批判するものとして炎上。
メディアFacebookページに発言に対する批判の書き込みが複数。
同選手はTwitterで謝罪コメントを掲載したがその後そのツイートは削除された。*24

9.平昌オリンピックに関係する数字

数字内容
20万ウォン〜200万ウォン平昌大会に関連する詐欺事件の被害金額。
16件「平昌」、「オリンピック」で検索された結果2月11日報道時点で確認されたチケットの詐欺件数
25サイト監視が行われていたWebサイトの数。公式サイト、チケット購入、聖火リレー等。
2万7000件2月14日にシステムに対して行われた攻撃を検出した件数
4500件2月18日にシステムに対して行われた攻撃を検出した件数

10.平昌大会中のサイバーセキュリティ対策・体制

(1) 情報保護委員
(2) 技術分科委員
(3) サイバーガーディアンズ
名前主な業績
シムジュンボ(심준보이사)代表(ハッカー連合HARU)ハッキングコミュニティ連合会長として活動中
ギムジングク(김진국 대표)代表(プレーンビット)デジタルフォレンジック分野専門家
イ・ジョンホ(심준보이사)研究員(ラオンセキュア)DEFCON、SECCONなど多数のサイバーセキュリティの国際大会で1位を収めた
河東州(최상명)最高技術責任者(NSHC)DEFCON出場4回の実績
ムンジョンヒョン(심준보이사)部長(イーストソフト)民・軍・警察のサイバー侵害事故防止の専門家
チェサンミョン(최상명 실장)室長(ハウリ)3.20サイバーテロを初めて認知。IssueMakersLabリーダー
ギムギョンゴン(김경곤)教授(高麗大)セキュリティコンサルティングとセキュリティ診断の専門家
(4) Ahnlab
(5) サイバーセキュリティに係る予算
(6) オリンピックCERT
参加組織役割
青瓦台国家安保室 サイバー安保秘書官室CERTの主導を担う。
国家情報院 国家サイバー安全センター 
文化体育観光部 サイバー安全センター 
科学技術情報通信部 インターネット侵害対応本部利用者情報保護のヒントを配布する等して適切な情報保護措置を取るように要請。
韓国インターネット振興院(KISA)DDoS攻撃のモニタリング、サイバー攻撃兆候の24時間体制での監視。(5名)
警察庁 サイバー安全局KISAと連携し、脅威の拡散行為などの遮断措置を担当。
国防省 サイバー司令部五輪関連ホームページの運営を支援。(4人(五輪)、3人(パラ))
AhnlabPCなどのエンドポイントセキュリティを担当
IGLOO SECURTIY侵害への対応、セキュリティコンサルティングの提供。
サイバーガーディアンズ国内最高の民間セキュリティ技術の専門家らで構成。公式サイトの脆弱性検査を行う。
AtoS開発、及びセキュリティ監視
KTデータセンターの運用、セキュリティ監視
双竜情報通信開発・個人情報保護
アカマイ主要な五輪のサービスの保護
(7) 脆弱性分析チーム
(8) 科学技術情報通信部
ヒント主な内容
知らない人からの電子メール、ファイルは開いて見ていない・メールを送信した送信者(送信者)の名前とメールアドレスは、もう一度確認
・知らない人からのイベント当選文字、宅配便米受領文字などに含まれているリンクは、添付ファイルなどは、ダウンロードして実行していないことが最善
・添付ファイルをダウンロード受けたり関連リンクをクリックした場合には、必ずワクチンで検査して悪性コードの有無を確認し、必要な信頼できないWebサイトは、訪問していない.
P2P、トレントなどのセキュリティが脆弱なファイル共有サイトは訪問を自制・共有サイト訪問が避けられない場合には、必ず対策プログラムの最新の更新プログラムと有効
公式マーケットからアプリダウンロードする・公式マーケット(アプリストア、Googleのプレイストア)とキャリアマーケット(ウォンストア)内の認証されたエプマン使用
・ワクチンプログラムをインストールしてウイルススキャンする
・使用するPCとスマートフォンでは、ワクチンプログラムのインストール
・定期的なワクチンプログラムの更新や検査などの安全なPCとスマートフォンを維持
オペレーティングシステムおよびソフトウェアは、自動更新の設定・利用者が使用しているオペレーティングシステムとソフトウェアは、新規セキュリティパッチが自動的に更新されるように設定する必要
・メーカーが定期的にセキュリティ更新プログラムをサポートしている本物のプログラムの使用をお勧めし重要データは、別の記憶媒体に保存
・ランサムウェアなどの被害を最小化するために重要なデータは必ず別に分離された媒体(USB、外付けハードなど)にバックアップして管理
PC内の共有フォルダは、外部からの不正なアクセスが可能なので、使用を控える・共有フォルダを使用する場合には、アルファベット、数字、特殊文字などの3つのタイプを使用して、ハッカーが類推しにくいパスワードを作成して使用
パスワードを設定して定期的に変更する・利用者が使用するパスワードは、他人が類推しやすい名前、誕生日、電話番号などの個人情報と関連した内容は、使用禁止
・周期的なパスワードの変更にハッキング、個人情報の流出などの利用者被害予防

更新履歴

*1http://www.dailysecu.com/?mod=news&act=articleView&idxno=29636

*2http://news.joins.com/article/22350751

*3https://vpoint.jp/world/korea/107607.html

*4http://biz.heraldcorp.com/view.php?ud=20180210000038

*5https://www.nikkansports.com/olympic/pyeongchang2018/general/news/201802210000804.html

*6http://news.joins.com/article/22339291

*7https://www.reuters.com/article/us-olympics-2018-cyber/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036

*8http://www.etnews.com/20180131000459?SNS=00002

*9http://www.sankei.com/politics/news/170927/plt1709270046-n1.html

*10http://www.sankei.com/life/news/170927/lif1709270036-n1.html

*11http://www.vop.co.kr/A00001245760.html

*12http://mnews.joins.com/article/22309070#home

*13https://www.dispatch.co.kr/1121120

*14http://www.nocutnews.co.kr/news/4919029

*15http://news.nate.com/view/20180210n11312?mid=n1007

*16http://japanese.yonhapnews.co.kr/enter/2018/02/11/1001000000AJP20180211000900882.HTML

*17https://jp.reuters.com/article/olykorea-idJPKBN1FW06C

*18http://biz-journal.jp/2018/02/post_22362.html

*19http://www.sankei.com/pyeongchang2018/news/180215/pye1802150029-n1.html

*20http://www.sportalkorea.com/general/view.php?gisa_uniq=201802151808776261&key=&field=&section_code=D1000

*21http://news.donga.com/Top/3/05/20180221/88767920/2

*22http://japanese.joins.com/article/921/238921.html

*23http://www.sankei.com/pyeongchang2018/news/180222/pye1802220052-n1.html

*24https://www.newsweekjapan.jp/stories/world/2018/02/post-9591.php

*25https://www.sportsbusinessdaily.com/Daily/Issues/2018/02/20/On-The-Ground/Cyber-attacks.aspx

*26http://www.etnews.com/20160817000138?SNS=00002

*27https://www.newsweekjapan.jp/stories/world/2017/09/80-7.php

*28http://news.inews24.com/php/news_view.php?g_serial=1072573&g_menu=020200

*29http://news.donga.com/3/01/20180121/88291861/1?

*30http://www.yonhapnews.co.kr/bulletin/2018/02/07/0200000000AKR20180207086100017.HTML

2018-03-02 06:20

memcached を悪用したDDoS攻撃についてまとめてみた

2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedでデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け取っています。」と攻撃への悪用についても報告しています。ここでは関連情報をまとめます。

タイムライン

日時出来事
2018年2月21日頃JPCERT/CCが11211/udpへのアクセス増加を確認。
同日頃からmemcachedを用いたとみられるDoS攻撃が観測。
2018年2月28日JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。
2018年3月1日 2時21分頃Githubを対象にしたピーク時 1.35Tbps規模のDDoS攻撃が発生。(1回目)
同日 3時頃Githubを対象にしたピーク時 400Gbps規模のDDoS攻撃が発生。(2回目)
2018年3月5日ArborNetworksがピーク時 1.7Tbps規模の攻撃を観測したと報告。

memcachedを悪用したDoS攻撃

memcachedを利用している場合

第三者がアクセス可能な状態で公開されている場合
Nmapを使った確認方法
$ nmap TARGET -p 11211 -sU -sS --script memcached-info

注意喚起等

攻撃観測

(1) DDoS Monでの観測状況

f:id:Kango:20180302061852p:image

(2) セキュリティベンダが観測したピークの攻撃規模
報告したセキュリティベンダ観測したDoS攻撃のピーク時最大規模
Akamai190 Gbps超
CLOUDFLARE257 Gbps
LINK11460 Gbps
IMPPERVA190 Gbps
Qrator Labs480 Gbps
Alibaba Cloud578.6 Gbps
(3) 国内の事例

ホスティングサービスを利用しているユーザーが踏み台とされたと報告している。

IIJの観測レポート

JPCERT/CCからの注意喚起にも記載されている、2月21日頃から件数が増加していることが確認出来ており、本攻撃に利用可能なホストを探索しているものと考えられます。

(4) GithubへのDDoS攻撃

観測されたDDoS攻撃の状況

発生日時ピーク時の攻撃規模サービス影響
2018年3月1日 2時21分頃から発生約1.35Tbps(毎秒126.9百万パケット)約6分程度のサービス障害
2018年3月1日 3時頃から発生約400Gbps無し
日時Githubの対応
2018年3月1日 2時21分頃Github.comで障害検知。
Githubの施設の1つで使用されるインバウンドの帯域幅が100Gbpsを超過したことからアカマイへのトラフィック移動を決定。
2時26分頃ChatOpsツールを用いてBGPアナウンスメントの取り消し、及びアカマイ経由とするコマンドを実行。
2時30分頃サービスの障害が回復。
2時34分頃Internet exchangeへのルートはフォローアップとして引き継ぎ。
(5) RansomDoSの動き

(6) Arbor Networksが1.7 Tbps規模の攻撃を観測

Today, NETSCOUT Arbor can confirm a 1.7Tbps reflection/amplification attack targeted at a customer of a U.S. based Service Provider has been recorded by our ATLAS global traffic and DDoS threat data system.

セキュリティベンダの観測情報等

その他の関連記事/情報

更新履歴

*1memcached悪用のDDoS攻撃で1.7Tbpsを確認、米アーバーネット,日経xtech,2018年3月7日アクセス

Kango
Kango

piyokangoの日記。備忘録。