2019年2月23〜24日のtwitterセキュリティクラスタ

Magentoを使用したオンラインショッピングサイトで、新たな手法でスキミングスクリプトが挿入されるという被害が拡大しているようです。

今回の悪性スクリプトのパスは以下の通り。

googletagmanager[.]eu/gtm.js
185.193.125.108 AS37560 Cyberdyne S.A.

(続く)
twitter.com/gwillem/status…

(続き)
urlscan.io で googletagmanager[.]eu を検索すると、ザット500件程度の検索結果が出てきます。
urlscan.io/search/#google…
(続く) pic.twitter.com/ItN4NlwzxF

(続き)
一連の攻撃では、AdminerというPHPのDB管理ツールが悪用されています。
犯行グループは、被害者のサイトに設置されたAdminerに接続し、自身が用意した外部のMySQLにログインします。
(続く)

(続き)
そして以下のツイートで言及した仕様により、オンラインサイトのローカルあるlocal.xmlファイルを外部のMySQLに送信します。
このlocal.xmlファイルには、オンラインサイトのDBの認証情報が記載されています。
(続く)
twitter.com/tiketiketikeke…

(続き)
DBの認証情報を入手した攻撃者は、Adminerから不正なクエリを挿入します。
具体的には、新規のオーダーをトリガとして、フッタ部のコンテンツに不正な外部スクリプトを仕込むというものです。
magento.stackexchange.com/questions/2630…
(終わり) pic.twitter.com/L1zi5597d6

#DevelopersIO 「[初心者向け]AWS環境のセキュリティ運用(設計)をはじめてみよう」JAWS DAYS 2019登壇資料 #jawsdays #jawsug #jd2019_a #secjaws ift.tt/2Eg39WP

JAWS DAYS 2019の登壇資料を公開いたしました!
PenTesterが知っている危ないAWS環境の共通点 ~攻撃者視点よりお届けする狙われやすいAWSの穴~
slideshare.net/zaki4649/pente…
#jawsdays #jd2019_h

濱せっくのLTのスライドをアップロードしました。「高対話型ハニーポットに乗り込んで”厄災(リスク)”を攻略し”希望(リターン)”を持ち帰る話」です。
※コラ画像は怒られたら消します。。。
speakerdeck.com/graneed/gao-du…
#HamaSec

1/ダウンロード違法化拡大をめぐり、各所から民事・刑事共に「原作のまま」「著作権者の利益が不当に害される場合」と限定すべきとの提案が出ていますが、報道を見る限り、残念ながら取り入れられていません(馳議員は自民党部会にてこの点を指摘されています→ameblo.jp/hase-hiroshi/e… )(続く)

2/「被害が深刻な海賊版への対策に必要な範囲に限定されるべき」という観点から限定が必要となることについては、僕も賛同した中山先生ら呼びかけの緊急声明(kisc.meiji.ac.jp/~ip/_src/sc146…)でも触れられているほか、より詳細にはJILISの声明(jilis.org/proposal/data/…)で論じられています。(続く)

3/これに対し、「原作のまま」「著作権者の利益が不当に害される場合」との限定が未だに見送られている具体的な理由は不明ですが、審議会報告書ではいずれの点についても主に①抑止効果が限定されてしまうことや②音楽・映像のDL違法化と要件が揃わないこと等が「課題」とされています。(続く)

4/しかし、②については、そもそも音楽・映像DL違法化の要件の妥当性・正当性自体、海賊版対策の観点から客観的に検証されてしかるべきです(立件も0という現状)。それすら十分になされないまま短絡的に「音楽・映像と揃えろ」というのは、いささか乱暴な議論に思えます。(続く)

5/また、①抑止効果が限定されるとの理由については、そもそも大屋先生や深町先生が指摘されているように、使われない刑事罰であるにもかかわらずメッセージ効果にのみ期待すること自体、法への信頼を損なうものにほかなりません。権利者の利益の保護も当然重要で、適切なバランスが求められています。

6/またH30改正含め、既に導入済の「著作権者の利益が不当に害される場合」につき、DL違法化になると「解釈の幅がある抽象的な要件を設定することで法規範が不明確となり,特に順法意識の高い善良なユーザーが判断に迷う場合が多くなる可能性」が「課題」の筆頭として指摘されることにもやや違和感が。

Hacking Virtual Reality – Researchers demonstrate how hackers could have remotely exploited popular Bigscreen VR app to spy on your virtual world meetings and even compromise your computers completely.

[Exclusive Technical Details] thehackernews.com/2019/02/bigscr…

–by @unix_root pic.twitter.com/TCFcFcbtg9

「【お知らせ】 あなたのAppleIDアカウントはロックされています」の件名で、Appleを騙るフィッシングメール。
HTMLパートのリンクをクリックすると、受信者のメルアドを知らせることになるので要注意。
ダミーメルアドで試す限り、今は403でお断りでしたが、類似例にお気を付け下さい。 pic.twitter.com/zMqbGK5d69

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>