2019年6月21日のtwitterセキュリティクラスタ

オリンピック当選メールを騙る件の続き

2020年東京オリンピックを想像させるドメインを使用した不審なサイトがありました。ご注意ください。

URL→hxxp://olympic-ch[.]tokyo
URL→hxxp://tokyo-olympic[.]top
IPアドレス→ 202.172.26[.]34

カウンターが置いてあるだけ、みたいですけど。。。 pic.twitter.com/aZa3DT6O7B

6月20日から東京オリンピック観戦チケット抽選結果の発表が開始されました。抽選結果発表をかたったニセメールに気を付けてください。メールで「当選おめでとう。手続きは以下のURLから行ってください。」等と書かれたものが送られてきたら、それは偽物です。
ハガキや電話での結果通知はありません。 pic.twitter.com/TODvrg9j7Q

東京オリンピックチケット当選メールに入っているビーコンらしき非表示画像。<img style=’display:none;’ height=”1″ width=”1″ border=”0″ src=”https(colon)//cmail1(dot)tickettk2020(dot)com/xxxxxxxxxx” /></body>

東京オリンピックのチケットが当選しました!ってメールが来た!めっちゃ嬉しかったし、凄くいい席が当たってた!めっちゃ嬉しい!バスケットボールに微塵も興味ないし!応募したのバドミントンのC席のチケットだし!詐欺乙!俺の勝ち、何で負けたか、明日までに考えておいてください。

「五輪チケット結果」の偽メール 個人情報が目的か t.asahi.com/w1i3

国主導でやってるオリンピックのメールは迷惑メールフォルダに入ってましたww
このメーラーはhotmailなのでMicrosoftはレジスタンス側? pic.twitter.com/ukd8L7BwxT

その他に気になったことはこのあたり。

このケース、Googleみたいに複数のScopeを指定して1つのAccess Tokenを発行するしかないと思っていたけど (Sender Constrained Tokenとして扱えば大丈夫??) 、複数Access Tokenを発行する方法も検討されていたんだ…
developers.google.com/oauthplaygroun… twitter.com/kazuki229_dev/…

@kg0r0 因みに、OpenID Connect はUser info Endpointから規格上は複数のAccess Tokens を吐ける。

@_nat すみません、複数のAccess Tokenがどのように吐かれるのかわからないです。
UserInfo Requestで複数のscopeを含むAccess Tokenを送信するとそこからscopeの異なる複数のAccess TokenがUserInfo Responseに含まれるのでしょうか?

@kg0r0 Distributed claims のところをご覧ください。

@_nat @kg0r0 レスポンスに属性を返す他のところのエンドポイントとそこにアクセスするためのアクセストークンを含み、クライアントはそっちに取りに行くやつですね。

そもそも、この話は複数トークンもらいたいモチベーションのところがはっきりすると既存の仕様内でいけるか詳しい人が教えてくれそうですね。

zdnet.com/article/ransom… zdnet.com/article/ransom… MSPを踏み台にしたMSP顧客への侵害シナリオは、APTレベルの標的型攻撃だけではなくサイバーギャングなどあらゆる攻撃者にとっても同じように使える戦術なんですよね

今回はランサムウェア被害のニュースなんですが、金銭目的で機密情報を窃取して公開されたくなければ身代金を払えと脅迫、それに応じないとダークウェブなどに公開… のパターンも実際に発生しており、かつその流出データを見るとMSP経由のこのベクターでやられていると思われるものが幾つかあります

MSPとMSP顧客の接続は、VPNなどの「信頼されたネットワーク区間」であることが多い (真正面から侵害するより手薄で侵害できる可能性が高い) ということもMSPを踏み台にしたMSP顧客侵害シナリオのポイントの一つですね

と書くとゼロトラストネットワークの推進派が勢いを増しそうですね

正直言うと自分も最初は「攻撃者がMSP側から顧客管理用の正規の資格情報/インターフェースを使いVPNの中を通って自分たちのネットワークにやってきて、機密情報を選別し逆のルートでMSP側に持ち帰る」といったような戦術は考えたこともありませんでした

数年前から menuPass (APT10) がやり始めた? と思われるこの戦術の詳しい内容はこちら twitter.com/0x009AD6_810/s… で以前ツイートしたかもしれません

パッチがリリースされたばかりの Firefox の 0day 脆弱性を悪用して、OSX.Netwire に感染させる攻撃。Coinbase 社の社員への攻撃が検知されているのと、このブログへの情報提供者も仮想通貨取引所の関係者だったらしい。C2 の一部は LAC 社のレポート記載のものと一致。

コロプラが告知した「850万円使って役職者が売上ランキングを不正操作した」件、現在の市場規模では850蔓延で目立つ位置に行かないので、会社としてやる意味がない。本当にやらかされてしまったのだと思います。
また売上は面白くないと長続きしないし、効率が悪くて現在は行われない操作。

今想像できるのは「コロプラには社員がランキング操作をしたくなる圧力があるかもしれない」とか、「コロプラは異常があったときに短期で調査・報告できる」だろうとかですね。
あと、『最果てのバベル』は850万じゃきかない額を稼いでいて、この事件はほぼ関係なくプレイヤーに評価されている。

ちなみに、今のところ今回の件について僕の中でのコロプラの評価は「ゲームの評判が左右されるこの時期に、たった850万円の金額の問題をもみ消さず、外部に公表できるとかすごいまじめだな!」という感じです。
後々に何か別の情報が出てきたらわかりませんが。

コロプラ、「え、金を払ってアプリをインストールさせてランキング操作ってやってるところいっぱいあるんじゃないの?」と思ったが、これを課金でやってしまうと循環取引で売上げを水増ししたってことになってヤバいらしい。ちゃんと帳簿に付ければ許されるのかな?w
release.tdnet.info/inbs/140120190…

以前リクルートテクノロジーズさんの記事で話題になったCard Stealerの件ですが、同様の手法で改竄される国内向けのサイトは今もなお増え続けているようです。

よくわからないJavaScriptが綺麗にされたらCard Stealerだった件 recruit-tech.co.jp/blog/2019/05/1…

明日のゆるいハッキング大会に備えて予習しました。

VirtualBox上のKali LinuxでWifi通信をキャプチャする – つたまみれ #はてなブログ #ゆるいハッキング大会 ivycovered.hatenablog.com/entry/2019/06/…

【注意喚起】BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2019-6471) – バージョンアップを推奨 –
jprs.jp/tech/security/…

ドコモをかたるフィッシングメール(SMS)が出回っているようです。「dアカウント」や「dカード」の情報を入力しないようご注意下さい。 bit.ly/2FkW6xa

オタクはCoinHiveと無限ループの話が大好きなのですぐに反応してくれる

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>