Pikagi
Masafumi Negishi Profile Banner
Masafumi Negishi Profile
Masafumi Negishi

@MasafumiNegishi

11,250
Followers
1,197
Following
144
Media
21,622
Statuses

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

Tokyo, Japan
https://t.co/IdfWSUtohn
Joined July 2009
Don't wanna be here? Send us removal request.
Pinned Tweet
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
2 years
My Profile Personal Blog: IIJ-SECT (CSIRT, AS2497): Podcast: SANS: Mastodon:
0
2
15
Last Seen Profiles
天蓮🧸⚓️☄️🌸🏴‍☠️🗝♠️

@WM7pdWf4yHUuSAW

さちなな

@12Sachi7

مملوك لها👠 خاضع مطيع

@nzy_alshjj

limits2k

@limits2k

INFO BOKEP LOKAL TANTE SEMOK

@bokeplokalmalam

لؤي

@loai3_

GINA

@ginalovell545

Uh

@_uhhhhhh_h

Tami Olson ☮

@TamOlson

AHPTS

@AHPTS

محمدّ .

@n222ll

xuan 👼🏻

@xuanator

samuel

@sexismsam

Nahi Pata

@nahipata546

川本ちなつ@ありのままのわたしで♡

@Tina_Kirakira

ع..🍂

@R56028277

Mölter™ 🚁✈️

@MolterGui

猫猫猪儿虫酱

@izayoill

PAP MANTAN

@papmantan69_

Dennise Antrican

@DenniseA98470

Joan 😜

@JoanMarley606

Morris 𝕏 !👑¡⚓

@ricchwayne01

Nur Majan نورمجان

@SultanAlamri93

smiling:)

@alee495322

Nav

@ernavdj

alfonso nuñez

@alfonso55

INFO BOKEP LOKAL TANTE SEMOK

@bokeplokalmalam

Lee dawkins

@Leedawkins10

ذو الفقار (313)

@h__k9d

ІНРІУМ

@inrium_ukraine

mj

@pj0kcal

Western Kentucky University

@wku

Danil Kardashov

@_Deniel_979

Mölter™ 🚁✈️

@MolterGui

AHPTS

@AHPTS

Abdulwahab Wattar

@awattar

@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
昨日に続いて、本日17:35頃から、かなり広いアドレスレンジに対する TCP SYN-ACK リフレクションを観測しています。以下に含まれるアドレスでは世界中の踏み台アドレスから大量の SYN-ACK パケットが流入していると思われます。 1.0.0.0/8 23.0.0.0/8 50.0.0.0/8 133.0.0.0/8 178.0.0.0/8 199.0.0.0/8
2
193
283
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/22 Final) Coincheckから盗まれた XEMの残高の推移 (左軸、棒グラフ) と、ダークウェブの販売サイトからの 1日の出金額の推移 (右軸、折れ線グラフ) を更新しました。単位は百万XEM。 販売開始から 44日目で残高はゼロとなりました。グラフの更新もこれで最後です。
Tweet media one
12
149
252
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
Cloudflare による 1.1.1.1 サービスの概要 - エイプリルフールではない ;) - APNIC との共同研究 - 1.1.1.1 と 1.0.0.1 - 速い - ログは24時間以内に消去 - KPMG による監査 - DNS over TLS, DNS over HTTPS にも対応 Google の 8.8.8.8 と類似のサービスですが、選択肢が増えるのは良いことですかね
2
227
254
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
IIJ のハニーポットでは 2/15 頃からウクライナの複数の Webサイトからの backscatter を多数観測。また同時に Mirai亜種(V3G4) による攻撃活動も確認しており、関連があると考えられます。(攻撃パケットの送信元アドレスが詐称されているため、世界中の観測システムで SYN-ACK パケットが確認される)
@piyokango
piyokango
@piyokango
3 years
はてなブログに投稿しました #はてなブログ 2022年2月に発生したウクライナへのDDoS攻撃についてまとめてみた - piyolog
0
64
105
1
139
249
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
見るからにヤバそうな脆弱性が並んでいる。国内だとバッファローやエレコムなどの比較的新しい WiFi ルーターも該当するみたい。最新のファームウェアで対応済みかどうか不明。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Advisory: Multiple Issues in Realtek SDK Affects Hundreds of Thousands of Devices Down the Supply Chain - IoT Inspector
0
21
42
0
156
215
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
8月中旬から金融機関を中心に複数業種の組織が世界中で DDoS 攻撃を受けています。 (特徴) - 50-200Gbps 程度の規模 - 攻撃は数時間継続 - UDP リフレクション (WSD, ARMSほか) 、TCP 等の複合攻撃 - 攻撃とあわせて Bitcoin を要求するメールが届き、支払わなければ 2Tbps の攻撃をすると脅す (1/n)
1
131
215
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
今日も出金ペースは衰えず、半日で約 4,000万XEM。残りは約 6,000万XEM。今日の夜くらいにゼロになりそうですね。 以下のアドレスがいまダークウェブ上の販売サイトとリンクしています。これがなくなったら終了です。
2
126
186
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(1) Amazon Route53 が BGPハイジャックされる → (2) MyEtherWallet への名前解決に対して偽の応答を返し、ユーザをフィッシングサイトに誘導 → (3) MEWのユーザがフィッシングサイトにログイン → (4) 攻撃者は取得した認証情報を使って、正規の MEWサイトから自分のアドレスに不正出金
1
174
174
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/16 Update) Coincheckから盗まれた XEMの残高の推移 (左軸、棒グラフ) と、ダークウェブの販売サイトからの 1日の出金額の推移 (右軸、折れ線グラフ) を更新しました。単位は百万XEM。 残高は約 2億 6,220万XEMとなり、販売開始から 38日目で半分を切りました。
Tweet media one
4
118
140
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
バッファロー製ルーターを含む多数のルーターに影響を及ぼす脆弱性を狙う攻撃が観測されています。脆弱性自体は 4月に公開されたものですが、発見者である Tenable から先週 PoC が公開されました。該当機種をお使いの方はご注意ください。
Multiple Vulnerabilities in Buffalo and Arcadyan manufactured routers

Tenable has discovered multiple vulnerabilities in routers manufactured by Arcadyan. During the disclosure process for the issues discovered in the Buffalo routers, Tenable discovered that CVE-2021...

www.tenable.com
0
122
170
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
ウクライナからの backscatter のハニーポットでの観測状況はこんな感じ (SYN-ACKのみ)。2/15 は PrivatBank、2/16 は Ukrainian Processing Center (UPC) がほとんどでした。海外報道などを見ると、UDPによる攻撃も行われていたようなので、複数のアタックベクターによる攻撃みたいですね。
Tweet media one
1
84
166
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
昨年末に公開された Citrix ADC と Citrix Gateway の脆弱性 (CVE-2019-19781) だが、エクスプロイトコードが公開されていよいよヤバい状況に。Shodan で見ると国内にも相当数存在する。リモートコード実行可能な非常に危険な脆弱性なのですぐに対応を。
1
106
161
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
残高がゼロになるまでは見届けようと思っていましたが、Mosaicによる追跡がなくなったことで販売サイトからの出金が一気に加速しており、半日で 5,000万XEMを越えています。このペースだと明日には残高ゼロになりそうな勢い。Bittrex, OKEx, Changellyほか様々な取引所へと流入しています。
5
129
148
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
脆弱性の修正が不十分だった今回の問題は、IIJ の SOC メンバーが(も)発見し報告しました。GJ! Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見 – wizSafe Security Signal -安心・安全への道標- IIJ
Tweet card media
Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見
wizsafe.iij.ad.jp
1
47
144
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
今日は 5月の第1木曜日、World Password Day です。毎年言ってる気がするけど、たぶんほとんど誰も知らないw 2要素認証を有効にしてみたり、パスワード管理ソフトを使ってみたり、この機会に自分のパスワード利用法を見直してみてはいかがでしょうか。 #passwordday
0
97
134
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/21の状況) 昨日よりややペースが落ちたものの、依然としてハイペースの出金が続いています。1日で約 7,860万XEMの出金があり、残高は約 2,300万XEM。いよいよ終わりが見えてきました。あと数時間で残高ゼロになると思います。
1
69
125
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
コインチェックの件、元々 NS レコードに登録されていた Amazon Route 53 のドメインにそっくりな偽ドメインが前日の 5/29 に複数登録されてますね。その後 5/30 にお名前.com で NS レコードを書き換えた模様。 (例) 本物 awsdns-61[.]org → 偽物 awsdns-061[.]org
1
68
129
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
数時間前にオバマ前大統領などの著名人や暗号資産交換業者らの公式 Twitter アカウントが一斉に乗っ取られ、Bitcoin 詐欺に利用されました。Twitter 社が現在対応中。攻撃者のアドレスには、現在も送金が続いているようです。(アドレスを含めようと思ったら Twitter にダメって言われた)
1
104
125
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
Twitterで多くの方から、参考になった、お疲れさま、などの声をかけていただきました。ありがとうございます。個別にお返事してなくてすいません。 今回の事件をきっかけにフォローしていただいた方も多いと思いますが、今後は海外セキュリティネタ多めの通常営業に徐々に戻ります。ご了承ください。
4
12
115
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
(3/4 Update) Coincheckから盗まれた XEMの残高の推移 (左軸、棒グラフ) と、ダークウェブの販売サイトからの 1日の出金額の推移 (右軸、折れ線グラフ) を更新しました。単位は百万XEM。 残高は約 3億5,170万XEMとなり、1/3減少しました。
Tweet media one
4
85
112
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
さきほど、ついに残高がゼロになりました。 526 million xem stolen from Coincheck is now sold out!
6
87
111
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/20の状況) Mosaic送信停止の影響により、販売サイトからの出金が一気に加速しました。1日で約 1億XEMの出金があり、Bittrexや上場したばかりの Binanceなど複数の取引所へと流入したようです。残高は約 1億 160万XEMとなりました。このペースだと明日にも残高ゼロになる可能性があります。
2
81
113
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
MS Exchange の件、かなりひどい状況になってきている。米国だけで 3万件以上の被害が出ているとのこと。
@briankrebs
briankrebs
@briankrebs
4 years
Sources who've briefed U.S. national security advisors say >30K U.S. organizations hacked by newly-found holes in Microsoft's Exchange email products, and that 100s of thousands of victim organizations worldwide now have web-based backdoors installed.
50
843
1K
0
140
118
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
日経が報じてなぜか今頃話題になっている Pulse Secure VPN の脆弱性ですが、パッチ公開は 2019年 4月。発見者の DEVCORE は 2019年 5月にパッチ未適用の Twitter 社を攻撃し、2要素認証をバイパスして侵入できることを実証してバウンティを獲得しています。
2
80
115
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
これは何を言っているかというと、今世の中で使われている E2EE の仕組みがあまりにも強力で、犯罪にも使われて捜査に支障をきたしているので、法執行機関向けにはバックドアを作ってくれ!というとんでもない要請です。特に新しい話題でもなくて、ここ数年 Going Dark 問題などと呼ばれています。
1
85
117
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
Coincheckから盗まれた XEMの残高の推移 (左軸、棒グラフ) と、ダークウェブの販売サイトからの 1日の出金額の推移 (右軸、折れ線グラフ) をちょっとまとめて���ました。単位は百万XEM。ざっくり 1/4 減りました。
Tweet media one
0
93
113
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
@ntsuji さん、 @piyokango さんと一緒にやっているポッドキャスト #セキュリティのアレ ですが、なんと、「サイバーセキュリティに関する総務大臣奨励賞」を受賞しました! 総務省|報道資料|「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表
Tweet card media
総務省|報道資料|「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表

 総務省では、平成29年より、サイバーセキュリティ対応の現場において優れた功績を挙げている個人・団体を「サイバーセキュリティに関する総務大臣奨励賞」として表彰しています。  この度、令和4年の「サイバーセキュリティに関する総務大臣奨励賞」の受賞者を決定しましたので、公表いたします。

www.soumu.go.jp
4
27
114
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
1 year
最近もゼロデイ攻撃で悪用される脆弱性の事例などたくさんありますが、そんな脆弱性情報との向き合い方や課題などについてお話しする予定です。CSIRT だけっていう話ではないので、お時間のある方、ぜひどうぞ。
@SANS_JAPAN
SANS Japan
@SANS_JAPAN
1 year
9月7日のAPAC DFIR Summitでは、IIJの @MasafumiNegishi さんが「CSIRT に求められる情報収集と分析の要点」と題して講演します。最近のインシデント事例などをもとに、CSIRTにおける情報収集、分析、評価の課題を検討し、解決の方向性を探っていきます。 是非ご参加ください!
Tweet media one
0
23
90
0
13
111
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
2 years
毎年ほとんど誰も話題にしてませんが、今日 (5月の第一木曜日) は World Password Day です。この機会にご自分のパスワード管理を見直してみてはいかがでしょうか。パスワードなくなる日はいつ来るのかなぁ。
1
43
107
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
9 years
今週イギリスの CESG (GCHQの部門)が公開したパスワードガイダンス、なかなかいいですよ。ぜひ一読をオススメします。 Password guidance: executive summary - GOV.UK
Tweet card media
[Withdrawn] Password guidance: executive summary
www.gov.uk
0
132
108
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
Mosaic 送信は停止したとの NEM財団による公式発表。理由はよくわかりませんね。
1
90
97
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
Binance CEOの日経報道へのコメント。まだ金融庁とは話し合いの途中で、警告などの命令は受けていないのに、なんで先に日経が知ってるんだと。リークした金融庁と日経にお怒りの様子。
@cz_binance
CZ 🔶 BNB
@cz_binance
6 years
Nikkei showed irresponsible journalism. We are in constructive dialogs with Japan FSA, and have not received any mandates. It does not make sense for JFSA to tell a newspaper before telling us, while we have an active dialog going on with them.
272
2K
5K
2
68
95
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
2 years
本脆弱性の PoC が公開されたことにより、IIJ のハニーポットでも今朝から脆弱性の悪用を試みるスキャン活動を観測しています。ご注意ください。
@jpcert
JPCERTコーディネーションセンター
@jpcert
2 years
Fortinet製FortiOS、FortiProxyおよびFortiSwitchManagerの認証バイパスの脆弱性(CVE-2022-40684)に関する注意喚起を更新。本脆弱性の詳細解説記事や実証コードが公開されています。今後本脆弱性を悪用する攻撃が増加する可能性有。速やかな対策や調査実施を推奨します。^KK
1
76
86
0
68
94
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
2 years
Cloudflare の 3名の従業員がフィッシングサイトにパスワードを入力してしまったけど、セキュリティキー使ってたので大丈夫でしたと。TOTP だったら Twilio みたいにやられてた可能性が高い。 The mechanics of a sophisticated phishing scam and how we stopped it
Tweet card media
The mechanics of a sophisticated phishing scam and how we stopped it

Yesterday, August 8, 2022, Twilio shared that they’d been compromised by a targeted phishing attack. Around the same time as Twilio was attacked, we saw an attack with very similar characteristics...

blog.cloudflare.com
0
28
94
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント|外務省
Tweet card media
エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント
www.mofa.go.jp
1
81
93
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
先週以降、TCP SYN/ACK リフレクション攻撃としては過去半年で最大規模の DDoS 攻撃が複数発生しています。 - 10/26,29,30 韓国 (AWS, KT) - 10/27,28 トルコ (Garanti BBVA) - 10/23,31 イタリア (Lottomatica, Eurobet) - 10/31 Tor 関連 (Emerald Onion ほか) (グラフはハニポの観測結果)
Tweet media one
Tweet media two
2
72
88
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
国内外からの観測報告を見ると、ウクライナ、ロシアの双方に対して様々な手法によるDDoS攻撃が行われており、複数の IoT botnet も利用されているようです。推測ですが、これらの botnet は DDoS-as-a-Service として利用され、攻撃者はこれらのサービスを通じて攻撃を実施していると考えられます。
1
45
89
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
以下の仮想通貨交換業者に行政処分が出ています。 業務改善命令 → コインチェック(2度目)、GMOコイン、バイクリメンツ 業務停止命令及び業務改善命令 → ビットステーション、FSHO
2
125
83
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
最近の DoH の動向についてまとめてみた。当初予定からは延期されたが、今週リリースされる Chrome 79 から DoH のテストが開始される。また Firefox では米国ユーザ向けのテストがすでに開始されている。 DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2
DNS over HTTPS (DoH) の動向 - セキュリティは楽しいかね? Part 2

TL;DR 主要ブラウザのサポートによって DoH の普及がますます進みそう DoH はユーザのプライバシー向上に寄与するが、一方でセキュリティ面など懸念材料も多い 一般ユーザにはまずは使ってみることをオススメする (個人の意見です) 企業内では現状はブロックすることをオススメする (個人の意見です) 目次 TL;DR…

negi.hatenablog.com
0
51
89
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
昨日から継続して Zaif に流れてますね。累計で 60万XEM越えたところ。複数アドレスに小分けして、CoinPaymentsを経由してから入金しているので Mosaicついてないんですが、これ Zaif さん気付いて対応してるのかな。入金用メッセージは 4ce2b8d0afa7761c ですね。
2
57
80
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
Microsoftがすでにサポートが切れている XP, Vista, 2003, 2008向けの緊急パッチをリリースした。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
Customer Guidance for WannaCrypt attacks – MSRC
0
4
5
1
182
83
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Apple の主要サプライヤーのひとつである台湾 Quanta 社が REvil ランサムウェアに感染し、不正に取得された Apple 新製品に関する文書が流出。2021年発売予定の MacBook Pro では HDMI ポート、SDカードスロット、MagSafe ポート が復活することなどが判明。
0
50
77
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
最後にきて出金ペースにややブレーキかかってますね。半日で 1,730万XEMの出金、残りは 560万XEMです。販売サイトには "WARNING!!! LAST RESERVE!!!" のメッセージが表示されています。いずれにせよ残りわずか。
1
28
70
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/18の状況) 販売サイトからの出金は昨日から引き続き多く、約 2,460万XEMでした。一つの取引所への流入が変わらず続いています。累計での出金額は約 3億 980万XEMとなり、ついに 3億越えです。残高は約 2億 1,640万XEMとなりました。
0
37
71
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
9 years
ブログ書いた。今回の iPhone事件のとりあえずのまとめ。 iPhoneの「バックドア」問題について - セキュリティは楽しいかね? Part 2
Tweet card media
iPhoneの「バックドア」問題について - セキュリティは楽しいかね? Part 2

今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なことはないのだが、要求している方法がやや特殊だった。iPhon…

negi.hatenablog.com
1
86
72
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
昨日からのウクライナへの DDoS 攻撃の影響と思われますが、Internet Health Report の AS Dependency グラフにもあらわれてますね。これらの AS にはウクライナ議会、外務省、内閣などが含まれています。
@romain_fontugne
Romain Fontugne
@romain_fontugne
3 years
@DougMadory Oh wow, these attacks have a clear impact on their routing
Tweet media one
Tweet media two
Tweet media three
Tweet media four
0
8
15
0
55
72
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
(Update) Coincheckから盗まれた XEMの残高の推移 (左軸、棒グラフ) と、ダークウェブの販売サイトからの 1日の出金額の推移 (右軸、折れ線グラフ) をまとめてみました。単位は百万XEM。 Huobiが XEMの入金を停止した 2/21以降、やや膠着状態ですね。
Tweet media one
0
29
64
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
今日の販売サイトからの出金もまた少しペースが上がり、約530万XEM。CoinPaymentsを経由して約8割が Zaif に流れました。残りは Livecoin, ALFAcashier, Bitcoin Indonesia などへ。Zaifへの流入が続いており、累計では 1,200万XEMを越えています。(2/25-2/27 約260万, 2/27-3/2 約950万)
2
43
65
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Black Hat USA で Exchange サーバの新たな攻撃手法 ProxyShell が発表され、発表後すでに脆弱性を探索する活動が確認されているようです。この攻撃は 4月の Pwn2Own で披露されたもので、Microsoft からはすでにパッチ公開ずみ。未対応のところはパッチ適用待ったなし!
Tweet card media
A New Attack Surface on MS Exchange Part 1 - ProxyLogon! | DEVCORE 戴夫寇爾

ProxyLogon! The most severe and impactful vulnerability in the Exchange Server history ever.

devco.re
0
25
71
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
10 years
e-Taxなど、Struts 1を使っている国税庁のサービスが停止。 「e-Taxソフト(WEB版)」、「確定申告書等作成コーナー」、「NISA(日本版ISA)コーナー」 サービス停止のお知らせ(重要)平成26年4月25日|国税庁 http://t.co/oeE4kObNYe
0
205
66
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
たとえば 2016年に米国で起きた銃乱射事件を発端とした Apple 対 FBI のバトルについては、以前ブログにまとめています。参考まで。
Tweet card media
iPhoneの「バックドア」問題について - セキュリティは楽しいかね? Part 2

今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なことはないのだが、要求している方法がやや特殊だった。iPhon…

negi.hatenablog.com
0
45
67
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
われわれのハニーポットでも早速この脆弱性を悪用した攻撃を観測しています。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
"This issue is known to be exploited in the wild." important: Path traversal and file disclosure vulnerability in Apache HTTP Server 2.4.49 (CVE-2021-41773)
0
7
19
1
39
67
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/19の状況) 販売サイトからの出金は約 1,480万XEMでした。一つの取引所への流入が変わらず続いていましたが、ようやく NEMの入出金が停止されたようです。累計での出金額は約 3億 2,470万XEMとなりました。
1
32
65
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
韓国のホスティングプロバイダー NAYANAで6/10に153台の LinuxサーバがErebusランサムウェアに感染。バックアップも含めてすべてのデータが暗号化され復旧困難に。ハッカー側は当初1台あたり10BTCを要求したが、4日間にわたる交渉の末に397.6BTCで決着。
1
117
68
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
いつものメンバーで 9/1 に講演します。ぜひご参加ください! ITmedia Security Week 2021秋 ゼロトラストへの過度な期待は禁物?「新常態」のセキュリティ変革
Tweet card media
ITmedia Security Week 2021秋 ゼロトラストへの過度な期待は禁物?「新常態」のセキュリティ変革
enq.itmedia.co.jp
0
11
66
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
Twitter が先日の攻撃についてブログを更新。 (1) 攻撃者は少数の Twitter 社員に対して電話によるソーシャルエンジニアンリング攻撃 (a phone spear phishing attack) (2) 社内システムに侵入した後、サポートツールへのアクセス権をもつ別の社員を攻撃 という 2段階の攻撃だったようです。
0
31
66
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
NYT の記事の内容は信憑性高そうですね。Twitter 社内の Slack チャンネルにまず侵入して、そこから管理ツールへのアクセス手段を得たとのこと。 Krebs の記事で名指しされていたのは、OG のバイヤーの一人ということのようです。
0
31
64
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
脆弱な Exchange サーバに不正に設置された Web シェルを利用して、Web シェル自身を削除する作戦を、FBI が裁判所の許可のもと実行していたと。もちろん米国限定。ただしパッチを適用したわけではなく、他のマルウェアが残存している可能性もある。こういうの日本でやるのは難しいのかな…
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Justice Department announces court-authorized effort to disrupt exploitation of Microsoft Exchange Server vulnerabilities | USAO-SDTX | Department of Justice
0
2
5
0
25
66
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
なんとこのタイミングで Binanceが NEMを上場。 Binance Lists NEM (XEM) – Binance
1
21
57
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
日本語のコース「実践的インシデントレスポンスに対するデジタルフォレンジックの包括的ガイド」は IIJ が提供します!講師は僕の同僚達ですが、彼らは昨年に続き今年 8月の Black Hat USA でもトレーニングコースを提供します。全く凄いやつらです。10/24,25 の日本でのコース、ぜひお楽しみに!
@BlackHatEvents
Black Hat
@BlackHatEvents
5 years
For the 1st time in 11 Years #BlackHat Trainings will take place in Japan! Courses will be taught in English with Japanese translation service & "Incident Response Training" will be taught entirely in Japanese. Register quick to get your course choice:
1
51
81
2
31
64
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
10月下旬に観測した大規模な DDoS 攻撃についてまとめてみました。11月以降も継続して観測しています。みなさんの Web サーバも知らないうちに踏み台として利用されているかもしれません。 IIJ Security Diary: TCP SYN/ACK リフレクション攻撃の観測 (2019年10月)
Tweet card media
TCP SYN/ACK リフレクション攻撃の観測 (2019年10月) – IIJ Security Diary

2019年10月下旬に大規模な TCP SYN/ACK リフレクション攻撃を複数観測しました。本記事では IIJ のマルウェア活動観測プロジェクト MITF のハニーポットの観測結果から、今...

sect.iij.ad.jp
0
23
64
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
CCleanerが改ざんされ、ユーザの PCにインストールされているソフトウェア一覧やMACアドレスなどの情報がUSのサーバに送信されていた。すでにサーバは停止されている。改ざんされた原因はまだ調査中で特定されていない。利用者は最新版にアップデートしましょう。
1
133
62
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
Dark Web で販売されている 5,000万件の FBアカウントのデータとかいうやつ、なんか見覚えがあったのだけど、これ 2010年の skullsecurity のデータですね。torrent で前から流れてるやつ。 以下は当時の解説記事。
Tweet card media
Return of the Facebook Snatchers

First and foremost: if you want to cut to the chase, just download the torrent. If you want the full story, please read on…. Background Way back when I worked at Symantec, my friend Nick wrote a blog...

www.skullsecurity.org
0
51
61
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
8 years
うるう秒によって Cloudflareの DNSサーバに障害が発生。時間は逆戻りしないから負の数になるはずがなかったわけね。 How and why the leap second affected Cloudflare DNS
0
74
63
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/12 Update) Coincheckから盗まれた XEMの残高の推移 (左軸、棒グラフ) と、ダークウェブの販売サイトからの 1日の出金額の推移 (右軸、折れ線グラフ) を更新しました。単位は百万XEM。 残高は約 2億 9,160万XEMとなり、残り 3億XEMを切りました。
Tweet media one
1
36
57
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/15の状況) 販売サイトからの出金ペースが昨日よりも上がり約 890万XEMでした。相変わらず一つの取引所への流入が続いています。この取引所の出来高が急増して価格も他より安くなっていますね。累計での出金額は約 2億 5,250万XEMとなり、もうまもなく半分に到達しそうです。
0
27
52
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
8 years
ランサムウェアに感染してしまい、最終的に身代金を支払うという選択をした被害者への貴重なインタビュー記事。必見。 「言葉では言い表せない絶望感だった」――ランサムウェア被害者が語る (1/5) -
0
63
57
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
この解説がもっとも詳しくてわかりやすいかな。Googleによる Verizon経由での誤った経路広告、全体では約13万5千、そのうちもっとも影響を受けたのが OCNで約2万5千。Verizonはちゃんとフィルタしろよって書いてある。;)
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
BGP leak causing Internet outages in Japan and beyond. | BGPmon
0
13
13
0
54
58
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
コインチェックの他に、国内の暗号通貨交換業者で少なくともあと 1社同様の被害にあっているようです。5/25 に偽ドメインの登録、5/27 に NS レコード改ざん、5/30 に正常に戻った模様。 awsdns-052[.]net awsdns-022[.]co[.]uk awsdns-038[.]org
0
26
57
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
久しぶりにブログ書きました。今回の DDoS 攻撃を発生させた IoT ボットネットについて解説しています。 IIJ Security Diary: Wikipedia, Twitch, Blizzard への DDoS 攻撃
Tweet card media
Wikipedia, Twitch, Blizzard への DDoS 攻撃 – IIJ Security Diary

今月9/7から9/9にかけて、Wikipedia, Twitch, Blizzard の各サーバに対して連続して DDoS 攻撃が発生しました。この一連の攻撃は Mirai 亜種によるボット...

sect.iij.ad.jp
1
24
57
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
5 years
攻撃の背景、技術的詳細、観測結果がわかりやすくまとまっている、大変よい記事。ウチの観測データとも概ね一致している。 Threat Alert: TCP Reflection Attacks | Radware Blog
1
25
55
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
3月に活発化したSYN-ACKリフレクションですが、クラスA相当のレンジに対して、日によって対象を変えながら継続中。DDoS攻撃と呼ぶには対象範囲が広すぎ、何かの調査目的なのか、あるいはカモフラージュか。対象アドレスをヒートマップにしてみましたが、IPv4空間のかなりの範囲をカバーしています。
Tweet media one
Tweet media two
1
21
54
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
中近東のユーザをターゲットとする ZooPark という攻撃者グループについて、今月初めに Kaspersky Lab がレポートを公開 → あるハッカーが攻撃者のインフラに侵入してデータをすべて取得、$1,000寄付くれたらデータを公開するとのメッセージを残す → 誰かが Bitcoinで寄付 → データ公開 (イマココ)
0
37
55
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
今日は販売サイトからの出金が少しペースアップして、約 407万XEM。昨日までと同様に CoinPayments経由で 8割以上が Zaifに、ほか Livecoin, Poloniex, Bitcoin Indonesia にも一部流れました。Zaifへの入金は止まるどころかむしろ増えていて、累計で 800万XEMを越えています。
2
37
52
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
11月から12月にかけて主に日本とエジプトで感染が見られる Mirai 亜種の活動ですが、この攻撃者グループは初期感染経路として Realtek の脆弱性 (CVE-2014-8361) を使って 52869/tcp に攻撃しています。感染したボット自身は Huawei の脆弱性 (CVE-2017-17215) を利用して 37215/tcp に攻撃をします。
1
46
54
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
先日の Twitter への攻撃に関して、米英の 3人の容疑者が逮捕・起訴された。訴状をざっと読んだが、Discord からのチャットデータの開示、Coinbase など暗号資産交換業者からのアカウント情報の開示、すでにリークずみだった OGusers のデータの分析などが容疑者特定の決め手になったもよう。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
Three Individuals Charged for Alleged Roles in Twitter Hack
0
1
6
0
25
51
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
昨日、ウクライナからの backscatter の増加を再び観測しました。政府機関ではありませんが、メディア、通信会社、銀行などが主なターゲットのようです。 (注:これらは実際に発生していると思われる DDoS 攻撃のうち、ごく一部を間接的に観測しているものです。)
Tweet media one
1
30
52
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
日本は2017年末から2018年の前半までは Mirai 亜種の国別感染数でずっと 1位だったから、DDoS 攻撃の発信元として日本の名前が出てくるのはあたり前な感じもしますねー。
@ntsuji
辻 伸弘 (nobuhiro tsuji)
@ntsuji
6 years
踏み台になってるいわゆるIoT機器みたいなのからが殆どだと思うんですがそうしたことを明らかにする調査結果もほしいところですね。/ ロシア外務省が日本のサイバー攻撃を主張「14カ国から7700万回以上」 - ライブドアニュース
0
86
81
0
36
52
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
10 years
Hulu Blocks VPN Users Over Piracy Concerns http://t.co/q1XWGIDDGH
0
0
43
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
開催延期になっていましたが、9月11日 (金) 18時からオンラインで開催します。IIJ の SOC メンバー 3人による講演、ぜひお楽しみに!
@IIJ_ITS
IIJ_ITS
@IIJ_ITS
4 years
【受付開始】9/11(金)オンライン開催「セキュリティアナリストのお仕事──分析、AI、ツール開発(IIJ Technical NIGHT vol.9)」。参加費無料。奮ってご参加ください!登録はこちら→ #iij_its
1
13
20
0
13
50
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
またこれらの IoTボットネットは世界中にある脆弱な IoT機器を乗っ取って攻撃に利用しています。みなさんがご家庭でお使いのルーターや DVR/NVR 機器、IPカメラなども、ボットに感染して知らないうちに DDoS 攻撃に加担している可能性があります。決して他人事ではありません。
1
30
50
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
理由はわかりませんが、残り 2億XEMも速やかに取引所へと流れることがこれでほぼ確実になりました。まあこれまでのところも Mosaicが効果を発揮できていたとは言い難いですが。
2
47
48
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
IIJ のハニーポットでも Realtek SDK の管理インタフェースの脆弱性を狙う攻撃を 8/22 から観測しています。複数の攻撃者による Mirai 亜種の感染試行で、formWsc と formSysCmd へのコマンドインジェクションが利用さています。Loader ではなく Bot 自身による攻撃ですが、まだ観測数は少ない状況。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Advisory: Multiple Issues in Realtek SDK Affects Hundreds of Thousands of Devices Down the Supply Chain - IoT Inspector
0
21
42
0
23
50
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
Zaif やその他の取引所も Mosaic付きのアドレスからの入金は制限しているんですよね。ところが CoinPaymentsを経由することで Mosaicなしのアドレスからの入金になっているので、各取引所でどう対応されているのかよくわからない。CoinPaymentsが対応すればいい話だとは思うのですが。
1
23
43
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
先日 NICT さんが、日本国内で Mirai 亜種などの IoT ボットに感染する機器の観測状況を報告しています。いまだに脆弱性のある古いロジテック製ルータが繰り返し攻撃されています。今週 5/25 からはまた別の亜種の感染が拡大していることを、われわれも観測しています。
Tweet card media
日本国内の Mirai に感染する機器の観測状況

はじめに NICTER プロジェクトでは,ダークネット観測網で捉えたMirai の特徴を持つパケットの送信元(以下 Mirai 感染ホスト)について,その感染の実態を把

blog.nicter.jp
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Another moobot variant has been scanning 9530/tcp since May 25, mostly infected in Japan. The threat actor exploited CVE-2014-8361 on 52869/tcp. Many home routers in Japan remain vulnerable to this old vulnerability.
Tweet media one
0
2
5
0
30
48
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
2020年 4月から 8月までの Gmail の調査。国別で比べた場合、日本はマルウェア添付されたメールはそれほど多くないが (Top 10 圏外)、フィッシングメールは米国 (28.4%) に次いで 2位 (10.9%) とかなり多い。また日本をターゲットにした攻撃メールの 78.2% が日本語、20.5% が英語とのこと。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
New research reveals who’s targeted by email attacks
0
4
14
0
12
47
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
こういうのアリなのか。Gizmodoがトランプ政権の高官15人に対してテスト用のフィッシングメールを送信して、ひっかかるかどうか試したらしい。政権の非公式なアドバイザーであるジュリーアーニ氏やギングリッチ氏、スパイサー報道官、FBI長官、FCC委員長など錚々たる顔ぶれ。
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
Here's How Easy It Is to Get Trump Officials to Click on a Fake Link in Email
0
5
5
1
67
47
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
社内でインタビューしてもらいましたw
@IIJ_doumae
堂前@IIJ
@IIJ_doumae
3 years
SBテクノロジーの辻伸弘氏、セキュリティリサーチャーのpiyokango氏とIIJのセキュリティアナリスト根岸が配信しているサイバーセキュリティについてのpodcast番組「セキュリティのアレ」が2021年度「サイバーセキュリティに関する総務大臣奨励賞」を受賞しました。
Tweet media one
1
19
70
1
7
46
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
11 years
この技術解説はとてもわかりやすいですね。全員読むべき。 技術解説:「DNS Reflector Attacks(DNSリフレクター攻撃)」について http://t.co/cwg5GJrFSs
0
24
45
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
Advisory: Multiple Issues in Realtek SDK Affects Hundreds of Thousands of Devices Down the Supply Chain - IoT Inspector
0
21
42
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
8 years
F5の BIG-IP SSL virtual serverに Heartbleedライクな脆弱性。32byteの Session IDに余計なデータをパディングして応答してしまうため、最大で31byteのメモリデータが漏れる。対策としては Session Ticketを無効に。
0
56
44
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
4 years
日本最大級のセキュリティ国際会議『CODE BLUE』が参加費無料にて10月29日・30日 完全オンラインで開催
日本最大級のセキュリティ国際会議『CODE BLUE』が参加費無料にて10月29日・30日 完全オンラインで開催

CODE BLUE実行委員会は、今般の新型コロナウイルス感染症の影響による状況を鑑み、参加者、出展者ならびにCODE BLUEに関わるすべての皆様の安全を最優先に考慮した結果、CODE BLUE 20…

www.atpress.ne.jp
0
22
44
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
Mosaicの送信が停止されたので、これまでのデータをまとめておきます。2/5から Mosaicの送信が開始され、3/19に停止されるまでに 4,305アドレスに送信されました。そのうち 4件は取引所などに間違って送られたもので、3件は Mosaicを送り返しましたが、Huobiだけはそのままになっています。
2
24
44
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
国内 Mirai 亜種からのスキャン通信が先週からやや増加傾向 (2-3倍程度)。52869/tcp への感染試行も同時期に増加しており、その結果 Mirai 亜種 HIKARI の感染が拡大したと考えられる。この亜種は Huawei へのエクスプロイト (37215/tcp) を含んでいる。 検体例
1
29
45
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
犯人から購入した XEMを取引所に送るつもりが、間違って犯人に送り返しちゃって、「返してくれー」と叫ぶ人。英語話者ではないもよう。かなり大量に購入しているけど販売業者かなにかかな?
1
32
44
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
10 years
Gmailのアドレスとパスワード約500万件が流出というニュースが流れていますが、Googleによれば有効なものは 2%以下で、該当ユーザのパスワードはリセットされて保護されるとのこと。慌てて漏洩チェックサイトなるものに自分のメールアドレスを入力したりしないほうがいいです。
0
239
41
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/17の状況) 販売サイトからの出金ペースがさらにまた上がり約 2,110万XEMでした。一つの取引所への流入が変わらず続いています。累計での出金額は約 2億 8,510万XEMとなりました。
1
23
42
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
7 years
情総研レポート - いま海底ケーブルに何が起こっているのか:ITpro
いま海底ケーブルに何が起こっているのか

 2017年9月、米国と欧州を直結する大西洋間海底ケーブル「MAREA」の敷設工事が完了した。FacebookとMicrosoftによる共同プロジェクトによるものだ。陸揚げ地点は、米国側がバージニア州バージニアビーチ、欧州側がスペイン・ビルバオである。ちなみに、MAREAはスペイン語で「潮」を意味する。

xtech.nikkei.com
0
36
43
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
3 years
12/8 (水) 20時から「もっと身近な DDoS 攻撃」というタイトルでお話しさせていただきます。ご参加お待ちしてまーす! 総関西サイバーセキュリティLT大会(第30回) - connpass #sosailt
Tweet card media
総関西サイバーセキュリティLT大会(第30回) (2021/12/08 20:00〜)

# 下記内容で実施します。 ## 1.20時スタート ## 2.定員480名(先着順) ### ※キャンセルが出た場合は繰り上げます ## 3.ZOOMでの配信 ## 4.基調講演1の後日Youtube配信は調整中、基調講演2後日Youtube配信無 ## 5.アンケートでお聞きするメールアドレスにZOOM情報を当日19時までに連絡いたします ### ※seckansai.com...

sec-kansai.connpass.com
0
5
44
@MasafumiNegishi
Masafumi Negishi
@MasafumiNegishi
6 years
(3/16の状況) 販売サイトからの出金ペースが昨日よりもまた上がり約 1,140万XEMでした。一つの取引所への流入が続いているのは変わらずです。そして累計での出金額が約 2億 6,400万XEMとなり、残り半分を切りました。
3
22
43