OpenPGP と S/MIME 署名の脆弱性を悪用したなりすましについて

本件は、ドイツのルール大学ボーフムとミュンスター大学が共著で公開した以下のレポートに基づくものです。

レポートでは Bob と Alice がやり取りしているメールに対し、攻撃者の Eve が Alice になりすましたメールを送るロールプレイを通して、5つの攻撃手法を紹介しています。

とはいえ、レポート自体すごく長いので、まずは、中段の影響を受けうるソフトウェアを確認するのがいいかと思います。（単純に僕自身の英語力の問題はありますが(笑)）

影響するソフトはおおよそ以下の通りですが、詳しくはレポートを読んでください。
Thunderbird、Microsoft Outlook、Apple Mail、KMail、Evolution、MailMate、Airmail、K-9 Mail、Roundcube、Mailpile.

もちろん、上記ソフトに加え、何のプラグインを使って署名をしているかの組み合わせも影響するので、その辺りの確認も忘れずに。

そういえば、昨年もこんなのあったなーっと思い、一応転載。

WebLogic Server の脆弱性の悪用と、そこで使われた新たなランサムウェア Sodinokibi について

本件、先週末のブログでも公開しましたが、WebLogic Server の脆弱性（CVE-2019-2725）を悪用した実証コードが公開されていました。その後、JPCERT/CC と IPA からも注意喚起が発行されて、国内に広く呼び掛けられました。

そして、本日（現地時間では昨日）Talos のブログでランサムウェア Sodinokibi 感染についての観測記事が公開されました。

WebLogic Server に感染したサーバは、攻撃者の用意した C2 サーバよりランサムウェア Sodinokibi をダウンロードしてきます。

ちなみに、この C2 サーバにはいくつかのドメインが紐付いていて、フィッシングサイトに使われているものもあるようです。

なお、 Sodinokibi のダウンロードはPowershell で行われ、certutil を使って検出回避を行うような手法も使っています。

ちなみに、今回観測した攻撃に関して、 Sodinokibi を感染させたあとの攻撃では、 GandCrab の配布を観測しているとのことです。

にしても、Sodinokibi の詳しい情報があまりないもので。。 4 日前にロシア語の記事があるのですがそれが一番古いのかな。今後の動きに注目ですかね。（あんまり流行らないんじゃないかなー）

GW ですが、海外ニュースの量はあまり変わらず、ベンダも積極的にレポートだしますね。海外は GW 関係ないですからね(笑) ちなみに、年末年始はめちゃくちゃ量減るので、これはこれで珍しいのかな。ではでは。