メニュー

月別アーカイブ: 2016年1月

ハニーポットにFTP経由で設置されたファイル調査メモ (2016/01/20)
1人CSIRTで運用しているハニーポットにFTPからログインしファイルが2つほど設置されていました。 運用しているハニーポットはFTPに対して容易にログイン可能な状態にしてあります。 そこで攻撃者がファイルをアップロード […]
「人事課に提出する書類」という本文の「ばらまき型」メール調査メモ
今やお馴染みとなってしまった「rambler.ru」からのばらまき型。今までは運送関係を装ったものが多かったのですが本日、今までとは違うタイプの添付ファイル名、本文で観測されているようです。今回はどこの組織を装ったという […]
観光情報サイト「南房総いいとこどり」の改ざん調査メモ
観光情報サイト「南房総いいとこどり」というサイトが改ざんされたとのリリースがありました。 リリースによると「南房総いいとこどり」の他「地産地消情報」「南房総市みんみんネット」「スポーツ合宿」の公開を停止しているようです。 […]
EMSを装った「ばらまき型」メール調査メモ2016 CryptoWall版
昨年からEMSを装った「ばらまき型」メールが度々観測されていました。 このブログでも過去に2度ほど提供いただいた情報を元に情報を共有しました。 過去のものは、こちら と こちらよりご覧ください。 これまでは「Rovnix […]
TeslaCrypt(vvvウイルス)によって暗号化されたファイルの復号手順メモ
国内でも昨年末に話題になったランサムウェア「TeslaCrypt」通称「vvv」ウイルス。 本ブログでも実際に感染してみるというエントリーを掲載しました。 このマルウェアに感染すると特定の拡張子を持つファイルが暗号化され […]
EMSを装った「ばらまき型」メール調査メモ2016
昨年、DHL, EMS, JapanPostを装った日本語の「ばらまき型」のメールが大量に送信されました。 そのメールを受け取った方々に情報を共有いただくことで 添付されているファイルやそのハッシュ値などについてのメモを […]
三井住友銀行のフィッシングサイト(SMS誘導)をきっかけにした調査メモ
三井住友銀行のフィッシングサイトへの誘導がSMSで行われているようです。 情報を得てからこのエントリーを書くまで時間が開いてしまいましたので スマホでアクセスした際にはどのように表示されるのかということの確認はできません […]
5件の国内サイト改ざんをきっかけにした共通点の調査メモ
先日、「岩国医療センター」の改ざんについてのエントリーを公開しました。 その後、調査をした結果、「岩国医療センター」以外に4件の国内サイト (jpドメインで言語が日本語)も改ざんされていることが分かりました。 この4つの […]