ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

• 事件、事故
  • 欧州委員会は Meta に対して、欧州連合競争法に違反したとして約 8億ユーロの罰金を科すと発表
  • Salesforce の障害により、全国の自治体の災害情報システムなどに影響
• 攻撃、脅威
  • CISA および FBI が、中国の攻撃者による通信インフラへの不正アクセスについて再び共同声明
• 脆弱性
  • Microsoft が 2024年 11月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 5+2 個の脆弱性を追加
  • CISA, NSA, FBI などが共同で、2023年にもっとも悪用された脆弱性のリストを公開
  • I-O DATA のハイブリッドLTEルーターに脆弱性。NICTER 解析チームが 10月末から脆弱性を悪用する攻撃を観測
  • Palo Alto Networks のファイアウォール管理インタフェースにゼロデイ脆弱性。すでに悪用を確認
• その他
  • Cybereason と Trustwave が合併を発表

事件、事故

欧州委員会は Meta に対して、欧州連合競争法に違反したとして約 8億ユーロの罰金を科すと発表

(11/14) Commission fines Meta

The European Commission has fined Meta €797.72 million for breaching EU antitrust rules by tying its online classified ads service Facebook Marketplace to its personal social network Facebook and by imposing unfair trading conditions on other online classified ads service providers.

Salesforce の障害により、全国の自治体の災害情報システムなどに影響

(11/15) Trust Status

(11/15) システム障害に伴う県災害情報システムの不具合について - 愛媛県庁公式ホームページ

(11/15) 防災ポータルサイトが閲覧できない状況について（復旧）／千葉県

(11/16) 災害サイト閲覧、機能復旧 米セールスフォースが謝罪|47NEWS（よんななニュース）

(11/16) アメリカIT大手「セールスフォース」のシステムに障害 愛媛県や大分県の災害情報システムに一時 不具合 | NHK | IT・ネット

複数のインスタンスにわたりお客様に影響を及ぼしたサービス中断は 12/15 15:22 UTC (日本時間11/16 00:22 ) に解消されました。お客様にはご不便とご迷惑をおかけし誠に申し訳ありませんでした。改めてお詫び申し上げます。

本件の詳細についてはTrustをご確認ください。https://t.co/p0J7tOa06D

— Salesforce Japan (@SalesforceJapan) November 15, 2024

攻撃、脅威

CISA および FBI が、中国の攻撃者による通信インフラへの不正アクセスについて再び共同声明

(11/13) Joint Statement from FBI and CISA on the People's Republic of China (PRC) Targeting of Commercial Telecommunications Infrastructure | CISA

Specifically, we have identified that PRC-affiliated actors have compromised networks at multiple telecommunications companies to enable the theft of customer call records data, the compromise of private communications of a limited number of individuals who are primarily involved in government or political activity, and the copying of certain information that was subject to U.S. law enforcement requests pursuant to court orders. We expect our understanding of these compromises to grow as the investigation continues.

脆弱性

Microsoft が 2024年 11月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(11/12) 2024 年 11 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

• CVE-2024-49040 Microsoft Exchange Server のなりすましの脆弱性
• CVE-2024-49019 Active Directory 証明書サービスの特権の昇格の脆弱性
• CVE-2024-43451 NTLM ハッシュ開示スプーフィングの脆弱性
• CVE-2024-49039 Windows タスク スケジューラの特権の昇格の脆弱性

(11/12) Zero Day Initiative — The November 2024 Security Update Review

CISA が Known Exploited Vulnerabilities (KEV) カタログに 5+2 個の脆弱性を追加

(11/12) CISA Adds Five Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2021-26086 Atlassian Jira Server and Data Center Path Traversal Vulnerability
• CVE-2014-2120 Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) Vulnerability
• CVE-2021-41277 Metabase GeoJSON API Local File Inclusion Vulnerability
• CVE-2024-43451 Microsoft Windows NTLMv2 Hash Disclosure Spoofing Vulnerability
• CVE-2024-49039 Microsoft Windows Task Scheduler Privilege Escalation Vulnerability

(11/14) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-9463 Palo Alto Networks Expedition OS Command Injection Vulnerability
• CVE-2024-9465 Palo Alto Networks Expedition SQL Injection Vulnerability

CISA, NSA, FBI などが共同で、2023年にもっとも悪用された脆弱性のリストを公開

(11/12) CISA, FBI, NSA, and International Partners Release Joint Advisory on 2023 Top Routinely Exploited Vulnerabilities | CISA

(11/12) 2023 Top Routinely Exploited Vulnerabilities | CISA

I-O DATA のハイブリッドLTEルーターに脆弱性。NICTER 解析チームが 10月末から脆弱性を悪用する攻撃を観測

(11/13) 「UD-LT1」「UD-LT1/EX」ファームウェア更新およびセキュリティ対策のお願い | アイ・オー・データ機器 I-O DATA

この度、弊社ハイブリッドLTEルーター「UD-LT1」「UD-LT1/EX」をインターネット側からVPN接続以外で設定画面へのアクセスを許可してご利用のお客様より、外部からの不正アクセスを受けている可能性がある旨のお問い合わせをいただきました。

10月22日以降、I-O DATA製LTEルータ「UD-LT1」を狙う攻撃を観測しています。ダークネットでも当該機器からのスキャン通信を確認しています。ベンダから対策が公表されていますので、ファームウェアの更新と管理者・ゲストアカウントのパスワード変更をお願いします。https://t.co/F950pcpCty

— NICTER 解析チーム (@nicter_jp) November 13, 2024

Palo Alto Networks のファイアウォール管理インタフェースにゼロデイ脆弱性。すでに悪用を確認

(11/14) PAN-SA-2024-0015 Critical Security Bulletin: Ensure Access to Management Interface is Secured

Palo Alto Networks has observed threat activity exploiting an unauthenticated remote command execution vulnerability against a limited number of firewall management interfaces which are exposed to the Internet. We are actively investigating this activity.

数日前からざわざわしていたPalo AltoのFW管理画面への認証前RCEのゼロデイが公式に確認されたようです。まだCVE、修正パッチともに出ていません。https://t.co/8QsQi9cmbf

3日前の調査ではShodanで公開サーバをグローバルで15429IPを発見し、内11180IPがアクティブIPであることを確認済みです。 pic.twitter.com/QalZj2oeyx

— nekono_nanomotoni (@nekono_naha) November 15, 2024

その他

Cybereason と Trustwave が合併を発表

(11/12) Trustwave and Cybereason Merge to Form Global MDR Powerhouse for Unparalleled Cybersecurity Value

(11/12) Cybereason and Trustwave Merge to Form Global MDR Powerhouse for Unparalleled Cybersecurity Value

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

• 事件、事故
  • 出前館のサービスにおいて、暗号資産マイニングマルウェアの感染によるシステム障害が発生
  • 各国の法執行機関の協力により、RedLine および META マルウェアのインフラを摘発
  • Lottie Player の npm パッケージが侵害され、不正なコードが混入
  • ドイツの法執行機関が Dstat.cc サービスを摘発し、関係者 2名を逮捕
• 攻撃、脅威
  • CISA および FBI が、中国の攻撃者による通信インフラへの不正アクセスについて調査を行っているとの共同声明
  • Microsoft がロシアの攻撃者グループ Midnight Blizzard による攻撃活動について報告
  • カナダの Cyber Centre が "National Cyber Threat Assessment 2025-2026" を公開
  • Microsoft が中国の攻撃者グループ Storm-0940 によるパスワードスプレー攻撃について報告
  • Sophos が Sophos のファイアウォールを狙う中国の攻撃者グループに関する 5年間におよぶ調査内容を報告
• 脆弱性
  • Apple が macOS Sequoia 15.1, macOS Sonoma 14.7.1, macOS Ventura 13.7.1, iOS 18.1 / iPadOS 18.1, iOS 17.7.1 / iPadOS 17.7.1, tvOS 18.1, watchOS 11.1, visionOS 2.1, Safari 18.1 をリリース
• その他
  • Microsoft が Microsoft Entra において MFA を必須にすると発表
  • CISA が "FY2025-2026 CISA International Strategic Plan" を発表

事件、事故

出前館のサービスにおいて、暗号資産マイニングマルウェアの感染によるシステム障害が発生

(10/29) システム障害に関するお詫びと、復旧に関するご報告 | ニュース | 株式会社出前館

10月25日（金）20時頃、サーバが高負荷となったことからサービスを停止し、当該サーバより切り離してサービスを再開いたしました。原因の調査を継続していたところ、翌10月26日（土）14時30分頃、前日とは異なるサーバが高負荷となり再度サービスを停止したのち、暗号資産マイニングマルウェアである通称「RedTail」に感染したことが発見され、当該マルウェアの削除を実施しました。サービスの再開にあたってはさらに万全を期するため作業を慎重に行ったことから想定よりも時間を要してしまいましたが、安全性が確認できたことからサービスを再開いたしました。なお現時点において個人情報の流出についてその恐れはありません。今後新しい事象が判明した場合は、速やかにお知らせいたします。

各国の法執行機関の協力により、RedLine および META マルウェアのインフラを摘発

(10/29) Malware targeting millions of people taken down by international coalition | Eurojust | European Union Agency for Criminal Justice Cooperation

(10/29) Internationale opsporingsdiensten ontmantelen infostealers | politie.nl

(10/29) Western District of Texas | U.S. Joins International Action Against RedLine and META Infostealers | United States Department of Justice

(10/29) Operation Magnus

Lottie Player の npm パッケージが侵害され、不正なコードが混入

(10/30) Lottie Player compromised in supply chain attack — all you need to know

Popular JavaScript library and npm package Lottie Player was compromised in a supply chain attack with threat actors releasing three new versions of the component yesterday, all in a span of a few hours. Intel from a leading web3 anti-scam platform suggests, at least one user may have lost more than $723,000 (10 BTC) after falling victim to a phishing transaction associated with the attack.

Incident Response for Recently Infected Lottie-Player versions 2.05, 2.06, 2.0.7

Comm Date/Time: Oct 31st, 2024 04:00 AM UTC

Incident: On October 30th ~6:20 PM UTC - LottieFiles were notified that our popular open source npm package for the web player @lottiefiles/lottie-player…

— LottieFiles (@LottieFiles) October 31, 2024

ドイツの法執行機関が Dstat.cc サービスを摘発し、関係者 2名を逮捕

(11/1) BKA - Listenseite für Pressemitteilungen 2024 - Cybercrime: Festnahmen in Hessen und Rheinland-Pfalz

(11/1) DDoS site Dstat.cc seized and two suspects arrested in Germany

攻撃、脅威

CISA および FBI が、中国の攻撃者による通信インフラへの不正アクセスについて調査を行っているとの共同声明

(10/25) Joint Statement by FBI and CISA on PRC Activity Targeting Telecommunications | CISA

(10/25) Joint Statement by FBI and CISA on People's Republic of China Activity Targeting Telecommunications — FBI

(10/27) Chinese hackers collected audio of calls by U.S. political officials - The Washington Post

(10/28) US says Chinese hackers breached multiple telecom providers

Microsoft がロシアの攻撃者グループ Midnight Blizzard による攻撃活動について報告

(10/29) Midnight Blizzard conducts large-scale spear-phishing campaign using RDP files | Microsoft Security Blog

(10/31) Foreign Threat Actor Conducting Large-Scale Spear-Phishing Campaign with RDP Attachments | CISA

カナダの Cyber Centre が "National Cyber Threat Assessment 2025-2026" を公開

(10/30) National Cyber Threat Assessment 2025-2026 - Canadian Centre for Cyber Security

(10/30) Chinese state-backed hackers breached 20 Canadian government networks over four years, agency warns

Microsoft が中国の攻撃者グループ Storm-0940 によるパスワードスプレー攻撃について報告

(10/31) Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network | Microsoft Security Blog

Sophos が Sophos のファイアウォールを狙う中国の攻撃者グループに関する 5年間におよぶ調査内容を報告

(10/31) Sophos' Pacific Rim: Defense Against Nation-State Adversaries

(10/31) Pacific Rim: Inside the Counter-Offensive—The TTPs Used to Neutralize China-Based Threats – Sophos News

(10/31) Pacific Rim timeline: Information for defenders from a braid of interlocking attack campaigns – Sophos News

脆弱性

Apple が macOS Sequoia 15.1, macOS Sonoma 14.7.1, macOS Ventura 13.7.1, iOS 18.1 / iPadOS 18.1, iOS 17.7.1 / iPadOS 17.7.1, tvOS 18.1, watchOS 11.1, visionOS 2.1, Safari 18.1 をリリース

(10/28) Apple security releases - Apple Support

その他

Microsoft が Microsoft Entra において MFA を必須にすると発表

(10/30) Update to security defaults - Microsoft Community Hub

We’re removing the option to skip multifactor authentication (MFA) registration for 14 days when security defaults are enabled. This means all users will be required to register for MFA on their first login after security defaults are turned on. This will help reduce the risk of account compromise during the 14-day window, as MFA can block over 99.2% of identity-based attacks. This change affects newly created tenants starting on December 2nd, 2024 and will be rolled out to existing tenants starting in January 2025.

CISA が "FY2025-2026 CISA International Strategic Plan" を発表

(10/30) FY2025-2026 CISA International Strategic Plan | CISA

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

• 事件、事故
  • 米司法省が Anonymous Sudan のメンバーである 2人のスーダン人を起訴
• 攻撃、脅威
  • Microsoft が "Microsoft Digital Defense Report 2024" を公開
  • CISA などが共同で、イランの攻撃者グループによる攻撃活動に関する注意喚起
• 脆弱性
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1 個の脆弱性を追加
  • Mandiant が 2023年に悪用された脆弱性に関する分析結果を報告
• その他
  • FIDO Alliance がクレデンシャルを安全に交換するための新たな仕様のワーキングドラフトを発表
  • ISOG-J が「セキュリティ対応組織の教科書 第3.2版」を公開

事件、事故

米司法省が Anonymous Sudan のメンバーである 2人のスーダン人を起訴

(10/16) Central District of California | Two Sudanese Nationals Indicted for Alleged Role in Anonymous Sudan Cyberattacks on Hospitals, Government Facilities, and Other Critical Infrastructure in Los Angeles and Around the World | United States Department of Justice

(10/16) Anonymous Sudan Takedown: Akamai's Role | Akamai

(10/16) Amazon helps the US Department of Justice thwart international cybercriminal group Anonymous Sudan

攻撃、脅威

Microsoft が "Microsoft Digital Defense Report 2024" を公開

(10/15) Escalating Cyber Threats Demand Stronger Global Defense and Cooperation - Microsoft On the Issues

CISA などが共同で、イランの攻撃者グループによる攻撃活動に関する注意喚起

(10/16) CISA, FBI, NSA, and International Partners Release Advisory on Iranian Cyber Actors Targeting Critical Infrastructure Organizations Using Brute Force | CISA

(10/16) Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations | CISA

脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1 個の脆弱性を追加

(10/15) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-30088 Microsoft Windows Kernel TOCTOU Race Condition Vulnerability
• CVE-2024-9680 Mozilla Firefox Use-After-Free Vulnerability
• CVE-2024-28987 SolarWinds Web Help Desk Hardcoded Credential Vulnerability

(10/17) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2024-40711 Veeam Backup and Replication Deserialization Vulnerability

Mandiant が 2023年に悪用された脆弱性に関する分析結果を報告

(10/16) How Low Can You Go? An Analysis of 2023 Time-to-Exploit Trends | Google Cloud Blog

その他

FIDO Alliance がクレデンシャルを安全に交換するための新たな仕様のワーキングドラフトを発表

(10/14) FIDO Alliance Publishes New Specifications to Promote User Choice and Enhanced UX for Passkeys - FIDO Alliance

ISOG-J が「セキュリティ対応組織の教科書 第3.2版」を公開

(10/17) 活動成果｜ISOG-J：セキュリティ対応組織の教科書 第3.2版

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

• 事件、事故
  • 各国の法執行機関の協力により、Lockbit ランサムウェアの関係者 4人を逮捕、関連するサーバなどを押収
  • ロシアが違法な資金洗浄に関与したとして暗号資産取引所の関係者など多数を逮捕
  • 米司法省と Microsoft の協力により、ロシアの攻撃者グループ Star Blizzard が利用する 100以上のドメインを摘発
• 攻撃、脅威
  • Akamai が先週報告された CUPS の脆弱性を利用した DDoS 攻撃の手法について報告
  • Cloudflare が 3.8 Tbps および 2.14 Gpps の DDoS 攻撃を観測
• 脆弱性
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 4+1+1 個の脆弱性を追加
• その他
  • IPA が「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を2025年3月から開始すると発表
  • Windows 11 version 24H2 がリリース
  • 米国で「カウンターランサムウェア・イニシアティブ会合」が開催、日本からも NISC などが参加

事件、事故

各国の法執行機関の協力により、Lockbit ランサムウェアの関係者 4人を逮捕、関連するサーバなどを押収

(10/1) LockBit power cut: four new arrests and financial sanctions against affiliates | Europol

(10/1) UK sanctions members of notorious ‘Evil Corp’ cyber-crime gang, after Lammy calls out Putin’s mafia state - GOV.UK

(10/1) Further Evil Corp cyber criminals exposed, one unmasked as LockBit affiliate - National Crime Agency

(10/1) Office of Public Affairs | Russian National Indicted for Series of Ransomware Attacks | United States Department of Justice

(10/1) Treasury Sanctions Members of the Russia-Based Cybercriminal Group Evil Corp in Tri-Lateral Action with the United Kingdom and Australia | U.S. Department of the Treasury

ロシアが違法な資金洗浄に関与したとして暗号資産取引所の関係者など多数を逮捕

(10/2) Основателей платежной системы UAPS и криптобиржи Cryptex подозревают в создании преступного сообщества

米司法省と Microsoft の協力により、ロシアの攻撃者グループ Star Blizzard が利用する 100以上のドメインを摘発

(10/3) Office of Public Affairs | Justice Department Disrupts Russian Intelligence Spear-Phishing Efforts | United States Department of Justice

(10/3) Protecting Democratic Institutions from Cyber Threats - Microsoft On the Issues

(10/3) Disrupting COLDRIVER: U.S. court orders seizure of domains used in Russian cyberattacks - The Citizen Lab

攻撃、脅威

Akamai が先週報告された CUPS の脆弱性を利用した DDoS 攻撃の手法について報告

(10/1) When CUPS Runneth Over: The Threat of DDoS | Akamai

Cloudflare が 3.8 Tbps および 2.14 Gpps の DDoS 攻撃を観測

(10/2) How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 4+1+1 個の脆弱性を追加

(9/30) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2023-25280 D-Link DIR-820 Router OS Command Injection Vulnerability
• CVE-2020-15415 DrayTek Multiple Vigor Routers OS Command Injection Vulnerability
• CVE-2021-4043 Motion Spell GPAC Null Pointer Dereference Vulnerability
• CVE-2019-0344 SAP Commerce Cloud Deserialization of Untrusted Data Vulnerability

(10/2) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2024-29824 Ivanti Endpoint Manager (EPM) SQL Injection Vulnerability

(10/3) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2024-45519 Synacor Zimbra Collaboration Command Execution Vulnerability

その他

IPA が「セキュリティ要件適合評価及びラベリング制度（JC-STAR）」の運用を2025年3月から開始すると発表

(9/30) IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します | プレスリリース | IPA 独立行政法人 情報処理推進機構

Windows 11 version 24H2 がリリース

(10/1) Windows 11, version 24H2: What’s new for IT pros - Windows IT Pro Blog

米国で「カウンターランサムウェア・イニシアティブ会合」が開催、日本からも NISC などが参加

(10/2) International Counter Ransomware Initiative 2024 Joint Statement | The White House

(10/3) 「カウンターランサムウェア・イニシアティブ会合」への参加について