今週の気になるセキュリティニュース - Issue #163

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

ドイツの法執行機関が "Nemesis Market" を摘発

(3/21) BKA - Meldungen - Illegaler Darknet-Marktplatz „Nemesis Market“ abgeschaltet

(3/22) Darknet marketplace Nemesis Market seized by German police

The German police have seized infrastructure for the darknet Nemesis Market cybercrime marketplace in Germany and Lithuania, disrupting the site's operation.

The Federal Criminal Police Office in Germany (BKA) and the Frankfurt cybercrime combating unit (ZIT) conducted the action on Wednesday, March 20, 2024, with law enforcement taking down the website and confiscating approximately $100,000 in cash.


米司法省はスマートフォン市場における独占禁止法違反の疑いでアップルを提訴

(3/21) Office of Public Affairs | Justice Department Sues Apple for Monopolizing Smartphone Markets | United States Department of Justice


ウクライナの複数の小規模 ISP で 3/13 以降に障害。ロシアの攻撃者グループが犯行声明。

(3/21) Russian military intelligence may have deployed wiper against multiple Ukrainian ISPs | CyberScoop

(3/21) AcidPour | New Embedded Wiper Variant of AcidRain Appears in Ukraine - SentinelOne

On March 16th, 2024, we identified a suspicious Linux binary uploaded from Ukraine. Initial analysis showed surface similarities with the infamous AcidRain wiper used to disable KA-SAT modems across Europe at the start of the Russian invasion of Ukraine (commonly identified by the ‘Viasat hack’ misnomer). Since our initial finding, no similar samples or variants have been detected or publicly reported until now. This new sample is a confirmed variant we refer to as ‘AcidPour’, a wiper with similar and expanded capabilities.

(3/22) Sandworm-linked group likely knocked down Ukrainian internet providers


攻撃、脅威

CISA などが共同で、DDoS 攻撃への対応ガイドラインを更新

(3/21) Understanding and Responding to Distributed Denial-Of-Service Attacks | CISA


Mandiant が F5 BIG-IP と ConnectWise ScreenConnect の脆弱性を悪用する攻撃者グループの活動を報告

(3/22) Bringing Access Back — Initial Access Brokers Exploit F5 BIG-IP (CVE-2023-46747) and ScreenConnect | Mandiant

During the course of an intrusion investigation in late October 2023, Mandiant observed novel N-day exploitation of CVE-2023-46747 affecting F5 BIG-IP Traffic Management User Interface. Additionally, in February 2024, we observed exploitation of Connectwise ScreenConnect CVE-2024-1709 by the same actor. This mix of custom tooling and the SUPERSHELL framework leveraged in these incidents is assessed with moderate confidence to be unique to a People's Republic of China (PRC) threat actor, UNC5174.


Mandiant がロシアの攻撃者グループ APT29 による攻撃活動について報告

(3/22) APT29 Uses WINELOADER to Target German Political Parties | Mandiant

In late February, APT29 used a new backdoor variant publicly tracked as WINELOADER to target German political parties with a CDU-themed lure.


脆弱性

AppleiOS 16.7.7 / iPadOS 16.7.7, iOS 17.4.1 / iPadOS 17.4.1, visionOS 1.1.1 をリリース

(3/21) Apple security releases - Apple Support


Horizon3.ai が FortiClientEMS の脆弱性 CVE-2023-48788 の PoC を公開

(3/21) CVE-2023-48788: Fortinet FortiClient EMS SQL Injection Deep Dive – Horizon3.ai


その他

日本クレジット協会が「クレジットカード・セキュリティガイドライン【5.0 版】」を公表

(3/15) クレジットカード・セキュリティガイドライン【5.0 版】


経済産業省が IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表

(3/15) IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会の最終とりまとめを公表し、制度構築方針案に対する意見公募を開始しました (METI/経済産業省)


商用スパイウェアの拡散、悪用を防止する国際的な取り組みに、日本など 6ヶ国が参加

(3/18) Joint Statement on Efforts to Counter the Proliferation and Misuse of Commercial Spyware | The White House

At the third Summit for Democracy on March 18, 2024, Finland, Germany, Ireland, Japan, Poland, and Republic of Korea joined this first-of-its-kind international commitment to work collectively to counter the proliferation and misuse of commercial spyware. This joint statement, which was originally announced at the second Summit for Democracy on March 30, 2023, has been updated to reflect these additional countries.


GitHub脆弱性のあるコードを自動的に発見して修正する機能をリリース

(3/20) Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL - The GitHub Blog

Starting today, code scanning autofix will be available in public beta for all GitHub Advanced Security customers. Powered by GitHub Copilot and CodeQL, code scanning autofix covers more than 90% of alert types in JavaScript, Typescript, Java, and Python, and delivers code suggestions shown to remediate more than two-thirds of found vulnerabilities with little or no editing.

今週の気になるセキュリティニュース - Issue #162

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

海底ケーブルの障害により、複数のアフリカ諸国の通信に影響

(3/14) Undersea cable failures cause Internet disruptions for multiple African countries

Internet connectivity in several African countries was disrupted today, March 14, 2024. Beginning at approximately 05:00 UTC, west and central African countries were most impacted, as was South Africa. Based on published reports and social media posts from impacted network providers, the disruption is believed to be due to multiple undersea cable failures in the region. From The Gambia to Côte d'Ivoire, including a major network in South Africa (Vodacom), a total of 11 African countries were impacted, based on our observations.


マクドナルドでシステム障害が発生し、世界中の店舗に影響

(3/15) Update on Global Technology System Outage

At approximately midnight CDT on Friday, McDonald’s experienced a global technology system outage, which was quickly identified and corrected. Many markets are back online, and the rest are in the process of coming back online. We are closely working with those markets that are still experiencing issues. Notably, this issue was not directly caused by a cybersecurity event; rather, it was caused by a third-party provider during a configuration change.

(3/15) McDonald's: Global outage was caused by "configuration change"

(3/15) マクドナルド システム障害で営業取りやめの一部店舗で再開 | NHK | IT・ネット

(3/16) McDonald's outage shuts some restaurants globally | AP News


攻撃、脅威

警察庁が「令和5年におけるサイバー空間をめぐる脅威の情勢等について」を公開

(3/14) 令和5年におけるサイバー空間をめぐる脅威の情勢等について


Sekoia と Orange Cyberdefense が共同で、Residential Proxies (RESIP) サービスに関する調査結果を報告

(3/14) Unveiling the depths of Residential Proxies providers - Sekoia.io Blog


脆弱性

Microsoft が 2024年 3月の月例パッチを公開

(3/12) 2024 年 3 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2024-21334 Open Management Infrastructure のリモートでコードが実行される脆弱性 は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

(3/12) Zero Day Initiative — The March 2024 Security Update Review


Arcserve UDP に複数の脆弱性

(3/12) P00003059 | Arcserve UDP 8.1 | Console & Agent Vulnerabilities: CVE-2024-0801, CVE-2024-0800, CVE-2024-0799

(3/12) P00003050 | Arcserve UDP 9.2 | Console Vulnerabilities: CVE-2024-0801, CVE-2024-0800, CVE-2024-0799

(3/13) Arcserve Unified Data Protection 9.2 Multiple Vulnerabilities - Research Advisory | Tenable®


その他

KeePassXC 2.7.7 がリリース。Passkeys をサポートし、1Password と Bitwarden からのデータのインポートに対応。

(3/10) KeePassXC 2.7.7 released – KeePassXC


Tor Project が新たなブリッジとして WebTunnel をリリース

(3/12) Hiding in plain sight: Introducing WebTunnel | The Tor Project

Today, March 12th, on the World Day Against Cyber Censorship, the Tor Project's Anti-Censorship Team is excited to officially announce the release of WebTunnel, a new type of Tor bridge designed to assist users in heavily censored regions to connect to the Tor network. Available now in the stable version of Tor Browser, WebTunnel joined our collection of censorship circumvention tech developed and maintained by The Tor Project.

今週の気になるセキュリティニュース - Issue #161

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

LINEヤフー株式会社における不正アクセスによる通信の秘密の漏えい事案に対して、総務省が行政指導

(3/5) 総務省|報道資料|LINEヤフー株式会社に対する通信の秘密の保護及びサイバーセキュリティの確保に係る措置(指導)


AI 関連の営業秘密を不正に持ち出したとして、米司法省が中国国籍の元グーグル社員を逮捕、起訴

(3/6) Office of Public Affairs | Chinese National Residing in California Arrested for Theft of Artificial Intelligence-Related Trade Secrets from Google | United States Department of Justice

According to the indictment, returned on March 5 and unsealed earlier today, Ding, 38, a national of the People’s Republic of China and resident of Newark, California, transferred sensitive Google trade secrets and other confidential information from Google’s network to his personal account while secretly affiliating himself with PRC-based companies in the AI industry. Ding was arrested earlier this morning in Newark.


攻撃、脅威

FBI が Internet Crime Report 2023 を公開

(3/) Internet Crime Report 2023


Microsoft からロシアの攻撃者グループ Midnight Blizzard による攻撃についての続報

(3/8) Update on Microsoft Actions Following Attack by Nation State Actor Midnight Blizzard | MSRC Blog | Microsoft Security Response Center

In recent weeks, we have seen evidence that Midnight Blizzard is using information initially exfiltrated from our corporate email systems to gain, or attempt to gain, unauthorized access. This has included access to some of the company’s source code repositories and internal systems. To date we have found no evidence that Microsoft-hosted customer-facing systems have been compromised.


脆弱性

JetBrains TeamCity に複数の脆弱性

(3/4) TeamCity 2023.11.4 Is Out | The TeamCity Blog

(3/4) Additional Critical Security Issues Affecting TeamCity On-Premises (CVE-2024-27198 and CVE-2024-27199) – Update to 2023.11.4 Now | The TeamCity Blog

(3/6) Insights and Timeline: Our Approach to Addressing the Recently Discovered Vulnerabilities in TeamCity On-Premises | The TeamCity Blog

(3/4) CVE-2024-27198 and CVE-2024-27199: JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities (FIXED) | Rapid7 Blog

(3/6) Critical TeamCity flaw now widely exploited to create admin accounts


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+2+2 個の脆弱性を追加

(3/4) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(3/5) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2023-21237 Android Pixel Information Disclosure Vulnerability
  • CVE-2021-36380 Sunhillo SureLine OS Command Injection Vulnerablity

(3/6) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA


ApplemacOS Monterey 12.7.4, macOS Ventura 13.6.5, macOS Sonoma 14.4, iOS 15.8.2 / iPadOS 15.8.2, iOS 16.7.6 / iPadOS 16.7.6, iOS 17.4 / iPadOS 17.4, tvOS 17.4, watchOS 10.4, visionOS 1.1, Safari 17.4 をリリース。すでに悪用が確認されている脆弱性の修正を含む。

(3/5) Apple security releases - Apple Support


VMware ESXi などに複数の脆弱性

(3/5) VMSA-2024-0006.1


SKYSEA Client View に複数の脆弱性

(3/7) 特定フォルダにおけるアクセス制限不備の脆弱性(CVE-2024-21805) / 常駐プロセスにおけるアクセス制限不備の脆弱性(CVE-2024-24964)|セキュリティ・脆弱性について|Sky株式会社

平素より、当サイトをご利用いただきありがとうございます。弊社商品「SKYSEA Client View」において、下記2件の脆弱性が確認されました。

(1)特定フォルダにおけるアクセス制限不備の脆弱性

SKYSEA Client View のサービス起動時、サービスプロセスに任意のDLLをロードさせ、任意のコードを実行することができる脆弱性 (2)常駐プロセスにおけるアクセス制限不備の脆弱性

SKYSEA Client View の常駐プロセスを利用して、ユーザー権限のプロセスから管理者権限のプロセスが起動できる脆弱性

脆弱性は、コンピューター内の実行プロセスにとどまる脆弱性であることから、リモートで悪意のあるコードを実行させるようなものではございません。また、悪用報告等もございません。

(3/7) JVN#54451757: SKYSEA Client View における複数の脆弱性


その他

X で音声通話とビデオ通話が全ユーザで利用可能となり、デフォルトで有効に。

(3/2) The Twitter Settings You Should Change Now To Block Unwanted Calls

(3/5) Elon Musk switched on X calling by default: Here’s how to switch it off | TechCrunch

(参考) Audio and Video Calls

今週の気になるセキュリティニュース - Issue #160

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

「うるう日」が原因と見られるシステム障害

(2/29) 運転免許システム障害、新潟県警を除く3県警で復旧…「うるう年」で不具合か : 読売新聞

(2/29) 免許センターでシステム障害 一部除き復旧 「うるう日」原因か | NHK | 神奈川県

(2/29) スギ薬局グループ システム障害が復旧 「うるう日」が原因か | NHK | 医療・健康

(3/1) システム障害によるお詫びと復旧のお知らせ | スギ薬局グループお客様サイト


攻撃、脅威

マクニカが日経企業のランサム被害傾向を分析した結果を公開

(2/26) 公開情報から読み解く日系企業のランサム被害傾向 - セキュリティ研究センターブログ

データ窃取やデータ暗号化をもとに身代金を要求する攻撃手法を用いるランサムアクターによる日系企業・組織の被害傾向を公開情報から記録、分析し始めて4年目となりました。ここでの公開情報は企業の被害公表プレスリリースや攻撃者によるダークウェブ上でのリーク情報を指します。過去何度か講演やカンファレンス等でデータを公開していましたが、2020年5月~2023年12月末までのデータをブログとしても公開したいと思います。


NCSC, CISA ほか Five Eyes 諸国が共同で、ロシアの攻撃者グループ APT29 による攻撃活動に関する注意喚起

(2/26) SVR cyber actors adapt tactics for initial cloud access - NCSC.GOV.UK

This advisory details recent tactics, techniques and procedures (TTPs) of the group commonly known as APT29, also known as Midnight Blizzard, the Dukes or Cozy Bear.


CISA, FBI, HHS が共同で、ALPHV Blackcat ランサムウェアに関する注意喚起

(2/27) CISA, FBI, and HHS Release an Update to #StopRansomware Advisory on ALPHV Blackcat | CISA

Today, CISA, the Federal Bureau of Investigation (FBI), and the Department of Health and Human Services (HHS) released an update to the joint advisory #StopRansomware: ALPHV Blackcat to provide new indicators of compromise (IOCs) and tactics, techniques, and procedures (TTPs) associated with the ALPHV Blackcat ransomware as a service (RaaS). ALPHV Blackcat affiliates have been observed primarily targeting the healthcare sector.


CISAFive Eyes 諸国と共同で、Ivanti 製品の脆弱性を悪用する攻撃活動に関する注意喚起

(2/29) Threat Actors Exploit Multiple Vulnerabilities in Ivanti Connect Secure and Policy Secure Gateways | CISA

Cyber threat actors are actively exploiting multiple previously identified vulnerabilities—CVE-2023-46805, CVE-2024-21887, and CVE-2024-21893—affecting Ivanti Connect Secure and Ivanti Policy Secure gateways. The vulnerabilities impact all supported versions (9.x and 22.x) and can be used in a chain of exploits to enable malicious cyber threat actors to bypass authentication, craft malicious requests, and execute arbitrary commands with elevated privileges.

During multiple incident response engagements associated with this activity, CISA identified that Ivanti’s internal and previous external ICT failed to detect compromise. In addition, CISA has conducted independent research in a lab environment validating that the Ivanti ICT is not sufficient to detect compromise and that a cyber threat actor may be able to gain root-level persistence despite issuing factory resets.

(2/29) Enhanced External Integrity Checking Tool to Provide Additional Visibility and Protection for Customers Against Evolving Threat Actor Techniques in Relation to Previously Disclosed Vulnerabilities

(2/27) Cutting Edge, Part 3: Investigating Ivanti Connect Secure VPN Exploitation and Persistence Attempts | Mandiant


CISA などが共同で、Phobos ランサムウェアに関する注意喚起

(2/29) #StopRansomware: Phobos Ransomware | CISA


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(2/29) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


その他

ホワイトハウスは、開発者にメモリセーフなプログラミング言語の利用を推奨する報告書を公開

(2/26) Press Release: Future Software Should Be Memory Safe | ONCD | The White House

Today, the White House Office of the National Cyber Director (ONCD) released a report calling on the technical community to proactively reduce the attack surface in cyberspace. ONCD makes the case that technology manufacturers can prevent entire classes of vulnerabilities from entering the digital ecosystem by adopting memory safe programming languages. ONCD is also encouraging the research community to address the problem of software measurability to enable the development of better diagnostics that measure cybersecurity quality.


NIST が Cybersecurity Framework (CSF) の Version 2.0 を公開

(2/26) NIST Releases Version 2.0 of Landmark Cybersecurity Framework | NIST

(2/29) NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?|ブログ|NRIセキュア


重要経済安保情報の保護及び活用に関する法律案が閣議決定

(2/27) 重要経済安保情報の保護及び活用に関する法律案について | 報道発表 | 内閣官房ホームページ

(2/27) セキュリティークリアランス制度 創設に向けた法案 閣議決定 | NHK | 経済安全保障

今週の気になるセキュリティニュース - Issue #159

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

中国の I-Soon の内部情報が何者かによってリークされる

(2/21) A first analysis of the i-Soon data leak | Malwarebytes

(2/21) Unmasking I-Soon | The Leak That Revealed China's Cyber Operations - SentinelOne

(2/22) Lessons from the iSOON Leaks

(2/22) New Leak Shows Business Side of China’s APT Menace – Krebs on Security

(2/23) Data From Chinese Security Services Company i-Soon Linked to Previous Chinese APT Campaigns


AT&T の携帯電話回線で大規模な障害

(2/22) AT&T Network Update

(2/22) Massive AT&T outage impacts US mobile subscribers


攻撃、脅威

米英など複数の法執行機関の協力により、LockBit ランサムウェアのインフラを摘発。日本警察も復号ツールの開発などで協力

(2/20) International investigation disrupts the world’s most harmful cyber crime group - National Crime Agency

(2/20) Office of Public Affairs | U.S. and U.K. Disrupt LockBit Ransomware Variant | United States Department of Justice

(2/20) United States Sanctions Affiliates of Russia-Based LockBit Ransomware Group | U.S. Department of the Treasury

(2/20) Law enforcement disrupt world’s biggest ransomware operation | Europol

(2/20) Unpicking LockBit — 22 Cases of Affiliate Tradecraft | Secureworks

(2/20) OpCronos: The Demise of One of the Most Prominent RaaS Gangs, LOCKBIT

(2/21) ランサムウェア被疑者の検挙及び関連犯罪インフラのテイクダウンに関するユーロポールのプレスリリースについて|警察庁Webサイト

(2/21) ランサムウェアによる暗号化被害データに関する復号ツールの開発について|警察庁Webサイト

(2/22) LockBit Attempts to Stay Afloat with a New Version


JPCERT/CC が Lazarus グループによる PyPI を悪用する攻撃活動について報告

(2/21) PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


脆弱性

ConnectWise ScreenConnect に脆弱性。すでに悪用を確認

(2/19) ConnectWise ScreenConnect 23.9.8 security fix

(2/21) ConnectWise ScreenConnect: Authentication Bypass Deep Dive – Horizon3.ai

(2/23) SlashAndGrab: ScreenConnect Post-Exploitation in the Wild (CVE-2024-1709 & CVE-2024-1708)

(2/23) ConnectWise ScreenConnect attacks deliver malware – Sophos News


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(2/22) CISA Adds One Known Exploited ConnectWise Vulnerability, CVE-2024-1709, to Catalog | CISA

  • CVE-2024-1709 ConnectWise ScreenConnect Authentication Bypass Vulnerability


その他

Signal が username をサポート

(2/20) Signal >> Blog >> Keep your phone number private with Signal usernames


(宣伝) 来月セミナーに登壇します!

TECH+ フォーラム - セキュリティ 2024 Mar. 「推奨」と事例に学ぶ事前対策 | マイナビニュース

今週の気になるセキュリティニュース - Issue #158

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

LINEヤフーは委託先からの不正アクセスによる情報漏洩を公表。また昨年11月に公表した不正アクセス事案について情報を更新

(2/14) 委託先2社のアカウントを利用した不正アクセスによる、従業者等の情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社

LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、従業者等*1に関する情報の漏えい(可能性も含みます)があることが判明しましたのでお知らせいたします。本事案は、2023年11月27日に公表した不正アクセス事案とは異なる事案となり、モニタリングを強化する中で判明したものです。

(2/14) 不正アクセスによる個人情報漏えいへの再発防止策に関するお知らせ|LINEヤフー株式会社

(2/14 更新) 不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)|LINEヤフー株式会社

2024年2月14日追記および修正:当社が主体として管理運用するシステムに加え、社外のサービスシステムについても当該サービスシステムの提供先に対して不正アクセスに係る情報提供を依頼する等、追加的な調査を実施。社内コミュニケーションに利用しているメール、Slack等のサービスシステム等において、「ユーザーに関する情報(42件)と取引先等に関する情報(106件)、従業者等に関する情報(78,962件)」の漏えいを新たに確認。(漏えい可能性を含みます。)影響範囲の最終調査を完了。

(参考) LINEヤフーへの不正アクセスについてまとめてみた - piyolog


昨年発生した派遣社員による顧客情報の不正な持ち出しに関して、個人情報保護委員会NTTドコモとNTTネクシアに行政指導

(2/15) 株式会社NTTドコモ及び株式会社NTTネクシアに対する個人情報の保護に関する法律に基づく行政上の対応について(令和6年2月15日) |個人情報保護委員会

(2/15) 当社に対する個人情報保護委員会からの指導等について|お知らせ|NTTネクシア

(2/15) 報道発表資料 : 当社に対する個人情報保護委員会からの指導等について | お知らせ | NTTドコモ


トヨタモビリティサービスの「Booking Car」から情報漏洩の可能性

(2/16) お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて - トヨタモビリティサービス株式会社

トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、約25,000名分が漏洩した可能性があることが判明致しました。 「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。


攻撃、脅威

Rhysida ランサムウェアの復号ツールが公開

(2/13) Decrypted: Rhysida Ransomware - Avast Threat Labs

In October 2023, we published a blog post containing technical analysis of the Rhysida ransomware. What we intentionally omitted in the blog post was that we had been aware of a cryptographic vulnerability in this ransomware for several months and, since August 2023, we had covertly provided victims with our decryption tool. Thanks to our collaboration with law enforcement units, we were able to quietly assist numerous organizations by decrypting their files for free, enabling them to regain functionality. Given the weakness in Rhysida ransomware was publicly disclosed recently, we are now publicly releasing our decryptor for download to all victims of the Rhysida ransomware.

(2/12) Rhysida Ransomware Cracked, Free Decryption Tool Released

(2/9) [2402.06440] A Method for Decrypting Data Infected with Rhysida Ransomware


Microsoft と OpenAI が共同で、国家を背景とする攻撃者グループによる AI 関連サービスの利用に関する報告

(2/14) Staying ahead of threat actors in the age of AI | Microsoft Security Blog

Over the last year, the speed, scale, and sophistication of attacks has increased alongside the rapid development and adoption of AI. Defenders are only beginning to recognize and apply the power of generative AI to shift the cybersecurity balance in their favor and keep ahead of adversaries. At the same time, it is also important for us to understand how AI can be potentially misused in the hands of threat actors. In collaboration with OpenAI, today we are publishing research on emerging threats in the age of AI, focusing on identified activity associated with known threat actors, including prompt-injections, attempted misuse of large language models (LLM), and fraud. Our analysis of the current use of LLM technology by threat actors revealed behaviors consistent with attackers using AI as another productivity tool on the offensive landscape. You can read OpenAI’s blog on the research here. Microsoft and OpenAI have not yet observed particularly novel or unique AI-enabled attack or abuse techniques resulting from threat actors’ usage of AI. However, Microsoft and our partners continue to study this landscape closely.

(2/14) Disrupting malicious uses of AI by state-affiliated threat actors

We build AI tools that improve lives and help solve complex challenges, but we know that malicious actors will sometimes try to abuse our tools to harm others, including in furtherance of cyber operations. Among those malicious actors, state-affiliated groups—which may have access to advanced technology, large financial resources, and skilled personnel—can pose unique risks to the digital ecosystem and human welfare.

In partnership with Microsoft Threat Intelligence, we have disrupted five state-affiliated actors that sought to use AI services in support of malicious cyber activities. We also outline our approach to detect and disrupt such actors in order to promote information sharing and transparency regarding their activities.


CISA と MS-ISAC が共同で、州政府機関を標的とした攻撃に関する注意喚起

(2/15) Threat Actor Leverages Compromised Account of Former Employee to Access State Government Organization | CISA

The Cybersecurity and Infrastructure Security Agency (CISA) and the Multi-State Information Sharing & Analysis Center (MS-ISAC) conducted an incident response assessment of a state government organization’s network environment after documents containing host and user information, including metadata, were posted on a dark web brokerage site. Analysis confirmed that an unidentified threat actor compromised network administrator credentials through the account of a former employee—a technique commonly leveraged by threat actors—to successfully authenticate to an internal virtual private network (VPN) access point, further navigate the victim’s on-premises environment, and execute various lightweight directory access protocol (LDAP) queries against a domain controller.[1] Analysis also focused on the victim’s Azure environment, which hosts sensitive systems and data, as well as the compromised on-premises environment. Analysis determined there were no indications the threat actor further compromised the organization by moving laterally from the on-premises environment to the Azure environment.


米司法省はロシアの情報機関が利用しているボットネットの活動を停止させる作戦を実施

(2/15) Office of Public Affairs | Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate of the General Staff (GRU) | United States Department of Justice

A January 2024 court-authorized operation has neutralized a network of hundreds of small office/home office (SOHO) routers that GRU Military Unit 26165, also known as APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear, and Sednit, used to conceal and otherwise enable a variety of crimes. These crimes included vast spearphishing and similar credential harvesting campaigns against targets of intelligence interest to the Russian government, such as U.S. and foreign governments and military, security, and corporate organizations. In recent months, allegations of Unit 26165 activity of this type has been the subject of a private sector cybersecurity advisory and a Ukrainian government warning.


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+2+2 個の脆弱性を追加

(2/12) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2023-43770 Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability

(2/13) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(2/15) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA


Microsoft が 2024年 2月の月例パッチを公開。すでに悪用が確認されている複数の脆弱性を含む。

(2/13) 2024 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

(2/13) Zero Day Initiative — The February 2024 Security Update Review

(2/13) CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day

(2/14) The Risks of the #MonikerLink Bug in Microsoft Outlook and the Big Picture - Check Point Research


QNAP 製品に複数の脆弱性

(2/13) Multiple Vulnerabilities in QTS, QuTS hero and QuTScloud - Security Advisory | QNAP

(2/13) CVE-2023-47218: QNAP QTS and QuTS Hero Unauthenticated Command Injection (FIXED) | Rapid7 Blog

(2/13) New Vulnerability in QNAP QTS Firmware: CVE-2023-50358


その他

JNSA が「インシデント損害額調査レポート 第2版」を公開

(2/9) NPO日本ネットワークセキュリティ協会 報告書・公開資料


NICT が「NICTER観測レポート2023」を公開

(2/13) NICTER観測レポート2023の公開|2024年|NICT-情報通信研究機構


DuckDuckGo ブラウザがエンドツーエンドでの同期とバックアップに対応

(2/14) DuckDuckGo Browser Update: Private Sync & Backup


nginx のコア開発者が nginx をフォークして freenginx.org を立ち上げ

(2/14) announcing freenginx.org

(2/16) NGINXのコア開発者がF5の経営陣に反発、NGINXをフォークし「FreeNginx」を立ち上げ。F5の経営陣がポリシーや開発者の立場を無視したと - Publickey


JPCERT/CC が 2023年 10〜12月のインターネット定点観測レポートを公開

(2/15) インターネット定点観測レポート(2023年 10~12月)


NICT が 2023年第 4 四半期の NICTER観測統計を公開

(2/15) NICTER観測統計 - 2023年10月~12月 - NICTER Blog

今週の気になるセキュリティニュース - Issue #157

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

外務省のシステムが中国からのサイバー攻撃を受け、大規模な情報漏洩が起きていたとの報道

(2/5) 外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検 : 読売新聞

 外交上の機密情報を含む公電をやりとりする外務省のシステムが中国のサイバー攻撃を受け、大規模な情報漏えいが起きていたことがわかった。米政府は2020年に日本政府に警告して対応を求め、日本側は主要な政府機関のシステムを点検し、対策の強化を急いでいる。

(参考) 外務省の外交公電を取り扱うシステムへのサイバー攻撃についてまとめてみた - piyolog


ツイキャスへの大規模な DDoS 攻撃が断続的に発生

(2/6) DDoS攻撃によるサービス障害に関するお知らせ - TwitCasting

2024年1月30日から、ツイキャスのサーバーに対して大規模なDDoS攻撃が断続的に行われていることを確認しております。


名刺管理サービスから不正に情報を入手したとして、不動産会社の社員を逮捕

(2/9) 名刺管理サービスから情報不正入手か 不動産販売会社社員逮捕|NHK 首都圏のニュース

(2/9) 名刺管理サービスに不正アクセス疑い 会社員逮捕 投資勧誘に悪用か | 毎日新聞

(2/9) 「Sansan」社員装い、名刺情報入手=容疑で不動産会社次長逮捕―警視庁 | 時事通信ニュース

(2/9) 本日の報道に関して | Sansan株式会社

(参考) 不正アクセスで入手した名刺情報を投資勧誘に悪用していた事案についてまとめてみた - piyolog


米司法省が Warzone RAT マルウェアの販売サイトを摘発し、容疑者 2人を起訴

(2/9) Office of Public Affairs | International Cybercrime Malware Service Dismantled by Federal Authorities: Key Malware Sales and Support Actors in Malta and Nigeria Charged in Federal Indictments | United States Department of Justice

The Justice Department announced today that, as part of an international law enforcement effort, federal authorities in Boston seized internet domains that were used to sell computer malware used by cybercriminals to secretly access and steal data from victims’ computers. Federal authorities in Atlanta and Boston also unsealed indictments charging individuals in Malta and Nigeria, respectively, for their alleged involvement in selling the malware and supporting cybercriminals seeking to use the malware for malicious purposes.


攻撃、脅威

Google TAG が商用スパイウェアのベンダーの活動に関して報告

(2/6) New Google TAG report: How Commercial Surveillance Vendors work

To shine a light on the spyware industry, today, Google’s Threat Analysis Group (TAG) is releasing Buying Spying, an in-depth report with our insights into Commercial Surveillance Vendors (CSVs). TAG actively tracks around 40 CSVs of varying levels of sophistication and public exposure. The report outlines our understanding of who is involved in developing, selling, and deploying spyware, how CSVs operate, the types of products they develop and sell, and our analysis of recent activity.


CISA, NSA, FBI などが共同で、中国の攻撃者グループ Volt Typhoon による攻撃活動に関する注意喚起

(2/7) PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA

(2/7) Identifying and Mitigating Living Off the Land Techniques | CISA

(2/7) The Importance of Patching: An Analysis of the Exploitation of N-Day Vulnerabilities | Fortinet Blog


Citizen Lab が中国による影響工作のキャンペーンについて報告

(2/7) PAPERWALL: Chinese Websites Posing as Local News Outlets Target Global Audiences with Pro-Beijing Content - The Citizen Lab

A network of at least 123 websites operated from within the People’s Republic of China while posing as local news outlets in 30 countries across Europe, Asia, and Latin America, disseminates pro-Beijing disinformation and ad hominem attacks within much larger volumes of commercial press releases. We name this campaign PAPERWALL.


脆弱性

JetBrains TeamCity に認証バイパスの脆弱性 CVE-2024-23917

(2/6) Critical Security Issue Affecting TeamCity On-Premises (CVE-2024-23917) – Update to 2023.11.3 Now | The TeamCity Blog

The vulnerability may enable an unauthenticated attacker with HTTP(S) access to a TeamCity server to bypass authentication checks and gain administrative control of that TeamCity server.

(2/6) JetBrains warns of new TeamCity auth bypass vulnerability


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(2/6) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(2/9) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-21762 Fortinet FortiOS Out-of-Bound Write Vulnerability


FortiOS に複数の脆弱性

(2/8) FortiOS - Out-of-bound Write in sslvpnd | PSIRT | FortiGuard

Note: This is potentially being exploited in the wild.

(2/8) FortiOS - Format String Bug in fgfmd | PSIRT | FortiGuard

(2/9) Fortinet製FortiOSの境域外書き込みの脆弱性(CVE-2024-21762)に関する注意喚起

(参考) FortiOSの脆弱性 CVE-2024-21762 についてまとめてみた - piyolog


Ivanti Connect Secure と Ivanti Policy Secure に新たな脆弱性 CVE-2024-22024

(2/8) CVE-2024-22024 (XXE) for Ivanti Connect Secure and Ivanti Policy Secure

As part of the ongoing investigation, we discovered a new vulnerability as part of our internal review and testing of our code, which was also responsibly disclosed by watchTowr. This vulnerability only affects a limited number of supported versions – Ivanti Connect Secure (version 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1, and 22.5R2.2), Ivanti Policy Secure version 22.5R1.1 and ZTA version 22.6R1.3.

(2/8) Ivanti Connect Secure CVE-2024-22024 - Are We Now Part Of Ivanti?


その他

警察庁および金融庁が、暗号資産交換業者への不正送金対策の強化について金融機関に要請

(2/6) 暗号資産交換業者への不正送金対策の強化に関する金融機関への要請について|警察庁Webサイト

昨今、フィッシングによるものとみられるインターネットバンキングによる不正送金事犯において暗号資産交換業者の金融機関口座に送金される被害や、特殊詐欺事案において暗号資産交換業者の金融機関口座に送金させる被害が多発している状況を踏まえ、令和6年2月6日、金融庁と連携し、一般社団法人全国銀行協会等に対して、次の対策事例を参考とした更なる対策の強化について、会員等への周知を要請しました。

(2/7) 第三者への資金移動が可能な暗号資産交換業者への不正送金対策の強化について:金融庁

現在、インターネットバンキングに係る不正送金事犯をはじめ、還付金詐欺や架空料金請求詐欺等をはじめとする特殊詐欺の被害金が、暗号資産交換業者あてに送金される事例が多発している情勢を踏まえ、2月6日、金融庁は下記の団体等に対して、警察庁と連名で、暗号資産交換業者あての送金利用状況などリスクに応じ、次の対策事例も参考にしつつ、利用者保護等のための更なる対策の強化を要請しました。


Mozilla が有料の Mozilla Monitor Plus サービスを開始

(2/7) Introducing Mozilla Monitor Plus, a new tool to automatically remove your personal information from data broker sites

Today, Mozilla Monitor (previously called Firefox Monitor), a free service that notifies you when your email has been part of a breach, announced its new paid subscription service offering: automatic data removal and continuous monitoring of your exposed personal information.

(参考) Data Removal Service - Onerep

(コメント) Mozilla は Onerep と提携して Monitor Plus のサービスを提供している