今週の気になるセキュリティニュース - Issue #205

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

日本気象協会の tenki.jp において、DDoS攻撃によるネットワーク輻輳によりサービスに影響

(1/5) 【復旧】天気予報専門メディア「tenki.jp」がご利用しづらい事象について | JWAニュース | 日本気象協会

2025年1月5日(日)午前6時54分ごろから、DDoS攻撃によるネットワーク輻輳のため天気予報専門メディア「tenki.jp」(WEB版・アプリ版)がご利用しづらい事象が発生しておりましたが、2025年1月5日(日)午後2時35分ごろに回復いたしました。

(1/9) 【復旧】天気予報専門メディア「tenki.jp」がご利用しづらい事象について(2025/1/9) | JWAニュース | 日本気象協会

2025年1月5日(日)午前6時54分ごろから、DDoS攻撃によるネットワーク輻輳のため天気予報専門メディア「tenki.jp」(WEB版・アプリ版)がご利用しづらい事象が発生しておりましたが、2025年1月5日(日)午後2時35分ごろに回復いたしました。

(1/10) 天気予報専門メディア「tenki.jp」の復旧につきまして | JWAニュース | 日本気象協会

2025年1月9日(木)午後8時42分ごろから、DDoS攻撃(注1)によるネットワーク輻輳(ふくそう)のため天気予報専門メディア「tenki.jp」(てんきじぇーぴー)(注2)のWEB版が断続的に利用しづらい事象が発生しておりましたが、DDoS攻撃対策を講じた結果、2025年1月10日(金)午後4時30分ごろに復旧いたしました。


三井住友カードの Vpass においてアクセスしづらい事象が発生

(1/6, 1/8) 総合インフォメーション|クレジットカードの三井住友VISAカード

2025年1月6日

2025年1月6日(月)7:03頃~9:15頃の間、Vpass(Web・アプリ)にアクセスしづらい事象が発生しておりました。現在は復旧しております。ご迷惑をおかけしましたことを深くお詫び申し上げます。

2025年1月8日

2025年1月8日(水)13:48頃~14:26頃の間、Vpass(Web・アプリ)にアクセスしづらい事象が発生しておりました。現在は復旧しております。ご迷惑をおかけしましたことを深くお詫び申し上げます。

(1/6) 三井住友カードアプリなどの障害が復旧 サイバー攻撃含め原因は調査中


りそな銀行で外部からの大量データ送付に起因する障害が発生し、インターネットバンキングに影響

(1/7) 「重要」ネットワーク不具合による各種サービスへの影響について│りそな銀行

外部からの大量データ送付に起因し、「マイゲート・グループアプリ」において、繋がりにくい状況が発生しておりましたが 現在は安定しております。

本事象によるお客さまデータの流出やウイルス被害は発生しておりません。


LINE VOOM の投稿閲覧ページにおいて誤表示が発生

(1/7) LINE VOOM(ブラウザ版)の投稿閲覧ページにおける誤表示のお知らせとお詫び|LINEヤフー株式会社

LINE VOOM(ブラウザ版)の投稿閲覧ページにおいて、投稿動画が表示される代わりに、投稿したユーザーおよび投稿コンテンツに関する情報、ならびに当該投稿を直前に閲覧したユーザーの情報が文字列として、誤って表示される場合がありました。


ロシアの ISP Nodex がサイバー攻撃による被害を受け、サービスに影響

(1/8) Russian ISP confirms Ukrainian hackers "destroyed" its network

(1/9) Russian internet provider confirms its network was ‘destroyed’ following attack claimed by Ukrainian hackers | The Record from Recorded Future News


KDDI において通信設備の故障により、5G サービスの利用に影響

(1/10) 【復旧】全国の5G SA契約の一部の携帯電話サービスがご利用できない、またはご利用しづらい状況について(1月10日 午後6時20分時点)


攻撃、脅威

トレンドマイクロが2024年末からのDDoS攻撃との関連が疑われる IoT ボットネットについて報告

(1/6) 2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測 | トレンドマイクロ | トレンドマイクロ (JP)

2024年の年末から大規模に活動を行っているIoTボットネットを発見し、そのC&Cサーバから送信されるDDoS攻撃コマンドを観測しました。このIoTボットネットのC&Cサーバからは各国の様々な企業を対象としたDDoS攻撃コマンドが発信されており、攻撃の対象の中には、日本の複数の大企業や銀行が含まれていました。


奇安信の Xlab が Mirai 亜種 Gayfemboy の活動状況について報告

(1/7) Gayfemboy: A Botnet Deliver Through a Four-Faith Industrial Router 0-day Exploit.


警察庁および NISC が攻撃者グループ MirrorFace によるサイバー攻撃について注意喚起

(1/8) MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1 個の脆弱性を追加

(1/7) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

(1/8) CISA Adds One Vulnerability to the KEV Catalog | CISA


Ivanti Connect Secure などに複数の脆弱性。すでに悪用を確認

(1/8) Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways | Ivanti

(1/8) Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)

We are aware of a limited number of customers’ Ivanti Connect Secure appliances being exploited by CVE-2025-0282 at the time of disclosure. We are not aware of these CVEs being exploited in Ivanti Policy Secure or ZTA gateways.

We are not aware of any exploitation of CVE-2025-0283 at the time of disclosure.

Exploitation of CVE-2025-0282 can be identified by the Integrity Checker Tool (ICT). We strongly advise all customers to closely monitor their internal and external ICT as a part of a robust and layered approach to cybersecurity to ensure the integrity and security of the entire network infrastructure.

(1/8) Ivanti Releases Security Updates for Connect Secure, Policy Secure, and ZTA Gateways | CISA

(1/9) Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation | Google Cloud Blog

On Wednesday, Jan. 8, 2025, Ivanti disclosed two vulnerabilities, CVE-2025-0282 and CVE-2025-0283, impacting Ivanti Connect Secure (“ICS”) VPN appliances. Mandiant has identified zero-day exploitation of CVE-2025-0282 in the wild beginning mid-December 2024. CVE-2025-0282 is an unauthenticated stack-based buffer overflow. Successful exploitation could result in unauthenticated remote code execution, leading to potential downstream compromise of a victim network.

(1/9) Ivanti Connect Secureなどにおける脆弱性(CVE-2025-0282)に関する注意喚起

(1/10) Do Secure-By-Design Pledges Come With Stickers? - Ivanti Connect Secure RCE (CVE-2025-0282)


その他

Meta が第三者によるファクトチェックの廃止などの方針変更を発表

(1/7) More Speech and Fewer Mistakes | Meta

  • Starting in the US, we are ending our third party fact-checking program and moving to a Community Notes model.
  • We will allow more speech by lifting restrictions on some topics that are part of mainstream discourse and focusing our enforcement on illegal and high-severity violations.
  • We will take a more personalized approach to political content, so that people who want to see more of it in their feeds can.

(1/7) アメリカIT大手メタ 第三者ファクトチェック廃止 FacebookやInstagram トランプ氏の大統領就任踏まえたか | NHK | IT・ネット

(1/8) 米メタ、ファクトチェック機能を廃止へ CEO「トランプ氏と協力」 | 毎日新聞

今週の気になるセキュリティニュース - Issue #204

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

財務省で 12月初めに中国の攻撃者からの不正アクセス

(12/30) US Treasury says China accessed government documents in 'major' cyberattack | TechCrunch

The U.S. Treasury told lawmakers in a letter Monday that it was hit by a cyberattack earlier in December, which the department has attributed to Chinese government hackers.

In the letter shared with senior U.S. House lawmakers, which TechCrunch has seen, the Treasury said the hackers gained remote access to certain Treasury employee workstations and had access to unclassified documents, in what it described as a “major cybersecurity incident.”

The Treasury said it was notified on December 8 by BeyondTrust, a company that provides identity access and remote support tech for large organizations and government departments, that hackers had “gained access to a key used by the vendor” for providing remote access technical support to Treasury employees. BeyondTrust disclosed the incident at the time, but did not say how the key was obtained.

(12/30) China Hacked Treasury Dept. in ‘Major’ Breach, U.S. Says - The New York Times

(12/30) US Treasury Department breached through remote support platform

(1/1) Treasury’s sanctions office hacked by Chinese government, officials say - The Washington Post

Chinese government hackers breached a highly sensitive office in the Treasury Department that administers economic sanctions against countries and groups of individuals — one of the most potent tools possessed by the United States to achieve national security aims, according to U.S. officials.

The targeting of the Office of Foreign Assets Control (OFAC) as well as the Office of the Treasury Secretary — developments not previously reported — reflects Beijing’s determination to acquire intelligence on its most significant rival in the global competition for power and influence, said the officials, who like others interviewed for this report spoke on the condition of anonymity because of the matter’s sensitivity.

(1/2) Chinese hackers targeted sanctions office in Treasury attack

(12/18) BeyondTrust Remote Support SaaS Service Security… | BeyondTrust


りそな銀行で外部からの大量データ送付に起因する障害が発生し、インターネットバンキングに影響

(12/30) 「復旧済・12月30日(月)1:30時点」「マイゲート・りそなグループアプリ」がご利用いただけない状況が発生│りそな銀行 (アーカイブ)

12月29日(日)21:00頃より、「マイゲート・りそなグループアプリ」がご利用いただけない状況が発生しておりましたが、 12月30日(月)1:15頃に、復旧いたしました。

(12/31) 「重要」「りそなグループアプリ・マイゲート」へ繋がりにくい状況について│りそな銀行

外部からの大量データ送付に起因し、「りそなグループアプリ・マイゲート」が断続的に繋がりにくい状況が発生しております。

(12/30) りそな銀行 ネットバンキング不具合 サイバー攻撃か


みずほ銀行で外部からの大量データ送付に起因する障害が発生し、インターネットバンキングに影響

(12/31) みずほ銀行 (アーカイブ)

2024年12月31日 午前7時頃から10時頃の間、外部からの大量データ送付により、みずほダイレクト・かんたん残高照会が断続的に繋がりにくい事象が発生しておりましたが、現在は通常通りご利用いただけます。

(1/3) みずほ銀行 (アーカイブ)

2025年1月3日 午前9時頃から10時30分頃の間、外部からの大量データ送付により、みずほダイレクト・かんたん残高照会が断続的に繋がりにくい事象が発生しておりましたが、現在は通常通りご利用いただけます。

(12/31) みずほ銀行 ネットバンキングが一時つながりにくい状態に サイバー攻撃の可能性も | NHK | 金融

(12/31) みずほ銀行、ネットバンキング「みずほダイレクト」などで障害 サイバー攻撃で - 日本経済新聞


NTTドコモで DDoS 攻撃による障害が発生し、goo など複数のサービスに影響

(1/2) ドコモからのお知らせ : 【お詫び/暫定復旧】gooサービス及びドコモの一部サービスがご利用しづらい事象について(2025年1月2日午後6時30分時点) | お知らせ | NTTドコモ

2025年1月2日(木曜)午前5時27分頃から、gooサービス及びドコモの一部サービスがご利用しづらい状況でしたが、アクセスしづらい状況については午後4時10分に回復いたしました。

復旧対処に伴い、影響を受けたサービスの一部コンテンツ更新等に影響が出ておりますが、最新の情報は各サービスサイト等で随時お知らせいたしますのでご確認をお願いします。

なお、本日d払いの決済サービスがご利用しづらい状況が発生(午前10時50分から午前11時08分)し、回復しておりますが、ドコモ設備へのDDoS攻撃の影響ではございません。

(1/2) goo blogにアクセスしづらい事象について - goo blog スタッフブログ


米政府が米国への不正アクセスに関与した中国のセキュリティ会社への制裁

(1/3) Sanctioning PRC Cyber Company Involved in Malicious Botnet Operations - United States Department of State

The United States is imposing sanctions today on the Beijing-based cybersecurity company Integrity Technology Group, Incorporated (Integrity Tech), which has links to the People’s Republic of China (PRC) Ministry of State Security, for its role in multiple computer intrusion incidents against U.S. victims.

(1/3) Treasury Sanctions Technology Company for Support to Malicious Cyber Group | U.S. Department of the Treasury

Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned Integrity Technology Group, Incorporated (Integrity Tech), a Beijing-based cybersecurity company, for its role in multiple computer intrusion incidents against U.S. victims. These incidents have been publicly attributed to Flax Typhoon, a Chinese malicious state-sponsored cyber group that has been active since at least 2021, often targeting organizations within U.S. critical infrastructure sectors.

(1/3) US sanctions Chinese company linked to Flax Typhoon hackers


攻撃、脅威

複数の Chrome 拡張に不正なコードが挿入される

(12/27) Cyberhaven Incident

(12/31) New details reveal how hackers hijacked 35 Google Chrome extensions


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(12/30) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


その他

今週の気になるセキュリティニュース - Issue #203

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

日本航空で外部からの大量データ受信に起因する障害が発生し、運航やサービスに影響

(12/26) ネットワーク障害による運航への影響について(終報) (アーカイブ)

2024年12月26日7:24から社内外を繋ぐネットワーク機器で障害が発生し、社外システムと通信しているシステムで不具合が発生しておりました。

  • 障害の原因ならびにシステム不具合による影響範囲を特定し、システムは復旧しました。  
  • 本件は、外部からの大量データの受信に起因する障害です。顧客データ流出やウイルス被害は生じておりません。  
  • 2024年12月26日に出発する国内線のJAL Webサイト・JALアプリからの当日アップグレードのお手続き、ならびに空港空席待ちサービスを停止しています。

(12/26) JAL 日本航空にサイバー攻撃 システム不具合は復旧 航空券の販売も再開 | NHK | 航空


三菱UFJ銀行で外部からの大量データ送付に起因する障害が発生し、複数のサービスに影響

(12/26) ネットワーク不具合による各種サービスの影響について(12月26日18時45分時点) | 三菱UFJ銀行

2024年12月26日15時頃より一部のお客さまにおいて、三菱UFJダイレクト(インターネットバンキング)の生体認証の利用が不安定な状態です。 生体認証が利用できない場合は、しばらくお待ちいただいてから再度お試しください。

また、BizSTATION及びCOMSUITE Portalにつきましても、ログインが不安定な状況が続いておりましたが、現在は安定しております。

本不具合は、外部からの不正な大量データ送付に起因するものであり、顧客データ流出やウイルス被害は生じておりません。

(12/26) JALと三菱UFJ銀がサイバー攻撃被害…システム障害で警視庁が通信記録解析へ : 読売新聞


攻撃、脅威

警察庁は FBI、DC3 と共同で、北朝鮮の攻撃者グループ TraderTraitor が DMM Bitcoin の暗号資産を窃取したことを特定したと公表

(12/23) FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com — FBI

(12/24) 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について|警察庁Webサイト

  • 令和6年3月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」(以下「Ginco」という。)の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。
  • 令和6年5月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC(攻撃当時約 482億円相当)が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

(12/24) 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について:金融庁

(12/24) 暗号資産の流出リスクへの対応等に関する再度の一斉点検実施について | 一般社団法人 日本暗号資産等取引業協会(JVCEA)

協会では、第一種会員である株式会社DMM bitcoinの暗号資産不正流出事案を受け、2024年9月26日に金融庁から公表された「暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について」に基づき会員に対し一斉点検を要請してきたところです。

本日金融庁から公表された「暗号資産の流出リスクへの対応等に関する再度の自主点検要請について」を受け、改めて暗号資産交換業を営む全会員に対して、会員各社の社内態勢について点検するよう要請いたします。

(12/26) 【重要】暗号資産の不正送金に関する警察庁の公表を受けた今後の当社の対応について - DMMビットコイン(2024/12/26)

令和6年12月24日(火)、警察庁より、当社が利用する株式会社Ginco(ギンコ)が開発及び利用提供されているコールドウォレットからの暗号資産の不正送金は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるものと特定されたとの公表(以下、「本件公表」)がありました。

本件公表を受け、当社は、株式会社Ginco(ギンコ)に対し、暗号資産窃取の具体的な手口や被害を防止できなかった原因について説明を求め、真相究明に努めて参ります。

(参考) TraderTraitorによるDMM Bitcoinのビットコイン不正流出についてまとめてみた - piyolog


NTTセキュリティが北朝鮮による攻撃キャンペーン Contagious Interview で使用されるマルウェア OtterCookie について報告

(12/25) Contagious Interviewが使用する新たなマルウェアOtterCookieについて | NTTセキュリティテクニカルブログ

SOCでは2024年11月頃から、Contagious InterviewキャンペーンにおいてBeaverTailやInvisibleFerret以外のマルウェアを実行していることを観測しています。私達は新たに観測したマルウェアをOtterCookieと呼び、その調査を行いました。本稿では、OtterCookieについて、その実行フローと詳細な挙動について紹介します。


JPCERT/CC水飲み場攻撃の国内事例を紹介 (Part2)

(12/26) 近年の水飲み場攻撃事例 Part2 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


Cyberhaven の Chrome 拡張が不正なコードに置き換えられる

(12/27) Cyberhaven’s Chrome extension security incident and what we’re doing about it

On December 24, a phishing attack compromised a Cyberhaven employee's credentials to the Google Chrome Web Store. The attacker used these credentials to publish a malicious version of our Chrome extension (version 24.10.4). Our security team detected this compromise at 11:54 PM UTC on December 25 and removed the malicious package within 60 minutes.

(12/27) Cyberhaven’s preliminary analysis of the recent malicious Chrome extension

Although analysis of the attack is still in progress, we now understand this was part of a larger campaign to target Chrome Extension developers. Public reports from security researchers have suggested that Chrome extensions from several different companies were compromised and our initial analysis points to a non-targeted attack. From analysis of some of the compromised machines, the primary motive for the attack was to target Facebook Ads accounts.

(12/27) Cybersecurity firm's Chrome extension hijacked to steal users' data


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(12/23) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2021-44207 Acclaim Systems USAHERDS Use of Hard-Coded Credentials Vulnerability


Palo Alto Networks の PAN-OS にサービス妨害の脆弱性 (CVE-2024-3393)

(12/27) CVE-2024-3393 PAN-OS: Firewall Denial of Service (DoS) in DNS Security Using a Specially Crafted Packet

Palo Alto Networks is aware of customers experiencing this denial of service (DoS) when their firewall blocks malicious DNS packets that trigger this issue.


その他

JNSA が 2024セキュリティ十大ニュースを発表

(12/25) JNSAセキュリティ十大ニュース


防衛省経済産業省および IPA が連携強化のための協定を締結

(12/27) 防衛省・自衛隊:サイバーセキュリティ分野における防衛省・経済産業省・IPAによる包括的な連携協定

今週の気になるセキュリティニュース - Issue #202

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

Amnesty International がセルビア当局による市民への監視活動に関するレポートを公開

(12/16) “A Digital Prison”: Surveillance and the suppression of civil society in Serbia - Amnesty International Security Lab

(12/15) Project Zero: The Qualcomm DSP Driver - Unexpectedly Excavating an Exploit


CISA連邦政府機関向けにクラウドサービスのセキュリティ強化を義務付ける運用指令 BOD 25-01 を発行

(12/17) BOD 25-01: Implementing Secure Practices for Cloud Services | CISA

(12/17) BOD 25-01: Implementation Guidance for Implementing Secure Practices for Cloud Services | CISA


アイルランドの Data Protection Commission (DPC) が Meta に対して GDPR 違反による €251M の制裁金

(12/17) Irish Data Protection Commission fines Meta €251 Million | 17/12/2024 | Data Protection Commission


財務省北朝鮮の暗号資産マネーロンダリングネットワークに対して制裁

(12/17) Treasury Disrupts North Korean Digital Assets Money Laundering Network | U.S. Department of the Treasury


攻撃、脅威

ESET が 2024年下半期の脅威レポート "ESET Threat Report H2 2024" を公開

(12/16) ESET Threat Report H2 2024


Trend Micro がロシアの攻撃者グループ Earth Koshchei の攻撃活動について報告

(12/17) Earth Koshchei Coopts Red Team Tools in Complex RDP Attacks | Trend Micro (US)


JPCERT/CC水飲み場攻撃の国内事例を紹介

(12/19) 近年の水飲み場攻撃事例 Part1 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+1+4+1 個の脆弱性を追加

(12/16) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(12/17) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-55956 Cleo Multiple Products Unauthenticated File Upload Vulnerability

(12/18) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
  • CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
  • CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
  • CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability

(12/19) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-12356 BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection Vulnerability


その他

今週の気になるセキュリティニュース - Issue #201

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

米司法省が 2020年に発生した多数のファイアウォール機器への攻撃に関して、中国人ハッカーを起訴

(12/10) Office of Public Affairs | China-Based Hacker Charged for Conspiring to Develop and Deploy Malware That Exploited Tens of Thousands of Firewalls Worldwide | United States Department of Justice

A federal court in Hammond, Indiana, unsealed an indictment today charging Guan Tianfeng, a citizen of the People’s Republic of China (PRC) for his involvement in a conspiracy to hack indiscriminately into firewall devices worldwide in 2020. Guan and his co-conspirators worked at the offices of Sichuan Silence Information Technology Co. Ltd. to discover and exploit a previously-unknown vulnerability (an “0-day” vulnerability) in certain firewalls sold by U.K.-based Sophos Ltd. (Sophos) – an information technology company that develops and markets cybersecurity products. The malware that exploited the vulnerability discovered by Guan was designed to steal information from infected computers and to encrypt files on them if a victim attempted to remediate the infection. In total, Guan and his co-conspirators infected approximately 81,000 firewall devices worldwide, including a firewall device used by an agency of the United States.

(12/10) Treasury Sanctions Cybersecurity Company Involved in Compromise of Firewall Products and Attempted Ransomware Attacks | U.S. Department of the Treasury

(12/10) US sanctions Chinese firm for hacking firewalls in ransomware attacks


Europol が複数の法執行機関と連携し、27の DDoS 攻撃代行サービスを摘発

(12/11) Law enforcement shuts down 27 DDoS booters ahead of annual Christmas attacks | Europol

Law enforcement agencies worldwide have disrupted a holiday tradition for cybercriminals: launching Distributed Denial-of-Service (DDoS) attacks to take websites offline. As part of an ongoing international crackdown known as PowerOFF, authorities have seized 27 of the most popular platforms used to carry out these attacks.

(12/11) Wereldwijde politieacties tegen DDoS-aanvallers | politie.nl

(12/11) Central District of California | 2 Defendants Charged in U.S. Courts as Part of Global Crackdown on ‘Booter’ Services Offering Distributed Denial-of-Service Attacks | United States Department of Justice

(12/11) Operation PowerOFF shuts down 27 DDoS-for-hire platforms

(12/12) DDoS攻撃ウェブサービスに関する国際共同捜査について|警察庁Webサイト

 日本警察においては、国際共同捜査を通じ、外国捜査機関から提供を受けた情報を緻密に精査することによって端緒を得、DDoS攻撃ウェブサービスを利用した者をこれまでに3名検挙しました。

(12/12) サイバー攻撃の代行サービス使い企業攻撃か 中学生が書類送検 | NHK | サイバー攻撃

サイバー攻撃を代行する海外のネットサービスを使って企業などのウェブサイトにサイバー攻撃を仕掛けたなどとして、中学生2人が書類送検児童相談所への通告をされていたことが警察庁への取材で分かりました。世界各国ではこうしたネットサービスを利用した人が300人以上いることも分かり、警察庁などが注意を呼びかけています。

(参考) 代行サービスを使ったDDoS攻撃容疑でさらに摘発された事案についてまとめてみた - piyolog


北朝鮮の IT 技術者がなりすましなどにより不正に収益を得ている活動について、米司法省が北朝鮮国籍の 14人を起訴

(12/12) Office of Public Affairs | Fourteen North Korean Nationals Indicted for Carrying Out Multi-Year Fraudulent Information Technology Worker Scheme and Related Extortions | United States Department of Justice

A federal court in St. Louis, Missouri, yesterday indicted 14 nationals of the Democratic People’s Republic of North Korea (DPRK or North Korea) with long-running conspiracies to violate U.S. sanctions and to commit wire fraud, money laundering, and identity theft. Specifically, the conspirators, who worked for DPRK-controlled companies Yanbian Silverstar and Volasys Silverstar, located in the People’s Republic of China (PRC) and the Russian Federation (Russia), respectively, conspired to use false, stolen, and borrowed identities of U.S. and other persons to conceal their North Korean identities and foreign locations and obtain employment as remote information technology (IT) workers for U.S. companies and nonprofit organizations.

The conspirators, some of whom were ordered by their superiors to earn at least $10,000 per month, generated at least $88 million throughout the approximately six-year conspiracy. In multiple instances, the conspirators supplemented their employment earnings by stealing sensitive company information, such as proprietary source code, and then threatening to leak such information unless the employer made an extortion payment. Ultimately, the conspirators used the U.S. and PRC financial systems to remit the proceeds of their activity to accounts in the PRC for the ultimate benefit of the DPRK government.

(12/12) US offers $5 million for info on North Korean IT worker farms


攻撃、脅威

Sophos が Active Adversary Report を公開

(12/12) The Bite from Inside: The Sophos Active Adversary Report – Sophos News


脆弱性

Microsoft が 2024年 12月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(12/10) 2024 年 12 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていること、や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

  • CVE-2024-49138 Windows 共通ログ ファイル システム ドライバーの特権の昇格の脆弱性

(12/10) Zero Day Initiative — The December 2024 Security Update Review


Cleo 製の複数の製品に脆弱性。すでに悪用を確認

(12/9) Cleo Software Actively Being Exploited in the Wild CVE-2024-50623 | Huntress

(12/9) Cleo Product Security Advisory - CVE-2024-50623 – Cleo

(12/13) Cleo Product Security Update – Cleo

Cleo strongly advises all customers to immediately upgrade instances of Harmony, VLTrader, and LexiCom to the latest released patch (version 5.8.0.24) to address this vulnerability.

(12/10) Cleo MFT Mass Exploitation Payload Analysis | Binary Defense

(12/10) Widespread Exploitation of Cleo File Transfer Software | Rapid7 Blog

(12/11) Modular Java Backdoor Dropped in Cleo Exploitation Campaign | Rapid7 Blog

(12/11) Oh No Cleo! Malichus Implant Malware Analysis


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(12/10) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(12/13) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-50623 Cleo Multiple Products Unrestricted File Upload Vulnerability


ApplemacOS Sequoia 15.2, macOS Sonoma 14.7.2, macOS Ventura 13.7.2, iOS 18.2 / iPadOS 18.2, iPadOS 17.7.3, tvOS 18.2, watchOS 11.2, visionOS 2.2, Safari 18.2 をリリース

(12/11) Apple security releases - Apple Support


Microsoft アカウントの多要素認証の仕組みに脆弱性、すでに修正済み

(12/11) Oasis Security Research Team Discovers Microsoft Azure MFA Bypass


その他

個人情報保護委員会不正アクセスによる個人データ漏えい防止のための注意喚起

(12/11) 不正アクセスによる個人データ漏えい防止のための注意喚起 |個人情報保護委員会

今週の気になるセキュリティニュース - Issue #200

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

DMMビットコインが顧客の口座および預り資産を SBI VCトレードへ移管すると発表

(12/2) 【重要】口座及び預かり資産のSBI VCトレードへの移管に向けた基本合意について - DMMビットコイン(2024/12/02)


Europol が複数の法執行機関と連携し、犯罪者に利用されていた暗号メッセージサービス MATRIX を摘発

(12/3) International operation takes down another encrypted messaging service used by criminals | Europol

(12/3) Opnieuw versleutelde communicatiedienst criminelen ontmanteld | politie.nl


Europol が複数の法執行機関と連携し、サイバー犯罪に利用されていたオンラインマーケットを摘発

(12/5) Fraudulent shopping sites tied to cybercrime marketplace taken offline | Europol


攻撃、脅威

警察庁が令和6年10月末におけるSNS型投資・ロマンス詐欺の認知・検挙状況等について公表

(12/3) 令和6年10月末におけるSNS型投資・ロマンス詐欺の認知・検挙状況等について|警察庁Webサイト


CISA などが共同で通信インフラの安全確保に関するガイダンスを公開。中国の攻撃者による通信インフラへの不正アクセスに対応したもの

(12/3) CISA and Partners Release Joint Guidance on PRC-Affiliated Threat Actor Compromising Networks of Global Telecommunications Providers | CISA

(12/3) Enhanced Visibility and Hardening Guidance for Communications Infrastructure | CISA

(12/4) White House: Salt Typhoon hacked telcos in dozens of countries

(12/5) At least 8 US telcos, dozens of countries impacted by Salt Typhoon breaches, White House says | The Record from Recorded Future News


Microsoft と Lumen Technologies がロシアの攻撃者グループ Secret Blizzard の攻撃活動について報告

(12/4) Frequent freeloader part I: Secret Blizzard compromising Storm-0156 infrastructure for espionage | Microsoft Security Blog

(12/4) Snowblind: The Invisible Hand of Secret Blizzard - Lumen Blog


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1 個の脆弱性を追加

(12/3) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2023-45727 North Grid Proself Improper Restriction of XML External Entity (XEE) Reference Vulnerability
  • CVE-2024-11680 ProjectSend Improper Authentication Vulnerability
  • CVE-2024-11667 Zyxel Multiple Firewalls Path Traversal Vulnerability

(12/4) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-51378 CyberPanel Incorrect Default Permissions Vulnerability


その他

ENISA が "2024 Report on the State of the Cybersecurity in the Union" を公開

(12/3) 2024 Report on the State of the Cybersecurity in the Union | ENISA

今週の気になるセキュリティニュース - Issue #199

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

Oisix.com で第三者による不正ログインが発生

(11/26) 【重要】当社WEBサイトへの「なりすましログイン」への対応に関して | 有機や特別栽培野菜など安全性に配慮した食品宅配のオイシックス・ラ・大地

弊社が運営する「Oisix.com」におきまして、第三者が外部から不正に取得したIDとパスワードを使用し、お客さまになりすましてログインする事象(以下、「なりすましログイン」)が発生いたしました。

 なりすましログイン時に第三者がお客さまの氏名、住所、電話番号、メールアドレス、お届け先等の情報が閲覧される可能性がございますため、対象のお客さまには、11月25日(月)に弊社にてパスワードのリセットを実施いたしました。

 なお、クレジットカード番号につきましては決済代行会社にて保持しておりますため、第三者に閲覧されている可能性はございません。


ISETAN DOOR で第三者による不正ログインが発生

(11/26) 【重要なお知らせ】ISETAN DOOR不正アクセス発生に伴うなりすましログイン被害について | お知らせ|ISETAN DOOR

この度、弊社が運営するISETAN DOORにおきまして、第三者が外部から不正に取得したIDとパスワードを使用し、お客様になりすましてログインする事象が発生いたしました。


アフリカ諸国の法執行機関の協力により、サイバー犯罪の容疑者 1,006 人を逮捕

(11/26) Major cybercrime operation nets 1,006 suspects

Authorities across 19 African countries have arrested 1,006 suspects and dismantled 134,089 malicious infrastructures and networks thanks to a joint operation by INTERPOL and AFRIPOL against cybercrime.


T-Mobile が攻撃者グループ Salt Typhoon による攻撃への対応状況について報告

(11/27) An Update on Recent Cyberattacks Targeting the US Wireless Companies ‑ T‑Mobile Newsroom


金融庁が無登録で暗号資産交換業を行う者に対して警告書を発出


LINE アプリにおいて、一部ユーザーのアルバムのサムネイル画像に、他のユーザーがアルバムに保存した画像が表示される不具合が発生

(11/29) LINEアプリのアルバム機能における不具合のお知らせとお詫び|LINEヤフー株式会社

2024年11月28日に一部ユーザーのアルバム機能のサムネイル画像において、他のユーザーがアルバムに保存した画像のサムネイルが、誤って表示される不具合が発生しました。


攻撃、脅威

Microsoft が CYBERWARCON において、北朝鮮および中国の攻撃者グループの活動について報告

(11/22) Microsoft shares latest intelligence on North Korean and Chinese threat actors at CYBERWARCON | Microsoft Security Blog


Trend Micro が中国の攻撃者グループ Earth Estries の攻撃活動について報告

(11/25) Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions | Trend Micro (US)

Since 2023, Earth Estries (aka Salt Typhoon, FamousSparrow, GhostEmperor and UNC2286) has emerged as one of the most aggressive Chinese advanced persistent threat (APT) groups, primarily targeting critical industries such as telecommunications and government entities in the US, the Asia-Pacific region, the Middle East, and South Africa. In this blog entry, we will highlight their evolving attack techniques and analyze the motivation behind their operations, providing insights into their long-term targeted attacks.


JPCERT/CC が攻撃者グループ APT-C-60 の攻撃活動について報告

(11/26) 正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

JPCERT/CCでは、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻撃を確認しました。 この攻撃は、入社希望者を装ったメールを組織の採用担当窓口に送信し、マルウェアに感染させるものでした。


ESET が攻撃者グループ RomCom の攻撃活動について報告

(11/26) RomCom exploits Firefox and Windows zero days in the wild

ESET researchers discovered a previously unknown vulnerability in Mozilla products, exploited in the wild by Russia-aligned group RomCom. This is at least the second time that RomCom has been caught exploiting a significant zero-day vulnerability in the wild, after the abuse of CVE-2023-36884 via Microsoft Word in June 2023.


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(11/25) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2023-28461 Array Networks AG and vxAG ArrayOS Improper Authentication Vulnerability


その他

サイバー安全保障分野での対応能力の向上に向けた有識者会議が提言をとりまとめ

(11/29) サイバー安全保障分野での対応能力の向上に向けた有識者会議|内閣官房ホームページ