ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
(注) これまで約 2年間書き続けてきた Revue が 2023/1/18 でサービス終了するそうなので、残念ですが今後の更新は停止します。しばらくはまたおとなしく、はてなで続けていきます。
- 事件、事故
- 攻撃、脅威
- Microsoft が Windows で署名済みドライバを悪用する攻撃に関するガイダンスを公開。侵入後の攻撃活動で利用される事例が複数のセキュリティベンダーから報告されている。
- ESET が攻撃者グループ MirrorFace による日本を狙った攻撃キャンペーンについて報告
- 米司法省など欧米の法執行機関が多数の DDoS 攻撃代行サービス (booter/stresser) を一斉摘発し、各サービスの管理者を訴追
- Microsoft が DDoS ボットネット MCCrash の活動について報告
- Meta が2022年に同社が実施した Coordinated Inauthentic Behavior (CIB) に対する活動について報告
- FBI, FDA, OCI, USDA が共同でビジネスメール詐欺 (BEC) の事例について注意喚起
- 脆弱性
- FortiOS SSL-VPN にリモートコード実行可能な脆弱性 (CVE-2022-42475)
- Citrix ADC と Citrix Gateway にリモートコード実行可能な脆弱性 (CVE-2022-27518)
- VMWare の複数の製品に脆弱性
- Apple が macOS Ventura 13.1、macOS Monterey 12.6.2, macOS Big Sur 11.7.2, iOS 16.2 / iPadOS 16.2, iOS 15.7.2 / iPadOS 15.7.2, tvOS 16.2, watchOS 9.2, Safari 16.2 をリリース。すでに悪用が確認されている脆弱性などを修正。
- Microsoft が 2022年 12月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
- 米 CISA が Known Exploited Vulnerabilities (KEV) カタログに 5+1 個の脆弱性を追加
- その他
事件、事故
先月破綻した FTX の創業者である Samuel Bankman-Fried 氏がバハマで逮捕。米司法省は詐欺などの容疑で訴追
USA Damian Williams: Earlier this evening, Bahamian authorities arrested Samuel Bankman-Fried at the request of the U.S. Government, based on a sealed indictment filed by the SDNY. We expect to move to unseal the indictment in the morning and will have more to say at that time.
— US Attorney SDNY (@SDNYnews) December 12, 2022
Twitter が複数のジャーナリストのアカウントを突然凍結
(12/15) Musk suspends journalists from Twitter, claims ‘assassination’ danger
(12/15) Twitter Suspends Half a Dozen Journalists’ Accounts - The New York Times
(12/16) Twitter suspends journalists who have been covering Elon Musk and the company
(12/17) TwitterのマスクCEO、凍結した複数記者のアカウントを投票結果を受けしぶしぶ復活 - ITmedia NEWS
攻撃、脅威
Microsoft が Windows で署名済みドライバを悪用する攻撃に関するガイダンスを公開。侵入後の攻撃活動で利用される事例が複数のセキュリティベンダーから報告されている。
Microsoft was recently informed that drivers certified by Microsoft’s Windows Hardware Developer Program were being used maliciously in post-exploitation activity. Microsoft has completed its investigation and determined that the activity was limited to the abuse of several developer program accounts and that no compromise has been identified. We’ve suspended the partners' seller accounts and implemented blocking detections to help protect customers from this threat.
(12/13) I Solemnly Swear My Driver Is Up to No Good: Hunting for Attestation Signed Malware | Mandiant
(12/13) Signed driver malware moves up the software trust chain – Sophos News
ESET が攻撃者グループ MirrorFace による日本を狙った攻撃キャンペーンについて報告
(12/14) Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities | WeLiveSecurity
ESET researchers discovered a spearphishing campaign, launched in the weeks leading up to the Japanese House of Councillors election in July 2022, by the APT group that ESET Research tracks as MirrorFace. The campaign, which we have named Operation LiberalFace, targeted Japanese political entities; our investigation revealed that the members of a specific political party were of particular focus in this campaign. ESET Research unmasked details about this campaign and the APT group behind it at the AVAR 2022 conference at the beginning of this month.
米司法省など欧米の法執行機関が多数の DDoS 攻撃代行サービス (booter/stresser) を一斉摘発し、各サービスの管理者を訴追
The Justice Department today announced the court-authorized seizure of 48 internet domains associated with some of the world’s leading DDoS-for-hire services, as well as criminal charges against six defendants who allegedly oversaw computer attack platforms commonly called “booter” services.
(12/14) Global crackdown against DDoS services shuts down most popular platforms | Europol
(12/14) Six Charged in Mass Takedown of DDoS-for-Hire Sites – Krebs on Security
Microsoft が DDoS ボットネット MCCrash の活動について報告
(12/15) MCCrash: Cross-platform DDoS botnet targets private Minecraft servers - Microsoft Security Blog
Meta が2022年に同社が実施した Coordinated Inauthentic Behavior (CIB) に対する活動について報告
(12/15) Recapping Our 2022 Coordinated Inauthentic Behavior Enforcements | Meta
FBI, FDA, OCI, USDA が共同でビジネスメール詐欺 (BEC) の事例について注意喚起
The Federal Bureau of Investigation (FBI), the Food and Drug Administration Office of Criminal Investigations (FDA OCI), and the U.S. Department of Agriculture (USDA) have released a joint Cybersecurity Advisory (CSA) detailing recently observed incidents of criminal actors using business email compromise (BEC) to steal shipments of food products and ingredients valued at hundreds of thousands of dollars.
脆弱性
FortiOS SSL-VPN にリモートコード実行可能な脆弱性 (CVE-2022-42475)
(12/12) PSIRT Advisories | FortiGuard
A heap-based buffer overflow vulnerability [CWE-122] in FortiOS SSL-VPN may allow a remote unauthenticated attacker to execute arbitrary code or commands via specifically crafted requests.
(12/13) FortiOSのヒープベースのバッファーオーバーフローの脆弱性(CVE-2022-42475)に関する注意喚起
Citrix ADC と Citrix Gateway にリモートコード実行可能な脆弱性 (CVE-2022-27518)
(12/13) Released: Citrix ADC and Citrix Gateway (security bulletin CTX474995) security update | Citrix Blogs
(12/13) Citrix ADC and Citrix Gateway Security Bulletin for CVE-2022-27518
A vulnerability has been discovered in Citrix Gateway and Citrix ADC, listed below, that, if exploited, could allow an unauthenticated remote attacker to perform arbitrary code execution on the appliance.
(12/13) NSA | APT5: Citrix ADC Threat Hunting Guidance
Active exploitation Citrix devices underway by APT5. @NSACyber threat hunting guidance linked below to identify and remediate this activity. Update to the latest Citrix release, check for compromise, and let us know if you find anything.
— Rob Joyce (@NSA_CSDirector) December 13, 2022
https://t.co/7KeEX3i4gp
(12/14) Citrix ADCおよびCitrix Gatewayの脆弱性(CVE-2022-27518)に関する注意喚起
VMWare の複数の製品に脆弱性
(12/13) VMSA-2022-0033
Apple が macOS Ventura 13.1、macOS Monterey 12.6.2, macOS Big Sur 11.7.2, iOS 16.2 / iPadOS 16.2, iOS 15.7.2 / iPadOS 15.7.2, tvOS 16.2, watchOS 9.2, Safari 16.2 をリリース。すでに悪用が確認されている脆弱性などを修正。
(12/13) Apple security updates - Apple Support
Microsoft が 2022年 12月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
(12/13) 2022 年 12 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44698 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。詳細は、CVE-2022-44698 を参照してください。
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2022-44710 DirectX グラフィック カーネルの特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は確認されていません。
(12/13) Zero Day Initiative — The December 2022 Security Update Review
米 CISA が Known Exploited Vulnerabilities (KEV) カタログに 5+1 個の脆弱性を追加
(12/13) CISA Adds Five Known Exploited Vulnerabilities to Catalog | CISA
(12/14) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
その他
Google が OSS 用の脆弱性情報収集ツール OSV-Scanner を公開
(12/13) Google Online Security Blog: Announcing OSV-Scanner: Vulnerability Scanner for Open Source
Instagram がアカウント乗っ取り被害にあった際の復旧手段を整備
(12/15) Continuing to Keep Instagram Safe and Secure
To support accounts that are experiencing access issues or may have been hacked, we created Instagram.com/hacked - a new, comprehensive destination people can rely on to report and resolve account access issues.
NIST が2030年末までに SHA-1 の利用を段階的に廃止すると発表
(12/15) NIST Retires SHA-1 Cryptographic Algorithm | NIST
SHA-1, whose initials stand for “secure hash algorithm,” has been in use since 1995 as part of the Federal Information Processing Standard (FIPS) 180-1. It is a slightly modified version of SHA, the first hash function the federal government standardized for widespread use in 1993. As today’s increasingly powerful computers are able to attack the algorithm, NIST is announcing that SHA-1 should be phased out by Dec. 31, 2030, in favor of the more secure SHA-2 and SHA-3 groups of algorithms.
日本政府は国家安全保障戦略、国家防衛戦略、防衛力整備計画の防衛 3文書を閣議決定
(12/16) 国家安全保障戦略について | 内閣官房ホームページ
ア サイバー安全保障分野での対応能力の向上
サイバー空間の安全かつ安定した利用、特に国や重要インフラ等の安全等を確保するために、サイバー安全保障分野での対応能力を欧米主要国と同等以上に向上させる。
具体的には、まずは、最新のサイバー脅威に常に対応できるようにするため、政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する。その一環として、サイバーセキュリティに関する世界最先端の概念・技術等を常に積極的に活用する。そのことにより、外交・防衛・情報の分野を始めとする政府機関等のシステムの導入から廃棄までのライフサイクルを通じた防御の強化、政府内外の人材の育成・活用の促進等を 引き続き図る。
その上で、武力攻撃に至らないものの、国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃のおそれがある場合、これを未然に排除し、また、このようなサイバー攻撃が発生した場合の被害の拡大を防止するために能動的サイバー防御を導入する。そのために、サイバー安全保障分野における情報収集・分析能力を強化するとともに、能動的サイバー防御の実施のための体制を整備することとし、以下の(ア)から(ウ)までを含む必要な措置の実現に向け検討を進める。
(ア) 重要インフラ分野を含め、民間事業者等がサイバー攻撃を受けた場合等の政府への情報共有や、政府から民間事業者等への対処調整、支援等の取組を強化するなどの取組を進める。
(イ) 国内の通信事業者が役務提供する通信に係る情報を活用し、攻撃者による悪用が疑われるサーバ等を検知するために、所要の取組を進める。
(ウ) 国、重要インフラ等に対する安全保障上の懸念を生じさせる重大なサイバー攻撃について、可能な限り未然に攻撃者のサーバ等への侵入・無害化ができるよう、政府に対し必要な権限が付与されるようにする。
能動的サイバー防御を含むこれらの取組を実現・促進するために、内閣サイバーセキュリティセンター(NISC)を発展的に改組し、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置する。そして、これらのサイバー安全保障分野における新たな取組の実現のために法制度の整備、運用の強化を図る。これらの取組は総合的な防衛体制の強化に資するものとなる。
また、経済安全保障、安全保障関連の技術力の向上等、サイバー安全保障の強化に資する他の政策との連携を強化する。
さらに、同盟国・同志国等と連携した形での情報収集・分析の強化、攻撃者の特定とその公表、国際的な枠組み・ルールの形成等のために引き続き取り組む。
