ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 富士通のネットワークサービス FENICS のネットワーク機器で、外部への不正な通信を確認
  • Meta 社がケンブリッジ・アナリティカ問題に関する集団訴訟で和解し、$725M を支払うことで合意
  • すでに修正済みの Twitter API の脆弱性を悪用して収集したと見られる約 4億人分の Twitter のユーザ情報が販売
  • 広島県の抗原検査キット申請用サイトに DDoS 攻撃
  • Kraken が来年 1/31 に日本における暗号資産交換業の廃止を決定
• 攻撃、脅威
  • IPA のサイバーレスキュー隊 (J-CRAT) が 2022年上半期の活動状況を報告
• 脆弱性
  • 米 CISA が Known Exploited Vulnerabilities (KEV) カタログに 2 個の脆弱性を追加
• その他
  • JNSA が 2022年のセキュリティ十大ニュースを発表

事件、事故

富士通のネットワークサービス FENICS のネットワーク機器で、外部への不正な通信を確認

(12/23) FENICSインターネットサービスに関するネットワーク機器からの不正な通信について : 富士通

(12/23) TKC会員事務所向けに提供しているメールサービスが不正アクセスを受けた可能性のご報告 | トピックス | TKCグループ

(12/26) 当社レンタルサーバーサービスに関するネットワーク機器からの不正な通信について | 富士通グループ運営｜ニフクラ レンタルサーバー（旧ベーシックホスティング）

Meta 社がケンブリッジ・アナリティカ問題に関する集団訴訟で和解し、$725M を支払うことで合意

(12/24) Facebook parent Meta to settle Cambridge Analytica scandal case for $725 million | Reuters

(12/24) Meta to settle Cambridge Analytica class-action for $725 million - The Record by Recorded Future

すでに修正済みの Twitter API の脆弱性を悪用して収集したと見られる約 4億人分の Twitter のユーザ情報が販売

(12/26) Hacker claims to be selling Twitter data of 400 million users

The forum post includes sample data for thirty-seven celebrities, politicians, journalists, corporations, and government agencies, including Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O'Leary, and Piers Morgan. In addition, a larger sample of 1,000 Twitter user profiles was leaked later.

The user profiles contain public and private Twitter data, including users' email addresses, names, usernames, follower count, creation date, and phone numbers. Although all of the leaked profiles appear to have email addresses associated with them, many do not have phone numbers.

While almost all of this data is publicly accessible to any Twitter user, phone numbers and email addresses are private information.

広島県の抗原検査キット申請用サイトに DDoS 攻撃

(12/28) 広島県にサイバー攻撃 抗原検査キット申請用サイト：東京新聞 TOKYO Web

新型コロナウイルス抗原検査キットの無料配布を申し込む広島県の特設ウェブサイトが２８日までにサイバー攻撃を受け、閲覧しづらい状態になっていたことが分かった。県は復旧のため、申請の受け付けを一時停止。個人情報の流出は確認されておらず、攻撃停止を交換条件とする金銭要求もないという。

Kraken が来年 1/31 に日本における暗号資産交換業の廃止を決定

(12/28) 日本における暗号資産交換業の廃止のお知らせ - Kraken Blog

攻撃、脅威

IPA のサイバーレスキュー隊 (J-CRAT) が 2022年上半期の活動状況を報告

(12/28) サイバーレスキュー隊 (J-CRAT) 活動状況[2022 年度上半期]

サイバーレスキュー隊 (J-CRAT) では、主に国家支援型 (ステートスポンサード、ネイションバックド) [1]とされる攻撃者によるサイバー活動 (標的型サイバー攻撃) 、特にサイバーエスピオナージに対して、相談対応、レスキュー活動、脅威情報の収集及びサイバースレットインテリジェンスの活用等を通じた情報収集 (スレットハンティング) 等を行っている。 2022 年度上半期及び本活動状況報告の発出にいたる期間を通じたサイバー状況把握の結果、我が国に対するサイバーエスピオナージは依然として継続していることを確認している。特に、国際情勢などを背景としたエネルギー需給のひっ迫や地球環境問題への関心が高まっている状況で、エネルギー・環境関連分野が国家を背景とする攻撃グループによるサイバーエスピオナージの重点的な攻撃対象となっている可能性が改めて認識された。

脆弱性

米 CISA が Known Exploited Vulnerabilities (KEV) カタログに 2 個の脆弱性を追加

(12/29) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

その他

JNSA が 2022年のセキュリティ十大ニュースを発表

(12/23) JNSAセキュリティ十大ニュース