今週の気になるセキュリティニュース - Issue #101

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

事件、事故

アフラック生命保険とチューリッヒ保険の顧客情報が、米国の委託先事業者から流出

(1/10) 個人情報流出に関するお詫びとお知らせ

アフラック生命保険株式会社(代表取締役社長:古出 眞敏)が業務委託する外部業者において、当社保有の個人情報の一部が流出していることが判明しましたので、お知らせいたします。なお、現時点では本件に関わる個人情報の不正利用等は確認されておりません。

(1/10) 個人情報漏えいに関するお詫びとお知らせ

2023 年 1 月 9 日未明に、当社のお客さまの個人情報が海外のサイトに掲載されているとの情報を把握し、調査したところ当社のお客さまの個人情報が一部含まれていることから、情報漏えいの事実が判明したものです。これは当社の外部委託業者が、第三者からの不正アクセスを受けたことによるものですが、これ以上の情報流出の経緯については現在調査中です。

(参考) アフラックとチューリッヒの情報流出についてまとめてみた - piyolog


TOEIC申し込みサイトに対して不正ログイン

(1/11) TOEIC申込サイトへの不正アクセスのご報告およびアカウント管理に関するお願い(2023.01.11)|インフォメーション|IIBC

この度、「TOEIC申込サイト」において、当協会以外のサービスから入手したユーザーID・パスワードを用いた、第三者による不正アクセスが発生したことを確認いたしました。


2億件を越える Twitter のユーザ情報がフォーラムに投稿された件について、Twitter からの公式発表

(1/11) Update about an alleged incident regarding Twitter user data being sold online

We take our responsibility to protect your privacy very seriously. In response to recent media reports of Twitter users' data being sold online, we conducted a thorough investigation and there is no evidence that data recently being sold was obtained by exploiting a vulnerability of Twitter systems. We also want to share an update about an incident that took place earlier this year, and provide transparency into the steps we took to remediate it.


米国で連邦航空局 (FAA) の Notice to Air Missions (NOTAM) システムに障害が発生し、国内便すべての離陸を一時見合せ。多数の便で遅延、欠航が発生した。

(1/11) FAA NOTAM Statement | Federal Aviation Administration

FAA STATEMENT 6:30 p.m. EST

The FAA is continuing a thorough review to determine the root cause of the Notice to Air Missions (NOTAM) system outage. Our preliminary work has traced the outage to a damaged database file. At this time, there is no evidence of a cyber attack. The FAA is working diligently to further pinpoint the causes of this issue and take all needed steps to prevent this kind of disruption from happening again.

(参考) システム障害による米国内全便のフライト一時停止についてまとめてみた - piyolog


CircleCI が 1/4 に報告した不正侵入についてアップデート

(1/13) CircleCI incident report for January 4, 2023 security incident

By January 4, 2023, our internal investigation had determined the scope of the intrusion by the unauthorized third party and the entry path of the attack. To date, we have learned that an unauthorized third party leveraged malware deployed to a CircleCI engineer’s laptop in order to steal a valid, 2FA-backed SSO session. This machine was compromised on December 16, 2022. The malware was not detected by our antivirus software. Our investigation indicates that the malware was able to execute session cookie theft, enabling them to impersonate the targeted employee in a remote location and then escalate access to a subset of our production systems.


攻撃、脅威

Cloudflare が 2022年第 4四半期の DDoS threat report を公開

(1/10) Cloudflare DDoS threat report for 2022 Q4


攻撃者グループ NoName057(16) の活動について、Avast と SentinelOne が報告

(1/11) DDosia Project: Volunteers Carrying out NoName(057)16’s Dirty Work - Avast Threat Labs

(1/12) NoName057(16) - The Pro-Russian Hacktivist Group Targeting NATO - SentinelOne

(1/12) GitHub disables pro-Russian hacktivist DDoS pages - CyberScoop


脆弱性

Microsoft が 2023年 1月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(1/10) 2023 年 1 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center

  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-21674 Windows Advanced Local Procedure Call (ALPC) の特権の昇格に関する脆弱性 は、既に脆弱性の悪用が行われていることを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は確認されていません。お客様においては、更新プログラムの適用を早急に行ってください。 詳細は、CVE-2023-21674 を参照してください。
  • 今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-21549 Windows SMB 監視サービスの特権の昇格の脆弱性 は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認しています。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は確認されていません。

(1/10) Zero Day Initiative — The January 2023 Security Update Review


CISA が Known Exploited Vulnerabilities (KEV) カタログに 2 個の脆弱性を追加

(1/10) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(1/10) CISA orders agencies to patch Exchange bug abused by ransomware gang


Fortinet が先月修正した脆弱性 CVE-2022-42475 について、この脆弱性を悪用する攻撃活動の詳細を報告

(1/11) Analysis of FG-IR-22-398 – FortiOS - heap-based buffer overflow in SSLVPNd | Fortinet Blog

The complexity of the exploit suggests an advanced actor:

  • The exploit requires a deep understanding of FortiOS and the underlying hardware.
  • The use of custom implants shows that the actor has advanced capabilities, including reverse-engineering various parts of FortiOS.
  • The actor is highly targeted, with some hints of preferred governmental or government-related targets.
  • The discovered Windows sample attributed to the attacker displayed artifacts of having been compiled on a machine in the UTC+8 timezone, which includes Australia, China, Russia, Singapore, and other Eastern Asian countries.
  • The self-signed certificates created by the attackers were all created between 3 and 8 AM UTC. However, it is difficult to draw any conclusions from this given hackers do not nessesarily operate during office hours and will often operate during victim office hours to help obfuscate their activity with general network traffic.


昨年 10月に修正された Control Web Panel 7 の脆弱性 CVE-2022-44877 について、発見者が 1/3 に PoC を公開。その後、攻撃活動が観測される

(1/3) Full Disclosure: Centos Web Panel 7 Unauthenticated Remote Code Execution - CVE-2022-44877

(1/12) Hackers exploit Control Web Panel flaw to open reverse shells

(1/12) POC for High Impact RCE Vulnerability in Centos Web Panel 7 (CVE-2022-44877) Increases Risk of Attacks - CloudSEK


その他

経済産業省と米国国土安全保障省がサイバーセキュリティに関する協力覚書に署名

(1/7) 米国国土安全保障省とのサイバーセキュリティに関する協力覚書に署名しました (METI/経済産業省)

この協力覚書は、昨年12月に決定された国家安全保障戦略において、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置するとされたことも踏まえ、経済産業省の所掌分野において米国とのサイバーセキュリティに関する協力をより強固なものとするため、経済産業省と米国国土安全保障省により署名されました。

(1/6) 日米、サイバーセキュリティーの協力強化へ…ソフトウェアに同水準の安全基準 : 読売新聞オンライン

 米国は、政府が調達するソフトウェアについて安全性を確認する仕組みづくりを進めている。日本も同様の取り組みを進めるために双方が協力することを覚書に盛り込む。

 具体的には、政府機関や省庁で利用するソフトウェアについて、サイバーセキュリティー対策の水準などを確認する仕組みを設ける。ソフトウェアの 脆弱性を把握することで、サイバー攻撃による機密情報漏えいやシステム障害などの発生を抑えることを目指す。


Twitter が日本でも有料プラン Twitter Blue を提供開始

(1/11) Twitter Blueについて