今週の気になるセキュリティニュース - Issue #104

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

KDDIクラウドプラットフォームサービス (KCPS) で障害

(1/28) KCPS設備の一部ストレージ障害について(2023年1月28日) | KDDIクラウドプラットフォームサービス ナレッジサイト

(1/30) KDDIのIaaSで60時間にわたる障害 一部ゾーンで「復旧には相当な時間を要する見込み」【追記あり】 - ITmedia NEWS


GitHubGitHub Desktop と Atomリポジトリ不正アクセスがあり、コード署名証明書が漏洩。これらの証明書は無効化された

(1/30) Action needed for GitHub Desktop and Atom users | The GitHub Blog

On December 7, 2022, GitHub detected unauthorized access to a set of repositories used in the planning and development of GitHub Desktop and Atom. After a thorough investigation, we have concluded there was no risk to GitHub.com services as a result of this unauthorized access and no unauthorized changes were made to these projects.

A set of encrypted code signing certificates were exfiltrated; however, the certificates were password-protected and we have no evidence of malicious use. As a preventative measure, we will revoke the exposed certificates used for the GitHub Desktop and Atom applications. Revoking these certificates will invalidate some versions of GitHub Desktop for Mac and Atom.


英国の JD Sports で不正アクセスによる情報漏洩があり、約 1,000万人の顧客に影響

(1/30) JD Sports says hackers stole data of 10 million customers


攻撃、脅威

トレンドマイクロが攻撃者グループ Earth Yako による標的型攻撃キャンペーンについて報告

(1/27) 日本を含む東アジアを狙った「Earth Yako」による標的型攻撃キャンペーンの詳解|トレンドマイクロ

トレンドマイクロでは2021年以降、日本国内の学術機関・シンクタンクやその関係者個人を標的としたAPT・標的型攻撃を複数観測しています。トレンドマイクロではこの一連の攻撃を行っている攻撃グループを、「Earth Yako」と命名し追跡しています。トレンドマイクロが観測している攻撃は、2022年に「Operation RestyLink」(参考:1、2)や「EneLink」(参考:3、4)として報告された日本国内における攻撃キャンペーンの一部であると考えられます。関連の攻撃では、初期侵入手法としてスピアフィッシングメールと本文に記載されているURLからダウンロードされるZIPファイルやISOファイル、またこれらの内部に含まれるLNKファイルを用いて、不正URLへ誘導する手法が確認されています。トレンドマイクロでは把握している複数のケースにおいて、攻撃の初期段階以降でEarth Yakoが用いる、これまで知られていなかったマルウェアや攻撃手法・インフラを確認しました。Earth Yakoは短いスパンで複数の新たなツールやマルウェアを投入し、また一連の攻撃のなかで攻撃対象・業種を頻繁に変更・拡大しています。以上の点から、Earth Yakoは、攻撃者のバックグラウンドや国際情勢に連動しながら活発に攻撃を行っているグループであると考えられます。また、トレンドマイクロでは、2023年1月現在においても関連の攻撃を確認しているため、引き続きの警戒が必要です。


ESET が APT Activity Report T3 2022 を公開

(1/31) ESET APT Activity Report T3 2022 | WeLiveSecurity


Radware が Passion ボットネットの活動について報告

(1/31) Passion: A Russian Botnet

Passion group, affiliated with Killnet and Anonymous Russia, recently began offering DDoS-as-a-Service to pro- Russian hacktivists. The Passion Botnet was leveraged during the attacks on January 27th, targeting medical institutions in the USA, Portugal, Spain, Germany, Poland, Finland, Norway, Netherlands, and the United Kingdom as retaliation for sending tanks in support of Ukraine.


NTTデータが 2022年4〜6月のサイバーセキュリティに関するグローバル動向四半期レポートを公開

(1/31) グローバルセキュリティ動向四半期レポート 2022年度第1四半期


VMware ESXi を狙うランサムウェア攻撃キャンペーンへの注意喚起

(2/3) Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi – CERT-FR

(2/3) Ransomware targeting VMware ESXi - OVHcloud Blog

(2/3) Massive ESXiArgs ransomware attack targets VMware ESXi servers worldwide

(参考) VMware ESXiを狙ったランサムウエアキャンペーンESXiArgsについてまとめてみた - piyolog


脆弱性

QNAP 製品にリモートコード実行可能な脆弱性 (CVE-2022-27596)

(1/30) Vulnerability in QTS and QuTS hero - Security Advisory | QNAP

A vulnerability has been reported to affect QNAP devices running QTS 5.0.1 and QuTS hero h5.0.1. If exploited, this vulnerability allows remote attackers to inject malicious code.

QTS 5.0.0, QTS 4.x.x, QuTS hero 5.0.0 and QuTS hero 4.5.x are not affected.

(1/31) CVE-2022-27596: The Next Ransomware Target? - Censys


VMware vRealize Log Insight の脆弱性 について Horizon3.ai が詳細な解説と PoC を公開

(1/31) VMware vRealize Log Insight VMSA-2023-0001 Technical Deep Dive – Horizon3.ai

(1/24) VMSA-2023-0001


Jira Service Management Server / Data Center に認証不備の脆弱性 (CVE-2023-22501)

(2/1) Jira Service Management Server and Data Center Advisory (CVE-2023-22501) | Atlassian Support | Atlassian Documentation

(2/3) Atlassian warns of critical Jira Service Management auth flaw


CISA が Known Exploited Vulnerabilities (KEV) カタログに 2 個の脆弱性を追加

(2/2) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA


GoAnywhere MFT にリモートコード実行可能なゼロデイ脆弱性

(2/3) GoAnywhere MFT zero-day vulnerability lets hackers breach servers

(2/3) Exploitation of GoAnywhere MFT zero-day vulnerability | Rapid7 Blog


その他

2023年サイバーセキュリティ月間がスタート

(2/1) 2023年サイバーセキュリティ月間 - NISC


経済産業省警察庁及び総務省がクレジットカード会社等に対してフィッシング対策の強化を要請

(2/1) クレジットカード会社等に対するフィッシング対策の強化を要請しました (METI/経済産業省)

経済産業省警察庁及び総務省は、クレジットカード番号等の不正利用の原因となるフィッシング被害が増加していることに鑑み、クレジットカード会社等に対し、送信ドメイン認証技術(DMARC*)の導入をはじめとするフィッシング対策の強化を要請しました。


TwitterAPI への無料アクセスを廃止し、有料化することを発表


JPCERT/CC が 2022年 10〜12月のインターネット定点観測レポートを公開

(2/3) インターネット定点観測レポート(2022年 10~12月)