ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 新潟県の公文書管理システムで文書が消失する事故
  • 3月中旬から続く DNSランダムサブドメイン攻撃 (水責め攻撃) の影響により、国内の複数のサイトで障害
  • 警察庁と金融庁がフィッシングによるインターネットバンキングの不正送金被害について注意喚起
  • 京セラが米国子会社で発生したセキュリティインシデントの影響により決算発表を延期
• 攻撃、脅威
  • Bitsight と Curesec が Service Location Protocol (SLP) を利用した DoS 攻撃手法について報告
  • LockBit 3.0 ランサムウェアに関する Joint Technical Advisory が公開
• 脆弱性
  • Trend Micro が TP-Link の脆弱性 (CVE-2023-1389) を悪用する Mirai 亜種の活動について報告
  • Apache Superset にリモートコード実行可能な脆弱性
  • PaperCut の脆弱性を悪用する攻撃活動について続報
• その他
  • Google Authenticator アプリが Google アカウントによるクラウド同期に対応
  • CGTF が「暗号資産カストディアンのセキュリティ対策についての考え方 第4版」を公開
  • MITRE が ATT&CK v13 を公開
  • NICT が 2023年第 1四半期の NICTER観測統計を公開

事件、事故

新潟県の公文書管理システムで文書が消失する事故

(4/21) 公文書(電子データ)の消失事故について - 新潟県ホームページ

　県の業務で使用している公文書管理システムに登録した文書の添付ファイルが消失する事故が発生しました。

　原因は、システム保守業者の人為的ミスであり、外部からの攻撃等によるものではありません。また、消失したファイルの外部への流出はありません。

　現在、消失したファイルの復旧作業を行うとともに、県民、事業者等への影響を調査しています。

(4/24) 新潟県データ10万件消失事故 拡張子を小文字にしたかったのはなぜか 県に聞いた - ITmedia NEWS

　新潟県で4月9日、公文書管理システムに登録した公文書データ約10万件が消失する事故が発生した。県によると、システム保守を担当していた事業者が、ファイルの拡張子を小文字にする新機能を追加したことが事故の一因という。なぜこのような機能を追加することになったのか県に聞いた。

3月中旬から続く DNSランダムサブドメイン攻撃 (水責め攻撃) の影響により、国内の複数のサイトで障害

(4/21) 「JR 西日本企業ホームページ」「JR おでかけネット関連サイト（e5489、JR 西日本運行情報等含む）」等につながりにくい状態について

・原因は、連携している外部サービスの障害によるものです。

(4/25) 故障/メンテナンス詳細 - Smart Data Platform Knowledge Center

(4/26) 2023年4月26日:【復旧済み】クラウド関連サービスにおける故障発生について (4月26日 8時00分時点) | NTTコミュニケーションズ

(4/28) サーバー復旧のお知らせ - アニメイト

該当時間帯に上位ネットワークへのDDoS攻撃を確認したため、緊急メンテナンスを実施させていただきました。

15時30分頃に収束し、その後利用の安全性が確認できたため、サービスを再開いたしました。

(4/29) 鹿児島県にサイバー攻撃、HP一時閲覧しにくい状態に 目的不明 | 毎日新聞

(4/29) G7前にサイバー攻撃が頻発 特殊な手法、企業や官庁に ｜ 共同通信

(4/7) Alert for DNS NXDOMAIN Attacks

先月から続く DNS 水責め絨毯爆撃の様子。なぜ騒ぎにならない? 皆気づかないのか? https://t.co/tmHUeZqCbL pic.twitter.com/r5rtHbEsSU

— 浸透いうな/移転のツイートは乗っ取りを呼ぶ (@tss_ontap_o) April 22, 2023

警察庁と金融庁がフィッシングによるインターネットバンキングの不正送金被害について注意喚起

(4/24) フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）

京セラが米国子会社で発生したセキュリティインシデントの影響により決算発表を延期

(4/25) 2023 年 3 月期 通期決算発表の延期に関するお知らせ

当社の米国子会社 KYOCERA AVX Components Corporation（以下、KAVX）において発生したサイバーセキュリティに係る事案により期末決算数値の確定に時間を要していることを受け、監査日 程も考慮し、2023 年 4 月 27 日に予定しておりました当社の 2023 年 3 月期 通期決算発表を延期 することといたしました。

攻撃、脅威

Bitsight と Curesec が Service Location Protocol (SLP) を利用した DoS 攻撃手法について報告

(4/25) New high-severity vulnerability (CVE-2023-29552) discovered in the Service Location Protocol (SLP) | Bitsight

Researchers from Bitsight and Curesec have jointly discovered a high-severity vulnerability — tracked as CVE-2023-29552 — in the Service Location Protocol (SLP), a legacy Internet protocol. Attackers exploiting this vulnerability could leverage vulnerable instances to launch massive Denial-of-Service (DoS) amplification attacks with a factor as high as 2200 times, potentially making it one of the largest amplification attacks ever reported. In February 2023, we identified over 2,000 global organizations and over 54,000 SLP instances — including VMware ESXi Hypervisor, Konica Minolta printers, Planex Routers, IBM Integrated Management Module (IMM), SMC IPMI, and others — that attackers could potentially leverage to launch DoS attacks on unsuspecting organizations around the world.

(4/25) CVE-2023-29552 Service Location Protocol-Denial of Service Amplification Attack - Cureblog

(4/25) Abuse of the Service Location Protocol May Lead to DoS Attacks | CISA

(4/25) VMware Response to CVE-2023-29552 - Reflective Denial-of-Service (DoS) Amplification Vulnerability in SLP - VMware Security Blog - VMware

(4/25) Service Location Protocol (SLP) Reflection/Amplification Attack Mitigation Recommendations | NETSCOUT

ASERT researchers have identified a population of ~35,000 potentially abusable SLP reflectors/amplifiers accessible via the public internet. The majority of these SLP reflectors/amplifiers appear to be server-class computers running older, unpatched versions of the VMWare ESXi bare-metal hypervisor. VMWare have previously issued multiple advisories for compromise vulnerabilities associated with the SLP service running on unpatched ESXi servers, and there have been public reports of the active exploitation of these vulnerabilities.

LockBit 3.0 ランサムウェアに関する Joint Technical Advisory が公開

(4/28) Joint Technical Advisory on LockBit 3.0

This joint advisory is the result of a collaborative effort between the Cyber Security Agency of Singapore (CSA), the Personal Data Protection Commission (PDPC) and the Singapore Police Force (SPF). It highlights the observed Tactics, Techniques and Procedures (TTPs) employed by LockBit to compromise their victims’ networks and provides some recommended measures for organisations to mitigate the threat posed.

脆弱性

Trend Micro が TP-Link の脆弱性 (CVE-2023-1389) を悪用する Mirai 亜種の活動について報告

(4/24) Zero Day Initiative — TP-Link WAN-side Vulnerability CVE-2023-1389 Added to the Mirai Botnet Arsenal

Apache Superset にリモートコード実行可能な脆弱性

(4/25) CVE-2023-27524: Insecure Default Configuration in Apache Superset Leads to Remote Code Execution – Horizon3.ai

Apache Superset is an open source data visualization and exploration tool. It has over 50K stars on GitHub, and there are more than 3000 instances of it exposed to the Internet. In our research, we found that a substantial portion of these servers – at least 2000 (two-thirds of all servers) – are running with a dangerous default configuration. As a result, many of these servers are effectively open to the public. Any attacker can “log in” to these servers with administrative privileges, access and modify data connected to these servers, harvest credentials, and execute remote code. In this post, we’ll dive deep into the misconfiguration, tracked as CVE-2023-27524, and provide advice for remediation as well as indicators of compromise to look for if you’re a user of Superset.

PaperCut の脆弱性を悪用する攻撃活動について続報

(4/24) PaperCut CVE-2023-27350 Deep Dive and Indicators of Compromise – Horizon3.ai

(4/25) Cyble — Print Management Software PaperCut Actively Exploited In The Wild

(4/26) Update Now PaperCut Vulnerability CVE-2023-27350 Under Active Exploitation

(4/26) Microsoft: Clop and LockBit ransomware behind PaperCut server hacks

Microsoft is attributing the recently reported attacks exploiting the CVE-2023-27350 and CVE-2023-27351 vulnerabilities in print management software PaperCut to deliver Clop ransomware to the threat actor tracked as Lace Tempest (overlaps with FIN11 and TA505).

— Microsoft Threat Intelligence (@MsftSecIntel) April 26, 2023

その他

Google Authenticator アプリが Google アカウントによるクラウド同期に対応

(4/24) Google Online Security Blog: Google Authenticator now supports Google Account synchronization

We are excited to announce an update to Google Authenticator, across both iOS and Android, which adds the ability to safely backup your one-time codes (also known as one-time passwords or OTPs) to your Google Account.

(4/26) Google leaking 2FA secrets – researchers advise against new “account sync” feature for now – Naked Security

(4/26) Google will add End-to-End encryption to Google Authenticator

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

The new update allows users to sign in with their Google Account and sync 2FA secrets across their iOS and Android devices.… pic.twitter.com/a8hhelupZR

— Mysk 🇨🇦🇩🇪 (@mysk_co) April 26, 2023

CGTF が「暗号資産カストディアンのセキュリティ対策についての考え方 第4版」を公開

(4/24) 『暗号資産カストディアンのセキュリティ対策についての考え方 第4版』 / CGTF

MITRE が ATT&CK v13 を公開

(4/25) ATT&CK v13 Enters the Room: Pseudocode, Swifter Search, and Mobile Data Sources | MITRE ATT&CK®

NICT が 2023年第 1四半期の NICTER観測統計を公開

(4/26) NICTER観測統計 - 2023年1 月～3月 - NICTER Blog