ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
事件、事故
米司法省が 13の DDoS 攻撃代行サービス (booter/stresser) を一斉摘発
As part of an ongoing initiative targeting computer attack “booter” services, the Justice Department today announced the court-authorized seizure of 13 internet domains associated with these DDoS-for-hire services.
(5/9) Feds Take Down 13 More DDoS-for-Hire Services – Krebs on Security
富士通Japan が自治体向けに提供するコンビニ交付サービスの印刷障害に関する続報
(5/9) 川崎市様における証明書誤交付ついて : 富士通Japan株式会社
2023年5月2日に川崎市様において、証明書交付サービスと戸籍システムを連携させるために当社が開発した個別連携システムの通信連携プログラム(以下、当該プログラム)不具合により、証明書交付サービスで申請された方とは異なる住民の方の戸籍全部事項証明書が発行されるという事象が発生いたしました。
(5/9) 当社「コンビニ交付」システムに対するデジタル庁様からのご要請について : 富士通Japan株式会社
(5/12) 徳島市様における「Fujitsu MICJET コンビニ交付」での印刷障害について : 富士通Japan株式会社
2023年3月27日に徳島市様において、コンビニエンスストアでの証明書交付サービスと徳島市庁舎内に設置された証明書発行端末(以下、当該端末)を連携させるための設定に誤りがあり、証明書交付サービスで申請された方とは異なる住民の方の戸籍証明書の一部が発行されるという事象が発生いたしました。
米司法省がロシアの攻撃者グループ Turla が利用する Snake マルウェアのネットワークを摘発
The Justice Department today announced the completion of a court-authorized operation, codenamed MEDUSA, to disrupt a global peer-to-peer network of computers compromised by sophisticated malware, called “Snake”, that the United States Government attributes to a unit within Center 16 of the Federal Security Service of the Russian Federation (FSB). For nearly 20 years, this unit, referred to in court documents as “Turla,” has used versions of the Snake malware to steal sensitive documents from hundreds of computer systems in at least 50 countries, which have belonged to North Atlantic Treaty Organization (NATO) member governments, journalists, and other targets of interest to the Russian Federation. After stealing these documents, Turla exfiltrated them through a covert network of unwitting Snake-compromised computers in the United States and around the world.
(5/9) Hunting Russian Intelligence “Snake” Malware | CISA
Dragos が自社への侵入事案について報告
(5/10) Deconstructing a Cybersecurity Event | Dragos
On May 8, 2023, a known cybercriminal group attempted and failed at an extortion scheme against Dragos. No Dragos systems were breached, including anything related to the Dragos Platform.
警視庁が SIMスワップによる不正送金事件を摘発
(5/11) スマホ乗っ取り「SIMスワップ」で不正送金 警視庁摘発 - 日本経済新聞
(参考) SIMスワップ詐欺による暗号資産口座への不正送金事案についてまとめてみた - piyolog
トヨタコネクティッドが管理する顧客の車両に関するデータが公開状態になっていた
(5/12) クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて | ニュース | TOYOTA Connected
トヨタコネクティッド株式会社(以下、弊社)が管理するデータの一部が、クラウド環境の誤設定により、公開状態となっていたことが判明しました。本件判明後、外部からのアクセスを遮断する措置を実施しておりますが、弊社が管理する全てのクラウド環境を含めた調査を継続して実施しており、本日時点で判明している事案につき、お知らせさせていただきます。
(5/12) クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト
攻撃、脅威
新たな Akira ランサムウェアの攻撃活動に関する報告
(5/7) Meet Akira — A new ransomware operation targeting the enterprise
(5/9) Akira Ransomware is “bringin’ 1988 back” – Sophos News
CyberArk がファイルを部分的に暗号化するランサムウェアに対する復旧ツールを公開
(5/8) White Phoenix: Beating Intermittent Encryption
Recently, a new trend has emerged in the world of ransomware: intermittent encryption, the partial encryption of targeted files. Many ransomware groups, such as BlackCat and Play, have adopted this approach. However, intermittent encryption is flawed. In this blog post, I will introduce White Phoenix, a tool my team built that takes advantage of the fact that those files aren’t entirely encrypted and can, in the right circumstances, salvage some content from the unencrypted parts of the files. While we will primarily focus on BlackCat, it’s important to note that White Phoenix is also effective against other ransomware.
Fortinet が AndoryuBot の攻撃活動について報告
In April, FortiGuard Labs observed a unique botnet based on the SOCKS protocol distributed through the Ruckus vulnerability (CVE-2023-25717). This botnet, known as AndoryuBot, first appeared in February 2023. It contains DDoS attack modules for different protocols and communicates with its command-and-control server using SOCKS5 proxies. Based on our IPS signatures trigger count (Figure 1), this campaign started distributing the current version sometime after mid-April.
Fortinet が RapperBot の攻撃活動について報告
(5/9) RapperBot DDoS Botnet Expands into Cryptojacking | FortiGuard Labs
FortiGuard Labs has encountered new samples of the RapperBot campaign active since January 2023. RapperBot is a malware family primarily targeting IoT devices. It has been observed in the wild since June 2022. FortiGuard Labs reported on its previous campaigns in August 2022 and December 2022. Those campaigns focused on brute-forcing devices with weak or default SSH or Telnet credentials to expand the botnet’s footprint for launching Distributed Denial of Service (DDoS) attacks.
ESET が "APT Activity Report Q4 2022–Q1 2023" を公開
(5/9) ESET APT Activity Report Q4 2022–Q1 2023 | WeLiveSecurity
Sophos が "The State of Ransomware 2023" を公開
(5/10) The State of Ransomware 2023 – Sophos News
脆弱性
Microsoft が 2023年 5月の月例パッチを公開。すでに悪用が確認されている脆弱性の修正を含む。
(5/9) 2023 年 5 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。
- 悪用を確認 : CVE-2023-29336 Win32k の特権の昇格の脆弱性
- 公開を確認 : CVE-2023-29325 Windows OLE のリモートでコードが実行される脆弱性
- 悪用および公開を確認 : CVE-2023-24932 セキュア ブートのセキュリティ機能のバイパスの脆弱性
今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-24932 セキュア ブートのセキュリティ機能のバイパスの脆弱性は、脆弱性からシステムを保護するために、更新プログラムの適用に加え、追加の手順を実行する必要があります。詳細については、CVE-2023-24932 および CVE-2023-24932 に関連するセキュア ブート マネージャーの変更に関するガイダンス をご参照ください。
(5/9) Zero Day Initiative — The May 2023 Security Update Review
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+7 個の脆弱性を追加
(5/9) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2023-29336 Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation up to SYSTEM privileges.
(5/12) CISA Adds Seven Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2023-25717 Multiple Ruckus Wireless Products CSRF and RCE Vulnerability
- CVE-2021-3560 Red Hat Polkit Incorrect Authorization Vulnerability
- CVE-2014-0196 Linux Kernel Race Condition Vulnerability
- CVE-2010-3904 Linux Kernel Improper Input Validation Vulnerability
- CVE-2015-5317 Jenkins User Interface (UI) Information Disclosure Vulnerability
- CVE-2016-3427 Oracle Java SE and JRockit Unspecified Vulnerability
- CVE-2016-8735 Apache Tomcat Remote Code Execution Vulnerability
CISA と FBI が共同で、PaperCut の脆弱性 CVE-2023-27350 を悪用する活動に関する注意喚起
CISA and FBI have released a joint Cybersecurity Advisory (CSA), Malicious Actors Exploit CVE-2023-27350 in PaperCut MF and NG. This joint advisory provides details related to an exploitation of PaperCut MF/NG vulnerability (CVE-2023-27350). FBI observed malicious actors exploit CVE-2023-27350 beginning in mid-April 2023 and continuing through the present. In early May 2023, FBI observed a group self-identifying as the Bl00dy Ransomware Gang attempting to exploit vulnerable PaperCut servers against the Education Facilities Subsector. The advisory further provides detection methods for exploitation and details known indicators of compromise (IOCs) related to the group’s activity.
その他
Twitter が認証ユーザ向けに暗号化 DM 機能を提供
(5/10) About Encrypted Direct Messages – DMs | Twitter Help
(5/11) Twitter’s Encrypted DMs Are Deeply Inferior to Signal and WhatsApp | WIRED
Android 端末でマイナンバーカードの電子証明書と同等の機能がサポート
(5/11) Google Japan Blog: Android でマイナンバーカードの機能をより便利に
本日、デジタル庁が提供する Android 向けマイナポータルアプリがアップデートされ、Android 端末* にてマイナンバーカードの電子証明書と同等の機能がサポートされるようになりました。スマートフォン用の電子証明書を Android 端末に登録することで、マイナンバーカードを持ち歩くことなく、スマートフォンだけで各種行政サービスがより便利に利用できるようになります。
