ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 富士通Japan が自治体向けに提供するコンビニ交付サービスの印刷障害に関する続報
  • 米司法省は 3つの異なるランサムウェアを利用した攻撃に関与したとしてロシア人を起訴。また米財務省は制裁対象に指定。
• 攻撃、脅威
  • CISA, FBI, ACSC が共同で BianLian ランサムウェアに関する注意喚起
  • Mandiant が Microsoft Azure を標的とする攻撃活動について報告
• 脆弱性
  • Apple が macOS Ventura 13.4, macOS Monterey 12.6.6, macOS Big Sur 11.7.7, iOS 16.5 / iPadOS 16.5, iOS 15.7.5 / iPadOS 15.7.5, watchOS 9.5, tvOS 16.5, Safari 16.5 をリリース。すでに悪用が確認されている脆弱性の修正を含む (そのうち 2件は Rapid Response で配信されたもの)。
  • パスワードマネージャの KeePass にメモリからマスターパスワードが抽出できる脆弱性。PoC も公開される。
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 3 個の脆弱性を追加
• その他
  • Google が放置アカウントに関するポリシーを更新。2年以上使用されていないアカウントについて今年後半から削除対象に。
  • Google Registry が新たに 8つのトップレベルドメインの登録を開始するが、セキュリティ研究者らが .zip ドメインの悪用の可能性について懸念
  • NTT セキュリティが「サイバーセキュリティレポート 2023.04」を公開

事件、事故

富士通Japan が自治体向けに提供するコンビニ交付サービスの印刷障害に関する続報

(5/15) 「Fujitsu MICJET 住民記録システム（政令市版）」における、申請者の抹消済印鑑登録証明書が発行された不具合について : 富士通Japan株式会社

2023年5月12日に自治体様（以下、当該自治体）にて、当社「Fujitsu MICJET 住民記録システム（政令市版）」（以下、当該製品）における不具合があり、申請者ご本人の抹消済の印鑑登録証明書が当社「Fujitsu MICJETコンビニ交付」（以下、当該サービス）から誤って発行されるという事象が発生いたしました。

(5/19) 情報セキュリティ対策の強化およびシステム品質改善に向けた当社の取り組みについて : 富士通

情報セキュリティに関しましては、2021年に検知したプロジェクト情報共有ツール「ProjectWEB」への不正アクセスをはじめ、2022年に発覚したクラウドサービス「FJcloud-V／ニフクラ」や「FENICSインターネットサービス」等での情報セキュリティインシデントにより、多くのお客様や関係者の皆様に多大なるご迷惑をおかけいたしました。また、システムの品質に関しましては、今般の「Fujitsu MICJETコンビニ交付」に関連した一連のトラブル等によって、住民の方がご利用になる行政サービスへの信頼を損ねることとなりました。本事案については現在、デジタル庁様、総務省様ほか関係機関のご指導のもと自治体様のご協力を賜りながら再発防止に向けた再点検作業を進めております。

(参考) 富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた - piyolog

米司法省は 3つの異なるランサムウェアを利用した攻撃に関与したとしてロシア人を起訴。また米財務省は制裁対象に指定。

(5/16) Russian National Charged with Ransomware Attacks Against Critical Infrastructure | OPA | Department of Justice

The Justice Department today unsealed two indictments charging a Russian national and resident with using three different ransomware variants to attack numerous victims throughout the United States, including law enforcement agencies in Washington, D.C. and New Jersey, as well as victims in healthcare and other sectors nationwide.

(5/16) Treasury Sanctions Russian Ransomware Actor Complicit in Attacks on Police and U.S. Critical Infrastructure | U.S. Department of the Treasury

WASHINGTON — Today, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC), designated Mikhail Matveev (Matveev) for his role in launching cyberattacks against U.S. law enforcement, businesses, and critical infrastructure. Concurrently, the U.S. District Courts for the District of New Jersey and the District of Columbia unsealed indictments against Matveev. Additionally, the U.S. Department of State announced an award of up to $10 million for information that leads to the arrest and/or conviction of Matveev under its Transnational Organized Crime Rewards Program.

(5/16) The Department of State Announces Reward Offer Against Russian Ransomware Actor - United States Department of State

Today, the State Department is announcing a reward offer, under the Transnational Organized Crime Rewards Program (TOCRP), of up to $10 million, for information leading to the arrest and/or conviction of Russian national Mikhail Pavlovich Matveev for transnational organized crime. We are taking these actions Matveev for his role in ransomware incidents targeting U.S. law enforcement, businesses, and critical infrastructure around the world.

(5/16) Russian Hacker “Wazawaka” Indicted for Ransomware – Krebs on Security

(参考) 日本も情報提供した米国のランサムウエア攻撃者の起訴についてまとめてみた - piyolog

攻撃、脅威

CISA, FBI, ACSC が共同で BianLian ランサムウェアに関する注意喚起

(5/16) #StopRansomware: BianLian Ransomware Group | CISA

The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), and Australian Cyber Security Centre (ACSC) are releasing this joint Cybersecurity Advisory to disseminate known BianLian ransomware and data extortion group IOCs and TTPs identified through FBI and ACSC investigations as of March 2023.

Mandiant が Microsoft Azure を標的とする攻撃活動について報告

(5/16) SIM Swapping and Abuse of the Microsoft Azure Serial Console: Serial Is Part of a Well Balanced Attack | Mandiant

In 2022, Mandiant identified attacker activity centered in Microsoft Azure that Mandiant attributed to UNC3944. Mandiant’s investigation revealed that the attacker employed malicious use of the Serial Console on Azure Virtual Machines (VM) to install third-party remote management software within client environments. This method of attack was unique in that it avoided many of the traditional detection methods employed within Azure and provided the attacker with full administrative access to the VM. Unfortunately, cloud resources are often poorly misunderstood, leading to misconfigurations that can leave these assets vulnerable to attackers. While methods of initial access, lateral movement, and persistence vary from one attacker to another, one thing is clear: Attackers have their eyes on the cloud.

脆弱性

Apple が macOS Ventura 13.4, macOS Monterey 12.6.6, macOS Big Sur 11.7.7, iOS 16.5 / iPadOS 16.5, iOS 15.7.5 / iPadOS 15.7.5, watchOS 9.5, tvOS 16.5, Safari 16.5 をリリース。すでに悪用が確認されている脆弱性の修正を含む (そのうち 2件は Rapid Response で配信されたもの)。

(5/18) Apple security updates - Apple Support

パスワードマネージャの KeePass にメモリからマスターパスワードが抽出できる脆弱性。PoC も公開される。

(5/18) KeePass exploit helps retrieve cleartext master password, fix coming soon

GitHub - vdohney/keepass-password-dumper: Original PoC for CVE-2023-32784

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3 個の脆弱性を追加

(5/19) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2004-1464 Cisco IOS Denial-of-Service Vulnerability
• CVE-2016-6415 Cisco IOS, IOS XR, and IOS XE IKEv1 Information Disclosure Vulnerability
• CVE-2023-21492 Samsung Mobile Devices Insertion of Sensitive Information Into Log File Vulnerability

その他

Google が放置アカウントに関するポリシーを更新。2年以上使用されていないアカウントについて今年後半から削除対象に。

(5/16) Updating our inactive account policies

To reduce this risk, we are updating our inactivity policy for Google Accounts to 2 years across our products. Starting later this year, if a Google Account has not been used or signed into for at least 2 years, we may delete the account and its contents – including content within Google Workspace (Gmail, Docs, Drive, Meet, Calendar) and Google Photos.

(5/19) Google Japan Blog: 無効な Google アカウントに関するポリシーを更新しました

Google Registry が新たに 8つのトップレベルドメインの登録を開始するが、セキュリティ研究者らが .zip ドメインの悪用の可能性について懸念

(5/3) See all 8 new top-level domains available this May

(5/17) The Dangers of Google’s .zip TLD. Can you quickly tell which of the URLs… | by Bobbyr | May, 2023 | Medium

This week, Google launched a new TLD or “Top Level Domain” of .zip, meaning you can now purchase a .zip domain, similar to a .com or .org domain for only a few dollars. The security community immediately raised flags about the potential dangers of this TLD. In this short write-up, we’ll cover how an attacker can leverage this TLD, in combination with the @ operator and unicode character ∕ (U+2215) to create an extremely convincing phish.

(5/18) Google pushes .zip and .mov domains onto the Internet, and the Internet pushes back | Ars Technica

NTT セキュリティが「サイバーセキュリティレポート 2023.04」を公開

(5/16) サイバーセキュリティレポート 2023.04