今週の気になるセキュリティニュース - Issue #121

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。



事件、事故

国土交通省九州地方整備局が管理するシステムから個人情報が流出

(5/28) 個人情報の流出に関するお知らせとお詫び

九州地方整備局 長崎河川国道事務所が管理する*溶岩ドーム情報配信システムに登録されている登録者情報が流出していることが判明しました。登録者情報には、整備局職員のほか自治体職員、関係コンサルタント会社社員等の総数96名分の氏名、メールアドレスや閲覧用ログインIDなどが含まれております。現在、情報がシステムから流出した原因を調査しているところです。

(5/29) 国土交通省から流出したと考えられるデータについてダークネット上で確認

  • 2023年5月26日、g0dと名乗るアクターがハッカーフォーラムにて、日本の国土交通省(mlit.go.jp)からハッキングした と主張するデータを投稿した。
  • データには、ID及び平文パスワードの他、名前、役職、メールアドレス等も含まれていた。
  • 5月28日、国土交通省 九州地方整備局は本件と関連すると思われる「個人情報の流出に関するお知らせとお詫び」とい うニュースリリースを発表している。


昨年摘発された掲示板サイト RaidForums のアカウントデータがリークされる

(5/29) New hacking forum leaks data of 478,000 RaidForums members

A database for the notorious RaidForums hacking forums has been leaked online, allowing threat actors and security researchers insight into the people who frequented the forum.

(5/31) RaidForums leaked database - insights and intelligence by KELA • KELA Cyber Threat Intelligence

On May 29, 2023, a database containing the information of nearly 479,000 members of the RaidForums hacking forum was leaked online on a new forum named Exposed. RaidForums was known for hosting, leaking, and selling stolen data from breached organizations. Following the seizure by law enforcement and its subsequent closure, users migrated to a new forum called Breached (BreachForums). Breached was just recently seized by law enforcement, too, after its founder was arrested.


トヨタコネクティッドが管理する顧客データの一部が公開状態になっていた

(5/31) クラウド設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて | コーポレート | グローバルニュースルーム | トヨタ自動車株式会社 公式企業サイト

5月12日に公表させていただきました(「クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」)の件、その後、トヨタコネクティッド株式会社(以下、TC)が管理する全てのクラウド環境を含めた調査を実施したところ、お客様情報を含むデータの一部が、外部からアクセスできる状態にあったことが判明したため、本日時点で判明している事案につき、お知らせいたします。


攻撃、脅威

JPCERT/CCLinux ルーターを狙う GobRAT マルウェアについて報告

(5/29) Linuxルーターを狙ったGo言語で書かれたマルウェアGobRAT - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

JPCERT/CCでは、2023年2月頃、国内のルーターマルウェアを感染させる攻撃を確認しています。今回は、JPCERT/CCが確認した攻撃および使用されたマルウェアGobRATの詳細について解説します。


複数のAV製品や EDR製品を回避する攻撃ツールが販売されていると CrowdStrike が注意喚起

(5/31) 2023-05-31 // SITUATIONAL AWARENESS // Spyboy Defense Evasion Tool Advertised Online : r/crowdstrike

On May 21, 2023, an online persona named spyboy began advertising an endpoint defense evasion tool for the Windows operating system via the Russian-language forum Ramp. The author claims that the software — seen in a demonstration video as being titled “Terminator” — can bypass twenty three (23) EDR and AV controls. At time of writing, spyboy is pricing the software from $300 USD (single bypass) to $3,000 USD (all-in-one bypass).

(5/31) Terminator antivirus killer is a vulnerable Windows driver in disguise


YouTube で拡散されるマルウェアのキャンペーンに関する注意喚起

(6/1) YouTubeで拡散される不正ソフトウェアの罠 - Mal-Eats

昨今YouTubeにおいて、Adobe製品などの有償ソフトウェアのクラック版やゲームのチートツールに偽装して、情報窃取型のマルウェアに感染させるキャンペーンが観測されています。この攻撃者グループは、ITリテラシーの低いユーザを主に狙っており、Lumma Stealer等の情報窃取型マルウェアに感染させて認証情報などを窃取しようとします。

また、攻撃者グループは、YouTubeアカウントを大量に侵害していると考えられ、マルウェア感染へ誘導するための動画を日々投稿しています。これまでに日本企業のチャンネルや外国の国営放送のチャンネルが乗っ取り被害を受けており、チャンネルを運用する組織の立場からも、レピュテーションリスクなどの観点で見過ごせない脅威といえます。


米国と韓国が共同で北朝鮮の攻撃者グループの活動に関する注意喚起

(6/1) U.S., ROK Agencies Alert: DPRK Cyber Actors Impersonating Targets to Collect Intelligence > National Security Agency/Central Security Service > Press Release View

The National Security Agency (NSA) is partnering with several organizations to highlight the Democratic People’s Republic of Korea’s (DPRK) use of social engineering and malware to target think tanks, academia, and news media sectors.

(6/2) 북한 정권을 위해 정보·기술 탈취해 온 해킹조직 ‘김수키’ 겨눈다 상세보기|보도자료 | 외교부


KasperskyiOS 端末を狙う攻撃キャンペーンについて報告。また関連してロシア連邦保安庁や外務省が、Apple製モバイル機器を利用した米国による諜報活動を発見したと公表

(6/1) Operation Triangulation: iOS devices targeted with previously unknown malware | Securelist

While monitoring the network traffic of our own corporate Wi-Fi network dedicated for mobile devices using the Kaspersky Unified Monitoring and Analysis Platform (KUMA), we noticed suspicious activity that originated from several iOS-based phones. Since it is impossible to inspect modern iOS devices from the inside, we created offline backups of the devices in question, inspected them using the Mobile Verification Toolkit’s mvt-ios and discovered traces of compromise.

(6/1) Подробная информация :: Федеральная Служба Безопасности

(6/1) Press release on new facts of global surveillance by the United States - Министерство иностранных дел Российской Федерации

The Russian authorities have uncovered a new fact of the US special services using American IT companies for global surveillance of US and other countries’ citizens. In this instance, they used the software vulnerabilities of US-made smartphones.


脆弱性

MOVEit Transfer に SQL インジェクション脆弱性。すでに悪用が確認されている

(5/31) MOVEit Transfer Critical Vulnerability (May 2023)

In Progress MOVEit Transfer before 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), 2023.0.1 (15.0.1), a SQL injection vulnerability has been found in the MOVEit Transfer web application that could allow an un-authenticated attacker to gain unauthorized access to MOVEit Transfer's database. Depending on the database engine being used (MySQL, Microsoft SQL Server, or Azure SQL), an attacker may be able to infer information about the structure and contents of the database in addition to executing SQL statements that alter or delete database elements.

(6/1) MOVEit Transfer Critical Vulnerability CVE-2023-34362 Rapid Response

On June 1, 2023, Huntress was made aware of active exploitation attempts against the MOVEit Transfer software application. Previously, on May 31, 2023, the vendor Progress had just released a security advisory expressing there is a critical vulnerability that could lead to unauthorized access.

(6/1) Progress’ MOVEit Transfer Critical Vulnerability | GreyNoise Blog

Based on the scanning activity we have observed, it is our recommendation that users of MOVEit Transfer should extend the time window for their review of potentially malicious activity to at least 90 days.

(6/1) New MOVEit Transfer zero-day mass-exploited in data theft attacks


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(5/31) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2023-28771 Zyxel Multiple Firewalls OS Command Injection Vulnerability

(6/2) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


その他

フィッシング対策協議会が「フィッシングレポート 2023」を公開

(6/1) フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | 協議会WG報告書 | 資料公開: フィッシングレポート 2023 の掲載について


フィッシング対策協議会がフィッシング対策ガイドラインを改定

(6/1) フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: フィッシング対策ガイドラインの改定について

(6/1) フィッシング対策協議会 Council of Anti-Phishing Japan | 報告書類 | ガイドライン | 資料公開: 利用者向けフィッシング詐欺対策ガイドラインの改定について


個人情報保護委員会が生成 AI サービスの利用に関する注意喚起

(6/2) 生成 AI サービスの利用に関する注意喚起等について

我が国において、現在、生成 AI サービス(質問・作業指示(プロンプト入力)等に応えて文章・画像等を生成する AI を利用したサービス)が普及していることを踏まえ、当委員会として、別添1のとおり、生成 AI サービスの利用に関する注意喚起等を行うこととしました。


(宣伝) 6/9 の「TECH+ セキュリティ - 専門家とベンダーの対話 第12回」に登壇します!

TECH+ セキュリティ - 専門家とベンダーの対話 第12回運用現場の選択肢|2023-06-09|ITセミナー・製品情報