ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
事件、事故
LINEヤフーは委託先からの不正アクセスによる情報漏洩を公表。また昨年11月に公表した不正アクセス事案について情報を更新
(2/14) 委託先2社のアカウントを利用した不正アクセスによる、従業者等の情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
LINEヤフー株式会社は、このたび、第三者による不正アクセス(以下、本事案)を受け、従業者等*1に関する情報の漏えい(可能性も含みます)があることが判明しましたのでお知らせいたします。本事案は、2023年11月27日に公表した不正アクセス事案とは異なる事案となり、モニタリングを強化する中で判明したものです。
(2/14) 不正アクセスによる個人情報漏えいへの再発防止策に関するお知らせ|LINEヤフー株式会社
(2/14 更新) 不正アクセスによる、情報漏えいに関するお知らせとお詫び(2024/2/14更新)|LINEヤフー株式会社
2024年2月14日追記および修正:当社が主体として管理運用するシステムに加え、社外のサービスシステムについても当該サービスシステムの提供先に対して不正アクセスに係る情報提供を依頼する等、追加的な調査を実施。社内コミュニケーションに利用しているメール、Slack等のサービスシステム等において、「ユーザーに関する情報(42件)と取引先等に関する情報(106件)、従業者等に関する情報(78,962件)」の漏えいを新たに確認。(漏えい可能性を含みます。)影響範囲の最終調査を完了。
(参考) LINEヤフーへの不正アクセスについてまとめてみた - piyolog
昨年発生した派遣社員による顧客情報の不正な持ち出しに関して、個人情報保護委員会がNTTドコモとNTTネクシアに行政指導
(2/15) 株式会社NTTドコモ及び株式会社NTTネクシアに対する個人情報の保護に関する法律に基づく行政上の対応について(令和6年2月15日) |個人情報保護委員会
(2/15) 当社に対する個人情報保護委員会からの指導等について|お知らせ|NTTネクシア
(2/15) 報道発表資料 : 当社に対する個人情報保護委員会からの指導等について | お知らせ | NTTドコモ
トヨタモビリティサービスの「Booking Car」から情報漏洩の可能性
(2/16) お客様のメールアドレス等の漏洩可能性に関するお詫びとお知らせについて - トヨタモビリティサービス株式会社
トヨタモビリティサービス株式会社が提供する社用車専用クラウドサービス「Booking Car」をご利用中、または過去ご利用いただいた企業・自治体の従業員・職員の方のメールアドレスおよびお客様識別番号(管理用の目的でお客様お一人お一人に割り振らせていただいている番号)、約25,000名分が漏洩した可能性があることが判明致しました。 「Booking Car」をご利用いただいている企業・自治体およびご登録いただいているお客様には大変なご迷惑、ご心配をおかけすることを、心よりお詫び申し上げます。
攻撃、脅威
Rhysida ランサムウェアの復号ツールが公開
(2/13) Decrypted: Rhysida Ransomware - Avast Threat Labs
In October 2023, we published a blog post containing technical analysis of the Rhysida ransomware. What we intentionally omitted in the blog post was that we had been aware of a cryptographic vulnerability in this ransomware for several months and, since August 2023, we had covertly provided victims with our decryption tool. Thanks to our collaboration with law enforcement units, we were able to quietly assist numerous organizations by decrypting their files for free, enabling them to regain functionality. Given the weakness in Rhysida ransomware was publicly disclosed recently, we are now publicly releasing our decryptor for download to all victims of the Rhysida ransomware.
(2/12) Rhysida Ransomware Cracked, Free Decryption Tool Released
(2/9) [2402.06440] A Method for Decrypting Data Infected with Rhysida Ransomware
There goes another one. They are obviously not the first one who found this vulnerability. This was independently found by at least three other parties, who chose to circulate it in private instead of seeking publication and alerting Rhysida about their problem. https://t.co/J7gNlnMjpk
— Fabian Wosar (@fwosar) February 12, 2024
Microsoft と OpenAI が共同で、国家を背景とする攻撃者グループによる AI 関連サービスの利用に関する報告
(2/14) Staying ahead of threat actors in the age of AI | Microsoft Security Blog
Over the last year, the speed, scale, and sophistication of attacks has increased alongside the rapid development and adoption of AI. Defenders are only beginning to recognize and apply the power of generative AI to shift the cybersecurity balance in their favor and keep ahead of adversaries. At the same time, it is also important for us to understand how AI can be potentially misused in the hands of threat actors. In collaboration with OpenAI, today we are publishing research on emerging threats in the age of AI, focusing on identified activity associated with known threat actors, including prompt-injections, attempted misuse of large language models (LLM), and fraud. Our analysis of the current use of LLM technology by threat actors revealed behaviors consistent with attackers using AI as another productivity tool on the offensive landscape. You can read OpenAI’s blog on the research here. Microsoft and OpenAI have not yet observed particularly novel or unique AI-enabled attack or abuse techniques resulting from threat actors’ usage of AI. However, Microsoft and our partners continue to study this landscape closely.
(2/14) Disrupting malicious uses of AI by state-affiliated threat actors
We build AI tools that improve lives and help solve complex challenges, but we know that malicious actors will sometimes try to abuse our tools to harm others, including in furtherance of cyber operations. Among those malicious actors, state-affiliated groups—which may have access to advanced technology, large financial resources, and skilled personnel—can pose unique risks to the digital ecosystem and human welfare.
In partnership with Microsoft Threat Intelligence, we have disrupted five state-affiliated actors that sought to use AI services in support of malicious cyber activities. We also outline our approach to detect and disrupt such actors in order to promote information sharing and transparency regarding their activities.
CISA と MS-ISAC が共同で、州政府機関を標的とした攻撃に関する注意喚起
The Cybersecurity and Infrastructure Security Agency (CISA) and the Multi-State Information Sharing & Analysis Center (MS-ISAC) conducted an incident response assessment of a state government organization’s network environment after documents containing host and user information, including metadata, were posted on a dark web brokerage site. Analysis confirmed that an unidentified threat actor compromised network administrator credentials through the account of a former employee—a technique commonly leveraged by threat actors—to successfully authenticate to an internal virtual private network (VPN) access point, further navigate the victim’s on-premises environment, and execute various lightweight directory access protocol (LDAP) queries against a domain controller.[1] Analysis also focused on the victim’s Azure environment, which hosts sensitive systems and data, as well as the compromised on-premises environment. Analysis determined there were no indications the threat actor further compromised the organization by moving laterally from the on-premises environment to the Azure environment.
米司法省はロシアの情報機関が利用しているボットネットの活動を停止させる作戦を実施
A January 2024 court-authorized operation has neutralized a network of hundreds of small office/home office (SOHO) routers that GRU Military Unit 26165, also known as APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear, and Sednit, used to conceal and otherwise enable a variety of crimes. These crimes included vast spearphishing and similar credential harvesting campaigns against targets of intelligence interest to the Russian government, such as U.S. and foreign governments and military, security, and corporate organizations. In recent months, allegations of Unit 26165 activity of this type has been the subject of a private sector cybersecurity advisory and a Ukrainian government warning.
Tagged as "moobot".
— Shadowserver (@Shadowserver) February 15, 2024
Over 3500 infected initially (2024-01-27). Current numbers: over 2350 infected, US highest.
Geo breakdown: https://t.co/5TZ7iCPSPr
Infection tracker: https://t.co/RErMYLRKUi pic.twitter.com/Eb3TrOcYKh
脆弱性
CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+2+2 個の脆弱性を追加
(2/12) CISA Adds One Known Exploited Vulnerability to Catalog | CISA
- CVE-2023-43770 Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability
(2/13) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2024-21412 Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability
- CVE-2024-21351 Microsoft Windows SmartScreen Security Feature Bypass Vulnerability
(2/15) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2020-3259 Cisco ASA and FTD Information Disclosure Vulnerability
- CVE-2024-21410 Microsoft Exchange Server Privilege Escalation Vulnerability
Microsoft が 2024年 2月の月例パッチを公開。すでに悪用が確認されている複数の脆弱性を含む。
(2/13) 2024 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center
今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。
(2/13) Zero Day Initiative — The February 2024 Security Update Review
(2/13) CVE-2024-21412: Water Hydra Targets Traders with Microsoft Defender SmartScreen Zero-Day
(2/14) The Risks of the #MonikerLink Bug in Microsoft Outlook and the Big Picture - Check Point Research
QNAP 製品に複数の脆弱性
(2/13) Multiple Vulnerabilities in QTS, QuTS hero and QuTScloud - Security Advisory | QNAP
(2/13) CVE-2023-47218: QNAP QTS and QuTS Hero Unauthenticated Command Injection (FIXED) | Rapid7 Blog
(2/13) New Vulnerability in QNAP QTS Firmware: CVE-2023-50358
Code execution attempts for CVE-2023-47218 aimed at '/cgi-bin/quick/quick.cgi' appeared shortly after @rapid7 disclosure. Currently limited to 'id' & '/etc/passwd' checks from a couple of IPs - as seen in our sensors ... Make sure to patch your QNAP https://t.co/AzvnAFhrrL https://t.co/W2Q0L8gVnI
— Shadowserver (@Shadowserver) February 14, 2024
その他
JNSA が「インシデント損害額調査レポート 第2版」を公開
(2/9) NPO日本ネットワークセキュリティ協会 報告書・公開資料
NICT が「NICTER観測レポート2023」を公開
(2/13) NICTER観測レポート2023の公開|2024年|NICT-情報通信研究機構
DuckDuckGo ブラウザがエンドツーエンドでの同期とバックアップに対応
(2/14) DuckDuckGo Browser Update: Private Sync & Backup
nginx のコア開発者が nginx をフォークして freenginx.org を立ち上げ
(2/14) announcing freenginx.org
(2/16) NGINXのコア開発者がF5の経営陣に反発、NGINXをフォークし「FreeNginx」を立ち上げ。F5の経営陣がポリシーや開発者の立場を無視したと - Publickey
JPCERT/CC が 2023年 10〜12月のインターネット定点観測レポートを公開
(2/15) インターネット定点観測レポート(2023年 10~12月)
