ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • ニコニコおよび KADOKAWA グループのサービス障害について続報
• 攻撃、脅威
  • NTT セキュリティが「悪性MSIXファイル大規模調査レポート」を公開
  • Imperva が PHP の脆弱性 CVE-2024-4577 を悪用する TellYouThePass ランサムウェアの攻撃活動について報告
  • Mandiant が Snowflake の顧客への攻撃キャンペーンについて報告
  • 消費者庁が大手通信関連会社の名称をかたり、自動音声や国際電話番号等を用いて架空の利用料金請求を行う事業者に関する注意喚起
  • LINE が詐欺行為への対応を強化すると発表
  • Mandiant が SaaS アプリケーションを狙う攻撃者の活動について報告
• 脆弱性
  • Microsoft が 2024年 6月の月例パッチを公開
  • Google が Pixel のゼロデイ脆弱性を修正
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+3 個の脆弱性を追加
• その他
  • 個人情報保護委員会が「令和５年度個人情報保護委員会年次報告」を公開
  • AWS が多要素認証として Passkeys をサポート

事件、事故

ニコニコおよび KADOKAWA グループのサービス障害について続報

(6/14) ニコニコインフォ

(6/14) 当社サービスへのサイバー攻撃に関するご報告とお詫び | 株式会社ドワンゴ

6月8日午前3時30分頃、当社サービス「ニコニコ」「N予備校」を含む当社ウェブサービス全般で正常に利用できない不具合が発生し調査したところ、同日午前8時頃、ランサムウェアを含むサイバー攻撃によるものと確認されました。同日中に対策本部を立ち上げ、被害の拡大を防ぐため、直ちにグループ企業が提供するデータセンター内サーバー間の通信の切断およびサーバーのシャットダウンを実施し、当社ウェブサービスの提供を一時停止しました。また、攻撃が社内ネットワークにも及んでいることも判明したため、社内業務システムの一部を利用停止し、社内ネットワークへのアクセスを禁止しました。

6月14日現在、段階的な復旧を目指し、被害状況の確認と復旧手順の策定を進めております。

(6/14) 当社サービスへのサイバー攻撃に関するFAQ | 株式会社ドワンゴ

(6/14) 【第２報】KADOKAWAグループにおけるシステム障害について

6月8日（土）午前3時30分頃、当社グループの複数のサーバーにアクセスできない障害が発生しました。この事実を受け、早急に社内で分析調査を実施したところ、ニコニコを中心としたサービス群を標的として、当社グループデータセンター内のサーバーがランサムウェアを含む大規模なサイバー攻撃を受けたものと確認されました。以降、同日中に対策本部を立ち上げ、被害状況の全容把握と復旧に向け、調査と対応を進めております。

被害の拡大を防ぎ、データを保全するために直ちに同データセンター内のサーバーをシャットダウンするなど緊急措置を講じており、同データセンターを共有している当社グループ内の他サービス、すなわち当社グループの複数のウェブサイトだけでなく、事業活動や経理機能を管理する基幹システムの一部にも機能停止が発生しております。

(6/14) システム障害による一部支払遅延に関するご報告とお詫び

攻撃、脅威

NTT セキュリティが「悪性MSIXファイル大規模調査レポート」を公開

(6/10) ホワイトペーパー「悪性MSIXファイル大規模調査レポート」を公開しました | NTTセキュリティテクニカルブログ

2023年度、SOCでは偽のソフトウェア配布サイトを起点とするような悪性MSIXファイルの配布キャンペーンを多く観測し、その調査を継続的に行ってきました。そうした攻撃キャンペーンや悪性MSIXファイルについて、ブログ[1][2][3]や国際カンファレンス[4][5]で発表を行い、注意喚起や情報共有を行ってきました。そうして蓄積してきた情報を踏まえて、SOCでは特に解析の効率化を目指して新たなツールを開発し、悪性MSIXファイルについて大規模な調査を行いました。ホワイトペーパーではこの大規模調査の結果と、調査のために開発したツールの概要および評価、またマルウェアの解析結果やリサーチ結果を扱い、今後の悪性MSIXファイル対策のアプローチの一つとして活用いただくことを目指しています。

Imperva が PHP の脆弱性 CVE-2024-4577 を悪用する TellYouThePass ランサムウェアの攻撃活動について報告

(6/10) Update: CVE-2024-4577 quickly weaponized to distribute “TellYouThePass” Ransomware | Imperva

Recently, Imperva Threat Research reported on attacker activity leveraging the new PHP vulnerability, CVE-2024-4577. From as early as June 8th, we have detected attacker activity leveraging this vulnerability to deliver malware, which we have now identified to be a part of the “TellYouThePass” ransomware campaign.

📊 Live dashboard tracking #TellYouThePass ransomware infections actively exploiting #PHP hosts vulnerable to CVE-2024-4577: https://t.co/Rfiuousdrt. As of June 11, we’ve detected ~1,700 public-facing infected hosts online. pic.twitter.com/FhdWy2q9n4

— Censys (@censysio) June 12, 2024

PHPの脆弱性CVE-2024-4577をTellYouThePassランサムが悪用している件で被害台数の一端が見え、すでに526台の被害を確認💀Shodanで暗号時に生成されるファイルを検索して調査しました。

脆弱性が刺さるロケール設定が繁体字/簡体字中国語と日本語であることを反映し、被害も中国 308台、台湾… pic.twitter.com/baoXiBIuoa

— nekono_nanomotoni (@nekono_naha) June 13, 2024

Mandiant が Snowflake の顧客への攻撃キャンペーンについて報告

(6/11) UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion | Google Cloud Blog

Through the course of our incident response engagements and threat intelligence collections, Mandiant has identified a threat campaign targeting Snowflake customer database instances with the intent of data theft and extortion. Snowflake is a multi-cloud data warehousing platform used to store and analyze large amounts of structured and unstructured data. Mandiant tracks this cluster of activity as UNC5537, a financially motivated threat actor suspected to have stolen a significant volume of records from Snowflake customer environments. UNC5537 is systematically compromising Snowflake customer instances using stolen customer credentials, advertising victim data for sale on cybercrime forums, and attempting to extort many of the victims.

消費者庁が大手通信関連会社の名称をかたり、自動音声や国際電話番号等を用いて架空の利用料金請求を行う事業者に関する注意喚起

(6/11) 大手通信関連会社の名称をかたり、自動音声や国際電話番号等を用いて架空の利用料金請求を行う事業者に関する注意喚起 | 消費者庁

令和5年7月以降、消費者の携帯電話等に、大手通信関連会社の「NTTファイナンス」又は「NTT」の名称をかたり、国際電話番号等から自動音声ガイダンスや着信があるほか、SMSによるメッセージで、「未納料金があります」などと何らかの料金が未納であるかのように告げられたため、消費者が、自動音声ガイダンスの案内に従って携帯電話を操作したり、指定の電話番号に折り返すと、会員サイトやアプリケーションの利用料金名目で「支払われていない」、「このまま支払わないと裁判になる」などと説明され、プリペイド型電子マネーによる支払を請求された、といった相談が各地の消費生活センター等に数多く寄せられています。

消費者庁が調査を行ったところ、上記行為を行う事業者が、消費者の利益を不当に害するおそれのある行為(消費者を欺く行為及び消費者を威迫して困惑させる行為)を行っていたことを確認したため、消費者安全法(平成21年法律第50号)第38条第1項の規定に基づき、消費者被害の発生又は拡大の防止に資する情報を公表し、消費者の皆様に注意を呼びかけます。

LINE が詐欺行為への対応を強化すると発表

(6/13) 「LINE」の安心・安全な利用環境実現のため詐欺対応を強化 新たに4つの対応を順次開始｜LINEヤフー株式会社

Mandiant が SaaS アプリケーションを狙う攻撃者の活動について報告

(6/14) UNC3944 Targets SaaS Applications | Google Cloud Blog

UNC3944 is a financially motivated threat group that carries significant overlap with public reporting of "0ktapus," "Octo Tempest," "Scatter Swine," and "Scattered Spider," and has been observed adapting its tactics to include data theft from software-as-a-service (SaaS) applications to attacker-owned cloud storage objects (using cloud synchronization tools), persistence mechanisms against virtualization platforms, and lateral movement via SaaS permissions abuse. Active since at least May 2022, UNC3944 has leveraged underground communities like Telegram to acquire tools, services, and support to enhance their operations.

脆弱性

Microsoft が 2024年 6月の月例パッチを公開

(6/11) 2024 年 6 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、CVE-2023-50868 MITRE: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU は、更新プログラムが公開されるよりも前に脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。

なお、CVE-2023-50868 は、DNSSEC における脆弱性です。Windows の実装を修正するため、Windows 向けの更新プログラムを公開しています。脆弱性の詳細は、NVD - CVE-2023-50868 (nist.gov) を参照してください。

(6/11) Zero Day Initiative — The June 2024 Security Update Review

Google が Pixel のゼロデイ脆弱性を修正

(6/11) Pixel Update Bulletin—June 2024 | Android Open Source Project

Note: There are indications that CVE-2024-32896 may be under limited, targeted exploitation.

CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+3 個の脆弱性を追加

(6/12) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-4610 ARM Mali GPU Kernel Driver Use-After-Free Vulnerability
• CVE-2024-4577 PHP-CGI OS Command Injection Vulnerability

(6/13) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-32896 Android Pixel Privilege Escalation Vulnerability
• CVE-2024-26169 Microsoft Windows Error Reporting Service Improper Privilege Management Vulnerability
• CVE-2024-4358 Progress Telerik Report Server Authentication Bypass by Spoofing Vulnerability

その他

個人情報保護委員会が「令和５年度個人情報保護委員会年次報告」を公開

(6/11) 年次報告・上半期報告 ｜個人情報保護委員会

AWS が多要素認証として Passkeys をサポート

(6/11) Passkeys enhance security and usability as AWS expands MFA requirements | AWS Security Blog

Amazon Web Services (AWS) is designed to be the most secure place for customers to run their workloads. From day one, we pioneered secure by design and secure by default practices in the cloud. Today, we’re taking another step to enhance our customers’ options for strong authentication by launching support for FIDO2 passkeys as a method for multi-factor authentication (MFA) as we expand our MFA capabilities. Passkeys deliver a highly secure, user-friendly option to enable MFA for many of our customers.