ポッドキャスト収録用のメモですよ。
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
事件、事故
WikiLeaks の Julian Assange 氏が米当局と司法取引。有罪を認め釈放された
(6/24) WikiLeaks founder Julian Assange expected to plead guilty to felony charge - The Washington Post
(6/25) Julian Assange, free after pleading guilty, set to return to Australia - The Washington Post
(6/25) 「ウィキリークス」の創設者 罪を認め司法取引で母国に帰国へ | NHK | IT・ネット
(6/26) 【解説】 アサンジ被告の司法取引、なぜ実現したのか - BBCニュース
JULIAN ASSANGE IS FREE
— WikiLeaks (@wikileaks) June 24, 2024
Julian Assange is free. He left Belmarsh maximum security prison on the morning of 24 June, after having spent 1901 days there. He was granted bail by the High Court in London and was released at Stansted airport during the afternoon, where he boarded a…
リクルートの複数のサービスでサイバー攻撃による障害
(6/25) AirペイやAirペイタッチのアプリ、申込画面、管理画面が一部ご利用しづらい事象のご報告(2024年6月25日) – Airペイ - FAQ -
(6/24) リクルートで一時システム障害 電子決済エアペイ使えず ホットペッパー予約にも影響 - 産経ニュース
(6/26) リクルートにサイバー攻撃、「通常とは異なる多数のアクセスを受けた」 | 日経クロステック(xTECH)
Polyfill から不正なスクリプトが多数のサイトに配信される
(6/25) Polyfill supply chain attack hits 100K+ sites
The polyfill.js is a popular open source library to support older browsers. 100K+ sites embed it using the cdn.polyfill.io domain. Notable users are JSTOR, Intuit and World Economic Forum. However, in February this year, a Chinese company bought the domain and the Github account. Since then, this domain was caught injecting malware on mobile devices via any site that embeds cdn.polyfill.io. Any complaints were quickly removed (archive here) from the Github repository.
(6/25) Polyfill.io JavaScript supply chain attack impacts over 100K sites
(6/28) Polyfill.io, BootCDN, Bootcss, Staticfile attack traced to 1 operator
中国企業に売却されて不正スクリプト配信の挙動が観測されたpolyfill[.]ioですが、ShodanとCensysが捕捉している範囲でも日本国内はかなり利用サイトが多いです。
— nekono_nanomotoni (@nekono_naha) June 28, 2024
※ただしこの検索結果の数字も過小です
すでにpolyfill[.]ioドメインは停止されており、今後の継続悪用は無いと思いますがご参考までに https://t.co/UUTIII7o5k pic.twitter.com/IuYNg4Qmhu
Regarding the recent #Polyfill supply chain attack: despite the domain being down, we've identified nearly half a million hosts still referencing the polyfill[.]io endpoint -- incl. major entities in streaming, auto, and entertainment, along with ~260 hosts tied to gov domains. pic.twitter.com/wXhNTtrGDR
— Censys (@censysio) June 28, 2024
米司法省がウクライナ政府のシステムへの攻撃に関与したとしてロシア人を起訴
A federal grand jury in Maryland returned an indictment yesterday charging Amin Timovich Stigal (Амин Тимович Стигал), 22, a Russian citizen, with conspiracy to hack into and destroy computer systems and data. In advance of the full-scale Russian invasion of Ukraine, targets included Ukrainian Government systems and data with no military or defense-related roles. Later targets included computer systems in countries that were providing support to Ukraine, including the United States. Stigal remains at large.
TeamViewer が APT29 による社内ネットワーク環境への侵害を確認
(6/27) Statement | Trust Center | TeamViewer
Current findings of the investigation point to an attack on Wednesday, June 26, tied to credentials of a standard employee account within our Corporate IT environment. Based on continuous security monitoring, our teams identified suspicious behavior of this account and immediately put incident response measures into action. Together with our external incident response support, we currently attribute this activity to the threat actor known as APT29 / Midnight Blizzard. Based on current findings of the investigation, the attack was contained within the Corporate IT environment and there is no evidence that the threat actor gained access to our product environment or customer data.
PR TIMES が虚偽情報による企業登録およびプレスリリースの配信があったことを発表
(6/28) PR TIMESに登録された虚偽情報に関する対応とお詫び | 株式会社PR TIMESのプレスリリース
攻撃、脅威
Recorded Future が中国の攻撃者グループ RedJuliett による台湾を狙う攻撃活動について報告
From November 2023 to April 2024, Insikt Group identified cyber-espionage activities conducted by RedJuliett, a likely Chinese state-sponsored group, primarily targeting government, academic, technology, and diplomatic organizations in Taiwan. RedJuliett exploited known vulnerabilities in network edge devices such as firewalls, virtual private networks (VPNs), and load balancers for initial access. The group likely operates from Fuzhou, China, aligning with its persistent targeting of Taiwan. RedJuliett’s activities likely aim to support Beijing's intelligence collection on Taiwan’s economic and diplomatic relations, as well as critical technology development.
JPCERT/CC が Operation Blotless 攻撃キャンペーンに関する注意喚起
(6/25) Operation Blotless攻撃キャンペーンに関する注意喚起
2023年5月に重要インフラなどを狙う「Volt Typhoon」の攻撃活動が公表されて以来、Living off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動に対して警戒が高まっています。JPCERT/CCでは2023年から日本の組織も狙う同様の攻撃活動(Operation Blotless)を注視しており、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えていますが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点では精査しきれていません。
こうした攻撃活動では、Living off the Land戦術を用いる攻撃の特徴から、対策や検知の難しさがフォーカスされがちであり、具体的にどのような対策をとるべきか困惑している組織も多いかと思います。Living off the Land戦術は、最近のトレンドとして複数のAPTアクターが使用する戦術で、ランサムウェア攻撃のアクターも多用しています。特定のAPTアクターに限らず、さまざまな脅威への対策にもなることから、攻撃の手法や手順(TTP)について多くの公開情報が出ている「Volt Typhoon」のTTP情報をベースに、JPCERT/CCがこれまでに対応した関連事案を含め、サイバーセキュリティ協議会の活動などを通じて把握している同攻撃活動への対応方法について解説します。
SentinelOne が情報窃取を目的とする攻撃活動におけるランサムウェアの利用に関する報告
Threat actors in the cyberespionage ecosystem are engaging in an increasingly disturbing trend of using ransomware as a final stage in their operations for the purposes of financial gain, disruption, distraction, misattribution, or removal of evidence.
Google が攻撃者グループ DRAGONBRIDGE による Influence Operation について報告
(6/26) Google TAG: New efforts to disrupt DRAGONBRIDGE spam activity
Today we are sharing updated insights about DRAGONBRIDGE, the most prolific IO actor Google’s Threat Analysis Group (TAG) tracks. DRAGONBRIDGE, also known as “Spamouflage Dragon,” is a spammy influence network linked to the People’s Republic of China (PRC) that has a presence across multiple platforms. Despite producing a high amount of content, DRAGONBRIDGE still does not get high engagement from users on YouTube or Blogger.
マクニカが「標的型攻撃の実態と対策アプローチ 第8版」を公開
(6/27) 標的型攻撃の実態と対策アプローチ 日本を狙うサイバーエスピオナージの動向2023年度 - セキュリティ事業 - マクニカ
脆弱性
MOVEit Transfer および MOVEit Gateway に認証バイパスの脆弱性。PoC が公開され悪用も確認される
(6/25) MOVEit Transfer Critical Security Alert Bulletin – June 2024 – (CVE-2024-5806) - Progress Community
(6/25) MOVEit Gateway Critical Security Alert Bulletin – June 2024 – (CVE-2024-5805) - Progress Community
(6/25) Auth. Bypass In (Un)Limited Scenarios - Progress MOVEit Transfer (CVE-2024-5806)
(6/25) MOVEit Transfer: Auth bypass and a look at exposure | Censys
Very shortly after vulnerability details were published today we started observing Progress MOVEit Transfer CVE-2024-5806 POST /guestaccess.aspx exploit attempts. If you run MOVEit & have not patched yet - please do so now: https://t.co/AenLgqg1wM
— The Shadowserver Foundation (@Shadowserver) June 25, 2024
NVD: https://t.co/OHQRNFNE9p
CISA が Known Exploited Vulnerabilities (KEV) カタログに 3 個の脆弱性を追加
(6/26) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA
- CVE-2022-24816 GeoSolutionsGroup JAI-EXT Code Injection Vulnerability
- CVE-2022-2586 Linux Kernel Use-After-Free Vulnerability
- CVE-2020-13965 Roundcube Webmail Cross-Site Scripting (XSS) Vulnerability
その他
LINEヤフーが広告サービス品質に関する透明性レポートを公開
(6/25) 広告サービス品質に関する透明性レポートを公開 Yahoo!広告は、2023年度、約9600万件の広告素材を非承認かつ広告換算費約302億円分を無効クリックなどと判断し、非課金化|LINEヤフー株式会社
金融庁が「金融機関のシステム障害に関する分析レポート」を公表
(6/26) 「金融機関のシステム障害に関する分析レポート」の公表について:金融庁
Google が Entrust を Chrome Root Store から除外することを発表
(6/26) Google Online Security Blog: Sustaining Digital Certificate Security - Entrust Certificate Distrust
Over the past several years, publicly disclosed incident reports highlighted a pattern of concerning behaviors by Entrust that fall short of the above expectations, and has eroded confidence in their competence, reliability, and integrity as a publicly-trusted CA Owner.
