ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 日本航空で外部からの大量データ受信に起因する障害が発生し、運航やサービスに影響
  • 三菱ＵＦＪ銀行で外部からの大量データ送付に起因する障害が発生し、複数のサービスに影響
• 攻撃、脅威
  • 警察庁は FBI、DC3 と共同で、北朝鮮の攻撃者グループ TraderTraitor が DMM Bitcoin の暗号資産を窃取したことを特定したと公表
  • NTTセキュリティが北朝鮮による攻撃キャンペーン Contagious Interview で使用されるマルウェア OtterCookie について報告
  • JPCERT/CC が水飲み場攻撃の国内事例を紹介 (Part2)
  • Cyberhaven の Chrome 拡張が不正なコードに置き換えられる
• 脆弱性
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加
  • Palo Alto Networks の PAN-OS にサービス妨害の脆弱性 (CVE-2024-3393)
• その他
  • JNSA が 2024セキュリティ十大ニュースを発表
  • 防衛省、経済産業省および IPA が連携強化のための協定を締結

事件、事故

日本航空で外部からの大量データ受信に起因する障害が発生し、運航やサービスに影響

(12/26) ネットワーク障害による運航への影響について（終報） (アーカイブ)

2024年12月26日7:24から社内外を繋ぐネットワーク機器で障害が発生し、社外システムと通信しているシステムで不具合が発生しておりました。

• 障害の原因ならびにシステム不具合による影響範囲を特定し、システムは復旧しました。 　
• 本件は、外部からの大量データの受信に起因する障害です。顧客データ流出やウイルス被害は生じておりません。 　
• 2024年12月26日に出発する国内線のJAL Webサイト・JALアプリからの当日アップグレードのお手続き、ならびに空港空席待ちサービスを停止しています。

(12/26) JAL 日本航空にサイバー攻撃 システム不具合は復旧 航空券の販売も再開 | NHK | 航空

【ネットワーク機器不具合に関するお知らせ】
本日、7時24分から社内外を繋ぐネットワーク機器でシステム不具合が発生しております。国内線、国際線ともに運航への影響も想定されます。状況の確認が取れ次第、次回の案内にてお知らせいたします。ご迷惑をおかけしておりますことをお詫び申し上げます。

— JAL 運航情報【公式】 (@JAL_flight_info) December 26, 2024

三菱ＵＦＪ銀行で外部からの大量データ送付に起因する障害が発生し、複数のサービスに影響

(12/26) ネットワーク不具合による各種サービスの影響について（12月26日18時45分時点） | 三菱ＵＦＪ銀行

2024年12月26日15時頃より一部のお客さまにおいて、三菱ＵＦＪダイレクト（インターネットバンキング）の生体認証の利用が不安定な状態です。 生体認証が利用できない場合は、しばらくお待ちいただいてから再度お試しください。

また、BizSTATION及びCOMSUITE Portalにつきましても、ログインが不安定な状況が続いておりましたが、現在は安定しております。

本不具合は、外部からの不正な大量データ送付に起因するものであり、顧客データ流出やウイルス被害は生じておりません。

(12/26) ＪＡＬと三菱ＵＦＪ銀がサイバー攻撃被害…システム障害で警視庁が通信記録解析へ : 読売新聞

攻撃、脅威

警察庁は FBI、DC3 と共同で、北朝鮮の攻撃者グループ TraderTraitor が DMM Bitcoin の暗号資産を窃取したことを特定したと公表

(12/23) FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com — FBI

(12/24) 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について｜警察庁Webサイト

• 令和６年３月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」（以下「Ginco」という。）の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。
• 令和６年５月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC（攻撃当時約 482億円相当）が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

(12/24) 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について：金融庁

(12/24) 暗号資産の流出リスクへの対応等に関する再度の一斉点検実施について | 一般社団法人 日本暗号資産等取引業協会（JVCEA）

協会では、第一種会員である株式会社DMM bitcoinの暗号資産不正流出事案を受け、2024年9月26日に金融庁から公表された「暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について」に基づき会員に対し一斉点検を要請してきたところです。

本日金融庁から公表された「暗号資産の流出リスクへの対応等に関する再度の自主点検要請について」を受け、改めて暗号資産交換業を営む全会員に対して、会員各社の社内態勢について点検するよう要請いたします。

(12/26) 【重要】暗号資産の不正送金に関する警察庁の公表を受けた今後の当社の対応について - DMMビットコイン（2024/12/26）

令和6年12月24日（火）、警察庁より、当社が利用する株式会社Ginco（ギンコ）が開発及び利用提供されているコールドウォレットからの暗号資産の不正送金は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるものと特定されたとの公表（以下、「本件公表」）がありました。

本件公表を受け、当社は、株式会社Ginco（ギンコ）に対し、暗号資産窃取の具体的な手口や被害を防止できなかった原因について説明を求め、真相究明に努めて参ります。

(参考) TraderTraitorによるDMM Bitcoinのビットコイン不正流出についてまとめてみた - piyolog

NTTセキュリティが北朝鮮による攻撃キャンペーン Contagious Interview で使用されるマルウェア OtterCookie について報告

(12/25) Contagious Interviewが使用する新たなマルウェアOtterCookieについて | NTTセキュリティテクニカルブログ

SOCでは2024年11月頃から、Contagious InterviewキャンペーンにおいてBeaverTailやInvisibleFerret以外のマルウェアを実行していることを観測しています。私達は新たに観測したマルウェアをOtterCookieと呼び、その調査を行いました。本稿では、OtterCookieについて、その実行フローと詳細な挙動について紹介します。

JPCERT/CC が水飲み場攻撃の国内事例を紹介 (Part2)

(12/26) 近年の水飲み場攻撃事例 Part2 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

Cyberhaven の Chrome 拡張が不正なコードに置き換えられる

(12/27) Cyberhaven’s Chrome extension security incident and what we’re doing about it

On December 24, a phishing attack compromised a Cyberhaven employee's credentials to the Google Chrome Web Store. The attacker used these credentials to publish a malicious version of our Chrome extension (version 24.10.4). Our security team detected this compromise at 11:54 PM UTC on December 25 and removed the malicious package within 60 minutes.

(12/27) Cyberhaven’s preliminary analysis of the recent malicious Chrome extension

Although analysis of the attack is still in progress, we now understand this was part of a larger campaign to target Chrome Extension developers. Public reports from security researchers have suggested that Chrome extensions from several different companies were compromised and our initial analysis points to a non-targeted attack. From analysis of some of the compromised machines, the primary motive for the attack was to target Facebook Ads accounts.

(12/27) Cybersecurity firm's Chrome extension hijacked to steal users' data

Regarding the Cyberhaven chrome extension compromise I have reasons to believe there are other extensions affected. Pivoting by the ip address there are more domains created within the same time range resolving to the same ip address as cyberhavenext[.]pro (cont)

— Jaime Blasco (@jaimeblascob) December 27, 2024

脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(12/23) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2021-44207 Acclaim Systems USAHERDS Use of Hard-Coded Credentials Vulnerability

Palo Alto Networks の PAN-OS にサービス妨害の脆弱性 (CVE-2024-3393)

(12/27) CVE-2024-3393 PAN-OS: Firewall Denial of Service (DoS) in DNS Security Using a Specially Crafted Packet

Palo Alto Networks is aware of customers experiencing this denial of service (DoS) when their firewall blocks malicious DNS packets that trigger this issue.

その他

JNSA が 2024セキュリティ十大ニュースを発表

(12/25) JNSAセキュリティ十大ニュース

防衛省、経済産業省および IPA が連携強化のための協定を締結

(12/27) 防衛省・自衛隊：サイバーセキュリティ分野における防衛省・経済産業省・ＩＰＡによる包括的な連携協定