ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。

---

• 事件、事故
  • 日米韓の 3ヶ国が北朝鮮による暗号資産窃取及び官民連携に関する共同声明
  • 米仏などの法執行機関の連携により、PlugX に感染した機器からマルウェアを消去する作戦を実施
  • 日本気象協会の tenki.jp において、DDoS攻撃によるネットワーク輻輳によりサービスに影響
  • 米バイデン大統領がサイバーセキュリティ強化のための大統領令を発令
  • Hulu で第三者による不正ログインが発生
  • TikTok が米国でのサービスを停止
• 攻撃、脅威
  • 奇安信の Xlab が AIRASHI ボットネットの活動について報告
  • FortiGate 機器 15,000 台の設定情報や認証情報を含むデータがリークされる
• 脆弱性
  • CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+4+1 個の脆弱性を追加
  • Microsoft が 2025年 1月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。
  • Fortinet 製 FortiOS および FortiProxy に認証バイパスの脆弱性。すでに悪用が確認されている
  • rsync に複数の脆弱性
• その他
  • iOS で Google パスワードマネージャーのパスキーが利用可能に

事件、事故

日米韓の 3ヶ国が北朝鮮による暗号資産窃取及び官民連携に関する共同声明

(1/14) 北朝鮮による暗号資産窃取及び官民連携に関する共同声明 | お知らせ - NISC

(1/14) Joint Statement on Cryptocurrency Thefts by the Democratic People’s Republic of Korea and Public-Private Collaboration - United States Department of State

米仏などの法執行機関の連携により、PlugX に感染した機器からマルウェアを消去する作戦を実施

(1/14) Office of Public Affairs | Justice Department and FBI Conduct International Operation to Delete Malware Used by China-Backed Hackers | United States Department of Justice

The Justice Department and FBI today announced a multi-month law enforcement operation that, alongside international partners, deleted “PlugX” malware from thousands of infected computers worldwide. As described in court documents unsealed in the Eastern District of Pennsylvania, a group of hackers sponsored by the People’s Republic of China (PRC), known to the private sector as “Mustang Panda” and “Twill Typhoon,” used a version of PlugX malware to infect, control, and steal information from victim computers.

日本気象協会の tenki.jp において、DDoS攻撃によるネットワーク輻輳によりサービスに影響

(1/15) 【お詫び】天気予報専門メディア「tenki.jp」がご利用しづらい事象について | JWAニュース | 日本気象協会

米バイデン大統領がサイバーセキュリティ強化のための大統領令を発令

(1/16) Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity | The White House

(1/16) Ransomware sanctions, software security among key points in new Biden executive order | The Record from Recorded Future News

Hulu で第三者による不正ログインが発生

(1/18) ［重要］不正アクセス検知によるパスワード強制リセット実施のお知らせ（1/18更新） – Hulu ヘルプセンター

弊社サービスにご登録いただいている一部のアカウントにおきまして、2025 年 1 月 17 日（金）から1 月 18 日（土）にかけてご登録者以外の第三者による不正なログイン操作が実施されたことを確認いたしました。 現在詳細について調査中ではございますが、現時点で確認できている状況をお知らせいたします。

発生日：2025 年 1 月 17 日（金）~ 18 日（土）

対象アカウント：236 件（※ご契約中、解約済みなど、ご契約状況に関わらず）

TikTok が米国でのサービスを停止

(1/18) Statement on possible shutdown | TikTok Newsroom

(1/18) TikTok goes dark in the US | TechCrunch

ℹ️ Update: Analysis of App Store data shows that the TikTok app has now also been delisted in the US, with the country joining a small set of countries including Afghanistan, China, and India where it is unavailable for download. pic.twitter.com/qbcfBA3ATZ

— NetBlocks (@netblocks) January 19, 2025

🚨Tiktok went offline in the US last night at 03:30 UTC (10:30pm ET) 🚨

Graphic based on @kentikinc aggregate traffic stats. #tiktokban pic.twitter.com/KnYy9jl5ZU

— Doug Madory (also on Bluesky) (@DougMadory) January 19, 2025

攻撃、脅威

奇安信の Xlab が AIRASHI ボットネットの活動について報告

(1/15) Botnets Never Die: An Analysis of the Large Scale Botnet AIRASHI

In August 2024, XLab observed a premeditated large-scale DDoS attack targeting the distribution platforms of the chinese game Black Myth: Wukong, namely Steam and Perfect World.This attack operation was divided into four waves, with the attackers carefully selecting the peak online hours of gamers in various time zones to launch sustained attacks lasting several hours. They simultaneously targeted hundreds of servers distributed across 13 global regions belonging to Steam and Perfect World, aiming to achieve maximum destructive impact. The botnet involved in this attack operation referred to itself as AISURU at the time. This article will analyze the variants of the AISURU botnet, known as AIRASHI.

After the above-mentioned attack was exposed, the AISURU botnet temporarily ceased its attack activities in September. However, driven by profit motives, it was updated in October, and based on the sample characteristics, we named it kitty. By the end of November, a new variant reappeared and was updated again in the samples at the end of November, with the botnet renamed as: AIRASHI.

FortiGate 機器 15,000 台の設定情報や認証情報を含むデータがリークされる

(1/15) Hackers leak configs and VPN credentials for 15,000 FortiGate devices

(1/16) Analysis of Threat Actor Data Posting | Fortinet Blog

日系企業への影響調査が完了し幸い今回は大きな影響はなさそうです。
・リスト中に日本国内のIPアドレスは2つのみで現在は利用されていないものです。
・外部から判断できる範囲での調査ですが、海外の日系企業資産も少なく、11社/13IP分のみを発見しました。各社へ通知を行います。

— nekono_nanomotoni (@nekono_naha) January 16, 2025

脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+4+1 個の脆弱性を追加

(1/13) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-12686 BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection Vulnerability
• CVE-2023-48365 Qlik Sense HTTP Tunneling Vulnerability

(1/14) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

• CVE-2024-55591 Fortinet FortiOS Authorization Bypass Vulnerability
• CVE-2025-21333 Microsoft Windows Hyper-V NT Kernel Integration VSP Heap-based Buffer Overflow Vulnerability
• CVE-2025-21334 Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free Vulnerability
• CVE-2025-21335 Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free Vulnerability

(1/16) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

• CVE-2024-50603 Aviatrix Controllers OS Command Injection Vulnerability

Microsoft が 2025年 1月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(1/14) 2025 年 1 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていること、や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

• CVE-2025-21395 / CVE-2025-21366 / CVE-2025-21186 Microsoft Access のリモート コードが実行される脆弱性
• CVE-2025-21308 Windows テーマのなりすましの脆弱性
• CVE-2025-21275 Windows アプリ パッケージ インストーラーの特権昇格の脆弱性
• CVE-2025-21334 / CVE-2025-21333 / CVE-2025-21335 Windows Hyper-V NT Kernel Integration VSP の特権昇格の脆弱性

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

• CVE-2025-21311 Windows NTLM V1 の特権昇格の脆弱
• CVE-2025-21298 Windows OLE のリモートでコードが実行される脆弱性
• CVE-2025-21307 Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性

(1/14) Zero Day Initiative — The January 2025 Security Update Review

Fortinet 製 FortiOS および FortiProxy に認証バイパスの脆弱性。すでに悪用が確認されている

(1/14) PSIRT | FortiGuard Labs

An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] affecting FortiOS and FortiProxy may allow a remote attacker to gain super-admin privileges via crafted requests to Node.js websocket module.

Please note that reports show this is being exploited in the wild.

(1/10) Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls - Arctic Wolf

(1/15) Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性（CVE-2024-55591）に関する注意喚起

引用RTのFortiGateの件メーカからも公式にゼロデイとしてCVE-2024-55591が発表。日本国内で7系管理画面は3000台程公開されています（7.0、7.2、7.4、7.6系の合計です。今回は7.0のみAffected）https://t.co/y8rfJhjtdJ
管理画面が公開されがちなポート調べましたのでご参考まで。侵害調査必須です⚠️ https://t.co/MxKgFjew8x pic.twitter.com/S5zTDWBOrE

— nekono_nanomotoni (@nekono_naha) January 15, 2025

rsync に複数の脆弱性

(1/14) VU#952657 - Rsync contains six vulnerabilities

(1/15) JVNVU#94903505: rsyncにおける複数の脆弱性

Sharing rsync instances vulnerable to CVE-2024-12084 RCE (version check only) in our updated daily Accessible Rsync report: https://t.co/0WaXXxwVBQ

17,475 instances found vulnerable (out of population of 146,844) on 2025-01-16. Top affected: US (5K)https://t.co/U4vXSACGUN pic.twitter.com/R7MJ55sBTc

— The Shadowserver Foundation (@Shadowserver) January 17, 2025

その他

iOS で Google パスワードマネージャーのパスキーが利用可能に

(1/16) iOS で Google パスワード マネージャーのパスキーを利用できるようになりました | Blog | Chrome for Developers