今週の気になるセキュリティニュース - Issue #210

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

イギリス政府が Apple に対して、iCloud に保存されているすべての暗号化データを閲覧可能とするよう要求したと、The Washington Post が報道

(2/7) U.K. orders Apple to let it spy on users’ encrypted accounts - The Washington Post

Security officials in the United Kingdom have demanded that Apple create a back door allowing them to retrieve all the content any Apple user worldwide has uploaded to the cloud, people familiar with the matter told The Washington Post.

(2/7) The UK's Demands for Apple to Break Encryption Is an Emergency for Us All | Electronic Frontier Foundation

The Washington Post reported that the United Kingdom is demanding that Apple create an encryption backdoor to give the government access to end-to-end encrypted data in iCloud. Encryption is one of the best ways we have to reclaim our privacy and security in a digital world filled with cyberattacks and security breaches, and there’s no way to weaken it in order to only provide access to the “good guys.” We call on Apple to resist this attempt to undermine the right to private spaces and communications.

(2/7) Big Brother Watch response to the Government ordering Apple to let them spy on users' messages — Big Brother Watch

(2/8) イギリス政府、アップル利用者が保存する暗号化データにアクセス要求 - BBCニュース

(2/10) UK's secret Apple iCloud backdoor order is a global emergency, say critics | TechCrunch

(2/12) U.K. asks to backdoor iCloud Backup encryption – A Few Thoughts on Cryptographic Engineering


世界各国の複数の法執行機関の連携により Phobos および 8Base ランサムウェアを摘発し、複数の関係者を逮捕

(2/10) Office of Public Affairs | Phobos Ransomware Affiliates Arrested in Coordinated International Disruption | United States Department of Justice

(2/11) Key figures behind Phobos and 8Base ransomware arrested in international cybercrime crackdown | Europol

(2/12) ロシア人ランサムウェア被疑者4名の検挙に関するユーロポールのプレスリリースについて|警察庁Webサイト

 ユーロポールは、欧州を含む世界各国の企業等に対しランサムウェア被害を与えたなどとして、ランサムウェア攻撃グループ「8Base」の一員とみられる被疑者4名を外国捜査機関が検挙するとともに、関連犯罪インフラのテイクダウンを行った旨をプレスリリースしました。

 同プレスリリースにおいては、関係各国で関連するランサムウェア事案の捜査を行っており、当該捜査について、日本警察を含む各国捜査機関等の国際協力が言及されています。

 日本警察は、我が国で発生したランサムウェア事案について、外国捜査機関とも連携して捜査を推進し、捜査で得た情報を外国捜査機関に提供し、被疑者の検挙に貢献しています。


攻撃、脅威

ラックが中国の攻撃者グループ Winnti Group による日本組織を狙った攻撃キャンペーンについて報告

(2/13) RevivalStone:Winnti Groupによる日本組織を狙った攻撃キャンペーン | LAC WATCH

ラックのサイバー救急センターは、2024年3月に中国を拠点とする攻撃者グループ「Winnti Group」による新たな攻撃キャンペーン「RevivalStone」を確認しました。この攻撃キャンペーンは、製造、素材、エネルギー分野の日本企業を標的にしたもので、新しい機能を備えた「Winntiマルウェア」が攻撃に使われていました。


Microsoft と Volexity がロシアの攻撃者グループによるフィッシングキャンペーンについて報告

(2/13) Storm-2372 conducts device code phishing campaign | Microsoft Security Blog

Today we’re sharing that Microsoft discovered cyberattacks being launched by a group we call Storm-2372, who we assess with medium confidence aligns with Russia’s interests and tradecraft. The attacks appear to have been ongoing since August 2024 and have targeted governments, NGOs, and a wide range of industries in multiple regions. The attacks use a specific phishing technique called “device code phishing” that tricks users to log into productivity apps while Storm-2372 actors capture the information from the log in (tokens) that they can use to then access compromised accounts. These tokens are part of an industry standard and, while these phishing lures used Microsoft and other apps to trick users, they do not reflect an attack unique to Microsoft nor have we found any vulnerabilities in our code base enabling this activity.

(2/13) Multiple Russian Threat Actors Targeting Microsoft Device Code Authentication | Volexity

  • Volexity has observed multiple Russian threat actors conducting social-engineering and spear-phishing campaigns targeting organizations with the ultimate goal of compromising Microsoft 365 accounts via Device Code Authentication phishing.
  • Device Code Authentication phishing follows an atypical workflow to that expected by users, meaning users may not recognize it as phishing.
  • Recent campaigns observed have been politically themed, particularly around the new administration in the United States and the changes this might mean for nations around the world.


Recorded Future が中国の攻撃者グループ RedMike (Salt Typhoon) の攻撃活動について報告

(2/13) RedMike Exploits Unpatched Cisco Devices in Global Telecommunications Campaign

Between December 2024 and January 2025, Recorded Future’s Insikt Group identified a campaign exploiting unpatched internet-facing Cisco network devices primarily associated with global telecommunications providers. Victim organizations included a United States-based affiliate of a United Kingdom-based telecommunications provider and a South African telecommunications provider. Insikt Group attributes this activity to the Chinese state-sponsored threat activity group tracked by Insikt Group as RedMike, which aligns with the Microsoft-named group Salt Typhoon. Using Recorded Future® Network Intelligence, Insikt Group observed RedMike target and exploit unpatched Cisco network devices vulnerable to CVE-2023-20198, a privilege escalation vulnerability found in the web user interface (UI) feature in Cisco IOS XE software, for initial access before exploiting an associated privilege escalation vulnerability, CVE-2023-20273, to gain root privileges. RedMike reconfigures the device, adding a generic routing encapsulation (GRE) tunnel for persistent access.


Recorded Future が北朝鮮の IT 技術者のなりすましによる活動について報告

(2/13) North Korea’s Fraudulent IT Employment Scheme: A Cybersecurity Threat


脆弱性

先月修正された SonicOS の脆弱性の詳細が公開され、攻撃も観測

(2/10) SonicWall CVE-2024-53704: SSL VPN Session Hijacking | Bishop Fox

(2/13) CVE-2024-53704 | Arctic Wolf

On February 10, 2025, Bishop Fox published technical details and proof-of-concept (PoC) exploit code for CVE-2024-53704, a high-severity authentication bypass vulnerability caused by a flaw in the SSLVPN authentication mechanism in SonicOS, the operating system used by SonicWall firewalls. Shortly after the PoC was made public, Arctic Wolf began observing exploitation attempts of this vulnerability in the threat landscape.

(1/8) Security Advisory


ApplemacOS Sequoia 15.3.1, macOS Sonoma 14.7.4, macOS Ventura 13.7.4, iOS 18.3.1 / iPadOS 18.3.1, iPadOS 17.7.5, watchOS 11.3.1, visionOS 2.3.1 をリリース。すでに悪用が確認されている脆弱性の修正を含む。

(2/10) Apple security releases - Apple Support


Microsoft が 2025年 2月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(2/11) 2025 年 2 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていることや脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

(2/11) Zero Day Initiative — The February 2025 Security Update Review


CISA が Known Exploited Vulnerabilities (KEV) カタログに 4+2+1 個の脆弱性を追加

(2/11) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

(2/12) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(2/13) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


Palo Alto Networks の PAN-OS に認証バイパスの脆弱性 (CVE-2025-0108)

(2/13) CVE-2025-0108 PAN-OS: Authentication Bypass in the Management Web Interface

Palo Alto Networks is not aware of any malicious exploitation of this issue.

(2/12) Nginx/Apache Path Confusion to Auth Bypass in PAN-OS (CVE-2025-0108)

(2/13) GreyNoise Observes Active Exploitation of PAN-OS Authentication Bypass Vulnerability (CVE-2025-0108)

GreyNoise has observed active exploitation attempts targeting a newly disclosed authentication bypass vulnerability, CVE-2025-0108, affecting Palo Alto Networks PAN-OS.


その他

NICT が「NICTER観測レポート2024」を公開

(2/13) NICTER観測レポート2024の公開|2025年|NICT-情報通信研究機構


NTTドコモがドコモメールに「迷惑メールフォルダ」を導入し、DMARC の隔離ポリシーにも対応

(2/13) ドコモメールに「迷惑メールフォルダ」を追加 ~準拠する「DMARC」ポリシーも拡充し、さらにあんしん・安全、便利なメールサービスへ~

株式会社 NTT ドコモ(以下、ドコモ)は、お客さまの利便性向上とセキュリティ強化を目的に、2025 年 2 月 13 日(木)※1 からドコモメールに「迷惑メールフォルダ」を導入いたします。また、送信ドメイン認証技術「DMARC」※2 について、これまで 「拒否」のポリシーのみに準拠しておりましたが、新たに「隔離」ポリシーを導入いたします。これにより、なりすましメールやド コモの判定基準における迷惑メール等が「迷惑メールフォルダ」に振り分けられるようになり、ドコモメール利用におけるお客 さまの利便性とセキュリティが向上します。


IPA が「2024年度中小企業等実態調査結果」速報版を公開

(2/14) 「2024年度中小企業等実態調査結果」速報版を公開