Aiototsec

悪意の PyPI パッケージが開発マシンを暗号マイニングマシンに変身させる

Malicious PyPI packages hijack dev devices to mine cryptocurrency

2021/06/22 BleepingComputer — 今週のこと、複数の悪意のパッケージが PyPI の Python Project リポジトリに取り込まれ、開発者のワークステーションを暗号マイニング・マシンに変えてしまった。すべての悪意のパッケージは、同じアカウントで公開されており、正規の Python Project 名を誤魔化して使うことで、開発者を騙して何千回もダウンロードさせてた。

Honeywell 調査：USB-based マルウェアが産業施設の脅威になっている

USB-based malware is a growing concern for industrial firms, new Honeywell findings show

2021/06/22 CyberScoop — 産業用オートメーション機器大手 Honeywell の最新調査によると、USB スティックなどの外部メディア・デバイスを悪用するように設計された、サイバー脅威の件数が 2021年には倍増している。これらの脅威のうち、運用技術システムの破壊に利用される可能性があるものが、79％に達している判明した。このレポートは、12ヶ月間に数百の産業施設から収集した、サイバー・セキュリティ脅威のデータに基づいている。

ランサムウェア攻撃への準備：リカバリーのための５つの Step

5 Critical Steps to Recover From a Ransomware Attack

2021/06/21 TheHackerNews — ビジネスを混乱させるハッカーたちが、悪意の活動で資金を得るための効果的なツールとして、ランサムウェアを利用するケースが増えている。サイバー・セキュリティ企業である Group-IB が、最近に実施した分析によると、ランサムウェアによる攻撃は 2020年に倍増しているが、Cybersecurity Ventures の予測によると、2021年には 11秒ごとにランサムウェア攻撃が発生するとのことだ。

ADATA の 700 GB データリークは Ragnar Locker というランサム・ギャングの仕業だ

ADATA suffers 700 GB data leak in Ragnar Locker ransomware attack

2021/06/21 BleepingComputer — ランサムウェア Ragnar Locker の一味が、台湾のメモリストレージ・チップメーカーである ADATA から盗み出した、700GB以上のアーカイブ・データのダウンロード・リンクを公開した。ADATA の機密ファイルが含まれているとされる 13個のアーカイブ・セットは、しばらくの間、クラウドベースのストレージ・サービスで公開されていた。

韓国原子力研究院が VPN の欠陥を悪用した攻撃に遭っている

South Korea’s Nuclear Research agency hacked using VPN flaw

2021/06/19 BleepingComputer — この５月に韓国原子力研究院 (KAERI : Korea Atomic Energy Research Institute) は、VPN の脆弱性を悪用する北朝鮮の脅威アクターにより、内部ネットワークがハッキングされたと明らかにした。韓国原子力研究所（KAERI）は、同国における原子力の研究と応用を目的とした、政府が出資する機関である。

ロシア政府が Opera VPN と VyprVPN を脅威だと断定／禁止した

Russia bans Opera VPN and VyprVPN, classifies them as threats

2021/06/18 BleepingComputer — ロシアの電気通信監視機関である Roskomnadzor は、ロシアの現行法に基づき、Opera VPN および VyprVPN を脅威だと分類し、その使用を禁止した。Roskomnadzor の発表は、「禁止コンテンツである、児童ポルノ／自殺／麻薬などへのアクセス制限回避に関する規則に基づき、2021年6月17日から VyprVPN と Opera VPN の使用制限を導入する」という内容である。

米国のスーパーマーケット Wegmans がデータ侵害に遭った

US supermarket chain Wegmans notifies customers of data breach

2021/06/18 BleepingComputer — Wegmans Food Markets は、設定上の問題により、2つのデータベースがインターネット上に公開されていることを認識した後に、顧客の一部の情報が流出したことを通知した。Wegmans は、中部大西洋と北東部に 106店舗を持つ、大手のローカル・スーパーマーケット・チェーンである。

製造業の５社に１社がサイバー攻撃の標的にされている

One in Five Manufacturing Firms Targeted by Cyberattacks

2021/06/18 DarkReading — 今週のこと、セキュリティ企業の Morphisec 社が発表した調査結果によると、サイバー犯罪者や攻撃グループは継続して製造業を標的としており、この分野における企業の約5社に1社が、攻撃の危険にさらされていることが分かった。Manufacturing Cybersecurity Threat Index レポートは、製造業の従業員567名からのアンケート回答で構成されており、約4分の1の企業が毎週、3分の1以上の企業が毎月、攻撃を受けていることが分かった。

中東の脅威アクター TA402 Molerats APT が短い休止期間を経て復活した

The return of TA402 Molerats APT after a short pause

2021/06/18 SecurityAffairs — TA402 APT グループ (別名：Molerats と Gaza Cybergang) だが、2ヶ月間の活動停止の後に復活し、中東の政府機関や同地域に関心を持つグローバルな政府機関を標的としている。Molerats は、政治的な動機を持ちアラビア語を話すハッカー集団であり、2012年から活動している。2018年当時に同集団の活動を監視していた Kaspersky は、きわめて類似した攻撃手法を MENA 地域で発見した。

中国の TikTok や WeChat はデータ処理をめぐって米国で禁止される？

Chinese apps like TikTok and WeChat could still face bans or subpoenas over data practices in US

2021/06/18 SCMP — 米国のジョー・バイデン大統領令は、アメリカの機密データを保護することを目的としており、中国製の一部のアプリケーションがアメリカ市場で活動を認めるためには、個人情報保護のためのより厳しい措置を取る必要があるとしている。その目的は、中国やロシアのような外国の敵対勢力が、米国内の大量の個人情報やのビジネス情報にアクセスできないようにすることだ。

Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ

Google Launches SLSA, a New Framework for Supply Chain Integrity

2021/06/18 DarkReading — 今週の Google だが、ソフトウェアのサプライチェーン全体を通して、ソフトウェア成果物の整合性を確保するための End-to-End フレームワークである、Supply chain Levels for Software Artifacts (SLSA) を発表した。Salsa と発音される SLSA は、Google 社内で採用されている Binary Authorization for Borg (BAB) という、コード・レビュー・プロセスから着想を得ている。

米 FCC 主導による通信ネットワークからの Huawei と ZTE の排除

US FCC advances proposed Huawei and ZTE equipment ban on telecoms networks, which could revoke prior approvals

2021/06/18 SCMP — 6月12日に米国連邦通信委員会 (FCC:Federal Communications Commission) は、国家安全保障上の脅威とみなされる Huawei や ZTE などの中国企業の、米国通信ネットワークにおける機器の認可を禁止する計画を、全会一致で推進することを決定した。第一段階としての承認を得た規則案において、FCC は中国企業に発行された、過去の機器認可も取り消しも可能となる。

Akamai が認めた DDoS Protection Service の障害とは？

Akamai Blames Outage on DDoS Protection Service

2021/06/18 SecurityWeek — CDN とサイバー・セキュリティとクラウド・サービスを提供する Akamai だが、木曜日に発生した障害について、同社の DDoS 攻撃防御サービス Prolexic に原因があったと発表した。Akamai Prolexic Routed は、分散型サービス妨害 (DDoS) 攻撃から企業のオンライン資産を保護するために設計された、完全なマネージドサービスだ。

Eggfree という英国のケーキ屋がデータ侵害でクレカ情報を盗まれた

Eggfree Cake Box suffer data breach exposing credit card numbers

2021/06/17 BleepingComputer — Eggfree Cake Box は、脅威アクターにより Web サイトがハッキングされ、クレジットカード番号が盗まれるという、データ侵害に遭ったことを公表した。Eggfree Cake Box は、鶏卵を使わない生クリーム・ケーキを販売する、英国内に 164 店舗を有するチェーン店だ。

ウクライナ警察がランサムウェア Cl0p の活動を破壊した

Ukraine Police Disrupt Cl0p Ransomware Operation

2021/06/17 DarkReading — ウクライナの警察当局が、ランサムウェア ClOp のメンバー6名を逮捕した。最近の ClOp は、Stanford University Medical School への攻撃や、エンタープライズ・ファイアウォール Accellion への不正侵入に関与していた。今回の逮捕は、韓国／米国／インターポールが連携した国際的な作戦によるものだと、この水曜日にウクライナの Cyberpolice は発表している。

CVS Health の膨大なデータベースがオンラインで漏えいした

Over a billion records belonging to CVS Health exposed online

2021/06/17 SecurityAffairs — 今週のこと、WebsitePlanet と研究者である Jeremiah Fowler は、米国の大手医療・製薬企業である CVS Health が所有するセキュリティ保護の無いデータベースが、オンラインで公開されていることを発見した。このデータベースは、いかなる認証も必要とせず、誰でもアクセスが可能である。

Carnival クルーズ船にデータ侵害が生じて被害が広がりそうだ

Carnival Cruise hit by data breach, warns of data misuse risk

2021/06/17 BleepingComputer — 世界最大のクルーズ船会社である Carnival Corporation は、同社の IT システムの一部が攻撃され、顧客／従業員／乗組員の個人情報や財務情報などデータが侵害されたことを公表した。Carnival は、S&P500 と FTSE100 の両株価指数に組み込まれており、約150カ国に15万人以上の従業員を擁し、毎年約1,300万人の顧客にレジャー旅行を提供している。

監視カメラベンダーに UNC2465 がサプライチェーン攻撃を仕掛けている？

UNC2465 cybercrime group launched a supply chain attack on CCTV vendor

2021/06/17 SecurityAffairs — ランサムウェア Darkside の系列組織である UNC2465 が、CCTV (Closed Circuit Television) ベンダーに対してサプライチェーン攻撃を行っていたことが、Mandiant の研究者により発見された。この UNC2465 は、FireEye/Mandiant が追跡している UNC2628 と UNC2659 という別系列グループと同様に、Darkside グループの主要な構成員と考えられている。

Bitcoin の Taproot 導入によるプライバシー強化とトレーサビリティの関係は？

Bitcoin to get more privacy features in Taproot update, making it harder to trace payments

2021/06/16 SCMP — このところ、ランサムウェア攻撃が多発し、暗号通貨の使用に対する懸念が高まっていることから、Bitcoin はプライバシー機能を強化する。先週末に、世界最大のデジタル通貨である Bitcoin を支えるコンピュータ・ソフトウェアに、この４年間で最も重要なアップデートが行われたが、あまり大きな反響もなく承認された。

中国とロシアの選択肢：戦略と軍事の関係を強化して G7 と NATO に対峙

China, Russia have ‘no choice’ but to strengthen strategic and military ties in face of G7 and Nato, observer says

2012/06/16 SCMP — 欧米諸国と対峙しているモスクワと北京は、米ロ首脳会談の結果にかかわらず、同盟関係を強化する可能性が高いとの見方がある。米国のバイデン大統領は、水曜日にジュネーブで行われるロシアのプーチン大統領との会談で、クレムリンと西側諸国の関係悪化について議論し、論争の的になる問題を提起すると予想されている。

ポーランドの政府と要人が正体不明のサーバー攻撃に遭っている

Poland institutions and individuals targeted by an unprecedented series of cyber attacks

2021/06/16 SecurityAffairs — ポーランド議会は、同国の組織や個人を襲った前例のないサイバー攻撃について、非公開の審議を行っている。政府報道官の Piotr Mulle が予想していた通り、Mateusz Morawiecki 首相は、攻撃に関連する秘密文書を提示して、攻撃の詳細を説明しなければならなかった。

アラビア語ニュース・チャンネル Al Jazeera がサイバー攻撃を未然に防ぐ

Al Jazeera detected and blocked disruptive cyberattacks

2021/06/11 SecurityAffairs —今週のこと、カタール政府が出資するアラビア語ニュース・チャンネル Al Jazeera は、同社のニュース配信プラットフォームの一部を破壊し、乗っ取ろうとする、一連のサイバー攻撃を阻止したと発表した。

2010 年の Santa Cruz DDoS 攻撃に関わったとして米国人男性が起訴された

US man accused of 2010 DDoS attack on Santa Cruz government arrested

2021/06/16 DailySwig — 2010年に発生した Santa Cruz 郡政府への DDoS 攻撃において、その背後にいたとされる米国人男性が、出廷しないままに 9年が経過し拘束された。Christopher Doyon (56歳) は Mountain View の出身で、今月初めに Mexico City で逮捕された。2011年に釈放された後、2012年2月の状況説明会に出頭しなかった罪に問われ、6月15日 (火) に連邦裁判所に出廷した。そして、いまは、2010年のサイバー攻撃に関連する複数の罪と、出頭しなかったことに関連する更なる罪に問われている。

バイデンからプーチンへ：16 の重要インフラ分野をサイバー攻撃から除外せよ

Biden says he gave Putin list of 16 sectors that should be off-limits to hacking

2021/06/16 CyberScoop — バイデン大統領は、水曜日にジュネーブで行われたロシアのプーチン大統領との会談において、エネルギー事業からから水道事業までの16の重要インフラ分野のリストを、悪意のサイバー活動の対象から除外すべきだと述べた。約３時間にわたるプーチン大統領との会談の後に、バイデン大統領は記者会見に臨み、「禁止事項についての具体的な理解に取り組み、いずれかの国で発生した特定のサイバー・インシデントをフォローアップ」ために、両政府のサイバーセキュリティ専門家に任務を課すことに合意したと述べた。

フランスの Ikea が従業員を不当に監視したとして罰金を科された

Ikea France fined for illegally spying on staff

2021/06/15 SCMP — 6月12日にフランスの裁判所は、Ikea が数年間にわたり、警察だけでなく私立探偵も利用して、数百人の従業員や求職者を違法に監視する、精巧なシステムを構築していたとの判決を下した。スウェーデンの大手家具メーカーである Ikea のフランス法人には、€1 million (US$1.2 million) の罰金が科せられ、同社の元社長である Jean-Louis Baillot には、2年間の執行猶予付きの懲役と €50,000 の支払いが命じられた。

中国からの Pulse Secure を介したサイバー攻撃が重要産業を狙う？

Chinese cyberattack breached dozens of high-value entities using Pulse Secure networking tool

2021/06/15 SCMP — 中国が行ったとされるサイバー・スパイ活動は、これまでに認識されていた以上の範囲に及び、米国の重要産業のコンピュータに侵入するために、インターネット・セキュリティを強化するデバイスを悪用したと推測される。この４月に、Pulse Connect Secure ネットワーク・デバイスへのハッキングが明らかになったが、ようやくその範囲が明らかになった。

Paradise Ransomware の全ソースコードがハッキング・フォーラムで共有されている

Paradise Ransomware source code released on a hacking forum

2021/06/15 BleepingComputer — Paradise Ransomware の全ソースコードがハッキング・フォーラムで公開されたことで、サイバー犯罪者による独自のランサムウェア開発環境が整っていく。ハッキング・フォーラム XSS 上で公開されたソースコードへのリンクは、このサイトの投稿に返信または反応したことのある、アクティブ・ユーザーのみがアクセスできる。

米国最大のプロパンガス事業者が８秒間のデータ侵害に遭った

Largest US propane distributor discloses ‘8-second’ data breach

2021/06/15 BleepingComputer — 米国最大のプロパンガス供給会社である AmeriGas は、一時的なデータ流出が生じたことで、123人の従業員に影響を与えたと公表した。AmeriGas は、米国の 50州で 200万人以上の顧客にサービスを提供しており、2,500以上の販売拠点を持っている。

米大統領令 2021：クラウドとゼロトラストとサプライチェーン

Cybersecurity Executive Order 2021: What It Means for Cloud and SaaS Security

2021.06/14 TheHackerNews — 米国連邦政府の IT システムおよびサプライチェーンを標的とする悪意の行為者に対応するために、大統領は国家のサイバーセキュリティの向上に関する大統領令 (Executive Order on Improving the Nation’s Cybersecurity) を発表した。

G7 からロシアへの要求：自国内のランサムウェア・ギャングを捕まえてくれ

G7 leaders ask Russia to hunt down ransomware gangs within its borders

2021/06/14 BleepingComputer — 重要な組織を標的としたサイバー攻撃が、グローバル規模で相次いでいることを背景として、G7 (Group of 7) 首脳はロシアに対して、同国内で活動していると思われるランサムウェア・ギャングを早急に排除するよう要請した。また、G7 加盟国は、エスカレートするランサムウェアの脅威に関して、世界的な課題として協力して取り組むことを表明した。

REvil ランサムウェアが米核兵器産業を攻撃した？

REvil ransomware hits US nuclear weapons contractor

2021/06/14 BleepingComputer — 米国の核兵器関連企業である Sol Oriens が、ランサムウェア REvil によるサイバー攻撃を受け、その際に盗まれたデータがオークションにかけられていると主張している。 Sol Oriens は自社の業務について、Department of Defense / Department of Energy Organizations / Aerospace Contractors などや、複雑なプログラムを遂行するテクノロジー企業を支援していると述べている。

APWG：フィッシング活動は継続して増加し 2021年 Q1 はワースト記録

APWG: Phishing maintained near-record levels in the first quarter of 2021

2021/06/13 SecurityAffairs — Anti-Phishing Working Group (APWG) が、2021年 Q1 の状況を示す新たな Phishing Activity Trends Report を発表した。このレポートよると、2021年 Q1 フィッシングは記録的なレベルを維持しており、フィッシング Web サイトの数は、2021年1月に 245,771件というピークを記録した。2月には、わずかに減少したことが確認されたが、3月には再び 20万件を超え、APWG 史上4番目の悪い月となった。

Audi と Volkswagen の顧客データ 330万件が流出した

Audi, Volkswagen data breach affects 3.3 million customers

2021/06/12 BleepingComputer — あるベンダーがインターネット上で、安全性が確保されていないデータを公開したことで、Audi と Volkswagen の 330万人の顧客に影響を与える、データ流出インシデントが発生した。VWGoA (Volkswagen Group of America, Inc) は、ドイツの Volkswagen Group の北米子会社であり、Volkswagen / Audi / Bentley / Bugatti / Lamborghini / VW Credit などの事業を担当している。

Codecov サイバー侵害の後に Bash Uploader から NodeJS への乗り換えが完了

Codecov ditches Bash Uploader for a NodeJS executable

2021/06/12 BleepingComputer — ソフトウェア・テストおよびコード・カバレッジを行う Codecov は、従来からの Bash Uploader に代わるクロス・プラットフォームのアップローダを発表した。この新しいアップローダは、Windows / Linux / macOS に対応した静的バイナリとして提供される。今回の発表は、改変された Codecov の Bash Uploader により顧客の CI/CD 環境から機密情報を収集するという、2ヶ月間に渡る Codecov サプライチェーン・インシデントを受けたものである。

McDonald にデータ侵害が生じて一部の個人情報が流出

McDonald’s discloses data breach after theft of customer, employee info

2021/06/11 BleepingComputer — 世界最大のファストフード・チェーンである McDonald は、同社のシステムにハッカーが侵入し、米国／韓国／台湾の顧客／従業員の情報が無すまれたことを受けて、データ流出が生じたと公表した。McDonald は米国だけでも約 14,000店を有し、世界の 100カ国以上、39,000以上の店舗で、数億人の顧客にサービスを提供している。

正体不明のマルウェアにより 1.2TB のデータが盗まれた

Mysterious custom malware used to steal 1.2TB of data from million PCs

2021/06/11 SecurityAffairs — NordLocker の研究者たちが、1.2TB の盗まれたデータを含む、保護されていないデータベースを発見した。脅威アクターたちは、2018年から2020年にかけて、カスタム・マルウェアを使用して、320万台の Windows システムからデータを盗み出している。

Avaddon ランサムウェアが活動を停止し復号キーを配布

Avaddon ransomware gang shuts down their operations and releases decryption keys

2021/06/11 SecurityAffairs — ランサムウェア Avaddon の被害者にとって朗報だ。このサイバー犯罪グループが、その活動を停止し、解読キーを BleepingComputer に提供した。このグループは、サーバーを停止し、ハッキング・フォーラムのプロフィールを削除し、リーク・サイトも閉鎖している。

簡単に悪用できる Linux の脆弱性を GitHub が公表

GitHub Discloses Details of Easy-to-Exploit Linux Vulnerability

2021/06/11 SecurityWeek — 今週のこと、GitHub は Linux に存在する、root 権限取得の脆弱性を公開したが。この脆弱性は、数多くの Linux ディストリビューションににおいて、デフォルトで搭載されている認証サービス polkit に影響するものだ。このセキュリティ・ホールは、GitHub Security Lab の Kevin Backhouse により発見されたものであり、詳細に関するブログとビデオも公開されている。

フードサービス用品のサプライヤー Edward Don がランサムウェア攻撃に遭ったようだ

Foodservice supplier Edward Don hit by a ransomware attack

2021/06/10 BleepingComputer — フードサービス用品のサプライヤーである Edward Don は、ランサムウェア攻撃を受けたことで、被害の拡大を防ぐためにネットワークの一部をシャットダウンした。Edward Don は、キッチンやバーで用いる食器類などを提供する、最大級のディストリビューターだ。本日のことだが、Edward Don が今週の初めにランサムウェア攻撃を受け、電話システム／ネットワーク／電子メールなどに支障をきたしていることを、BleepingComputer は知ることになった。

中国の新しい Data Security Law により国外へのデータ転送は禁止される

China’s new Data Security Law promises steep punishments for unapproved overseas data transfers

2021/06/10 SCNP — 中国において、データに関する法案が通過した。この法律は、政府の権限をさらに強化し、違反に対して厳しい処罰を約束するものとなる。北京政府はビッグテックを抑制し、国内で作成されたデータについて、自らに主権があると主張し続ける。

米 DoJ が潰した最大の地下マーケット Slilpp とは？

U.S. Authorities Shut Down Slilpp—Largest Marketplace for Stolen Logins

2021/06/10 TheHackerNews — 今日、米 Department of Justice (DoJ) 、は国際的な法執行活動の一環として、盗まれたログイン認証情報を取引する地下マーケット・プレイス Slilpp の、インフラを破壊／停止したと発表した。この違法マーケットに関連して、10数名が逮捕／起訴されている。

攻撃者が悪用する SonicWall VPN の脆弱性とは？

Attackers Leverage SonicWall VPN Flaw to Compromise SRA Appliances

2021/06/11 SecurityWeek — セキュリティ・ベンダーの CrowdStrike の警告によると、古い VPN セキュリティの欠陥を悪用する悪意のハッカーが、SonicWall SRA (secure remote access) デバイスを侵害しているようだ。この脆弱性 CVE-2019-7481 に関しては、2019年に SonicWall がパッチを提供しているが、このレガシー SRA デバイスの問題が、ファームウェア・アップデートでは適切に緩和されなかったと、CrowdStrike は警告している。