CyberAttack – Page 65 – IoT OT Security News

ドミノピザ・インドから盗み出された顧客データが販売されている

Domino’s India discloses data breach after hackers sell data online

2021/05/25 BleepingComputer — ドミノピザ・インドは、脅威アクターが同社のシステムをハッキングし、盗んだデータをハッキング・フォーラムで販売したことを受け、データ侵害があったことを公表した。

Python の公式レポジトリ PyPI にスパム・パッケージが隠れている

Spammers flood PyPI with pirated movie links and bogus packages

2021/05/21 BleepingComputer — Python ソフトウェア・パッケージの公式レポジトリである PyPI に、スパム・パッケージが殺到していると、BleepingComputer は認識している。これらのスパム・パッケージは、海賊版コンテンツを扱う Torrent や Warez などに見られるスタイルと同様に、さまざまな映画の名前が付けられている。また、それぞれが、固有の偽名のメンテナー・アカウントにより投稿されているため、PyPI によるパッケージとスパム・アカウントの一括削除が困難になっている。

サイバー犯罪者たちは API キーを悪用して盗みを働こうとしているのか？

Report: how cybercriminals abuse API keys to steal millions

2021/05/21 SecurityAffairs — この数年において、暗号通貨市場が爆発的に拡大し、トレーダーによる取引プロセスを効率化するためのアプリやサービスが提供され始めている。こうしたサービスを利用するトレーダーは、暗号通貨取引所のパーソナル・アカウントへのアクセスを、API キーを介してサードパーティ・プログラムに許可する。その結果、取引所にログインしなくても、売買の注文や実行を、自動的に行うことが可能になる。

保険大手の CNA Financial は $40 Million をランサム・ギャングに支払ったらしい

Insurance Firm CNA Financial Reportedly Paid Hackers $40 Million in Ransom

2021/05/21 TheHackerNews — 米保険大手の CNA Financial は、2021年3月に発生した攻撃の後、システムへのアクセス権を回復するためにランサムウェア・ギャングに対して $40 Million を支払い、これまでの身代金の中で最も高額なものになったと、Bloomberg は推測している。

フロリダの水道局で発生したウォータリングホール攻撃とは？

Watering Hole Attack Was Used to Target Florida Water Utilities

2021/05/21 TheHackerNews — 2021年の初めに発生した Oldsmar 水道局のハッキング事件の調査で、いわゆるウォータリングホール攻撃により、フロリダ州のインフラ業者が、悪意のコードを Web サイトにホストしてしまったことが明らかになった。

Cobalt Strike はハッカー御用達のツールになってしまったのか？

Cobalt Strike Becomes a Preferred Hacking Tool by Cybercrime, APT Groups

2021/05/19 DarkReading — RSA CONFERENCE 2021 – オープンソース・ハッキング・プラットフォームである Metasploit は、ネットワーク・テストに必要なツールであると同時に、サイバー犯罪者たちによる悪用に不安を抱く人々から、20年近くにわたり熱狂と不満の声を集めてきた。いまもなお、Metasploit は善良なハッカーと悪質なハッカーから人気を得ているが、レッドチームのツールである Cobalt Strike も、攻撃において重要な役割を果たすようになってきた。

パッケージ・ベンダー Ardagh の業務がサイバー攻撃により停止した

Packaging vendor Ardagh admits cyber-attack disrupted operations

2021/05/19 DailySwig — ヨーロッパでガラスや金属のパッケージを製造する Ardagh Group が、サイバー攻撃の被害に遭ったと表明し、復旧に向けた作業は順調に進んでいると述べている。5月17日 (月) に発表された声明によると、この攻撃を受けたことで、特定の IT システムおよびアプリケーションを、積極的に停止することなどを含めて、封じ込めのための手順を実施したと述べている。

ロシアの諜報機関が SolarWinds ハッキングへの関与を否定

Spy chief denies Russia was behind hack of US firm SolarWinds

2021/05/18 SCMP — 5月12日に、ロシア諜報機関のチーフは、SolarWinds サイバー攻撃への関与を否定する一方で、このような高度なハッキングの背後にモスクワが存在するという、米英の非難に対して光栄だと述べた。米英の政府は、KGB の継承者である Foreign Intelligence Service (SVR) が、米国連邦政府の 9つの機関と、数百社の民間企業を危険にさらした、ハッキング事件の犯人だと非難している。

167 種類の Android / iOS フェイク・アプリで詐欺をはたらくグループが判明

Hackers stealing money via 167 fake Android, iOS apps

2021/05/17 EconomicTimes — ニューデリー発：サイバー・セキュリティの研究者たちの調査により、犯罪者が悪用する 167種類の Android / iOS フェイク・アプリの隠し場所が特定された。これらのアプリの被害者は、信頼できる組織から提供されるトレーディング／バンキング／暗号通貨のアプリを、インストールしたと思い込んだ上で、現金を盗まれている。

フランス大手保険会社 Axa のアジア支社がランサムウェア攻撃に遭った

Cyberattack in Asian countries hits subsidiary of French insurance giant Axa

2021/05/17 SCMP — フランスの大手保険会社 Axa の子会社がランサムウェア攻撃を受け、アジアにおける国々の業務に支障がでていると、5月13日に同社が発表した。Axa Partners 声明の中で、「先日に Asia Assistance が標的型ランサムウェア攻撃の被害に遭い、タイ／マレーシア／香港／フィリピンにおける IT 業務に影響が生じた。

東芝の欧州子会社が DarkSide ランサムウェアに攻撃される

DarkSide Ransomware Hits Toshiba Tec Group

2021/05/14 SecurityWeek — Colonial Pipeline を操業停止へと追い込んだ、ランサムウェア DarkSide の脅威が拡大している。昨日は、ドイツの化学製品流通大手の Brenntag が、DarkSide のオペレーターに $4.4 million の身代金を支払ったことが報じられていた。

Codecov サプライチェーン攻撃により Rapid7 のソースコードがアクセスされた

Rapid7 Source Code Accessed in Supply Chain Attack

2021/05/14 DarkReading — Codecov への攻撃を調査した結果、侵入者がアクセスした Rapid7 のソースコード・リポジトリには、同社の認証情報や警告関連データなどが含まれていたと判明した。セキュリティ企業である Rapid7 は、Codecov サプライチェーン攻撃を調査したことで、攻撃者による不正アクセスが、自社にも及んでいたと認めている。

Microsoft Build Engine を悪用する Filelessly なマルウェア拡散の手法とは？

Hackers Using Microsoft Build Engine to Deliver Malware Filelessly

2021/05/14 TheHackerNews — Microsoft Build Engine (MSBuild) を悪用して、リモートアクセス・トロイの木馬や、パスワードを盗み出すためのマルウェアを、標的となる Windows システム上にファイルレスで展開するという脅威が存在する。

データ侵害の 85% に人間が関与している：Verizon DBIR

85% of Data Breaches Involve Human Interaction: Verizon DBIR

2021/05/13 DarkReading — Web アプリケーション攻撃や、フィッシング詐欺、ランサムウェア攻撃が、昨年と比較すると増加している。COVID-19 パンデミック中で、人々がリモートワークを強いられ、また、オンラインで過ごす時間が増えたことが、攻撃者にアドバンテージを与えている。2020年に発生した攻撃の大半である 85％が、人間同士のやりとりを伴うものだ。

ケミカル流通大手の Brenntag がランサムウェア攻撃に $4.4 million を支払った

Chemical distributor pays $4.4 million to DarkSide ransomware

2012/05/13 BeepingComputer — 化学製品の流通を行う Brenntag は、暗号化されたファイルの復号化ツールを受け取ために、また、盗まれたデータの公表を防ぐために、ランサムウェア・ギャングである DarkSide 対して、身代金 $4.4 million を Bitcoinで支払った。ドイツに本社を置く Brenntag は、世界有数の化学製品流通企業であり、世界の 670以上の拠点で 17,000人以上の従業員を抱えている。

Colonial Pipeline はランサムウェア攻撃者に $5 million を支払った？

Colonial Pipeline restores operations, $5 million ransom demanded

2021/05/13 BleepingComputer — 先週に発生したランサムウェア攻撃から Colonial Pipeline は迅速に回復し、本日中に全インフラが稼動する見込みだという。同社は、パイプライン・システムの大部分をオンラインに戻し、サービスを提供している大半のマーケットへの供給を回復している。

ランサムウェア被害に遭った大手保険 CNA のシステムが復旧した

Insurance giant CNA fully restores systems after ransomware attack

2012/05/13 BleepingComputer — 米国の大手保険会社である CNA Financial は、3月下旬に発生した Phoenix CryptoLocker ランサムウェア攻撃により、オンラインサービスや業務を停止していたが、そのシステムが完全に復旧したという。CNA は、サイバー保険を含む幅広い商品を提供しており、Insurance Information Institute の統計によると、米国で6番目の商業保険会社となっている。

Colonial Pipeline ハッキングにより給油パニックが発生した

Panic buying in US as petrol pumps run dry after Colonial Pipeline hack

2021/05/12 SCMP — 米国最大の燃料パイプラインの閉鎖が5日目に入ったことで、フロリダ州からバージニア州でガソリン価格が上昇し、また、ガソリン・スタンドのタンクが空になり、ドライバーたちがパニック状態に陥っている。

英国政府が CyberUK カンファレンスで提供する脅威警告ツールとは？

UK government releases free cyber-threat warning tool at annual CyberUK conference

2021/05/12 DailySwig — 英国の National Cyber Security Centre は、CyberUK カンファレンスにおいて、国内企業に脅威警告サービスを無料で提供すると発表した。このサービスは、信頼できる脅威情報ソースにフィルターにかけ、起こり得るインシデントやセキュリティ問題を、カスタムな警告でタイムリーに通知するものだという。

Colonial Pipeline はランサムウェア対策として何をすべきだったのか？

Pipeline Ops Shut Down After Ransomware Attack

2021/05/11 AutomationCom — 東海岸に燃料を輸送する主要パイプライン・システムを運営している Colonial Pipeline は、5月初頭にランサムウェア攻撃を受けた後に、すべての操業を停止して事件に対処したと発表した。同社は、誰に何を要求されたのかについては、なにも言及していない。通常、ランサムウェ攻撃では、犯罪者がデータを奪った後に暗号化を行い、カギの解除と引き換えに、多額の支払いを要求する。このパイプライン事業者が、ランサムウェア攻撃を防御するために、講じるべきだった対策が紹介されている。

Colonial Pipeline 攻撃の背景には DarkSide がいると FBI が特定

‘DarkSide’ criminal gang behind cyberattack on major US fuel pipeline, says FBI

2021/05/10 SCMP — サイバー攻撃を受けた米国大手燃料パイプラインが、FBI と行政当局が犯人であるハッカー集団 DarkSide だと特定したことを受けて、週末までに大半のサービスを回復させたいと発表した。東海岸で消費される燃料の約45％を供給する Colonial Pipeline は、ランサムウェア攻撃により、システムの一部が影響を受けたことを明らかにし、操業を停止した。その後、米国政府は燃料供給には支障がないことを強調し、価格の高騰や経済への影響を緩和しようと努めている。

オクラホマ州 Tulsa 市がランサムウェア攻撃に遭っている

City of Tulsa’s online services disrupted in ransomware incident

2021/05/10 BleepingComputer — オクラホマ州 Tulsa 市は、ランサムウェア攻撃を受けた後に、マルウェア拡散を防ぐために、市のシステムを停止せざるを得ない状況に陥った。Tulsa はオクラホマ州で2番目の都市であり、その人口は約40万人だ。5月の最初の週末に、Tulsa のネットワーク上でランサムウェア攻撃が展開されたことで、同市の全システムがシャットダウンされ、オンライン・サービスが停止した。

Colonial Pipeline の事件はインフラ攻撃における氷山の一角に過ぎない

Colonial Pipeline Ransomware : Part of a Growing Trend of Industrial Cyberattacks

2021/05/09 OTORIO — 残念ながら、米国最大級のパイプライン Colonial Pipeline へのランサムウェア攻撃は、私たちにとって驚きではない。この 1月以降、重要インフラサイトの運営に影響を与える攻撃の数が、劇的に増加している。水道・ガス・電気・病院などの公共施設が、ハッカーたちの関心を集めていると実感している。

ランサムウェア・ギャングたちは 2,100 社分のデータをリークしている

Ransomware gangs have leaked the stolen data of 2,100 companies so far

2021/05/08 BleepingComputer — 2019年以降、ランサムウェア・ギャングは 2,103社分のデータを盗み、ダークウェブにリークしてきた。ランサムウェアが始まった2013年当時、攻撃者の目的は、できるだけ多くの企業データを暗号化した後に、復号をネタに身代金を要求することだった。

ロシアン・ハッカーたちが悪用する脆弱性 Top-12 とは？

Top 12 Security Flaws Russian Spy Hackers Are Exploiting in the Wild

2021/05/08 TheHackerNews — 英国と米国の情報機関が、5月7日に共同で発表した勧告によると、ロシアの Foreign Intelligence Service (SVR) と密接に関連するサイバー工作員たちは、これまでに公開された脆弱性に対応するかたちで、その戦術を変更しているようだ。

米国最大の Colonial Pipeline がランサムウェア攻撃により停止

Largest U.S. pipeline shuts down operations after ransomware attack

2021/05/08 BleepingComputer — 米国最大の燃料パイプライン企業である Colonial Pipeline が、ランサムウェアと思われる攻撃を受け、業務を停止している。Colonial Pipeline は、メキシコ湾岸にある製油所と米国の南部／東部の市場を結び、石油精製品を輸送している企業である。

Black Hat Asia：ますます難しくなるセキュリティの選択

Troy Hunt at Black Hat Asia: ‘We’re making it very difficult for people to make good security decisions’

2021/05/07 DailySwig — 想像してほしいのは、子供に持たせたスマート・ウォッチの位置情報が、テニスの練習場から海の真ん中に、突然切り替わったときの親の恐怖である。これは、英国の情報セキュリティ企業 Pen Test Partners の Ken Munro が、Have I Been Pwned の作成者である Troy Hunt と、彼の娘の協力を得てシミュレーションしたシナリオだ。

TsuNAME 脆弱性は権威 DNS サーバーをダウンさせ DoS 攻撃を生み出す

New TsuNAME Flaw Could Let Attackers Take Down Authoritative DNS Servers

2021/05/07 TheHackerNews — この新顔でクリティカルな脆弱性を悪用すると、Domain Name System (DNS) リゾルバに対して reflection-based DoS 攻撃を行うことが可能となる。この TsuNAME と呼ばれる新たな脆弱性は、オランダとニュージーランドの国別ドメイン .nl と .nz を管理している、SIDN Labs と InternetNZ の研究者たちにより発見されている。

First Horizon Bank のオンライン・アカウントがハックされた

First Horizon bank online accounts hacked to steal customers’ funds

2021/04/30 BleepingComputer — 4月の初めに、銀行持株会社である First Horizon Corporation は、同社における顧客のオンライン・バンキング・アカウントが、未知の攻撃者により侵害されたと公表した。First Horizon は、資産総額 $84 billion の地方金融サービス企業であり、銀行業務のほかに、証券市場向けのサービスや、資産管理のサービスを提供している。

Emotet が悪用する 400万件のメールアドレスが Have I Been Pwned で共有される

FBI shares 4 million email addresses used by Emotet with Have I Been Pwned

2021/04/27 BleepingComputer — 米国連邦捜査局 FBI は、マルウェアに感染したコンピュータを浄化する活動の一環として、ボットネット Emotet がマルウェア配布のために収集した、数百万件の電子メールアドレスを、Have I Been Pwned で共有している。個人ユーザーやドメイン所有者は、電子メールアドレスをデータベースで検索することで、自身のアカウントへの Emotet の影響を知ることができる。

Pulse Secure VPN のゼロデイ攻撃にさらされる米政府機関

Pulse Secure VPN zero-day used to hack defense firms, govt orgs

2021/04/20 BleepingComputer — Pulse Secure は、Pulse Connect Secure (PCS) SSL VPN アプライアンスに存在する、ゼロデイ攻撃の対象となる認証バイパス脆弱性の緩和策を発表した。この脆弱性は、グローバル企業への攻撃や、US Defense Industrial base (DIB) のネットワークに対する攻撃に悪用されている。

中国のサイバー攻撃を懸念するインド政府の見解

China tried to wage ‘undeclared war’ against India through cyberattacks, military chief Bipin Rawat says

2021/04/15 SCMP — 中国はインドに対して、サイバー攻撃を通じた宣戦布告なしの戦争を仕掛けようとしており、一切の妥協を伴わない姿勢を貫いていると、ニューデリーの最上級軍事当局者が長引く国境紛争について述べている。

中国の老舗サイバー犯罪グループからの脅威が高まっている

Behind the Great Firewall: Chinese cyber-espionage adapts to post-Covid world with stealthier attacks

2021/04/15 PortSwigger — 中国における複数の老舗サイバー犯罪グループは、広く利用されている悪意のツールや独自の悪意のツールによるリソースを蓄積し、コロナウイルスの大流行の中でレパートリーを多様化している。

NSA が注視するロシアン・ハッカーお気に入りの Top-5 脆弱性

NSA: Top 5 vulnerabilities actively abused by Russian govt hackers

2021/04/15 BleepingComputer — 米国の National Security Agency (NSA) および Cybersecurity and Infrastructure Security Agency (CISA) と Federal Bureau of Investigation (FBI) が共同で勧告しているのは、ロシアの Foreign Intelligence Service (SVR) が5つの脆弱性を利用して、米国の組織をターゲットにする攻撃を行っているという件である。

米政府：SolarWinds ハッキングの背後にはロシアの SVR がいるらしい

US government confirms Russian SVR behind the SolarWinds hack

2021/04/15 BleepingComputer — 複数の米国政府機関および民間企業のネットワークに不正アクセスする、SolarWinds サプライチェーン攻撃について、米国政府がロシア政府を正式に非難している。ホワイトハウスは、米国の利益を損なう行為に関連するロシア制裁を発表する中で、高度なハッカー集団である Cozy Bear グループを、SolarWinds Orion プラットフォームを悪用したサイバー・スパイ活動の実行者だとみなしている。

ホワイトハウスが懸念するサイバー攻撃と物理的な影響

White House Highly Concerned about Critical Control System Cybersecurity – Four Quotes and Recommendations

2021/04/14 OTORIO — 先日に発生したフロリダ州の水処理システムに対する攻撃および、制御システムに物理的な影響を与えるサイバー攻撃の懸念、SolarWinds などを介したサプライ・チェーン攻撃の増加などを受けて、ホワイトハウスが開始した新たな試みは、重要産業をサイバー・セキュリティ侵害から守るためのものである。

機械学習モデルから学習データを漏えいさせる推論攻撃とは

Inference attacks: How much information can machine learning models leak?

2021/04/14 PortSwigger — さまざまなアプリケーションにおいて、機械学習モデルが広く採用されるようになったことで、プライバシーやセキュリティに関する新たな問題が生じている。その中には、攻撃者が対象となる機械学習モデルの学習データを漏えいさせる、推論攻撃というものがある。

Microsoft ４月のパッチは 108 の脆弱性と 5 のゼロデイに対応

Microsoft April 2021 Patch Tuesday fixes 108 flaws, 5 zero-days

2021/04/13 BleepingComputer — 2021年4月の Microsoft Patch Tuesday では、5つのゼロデイ脆弱性と、Microsoft Exchange のクリティカルな脆弱性が登場している。Windows と Exchange の管理者にとって、この数ヶ月は厳しい状況が続いているが、4月も楽になりそうもない。

中国政府が強制する不正防止モバイル・アプリは歓迎されるのか？

Anti-fraud app from Chinese police sees soaring downloads amid complaints of forced installs

2021/04/12 SCMP — 中国政府が開発した新しい不正防止モバイ・ルアプリが、発売から1ヶ月も経たないうちに、中国の iOS App Store のチャートのトップに躍り出た。Web 上のレビューやフォーラムでユーザーたちは、このアプリのインストールが強制されたと述べている。

Chromium_based ブラウザにリモート・コード実行の脆弱性が

RCE Exploit Released for Unpatched Chrome, Opera, and Brave Browsers

2021/04/12 TheHackerNews — インドのセキュリティ研究者である Rajvardhan Agarwal が、Google Chrome/Microsoft Edge/Opera/Brave といった Chromium ベース・ブラウザで、新たに発見された脆弱性に対する PoC（proof-of-concept) エクスプロイト・コードを公開した。この PoC エクスプロイトは、それらの Web ブラウザに搭載されている V8 JavaScript レンダリング・エンジンに存在する、リモート・コード実行の脆弱性を利用するものである。

産業用制御システムのセキュリティーを考える

Industrial Control System Security Is Overlooked

2021/04/12 CyberSecurityIntelligence — 製造業などにおける組織は、その製品を製造・販売することをビジネスとしている。それらの組織の制御システムが、確実／安全／効率的／弾力的に機能しなければ、製品の製造や流通を行うことができない。IP ネットワークが登場する以前から、企業は製品の製造や流通を行っており、IP ネットワークによる効率化に依存しなくても、その事業は継続できる。

Google Chrome の NAT Slipstreaming 対策で port 10080 が塞がれる

Google Chrome blocks port 10080 to stop NAT Slipstreaming attacks

2021/04/08 BleepingComputer — Google Chrome だが、NAT Slipstreaming 2.0 攻撃によるポートの悪用を防ぐため、HTTP/HTTPS/FTP による TCP Port 10080 へのアクセスをブロックすることになった。昨年に、セキュリティ研究者である Samy Kamkar が公開したのは、悪意の Web サイト上のスクリプトがビジターの NAT ファイアウォールを回避し、その内部ネットワーク上の任意のTCP/UDP ポートにアクセスする、NAT Slipstreaming における新たな脆弱性である。