Literacy – Page 13 – IoT OT Security News

Microsoft の Security First：すべてにおいてセキュリティが優先する方針を明示

Security First: Microsoft Overhauls Corporate Policy After Years of Criticism

2024/08/07 SecurityOnline — テクノロジー大手の Microsoft だが、サイバー・セキュリティを最優先事項として位置づける方向へと、その企業方針を大幅に変更する。それにより、役職に関係なく、すべての従業員が日常業務において、データ保護を優先しなければならなくなった。Microsoft の Chief People Officer である Kathleen Hogan が発表した社内覚書には、「Microsoft の社員は全員、セキュリティを最優先事項とする。トレードオフに直面したとき、答えは明確でシンプルである。すべてにおいて、セキュリティが優先する」と、新戦略の概要が示されている。この決定は、Microsoft 製品の脆弱性に対する、長年にわたる批判に対処するものである。

CrowdStrike 障害で $500M の損害を主張するデルタ航空：Microsoft が反撃

Microsoft Hits Back at Delta After the Airline Said Last Month’s Tech Outage Cost It $500 Million

2024/08/06 SecurityWeek — Microsoft と CrowdStrike は共に、先月の技術障害で数千便の欠航を招いたと主張する、デルタ航空に対して応戦している。Microsoft の弁護士は、デルタ航空の主要な IT システムは、Microsoft Windows ではなく、他のテクノロジー企業がサービスを提供しているのだろうと述べている。

Python の人気が急上昇： TIOBE Index で人気度 18％を記録

2024/08/06 SecurityOnline — 2024年8月に Python は、プログラミング言語の人気度を示す指標である TIOBE Index において、初めて人気度 18％を突破した。2016年11月に Java も、同レベルの記録を達成しているが、2001年6月に記録した 26.49％という、TIOBE Index 史上最高の記録は未だに塗り替えられていない。

CrowdStrike 障害：Falcon の BSOD クラッシュ分析のレポートが公開

CrowdStrike Releases Root Cause Analysis of Falcon Sensor BSOD Crash

2024/08/06 SecurityWeek — 窮地に立たされている CrowdStrike が、8月6日に発表したのは、この7月に世界中の Windows システムを麻痺させたソフトウェア・アップデートのクラッシュに関する、原因分析レポート (External Technical Root Cause Analysis) である。そこで同社は、このインシデントの原因は、セキュリティの脆弱性とプロセスのギャップが重なったことだと説明している。

C2 Tracker はコミュニティ主導の IOC Feed ツール：Shodan と Censys を活用して何ができる？

C2 Tracker: A Community-Driven IOC Feed for Cybersecurity

2024/08/06 SecurityOnline — 日々進化するサイバー・セキュリティ脅威の状況において、最新かつ信頼できる脅威インテリジェンスへのアクセスは、最も重要なことである。この C2 Tracker は、Shodan と Censys の検索を活用して、既知のマルウェア／ボットネット Command and Control (C2) インフラに関連する IP アドレスを収集する、無料のオープンソース IOC (Indicator of Compromise) フィードである。

SLUBStick クロス・キャッシュ攻撃：Linux Kernel への影響が実証された

Linux kernel impacted by new SLUBStick cross-cache attack

2024/08/04 BleepingComputer — SLUBStick と名付けられた Linux Kernel クロス・キャッシュ攻撃により、影響が限定されるヒープ関連の脆弱性が、任意のメモリ Read／Write 機能に変換されるという。研究者たちによると、それは 99％のレベルで成功しており、特権昇格やコンテナ・エスケープにいたることが実証されているようだ。この発見は、グラーツ工科大学の研究者チームによるものであり、32-Bit と 64-Bit システムで９件の既存の CVE を使用し、Linux Kernel バージョン 5.9／6.2 で攻撃を実証し、高い汎用性を示した。

DARPA の TRACTOR プログラム：C → Rust 変換によりメモリ・セーフ言語へ加速

Accelerating Memory Safety: DARPA’s TRACTOR Program Transforms C to Rust

2024/08/04 SecurityOnline — 米国の国防機関である DARPA (Defense Advanced Research Projects Agency) は、C 言語から Rust への自動変換を目的とする TRACTOR プログラムを通じて、メモリ・セーフなプログラミング言語への移行を加速させている。このイニシアチブでは、レガシー C コードの Rust への変換を自動化するための、機械学習ツールを開発している。メモリ・セーフティの問題は、大規模なコードベースにおける脆弱性の、主な原因となっている。DARPA は、AI モデルがプログラミング言語の変換を支援し、ソフトウェアの安全性を高めることを期待している。

サイバー攻撃に対する検知能力：悪意のアクションの 44% が見逃されている – Picus Security

Organizations fail to log 44% of cyber attacks, major exposure gaps remain

2024/08/02 HelpNetSecurity — Picus Security の BLUE REPORT 2024 によると、同社が自動侵入テストを実施したところ、テスト環境の 40％において、ドメイン管理者アクセスにつながる攻撃が可能だったという。ドメイン管理者アクセス権の獲得は、組織の IT インフラ内で最高レベルのアクセス権であり、攻撃者にマスターキーを与えるようなものであるため、特に懸念される。このレポートは、Picus Security Validation Platform によりシミュレートされた、1億3600万件以上のサイバー攻撃の、世界的かつ包括的な分析に基づいている。

Twilio が Authy for Desktop を停止：すべてのユーザーを強制的にログアウト

Twilio kills off Authy for desktop, forcibly logs out all users

2024/08/01 BleepingComputer — ついに Twilio は、Authy for Desktop アプリケーションを終了し、このデスクトップ・アプリケーションから、ユーザーを強制的にログアウトさせた。2024年1月に Twilio が発表したのは、Windows／macOS／Linux の Authy デスクトップアプリが、2024年3月19日には EoL (end of life) となり、2024年8月には廃止されるというものだ。

CrowdStrike を巡る訴訟： Microsoft も巻き込む Delta や投資家たちの動きは？

CrowdStrike Faces Lawsuits From Customers, Investors

2024/07/31 SecurityWeek — CrowdStrike (NASDAQ: CRWD)は、大規模な世界的障害を引き起こしたインシデントの後に、投資家や顧客からの訴訟に直面しているが、同社は法的措置から免れる可能性が高いとの見方もある。CrowdStrike が十分なテストを行わずに、不適切なアップデートをプッシュしたことで、7月19日の時点で世界中の 850万台の Windowsデバイスが BSOD (Blue Screen of Death) のループに入った。

Chrome の新機能 App-Bound Encryption：Windows の DPAPI 活用でクッキー窃取を排除

Google Chrome Strengthens Cookie Security on Windows with App-Bound Encryption

2024/07/31 SecurityOnline — Google Chrome の Windows ユーザー向けに導入された、App-Bound Encryption という新しいセキュリティ機能は、クッキーの盗難や情報窃取マルウェアからユーザーを保護を強化するためのものだ。この機能強化の目的は、クッキー／パスワード／支払い情報などの機密データを、不正アクセスから保護することにある。

W3C が Google のクッキー廃止の停滞を非難：プライバシーが侵害される？

W3C Slams Google’s Cookie Reversal: Privacy at Risk?

2024/07/30 SecurityOnline — 先日に Google が発表したのは、Chrome におけるサードパーティ・クッキーの段階的な廃止は、もう行わないというものだ。この決定が意味するのは、従来の方法で広告ネットワークが、Web サイトを横断してユーザーを追跡し、センシティブなユーザー情報の収集を行い、ユーザーのプライバシー保護にとって有害な状況を継続するこということだ。それに対して、業界標準化団体である W3C (World Wide Web Consortium) は、Google の決定を強く非難する公開書簡を発表した。Google の動きは、サードパーティ・クッキーを排除しようとする、業界全体の努力を損なうものだと、W3C は考えている。

Dark Anels ランサムウェア：Fortune 50 企業から過去最高額の身代金 $75M を受領

Dark Angels ransomware receives record-breaking $75 million ransom

2024/07/30 BleepingComputer — ある Fortune 50 企業が、Dark Angels ランサムウェア・グループに対して、これまでの最高額である $75M という身代金を支払ったことが、2024 Zscaler Ransomware Report により明らかになった。Zscaler のレポートには、「2024年の初旬に、Dark Angels に $75M を支払った被害者を発見した。これは、公に知られている、どの金額よりも高額である。したがって、彼らの戦術に興味を持ち、それを採用することで、このような成功を再現しようとする攻撃者が増えていくだろう」と述べている。

Google Chrome の新機能 App-Bound Encryption：情報窃取マルウェアをブロック

Google Chrome adds app-bound encryption to block infostealer malware

2024/07/30 BleepingComputer — Google Chrome は、情報窃取型のマルウェア攻撃に対するセキュリティ向上のため、Windows システム上でより優れたクッキー保護のための新機能 App-Bound Encryption を追加した。Chrome のソフトウェア・エンジニアである Will Harris が、7月30日に発表したブログで説明しているように、現時点における Chrome は、クッキーやパスワードなどの機密データを保護するために、各 OS が提供する最も堅牢な技術を使用している。具体的には、以下のとおりである。

macOS：Keychain
Linux：kwallet または gnome-libsecret
Windows：Data Protection API (DPAPI)

CISA が取り組むサイバー・インシデント・レポート：事業者に対する義務の強化と人員の増強

New tech, personnel will help CISA with coming rush of cyber incident reports

2024/07/30 NextGov — 7月30日 (火) に GAO (Government Accountability Office) が発表した報告書によると、CISA (Cybersecurity and Infrastructure Security Agency) は、今後に殺到するだろうサイバー・インシデント報告に対処するために、技術や人員の追加を検討しているという。米政府による監査は、Department of Homeland Security (DHS) と CISA が、Critical Infrastructure Act of 2022 (CIRCIA) で定められた新要件に対して、どのように遵守しているかを調査するものだ。この法律により、サイバー・セキュリティ・インシデントとランサムウェア攻撃を、特定された期限内に CISA に報告することが、重要インフラ・プロバイダーに対して義務付けられる。

DigiCert の DCV プロセスにコンプライアンス違反：数千の SSL/TLS 証明書が失効

DigiCert Forced to Revoke Thousands of Certificates Due to Domain Validation Error

2024/07/29 SecurityOnline — 大手デジタル認証局である DigiCert が発表したのは、DCV (Domain Control Verification) プロセスにおけるコンプライアンス違反の問題により、同社の SSL/TLS 証明書数千件を緊急で失効させるという決定だ。

Proofpoint の脆弱性 EchoSpoofing：フィッシング・キャンペーンに悪用されている

Phishing Campaign Exploited Proofpoint Email Protections for Spoofing

2024/07/29 SecurityWeek — Proofpoint のメール保護サービスの脆弱性を悪用し、有名企業に成りすますフィッシング・キャンペーンが展開されていることが、Guardio Labs のレポートにより明らかになった。このキャンペーンでは、１日あたり数百万通のフィッシング・メッセージが配信されている。攻撃者たちは、Proofpoint を悪王することで、フィッシング・メッセージが本物であるように見せかけている。彼らは、過剰なアクセス許可を与えるという、Proofpoint のミス・コンフィグを悪用することで、電子メールのセキュリティ保護を回避しているという。

DevSecOps Blueprint：脆弱性管理と Security-by-Design からパイプラインの完全性まで – GitGuardian

Whitepaper: DevSecOps Blueprint

2024/07/29 HelpNetSecurity — GitGuardian による DevSecOps Blueprint ホワイトペーパー “Vulnerability Management and Security-by-Design to Pipeline Integrity” では、SDLC (Software Development Life Cycle) のあらゆる側面に対応する、自動化された技術主導の DevSecOps プログラムを、構築するための強固な基盤が概説されている。このホワイトペーパーでは、ツール／テクノロジー／プロセス (IR やセキュリティ・テストのような)／関係者などの、あらゆるレイヤーにセキュリティを組み込む方法が学ぶことが可能であり、セキュリティを維持しながら、開発者の作業時間を短縮できる。

CrowdStrike 障害：Fortune 500 の損失額は $5.4B に達する – Parametrix

CrowdStrike Outage Losses Estimated at a Staggering $5.4B

2024/07/27 DarkReading — CrowdStrike Falcon の障害に関する報道が続く中、世界的なインシデントによる企業の金銭的損失は増加の一途をたどっている。Parametrix のレポートによると、Fortune 500 企業への被害総額は、$5.4B に達するようだ。

CrowdStrike 障害：97%のデバイスが復旧するも、損失額の推定は数十億ドルに

97% of Devices Disrupted by CrowdStrike Restored as Insurer Estimates Billions in Losses

2024/07/26 SecurityWeek — 7月25日に CrowdStrike が発表したのは、同社の欠陥のあるアップデートによりクラッシュした、Windows コンピュータの 97％以上がオンラインに戻ったことだ。このインシデントは、大手企業に数十億の直接的な損失をもたらすと予測される。その前日に、CrowdStrike の CEO である George Kurtz は、「自動復旧技術の開発と顧客支援のために、全リソースを動員したことにより復旧作業は強化された」と LinkedIn に投稿している。同社は、本件に関するインシデント・レビューを公開し、世界的な混乱を引き起こしたアップデートの欠陥が、テスト段階で発見されなかった理由を説明している。

NIST NVD に溜まり続ける脆弱性情報バックログ：渋滞解消は 2025年初頭という推測も

NIST may not resolve vulnerability database backlog until early 2025, analysis shows

2024/07/26 NextGov — 米国が管理するサイバー・セキュリティの脆弱性データベースだが、現在の処理スピードで進むなら、2025年初頭になっても処理しきれないほどの、未処理の情報を抱えていることが、新たな分析で明らかになった。NIST (National Institute of Standards and Technology) の NVD (National Vulnerability Database) は、測定ツールなどを用いて脆弱性悪用の危険度を評価する研究者のための、基礎となるコンテンツ・リポジトリであるが、２月以降において明確な説明もないまま、未分析の脆弱性を蓄積し続けている。

Chrome から Password Manager 機能が消えた：7月24日に発生した 18時間の障害とは？

A Bug In Chrome Password Manager Caused User Credentials To Disappear

2024/07/26 SecurityAffairs — Google Chrome の Password Manager で、ユーザー認証情報が一時的に消失するというバグが、同社により対処された。7月24日 (水) に発生した、Google Chrome の 18時間の障害により、パスワードの保存と自動入力を Password Manager に依存するユーザーに影響が及んだ。Chrome ユーザーの多くのが、ユーザー名のみが自動的に入力される状況に気づき、Password Manager のパスワードが利用できなくなったと報告した。その一方で Google は、ユーザー・データが失われたわけではないと述べていた。

GitHub 上の 3,000以上の偽アカウントで構成される DaaS：マルウェア配布で成功している

Over 3,000 GitHub accounts used by malware distribution service

2024/07/24 BleepingComputer — Stargazer Goblin として知られる脅威アクターが作成したのは、GitHub 上の 3,000以上の偽アカウントで構成される Distribution-as-a-Service (DaaS) であり、そこから情報スティーラー・マルウェアをプッシュしているという。このマルウェア配信サービスは Stargazers Ghost Network と呼ばれ、GitHub リポジトリと侵害済みの WordPress サイトを利用して、パスワード保護されたアーカイブを配布するが、その中にマルウェアが含まれている。ほとんどのケースにおいて、そこから配布されるマルウェアは、RedLine／Lumma Stealer／Rhadamanthys／RisePro／Atlantida Stealer などのインフォ・スティーラーである。

CrowdStrike の事後レビュー：大規模なインシデントが発生した理由を詳述

CrowdStrike Shares How a Rapid Response Content Update Caused Global Outage

2024/07/24 InfoSecurity — CrowdStrike が発表したのは、7月19日に発生した世界的な IT 障害が、Falcon platform のコンテンツ更新のバグに起因すると説明する、インシデント事後レビュー (PIR：Post Incident Review) である。同社は、このインシデントの原因が、未検出のエラーを取り込んでしまった Rapid Response Content のアップデートにあることを明らかにした。

CrowdStrike の Kernel Panic：４月の時点で Linux ユーザーに影響を及ぼしていた

Linux Users Hit by CrowdStrike Fallout: Kernel Panics Reported

2024/07/23 SecurityOnline — 先週の金曜日に、世界は金融／メディア／運輸／物流など複数の業界を混乱させる、前代未聞の大停電に見舞われた。数多くの米国内ユーザーも Windows のシステム・クラッシュに遭遇し、それぞれの仕事に影響が生じ、“Microsoft Blue Screen” というキーワードがオンライン検索トレンドのトップに躍り出た。Microsoft の CEO である Satya Nadella は、コンピューター・システムへのサイバー攻撃を防ぐために設計された CrowdStrike のソフトウェア “Falcon Sensor” のアップデートが、Windows OS を実行しているコンピューターの誤作動を引き起こしたことを認めた。

CrowdStrike 更新による Windows クラッシュ：CEO が議会での証言を要請された

CrowdStrike CEO Called to Testify to Congress Over Cybersecurity Firm’s Role in Global Tech Outage

2024/07/23 SecurityWeek — 航空便の欠航／銀行や病院のシステムのオフライン化などにより、世界中のサービスに影響を及ぼした大規模な CrowdStrike の技術的障害について、米下院のリーダーたちは CEO である George Kurtz に議会で証言するよう求めている。今週に CrowdStrike は、7月19日の同社のアップデートによりクラッシュした数百万台のコンピューターのうち、かなりの台数が稼動を再開したと発表した。

Cloudflare WARP トラフィックへの信頼：regreSSHion CVE-2024-6387 を悪用するシナリオも

Cloudflare WARP Abused to Hijack Cloud Services, Cado Security Report Reveals

2024/07/22 SecurityOnline — Cloudflare の WARP サービスを悪用して、脆弱なインターネット向けサービスを攻撃する複数のキャンペーンについて、先日に Cado Security の研究者が情報を公開した。WARP は無料の VPN サービスであり、また、ユーザー・トラフィックを最適化するために設計されている。その一方で、この VPN サービスを悪用する攻撃者が、真の出所を隠蔽し、セキュリティ対策を回避している。

FFI という新たな脆弱性：Windows Code Integrity を回避する恐れ

New ‘False File Immutability’ Vulnerability Poses Significant Threat to Windows Security

2024/07/22 SecurityOnline — False File Immutability (FFI) と呼ばれる新たに発見された脆弱性クラスにより、重要なセキュリティ・メカニズムである Windows Code Integrity (CI) 回避の可能性が生じるため、サイバーセキュリティ・コミュニティ内で深刻な懸念を引き起こしている。この脆弱性については、発見者である Elastic Security の Gabriel Landau から詳細が公開されており、書き込み権限なしにオープンされたファイルは変更できないという、大前提の欠陥が突かれるものだという。

Google の発表：Chrome サードパーティ・クッキー排除の撤回と言訳とは？

Google rolls back decision to kill third-party cookies in Chrome

2024/07/22 BleepingComputer — Google が発表したのは、Chrome のサードパーティ・クッキーを廃止する計画を撤回し、その代わりとして、これらのクッキーの使用方法をユーザーが制限できる、新たなブラウザ・エクスペリエンスを導入するという方針である。サードパーティー・クッキーとは、訪問中の Web サイト以外からユーザーの Web ブラウザに保存されるデータを指し、通常は、トラッキング・スクリプトや広告によりドロップされるものだ。これらのクッキーによって、同じサードパーティ・ドメインからのコードを利用する、他のサイトからのユーザー追跡も可能になるため、広告主はユーザーの閲覧習慣や興味を知ることができる。

IPFire が SYN Flood Protection 機能を導入：トラフィックを識別して DoS を防ぐ

IPFire Fortifies Against SYN Flood Attacks with New Protection Feature

2024/07/22 SecurityOnline — 深刻化するサービス拒否 (DoS：Denial-of-Service) 攻撃の脅威への対抗策として、オープンソース・ファイアウォール・ディストリビューションである IPFire が、企業ユーザー向けに SYN Flood Protection 機能を導入した。この革新的な機能により、不正な接続要求のフラッドでシステムを圧倒しようとする悪意の試みから、企業のデジタル・インフラを守ることが可能となる。

CrowdStrike 更新による Windows クラッシュ：Microsoft がリカバリ・ツールを公開

Microsoft releases Windows repair tool to remove CrowdStrike driver

2024/07/21 BleepingComputer — 7月19日に CrowdStrike が公開したアップデートに含まれていた不具合により、推定 850万台の Windows デバイスをクラッシュした。それに対して Microsoft は、問題点を削除するための、カスタム WinPE リカバリ・ツールをリリースしている。周知のとおり、7月19日に CrowdStrike が配布した欠陥のあるアップデートにより、世界中の何百万台もの Windows デバイスが BSOD (Blue Screen of Death) クラッシュし、再起動ループに入るというアクシデントが発生した。この不具合は、大規模な IT 停止を引き起こし、数多くの組織は、すべての Windows デバイスが機能しなくなったことに気づいた。この IT 障害は、世界中の空港／病院／銀行／企業／政府機関などに影響を与えた。

CrowdStrike 障害：混乱に乗じてマルウェアやデータ・ワイパーが配布されている

Fake CrowdStrike updates target companies with malware, data wipers

2024/07/21 BleepingComputer — 金曜日に CrowdStrike が引き起こした、アップデートの不具合による大規模なビジネスの混乱を悪用し、データ・ワイパーやリモート・アクセス・ツールを使って組織を狙っている脅威アクターたちがいるようだ。組織が影響を受けた Windows ホストを修正するために、誰もがサポートを求めている最中に、研究者や政府機関などが発見したのは、この状況を悪用するするフィッシング・メールの増加である。

850万台の Windows マシンに影響：CrowdStrike インシデントに対する Microsoft のコメント

Microsoft Says 8.5 Million Windows Devices Impacted by CrowdStrike Incident, Publishes Recovery Tool

2024/07/21 SecurityWeek — CrowdStrike が提供した、欠陥のあるソフトウェア・アップデートにより、金曜日の世界経済を揺るがす、大規模な IT 障害が引き起こされた。その一方で Microsoft は、土曜日の時点で IT 管理者たちに、CrowdStrike Falcon エージェントの問題で影響を受けた Windows クライアント／サーバの、修復プロセスを迅速化するための USBツールをリリースした。

CrowdStrike アップデートで Windows がクラッシュ：世界に波及したシステムダウン

CrowdStrike update crashes Windows systems, causes outages worldwide

2024/07/19 BleepingComputer — CrowdStrike Falcon の最新アップデートに含まれるコンポーネントの不具合が、Windows システムをクラッシュさせ、世界中の空港／テレビ局／病院など組織やサービスに影響を与えている。この不具合は Windows のワークステーション／サーバに影響を及ぼしており、企業全体コンピュータや、何十万台ものコンピューターがオフラインになるほどの、大規模な機能停止がユーザーから報告されている。一部の報告によると、米国とカナダでは、緊急サービスにも影響が及んでいるとのことだ。

開発者の三人に一人はセキュア・コーディングを知らない：OpenSSF と Linux Foundation の調査結果

One-third of dev professionals unfamiliar with secure coding practices

2024/07/19 HelpNetSecurity — OpenSSF と Linux Foundation によると、ソフトウェアの脆弱性を攻撃者は常に発見／悪用しており、堅牢なソフトウェア・セキュリティの重要性が増している。そこで浮き彫りにされる問題点は、セキュアなソフトウェア開発を効果的に実施するために不可欠な、知識とスキルを欠いている開発者が多いことである。

ロシアの FIN7 ギャング：セキュリティ回避ツール AvNeutralizer を販売していた

Notorious FIN7 hackers sell EDR killer to other threat actors

2024/07/17 BleepingComputer — 悪名高いハッキング・グループ FIN7 が、企業ネットワーク上のエンドポイント保護ソフトウェアを破壊して検知を回避するための、カスタム・ツール AvNeutralizer を販売していることが発見された。FIN7 はロシアのハッキング・グループと考えられており、その活動が観測され始めた 2013年頃は金融詐欺に注力しており、組織をハッキングしてデビットカードやクレジットカード情報を窃取してきた。同グループは、やがてランサムウェアの分野にも進出し、DarkSide／BlackMatter などの RaaS (ransomware-as-a-service) を使用し始めた。最近では、2024年3月頃に発生した、UnitedHealth からの身代金を持ち逃げるという BlackCat ランサムウェアの活動にも、FIN7 が関係している可能性が高いと見られている。

PoC の武器化までの時間が短縮：22分後に攻撃に使用されたケースも – Cloudflare

Hackers use PoC exploits in attacks 22 minutes after release

2024/07/13 BleepingComputer — 脅威アクターたちは、利用可能な PoC (proof-of-concept) エクスプロイト・コードを、実際の攻撃で武器化するまでの時間を短縮している。中には、エクスプロイトが公開されてから、22分間で武器化するというケースも発見されている。この動向は、Cloudflare の Application Security report for 2024 で報告されたものだ。同レポートは、2023年5月〜2024年3月までの活動をカバーし、新たな脅威の傾向を浮き彫りにしている。現在、平均で 5,700万件/秒の HTTP リクエストを処理している Cloudflare は、公開された CVE に対するスキャンが、継続して活発化しているのを観測している。そして、コマンド・インジェクションや、利用可能な PoC を武器化しようとする試みが、それに続いているという。

TPRM (Third Party Risk Management) フレームワーク：なにから考える？どのように構築する？

How to design a third-party risk management framework

2024/07/12 HelpNetSecurity — ほとんどの組織において、ルーター／サーバー／ファイアウォール／エンドポイントなどの保護に重点が置かれているが、たとえば、サードパーティ・ネットワークのような見慣れない起点を、組織を攻撃するためにハッカーが悪用するケースもある。ただし、強力な TPRM (Third Party Risk Management) フレームワークを用いれば、企業によるパートナーのリスク・プロファイルが把握され、ビジネスの保護が可能になる。効果的なサードパーティ・リスク管理のフレームワークがあれば、ベンダーのリスクや脆弱性により、組織のビジネスの保護が保証される。それは、資産を保護し、規制へのコンプライアンスを確保し、組織の評判を守るものだ。

CISA が要請する OS コマンド・インジェクション脆弱性の排除とは？ – Security by Design

CISA Urges Software Makers to Eliminate OS Command Injection Vulnerabilities

2024/07/11 InfoSecurity — 米国政府からソフトウェア・メーカーへの要請は、OS コマンド・インジェクションの脆弱性の解消に取り組むべきというものだ。この、Cybersecurity and Infrastructure Security Agency (CISA) とFBI の警告は、ネットワーク・エッジ・デバイスの OS コマンド・インジェクションの欠陥を悪用してユーザーを危険にさらすという、2024年に注目された複数の脅威アクターたちのキャンペーンを受けたものである。

最近になって公表された lighttpd の脆弱性 CVE-2018-25103：直ちにアップデートを！

Vulnerability in lighttpd Web Server Exposes Sensitive Data: Urgent Patch Required

2024/07/10 SecurityOnline — カーネギーメロン大学 CERT/CC (Coordination Center) が公開したのは、lighttpd 1.4.50 以下における use-after-free の脆弱性に関する情報である。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、細工した HTTP リクエストを悪用することを可能となり、Web サーバのクラッシュや機密データ漏洩を引き起こす可能性を手にする。2018年の時点において lighttpd プロジェクトは、この脆弱性を修正している。しかし、最近まで CVE が採番していなかったことで、数多くの実装にパッチが適用されておらず、未だセキュリティ・リスクが残存している。

OpenVPN が展開する議論：”ゼロデイ” という表現が曖昧に使われていませんか？

OpenVPN Addresses False Zero-Day Claims, Releases Security Patches

2024/07/09 SecurityOnline — OpenVPN が展開しているのは、OVPNX と命名された攻撃を可能にするとされる、OpenVPN2 ソフトウェアのゼロデイ脆弱性という、主張に対する反論である。この VPN ソリューションの大手プロバイダーでの反論は、”ゼロデイ” という言葉に対する誤解に基づくものであり、2024年8月に開催予定の Black Hat USA 2024 Conference のプレゼンテーションで、詳細が発表される予定だという。

企業におけるクラウド保護の重要性：保存するデータの 47% はセンシティブという現実 – Thales

47% of corporate data stored in the cloud is sensitive

2024/07/05 HelpNetSecurity — 数多くのユーザー組織にとって、クラウドの利用が戦略的に不可欠になっている。Thales によると、クラウド・リソースはサイバー攻撃の最大の標的となっており、その内訳として挙げられるのは、SaaS アプリケーション (31%)／クラウドストレージ(30%)／クラウド管理インフラ(26%) の順となる。

レジリエンスを考える：Resiliency Markers という５つの指標の活用 – Commvault

Only 13% of organizations are cyber mature

2024/07/04 HelpNetSecurity — Commvault によると、組織における実に 83%が、最近になって重大なセキュリティ侵害に見舞われており、その半数以上は過去１年間だけで発生しているという。Security／IT の専門家にとって、リスクの状況は常に進化し続けるものであり、特に外部からの脅威が懸念されている。組織とって重要なことは、いつ侵害されるかではなく、すでに侵害されていることに、いつ気づくかという問題だと、彼らは認識しているという。

node-ip の GitHub リポジトリが凍結された：開発者が指摘する CVE 発行フローの問題点とは？

Dev rejects CVE severity, makes his GitHub repo read-only

2024/06/30 BleepingComputer — 人気のオープンソース・プロジェクト node-ip の GitHub リポジトリが、その開発者の手により、先日にアーカイブ (読み取り専用) 状態になってしまった。その背景にあるのは、今年の始めに node-ip に対する CVE が提出されたことで、開発者である Fedor Indutny に対して、インターネット上のユーザーからの脆弱性の指摘が集中したことである。残念なことに、今回のケースは、彼に限った出来事ではない。このところ、オープンソースの開発者たちの間で急増しているには、自分のプロジェクトに対して提出された、議論の余地のある CVE レポートや、十分な確認もなしに提出された全くのインチキ CVE レポートを受け取るケースである。

Entrust 認証局は 11月1日より Chrome がブロック：信頼に値しないという Google の判断

Google to Block Entrust Certificates in Chrome Starting November 2024

2024/06/29 TheHackerNews — Google の発表は、Entrust の証明書を使用している Web サイトを、2024年11月1日頃から Chrome でブロックするという方針である。Google Chrome セキュリティ・チームは、「これまでの数年にわたり、一般に公開されたインシデント・レポートにより、Entrust における懸念すべき行動パターンが浮き彫りになっている。具体的に言うと、期待を下回る能力／信頼性／不誠実さにより、公に信頼されるべき認証局の所有者としての、信頼が損なわれている」と述べている。

Midnight Blizzard による Microsoft 侵害：顧客のＥメール流出も判明

Microsoft Alerts More Customers to Email Theft in Expanding Midnight Blizzard Hack

2024/06/28 SecurityWeek — ロシアのハッキング・グループ Midnight Blizzard による、Microsoft の企業インフラへのハッキングの衝撃が、さらなる広がりを見せている。Microsoft とユーザー企業間のメールも盗まれていたという、顧客に対する新たな通知が発行されたのだ。この、2024年1月に発生した大規模な侵害で、Microsoft のソースコードとＥメールが流出したことで、同社に対する米国政府の調査とセキュリティ慣行の大幅な見直し要求へと発展した。しかし、新たに発見された侵害の内容により、より広範なユーザー企業にも被害が及んでいたことが判明した。

PoC で武器化された脆弱性の 75% は 19日以内に悪用される – Skybox Security

75% of new vulnerabilities exploited within 19 days

2024/06/27 HelpNetSecurity — Skybox Security の “Vulnerability and Threat Trends Report 2024” によると、2023年だけで 30,000 件以上の新たな脆弱性が公表されたという。この新たな脆弱性の件数が示すのは、１週間あたり平均 600件の出現と、約 17分ごとの出現である。この報告書が浮き彫りにしているのは、パッチ適用までの平均期間が 100日を超えているのに対し、”武器化された” 新たな脆弱性の 75％は19日以内に悪用されるという、改善努力における決定的なギャップである。これらの調査結果は、増大するサイバー攻撃のリスクから身を守るために、継続的な暴露管理と最新の脆弱性緩和戦略が緊急に必要であることを強調している。

Canonical が公表した Everything LTS とは？必要最小限の Ubuntu コンテナが攻撃面積を狭める

Canonical Unveils ‘Everything LTS’: 12-Year Security for Custom Docker Images

2024/06/26 SecurityOnline — 6月26日に Canonical は、Long Term Support (LTS) サービスの大幅な拡充を発表し、従来からの “deb” パッケージに加えて、ディストリビューションが不要の Dockerイメージの設計／構築サービスも、新たに提供することを明らかにした。このサービスは、対象となるソフトウェアが事前に Ubuntu でパッケージ化されているかどうかに関係なく、あらゆるオープンソースのアプリケーションや依存関係に対して、12年間のセキュリティ・メンテナンスを提供するものだという。

CISA／FBI などの共同勧告：多くの OSS プロジェクトで Memory Unsafe 言語が使用されている

CISA: Most critical open source projects not using memory safe code

2024/06/26 BleepingComputer — 6月26日に米国の CISA が公開したレポートは、メモリ欠陥の影響の受けやすさについて、172件の主要オープンソース・プロジェクトを調べた結果をまとめたものだ。CISA／FBI／ASD (Australian Signals Directorate)／ACSC (Australian Cyber Security Centre)／CCCS (Canadian Centre for Cyber Security) によるレポートは、2023年12月に発表された “Case for Memory Safe Roadmaps” に続くものであり、メモリ・セーフなコードの重要性に対する、認識を高めることを目的としている。