Protection – IoT OT Security News

CISA／FBI の共同警告：パス・トラバーサル脆弱性の出荷前の修正をベンダーに要請

CISA urges software devs to weed out path traversal vulnerabilities

2024/05/02 BleepingComputer — 5月2日 (木) にCISA と FBI が公開した共同勧告は、ソフトウェア会社に対して、自社製品をリリース前に見直し、パス・トラバーサルの脆弱性を修正するよう求めるものだ。ディレクトリ・トラバーサルとも呼ばれる、パス・トラバーサル脆弱性の悪用に成功した攻撃者は、重要なファイルの作成／上書きを行い、認証などのセキュリティ・メカニズムをバイパスし、コード実行を引き起こす可能性を持つ。さらに、脅威アクターに対して、機密データへのアクセスを許してしまう可能性もある。もし、認証情報が盗まれた場合には、その後の、標的システムへの侵入において、既存アカウントへのブルートフォース (総当り) 攻撃に悪用されるケースもある。

Docker Hub ユーザーを標的にした３つのキャンペーン：2021年から展開されていたことが判明

Millions of Docker repos found pushing malware, phishing sites

2024/04/30 BleepingComputer — Docker Hub ユーザーを標的として、2021年初めから展開されている３つの大規模なキャンペーンにより、マルウェアやフィッシング・サイトをプッシュする、数百万のリポジトリが設置されていたことが判明した。Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、スパムからマルウェアやフィッシング・サイトなどにいたる、悪意のコンテンツが含まれていたことが、JFrog のセキュリティ研究者たちにより発見された。

CISA のランサムウェア防御プログラム：連邦政府などから 850 の脆弱なデバイスを除去

Over 850 Vulnerable Devices Secured Through CISA Ransomware Program

2024/04/26 InfoSecurity — 米国の政府機関および重要インフラ機関は、2023年において Ransomware Vulnerability Warning Pilot (RVWP) プログラムの下で、1754件のランサムウェア脆弱性通知を受け取った。その結果として、852台の脆弱なデバイスが保護され、また、それが不可能な場合にはオフラインにされた。最も多くの警告が送信されたのは政府の施設 641件であり、そこには連邦政府／州政府／地方政府や、学校および高等教育などの、さまざまな組織が含まれる。

GPT-4 調査：脅威アドバイザリを読むだけで多くの脆弱性を悪用できる – University of Illinois

GPT-4 Can Exploit Most Vulns Just by Reading Threat Advisories

2024/04/19 DarkReading — GPT-4 を搭載した AI エージェントは、現実の世界のシステムに影響を及ぼしている、公開されている脆弱性の大半を、オンラインで読み込むだけで悪用できることが判明した。イリノイ大学アーバナ・シャンペーン校 (UIUC) が公開した最新の研究は、AI を悪用するサイバー脅威において、これまで 18ヶ月の間は停滞気味だった状況が、根本的に活性化する恐れがあるとしている。

悪魔の XDR：Palo Alto のソフトウェアをマルウェアに変身させる – Black Hat Asia

Evil XDR: Researcher Turns Palo Alto Software Into Perfect Malware

2024/04/19 DarkReading — Palo Alto Networks の XDR (Extended Detection and Response) ソフトウェアの狡猾な悪用により、それを悪意のマルチ・ツールのように、攻撃者たちに操られる。4月17日に開催された Black Hat Asia のブリーフィングで、SafeBreach のセキュリティ研究者である Shmuel Cohen は、同社の代表的な製品である Cortex をリバース・エンジニアリングでクラックさせただけでなく、リバースシェルとランサムウェアを展開するために、それを武器化する方法も説明した。

CISA が民間に開放するマルウェア分析プラットフォーム：Malware Next-Gen Analysis とは？

CISA’s Malware Analysis Platform Could Foster Better Threat Intel

2024/04/13 DarkReading — 今週のはじめに、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、誰もが Malware Next-Gen Analysis を利用できるようにした。それにより、潜在的な悪意が疑われるファイル／URL／IP アドレスなどを分析するための、新たなリソースがユーザー組織に提供されることになった。今後の課題は、ユーザー組織やセキュリティ研究者たちが、このプラットフォームを活用する方法にあり、また、VirusTotal などのマルウェア解析サービスを超えて、どのような新たな脅威インテリジェンスが可能になるかという点にある。

XZ Utils の脆弱性 CVE-2024-3094 とバックドア：検出のためのツール／スクリプト／ルールが公開

XZ Utils backdoor: Detection tools, scripts, rules

2024/04/08 HelpNetSecurity — XZ Utils のバックドアに関する分析が続く中で、Linux システム上のバックドアの存在を検出するためのツールやアドバイスが、複数のセキュリティ企業から提供され始めた。先日に判明したのは、オープンソースの XZ Utils 圧縮ユーティリティに対して、バックドア CVE-2024-3094 が、熟練した脅威アクターにより注入されていたことである。脅威アクターたちの狙いは、主要 Linux ディストリビューションに悪意のパッケージを埋め込むことで、世界中の Linux システムに対する SSH ステルス・アクセスを、無制限に獲得することにある。

Google が Chrome に搭載する V8 Sandbox：Web ブラウザのメモリ破損に対する最適解とは？

Google Chrome Adds V8 Sandbox – A New Defense Against Browser Attacks

2024/04/08 TheHackerNews — Google が発表したのは、Chrome におけるメモリ破壊問題に対処するために、この Web ブラウザで V8 Sandbox という名の機能をサポートすることだ。V8 Security Technical Lead である Samuel GroB によると、このサンドボックスにより、V8 におけるメモリ破損のホスト・プロセス内での拡大が防止されるとのことだ。Google は V8 Sandbox について、JavaScript と WebAssembly エンジンのための、軽量化されたプロセス内サンドボックスだと説明しており、一般的な V8 の脆弱性を軽減するように設計したと言っている。

XZ Utils の脆弱性 CVE-2024-3094：バックドア検出の無料スキャナーを Binarly が開発／提供

Binarly Released The Free Online Scanner To Detect The Cve-2024-3094 Backdoor

2024/04/02 SecurityAffairs — 3月29日に Microsoft のエンジニアである Andres Freund が明らかにしたのは、xz ツールとライブラリの最新バージョンにバックドアが存在するという現実である。この脆弱性は、CVE-2024-3094 (CVSS：10.0) として追跡されている。Red Hat は、Fedora の開発版／実験版が稼働しているシステムを直ちに使用中止するよう、ユーザーに呼びかけている。XZ は、一般的なデータ圧縮フォーマットであり、Linux ディストリビューションにおける、コミュニティ主導型と商用型の大半に実装されている。

Gmail におけるスパム／フィッシング対策の強化：メール送信事業者は注意が必要

Google now blocks spoofed emails for better phishing protection

2024/04/01 BleepingComputer — Google が開始したメールの自動的なブロックとは、スパム／フィッシング攻撃に対する防御を、新しいガイドラインの要求に応じて強化するものである。それにより、大量送信者により送信される欺瞞的なメッセージは、フルイにかけられることになる。現時点において Google は、Gmail アカウントに対して 5,000通を超えるメッセージを送信するドメインに対して、SPF/DKIM と DMARC メール認証を設定するよう求めている。この制限は、2023年10月に発表されたものである。

PenTesting-as-a-Service について考える：従来からの方式と比べて時間とコストが圧縮できる？

How Pentesting-as-a-Service can Reduce Overall Security Costs

2024/03/28 BleepingComputer — アプリケーションやデータの安全性を維持する業務に携わっているなら、潜在的な弱点や脆弱性を特定する上での、ペネトレーション・テストの重要性を知っているだろう。しかし、古典的なペンテストにおいては、あなたの組織を不必要なリスクにさらす可能性があり、それと同時に、コストを押し上げる可能性があることは知らないかもしれない。その代わりとして、Web アプリケーション向けの PTaaS (Penetration Testing as a Service) が提供するのは、サイバー・セキュリティ向上と、保護強化と、コスト削減する方法となる。

Microsoft Exchange サーバ 1万7000台が脆弱：不適切なインターネット公開をドイツ当局が指摘

Germany warns of 17K vulnerable Microsoft Exchange servers exposed online

2024/03/26 BleepingComputer — 3月12日にドイツの国家サイバー・セキュリティ当局が警告したのは、同国内に存在する少なくとも 1万7000台の Microsoft Exchange サーバがオンライン上に露出し、重大なセキュリティ脆弱性を抱えていることだ。Federal Office for Information Security (BSI) によると、ドイツでは約4万5000台の Microsoft Exchange サーバ Outlook Web Access (OWA) を有効化しており、インターネットからアクセスできるという。これらのサーバーの約 12%は、古いバージョンの Exchange (2010／2013) を使用しており、それぞれに対するセキュリティ・アップデートは、2020年10月と2023年4月に終了している。

OSS Cybersecurity Tools 20選：このエコシステムを活用するために知っておくべきことは？

20 essential open-source cybersecurity tools that save you time

2024/03/25 HelpNetSecurity — オープンソース・ソフトウェアの適応性が約束するのは、その耐久性と妥当性であり、また、新しいテクノロジーとの互換性も保証してくれる。オープンソースのサイバーセキュリティ・エコシステムについて、深く掘り下げ始めたとき知ったのは、数多くの問題に対する実用的な解決策を見つけようと取り組む、開発者たちの熱心なコミュニティの存在である。

企業の 95％が API のセキュリティ問題に直面している – Fastly 調査

95% of companies face API security problems

2024/03/22 HelpNetSecurity — API が重要な役割を担っているにもかかわらず、ビジネスにおける意思決定者の大多数は、急増している企業のセキュリティ・リスクに対して無関心であることが、Fastly の調査で明らかになった。API (Application Programming Interfaces) は、長い間にわたってデジタル経済の基盤として認識されてきた。最近の統計によると、全インターネット・トラフィックの大半が API を経由していることが分かる。

マルウェアの増大が懸念される 2024年：脅威の拡大と複雑化する運用に向き合う – Thales 調査

Malware stands out as the fastest-growing threat of 2024

2024/03/21 HelpNetSecurity —セキュリティ脅威の量や深刻度が増加していると、IT 専門家の 93％が考えており、この数値は昨年の 47％から大幅に増加していると、Thales は述べている。ランサムウェア攻撃を受けた企業数は、この１年間で 27% 以上も急増した。このように脅威が高まっている一方で、ランサムウェア対策を適切に実施している企業は 50% に満たず、身代金を支払う企業は 8％となっている。

GitHub Advanced Security の新機能がリリース：AI を活用した脆弱性のパッチ適用支援

GitHub Launches AI-Powered Autofix Tool to Assist Devs in Patching Security Flaws

2024/03/21 TheHackerNews — 3月20日に GitHub が発表したのは、Advanced Security の全顧客を対象に、コードスキャン自動修正と呼ばれる機能を、パブリック・ベータ版として公開することである。GitHub の Pierre Tempel と Eric Tooley によると、「GitHub Copilot と CodeQL を搭載したコードスキャン自動修正機能は、JavaScript／TypeScript／Java／Python のアラート・タイプの 90％以上をカバーし、見つかった脆弱性の３分の２以上を、ほとんど編集せずに修正できるコード案を提供する」という。

Tor Project の WebTunnel という新機能：HTTPS トラフィックを模倣して検閲を回避

Tor’s new WebTunnel bridges mimic HTTPS traffic to evade censorship

2024/03/12 BleepingComputer — Tor プロジェクトが、WebTunnel の正式リリースを発表した。WebTunnel は、Tor ネットワークを標的とする検閲を迂回するために、特別に設計された新しいブリッジで、接続を目立たないように隠すことができる。

E メール攻撃の現状：Secure Email Gateways を毎分１通のペースで迂回

100% Surge In Malicious Emails Bypassing Secure Email Gateways

2024/03/08 GBHackers — SEG (Secure Email Gateways) の回避に成功する悪意のメールの頻度は、過去１年間で倍増している。この急増が浮き彫りにするのは、サイバー脅威の高度化と、組織が直面するデジタル資産の保護という課題である。Cofense の分析によると、SEG を迂回する悪質な電子メールは毎分１通に達し、企業の防御に対する執拗な攻撃が示唆されている。

Google Drive 上での機密データ管理：緩い共有がもたらす危険性を排除するには？

How to Find and Fix Risky Sharing in Google Drive

2024/03/06 TheHackerNews — Google Workspace の管理者なら誰でも、Google Drive 上で緩く共有された機密情報が、あっという間に乱雑な状態になることを知っている。それは、誰のせいでもない。組織の内外でのリアルタイム・コラボレーションを実現するための、生産性向上スイートとして設計されている以上、避けられないことなのだ。

境界防御について再考する：レベルアップした攻撃者たちの回帰に備えて- NCSC

Securing Perimeter Products Must Be a Priority, Says NCSC

2024/03/04 InfoSecurity — 英国のサイバー・セキュリティ専門家たちが警告するのは、企業ネットワークの境界における安全とは言えないセルフ・ホスト製品を、脅威アクターたちが標的にし始めていることだ。先週末のブログ投稿で NCSC (National Cyber Security Centre) は、ネットワーク防御者は対策と環境をアップグレードし、進化する脅威に適応する必要があると主張している。攻撃者たちは、境界から露出した製品の大半が、Secure by Design から逸脱していることに気づいており、また、一般的なクライアント・ソフトウェアよりも簡単に脆弱性を見つけ出せる対象だと知っている。

増加するヴィッシング／スミッシング／フィッシング攻撃：ChatGPT 登場から 1,265%急増

Vishing, smishing, and phishing attacks skyrocket 1,265% post-ChatGPT

2024/02/29 HelpNetSecurity — 企業の 76% においては、ボイス／メッセージング詐欺対策が不十分である、その一方では、ChatGPT がリリースされた以降において、AI を利用するヴィッシング／スミッシングが急増していることが、Enea の調査により明らかになった。

Kali Linux 2024.1 がリリース：４つの新ツールの提供と UI の刷新

Kali Linux 2024.1 released with 4 new tools, UI refresh

2023/02/28 BleepingComputer — Kali Linux がリリースしたバージョン 2024.1 には、４つの新しいツール／テーマの刷新／デスクトップの変更などが含まれている。Kali Linux とは、サイバーセキュリティの専門家や、倫理的ハッカーのために作成されたディストリビューションであり、ネットワークに対する侵入テストや、セキュリティ監査／調査のための機能を提供する。今年の最初のバージョンであるためか、Kali チームの最新リリースには、新たな壁紙やブートメニュー、そしてログイン表示の更新などの、ビジュアル要素が取り込まれている。

NIST CSF 2.0 が正式リリース：ニーズに応じたカスタマイズが可能なリソースとして活用！

NIST Cybersecurity Framework 2.0 Officially Released

2024/02/27 SecurityWeek — NIST Cybersecurity Framework (CSF) 2.0 の正式リリースが、2月26日に発表された。CSF の本来の対象は重要インフラ組織であるが、その他の業種などでも幅広く利用され、推奨されるようになった。そのことから、CSF 2.0 はセクター／規模／セキュリティなどの高低に関係なく、全ての組織のリスク低減を支援するように設計されていると NIST は強調している。

Unit42 調査：進化し続ける DLL ハイジャッキング

Warning: DLL Hijacking in Modern Malware Campaigns

2024/02/25 SecurityOnline — サイバー・セキュリティの脅威において、DLL (Dynamic-link library) ハイジャッキングは、依然として脅威アクターたちの定番の手口となっている。この手法は、古くから存在しているにもかかわらず、マルウェアを展開するためのステルス的な通路を、いまだに脅威アクターたちに提供し続けている。それが浮き彫りにするのは、サイバー・セキュリティにおける、防衛者と攻撃者の間の軍拡競争である。Unit42 の最新レポートは、DLL ハイジャッキングの進化にスポットを当て、この永続的な脅威の複雑さを明らかにし、この攻撃範囲を軽減するための指針を提示している。

脆弱性へのパッチ適用：どうする優先順位？どうする AI 活用？

Toward Better Patching — A New Approach with a Dose of AI

2023/02/23 securityweek —2024年を通じて毎月ごとの発表が予測される、2,900件の新しい脆弱性を分析／トリアージすることを、セキュリティ・チームに期待するのは無理である。１ヶ月に 20件でも十分な成果なのである。効果的なパッチを当てることは、侵入を減らす方法として認められている。しかし、それを達成するのは、ほとんど不可能だ。なにが問題かというと、既知の脆弱性の数が非常に多いこと、そして、それぞれのセキュリティ・チームにおいて、優先的にパッチを当てるべき脆弱性の選別が難しいことに集約される。

FTC が Avast を提訴：Web 閲覧記録の広告転用に対して $16.5 M の罰金

FTC to ban Avast from selling browsing data for advertising purposes

2024/02/22 BleepingComputer — 米国の連邦取引委員会 (FTC：Federal Trade Commission) が Avast に命じたのは、ユーザーの Web 閲覧データの販売および、広告目的でのライセンス供与の禁止、そして罰金 $16.5 million の支払いである。訴状によると、データを収集するために使用される Avast 製品は、オンライン追跡をブロックするという誤解を、結果的にユーザーに与えるものである。さらに同社は、消費者の認識や同意を得ることなしに、閲覧データを収集／保存／販売し、何百万人もの消費者の権利を侵害したという。

DDoS シミュレーション・テストは合法なのか：各国の法体系と Red Button のサービス

Are DDoS Simulation Tests Actually Legal?

2024/02/21 InfoSecurity — サイバー攻撃への対応の方式をテストするためには、DDoS シミュレーションを定期的な実施が推奨される。それより、システムやチームにおける、技術やプロセスのギャップを特定し、DDoS 対応戦略を改善できるかもしれない。しかし、DDoS 攻撃のシミュレーションは合法なのだろうか？ DDoS シミュレーション・テストは、ハッカーによる実際の DDoS 攻撃とは、異なる法的カテゴリーに分類される。

Google Chrome の新機能のテストが開始：プライベート・ネットワークへの攻撃をブロック

New Google Chrome feature blocks attacks against home networks

2024/02/17 BleepingComputer — Google Chrome の新機能のテストが始まった。その機能というのは、悪意の Web サイトがユーザーのブラウザを経由して、内部プライベート・ネットワーク上のデバイスやサービスを攻撃するのを防ぐためのものだ。簡単に言うと Google は、インターネット上の悪質な Web サイトを訪問したユーザーの、自宅やコンピュータ上のデバイスが、攻撃されることを防ごうと計画しているのだ。一般的に、これらのデバイスは、インターネットにはダイレクトに接続されておらず、ルーターにより保護されているため、安全だと考えられている。

Google Magika がオープンソース化：AI でファイルの安全性を識別

Google Open Sources Magika: AI-Powered File Identification Tool

2024/02/17 TheHackerNews — Google は、人工知能 (AI) を搭載したファイル識別ツールである Magika をオープンソース化することを発表した。同社は、「Magika は、従来のファイル識別方法を凌駕するものであり、VBA／JavaScript／Powershell などの、従来は識別が困難であったが潜在的に問題のあるコンテンツに対して、全体として 30％の精度向上と、最大で 95％の高精度を提供する」と述べている。

Gmail／Yahoo の DMARC が始まった：セキュリティの優位性をビジネスの優位性に

Gmail & Yahoo DMARC rollout: When cyber compliance gives a competitive edge

2024/02/16 HelpNetSecurity — サイバー・セキュリティの本質は、単なる防御だけにあるのではなく、信頼と信用を通じてビジネスを可能にすることにある。Gmail や Yahoo がメール認証の厳格化に踏み切る中、DMARC コンプライアンスに積極的に取り組む組織は、セキュリティ態勢を強化するだけではなく、大きなアドバンテージを得るだろう。このように、DMARC コンプライアンスは、単に標準を満たすだけではなく、混迷するデジタル市場において大きなチャンスをつかむ可能性をもたらす。

OSINT の商業的な活用：それはセキュリティ・チームの仕事になる

Rethinking Open-Source Intelligence for Security in Commercial Settings

2024/02/16 InfoSecurity — グローバルなセキュリティとインテリジェンスの状況が進化し続ける中で、OSINT (Open-Source Intelligence) は、政府／軍／法執行機関にとって貴重なツールとして支持を得ている。捜査官やアナリストたちは、通常の手作業では数時間／数日／数ヶ月かかるプロセスを、OSINT により僅か数分で自動化できるようになった。

CISA と OpenSSF の新たな OSS フレームワーク：安全なパッケージ・リポジトリのために

CISA and OpenSSF Release Framework for Package Repository Security

2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。

Microsoft が公表した防御のガイダンス：Midnight Blizzard の狡猾な戦術を封じる

Microsoft Provides Defense Guidance After Nation-State Compromise

2024/01/29 InfoSecurity — Microsoft が発表したのは、2024年1月初旬に同社のシステムを侵害した、ロシア国家に支援される攻撃者の詳細であり、また、この脅威に対抗する方法をユーザーに伝えるためのガイダンスである。2024年1月12日に Microsoft は、スパイ活動や情報収集活動を専門とするロシアの APT である Midnight Blizzard (別名 Nobelium／APT29／Cozy Bear) による、ネットワーク上での悪質な活動を検知した。

GitHub 2023 調査：リポジトリを悪用するサイバー攻撃の増加 – Recorded Future

Security Experts Urge IT to Lock Down GitHub Services

2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。

Harmony ライブラリを使用した .NET マルウェア対抗策が公開 – Check Point 調査

New Research: Tackling .NET Malware With Harmony Library

2024/01/08 InfoSecurity — 2024年1月8日に、セキュリティ研究者たちが発表したのは、Harmony ライブラリを使用して .NET マルウェアに対抗するための、戦略的洞察に関するレポートだ。マルウェア研究者／アナリスト／リバース・エンジニアたちにとって、コードの特定の部分の機能を操作する能力は、分析プロセスで有意義な結果を得るために不可欠なものだ。

LastPass が要求する 12文字以上のマスター・パスワード：2024年1月から強制

LastPass now requires 12-character master passwords for better security

2024/01/03 BleepingComputer — 1月3日に LastPass が顧客に通知したのは、アカウントのセキュリティを高めるための、最低 12文字の複雑なマスター・パスワード使用の義務付けである。2018年以降において LastPass は、12 文字のマスター・パスワードが必要であると繰り返し述べてきたが、ユーザーたちは脆弱なものを使用することが可能であった。

Google Groups が Usenet のサポート終了を発表：蔓延するスパム対策のため

Google Groups is ending support for Usenet to combat spam

2024/01/02 BleepingComputer — Google が先日に公式に発表したのは、Google Groups プラットフォームにおける、 Usenet グループのサポート終了だ。このサポートの終了は、2024年2月22日に実施され、それ以降においてユーザーは、Google Groups で新しい Usenet コンテンツの投稿／購読／閲覧ができなくなる。ただし、2月22日以前に投稿された、過去の Usenet コンテンツは、引き続き Google Groups で閲覧／検索できるという。

GitHub の2FA 義務化：2024年1月19日から正式スタート

GitHub warns users to enable 2FA before upcoming deadline

2023/12/26 BleepingComputer — GitHub アカウントにおいて、２要素認証 (2FA) が有効化されていない場合には、同サイトでの機能が制限されると警告されている。クリスマス・イブに GitHub ユーザーに送られたメールには、 GitHub.com でコードをコントリビュートしている全ユーザーは、2024年1月19日までに 2FA を有効化する必要があると記されている。

Google Chrome 安全性が向上：脆弱なパスワードなどを教えてくれる

Google Chrome adds background scans for compromised passwords

2023/12/24 BleepingComputer — Google Chrome の Safety Check 機能は、Web ブラウザに保存されたパスワードの漏洩の有無をチェックために、バックグラウンドで動作するという。また、危険と判断されたエクステンション (Chrome Web ストアから削除されたもの) を使用している場合には、デスクトップ・ユーザーに警告を発する。Chrome の最新バージョンを使用していて、セーフ・ブラウジングが有効化されている場合には、Google のブラック・リストにある Web サイトをブロックする。

PsMapExec というポスト・エクスプロイト・ツール：Active Directory 環境の評価に活用

PsMapExec: Active Directory post-exploitation tool

2023/12/21 SecurityOnline — 人気ツール CrackMapExec に、強くインスパイアされた PowerShell ツールがある。私の場合だと、Linux にアクセスすることは少なく、また、この CrackMapExec を使用する機会が、あまりにも頻繁にある。PsMapExec は、Active Directory 環境を評価し、侵害するためのポスト・エクスプロイト・ツールとして使用できるものだ。

企業の 85% でインシデントが発生：そのうちの 11% は Shadow IT 関連 -Kaspersky

New Report: 85% Firms Face Cyber Incidents, 11% From Shadow IT

2023/12/20 InfoSecurity — これまでの２年間で、世界の企業の 85％がサイバー・インシデントを経験しており、そのうちの 11％は Shadow IT が原因となっている。この数字は、サイバー・セキュリティ企業 Kaspersky が、先日に実施した調査に基づくものであり、企業において懸念すべき脅威のパターンを露呈している。Kaspersky によると、分散型ワークフォースが拡大する中、従業員による Shadow IT の利用が深刻化しているため、企業におけるセキュリティが危殆性しているという。

Chrome Privacy Sandbox の新機能 Tracking Protection：2024年1月からテストが開始

Google’s New Tracking Protection in Chrome Blocks Third-Party Cookies

2023/12/15 TheHackerNews — Google が 12月14日に発表したのは、Web ブラウザのサードパーティ・クッキーレス対策の一環としての、新たな機能である “Tracking Protection” のテストの開始である。このテストは、Chrome ユーザーの１％を対象にして、2024年1月4日から開始される予定だという。

OAuth アプリに関する Microsoft の警告：侵害されたアカウントで悪意のアプリを作成

Microsoft: OAuth apps used to automate BEC and cryptomining attacks

2023/12/12 BleepingComputer — Microsoft の警告は、金銭目的の攻撃者が OAuth アプリケーションを使用して、BEC 攻撃やフィッシング攻撃を自動化し、スパムをプッシュし、クリプト・マイニング用の VM を展開しているというものだ。OAuth (Open Authorization の略) とは、資格情報の代わりにトークンベースの認証と認可を介して、ユーザー定義のアクセス許可に基づいた、サーバ・リソースへの安全な委任アクセスを、アプリ対して許可するためのオープン・スタンダードである。

企業における権限昇格の脆弱性：インサイダー攻撃の 50％以上に悪用されている

Privilege elevation exploits used in over 50% of insider attacks

2023/12/08 BleepingComputer — 権限昇格の脆弱性は、企業のインサイダーがネットワーク上で不正な活動を行う際において、また、危険なツールの危険な方法でのダウンロードにおいて、頻繁に悪用される一般的な脆弱性である。2021年1月〜2023年4月に収集されたデータに基づく、CrowdStrike のレポートによると、インサイダーの脅威は増加傾向にあり、権限昇格の脆弱性の悪用が不正行為の重要な要素となっていることが判明した。

Facebook／Messenger の End-to-End 暗号化が本格スタート：デフォルトで ON になる！

Meta rolls out default end-to-end encryption on Messenger, Facebook

2023/12/07 BleepingComputer — Facebook および Messenger 介して行われる、すべてのチャットと通話について、直ちに E2EE (End-to-End Encryption) プロテクションを低起用すると、Meta が発表した。E2EE により、メッセージを交換する当事者だけが可読となり、データ保護が促進される。つまり、それ以外の不正なアクセス者は、スクランブルされた情報だけを得ることになる。

GCP から Google Workspace への横移動と攻撃：Domain-Wide Delegation の深刻なリスク

Exposed: Hidden Risks in Google Workspace’s Domain Delegation

2023/12/01 SecurityOnline — Google Workspace の Domain-Wide Delegation 機能に深刻なリスクが潜んでいることが、Palo Alto Networks の Unit 42 研究者たちより明らかにされた。この発見は、Google Cloud Platform (GCP) から Google Workspace ドメイン・データを悪用する可能性に光を当てるものだ。進化を続けるクラウド・コンピューティングの領域において、各種のサービスで見過ごされがちな、複雑な脆弱性を浮き彫りにするものである。

CISA の Secure-by-Design 第一弾：安全な Web 管理インターフェイスのために

CISA Debuts ‘Secure by Design’ Alert Series

2023/11/30 SecurityWeek — 11月21日に米国の CISA (Cybersecurity and Infrastructure Security Agency) は、セキュリティが未実装のソフトウェア開発ライフサイクルがもたらす被害を強調するための、新たなタイプの警告を導入した。この Secure by Design (SbD) アラートは、脅威に対する防御や対応について詳述するものではなく、ベンダーの意思決定を示すものであり、それにより世界的な規模で被害を減らすことを目的とする、情報を提供するものである。

VirusTotal における AI の活用：マルウェア検出が 70% も向上している

AI Boosts Malware Detection Rates by 70%

2023/11/29 InfoSecurity — 脅威インテリジェンス共有プラットフォーム VirusTotal が発表したのは、マルウェア分析を強化するサイバー防御者たちが、AI を活用する方法を示す新たな調査結果である。VirusTotal が、この調査を通じて明らかにしたのは、AI が悪意のコードの解析に対して極めて有効であり、従来の手法と比較して 70% も多くの、悪意のスクリプトを特定する能力を持っていることだ。

ProtonMail の新たな暗号化：公開鍵情報の共有に不変のブロックチェーンを利用

ProtonMail Leverages Blockchain Technology for Enhanced User Privacy

2023/11/16 SecurityOnline — 先日に ProtonMail が明らかにしたのは、Proton プライベート・ブロックチェーンをベースとした、新機能のテストの最中にあるというものだ。この機能は、ProtonMail ユーザーに対して固有の公開鍵を生成し、それを Proton ブロックチェーン上で公開することを目的としている。ユーザーが電子メールを送信すると、ProtonMail は自動的にブロックチェーンから受信者の公開鍵を確認し、この公開鍵で電子メールの内容を暗号化する。