SupplyChain – Page 5 – IoT OT Security News

Google Cloud Build の深刻な脆弱性：MOVEit 悪用のような問題を生じる恐れ

Google Cloud Build bug lets hackers launch supply chain attacks

2023/07/18 BleepingComputer — クラウド・セキュリティ企業 Orca Security が発見した、Google Cloud Build サービスの重大な設計上の欠陥は、攻撃者を特権へとエスカレートさせ、Google Artifact Registry コード・リポジトリへの、ほぼ完全なアクセスを提供する可能性があるというものだ。この Bad.Build と名付けられた欠陥を悪用する脅威アクターたちは、Google Cloud Build の CI/CD (continuous integration and delivery) サービスのアカウントになりすまし、アーティファクト・レジストリに対して API コールを実行し、アプリケーション・イメージを制御することが可能になる。たとえば、悪意のコードの注入や、脆弱なアプリの作成などを行った後に、顧客の環境内に悪意のあるアプリをデプロイした攻撃者が、サプライチェーン攻撃を仕掛ける可能性が生じてくる。

MOVEit Transfer の３つの深刻な脆弱性が FIX：各バージョンごとに確認すべきアップデートとは？

MOVEit Transfer customers warned to patch new critical flaw

2023/07/07 BleepingComputer — Clop ランサムウェアの最近における大規模な侵入で、主として悪用されているソフトウェアである MOVEit Transfer の、深刻な SQL インジェクション脆弱性を含む３つの脆弱性が修正された。この SQL インジェクションの脆弱性は、特別なクエリを細工した攻撃者による、データベースへの不正アクセスやコード実行および、データベースの改ざんを可能にするものだ。そして、これらの攻撃の前提条件として挙げられるのは、対象となるアプリケーションの入出力データにおける、適切なサニタイズが欠落となる。

サードパーティのセキュリティ・リスクという問題：多くの企業が軽視しているが – Panorays

Businesses are ignoring third-party security risks

2023/06/30 HelpNetSecurity — サードパーティとの連携が重要な役割を担う、ダイナミックなビジネス環境において、セキュリティおよびコンプライアンス要件に重大な影響を及ぼす、さまざまなリスクに企業は直面していると、Panorays は述べている。こうしたリスクの深刻性から、厳しい経済状況の中であっても、積極的な管理が必要とされている。Panorays のレポートには、サードパーティのリスク管理における差し迫った課題と新たな戦略を明確にするための、統計とトレンドが掲載されている。

TSMC への LockBit 攻撃：身代金として $70 million が要求されているが・・・

TSMC denies LockBit hack as ransomware gang demands $70 million

2023/06/30 BleepingComputer — 台湾のチップ製造大手の TSMC (Taiwan Semiconductor Manufacturing Company) に対して、LockBit ランサムウェアが $70 million を要求しているが、同社はハッキングされたことを否定している。TSMC は世界最大級の半導体メーカーであり、その製品は、スマートフォン／高性能コンピューティング／IoT デバイス／自動車／デジタル家電などの、さまざまなデバイスで使用されている。

MOVEit 攻撃の新たな被害者：Schneider Electric と Siemens Energy が攻撃された

Schneider Electric and Siemens Energy are two more victims of a MOVEit attack

2023/06/27 SecurityAffairs — MOVEit 攻撃の新たな被害者５社が、Clop ランサムウェア・グループにより、ダークウェブのリークサイトに追加された。そのうちの Schneider Electric と Siemens Energy の２社は、世界中の重要な国家インフラで利用される、産業用制御システム ICS (Industrial Control Systems) を提供するベンダーである。

MOVEit ゼロデイ侵害の被害が拡大：保険／年金などの契約者 3.2M 人分のデータが流出？

MOVEIt breach impacts GenWorth, CalPERS as data for 3.2 million exposed

2023/06/23 BleepingComputer — PBI Research Services (PBI) を侵害した、最近の MOVEit Transfer データ窃取攻撃により、合計で 475万人分のデータが盗まれたと、同社の顧客三社が公表している。一連の攻撃は 2023年5月27日に始まっており、Clop ランサムウェア・ギャングが MOVEit Transfer のゼロデイ脆弱性を悪用し、数百の企業からデータを盗んだインシデントだとされている。この１週間において Clop ランサムウェア・ギャングは、被害者に対する身代金支払いのプレッシャーとして、影響を受けた組織をデータ漏洩サイトに段階的にリストアップし、企業を恐喝し始めている。

GitHub で懸念される RepoJacking 攻撃：変更された名称の悪用が容易だと判明

Alert: Million of GitHub Repositories Likely Vulnerable to RepoJacking Attack

2023/06/22 TheHackerNews — GitHub 上の何百万ものソフトウェア・リポジトリが、RepoJackingと呼ばれる攻撃に対して脆弱である可能性が高いことが、新たな研究で明らかになった。マサチューセッツ州を拠点とするクラウドネイティブ・セキュリティ企業 Aqua が、水曜日に発表したレポートによると、それらの脆弱なリポジトリには、Google や Lyft などの、いくつかの組織のものも含まれているという。この、リポジトリ依存関係ハイジャックとも呼ばれるサプライチェーンの脆弱性は、活動を停止した組織やユーザーの名前を乗っ取り、悪意のコードを忍び込ませ、トロイの木馬化したバージョンのリポジトリを公開する攻撃の一種である。

CISO の最大の懸念：サプライチェーンと API のセキュリティ – Salt Security

Supply Chain and APIs Top Security Concerns, CISO Survey Shows

2023/06/21 InfoSecurity — 最近の CISO (Chief Information Security Officers) 調査により、主要なセキュリティ懸念事項として、サプライチェーンと API が浮上していることが分かった。この調査は、API セキュリティ企業の Salt Security が委託し、Global Surveyz が実施したものであり、グローバルにおける 300人の CISO／CSO からの意見がまとめられている。この調査結果によると、CISO の 89％が、デジタル・サービスの急速な展開から生じ、重要なビジネス・データのセキュリティを脅かす、予期せぬリスクに取り組んでいるという。

3CX のデータ漏洩：Elasticsearch／Kibana のオープンなインスタンスが原因だったのか？

3CX data exposed, third-party to blame

2023/06/20 SecurityAffairs — サイバー攻撃の被害者を嘲笑うべきではないが、「初めて騙されたのなら相手が悪いが、続けて騙されたのなら自分が悪い」という言葉が、昔から繰り返して使われてきたのには、なんらかの理由があるのだろう。2023年の初めに、北朝鮮のハッカーと思われる人物が 3CX にサプライチェーン攻撃を仕掛け、同社のソフトウェアを使用してデバイス上にマルウェアをばらまいた。

Norton／Avast などの親会社 Gen Digital でデータ侵害：MOVEit ゼロデイ攻撃が確認された

Norton Parent Says Employee Data Stolen in MOVEit Ransomware Attack

2023/06/20 SecurityWeek — Avast／Avira／AVG／Norton／LifeLock などの有名なサイバーセキュリティ・ブランドを展開する Gen Digital (NASDAQ: GEN) は、先日の MOVEit ランサムウェア攻撃により、従業員の個人情報が漏洩したことを発表した。この攻撃は、5月31日に Progress Software が公表した MFT (managed file transfer) ソフトウェア MOVEit Transfer のゼロデイ脆弱性を悪用したものだ。この SQL インジェクションの脆弱性 CVE-2023-34362 (深刻度 Critical) の大規模な悪用が始まったのは、2023年5月下旬のことだ。しかし、2021年の時点で攻撃者が、この脆弱性について既に知っており、悪用をテストを実施していたことを示唆する証拠が発見された。

MOVEit と行政データ：ルイジアナとオレゴンの数百万人の個人情報が漏えい

Millions of Oregon, Louisiana state IDs stolen in MOVEit breach

2023/06/16 BleepingComputer — ルイジアナ州とオレゴン州が警告を発したのは、MOVEit Transfer MFT (Managed File Transfer) セキュリティファイル転送システムをハッキングしたランサムウェア・ギャングが、数百万の運転免許証がデータなどを含むデータを窃取し、流出させたインシデントに関するものである。これらの攻撃は、ゼロデイ脆弱性 CVE-2023-34362 を悪用して、5月27日に MOVEit Transfer サーバに対する世界的なハッキングを開始した、Clop ランサムウェア・オペレーションによるものである。一連の攻撃により、世界中で流出したデータが広く公開され、企業／政府／自治体などに影響が及んでいる。

Amazon S3 バケットで悪意のバイナリを配布：新たなサプライチェーン攻撃を発見

New Supply Chain Attack Exploits Abandoned S3 Buckets to Distribute Malicious Binaries

2023/06/15 TheHackerNews — オープンソース・プロジェクトを狙った、新しいタイプのソフトウェア・サプライチェーン攻撃が検出された。この攻撃では、期限切れの Amazon S3 バケットを掌握した脅威アクターが、S3 モジュール自体には手を加えることなく、不正なバイナリを拡散しているという。Checkmarx の研究者である Guy Nachshon は、「悪意のバイナリが盗み出すのは、ユーザー ID／パスワード／ローカルマシン環境変数／ローカルホスト名などであり、それらのデータを乗っ取ったバケットに流出させている」と述べている。

MOVEit とデータ窃取攻撃：Clop ランサムウェア・ギャングが被害者への恐喝を開始

Clop ransomware gang starts extorting MOVEit data-theft victims

2023/06/15 BleepingComputer — MOVEit を介したデータ窃取攻撃の被害者となった企業に対する、Clop ランサムウェア・グループによる恐喝が始まった。この動きは、5月27日に Clop が、ファイル転送プラットフォーム MOVEit Transfer のゼロデイ脆弱性を悪用し、そのサーバに保存されているファイルを盗み出したことに起因している。Clop の主張は、この攻撃により数百の企業に侵入したというものであり、交渉が成立しなければ 6月14日にデータ漏洩サイトに掲載すると脅迫している。さらに、要求額が支払われない場合には、盗み出したデータの流出を、6月21日から開始すると述べている。

ICS Patch Tuesday: Siemens が公表した 180件の OSS コンポーネントにおける脆弱性

ICS Patch Tuesday: Siemens Addresses Over 180 Third-Party Component Vulnerabilities

2023/06/14 SecurityWeek — Siemens が発表したのは、合計で約200件の脆弱性をカバーする、12件の新たなアドバイザリである。これらの脆弱性の大部分は、サードパーティのコンポーネントに影響を与えるものだとされる。Siemens は顧客に通知したのは、Simatic S7-1500 に対して、特に TM MFP (Multi Functional Platform) に影響を及ぼす、Linux カーネルの 108件の脆弱性である。同社は、これらの脆弱性に対するパッチを準備中であり、それらが提供されるまでの間の、回避策と緩和策を共有している。

Kubernetes の SBOM：KBOM スタンダードの第一稿が登場

The First Kubernetes Bill of Materials Standard Arrives

2023/06/13 TheNewStack — Software Bill of Materials (SBOM) を使っていない組織であっても、すぐに使うことになるだろう。SBOM は、ビルディング・コードのセキュリティ防御における、不可欠な基盤として捉えられている。Software Package Data Exchange (SPDX) や CycloneDX に加えて、GitHub における依存関係サブミッション・フォーマットなどの、いくつかの SBOM 標準が存在していたが、これまでは Kubernetes 専用の標準が存在しなかった。しかし、Kubernetes Security Operations Center (KSOC) の、Kubernetes Bill of Materials (KBOM) スタンダードが出てきたようだ。

MOVEit 深刻な RCE 脆弱性 CVE-2023-34362：提供された PoC を Clop が狙う？

Exploit released for MOVEit RCE bug used in data theft attacks

2023/06/12 BleepingComputer — MOVEit Transfer MFT (managed file transfer) ソリューションに存在する、リモートコード実行 (RCE) の脆弱性に対応する PoC エクスプロイト・コードを、Horizon3 のセキュリティ研究者たちがリリースした。この脆弱性は、Clop ランサムウェア・ギャングが、データ窃取攻撃で悪用しているものだ。この CVE-2023-34362 は、SQL インジェクションの脆弱性である。パッチ未適用の MOVEit サーバ上で、その悪用に成功した未認証の攻撃者は、不正にアクセスした後に、リモートから任意のコードを実行できる。

MOVEit Transfer の SQLi 脆弱性 CVE-2023-35036 が FIX：ただちにパッチを！

New Critical MOVEit Transfer SQL Injection Vulnerabilities Discovered – Patch Now!

2023/06/10 TheHackerNews — MOVEit Transfer を開発する Progress Software は、このファイル転送ソリューションに存在し、機密情報の窃取に至る恐れのある、SQL インジェクションの脆弱性 CVE-2023-35036 に対応するパッチをリリースした。同社は 2023年6月9日にリリースしたアドバイザリで、「複数の SQL インジェクション脆弱性が、MOVEit Transfer Web アプリケーションに存在することが確認された。認証されていない攻撃者が、MOVEit Transfer データベースに不正にアクセスする可能性がある」と述べている。

Visual Studio の脆弱性 CVE-2023-28299：Microsoft が言うより悪用は簡単だ

Easily Exploitable Microsoft Visual Studio Bug Opens Developers to Takeover

2023/06/08 DarkReading — セキュリティ研究者たちが警告しているのは、Microsoft Visual Studio のインストーラに存在するバグにより、悪意のエクステンションを作成するサイバー攻撃者が、正規のソフトウェア・パブリッシャーを装い、アプリケーション開発者に配布する方法が生じる点である。そのような悪意のエクステンションを介して開発環境に侵入し、制御を奪い、コードを汚染させ、価値の高い知的財産を盗むことが可能になるという。

PowerDrop は新種の PowerShell マルウェア：米国の航空宇宙産業を攻撃している

“PowerDrop” PowerShell Malware Targets US Aerospace Industry

2023/06/07 InfoSecurity — PowerDrop と命名された、新たな PowerShell マルウェア・スクリプトが、米国の航空宇宙防衛産業を標的とした攻撃で使用されていることが判った。このマルウェアのサンプルは、防衛請負業者のネットワークにおいて、Adlumin のセキュリティ研究者たちにより５月に発見された。6月6日に Adlumin の研究チームは、「このマルウェアは、基本的な既製の脅威を用い、また、APT (Advanced Persistent Threat) グループの戦術も用いている。また PowerDrop は、偽装／暗号化／復号化エなどの、高度な検出回避機能を搭載している」と、PowerDrop に関するアドバイザリで発表している。

OWASP API Top-10 Risk の 2023版が公開：これまでの 2019版との違いは？

OWASP’s 2023 API Security Top 10 Refines View of API Risks

2023/06/07 SecurityWeek — 2023年の主要な API セキュリティ・リスクに関する、OWASP のランキングが発表された。このランキングは、2019年との類似点が多いが、いくつかが再編成／再定義されたのに加えて、新しいコンセプトも含まれている。

British Airways／BBC などでデータ侵害が発生：MOVEit @ Zellis の脆弱性悪用が原因

British Airways, BBC and Boots were impacted the by Zellis data breach

2023/06/06 SecurityAffairs — 給与計算プロバイダー Zellis へのサイバー攻撃により、BBC と British Airways の従業員の個人データが漏洩したことが判明した。タブロイド紙の The Mirror は、「英国に拠点を置く Zellis は、ファイル転送ソフトである MOVEit へのサイバー・セキュリティ攻撃の影響を受けたと見られている。Zellis の他に影響を受けた企業の中には、British Airways も含まれている」と報じている。

Magento／WooCommerce などが標的：商取引サイトを狙う Magecart キャンペーン

Magento, WooCommerce, WordPress, and Shopify Exploited in Web Skimmer Attack

2023/06/05 TheHackerNews — 電子商取引サイトから PII (Personally Identifiable Information) やクレジットカードのデータを盗むことを目的とした、現在進行中の Magecart スタイルの Web スキマー・キャンペーンをサイバー・セキュリティ研究者たちが発見した。これまでの Magecart キャンペーンと異なる点は、乗っ取られたサイトが間に合せの Command and Control (C2) サーバとして機能することで、知らないうちに被害者のサイトが、悪質なコードの配布に悪用されている点である。Akamai は、北米／中南米／欧州などで、さまざまな規模の被害者を確認したと述べている。何千人ものサイト訪問者の、個人情報が不正に収集され売却されるという、危機的な状況に陥る可能性があると指摘している。

CISA KEV 警告 23/06/02：Progress MOVEit の脆弱性 CVE-2023-34362 を追加

CISA orders govt agencies to patch MOVEit bug used for data theft

2023/06/04 BleepingComputer — CISA は、Progress MOVEit MFT (managed file transfer) ソリューションに存在し、積極的に悪用される脆弱性を、既知の悪用リストに追加し、米国連邦政府機関に対しては、6月23日までにシステムにパッチを当てるよう命じた。この深刻な脆弱性 CVE-2023-34362 は、SQL インジェクションの欠陥であり、認証されていないリモートの攻撃者に対して、MOVEit Transfer データベースへのアクセスと、任意のコード実行を許すものだとされる。

PyPI に新たな悪意のパッケージ：コンパイルされた Python コードで検出を回避

Malicious PyPI Packages Use Compiled Python Code to Bypass Detection

2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。

MOVEit Transfer に深刻なゼロデイ脆弱性：すでに活発に悪用されている

Critical zero-day vulnerability in MOVEit Transfer exploited by attackers!

2023/06/01 HelpNetSecurity — Progress Software の企業向け MFT (Managed File Transfer) ソリューションである、MOVEit Transfer に存在する深刻なゼロデイ脆弱性が、脅威アクターたちによる企業データ窃取に悪用されている。同社は 5月31日のアドバイザリで、「この脆弱性が悪用されると、権限昇格や環境への不正アクセスにつながる可能性がある。パッチを作成するまで、MOVEit Transfer 環境を保護してほしい」と顧客に呼びかけている。

SpinOk というスパイウェア：Google Play アプリに組み込まれ 420M ダウンロード！

Spyware Found in Google Play Apps With Over 420 Million Downloads

2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集／攻撃者へのファイル送信／クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。

GitLab の深刻な脆弱性 CVE-2023-2825：Ver 16.0.0 ユーザーは直ちにアップデートを！

GitLab ‘strongly recommends’ patching max severity flaw ASAP

2023/05/24 BleepingComputer — GitLab に存在する、深刻なパストラバーサルの脆弱性 CVE-2023-2825 (CVSS：10.0) の欠陥に対処するために、緊急セキュリティ・アップデートであるバージョン 16.0.1 がリリースされた。リモートでコードを管理する必要がある、開発者チーム向けの Web ベース Git リポジトリである GitLab は、約3000万人の登録ユーザーと100万人の有料顧客を有している。

OAuth の深刻な脆弱性が FIX：Expo Framework を介したアカウント乗っ取りの可能性

OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers

2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。

シークレットが氾濫する GitHub の世界：どのように緩和していくべきなのか – Git Guardian 提案

The Rising Threat of Secrets Sprawl and the Need for Action

2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模のレポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。

TP-Link ルーター群に危機：中国の APT グループ Camaro Dragon による侵害が始まっている

Camaro Dragon APT Group Exploits TP-Link Routers With Custom Implant

2023/05/16 InfoSecurity — Camaro Dragon という名の、中国に支援される APT グループが、悪意のファームウェアのインプラントを介して、TP-Link ルーター群を悪用していることが確認された。この発見は、Check Point Research (CPR) のセキュリティ専門家によるものであり、今日の未明に同社が発表したアドバイザリに、その内奥が記載されている。

Discord で発生したサプライチェーン攻撃：ユーザーの機密情報が流出した可能性

Discord Breached After Service Agent Targeted

2023/05/15 InfoSecurity — Discord のユーザーに送られた通知は、サードパーティ・カスタマー・サービス・エージェントのサポート・チケット・キューに、脅威アクターが不正アクセスした際に発生したデータ侵害に関するものだ。影響を受けたユーザーに送られたメッセージには、「このインシデントの性質上、あなたの電子メールアドレスおよび、あなたと Discordの間で交換された顧客サービス・メッセージの内容および添付ファイルが、第三者に公開されている可能性がある」と書かれていることを InfoSecurity は確認している。

米国企業の 61%でソフトウェア・サプライチェーン攻撃が発生していた – Capterra 調査

Software Supply Chain Attacks Hit 61% of Firms

2023/05/12 InfoSecurity — Capterra の最新のレポートによると、これまでの１年間において米国企業の５分の３以上 (61％) が、ソフトウェア・サプライチェーンからのダイレクトな影響を受けていたことが分かった。この調査は、サードパーティー・ソフトウェアにおける脆弱性のリスクについて、米国企業の理解を深めることを目的にしたものであり、271人の IT 専門家／IT セキュリティ専門家を対象に実施された。回答者の半数は、ソフトウェア・サプライチェーンの脅威を “High” または “Extreme” と評価しており、さらに 41%は “Moderate” と評価している。

SBOM について考える：複数のプラットフォーム間でのデータの標準化は？

The SBOM Bombshell

2023/05/09 SecurityWeek — リスク管理や脆弱性の影響を判断する際に SBOM は有用であるが、複数のプラットフォームでデータが標準化されていないと、全体的なリスク・モデルを構築することは極めて困難になる。2021年5月に発せられたバイデン大統領の大統領令 14028号には、「ソフトウェアのサプライチェーンを理解し、SBOM を取得し、それを使って既知の脆弱性を分析することが、リスク管理において重要である」と記されており、ソフトウェアを政府調達する際の SBOM の必要性を訴えるものだった。そのことが、セキュリティ分野における大きな契機となり、米政府の機関と請負業者の双方において、広く使われているソフトウェアの内部構造に関して、さまざまな疑問が生じることになった。

SBOM エコシステムを CISA が推進：OSS の可視性を高めていく – ETIC 2023

ETIC 2023: CISA Developing SBOM Ecosystem for Open-Source Software Visibility

2023/05/08 FedTechMagazine — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、ソフトウェア・プログラミングの基礎であるライブラリ／バージョン／コンポーネントの可視性を高めるために、企業が公開する SBOM (Software Bill Of Materials) のエコシステムを推進している。ACT-IAC の Emerging Technology and Innovation Conference において、CISA の Technical Director for Cyber である Christopher Butera は、今後の SBOM ガイダンスが詳細なレベルで実現するためには、ベンダーからのフィードバックが必要だと述べている。

Python パッケージに新たなマルウェア Kekw：データ窃取と暗号ハイジャックを仕掛ける

“Kekw” Malware in Python Packages Could Steal Data and Hijack Crypto

2023/05/05 InfoSecurity — PyPI (Python Package Index) 上で発見された、Kekw と呼ばれる新しいマルウェアを取り込んだ、複数の有害な Python .whl ファイルが存在しているという。Cyble Research and Intelligence Labs (CRIL) の最新の調査によると、Kekw マルウェアは感染済のシステムからの機密情報の窃取および、暗号通貨取引をハイジャックするクリッパー・アクティビティなどを行うという。

北朝鮮の Lazarus／ScarCruft：戦術の拡大と標的のグローバル化 – Kaspersky 調査

Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive

2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト／カナダ／マレーシアといった、遠方の国々へと広がっている。

Codenotary SBOM Center のプレビューが公開：セキュアな SBOM の作成が可能に

Codenotary Previews Secure SBOM Creation Service

2023/04/27 DevOps — 今日、Codenotary が公開したのは、SBOM (Software Bills Of Materials) を作成／保管し、必要に応じて安全に共有するための、集中型リポジトリ・サービスのプレビューである。このサービスについて、Codenotary の CEO である Moshe Bar は、「SBOMCenter は、ソフトウェアのサプライチェーン保護の必要性の高まりにつれて頻繁になる SBOM の作成を、より簡単に運用するのに役立つ」と説明している。彼によると、現時点で無料トライアルとして提供されている SBOMCenter は、改ざんされていないことを保証する方法で、SBOM を作成／保存する機能を備えているという。

SBOM を構築して活用する：そのための第一歩について考え始めよう

Building a Better SBOM

2023/04/25 DarkReading — この 2023年という年において、すべてのビジネスにおける重要な役割を、ソフトウェアは担っている。そして、ソフトウェアの構築／導入に携わる組織は、ソフトウェア・サプライチェーンの弱点について、潜在的な攻撃者よりも多くを知ることが絶対的に重要となる。将来における SBOM (software bills of materials) の有用性は、標準に準拠すること、コードベース全体を考慮することに加えて、企業規模での相互運用性を可能にする能力を高めることに掛かっている。

3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec

North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec

2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織２社と、金融取引に関わる他の企業２社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある２つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。

クラウド・セキュリティ警告の解決には約６日が必要：OSS への依存が要因 – Palo Alto 調査

Cloud Security Alerts Take Six Days to Resolve

2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) ／業界／国々にまたがる組織に配備された数万個のセンサーや、GitHub／NVD (National Vulnerability Database) などの公開ソースを調査した。

Goldoson という新しい Android マルウェア：Google Play 上のアプリ 60件に侵入

Android malware infiltrates 60 Google Play apps with 100M installs

2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で１億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。

LastPass 侵害を再考する：そこから学ぶことがタクサンあるはず

LastPass Breach Reveals Important Lessons

2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。

Shadow API の調査：監視／監査されない最も脆弱な存在について考える

Why Shadow APIs are More Dangerous than You Think

2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化／サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視／監査されない、最も脆弱な存在なのだ。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

3CX VoIP サプライチェーン攻撃：北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用

North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack

2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows／macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。

米陸軍は SBOM を望んでいる：民間への波及効果が期待される？

The Army Wants SBOMs—and So Should the Other Services

2023/04/11 DefenseOne — 公共分野の組織と、連携するすべての組織は、どのようなソフトウェアが使われているのかを、よりよく把握する必要がある。2022年10月に、米陸軍の調達部門は、ソフトウェアとネットワークをベースにした攻撃を防ぐために、大きな変化をもたらす可能性のある小さな一歩を踏み出した。それは、SBOM に関する情報提供を求めるものである。

MSP たちは何を考える？セキュリティ・サービスの強化に同意する経営者と技術者

MSPs urged to refine security solutions in response to growing SMB needs

2023/04/10 HelpNetSecurity — Kaseya の調査によると、それぞれの MSP は、サービス提供を効率化し、コスト管理を改善するために、コアツール間の統合と自動化にフォーカスしている。回答者の約 90% は、エンドポイントの管理／監視および、パッチ適用、チケット解決などの、サイバー・セキュリティに関するプロセスを自動化することで、効率を改善しようとしている。それにより、より多くの顧客を引き受け、より多くの収益を生み出すことが可能になるため、彼らのビジネスにとって自動化は、重要なテクノロジーであると評価しされる。

GitHub が SBOM エクスポートをサポート：ソフトウェア要件への対応を容易にする

GitHub Adds SBOM Export to Make it Easier to Comply with Security Requirements

2023/04/06 InfoQ — GitHub が発表した SBOM エクスポートは、セキュリティ・コンプライアンスのワークフローやツールの一部として、使用されることを意図したものである。この新機能により、NTIA に準拠した SBOM を、容易にエクスポートできるようになったと GitHub は述べている。手動または自動化されたプロセスなどの各種の方法により、ユーザーは SBOM をエクスポートできる。手動で SBOM を生成するには、リポジトリ内の依存関係グラフにアクセスし、新たに提供された Export SBOM ボタンをクリックする。それにより、SPDX 形式の、マシン・リーダブルの SBOM が作成される。

Uber ドライバーの機密情報が流出：法律事務所へのサプライチェーン攻撃が原因

Uber Drivers’ Data Exposed in Breach of Law Firm’s Servers

2023/04/06 InfoSecurity — Uber の代理として機能する中堅の法律事務所が、サイバー攻撃により機密データが暴露され盗まれたことを、不特定のドライバーたちに通知した。The Register が入手したのは、ニュージャージー州に拠点を置く Genova Burns が、顧客向けの電子メールで公表した、この情報漏洩の内容である。

Docker の BuildKit で SBOM をサポート：どのように機能するのか？どんな制限があるのか？

Docker’s BuildKit adds SBOM attestation capabilities: How they work — and key limitations

2023/04/04 SecurityBoulevard — 今年の初めに Docker は、BuildKit ツールにおいて、ビルド時の証明書と SBOM (Software Bills of Materials) のサポートを追加し、それぞれのイメージ内のソフトウェア・コンポーネントのビルド・プロセスを、開発チームが完全に記録する方法を提供するようになった。BuildKit とは、コンテナ・イメージを構築するための Docker のビルド・エンジンであり、従来からのスクリプト・ベースの Dockerfile ビルド・エンジンを改良したものである。Docker は、このツールにより、ビルドのパフォーマンスが向上し、Dockerfile の再利用性が高まったと主張している。