IoT OT Security News

PaperCut のパッチ未適用デバイスへの攻撃：観測された Truebot 亜種はロシア由来 – Huntress

Huntress: Most PaperCut Installations Not Patched Against Already-Exploited Security Flaw

2024/04/24 SecurityWeek — 大半の Windows／macOS にインストールされている PaperCut は、すでに攻撃で悪用されているが、深刻な脆弱性に対してパッチが適用されていないケースが多いと、エンドポイント／レスポンス・セキュリティ企業である Huntress が警告している。このセキュリティ上の欠陥は、脆弱性 CVE-2023-27350 (CVSS 9.8) として追跡されており、PaperCut MF/NG プリント管理システムにおける、不適切なアクセス制御のバグに起因すると説明されている。この脆弱性の悪用に成功した攻撃者は、認証を回避して、リモートから System ユーザーの権限を用いて、任意のコードを実行できる。

米国の軍艦造船業者 Fincantieri Marine Group でランサムウェア攻撃が発生

US Navy Contractor Fincantieri Marine Group Hit by Cyber-attack

2023/04/24 InfoSecurity — 米国の軍艦造船業者が、４月12日にランサムウェア攻撃を受けた。先週に Fincantieri Marine Group (FMG) は USNI News への声明で、メールサーバと一部のネットワーク運用に影響があったと述べ、このインシデントを認めた。その声明には、「先週に Fincantieri Marine Group (FMG) は、サイバー・セキュリティ・インシデントを経験し、ネットワーク上の特定のコンピュータ・システムに、一時的な混乱を引き起こしている」と記されている。

Facebook で新たなフィッシング・キャンペーン：3200件の偽プロフィールを展開 – Group-IB

Scammers Impersonate Meta in Facebook Campaign With 3200 Profiles

2023/04/24 InfoSecurity — Facebook ユーザーを対象として、3,000以上の偽プロフィールを展開している脅威アクターが、新しいフィッシング・スキームを用いて、認証情報を盗み出そうとしていることが判明した。4月24日 (月) に発表したアドバイザリで、Group-IB DRP (Digital Risk Protection) の専門家たちは、「現時点において依然としてアクティブに活動している」と、このキャンペーンについて説明している。Group-IB の Sharef Hlal と Karam Chatra は、「2023年2月〜3月に、このキャンペーンを操るサイバー犯罪者が侵害／作成した、3,200以上の詐欺プロフィールを発見した」と述べている。

APC の警告：UPS ソフトウェアに存在する RCE 脆弱性 CVE-2023-29411 などが FIX

APC warns of critical unauthenticated RCE flaws in UPS software

2023/04/24 BleepingComputer — APC の Easy UPS Online Monitoring Software には、認証を必要としない任意のリモートコード実行の脆弱性が存在し、脅威アクターによる機器を乗っ取りが生じ、最悪の場合には機能の完全な停止にいたる恐れがある。UPS (無停電電源装置) は、データセンター／サーバーファーム／小規模なネットワークインフラを保護するために不可欠であり、電力変動や停電中であってもシームレスな動作を保証するものだ。

Microsoft 365 における検索不能の問題：Outlook／Teams／SharePoint などに影響

Microsoft 365 search outage affects Outlook, Teams, and SharePoint

2023/04/24 BleepingComputer — 現在進行中の問題により、Microsoft 365 の一部の顧客が利用している複数のサービスにおいて、検索機能を使用することができないことの調査が行われている。影響を受けるサービスのリストには、Outlook on the Web／Exchange Online／SharePoint Online／Microsoft Teams／Outlook Desktop Client などが含まれるが、これらに限定されるわけではないという。

脆弱性の管理は限界：そこにサプライチェーンとクラウドの複雑さが加わるという現実 – Dynatrace

Cloud Complexity Means Bugs Are Missed in Testing

2023/04/24 InfoSecurity — サイロ化したチーム／新たな問題への対応／クラウド・エコシステムの複雑さにより、ソフトウェアのプロダクション環境に脆弱性入り込む可能性が高まっていることを、CISO たちは認めている。観察業務のスペシャリストである Dynatrace は、2023 Global CISO Report を作成するために、従業員 1000人以上のグローバル大企業の CISO 1300人を対象に調査を行った。

DNS クエリ 700億を調査：Decoy Dog というマルウェア・ツールキットを発見 – Infoblox

Decoy Dog malware toolkit found after analyzing 70 billion DNS queries

2023/04/23 BleepingComputer — 通常のインターネット・アクティビティとは言えない、異常な DNS トラフィックを検査した結果として、企業を標的とする新たなマルウェア・ツールキット Decoy Dog が発見された。この Decoy Dog は、戦略的なドメイン・エイジングと DNS クエリ・ドリブルにより標準的な検出方法を回避し、セキュリティ・ベンダーから良い評判を得た後に、サイバー犯罪のオペレーションを促進することを目的としている。2023年4月上旬に Infoblox の研究者たちは、異常または疑わしいアクティビティの兆候を探すために、毎日 700億以上のDNSレコードを分析した結果として、このツールキットを発見した。

GitHub の新機能：プライベートな脆弱性レポートを安全に共有できるようになった

GitHub now allows enabling private vulnerability reporting at scale

2023/04/22 BleepingComputer — GitHub の発表は、プライベート脆弱性レポートを誰もが利用できるようになり、組織に属する全リポジトリで大規模に有効化することも可能になったというものだ。この機能を有効化すると、専用のコミュニケーション・チャネルを使用するセキュリティ研究者たちは、誤って脆弱性の詳細を漏らすことなく、オープンソース・プロジェクトのメンテナに対して、セキュリティ問題を非公開で開示することが可能になる。GitHub の Eric Tooley と Kate Catlin は、「研究者やメンテナが、公開リポジトリ上の脆弱性を報告し、修正することを容易にする、プライベートなコラボレーション・チャネル」だと述べている。

BumbleBee マルウェア：Google 広告や SEO ポイズニングを介して配布 – Secureworks

Google ads push BumbleBee malware used by ransomware gangs

2023/04/22 BleepingComputer — エンタープライズをターゲットにしたマルウェア Bumblebee が、Zoom／Cisco AnyConnect／ChatGPT／Citrix Workspace などの人気ソフトウェアを宣伝する Google 広告や、SEO ポイズニングを介して配布されている。Bumblebee は 2022年4月に発見されたマルウェア・ローダーであり、ネットワークへのイニシャル・アクセスやランサムウェア攻撃に使用される、バックドア BazarLoader の代替として、Conti チームが開発したものだと考えられている。

Kubernetes の RBAC を悪用：暗号マイニングの大規模キャンペーンが始まっている – Aqua

Kubernetes RBAC Exploited in Large-Scale Campaign for Cryptocurrency Mining

2023/04/21 TheHackerNews — この、野放し状態の大規模な攻撃キャンペーンは、Kubernetes (K8s) の Role-Based Access Control (RBAC) を悪用してバックドアを作成し、暗号通貨マイナーを走らせていた。クラウド・セキュリティ会社の Aqua は、「攻撃者は、標的である K8s クラスターのリソースを乗っ取り、ハイジャックするために DaemonSets を展開した。この攻撃を RBAC Buster と名付けた同社は、このキャンペーンの背後にいる脅威アクターにより悪用された、60 件の露出した K8s クラスターを発見した」と、The Hacker News と共有したレポートの中で述べている。

3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害が懸念される – Symantec

North Korean 3CX Hackers Also Hit Critical Infrastructure Orgs: Symantec

2023/04/21 SecurityWeek — 3CX を標的としたサプライチェーン攻撃を仕掛けた、北朝鮮のハッキング・グループが、エネルギー分野の主要インフラ組織２社と、金融取引に関わる他の企業２社にも侵入していたことが、Symantec の新しい調査により判明した。Trading Technologies のトレーディング・ソフトウェアである、X_Trader インストーラから始まる一連の攻撃は、3CX 以外の企業にも被害を及ぼしており、下流への将来的な影響も懸念されている。Symantec の脅威情報部門は、米国と欧州にある２つの主要インフラ組織が大きな懸念材料になると、新たに公開した文書で警告している。

Evil Extractor という攻撃ツール：情報スティーラーでありランサムウェアも含む

Evil Extractor Targets Windows Devices to Steal Sensitive Data

2023/04/21 InfoSecurity — Kodex が “教育用“ として開発した、Evil Extractor という攻撃ツールが、Windows ベースのマシンを標的とした攻撃に悪用されている。2023年4月10日 (木) に公開されたアドバイザリで、「このマルウェアは、3月30日に観測されたフィッシング・キャンペーンで見つかったものであり、アドバイザリに含まれるサンプルまで辿り着いた。このキャンペーンは、正規の Adobe PDF や Dropbox ファイルなどを装うものであり、ロードすると PowerShell を活用した悪意の活動を開始する」と、Fortinet のセキュリティ研究者たちは主張している。

AuKill マルウェア：悪意のドライバーで EDR を無力化してから攻撃を開始

‘AuKill’ Malware Hunts & Kills EDR Processes

2023/04/21 DarkReading — 標的とする企業の EDR (Endpoint Detection and Response) 防御を無効化するために、脅威アクターがランサムウェアを展開する前に用いる、AuKill というサイバー犯罪ツールが登場した。このツールは、悪意のデバイス・ドライバーを利用して、標的システムへと侵入するものだ。最近の２つのインシデントでは、ランサムウェア Medusa Locker を展開する前に AuKill を使用している敵対者を、Sophos が観察している。同社は、別のインシデントにおいて、ランサムウェア LockBit のインストール前に、すでに侵害したシステムで、この EDR キラーを使用しする攻撃者を発見している。

Google Cloud Platform の脆弱性 GhostToken：悪意のアプリをスティルス化

GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform

2023/04/21 TheHackerNews — サイバー・セキュリティ研究者が、Google Cloud Platform (GCP) のゼロデイ欠陥 (パッチ適用済み) の詳細を明らかにした。この欠陥は、企業向けの Workspace アカウントを含む、すべての Google アカウントに影響を及ぼすものであり、イスラエルのサイバー・セキュリティ企業 Astrix Security により GhostToken と名付けられた。同社により、2022年6月19日に発見され、すでに Google に報告されている。そして、９ヶ月が経過した 2023年4月7日に、Google はグローバル・パッチを展開した。

WordPress プラグイン Eval PHP：スティルス・バックドアに悪用されている

Attackers use abandoned WordPress plugin to backdoor websites

2023/04/20 BleepingComputer −−− WordPress の正規プラグインである、Eval PHP を悪用する脅威アクターたちはステルス・バックドアを注入することで、Web サイトを侵害している。Eval PHP プラグインとは、サイト管理者が WordPress サイトのページや投稿に PHP コードを埋め込み、ブラウザでページを開いたときにコードを実行できるようにするものだ。このプラグインは、過去 10年間更新されておらず、アバンダンウェアと見なされている。しかし、今も WordPress のプラグイン・リポジトリで入手可能となっている。

ロシアからのフィッシング攻撃：約６割がウクライナに集中 – Google TAG 調査

Google: Ukraine targeted by 60% of Russian phishing attacks in 2023

2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視／妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。

VMware Aria Operations for Logs の脆弱性 CVE-2023-20864／CVE-2023-20865 が FIX

VMware Patches Pre-Auth Code Execution Flaw in Logging Product

2023/04/20 SecurityWeek — 4月20日 (木) に VMware は、Aria Operations for Logs (旧v Realize Log Insight) 製品群における、深刻なセキュリティ脆弱性 CVE-2023-20864／CVE-2023-20865 に対するパッチを緊急リリースした。これらの脆弱性は深刻度 High と評価されており、未認証の攻撃者に任意のコード実行をゆるす可能性がある。同社のセキュリティ・アドバイザリでは、企業が問題を軽減するためのガイダンスも提供されている。

ChatGPT に関連する悪意の URL：不正占拠ドメインが 17,818% 増加

2023/04/20 InfoSecurity — ChatGPT に関連する、新規登録ドメインとスクワッティング・ドメインの数が、2022年11月〜2023年4月初旬の間に、910%／月のペースで増加したとのことだ。この調査結果は、今日の未明に Palo Alto Networks の Unit 42 が共有したものだが、同じ期間において、DNS Security のログを見ると、ChatGPT に関連する不正占拠ドメインが 17,818% 増加したことにも言及している。

LockBit が macOS 用のマルウェアを開発：サンプルが検出されたが完成度は？

Researchers Discover First Ever Major Ransomware Targeting macOS

2023/04/19 DarkReading — 悪名高い LockBit ランサムウェア・グループが、macOS デバイス用のマルウェアを開発した。これは、主要なランサムウェア・グループが、Apple の領域に踏み込む初めてのケースになる。LockBit は、世界で最も多発する Ransomware-as-a-service (RaaS) オペレーターの１つであり、注目を集める攻撃／洗練された悪意のプログラム／グレードAの PR などで知られている。

Microsoft SQL に Trigona ランサムウェア：脆弱なサーバに侵入してペイロードを展開

Microsoft SQL servers hacked to deploy Trigona ransomware

2023/04/19 BleepingComputer — セキュリティが不十分でインターネットには公開されていない、Microsoft SQL (MS-SQL) サーバに侵入した脅威アクターたちが、 Trigona ランサムウェアのペイロードを展開し、全てのファイルを暗号化している。MS-SQL サーバが頻繁に侵害される理由として挙げられるのは、推測しやすいアカウント認証情報を悪用したブルートフォース攻撃や辞書攻撃が成功するためである。サーバへの侵入に成功した脅威アクターは、CLR Shell というマルウェアを展開する。今回の攻撃を発見した韓国のサイバー・セキュリティ企業 AhnLab の研究者たちが、このマルウェアを CLR Shell と命名した。

Google Chrome 112 がリリース：今年２つ目のゼロデイ CVE-2023-2136 などに対応

Google Patches Second Chrome Zero-Day Vulnerability of 2023

2023/04/19 SecurityWeek — 4月18日 (火) に Google は、Chrome で発見されたゼロデイ脆弱性 CVE-2023-2136 に対するパッチを公開した。このセキュリティ脆弱性は、Skia に存在する整数オーバーフローの欠陥であり、深刻度 High と評価されている。このバグの報告者は Google Threat Analysis Group の研究者 Clement Lecigne で、Google のポリシーに基づき、金銭的な報酬は発行されていない。Google はアドバイザリで、「CVE-2023-2136 のエクスプロイトが野放し状態で存在することを認識している」と述べている。

ルーターの廃棄に御用心：大企業ほど機密データが残されている – ESET 調査

Researchers discover sensitive corporate data on decommissioned routers

2023/04/19 HelpNetSecurity — ESET の調査により、廃棄され二次市場で販売されたルーターの設定データの 56% に、企業の機密データが含まれていることが判明した。この調査のリーダーである ESET のセキュリティ研究者である Cameron Camp は、「今回の調査結果がもたらす潜在的な影響は、極めて懸念すべきものであり、警鐘を鳴らすべきものだ」と述べている。

中小企業でも OK：無料オンライン・サイバーセキュリティ・ツール５選

5 free online cybersecurity resources for small businesses

2023/04/19 HelpNetSecurity — サイバー攻撃の頻度と巧妙さが増すにつれ、中小企業 (SMB：Small and Medium-sized Businesses) は、サイバー脅威に対してより脆弱になりつつある。大企業とは異なり、中小企業には、悪意の人物からネットワークやデータを効果的に保護するための資金や技術的リソースが不足している場合が多い。多くの中小企業は、予算や IT スタッフが限られているため、どこにリソースを配分するのかという難しい決断を迫られる。

クラウド・セキュリティ警告の解決には約６日が必要：OSS への依存が要因 – Palo Alto 調査

Cloud Security Alerts Take Six Days to Resolve

2023/04/18 InfoSecurity — Palo Alto Networks が最新のレポートが警告しているのは、クラウド・セキュリティ・チームは、アラートへの迅速な対処を怠ることで、サイバーリスクが高まる可能性を生み出し、組織をさらしているということだ。同社は、様々なクラウド・サービス・プロバイダー (CSP) ／業界／国々にまたがる組織に配備された数万個のセンサーや、GitHub／NVD (National Vulnerability Database) などの公開ソースを調査した。

SimpleHelp というリモート・サポート製品を悪用：イランの MuddyWater の戦術を暴露

MuddyWater Uses SimpleHelp to Target Critical Infrastructure Firms

2023/04/18 InfoSecurity — MuddyWater という、イラン政府に支援される脅威アクターは、被害者のデバイス上で永続性を確立するために、正規の SimpleHelp リモート・サポート・ソフトウェア・ツールを使用していることが確認されている。Group-IB の新たなアドバイザリによると、これらの攻撃の一部として使用されるソフトウェアは、脆弱化されたものではない。その代わりに、この脅威アクターは、公式 Web サイトからツールをダウンロードし、攻撃に使用する方法を発見したようだ。

RedLine の GitHub リポジトリをテイクダウン：C2 サーバの管理画面を破壊した！

Takedown of GitHub Repositories Disrupts RedLine Malware Operations

2023/04/18 SecurityWeek — 2020年の初頭からは活動していたと思われる、コモディティ・マルウェアの一種である RedLine stealer は、.NET で書かれており、幅広いデータ流出能力を搭載している。このマルウェアがターゲットにするのは、システム情報および、クッキーなどのブラウザ・データ、各種アプリ／サービスのログイン認証情報、クレジットカード情報、暗号ウォレットなどである。

ビジネスの優先順位とサイバー・セキュリティの均衡：Google が考える取締役会へのアドバイス

Balancing cybersecurity with business priorities: Advice for Boards

2023/04/18 HelpNetSecurity — 今日の急速に進化する技術環境において、これまで以上に取締役会や経営陣にとって重要となるのは、テクノロジーやデジタルの最新の進歩や潜在的なリスクについて、常に情報を得ることである。この Help Net Security のインタビューでは、Google Cloud の Director, Financial Services, Office of the CISO である Alicja Cade が、正しい疑問を持つことで、サイバー・パフォーマンスと準備状況を改善し、責任ある AI プラクティスを推進すべきだと述べている。それにより、サイバー・セキュリティの必要性と、ビジネスにおける他の優先事項をバランスさせる方法について、洞察が提供されるとしている。

Affinity のフォーラムでデータ侵害が発生：管理者アカウントが侵入経路

Creative Software Maker Affinity Informs Customers of Forum Breach

2023/04/18 SecurityWeek — クリエイティブ・ソフトのメーカーである Affinity でデータ侵害が発生した。同社によると、脅威アクターは管理者のアカウントを侵害し、フォーラムのユーザーデータにアクセスしたとのことだ。不正アクセスを受けた可能性がある情報として挙げられるのは、ユーザー名／評判／参加日／投稿数／Eメール／最後に使用した IP アドレスなどである。

Aurora マルウェアを YouTube 動画で配布：in2al5d p3in4er という高度な検出回避ローダーとは？

YouTube Videos Distributing Aurora Stealer Malware via Highly Evasive Loader

2023/04/18 TheHackerNews — サイバー・セキュリティ企業の Morphisec が The Hacker News に共有したのは、情報スティーラー型マルウェア Aurora の配信に使用される in2al5d p3in4er (invalid printer) という、きわめて検出回避能力の高いローダーの内部構造に関するレポートだ。このレポートで、サイバー・セキュリティ研究者たちは、「in2al5d p3in4er ローダーは、Embarcadero RAD Studio でコンパイルされ、高度なアンチ VM (仮想マシン) 技術を使って、エンドポイント・ワークステーションを標的にしている」と説明している。

ChatGPT などの AI ツールが BEC を助長：いちばん恐ろしい武器は言葉

AI tools like ChatGPT expected to fuel BEC attacks

2023/04/17 HelpNetSecurity — Armorblox の調査によると、過去１年間に観測された全ての BEC 攻撃のうちの 57%が、無防備な従業員に攻撃を仕掛けるための主要な攻撃ベクターとして、言葉に依存していたという。その他の注目すべき傾向は、ベンダーへの侵害と詐欺が、新たな攻撃ベクターとして台頭していることや、セキュリティ・チームが毎週 27時間もの時間を、グレーメールの処理に浪費していることだ。

Conti 元メンバーと FIN7 開発者の共闘：新たな Domino マルウェアを配布している

Ex-Conti members and FIN7 devs team up to push new Domino malware

2023/04/17 BleepingComputer — Conti ランサムウェアの元メンバーが、FIN7 脅威アクターと手を組み、企業ネットワークへの攻撃において、Domino という新たなマルウェア・ファミリーを配布しているようだ。Domino は、２つのコンポーネントから構成される、比較的に新しいマルウェア・ファミリーである。最初に、Domino Backdoor という名前のバックドアをドロップし、そのバックドアが Domino Loader をドロップすることで、情報を窃取する DLL マルウェアが、他のプロセスやメモリに注入されていく。

Google レッドチーム・ツールの悪用：中国の APT41 による攻撃で発見される

Hackers abuse Google Command and Control red team tool in attacks

2023/04/17 BleepingComputer — 台湾のメディアとイタリアの就職支援会社に対するデータ窃取攻撃において、中国の国家支援ハッキング・グループ APT41 が、レッドチーム・ツール GC2 (Google Command and Control) を悪用していたことが判明した。APT41 は HOODOO とも呼ばれ、米国／欧州／アジアにおける広範な業界をターゲットにすることで知られる、中国政府に支援されたハッキング・グループである。2014年から Mandiant は、このハッキング・グループを追跡しており、その活動は BARIUM や Winnti といった、その他の中国のハッキング・グループと重複すると述べている。

Qbot バンキング・トロイの木馬：PDF アーカイブ内の JScript スクリプトで PowerShell を起動

Qbot Banking Trojan Increasingly Delivered Via Business Emails

2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語／ドイツ語／イタリア語／フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。

NCR の POS を運用するデータセンター：ランサムウェア攻撃が発生したが詳細は不明

Ransomware Attack Hits Payments Giant NCR’s Datacenter

2023/04/17 InfoSecurity — 米国の決済大手 NCR の発表によると、ハワイ州にある同社のデータセンターを標的とする、ランサムウェア攻撃が発生したようだ。同社は、Aloha レストラン POS (point-of-sale) 製品の問題について、調査を開始してから数日後の 4月14日の時点で、この情報漏えいを公表している。

Western Digital のデータ侵害：数千万円の身代金が要求されている

Western Digital Hackers Demand 8-Figure Ransom Payment for Data

2023/04/15 DarkReading — デジタル・ストレージ・ブランド SanDisk の傘下にある、コンピュータ・ドライブ・メーカーの Western Digital Corp から約 10TB のデータが盗まれ、数千万円以上の身代金が要求されているとの報道があった。

Goldoson という新しい Android マルウェア：Google Play 上のアプリ 60件に侵入

Android malware infiltrates 60 Google Play apps with 100M installs

2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で１億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。

Action1 RMM ソフトウェアの悪用：ランサムウェアの永続性を確保している

Hackers start abusing Action1 RMM in ransomware attacks

2023/04/15 BleepingComputer — セキュリティ研究者たちは、サイバー犯罪者が侵害したネットワーク上で、コマンド／スクリプト／バイナリなどを永続的に実行するために、リモート・アクセス・ソフトウェアである Action1 を使用するケースが増えていると警告している。Action1 は RMM (Remote Monitoring and Management) 製品であり、ネットワーク上のエンドポイントをリモートで管理するために、MSP (Managed Service Providers) や企業で使用されている。

Security-by-Design と Security-by-Default の原則：政府の調達力を用いて普及させる – CISA

CISA Introduces Secure-by-design and Secure-by-default Development Principles

2023/04/14 SecurityWeek — CISA は、サイバー・セキュリティ製品を開発する際の、Security-by-Design および Security-by-Default の原則を公表した。2023年3月1日に発表された、Pillar Three of the National Cybersecurity Strategy published の三本目の柱は、Shape market forces to drive security and resilience (セキュリティとレジリエンスを推進するために市場の力を形作る) と題されている。このセクションの中では、２つのポイントが明確にされている。第一に、セキュリティの責任を、セキュリティ製品の使用から開発へとシフトさせることである。第二に、このシフトを促すために、連邦政府の調達力を利用することである。

Vice Society ランサムウェア：新しいデータ窃盗ツールに PowerShell を導入

Vice Society ransomware uses new PowerShell data theft tool in attacks

2023/04/14 BleepingComputer — ランサムウェア・グループの Vice Society は、侵害したネットワークからのデータ盗難を自動化するために、かなり高度な PowerShell スクリプトを導入し始めた。企業や顧客のデータを盗むことは、ランサムウェア攻撃における常套手段である。そして、盗み出したデータにより、被害者への恐喝や、他のサイバー犯罪者への転売を行い、莫大な利益を得ていく。

Google Chrome ゼロデイ脆弱性 CVE-2023-2033 が FIX：野放し状態での悪用を観測

Google Chrome emergency update fixes first zero-day of 2023

2023/04/14 BleepingComputer — Google が緊急リリースした、Chrome のセキュリティ・アップデートは、2023年に入ってから初めて攻撃で悪用された、ゼロデイ脆弱性に対処するためのものだ。4月14日に同社が公開したセキュリティ・アドバイザリには、「Google は、脆弱性 CVE-2023-2033 が、野放し状態で悪用されていることを認識している」と記されている。この問題に対応した、Chrome の新バージョンは、Stable Desktop チャネルのユーザーに対して展開されており、今後の数日から数週間かけて、すべてのユーザーに行き渡る予定だという。

Active Directory のセキュリティ：Tier-Zero 資産の特定と保護を最優先すべきだ

How to Define Tier-Zero Assets in Active Directory Security

2023/04/13 DarkReading — Active Directory 環境のセキュリティ向上を目指す企業は、「攻撃者の選択肢が多すぎる」というシンプルな問題に直面している。平均的な企業の AD 環境には、数千から数万もの攻撃経路が存在する。それは、低特権ユーザーのアカウントへの初期アクセスに成功した攻撃者が、特権を拡大し、高特権ユーザーへと移動し、ドメイン乗っ取りに可能にするという、ミスコンフィグレーションの連鎖である。すべてのミスコンフィグレーションの修正は不可能かもしれないが、セキュリティ／アイデンティティ／アクセスの管理者は、AD の安全性を確保するために、有意義な進歩を遂げていくはずだ。しかし、それを成功させるためには、作業に優先順位をつける方法が不可欠となる。

英国の大手企業のセキュリティ態勢が大幅に向上 – Rapid7

Rapid7 Has Good News for UK Security Posture

2023/04/13 InfoSecurity — Rapid7 によると、この２年間において英国の大手上場企業は、リスクの高いポートへのアクセスを減らし、電子メールのセキュリティを強化したが、一部の企業は依然として過度のサイバーリスクを抱えているとのことだ。セキュリティ・ベンダーである Rapid7 は、2023年3月時点の英国の攻撃対象領域を把握するため、FTSE350 を３つの分野で評価した。

LastPass 侵害を再考する：そこから学ぶことがタクサンあるはず

LastPass Breach Reveals Important Lessons

2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。

Shadow API の調査：監視／監査されない最も脆弱な存在について考える

Why Shadow APIs are More Dangerous than You Think

2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化／サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視／監査されない、最も脆弱な存在なのだ。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

2023年サイバー・セキュリティのトップトレンドは “人間中心のアプローチ” – Gartner 報告

Gartner: Human-Centric Design Is Top Cybersecurity Trend for 2023

2023/04/13 DarkReading — セキュリティ障害の軽減に効果的なサイバー・セキュリティの施策をとるためには、セキュリティとリスク管理のリーダーたちが、人間を中心としたアプローチに目を向けることが不可欠であると、調査／コンサルティング会社の Gartner が明らかにした。サイバー・セキュリティの実践において、人間を中心としたアプローチを取ることができれば、個々の従業員と経験が優先され、摩擦とリスクを軽減しながら、最終的には良い結果に繋がるという。

悪意のオープンソース・パッケージが約 7,000 個も発見された – Sonatype 調査

Researchers Uncover 7000 Malicious Open Source Packages

2023/04/12 InfoSecurity — セキュリティ・ベンダーの Sonatype は、悪意のオープンソース・パッケージを３月だけで 6,933 個も検出し、2019年以降に発見された合計は 115,165個となった。これらの悪意のコンポーネントのうち、かなりの割合を情報スティーラーが占めている。それには、idklmaoという開発者による microsoft-helper などのような、人気の W4SP スティーラーの模倣品も含まれている。

CISA の Zero Trust 成熟度モデル：パブリックコメントを経て Initial という段階が加わった

CISA Updates Zero Trust Maturity Model With Public Feedback

2023/04/12 InfoSecurity — 4月11日 (火) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、パブリックコメント期間中の推奨事項を盛り込んだ Zero Trust Maturity Model の第２版を発表した。このガイドラインの更新は、新しい国家サイバー・セキュリティ戦略を支援するための、連邦政府によるゼロトラスト・アプローチの促進を目的としている。

DDoS 2023 Q1 レポート：VPS インフラを侵害／悪用するケースが増加 – Cloudflare 調査

DDoS attacks shifting to VPS infrastructure for increased power

2023/04/12 BleepingComputer — 2023年 Q1 ハイパーボリューメトリック DDoS (分散型サービス拒否) 攻撃は、危険な IoT デバイスへの依存から、侵入した VPS (Virtual Private Servers) を活用する方向へとシフトしている。インターネット・セキュリティ企業の Cloudflare によると、新しい世代のボットネットは、脆弱な IoT デバイスの大群を構築する戦術を徐々に放棄する方向へと向かっている。その代わりとして、現在は、脆弱なコンフィグレーションを持つ VPS サーバを、漏洩した API 認証情報や既知のエクスプロイトの悪用により、制御する方向へとシフトしている。

京セラ Android 印刷アプリの脆弱性が FIX：すでに 100万ダウンロード

Kyocera Android app with 1M installs can be abused to drop malware

2023/04/12 BleepingComputer — 京セラの Android 印刷アプリに、不適切なインテント処理の脆弱性が存在し、この欠陥を悪用するアプリが、マルウェアを端末にダウンロード／インストールする可能性が生じているあり。JVN (Japanese Vulnerability Notes) のセキュリティ通知によると、この問題は、CVE-2023-25954 として追跡されている。