IoT OT Security News

Linux Kernel の脆弱性 CVE-2022-0847 が FIX：Dirty Pipe という問題とは？

Researchers Warn of Linux Kernel ‘Dirty Pipe’ Arbitrary File Overwrite Vulnerability

2022/03/07 TheHackerNews — Linux ディストリビューターたちは、任意の読み取り専用ファイルへの上書きにより、攻撃者たちにシステムの完全な乗っ取りを許す、カーネルの新たな脆弱性に対するパッチを発行しているところである。IONOS のソフトウェア開発者である Max Kellermann により、Dirty Pipe と名付けられた脆弱性 CVE-2022-0847 (CVSS:7.8) は、非特権プロセスから root プロセスにコードを注入できるため、特権拡大につながるものとなる。

Mozilla Firefox 97.0.2 がリリース：深刻なゼロデイ脆弱性を FIX

Mozilla Firefox 97.0.2 fixes two actively exploited zero-day bugs

2022/03/06 BleepingComputer — Mozilla は、Firefox 97.0.2／Firefox ESR 91.6.1／Firefox for Android 97.3.0／Focus 97.3.0 をリリースし、活発に悪用されている２つの深刻なゼロデイ脆弱性を修正した。どちらのゼロデイ脆弱性も、Use-after-free バグであり、過去に消去されたメモリがプログラムから使用されてしまうものだ。このタイプのバグの悪用に成功した脅威アクターに対して、プログラムがクラッシュすると同時に、デバイス上でのコマンド実行を許す可能性が生じる。

Linux Kernel cgroups に存在するコンテナ・エスケープの脆弱性 CVE-2022-0492 が FIX

CVE-2022-0492 flaw in Linux Kernel cgroups feature allows container escape

2022/03/06 SecurityAffairs — Linux カーネルの脆弱性 CVE-2022-0492 (CVSS: 7.0) にパッチが適用されたが、この脆弱性の悪用に成功した攻撃者には、コンテナをエスケープし、コンテナ・ホスト上で任意のコマンドを実行する可能性が生じる。この問題は、cgroups (control groups) と呼ばれるプロセスの集合体に関するリソース使用量 (CPU／メモリ／ディスクI/O／ネットワーク) を算出／分離／制限するための、Linux カーネルの機能に影響をおよぼす特権昇格の欠陥である。

ロシア国内の組織に DDoS 攻撃を仕掛けた 17,000 の IP が公開された

Russia shares list of 17,000 IPs allegedly DDoSing Russian orgs

2o22/03/05 BleepingComputer — ロシア政府は、ロシアの組織とネットワークを標的とした、分散型サービス妨害 (DDoS) 攻撃に使われたとされる 17,576 の IP アドレス・リストを公開した。このリストは、ロシア連邦保安庁 (FSB) が設立した組織である、National Coordination Center for Computer Incidents (NKTsKI) が、防御のためのガイダンスと攻撃者のリファラー・ドメイン情報を含む第２のリストとともに共有したものだ。NKTsKI は、一連の DDoS 攻撃で使用された 17,576 の IP アドレスと、攻撃者のリファラード・メイン情報、および、攻撃者のリファラード・メニューを公開した。

ロシア政府による Facebook と Twitter のブロック：これもハイブリッド戦？

Russia blocks access to Facebook, Twitter, foreign news outlets

2022/03/04 BleepingComputer — Facebook の親会社である Meta が、RIA Novosti／Sputnik／Russia Today などのクレムリン系のメディア／通信社のアカウントを無効化／アクセス制限したことで、ロシア政府は Facebook へのアクセスをブロックした。この記事の掲載後に、ロシアのインターネット監視機関である Roskomnadzor が Interfax に伝えたところによると、ロシアは 2月24日に検察庁の要求を受けて、Twitter へのアクセスもブロックしたとのことだ。2月26日に Twitter は、「ロシアの一部の人々に対して、制限されている。サービスの安全性とアクセスを維持するために努力している」と述べている。

ウクライナの参加が決定：NATO のインテリジェンス・サイバー防衛ハブ

Ukraine to join NATO intel-sharing cyberdefense hub

2022/03/04 BleepingComputer — 現時点でウクライナは NATO に加盟していないが、NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) へのコントリビューション参加者として認められた。CCDCOE は NATO 公認のサイバー防衛拠点であり、加盟国は技術／戦略／作戦／法律などの、さまざまな分野における研究／訓練／演習などを利用できる。

NVIDIA 従業員 71,000 名の認証情報が盗まれた：ダークウェブで販売されているらしい

Credentials of 71,000 NVIDIA Employees Leaked Following Cyberattack

2022/03/04 SecurityWeek — NVIDIA の従業員 71,000人以上の電子メール・アドレスとパスワードが、先日のサイバー攻撃で盗まれた可能性が高く、それらがアンダーグラウンド・コミュニティ内で流通しているようだ。2月23日に、NVIDIA のネットワークを侵害したハッカーたちは、従業員の認証情報だけではなく、個人情報も盗むことに成功した。

ロシア対ウクライナのサイバー戦争：誰が誰を攻撃しているのか？

Russia-Ukraine, who are the soldiers that crowd cyberspace?

2022/03/04 SecurityAffairs — 現時点でのサイバー空間におけるシナリオを分析しようとしても、複数の脅威アクターが存在し、攻撃のアトリビューションが難解であるため、容易なことではない。セキュリティ・グループである CyberKnow は、グループとオペレーション、そして活動を公開するために使用されるチャネルについて、興味深い分析結果を提供している。

CISA 警告：悪用脆弱性カタログに新旧あわせて 95 件が追加された

CISA warns organizations to patch 95 actively exploited bugs

2022/03/04 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されているセキュリティ欠陥のリストに 95件の脆弱性を追加したが、この件数は、昨年に Binding Operational Directive (BOD) を発行してから最多のものとなる。その中には、20年近く前から認識されているバグもあるが、同庁は、「連邦政府の企業にとって重大なリスクをもたらす」と指摘している。

欧州各政府へ向けた偽メール：ハッキングされたウクライナ軍人のアカウントが使われている

Hacked Ukrainian Military Emails Used in Attacks on European Governments

2022/03/03 SecurityWeek — ヨーロッパ各政府機関の職員が、ウクライナ軍の関係者のメール・アカウントを装った、悪質な偽メールを受け取っていることが判明した。ロシアとウクライナの戦争は、現実世界とサイバー空間の双方で行われており、国家が支援するハッカーとハクティビストの間でも戦いが発生している。また、ネットワークを介した戦いでは、分散型サービス妨害 (DDoS) 攻撃／マルウェア／データ侵害／フェイク情報などの、さまざまな戦術やツールが用いられている。

GitHub 調査：不適切なソースコード管理によりパスワードなどの機密情報が漏洩

Companies’ Code Leaking More Passwords and Secrets

2022/03/03 DarkReading — 今日の GitGuardian の新しいレポートによると、2021年に組織全般から流出したパスワード／AP Iキーなどの機密データは 600万件を超え、前年の２倍に増加したとのことです。このレポートでは、より多くのコードがリポジトリにプッシュされ、より優れた検出機能が利用できるようになったことが主要因である。

T-Mobile のデータ侵害事件：ダークウェブでの個人情報の販売を NY OAG が警告

NY OAG warns T-Mobile data breach victims of identity theft risks

2022/03/03 BleepingComputer — New York State Office of the Attorney General (NY OAG) は、2021年8月に発生した T-Mobile のデータ流出事件の被害者に対し、盗まれた情報の一部がダークウェブで販売されたことで、個人情報の盗難リスクに直面していると警告を発した。この警告は、T-Mobile インシデントで影響を受けた個人が、個人情報盗難防止サービスから、自分の情報がオンラインで見つかったと通知されたことを受けて発せられた。つまり、影響を受けた消費者にとって、個人情報盗難のリスクが高まっている状況にあることが示唆されている。

ロシア当局から Google への要請：ウクライナ侵攻に関するフェイクの停止

Russia asks Google to end “misinformation” on “special op” in Ukraine

2022/03/03 BleepingComputer — ロシアの通信監視機関である Roskomnadzor は、ロシアのウクライナ侵攻に関する誤った情報を伝える、YouTube 動画の広告キャンペーン停止を Google に要請した。ロシアの通信監視団が主張するように、不正確な内容もあり、年齢指定のないオンライン広告が、ウクライナでのロシア軍の特別作戦に関する誤った情報を押し付け、抗議ムードを植え付けるために利用されている。

Cisco の Expressway Series／TelePresence VCS の深刻な脆弱性が FIX

Cisco fixed two critical flaws in Expressway, TelePresence VCS solutions

2022/03/03 SecurityAffairs — Cisco の Unified Communications 製品である、Expressway Series および TelePresence Video Communication Server (VCS) における、深刻な脆弱性 CVE-2022-20754／CVE-2022-20755 (CVSS 9.0) 対する、セキュリティ・パッチが発表された。

医療用輸液ポンプのセキュリティ：古いデバイスの古い脆弱性が危険な状況に

Infusion Pumps Impacted by Years-Old Critical Vulnerabilities: Report

2022/03/03 SecurityWeek — Palo Alto Networks の Unit 42 の研究者たちによると、約10万台以上の医療用輸液ポンプが、３年ほど前に公開された深刻な脆弱性の影響を受けていることが判明した。医療機関や病院のネットワーク上に存在する、20万台以上の輸液ポンプをスキャンした結果、これらのネットワーク接続機器の 75％が既知の脆弱性の影響を受け、サイバー攻撃の可能性にさらされていることが判明した。

ロシア・テーマのフィッシング：巧妙な手口で Microsoft ユーザーを標的に

Russian-Themed Phishing Emails Target Microsoft Users

2022/03/02 SecurityBoulevard — ロシアによるウクライナ侵攻がニュースの見出しを独占しているが、この問題をメール・フィッシングのフックとして利用する悪意のアクターたちは、ロシアからの「普通ではないサインオン・アクティビティ」の警告を用いて Microsoft ユーザーを狙っている。このフィッシング・キャンペーンは、マルウェア対策ソフト開発会社である Malwarebytes が最初に報告したものであり、Microsoft Account Team を装う、短いメッセージを表示するものだ。

Log4j 調査：回答した組織の 61％が攻撃を受けている

Security leaders want legal action for failing to patch for Log4j

2022/03/02 HelpNetSecurity — 昨年末に発見された Java ロギング・パッケージ Log4j の脆弱性は、世界中のセキュリティ専門家の頭痛の種となっている。2022年1月に実施された Neustar International Security Council (NISC) の調査に回答した組織の 61％が、この脆弱性を標的とする攻撃を受けたことがあると回答している。さらに、回答者の 75％が Log4j の影響を受けたと答え、21％が深刻な影響を受けたと述べている。

ウクライナの WordPress 防衛：Wordfence がリアルタイムの脅威インテリジェンスを提供

Ukrainian sites saw a 10x increase in attacks when invasion started

2022/03/02 BleepingComputer — ロシアがウクライナ侵攻を開始して以来、ウクライナの WordPress サイトに対する大量の攻撃が発生し、Web サイトのダウンにより市民の士気が低下している。ウクライナの大学／政府／軍／法執行機関に属する 8,320 の WordPress サイトを保護する Wordfence は、2月25日だけで 144,000回の攻撃を記録したと報告している。

API セキュリティ調査 2021：攻撃トラフィック量は 600% 増という驚異的な伸び

Attacks abusing programming APIs grew over 600% in 2021

2022/03/02 BleepingComputer — セキュリティ・アナリストは、この１年間において API 攻撃が急増しているが、ほとんどの企業は、この問題に取り組むには適切ち言えない慣行をとっていると警告している。Salt Security は、2021年の API 攻撃トラフィックが 681% 増加し、API トラフィック全体は 321% 増加したと、具体的に報告している。一連の統計は、この業界が API ソリューションを採用するにつれて、それらに対する攻撃が不均衡に増加している現実を浮き立たせている。

Log4j の問題は続いている：日本での悪用率は世界の 10% に達している

Log4shell exploits now used mostly for DDoS botnets, cryptominers

2022/03/02 BleepingComputer — Log4j ソフトウェアの Log4Shell 脆弱性は、今日でも広く悪用されており、脅威アクターによる様々なマルウェア・ペイロード展開に利用されているが、そこには、DDoS ボットネット・デバイスへの取り込みや、クリプトマイナーの埋め込みなどもある。Barracuda のレポートによると、この数ヶ月のおいて、Log4Shell を標的とする動きは乱高下しているが、悪用の試行量は比較的一定している。これらの攻撃を分析した Barracuda は、大半の悪用の試みが米国ベースの IP アドレスから発生し、それに続いて、日本／中央ヨーロッパ／ロシアなどが悪用されている状況を確認している。

ウクライナ戦でのオンラン・バトル：最前線に押し出された SNS の役割とは？

The Online Battle In Ukraine

2022/03/02 CyberSecurityIntelligence — 多くの人々のポケットに入ったスマフォのカメラから、ロシアによるウクライナ侵攻の様子が世界に流れ出している。デジタル時代の新たな最前線であるインターネットを導入された、ヨーロッパで初めて経験する武力紛争である。オンラインでの戦いが双方でエスカレートし、米国のテクノロジー企業はロシアからのコンテンツのブロックについて混乱している。たとえば、オンライン検閲や、偽情報の拡散を考える一方で、ミサイル攻撃に直面しているウクライナのインターネットユーザーのことも考える必要がある。

Salt Security の調査：API の広大な攻撃面積を保護するためには？

Salt Security Survey Surfaces API Security Weaknesses

2022/03/02 SecurityBoulevard — 今日、Salt Security が発表した、セキュリティ／アプリケーション／DevOps 関連の、250人以上の役員および専門家を対象とした調査によると、回答者の 95% が過去 12ヶ月間に API に関わるセキュリティ・インシデントを経験し、62% が API セキュリティの懸念からアプリケーションの展開を遅らせたと報告していることが判明した。

Microsoft が新たなマルウェア FoxBlade を検出：HermeticWiper と同じ？

Microsoft Finds FoxBlade Malware Hit Ukraine Hours Before Russian Invasion

2022/03/01 TheHackerNews — 月曜日に Microsoft は、ロシアがミサイル攻撃を開始する数時間前に、ウクライナのデジタル・インフラに向けられた攻撃的で破壊的なサイバー攻撃の、新しいラウンドを検出したと表明した。Microsoft Threat Intelligence Center (MSTIC) によると、この攻撃には FoxBlade と呼ばれる新しいマルウェアが使用されており、発見から３時間以内にマルウェア対策サービス Defender に新しいシグネチャを追加し、この攻撃を検出したとのことだ。

DDoS とコンテンツ・フィルタリング・デバイス：反射パターンの調整で 6,533% の増幅率

Content filtering devices abused for 65x DDoS amplification

2022/03/01 BleepingComputer — DDoS の新たな攻撃パターンには、パケット検査やコンテンツ・フィルタリングなどのデバイスを標的とし、増幅率 6,533% を達成するという驚くべき傾向があることが、研究者たちにより確認された。このような増幅レベルを前提とすると、脅威アクターたちは限られた帯域幅や設備を用いても、壊滅的な攻撃を仕掛けることが可能となる。

ウクライナの研究者が反撃：Conti ランサムウェアのソースコードが大規模に流出

Conti Ransomware source code leaked by Ukrainian researcher

2022/03/01 BleepingComputer — ウクライナの研究者たちが、ランサムウェア Conti オペレーターの内部の会話や、ランサムウェアのソース、管理パネルなどを流出さ、壊滅的な打撃を与え続けている。Conti がロシアによる侵略を支持し、ウクライナのアフィリエイトを混乱させた後に、ある研究者が動き出したことで、Conti にとって極めて不利な展開の１週間となった。

CISA が悪用脆弱性リストを更新：Zimbra の XSS など４件が追加

CISA adds recently disclosed Zimbra bug to its Exploited Vulnerabilities Catalog

2022/02/28 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日に公開された電子メール・プラットフォーム Zimbra のゼロデイ脆弱性などを含むかたちで、Known Exploited Vulnerabilities Catalog を拡張し、野放し状態で活発に悪用されている証拠を挙げた。

ウクライナ当局の発表：IT Army によりロシア主要 Web サイトがダウン

Ukraine says its ‘IT Army’ has taken down key Russian sites

2022/02/28 BleepingComputer — ウクライナのサイバー警察は、ロシアの主要 Web サイトや国営オンライン・ポータルなどがオフラインになり、現在も公然としたサイバー戦争が行われていると主張している。同警察サイトでの発表によると、セキュリティ専門家がボランティアと協力して、ロシアとベラルーシの Web リソースを攻撃したとのことだ。この３カ国は、大規模な武力紛争に巻き込まれているが、それ以前からサイバー戦争の存在は顕在化していた。

Toyota の国内工場 14ヶ所と 28生産ラインが停止：サイバー攻撃が生じた？

Toyota to Close Japan Plants After Suspected Cyberattack

2022/02/28 Threatpost — 火曜日には、一連の工場が閉鎖され、同社の世界生産の約3分の1が停止する。Toyota は、どれくらいの期間において、14ヶ所の工場が生産停止になるのか分からずにいる。なんらかのサイバー攻撃と思われるものが、Toyota の部品サプライヤーの１社を襲い、同社は世界生産の約3分の1を停止するよう対処した。月曜日に、Toyota は、そう発表した。

CISA 警告：Zabbix サーバーの深刻な脆弱性を悪用リストに追加

CISA warns of actively exploited vulnerabilities in Zabbix servers

2022/02/25 BleepingComputer — 米国の Cybersecurity Infrastructure and Security Agency (CISA) からの通知は、ネットワーク／サーバー／仮想マシン／クラウドサービスを監視するオープンソース・ツール Zabbix の脆弱性を、脅威アクターが悪用していると警告している。CISA は、悪意の脅威アクターによる深刻なリスクを回避するために、Zabbix サーバーに存在する脆弱性 CVE-2022-23131／CVE-2022-23134 対して、パッチを当てるよう連邦機関に要請している。また、ウクライナの CERT からも同様の警告が出ており、脆弱性のうちの１つは深刻度スコアが 9.1 だと指摘されている。

API の利便性と危険性に関する調査：どんな影響がブランドと消費者に？

The impact of API security on how consumers view brands

2022/02/25 HelpNetSecurity — ThreatX が発表した調査結果は、API 攻撃が消費者エクスペリエンスに与えるリスクを浮き立たせるものとなった。モバイル環境を含む、ほぼ全てのアプリケーションは、API を使用するか、API により使用される。攻撃者による、API への注目度は上がり、データが盗まれ、金銭的リターンに結びつき、ブランドと顧客に被害をもたらされる。

Anonymous がロシア政府に宣戦布告：さまざまな形態による参戦を呼びかけ

Anonymous launched its offensive on Russia in response to the invasion of Ukraine

2022/02/25 SecurityAffairs — Anonymous は、ウクライナへ不法に侵攻したロシアに対して、行動を起こすよう呼びかけている。また、有名なハクビスト集団である Anonymous は、プーチン大統領に反対の意思を示すために、ロシア市民を招き入れ、仲間に加わるよう呼びかけている。

ウクライナ軍部を狙うフィッシング・キャンペーン：ベラルーシ当局によるものと判明

Ukraine links phishing targeting military to Belarusian hackers

20222/02/25 BleepingComputer — 今日、ウクライナの Computer Emergency Response Team of Ukraine (CERT-UA) は、ウクライナ軍関係者の個人用電子メールアカウントを標的とした、スピアフィッシング・キャンペーンについて警告を発した。これらの攻撃で漏洩したアカウントは、その後も、被害者のアドレス帳の連絡先へ向けて、さらなるフィッシング・メッセージを送信するために使用される。

Conti ランサムウェア：ロシア政府のウクライナ侵攻を全面的に支持すると表明

Conti ransomware group announces support of Russia, threatens retaliatory attacks

2022/02/25 CyberScoop — ロシア情報機関とのつながりを疑われ、医療機関などの多数の標的を攻撃することで知られる、悪名高いランサムウェア Conti は、金曜日に「ロシア政府を全面的に支持することを公式に発表する」という警告を掲載した。

GE SCADA 製品の脆弱性が FIX：特権昇格とリモートコード実行の可能性

GE SCADA Product Vulnerabilities Show Importance of Secure Configurations

2022/02/25 SecurityWeek — 今週に、産業用サイバー・セキュリティ企業である OTORIO が、ある欠陥を発見し、その問題を説明する簡単なブログ記事を公開した。そして GE と CISA は、それぞれの脆弱性に対して、個別のアドバイザリーを発表している。脆弱性 CVE-2022-23921 は、特権昇格とリモートコード実行のために悪用される可能性がある。

自動車関連サイバー・セキュリティ産業の成長：2030年には $32.41 B に到達する

Automotive cybersecurity industry to reach $32.41 billion by 2030

2022/02/24 HelpNetSecurity — Allied Market Research によると、世界の自動車関連サイバー・セキュリティ産業は、2020年には $7.23 に、2030年には $32.41 に達し、2021年から2030年までの CAGR は 16.6％で成長すると予測されている。

Cisco の Nexus Series Switches に影響をおよぼす Network OS の脆弱性が FIX

New Flaws Discovered in Cisco’s Network Operating System for Switches

2022/02/24 TheHackerNews — Cisco は、同社のソフトウェアにおける４つのセキュリティ脆弱性に対処するために、ソフトウェア・アップデートをリリースした。これらの脆弱性は、影響を受けるシステムを制御しようとする悪意のある攻撃者により、武器化される可能性がある。Cisco NX-OS Software の NX-API 機能におけるコマンド・インジェクションの脆弱性 CVE-2022-20650 (CVSS 8.8) は、ユーザー入力に対する不十分な検証に起因するものであり、最も深刻な欠陥である。

ロシアによるウクライナ侵攻：グローバル・サイバー戦争とインターネットの自由

Russia, Ukraine and the Danger of a Global Cyberwar

2022/02/24 SecurityWeek — 2022年2月22日の朝、ウクライナ東部の２つの分離主義地域に、ロシアが軍隊を移動させたというニュースで、世界は目を覚ました。本稿執筆時点では、ロシアはウクライナへの完全侵攻を行っていなかったが、2月24日に攻撃が始まり、プーチン大統領による「特別軍事作戦」と称して、空爆や大砲で都市を攻撃している。この作戦の直前に、SecurityWeek は Marcus Willett に話を聞き、攻撃的な地政学におけるサイバーの役割について洞察を得た。Willett は、International Institute for Strategic Studies の Senior Advisor for Cyber として、国力を左右するサイバー関連技術の利用について研究している。それ以前は、英国 GCHQ に 33年間にわたり勤務し、同庁の初代 Director of Cyber などを歴任した。

米国の防衛関連企業を狙う SockDetour バックドア：中国の APT27 と一致する戦術

Defense contractors hit by stealthy SockDetour Windows backdoor

2022/02/24 BleepingComputer — 米国の防衛関連企業のシステムで見つかった、SockDetour と名付けられた新しいカスタム・マルウェアは、侵害したネットワークへのアクセスを維持するための、バックアップ・バックドアとして使用されている。この悪意のペイロードは Unit 42 のセキュリティ研究者により発見され、2019年7月頃からワイルドに使用されていることから、その運営者は長い間バックドアを潜伏させていたと考えられる。

ASUSTOR NAS の警告：Deadbolt ランサムウェアによる攻撃が発生している

Warning — Deadbolt Ransomware Targeting ASUSTOR NAS Devices

2022/02/24 TheHackerNews — QNAP NAS アプライアンスが攻撃を受けてから１カ月足らずで、ASUSTOR の NAS が Deadbolt ランサムウェアの最新の犠牲者となった。この感染に対して ASUSTOR は、関連するセキュリティ問題を修正するためのファームウェア・アップデート (ADM 4.0.4.RQO2) をリリースしている。また、同社は、データを安全に保つために、以下の行動を取るようユーザーに呼びかけている。

ウクライナをサイバー侵害するロシア：ランサムウェアを囮にしたワイパー攻撃

Ransomware used as decoy in data-wiping attacks on Ukraine

2022/02/24 BleepingComputer — ロシアがウクライナに侵攻する直前の水曜日に、ウクライナのネットワークに対する破壊的な攻撃で使用された新しいデータワイパー・マルウェアは、GoLang ベースのランサムウェアのデコイを伴うケースもあった。今日、Symantec は、「これまでに調査した、いくつかの攻撃では、ワイパー・マルウェアと同時にランサムウェアも、標的となる組織に対して展開されていた。ワイパーと同様に、ランサムウェアを展開するための、スケジュールされたタスクが使用されていた」と明らかにした。

製造業に特化したランサムウェア：Kostovite／Petrovite／Erythrite とは？

Ransomware Trained on Manufacturing Firms Led Cyberattacks in Industrial Sector

2022/02/23 DarkReading — ウクライナ危機の深刻化と米国の対ロシア制裁を背景として、ロシアの国家支援ハッキング・チームによる破壊的な攻撃の可能性を懸念し、製造業のネットワーク事業者とセキュリティ・チームが厳戒態勢を敷いている。しかし、その現実の大半は、これまでの１年間のランサムウェア攻撃の急増という痛ましいものである。

離職と抹消に関する調査：83% の人々が元雇用先のアカウントにアクセスしている

83% of employees continue accessing old employer’s accounts

2022/02/23 HelpNetSecurity — 最近に実施された Beyond Identity の調査において、米国／英国／アイルランドの元従業員から集めたデータは、以前の雇用主から提供されたアカウントへの継続的なアクセスを、83% の社員が認めていることが判明した。

バックドア Bvp47 が解明された：NSA／Equation Group との関連性を疑う中国

Chinese Researchers Detail Linux Backdoor of NSA-Linked Equation Group

2022/02/23 SecurityWeek — 米国のサイバー・セキュリティ企業が、中国政府に関連する脅威者のツールや活動を詳述する、レポートを発表することは珍しくないが、今回は中国の研究者グループが、米国政府に関連するマルウェアを詳述したレポートを発表した。Pangu Lab は、iPhone のジェイルブレイクで有名な、Pangu Team の研究プロジェクトのことである。彼らは、昨年の中国の主要ハッキング・コンテストで、iOS 悪用の解明により、$ 300,000 を獲得した。

製造業のインフラを攻撃するランサムウェア：圧倒的に活発な LockBit と Conti

LockBit, Conti most active ransomware targeting industrial sector

2022/02/23 BleepingComputer — 昨年のランサムウェア攻撃は、製造業の分野においても、この種のインシデントが脅威の No-1 になるほどまでに拡大した。LockBit と Conti という２つのランサムウェア・グループが、Industrial Control System (ICS)／Operational Technology (OT) 環境を持つ組織を、2021年に最も活発に侵害した。

ウクライナで発見されたデータ消去マルウェア：ロシアによる侵攻と連携か？

New Wiper Malware Targeting Ukraine Amid Russia’s Military Operation

2022/02/23 TheHackerNews — サイバー・セキュリティ企業である ESET と、Broadcom 傘下の Symantec は、ロシア軍によるウクライナ侵攻が開始したことを受け、ウクライナの数百台のマシンに対する新たな攻撃に使われた、新しいデータ・ワイパー・マルウェアの発見を発表した。スロバキアの ESET は、このワイパーを HermeticWiper (別名：KillDisk.NCV) と名付けた。そして、このマルウェアのサンプルの１つが、2021年12月28日にコンパイルさえれていることから、攻撃のための準備が 2カ月前から進められていた可能性を示唆している。

中国人ハッカーが台湾に対してサプライチェーン攻撃：主な標的は金融機関

Chinese Hackers Target Taiwan’s Financial Trading Sector with Supply Chain Attack

2022/02/22 TheHackerNews — 中国政府に協力することを目的とする APT (Advanced Persistent Threat) グループが、台湾の金融部門に対する組織的なサプライチェーン攻撃に関連していることが判明した。この攻撃は、2021年11月末に最初に開始されたと言われており、その侵入は APT10 として追跡される、脅威アクターによるものだとされている。この APT 10 は、Stone Panda／MenuPass／Bronze Riverside とも呼ばれ、遅くとも 2009年から活動している。

25 種類の悪意の JavaScript ライブラリ：NPM 公式パッケージ・レジストリ

25 Malicious JavaScript Libraries Distributed via Official NPM Package Repository

2022/02/22 TheHackerNews — 悪意を持った 25種類の JavaScript ライブラリが、公式の NPM パッケージ・レジストリに新たに登録され。感染したシステムから Discord トークンや環境変数を盗みだそうとしている。DevOps セキュリティ企業である JFrog は、「問題のライブラリは typosquatting 技術を活用し、colors.js／crypto-js／discord.js／marked／noblox.js といった正規パッケージを装っているが、これらのパッケージは “ビギナー・マルウェア作者の作品” だ」と指摘している。

物流／貨物の Expeditors がグローバル業務を停止：ランサムウェア被害か？

Expeditors shuts down global operations after likely ransomware attack

2022/02/21 BleepingComputer — この週末に、シアトルを拠点とする物流／貨物輸送会社である Expeditors International はサイバー攻撃を受け、グローバル業務の大半を停止せざるを得ない状況に陥った。年間総売上が約 $10 billion の Expeditors は、350のグローバル拠点と 18,000人以上の従業員を擁し、重要な物流ソリューションを提供している。そのサービス内容は、サプライチェーン／倉庫／配送／輸送／通関／コンプライアンスなど多岐にわたる。

CISA が編纂するリスト：サイバー・セキュリティのための無償ツール／サービス

CISA compiles list of free cybersecurity tools and services

2022/02/19 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、サイバー攻撃からの防御を強化し、組織のセキュリティ能力を高めるための、無料のサイバー・セキュリティ・サービス／ツールのリストを公開した。このリストは、包括的なものではなく、また、変化にも対応できるものだが、サイバー・セキュリティ・プログラムのための、基本的なセキュリティ対策と組み合わせることで、企業のサイバー・セキュリティ・リスク管理を成熟させることを目的としている。

Hive ランサムウェアの暗号化アルゴリズムに欠陥：韓国の研究者たちが 95％以上を復元

Master Key for Hive Ransomware Retrieved Using a Flaw in its Encryption Algorithm

2022/02/19 TheHackerNews — ランサムウェア Hive に感染したデータを、コンテンツへのアクセスをロックしている秘密鍵に頼らずに復号することに、初めて成功した研究者たちが、詳細を発表した。韓国の Kookmin University の研究者グループは、暗号化プロセスを分析した新しい論文の中で、「分析により特定された暗号学上の脆弱性を利用することで、攻撃者の秘密鍵を使わずにファイル暗号化キーを生成する、マスターキーを復元できた」と述べている。