Google – Page 7 – IoT OT Security News

Google の Passkey：すべてのアカウントで安全なパスワードレス・サインインを実現

Google adds passkeys support for passwordless sign-in on all accounts

2023/05/03 BleepingComputer — Google は、すべてのサービスとプラットフォームにおいて、Passkey for Google Accounts のサポートを展開している。それにより、ユーザーはログイン時に、パスワードの入力や、2-Step Verification (2SV) に頼ること無く、Google アカウントにサインインできるようになる。Google の Product Managers である Christiaan Brand と Sriram Karra は、「私たちは、すべての主要なプラットフォームで、Google アカウント全体に対する Passkey のサポートを開始した。これにより、ユーザーは Google サービス全体で Passkey を活用し、パスワード不要のサインイン・エクスペリエンスを実現できるようになった」と述べている。

Apple と Google が連携：AirTags 悪用などによる不正追跡を排除するスタンダードとは？

Apple and Google Join Forces to Stop Unauthorized Tracking Alert System

2023/05/03 TheHackerNews — Apple と Google が連携して取り組み始めたのは、たとえば AirTags のようなデバイスが悪用され、ユーザーの知らないうちに追跡されている場合に警告し、安全上のリスクを取り除くための仕様のドラフトである。両社は共同声明で、「この業界初の仕様により、Bluetooth 位置追跡デバイスは、Android／iOS プラットフォームにおいて、不正な追跡の検出と警告の対象になる」と述べている。

ChatGPT の偽デスクトップ・アプリ：Chrome のログイン・データを盗み出すマルウェアだ – Trend Micro

Fake ChatGPT desktop client steals Chrome login data

2023/05/02 HelpNetSecurity — ChatGPT Windows デスクトップ・クライアントを模倣したマルウェアにより、Google Chrome のログインデータ・フォルダに保存された認証情報をコピーしていく情報窃盗犯について、研究者たちが警告を発している。ChatGPT は公式のデスクトップ・クライアントをリリースしていないが、この偽バージョンは、ユーザーが期待するものを作り込んでいるという。

Google Play の 2022年の戦い：ブロックした悪質なアプリは 140万件！

Google Blocked 1.4 Million Bad Apps From Google Play in 2022

2023/04/28 SecurityWeek — Google Play におけるセキュリティ機能の強化により、悪質なアプリケーションの公開が、2022年には 140万件以上もブロックされたとのことだ。強化されたポリシーに加えて、機械学習とアプリ審査プロセスの改善を組み合わせたことで、Google Play のポリシーに違反する悪質なアプリを、自動的にブロックすることができたと、同社は述べている。さらに、Android の保護とポリシーの強化に加えて、開発者への教育が進んだことで、これまでの３年間で 50万件以上のアプリにおいて、不必要な機密権限へのアクセスが遮断されたと Google は付け加えている。

CryptBot 配布者を Google が訴訟：サイバー犯罪エコシステムに責任を求める

Google Gets Court Order to Take Down CryptBot That Infected Over 670,000 Computers

2023/04/27 TheHackerNews — 4月26日 (水) に Google は、CryptBot と呼ばれる Windows ベースの情報窃取型マルウェアの配信を阻止し、その増殖を減速させるために、米国の裁判所から仮の命令を取得したことを発表した。この取り組みは、マルウェアの犯罪オペレーターだけでなく、その配布により利益を得る者に対して責任を追求する措置でもあると、Google の Mike Trinh と Pierre-Marc Bureau は述べている。

Google Authenticator の新機能：TOTP コードのクラウド・バックアップが可能に

Google Authenticator App Gets Cloud Backup Feature for TOTP Codes

2023/04/25 TheHackerNews — 4月24日 (月) に Google は、12年の歴史を持つ Android／iOS 用の Authenticator アプリに関する、アカウント同期オプションのメジャー・アップデートを発表し、ワンタイム・パスワード (TOTPs：Time-based One-Time Passwords) コードを、ユーザーがクラウドにバックアップできるようにした。

VirusTotal の新機能 Code Insight：AI を活用してマルウェアを解析する

VirusTotal now has an AI-powered malware analysis feature

2023/04/24 BleepingComputer — 4月24日 (月) に VirusTotal は、Code Insight と命名された AI ベースの新しいコード解析機能の提供について発表した。この新機能は、RSA Conference 2023 で紹介された Google Cloud Security AI Workbench を搭載しており、特にセキュリティのユースケース向けに細かく調整された Sec-PaLM LLM (Large Language Model) を使用している。VirusTotal Code Insight は、潜在的に有害なファイルを解析して、その悪意の挙動を説明し、実際の脅威をもたらすものを特定する能力を向上させるという。

Google Cloud Platform の脆弱性 GhostToken：悪意のアプリをスティルス化

GhostToken Flaw Could Let Attackers Hide Malicious Apps in Google Cloud Platform

2023/04/21 TheHackerNews — サイバー・セキュリティ研究者が、Google Cloud Platform (GCP) のゼロデイ欠陥 (パッチ適用済み) の詳細を明らかにした。この欠陥は、企業向けの Workspace アカウントを含む、すべての Google アカウントに影響を及ぼすものであり、イスラエルのサイバー・セキュリティ企業 Astrix Security により GhostToken と名付けられた。同社により、2022年6月19日に発見され、すでに Google に報告されている。そして、９ヶ月が経過した 2023年4月7日に、Google はグローバル・パッチを展開した。

ロシアからのフィッシング攻撃：約６割がウクライナに集中 – Google TAG 調査

Google: Ukraine targeted by 60% of Russian phishing attacks in 2023

2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視／妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。

Google Chrome 112 がリリース：今年２つ目のゼロデイ CVE-2023-2136 などに対応

Google Patches Second Chrome Zero-Day Vulnerability of 2023

2023/04/19 SecurityWeek — 4月18日 (火) に Google は、Chrome で発見されたゼロデイ脆弱性 CVE-2023-2136 に対するパッチを公開した。このセキュリティ脆弱性は、Skia に存在する整数オーバーフローの欠陥であり、深刻度 High と評価されている。このバグの報告者は Google Threat Analysis Group の研究者 Clement Lecigne で、Google のポリシーに基づき、金銭的な報酬は発行されていない。Google はアドバイザリで、「CVE-2023-2136 のエクスプロイトが野放し状態で存在することを認識している」と述べている。

Goldoson という新しい Android マルウェア：Google Play 上のアプリ 60件に侵入

Android malware infiltrates 60 Google Play apps with 100M installs

2023/04/15 BleepingComputer — Goldoson と命名された新しい Android マルウェアが、合計で１億本もダウンロードされている、60 件の正規アプリを介して Google Play に侵入した。これらのアプリの開発者たちは、サードパーティ・ライブラリの一部として、この悪意のマルウェア・コンポーネントを無意識のうちにアプリに組み込んでいたという。

Google Chrome ゼロデイ脆弱性 CVE-2023-2033 が FIX：野放し状態での悪用を観測

Google Chrome emergency update fixes first zero-day of 2023

2023/04/14 BleepingComputer — Google が緊急リリースした、Chrome のセキュリティ・アップデートは、2023年に入ってから初めて攻撃で悪用された、ゼロデイ脆弱性に対処するためのものだ。4月14日に同社が公開したセキュリティ・アドバイザリには、「Google は、脆弱性 CVE-2023-2033 が、野放し状態で悪用されていることを認識している」と記されている。この問題に対応した、Chrome の新バージョンは、Stable Desktop チャネルのユーザーに対して展開されており、今後の数日から数週間かけて、すべてのユーザーに行き渡る予定だという。

Google が発表した Assured OSS サービス：Java／Python エコシステムからサポートを開始

Google delivers secure open source software packages

2023/04/13 HelpNetSecurity — Google が発表したのは、セキュアなオープンソース・パッケージの信頼できるソースを目指す Google Cloud Assured Open Source Software (Assured OSS) サービスと、5000 万以上のオープンソース・パッケージ・バージョンのセキュリティ・メタデータへのアクセスを提供する deps.dev API である。この Assured OSS により、Google が使用するセキュリティ保護されている OSS パッケージと同じものを、開発者のワークフローに組み込む機会を、Google はユーザー組織に提供する。

3CX VoIP サプライチェーン攻撃：北朝鮮 Lazarus が脆弱性 CVE-2023-29059 を悪用

North Korean Hackers Uncovered as Mastermind in 3CX Supply Chain Attack

2023/04/12 TheHackerNews — 企業向け通信サービス・プロバイダーである 3CX は、同社の Windows／macOS 向けデスクトップアプリを標的としたサプライチェーン攻撃が、北朝鮮に関連のある脅威アクターによるものだと発表した。この調査結果は、先月末に侵入が明るみに出た後に、Google 傘下の Mandiant が実施した中間評価の結果によるものだ。脅威情報およびインシデント対応チームは、UNC4736 という未分類の呼称で、この活動を追跡しているという。

Google Chrome の偽アップデートに御用心：日韓言語圏から世界へと広がる攻撃範囲

Hacked sites caught spreading malware via fake Chrome updates

2023/04/11 BleepingComputer — いくつかの Web サイトを侵害したハッカーたちが、偽の Google Chrome 自動更新エラーを表示するスクリプトを注入し、それに気づかない訪問者にマルウェアを配布している。このキャンペーンは、2022年11月から行われている。NTT の Security Analyst である Rintaro Koike によると、2023年2月以降に活動を加速させ、日本語／韓国語／スペイン語を話すユーザーを対象にターゲット範囲を拡大している。このマルウェア配布キャンペーンにより、アダルトサイト／ブログ／ニュースサイト／オンラインストアなどの、多数のサイトがハッキングされたことを、BleepingComputer は確認している。

CISA KEV 警告 23/04/10：iPhone／Mac のバグを悪用する商用スパイウェア

CISA orders govt agencies to update iPhones, Macs by May 1st

2023/04/10 BleepingComputer — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、iPhone／Mac／iPad の存在し野放し常態で悪用されている、２つの脆弱性にパッチ適用するよう連邦政府機関に命じた。2022年11月に発行された拘束力のある運用指令 (BOD 22-01) によると、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された全てのセキュリティバグに対して、連邦民間行政機関 (FCEB) はパッチを適用することが求められている。

Apple の深刻なゼロデイ脆弱性が FIX：iOS／iPadOS／macOS で活発に悪用されている

Apple Releases Updates to Address Zero-Day Flaws in iOS, iPadOS, macOS, and Safari

2023/04/08 TheHackerNews — 2023年4月7日 (金) に Apple は、iOS／iPadOS／macOS および、Web ブラウザ Safari のセキュリティ・アップデートをリリースし、野放し常態で悪用されている２つのゼロデイ脆弱性に対処した。Apple は、１つ目の脆弱性 CVE-2023-28205 はメモリ管理の欠陥であり、２つ目の脆弱性 CVE-2023-28206 は入力検証の欠陥である。同社は、それぞれの脆弱性に対処した上で、活発に悪用された可能性があると認めている。

Android アプリに新たなデータ削除規定：Google からの開発者への要求とは？

Google Mandates Data Deletion Policy For Android Apps

2023/04/06 InfoSecurity — Android アプリアによるカウント作成について、Google が新しいポリシーの導入を発表した。この新たなルールにより、それらのアプリは、アカウントの削除と、関連するデータの削除を、オプションとしてユーザーに提供することが義務付けられる。

Rilide マルウェアは Chromium を狙う：偽物の Google Drive エクステンションに要注意

New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency

2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視／スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。

ChatGPT／GPT-4 を止めろ：Musk／Wozniak などの著名人グループが申し立て

Musk, Scientists Call for Halt to AI Race Sparked by ChatGPT

2023/03/29 SecurityWeek — いつかは人間を凌駕するかもしれない、パワフルなな人工知能技術の展開において、テック企業の動きは速すぎるのだろうか。著名なコンピューター科学者や、Elon Musk、Apple の創業者 Steve Wozniak といったテック業界の著名人たちのグループは、リスクを考慮するために、６ヶ月間の一時停止を要求している。この申立は、サンフランシスコのスタートアップ OpenAI が、先日に発表した GPT-4 に対するものだ。広く使われている AI チャットボット ChatGPT を、さらに進化させた GPT-4 は、ビッグテックである Microsoft と Google のアプリケーション開発競争に火をつけるきっかけにもなっている。

Google TAG 警告：複数の Zero-Day／N-Day エクスプロイトを用いるキャンペーンについて

Google TAG shares details about exploit chains used to install commercial spyware

2023/03/29 SecurityAffairs — Android／iOS／Chrome に対して複数のゼロデイ・エクスプロイトを悪用する、２つのキャンペーンの詳細を、Google Threat Analysis Group (TAG) が公開した。専門家たちは、どちらのキャンペーンも、限定的で高度な標的型であったと述べている。攻撃の背後にいる脅威アクターは、エクスプロイトに Zero-Day と N-Day の両方を使用していたという。これらのエクスプロイト・チェーンは、ターゲットのデバイスに商用スパイウェアや悪意のアプリをインストールするために使用されていたようだ。

Microsoft／Google／Apple を悩ませたゼロデイ脆弱性： 2022年の統計結果を見てみよう

2022 witnessed a drop in exploited zero-days

2023/03/21 HelpNetSecurity — 2022年に悪用されたゼロデイ脆弱性は 55件であり、2021年の 81件から減少しており、最も狙われたのは Microsoft／Google／Apple の製品だった。この 55件のうち 53件が、脆弱なデバイス上での攻撃者による特権昇格やリモートコード実行につながるものだと、Mandiant の最新レポートは明らかにしている。

Google One の新機能：VPN アクセス／Dark Web レポートでセキュリティを強化

Google One expands security features to all plans with dark web report, VPN access

2023/03/08 HelpNetSecurity — Google One に、２つの画期的な機能の追加が発表された。まず、VPN by Google One が全てのプランで利用可能になり、オンライン中のセキュリティが強化される。さらに、米国における Dark Web レポートの導入により、より適切な個人情報の監視が可能になるという。

SYS01stealer という情報スティーラーを発見：Facebook ビジネス・アカウントなどが標的

SYS01stealer: New Threat Using Facebook Ads to Target Critical Infrastructure Firms

2023/03/07 TheHackerNews — サイバー・セキュリティ研究者たちが発見したのは、政府／インフラ／製造業などを標的とする、SYS01stealer という名の新しい情報スティーラーである。 Morphisec は、「このキャンペーンのターゲットは、Facebook のビジネス・アカウントだ。この脅威アクターは、ゲーム／アダルトコンテンツ／クラックソフトウェアなどを宣伝する、Google 広告や Facebook の偽プロファイルを使用して、悪意のファイルをダウンロードするように、被害者たちを誘導する。この攻撃は、ログインデータ／クッキーだけではなく、Facebook ビジネスアカウント情報などの、機密情報を盗むために設計されている」と、The Hacker News と共有したレポートで詳述している。

Google Cloud Platform の深刻な問題：データ流出攻撃に対して死角が生じている

Experts Reveal Google Cloud Platform’s Blind Spot for Data Exfiltration Attacks

2023/03/06 TheHackerNews — Google Cloud Platform (GCP) のフォレンジック可視性が不十分であることを利用して、脅威アクターたちによる機密データの流出が可能なことが、最新の研究で明らかになった。クラウド・インシデント対応企業である Mitiga のレポートには、「残念ながら、GCP は、フォレンジック調査に必要なストレージ・ログの可視性を備えていない。そのため、潜在的なデータ流出攻撃を、組織は見過ごす可能性がある」と述べている。

Brave Search が Summarizer を搭載：検索結果を AI で処理／表示するサービスを開始

Brave Search launches AI-powered summarizer in search results

2023/03/03 BleepingComputer — ユーザーが入力した質問に対して、要約された回答を検索結果よりも優先して提供する、新しい AI 搭載のツール Summarizer が、Brave Search に導入された。Brave Search は、ユーザーを追跡することなく匿名で Web 検索ができる、急成長中のプライバシー重視のインターネット検索エンジンである。いま、検索機能に AI 革命が起こっている。すでに Microsoft は、ChatGPT のアップグレード版を Bing 検索エンジンに組み込み、近い将来には Google も、Bard という独自の AI モデルで同様の機能を実装する予定だという。

Google Cloud Platform のフォレンジック・ログに欠陥：どのような処方箋があるのか？

Google Cloud Platform allows data exfiltration without a (forensic) trace

2023/03/01 HelpNetSecurity — Google Cloud Platform (GCP) のストレージ・バケットに保存された企業データを、GCP のストレージ・アクセスログに悪意の活動のフォレンジック・トレースを残すことなく流出させられることが、Mitiga の研究者たちにより明らかにされた。ここで提起された重要な問題は、GCP の基本的なストレージログ (デフォルトでは無効化) が、異なるタイプのアクセスに対して同じディスクリプション／イベント (objects.get) を使用しているという点である。具体的に言うと、ファイルの読み取り／ファイルのダウンロード／外部バケットへのファイルのコピー／サーバへのファイルのコピー、ファイルおよびオブジェクトのメタデータの読み取りといったタイプが挙げられる。

SaaS-to-SaaS 接続のリスク：人々の認識よりも遥かに根深い問題とは？

Shocking Findings from the 2023 Third-Party App Access Report

2023/02/27 The Hacker News — SaaS である M365 と Google Workspace を使用する 10,000人のユーザーを抱える組織では、平均で 4,371 以上の接続アプリが追加されている。世界中の組織で、サードパーティ製 SaaS-to-SaaS アプリのインストールが止まらなくなってきた。効率や生産性を高めるために、従業員たちが追加のアプリを必要とするとき、ほとんど考えることなくインストールするのが一般的になっている。大半の従業員は、コンテンツの読取／更新／作成／削除などのスコープを必要とする、この SaaS-to-SaaS 接続により、組織の攻撃対象領域が大幅に拡大することに気づいていない。

WhiskerSpy という北朝鮮のマルウェア：ウォータリング・ホール攻撃で中国と日本を狙う

New WhiskerSpy malware delivered via trojanized codec installer

2023/02/18 BleepingComputer — セキュリティ研究者たちが発見したのは、北朝鮮に関心を示す個人を標的とする、最近の脅威アクター Earth Kitsune のキャンペーンで使用されている、新しいバックドア WhiskerSpy だ。この脅威アクターは、試行錯誤の末に、北朝鮮の親サイトのビジターからターゲットを選び出すという、ウォータリング・ホール攻撃として知られる手口を採用していた。この新しいオペレーションの存在は、2019年から Earth Kitsune の活動を追跡してきた、サイバーセキュリティ企業の Trend Micro の研究者たちにより、昨年末に発見された。

ウクライナ侵攻におけるロシアのサイバー戦略：この１年の活動を時系列で整理する

Google Report Reveals Russia’s Elaborate Cyber Strategy in Ukraine

2023/02/17 InfoSecurity — ロシアが支援するサイバー攻撃は、2020年と 2022年の比較において、ウクライナを標的としたものは 250％の、NATO 諸国を標的としたものは 300％の増加となった。このデータを提供しているのは、2月16日に公開された Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape という、Google Trust & Safety と Mandiant (現在は Google Cloud の一部) の共同レポートであり、Google Threat Analysis Group (TAG) による調査の結果の１つである。同レポートで Google が明らかにしているのは、サイバー・スペースで決定的な戦時的優位を得ようとする、ロシアの積極的かつ多面的な戦略が、2019年にまでさかのぼる可能性である。

AdSense 上の大規模な不正キャンペーン：WordPress １万サイト以上が感染

Massive AdSense Fraud Campaign Uncovered – 10,000+ WordPress Sites Infected

2023/02/14 TheHackerNews — Black Hat のリダイレクト・マルウェア・キャンペーンを操る脅威アクターは、URL 短縮ツールを模倣した 70以上の偽ドメインの規模を拡大し、10,800以上の Web サイトにマルウェアを感染させた。Sucuri の研究者である Ben Martin は、先週に発表したレポートの中で、「このキャンペーンは、Google 広告などの AdSense ID を含むページへの、トラフィックを人為的に増やすことを主目的とした、収益獲得のための広告詐欺だ」と述べている。このキャンペーンの詳細が、GoDaddy 傘下の Sucuri により初めて公開されたのは、2022年11月のことだ。

サイバー・セキュリティの意思決定：約８割の企業は攻撃者を把握していないが？

Majority of Firms Make Cybersecurity Decisions Without Attacker Insight

2023/02/13 infoSecurity — ５社中の４社 (79％) の企業が、サイバー・セキュリティに関する意思決定の大半を、自社のインフラを狙う脅威アクターを把握することなく下していることが判明した。このレポートは、Google 傘下の脅威分析会社 Mandiant によるものだ。同社は、「サイバー・セキュリティ意思決定者の 67％が、依然として上級管理職チームはサイバー脅威を過小評価していると回答している。その一方で、意思決定者の 68％は、脅威の状況に対する理解を深める必要があることに同意している」と述べている。

Cloudflare が HTTP DDoS 攻撃を阻止：過去最大級の 71M RPS という規模だった

Cloudflare blocks record-breaking 71 million RPS DDoS attack

2023/02/13 BleepingComputer — 今週末に発生した過去最大規模の DDoS 攻撃を、Cloudflare が阻止した。同社は、顧客を狙った超大規模な DDoS 攻撃を、数十回にわたって検知／緩和したという。Cloudflare の Omer Yoachimik／Julien Desgats／Alex Forster は、「大半の攻撃のピークは、毎秒 50M〜70M RPS (requests per second) で、最大のものは 71M RPS を超えた。これは、2022年6月に報告された 46M RPS という前回の記録を 35%以上も上回る、過去最大の HTTP DDoS 攻撃だった」と語っている。

ChatGPT がフィッシングをプッシュ：2022年下半期の 61％増がさらに加速する？

Phishing Surges Ahead, as ChatGPT & AI Loom

2023/02/10 DarkReading — 2022年後半にキャンペーン量が大幅に増加するなど、フィッシングが勢いを増している。今週に発表された分析では、フィッシング・メールの総量は下半期に 61％も増加していたという。また、ChatGPT などの新しいツールの台頭により、この分野の勢いも加速する可能性がある。メール・セキュリティ企業である Vade が 2月9日に発表した Q4 2022 Phishing and Malware Report によると、フィッシング攻撃の量は 2022 Q3〜Q4 で 36％増加しており、研究者たちは 2022年10月〜12月の３月間で、2億7830万件のユニークなフィッシング・メールを調査したとのことだ。

Google 広告の悪用：AWS 検索で２番目に表示されるフィッシング・サイトとは？

Malicious Google ads sneak AWS phishing sites into search results

2023/02/09 BleepingComputer — Amazon Web Services (AWS) を狙う新たなフィッシング・キャンペーンでは、Google 検索の広告を悪用するフィッシング・サイトへの誘導が行われ、ログイン情報が盗み出されようとしている。 2023年1月30日に Sentinel Labs のアナリストにより、このキャンペーンが観測された。この悪質な広告の検索結果の順位だが、”aws” で検索した際に、Amazon に次いで２位にランクインしていた。

Google Chrome 110 がリリース：3件の High を含む 15件の脆弱性を FIX

Chrome 110 Patches 15 Vulnerabilities

2023/02/08 SecurityWeek — 今週に Google は、Chrome 110 をリリースし、外部研究者から報告された脆弱性 10件を含む、全体で 15件のセキュリティ修正を行ったと発表した。外部から報告された脆弱性のうち、３件は深刻度 High Severity と評価されている。これらの中には、V8 エンジンにおけるタイプ・コンフュージョン／フルスクリーン・モードにおける不適切な実装／WebRTC における境界外読み取りなどの脆弱性が含まれる。

Google の OSS-Fuzz 脆弱性特定プログラムが延長：すでに $600K 報酬が支払われた

Google Shells Out $600,000 for OSS-Fuzz Project Integrations

2023/02/02 SecurityWeek — 今週に Google は、OSS-Fuzz 報酬プログラムの延長を発表した。このイニシアチブは、OSS-Fuzz 上にプロジェクトを統合するコントリビューターに対して、報酬を与えることを目的としている。2016年に開始された OSS-Fuzz は、継続的なファジングを通じてオープンソース・ソフトウェアの脆弱性を特定し、共通のソフトウェア・インフラの安全性を高めることを目標としている。

Firebrick Ostrich という BEC グループ：オープンな情報を悪用して大成功

BEC Group Uses Open Source Tactics in Hundreds of Attacks

2023/02/01 InfoSecurity — これまでの２年間において、かなり素朴な手法で数百人の被害者をターゲットにし、大きな成功を収めた BEC グループについて、セキュリティ研究者たちが警告している。Abnormal Security が Firebrick Ostrich と名付けられたグループは、2021年4月以降において、少なくとも 347件のキャンペーンを展開してきた。正確な成功の確率は不明だが、そのヒット率に関しては、大規模という言葉で表現されている。Firebrick Ostrich は、政府の Web サイトを詳細まで調べ、既存の契約／ベンダー情報／ベンダー総数を確認するなど、オープンな情報源を調査してきた。

Gootkit は SEO ポイズニング・マルウェア：難読性の高い無差別攻撃

Gootkit Malware Continues to Evolve with New Components and Obfuscations

2023/01/29 TheHackerNews — マルウェア Gootkit を操る脅威アクターは、そのツールセットを新たなコンポーネントで強化し、難読性の高い感染チェーンを構築している。Google 傘下の Mandiant は、UNC2565 という名称で Gootkit の活動を監視しているが、このグループだけが独占して使用するマルウェアであることを指摘している。Gootkit は、Gootloader とも呼ばれ、検索エンジン最適化 (SEO) ポイズニングと呼ばれる手法により、合意書や契約書などのビジネス関連文書を検索する人々を騙して、危険な Web サイトへと誘導することで拡散していく。

SaaS Shadow IT をゼロにしたい：非侵入型ディスカバリー・ツールの無償版とは？

Eliminating SaaS Shadow IT is Now Available via a Self-Service Product, Free of Charge

2023/01/28 TheHackerNews — SaaS (Software as a Service) の利用が急成長しており、その勢いに衰えは見えない。分散型で使い易いという特性は、従業員の生産性を高める上で有益だが、セキュリティや IT に関する多くの課題も生じさせている。組織のデータへのアクセスを許可された、すべての SaaS アプリケーションを追跡することは困難な作業である。また、SaaS アプリケーションがもたらすリスクについて、理解することも同様に重要だが、目に見えないものを保護することは困難である。

Google が Dragonbridge をシャットダウン：中国の偽情報アカウント５万件を削除

Google nukes 50,000 accounts pushing Chinese disinformation

2023/01/26 BleepingComputer — Google の Threat Analysis Group (TAG) は、複数のオンライン・プラットフォームで親中派情報を発信しているグループ Dragonbridge／Spamouflage Dragon に関連する、数万件のアカウントを削除した。 Googleによると、Dragonbridge はバルクでアカウントを販売する業者から、新しい Google アカウントを入手してきたという。場合によっては、以前に金銭的な動機で使用されていたアカウントを再利用し、情報操作のための動画／ブログを投稿することもあるようだ。

Java と .NET のデベロッパー：大量の脆弱性に対峙する理由を解明

Java, .NET Developers Prone to More Frequent Vulnerabilities

2023/01/16 DarkReading — Java と .NET で書かれたアプリケーションの約 75％が、OWASP Top-10 に含まれる脆弱性を、少なくとも１つは持っていることが判明した。ソフトウェア・テスト会社である Veracode が、約76万件のアプリケーションを分析した結果として、上記の２つのプログラミング・エコシステムを使用したアプリケーションの 20% ほどは、少なくとも１つの深刻な脆弱性を抱えていることも明らかになった。

Chrome エクステンションに新機能：サイトごとの ON／OFF に取り組み始めた

Google Chrome to let you disable or enable extensions per site

2023/01/14 BleepingComputer — Chrome のエクステンションを、サイト単位で無効／有効化できる新機能を、Google が開発している。Chrome Web ストアでは、数多くのエクステンションが提供されている。しかし、一部のエクステンションには、Web サイトで不具合を引き起こす可能性あり、また、広告ブロッカーのようなエクステンションを許可しないサイトもあるという。

Google Chrome の脆弱性 SymStealer は危険：Ver 107 以前の 25億人に影響の可能性

Google Chrome ‘SymStealer’ Vulnerability Could Affect 2.5 Billion Users

2023/01/12 InfoSecurity — 2022年7月に Imperva のセキュリティ研究者が発見し、9月にパッチを適用された Chromium の脆弱性 CVE-2022-3656 は、パッチを適用していない 25億人のユーザーに影響を与えている可能性がある。2023年1月12日に、Imperva のセキュリティ研究者である Ron Masas が、この脆弱性 (通称 SymStealer) について、ブログ記事を公開した。具体的に言うと、ブラウザが SymLink を処理する方法を悪用する攻撃者に対して、暗号ウォレットやクラウド・プロバイダの認証情報などの、機密ファイルの窃取を許してしまう脆弱性だという。

Google Chrome 109 がリリース：全体で 17件の脆弱性に対応

Chrome 109 Patches 17 Vulnerabilities

2023/01/11 SecurityWeek — 2023年1月10日に Google は、Chrome 109 を Stable チャネルでリリースし、外部の研究者から報告された 14件のバグを含む、全体で 17件の脆弱性にパッチを適用したと発表した。外部から報告されたセキュリティ上の欠陥の大半は、深刻度が Medium と Low 脆弱性である。また、High と評価された２件は、Overview Mode における use-after-free の脆弱性 CVE-2023-0128 と、Network Service におけるヒープバッファ・オーバーフローの脆弱性 CVE-2023-0129 である。Google は、これらの脆弱性に対して、それぞれ $4,000 と $2,000 のバグバウンティを支払ったとしている。

Turla APT の奇妙な動き：10年前のマルウェア・インフラからバックドアを展開

Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors

2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。

Google の同意なき位置情報の追跡：米国で $29.5M の罰金が追加される

Google to Pay $29.5 Million to Settle Lawsuits Over User Location Tracking

2023/01/01 TheHackerNews — Google は、同社の不誠実な位置追跡に関して、インディアナ州とワシントン D.C. から提訴された２つの訴訟で、合計 $29.5 million を支払うことに同意した。明示的な同意なしに、ユーザーの位置を追跡したとして、Google は両州から訴えられ、ワシントン D.C. に $9.5 million、インディアナ州に $20 million の支払うことが決定した。今回の和解は、2022年11月に Google が同様の申し立てについて、40州に支払うことで合意した $391.5 million に追加されるものだ。同社は、テキサス州とワシントン州で、さらに２件の位置情報追跡に関する訴訟に直面している。

Google Home Speaker の欠陥が FIX：リモートから会話が盗聴される可能性

Google Home speakers allowed hackers to snoop on conversations

2022/12/29 BleepingComputer — Google Home Smart Speaker のバグにより、リモートからの操作が可能なバックドア・アカウントのインストールや、マイクフィードへのアクセスする盗聴が可能であることが判明した。2021年に、この問題を発見した研究者は Google に報告し、$107,500 の報奨金を受け取っている。今週の初めに、この研究者が公開したのは、発見された技術的な詳細と、悪用の方法を示す攻撃シナリオである。

Google 検索の広告を悪用：マルウェアを正規のソフトウェアに仕込んで配布

Hackers abuse Google Ads to spread malware in legit software

2022/12/28 BleepingComputer — Google Ads のプラットフォームを悪用するマルウェアのオペレーターが、人気のソフトウェア製品を検索している無防備なユーザーに対して、マルウェアをばらまくというケースが増加している。これらのキャンペーンにおいて、なりすましに利用されているのは、Grammarly／MSI Afterburner／Slack／Dashlane／Malwarebytes／Audacity／μTorrent／OBS／Ring／AnyDesk／Libre Office／Teamviewer／Thunderbird／Brave などの製品である。

Google 調査：クラウドの API 利用におけるセキュリティ問題

Google: With Cloud Comes APIs & Security Headaches

2022/12/24 DarkReading — Web Application Programming Interfaces (API) は、クラウド・アプリとインフラの統合という意味で重要な役割を担っている。しかし、これらのエンドポイントへの攻撃は日々増加しており、これまでの 12カ月間において、企業の半数が API 関連のセキュリティ・インシデントが発生したと認めている。Google Cloud が実施した調査によると、企業の API 利用に影響を与える、最も厄介なセキュリティ問題として挙げられるのは、セキュリティのミスコンフィグレーション／古い API やコンポーネント／スパムとボットによる侵害である。そして、40％の企業はミスコンフィグレーションによるインシデントに対して、33％企業は後者の２つの問題に対して、取り組んでいるという。