Government – Page 14 – IoT OT Security News

Brute Ratel C4 という強力なレッドチーム・ツール：Cobalt Strike のように悪意のペイロード化するのか？

2022/07/06 SecurityAffairs — Palo Alto Networks Unit 42 の研究者は、2022年5月19日にVirusTotal データベースにアップロードされたことで、大半のアンチウイルス製品が良性と判断していたサンプルに、レッドチーム／敵対攻撃シミュレーションのためのツールである、Brute Ratel C4 (BRc4) に関連するペイロードが含まれていたことを発見した。Cobalt Strike Beacons とは異なり、BRc4 ペイロードは普及していないが、同様の機能を備えている。このツールは、EDR (endpoint detection and response) や AV (antivirus) などによる、セキュリティ検出を回避するように設計されている。VirusTotal 上のベンダー間で検知されなかったことからも、このツールの有効性は明らかだ。

ウクライナを標的とするロシアからのサーバー攻撃：侵攻が始まってから 800 件に到達

Ukraine targeted by almost 800 cyberattacks since the war started

2022/06/30 BleepingComputer — ロシアによるウクライナ侵攻が始まった2022年2月24日以来、ウクライナの政府機関や民間企業は 796件のサイバー攻撃の標的にされてきた。ウクライナの SSSCIP (State Service of Special Communications and Information Protection) によると、この戦いが始まってから、同国のネットワークは常にハッキングの試みにさらされているとのことだ。 7月2日に SSSCIP は、「敵のハッカーはウクライナを攻撃し続けている。ロシアの本格的な軍事侵攻が始まってから、サイバー攻撃の精度は低下しているが、量的には変化していない」と発表している。

ロシアのハクティビストによる DDoS 攻撃：ノルウェー政府のサイトがダウン

Russian hacktivists take down Norway govt sites in DDoS attacks

2022/06/30 BleepingComputer — 昨日にノルウェーの国家安全保障局 (NSM：National Security Authority) は、分散型サービス妨害 (DDoS) 攻撃により、同国の最も重要な Web サイトやオンライン・サービスにアクセスできない状態に陥っていると、警告を発表した。この警告では、親ロシア派の犯罪グループが攻撃の背後にいるようだとも説明している。DDoS 攻撃とは、サイバー攻撃の一種であり、大量のリクエストやトラフィックによりインターネット・サーバーを圧倒し、そこにホストされているサイトやサービスへのアクセスを不能にするものである。

米FCC 対 TikTok：Apple／Google のアプリストアからの追放を要求

U.S. FCC Commissioner Asks Apple and Google to Remove TikTok from App Stores

2022/06/30 TheHackerNews — 米国連邦通信委員会 (FCC) の委員の一人が Apple と Google に対して、人気の動画共有プラットフォーム TikTok について、「その密かなデータ処理のパターン」を理由にアプリ・ストアから追放するよう求め始めている。FCC のメンバーであり、共和党員でもある Brendan Carr は、Apple と Google の最高経営責任者への書簡で、「TikTok の機密データと、北京による広範囲なデータ採取とが組み合わさることで、容認できないレベルの国家安全保障リスクがもたらされる」と述べている。

Google が悪意のドメインをブロック：hack-for-hire グループを叩け！

Google blocked dozens of domains used by hack-for-hire groups

2022/06/30 BleepingComputer — Google の Threat Analysis Group (TAG) は、世界中の高リスクな標的を狙う攻撃のために、複数の hack-for-hire グループが用いている、数十の悪質なドメインと Web サイトをブロックした。悪意の商用監視ベンダーが、その顧客による攻撃に使用されるのとは異なり、hack-for-hire オペレーターはダイレクトに攻撃に関与し、通常は、そのような悪意のサービスを提供する驚異アクターに雇用される。また、フリーランスの脅威アクターが、その役割を担うこともある。

CISA 警告：Linux の深刻な脆弱性 PwnKit CVE-2021-4034 に直ちにパッチ適用を

CISA warns of hackers exploiting PwnKit Linux vulnerability

2022/06/29 BleepingComputer — CISA の悪用脆弱性リスト (KVE：Known Exploited Vulnerabilities Catalog) に、 Linux の深刻な脆弱性 CVE-2021-4034 が追加された。この PwnKit と呼ばれる脆弱性は、すべての主要ディストリビューション (Ubuntu／Debian／Fedora／CentOSなど) で使用されている、Polkit の pkexec コンポーネントで発見された。PwnKit とは、デフォルト設定の Linux システムにおいて、その悪用に成功した非特権ユーザーに、完全なルート権限を許してしまうメモリ破壊の脆弱性である。

CISA 勧告と Exchange Online：10月までに Basic 認証から Modern 認証へ切り替えよ

CISA warns orgs to switch to Exchange Online Modern Auth until October

2022/06/29 BleepingComputer — CISA は政府機関／民間企業に対して、クラウドメール・プラットフォームである Microsoft Exchange を、ベーシック認証からモダン認証 (MFA) へと早急に切り替えるよう促している。ベーシック認証 (プロキシ認証) は、アプリがサーバー／エンドポイント／オンラインサービスに認証情報を平文で送信する、HTTP ベースの認証スキームである。

米国／英国／NZ が PowerShell セキュリティ・ガイダンスを発行：Windows の安全性確保に不可欠

US, UK, New Zealand Issue PowerShell Security Guidance

2022/06/24 SecurityWeek — PowerShell を適切に設定／監視し、不正利用のリスクを排除するための共同ガイダンスが、CISA／NSA (米国)、NCSC-UK (英国) ／NZ NCSC (ニュージーランド) から発表された。Windows のスクリプト言語／コマンドライン・ユーティリティである PowerShell は、反復作業を自動化し、フォレンジックを可能にするものになる。つまりインシデント対応を向上させることで、ユーザー・エクスペリエンスを拡張し、OS の管理を支援することを目的にできる。

Microsoft のサイバー戦争分析：ロシアがウクライナ同盟国 42カ国を攻撃

Microsoft: Russian Cyber Spying Targets 42 Ukraine Allies

2022/06/22 SecurityWeek — 水曜日に Microsoft が発表したレポート “Defending Ukraine: Early Lessons from the Cyber War” によると、国家に支援されたロシアのハッカーたちが、ウクライナに対する容赦ないサイバー攻撃を行うと同時に、キエフを支援する 42カ国の政府／シンクタンク／企業／支援団体に対して戦略的スパイ行為を行っているとのことだ。

NSA が Windows PowerShell 活用を提言：適正な利用により防御側の武器になる！

NSA shares tips on securing Windows devices with PowerShell

2022/06/22 BleepingComputer — 今日、National Security Agency (NSA) とサイバーセキュリティ・パートナー機関はシステム管理者たちに対して、Windows マシン上における悪意のアクティビティ防止／検出に PowerShell の使用を推奨するアドバイザリーを発表した。PowerShell は、サイバー攻撃で頻繁に使用され、主に侵入後の段階で悪用されているが、Microsoft の自動化およびコンフィグレーション・ツールに組み込まれたセキュリティ機能は、防御側のフォレンジック作業やインシデント対応の改善や、反復タスクの自動化にも有効とされる。

Windows の脆弱性 Follina とウクライナ：ロシアのハッカーたちが悪用を始めている

Russian hackers start targeting Ukraine with Follina exploits

2022/06/13 BleepingComputer — ウクライナの Computer Emergency Response Team (CERT) は、ロシアのハッキング・グループ Sandworm が、Microsoft Windows Support Diagnostic Tool (MSDT) に存在するリモートコード実行の脆弱性 Follina (CVE-2022-30190) を、悪用している可能性があると警告している。このセキュリティ問題は、特別に細工された文書を選択する、または、開くことで発生する可能性があり、2022年4月以降において脅威アクターたちが、この問題を攻撃で悪用しているとのことだ。なお、ウクライナ CERT-UA は、この悪意の活動の背後に Sandworm というハッカー集団がいることについて、50% ほどの確率があると評価している。

Meeting Owl Pro の脆弱性 CVE-2022-31460 が FIX：悪用が始まり CISA も対応を表明

Threat Actors Start Exploiting Meeting Owl Pro Vulnerability Days After Disclosure

2022/06/09 SecurityWeek — 今週の初めから、Owl Labs はビデオ会議デバイスに生じた深刻な脆弱性に対処しているが、すでに脅威アクターたちは悪用し始めている。この脆弱性 CVE-2022-31460 (CVSS 7.4) が、脆弱な Owl デバイスに対して悪用されると、自身が接続している Wi-Fi ネットワーク内の、不正なアクセスポイントにされる可能性が生じる。

米政府とキプロス警察：SSNDOB という個人情報ブラック・マーケットを押収

US dismantled and seized SSNDOB cybercrime marketplace

2022/06/08 SecurityAffairs — 米国司法省は、米国内の個人が所有する氏名／生年月日／社会保障番号などの個人情報を、不正に提供する一連の Web サイト SSNDOB Marketplace を差し押さえたと発表した。当局によると、SSNDOB Marketplace は、米国内の約 2400万人分の個人情報を掲載し、$19 million USD の利益を計上しているとのことだ。この国際作戦は、FBI／DoJ／Internal Revenue Service と、キプロス警察により実施された。

NSA／CISA／FBI 勧告：中国の国家支援ハッカーたちが Telecom／NSP を狙っている

U.S. Agencies Warn About Chinese Hackers Targeting Telecoms and Network Service Providers

2022/06/08 TheHackerNews — 米国のサイバーセキュリティ／情報機関は、少なくとも 2020年以降において、中国を拠点とする国家に支援されたサイバー行為者が、公共／民間組織のネットワークの脆弱性を悪用して侵害していると警告している。この広範な侵入キャンペーンでは、Small Office／Home Office (SOHO) ルーターやネットワーク接続ストレージ (NAS) デバイスなどの、すでに公表されているセキュリティ上の欠陥を悪用し、被害者のネットワークへの深いアクセスを獲得することを目的としている。

Microsoft 対イランの APT：法的措置により 41 の Bohriumドメインを押収

Microsoft seized 41 domains used by Iran-linked Bohrium APT

2022/06/06 SecurityAffairs — Microsoft の Digital Crimes Unit (DCU) は、イランに拠点を置く APT Bohrium に対して、スピアフィッシング活動を阻止する法的措置を取ったことを発表した。この活動において、米国／中東／インドにある、ハイテク／運輸／行政／教育などの組織を攻撃する際に、脅威アクターが使用したドメインを、Microsoft が押収した。

Evil の新たな戦略：LockBit ランサムウェアの運用により制裁を逃れる？

Evil Corp switches to LockBit ransomware to evade sanctions

2022/06/02 BleepingComputer — 現時点におけるサイバー犯罪グループ Evil Corp は、米国財務省外国資産管理局 (OFAC：Office of Foreign Assets Control) が課す制裁を回避するため、ランサムウェア LockBit を標的ネットワークに展開する方法へと、切り替えていることが明らかになった。2007年から活動している Evil Corp (INDRIK SPIDER／ Dridex) は、Dridex マルウェアを展開した後にランサムウェアをビジネスへと転換した、パイオニアとして知られている。

ウクライナの不安定化を狙うロシア：サイバー空間での戦いに “Z” は失敗している

Russia is ‘failing’ in its mission to destabilize Ukraine’s networks after a series of thwarted cyber-attacks

2022/06/02 DailySwig — ウクライナのサイバー耐性を揺るがすという任務に、ロシアは失敗している。言い換えるなら、ウクライナは、同国は圧制者からのサイバー攻撃をうまく阻止し続けている。これは、今週に開催された WithSecure の Sphere Conference で得られた教訓であり、同社の CRO である Mikko Hyppönen は、「プーチン政権は、ほぼ失敗している」と出席者に伝えた。

FBI と司法省がダークウェブ WeLeakInfo.to を押収：個人情報販売と DDoS 攻撃請負を阻止

FBI seizes domains used to sell stolen data, DDoS services

2022/06/01 BleepingComputer — 米連邦捜査局 (FBI) と米司法省は、情報漏洩で盗み出された個人情報の販売や、DDoS 攻撃サービスを提供するために、サイバー犯罪者たちが使用していた３つのドメインを押収したと発表した。WeLeakInfo.to は、データ漏洩事件で盗まれた１万件以上の情報などを取り込んだデータベースを、サブスクリプションでユーザーに販売し、検索機能を提供していた。

Zyxel Firewall などの４つの脆弱性が FIX：パッチ適用の確認が必要

Zyxel Issues Patches for 4 New Flaws Affecting AP, API Controller, and Firewall Devices

2022/05/17 TheHackerNews — Zyxel は、Firewall／AP Controller などの製品に影響をおよぼす、４つの脆弱性に対処するパッチをリリースした。それらの脆弱性の悪用に成功した攻撃者に対して、任意の OS コマンドの実行や、選択した情報の窃取を許す恐れがある。

Google とロシア制裁：ISP ２社のキャッシュ・サーバーがシャットダウン

Google shut down caching servers at two Russian ISPs

2022/05/26 BleepingComputer — ロシアの ISP ２社が、自社のネットワーク上のグローバル・キャッシング・サーバーが無効化された旨の通知を、Google から受け取った。このキャッシング・サーバーとは、Google のコンテンツをインターネット・ユーザーに高速で提供し、障害が発生したときにも、アクセスに対する信頼性を維持するための ISP 向けノードである。ISP がサーバーに保持するキャッシュとは、ユーザーによる高速でのデータ・ロードを実現するためのものであり、たとえば YouTube コンテンツにとっては必要不可欠なものである。

VMware の認証バイパスの脆弱性 CVE-2022-22972：PoC エクスプロイトの前にパッチ適用を

Researchers to release exploit for new VMware auth bypass, patch now

2022/05/24 BleepingComputer — VMware の複数の製品に存在する、認証なしで管理者権限へのアクセスが可能になる脆弱性に対して、PoC エクスプロイトが公開されようとしている。この脆弱性 CVE-2022-22972 については、先週の水曜日に修正が行われており、速やかなパッチ適用、もしくは、緩和策の適用が、緊急警告として管理者たちに伝えられている。

ダボス会議のインターポール：国家が開発したサーバー兵器がダークウェブで売られる日も近い

Nation-state malware could become a commodity on dark web soon, Interpol warns

2022/05/24 SecurityAffairs — インターポールの Secretary General である Jurgen Stock は、国家に支援されたマルウェアが、数年のうちにダークネット上で提供されるようになると発言した。ロシアとウクライナの紛争が続いているが、国家アクターと非国家アクターの双方が開発したマルウェアは、世界中の重要インフラや組織にとって深刻なリスクとなっている。

CISA 警告 5／24：Cisco／Android などの 41 件の脆弱性を悪用リストに追加

CISA adds 41 vulnerabilities to list of bugs used in cyberattacks

2022/05/24 BleepingComputer — Cybersecurity & Infrastructure Security Agency (CISA) は、Android カーネルや Cisco IOS XR などに存在する 41件の脆弱性を、この２日間で悪用脆弱性カタログに追加した。追加された脆弱性は、2016年に公開されたものから、先週の金曜日に修正された Cisco IOS XR にいたるまでの、幅広い年代に分布しているものとなる。

米国土安全保障省の勧告：VMware の深刻な脆弱性２件に５日間で対応せよ！

DHS orders federal agencies to patch VMware bugs within 5 days

2022/05/18 BleepingComputer — 今日、国土安全保障省のサイバー・セキュリティ部門は、連邦民間行政機関 (FCEB) に対して、VMware 製品を標的とする攻撃のリスクが高まっているとして、5月23日の月曜日までに緊急にアップデートするか、ネットワークから削除するよう命じた。同じく今日、Cybersecurity and Infrastructure Security Agency (CISA) も、VMware の製品群に影響を及ぼす、認証バイパスとローカル権限昇格の脆弱性 CVE-2022-22972／CVE-2022-22973 がパッチ適用されたことを受けて、緊急指令 22-03 を発表した。

CISA と MS-ISAC の共同勧告：進行中の F5 BIG-IP 攻撃をブロックするためのガイダンス

CISA shares guidance to block ongoing F5 BIG-IP attacks

2022/05/18 BleepingComputer — CISA と Multi-State Information Sharing and Analysis Center (MS-ISAC) は、本日に発表した共同アドバイザリにおいて、F5 BIG-IP ネットワーク・セキュリティの深刻な脆弱性 CVE-2022-1388 を狙う攻撃が活発化しているとして、管理者たちに警告を発した。このアドバイザリには、「CISA と MS-ISAC は、政府機関および民間企業のネットワークにおいて、未パッチの F5 BIG-IPデバイス (主に管理ポートまたは自己 IP が公開されている) が広範囲で悪用されると推測する」と記されている。

CISA 警告 5/16：Spring／Zyxel の深刻な欠陥を悪用脆弱性リストに追加

CISA warns admins to patch actively exploited Spring, Zyxel bugs

2022/05/17 BleepingComputer — Cybersecurity and Infrastructure Security Agency (CISA) は、活発に悪用されている脆弱性リストに、Spring Cloud Gateway ライブラリのコード・インジェクションの欠陥と、Zyxel Firewall／VPN デバイス・ファームウェアのコマンド・インジェクションの欠陥を追加したことを発表した。

ウクライナのモバイル・ネットワーク：破壊を回避しながら機能し続ける理由は？

How Mobile Networks Have Become a Front in the Battle for Ukraine

2022/05/17 DarkReading — 2022年2月のウクライナ侵攻に先立ち、メディアに登場するコメンテーターやオブザーバーは、ロシアの攻撃は通信ネットワークを含むウクライナ全土の主要インフラに対する、組織的な IT 攻撃であるとの懸念を表明していた。このような攻撃の複合的な影響は、世界的に広まると予測され、その見方が浸透していた。しかし、重要インフラへのサイバー攻撃が報告される一方で、ウクライナ全土から発信され続けている相当数のビデオ／通話／ライブストリームが示すように、モバイル・ネットワークは依然として活発に動いている。

CISA 警告：Patch Tuesday ５月を Windows Server AD DC に適用しないで欲しい

CISA warns not to install May Windows updates on domain controllers

2022/05/16 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、May 2022 Patch Tuesday の更新プログラムが引き起こす Active Directory (AD) 認証の問題を考慮し、この Windows セキュリティ不具合を、KEV (Known Exploited Vulnerabilities) カタログから一時的に削除した。

FBI／CISA／NSA などが共同勧告：MSP を狙う脅威アクターが増え続けている

FBI, CISA, and NSA warn of hackers increasingly targeting MSPs

2022/05/11 BleepingComputer — 今日、Five Eyes (FVEY) のインテリジェンス同盟のメンバーは、MSP (Managed Service Provider) とその顧客に対して、サプライチェーン攻撃の標的となるケースが、ますます増えていることを警告した。FVEY 諸国におけるサイバー・セキュリティ機関および法執行機関 (NCSC-UK／ACSC／CCCS／NCSC-NZ／CISA／NSA／FBI) は、これらの増大が予測されるサイバー脅威から。MSP がネットワークと機密データを保護するための、ガイダンス Protecting Against Cyber Threats to Managed Service Providers and their Customers を共有した。

西側諸国がロシアを批判：Viasat が運営する KA-SAT 衛星ネットワークへのサイバー攻撃

E.U. Blames Russia for Cyberattack on KA-SAT Satellite Network Operated by Viasat

2022/05/11 TheHackerNews — オーストラリア／カナダ／ニュージーランド／英国／米国からなる Five Eyes 諸国と、ウクライナと、欧州連合は、国際衛星通信 (SATCOM) プロバイダーへの攻撃を首謀し、欧州全体に影響を及ぼしたとして、ロシアを正式に非難した。2022年2月24日にクレムリンがウクライナに軍事侵攻する１時間前に、このサイバー攻撃は行われ、通信会社 Viasat が運営する KA-SAT 衛星ネットワークを標的とし、中央ヨーロッパの風力発電所とインターネット・ユーザーの業務を麻痺させた。

CISA 警告 5/10：F5 BIG-IP の深刻な脆弱性 CVE-2022-1388 を KEV リストに追加

CISA tells federal agencies to fix actively exploited F5 BIG-IP bug

2022/05/11 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されるバグのリストに、BIG-IP ネットワーク・デバイスに深刻な影響を与える、脆弱性 CVE-2022-1388 を新たに追加した。BIG-IP ソリューションを使用する F5 の顧客の中には、連邦政府機関／Fortune 500 企業／銀行／サービス・プロバイダ／コンシューマ・ブランド (Microsoft／Oracle／Facebook など) が含まれているが、同社は Fortune 50 のうちの 48社が F5ユーザーだとしている。

ロシアの戦勝記念日に異変：TV 番組表の反戦メッセージと RuTube のダウン

Hacktivists hacked Russian TV schedules during Victory Day and displayed anti-war messages

2022/05/10 SecurityAffairs — ハクティビストとホワイトハッカーの集団は、ロシアによる侵略に対抗してウクライナを支援し続けているが、最近の攻撃では、ロシアのテレビを反戦メッセージで改ざんし、動画ストリーミング・サイト RuTube をダウンさせている。この攻撃は、ロシアの戦勝記念日に行われ、パレードを見ようとするロシア人に対して、テレビ番組表システムを改ざんするサイバー攻撃により、親ウクライナのメッセージを表示した。

米国務省 $15 million の報奨金：Conti ランサムウェアに関する情報を求める

US offers $15 million reward for info on Conti ransomware gang

2022/05/07 BleepingComputer — 米国国務省 (Department of State) は、Conti ランサムウェア・ギャング幹部などの特定と所在確認に有効な情報に対して、最大で $15 million の報奨金を提供している。この報奨金のうち、$10 million はリーダーなどの身元や居場所に関する情報に対して、さらに $5 million はランサムウェア攻撃に関連する、逮捕や有罪につながる情報に対して提供されるという。

ウクライナ IT Army の DDoS 攻撃：ロシアのアルコール飲料ネットワークを破壊か？

Ukraine IT Army hit EGAIS portal impacting Russia’s alcohol distribution

2022/05/06 SecurityAffairs — ハクティビスト集団 Ukraine IT Army が、ロシア国内のアルコール流通の要とされる、統合国家アルコール会計情報システム (EGAIS：Unified State Automated Alcohol Accounting Information System) のポータルに対して、大規模な DDoS 攻撃を繰り返して仕掛けていることが判明した。

NIST のサプライチェーン・リスク対策：Cybersecurity Supply Chain Risk Management がリリース

NIST Releases Updated Cybersecurity Guidance for Managing Supply Chain Risks

2022/05/04 TheHackerNews — 木曜日に National Institute of Standards and Technology (NIST) は、魅力的な攻撃経路としてサプライチェーンが浮上していることから、そのリスクを管理するための最新のサイバー・セキュリティ・ガイダンスを発表した。NIST は声明において、「ユーザー組織に対して推奨されるのは、利用を検討している完成品としての製品の脆弱性だけではなく、他で開発された可能性のあるコンポーネントの脆弱性についても、考える必要があるという点だ。また、それらのコンポーネントが、手元に到達するまでの道のりについても、考慮する必要がある」と述べている。

中国の APT グループ Curious Gorge：ロシアの政府／軍事／物流／製造などを狙っている

China-linked APT Curious Gorge targeted Russian govt agencies

2022/05/03 SecurityAffairs — Google の Threat Analysis Group (TAG) の報告によると、Curious Gorge として追跡されている APT グループが、中国の人民解放軍戦略支援部隊 (PLA SSF) と連携し、ロシアの政府機関を標的としているとのことだ。Google TAG チームは、東欧におけるサイバー・セキュリティ活動に焦点を当て、このレポートを発表している。専門家たちは、戦争を攻撃の誘い水として利用する、脅威アクターが増えていると警告している。また、研究者たちは、脅威アクターが重要インフラ組織を標的にすることが、増えていることを観察している。

REvil の復活は本物：新たなマルウェア・サンプルから確認された継承の証拠とは？

REvil ransomware returns: New malware sample confirms gang is back

2022/04/30 BleepingComputer — ロシアと米国の緊張が高まる中、ランサムウェア REvil が、新たなインフラの構築と、暗号化方式の変更により、より標的を絞った攻撃を目論みながら再登場した。2021年10月に法的執行機関は、REvil ランサムウェア・ギャングの Tor サーバーを乗っ取り、その後に、ロシア当局によりメンバーが逮捕され、活動を停止した。しかし、ウクライナ侵攻の後に、米国は REvil ギャングに関する交渉プロセスから撤退し、通信手段を閉じたと、ロシア側は表明している。

米企業のプライバシー管理：お粗末な CCPA／CPRA／GDPR コンプライアンス対応

Companies poorly prepared to meet CCPA, CPRA and GDPR compliance requirements

2022/04/29 HelpNetSecurity — California Consumer Privacy Act (CCPA) および、California Privacy Rights Act (CPRA)、EU の General Data Protection Regulation (GDPR) への各企業の対応状況について、CYTRIO が 2022年 Q1 に行った独自調査の結果が発表された。2022年3月31日の時点において 90% の企業が、CCPA／CPRA の Data Subject Access Request (DSAR) 要件に対して、完全に準拠していないことが調査結果で明らかになった。さらに、95% の企業が、GDPR の DSAR の要件に対して、エラーの起こりやすい、時間のかかる手動プロセスを使用していることが分かった。

ロシアのハッカー集団がルーマニアを攻撃：DDoS 攻撃で政府系サイトをダウンさせた

Russian hacktivists launch DDoS attacks on Romanian govt sites

2022/04/29 BleepingComputer — ルーマニア政府の CSIRT である DNSC は、国家機関が管理する複数の公共 Web イトを標的とした、一連の分散型サービス拒否 (DDoS) 攻撃について声明を発表した。この攻撃は、Killnet と名乗る親ロシア派グループが犯行を主張している。リクエスト数やデータ量が多い公共サイトをホストするサーバーを標的とし、実質的に処理リソースを枯渇させ、利用不能に陥らせたという。現時点においては、すべてのWeb サイトが稼動しているが、攻撃者は以下の Web サイトを標的にしたと、DNSC は発表している。

JPCERT の EmoCheck が Emotet 64-bit に対応：簡単な操作でマルウェアを検出

EmoCheck now detects new 64-bit versions of Emotet malware

2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書／Windows ショートカット／ISO ファイル／パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの１つである。これらのフィッシング・メールは、返信用チェーンメール／出荷通知／税務書類／会計報告書／ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。

インド政府のムチャブリ：インシデント検知の６時間後には CERT-In に報告せよ！

Indian Govt Orders Organizations to Report Security Breaches Within 6 Hours to CERT-In

2022/04/28 TheHackerNews — 木曜日にインドのコンピュータ緊急対応チームである CERT-In は、サービスプロバイダ／仲介業者／データセンター／政府機関に対して、データ漏洩を含むサイバーセキュリティ・インシデントの検知後６時間以内での報告を義務化する新しいガイドラインを発表した。

Conti の活動がピーク値に戻る：逆リークを跳ね除けて被害者を増やしている？

Conti ransomware operations surge despite the recent leak

2022/04/27 SecurityAffairs — Secureworks の研究者たちは、ロシアを拠点とする脅威アクター Gold Ulrick として追跡されている Conti ランサムウェアについて、内部活動に関するデータリークにもかかわらず、活発に活動し続けていると述べている。このグループの、通信内容／ソースコード／運用情報などが公開されたが、その活動は 2021年に記録したピーク・レベルへと戻っている。

NSA／FBI が警告する 2021年の脆弱性：日常的に悪用され続けた Top-15 とは？

Cybersecurity agencies reveal top exploited vulnerabilities of 2021

2022/04/27 BleepingComputer — 世界中のサイバー・セキュリティ機関が NSA／FBI と共同で、2021年に脅威アクターが日常的に悪用した脆弱性の、Top-15 リストを発表した。共同アドバイザリーにおいて、これらのサイバー・セキュリティ機関は、一連のセキュリティ欠陥に対して速やかにパッチを適用し、攻撃対象領域を減らすためのパッチ管理システムを導入するよう促している。

米政府が $10M の報奨金：ロシア軍将校ハッカー６人の情報を集め始める

U.S. Offers $10 Million Bounty for Information on 6 Russian Military Hackers

2022/04/26 TheHackerNews — 火曜日に米国政府は、ロシア軍情報機関に関連する６人のハッカーの情報を集めるために、最高で $10 million の報奨金を支払うと発表した。国務省の Rewards for Justice Program プログラムは、「これらの人物は、米国の重要インフラを攻撃する、ロシア政府のための悪意のサイバー活動に参加し、Computer Fraud and Abuse Act に違反した」と述べている。

Coca-Cola を侵害したと主張する Stormous：親ロシア派のハッカーか？

Coca-Cola investigates hackers’ claims of breach and data theft

2022/04/26 BleepingComputer — 世界最大の清涼飲料メーカーである Coca-Cola は、同社のネットワークへのサイバー攻撃に関する報道を認識しており、その主張については調査中であると、BleepingComputer への声明で述べている。Stormous ギャングが、同社の一部のサーバーへの侵入に成功し、161GB のデータを盗み出した発表したことを受け、Coca-Cola は調査を開始した。

WSO2 の RCE 脆弱性：ワイルドな悪用が観察されているので要注意

Organizations Warned of Attacks Exploiting WSO2 Vulnerability

2022/04/26 SecurityWeek — 企業向けソフトウェア開発ソリューション・プロバイダーである WSO2 の製品だが、その深刻な脆弱性が野放し状態の攻撃にさらされている。WSO2 の Web サイトによると、同社の製品は Fortune 500 などの大手企業で使用されており、そのすべてが危険にさらされる可能性があるという。また、月曜日には Cybersecurity and Infrastructure Security Agency (CISA) も、この脆弱性を Known Exploited Vulnerabilities Catalog に追加し、5月16日までにパッチを適用するよう、それぞれの連邦政府機関に指示している。

CISA 警告 4/25：WSO2／Microsoft／Linux／Jenkins などの７つの脆弱性が追加

CISA adds 7 vulnerabilities to list of bugs exploited in attacks

2022/04/25 BleepingComputer — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、積極的に悪用されている脆弱性のリストに、Microsoft／Linux／Jenkins などの、７件の欠陥を追加したと発表した。その Known Exploited Vulnerabilities Catalog は、サイバー攻撃で活発に悪用されている脆弱性のリストで、連邦政府民間行政機関 (FCEB) に対してパッチ適用が義務付けられているものである。

BlackCat RaaS について FBI が警告：全世界で 60の組織が侵害されている

BlackCat Ransomware gang breached over 60 orgs worldwide

2022/04/22 SecurityAffairs — 米国連邦捜査局 (FBI) は、2021年11月に活動を開始した BlackCat ランサムウェア (別名：ALPHV／Noberus) により、少なくとも全世界で 60 の事業体が侵害されたとする Flash Report を公開した。同組織はアドバイザリで、世界中で少なくとも 60 の事業体に侵入した Ransomware-as-a-Service である、BlackCat／ALPHV などによる攻撃に関連する、主要な Indicators Of Compromise (IOCs) を Flash Report で発表した。ユーザーおよび管理者が、FBI Flash CU-000167-MW の IOC と技術的な詳細を確認し、推奨される緩和策を適用することを推奨していると、CISA は述べている。

Motorola が Public Safety Threat Alliance を設立：CISA との連携も視野に

Motorola Launches Cyber Threat Information Sharing Hub for Public Safety

2022/04/22 SecurityWeek — 今週に Motorola Solutions が発表した Public Safety Threat Alliance (PSTA) は、公共安全コミュニティのためのサイバー脅威情報共有ハブとなるものだ。Motorola は、この PSTA について、情報共有分析組織 (ISAO：Information Sharing and Analysis Organization) であると説明し、重要インフラのセキュリティと回復力を国家として推進する、Cybersecurity and Infrastructure Security Agency (CISA) により公認されていると指摘している。

REvil の TOR サイトが動き出した：新たなランサムウェア運用が始まるのか？

Russia,REvil’s TOR sites come alive to redirect to new ransomware operation

2022/04/20 BleepingComputer — REvil ランサムウェアのサーバーが、数ヶ月ぶりに TOR ネットワーク内で復活し、2021年12月中旬から開始されたと思われる、新しいオペレーションへとリダイレクトされている。REvil に関連する新しいオペレーションの背後にいる人物は不明だが、この新しいリークサイトには、過去の REvil 攻撃での被害者を示す大規模なカタログと、新しい２件の攻撃の被害者がリストアップされている。