Literacy – Page 15 – IoT OT Security News

増加するヴィッシング／スミッシング／フィッシング攻撃：ChatGPT 登場から 1,265%急増

Vishing, smishing, and phishing attacks skyrocket 1,265% post-ChatGPT

2024/02/29 HelpNetSecurity — 企業の 76% においては、ボイス／メッセージング詐欺対策が不十分である、その一方では、ChatGPT がリリースされた以降において、AI を利用するヴィッシング／スミッシングが急増していることが、Enea の調査により明らかになった。

LockBit ランサムウェアが復活：新たな暗号化機能で攻撃を再開している

LockBit ransomware returns to attacks with new encryptors, servers

2024/02/28 BleepingComputer — LockBitランサムウェア・ギャングは、先週に発生した法執行機関からの妨害の後に、身代金メモを持つ更新された暗号化機能を新しいサーバにリンクさせ、再び攻撃を行なっている。先週の NCA／FBI／Europol による Operation Cronos は、LockBit ランサムウェアに対して仕掛けられた、共同の破壊作戦であった。

ホワイトハウス ONCD レポート：メモリ・セーフな言語への切替を開発者に要請

White House Urges Switching to Memory Safe Languages

2024/02/27 DarkReading — ホワイトハウスの ONCD (Office of the National Cyber Director) が、最新技術レポートを公開した。それにより、開発者たちに対して要請されるのは、ソフトウェアにおけるメモリ・セーフティに関連する脆弱性を減らすために、安全なプログラミング言語を使用することである。

NIST CSF 2.0 が正式リリース：ニーズに応じたカスタマイズが可能なリソースとして活用！

NIST Cybersecurity Framework 2.0 Officially Released

2024/02/27 SecurityWeek — NIST Cybersecurity Framework (CSF) 2.0 の正式リリースが、2月26日に発表された。CSF の本来の対象は重要インフラ組織であるが、その他の業種などでも幅広く利用され、推奨されるようになった。そのことから、CSF 2.0 はセクター／規模／セキュリティなどの高低に関係なく、全ての組織のリスク低減を支援するように設計されていると NIST は強調している。

Unit42 調査：進化し続ける DLL ハイジャッキング

Warning: DLL Hijacking in Modern Malware Campaigns

2024/02/25 SecurityOnline — サイバー・セキュリティの脅威において、DLL (Dynamic-link library) ハイジャッキングは、依然として脅威アクターたちの定番の手口となっている。この手法は、古くから存在しているにもかかわらず、マルウェアを展開するためのステルス的な通路を、いまだに脅威アクターたちに提供し続けている。それが浮き彫りにするのは、サイバー・セキュリティにおける、防衛者と攻撃者の間の軍拡競争である。Unit42 の最新レポートは、DLL ハイジャッキングの進化にスポットを当て、この永続的な脅威の複雑さを明らかにし、この攻撃範囲を軽減するための指針を提示している。

有名ブランドの 8,000 ドメインをハイジャック：悪意のメールを送り続けるキャンペーンとは？

8,000+ Domains of Trusted Brands Hijacked for Massive Spam Operation

2024/02/26 TheHackerNews — 正規の組織やブランドに属する 8,000以上のドメインと13,000以上のサブドメインが、スパム拡散とクリック収益化のための、狡猾な配信アーキテクチャの一部として乗っ取られている。Guardio Labs が追跡しているのは、SubdoMailingという名称で、遅くとも2022年9月から続いている悪質な活動である。それらの悪意のメールの内容は、偽の荷物の配達通知から、アカウント認証情報を求めるフィッシングにいたるものとなる。

IBM 2023 調査：企業における最大の脅威は、依然として基礎的なセキュリティ対策

The old, not the new: Basic security issues still biggest threat to enterprises

2024/02/23 HelpNetSecurity — IBM の 2024 X-Force Index によると、2023年に増加したのは、サイバー犯罪者が不正ログインを行い、有効なアカウントを通じて企業ネットワークに侵入するインデントであるという。

脆弱性へのパッチ適用：どうする優先順位？どうする AI 活用？

Toward Better Patching — A New Approach with a Dose of AI

2023/02/23 securityweek —2024年を通じて毎月ごとの発表が予測される、2,900件の新しい脆弱性を分析／トリアージすることを、セキュリティ・チームに期待するのは無理である。１ヶ月に 20件でも十分な成果なのである。効果的なパッチを当てることは、侵入を減らす方法として認められている。しかし、それを達成するのは、ほとんど不可能だ。なにが問題かというと、既知の脆弱性の数が非常に多いこと、そして、それぞれのセキュリティ・チームにおいて、優先的にパッチを当てるべき脆弱性の選別が難しいことに集約される。

FTC が Avast を提訴：Web 閲覧記録の広告転用に対して $16.5 M の罰金

FTC to ban Avast from selling browsing data for advertising purposes

2024/02/22 BleepingComputer — 米国の連邦取引委員会 (FTC：Federal Trade Commission) が Avast に命じたのは、ユーザーの Web 閲覧データの販売および、広告目的でのライセンス供与の禁止、そして罰金 $16.5 million の支払いである。訴状によると、データを収集するために使用される Avast 製品は、オンライン追跡をブロックするという誤解を、結果的にユーザーに与えるものである。さらに同社は、消費者の認識や同意を得ることなしに、閲覧データを収集／保存／販売し、何百万人もの消費者の権利を侵害したという。

LockBit ランサムウェア：世界の法執行機関によりテイクダウン

Global Law Enforcement Disrupts LockBit Ransomware Gang

2024/02/21 DarkReading — FBI などの世界的な法執行機関は、凶悪なランサムウェア・グループである LockBit の活動を妨害し、そのプラットフォームを掌握し、世界的な RaaS (Ransomware-as-a-Service) 運営に関連するデータの押収に成功した。アフィリエイトたちの LockBit のコントロール・パネルに表示された、当局からのメッセージによると、Operation Cronos と呼ばれる作戦で押収されたものには、ソースコード／ランサムウェア被害者の詳細／盗まれたデータ／復号化キー／LockBit とアフィリエイトが要求した金額などの情報が含まれるという。

KeyTrap という DNS の脆弱性 CVE-2023-50387：広範囲でインターネットを停止させる恐れ

‘KeyTrap’ DNS Bug Threatens Widespread Internet Outages

2024/02/21 DarkReading — 2000年以降から放置されてきた、DNS (Domain Name System) のセキュリティ拡張機能における基本的な設計上の欠陥が、最近になって研究者たちにより解明された。DNS サーバとは、Web サイトの URL を IP アドレスに変換するという、目立たない機能を提供するものだが、すべてのインターネット・トラフィックの転送において、不可欠なものである。

DDoS シミュレーション・テストは合法なのか：各国の法体系と Red Button のサービス

Are DDoS Simulation Tests Actually Legal?

2024/02/21 InfoSecurity — サイバー攻撃への対応の方式をテストするためには、DDoS シミュレーションを定期的な実施が推奨される。それより、システムやチームにおける、技術やプロセスのギャップを特定し、DDoS 対応戦略を改善できるかもしれない。しかし、DDoS 攻撃のシミュレーションは合法なのだろうか？ DDoS シミュレーション・テストは、ハッカーによる実際の DDoS 攻撃とは、異なる法的カテゴリーに分類される。

API セキュリティ戦略を見直す：魅力的な侵入経路を脅威アクターに提供しないために

The importance of a good API security strategy

2024/02/21 HelpNetSecurity — Cloudflare 2024 API Security & Management Report によると、今年の API リクエストはグローバルにおけるインターネット・トラフィックの 57% を占めることになり、現代のソフトウェア開発における極めて重要な要素としての、API の存在が裏付けられている。しかし、API の採用が毎年のように増加するにつれて、関連するセキュリティ上の課題も増加している。過去の２年間において、60％のユーザー組織が、API に関連する侵害を少なくとも１回は経験している。これは憂慮すべき傾向であり、対処すべき問題である。

Google Chrome の新機能のテストが開始：プライベート・ネットワークへの攻撃をブロック

New Google Chrome feature blocks attacks against home networks

2024/02/17 BleepingComputer — Google Chrome の新機能のテストが始まった。その機能というのは、悪意の Web サイトがユーザーのブラウザを経由して、内部プライベート・ネットワーク上のデバイスやサービスを攻撃するのを防ぐためのものだ。簡単に言うと Google は、インターネット上の悪質な Web サイトを訪問したユーザーの、自宅やコンピュータ上のデバイスが、攻撃されることを防ごうと計画しているのだ。一般的に、これらのデバイスは、インターネットにはダイレクトに接続されておらず、ルーターにより保護されているため、安全だと考えられている。

Google Magika がオープンソース化：AI でファイルの安全性を識別

Google Open Sources Magika: AI-Powered File Identification Tool

2024/02/17 TheHackerNews — Google は、人工知能 (AI) を搭載したファイル識別ツールである Magika をオープンソース化することを発表した。同社は、「Magika は、従来のファイル識別方法を凌駕するものであり、VBA／JavaScript／Powershell などの、従来は識別が困難であったが潜在的に問題のあるコンテンツに対して、全体として 30％の精度向上と、最大で 95％の高精度を提供する」と述べている。

Gmail／Yahoo の DMARC が始まった：セキュリティの優位性をビジネスの優位性に

Gmail & Yahoo DMARC rollout: When cyber compliance gives a competitive edge

2024/02/16 HelpNetSecurity — サイバー・セキュリティの本質は、単なる防御だけにあるのではなく、信頼と信用を通じてビジネスを可能にすることにある。Gmail や Yahoo がメール認証の厳格化に踏み切る中、DMARC コンプライアンスに積極的に取り組む組織は、セキュリティ態勢を強化するだけではなく、大きなアドバンテージを得るだろう。このように、DMARC コンプライアンスは、単に標準を満たすだけではなく、混迷するデジタル市場において大きなチャンスをつかむ可能性をもたらす。

OSINT の商業的な活用：それはセキュリティ・チームの仕事になる

Rethinking Open-Source Intelligence for Security in Commercial Settings

2024/02/16 InfoSecurity — グローバルなセキュリティとインテリジェンスの状況が進化し続ける中で、OSINT (Open-Source Intelligence) は、政府／軍／法執行機関にとって貴重なツールとして支持を得ている。捜査官やアナリストたちは、通常の手作業では数時間／数日／数ヶ月かかるプロセスを、OSINT により僅か数分で自動化できるようになった。

CISA と OpenSSF の新たな OSS フレームワーク：安全なパッケージ・リポジトリのために

CISA and OpenSSF Release Framework for Package Repository Security

2024/02/12 TheHackerNews — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、 OpenSSF (Open Source Security Foundation) の Securing Software Repositories Working Group と提携し、パッケージ・リポジトリの安全性を確保するための新しいフレームワークを発表した。この Principles for Package Repository Security と呼ばれるフレームワークは、パッケージ・マネージャのための一連の基本ルールを確立することで、オープンソース・ソフトウェアのエコシステムの強化を目的としている。

Critical と評価される脆弱性が多すぎる：Electron 開発チームの主張とは？

Electron Team Addresses “runAsNode” CVE Misconceptions

2024/02/11 SecurityOnline — 日進月歩のソフトウェア開発において、セキュリティは常に最重要課題であり、特に脆弱性が報告された場合には、多くの人々に影響が生じる。先日に Electron 開発チームは、Discord／Postman／Notion／Evernote などの macOS アプリに関連する、複数の CVE が公開されたことを受け、この懸念の嵐に直面した。これらの脆弱性では、”runAsNode” と “enableNodeCliInspectArguments” の設定が問題のコアとされ、報告された脆弱性の本質と深刻度について重要な対話が巻き起こった。

Open-Source Security の現状と未来：コミュニティとユーザーと政府は何を考えるべきか？

How to Navigate Open-Source Security Without Stifling Innovation

2024/02/08 InfoSecurity — Open-Source ソフトウェアのコードが、重要インフラを含むあらゆる部門で利用される規模を反映するかのように、各国政府におけるセキュリティへの関心が高まっている。Open-Source ソフトウェアの広範な利用と、それがもたらすリスクは、2021年12月に発見された悪名高い Log4j の脆弱性により証明された。その影響力は、グローバルで 58% の組織に及んだとされている。

Sudo for Windows を Microsoft が発表：人間工学に基づいたソリューションと主張

Microsoft unveils new ‘Sudo for Windows’ feature in Windows 11

2024/02/08 BleepingComputer — 今日、Microsoft は、Windows 11 の新機能として “Sudo for Windows” を発表した。さらに同社は、この新しいツールのオープンソース化に取り組んでおり、より多くの設定オプションと、より広範な機能を持つ代替手段として、Gerardo Grignoli の gsudo を推奨している。Microsoft は、「Sudo for Windows は、昇格前のコンソール・セッションにおいて、ユーザーがダイレクトに昇格コマンドを実行する新しい方法である」と述べている。

MaaS 感染が最大の脅威：2023年下半期のサイバー攻撃 – Darktrace 調査

Malware-as-a-Service Now the Top Threat to Organizations

2024/02/06 InfoSecurity — Darktrace の最新の研究によると、2023年下半期に、組織にとっての最大の脅威となったのは、MaaS (Malware-as-a-Service) 感染だったという。Darktrace の 2023 年の “End of Year Threat Report” では、多くのマルウェアが機能横断的に適応していることが強調されている。そこに含まれるものには、リモート・アクセス型トロイの木馬 (RAT：Remote Access Trojans) のようなマルウェア・ローダーと、情報窃取型マルウェアとの組み合わせも存在する。

Linux sudo コマンドを Windows Server 2025 で発見：製品版に入れば嬉しい

Microsoft is bringing the Linux sudo command to Windows Server

2024/02/04 BleepingComputer — Microsoft は、Linux の “sudo” 機能を Windows Server 2025 に導入し、管理者がコンソール・アプリケーションの特権を昇格させるための新たな方法を提供するという。Superuser do (sudo) は、Linux のコンソール・プログラムであり、低特権ユーザーに対して、昇格した特権 (通常は root) でのコマンド実行を許すものである。このコマンドにより、通常ではサーバを低特権アカウントで使用し、特定のコマンドを実行する場合に限り、特権への昇格を可能にするため、Linux のセキュリティを向上させている。

Chrome サードパーティ Cookie の段階的な廃止が始まる：あなたはテストの対象？

Check if you’re in Google Chrome’s third-party cookie phaseout test

2024/02/03 BleepingComputer — Google Chrome のサードパーティ Cookie の、段階的な廃止のテストが開始された。このテストは、ユーザーの約１％にあたる、約 3,000万人を対象に実施されるという。この記事では、自分がテストの対象に該当するかどうかを、確認する方法を紹介する。サードパーティ Cookie とは、ターゲット広告のために、さまざまな Web サイトでのユーザーの閲覧習慣を追跡するものだが、Google の Privacy Sandbox API へと、徐々に置き換えられている。Privacy Sandbox API とは、ユーザーのプライバシーを損なうことなく、ユーザーの興味に基づき、パーソナライズされた広告表示を行うことを目的としている。

Cloudflare にも影響を及ぼした Okta 攻撃：盗まれたアクセス・トークンの悪用が発生

Cloudflare hacked using auth tokens stolen in Okta attack

2024/02/01 BleepingComputer — 今日、Cloudflare が公表したのは、同社内の Atlassian サーバが APT と疑われる人物に侵入され、Confluence wiki／Jira Bug Database／Bitbucket Source Code Management System への不正アクセスが発生したことだ。この脅威アクターは、11月14日の時点で Cloudflare のセルフ・ホスト型 Atlassian サーバにアクセスし、偵察段階を経た後に、同社の Confluence／Jira システムにアクセスした。

CVSS4.0 の変更点：攻撃の複雑さと要件のパラメータについて詳述する

Does CVSS 4.0 solve the exploitability problem?

2024/01/31 HelpNetSecurity — 脆弱性スコアリングシステム CVSS の最新版である、CVSS 4.0 が登場した。2015年の CVSS 3.0 のリリースから長い時を経て、2023年11月から、CVSS 4.0 が正式に稼動している。CVSS 3.0 を基に構築された CVSS 4.0 では、脆弱性のスコアリング／認識／分類方法などが改善されている。

ランサムウェアの 2023年：急増の要因と戦術の変化 – GRIT Report

GRIT Report 2023: Unpacking the Surge in Ransomware Attacks

2024/01/29 SecurityOnline — GRIT Ransomware Annual Report 2023 は、進化するランサムウェアの詳細な状況を、包括的に解説するレポートである。そこでは、ランサムウェア攻撃の急増について分析が行われるだけではなく、さまざまなランサムウェア・グループの複雑な仕組みや戦略についても詳述されている。

Defense-in-Depth 戦略の自動化に関する考察 – Picus Security

Perfecting the Defense-in-Depth Strategy with Automation

2024/01/26 TheHackerNews — 中世の城郭は、その綿密な設計のおかげで、何世紀にもわたって難攻不落の要塞として機能してきた。デジタルの時代になっても、この中世の知恵はサイバー・セキュリティに継承されている。攻撃に耐えるために、戦略的なレイアウトが施された城のように、Defense-in-Depth 戦略は、戦略的な冗長性と受動的／能動的なセキュリティ制御を組み合わせた、現代における多層的なアプローチである。

Web Browser ベースのフィッシング：2023年の前半／後半の比較で 198% も増加

Browser Phishing Threats Grew 198% Last Year

2024/01/24 InfoSecurity — Web ブラウザ・ベースのフィッシング攻撃が、2023年の上半期と下半期の比較において 198% も増加し、それに伴い回避型攻撃も 206% 増加したことを、セキュリティ研究者たちが観測している。この調査結果は、Menlo Security が先日に発表した “2023 State of Browser Security Report” で報告されており、ブラウザを標的とする Highly Evasive Adaptive Threats (HEAT) の急増という、懸念すべき傾向を浮き彫りにしている。

2023年ランサムウェア調査：組織の 75% が攻撃に遭っている – Veeam

75% of Organizations Hit by Ransomware in 2023

20124/01/17 InfoSecurity — Veeam の Data Protection Trends Report 2024 によると、2023年は 75％の組織が、少なくとも１回のランサムウェア攻撃を受けていたことがわかった。研究者たちによると、2023年は、ランサムウェア攻撃を受けなかったと回答した組織よりも、4回以上攻撃を受けた組織 (26％) の方が多かったという。Veeam の VP／Market Strategy である Jason Buffington は、「統計的に、ランサムウェアは、”発生するかどうか” というものではなく、”いつかは発生する可能性があるもの” だと言える」と、オンラインの事前ブリーフィングでコメントしている。

グローバル小売業におけるクッキー・ミスコンフィグのケース・スタディ – Reflectiz

Case Study: The Cookie Privacy Monster in Big Global Retail

2024/01/16 TheHackerNews — 先進的な暴露管理ソリューションが、ある大手小売業界のクライアントを、Cookie 管理ポリシーのミスコンフィグレーションによる罰則から救った事例を紹介する。これは悪意のものではなかったが、現代の Web 環境は非常に複雑であるため、同様のミスは起こりうると言える。

GitHub 2023 調査：リポジトリを悪用するサイバー攻撃の増加 – Recorded Future

Security Experts Urge IT to Lock Down GitHub Services

2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。

82% の企業がセキュリティ管理に苦慮している：300人の CISO たちは何を考える？

82% of Companies Struggle to Manage Security Exposure

2024/01/09 InfoSecurity — セキュリティ上の脅威と、それに対する管理能力とのギャップが拡大していると、82％もの企業が報告している。この数値は、XM Cyber の “2024 State of Security Posture Report” から抽出したものであり、この調査では、米国と英国の主要企業の CISO およびセキュリティ意思決定者 300人から得られた知見がまとめられている。この、2024年1月9日に発行された報告書は、サイバー・セキュリティの課題に対して、組織が取り組む際の方式を調査し、業界内の傾向と問題に注目するものになっている。

Apple AirDrop のデバイス・ログの解読方法を中国が発見：ユーザーの電話番号などが特定可能に

China claims it cracked Apple’s AirDrop to find numbers, email addresses

2024/01/09 BleepingComputer — 中国の国営研究機関が発見したのは、Apple AirDrop 機能におけるデバイス・ログの解読方法だ。同機関は、この手法により、コンテンツを共有したユーザーの電話番号やメールアドレスを、政府が特定できるようになったと主張している。中国は以前から、国民に対する規制を行ってきた。同国が実施してきた規制策としては、モバイル・アプリへのアクセス・ブロックの Apple への要求がある。また、Signal などの暗号化されたメッセージング・アプリのブロックや、Great Firewall of China による中国国内での Web サイト閲覧規制なども挙げられる。

ファイル共有のベスト・プラクティス：SaaS の公開リンクが攻撃対象になる理由とは？

Why Public Links Expose Your SaaS Attack Surface

2024/01/09 TheHackerNews — SaaS の強力なセールスポイントとなっているのは、アプリケーション間における連携機能である。Microsoft／Github／Miro などは、ユーザーのパフォーマンスを高めるものとして、各々のソフトウェア・アプリケーションの連携性の高さを訴求している。ファイル／リポジトリ／掲示板などへのリンク URL は、どこでも、誰とでも、共有できる。それにより、地域や部署を越えて分散している従業員間の連携が促進され、より強力なキャンペーンやプロジェクトを生み出すためのチームワークが後押しされる。

Authy のデスクトップ版が 2024年8月に廃止：モバイル版への移行を急ごう

Twilio will ditch its Authy desktop 2FA app in August, goes mobile only

2024/01/08 BleepingComputer — Authy デスクトップ・アプリの Windows／macOS／Linux 用が、2024年8月に廃止されることが決定した。同社はユーザーに対して、モバイル版の二要素認証 (2FA：Two-Factor Authentication) アプリへの切り替えを推奨している。Authy は、オンライン・アカウントに 2FA を設定できる認証アプリであり、30秒ごとに固有の認証コードを生成して、認証されたアクセスを容易にするものだ。

フクイチ核物質処理水とハクティビズム：日本の政府／民間へのサイバー攻撃が始まっている

Operation Japan’s Cyber Response to Fukushima Decision

2024/01/07 SecurityOnline — サイバー・セキュリティ界に新たなキャンペーンが登場し、大きな関心を呼んでいる。この Operation Japan と名付けられたキャンペーンは、福島第一原子力発電所の処理水を海に放出するという日本の決定が、物議を醸していることを背景に展開されている。この日本の決定はサイバー・アクティビズムの波を引き起こし、日本政府や民間企業に対する一連の協調的なサイバー攻撃につながっているという。

Google API を介したトークン窃取：OAuth MultiLogin 問題は軽視されている？

Google: Malware abusing API is standard token theft, not an API issue

2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する２つの情報窃盗マルウェア・オペレーション Lumma／Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。

急増する暗号通貨の詐欺広告：X 広告が悪用されている

X users fed up with constant stream of malicious crypto ads

2024/01/06 bleepingComputer — X の広告を悪用するサイバー犯罪者たちが、暗号ドレイナーや偽エアドロップなどの詐欺につながる Web サイトを宣伝している。X (旧 Twitter) は、他の広告プラットフォームと同様に、ユーザーのアクティビティに基づき、ユーザーの関心に一致した広告を表示させると謳っている。

ソフトウェア・サプライ・チェーンの安全性：三本柱の実践で改善できるはず

Three Ways To Supercharge Your Software Supply Chain Security

2024/01/04 TheHackerNews — “Executive Order on Improving the Nation’s Cybersecurity” の第４節で紹介されているのは、技術業界の人々のための、ソフトウェア・サプライ・チェーンと安全性確保の概念である。もし、あなたがソフトウェアを作り、それを連邦政府機関に売りたいと考えているのであれば、ソフトウェア・サプライ・チェーンについて注意を払う必要がある。もし、政府機関に販売する計画がないとしても、ソフトウェア・サプライ・チェーンを理解し、その安全性を確保する方法を学ぶことで、より強固なセキュリティの足場とメリットという配当が得られる。この記事では、ソフトウェア・サプライチェーンのセキュリティを強化するための、３つの方法について説明していく。

npm で発生した “依存性地獄”：パッケージ削除を禁止する最悪の連鎖が発生

‘everything’ blocks devs from removing their own npm packages

2024/01/04 BleepingComputer — 年末年始の連休中に、npm パッケージのレジストリは 3,000以上のパッケージで溢れかえった。この、”everything” をダウンロードするように命名されたパッケージは、すべての npm パッケージを徐々に取り込む。それらは、コンピュータ上の npmjs.com レジストリに公開されものであり、ストレージが不足する可能性がある。しかし、このような問題は、氷山の一角にすぎない。つまり、誰が “everything をインストールするのかという疑問は、このパッケージが持っている、もっと大きな副作用を無視している。

LastPass が要求する 12文字以上のマスター・パスワード：2024年1月から強制

LastPass now requires 12-character master passwords for better security

2024/01/03 BleepingComputer — 1月3日に LastPass が顧客に通知したのは、アカウントのセキュリティを高めるための、最低 12文字の複雑なマスター・パスワード使用の義務付けである。2018年以降において LastPass は、12 文字のマスター・パスワードが必要であると繰り返し述べてきたが、ユーザーたちは脆弱なものを使用することが可能であった。

Enterprise Browser Buyer’s Guide：企業にとって重要な視点を提供する

The Definitive Enterprise Browser Buyer’s Guide

2024/01/02 TheHackerNews — 現代の企業環境において、Web ブラウザは重要な役割を担っている。したがって、その管理／保護の方法の再評価が必要であると、セキュリティ関係者たちは認識し始めている。Web に起因するリスクは、エンドポイント／ネットワーク／クラウドなどの各ソリューションの、パッチワークのようなもので対処されてきたが、それらのソリューションが個別に提供する部分的な保護では、もはや不十分であることが明らかだ。

Google Groups が Usenet のサポート終了を発表：蔓延するスパム対策のため

Google Groups is ending support for Usenet to combat spam

2024/01/02 BleepingComputer — Google が先日に公式に発表したのは、Google Groups プラットフォームにおける、 Usenet グループのサポート終了だ。このサポートの終了は、2024年2月22日に実施され、それ以降においてユーザーは、Google Groups で新しい Usenet コンテンツの投稿／購読／閲覧ができなくなる。ただし、2月22日以前に投稿された、過去の Usenet コンテンツは、引き続き Google Groups で閲覧／検索できるという。

OAuth エンドポイント MultiLogin：Google 認証クッキー復元の PoC もリリース

Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts

2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。

GitHub の2FA 義務化：2024年1月19日から正式スタート

GitHub warns users to enable 2FA before upcoming deadline

2023/12/26 BleepingComputer — GitHub アカウントにおいて、２要素認証 (2FA) が有効化されていない場合には、同サイトでの機能が制限されると警告されている。クリスマス・イブに GitHub ユーザーに送られたメールには、 GitHub.com でコードをコントリビュートしている全ユーザーは、2024年1月19日までに 2FA を有効化する必要があると記されている。

OpenSSH の脆弱性 CVE-2023-51385／CVE-2023-6004 が FIX：直ちにアップデートを！

CVE-2023-51385 and CVE-2023-6004 – A Dual OpenSSH Threat

2023/12/23 SecurityOnline — 最近のことだが、セキュアなネットワーキングにおける重要コンポーネントである OpenSSH が、手ごわい難題に直面している。現在はパッチが適用されているセキュリティ脆弱性 CVE-2023-51385 (CVSS：9.8) が、セキュアチャネル・オペレーションの根幹を脅かしていたのだ。この脆弱性は、9.6p1 未満の全バージョンの OpenSSH に影響を及ぼす。

CloakQuest3r：Cloudflare などで保護された真の IP アドレスを明らかにする

CloakQuest3r: Uncover the true IP address of websites safeguarded by Cloudflare & Others

2023/12/21 SecurityOnline — CloakQuest3r は、Cloudflare などのサービスにより保護されている Web サイトの、真の IP アドレスを発見するために作成された、綿密かつ強力な Python ツールである。このツールの主な目的は、Cloudflare の保護シールドに隠れている Web サーバの実際の IP アドレスを正確に識別することにある。そして、この追跡における重要な技術として、サブドメイン・スキャンが採用されている。

サイバー攻撃の 86% は暗号化チャネルを介して到達する：HTTPS 攻撃は前年比で 24% 増

86% of cyberattacks are delivered over encrypted channels

2023/12/21 HelpNetSecurity — HTTPS を介した脅威は 2022年から 24%増加し、暗号化されたチャネルを標的にするサイバー犯罪の手口の巧妙化が、Zscaler により明らかにされた。２年連続で最も標的とされた業界は製造業であり、それに続く教育機関と政府機関は、前年比で攻撃増加率が最も高くなっている。その他の暗号化チャネルを介した攻撃タイプと比べて、悪意の Web コンテンツやマルウェアのペイロードなどの配信が多く見受けられ、すべてのブロックされた攻撃全体の 78% を、広告スパイウェア・サイトとクロスサイト・スクリプティング攻撃が占めていた。

2023年の脆弱性は 26,447件：悪用に至ったものは１％に過ぎない – Qualys

More Flaws, Fewer Frightmares: 2023 Cybersecurity – A Tale of Exploitable Echoes

2023/12/20 SecurityOnline — 2023年の終わりを迎えるにあたり、私たちのデジタル世界を形成してきたサイバー脅威を振り返ることは極めて重要である。今年のサイバー・セキュリティ領域はジェットコースターのような１年であり、デジタル脅威に対する理解と挑戦があり、また、前進させてきたという進展があった。Qualys Threat Research Unit の包括的な分析から、今年のサイバー脅威の状況について、重要な洞察を得ることが可能となっている。