Literacy – Page 16 – IoT OT Security News

Cloudflare にも影響を及ぼした Okta 攻撃：盗まれたアクセス・トークンの悪用が発生

Cloudflare hacked using auth tokens stolen in Okta attack

2024/02/01 BleepingComputer — 今日、Cloudflare が公表したのは、同社内の Atlassian サーバが APT と疑われる人物に侵入され、Confluence wiki／Jira Bug Database／Bitbucket Source Code Management System への不正アクセスが発生したことだ。この脅威アクターは、11月14日の時点で Cloudflare のセルフ・ホスト型 Atlassian サーバにアクセスし、偵察段階を経た後に、同社の Confluence／Jira システムにアクセスした。

CVSS4.0 の変更点：攻撃の複雑さと要件のパラメータについて詳述する

Does CVSS 4.0 solve the exploitability problem?

2024/01/31 HelpNetSecurity — 脆弱性スコアリングシステム CVSS の最新版である、CVSS 4.0 が登場した。2015年の CVSS 3.0 のリリースから長い時を経て、2023年11月から、CVSS 4.0 が正式に稼動している。CVSS 3.0 を基に構築された CVSS 4.0 では、脆弱性のスコアリング／認識／分類方法などが改善されている。

ランサムウェアの 2023年：急増の要因と戦術の変化 – GRIT Report

GRIT Report 2023: Unpacking the Surge in Ransomware Attacks

2024/01/29 SecurityOnline — GRIT Ransomware Annual Report 2023 は、進化するランサムウェアの詳細な状況を、包括的に解説するレポートである。そこでは、ランサムウェア攻撃の急増について分析が行われるだけではなく、さまざまなランサムウェア・グループの複雑な仕組みや戦略についても詳述されている。

Defense-in-Depth 戦略の自動化に関する考察 – Picus Security

Perfecting the Defense-in-Depth Strategy with Automation

2024/01/26 TheHackerNews — 中世の城郭は、その綿密な設計のおかげで、何世紀にもわたって難攻不落の要塞として機能してきた。デジタルの時代になっても、この中世の知恵はサイバー・セキュリティに継承されている。攻撃に耐えるために、戦略的なレイアウトが施された城のように、Defense-in-Depth 戦略は、戦略的な冗長性と受動的／能動的なセキュリティ制御を組み合わせた、現代における多層的なアプローチである。

Web Browser ベースのフィッシング：2023年の前半／後半の比較で 198% も増加

Browser Phishing Threats Grew 198% Last Year

2024/01/24 InfoSecurity — Web ブラウザ・ベースのフィッシング攻撃が、2023年の上半期と下半期の比較において 198% も増加し、それに伴い回避型攻撃も 206% 増加したことを、セキュリティ研究者たちが観測している。この調査結果は、Menlo Security が先日に発表した “2023 State of Browser Security Report” で報告されており、ブラウザを標的とする Highly Evasive Adaptive Threats (HEAT) の急増という、懸念すべき傾向を浮き彫りにしている。

2023年ランサムウェア調査：組織の 75% が攻撃に遭っている – Veeam

75% of Organizations Hit by Ransomware in 2023

20124/01/17 InfoSecurity — Veeam の Data Protection Trends Report 2024 によると、2023年は 75％の組織が、少なくとも１回のランサムウェア攻撃を受けていたことがわかった。研究者たちによると、2023年は、ランサムウェア攻撃を受けなかったと回答した組織よりも、4回以上攻撃を受けた組織 (26％) の方が多かったという。Veeam の VP／Market Strategy である Jason Buffington は、「統計的に、ランサムウェアは、”発生するかどうか” というものではなく、”いつかは発生する可能性があるもの” だと言える」と、オンラインの事前ブリーフィングでコメントしている。

グローバル小売業におけるクッキー・ミスコンフィグのケース・スタディ – Reflectiz

Case Study: The Cookie Privacy Monster in Big Global Retail

2024/01/16 TheHackerNews — 先進的な暴露管理ソリューションが、ある大手小売業界のクライアントを、Cookie 管理ポリシーのミスコンフィグレーションによる罰則から救った事例を紹介する。これは悪意のものではなかったが、現代の Web 環境は非常に複雑であるため、同様のミスは起こりうると言える。

GitHub 2023 調査：リポジトリを悪用するサイバー攻撃の増加 – Recorded Future

Security Experts Urge IT to Lock Down GitHub Services

2024/01/15 InfoSecurity — GitHub サービスを悪用して秘密裏にサイバー攻撃を仕掛けるケースが増えていると、脅威インテリジェンス企業である Recorded Future が警告している。同社は、企業の IT チームに対して、対策を講じるよう呼びかけている。Recorded Future の最新レポート “Flying Under the Radar: Abusing GitHub for Malicious Infrastructure” では、脅威アクターに最もよく悪用される GitHub サービスが列挙されている。

82% の企業がセキュリティ管理に苦慮している：300人の CISO たちは何を考える？

82% of Companies Struggle to Manage Security Exposure

2024/01/09 InfoSecurity — セキュリティ上の脅威と、それに対する管理能力とのギャップが拡大していると、82％もの企業が報告している。この数値は、XM Cyber の “2024 State of Security Posture Report” から抽出したものであり、この調査では、米国と英国の主要企業の CISO およびセキュリティ意思決定者 300人から得られた知見がまとめられている。この、2024年1月9日に発行された報告書は、サイバー・セキュリティの課題に対して、組織が取り組む際の方式を調査し、業界内の傾向と問題に注目するものになっている。

Apple AirDrop のデバイス・ログの解読方法を中国が発見：ユーザーの電話番号などが特定可能に

China claims it cracked Apple’s AirDrop to find numbers, email addresses

2024/01/09 BleepingComputer — 中国の国営研究機関が発見したのは、Apple AirDrop 機能におけるデバイス・ログの解読方法だ。同機関は、この手法により、コンテンツを共有したユーザーの電話番号やメールアドレスを、政府が特定できるようになったと主張している。中国は以前から、国民に対する規制を行ってきた。同国が実施してきた規制策としては、モバイル・アプリへのアクセス・ブロックの Apple への要求がある。また、Signal などの暗号化されたメッセージング・アプリのブロックや、Great Firewall of China による中国国内での Web サイト閲覧規制なども挙げられる。

ファイル共有のベスト・プラクティス：SaaS の公開リンクが攻撃対象になる理由とは？

Why Public Links Expose Your SaaS Attack Surface

2024/01/09 TheHackerNews — SaaS の強力なセールスポイントとなっているのは、アプリケーション間における連携機能である。Microsoft／Github／Miro などは、ユーザーのパフォーマンスを高めるものとして、各々のソフトウェア・アプリケーションの連携性の高さを訴求している。ファイル／リポジトリ／掲示板などへのリンク URL は、どこでも、誰とでも、共有できる。それにより、地域や部署を越えて分散している従業員間の連携が促進され、より強力なキャンペーンやプロジェクトを生み出すためのチームワークが後押しされる。

Authy のデスクトップ版が 2024年8月に廃止：モバイル版への移行を急ごう

Twilio will ditch its Authy desktop 2FA app in August, goes mobile only

2024/01/08 BleepingComputer — Authy デスクトップ・アプリの Windows／macOS／Linux 用が、2024年8月に廃止されることが決定した。同社はユーザーに対して、モバイル版の二要素認証 (2FA：Two-Factor Authentication) アプリへの切り替えを推奨している。Authy は、オンライン・アカウントに 2FA を設定できる認証アプリであり、30秒ごとに固有の認証コードを生成して、認証されたアクセスを容易にするものだ。

フクイチ核物質処理水とハクティビズム：日本の政府／民間へのサイバー攻撃が始まっている

Operation Japan’s Cyber Response to Fukushima Decision

2024/01/07 SecurityOnline — サイバー・セキュリティ界に新たなキャンペーンが登場し、大きな関心を呼んでいる。この Operation Japan と名付けられたキャンペーンは、福島第一原子力発電所の処理水を海に放出するという日本の決定が、物議を醸していることを背景に展開されている。この日本の決定はサイバー・アクティビズムの波を引き起こし、日本政府や民間企業に対する一連の協調的なサイバー攻撃につながっているという。

Google API を介したトークン窃取：OAuth MultiLogin 問題は軽視されている？

Google: Malware abusing API is standard token theft, not an API issue

2024/01/06 BleepingComputer — Google は、先日に発見されたマルウェアの報告を軽視している。このマルウェアは、Google Chrome の文書化されていない API を悪用して、以前に盗まれた認証クッキーの有効期限が切れた際に新しい認証クッキーを生成するものだ。2023年11月下旬に、BleepingComputer は、攻撃で盗まれた期限切れの Google 認証クッキーを復元する２つの情報窃盗マルウェア・オペレーション Lumma／Rhadamanthys について報告をしている。これらのクッキーは、感染したユーザーの Google アカウントへの不正アクセスのために、脅威アクターに悪用される可能性がある。

急増する暗号通貨の詐欺広告：X 広告が悪用されている

X users fed up with constant stream of malicious crypto ads

2024/01/06 bleepingComputer — X の広告を悪用するサイバー犯罪者たちが、暗号ドレイナーや偽エアドロップなどの詐欺につながる Web サイトを宣伝している。X (旧 Twitter) は、他の広告プラットフォームと同様に、ユーザーのアクティビティに基づき、ユーザーの関心に一致した広告を表示させると謳っている。

ソフトウェア・サプライ・チェーンの安全性：三本柱の実践で改善できるはず

Three Ways To Supercharge Your Software Supply Chain Security

2024/01/04 TheHackerNews — “Executive Order on Improving the Nation’s Cybersecurity” の第４節で紹介されているのは、技術業界の人々のための、ソフトウェア・サプライ・チェーンと安全性確保の概念である。もし、あなたがソフトウェアを作り、それを連邦政府機関に売りたいと考えているのであれば、ソフトウェア・サプライ・チェーンについて注意を払う必要がある。もし、政府機関に販売する計画がないとしても、ソフトウェア・サプライ・チェーンを理解し、その安全性を確保する方法を学ぶことで、より強固なセキュリティの足場とメリットという配当が得られる。この記事では、ソフトウェア・サプライチェーンのセキュリティを強化するための、３つの方法について説明していく。

npm で発生した “依存性地獄”：パッケージ削除を禁止する最悪の連鎖が発生

‘everything’ blocks devs from removing their own npm packages

2024/01/04 BleepingComputer — 年末年始の連休中に、npm パッケージのレジストリは 3,000以上のパッケージで溢れかえった。この、”everything” をダウンロードするように命名されたパッケージは、すべての npm パッケージを徐々に取り込む。それらは、コンピュータ上の npmjs.com レジストリに公開されものであり、ストレージが不足する可能性がある。しかし、このような問題は、氷山の一角にすぎない。つまり、誰が “everything をインストールするのかという疑問は、このパッケージが持っている、もっと大きな副作用を無視している。

LastPass が要求する 12文字以上のマスター・パスワード：2024年1月から強制

LastPass now requires 12-character master passwords for better security

2024/01/03 BleepingComputer — 1月3日に LastPass が顧客に通知したのは、アカウントのセキュリティを高めるための、最低 12文字の複雑なマスター・パスワード使用の義務付けである。2018年以降において LastPass は、12 文字のマスター・パスワードが必要であると繰り返し述べてきたが、ユーザーたちは脆弱なものを使用することが可能であった。

Enterprise Browser Buyer’s Guide：企業にとって重要な視点を提供する

The Definitive Enterprise Browser Buyer’s Guide

2024/01/02 TheHackerNews — 現代の企業環境において、Web ブラウザは重要な役割を担っている。したがって、その管理／保護の方法の再評価が必要であると、セキュリティ関係者たちは認識し始めている。Web に起因するリスクは、エンドポイント／ネットワーク／クラウドなどの各ソリューションの、パッチワークのようなもので対処されてきたが、それらのソリューションが個別に提供する部分的な保護では、もはや不十分であることが明らかだ。

Google Groups が Usenet のサポート終了を発表：蔓延するスパム対策のため

Google Groups is ending support for Usenet to combat spam

2024/01/02 BleepingComputer — Google が先日に公式に発表したのは、Google Groups プラットフォームにおける、 Usenet グループのサポート終了だ。このサポートの終了は、2024年2月22日に実施され、それ以降においてユーザーは、Google Groups で新しい Usenet コンテンツの投稿／購読／閲覧ができなくなる。ただし、2月22日以前に投稿された、過去の Usenet コンテンツは、引き続き Google Groups で閲覧／検索できるという。

OAuth エンドポイント MultiLogin：Google 認証クッキー復元の PoC もリリース

Malware abuses Google OAuth endpoint to ‘revive’ cookies, hijack accounts

2023/12/29 BleepingComputer — 複数の情報窃取型マルウェア・ファミリーが、情報が文書化されていない MultiLogin という、Google OAuth エンドポイントを悪用していることが判明した。このエンドポイントを悪用することで、たとえアカウントのパスワードがリセットされた後でも、期限切れの認証クッキーを復元して、ユーザーのアカウントにログインすることが可能になる。セッション・クッキーとは、認証情報を含む特殊なブラウザ・クッキーであり、認証情報を入力することなく、Web サイトやサービスに自動的にログインできるようにするものだ。この種のクッキーは有効期間が限られているため、脅威アクターがクッキーを盗んだとしても、アカウントへのログインのために無期限に使用することはできないのが通常である。

GitHub の2FA 義務化：2024年1月19日から正式スタート

GitHub warns users to enable 2FA before upcoming deadline

2023/12/26 BleepingComputer — GitHub アカウントにおいて、２要素認証 (2FA) が有効化されていない場合には、同サイトでの機能が制限されると警告されている。クリスマス・イブに GitHub ユーザーに送られたメールには、 GitHub.com でコードをコントリビュートしている全ユーザーは、2024年1月19日までに 2FA を有効化する必要があると記されている。

OpenSSH の脆弱性 CVE-2023-51385／CVE-2023-6004 が FIX：直ちにアップデートを！

CVE-2023-51385 and CVE-2023-6004 – A Dual OpenSSH Threat

2023/12/23 SecurityOnline — 最近のことだが、セキュアなネットワーキングにおける重要コンポーネントである OpenSSH が、手ごわい難題に直面している。現在はパッチが適用されているセキュリティ脆弱性 CVE-2023-51385 (CVSS：9.8) が、セキュアチャネル・オペレーションの根幹を脅かしていたのだ。この脆弱性は、9.6p1 未満の全バージョンの OpenSSH に影響を及ぼす。

CloakQuest3r：Cloudflare などで保護された真の IP アドレスを明らかにする

CloakQuest3r: Uncover the true IP address of websites safeguarded by Cloudflare & Others

2023/12/21 SecurityOnline — CloakQuest3r は、Cloudflare などのサービスにより保護されている Web サイトの、真の IP アドレスを発見するために作成された、綿密かつ強力な Python ツールである。このツールの主な目的は、Cloudflare の保護シールドに隠れている Web サーバの実際の IP アドレスを正確に識別することにある。そして、この追跡における重要な技術として、サブドメイン・スキャンが採用されている。

サイバー攻撃の 86% は暗号化チャネルを介して到達する：HTTPS 攻撃は前年比で 24% 増

86% of cyberattacks are delivered over encrypted channels

2023/12/21 HelpNetSecurity — HTTPS を介した脅威は 2022年から 24%増加し、暗号化されたチャネルを標的にするサイバー犯罪の手口の巧妙化が、Zscaler により明らかにされた。２年連続で最も標的とされた業界は製造業であり、それに続く教育機関と政府機関は、前年比で攻撃増加率が最も高くなっている。その他の暗号化チャネルを介した攻撃タイプと比べて、悪意の Web コンテンツやマルウェアのペイロードなどの配信が多く見受けられ、すべてのブロックされた攻撃全体の 78% を、広告スパイウェア・サイトとクロスサイト・スクリプティング攻撃が占めていた。

2023年の脆弱性は 26,447件：悪用に至ったものは１％に過ぎない – Qualys

More Flaws, Fewer Frightmares: 2023 Cybersecurity – A Tale of Exploitable Echoes

2023/12/20 SecurityOnline — 2023年の終わりを迎えるにあたり、私たちのデジタル世界を形成してきたサイバー脅威を振り返ることは極めて重要である。今年のサイバー・セキュリティ領域はジェットコースターのような１年であり、デジタル脅威に対する理解と挑戦があり、また、前進させてきたという進展があった。Qualys Threat Research Unit の包括的な分析から、今年のサイバー脅威の状況について、重要な洞察を得ることが可能となっている。

企業の 85% でインシデントが発生：そのうちの 11% は Shadow IT 関連 -Kaspersky

New Report: 85% Firms Face Cyber Incidents, 11% From Shadow IT

2023/12/20 InfoSecurity — これまでの２年間で、世界の企業の 85％がサイバー・インシデントを経験しており、そのうちの 11％は Shadow IT が原因となっている。この数字は、サイバー・セキュリティ企業 Kaspersky が、先日に実施した調査に基づくものであり、企業において懸念すべき脅威のパターンを露呈している。Kaspersky によると、分散型ワークフォースが拡大する中、従業員による Shadow IT の利用が深刻化しているため、企業におけるセキュリティが危殆性しているという。

OpenSSH 接続を劣化させる Terrapin 攻撃：新たな研究成果が発表された

Terrapin attacks can downgrade security of OpenSSH connections

2023/12/19 BleepingComputer — 広く普及している暗号化モードにおいて、ハンドシェイク・プロセス中のシーケンス番号を操作することで SSH チャネルの整合性を破壊する、Terrapin という新しい攻撃手法を学術研究者たちが考え出した。この操作により、通信チャネルを通じて交換されるメッセージの削除／変更が、攻撃者に許されることになる。結果として、OpenSSH 9.5 のユーザー認証に使用される公開鍵アルゴリズムのダウングレードや、キーストローク・タイミング攻撃に対する防御の無効化などにいたるという。

SMTP スマグリングの最新テクニック：DMARC などの防御を潜り抜けていく

Novel SMTP Smuggling Technique Slips Past DMARC, Email Protections

2023/12/18 DarkReading — インターネットの創世記から電子メールの送信に使用されてきた、数十年前のプロトコルを悪用する新たな標的型フィッシング攻撃により、組織や個人が危険にさらされている。この手法を用いる攻撃者は、DMARC (Domain-based Message Authentication, Reporting and Conformance) などの電子メール保護を回避できるという。

CISA KEV の効果：連邦政府機関における脆弱性を 72％も減少させた

Faster Patching Pace Validates CISA’s KEV Catalog Initiative

2023/09/22 SecurityWeek — 米国のサイバーセキュリティ機関 CISA が管理する KEV (Known Exploited Vulnerabilities) カタログにより、連邦政府機関のパッチ適用作業が大幅に改善されたという。現在では、このリストに 1,000件以上の脆弱性が含まれている。2021年11月に開始された、この KEV カタログは、連邦政府機関へのサイバー攻撃で悪用されている判明した脆弱性を、CISA がリストアップしたものである。そして、法的拘束力のある Binding Operational Directive (BOD) 22-01 に従い、それぞれの連邦政府機関は、指定された期間内に対象となる脆弱性にパッチを当てるよう要求される。

米国政府によるクラウド攻撃の分析：Microsoft ハッキングを受けて活動を開始

US Cyber Safety Board to Review Cloud Attacks

2023/08/14 SecurityWeek — 8月11日 (金) に米国政府は、DHS (Homeland Security) のサイバー安全審査委員会 (CSRB：Cyber Safety Review Board) が、クラウド環境を標的とした悪意の攻撃に関する審査を実施すると発表した。このイニシアティブは、政府／産業界／CSP (Cloud Service Provider) に対して、クラウドにおける ID 管理と認証を改善するための、提言を行うことに重点を置くという。

VPN 製品の大半に影響：TunnelCrack 攻撃でトラフィック・リークにいたる脆弱性とは？

Almost all VPNs are vulnerable to traffic-leaking TunnelCrack attacks

2023/08/14 HelpNetSecurity — 世の中に出回っている大半の VPN 製品に影響を及ぼす複数の脆弱性が、攻撃者に悪用されていることが、研究者たちにより発見された。その悪用に成功した攻撃者たちにより、トラフィック盗聴／情報窃取／デバイス攻撃などが行われる可能性があるという。ニューヨーク大学の Nian Xue と、ニューヨーク大学アブダビ校の Yashaswi Malla／Zihang Xia／Christina Pöpper、そして、KU ルーヴェン大学の Mathy Vanhoef は、「私たちが検証した攻撃方式では、コンピューティング・コストが掛からないため、適切なネットワークア・クセスさえあれば誰もが実行可能であり、それぞれの環境で用いられている VPN プロトコルには非依存である」と主張している。

CyberPower と Dataprobe の複数の脆弱性：データセンター運用に生じるリスクとは？

Multiple Flaws in CyberPower and Dataprobe Products Put Data Centers at Risk

2023/08/14 TheHackerNews — CyberPower のPowerPanel Enterprise Data Center Infrastructure Management (DCIM) プラットフォームおよび、Dataprobe の iBoot Power Distribution Unit (PDU) に、複数のセキュリティ脆弱性が存在する。それらが悪用されと、システムへの認証なしでのアクセスが引き起こされ、標的とされる環境で壊滅的な損害が発生する可能性がある。９件の脆弱性 (CVE-2023-3259〜CVE-2023-3267) の深刻度は CVSS 6.7〜9.8であり、悪用に成功した脅威アクターによる、データセンター全体のシャットダウンや、データセンターのデプロイメント侵害、データの窃取といった、大規模な攻撃が仕掛けられる可能が生じる。

Windows カーネルの脆弱性 CVE-2023-32019：無効から有効に切り替わったパッチとは？

Microsoft enables Windows Kernel CVE-2023-32019 fix for everyone

2023/08/14 BleepingComputer — Microsoft は、Windows カーネルに存在する情報漏えいの脆弱性に対する修正を、デフォルトで ON にするよう方針を変更した。この修正は、Windows に変更を加える可能性があるとして、これまで無効にされていたものだ。この脆弱性 CVE-2023-32019 は、CVSS 値は 4.7 だが、Microsoft は Important と評価している。このバグは、Google Project Zero のセキュリティ研究者 Mateusz Jurczyk により発見されたものであり、認証された攻撃者が特権プロセスのメモリにアクセスし、情報を引き出すことを可能にするものだ。

Exchange をハッキングする中国の Storm-0558：米政府と Microsoft が共同で分析

US cyber safety board to analyze Microsoft Exchange hack of govt emails

2023/08/11 BleepingComputer — 米国土安全保障省の CSRB (Cyber Safety Review Board) は、米政府機関で使用される Microsoft Exchange アカウントが、最近になって中国からハッキングされていることを受け、クラウド・セキュリティの実践について詳細な審査を実施することを発表した。CSRB は官民が協力する機関であり、重大な事象に対する理解を深め、根本的な原因を見極め、サイバー・セキュリティに関する情報に基づく提言を行うための、詳細な調査の実施を目的として設立された。

十分な脅威インテリジェンス・プログラムを導入している企業は僅か 22％ – OPSWAT 調査

#BHUSA: Only 22% of Firms Have Mature Threat Intelligence Programs

2023/08/10 InfoSecurity — サイバーセキュリティ・ソリューション・プロバイダー OPSWAT の、最新レポートが発表された。このレポートによると、脅威インテリジェンス・プログラムが十分な企業は 22％に過ぎないという。8月9日にラスベガスで開催された Black Hat USA で、この調査結果が同社から発表された。マルウェアの検出と対応を専門とする、従業員 50人以上の組織の IT専門家 300人以上を対象に、この初調査は実施されたという。

Moq OSS プロジェクトでの出来事：営利を目的とした依存性の利用という問題

2023/08/09 BleepingComputer — オープンソース・プロジェクト Moq だが、最新リリースにおいて物議を醸す依存性が秘密裏に含まれていることで、厳しい批判を浴びている。NuGet ソフトウェア・レジストリで配布されている Moq は、１日に10万回以上もダウンロードされる存在であり、トータルでは 4億7600万回以上もダウンロードされている。そして、今週にリリースされた Moq の 4.20.0 には、SponsorLink という別のプロジェクトがひっそりと取り込まれていた。

世界を襲う中国系ハッカー RedHotel：３年間で日本などの 17カ国を攻撃

China-Linked Hackers Strike Worldwide: 17 Nations Hit in 3-Year Cyber Campaign

2023/08/09 TheHackerNews — 中国の国家安全部 (MSS：Ministry of State Security) に関連するハッカーたちが、2021〜2023年にかけて、アジア／ヨーロッパ／北米などの 17カ国に攻撃を仕掛けてきたことが判った。サイバー・セキュリティ企業 Recorded Future は、この一連の攻撃について、RedHotel (以前は Threat Activity Group-22／TAG-222) として追跡している国家グループによるものであり、Aquatic Panda／Bronze University／Charcoal Typhoon／Earth Lusca／Red Scylla (または Red Dev 10) などの活動群と重複していると述べている。

EvilProxy という PhaaS：大規模なクラウド・アカウント乗っ取りに利用されている

EvilProxy used in massive cloud account takeover scheme

2023/08/09 SecurityAffairs — Microsoft 365 アカウントの窃取を狙う EvilProxy が、100以上の組織へ向けて 12万通のフィッシング・メールを送信していることが確認された。それにより、クラウド・アカウントの侵害が、過去５ヶ月間に急増していることを、Proofpoint が発見した。攻撃の大半は、高位の幹部を標的としていた。研究者たちは、このキャンペーンは全世界の 100以上の組織／150万人の従業員を対象としていると推定している。被害者の約 39% はＣレベルのエグゼクティブであり、そのうち 17% は最高財務責任者 (CFO) であり、9% は最高経営責任者 (CEO) だったという。

Microsoft VS Code に脆弱性：悪意のエクステンションに認証トークン窃取の構造的な欠陥？

Malicious extensions can abuse VS Code flaw to steal auth tokens

2023/08/08 BleepingComputer — Microsoft のコード・エディターおよび開発環境である、VS Code (Visual Studio Code) に脆弱性により、Windows／Linux／macOS のクレデンシャル・マネージャーに保存されている認証トークンの取得を、悪意のエクステンションに許す可能性があることが発見された。これらのトークンは、Git／GitHub などのコーディング・プラットフォームや、各種のサードパーティ・サービスおよび API との統合に使用されるものだ。そのため、これらのトークンの窃取により、組織のデータ・セキュリティに深刻な影響が生じ、不正なシステム・アクセスやデータ侵害などにいたる可能性があるという。

Microsoft Active Directory への攻撃経路：セキュリティ向上のために知っておくべきことは？

Understanding Active Directory Attack Paths to Improve Security

2023/08/08 TheHackerNews — 1999年に導入された Microsoft AD (Active Directory) は、Windows ネットワークにおけるデフォルトの ID／アクセス管理サービスであり、全てのネットワーク・エンドポイントに対するセキュリティ・ポリシーの割当／実施を担っている。それによりユーザーは、ネットワーク上の様々なリソースにアクセスできるようになる。そして数年前に Microsoft は、AD のパラダイムを拡張するクラウドベースの Azure Active Directory を発表し、クラウドとオンプレミスの両方に IDaaS (Identity-as-a-Service) ソリューションを提供した。2023年7月11日付で、このサービスは Microsoft Entra ID に名称変更されたが、分かりやすくするために、この記事では Azure AD と呼ぶことにする。

npm に新たな悪意のパッケージ：開発者たちをサプライチェーン攻撃に組み込む

Malicious npm Packages Found Exfiltrating Sensitive Data from Developers

2023/08/04 TheHackerNews — npm パッケージ・レジストリ上に展開され、機密性の高い開発者情報を流出させる悪意のパッケージ群を、サイバー・セキュリティの研究者たちが発見した。2023年7月31日に、ソフトウェア・サプライチェーン企業である Phylum が発見した “test” パッケージは、その機能が向上し、洗練されていることが確認されている。Phylum の研究者たちは、「このプロジェクトの最終目的は明らかではないが、”rocketrefer” や “binarium” といったモジュールが言及されていることから、暗号通貨セクターを狙った高度な標的型キャンペーンであることが疑われている」と述べている。

VPN 依存というリスキーなギャンブル：ネットワークへのアクセス権は危険

VPNs remain a risky gamble for remote access

2023/08/04 HelpNetSecurity — Zscaler の最新レポートによると、VPN がもたらすリスクとネットワーク・セキュリティについて、ユーザー組織は深い懸念を表明している。このレポートが強調するのは、VPN の脆弱性を悪用する脅威の高まりを受けて、組織におけるセキュリティ態勢の再評価を進め、また、ゼロトラスト・アーキテクチャへと移行すべきだという点だ。

LOLBAS という難題：Microsoft Office がステルス性マルウェア・ローダーになり得る

Hackers can abuse Microsoft Office executables to download malware

2023/08/03 BleepingComputer — LOLBAS ファイル (Windows に存在し、悪用される可能性のある正規のバイナリやスクリプト) のリストには、Microsoft の電子メール・クライアント Outlook や、データベース管理システム Access の主要な実行ファイルが、まもなく含まれることになる。Microsoft Publisher アプリケーションのメイン実行ファイルに関しては、リモート・サーバからペイロードをダウンロードできることが、すでに確認されている。なお、LOLBAS とは、Living-off-the-Land Binaries and Scripts の略であり、Windows OS でネイティブのもの、また、Microsoft からダウンロードされた、署名付きファイルのことを指す。

Rilide という最凶の Chrome エクステンション：PowerPoint ファイルなどがルアー

Chrome malware Rilide targets enterprise users via PowerPoint guides

2023/08/03 BleepingComputer — Rilide Stealer という悪意の Chrome エクステンションが、暗号ユーザーや企業従業員を標的とした新たなキャンペーンにおいて、認証情報や暗号ウォレットの窃取に使用されている。Rilide は、Chrome／Edge／Brave／Opera などの Chromium ベースのブラウザ用の悪意のブラウザ・エクステンションであり、Trustwave SpiderLabs が 2023年4月に発見したものだ。Rilide は正規の Google Drive エクステンションを装いブラウザをハイジャックし、すべてのユーザー活動を監視し、メール・アカウントの認証情報や暗号通貨資産などの情報を盗み出すという。

2022年に悪用された脆弱性 Top-12：Five Eyes／FBI／CISA／NSA の共同勧告

FBI, CISA, and NSA reveal top exploited vulnerabilities of 2022

2023/08/03 BleepingComputer — Five Eyes のサイバー・セキュリティ当局は、CISA／NSA／FBI と共同で、2022年に最も悪用された 12件の脆弱性リストを発表した。米国／英国／豪州／カナダ／ニュージーランドの５カ国からなるサイバー・セキュリティ当局は、世界中の組織に対し、これらのセキュリティ上の脆弱性に対処し、パッチ管理システムを導入して、潜在的な攻撃にさらされる機会を最小限に抑えるよう呼びかけた。2022年に脅威アクターたちは、新たに公表された脆弱性よりも、古いとされる脆弱性に対して、攻撃を集中させる傾向を強め、特にパッチが適用されずにインターネット上に露出したままのシステムを標的としてきた。

AWS の SSM Agent を悪用するシナリオ：高スティルス性 RAT の構築が可能

Researchers Uncover AWS SSM Agent Misuse as a Covert Remote Access Trojan

2023/08/02 TheHackerNews — Windows および Linux 環境上でリモート・アクセス・トロイの木馬として、AWS Systems Manager Agent (SSM Agent) を実行させることが可能な、Amazon Web Services (AWS) の新たなポスト・エクスプロイト手法を、サイバー・セキュリティ研究者たちが発見した。Mitiga の研究者である Ariel Szarf と Or Aspir は、「この SSM Agent は、Admin によるインスタンス管理で使用される正当なツールだが、SSM Agent がインストールされたエンドポイント上で、高特権のアクセスを獲得した攻撃者が、悪意の活動を継続的に実行することも可能にする」と、The Hacker News と共有したレポートで述べている。

CVSS と CISA KEV だけに頼らない脆弱性管理：EPSS という新たな指標が登場

Relying on CVSS alone is risky for vulnerability management

2023/07/31 HelpNetSecurity — Rezilion によると、脆弱性の優先順位付けを CVSS のみに依存する管理の手法は、最善ではないことが判明しているようだ。実際のところ、それぞれの脆弱性のリスクを評価するために、CVSS の深刻度スコアのみに依存することは、脆弱性をランダムに選択して修復することに変わりないという。よりスケーラブルで効果的な優先順位の決定戦略を可能にするためには、さらなるコンテキストが必要となる。このコンテキストには、標的環境の内部的な情報源 (資産に関する重要性／緩和策／到達可能性) だけでなく、外部的な情報源も必要になる。

積極的に悪用された 41 件のゼロデイ脆弱性 – 2022年調査 Google TAG

In 2022, more than 40% of zero-day exploits used in the wild were variations of previous issues

2023/07/30 SecurityAffairs — Google Threat Analysis Group (TAG) の Maddie Stone が、野放し状態のゼロデイ脆弱性について執筆する、2022年のイヤー・イン・レビューが公表された。これは、2019／2020／2021 年に続く、４年目のレビューでもある。研究者たちは 2022年において、アクティに悪用された 41 件のゼロデイ欠陥を開示したが、これは2014年半ばに追跡を開始して以来、２番目の記録となった。ちなみに、最悪だったのは、2021 年の 69 件である。

Google が提案する WEI API：大反対する Vivaldi／Brave／Firefox などの言い分は？

Browser developers push back on Google’s “web DRM” WEI API

2023/07/29 BleepingComputer — Google が Chrome に対して、WEI (Web Environment Integrity) API を導入するという計画は、ユーザーの自由を制限し、オープン Web の基本原則を損なうものだと、インターネット・ソフトウェア開発者から激しい反発を受けている。Vivaldi／Brave／Firefox の従業員たちは、この Google が提案する標準に対して強い反対の姿勢を示しており、Web サイトの DRM (デジタル著作権管理) とまで言う人もいる。