Literacy – Page 18 – IoT OT Security News

API は何ができる？何ができない？どうしたら安全に使える？

2023/06/06 tripwire — 最近のテクノロジーの世界で、API について耳にしない日はない。ChatGPT の API が登場したときも、Twitter の深刻なデータ漏洩のニュースが報じられたときも、API が主役であった。しかし、どこにでもある API なのだが、多くの人々は API の機能 (限界) について疑問を抱いている。API は何のためにあるのか？APIは何をするものなのか？そして、今の時代にできないものは何なのか？

Outlook.com を攻撃し続ける DDoS アクター：Anonymous Sudan が犯行を主張

Outlook.com hit by outages as hacktivists claim DDoS attacks

2023/06/06 BleepingComputer — 6月5日に Outlook.com は、何度もダウンした。そして翌日も、一連の障害に見舞われていたが、Anonymous Sudan と名乗るハクティビストが、同サービスに DDoS 攻撃を行ったと主張している。これらの障害により、世界中の Outlook ユーザーに広範な混乱がもたらされ、メールの送受信や、Mobile Outlook アプリの使用に支障をきたした。

ChatGPT が推奨する OSS パッケージは安全なのか？ LLM に悪意を埋め込む PoC が公開

New ChatGPT Attack Technique Spreads Malicious Packages

2023/06/06 InfoSecurity — OpenAI の LLM である ChatGPT を悪用し、開発者たちの環境に悪意のパッケージを拡散させるという、新たなサイバー攻撃手法が登場した。Vulcan Cyber の Voyager18 research team は、先ほど発表したアドバイザリで、この問題について述べている。同社の研究者である Bar Lanyado と、コントリビュータである Ortal Keizman と Yair Divinsky は、「実際には存在しない URL やリファレンスを、さらにはコード・ライブラリや関数を、ChatGPT が生成することが確認されている。このような LLM (Large Language Model) モデルがもたらす幻覚は以前にも報告されていたが、古い学習データの結果として生じている可能性もある」と、技術文書で説明している。

Google Passkeys の展開が拡大：G Workspace アカウントでも利用可能に

Google extends passkeys to Google Workspace accounts

2023/06/05 HelpNetSecurity — 2023年5月上旬の時点で、コンシューマー向けに Passkeys の提供を開始した Google だが、今度は Google Workspace と Google Cloud のアカウント向けにも展開することになったようだ。この機能は、まもなく900万以上の組織でオープンベータ版が利用可能になり、従来のパスワードを必要としない、手間いらずのサインイン・エクスペリエンスが、ユーザーに提供されることになる。

Vidar 情報スティーラーの手口を分析：オンライン販売業者たちを狙う悪質キャンペーンとは？

Online sellers targeted by new information-stealing malware campaign

2023/06/03 BleepingComputer — Vidar という情報窃取マルウェアを展開し、オンライン販売業者たちを標的とする新たなキャンペーンを介して、認証情報を盗み出す脅威アクターが、これまで以上に有害な攻撃を仕掛けている。この、今週に発見された新しいキャンペーンは、電子メールや Web サイトの問い合わせフォームを悪用して、オンラインストアの管理者に苦情を送りつけるところから始まる。それらの電子メールは、オンライン・ストアの顧客のふりをして、注文が適切に処理されないままに、銀行口座から $550 が差し引かれたと主張する。

PyPI に新たな悪意のパッケージ：コンパイルされた Python コードで検出を回避

Malicious PyPI Packages Use Compiled Python Code to Bypass Detection

2023/06/02 infosecurity — ReversingLabs のセキュリティ研究者たちが発見したのは、検出回避のためにコンパイルされた、Python コードを用いる新たな攻撃の手法である。ReversingLabs の Reverse Engineer である Karlo Zanki によると、PYC (Python Byte Code) ファイルのダイレクト実行機能を利用する、最初のサプライチェーン攻撃の事例になる可能性があるという。大半のセキュリティ・ツールは、Python ソースコード (PY) ファイルのみをスキャンするため、このような攻撃を見逃す可能性がある。そのため、この手法は、将来的に新たな種類のサプライチェーン脆弱性をもたらすことになる。Zanki は、Python Package Index (PyPI) に関する有害な投稿の増加とも一致すると指摘している。

Windows 11 の SMB 署名を義務化：NTLM リレー攻撃に対する保護を優先する

Windows 11 to require SMB signing to prevent NTLM relay attacks

2023/06/02 BleepingComputer — Microsoft が発表したのは、Canary Channel の Insider に対して、2023年6月2日に配布される Windows ビルド (Enterprise エディション) から、すべての接続に SMB 署名 (別名：セキュリティ署名) をデフォルトで要求し、NTLM (Windows New Technology LAN Manager) リレー攻撃から防御するというものだ。この攻撃を実行する脅威アクターは、ドメイン・コントローラーを含むネットワーク・デバイスに対して、攻撃者の制御下にある悪意のサーバへの認証を強制した後に、そのサーバになりすまして特権昇格させ、Windows ドメインを完全に制御する。

Chrome Web Store に悪意のエクステンション：75M 回もインストールされたという説もあるが

Malicious Chrome extensions with 75M installs removed from Web Store

2023/06/02 BleepingComputer — Google が Chrome Web Store から削除した、32 種類の悪意のエクステンションとは、検索結果の改ざん／スパム拡散／広告の不正表示などの可能性を持つものである。それらのエクステンションの合計ダウンロード数は、7,500万件にのぼるという。それらは、悪意のアクションからユーザーの注意を逸らすために、真っ当な機能を備えている一方で、難読化されたコードを用いてペイロードを配信していた。サイバー・セキュリティ研究者である Wladimir Palant が、Chrome Web Store から入手できる PDF Toolbox エクステンション (200万ダウンロード) を分析したところ、正規のエクステンション API ラッパーとして、偽装されたコードが埋め込まれていることが発見された。

フィッシング攻撃の最新分析：キットの利用が増加している理由を考えよう – Group-IB

Phishing campaigns thrive as evasive tactics outsmart conventional detection

2023/06/01 HelpNetSecurity — フィッシング攻撃におけるキットの利用が、2022年には 25％増加したことが、Group-IB の研究により判明した。フィッシング・キットの主な傾向としては、アクセス制御と高度な検知回避技術の利用の増加が確認された。また、アンチボット技術やランダム化による回避戦術の増加は、従来の検知システムにとって大きな脅威であり、フィッシング・キャンペーンの寿命を延ばすものとなっている。

MOVEit Transfer に深刻なゼロデイ脆弱性：すでに活発に悪用されている

Critical zero-day vulnerability in MOVEit Transfer exploited by attackers!

2023/06/01 HelpNetSecurity — Progress Software の企業向け MFT (Managed File Transfer) ソリューションである、MOVEit Transfer に存在する深刻なゼロデイ脆弱性が、脅威アクターたちによる企業データ窃取に悪用されている。同社は 5月31日のアドバイザリで、「この脆弱性が悪用されると、権限昇格や環境への不正アクセスにつながる可能性がある。パッチを作成するまで、MOVEit Transfer 環境を保護してほしい」と顧客に呼びかけている。

Google Drive からのデータ流出：痕跡が残らないという欠陥が発見された

Threat actors can exfiltrate data from Google Drive without leaving a trace

2023/06/01 HelpNetSecurity — Google Workspace (旧 G Suite) には、悪意のサードパーティやインサイダーが Google Drive からデータを流出させても、それを発見できないという欠陥があると、Mitiga の研究者たちは述べている。Google Workspace において、組織の Google Drive リソースを可視化する方法は、ファイルのコピー／削除／ダウンロード／閲覧などのアクションに対して、 “Drive log events” を使用することで達成される。

QBot マルウェアの延命術：住居用 IP を短期間で切り替える C2 サーバ補充戦略とは？

Evasive QBot Malware Leverages Short-lived Residential IPs for Dynamic Attacks

2023/06/01 TheHackerNews — QBot (Qakbot) マルウェアの、高度な回避性と粘着性に関する分析により、その C2 サーバの 25％が、１日しか活動していないことが判明した。Lumen Black Lotus Labs は、「QBot の 50％のサーバーがアクティブなのが、１週間以内であることからして、適応性が高くて動的な C2 インフラが使用されていることが分かる」と、The Hacker News と共有したレポートで指摘している。さらに、セキュリティ研究者である Chris Formosa と Steve Rudd は、「このボットネットは、ホストされた VPS のネットワークに潜むのではなく、住宅用 IP スペースと感染した Web サーバに、そのインフラを隠すための技術を適応させている」と述べている。

iOS の iMessage を侵害するゼロクリック攻撃：ロシアが米情報機関を非難している

Russia Blames US Intelligence for iOS Zero-Click Attacks

2023/06/01 SecurityWeek — 2023年6月1日に、ロシアに本拠を置く Kaspersky は、企業ネットワーク内の iOS デバイスに対して、ゼロクリックの iMessage エクスプロイトを仕掛ける APT アクターを発見したと発表した。同じ日に、ロシアの連邦保安庁 (FSB：Federal Security Service) も、国内の契約者や外国公館が所有する数千台の iOS デバイスを標的とした、スパイ・キャンペーンが進行していることについて、米国の情報機関を非難した。ソ連の KGB を引き継いだ、ロシアのセキュリティ機関 FSB は、NATO 諸国／中国／イスラエル／シリアに赴任する外交官の iPhone が、”米国の諜報機関による偵察オペレーション” により感染したと主張している。

SpinOk というスパイウェア：Google Play アプリに組み込まれ 420M ダウンロード！

Spyware Found in Google Play Apps With Over 420 Million Downloads

2023/05/31 SecurityWeek — Google Play で発見されたのは、100 種類以上の Android アプリに組み込まれたスパイウェアであり、その累積ダウンロード数は 4億2100万回にものぼると、アンチウイルス会社の Doctor Web が報告している。Doctor Web が SpinOk と命名した、この悪意のモジュールは、マーケティング SDK として配布されており、ファイルに関する情報収集／攻撃者へのファイル送信／クリップボードの内容の窃取などを、被害者のデバイス上で実行するという。

RomCom RAT と Void Rabisu の関連性：サイバー犯罪と APT 攻撃の境界線は曖昧？

RomCom RAT Using Deceptive Web of Rogue Software Sites for Covert Attacks

2023/05/31 TheHackerNews — RomCom RAT の背後にいる脅威アクターたちは、遅くとも 2022年7月以降において、人気ソフトウェアの不正バージョンを宣伝する偽サイトのネットワークを活用して、ターゲットに侵入しているようだ。Trend Micro は、Void Rabisu という名前の悪意のアクティビティを追跡しているが、Unit 42 は Tropical Scorpius と呼び、Mandiant は UNC2596 と呼んでいる。

ID 保護ソリューションへの投資：積極的な企業は 49% に過ぎない – IDSA 調査

IDSA: Only 49% of Firms Invest in Identity Protection Before Incidents

2023/05/31 InfoSecurity — セキュリティ・インシデントが発生したことはないが、ID 保護ソリューションに積極的に投資しているという企業は、わずか 49% である。また、セキュリティ・インシデントを経験した後に、ID とセキュリティを保護するために投資したという企業は、わずか 29% に過ぎない。この数字は、5月30日 (火) 発表された Identity Defined Security Alliance (IDSA) の最新レポートによるものだ。

OT ネットワークと人的なエラー：APT 攻撃を助長する要因について考える

Human Error Fuels Industrial APT Attacks, Kaspersky Reports

2023/05/30 InfoSecurity — サイバーセキュリティ企業である Kaspersky が、産業部門における APT 攻撃の主要因を特定した。今日の最新レポートで取り上げられている、その第一の要因は OT (Operational Technology) ネットワークにおける隔離の不在である。Kaspersky の専門家たちは、エンジニアリング・ワークステーションが、IT と OTのネットワークに接続されている事例を確認している。このようなネットワーク構成に依存した隔離では、熟練した攻撃者により操作される可能性が生じる。その結果として、隔離されているように見えるネットワークへのマルウェア感染や、その後のマルウェア・トラフィックの管理などが可能になってしまう。

ランサムウェアとアクセス・ブローカー：地下でつながり利益を上げるグループたち – WithSecure

Ransomware Gangs Adopting Business-like Practices to Boost Profits

2023/05/30 InfoSecurity — WithSecure の最新のレポートから推察されるのは、ランサムウェア・ギャングが利益を上げるために、各種のビジネスライクな手法を採用している点であり、それにより個々のグループを判別することが、防御側にとって困難になっていることだ。フィンランドで開催された Sphere23 において、WithSecure の Senior Threat Intelligence Analyst である Stephen Robinson は、このような合法的なビジネス手法を反映する動きは、TTPs (Tactics, Techniques and Procedures) が曖昧になっていることを示唆すると述べている。

CAPTCHA 解除サービスの蔓延：API を介して手作業を実施する犯罪組織の存在

CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security

2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。

デジタルノマドと金融機関：新たな ID 確認のためのテンプレートの必要性について

Digital nomads drive changes in identity verification

2023/05/29 HelpNetSecurity — Regula のレポートによると、これまでの１年間において、金融会社の約８割が、外国書類が関係する確認案件の増加を経験しているという。残念なことに、すべての組織が、このシフトに対応できるわけではないが、近年におけるデジタルノマド・ムーブメントが、大きく成長していることが示唆される。

ZIP ドメインは大丈夫？ File Archiver In The Browser というフィッシング・トリックで攻略可能

Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains

2023/05/28 BleepingComputer — File Archivers in the Browser という新たなフィッシング・キットは、ZIP ドメインを悪用し、ブラウザに偽の WinRAR／Windows File Explorer などのウィンドウを表示し、悪意のファイルをユーザーに起動させるように仕向ける。2023年5月初旬に Google は、Web サイトや電子メール・アドレスのホスティングに用いるための、ZIP TLD ドメイン (例：bleepingcomputer.zip) の登録機能を提供し始めた。この種の TLD のリリース以来、セキュリティ・リスクや混乱をもたらす可能性について議論が沸騰していた。

米海軍グアムの IT インフラにハッカーが侵入：China 対 Five Eyes の情報戦が始まる？

US Navy hit by Chinese hacking campaign, report says

2023/05/27 SCMP — 中国のハッカーと疑われる人物が、緊張が高まる太平洋地域の通信を混乱させるために、広範なキャンペーンの一環として米海軍に侵入したと、サイバー・セキュリティ専門家たちは捉えているようだ。米海軍長官の Carlos Del Toro は、「Volt Typhoon という名の中国に支援されるハッキング・グループにより、米海軍が影響を受けたと説明し、政府／通信／製造／IT などの組織で警戒が必要だ」と、5月25日に CNBC に述べている。

QBot の新たなオペレーション：WordPad を悪用する DLL ハイジャックの手口とは？

QBot malware abuses Windows WordPad EXE to infect devices

2023/05/27 BleepingComputer — マルウェア QBot による最近の活動だが、Windows 10 の WordPad プログラムの DLLハイジャック欠陥を悪用してコンピュータに感染し、正規のプログラムを用いることでセキュリティ・ソフトによる検出を回避し始めているようだ。DLL とは、複数のプログラムで同時に使用できる機能を取り込んだライブラリ・ファイルのことである。したがって、アプリケーションを起動すると、必要な DLL が読み込まれることになる。

Buhti というランサムウェア：LockBit／Babuk のコードを流用する新たな脅威

New Buhti ransomware gang uses leaked Windows, Linux encryptors

2023/05/25 BleepingComputer — Buhti と命名された新しいランサムウェア・オペレーションが、LockBit／Babuk ランサムウェア・ファミリーの流出コードを使用して、Windows／Linux システムを狙っている。Blacktail として追跡されている Buhti の背後にいる脅威アクターは、独自にランサムウェアを開発せずに、”double-extortion” として知られるカスタムデータ流出ユーティリティを使用して被害者を脅迫している。2023年2月に Palo Alto Networks の Unit 42 チームにより、野放し状態で活動している Buhti が発見されたが、Goland ベースのランサムウェアであり、Linux を標的としていることが確認されている。

高度なフィッシング攻撃が 356％も急増：2023 Annual Report – Perception Point 調査

Advanced Phishing Attacks Surge 356% in 2022

2023/05/25 InfoSecurity — Perception Point の調査により、高度なフィッシング攻撃の件数が、2022年は 356 ％増加したことが判明した。同社の 2023 Annual Report: Cybersecurity Trends & Insights に記されているのは、脅威アクターによる攻撃の総数は 87％増加したという最新データである。この成長の背景には、悪意のアクターが人工知能 (AI) や機械学習 (ML) を搭載した、新たなツールへのアクセスを、広く獲得し続けているという現実がある。

ChatGPT で作成されたポリモーフィックなマルウェア・サンプルを検出 – WithSecure 報告

AI Used to Create Malware, WithSecure Observes

2023/05/25 InfoSecurity — サイバー・セキュリティの世界では、脅威アクターの手に渡った AI がもたらす潜在的な脅威について、警鐘が鳴り続けている。その中でも、ChatGPT で作成されるマルウェアは、現実のものとなっているようだ。WithSecure の CEO である Juhani Hintikka は、ChatGPT により生成されたマルウェアのサンプルを、同社が発見したことを認めている。

Microsoft 365 に新たなフィッシング攻撃：暗号化された RPMSG メッセージの悪用を検出

Microsoft 365 phishing attacks use encrypted RPMSG messages

2023/05/25 BleepingComputer — 侵害済の Microsoft 365 アカウント経由で送信された、暗号化された RPMSG 添付ファイルを使用して、メールセキュリティ・ゲートウェイによる検出を回避しながら、攻撃者たちは標的型フィッシング攻撃で Microsoft の認証情報を盗み出している。RPMSG (Restricted Permission Message) ファイルとは、Microsoft の Rights Management Services (RMS) を用いて作成された、暗号化電子メール・メッセージの添付ファイルであり、そのアクセスを許可された受信者だけに制限することで、機密情報の保護を強化するものだ。

OAuth の深刻な脆弱性が FIX：Expo Framework を介したアカウント乗っ取りの可能性

OAuth Vulnerabilities in Widely Used Expo Framework Allowed Account Takeovers

2023/05/24 SecurityWeek — APIセキュリティ企業である Salt Security によると、広範に用いられるアプリケーション開発フレームワーク Expo で発見された OAuth 関連の脆弱性が、ユーザー・アカウントを不正に制御するために悪用された可能性があるようだ。Expo とは、モバイル・アプリや、Web 向けのユニバーサル・ネイティブ・アプリの開発を促進するための、オープンソース・プラットフォームである。この製品は、複数の大手企業を含む 60万人以上の開発者に利用されているという。

北朝鮮の Lazarus Group：Microsoft IIS を侵害してスパイウェアを配布している

N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware

2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱なバージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。

バックアップの重要性について再考：ランサムウェアから身を守るために – Veeam

Backup Repositories Targeted in 93% of Ransomware Attacks

2023/05/24 InfoSecurity — Veeam の 2023 Ransomware Trends Report によると、依然としてランサムウェアの脅威は生き続けており、これまでの 12ヶ月間において、85% の組織が少なくとも１回は、そのような攻撃を受けたことがあるとしている。このレポートは、「このような傾向が続けば、ランサムウェア攻撃による損失が、利益を上回るという組織が多くなる」と警告している。

API と Security：責任者は CISO なのか？それとも DevOps なのか？

The fragmented nature of API security ownership

2023/05/23 HelpNetSecurity — Traceable AI によると、API セキュリティの重要性が、今年もサイバーセキュリティにおける最大の課題であるが、ほとんどの企業において、驚くほど対策が実施されていないという。それぞれの企業が苦慮しているのは、チェックされていない API の氾濫 (API Sprawl) および、API セキュリティにおける不明確な責任の所在に加えて、セキュリティ能力の一部として、その動作がベースライン化されていない点である。

iRecorder – Screen Recorder はトロイの木馬：Google Play の正規アプリがマルウェア化

ESET: Android App ‘iRecorder – Screen Recorder’ Trojanized with AhRat

2023/05/23 InfoSecurity — デジタルの世界では、今日には便利なものが、明日には有害になることがある。残念ながら、それが iRecorder – Screen Recorder で起こってしまった。50,000 万件以上のインストール数を誇る、この画面録画用 Android アプリは、2021年9月に正規のアプリとして発売されたものだ。しかし、いまの iRecorder には、AhMyth をベースにした、新たな Android RAT (Remote Access Trojan) が仕込まれている。このオープンソースのリモート管理ツールにより、Android デバイスからのデータ・アクセスに使用できることが、サイバーセキュリティ・ベンダーである ESET により、2023年5月23日に判明した。

シークレットが氾濫する GitHub の世界：どのように緩和していくべきなのか – Git Guardian 提案

The Rising Threat of Secrets Sprawl and the Need for Action

2023/05/23 TheHackerNews — 今日の情報化時代において、最も貴重な資産はカギでロックされたシークレットである。GitHub の公開アクティビティを分析した、最大規模のレポート 2023 State of Secrets Sprawl が示すように、さらにシークレットの維持が難しくなるという、残念な状況が浮き彫りになっている。このレポートでは、漏えいシークレット数が前年比で 67% 増加し、2022年だけで 1000万個のハードコードされたシークレットが検出された指摘されている。このシークレットの氾濫とも言うべき状況は、安全なソフトウェア開発と対策の必要性を強調するものとなっている。

GDPR は消費者の信頼を低下させた：IT リーダーの 66% が回答 – Macro 4 調査

Two-Thirds of IT Leaders Say GDPR Has Reduced Consumer Trust

2023/05/22 InfoSecurity — GDPR (General Data Protection Regulation) のあり方により、それぞれの企業に対する消費者の信頼が低下したという、IT リーダーの３分の２ (66％) の捉え方を、Macro 4 の最新調査が示している。2018年5月25日に、GDPR が欧州で施行されてから５年が経過し、個人データ保護の必要性に対する意識が高まった結果が、この調査に現れている。

Windows 環境に潜む悪意のカーネル・ドライバ：BlackCat ランサムウェアの回避策が判明

Malicious Windows kernel drivers used in BlackCat ransomware attacks

2023/05/22 BleepingComputer — ALPHV ランサムウェア・グループ (別名 BlackCat) が、署名された不正な Windows カーネル・ドライバを採用し、攻撃時におけるセキュリティ・ソフトウェアによる検出を回避していることが確認された。Trend Micro が確認した ALPHV のドライバは、昨年末のランサムウェア攻撃が生じた際に、Microsoft／Mandiant／Sophos／SentinelOne などが発見した、POORTRY という名のマルウェアの改良版である。

Facebook の GDPR 違反と $1.3 B の罰金：米国へのデータ転送により最高額に！

EU Regulators Hit Meta with Record $1.3 Billion Fine for Data Transfer Violations

2023/05/22 TheHackerNews — Facebook の親会社である Meta は、European Union のデータ保護規制当局から、同地域のユーザーの個人データを米国に転送したとして、過去最高となる $1.3 billion の罰金を科された。EDPB (European Data Protection Board) の拘束力のある決定により、Meta はデータ転送の方式を GDPR に準拠させ、違法に保存／処理されたデータを、６ヶ月以内に削除するよう命じられた。

BrutePrint という新たな攻撃手法：スマフォの指紋認証をブルートフォースで突破

Android phones are vulnerable to fingerprint brute-force attacks

2023/05/21 BleepingComputer — BrutePrint と呼ばれる新しい攻撃手法について、Tencent Labs と Zhejiang University の研究者たちが調査結果を発表した。この攻撃は、最新のスマートフォンの指紋をブルートフォースしてユーザー認証を突破し、デバイスを制御するものだ。ブルートフォース攻撃では、コード／キー／パスワードなどを解読して、アカウント／システム／ネットワークなどへ不正アクセスするために、あらゆる手段が試みられている。

PyPI の停止について：新規のユーザー登録とプロジェクト作成を一時的に止めます

PyPI temporarily pauses new users, projects amid high volume of malware

2023/05/20 BleepingComputer — オープンソース Python パッケージの、公式サードパーティ登録機関である PyPI において、新規ユーザーのサインアップと新規プロジェクトのアップロードが一時的に停止された。PyPI の管理者は、悪意のユーザーやパッケージが大量に流入し、レジストリの維持が困難になったことで、この措置を講じたようだ。

CloudWizard という APT フレームワーク：CommonMagic マルウェアと多数の共通点

CommonMagic Malware Implants Linked to New CloudWizard Framework

2023/05/19 InfoSecurity — CommonMagic マルウェア・インプラントは、ロシアーウクライナ紛争に関連する未知の APT キャンペーンで採用されており、新しいモジュラー・フレームワークを用いるものだ。そして、関連が疑われる CloudWizard という名のフレームワークが、Kaspersky のセキュリティ研究者により発見され、今日のアドバイザリで説明されている。

Google とサードパーティ Cookie：2024年 Q1 から段階的に削除していく計画

Privacy Sandbox Initiative: Google to Phase Out Third-Party Cookies Starting 2024

2023/05/19 TheHackerNews — Chrome ブラウザにおけるサードパーティ Cookie のサポートを廃止するために、２度も延期されてきた Privacy Sandbox イニシアチブ計画を正式にスタートすると、Google は発表した。そのために、同社は、2024年 Q1 に、世界中の Chrome ユーザーの 1％に対して、サードパーティ Cookie を段階的に削除するつもりだと述べている。

npm で発見された悪意のライブラリ：正規パッケージを装う TurkoRat マルウェア

Once Again, Malware Discovered Hidden in npm

2023/05/19 DarkReading — 人気の npm JavaScript ライブラリ／レジストリに存在する、“nodejs-encrypt-agent” という名前の２つのコード・パッケージに、オープンソースの情報窃盗型マルウェア TurkoRat を含まれていることが判明した。このマルウェアが仕込まれたパッケージを発見した、ReversingLabs の研究者たちによると、2,000 万回以上ダウンロードされている別の正規のパッケージ (agent-base version 6.0.2) への偽装を、背後にいる攻撃者は試みていたという。

KeePass 2.X の脆弱性 CVE-2023-32784：マスター・パスワードが流出するおそれ

KeePass Flaw Exposes Master Passwords

2023/05/19 InfoSecurity — パスワード管理ソフトウェアの KeePass 2.X に脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、プログラムのメモリからマスター・パスワードをダンプすることが可能になる。脆弱性 CVE-2023-32784 は、セキュリティ研究者の Dominik Reichl により発見されたものであり、2023年6月上旬にリリースされる KeePass 2.54 で修正される予定だ。5月18日に Reichl が、この脆弱性を詳述するセキュリティ・レポートを GitHub で公開している。その中で、この脆弱性は、マスター・パスワードがキーボードで入力された場合にのみ悪用され、クリップボードからコピーされた場合には悪用されないことも明らかにされた。

中国 – 台湾の緊張関係とサイバー戦争：PlugX マルウェアを仕込んだフィッシング攻撃が激化

Cyber Warfare Escalates Amid China-Taiwan Tensions

2023/05/18 InfoSecurity — 中国と台湾の間で緊張が高まるにつれて、台湾へのサイバー攻撃が大幅に増加していることが、Trellix のセキュリティ専門家たちの新しいレポートで明らかになった。特に台湾の産業界を狙うサイバー攻撃が急増しており、その主な目的は、マルウェアの配布と機密情報の窃取であると、同社は指摘している。

SBOM360 Hub は新たなプラットフォーム：ソフトウェア流通に関わるステークホルダーを支援

New SBOM Hub Helps All Stakeholders in Software Distribution Chain

2023/05/18 SecurityWeek — Lineaje は、SBOM360 Hub という新しいプラットフォームを公開した。このツールは、SBOM (Software Bills of Materials) に関するコンプライアンス成果物を、ソフトウェアの生産者／販売者／消費者が、公開／共有／使用するためのサービスである。SBOM とリンクされた認証アーティファクトの提供に関連して、2023年9月に施行される大統領令 14028 (Executive Order 14028) で定められた、ソフトウェアの生産者／販売者による準拠が、この新しいハブにより推進されると、 Lineaje は述べている。

Microsoft Teams を狙うソーシャル・エンジニアリング：新たな手口が発見された

Social Engineering Risks Found in Microsoft Teams

2023/05/17 InfoSecurity — ソーシャル・エンジニアリングを介して、Microsoft Teams を悪用しようとする、いくつかの新たな手口が、Proofpoint のセキュリティ研究者たちにより発見された。同社が 2023年5月17日に発表したレポートには、「最近のことだが、2022年後半にかけて確認された、Microsoft 365 クラウド・テナントを標的とした 4億5000万以上の悪意のセッションを分析した。この調査結果によると、Microsoft Teams は、最も標的とされた 10 のサインイン・アプリケーションの１つであり、標的とされた組織の 40％近くで、少なくとも１回の不正ログインが試みられていた」と記されている。

Cisco Small Business Switches の RCE 脆弱性 CVE-2023-20159 などが FIX：直ちにパッチ適用を！

Cisco warns of critical switch bugs with public exploit code

2023/05/17 BleepingComputer — Cisco は 5月17日に、複数の Small Business Series Switches に影響を及ぼす４つの深刻なリモート・コード実行の脆弱性について、顧客に警告した。これらのセキュリティ脆弱性は、エクスプロイト・コードが公開されており、深刻度は CVSS スコア 9.8 と、ほぼ最大の評価を受けている。この脆弱性の悪用に成功した攻撃者は、侵害したデバイス上で認証を必要とすることなく、root 権限で任意のコードを実行できる。

Dark Web レポート：エネルギー分野を攻撃するためのイニシャル・アクセス取引が横行している

Energy Industry Faces Increasing Dark Web Cyber Threats

2023/05/17 InfoSecurity — 石油／ガス企業における CISO の 28％が、ダークウェブから発信されるサイバー脅威を検知していない、もしくは、積極的に監視していないという。この主張は、Searchlight Cyber が提供する最新の脅威情報レポートによるものであり、ダークウェブ上の活動は自社に影響を及ぼさないと、エネルギー業界の CISO の 27％が信じていることも示している。

Microsoft VSCode に悪意のエクステンション：パスワード窃取やリモートシェル確立などが目的

Malicious Microsoft VSCode extensions steal passwords, open remote shells

2023/05/17 BleepingComputer — Microsoft の VSCode Marketplace を標的とするサイバー犯罪者たちが、３種類の悪意の Visual Studio エクステンションをアップロードし、Windows 開発者たちが 46,600回もダウンロードしていることが判明した。Check Point のアナリストたちが、それらの悪意のエクステンションを発見し、Microsoft に報告した内容は、これらのマルウェアを操る脅威アクターたちは、認証情報／システム情報を盗み出し、被害者のマシン上に=にリモート・シェルを確立しているというものだ。

MalasLocker ランサムウェアが Zimbra サーバを攻撃：身代金のかわりに慈善団体への寄付を要求

MalasLocker ransomware targets Zimbra servers, demands charity donation

2023/05/17 BleepingComputer — Zimbra サーバをハッキングして電子メールを盗み出し、ファイルを暗号化するという、新たなランサムウェア・オペレーションが確認されている。しかし、この脅威アクターは、暗号化装置を提供しデータ漏洩を防ぐために、身代金の支払いに代えて慈善団体への寄付を要求すると主張している。BleepingComputer により MalasLocker と名付けられた、このランサムウェア・オペレーションは、2023年3月末に Zimbra サーバへの攻撃を開始し、メールが暗号化されたと、Zimbra フォーラムでは被害者たちは報告している。

NATO サイバー防衛ハブ：ウクライナ／アイスランド／アイルランド／日本が加入

4 Countries Join NATO Cyber Defense Center

2023/05/17 SecurityWeek — CCDCOE (Cooperative Cyber Defence Centre of Excellence) サイバー・セキュリティ・センターの 15周年記念日に、この発表があった。この、エストニアのタリンに本部を置く組織は、現時点において 39カ国のメンバーで構成されていつが、そこには非 NATO 国である、ウクライナ／アイスランド／アイルランド／日本も含まれる。