Weekly

毎日、毎日、いろいろと有るものです・・・こうして、海外のセキュリティ・メディアから記事を拾って、翻訳してポストしていると、あまりにも情報が多すぎて、頭が混乱してきます。そこで、週に一度、テーマを決めて、関連記事を時系列に並べるようにしてみました。

いちおう、その週の月曜日にポストの予定です・・・

AI 関連のトピック：2023年3月〜7月

今週は、AI に関連するセキュリティ記事を、2023年3月〜7月の期間でまとめました。ちょうど、ChatGPT に関する最初の盛り上がりが収束したあたりからの記事リストになります。防御側と攻撃側に影響を及ぼすことは間違いなさそうですが、サイバー犯罪の助長から始まるというのが、いまのトレンドのように感じられます。

2023/07/26：FraudGPT は悪意の生成 AI ツール：月額 $200 で ChatGPT の代替品
2023/07/21：AI を悪用する６つの攻撃パターン：Google による分類と解説とは？
2023/07/20：AI と OSS の関係：半数以上のプロジェクトで脆弱なパッケージを使用
2023/06/20：ChatGPT のアカウント 10万件がダークウェブで販売されている
2023/06/09：Google の人工知能フレームワーク SAIF：生成 AI の開発／運用を保護
2023/06/06：ChatGPT が推奨する OSS パッケージは安全なのか？
2023/05/25：ChatGPT で作成されたポリモーフィックなマルウェア・サンプルを検出
2023/05/08：AI による音声クローン作成：３秒間のデータで詐欺の成功率は 85%
2023/04/25：フィッシングの 2022年を総括：AI ツールにより高度化する攻撃
2023/04/24：VirusTotal の新機能 Code Insight：AI を活用してマルウェアを解析
2023/04/12：Facebook 上の ChatGPT／Google Bard 偽広告：RedLine スティラー
2023/03/29：ChatGPT／GPT-4 を止めろ：Musk／Wozniak などが申し立て
2023/03/28：Microsoft の AI セキュリティ：GPT-4 を搭載 Copilot のプレビュー

アジアに関連するトピック：2023年4月〜6月

先週に引き続き、アジアに関連するトピックをマトメています。今週は、2023年4月〜6月の分となります。この3ヶ月間においても、攻撃側あるいは被害側として、アジアの国々が関連するトピックが多かったように思えます。

2023/06/30：TSMC への LockBit 攻撃：身代金として $70 million が要求される
2023/06/29：日本の官民における脆弱なサイバー・セキュリティ：APT に狙われる
2023/06/26：Volt Typhoon という中国ハッカー：重要インフラを攻撃する手口
2023/06/26：日本の暗号通貨取引所を攻撃？JokerSpy という macOS バックドア
2023/06/20：RDStealer というマルウェア：RDP 侵害で東アジアを狙っている
2023/06/19：Google Play にインドのスパイウェア：VPN／Chat アプリを装う
2023/06/08：ホンダの機器類を販売する e コマース・サイトに脆弱性
2023/06/08：日本の製薬会社エーザイにランサムウェア攻撃：サーバの一部を暗号化
2023/06/05：北朝鮮とサイバー攻撃：外貨収入の 50% は暗号通貨ハイジャック
2023/06/02：PostalFurious フィッシングは中国由来：UAE を狙っている
2023/05/31：Dark Pink がターゲットを拡大：ベルギーへの攻撃も成功させている
2023/05/29：GobRAT というRAT：日本国内の Linux ルーターを侵害
2023/05/27：米海軍グアムの IT インフラにハッカーが侵入：China 対 Five Eyes
2023/05/24：Volt Typhoon という中国の APT：グアムの重要インフラを攻撃
2023/05/24：北朝鮮の Lazarus：Microsoft IIS を侵害してスパイウェアを配布
2023/05/18：中国 – 台湾の緊張関係とサイバー戦争：フィッシング攻撃が激化
2023/05/17：NATO サイバー防衛ハブ：ウクライナ／アイルランド／日本などが加入
2023/05/15：MerDoor という高ステルス性のマルウェア：バックドア展開を確認
2023/05/15：RA Group というランサムウェア：Babuk クローンで３社を侵害
2023/05/08：QR コードで $20,000 を盗まれる：Android マルアプリに感染
2023/05/05：Kimsuky APT は北朝鮮由来：ReconShark という偵察ツール
2023/05/05：BlackBerry レポート：攻撃頻度は１位米国／２位ブラジル／３位日本
2023/05/03：Earth Longzhi という中国ハッカー・グループ：DLL 悪用マルウェア
2023/05/02：ScarCruft という北朝鮮の APT：感染チェーンに大容量 LNK ファイル
2023/05/02：TBK DVR カメラの脆弱性 CVE-2018-9995 の悪用：攻撃試行は５万回
2023/04/28：北朝鮮の Lazarus／ScarCruft：戦術の拡大と標的のグローバル化
2023/04/26：Tencent QQ ユーザーをハッキング：中国の Evasive Panda が関与
2023/04/21：3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害が懸念
2023/04/17：Google レッドチーム・ツールの悪用：中国の APT41 による攻撃で発見
2023/04/08：台湾の MSI にランサムウェア攻撃：Money Message が二重脅迫
2023/04/03：3CX VoIP サプライチェーン攻撃：Win／Macアプリをトロイの木馬化
2023.04/01：LockBit が韓国の国税庁をハッキング：盗んだデータを公表すると脅迫

アジアに関連するトピック：2023年1月〜3月

今週は、アジアに関連するトピックをマトメてみました。2023年の初頭からのものを拾い始めたところ、想像していた以上に多かったので、1月〜3月の分で区切りをつけ、来週に４月〜６月の分を掲載する予定です。このブログにはタグとして Asia を埋め込んでいるので、それを頼りに抽出作業を行っています。したがって、タイトルだけを見ると、アジアに関連しないように見えるものもありますが、攻撃側あるいは被害側として、関連しているものとなります。

2023/03/28：中国の原子力部門が標的：APT アクター Bitter は南アジアから攻撃する
2023/03/20：CatB ランサムウェアの検出回避：DLL 検索順序ハイジャックとは？
2023/03/16：Fortinet のゼロデイ悪用：ハッキングの背後に中国系ハッカー集団
2023/03/15：Tick APT Group：東アジアの政府機関や軍事機関を狙っている
2023/03/13：Dark Pink は中国の APT グループ：ASEAN の政府機関にボットを配布
2023/03/09：Akamai が DDoS 攻撃を緩和：アジアは最大級の 900Gbps 規模
2023/03/02：Redis サーバが標的：クリプトジャッキング・キャンペーンが登場
2023/03/01：Iron Tiger は中国由来の APT27：Linux カスタム・マルウェアを投入
2023/02/27：PureCrypter の狙いは政府機関：AgentTesla などのマルウェアを配布
2023/02/24：News Corp への不正侵入：中国由来の APT が潜み続けていた
2023/02/21：APAC のデータセンターが標的：新たなサイバー攻撃の証拠が発見
2023/02/06：GuLoader の標的は eコマース：NSIS ファイルでマルウェアをドロップ
2023/02/02：2022年に盗まれた暗号通貨は $3.8bn 相当：北朝鮮へは $1.7bn
2023/01/27：Black Basta 新戦術：USB デバイスに PlugX の高スティルス亜種
2023/01/26：Google が Dragonbridge を停止：中国偽情報アカウント５万件を削除
2023/01/24：DragonSpark は中国の APT：Golang ソースの実行時解釈で検出を回避
2023/01/24：Ethereum $100M 相当が Harmony から消えた：北朝鮮のの犯行
2023/01/23：Samsung Galaxy Store の２つの脆弱性：アップデートで対応
2023/01/20：FortiOS SSL-VPN の脆弱性：中国由来ハッカーが 2022年10月から侵害
2023/01/13：Aflac／Zurich でハッキング：日本人顧客約 200万人の情報が漏洩
2023/01/11：Dark Pink という APT：APAC の政府／軍事を狙って７件の攻撃を達成

2023/08/07：2023年5月〜7月のフィッシング関連

今週は、5月半ばから7月までのフィッシング関連の記事をまとめてみました。#phishing タグを埋め込んでいる記事を検索した結果であり、少し範囲が広めになっていますが、かなりの件数となっています。気になるのは、5月16／18日の ZIP／MOVドメインに関するものですが、続報はないようです。

2023/07/11：Microsoft Account 署名キーの悪用：米政府の Eメールを侵害
2023/07/11：E コマース調査：59％の決済詐欺の増加を経験
2023/07/05：Microsoft Teams の問題：外部からのマルウェア配信が証明
2023/06/28：Mobile／BYOD に迫る脅威：企業資産へのアクセスの 60% はモバイル
2023/06/26：Anatsa というバンキング・トロイの木馬：約 600 の金融アプリが標的
2023/06/14：MFA 侵害キットの台頭：月間で 100万件のバイパス・メッセージを記録
2023/06/13：AiTM フィッシング攻撃が多発：Office 365 認証をバイパスして BEC へ
2023/06/13：大規模フィッシング：100の有名ブランドを装う6,000 の偽サイト
2023/06/03：Vidar 情報スティーラーの手口を分析：オンライン販売業者たちを狙う
2023/06/02：PostalFurious フィッシング・ギャングは中国由来：UAE を狙っている
2023/06/01：Horabot マルウェア：Outlook／Gmail を狙うフィッシング・チェーン
2023/06/01：フィッシング攻撃の最新分析：キットの利用が増加している理由
2023/05/30：RaidForums フォーラムから 50万人分のハッカー情報がリーク
2023/05/28：ZIP ドメインは大丈夫？フィッシング・トリックで攻略可能
2023/05/27：QBot：WordPad を悪用する DLL ハイジャックの手口とは？
2023/05/25：高度なフィッシング攻撃が 356％も急増：Perception Point 調査
2023/05/25：Microsoft 365 に新たなフィッシング攻撃：RPMSG メッセージの悪用
2023/05/19：npm で発見された悪意のライブラリ：TurkoRat マルウェア
2023/05/17：Microsoft Teams を狙うソーシャル・エンジニアリング：新たな手口
2023/05/16：ZIP／MOV という新たな TLD は危険か？議論が沸騰

2023/07/31：2023年6月〜7月の金融関連

今週は、6月〜7月の金融関連のインシデントなどを拾ってみました。前回は 3月〜5月で8件ほどでしたが、今回は 10件となります。Microsoft を攻撃している Anonymous Sudan ですが、Killnet が連携を主張し、また、金融機関への攻撃を示唆しているので、このリストに取り込むことにしました。

2023/07/14：金融サービスにおけるランサムウェア被害額：2018〜2022 で $32 bn
2023/07/07：Letscall という音声フィッシング：自前のコールセンターで銀行を騙す
2023/07/04：世界の銀行が標的：メキシコの Neo_Net の eCrime キャンペーン
2023/06/27：金融機関における DMARC の導入：英国の150行では 47% のみが適切
2023/06/26：Anatsa という Android トロイの木馬：約 600 の金融アプリが標的
2023/06/26：日本の暗号通貨取引所でサイバー攻撃？JokerSpy は macOS バックドア
2023/06/23：MOVEit 被害が拡大：保険／年金などの 3.2M 人分のデータが流出？
2023/06/18：Azure／Outlook／OneDrive への DDoS 攻撃：Anonymous Sudan
2023/06/17：Killnet の主張：REvil／A Sudan と連携して欧米の金融組織を攻撃する
2023/06/09：バンキング AitM Phishing ／BEC 攻撃の増大：金融機関に警告

2023/07/24：Eコマース関連記事：2023年前半分です

今週は、Eコマース関連記事をまとめてみました。見落としがあるとは思いますが、昨年までは、これほどの情報量は無かったように感じます。特に、６月に多くの記事がポストされていました。また、２月と３月の、バックアップが狙われるという話と、決済の瞬間が狙われるという話は興味深かったです。

2023/07/11：E コマース調査：59％の決済詐欺を、51％がアカウント乗っ取りを経験
2023/06/21：WordPress Plugin の脆弱性が FIX：脆弱なサイトが数万件
2023/06/13：WooCommerce Stripe Gateway の IDOR 脆弱性が FIX
2023/06/13：Adobe の月例 2023/06：Adobe Commerce／Magento に脆弱性
2023/06/13：大規模フィッシングを検出：100のブランドを装う 6,000 の偽サイト
2023/06/08：ホンダの e コマース・サイトに脆弱性：甚大な被害の可能性があった
2023/06/05：Magento／WooCommerce などが標的：Magecart キャンペーン
2023/06/03：Vidar 情報スティーラーの手口を分析：オンライン販売業者たちを狙う
2023/04/16：PrestaShop の深刻な脆弱性が FIX：ロール権限を破壊する SQL i
2023/03/24：WooCommerceの脆弱性：WordPress サイト 50万以上に影響？
2023/03/22：WordPress 上の eコマース侵害：決済の瞬間を狙ってクレカ情報を盗む
2023/02/07：バックアップが狙われる：店舗の 12% で機密情報が漏洩しやすい状況
2023/02/06：GuLoader の標的は e-Commerce 業界：マルウェアをドロップ
2023/01/18：Magento の脆弱性 CVE-2022-24086：積極的な悪用が止まらない

2023/07/18：軍事関連に影響を及ぼすインシデントや脆弱性など

ロシアによるウクライナ侵攻が始まって、すでに１年半が経とうとしていますが、そこから始まった防衛関連企業などに対するサイバー攻撃が、全世界に拡散しているように思えます。この種のトピックは、Cyber-Warfare というページにもまとめていますので、よろしければ、ご参照ください。

2023/06/14：Microsoft が警告するロシアの APT：ワイパー攻撃における関連性
2023/06/07：PowerDrop マルウェア：米国の航空宇宙産業を攻撃している
2023/05/27：米海軍グアムの IT インフラに中国由来のハッカーが侵入
2023/05/24：Volt Typhoon という中国の APT：グアムの重要インフラを攻撃
2023/05/23：ドイツの兵器メーカー Rheinmetall にランサムウェア攻撃
2023/05/17：NATO サイバー防衛ハブ：ウクライナ／アイスランド／日本などが加入
2023/04/30：人工衛星の乗っ取りを実演：Thales が証明した制御方法とは？
2023/04/24：米国の軍艦造船業者 Fincantieri Marine でランサムウェア攻撃が発生
2023/04/20：ロシアからのフィッシング攻撃：約６割がウクライナに集中
2023/03/28：米大統領令による商用スパイウェア制限：政府による使用は曖昧
2023/02/21：プーチン大統領の演説を DDoS で妨害：ウクライナ IT Army の仕業か？
2023/02/17：ウクライナ侵攻におけるロシアのサイバー戦略：活動を時系列で整理
2023/01/16：WikiLeaks が暴露した CIA の Hive マルウェア：脅威アクターが悪用
2023/01/16：米国防総省のバグバウンティ Hack the Pentagon：４年に一度の大会

2023/07/03：社会インフラに影響を及ぼすインシデントや脆弱性など

2023年に入ってから、社会インフラに影響を及ぼす、インシデントや脆弱性などに関する報道が増えているように感じます。2021年末の Log4J 脆弱性のときには、Schneider と Siemens にも影響が生じているというニュースがありました。少々驚きましたが、ほぼ全ての社会インフラが、OSS の上に構築されているといっても過言ではないのでしょう。そう考えると、このような状況も納得できてしまいます。

2023/06/27：MOVEit 攻撃の新たな被害者：Schneider と Siemens が攻撃された
2023/06/12：Fortinet の脆弱性 CVE-2023-27997 悪用：Volt Typhoon が攻撃？
2023/05/17：Dark Web：エネルギー分野攻撃のためのイニシャル・アクセス取引
2023/04/24：APC の警告：UPS に存在する RCE 脆弱性 CVE-2023-29411 など
2023/04/21：3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害が懸念
2023/03/28：中国の原子力エネルギー部門が標的：Bitter は南アジアから攻撃する
2023/03/22：ランサムウェアが２倍増：ENISA が分析する欧州の交通機関への攻撃
2023/03/17：GoAnywhere ゼロデイの被害者：Hitachi Energy が公表される
2023/03/03：TPM 2.0 の脆弱性：数十億台のデバイスに影響を与える可能性
2023/02/21：APAC のデータセンターが標的：新たなサイバー攻撃の証拠が発見
2023/02/07：英 Royal Mail へのサイバー攻撃：LockBit が犯行を主張
2023/01/23：ICS のセキュリティ：2022年後半に CISA が報告した 920件の脆弱性
2023/01/18：GE Historian の脆弱性： ICS を標的とするスパイ活動や破壊活動
2023/01/13：英 Royal Mail の国際郵便が止まった：LockBit が脅迫を開始

2023/07/03：API 関連記事 5/6 月のマトメです

前回の API 関連記事マトメは 5月1日であり、ちょうど２ヶ月が経過したので、この間の記事をまとめてみました。6月7日に、OWASP API Top-10 Risk の 2023版が出たので、その前後に、ちょっと読み応えのある記事が並んでいるようです。なお、タイトルに API が含まれていなくても、本文中に登場する記事はピックアップするようにしています。

2023/06/08：API セキュリティの強化：管理体制とベストプラクティスとは？
2023/06/07：OWASP API Top-10 Risk の 2023版が公開：2019版との違いは？
2023/06/06：API は何ができる？何ができない？どうしたら安全に使える？
2023/05/30：CAPTCHA 解除サービスの蔓延：API を悪用する犯罪組織の存在
2023/05/24：PowerExchange マルウェア：Exchange サーバを悪用して C2 通信
2023/05/23：API と Security：責任者は CISO なのか？それとも DevOps なのか？
2023/05/17：Teams を狙うソーシャル・エンジニアリング：新たな手口が発見された
2023/05/11：悪意のボット・トラフィック増大：インターネットの 30% を埋め尽くす
2023/05/09：API の氾濫という深刻な問題：インシデントを学習して将来を見据える
2023/05/07：Akira というランサムウェア：すでに 16社を侵害したと主張している
2023/05/04：Microsoft Azure の API Management の脆弱性が FIX
2023/05/03：Facebook を攻撃する NodeStealer は情報窃取マルウェア
2023/05/01：hVNC は高スティルス性のマルウェア：ロシアから API を介して悪用
2023/04/21：Kubernetes の RBAC を悪用：暗号マイニングの大規模キャンペーン

2023/06/26：サプライチェーン攻撃 GoAnywhere／3CX／MOVEit

3月には GoAnywhere (MFT)、4月には 3CX (VoIP)、6月には MOVEit (MFT) という具合に、立て続けにマネージド・サービスを介したサプライチェーン攻撃が発生しています。攻撃者は、それぞれ Clop／Lazarus／Clop とのことです。いずれも、侵入経路は脆弱性であり、短時間のうちに下流の顧客企業の情報を盗み出し、脅迫するという手口です。上記の三社以外には、Discord／Uber／Atlassian などでも、別の攻撃による被害が発生しているようです。

2023/06/12：MOVEit 深刻な RCE 脆弱性 CVE-2023-34362：PoC を Clop が狙う？
2023/06/10：MOVEit Transfer の SQLi 脆弱性 CVE-2023-35036 が FIX
2023/06/06：British Airways／BBC などでデータ侵害が発生：MOVEit
2023/06/04：CISA KEV 警告：MOVEit の脆弱性 CVE-2023-34362 を追加
2023/06/01：MOVEit Transfer に深刻なゼロデイ脆弱性：すでに活発な悪用
2023/05/15：Discord でサプライチェーン攻撃：ユーザーの機密情報が流出
2023/05/12：米国企業の 61%でサプライチェーン攻撃が発生していた
2023/04/21：3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害
2023/04/12：3CX VoIP サプライチェーン攻撃：北朝鮮 Lazarus
2023/04/06：Uber ドライバーの機密情報が流出：サプライチェーン攻撃が原因
2023/04/03：3CX VoIP にサプライチェーン攻撃：暗号通貨が狙われる
2023/03/26：GoAnywhere ゼロデイの被害者：Crown Resorts が６番目
2023/03/24：GoAnywhere ゼロデイの被害者：Procter & Gamble が５番目
2023/03/17：GoAnywhere ゼロデイの被害者：Hitachi Energy が４番目
2023/03/15：GoAnywhere ゼロデイの被害者：セキュリティ企業の Rubrik が３番目
2023/03/02：Hatch Bank のデータ侵害：GoAnywhere MFT のゼロデイ脆弱性
2023/02/16：Atlassian で発生した情報流出：サプライチェーン内で責任転嫁
2023/02/10：GoAnywhere MFT のゼロデイを悪用：Clop が 130社からのデータ窃取

2023/06/19：2023年3月〜5月の金融関連の動向

2023年3月〜5月の金融関連の動向をまとめてみました。興味深かったのは、デジタルノマドと新たな ID 確認テンプレートという記事です。コロナが沈静化しても、世界中を旅しながら、仕事もするというライフスタイルが定着しているように思えます。

2023/06/05：北朝鮮とサイバー攻撃：外貨収入の 50% を暗号通貨ハイジャック
2023/05/29：デジタルノマドと金融機関：新たな ID 確認のためのテンプレート
2023/04/17：Qbot バンキングトロイの木馬：PDF アーカイブから PowerShell 起動
2023/04/05：STYX というダークウェブが登場：金融詐欺に特化して支持を集める
2023/04/03：3CX VoIP にサプライチェーン攻撃：トロイの木馬化で暗号通貨
2023/03/27：Latitude Financial にデータ侵害：1400万件の顧客データが盗まれた
2023/03/23：Nexus というバンキングトロイの木馬：450 種類の金融アプリが標的
2023/03/20：Bitcoin ATM の脆弱性をハッキング：General Bytes で $1.5M 窃取

2023/06/12：2023年4月〜5月の APT の動向

先週に引き続き、 APT (Advanced Persistent Threat) の動きを、2023年4月〜5月で整理してみました。前回も触れましたが、ウクライナーロシアに関する報道が減って、中国／北朝鮮に関連する記事が増えています。現実の攻撃の頻度が、それと一致しているのかどうかは分かりませんが、アジアが注目されているのは間違いないでしょう。

2023/05/30：OT ネットワークと人的なエラー：APT 攻撃を助長する要因とは？
2023/05/27：米海軍グアムの IT インフラにハッカーが侵入：China 対 Five Eyes？
2023/05/24：Volt Typhoon という中国の APT：グアムの重要インフラへを攻撃？
2023/05/24：北朝鮮の Lazarus Group：Microsoft IIS からスパイウェアを配布
2023/05/19：CloudWizard APT フレームワーク：CommonMagic と多数の共通点
2023/05/18：中国 – 台湾の緊張関係とサイバー戦争：フィッシング攻撃が激化
2023/05/16：Cobalt Strike の Golang 亜種が登場：macOS を狙う中国の APT
2023/05/16：TP-Link ルーター群に危機：中国の APT による侵害が始まっている
2023/05/15：MerDoor というマルウェア：５年前からのバックドア展開を確認
2023/05/10：Snake はロシア FSB 由来：米政府が無効化したスパイツールとは？
2023/05/05：Kimsuky APT は北朝鮮由来：ReconShark という偵察ツールで活動
2023/05/03：DLL サイドローディングの二重化：追跡が困難なスティルス攻撃
2023/05/03：Earth Longzhi という中国ハッカー・グループ：DLL 悪用マルウェア
2023/05/02：ScarCruft という北朝鮮の APT：感染チェーンに大容量 LNK を使用
2023/04/28：北朝鮮の Lazarus／ScarCruft：戦術の拡大と標的のグローバル化
2023/04/26：Tencent QQ ユーザーをハッキング：中国 APT の Evasive Panda
2023/04/25：ロシア国家支援の APT グループ Tomiris／Turla の関連性を掘り下げる
2023/04/21：3CX サプライチェーン攻撃：北朝鮮ハッカーによるインフラ侵害
2023/04/20：ロシアからのフィッシング攻撃：約６割がウクライナに集中
2023/04/18：SimpleHelp というリモート・サポート製品を悪用：イランの戦術
2023/04/17：Google レッドチーム・ツールの悪用：中国の APT41 が攻撃で発見

2023/06/05：2023年1月〜3月の APT の動向

今年前半の APT (Advanced Persistent Threat) の動きを整理してみたら、１回にまとめるには、あまりにも多くのトピックがあり過ぎなので、まずは１月〜３月の記事を並べてみました。アジアでの出来事が、確実に増えているように思えます。来週は、４月〜５月の記事を整理する予定です。

2023/03/28：米国の商用スパイウェア制限：政府による使用については曖昧さが残る
2023/03/28：中国の原子力エネルギー部門が標的：南アジアの APT Bitter の攻撃
2023/03/21：PowerMagic／CommonMagic というマルウェア：新たなバックドア
2023/03/16：Fortinet のゼロデイ悪用：背景で操る中国系ハッカー集団とは？
2023/03/15：Tick APT Group：東アジアの政府機関や軍事機関をら狙っている
2023/03/13：Dark Pink は中国の APT グループ：ASEAN 諸国の政府機関を狙う
2023/03/03：Mustang Panda は中国由来：新たな MQsTTang バックドアを展開
2023/03/01：Iron Tiger は中国由来の APT27：Linux カスタム・マルウェアを投入
2023/02/24：News Corp への不正侵入：中国由来の APT が潜み続けていた
2023/02/23：ワイパー・マルウェアが急増：ウクライナ侵攻により世界中で蔓延
2023/02/20：ノルウェーの Økokrim：北朝鮮の Lazarus から $5.9M を奪還
2023/02/18：WhiskerSpy という北朝鮮のマルウェア：中国と日本を狙う
2023/02/15：Havoc という OSS C2 フレームワーク：MS Defender をバイパス
2023/02/11：MagicWeb という AD FS 狙いのマルウェア：ロシアの国家支援ハッカー
2023/02/06：Sliver マルウェアによる BYOVD 攻撃：Windows にバックドア
2023/02/02：2022年に盗まれた暗号通貨は総額で $3.8bn 相当：北朝鮮へは $1.7bn
2023/01/24：DragonSpark は中国の APT：Golang ソースの実行時解釈で検出回避
2023/01/16：WikiLeaks が暴露：CIA の Hive マルウェアを脅威アクターが悪用
2023/01/11：Dark Pink という APT グループ：APAC の政府／軍事を狙っている
2023/01/08：Turla APT の奇妙な動き：10年前のインフラからバックドアを展開

2023/05/29：フィッシング関連記事 2023年4月／5月

前回は、4月10日にフィッシング関連記事をまとめましたたが、それから１ヶ月半が経ち、かなりの本数の関連記事が溜まってしまいました。ChatGPT のリリースに伴い、フィッシングが増えるという懸念がありましたが、その行為自体には生成 AI の痕跡は残らないので、どれほどの影響力があるのかという分析は不可能です。また、Microsoft Office を狙う攻撃については、OneNote がターゲットとして浮上してきましたが、いまのところ顕著な攻撃例は見当たらないという状況です。それと、この数ヶ月でよく聞くキーワードとして、情報スティーラー (Info-Stealer) が目立っています。侵害後に、目立った攻撃は行わずに、ひたすらに情報を盗み出す脅威アクターの行動です。

2023/05/13：Microsoft のマクロ・ブロックに挑む攻撃者たち：何が変わったのか？
2023/05/12：XWorm マルウェアを配信するフィッシング：脆弱性 Follina を悪用
2023/05/10：Windows のフェイク・アップデート：Aurora 情報スティーラー
2023/05/10：Greatness という Phishing-aaS：Microsoft 365 ユーザーが標的
2023/05/08：QR コードで $20,000 を盗まれる：偽のアンケートでマルアプリ感染
2023/05/08：Microsoft と MFA 疲労攻撃：Authenticator プッシュで番号照合
2023/05/08：AI 音声クローン作成：３秒間のデータがあれば詐欺の成功率は 85%
2023/05/05：HTML 内に仕込まれたマルウェアの進化：スキャンを難しくする手口
2023/05/03：Facebook を攻撃する NodeStealer：セッション・クッキー侵害は容易
2023/05/02：ChatGPT の偽アプリ：Chrome のログイン・データを盗み出す
2023/04/28：Minecraft クローンに御用心：Google Play で 3500万ダウンロード
2023/04/25 ：フィッシングの 2022年を総括：AI ツールにより高度化／急増
2023/04/24：Facebook で新たなフィッシング：3200件の偽プロフィールを展開
2023/04/22：BumbleBee マルウェア：Google 広告や SEO ポイズニングで配布
2023/04/20：ChatGPT に関連する悪意の URL：不正占拠ドメインが 17,818% 増加
2023/04/17：ChatGPT などの AI ツールと BEC：いちばん恐ろしい武器は言葉
2023/04/17：Qbot バンキング・トロイの木馬：PDF アーカイブで PowerShell 起動
2023/04/12：Emotet 攻撃が加速：OneNote ファイルの不用意な操作は NG
2023/04/12：Facebook 上の ChatGPT 偽広告：RedLine スティラーを配布
2023/04/08：ARES Data Leak の台頭：Breached のシャットダウンが追い風
2023/04/07：サイバー攻撃に悪用される ChatGPT：防御側も LLM を活用すべき
2023/04/04：Rilide は Chromium を狙う：偽の Google Drive エクステンション
2023/04/03：Microsoft OneNote の安全確保：危険なファイル拡張子をブロック
2023/03/28：ChatGPT に対するユーロポールの評価：将来に起こり得る問題とは？

2023/04/24：最近のダークウェブ関連の記事をまとめました

このところ、ダークウェブに関する興味深い記事を見つけましたので、それらをまとめてみました。1本目は、Searchlight Cyber というダークウェブ調査会社のレポートをベースにした記事です。記事内のリンクから、PDF レポートがダウンロードできます。いくつかの統計値が、グラフで提供されています。
2023/03/27：Dark Web：インテリジェンスを用いて脅威アクターを理解する

2本目は、Google One の新機能として、ダークウェブ・レポートが提供されるという話です。どの範囲の情報まで得られるのかは、分かりませんが、個々のユーザーのクラックされたパスワードなどを教えてくれるのかと、期待しています。日本では、マダのようですが・・・
2023/03/08：Google One の新機能：VPN アクセス／Dark Web レポート

以下は、この1年の間に溜まった、ダークウェブ関連の記事です。よろしければ、ご参照ください。

2023/04/08：ARES Data Leak の台頭：Breached のシャットダウンが追風
2023/04/06：Genesis のテイクダウン：OCM が老舗のダークウェブを追い詰めた
2023/04/05：STYX というダークウェブが登場：金融詐欺に特化している
2023/01/24：ダークウェブの監視が重要：Verizon DBI が示すリスク軽減のヒント
2023/02/09：Dark Web の 2022年：Hydra の閉鎖により市場規模が 50% に縮小
2022/12/06：InTheBox ダークウェブ：金融サービス向けの Web インジェクション
2022/10/31：KELA のダークウェブ調査：2022 Q3 の IAB 市場規模は $4M
2022/10/26：BestBuy ダークウェブ運営者が逮捕：米政府の機密データなどを販売
2022/10/17：BlackLotus は Windows UEFI ブートキット：フォーラムで販売
2022/09/08：NATO の機密文書がダークウェブで販売：流出元はポルトガル政府
2022/09/07：WT1SHOP オンライン犯罪市場：国際法執行機関によりシャットダウン
2022/08/29：NATO 調査：ダークウェブで販売される MBDA ミサイルの機密情報
2022/08/08：Genesis は老舗ダークウェブ：洗練された情報とサービスを提供
2022/07/22：Twitter のアカウント情報が大量に流出：548万人分が $30k で販売
2022/06/15：Dark Web Price Index 2022：潜入調査で明らかにされた商品相場

2023/04/17：最近のサプライチェーン攻撃について

サプライチェーン攻撃といっても、サードパーティのサービスを介するものから、OSS リポジトリ汚染で開発者を攻撃するものまで、さまざまな形態があります。最近のインシデントで印象的だったのは、GoAnywhere MFT (Managed File Transfer) を侵害した、Clop ランサムウェアの動きです。メディアが追いかけたのは、６番目の被害者までですが、その後も続いているのかもしれません。いつもの通り、時系列に並べていますが、２つのブロックに分けています。

2023/04/03：3CX VoIP サプライチェーン攻撃：Win／Macアプリがトロイの木馬に
2023/03/29：API セキュリティの調査：この６ヶ月の攻撃件数が 400％も増加
2023/03/23：Python の Unicode を悪用：新たな情報スティーラーは巧妙に検出回避
2023/03/20：.NET 開発者がターゲット：NuGet に展開された悪意のパッケージ
2023/03/14：SpaceX の機密データを LockBit が窃取：製造請負のハッキングが原因
2023/03/08：API 悪用がスピードアップ：脆弱性の発生と攻撃の頻度も増大している
ーーーーー
2023/03/26：GoAnywhere ゼロデイ：Crown Resorts が６番目として公表される
2023/03/24：GoAnywhere ゼロデイ：Procter & Gamble が５番目として公表される
2023/03/17：GoAnywhere ゼロデイ：Hitachi Energy が４番目として公表される
2023/03/15：GoAnywhere ゼロデイ：セキュリティ企業 Rubrik が３番目として公表
2023/03/02：Hatch Bank 侵害：GoAnywhere MFT のゼロデイ脆弱性が悪用された
2023/02/10：GoAnywhere MFT のゼロデイを悪用：130社からデータを窃取

2023/04/10：フィッシング関連記事 2023年3月

３月のフィッシング関連記事の記事をまとめてみました。この種の記事には、[phishing] タグを埋め込んで、後で検索できるようにしているのですが、こんなにあるのかと、当事者も驚いている次第です。

2023/03/28：中国の原子力エネルギー部門が標的：Bitter は南アジアから攻撃する
2023/03/24：Emotet：アメリカ合衆国歳入庁がフィッシング・ルアーに使われている
2022/03/24：Phishing Kit を解説：検出を回避する手口と延命のための悪知恵とは？
2023/03/23：SharePoint を狙うフィッシング活動：欧米の 1600 人の個人が標的
2023/03/23：Okta のパスワード誤入力が狙われる：不適切なログ管理に起因
2023/03/23：Nexus バンキング・トロイの木馬：450 種類の金融アプリがターゲット
2023/03/18：Emotet が本気の戦略シフト：OneNote ファイルを介した配布が始まる
2023/03/16：Adobe Acrobat Sign を悪用：Redline マルウェアを配布する手口
2023/03/16：BEC の発生件数が２倍に増えた：フィッシングから移行している？
2023/03/15：フィッシングで悪用されるブランド URL：Top-50 をリストアップ
2023/03/14：AiTM フィッシング・キット DEV-1101：大規模キャンペーンに御用心
2023/03/10：AT&T のデータ侵害：サードパーティ・ベンダーがハッキングされた
2023/03/07：Emotet の活動再開：キャンーペンのトリックは大容量ファイル？
2023/03/01：多要素認証 (MFA) バイパス：３種類の侵入ベクターについて解説する
2023/03/01：モバイル・フィッシング 2022年レポート：BYOD につけ込む攻撃者たち

2023/04/03：OpenAI の Chat GPT _3

前回に CahtGPT についてお伝えしたのは、２月の中頃だったと思います。以下は、それから１ヶ月後の、３月中旬までの記事の一覧です。

2023/03/13：ChatGPT に企業データを投げ込むという行為：リスクについて考えよう
2023/02/22：ChatGPT の偽アプリ／偽ドメインに御用心：マルウェアが配信される
2023/02/16：ChatGPT とセキュリティの関係：ポジティブ？ネガティブ？時期尚早？
2023/02/10：ChatGPT がフィッシングをプッシュ：2022年下半期の 61％増が加速？
2023/02/03：ChatGPT 調査：IT リーダーの 51% がサイバー攻撃の中核になると回答

2023/03/27：SVB 銀行破綻とサイバー犯罪など

SVB 銀行の破綻を受けて、サイバー犯罪者たちが動き出しているようです。すでに脅威アクターたちは疑わしいドメインを登録してフィッシング・ページを作成し、BEC 攻撃の準備を整えていると報道されています。サイバー犯罪が横行する時代に、銀行破綻が生じると、いろいろと心配事が生じてしまいます。

2023/03/14：SVB 銀行の破綻を悪用：金銭やデータを盗み出すサイバー犯罪者たち
ーーーーー以下は、最近の金融関連の記事ですーーーーー
2023/03/10：Xenomorph は最凶のバンキング・トロイの木馬：不正送金まで自動化
2023/03/06：ATM を狙う FiXS マルウェアはロシア由来：CEN XFS が攻撃対象
2023/03/02：Hatch Bank のデータ侵害：GoAnywhere MFT の脆弱性が悪用された
2023/02/27：モバイル・バンキングの脅威：１年で２倍増した偽装アプリの検出件数
2023/02/20：ノルウェーの Økokrim が大活躍：北朝鮮から $5.9M を奪還

2023/03/20：Excel add-ins と OneNote へと移行する侵入ベクター

Microsoft Office の VBA マクロを狙う侵入ベクターですが、Microsoft の Mark of the Web (MoTW) 対応により、Excel XLL add-ins および OneNote へと移行しているようです。このあたりの、年明けからのトピックを拾ってみました。

2023/03/07：Excel の XLL add-ins がデフォルトでブロック：MoTW の強化
2023/03/06：Word の深刻な RCE 脆弱性 CVE-2023-21716：PoC が公開された
2023/03/05：OneNote ファイルによるマルウェア感染：防止のための手順を詳述
2023/02/07：OneNote ファイル経由で QBot をプッシュ：QakNote マルウェア
2023/01/31：OAuth を悪用する偽アプリ攻撃： Office 365 で不正アクセスが発生
2023/01/23：Microsoft の対策：Excel XLL add-in の制限が 2023年3月に始まる
2023/01/21：OneNote ファイルに要注意：新たなマルウェア配布が始まっている
2022/12/28：Excel への再攻撃を狙う APT：新たな XLL Add-in 侵入ベクター

2023/03/13：サイバー戦争ウクライナ vs. ロシア 2023

ロシアによるウクライナ侵攻から１年が経ちましたが、サイバー戦線での戦いも依然として継続しています。2月7日の、Google の詳細なレポートをベースにした記事は、この１年間の動向を把握する上で、とても有益なものとなっています。

2023/02/23：ワイパー・マルウェアが急増：ウクライナ侵攻により世界中で蔓延
2023/02/21：プーチン大統領の演説を DDoS で妨害：ウクライナ IT Army の仕業か？
2023/02/17：ウクライナ侵攻におけるロシアのサイバー戦略：この１年を整理する
2023/02/11：MagicWeb は AD FS 狙いのマルウェア：ロシアの Nobelium が開発
2023/01/23：DDoS 攻撃とロシア側の被害：最大手 ISP の Rostelecom が語る惨状
2023/01/14：Brave の新機能 Snowflake：Tor へつなぐ検閲回避のフリーウェイ
2023/01/08：Turla APT の奇妙な動き：10年前のインフラからバックドアを展開

2023/03/06：調査レポート・ベースの記事 2023年 1月／2月

2023年1月下旬から2月半ばにかけての、調査報道ベースの記事を集めてみました。何らかの数値データのあるものを選びましたが、予想以上に多かったと感じます。2022年の末まで、データを取り続けたレポートなどがベースになっていると考えられます。

2023/02/14：QBot／Lokibot／AgentTesla が Top-3 という調査結果：2023年1月
2023/02/13：セキュリティと意思決定：約８割の企業は攻撃者を把握していないが？
2023/02/09：Dark Web マーケットの 2022年：市場規模が 50% に縮小
2023/02/02：サイバー・セキュリティ調査：インサイダーは？予算は？人員確保は？
2023/02/01：コンテナ・イメージのセキュリティ調査：87% に深刻な脆弱性が
2023/02/01：サプライチェーン調査：3rd／4th パーティーの可視化が不可欠
2023/01/30：インサイダー脅威に関する調査：多発する攻撃と困難な発見への懸念
2023/01/30：サイバー犯罪組織の求人広告：開発者 61%／攻撃者 16%／設計者 10%
2023/01/27：クラウドストレージ調査：52% の企業で前年度の予算を上回る支出
2023/01/27：OSS の需要が継続して増大：80% が深刻な “人材問題” を抱える

2023/02/27：金融セキュリティ情報 2023年2月

2023年1月〜2月の金融関連セキュリティ情報をまとめてみました。あいかわらず、モバイル・バンキングを狙う、情報スティーラーに関するトピックが多いように思えます。なお、 2023/02/07 の「英銀行のデジタル・セキュリティ」の後書き部分のリンクから、UK Finance という組織のレポート (PDF) がダウンロードできるようになっています。

2023/02/07：英銀行のデジタル・セキュリティ：未だ不十分という評価
2023/02/02：InTheBox は Web インジェクション販売業者：バンキング狙い
2023/02/02：2022年に盗まれた暗号通貨は総額で $3.8bn 相当
2023/01/19：サイバー保険でリスクを相殺？：中小企業における実態を調査
2023/01/13：Aflac／Zurich でハッキング：日本人顧客約 200万人の情報が漏洩
2023/01/05：SpyNote のオープン化：金融機関を標的とする Android スパイウェア
2023/01/03：BitRAT マルウェアは $20 で使い放題：フィッシングに悪用可能

2023/02/20：Killnet DDoS ボットのプロキシ IP リスト

SecurityScorecard の研究者たちが Killnet のプロキシ IP リストを公開しました。彼らは、「ユーザー組織の保護を強化するために、Killnet DDoS ボットのブロックに役立つ、プロキシ IP リストを公開した」と述べています。Killnet は 2022年3月から活動しているグループであり、ウクライナ支援を表明したイタリア／ルーマニア／モルドバ／チェコ／リトアニア／ノルウェー／ラトビアなどの、政府や重要インフラに対して DDoS 攻撃を仕掛け続けています。

2023/02/09：Killnet の Proxy IP リスト：ブラックリスト化して攻撃に備える
2023/02/09：GitHub で公開された Killnet Proxy IP リスト (随時更新)
ーーーーー以下は、Killnet の関連記事ですーーーーー
2022/10/10：KillNet の DDoS 攻撃：米国の主要空港 Web サイトが軒並みダウン
2022/09/07：日本政府の Web サイトが攻撃される：犯行を主張する Killnet とは？
2022/08/13：Lockheed Martin への不正侵入：Killnet は親ロシアのハッカー

2023/02/13：OpenAI の Chat GPT _2

先々週にお伝えした CahtGPT ですが、その後もセキュリティに関連する記事が出続けています。以下は、１月末までに拾った記事の一覧です。

2023/01/31：OpenAI の AI Text Classifier：書いたのは ChatGPT ？人間？
2023/01/28：ChatGPT でセキュリティを強化：2023年を変える３つの視点とは？
2023/01/25：ChatGPT：Social エンジニアリングから Prompt エンジニアリングへ
2023/01/24：ChatGPT が明らかにした問題点： AI を騙して悪用するのは簡単だ

2023/02/07：2022年のマトメ的な記事のリスト_2

先々週に、2022年のマトメ的記事をリストアップしましたが、年明けにも何本かの記事がありました。2022/Q4 のデータなども混じります。

2023/01/25：フィッシング・ブランドの首位は Yahoo：2022年 Q4 の調査結果
2023/01/20：ランサムウェア・ギャングたちの総決算 2022年：身代金収益は 40% 減
2023/01/17：クレジットカード犯罪が 62% 減：ウクライナ戦争とダークウェブ市場
2023/01/17：Initial Access Broker の活動量が１年で倍増：Group-IB の IAB 調査
2023/01/16：Qbot 7%／Emotet 4%／XMRig 3% という調査結果：2022年12月
2023/01/12：Telegram Bot とフィッシング：2022年の悪用は前年比で 800% 増
2023/01/09：2022 サイバー攻撃調査：グローバルで前年比 38% 増で Q4 は過去最大

2023/01/30：OpenAI の Chat GPT _1

いろんなところで話題をさらっている、OpenAI の Chat GPT ですが、これまでに指摘されてきたフィッシング文書の作成などに加えて、多形態マルウェア (Polymorphic Malware) が作成できたというレポートが提供されたようです。

2023/01/18：ChatGPT でマルウェア開発：継続的な変異により捕捉／検出が困難
2023/01/13：ChatGPT の悪用：人工知能の倫理をバイパスするロシアのハッカー
2023/01/06：ChatGPT ：フィッシング／BEC／マルウェア開発に利用できる？

2023/01/21：人的な問題について考える

人間が関与してしまうインシデントと、セキュリティ・チームからの離職についてまとめてみました。先週の「セキュリティの強制は行き詰まる：信頼するアプローチが不可欠」が気になり、少し古い記事となりますが、[人] に関連するものを集めてみました。

2022/20/26：サイバー侵害に鈍感な企業：54% の従業員が離職を考えている
2022/09/10：従業員教育と災害復旧：包括的なデータ保護でサイバー犯罪を無力化
2022/07/28：セキュリティ意識調査：予算の大部分が無駄だと 70% の企業が回答
2022/05/18：IT ヘルプ・デスクの調査：65％のチームが持続不可能に
2021/05/13：データ侵害の 85% に人間が関与している：Verizon DBIR
2022/04/20：初期感染：脆弱性悪用とサプライチェーン侵害が 50% 以上を占める
2022/04/11：セキュリティ調査：人為的なリスクが最大の痛みを伴うという結論
2021/03/07：セキュリティ・アナリストの燃え尽き症候群：人手不足／過重労働

2023/01/14：2022年のマトメ的な記事のリスト_1

この年末年始は、Log4j のようなことも起こらず、平穏な日々が続いたようです。そのためか、普段から参照しているメディアも、2022年のマトメ的な記事を、心置きなくポストしていたようです。すべてを拾えたわけではありませんが、気になるものを約した結果が、以下のリストとなります。お時間のあるときにでも、ご参照いただければと思っています。

2022/12/23：2023年を予測：サイバー戦争から Alexa に指示する Bitcoin 採掘まで
2023/12/26：APT と地政学的な背景：2022年に猛威を奮った脅威 Top-5 を分析
2023/12/27：2023年以降の AppSec：依然として脆弱であり継続的な対策が必要
2023/12/17：次世代サイバー攻撃を予測：テクノロジーとリカバリーが交差する
2023/12/29：2023年の地政学：国家支援脅威アクターは何を仕掛けてくる？
2023/12/30：CISA KEV の１年：悪用の半分は Adobe／Apple／Cisco／MS
2023/12/31：医療へのランサムウェア攻撃：4200万人分の情報がダークウェブへ
2023/01/03：セキュリティの強制は行き詰まる：信頼するアプローチが不可欠