【攻撃の傾向・手法】

Active Kubernetes RCE Attack Relies on Known OpenMetadata Vulns

OpenMetadataのオープンソースメタデータリポジトリの既知の脆弱性は4月初旬から活発に悪用されており、攻撃者がパッチを当てていないKubernetesクラスタに対してリモートでコード実行サイバー攻撃を仕掛けることが可能となっている。

New LockBit Variant Exploits Self-Spreading Features - Infosecurity Magazine

システム管理者のなりすましやネットワーク全体への適応的な自己拡散など、前例のない機能を示しています。 このランサムウェアは、高度な特権を持つドメイン資格情報を利用して、セキュリティ対策を無効にし、ネットワーク共有を暗号化し、イベント ログを消去して自身の動作を隠蔽することもできます。感染した各ホストはさらなる感染の媒介となり、被害者のネットワーク内での影響を増幅させます。
カスタム構成ファイルを使用すると、マルウェアが特定のネットワーク環境に適応し、その有効性と回避性が強化されます。この柔軟性は、漏洩したビルダーの使いやすさと相まって、サイバーセキュリティの専門家にとって大きな課題となります。 

アタックサーフェスの Operational Relay Box 化を伴うネットワーク貫通型攻撃について ～Adobe ColdFusion の脆弱性（CVE-2023-29300）を狙う攻撃～ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

 ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあります。踏み台のケースにおいては、意図せずに他組織への攻撃活動に加担してしまうことに繋がり、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認されている。アドビ社が提供する Adobe ColdFusion の脆弱性 (CVE-2023-29300) を悪用したネットワーク貫通型攻撃による被害を確認しています。国内の複数組織においてこの脆弱性が悪用され、当該装置に webshell が設置されている。

【脆弱性情報】

PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 についてまとめてみた - piyolog

脆弱性が確認されたのはPalo Alto社のFW製品等で稼働するPAN-OS一部バージョンのGlobalProtect機能。攻撃者が脆弱性の存在するFW製品等に対しネットワーク経由でのっとりなど可能となる恐れがあるもので、同社は脆弱性深刻度を最高と評価している。

HotFixが公開済みなので、早期適用が推奨。

AWS, Google, and Azure CLI Tools Could Leak Credentials in Build Logs

アマゾン ウェブ サービス（AWS）と Google Cloud のコマンドライン インターフェース（CLI）ツールがビルド ログ内の機密認証情報を公開し、組織に重大なリスクをもたらす可能性があることが判明しました。

CLI コマンドを使用して、(事前に) 定義された環境変数を表示し、継続的インテグレーションおよび継続的デプロイメント (CI/CD) ログに出力する方法に関係する。

Microsoft とは異なり、Amazon と Google はこれを予期された動作とみなしており、組織が環境変数にシークレットを保存することを回避し、代わりに AWS Secrets Manager や Google Cloud Secret Manager などの専用のシークレット ストア サービスを使用する措置を講じることを要求しています。

【当局関連の動き、法規則等】

Joint Guidance on Deploying AI Systems Securely | CISA

警察庁、サイバー事案通報の統一窓口を設置 | ScanNetSecurity

警察への相談窓口がWeb上に設置。

【調査結果・ベンダーレポート】

侵入方法 (まとめ) - TT Malware Log

日本ではクラウド利用の高まりに応じ、クラウドからのマルウェア配布が増加している～Netskope調査 - INTERNET Watch

「日本では、2024年に入ってから再びクラウドアプリを通じたマルウェア配布が増加している。ドメインブロックリストなどのレガシー型セキュリティツールのレーダーを回避しており、被害を受けやすい」

「日本におけるクラウドテクノロジーの普及と使用が広がるのに伴い、クラウドアプリの悪用が進展することになる。日本企業はクラウドアプリの悪用によるマルウェアの脅威に直面している」

マルウェアの配布元としては、Microsoft OneDriveが、日本および海外で最も多いが、日本ではSharePointやBoxが悪用されるケースが多いことがわかった。

「国家が支援するマルウェアが含まれている。日本が標的型攻撃にさらされていることの証であり、地政学的リスクにも直面している」」」「クラウドアプリからのマルウェアの配布をキャッチする仕組みや、セキュリティポリシーの設定による機微データの漏洩防止、AIツールの活用の最大化など、日本企業は、セキュリティポスチャー（セキュリティに取り組む姿勢）を見直し、適切な防御を講じてほしい」

【セキュリティ対策機器、ツールの紹介記事】

Dark Web Monitoring: What's the Value?

ダークウェブ上での認証情報の売買の状況やランサムウェア集団のブログから自社への脅威動向を探る。

Exchange Online to introduce External Recipient Rate Limit - Microsoft Community Hub

Microsoft will limit Exchange Online bulk emails to fight spam

Microsoft社が、ExchangeOnlineでの外部へのメール送信件数を1日当たり２０００人までに制限するとのこと。新規ユーザーは来年１月、既存ユーザーは来年５月以降とのこと。２０００以上に送りたい場合には個別にプランに加入する必要あり。

【その他】

Wi-Fi利用時のプライバシー保護「MACアドレスのランダム化」を有効化する【Windows 11】：Tech TIPS - ＠IT

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート | ScanNetSecurity

「自分の当たり前は、他人の当たり前ではありません。ITリテラシーが低い人の視点や気持ちを知ることが大事だと思います」と述べた。

「まず未然の対策として、インフラの監視やアクター分析、もし自社の偽サイト、フィッシングサイトが作られてしまった時の対応策の整備などが挙げられます。一方、事後の対策としては、利用者がどんな被害を受けてしまったのかを把握し、対応に当たらなければならず、やるべきことは結構多いです」と述べた。さらに、継続的な注意喚起や啓発活動も重要だ。

正直にいうと、クリックした件数や開封率は気にしなくていいと思っています。フィッシングメールは常に来るものです。それが来た時に、組織内に窓口があり、きちんと報告できるのかの訓練を、社内教育の一環として実施してほしい。

「正しいURL、正しいメールアドレスはこうです」と説明し、注意を呼びかけても、攻撃者はそれを踏まえて新たな偽装を試みてくる。従って「これが正しいものです」と呼びかけるのではなく、あらかじめブックマークしておいた正規のサイトからアクセスするよう呼びかけてほしい

【インシデントに関する情報】

HOYAのシステム障害についてまとめてみた - piyolog

2024年4月4日、HOYAは同社グループにおいて3月30日にシステム障害が発生しており、その原因について不正アクセスに起因する可能性が高いと公表しました。

海外の事業所で不審な挙動がシステムで確認され調査した結果、HOYAグループ国内外の事業所においてシステム障害が発生していることが判明。直ちに障害発生が確認されたサーバーの隔離などの対応を実施。何者かによる同社サーバーに対する不正アクセスに起因し生じた可能性が高いと同社は判断。

【攻撃の傾向・手法】

Microsoft OneNote Files to Orchestrate Cyber Attacks

Onenoteファイルをきっかけにした不正アクセス。

Onenote上に貼られたリンク先から、マルウェアをダウンロードし、不正アクセス開始。最終的には情報漏洩＆ランサムウェア感染

Onenoteファイルの検疫は現状どこまでできるのだろうか。。

【脆弱性情報】

XZ Utilsに悪意のあるコードが挿入された問題（CVE-2024-3094）について

Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か：セキュリティニュースアラート - ITmedia エンタープライズ

xzにバックドアが混入した件のまとめ #Security - Qiita

XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

このバックドアにより、リモートからroot権限で任意のコマンドが実行される可能性があります。ただし実行には攻撃者が持つ秘密鍵が必要となり、攻撃できる人物は非常に限られます。

なお、影響があるディストリビューションおよびバージョンはかなり限定的であり、ごく最近にOSを新規にインストールしているか、xzまたは関連するパッケージのアップデートを特定のディストリビューションで行っていない限りは影響はないと考えられる。

同問題は同ツールの共同開発者により2024年2月24日頃に挿入され、悪意のあるコードが挿入されたバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるとのこと

【調査結果・ベンダーレポート】

【セキュリティ ニュース】初期侵入から平均62分で横展開を開始 - わずか2分のケースも（1ページ目 / 全2ページ）：Security NEXT

サイバー攻撃において初期侵入から横展開までの時間が短縮されており、平均で1時間ほどとする調査結果をCrowdStrikeが取りまとめた。2分ほどで横展開を開始するケースや、3分後にはランサムウェアを用意していたケースもあったという。

2023年は初期侵入においてマルウェアを用いない攻撃が前年より4ポイント上昇し、75％と全体の4分の3を占めた。窃取した認証情報を不正利用するケースが増えたことなども影響したと分析している。なかでも攻撃者が人の手を介して相手の反応を見ながらインタラクティブに攻撃する「対話型攻撃」が前年比60％増となった。初期侵入に悪用される「アクセス情報」がダークウェブ上で売買されるケースも増加しており、売買を持ちかける広告2992件を確認した。前年から約2割増となっている。「

【セキュリティ ニュース】2月のDDoS攻撃件数、前月の約1.2倍に - 71Gbps超の攻撃も（1ページ目 / 全1ページ）：Security NEXT

インターネットイニシアティブ（IIJ）は、同社のサービスやバックボーンで2月に観測したDDoS攻撃の状況を取りまとめた。攻撃件数が前月の1.2倍に増加している。

2月に観測したDDoS攻撃は284件。前月の235件から21％増となった。2023年10月以降、300件を下回る状況だが、2カ月連続で増加している。

もっとも規模が大きかった攻撃はDNSプロトコルを用いたリフレクション攻撃で、約690万ppsのパケットにより71.1Gbpsのトラフィックが発生。最大規模の攻撃が2.47Gbpsだった前月を大きく上回った。

【その他】

ブラウザからDBに行き着くまでただまとめる

インターネットアクセスの際に利用されいている様々な技術について、それぞれがどのように機能しているかを順を追って丁寧に説明してされている。わかりやすいし、頭の整理に良い。

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査 | ScanNetSecurity

ランサムウェアの感染被害の経験について尋ねたところ、ランサムウェアの感染経験があったのは47.1%であることが判明した。このうち「感染被害に遭い、身代金を支払ってシステムやデータを復旧させた」が9.0%、「感染被害に遭い、身代金を支払ったがシステムやデータは復旧できなかった」が17.9%となり、合計26.9%が身代金を支払ったが、3分の1は復旧できた一方、3分の2にあたる66％（＝17.9％ ÷ 26.9％）は復旧できなかった。

【インシデントに関する情報】

Fujitsu found malware on IT systems, confirms data breach

Fujitsu: Malware on Company Computers Exposed Customer Data

Fujitsu Scrambles After Malware Attack: Customer Data Potentially Breached

Fujitsu Data Breach Impacts Personal, Customer Information - SecurityWeek

富士通社のPCがマルウェアに感染し、顧客情報が漏洩した可能性があるとのこと。

【攻撃の傾向・手法】

Microsoftのセキュリティ機能をバイパスするマルウェア「DarkGate」に注意 | TECH+（テックプラス）

Trend Microはこのほど、「CVE-2024-21412: DarkGate Operators Exploit Microsoft Windows SmartScreen Bypass in Zero-Day Campaign｜Trend Micro (US)」において、Microsoft Defender SmartScreenのセキュリティ機能をバイパスする脆弱性「CVE-2024-21412」が2024年1月に発生したマルウェア「DarkGate」配布キャンペーンに悪用されたと報じた。

令和５年におけるサイバー空間をめぐる脅威の情勢等について（警察庁）

ランサムウェア被害の件数が197件と高水準で推移するとともに、データを暗号化する（ランサムウェアを用いる）ことなくデータを窃取し対価を要求する手口（「ノーウェアランサム」）による被害が、新たに30件確認された

2024年2月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

今月は、先月のトピックで報告した「Ivanti Connect Secure（旧: Pulse Connect Secure）およびIvanti Policy Secureゲートウェイの脆弱性」を狙った攻撃が増加しました。

攻撃元国では、先月に引き続きアメリカからの攻撃を多数観測していますが、新たにオランダとドイツからの攻撃が増加しています。

【脆弱性情報】

生成AIの弱点が相次ぎ発覚 ChatGPTやGeminiがサイバー攻撃の標的に 情報流出や不正操作の恐れも：この頃、セキュリティ界隈で - ITmedia NEWS

　米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。

生成AIとユーザーの間に割り込んでデータパケットを傍受し、AIの回答内容を高い精度で復元する攻撃に成功したと発表した。この攻撃は、生成AIがユーザーの質問に回答する際のデータ処理に存在する脆弱性を突いている。

攻撃者がGeminiを不正操作できてしまう脆弱性が見つかったと伝えた。この問題は、Geminiを使うに当たってさまざまな条件を事前に設定する「システムプロンプト」に関係している。　この問題を突かれれば、Gemini APIを使っている企業などからプロンプトに含まれる社外秘情報が流出する恐れがあるとされる。同様の方法で、偽情報の生成を防ぐGeminiの対策をかわして選挙に関する偽情報を生成させる「ジェイルブレーク」攻撃も実行できたという。

【当局関連の動き、法規則等】

「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス：「C」「C++」よりも「Rust」などの言語を推奨 - ＠IT

ONCDは、IT企業がメモリ安全なプログラミング言語を採用することで、あらゆる種類の脆弱（ぜいじゃく）性がデジタルエコシステムに侵入するのを防ぐことができると述べている。

メモリ安全性について「メモリ安全性が保たれていないと、意図しない方法でメモリへのアクセス、書き込み、割り当て、または割り当て解除が行われる可能性がある」とし、メモリの安全性を保つ特性を欠くプログラミング言語として「C」「C++」を挙げた。

【調査結果・ベンダーレポート】

2024年のサイバーセキュリティトレンド予測、ここでも生成AIがキーワードに Gartner：「6つ以外に優先させるべき取り組みも存在する」 - ＠IT

同社はトップトレンドの推進要因として、「生成AI（人工知能）」「セキュリティ意識の低い従業員の行動」「サードパーティーのリスク」「継続的な脅威エクスポージャ」「取締役会でのコミュニケーションギャップ」「セキュリティに対するアイデンティティーファーストなアプローチ」の6つを挙げた。

Adversarial Intelligence: Red Teaming Malicious Use Cases for AI

2024 年に最も可能性の高い悪意のある AI アプリケーションは、ターゲットを絞ったディープフェイクや影響力のある操作によるもの。

組織は、幹部の声や肖像、Web サイトやブランド、パブリック イメージを攻撃対象領域の一部として考慮し、これらの脅威に備えることをお勧めします。また、検出を回避する自己拡張型マルウェアなど、より高度な AI の使用も予測する必要があり、よりステルスな検出方法が必要になります。

How AI can be hacked with prompt injection: NIST report

NIST は、直接攻撃と間接攻撃という 2 つのプロンプト インジェクション攻撃タイプを定義しています。ダイレクト プロンプト インジェクションでは、ユーザーがテキスト プロンプトを入力すると、LLM が意図しないアクションや不正なアクションを実行します。間接的なプロンプト インジェクションは、攻撃者が LLM が抽出するデータを汚染または劣化させることです。

NIST はモデル作成者に対して、トレーニング データセットが慎重に厳選されていることを確認することを提案しています。また、プロンプトインジェクションの試行を通知する入力の種類についてモデルをトレーニングし、敵対的なプロンプトを識別する方法についてトレーニングすることも提案しています。

間接的なプロンプト インジェクションの場合、NIST は人間のフィードバックによる強化学習 (RLHF) として知られる、モデルを微調整するための人間の関与を提案しています。もう 1 つの提案は、取得した入力から命令をフィルタリングして除外することです。これにより、外部ソースからの不要な命令の実行を防ぐことができます。

【セキュリティ対策機器、ツールの紹介記事】

How the New NIST 2.0 Guidelines Help Detect SaaS Threats

AdaptiveShieldの紹介。

NIST のカテゴリである有害事象分析では、セキュリティ チームに異常、侵害の兆候、その他の有害事象を探す任務を課します。また、複数のソースからの情報を関連付けることも推奨します。

How ANY.RUN Process IOCs for Threat Intelligence Lookup?

OpenCTI: OSINT Platform to SOC & MDR Teams for Malware Analysis

ANY.runの紹介。

DarkGPT - OSINT Tool To Detect Leaked Databases

【コラム系】

AWS CISO: Pay Attention to How AI Uses Your Data

生成 AI モデルとの対話では、顧客の最も機密性の高いデータの一部が使用されることが多いということです。特定のトランザクションについて生成 AI モデルに問い合わせる場合、そのトランザクションに関与している人々に関する情報を使用することになります。

研究者たちがさらに注目し始めているもう 1 つの領域は、これらの生成 AI モデルがコードであるという事実です。他のコードと同様に、これらのコードにも弱点がある可能性があります。それらを保護する方法を理解し、それらが防御機能のある環境に確実に存在するようにすることが重要です。

【その他】

Microsoft、2048bit未満のRSA鍵使用を非推奨に：セキュリティニュースアラート - ITmedia エンタープライズ

Microsoftは2024年3月15日（現地時間）、「Windows」でTLS（Transport Layer Security）サーバ認証に使用されるRSA証明書の鍵の長さに関する新たな要件を発表した。2048bitより短いRSA鍵を使用した証明書のサポートを非推奨にするという。

【インシデントに関する情報】

・三菱商事が偽サイトに注意喚起、URL 確認を | ScanNetSecurity

→偽サイトにてIDPWの詐取、マルウェアのダウンロード等につながる可能性あり？

【攻撃の傾向・手法】

・Proofpoint Blog 34回「コミュニティアラート：Azureクラウド環境に影響を及ぼす継続的な攻撃キャンペーン」 | ScanNetSecurity

→攻撃グループは、共有ドキュメント内に個別のフィッシング・ルアーを仕込み、ユーザーを標的としています。例えば、いくつかの武器化されたドキュメントには「View document / ドキュメントを見る」へのリンクが埋め込まれており、その URL をクリックすると、ユーザーは悪意のあるフィッシング・ウェブページにリダイレクトされます。

→ほとんどの MFA操作の事例において、攻撃者は通知とコードを含む認証アプリを追加することを好んでいました。

→メールボックスへのアクセスは、影響を受けた組織内でのラテラルムーブメントや、パーソナライズされたフィッシングの脅威で特定のユーザーアカウントを標的にするために活用されます。金融詐欺を行うために、被害を受けた組織内の人事部や財務部をターゲットに、内部電子メール・メッセージが送信されます。

・サイバーレジリエンスから考える脅威─情報窃取型マルウェア「インフォスティーラー」対策とは─ (1/3)|EnterpriseZine（エンタープライズジン）

→感染したコンピュータのレジストリ情報などからアプリケーションや認証情報、その他の情報を盗むものさえあります。つまり、対象の標的を自由かつ動的に変化させることができるため、マルウェアのファイルを静的に解析し、あらかじめフィルタリングを行うといった対策が困難だったりするのです。

→インフォスティーラーやフィッシング詐欺などの被害があった時には、早急にパスワードはリセットし変更する必要があります。なおこれらのガイドラインでは、パスワードの使い回しについての危険性についても語られています。インフォスティーラーに感染し、あるアプリケーションの認証情報が漏洩した場合、パスワードを様々なサイトで使い回していると当然他のサイトへの侵入被害が発生します。被害を最小化するためにはシステムごとに異なるパスワードを設置することが当然必要になります。

→Segmentation（分離）についても配慮する必要があります。最近サプライチェーン攻撃の一環で発覚したのですが、個人のchromeプロファイルを職場で利用したところ、業務パスワードを保存していたため、個人所有のデバイスが侵入された際に職場のパスワードも漏洩したというということがありました。在宅勤務が許可されている今日は、特に職場と個人用の環境の分離は当然実施する必要があります。

・Dropbox Used to Steal Credentials and Bypass MFA in Phishing Campaign - Infosecurity Magazine

→dropboxを装ったメールの指示に従い、フィッシングサイトにアクセスし認証情報が漏洩。さらにMFAもバイパス（おそらくユーザーが誤って承認）

→メールにアクセスされ、組織内の他者にさらに認証情報の奪取を目的とした不審メールを送信。

【調査結果・ベンダーレポート】

・日本の従業員、半数近くがリスク承知で危険行動 ～ プルーフポイント「2024 State of the Phish」 | ScanNetSecurity

→日本の従業員の47％（世界平均：71%）が、パスワードの再利用や共有、未知の送信者からのリンクのクリック、信頼できない送信元への認証情報の提供などのリスクのある行動を取っていることを認めており、そのうち98％（世界平均：96％）は、内在するリスクを承知の上で行動していたことが判明した。危険な行動の動機はさまざまで、ほとんどの日本の従業員は利便性（54％）や時間の節約（34％）、緊急性（19％）を主な理由として挙げている。

→過去1年間にランサムウェアの感染を経験した日本の組織は38%（世界平均：69%）で、被害組織のうち32%（世界平均：54%）が攻撃者への支払いに同意したが、1回の支払い後にデータへのアクセスを回復したのはわずか17%（世界平均：41%）と、前年の50%から減少している。

【コラム系】

・SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab

・機密情報を共有するためのURLが分析ツールに入力されることで情報漏えいにつながりまくっていることが明らかに - GIGAZINE

→スキャンツールに機密情報にアクセス可能なURLを掲載し、漏洩につながっている模様。。

・生成AIを利用したライフリンクの自殺対策サービス「かくれてしまえばいいのです」を個人情報保護法などから考えた : なか2656のblog

→当該システムに入力される情報の特性を踏まえ、利用規約にて利用者に同意させていることを以て問題なしとしていいのか？（サービス利用前に、明示的に利用目的に対する本人同意はなく、寧ろ何を言っても問題ないという旨の案内がある」同意内容についても、警察への通報やマイクロソフト、学者も情報が提供の目的も記載されているが、このような内容を同意させて良いのか？

→生成AIからの回答について、「利用者に影響を及ぼす可能性があるが、過度に依拠して行動を行うな」と書いてあるが、生成AIが不適切な回答を行う可能性がはらんでいることに対して、追い込まれている（と想定される）利用者に全面的に責任を負わせてもよいのか。

→要配慮個人情報が含まれないように取り組みを行うことが個人情報保護委員会から注意喚起として出ているが、大丈夫か？

【その他】

・春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ