ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

20240223

【インシデントに関する情報】

「ロックビット」メンバーか 2人を検挙 警察庁 世界中の企業など標的にサイバー攻撃繰り返す | NHK | サイバー攻撃

名古屋港ハッキングの首謀者とみられる「LockBit」のサイトをアメリカ・イギリス・日本などの国際法執行部隊が押さえる - GIGAZINE

Feds Seize LockBit Ransomware Websites, Offer Decryption Tools, Troll Affiliates – Krebs on Security

Law enforcement trolls LockBit, reveals massive takedown | Malwarebytes

→Lockbitのメンバーが検挙され、サーバが差し押さえられたとのこと。

Ransomware Group Takes Credit for LoanDepot, Prudential Financial Attacks - SecurityWeek

→BlackCatがLoan DeptとPrudentialに対してランサムウェア攻撃を行い、情報を窃取したと公表。

 

【攻撃の傾向・手法】

脅威とレベルが増し続けるDDoS攻撃──最新の傾向と、いま再考すべき予防策の要点とは (2/3)|EnterpriseZine(エンタープライズジン)

最近では、いわゆる「ランダムサブドメイン攻撃」がよく用いられている。これはインターネット上に多数存在するオープンリゾルバーに対して、DNSの持つ階層型キャッシュの仕組みで応答できない、「実際に存在しないサブドメイン付きのリクエスト」を送ることで、権威DNSサーバーをクエリ責めにする攻撃だ。DDoSによる応答障害を回避するためには、利用する権威DNSサーバーが膨大なDNSクエリをすべて受け止め、応答しきれる総処理キャパシティを持つ必要がある。

HTTP/HTTPSを使った、いわゆるレイヤ7DDoSが頻繁に用いられるようになった。GETリクエストによるDDoSだけでなく、キャッシュが効かないHTTPリクエスト、たとえばBOTによってログインページへPOSTリクエストを大量に送りつける攻撃が、日本でも頻繁に観測されている。

 

【当局関連の動き、法規則等】

ENISA サイバー保険 - モデルと手法、AIの活用: まるちゃんの情報セキュリティ気まぐれ日記

経産省SBOM手引書作成メンバーが1章~3章までを解説 - ログミーTech

 

【調査結果・ベンダーレポート】

TSUBAMEレポート Overflow(2023年10~12月) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

→他社製品を組み込んだシステムの開発を行っていたところ、当該製品について複数ポートが空いていることに気づかず、不正アクセスを受けていた事例の紹介。

【サイバー攻撃の発生から発覚・公表までの日数に関する調査レポート】多くの企業が気づいていない? 1,000件以上の個人情報を流出した法人・団体で サイバー攻撃発生から攻撃発覚までにかかる期間は1年以上! | 株式会社サイバーセキュリティクラウド

法人や団体がサイバー攻撃を受けた攻撃の「攻撃発生」から、攻撃に気づいた「攻撃発覚」までに平均397日を要していることがわかりました。

「攻撃発覚」から被害が公表された「公表」までには、本調査で平均77日を要しており、過去調査と比較すると5日短くなっています。

「攻撃発生」から「攻撃発覚」までに要する期間について上場企業と非上場企業で比較したところ、上場企業が平均103日だったのに対し、非上場企業は平均647日となりました。また「攻撃発覚」から「公表」までに要する期間は上場企業が37日だったのに対し、非上場企業は111日となりました。

78% of Organizations Suffer Repeat Ransomware Attacks After Paying - Infosecurity Magazine

Cyber​​eason の Ransomware: The Cost to Business Study 2024 によると、身代金要求を支払った組織の 5 分の 4 (78%) が 2 回目のランサムウェア攻撃 (多くの場合同じ攻撃者による) に見舞われています

1000人以上のサイバーセキュリティ専門家を対象に調査が行われ、なんと84%の組織が侵害後に身代金要求の支払いに同意したことが判明した。このうち、データとサービスが破損していない状態で戻ってきたのは半数未満 (47%) であり、一般に料金を支払うことが解決策ではないことを強調しています。

【セキュリティ ニュース】ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古(1ページ目 / 全4ページ):Security NEXT

2023年の1年間を通じてリークサイトに投稿されたデータの公開件数は3998件。前年の2679件から約49.2%増となった。1日あたりに換算すると平均11.0件の投稿があり、前年の7.3件から大きく増加している。

 

【セキュリティ対策機器、ツールの紹介記事】

知らないと損する「RASP」とは? 「Webアプリの脆弱性対策=WAF」はもう古い:これで分かる「DevSecOps」の課題と解決【第4回】 - TechTargetジャパン システム開発

RASPは内部から攻撃を検出します。Webアプリケーションに組み込んだエージェントソフトウェアを使ってデータの流れを確認し、そこから得られたコンテキスト(複数の兆候)を基にして発生した攻撃を検出し、食い止める仕組みです。RASPは、Webアプリケーションの内部関数や、外部ライブラリのAPIアプリケーションプログラミングインタフェース)の呼び出し内容を追跡し、関数やAPIの呼び出し時点で攻撃を特定可能です。

 

【コラム系】

徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 - @IT

安全なパスワードを設定することや、認証のための設定は、利用者の責務だ。会社ではさまざまな人がサービスを使うが、それぞれが安全なパスワードを設定するかどうかに課題がある。

フィッシングも以前より1段階発展しており、対策の一つだった「2段階認証」さえも突破できるようになっている(中継型フィッシングでは、攻撃者が偽のログイン画面を表示させるだけでなく、4~6桁のワンタイムパスワードを背後で本物のサイトに送信することも行われ、ログインが成功してしまう

スワードレス認証にはまだ課題も多く、普及に時間がかかる。利用者にはパスワード管理ツールの利用を進める。パスキーの利用も積極的に行ってほしい。サイト運営者には、まずは2段階認証の利用、そしてIDaaS(IDentity as a Servic)の利用を検討してほしい

 

【その他】

【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO

How to Analyse Linux Malware in ANY.RUN

→ANY.RUNの使い方を少し。

Insurers Use Claims Data to Recommend Cybersecurity Technologies

保険金請求データの分析によると、マネージド検出および対応 (MDR) プロバイダーを使用している企業は、サイバー インシデントへの応答時間の中央値が半分に短縮され、各インシデントの影響がそれに見合った、そして大幅な軽減を示したことがわかりました。

→「点滅するライトを購入するためだけに点滅するライトを購入するのではなく、実際にセキュリティを向上させるものにお金を費やしてください。管理対象外のエンドポイント検出および応答 (EDR) プラットフォームには割引の価値はないと彼は言います。

Google Workspace を使用している組織の金融取引詐欺 (FTF) 請求率が Microsoft Office 365 を使用している企業に比べてわずか 43% であることを発見しました。一方、保険テック会社 At-Bay は、Microsoft 365 を使用している企業の請求件数が Google Workspace の 2 倍であることを確認しました。

インシュアテック企業が追求する保険へのデータ重視のアプローチにより、どのサイバーセキュリティ製品が機能し、どの製品が機能していないかに関する最も正確なデータが収集される可能性があります。保険契約の節約により、サイバー保険会社は、保険金請求の減少と小規模化につながる特定のソリューションを企業に推奨する方向に進む可能性があります。

 

 

20240217

【インシデントに関する情報】

Prudential Financial breached in data theft cyberattack

Prudential Financial Discloses Data Breach - SecurityWeek

→NW侵害により、従業員と請負業者のデータが漏洩。進行中の調査では、保険会社のネットワーク上の他の情報やシステムへのアクセスの可能性を含め、インシデントの全範囲と影響が評価されています。ただし、現時点では、悪意のある攻撃者が顧客またはクライアントのデータを取得したという兆候はまだ見つかっていません。

Bank of America warns customers of data breach after vendor hack

BofA Warns Customers of Data Leak in Third-Party Breach

バンク・オブ・アメリカは、同社のサービスプロバイダーの1つであるインフォシス・マカミッシュ・システムズ(IMS)が昨年ハッキングされたことを受け、個人情報が流出したデータ侵害について顧客に警告している。合計57,028人が直接影響を受けたことが明らかになった模様。

→Lockbitが攻撃を行った模様。

委託先2社のアカウントを利用した不正アクセスによる、従業者等の情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社

LINEの利用者情報など情報漏えい51万件余に拡大 LINEヤフー | NHK | IT・ネット

LINEヤフー、従業員の個人情報など情報漏えい--2023年の流出受けモニタリング強化中に - CNET Japan

LINEヤフーへの不正アクセスについてまとめてみた - piyolog

→LINEヤフーは2月14日、第三者による不正アクセスを受け、従業者の個人データなど、5万7611件の情報漏えいが判明したと発表した。情報漏えいは、2023年11月27日に公表した不正アクセス事案とは異なり、モニタリングを強化する中で判明したもの。LINEヤフーと子会社の委託先2社のアカウントが不正に利用され、LINEヤフーのシステムに不正アクセスがあった。

→同日に再発防止策もリリース。

https://ly.swcms.net/ja/ir/news/auto_20240214535931/pdfFile.pdf

 

【攻撃の傾向・手法】

Hackers used new Windows Defender zero-day to drop DarkMe malware

Attackers Exploit Microsoft Security-Bypass Zero-Day Bugs

DarkMe Malware Targets Traders Using Microsoft SmartScreen Zero-Day Vulnerability

→今月のWindowsセキュリティパッチで回収されているSmartScreenの回避の脆弱性を悪用した手法が確認されている。攻撃者の目標は、ターゲットのトレーダーをだましてソーシャル エンジニアリングを通じて DarkMe マルウェアをインストールさせること。「一か八かの為替取引市場に参加している外国為替トレーダー」を標的とした攻撃に使用され、最終目標はデータ窃盗か、後の段階でのランサムウェアの展開である可能性が高い。

Ongoing Azure Compromises Target Senior Execs, Microsoft 365 Apps

ドキュメントでは個別のフィッシングルアーが使用され、多くの場合、悪意のあるフィッシング ページにリダイレクトする埋め込みリンクが使用されます。いずれの場合も、目標は Microsoft 365 ログイン資格情報を取得することです。

→標的とされたアカウントの一部は、アカウント マネージャーや財務マネージャーなどの役職を持つアカウントに属しており、これらは貴重なリソースにアクセスできる可能性が高い、または少なくともチェーンの上位でさらなるなりすましの試みの基盤を提供する可能性が高い種類の中レベルの役職に属しています。他の攻撃は、副社長、CFO、社長、CEO を直接狙っています。

→「My Signins」を通じて、被害者の多要素認証 (MFA) 設定を操作し、検証コードを受信するための独自の認証アプリや電話番号を登録します。また、Exchange Online を介して組織内の横方向の移動も実行し、特に人事情報や財務リソースにアクセスできる人事部門や財務部門の従業員など、特別にターゲットを絞った個人に高度にパーソナライズされたメッセージを送信します

QR Code Scam: Fake Voicemails Target Users, 1000 Attacks in 14 Days

Check Point Harmony Email の研究者は、偽のボイスメールを使ったサイバー攻撃が急増していることを発見しましたHackread.com に共有された同社のレポートによると、サイバー犯罪者は企業の電話システムの電子メール サーバーへのリンクを悪用し、認証情報を収集するためにボイスメールの再生に悪意のあるリンクを埋め込んでいます。

ビッシング、またはボイス フィッシングには、  電話を使用してユーザーをだまして、口座番号やパスワードなどの財務情報や個人情報を漏らすことが含まれます。詐欺師は、侵害されたアカウントを主張したり、銀行や法執行機関を代表したり、ソフトウェアのインストール支援を提供したりする場合があります。

Japan sees increased cyberthreats to critical infrastructure, particularly from China

中国の支援を受けたハッカーが日本の通信事業者、インターネットプロバイダー、その他の重要なインフラをますます標的にしている

 

脆弱性情報】

Adobe Security Bulletin

Adobe Acrobat Readerにおける脆弱性に関する情報(APSB24-07)が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、任意のコードが実行されるなどの可能性がありま/す。優先度は3。

New critical Microsoft Outlook RCE bug is trivial to exploit

Moniker Link と 名付けられたこの脆弱性により、攻撃者は file:// プロトコルを使用し、攻撃者を指す URL に感嘆符を追加することで、電子メールに埋め込まれた悪意のあるリンクに対する Outlook の組み込み保護をバイパスすることができます。

プレビュー ペインがこのセキュリティ欠陥の攻撃ベクトルであり、悪意を持って作成された Office ドキュメントをプレビューしている場合でも悪用が成功する可能性がある。

Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中:セキュリティニュースアラート - ITmedia エンタープライズ

このキャンペーンは2023年11月下旬から始まっており、上級管理職を含む全世界のさまざまな職位を持つ個人のAzureのユーザーアカウントが標的になっている。

2024年1月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

→本脆弱性は1/10(米国時間)に公開されました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)となっており、これらが組み合わされて悪用された場合、攻撃者に認証不要で任意のコマンドを実行されてしまう可能性があります。弊社SOCでは、1/17(水)から攻撃を観測しています。1/19(金)~20(土)において攻撃数が急増しました。

 

【当局関連の動き、法規則等】

Threat Actor Leverages Compromised Account of Former Employee to Access State Government Organization | CISA

→元従業員のアカウントに不正アクセスを行う手口に対する注意喚起。

2024年施行予定の「欧州サイバーレジリエンス法案」、日本企業に与える影響の大きさ | LAC WATCH

欧州サイバーレジリエンス法とはEUで審議されている新しい法律です。「デジタルの要素を持つ製品」のサイバーセキュリティの欠陥からユーザー・消費者を守ることを目的としており、違反した企業には巨額の罰金が科されることがあります。「デジタル要素を持つ全ての製品」で、EU域内で販売されるものを対象とします。「デジタルの要素を持つ製品」のメーカーや開発者に対し、セキュリティ対策を義務付けるものです。

 

 

【調査結果・ベンダーレポート】

サイバー攻撃からの復旧にかかった時間、「2日以上」が6割超 デル調査 - ITmedia NEWS

NICTER観測レポート2023の公開|2024年|NICT-情報通信研究機構

1 IPアドレス当たりの年間総観測パケット数は、前年の2022年から更に増加しており、インターネット上を飛び交う探索活動が更に活発化していることが、数字から読み取れます。

上位10位までのポートが全体に占める割合は、2022年とほぼ同じでしたが、最も多いTelnet (23/TCP)を狙った攻撃が占める割合は若干増加し、2022年の23.0%から27.1%へと推移しました。その他のポート番号宛ての通信については、2022年と比べて多少の順位の入れ替わりはあるものの傾向の大きな変化は見られず、IoT機器が使用する特徴的なポート番号宛ての通信が上位に多く観測される傾向が継続しました。三者によるインターネットの広域スキャンがますます増加する傾向を観測しています。

【2024年2月号 (2024年1月分)】暴露型ランサムウェア攻撃統計CIGマンスリーレポート | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

→引き続きLockbitが活発。

攻撃者がユーザーのログイン情報を窃取して悪用する仕組みについて

→多要素認証、アクセス制御、退職者のアカウント失効等が必要。フィッシングの手口も多様化している。

New Security Advisory Tab Added to the Microsoft Security Update Guide | MSRC Blog | Microsoft Security Response Center

 

【コラム系】

Contiの解析から判明した“攻撃者エコシステムの実態”と“EDRの限界”:Itmedia Security Week 2023秋 イベントレポート(1/2 ページ) - ITmedia エンタープライズ

EDRいれてもいたちごっこ

 

【その他】

業務でAWSを利用する時に知っておくべきポイント10選 #AWS - Qiita

「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開 | ScanNetSecurity

フィッシングサイトや偽サイトの注意喚起で載せる例示用ドメインについて知っておいてほしいコト - にゃん☆たくのひとりごと

Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識 - Speaker Deck

20240210

【インシデントに関する情報】

Health insurance data breach affects nearly half of France’s population, privacy regulator warns

→生命保険会社2社へのサイバー攻撃により、33万人分のフランス国民の個人情報が漏洩。機微情報(通院履歴等)の漏洩は無し。

求職情報サイトにおける個人情報流出の可能性のお知らせとお詫びについて | TOPICS | 日刊工業新聞社

2024年1月24日、「ホワイトメーカーズ」において利用しているCMS(コンテンツ・マネジメント・システム)のプラグイン脆弱性が悪用され、サイト改ざんの被害を受けました。お客さまの個人情報(氏名・メールアドレス・暗号化されたパスワード)が外部流出した可能性を否定できないことが判明いたしました。

【攻撃の傾向・手法】

www.ncsc.gov.uk

QR コード関連の詐欺の大部分は、駅や駐車場などのオープンスペースで発生する傾向があり、ソーシャル エンジニアリングの要素が関与していることがよくあります。

しかし、QR コードはフィッシングメール (「キッシング」とも呼ばれる手法) で使用されることが増えています。犯罪者の観点から見ると、さまざまな理由から、このように QR コードを使用することは理にかなっています。

【攻撃組織の動向】

USBメモリ、LNKファイル、空白フォルダを悪用するマルウェアに注意を | TECH+(テックプラス)

UNC4990はUSBドライブを介した方法でマルウェアローダーを配布する攻撃手法で知られており、2020年ごろからこの活動が確認されている。目的は金銭窃取とされ、主にイタリアの企業や組織を標的にしているとみられている。

中国政府系ハッカー集団「ボルト・タイフーン」が5年間以上もアメリカの主要インフラに潜伏していたことが判明、台湾侵攻の緊張が高まる - GIGAZINE

不正アクセスで入手した名刺情報を投資勧誘に悪用していた事案についてまとめてみた - piyolog

男は会社の部下と共謀し、2022年11月からSansanの社員に偽装し、都内の空調設備会社の社員に対してメールを送信。名刺管理サービスのログインに必要となる認証情報を取得し、さらに2023年2月に名刺管理サービスに接続を行った疑い。

 

【調査結果・ベンダーレポート】

“生成AIは恐るるに足らず” 2024年のサイバー脅威をプルーフポイントが予測:セキュリティニュースアラート - ITmedia エンタープライズ

QRコードの悪用、脆弱性の悪用、新たなTTPs、AIを悪用した攻撃

5 Insights from the Latest Cybersecurity Trends Research | Rapid7 Blog

あらゆる組織にわたって猛烈なペースでクラウドが導入され続けており、攻撃対象領域が拡大し、セキュリティの緊急性がこれまで以上に高まっているため、組織の回復力を維持することが重要です。

組織がより多くの製品やポリシーを導入するにつれて、特に複数のベンダーからの製品やポリシーを導入するにつれて、この新しい攻撃対象領域を大規模に管理することがより困難になる可能性があります。

 

 

【セキュリティ対策機器、ツールの紹介記事】

愛してやまないAWSで展開するセキュリティ対策戦略

How to Apply Zero Trust to your Active Directory

→最小権限の付与、パスワードリセット時のMFA、侵害されたPWの悪用

 

【コラム系】

いざサイバーレジリエンスを実践 これだけはやっておきたい3つの対策:「防御力」に「復元力」を〜なぜなにサイバーレジリエンス - ITmedia エンタープライズ

 

【その他】

・燃え尽き症候群、セキュリティ/IT担当者の多くが経験 - ZDNET Japan

BitLockerを43秒で突破、TPMモジュールの脆弱性が明らかに | TECH+(テックプラス)

Microsoft Windowsのドライブ暗号化機能「BitLocker」をわずか43秒で突破した。

窃取方法は比較的単純で、専用チップとしてTPMを搭載したノートPCの電極からCPUとの通信データを直接窃取する手法を使用している。このTPMモジュールはCPUとの通信を平文で行うため、特殊な解読を必要としない。この影響を受けるデバイスは専用チップとしてTPMを搭載したデバイスのみで、CPUに組み込まれた形で提供されるfTPMは電極が露出していないため影響を受けない。

20240202

【インシデントに関する情報】

New York Sues Citibank Over Poor Data Security - SecurityWeek

→犯罪者に騙されて口座から金銭を盗まれた利用者への対応・救済を怠ったとして、ニューヨーク司法当局がシティバンクを告訴

 

脆弱性情報】

Jenkinsの脆弱性 CVE-2024-23897 についてまとめてみた - piyolog

2024年1月24日、Jenkins セキュリティチームは、CI/CDツール Jenkinsのセキュリティ情報を公開しました。修正された脆弱性の内 任意のファイル読み取りの脆弱性 CVE-2024-23897 は深刻度をCriticalと評価されており、既に実証コードも公開されています。

 

【その他】

Ransomware Groups Gain Clout With False Attack Claims

「生成AI」と「脅威インテリジェンス」はセキュリティの現場をどう変えるのか:「現場の頑張り」はもう限界 - @IT

 

20240127

【インシデントに関する情報】

Microsoft reveals how hackers breached its Exchange Online accounts

→非運用のテストアカウントへのパスワードスプレー攻撃により、不正アクセスが行われたとのこと。不正アクセス試行はロックがかからないほど少ない回数で実施されていた模様。

→当該アカウントは二要素認証が実装されていなかった&高い権限を持っていた模様。

 

【攻撃組織の動向】

Chinese Hackers Hijack Software Updates to Install Malware

Blackwood hackers hijack WPS Office update to install malware

ソフト更新をハイジャックしスパイウェアを実行する脅威アクター

中国政府に支援されている高度な脅威アクター「Blackwood」は、中国、日本、英国の企業や個人に対するサイバースパイ攻撃に NSPX30 と呼ばれる高度なスパイウェアを使用して、WPS Officeなどの正規更新メカニズムをハイジャックしマルウェアを配信しました。

→脅威アクターは AitM 攻撃を実行し、NSPX30 によって生成されたトラフィックを傍受して、コマンド アンド コントロール (C2) サーバーを隠した。

→NSPX30 の主な機能は、ファイル、スクリーンショット、キー押下、ハードウェアおよびネットワーク データ、資格情報などの情報を侵害されたシステムから収集することです。このバックドアは、Tencent QQ、WeChat、Telegram、Skype、CloudChat、RaidCall、YY、AliWangWang からチャット ログや連絡先リストを盗む可能性もあります。

→Blackwood の活動の注目すべき点は、Tencent QQ、WPS Office、Sogou Pinyin などの正規のソフトウェアによって行われた更新リクエストをハイジャックして NSPX30 を配信できることです。

 

【当局関連の動き、法規則等】

SP 800-55 Vol. 1, Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures | CSRC

→情報セキュリティリスクを計量化して評価するガイド

 

【調査結果・ベンダーレポート】

Monthly Threat Actor Group Intelligence Report, October 2023 (JPN) – Red Alert

→SectorB22グループの活動は、アメリカ、タイ、日本から確認された。このグループは、東南アジア諸国の政府をターゲットとして、様々なオープンソース(Open Source)ツールを悪用して攻撃活動を行い、機密文書や情報を奪取してファイルホスティングサービスであるDropboxにアップロードした。

アカマイ、クラウドとセキュリティにおけるトレンドを予測 – SecurityInsight | セキュリティインサイト

サードパーティ等の信頼できる接続を経由した侵害を防止するため、これまで手薄だった組織内部のセグメンテーションによるアクセス制御の強化が有望視されている。

Splunk、セキュリテイに関する2024年の予測レポートを発表 – SecurityInsight | セキュリティインサイト

レジリエンスの強化にはコラボレーションと統合が鍵となる

 

【セキュリティ対策機器、ツールの紹介記事】

この診断ツールがいいねと顧客が言ったから これが LAC の AI 元年 ~ AeyeScan がスキャンエンジンに採用されるまで | ScanNetSecurity

検証のポイントは、大きく分けて二つの観点がありました。ひとつは脆弱性を見つけるスキャンエンジンの品質に関わる「検出精度」、もうひとつは Web サイトを利用するユーザーが、たとえばログイン画面で ID とパスワードを入れてログインボタンを押すような動作がどれだけ AI に再現できるのか、専門用語で言うと「クローリング精度」です。

→ID とパスワードを入れてログインしたり、問い合わせフォームに氏名やメールアドレスを入力する一連の操作を「シナリオ」と呼んでいますが、そのような人間の操作をちゃんと実行できるかという点で AeyeScan はすごく精度が高いです。

 AeyeScan には、管理画面上に報告書を自動作成してくれる機能があるのですが、完成度が高く、納期短縮に役立っています。

IIJ、「IIJ SaaSセキュリティ監査ソリューション」を提供開始 〜企業が利用するSaaSのセキュリティリスクを可視化 – SecurityInsight | セキュリティインサイト

米AppOmni社のサービスを採用し、SaaSアプリケーションのAPIを利用して脆弱な設定や不審な操作、アクセスの有無などを監視し、SaaS環境の是正を支援するとともに、世界中のセキュリティインシデント情報に基づいた脅威検出ルールを自動適用することで、システム管理者の負担なくSaaS環境における最新のセキュリティリスクの検出が可能となる。

 

【コラム系】

「もしサイバー攻撃を受けたら?」を考えたことはありますか ITセキュリティの新常識「サイバーレジリエンス」を理解する(1/2 ページ) - ITmedia NEWS

もし被害が発生しても致命傷を受けないようにしつつ、事業を継続する、素早く事業を復旧させる──これがサイバーレジリエンスの基本です。

ソリューションを導入するだけでは、サイバーレジリエンスを手に入れることはできません。システムの設計段階からセキュリティを考えることや、組織自体のリスクや人/仕組みの脆弱性を評価すること、教育などを含めた対策が必要となります。

【雑記】セキュリティ担当の喧嘩術 - 2LoD.sec

本質的には勝ち負けという表現は適切ではなく「ビジネスにとって合理的な判断に至るかどうか」が全てです。決して、何が何でもセキュリティ担当の言いなりにさせることではないです。そういう勝ちにこだわっても長期的にはマイナスでしかないです。

戦うことが目的ではないので「戦わずして勝つ」が理想だし、極力そう仕向けるべきです。

→(戦う場合)「Why」「What」の理解が重要であり、そこが腹落ちすると一気にトーンダウンすることが多いです。

戦いながらも寄り添う考えが必要です

セキュリティ担当側が間違っていた場合はどうするのでしょうか。

その場合は、変に意地を張って負けてませんよアピールをするよりも、相手の主張の正当性を理解したことをはっきり伝えるだけです。

特に謝罪することもなく、むしろ理解させてくれてありがとう!的に前向きに終わればよいと思います。

 

【その他】

インシデント発生時に必要な「法的」対策を考える 強固なセキュリティガバナンス体制を作る5ステップとは (1/3)|EnterpriseZine(エンタープライズジン)

法務部門やCSIRT、IT部門はもちろん、ベンダーなどの外部専門家との連携が極めて重要となります。平時から関係者が円滑に連携できるチーム体制を整えておくことが、サイバーインシデントレジリエンスを高める一助となることでしょう。

ラック、「情報リテラシー啓発のための羅針盤 情報活用編」改訂版を無料公開、生成AIの注意点を追記 | IT Leaders

20240120

【インシデントに関する情報】

トヨタグループ傘下保険会社のMicrosoftアカウントが漏えい、約25GBのメールや顧客情報が閲覧可能に - GIGAZINE

豊田通商インシュアランス・ブローカー・インディア(TTIBI)のMicrosoftアカウントのログイン情報が漏れ、同アカウントから送信されたメールが閲覧できる状態にあったことが報告されました。

→漏洩可能性のあるメールは650,000超とのこと。

 

【攻撃の傾向・手法】

2023年12月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

→12月は、WordPressのバックアップ移行プラグインBackup Migration」の脆弱性CVE-2023-6553)を狙った攻撃が増加しました。

FBIがAWSやMicrosoftから認証情報を盗み出すマルウェア「AndroxGh0st」について警告 - GIGAZINE

PHPフレームワーク・Laravelの環境ファイル(.envファイル)にアクセスしてAmazon Web Services(AWS)やMicrosoft Office 365、SendGrid、Twilioなど知名度の高いアプリケーションの認証情報を盗み出す機能を持っています。

AndroxGh0stを使用する攻撃者が侵害されたウェブサイト上に偽ページを作成し、機密情報を含むデータベースに侵入したり悪意あるツールを仕込んだりするためのバックドアを作った事例が確認されているとのこと。

 

【攻撃組織の動向】

Russian threat group COLDRIVER expands its targeting of Western officials to include the use of malware

Russian APT Known for Phishing Attacks Is Also Developing Malware, Google Warns - SecurityWeek

→まず偽アカウントから無害のPDF文書を送信する。ユーザーが文書を開くと、暗号化されているように表示される。そのため、ユーザーが閲覧できないと返信すると、攻撃者はクラウド上にホストされている復号ユーティリティーへのリンクを送信する。この復号ユーティリティーは実際にはバックドアであり、おとりの文書を表示する一方、攻撃者がユーザーのマシンにアクセスできるようにする。

 

脆弱性情報】

Critical Vulnerabilities Found in Open Source AI/ML Platforms - SecurityWeek

→ML開発に用いるツールにリモートコードが可能になる等複数の脆弱性を発見。

→通常インターネット公開するものではないと思われるため、アクセス制御のミスによる第三者不正アクセス脆弱性の悪用といったシナリオか、内部犯による悪用シナリオのイメージか?対応した方が無難。

Citrix Warns NetScaler ADC Customers of New Zero-Day Exploitation - SecurityWeek

Citrix warns of new Netscaler zero-days exploited in attacks

Citrix Discovers Two Vulnerabilities, Both Exploited in the Wild

CVE-2023-6548は管理画面での任意コード実行、 CVE-2023-6549はDoS攻撃が可能となる脆弱性

 

【当局関連の動き、法規則等】

欧州 2023年12月20日に欧州議会に送致されたサイバーレジリエンス法案 (Cyber Resilience Act): まるちゃんの情報セキュリティ気まぐれ日記

 

【調査結果・ベンダーレポート】

ランサムリークサイト観察記 2023年振り返り | (n)inja csirt

→3年間を通じてアメリカが群を抜いての1位となっていますが、2022年は、観察対象数が2減っているにも関わらず、リーク確認総数は20%強増加しているのですがアメリカは4件のみの増加で全体の割合で見た場合は、8.5%の減少という結果でした。

→特定業種が狙われる傾向があるとは言えない状況が2023年も継続。

 

【その他】

Gmailのメール送信者のガイドライン対応に不備があったらどうなるの? #Google - Qiita

何か設定に不備があった場合、一部のメールで一時エラーが発生します。エラーコードは4xxと考えられます。この場合、ほとんどのメール送信システムでは自動的に一定時間後リトライされて相手に届きます。2月の時点では拒否されたり届かなくなることはないようです。もしもエラーや遅延の頻度が2月から急に増加した場合は、ガイドラインに準拠できていない箇所が残っている可能性があります。

「生成AI」はセキュリティをどう脅かすのか? 大手5社の脅威予測から探る:Weekly Memo(2/2 ページ) - ITmedia エンタープライズ

2023年はAIの導入および活用が劇的に進んだ。その一方で、AI導入時におけるセキュリティチームの脅威モデルに対する理解度はいまだ初心者レベルだ。従業員が無断で持ち込む非承認AIツールの追跡も追い付いていない状況にある。こうした新しいテクノロジーは“死角”を産みやすく、脅威アクターに企業ネットワークへの侵入や機密データ窃取のチャンスを与えてしまう可能性がある

重要なのは、セキュリティチームが従業員によるAIツールの無断使用を放置してしまうと、企業はデータ保護上の新たなリスクへの対応を余儀なくされるという点だ。

安全かつ監査可能なAI利用に向けた戦略的ガイドラインを策定する年になるだろう

Gmailに届かない神奈川県立高校入試のインターネット出願システムのメールを調べてみた | DevelopersIO

監査人の警鐘- 2024年 情報セキュリティ十大トレンド | JASA (Japan Information Security Audit Association)

2024年のトレンドで特筆すべきは、生成AIに伴うリスクの増大です。生成AIに関しては革新的な技術である反面、重大なセキュリティ事故の発生が懸念されます。

20240113

【攻撃の傾向・手法】

Finland warns of Akira ransomware wiping NAS and tape backup devices

フィンランドAkiraランサムウェアによる被害が増加。攻撃の中で、オンラインバックアップも被害を受けている。

→攻撃手口として、CiscoVPN脆弱性を悪用され、侵入されている模様。

YouTube Channels Hacked to Spread Lumma Stealer via Cracked Software

YouTubeで広がるマルウェアに警戒を、ダウンロードは増加の一途 | TECH+(テックプラス)

Youtubeのチャンネルを乗っ取り、ファイル共有サービスの紹介動画をアップし、ダウンロード先として貼った短縮URLGithubなどのオープンソースPF)にアクセスさせ、そこでマルウェア(Lumma)をダウンロードさせる手法。

→lummaは暗号資産ウォレット関連のログイン情報等の情報を盗む模様

悪用が進む脆弱性「CitrixBleed」 信用組合に関連したサプライチェーン攻撃を引き起こす:Cybersecurity Dive - ITmedia エンタープライズ

→CitrixBleedが引き続き狙われている。VPN脆弱性は攻撃者が利用する可能性が高いものとして認識しておくべき。

Data-theft malware exploits Windows Defender SmartScreen • The Register

犯罪者は、Windows Defender SmartScreen バイパスの脆弱性(11月に公表・パッチが公開された脆弱性)を悪用して、Phemedrone Stealer に PC を感染させている。

→Phemedrone Stealer は、パスワード、Cookie、認証トークンなどの機密情報をスキャンして取得し、漏洩させるマルウェアターゲットには、Chromium ベースのブラウザーのほか、LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile、Microsoft Authenticator が含まれる。

Web サイトなどから悪意のある .url ファイルをダウンロードして開かせることで、被害者のマシンを Phemedrone に感染させる。url によって取得された .cpl は実際には .dll であるようで、Windows のコントロール パネルによってコントロール パネル項目が開かれると、これが実行を開始します。この .dll は、 GitHub から取得された攻撃の次の段階を実行するために PowerShell を呼び出すローダーとして機能する。

増加するQRコードを悪用したフィッシング--難読化や検知回避の手法も - ZDNET Japan

フィッシングサイトのURLをQRコードにしてメールに埋め込んだフィッシングメールの報告が増加。認証情報の窃取が目的と思われる。

KB5034441の騒動に便乗したフィッシング詐欺が発生。@bahiamailのポストにご注意。決してURLを開かないで | ニッチなPCゲーマーの環境構築Z

→パッチの不具合に関する情報提供と見せかけて、フィッシングサイトに誘導する手口。

 

脆弱性情報】

話題の「EPSS」は「CVSS」と何が違うのか? 使い分けるべきケースを紹介:セキュリティニュースアラート - ITmedia エンタープライズ

EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。

→CVSSスコアは危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。

CVSSに代わる脆弱性の評価手法「SSVC」とは|迅速な脆弱性対応を目指して|ブログ|NRIセキュア

→こちらは、当該脆弱性を悪用した攻撃が発生する可能性を元に、パッチ適用のスピード感を決める考え方を整理した「SSVC」の紹介。

→これはやばそうだからすぐ当てろ、ではなく、本当に攻撃が発生するのか、自社におけるインパクトはどの程度か、といった点も冷静に整理してから脆弱性の対応を行う風潮になってきている。やっぱり脆弱性が多すぎてなんでも対応するのは不可能、という状況なのでしょうね。

JVNTA#95077890: SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて

SSH脆弱性?仕様の不備?を突いて、ハンドシェイク通信の一部を削除することで、暗号化方式のダウングレードが可能。これを悪用して中間者攻撃ができる模様。

→上記が可能となる暗号化方式は限られているが、広い範囲で実装がされている模様。回避にはクライアント、サーバ側の両方で対応が必要。

参考)

Terrapin attack について #SSH - Qiita

Terrapin Attack

SSHのセキュリティを弱体化させる新しい攻撃手法「Terrapin」に注意 | TECH+(テックプラス)

SSHプロトコルを狙う新たな攻撃手法「Terrapin攻撃」を研究者が公表:セキュリティニュースアラート - ITmedia エンタープライズ

 

【セキュリティ対策機器、ツールの紹介記事】

野村総研、データ漏えいリスクに対処する「プライベートLLM」を提供へ - ZDNET Japan

野村総合研究所NRI)とグループ企業のNRIデジタルは1月11日、2024年春以降にデータ漏えいリスクに対処する「プライベート大規模言語モデル(LLM)」を企業ごとに提供すると発表した。

ユーザーの機密情報や機微情報のデータを送信してしまいかねないリスクに対応するという。プライベートLLMでは、オープンソース型LLMをNRIのデータセンターのプライベートクラウドサービスや企業のオンプレミス環境で動作させる。機密性の高いデータの漏えいリスクを極少化してLLM学習に用いる。

 

【コラム系】

2024年の「AI/機械学習/データ分析」はこうなる! 7大予測:AI・機械学習の業界動向 - @IT

→マルチモーダルAI、AI規制派は効果的利他主義EAEffective Altruism)、AI推進派は効果的加速主義e/acceffective accelerationism)、AI/機械学習向けの「オープンソース」の定義

 

【その他】

政府、研究機関などのインテリジェンスを集約 NRIセキュアがインテリジェンスセンターを設立:「変化を捉えて未来を見通す分析を活用することが重要」 - @IT

NCSC

フィッシングメールへの対応策をNCSCがまとめたもの。様々な対策を整理したPDFと実例でどのように企業が攻撃を防いだかを整理したPDFがわかりやすい。

Gartner、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表

2024年のセキュリティ、日本企業に向けた10の論点 - ZDNET Japan

昨今においてセキュリティの取り組みをステークホルダー(利害関係者)に説明する必要性が今まで以上に高まっているとし、「戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われた際に説明に窮する事態に陥る可能性がある。セキュリティリスクマネジメント(SRM)のリーダーは、目前の課題や仕事のみに振り回されるのを避けるために、少なくとも年に1回は視野を広げ、自社の取り組みを見つめ直す機会を持つべき。

SRMリーダーは、従来存在する情報セキュリティの脅威のみではなく、サイバーセキュリティおよびデジタルトレンドを踏まえた新しい脅威の変化をファクトベースで経営陣、ビジネスリーダーに伝え、理解を促すことが重要になる。

脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセス(ぜいじゃく性への対処や設定ミスの修正など)をセキュリティオペレーションに組み込み、そのサイクルを回していくことが求められる。

インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧が優先されるようインシデント対応プロセスを見直す必要がある。

アジャイル開発で役立つセキュリティプラクティス / Agile Security Practice - Speaker Deck

脆弱性テスト効率化ツールについて簡潔に整理されており、わかりやすい。

機密情報が漏洩した、企業はどう対処すべきか | TECH+(テックプラス)

→漏洩した時には、情報の重要度の確認、漏洩範囲と潜在的な影響の確認、漏洩の根本原因を特定、漏洩した情報の関連情報の確認

→事後的対応としては、二次被害の防止、将来の漏洩の未然防止、検知・防御体制の強化

トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ

「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ