【インシデントに関する情報】
11社のサイトで顧客情報流出か タリーズコーヒーなど 警視庁捜査 | 毎日新聞
東京都内に拠点を置く11の企業や団体の電子商取引(EC)サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられる。
東京都内に拠点を置く11の企業や団体の電子商取引(EC)サイトが不正なプログラムを仕掛けられて改ざんされ、少なくとも10万件以上の顧客情報が抜き取られたとみられる。
【攻撃の傾向・手法】
正規サービスを悪用した攻撃グループAPT-C-60による攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
JPCERT/CCでは、2024年8月ごろに攻撃グループAPT-C-60によるものとみられる国内の組織に対する攻撃を確認しました。 この攻撃は、入社希望者を装ったメールを組織の採用担当窓口に送信し、マルウェアに感染させるものでした。
Hackers Use Corrupted ZIPs and Office Docs to Evade Antivirus and Email Defenses
How Attackers Use Corrupted Files to Slip Past Security
電子メール防御を回避する手段として破損した Microsoft Office ドキュメントや ZIP アーカイブを利用する新しいフィッシング キャンペーンについて。悪意のある活動には、セキュリティ ツールでスキャンできないように意図的に破損した ZIP アーカイブまたは Office 添付ファイルを含む電子メールの送信が含まれます。これらのメッセージの目的は、従業員の福利厚生やボーナスに関する虚偽の約束でユーザーを騙して添付ファイルを開かせることです。
ファイルが破損した状態であるということは、電子メール フィルターやウイルス対策ソフトウェアによって、疑わしいファイルや悪意のあるファイルとしてフラグが付けられないことを意味します。ただし、Word、Outlook、WinRAR などのプログラムに組み込まれている回復メカニズムを利用して、破損したファイルを回復モードで再起動するため、この攻撃は依然として有効です。文書には QR コードが埋め込まれており、スキャンすると、マルウェアを展開するための不正な Web サイトや、認証情報の盗難のための偽のログイン ページに被害者をリダイレクトします
【攻撃組織の動向】
攻撃グループ「Earth Estries」による持続的なサイバー活動の戦略 | トレンドマイクロ | トレンドマイクロ (JP)
Microsoft Exchangesサーバやネットワークアダプタ・管理ツールのアタックサーフェス(攻撃対象領域)を不正利用する点で、ある程度類似しています。しかし、使用するツールやその配備法が明確に異なります。具体的に第1の攻撃チェーンでは、水平移動・内部活動の手段としてリモートアクセスツール「PsExec」やWMIコマンドライン(WMIC)を利用する他、攻撃ツール「Cobalt Strike」や「TrillClient」、「Hemigate」、「Crowdoor」などをCABパッケージに格納して配布します。これに対して第2の攻撃チェーンでは、マルウェア「Zingdoor」、「SnappyBee」、「Cobalt Strike」や、ユーティリティ「PortScan」、「NinjaCopy」を通信コマンド「cURL」でダウンロードし、利用します。
Black Basta Ransomware Campaign Drops Zbot, DarkGate, & Custom Malware | Rapid7 Blog
BlackBestaによる攻撃手法のアップデート。標的型メールを送信後、レスポンスがあった対象者に対して、ヘルプデスクやITサポートを名乗ってTeamsなどで連絡を取り、対応に必要だからと言ってツールを実行させる模様。
【脆弱性情報】
HPE IceWall Flaw Let Attackers cause Unauthorized Data Modification
CVE-2024-11856の根本的な問題は、IceWall モジュールが失敗したパスワード試行を不適切に管理する機能にあります。この欠陥により、ユーザーは失敗したログイン試行の意図された制限を超え、適切な承認なしにデータを変更する潜在的なアクセス権を取得できるようになります。
Cisco NX-OS Flaw Let Attackers Bypass Image Signature Verification
Cisco NX-OS ソフトウェアのブートローダに重大な脆弱性が見つかりました。これにより、攻撃者がイメージ署名の検証をバイパスできる可能性があります。権限のないユーザーが影響を受けるデバイスに未検証のソフトウェアをロードできる可能性があります。この欠陥を悪用するには、デバイスへの物理的なアクセス、またはローカル攻撃者からの管理者認証情報が必要です。
【当局関連の動き、法規則等】
内閣官房 サイバー安全保障分野での対応能力の向上に向けた提言 (2024.11.29): まるちゃんの情報セキュリティ気まぐれ日記
【調査結果・ベンダーレポート】
パロアルトネットワークス、「国内民間企業・公共機関の サイバーセキュリティ施策と投資動向」 ~ 実態調査の結果を発表 - Palo Alto Networks
2024年上半期の被害経験率:全体の69%が何らかのセキュリティインシデントによる被害を経験 (民間企業の72%、公共機関の47%)
2025年以降のサイバーセキュリティの予算:83%が「増加する」と回答、加えてインシデントを経験した組織では「予算増」の回答が88%にのぼる。
【セキュリティ対策機器、ツールの紹介記事】
AWSが新たなセキュリティサービスを発表 24時間体制でインシデント対応を支援:セキュリティソリューション - ITmedia エンタープライズ
Amazon Web Services(以下、AWS)は2024年12月1日(現地時間)、組織がサイバー攻撃から迅速に回復するための新たなサービス「AWS Security Incident Response」を発表した。
AWS Security Incident Responseは、マネージド型脅威検出サービス「Amazon GuardDuty」やクラウドセキュリティ体制管理サービス「AWS Security Hub」を介したセキュリティ検出結果を自動的にトリアージし、優先度の高いインシデントを特定する機能を提供するサービスだ。AWSの専門チームであるカスタマーインシデントレスポンスチーム(CIRT)が24時間365日体制でサポートし、セキュリティイベントの調査や対応を支援する。
セキュリティインシデント対応のパフォーマンスを測定や改善するための指標を備えたダッシュボードも提供する。指標には平均修復時間(MTTR)や特定期間内のアクティブおよびクローズされたケースの数、トリアージされた検出結果の数、その他の主要業績評価指標(KPI)が含まれる。
IT運用とセキュリティの課題を解決する「自律型エンドポイント管理(AEM)」とは?──ガートナーとタニウムが語る自律型プラットフォーム (1/3)|EnterpriseZine(エンタープライズジン)
AEM(自律型エンドポイント管理)は、UEM(統合エンドポイント管理)の機能を基盤にしながら、AIを活用した自律的な運用とセキュリティ管理を実現する次世代ソリューションだ。リアルタイムデータとAIモデルが連携することで、従来手作業だったプロセスを大幅に効率化。事前設定されたプレイブックによる運用タスクの自動化や、状況に応じたワークフロー生成など、人間の介入を最小限に抑えながらも柔軟な対応が可能だ。即時に洞察を得て、それを基にAIが適切なアクションを実行する仕組み。
【コラム系】
悪意のある QR コードは、実際にどの程度問題なのか? - Cisco Japan Blog
QR コードはスパム対策フィルターの多くを非常に効果的に回避できます。なぜなら、ほとんどのスパム対策フィルターは、画像に QR コードが存在することを認識して QR コードをデコードするようには設計されていないからです。Cisco Talos のデータによると、QR コードを含む電子メールの約 60% はスパムです。
【その他】
OAuth/OIDCのJWTまとめ #openid_connect - Qiita
JWTの説明
突き破って学ぶコンテナセキュリティ/container-breakout-cncj-lt - Speaker Deck
コンテナの脅威の1つとして、"コンテナブレークアウト"の紹介
KnowBe4、年末年始にサイバー被害に遭わないために2024年度版「Holiday Cybersecurity Resource Kit(ホリデーサイバーセキュリティ学習キット)」を今年も無償公開
フィッシング等の個人を標的にした脅威に対する内容
Salesforce Applications Vulnerability Could Allow Full Account Takeover
Salesforceのゲストユーザー権限に不必要に権限が付与されていないか確認する方法。