【インシデントに関する情報】
・New Relic warns customers it's experienced a cyber incident • The Register
→New Relicにて、何らかのサイバーインシデントが発生している模様。
・サイバー攻撃の賠償や保険料要求 ~ NISC 騙る不審な電話に注意喚起 | ScanNetSecurity
→NISCを騙った詐欺事案。
・Yamaha Ransomware Attack: Personal Information Exposed
→「ヤマハモーターフィリピン社(YMPH)が第三者からの不正アクセスによりランサムウェア攻撃を受け、同社が保管していた従業員の個人情報の一部流出が確認された」とのこと。この攻撃はランサムウェアグループ INC Ransomに関連しているとされている。
【攻撃の傾向・手法】
・How Multi-Stage Phishing Attacks Exploit QRs, CAPTCHAs, and Steganography
・史上最大のDDoS攻撃 あえてクラウド大手を狙う理由 | 日経クロステック(xTECH)
→新たな攻撃手法を編み出した攻撃者は、それがどれほど大規模で効果的かをテストすることが多いという。効果を調べるには、相手がすぐに落ちては困る。そこで攻撃を十分受け止められそうなネットワークやWebサーバーを狙う。
・USBデバイス介して感染するマルウェア拡大、ロシア支援の攻撃グループが配布 | TECH+(テックプラス)
→Gamaredonはウクライナの幅広い標的を狙ってLitterDrifterを配布しているとみられている。LitterDrifterはUSBデバイスを介し感染を拡大する。
・Scattered Spider Hops Nimbly from Cloud to On-Prem in Complex Attack
→攻撃者はソーシャル エンジニアリングによる MFA 疲労攻撃を使用し、有効なアカウント資格情報を使用して 2 分以内に 4 つの MFA チャレンジを試みました。最後は認証に成功。
→偽のセキュリティアーキテクトユーザーの形で高度な特権を持つユーザーを作成することによるCitrixセッションのハイジャックと特権昇格が含まれており、これにより攻撃者はAzure、SharePoint、および環境内のその他の重要な資産を自由に横方向に移動できるようになった。新しいサインオン、またはスーパー管理者アカウントの MFA 要素の登録には通知が伴う必要があります。、特にリセットを伴う手順について、エンド ユーザーの身元確認に関する厳格なポリシーを遵守することも推奨。
・2023年10月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
→Cisco IOS XEのWeb UIに存在する複数の脆弱性について、CVE-2023-20198は特権昇格の脆弱性、CVE-2023-20273はコマンドインジェクションの脆弱性となっており、攻撃者に悪用された場合、リモートから認証なしにローカルユーザーを作成され、システムを制御されてしまう恐れがあります
【攻撃組織の動向】
・Microsoft: Lazarus hackers breach CyberLink in supply chain attack
→マイクロソフトは、北朝鮮のハッカー集団が台湾のマルチメディア ソフトウェア会社サイバーリンクに侵入し、そのインストーラーの 1 つをトロイの木馬化して、世界中の潜在的な被害者をターゲットとしたサプライ チェーン攻撃にマルウェアを送り込んだと発表しました。
【脆弱性情報】
・Windows Hello fingerprint authentication can be bypassed on popular laptops | Malwarebytes
・Researchers Undermine 'Windows Hello' on Lenovo, Dell, Surface Pro PCs
・Windowsの指紋認証をハックして誰でもサインイン可能にする攻撃手法が発見される - GIGAZINE
→USBを使って、センサーからの通信内容を傍受、「認証成功してログイン可能」な旨の通信をPC側に送ることで、実際の認証はバイパス。
→センサーとホスト間のエンドツーエンド通信を保護するために、Microsoft は Secure Device Connection Protocol (SDCP) を開発しました。ただし、問題の 3 台のリーダーのうち 2 台では SDCP がデフォルトで有効になっておらず、3 台目は実装が不完全でした。たとえば、Elan センサーでは SDCP が有効になっておらず、セキュリティ ID が平文で送信されたため、研究者らは単純に USB を代用として使用し、ホスト マシンに認証されたログインを認識させることができました。
→マッチオンチップ方式には「悪意ある指紋センサーが正規の指紋センサーになりすまし、『認証が完了した』というシグナルをシステムに送信する」「正規のサインイン時に伝達されるシグナルを傍受し、そのシグナルを送信する」といった攻撃を防ぐ機能はありません。そこで、Microsoftは「指紋センサーが本物であり、認証はユーザー本人よって実行された」ということを保証するセキュリティプロトコル「Secure Device Connection Protocol(SDCP)」を開発しています。
→今回発見された攻撃手法では「攻撃対象のマシンにLinuxをインストールする」という作業が必要です。このため、海外メディアのXDA Developersは「攻撃が実行される可能性は非常に低い」と指摘
・Citrix Bleed widely exploitated, warn government agencies | Malwarebytes
・Citrix ADCおよびCitrix Gatewayに情報漏えいの脆弱性、悪用する攻撃を確認 | ScanNetSecurity
・#StopRansomware: LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability | CISA
→Citrixの脆弱性の悪用を端に発した攻撃が増加。JPCERTやCISAからも注意喚起。
【当局関連の動き、法規則等】
・Risk Management under the DORA Regulation - IT Governance UK Blog
→欧州ではDORA(Digital Operational Resilience Act)が25年に施行予定。
・EU の新たなサイバーセキュリティ要件「NIS2」とは何か、どう備えるのがベストか
・NIS2指令とは【用語集詳細】
→EUにて、24年10月から施行される指令。実施事項やインシデント発生時の報告義務について記載。対応できないと罰金が科せられる。
・EU、サイバーセキュリティー・ラベリング制度を銀行などにも適用検討 | ロイター
→欧州連合(EU)は、サイバーセキュリティー分野で一定の基準を満たした製品を判別するために導入を提案した「ラベリング制度」について、対象企業を巨大IT企業だけでなく、銀行や航空会社にも適用を拡大することを検討している。
【セキュリティ対策機器、ツールの紹介記事】
・ZTNA and VPN - What is the Difference? - GBHackers
→ZTNA の重要な側面の 1 つは、従来のネットワーク アクセスではなく、必要最小限のアクセスの原則に焦点を当てていることです。2 つの主な違いは、VPN ではユーザーが一度認証されてからネットワークに接続されることです。同時に、ZTNA はユーザーとデバイスを継続的に検証し、特定の承認されたアプリケーションへのアクセスのみを許可します。
【コラム系】
・Threat Intelligence with Sandbox Analysis: Security Analyst Guide
→サンドボックスツールとして、ANY.RUNの紹介。
【その他】
・自社のセキュリティの甘さに対し、情シス部が起こした“反乱” 年1億円超の予算をITにかける、ある企業の改革の裏側 - ログミーBiz
→「自主的に取り組みを進めていかなければ、今後うちの契約が減ってくるんじゃないか」ということで、ある種の危機感を持って、しっかり先んじてやっていく
→「セキュリティのための予算を取ろう」という言い方はしてない。DX、つまり営業の効率とか、生産の効率を高めるための施策の一環として、その前提としてセキュリティがあるからできるんですよと。つまり、経営や事業を前に進めるための投資をして、必ず必要なものだからセキュリティに投資しましょうと。そういったかたちで予算を取っていったと。先にDXをしてしまって、あとからセキュリティを付加すると、手戻りが起きたりするんですよね。利便性を落とさなくちゃいけないとか、逆に手間だけ増えてしまったりするので、単純にコストとして見られてしまう。
→セキュリティが戦略投資なのであれば、(セキュリティ対策を)やっているよという企業さんはPRをしてますか。
・“セキュリティ原理主義”に陥らない文化醸成法とは 「教科書のない」人材育成に挑むメルカリとfreee (1/3)|EnterpriseZine(エンタープライズジン)
→セキュリティを考えるときには、必ず「技術」「法律」「倫理」を3本柱としてバランスがとれているかを常に気にしています。
→良いセキュリティチームを作っていくためには、会社として掲げるミッション、ビジョン、バリューなどに共感してもらうことはもちろん、セキュリティチーム独自のミッションやバリューも策定していく必要がある。
→「Drive Stakeholder Value」、「再現性のある平和を実現しよう」
→セキュリティ部門が「セキュリティ原理主義」に陥ってしまうと、セキュリティ部門の権限が変に強くなり、業務への制限が多くなってしまうケースもよく聞きます。しかし、我々の存在価値はあくまでも事業が成功するために事故が起きないようにすることです。そのため、会社のミッションや事業の方向性を捉えつつ、自分たちのミッションも実現するという“双方のバランス”を意識しながら業務に取り組んでいます。
→ベースにあるのは事業を安全に成長できるか。
