【インシデントに関する情報】

・Microsoft reveals how hackers breached its Exchange Online accounts

→非運用のテストアカウントへのパスワードスプレー攻撃により、不正アクセスが行われたとのこと。不正アクセス試行はロックがかからないほど少ない回数で実施されていた模様。

→当該アカウントは二要素認証が実装されていなかった＆高い権限を持っていた模様。

【攻撃組織の動向】

・Chinese Hackers Hijack Software Updates to Install Malware

・Blackwood hackers hijack WPS Office update to install malware

・ソフト更新をハイジャックしスパイウェアを実行する脅威アクター

→中国政府に支援されている高度な脅威アクター「Blackwood」は、中国、日本、英国の企業や個人に対するサイバースパイ攻撃に NSPX30 と呼ばれる高度なスパイウェアを使用して、WPS Officeなどの正規更新メカニズムをハイジャックしマルウェアを配信しました。

→脅威アクターは AitM 攻撃を実行し、NSPX30 によって生成されたトラフィックを傍受して、コマンド アンド コントロール (C2) サーバーを隠した。

→NSPX30 の主な機能は、ファイル、スクリーンショット、キー押下、ハードウェアおよびネットワーク データ、資格情報などの情報を侵害されたシステムから収集することです。このバックドアは、Tencent QQ、WeChat、Telegram、Skype、CloudChat、RaidCall、YY、AliWangWang からチャット ログや連絡先リストを盗む可能性もあります。

→Blackwood の活動の注目すべき点は、Tencent QQ、WPS Office、Sogou Pinyin などの正規のソフトウェアによって行われた更新リクエストをハイジャックして NSPX30 を配信できることです。

【当局関連の動き、法規則等】

・SP 800-55 Vol. 1, Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures | CSRC

→情報セキュリティリスクを計量化して評価するガイド

【調査結果・ベンダーレポート】

・Monthly Threat Actor Group Intelligence Report, October 2023 (JPN) – Red Alert

→SectorB22グループの活動は、アメリカ、タイ、日本から確認された。このグループは、東南アジア諸国の政府をターゲットとして、様々なオープンソース（Open Source）ツールを悪用して攻撃活動を行い、機密文書や情報を奪取してファイルホスティングサービスであるDropboxにアップロードした。

・アカマイ、クラウドとセキュリティにおけるトレンドを予測 – SecurityInsight | セキュリティインサイト

→サードパーティ等の信頼できる接続を経由した侵害を防止するため、これまで手薄だった組織内部のセグメンテーションによるアクセス制御の強化が有望視されている。

・Splunk、セキュリテイに関する2024年の予測レポートを発表 – SecurityInsight | セキュリティインサイト

→レジリエンスの強化にはコラボレーションと統合が鍵となる

【セキュリティ対策機器、ツールの紹介記事】

・この診断ツールがいいねと顧客が言ったから これが LAC の AI 元年 ～ AeyeScan がスキャンエンジンに採用されるまで | ScanNetSecurity

→検証のポイントは、大きく分けて二つの観点がありました。ひとつは脆弱性を見つけるスキャンエンジンの品質に関わる「検出精度」、もうひとつは Web サイトを利用するユーザーが、たとえばログイン画面で ID とパスワードを入れてログインボタンを押すような動作がどれだけ AI に再現できるのか、専門用語で言うと「クローリング精度」です。

→ID とパスワードを入れてログインしたり、問い合わせフォームに氏名やメールアドレスを入力する一連の操作を「シナリオ」と呼んでいますが、そのような人間の操作をちゃんと実行できるかという点で AeyeScan はすごく精度が高いです。

→ AeyeScan には、管理画面上に報告書を自動作成してくれる機能があるのですが、完成度が高く、納期短縮に役立っています。

・IIJ、「IIJ SaaSセキュリティ監査ソリューション」を提供開始 〜企業が利用するSaaSのセキュリティリスクを可視化 – SecurityInsight | セキュリティインサイト

→米AppOmni社のサービスを採用し、SaaSアプリケーションのAPIを利用して脆弱な設定や不審な操作、アクセスの有無などを監視し、SaaS環境の是正を支援するとともに、世界中のセキュリティインシデント情報に基づいた脅威検出ルールを自動適用することで、システム管理者の負担なくSaaS環境における最新のセキュリティリスクの検出が可能となる。

【コラム系】

・「もしサイバー攻撃を受けたら？」を考えたことはありますか ITセキュリティの新常識「サイバーレジリエンス」を理解する（1/2 ページ） - ITmedia NEWS

→もし被害が発生しても致命傷を受けないようにしつつ、事業を継続する、素早く事業を復旧させる──これがサイバーレジリエンスの基本です。

→ソリューションを導入するだけでは、サイバーレジリエンスを手に入れることはできません。システムの設計段階からセキュリティを考えることや、組織自体のリスクや人／仕組みの脆弱性を評価すること、教育などを含めた対策が必要となります。

・【雑記】セキュリティ担当の喧嘩術 - 2LoD.sec

→本質的には勝ち負けという表現は適切ではなく「ビジネスにとって合理的な判断に至るかどうか」が全てです。決して、何が何でもセキュリティ担当の言いなりにさせることではないです。そういう勝ちにこだわっても長期的にはマイナスでしかないです。

→戦うことが目的ではないので「戦わずして勝つ」が理想だし、極力そう仕向けるべきです。

→（戦う場合）「Why」「What」の理解が重要であり、そこが腹落ちすると一気にトーンダウンすることが多いです。

→戦いながらも寄り添う考えが必要です

→セキュリティ担当側が間違っていた場合はどうするのでしょうか。

その場合は、変に意地を張って負けてませんよアピールをするよりも、相手の主張の正当性を理解したことをはっきり伝えるだけです。

特に謝罪することもなく、むしろ理解させてくれてありがとう！的に前向きに終わればよいと思います。

【その他】

・インシデント発生時に必要な「法的」対策を考える 強固なセキュリティガバナンス体制を作る5ステップとは (1/3)|EnterpriseZine（エンタープライズジン）

→法務部門やCSIRT、IT部門はもちろん、ベンダーなどの外部専門家との連携が極めて重要となります。平時から関係者が円滑に連携できるチーム体制を整えておくことが、サイバーインシデントレジリエンスを高める一助となることでしょう。

・ラック、「情報リテラシー啓発のための羅針盤 情報活用編」改訂版を無料公開、生成AIの注意点を追記 | IT Leaders

【攻撃の傾向・手法】

・Finland warns of Akira ransomware wiping NAS and tape backup devices

→フィンランドでAkiraランサムウェアによる被害が増加。攻撃の中で、オンラインバックアップも被害を受けている。

→攻撃手口として、CiscoのVPNの脆弱性を悪用され、侵入されている模様。

・YouTube Channels Hacked to Spread Lumma Stealer via Cracked Software

・YouTubeで広がるマルウェアに警戒を、ダウンロードは増加の一途 | TECH+（テックプラス）

→Youtubeのチャンネルを乗っ取り、ファイル共有サービスの紹介動画をアップし、ダウンロード先として貼った短縮URL（GithubなどのオープンソースＰＦ）にアクセスさせ、そこでマルウェア（Lumma）をダウンロードさせる手法。

→lummaは暗号資産ウォレット関連のログイン情報等の情報を盗む模様

・悪用が進む脆弱性「CitrixBleed」 信用組合に関連したサプライチェーン攻撃を引き起こす：Cybersecurity Dive - ITmedia エンタープライズ

→CitrixBleedが引き続き狙われている。VPNの脆弱性は攻撃者が利用する可能性が高いものとして認識しておくべき。

・Data-theft malware exploits Windows Defender SmartScreen • The Register

→犯罪者は、Windows Defender SmartScreen バイパスの脆弱性（11月に公表・パッチが公開された脆弱性）を悪用して、Phemedrone Stealer に PC を感染させている。

→Phemedrone Stealer は、パスワード、Cookie、認証トークンなどの機密情報をスキャンして取得し、漏洩させるマルウェア。ターゲットには、Chromium ベースのブラウザーのほか、LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile、Microsoft Authenticator が含まれる。

→Web サイトなどから悪意のある .url ファイルをダウンロードして開かせることで、被害者のマシンを Phemedrone に感染させる。url によって取得された .cpl は実際には .dll であるようで、Windows のコントロール パネルによってコントロール パネル項目が開かれると、これが実行を開始します。この .dll は、 GitHub から取得された攻撃の次の段階を実行するために PowerShell を呼び出すローダーとして機能する。

・増加するQRコードを悪用したフィッシング--難読化や検知回避の手法も - ZDNET Japan

→フィッシングサイトのURLをQRコードにしてメールに埋め込んだフィッシングメールの報告が増加。認証情報の窃取が目的と思われる。

・KB5034441の騒動に便乗したフィッシング詐欺が発生。@bahiamailのポストにご注意。決してURLを開かないで | ニッチなPCゲーマーの環境構築Z

→パッチの不具合に関する情報提供と見せかけて、フィッシングサイトに誘導する手口。

【脆弱性情報】

・話題の「EPSS」は「CVSS」と何が違うのか？ 使い分けるべきケースを紹介：セキュリティニュースアラート - ITmedia エンタープライズ

→EPSSは共通脆弱性評価システム（CVSS）やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。

→CVSSスコアは危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。

・CVSSに代わる脆弱性の評価手法「SSVC」とは｜迅速な脆弱性対応を目指して｜ブログ｜NRIセキュア

→こちらは、当該脆弱性を悪用した攻撃が発生する可能性を元に、パッチ適用のスピード感を決める考え方を整理した「SSVC」の紹介。

→これはやばそうだからすぐ当てろ、ではなく、本当に攻撃が発生するのか、自社におけるインパクトはどの程度か、といった点も冷静に整理してから脆弱性の対応を行う風潮になってきている。やっぱり脆弱性が多すぎてなんでも対応するのは不可能、という状況なのでしょうね。

・JVNTA#95077890: SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて

→SSHの脆弱性？仕様の不備？を突いて、ハンドシェイク通信の一部を削除することで、暗号化方式のダウングレードが可能。これを悪用して中間者攻撃ができる模様。

→上記が可能となる暗号化方式は限られているが、広い範囲で実装がされている模様。回避にはクライアント、サーバ側の両方で対応が必要。

参考）

Terrapin attack について #SSH - Qiita

Terrapin Attack

SSHのセキュリティを弱体化させる新しい攻撃手法「Terrapin」に注意 | TECH+（テックプラス）

SSHプロトコルを狙う新たな攻撃手法「Terrapin攻撃」を研究者が公表：セキュリティニュースアラート - ITmedia エンタープライズ

【セキュリティ対策機器、ツールの紹介記事】

・野村総研、データ漏えいリスクに対処する「プライベートLLM」を提供へ - ZDNET Japan

→野村総合研究所（NRI）とグループ企業のNRIデジタルは1月11日、2024年春以降にデータ漏えいリスクに対処する「プライベート大規模言語モデル（LLM）」を企業ごとに提供すると発表した。

→ユーザーの機密情報や機微情報のデータを送信してしまいかねないリスクに対応するという。プライベートLLMでは、オープンソース型LLMをNRIのデータセンターのプライベートクラウドサービスや企業のオンプレミス環境で動作させる。機密性の高いデータの漏えいリスクを極少化してLLM学習に用いる。

【コラム系】

・2024年の「AI／機械学習／データ分析」はこうなる！ 7大予測：AI・機械学習の業界動向 - ＠IT

→マルチモーダルAI、AI規制派は効果的利他主義（EA：Effective Altruism）、AI推進派は効果的加速主義（e/acc：effective accelerationism）、AI／機械学習向けの「オープンソース」の定義

【その他】

・政府、研究機関などのインテリジェンスを集約 NRIセキュアがインテリジェンスセンターを設立：「変化を捉えて未来を見通す分析を活用することが重要」 - ＠IT

・NCSC

→フィッシングメールへの対応策をNCSCがまとめたもの。様々な対策を整理したPDFと実例でどのように企業が攻撃を防いだかを整理したPDFがわかりやすい。

・Gartner、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表

・2024年のセキュリティ、日本企業に向けた10の論点 - ZDNET Japan

→昨今においてセキュリティの取り組みをステークホルダー（利害関係者）に説明する必要性が今まで以上に高まっているとし、「戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われた際に説明に窮する事態に陥る可能性がある。セキュリティリスクマネジメント（SRM）のリーダーは、目前の課題や仕事のみに振り回されるのを避けるために、少なくとも年に1回は視野を広げ、自社の取り組みを見つめ直す機会を持つべき。

→SRMリーダーは、従来存在する情報セキュリティの脅威のみではなく、サイバーセキュリティおよびデジタルトレンドを踏まえた新しい脅威の変化をファクトベースで経営陣、ビジネスリーダーに伝え、理解を促すことが重要になる。

→脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセス（ぜいじゃく性への対処や設定ミスの修正など）をセキュリティオペレーションに組み込み、そのサイクルを回していくことが求められる。

→インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧が優先されるようインシデント対応プロセスを見直す必要がある。

・アジャイル開発で役立つセキュリティプラクティス / Agile Security Practice - Speaker Deck

→脆弱性テスト効率化ツールについて簡潔に整理されており、わかりやすい。

・機密情報が漏洩した、企業はどう対処すべきか | TECH+（テックプラス）

→漏洩した時には、情報の重要度の確認、漏洩範囲と潜在的な影響の確認、漏洩の根本原因を特定、漏洩した情報の関連情報の確認

→事後的対応としては、二次被害の防止、将来の漏洩の未然防止、検知・防御体制の強化

・トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ

・「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ

【インシデントに関する情報】

・板橋区職員の動画配信アプリを通じた情報流出についてまとめてみた - piyolog

→職員は出勤中に使用した動画配信アプリを起動したままにしており、当時その配信を閲覧する視聴者が5人がいた。センターのオペレーター3人が未納者とやり取りをしていた会話が配信されていたとみられ、配信の視聴者からセンター宛に連絡があり事態が発覚した。

【攻撃の傾向・手法】

・「犯罪者のExcel離れ」が止まらない理由：TechTargetジャパン 特選プレミアムコンテンツ - ＠IT

・H2 2023 Threat Landscape Dominated by AI and Android Spyware - Infosecurity Magazine

→名前に文字列「chapgpt」または ChatGPT チャットボットへの明らかな参照に類似のテキストが含まれる悪意のあるドメインへのアクセス試行を 650,000 件以上ブロックしました

→Android スパイウェアの検出数が大幅に増加し、2023 年下半期に前回報告された期間と比較して 89% 増加したと報告しました。

・Ransomware Leak Site Victims Reached Record-High in November - Infosecurity Magazine

→11 月のピークは LockBit の活動の復活が一因でした。11 月の増加は CitrixBleed の脆弱性によるものである可能性があると推定しており、「伝えられるところによると、この脆弱性はグループの新たな定番となっている」とのことです。

→「ランサムウェア攻撃の背後にいる人間がしばらく休むため、1月には減少が予想される」と付け加えた。

・マルウェアを使わなくなった攻撃者たち 代わりに用いられる手法とは？：Cybersecurity Dive - ITmedia エンタープライズ

→多くの場合、サイバー攻撃者はスクリプトフレームワークやリモートモニタリングマネジメント（以下、RMM）ソフトウェアなどの正規のツールを悪用して被害者のネットワークに侵入している。

→CISAは、攻撃者はRMMを悪用してマネージドサービスプロバイダーのサーバに侵入し、何千もの顧客のネットワークにアクセスしていると警告した。

・How ransomware operators try to stay under the radar | Malwarebytes

→Living-off-the-Land (LOTL) 攻撃は通常の動作を模倣して実行されるため、IT チームやセキュリティ ソリューションが悪意のあるアクティビティの兆候を検出することが非常に困難になります。

→ファイルレス マルウェアはメモリ常駐のみを目的としており、実行後に痕跡を残さないことが理想的です

→実際の攻撃が開始される前に常駐のセキュリティ ソフトウェアを無効にすることです。これを実現する 1 つの方法は、今年確認されたように、署名付きドライバーを使用することです。

【攻撃組織の動向】

・Carbanak malware returned in ransomware attacks

→サイバーセキュリティ企業 NCC グループは、11 月にバンキング マルウェアCarbanak がランサムウェア攻撃で観察されたと報告しました。Carbanak は先月新たな流通チェーンを通じて復活し、さまざまなビジネス関連ソフトウェアになりすますために侵害された Web サイトを通じて配布されました。

【当局関連の動き、法規則等】

・Zoom、政府認定クラウドサービスに | スラド IT

→登録されたZoomは、日本の政府機関向けに初期設定などを変更した「Zoom Japanese Government Preset」というバージョンになる。

・フィッシングによるインターネットバンキングへの不正送金被害が急増、「不正アクセス」「個人情報の確認」「取引の停止」等のワードに注意呼びかけ | ScanNetSecurity

→12月8日時点で、2023年11月末における被害件数は5,147件、被害額は約80.1億円と、いずれも過去最多を更新しているという。

【調査結果・ベンダーレポート】

・マカフィー、2024年のサイバーセキュリティの脅威動向予測を発表 ～AIの進化に伴いオンライン詐欺が横行 - SecurityInsight | セキュリティインサイト

・ノートン、2024年のサイバーセキュリティ予測5選を発表 〜高度なAIにより、脅威は個人と中小企業の双方に対してさらにパーソナライズ化へ - SecurityInsight | セキュリティインサイト

・サイバーセキュリティに役立つ Talos『一年の総括』レポートの推奨事項

→「いつかは攻撃を受ける」という前提で考えることです。一刻も早く脅威を確実に根絶やしにするために、私たちにできることはあるのでしょうか。サイバーセキュリティの大部分は、バランスを考えながらリスクを低減する作業です。許容可能なリスクと、絶対に許容できないリスクを認識する必要があります。

【セキュリティ対策機器、ツールの紹介記事】

・「SBOM」は2024年のサイバーセキュリティキーワードになるか - ZDNET Japan

→SBOM関連のまとめ

・クラウドセキュリティWGが「現場で役立つセキュア・アーキテクティング・レビューのポイント ― AWS Well Architected Framework ―」を公開しました。 – csajapan

【その他】

・DMARCの対応って進んでますか？ - エムスリーテックブログ

→DMARCの解説。

・JNSAセキュリティ十大ニュース

→システム開発において、敷いているガバナンスが意味を成しているのか、きちんと見直し、適切な体制が保たれるように必要がある。ただルールだからやっている、では意味がない。