【インシデント事例】
【攻撃の傾向・手法、攻撃組織の動向】
○ソフトウェアへの攻撃
・Software Supply Chain Attacks | CISA
・Tips on Enhancing Supply Chain Security - BankInfoSecurity
→ソフトウェアやOSSにバックドアや脆弱性を埋め込み、利用している企業への不正侵入を行うといった攻撃への対処法について。
→結論、利用企業側でもコードレビューしなさいということのようでしたが、実効性あるのか疑問。利用企業側でどこまで確認ができるのか。脆弱性診断でもやってみる程度なのかな。。
○ADFSを狙う攻撃手法
・Abusing Replication: Stealing AD FS Secrets Over the Network | FireEye Inc
・Attacks Targeting ADFS Token Signing Certificates ...
・脅威アドバイザリ:米国国家安全保障局のロシア対外情報庁に関する勧告
・FluBot Spyware Spreads Across Europe - BankInfoSecurity
・Phishing Attack Trends Captured by Cyble Honeypots | Cyble
・Microsoft Office SharePoint Targeted With High-Risk Phish, Ransomware Attacks | Threatpost
→Sharepointにファイルを置いて、マルウェアに感染させるorフィッシングによる認証情報の窃取が行われる。前者は、エンドポイントセキュリティ、Sharepointサーバ含む内部サーバへのパッチ適用が必要。後者は、ユーザー自身の注意と不審な認証の有無についてのモニタリングが必要。
・Merseyrailのランサム被害 - Fox on Security
→攻撃者が情報漏えいの事実をマスコミや顧客に伝えてしまい、被害を受けた企業が事実を隠せない状況に追い込むケースが増えてきましたね
→一方で、事実が公表されると尚更身代金を払いにくくなる気がします。海外では状況は違うのかもしれませんが、国内では「犯罪者に加担した・屈した」というマイナスイメージのほうが大きい気がします。
【脆弱性情報】
【当局関連の動き、法規則等】
【技術関連(お勉強)】
・イエラエセキュリティ CSIRT支援室 第 11 回「サーバサイドレンダリングの導入から生じる SSRF」 | ScanNetSecurity
・コロナ禍で進むSD-WAN導入と企業ネットワークのダウンサイジング:羽ばたけ!ネットワークエンジニア(39) - @IT
【その他】
・CTF問題「C&Cサーバと社内PCのパケットキャプチャーから機密情報を見つけるには?」から学べる知識とは:CTF問題から学ぶセキュリティ基礎知識(2) - @IT
・コロナ禍で進むSD-WAN導入と企業ネットワークのダウンサイジング:羽ばたけ!ネットワークエンジニア(39) - @IT
・ファイル共有の非常識 日立や富士通が「脱PPAP」: 日本経済新聞
・中国が世界の"オペレーティングシステム"の主導権を握る恐れ--英GCHQ長官 - ZDNet Japan
・「Microsoft Defender for Endpoint」でクリプトジャッキングが検出可能に--インテルの技術利用 - ZDNet Japan
【一言】
・AD周りのサイバー攻撃とセキュリティ対策の動向は要注意。特に、ローカルブレイクアウトを始めとして、業務環境が社内にとどまらない一方で、認証はADで統一する動きがあると思うので、外からAD認証を狙えるようになり、攻撃が増える傾向が出てくると思う。