【攻撃の傾向・手法】
・Finland warns of Akira ransomware wiping NAS and tape backup devices
→フィンランドでAkiraランサムウェアによる被害が増加。攻撃の中で、オンラインバックアップも被害を受けている。
→攻撃手口として、CiscoのVPNの脆弱性を悪用され、侵入されている模様。
・YouTube Channels Hacked to Spread Lumma Stealer via Cracked Software
・YouTubeで広がるマルウェアに警戒を、ダウンロードは増加の一途 | TECH+(テックプラス)
→Youtubeのチャンネルを乗っ取り、ファイル共有サービスの紹介動画をアップし、ダウンロード先として貼った短縮URL(GithubなどのオープンソースPF)にアクセスさせ、そこでマルウェア(Lumma)をダウンロードさせる手法。
→lummaは暗号資産ウォレット関連のログイン情報等の情報を盗む模様
・悪用が進む脆弱性「CitrixBleed」 信用組合に関連したサプライチェーン攻撃を引き起こす:Cybersecurity Dive - ITmedia エンタープライズ
→CitrixBleedが引き続き狙われている。VPNの脆弱性は攻撃者が利用する可能性が高いものとして認識しておくべき。
・Data-theft malware exploits Windows Defender SmartScreen • The Register
→犯罪者は、Windows Defender SmartScreen バイパスの脆弱性(11月に公表・パッチが公開された脆弱性)を悪用して、Phemedrone Stealer に PC を感染させている。
→Phemedrone Stealer は、パスワード、Cookie、認証トークンなどの機密情報をスキャンして取得し、漏洩させるマルウェア。ターゲットには、Chromium ベースのブラウザーのほか、LastPass、KeePass、NordPass、Google Authenticator、Duo Mobile、Microsoft Authenticator が含まれる。
→Web サイトなどから悪意のある .url ファイルをダウンロードして開かせることで、被害者のマシンを Phemedrone に感染させる。url によって取得された .cpl は実際には .dll であるようで、Windows のコントロール パネルによってコントロール パネル項目が開かれると、これが実行を開始します。この .dll は、 GitHub から取得された攻撃の次の段階を実行するために PowerShell を呼び出すローダーとして機能する。
・増加するQRコードを悪用したフィッシング--難読化や検知回避の手法も - ZDNET Japan
→フィッシングサイトのURLをQRコードにしてメールに埋め込んだフィッシングメールの報告が増加。認証情報の窃取が目的と思われる。
・KB5034441の騒動に便乗したフィッシング詐欺が発生。@bahiamailのポストにご注意。決してURLを開かないで | ニッチなPCゲーマーの環境構築Z
→パッチの不具合に関する情報提供と見せかけて、フィッシングサイトに誘導する手口。
【脆弱性情報】
・話題の「EPSS」は「CVSS」と何が違うのか? 使い分けるべきケースを紹介:セキュリティニュースアラート - ITmedia エンタープライズ
→EPSSは共通脆弱性評価システム(CVSS)やCVEなど複数の指標を基に、今後30日間で悪用される確率の日時推定値を示す。1000以上の変数と機械学習を使ってこの予測は微調整される。スコア値は脆弱性の修復に優先順位を付けるために設計されている。
→CVSSスコアは危険性の論理値を示すものであり、実際のリスクよりも高いスコアが付きがちで、企業が対処しなければならない脆弱性の数が多くなりすぎる点が課題だ。また、CVSSのスコア値が低いものであっても簡単に使用できるエクスプロイトが存在する場合は、そのリスクはスコア値以上に高いものになるという課題もある。
・CVSSに代わる脆弱性の評価手法「SSVC」とは|迅速な脆弱性対応を目指して|ブログ|NRIセキュア
→こちらは、当該脆弱性を悪用した攻撃が発生する可能性を元に、パッチ適用のスピード感を決める考え方を整理した「SSVC」の紹介。
→これはやばそうだからすぐ当てろ、ではなく、本当に攻撃が発生するのか、自社におけるインパクトはどの程度か、といった点も冷静に整理してから脆弱性の対応を行う風潮になってきている。やっぱり脆弱性が多すぎてなんでも対応するのは不可能、という状況なのでしょうね。
・JVNTA#95077890: SSH接続の安全性を低下させる攻撃手法Terrapin Attackについて
→SSHの脆弱性?仕様の不備?を突いて、ハンドシェイク通信の一部を削除することで、暗号化方式のダウングレードが可能。これを悪用して中間者攻撃ができる模様。
→上記が可能となる暗号化方式は限られているが、広い範囲で実装がされている模様。回避にはクライアント、サーバ側の両方で対応が必要。
参考)
Terrapin attack について #SSH - Qiita
SSHのセキュリティを弱体化させる新しい攻撃手法「Terrapin」に注意 | TECH+(テックプラス)
SSHプロトコルを狙う新たな攻撃手法「Terrapin攻撃」を研究者が公表:セキュリティニュースアラート - ITmedia エンタープライズ
【セキュリティ対策機器、ツールの紹介記事】
・野村総研、データ漏えいリスクに対処する「プライベートLLM」を提供へ - ZDNET Japan
→野村総合研究所(NRI)とグループ企業のNRIデジタルは1月11日、2024年春以降にデータ漏えいリスクに対処する「プライベート大規模言語モデル(LLM)」を企業ごとに提供すると発表した。
→ユーザーの機密情報や機微情報のデータを送信してしまいかねないリスクに対応するという。プライベートLLMでは、オープンソース型LLMをNRIのデータセンターのプライベートクラウドサービスや企業のオンプレミス環境で動作させる。機密性の高いデータの漏えいリスクを極少化してLLM学習に用いる。
【コラム系】
・2024年の「AI/機械学習/データ分析」はこうなる! 7大予測:AI・機械学習の業界動向 - @IT
→マルチモーダルAI、AI規制派は効果的利他主義(EA:Effective Altruism)、AI推進派は効果的加速主義(e/acc:effective accelerationism)、AI/機械学習向けの「オープンソース」の定義
【その他】
・政府、研究機関などのインテリジェンスを集約 NRIセキュアがインテリジェンスセンターを設立:「変化を捉えて未来を見通す分析を活用することが重要」 - @IT
・NCSC
→フィッシングメールへの対応策をNCSCがまとめたもの。様々な対策を整理したPDFと実例でどのように企業が攻撃を防いだかを整理したPDFがわかりやすい。
・Gartner、日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点を発表
・2024年のセキュリティ、日本企業に向けた10の論点 - ZDNET Japan
→昨今においてセキュリティの取り組みをステークホルダー(利害関係者)に説明する必要性が今まで以上に高まっているとし、「戦略不在のままその場しのぎの対応を継続した場合、企業として責任を問われた際に説明に窮する事態に陥る可能性がある。セキュリティリスクマネジメント(SRM)のリーダーは、目前の課題や仕事のみに振り回されるのを避けるために、少なくとも年に1回は視野を広げ、自社の取り組みを見つめ直す機会を持つべき。
→SRMリーダーは、従来存在する情報セキュリティの脅威のみではなく、サイバーセキュリティおよびデジタルトレンドを踏まえた新しい脅威の変化をファクトベースで経営陣、ビジネスリーダーに伝え、理解を促すことが重要になる。
→脅威対策製品の検知や防御の能力に頼るだけでなく、問題が発生しないような構成を維持する事前対応プロセス(ぜいじゃく性への対処や設定ミスの修正など)をセキュリティオペレーションに組み込み、そのサイクルを回していくことが求められる。
→インシデントが広い範囲に影響する場合、業務停止の時間を極力短くすることが重要になるため、こうした場面ではインシデントの原因究明よりもシステムの暫定復旧が優先されるようインシデント対応プロセスを見直す必要がある。
・アジャイル開発で役立つセキュリティプラクティス / Agile Security Practice - Speaker Deck
→脆弱性テスト効率化ツールについて簡潔に整理されており、わかりやすい。
・機密情報が漏洩した、企業はどう対処すべきか | TECH+(テックプラス)
→漏洩した時には、情報の重要度の確認、漏洩範囲と潜在的な影響の確認、漏洩の根本原因を特定、漏洩した情報の関連情報の確認
→事後的対応としては、二次被害の防止、将来の漏洩の未然防止、検知・防御体制の強化
・トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ
・「2024年も始まったしそろそろマルウェアの勉強を始めるか」と思っている人向けのマルウェア解析ツール入門話 - 切られたしっぽ
