【インシデントに関する情報】

・トヨタグループ傘下保険会社のMicrosoftアカウントが漏えい、約25GBのメールや顧客情報が閲覧可能に - GIGAZINE

→豊田通商インシュアランス・ブローカー・インディア(TTIBI)のMicrosoftアカウントのログイン情報が漏れ、同アカウントから送信されたメールが閲覧できる状態にあったことが報告されました。

→漏洩可能性のあるメールは650,000超とのこと。

 

【攻撃の傾向・手法】

・2023年12月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社

→12月は、WordPressのバックアップ移行プラグイン「Backup Migration」の脆弱性（CVE-2023-6553）を狙った攻撃が増加しました。

・FBIがAWSやMicrosoftから認証情報を盗み出すマルウェア「AndroxGh0st」について警告 - GIGAZINE

→PHPフレームワーク・Laravelの環境ファイル(.envファイル)にアクセスしてAmazon Web Services(AWS)やMicrosoft Office 365、SendGrid、Twilioなど知名度の高いアプリケーションの認証情報を盗み出す機能を持っています。

→AndroxGh0stを使用する攻撃者が侵害されたウェブサイト上に偽ページを作成し、機密情報を含むデータベースに侵入したり悪意あるツールを仕込んだりするためのバックドアを作った事例が確認されているとのこと。

 

【攻撃組織の動向】

・Russian threat group COLDRIVER expands its targeting of Western officials to include the use of malware

・Russian APT Known for Phishing Attacks Is Also Developing Malware, Google Warns - SecurityWeek

→まず偽アカウントから無害のPDF文書を送信する。ユーザーが文書を開くと、暗号化されているように表示される。そのため、ユーザーが閲覧できないと返信すると、攻撃者はクラウド上にホストされている復号ユーティリティーへのリンクを送信する。この復号ユーティリティーは実際にはバックドアであり、おとりの文書を表示する一方、攻撃者がユーザーのマシンにアクセスできるようにする。

 

【脆弱性情報】

・Critical Vulnerabilities Found in Open Source AI/ML Platforms - SecurityWeek

→ML開発に用いるツールにリモートコードが可能になる等複数の脆弱性を発見。

→通常インターネット公開するものではないと思われるため、アクセス制御のミスによる第三者の不正アクセス→脆弱性の悪用といったシナリオか、内部犯による悪用シナリオのイメージか？対応した方が無難。

・Citrix Warns NetScaler ADC Customers of New Zero-Day Exploitation - SecurityWeek

・Citrix warns of new Netscaler zero-days exploited in attacks

・Citrix Discovers Two Vulnerabilities, Both Exploited in the Wild

→CVE-2023-6548は管理画面での任意コード実行、 CVE-2023-6549はDoS攻撃が可能となる脆弱性

 

【当局関連の動き、法規則等】

・欧州 2023年12月20日に欧州議会に送致されたサイバーレジリエンス法案 (Cyber Resilience Act): まるちゃんの情報セキュリティ気まぐれ日記

 

【調査結果・ベンダーレポート】

・ランサムリークサイト観察記 2023年振り返り | (n)inja csirt

→3年間を通じてアメリカが群を抜いての1位となっていますが、2022年は、観察対象数が2減っているにも関わらず、リーク確認総数は20％強増加しているのですがアメリカは4件のみの増加で全体の割合で見た場合は、8.5%の減少という結果でした。

→特定業種が狙われる傾向があるとは言えない状況が2023年も継続。

 

【その他】

・Gmailのメール送信者のガイドライン対応に不備があったらどうなるの？ #Google - Qiita

→何か設定に不備があった場合、一部のメールで一時エラーが発生します。エラーコードは4xxと考えられます。この場合、ほとんどのメール送信システムでは自動的に一定時間後リトライされて相手に届きます。2月の時点では拒否されたり届かなくなることはないようです。もしもエラーや遅延の頻度が2月から急に増加した場合は、ガイドラインに準拠できていない箇所が残っている可能性があります。

・「生成AI」はセキュリティをどう脅かすのか？ 大手5社の脅威予測から探る：Weekly Memo（2/2 ページ） - ITmedia エンタープライズ

→2023年はAIの導入および活用が劇的に進んだ。その一方で、AI導入時におけるセキュリティチームの脅威モデルに対する理解度はいまだ初心者レベルだ。従業員が無断で持ち込む非承認AIツールの追跡も追い付いていない状況にある。こうした新しいテクノロジーは“死角”を産みやすく、脅威アクターに企業ネットワークへの侵入や機密データ窃取のチャンスを与えてしまう可能性がある

→重要なのは、セキュリティチームが従業員によるAIツールの無断使用を放置してしまうと、企業はデータ保護上の新たなリスクへの対応を余儀なくされるという点だ。

→安全かつ監査可能なAI利用に向けた戦略的ガイドラインを策定する年になるだろう

・Gmailに届かない神奈川県立高校入試のインターネット出願システムのメールを調べてみた | DevelopersIO

・監査人の警鐘- 2024年 情報セキュリティ十大トレンド | JASA (Japan Information Security Audit Association)

→2024年のトレンドで特筆すべきは、生成AIに伴うリスクの増大です。生成AIに関しては革新的な技術である反面、重大なセキュリティ事故の発生が懸念されます。