【攻撃の傾向・手法】
iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される - GIGAZINE
Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security
PhoneにApple IDのパスワードリセットを求める通知を連続送信してApple IDを奪い取る攻撃手法の存在が確認されました。攻撃者は「Apple公式サポートを装った電話」も併用しているとのことです。
【脆弱性情報】
CISA Warns: Hackers Actively Attacking Microsoft SharePoint Vulnerability
この脆弱性は CVE-2023-24955 (CVSS スコア: 7.2) として追跡されており、リモートでコードが実行される重大な欠陥であり、サイト所有者権限を持つ認証された攻撃者が任意のコードを実行できるようになります。
「ネットワークベースの攻撃では、サイト所有者として認証された攻撃者がSharePoint Server上でリモートからコードを実行する可能性がある」とMicrosoftは勧告の中で述べた。この欠陥は、Microsoft によって 2023 年 5 月のPatch Tuesday アップデートの一環として対処されました。
Malicious backdoor code embedded in popular Linux tool, CISA and Red Hat warn
この問題は、CVE-2024-3094 としてタグ付けされており、XZ Utils に影響します。XZ Utils は、ファイル転送を介して共有できるように、大きなファイル形式をより小さく管理しやすい形式に圧縮するのに役立つツールです。 Red Hatによると、このツールはほぼすべてのLinuxディストリビューションに存在するという.。
CISAは、「XZ Utilsバージョン5.6.0および5.6.1に悪意のあるコードが埋め込まれており、影響を受けるシステムへの不正アクセスを可能にする可能性がある」。
【当局関連の動き、法規則等】
米国 CISA 意見募集 2022年重要インフラ向けサイバーインシデント報告法(CIRCIA) の規則案を公表: まるちゃんの情報セキュリティ気まぐれ日記
サイバーインシデント発生時、および身代金支払い時に報告を行う模様。
【調査結果・ベンダーレポート】
サイバー攻撃の侵入成功から侵害開始までは平均62分--クラウドストライク報告書 - ZDNET Japan
攻撃者の初期侵入からラテラルムーブメント開始までの平均62分の間に、攻撃者の活動の検知と活動を封じ込める対応をできるだけ早く実施することが、被害を抑止する上で鍵になる。
攻撃者は、IDとパスワード以外にもAPIキーやAPIシークレット、セッションCookie、セッショントークン、ワンタイムパスワード、Kerberosチケットといった情報も標的にしている。脆弱なVPN装置などのネットワーク機器やメーカーサポートが終了した製品などを侵入口として狙う「Under the Radar攻撃」も横行した。
【コラム系】
サイバー攻撃の標的は、パスワードよりも「認証後の証明」へ移ろうとしている。アイデンティティ管理のOktaはなぜ狙われ、どう対策していくのかを聞いた[PR] - Publickey
パスワードレスや多要素認証が普及しつつあることでパスワードなどのログイン情報を攻撃者が盗むことが難しくなってきたため、攻撃の標的がログイン情報から、「認証の証明」(Proof of Authentication)に移りつつある。
『認証の証明』とは具体的にはセッショントークンのようなものです。認証済みのトークンを盗めれば、そのユーザーになりすまして自由にアクセス先を操作できるようになります。それが狙いです。盗む方法は主に2つ。1つはマルウェアを使ってログインやサインインの後にブラウザからトークンを盗み出します。もう1つは、中間者攻撃によるフィッシング攻撃で、アタッカーが盗難のための透過的なプロキシを使ってセッションに入り、ユーザーがログインやサインインの後にトークンを盗み出すというものです。
Oktaでは、管理者が重要なアクションを実行する際には、「ステップアップ認証」と呼ばれる再度の認証を求めることで追加的な保護を提供します。Admin Consoleにおける「ゼロスタンディング特権」の提供も開始しました。これは管理者であっても最初は非常に制限された権限しか持つことができず、より重要な操作をする場合には少なくとも他の2人以上の管理者による承認を得る必要がある、というものです。さらに「IPバインディング」という革新的な機能も提供します。これはセッション中に送信元IPが変更された場合にはそのセッションを無効化します。これによりセッションの乗っ取りを防止できるようになります。Universal Logoutとは、Oktaが「シングルサインオン」で複数のアプリケーションにログインさせることができるように、一度の操作でユーザーを全てのアプリケーションからログアウトさせる仕組みです。
API急増につれて、脆くなりつつあるセキュリティ──アカマイ本国リーダーに現状と対策を訊く (1/2)|EnterpriseZine(エンタープライズジン)
3つの大きな課題
1つめは「ディスカバリー」です。APIを特定し、どこにあり、何をしているのかを把握することです。
2つめは「組織内でよく確認すること」です。既存システム内から新しく開発中のAPIまで、設定に間違いがないか、セキュリティの懸念がないかを丹念に調べる必要があります。
3つめは「APIやアプリケーションの挙動をきちんと把握すること」です。振る舞いや挙動に基づいた攻撃もあるからです。
【その他】
観察して効率良く学ぶ「ネットワークセキュリティ」 #Security - Qiita
ネットワークセキュリティを効率良く学ぶために、実例や観察方法とともに概要を説明する記事
Microsoft Copilot for Securityでインシデント調査をしてみた | LAC WATCH
個別の「インシデント」に対する調査も、一つ一つプロンプトを入力して問い合わせる他に、「プロンプトブック」と呼ばれる既定のパターン集が使えます。プロンプトブックを使えば、例えば「インシデント」に対する複数の定番調査を一度の操作で行なえます。
さらに、検知した内容を要約して、インシデントの発生時刻や内容、影響するエンティティ(IPアドレスやユーザーなどの関連情報)などの情報を一覧できます。また、「インシデント」に含まれるアラートに具体的なマルウェア名や脆弱性名などが含まれていれば、Microsoftの脅威情報を使ってより詳細な内容を得られます。
複雑な情報を得ようとするとプロンプトの組み立て方が難しくなり、複合した内容は問い合わせ時間も長くなります。例えば、怪しいWebサイトへのリンクをクリックしてしまったユーザーがいたとします。そのユーザーが他にアクセスしたWebサイトや、同じリンクをクリックしてしまった他のユーザーが存在するか、存在するならば時刻やユーザー名の一覧を直接得るのは困難でした。
Sentinelのログを検索するクエリ言語(KQL)を生成させることで、一定の情報を得やすくなりました。この場合も、Copilot for Securityの画面だけを利用すると、複数回試行して検索条件を詰めると問い合わせの時間がかかるため、実行はSentinel側で行い、適時修正するほうが有効でした。
Copilot for Securityで調査した内容は、Copilot for Securityのレポーティング用の機能で要約できます。
APIゲートウェイが抱える潜在的リスク|トレンドマイクロ | トレンドマイクロ (JP)
APIゲートウェイの機能拡大に伴い、ヒューマンエラーや設定ミスの確率も高まります。また、主に認証とTLSターミネーションを発端とするセキュリティ上の懸念も存在します。
エンドポイントへのアクセスには、シークレット(APIキー等)が必要となります。しかし、認可を要しないリクエストがバックエンドサービスに送られた場合、対応するバックエンドはデフォルトでリクエストを認可してしまいます。
