ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

2024/4/6

【インシデントに関する情報】

HOYAのシステム障害についてまとめてみた - piyolog

2024年4月4日、HOYAは同社グループにおいて3月30日にシステム障害が発生しており、その原因について不正アクセスに起因する可能性が高いと公表しました。

海外の事業所で不審な挙動がシステムで確認され調査した結果、HOYAグループ国内外の事業所においてシステム障害が発生していることが判明。直ちに障害発生が確認されたサーバーの隔離などの対応を実施。何者かによる同社サーバーに対する不正アクセスに起因し生じた可能性が高いと同社は判断。

 

【攻撃の傾向・手法】

Microsoft OneNote Files to Orchestrate Cyber Attacks

Onenoteファイルをきっかけにした不正アクセス

Onenote上に貼られたリンク先から、マルウェアをダウンロードし、不正アクセス開始。最終的には情報漏洩&ランサムウェア感染

Onenoteファイルの検疫は現状どこまでできるのだろうか。。

 

脆弱性情報】

XZ Utilsに悪意のあるコードが挿入された問題(CVE-2024-3094)について

Red Hatが緊急警告、XZ UtilsにCVSS 10.0の脆弱性 悪意あるコードが挿入か:セキュリティニュースアラート - ITmedia エンタープライズ

xzにバックドアが混入した件のまとめ #Security - Qiita

XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

このバックドアにより、リモートからroot権限で任意のコマンドが実行される可能性があります。ただし実行には攻撃者が持つ秘密鍵が必要となり、攻撃できる人物は非常に限られます。

なお、影響があるディストリビューションおよびバージョンはかなり限定的であり、ごく最近にOSを新規にインストールしているか、xzまたは関連するパッケージのアップデートを特定のディストリビューションで行っていない限りは影響はないと考えられる。

同問題は同ツールの共同開発者により2024年2月24日頃に挿入され、悪意のあるコードが挿入されたバージョンのツールがインストールされたシステムでは、特定条件下でSSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性があるとのこと

 

【調査結果・ベンダーレポート】

【セキュリティ ニュース】初期侵入から平均62分で横展開を開始 - わずか2分のケースも(1ページ目 / 全2ページ):Security NEXT

サイバー攻撃において初期侵入から横展開までの時間が短縮されており、平均で1時間ほどとする調査結果をCrowdStrikeが取りまとめた。2分ほどで横展開を開始するケースや、3分後にはランサムウェアを用意していたケースもあったという。

2023年は初期侵入においてマルウェアを用いない攻撃が前年より4ポイント上昇し、75%と全体の4分の3を占めた。窃取した認証情報を不正利用するケースが増えたことなども影響したと分析している。なかでも攻撃者が人の手を介して相手の反応を見ながらインタラクティブに攻撃する「対話型攻撃」が前年比60%増となった。初期侵入に悪用される「アクセス情報」がダークウェブ上で売買されるケースも増加しており、売買を持ちかける広告2992件を確認した。前年から約2割増となっている。「

【セキュリティ ニュース】2月のDDoS攻撃件数、前月の約1.2倍に - 71Gbps超の攻撃も(1ページ目 / 全1ページ):Security NEXT

インターネットイニシアティブIIJ)は、同社のサービスやバックボーンで2月に観測したDDoS攻撃の状況を取りまとめた。攻撃件数が前月の1.2倍に増加している。

2月に観測したDDoS攻撃は284件。前月の235件から21%増となった。2023年10月以降、300件を下回る状況だが、2カ月連続で増加している。

もっとも規模が大きかった攻撃はDNSプロトコルを用いたリフレクション攻撃で、約690万ppsのパケットにより71.1Gbpsのトラフィックが発生。最大規模の攻撃が2.47Gbpsだった前月を大きく上回った。

 

【その他】

ブラウザからDBに行き着くまでただまとめる

インターネットアクセスの際に利用されいている様々な技術について、それぞれがどのように機能しているかを順を追って丁寧に説明してされている。わかりやすいし、頭の整理に良い。

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 | ScanNetSecurity

ランサムウェアの感染被害の経験について尋ねたところ、ランサムウェアの感染経験があったのは47.1%であることが判明した。このうち「感染被害に遭い、身代金を支払ってシステムやデータを復旧させた」が9.0%、「感染被害に遭い、身代金を支払ったがシステムやデータは復旧できなかった」が17.9%となり、合計26.9%が身代金を支払ったが、3分の1は復旧できた一方、3分の2にあたる66%(=17.9% ÷ 26.9%)は復旧できなかった。