ぼくの備忘録

セキュリティに関するニュースで気になったものを、個人的なメモと共に残していきます。

2024/9/28

【インシデントに関する情報】

「doda」のパーソルキャリア、採用担当者約55万人の個人情報が代理店から閲覧な状態に - CNET Japan

 パーソルキャリアは9月17日、同社が運営している転職サービス「doda」における求人広告の販売代理店向けに提供しているシステムの不備があり、同社が保有している法人顧客情報のうち、一部の採用担当者の名刺情報に準ずる個人情報が、代理店から閲覧できる状態になっていた。

 

【攻撃の傾向・手法】

「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介:[Ctrl]+[Alt]+[Delete]キーで解除できないケースも - @IT

RansomHub Ransomware Using Multiple Techniques To Disable EDR And Antivirus

ransomhubは最近、検出を回避し、セキュリティ プロセスを妨害するように設計されたツールである EDRKillShifter を統合しましたが、これはエンドポイント セキュリティにとって重大な脅威となります。EDR ソリューションを動的に無効にして永続性を確保する機能は、従来のセキュリティ対策にとって手強い敵となりますRansomHub の回避戦術では、セキュリティ対策を無効にして不正アクセスを容易にする 4 つのバッチ スクリプトが採用されており、232.bat はパスワード スプレーを使用して Windows Defender を無効にしていました。 

Hackers Weaponizing PDF files To Deliver New SnipBot Malware

多段階の電子メール フィッシング キャンペーンを使用して、fastshare[.]click や docstorage[.]link などの攻撃者が管理するドメインにリダイレクトするリンクを含む悪意のある電子メールで被害者を誘い込み、その後、SnipBot ダウンローダーがホストされている temp[.]sh などの正当なファイル共有サービスにリダイレクトすることで、SnipBot マルウェアを配信しました。 SnipBot は、RomCom マルウェア ファミリーの新しい亜種であり、偽装された実行ファイルを通じてシステムに感染し、サンドボックス対策のトリックを使用して検出を回避します。正当なプロセスに悪意のあるコードを挿入します。 

Five Eyes Agencies Release Guidance on Detecting Active Directory Intrusions - SecurityWeek

侵害を検出する効果的な方法の 1 つは、AD でカナリア オブジェクトを使用することです。カナリア オブジェクトは、相関イベント ログや侵入時に使用されたツールの検出に依存せず、侵害自体を特定します。

New Mallox ransomware Linux variant based on leaked Kryptina code

以前は Windows のみを狙っていたマルウェア Mallox が Linux および VMWare ESXi システムを標的にしている。

Hackers Mimic as Company's HR to Trick Employees

ハッカーは現在、企業の人事部(HR)になりすまして従業員を騙し、機密情報を漏らさせています。これは、企業の人事部門からの公式な連絡に似せて作成されており、件名は「重要: 従業員ハンドブックの改訂」と、注意を喚起する内容になっています。

この電子メールでは、メッセージの緊急性と重要性を高めるために、特定の期限(通常は当日の終わりまで)までの遵守を強調しています。 このフィッシング メールの主な目的は 2 つあります。受信者に埋め込まれたハイパーリンクをクリックするように誘導し、偽のログイン ページで認証情報を入力させることです。

 

【攻撃組織の動向】

Cloud-busting ransomware gang likened to Scattered Spider • The Register

Storm-0501 は、さまざまな戦術を駆使して目標を達成し、クラウドの侵害を通じてネットワーク全体を掌握する傾向があります。メンバーはまずオンプレミス環境にアクセスしてからクラウドに移行し、永続的なアクセスのためにバックドアを埋め込み、ランサムウェアを展開します。このグループは、まだ設立されて間もないにもかかわらず、 LockBitALPHVHiveHunters Internationalランサムウェアアフィリエイトプログラムのメンバーとして、ランサムウェア攻撃を頻繁に実行してきました。 

 

脆弱性情報】

Exploit code released for critical Ivanti RCE flaw, patch now

Ivanti Endpoint Manager の重大なリモート コード実行 (RCE) の脆弱性である CVE-2024-29847 の概念実証 (PoC) エクスプロイトが公開されたため、デバイスの更新が重要になっています。

 

【当局関連の動き、法規則等】

How Should CISOs Navigate the SEC Cybersecurity Rules?

8-Kはインシデント発生時の報告資料、10-Kは年次報告資料。

NIST Drops Password Complexity, Mandatory Reset Rules

「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識 - GIGAZINE

アメリカ国立標準技術研究所 (NIST) は、パスワードに複数の文字タイプを混在させたり、パスワードを定期的に変更したりすることを推奨しなくなりました。近年、NIST はパスワードの長さに重点を移しています。長いパスワードはブルートフォース攻撃で解読されにくく、予測可能でなくてもユーザーが覚えやすいためです。NIST はまた、現在、認証情報の漏洩の場合のみパスワードのリセットを推奨しています。ユーザーに頻繁にパスワードを変更させることで、ユーザーはより弱いパスワードを選択するようになります。

 

【調査結果・ベンダーレポート】

令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について

令和6年上半期においては、サイバー攻撃の前兆ともなるぜい弱性探索行為等の
不審なアクセス件数及びランサムウェアの被害報告件数が前年同期から増加した。フィッシングの被害報告件数も前年同期比で約 10 万件増加した。

 

【セキュリティ対策機器、ツールの紹介記事】

MastercardがRecorded Futureを買収 詐欺防止に向けてセキュリティを強化:セキュリティニュースアラート - ITmedia エンタープライズ

 

【その他】

Over 1,000 ServiceNow instances found leaking corporate KB data

1,000 を超える ServiceNow エンタープライズ インスタンスが誤って構成され、機密性の高い企業情報を含むナレッジ ベース (KB) の記事が外部ユーザーや潜在的な脅威アクターに公開されていることが判明しました。

SecureNow 管理者が適切な「ユーザー基準」(読み取り可能/読み取り不可) を設定し、すべての権限のないユーザーをブロックすることで KB 記事を保護することを推奨

迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏:ITmedia エグゼクティブセミナーリポート(1/2 ページ) - ITmedia エグゼクティブ

なぜその対策が必要なのか、何が目的なのか、自分の頭でしっかり考える。

複数の案を立て、メリデメを比較しながら検討を進める。

デジタルフォレンジック研究会 訴訟データの証拠開示プロセスにおいて機微情報の国外流出(懸念国等)を防ぐための提言 (2024.09.11): まるちゃんの情報セキュリティ気まぐれ日記

我が国では、国益に関わるような機微データを、民間企業が国外に送ることを制限する規則がなく、日本企業の機密情報が訴訟を通じて他国に流出することを防げない状況にある。

How Cyber-Risk & Business Risk Are the Same

高度なサイバーセキュリティ実績を持つ企業は、基本的なサイバーセキュリティ実績を持つ同業他社と比較して、株主利益が 372% 高くなります。

企業は、サイバーリスク管理を、全体的なリスク管理フレームワークの一部として管理される重要なプロトコルにまで高める時が来ています。そのためには、複雑な技術的脅威を、経営幹部や取締役にセキュリティへの投資を促す明確な財務緊急時対応計画に翻訳する必要があります。

サイバー インシデントは、ビジネス運営、従業員の生産性、顧客満足度、ブランドの評判に永続的な影響を及ぼす可能性があります。これらの理由から、セキュリティは CISO やセキュリティ オペレーション センター (SOC) チームだけでなく、組織全体の責任であるべきです。そのためには、ビジネス リーダーは、他のビジネス リスクを管理するのと同じように、これらのサイバー リスクを認識して管理する必要があります。

 

来たるべき量子コンピューターの時代に向けて一般人が知っておくべき「ポスト量子暗号」の基礎知識まとめ - GIGAZINE