SecNews Weekly Report 2020/3/4th
こんにちわ、モグ(@moneymog)です。
先週に続き今週もコロナ関係の記事が多く、悪意のあるスマフォアプリやWordPressプラグイン、エクスプロイトキットの販売などが報告されています。
また、パッチ未提供かつ、影響範囲および影響度が大きいWindowsのAdobe Type Manager ライブラリの脆弱性が報告がされています。
その他、4月施行の改正民法について、あまり対応が進んでいないことが読み取れる実態調査が報告されています。
目次
- 注目記事 : 2件
- コロナ : 8件
- 事案 : 3件
- 攻撃 : 6件
- 防御 : 3件
- 脆弱性 : 4件
- サービス・製品 : 5件
- 学習 : 2件
- キャリア : 1件
- 経営 : 4件
注目記事
【脆弱性】Adobe Type Manager ライブラリ の未修正の脆弱性に関する注意喚起
遠隔から任意コードを実行が可能であり、既に攻撃に悪用されているとのこと。回避策にWindows エクスプローラーのプレビューと詳細ウィンドウの無効と記載ありなので、OSの基礎的な部分で使われているもののようですね。影響が大きそうなので、注視する必要がありそうです。【法律】「ITシステム・サービスの業務委託契約書見直しに関する実態調査報告」について ~民法改正とセキュリティ事故への対応状況~:IPA 独立行政法人 情報処理推進機構
4月施行の改正民法で業務委託請負者の責任が大きく変わる件への対応状況の報告。大企業でも1/3しかしらず、契約書の見直し実施はそのうち半分程度の模様。訴訟事案が大きく知られてから皆さん動くパターンですかね。
コロナ
【攻撃動向】「新型コロナウイルスから守る」と謳う偽のアプリに注意 | マイナビニュース
コロナウイルスから守るために、インストールしたらウイルスにかかりました記事。ウイルスというキーワードで混同する人っているんですかね。
(一次)Fake ""Corona Antivirus"" distributes BlackNET remote administration tool - Malwarebytes Labs | Malwarebytes Labs【攻撃動向】Fake Coronavirus Finder spread Ginp Mobile BankerSecurity Affairs
近くのコロナ感染者を探すアプリを装ったAndroidトロイの木馬Ginpの記事。クレジットカード情報だけ抜かれて、何も教えてくれないらしい。世界的な影響だけあり、次々新たな手法が出てきますね。【攻撃動向】Watch Out: Android Apps in Google Play Store Capitalizing on Coronavirus Outbreak
Google Play Store上のコロナテーマ関連の悪意のあるアプリの分析報告。コロナと全然関係なさそうなゲームなのに、サブタイトルに「コロナのための手洗い」みたいな内容を追加している模様。小手先ウェブマーケティングですね。【攻撃動向】ダークWeb、エクスプロイトキットを割引コード「COVID19」で値引き販売 | マイナビニュース
「コロナ蔓延がサイバー攻撃のチャンス!」とうたって、若手攻撃者に攻撃ツールの購入を促すキャンペーン。ブラックなマーケティングですね。
(一次)COVID-19 Impact: As Retailers Close their Doors, Hackers Open for Business - Check Point Software【攻撃動向】WordPress WP-VCD malware delivered via pirated Coronavirus pluginsSecurity Affairs
コロナ関係のWordPressプラグイン経由でバックドアが仕込まれるという報告。コロナ関係のサービスを作ろうとした場合、プラグインや情報には注意が必要ですね。【攻撃動向】Ryuk Ransomware continue to target hospitals during COVID19 outbreakSecurity Affairs
コロナパンテミックの最中も、Ryukランサムが医療機関を狙い続けているという報告。DoppelPaymerやMazeは医療機関を標的にしないと発表していたとも記載。攻撃者によっても考え方が異なるんですね。また、攻撃はある程度自動化してそうですが、どこまで制御できるんですかね。【攻撃動向】いまや違法薬物に近い扱い? 転売禁止のマスク、取引の舞台はダークウェブへ - ITmedia NEWS
マスクの転売は、フリマサイトからダークウェブへ移ったとのこと。脱法という意味で、属性は同じなんですかね。【防御考察】“フェイクニュース” 若い世代より中高年が「信じやすい」 | NHKニュース
60代が最も多く84.4%、最も低いのは40代で74%とのこと。そこまで年代で差はなさそうですね。また、実際に拡散したもので、騙されない人は4人に1人程度とのこと。情報の確度気にしてる人は10人に1人以下のイメージですね。
事案
【事案】UK security firm accidentally exposed an unprotected database with 5 Billion previously leaked recordsSecurity Affairs
英国のセキュリティ会社がSIEMとして使ってたElasticsearchを外部に公開してしまい、過去のインシデント関係の50億レコードが流出した事案。まずは、自社のセキュリティを厳格にしなければなりませんよね。明日は我が身なので、自分への戒め。【事案】FBI shuts down the Russian-based hacker platform DEER.IOSecurity Affairs
ロシアのハッキング情報売買のプラットフォーム「DEER.IO」が、FBIにより停止させられたという報告。ダークウェブではないので、足がつくのは自明ですが売れやすいとかのメリットがあったのでしょうか。【事案】2020/03/25にリリースしたユーザーページについて - Qiita Blog
ユーザーページの「読んだ記事」機能のリリースについてのお詫びと非公開にする報告。個人の行動履歴に係る部分は、個人の特定や趣味趣向の暴露等にもつながるため、注意が必要ですよね。
攻撃
【攻撃動向】China-linked APT41 group exploits Citrix, Cisco, Zoho flawsSecurity Affairs
中国の脅威アクターが、APT41がCitrixやCiscoの脆弱性を悪用したキャンペーンの分析。攻撃が中国の旧正月に一時停止したとのことで、正月は皆さんお休みしたいんですね。【攻撃動向】TrickBot Mobile App Bypasses 2‐Factor Authentication for Net Banking Services
TrickBOTの作者が、SMSのワンタイム認証コードを傍受するAndroidアプリを開発したらしい。スマホ側でも二要素認証の回避がされる時代になったんですね。また、ワンタイム認証コートを盗むときに、ばれないようにアップデート画面を偽装するなど、巧妙ですね。【攻撃動向】Pulse Connect Secure の脆弱性を狙った攻撃事案 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ
Pulse Connect Secure の任意ファイルの読み取りと任意コマンド実行の脆弱性を悪用された被害が継続しているとのことで、注意喚起目的の報告。ログの調査方法も記載してあるので、該当組織は調査してみるのが良いですね。【攻撃動向】ビジネスメール詐欺の実態調査報告書
分類、手法、対策や教訓等を記載。として、対策としては、研修やプロセスの見直し、検知機能や類似ドメインモニタリング等を記載。ターゲットが人だから対策が難しいところですね。例えば、リスクベース認証のような仕組みは適用できないんですかね。【攻撃手法】Criminals hack Tupperware website with credit card skimmer - Malwarebytes Labs | Malwarebytes Labs
タッパー販売サイトが改ざんされ、クレカ情報が盗まれてしまった事案。iframeで偽のクレカ入力ページを表示し、入力後セッションタイムアウトのエラーを表示し、正規なクレカ入力ページを示す。最終的に完了するので、これは被害に気づきにくいですね。【攻撃手法】Amazon.co.jpをかたるフィッシングメールが拡散、「パスワードの入力を数回間違えた」として偽サイトに誘導 - INTERNET Watch
CAPTCHA認証から始まり、ログイン、個人情報入力、クレカ情報入力と流れるとのこと。ログインまではわかりますが、その先の個人情報の入力画面でおやっっと気づきそうですが、CAPTCHA認証に気を取られて、入れてしまうんですかね。騙し方も日々巧妙になってきていますね。
防御
【防御考察】クラウドネイティブ化に伴うセキュリティ課題とその解決策
クラウドネイティブシステムに関する、体系やフレームワークを紹介した記事。クラウドのセキュリティ考察するうえで、いろいろヒントを拾えそうな記事ですね。【防御考察】Vol.46 | Internet Infrastructure Review(IIR) | IIJの技術 | インターネットイニシアティブ(IIJ)
IIJの定期分析レポート。メモリイメージ取得とバイナリプログラム解析について、かなり深いトピックが記載されています。メモリイメージは、ダンプツールを動かしてみたら、動かなかったとかよくあるので、細かいとこまで調べられてて素晴らしいです。【防御技術】脆弱性対策:ファジング:IPA 独立行政法人 情報処理推進機構
AFLの使い方をファジング実践資料として公開。元Googleのエンジニアが作った、テスト対象のプログラムに合わせたファジングをできるツールの模様。一般的なツールは典型的なファジングパターンを試しますが、これは画期的ですね。
脆弱性
【脆弱性】Google Chromeに重大な脆弱性、すぐにアップデートを | マイナビニュース
Google Chromeの脆弱性の報告。深刻度が重大(High)が複数報告されているので、早めのアップデートが良いですね。【脆弱性】JVNVU#96545608: 複数の Apple 製品における脆弱性に対するアップデート
macOS、iOS等幅広い製品に対して、任意コード実行、権限昇格、認証回避等多数の想定影響を報告。早めにアップデートしたほうがよさそうですね。【脆弱性】JVNVU#99619336: 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題
機械学習アルゴリズムに関する脆弱性の報告。影響は実装によって異なるが、事例を3つ挙げている。アルゴリズムの脆弱性の報告はこんな感じなんですね。今後この手の報告が増えるかもしれませんね。
サービス・製品
【サービス】NECソリューションイノベータ、IoTセキュリティ診断サービス
Standardは、2020年4月施行の法令一部改正で対象となるIoT機器に対して定められた、新セキュリティ基準を検査。Advancedは、Standardに加え、脆弱性診断やペネトレーションテスト等技術的な検査の模様。
(参考)端末設備等規則等の一部改正について【サービス】キヤノンMJ、クラウド型メール情報漏えい対策サービス | マイナビニュース
o365やgmail等のクラウドメールからの漏洩対策サービス。国産開発体制で、高度な日本語フィルタリング機能があるとのこと。類似製品が結構あると思いますが、どんな差別化をしているのかが気になりますね。【サービス】トレンドマイクロ、法人向け総合エンドポイントセキュリティサービスを提供 | マイナビニュース
管理機能はSaaSで提供する総合エンドポイントサービス。リモートワーク等を想定したサービスに感じますが、タイミングが良いですね。【サービス】KDDIがシスコのセキュリティサービス「Cisco Umbrella」を提供 | マイナビニュース
DNSベースの脅威フィルタリングサービス。セキュアウェブゲートウェイとどう差別化するのかが気になります。また、CiscoなのでTalosナレッジが強みですね。【サービス】0patch releases unofficial patches for Windows 0days exploited in the wildSecurity Affairs
ACROS Securityが先日報告されたWindowsのAdobe Type Manager ライブラリの脆弱性の非公式パッチをリリースするとの報告。同社はWindows7のサポート終了後のパッチ適用等も実施していますね。応急的には欲しい機能ですが、国内だとどのくらいこのサービス売れるんですかね。
学習
【資格】IPA 独立行政法人 情報処理推進機構:情報処理技術者試験:令和2年度春期情報処理技術者試験・情報処理安全確保支援士試験の取りやめ(中止)について
2020年春の情報処理試験が中止とのこと。代替試験の実施や返金方法は検討中の模様。【資格】第249回TOEIC® Listening & Reading公開テスト 【2020年4月12日(日)】中止のお知らせ
次回のTOEICも引き続き、中止のようです。集合型の資格試験は当分の間、実施は難しそうですね。
キャリア
- 【転職経緯】仮想通貨取引所Cを退職したので辞めた理由を書く - #転職しました
上層部が保身に走り、何もせず、責任も取らずだと、やる気のある人からやめていきますよね。いろいろあった後なら、なおさらです。bigインシデント発生時は組織崩壊や離職もリスクの一つとして考えなければならないかもしれませんね。
経営
【Q&A】取締役会で必ず出るセキュリティや技術リスクの質問に、どう答えるか:Gartner Insights Pickup(151) - @IT
取締役会でのCISO向けQ&A集。注意観点は、売上高/ミッション、コスト、リスクの3点で、リスクやインシデント等5つのタイプの質問に大別できるとのこと。体系的にまとめっていて良いですね。また、これらの意思疎通取られていると、現場も仕事をし易いですね。
(一次)5 Security Questions Your Board Will Inevitably Ask - Smarter With Gartner【防御動向】企業のCISO等やセキュリティ対策推進に関する実態調査:IPA 独立行政法人 情報処理推進機構
CISO等に求められる役割は、経営層への橋渡しと対策の推進が45%越え、課題はリスクの見えるかができていないが45%越えとのこと。CISOが経営層の場合があるのは置いておいて、依然として橋渡し人材とアーキテクトのニーズが多そうですね。【他社実態】「企業におけるデータ利活用・保護の戦略立案のための手引書(案)の作成」調査報告書:IPA 独立行政法人 情報処理推進機構
データ利活用・保護の実態を調査したレポート。DXが最近バズっているけれども、炎上しやすいテーマなので、他社事例の調査は非常にありがたいですね。【ツール】サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版:IPA 独立行政法人 情報処理推進機構
各チェック項目の備考に、対策の具体例や用語の定義等も記載されているので、深い知識がなくてもある程度人によるブレを抑え込めそうな作りになっていますね。
お知らせ
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。