こんにちわ、モグ（@moneymog）です。 先週に続き今週もコロナ関係の攻撃が継続しております。また、テレワーク増加により、 ユーザが急増しているZoom関連では脆弱性等のセキュリティ上の課題が複数報告されております。
また、IPAからのiPhoneの不審なカレンダー通知の注意喚起や標的型攻撃グループ「Gamaredon」の日本への攻撃等の報告がされております。

目次

1. 注目記事
2. Zoom
3. コロナ
4. 事案
5. 攻撃
6. 防御
7. 脆弱性
8. サービス・製品
9. その他

注目記事

• iPhoneに突然表示される不審なカレンダー通知に注意！
  iCloudカレンダーの共有機能等を悪用したと考えられる攻撃で、通知内容に不審サイトのURL記載され、タップしたら被害にあう可能性があるとのこと

• 標的型攻撃グループ「Gamaredon」による日本への攻撃を初観測
  テンプレートインジェクションという手法を用いてるとのこと

Zoom

Web会議サービス「Zoom」の脆弱性やセキュリティ上の課題が複数報告されており、CEOが謝罪し、対策を約束しました。 また、悪用のためと思われるZoom関係のドメイン取得の増加やアンドロイド版「Zoom」の偽Appが報告されております。

• Windows版Zoomにユーザー名やパスワード漏洩の脆弱性。メッセージに書かれた外部アドレスに注意
  Web会議サービス「Zoom」の脆弱性の報告

• ZoomのCEOが一連の問題について謝罪　修正と透明性を約束
  Zoomの一連の問題についての謝罪の報告

• Zoom爆撃と予防策についてまとめてみた
  Zoomを狙った荒らし攻撃についてのまとめ記事

• COVID-19: Hackers Begin Exploiting Zoom's Overnight Success to Spread Malware
  悪用のためと思われるzoom関連ドメイン取得の急増報告

• Crooks use tainted Zoom apps to target users at home due to CoronavirusSecurity Affairs
  アンドロイド版「Zoom」の偽Appの報告

コロナ

先週から実施されている、LINE調査を装う詐欺や在宅勤務者を標的とした詐欺の報告がされており、警視庁からもテレワーク向け注意喚起が出ております。 また、コロナテーマの攻撃が引き続き報告されています。

• LINE調査装う詐欺注意　新型コロナで厚労省呼び掛け
  新型コロナのLINE調査装って、クレジットカード番号を聞き出そうとする詐欺情報

• 在宅勤務で直面する消費者を標的とした詐欺
  在宅勤務者と標的とした詐欺等の報告

• 新型コロナウイルスに便乗するネット詐欺が続々登場！ その手口とは
  新型コロナウイルスに便乗した悪質商法の注意喚起

• Your colleague was infected with Coronavirus,this is the latest phishing lureSecurity Affairs
  コロナに感染した同僚や家族等との濃厚接触を通知するフィッシングメールの報告

• Zeus Sphinx spam campaign attempt to exploit Coronavirus outbreakSecurity Affairs
  コロナテーマに乗っかり、Zeus Sphinxマルウェア亜種を用いたキャンペーンが行われているという報告

• New COVID19 wiper overwrites MBR making computers unusableSecurity Affairs
  PCを使用不能にするコロナテーマのマルウェアの報告

• テレワーク勤務のサイバーセキュリティ対策！
  警視庁のテレワーク勤務者向けのセキュリティ注意喚起

• Important tips for safe online shopping post COVID-19 - Malwarebytes Labs
  コロナ関係でオンラインショッピングをするときの注意点のまとめ記事

• AppTrana Offers Protection to Online Businesses During Coronavirus Outbreak
  Indusface社のWeb脆弱性スキャナやWAF等のSaaSサービスを30日間無料で提供するという報告

事案

先週騒ぎになっていた、「Qiita」のユーザ情報取り扱いの不備について、説明とお詫びが出ていました。 また、ホテルマリオネットからまた個人情報の漏洩が報告されています(前回は2018年11月)。 加えて、海外で大規模な情報漏洩が報告されており、GCP上にアメリカ人2億人以上の機微な個人情報が公開されていたそうです。

• ご報告とお詫び「Qiita」「Qiita Jobs」におけるユーザー情報の取り扱い不備について
  「Qiita」の「読んだ記事」機能関連の報告とお詫び

• Marriott discloses data breach impacting up to 5.2 Million guestsSecurity Affairs
  ホテルマリオネットで、約520万件の主億泊客の個人情報が漏洩したという報告

• Open Cloud Database Exposes 200 Million Americans
  GCP上にアメリカ人2億人以上の個人情報の漏洩報告
  (一次)Report: unidentified database exposes 200 million Americans

• Voter information for 4,934,863 Georgians leaked onlineSecurity Affairs
  ハッカーフォーラムで、約500万人分の有権者グルジア人の個人情報が公開されてしまったという報告

• 42 million records of Iranian users of unofficial Telegram fork leaked onlineSecurity Affairs
  イランで、チャットツール「テレグラム」の非公式フォークのユーザーID等4,200万件の個人情報が公開されていたという報告

攻撃

IIJ社からTrojan.MSOffice.Sagentで検出していた、Emotet関係の検出が2/8以降に大幅減少したと報告がありました。 また、JPCERT/CCからIE (CVE-2020-0674) とFirefox (CVE-2019-17026) の脆弱性を悪用する攻撃の分析報告がありました。

• wizSafe Security Signal 2020年2月 観測レポート
  IIJ社のマンスリー観測レポートで、Trojan.MSOffice.Sagentで検出していた、Emotet関係の検出が2/8以降に大幅減少したと報告

• IEの脆弱性 (CVE-2020-0674) とFirefoxの脆弱性 (CVE-2019-17026) を悪用する攻撃
  JPCERT/CCからIEとFirefoxの脆弱性を悪用する攻撃の解説

• Dharma ransomware source code now surfacing on public hacking forumsSecurity Affairs
  Dharmaランサムのソースコードが、ロシア語のハッキングフォーラムで販売されているという報告

• FBI warns of nation-state actors using the Kwampirs malwareSecurity Affairs
  国営ハッカーによるマルウェア「Kwampirs」を使った攻撃のFBIの注意喚起

• WARNING: Hackers Install Secret Backdoor on Thousands of Microsoft SQL Servers
  MS-SQLサーバを狙った「Vollgar」キャンペーンの報告

• 100K+ WordPress sites using the Contact Form 7 Datepicker plugin are exposed to hackSecurity Affairs
  WordPressのプラグインの脆弱性をついた攻撃被害の報告

• 差し込むとマルウェア感染するUSBデバイスが届いた事例についてまとめてみた
  BadUSB送付攻撃の事案まとめ

• New Raccoon Stealer uses Google Cloud Services to evade detectionSecurity Affairs
  Racoonマルウェア（別名：Legion、Mohazo、Racealer）の分析報告

• LimeRAT malware delivered using 8-year-old VelvetSweatshop trickSecurity Affairs
  Excelのパスワード仕様を悪用して、LimeRATを広げようとするキャンペーンの報告

• 犯罪者たちに最も狙われた脆弱性トップ10発表、「速やかなパッチ適用の重要性」改めて示す結果に
  2019年の攻撃対象脆弱性ランキングTOP10

防御

ノートンライフロック社から個人情報漏えいの意識と行動調査の報告されており、被害者数が去年の約2倍で、75%の人が心配しているが、81％の人が対処方法がわからないとのことでした。

• 危機感はあるが行動に移せていない――情報漏えいが不安でも対策できていない日本の消費者
  ノートンライフロック社による個人情報漏えいの意識と行動調査の報告

脆弱性

iPhoneやMacBook等のカメラにアクセスされるSafariの脆弱性の報告があり、悪意のあるサイトへのアクセスで攻撃が成功するとのことでした。 また、Windows Defenderのアップデートのバグ、Microsoft SMBv3 の脆弱性 (CVE-2020-0796) のPoC公開等も報告されていました。

• How Just Visiting A Site Could Have Hacked Your iPhone or MacBook Camera
  iPhoneやMacBook等のカメラにアクセスされるSafariの脆弱性の報告
  (パッチ情報)Safari 13.0.5 のセキュリティコンテンツについて

• Windows Defenderバグ修正するアップデート「KB4052623」公開、適用には注意
  Windows Defenderのアップデートにセキュアブートが有効化されているとシステムが起動しなくなる不具合の報告

• Experts published PoC exploits for CVE-2020-0796 privilege escalation flaw on WindowsSecurity Affairs
  Microsoft SMBv3 の脆弱性 (CVE-2020-0796) のPoCが公開

• JVNVU#99396686: トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性
  トヨタ⾃動⾞製 DCU (ディスプレイコントロールユニット) の脆弱性報告

• A critical flaw in Rank Math WordPress plugin allows hackers to give users Admins privilegesSecurity Affairs
  WordPress SEOプラグイン「Rank Math」の特権昇格の脆弱性の報告

サービス・製品

CASBのマネージドサービス、EDR運用代行サービス、IT/OTの脆弱性管理サポートサービスなどが提供予定とのことでした。

• TED、「Netskope for IaaS」向けセキュリティ運用・監視サービス
  東京エレクトロン デバイス社がNetskope(CASB)のマネージドサービスを提供

• 大塚商会、「らくらくEDR」を1クライアント月額250円で提供
  大塚商会のSOCが運用代行するEDRサービスの提供

• NECネッツエスアイ、SOCと脆弱性管理製品を組み合わせた運用サービス
  NESICのIT/OTの脆弱性管理サポートサービスの提供

• セキュリティサービスを「さくらのクラウド」で提供
  さくらインターネットがクラウド型WAFサービス(β版)を提供

その他

Cloudflare運営している無料のDNSリゾルバ「1.1.1.1」以外に、マルウェアをブロックしてくれる「1.1.1.2」、マルウェアとアダルトをブロックしてくれる「1.1.1.3」が紹介されていました。

• Introducing 1.1.1.1 for Families
  DNS「1.1.1.1」以外の2つのIPアドレスの紹介

• なぜエンジニアは勝手に育つ環境でなければ成長しないか
  エンジニア育成の考え方の解説

• IPAのインターネット安全教室教材
  IPAがインターネット安全教室での指導用教材を公開

お知らせ

各ブログ（はてブ、Qiita、Note）の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter（@moneymog）をフォローください。