こんにちわ、モグ（@moneymog）です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。

今週はコロナ関連で、コロナテーマのメール大規模キャンペーンの報告やコロナに伴う国内求人減少などが報告されました。 その他、TomcatのデシリアライゼーションやSIMスワッピングの投稿が気になりました。

目次

1. 注目キーワード
2. コロナ、テレワーク
3. 事案
4. 攻撃
5. 脆弱性
6. サービス・製品
7. 防御・ツール
8. キャリア・学習
9. 経営・マネジメント

注目キーワード

• デシリアライゼーション
  Apache Tomcatに安全でないデシリアライゼーションの問題が報告されました。
  シリアライゼーションは構造データをバイト列形式に変換することで、デシリアライゼーションはシリアライゼーションの逆変換です。
  JVNVU#98086086: Apache Tomcat に安全でないデシリアライゼーションの問題
  Tomcatの脆弱性、CVE-2020-9484の解説
  (参考)安全でないデシリアライゼーション(Insecure Deserialization)入門 | 徳丸浩の日記

• SIMスワッピング 暗号資産レンディングサービスの米企業 BlockFi社の事例。SIMスワッピングで従業員アカウントを侵害し、社内システムに侵入したとのこと。
  日本で報告がないのは、本人認証がしっかりしてるや日本語を話せる攻撃者が少ない等があったりするんですかね。
  SIMスワッピングによるアカウント侵害で情報流出した事案についてまとめてみた - piyolog

コロナ、テレワーク

コロナテーマのメール大規模キャンペーンの報告やコロナに伴う国内求人減少などが報告されました。新しい攻撃手法は見かけなかったので、そろそろ攻撃の活発化が落ち着いてきたんですかね。

• Microsoft warns of “massive campaign” using COVID-19 themed emails
  COVID-19のテーマメールを使った「大規模キャンペーン」をマイクロソフトが警告

• 2020年4月の「doda 転職求人倍率レポート」発表、コロナにより求人数・求職者数とも大幅減少

• 新型コロナやDXでDevOps需要増を予想--IDC

• Zoom、ピッツバーグとフェニックスに研究開発センターを開設へ

• 新型コロナ禍でブロックチェーンの重要性を説くIBM

• コロナ禍でモバイルセキュリティへの取り組みが後回しに--ベライゾン調査

• 温かく明快なコミュニケーションで、誰も孤立させないテレワークを

• 特別定額給付金のオンライン申請で起きた問題についてまとめてみた

• アップルとグーグル、新型コロナ「濃厚接触通知アプリ」APIを正式提供

• 日本ユニシス、ブロックチェーンによる電子チケット流通サービスを無償提供

事案

三菱電機から最新鋭ミサイル情報流出という報告がありました。"防衛省が2018年10月に試作品発注のために評価基準や性能などの要求事項を示す紙の資料を三菱電機に貸し出し、同社がデータ化した情報が今回、流出したとみられる"とのことなので、情報管理体制が疑われる事案ですね。

• 三菱電機から防衛省の最新鋭ミサイル情報流出か　相次ぐサイバー攻撃で

• XboxやWindows NT 3.5のソースコードがオンラインに流出

• メルセデス・ベンツの車載システム用ソースコードが流出

攻撃

スパコンのコインマイナー感染やLinuxの構成管理ツールを用いて感染拡大するコインマイナーなどが報告されています。

• Experts reported the hack of several supercomputers across Europe
  ヨーロッパ各地の複数のスーパーコンピュータがハッキングされ、コインマイナーに感染

• Linuxの構成管理ツールを用いて感染拡大するコインマイナーを確認

• FBI warns US organizations of ProLock ransomware decryptor not working
  FBI、米組織にProLockランサムウェアの解読ツールが機能していないと警告

• Tens of thousands Israeli websites defaced
  イスラエルの何万ものウェブサイトが改ざん

脆弱性

レクサス、BluetoothやBINDの脆弱性が報告されています。

• レクサスNXをハッキング　管理者権限を奪い遠隔操作

• Bluetooth BR/EDRに対応する機器に脆弱性、確認を

• DNS サーバ BIND の脆弱性対策について(CVE-2020-8616)(CVE-2020-8617)

• Apple Xcodeに乗っ取りの脆弱性、アップデートを

• VMware Cloud Directorに重大な脆弱性、アップデートを

• Windows ServerのDNSサーバにDoSの脆弱性、回避策や緩和策を

• Google Chromeに重大な脆弱性、アップデートを

• 複数のAdobe製品に重大な脆弱性、アップデートを

• Zerodium、iOSのエクスプロイトが多すぎて買取を一時停止

サービス・製品

NRIセキュアから「NIST SP800-171」準拠支援サービスの強化、マクニカからテレワーク環境セキュリティ評価サービスの提供が報告されています。

• NRIセキュア、防衛産業サプライチェーン向けガイドライン「NIST SP800-171」に準拠するための支援サービスを強化

• マクニカ、「テレワーク環境セキュリティ評価サービス」提供

• 増加するフィッシング対策に製品特別対応 - デル テクノロジーズ

防御・ツール

「FBIがAppleの協力なしでロック解除した」という報告がされていますが、脆弱性があったんだとしたら、手法の漏洩が心配ですね。

• Appleが政府の「iPhoneのロック解除要請」を拒否したテロ事件で「FBIがAppleの協力なしでロック解除した」と当局が発表

• ランサムウェア被害からの復旧コスト、身代金を支払えばより高く

• Security Service of Ukraine arrested the popular hacker Sanix who sold billions of stolen credentials

• チート対策のためオンラインゲームでもSMS認証が広がる？
  SMS認証を入れることで、アカウント作り直しや複数アカウントの敷居を上げた対策

• SOC vs MITRE APT29 評価－Cozy Bearとの戦い
  ”Time Based Security – 保護、検知と対応"の考え方を解説

• 危ないのは「中級者」、 ブロードバンドルーター設定を見直す

• 3Dプリンタで作る“偽の指紋”が認証を突破　指紋認証は本当に安全か

• 緊急事態宣言解除後のセキュリティ・チェックリスト(JNSA)

• CVSS（共通脆弱性評価システム）3.0から3.1への変更点

• CIS Benchmarksを活用したシステムの堅牢化について

キャリア・学習

IBMのレイオフが報告されています。コロナ影響も一部ありそうですが、グローバル系は、レイオフがどんどん増えてくるんですかね。

• IBMはレイオフを認めたが、その詳細は明かさず
  公式の数字はないが数千人単位とのことです

• 1年でSESやめて年収1000万フリーランスになってわかったこと

• データサイエンス・オンライン講座「社会人のためのデータサイエンス入門」の開講（総務省）

• さくらインターネット、機械学習やPythonの講座を無償公開　衛星データの活用教える

• 普通のエンジニアが初めて動かすディープラーニング
  (使用ツール)ニューラルネットワーク Playground - Deep Insider

経営・マネジメント

自治体情報セキュリティ対策の見直しやグーグル、サイバー攻撃対策のクラウド技術で米国防総省と契約が報告されています。

• 「自治体情報セキュリティ対策の見直しについて」の公表（総務省）

• グーグル、サイバー攻撃対策のクラウド技術で米国防総省と契約

• 人材不足に悩む企業のセキュリティオペレーションを考える

• デジタル・トランスフォーメーション（DX）推進に向けた企業とIT人材の実態調査

• IBM Cloud (旧Bluemix) のアカウントを持っている人は今すぐクレジットカードの請求を確認すべき

• 2年半のエンジニアリングマネジャー経験から学んだこと

• カヤックのPMチームリーダーが振り返る、チーム崩壊から復活までの物語 - ログミーTech

• 大規模プロジェクトでもつまずかないための管理要点3か条

お知らせ

各ブログ（はてブ、Qiita、Note）の更新やセキュリティニュース等を
Twitter（@moneymog）でお知らせしています。
よろしければ、フォローください。