こんにちわ、モグ（@moneymog）です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。

今週は引き続きコロナテーマの攻撃が報告されていますが、数は多くなく落ち着いたようにも思えます。
また、国内では誹謗中傷に関連した動きが目立ちました。今後不幸な事故が起きないように、法的整備等が早く進んでほしいものです。
その他、ランサムウェアの動向報告、ダークウェブ上での個人情報販売などが気になりました。

目次

1. 注目キーワード
2. コロナ、テレワーク
3. 誹謗中傷
4. 事案
5. 攻撃
6. 脆弱性
7. サービス・製品
8. 防御・ツール
9. キャリア・学習
10. 経営・マネジメント
11. その他

注目キーワード

• ランサムウェア 日本企業は回復に要する費用が世界で2番目に高く、31％は身代金を支払うという調査が報告されています。また、攻撃手法が巧妙になってきており、平均身代金はわずか1年で10倍以上に膨れ上がったとのことです。まだまだ、ランサムウェアには気が抜けませんね。
  日本企業のランサムウェア関連費用は世界第2位
  The evolution of ransomware in 2019: attackers think bigger, go deeper and grow more advanced

• ダークウェアでの個人情報販売 台湾、インド、インドネシアやMathwayユーザー等のダークウェブでの大規模な個人情報販売が報告されています。
  An archive with 20 Million Taiwanese’ citizens leaked in the dark web
  2,000万人の台湾人のアーカイブがダークウェブで流出
  Personal details and documents for millions of Indians available in the deep web
  数百万人のインド人の個人情報と文書がディープウェブで入手可能
  Voter information for 2 millions of Indonesians leaked online
  インドネシア人200万人の有権者情報がオンラインで流出
  25 million Mathway user records available for sale on the dark web
  2,500万人のMathwayユーザーの記録がダークウェブで販売

コロナ、テレワーク

接触追跡アプリ

スイスでAppleとGoogleのAPIを活用した、接触追跡アプリのテスト運用が始まりました。しかし、カタールでは接触追跡アプリの脆弱性が報告されています。日本でも接触追跡アプリの実装には注意が必要ですね。

• 新型コロナウイルス接触追跡アプリのテスト運用が開始される

• 数字11桁で他人の健康状態が把握できたカタールの接触追跡アプリの脆弱性についてまとめてみた

キャリア・経営

コロナの影響で、転職者の様子見増加、Web面談が不十分なことによる学生の不満増加がみられるとのこと。また、働き方の考え方も徐々に変わりつつありそうですね。

• 「事態が収束するまで様子を見たい」　エンワールド・ジャパンがキャリア・転職の意識調査

• 学生に「コロナ禍の就職活動における意識調査アンケート」を実施、半数がWeb選考で不満を感じた

• アフターコロナの転職・キャリアはどうなる？ スキルとポジションはもう通用しない！

• 日立、在宅勤務を活用する新しい働き方を制定

• 7割が在宅勤務、セキュリティ監視センターもテレワーク～「見えてきた課題と事業を止めないためのヒント」をラックが公開

無償提供・割引

NECや富士通からテレワーク向けのサービスが無償提供等がされています。

• NEC、オンラインによるテレワーク導入相談サービスを期間限定で無償提供

• 富士通、ストレスチェックシステムを無償提供--在宅勤務者のメンタルヘルス対策を支援

• NRIセキュア、テレワークのセキュリティ対策キャンペーンを開始～関連のサービスやソリューションを、特別割引価格で提供～

その他

• 新型コロナウイルスに便乗するネット詐欺が拡大

• Experts observed a spike in COVID-19 related malspam emails containing GuLoader
  GuLoaderを含むCOVID-19関連のマルスパムメールの急増

• 新型コロナウイルス感染拡大に伴う医療のサイバーセキュリティ～オンライン診療のリスクと求められるセキュリティ対策～

• 「手洗いヨシ！」判定を下すAIを富士通研究所が開発--精度は90％以上

• 次亜塩素酸水 噴霧使用は控えて

誹謗中傷

木村花さんの悲劇を受けて、国や各SNSプラットフォームの動きが報告されています。

• ネット上のひぼうや中傷 投稿者特定の仕組み見直しへ 総務相

• SNSでの名誉毀損や侮辱などの投稿を禁止へ--TwitterやLINEらが緊急声明

• SNSでの中傷で自殺に追いやる“指殺人”　世界でも問題視、法整備求める声も

• マストドン「mstdn.jp」、6月30日に終了　「中傷に対する法制強化に対応できない」

事案

NTTコミュニケーションズから情報流出の事案が報告されています。シンガポールからのラテラルムーブメントのようで、弱くなりがちな海外拠点の対策の重要性を感じさせられます。

• 当社への不正アクセスによる情報流出の可能性について | NTTコミュニケーションズ 企業情報

• 不正疑惑の出ていたトレンドマイクロのドライバ、Windows 10 May 2020 Updateでブロック対象に指定される

• 経団連の関連団体、約500件の個人情報流出か　Webサイトに不正アクセス

• Real estate app leaking thousands of user records and sensitive private messages
  米国の不動産アプリ「Real estate」がアマゾンのS3バケット上に保存された数千件のユーザー記録と機密のプライベートメッセージを流出

• 今度は3DSのOSやソフトのソースコードが流出？

• イスラエルのNSO Group、Facebookのログインページを偽装してフィッシング行為

攻撃

日本とヨーロッパの産業企業に対するMimikatz、Powershell、ステガノグラフィーと流行手法を用いた標的型攻撃等が報告されています。

• Steganography in targeted attacks on industrial enterprises in Japan and Europe
  日本とヨーロッパの産業企業に対するステガノグラフィーを用いた標的型攻撃

• 3 hacking forums have been hacked and database have been leaked online
  3つのハッキングフォーラムがハッキングされ、データベースがオンラインで流出

• 露ハッカー集団、マルウェアでウイルス対策のログも収集

• Silent Night Zeus botnet available for sale in underground forums
  Silent Night Zeusのボットネットが地下フォーラムで販売

• YouTubeの違反報告システムを悪用した恐喝事件が発生、1年以上も同様の手口が横行していることが明らかに

• wizSafe Security Signal 2020年4月 観測レポート
  Webサイト閲覧時に、改変したjQueryを用いてPNGファイルを読み込み、その中に埋め込まれたJavaScriptを実行する通信を検出

• Ragnar Ransomware encrypts files from virtual machines to evade detection
  Ragnarランサムウェアは検出を回避するために仮想マシンからファイルを暗号化する

• 4月のEC系フィッシングサイトは513件、前年同月比で563％に増加

脆弱性

iOSとAndroidのそれぞれに影響の大きそうな脆弱性が報告されています。

• 最新の「iOS 13.5」も脱獄できるツールが公開

• JVNVU#98960050: iOS のカーネルに Jailbreak につながる脆弱性

• JVNVU#98042162: 複数の Apple 製品における脆弱性に対するアップデート

• ほぼすべてのAndroidに重大な脆弱性、データ窃取の危険性あり

• 複数のシスコ製品に脆弱性、アップデートを

• Microsoft Edge (Chromium版)に特権昇格の脆弱性、アップデートを

• 5月のWindowsアップデートにネット接続不具合、他の問題も調査中

• OpenSSH、将来のリリースでssh-rsa公開鍵の署名アルゴリズムをデフォルトで無効に

• 「Chrome」の深刻なセキュリティ脆弱性、70％はメモリー安全性の問題

サービス・製品

フォーティネットから運用が捗りそうなEDRソリューションなどのサービス提供が開始されるそうです。

• フォーティネット、自動化を特徴とするEDRソリューションを国内提供

• FireEye、マルチクラウド向けセキュリティ集中管理ソリューション提供

• NEC、マルウェア侵入リスクを低減するインターネット分離ソリューション

• 「購入したPCが輸送中にハッキングされるのを防ぐサービス」が予想以上の人気、「安心」を求めて利用するケースも

防御・ツール

先週話題になっていた自社を騙る偽サイトについての分析結果、対応例等の投稿や退職者の行動に関する興味深い報告がされていました。

• 自社を騙る偽サイト発生時の対応について
  偽サイトのURLにアクセスしたタイミングで、犯人の用意したサーバがリバースプロキシのような形で正規サイトへ代理アクセスし（略）応答していたものと思われます

• 内部関係者によるサイバーインシデントの60％に""フライトリスク""のある従業員が関与
  「フライトリスク（逃亡リスク）」がある従業員（通常は退職などで離職する予定の個人）は、多くの場合、退職日の2カ月から2週間前に行動パターンが変化

• Windows 10の大型アップデート第9弾「Windows 10 May 2020 Update」が配信開始

• 情報セキュリティ対策支援サイト 刷新版公開のご案内

• Amazon S3 セキュリティベストプラクティスの実践（権限管理のポリシー) – 前編

• AWSやGCPといったクラウドサービスのセキュリティ項目を無料で監査できるオープンソースソフト「Scout Suite」レビュー

• URLの先頭に http://gyo.tc/ 付けると、WEB魚拓数種とGoogleのキャッシュをまとめて調べられるので便利。消えてるページはこれでだいたい見つかる - ffrog のブックマーク / はてなブックマーク

経営・マネジメント

漏洩事案の時のプレスリリースの行間の読み方が大変興味深い内容で、プレスリリースを出す側も参考になる内容だと感じました。

• データ漏洩通知は行間を読め、本当の意味を解読する方法

• AI活用、先端都市構想実現へ　「スーパーシティ法」が成立

• 巨大IT企業は制裁に備えよ--GDPR施行から2年、真価の発揮はまだこれから

• 英政府がファーウェイの5Gネットワーク参入に関する方針を転換

• IT業界の「多重下請け地獄」が横行し続ける真の理由

• MozillaやTwitterら、令状のない閲覧データ収集の禁止を求める

• 組織拡大中のGunosyがエンジニアリングマネージャーに加えてリードエンジニアを設置、その理由・メリットとは

• マネジメントも「技術」のひとつ。技術志向だったエンジニアが、開発チームのディレクターに挑戦するわけ

キャリア・学習

長時間労働に対する考え方やSECCON Beginners CTF 2020の裏側技術の解説等が投稿されていました。

• なぜエンジニアは長時間労働してはいけないのか

• SECCON Beginners CTF 2020の監視・オペレーションを支える技術

• Linuxディレクトリ構造 - Qiita

• Google社のテクニカルライティングの基礎教育資料がとても良かったので紹介したい - Qiita

• プログラマにできるとよさそうなこと - @ledsun blog

その他

• セキュリティの「RSA Conference」、2021年は2月ではなく5月開催に

お知らせ

各ブログ（はてブ、Qiita、Note）の更新やセキュリティニュース等を
Twitter（@moneymog）でお知らせしています。
よろしければ、フォローください。