こんにちわ、モグ（@moneymog）です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。

今週も引き続きコロナテーマの攻撃が報告されていますが、数は多くなく落ち着いたようにも思えます。
また、国内では誹謗中傷に関連した動きが引き続きあり、法整備と加害者の意識見直しが見て取れます。
その他、仮想通貨交換所関連のドメイン名ハイジャックの事案、ジョージ・フロイド氏関連のアノニマス動向などが気になりました。

目次

1. 注目キーワード
2. コロナ、テレワーク
3. 誹謗中傷
4. 事案
5. 攻撃
6. 脆弱性
7. サービス・製品
8. 防御・ツール
9. 経営・マネジメント
10. 教育・世代
11. その他

注目キーワード

• ドメイン名ハイジャック
  当社利用のドメイン登録サービスにおける不正アクセスについて（第一報）
  お名前.com Naviの不具合によるCoincheckとbitbankのドメイン名ハイジャックについてまとめてみた - piyolog
  お名前.com、Coincheck以外にbitbankも同事象が起こったようです。攻撃目的は不明ですが、コイン盗難に発展しないとよいですね。

• アノニマス動向(ジョージ・フロイド氏関連)
  Anonymous demands justice for George Floyd and threatens attacks
  There was no data breach in the cyberattack against Minneapolis Police
  アノニマスはジョージ・フロイドのために正義を要求し、ミネアポリス警察に攻撃したと宣言していました。しかし、サイバー攻撃によるデータ流出はなかったようです。

コロナ、テレワーク

海外で攻撃キャンペーンの報告がありましたが、国内では特に報告はありませんでした。

• A new COVID-19-themed campaign targets Italian users
  COVID-19をテーマにした新しい攻撃キャンペーンがイタリアのユーザーを標的に

• 医療業界へのサイバー攻撃激増､各国の危機感

• Zoomのエンドツーエンド暗号化、有料ユーザーのみに提供へ

• Zoom激動の3カ月とこれから--急成長、セキュリティ、競争激化

• 政府、マイナンバー「全口座ひも付け」義務化検討　来年の法改正目指す

• 「手間がめちゃくちゃ減った」　郵送とオンラインのハイブリッド給付金申請、非エンジニアの市職員が開発　経緯を聞いた

誹謗中傷

法整備が進むとともに、加害者の意識見直しが報告されています。

• SNSで名誉毀損、電話番号も開示　総務省年内にも実施

• 木村花さん死去で「中傷加害者」から弁護士への相談急増「軽い気持ちだった」「心配になってきた」

• ヤフー、“ヤフコメ”のパトロールAIを外部提供へ　1日に2万件の誹謗中傷を削除可能

• 「大量に見えるTwitterの誹謗中傷、実はごく少数」を可視化できるツールが有能と話題

事案

NTTコムの事案は、2019年9月から、シンガポール、タイ、米国、国内サーバーと侵入されたようです。 海外拠点はセキュリティが甘くなりがちなので、見直す必要があるかもしれませんね。

• 国内のサーバー侵入は昨年12月　NTTコム不正アクセス

• トレンドマイクロの製品に脆弱性？　“マイクロソフトからBAN”の疑惑　公式は「事実と異なる」

攻撃

NXNSAttackというDoS攻撃とIFEOインジェクション攻撃に関する記事が投稿されていました。

• 名前解決の仕組みを使ってDNSを攻撃、「NXNSAttack」とは

• Multi-platform Tycoon Ransomware employed in targeted attacks
  標的型攻撃に利用されるマルチプラットフォームのTycoonランサムウェア
  (参考)ようこそ画面の時に任意のプログラムを実行する方法

• Sodinokibi ransomware gang launches auction site to sell stolen data
  Sodinokibiランサムウェア組織がオークションサイトを立ち上げ

• 米大統領選挙の陣営を狙うフィッシング、Googleが観測

• 米政府機関がパッチ適用を呼び掛ける「外国のサイバー攻撃関係者らに日常的に悪用されている脆弱性」とは

脆弱性

Appleの10万ドル(約1090万円)の脆弱性についての報告がありました。額に見合う、影響の大きい脆弱性ですね。

• 「Appleでサインイン」脆弱性の発見者に報奨金10万ドル。アカウント乗っ取りを未然に防止

• アップルがiOS 13.5のジェイルブレイクを封じるアップデートを配布

• 「VMware」複数製品に脆弱性 - 特にmacOS環境で注意を

• IP-in-IPに対応したデバイスが悪用される問題あり、確認と対処を

• Androidデバイス、不適切な画像を壁紙に設定するとクラッシュのおそれ

• Firefoxにセキュリティ脆弱性、アップデートを

• 最大深刻度は“Critical” ～Google、Androidの2020年6月セキュリティ情報を発表

サービス・製品

米CrowdStrikeからLinux環境に対する保護強化の報告がありました。Linux対応の製品はあまりないイメージですね。また、IOA(Indicator of Attack)というキーワードを初めて聞きました。

• 米CrowdStrikeがクラウド型エンドポイントでLinux保護を強化

• サイバートラスト、インシデント発生リスクを低減し事業継続を支援するサービス

• ドスパラがHDD/SSD破壊サービスの郵送受付を開始、顧客は破壊工程を動画で閲覧可能

防御・ツール

情報漏えい発覚後にパスワードを変更しない人が多数という報告がされています。人に依存する以上、すべて適切に管理は難しいですね。また、サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集がリリースされています。

• 情報漏えい発覚後にパスワードを変更しない人が多数の可能性

• サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

• ENISA published “Proactive detection – Measures and information sources” report

• NURO光やフレッツ・v6オプションでIPv6ファイアウォールが設定されていないことが話題に | スラド セキュリティ

• 新型コロナウイルスの日本の対応と未知のマルウェアのインシデント対応の類似性

• サイバーセキュリティにおけるAI活用の最先端

• Windows/Mac/Linux対応のHTTPキャプチャーツール「Fiddler Everywhere」に新たな改善

経営・マネジメント

改正個人情報保護法や改正著作権法が成立しました。特に前者は「クッキー」の中身も対象になるようなので、法制度の変化に伴い対応が必要な会社がありそうですね。また、米国版GDPRと言われた「カリフォルニア州消費者プライバシー法（CCPA）」が2020年の年始に開始していたそうです。あんまり話題になりませんでしたね。

• 個人データに利用停止権、改正個人情報保護法が成立

• これからセキュリティ観点がない企業は、商売に完全に乗り遅れる？！ 情報管理に関するマインドチェンジが必要な訳とは。｜ペンシル 公式note｜note

• 海賊版ダウンロードに罰則　来年1月、漫画など全般　改正著作権法が成立

• IT投資の可視化で「FinOps」の定着狙う

• スマホ決済が便利に “統一ＱＲコード”を全国で導入へ

• 「キャリアパスと評価制度を刷新」Gunosyエンジニア組織が取り組む改革の裏側を聞いてみた

• 技術ごとのスペシャリスト制度に関して

教育・世代

GitLab社のフィッシングメール開封率は20%とのこと。まーこのくらいは開きますよねという印象です。

• GitLab、セキュリティ演習で社員にフィッシングメールを送信。その内容と、20％が引っ掛かったことを公開

その他

• Machine Learning Security Evasion Competition 2020 Invites Researchers to Defend and Attack

• 各AI研究分野の立ち位置を示す「AIマップ」（人工知能学会の公開リソース）とは？

• Google ChromeのSameSite cookie強制、7月に再開へ | スラド IT

お知らせ

各ブログ（はてブ、Qiita、Note）の更新やセキュリティニュース等を
Twitter（@moneymog）でお知らせしています。
よろしければ、フォローください。