こんにちわ、モグ（@moneymog）です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。

今週は、TCP/IPプロトコルのライブラリの脆弱性「Ripple20」、ホンダの事案への関係が疑われる「SNAKE(EKANS)ランサムウェア」、新型コロナ接触確認アプリ「COCOA」のリリースなどが気になりました。 また、コロナ関係の攻撃は、落ち付いたとの報告がありました。(マイクロソフト、Check Pointの報告)

目次

1. 注目キーワード
2. 事案
3. 攻撃
4. 脆弱性
5. サービス・製品
6. 防御・ツール
7. キャリア・学習
8. 経営・マネジメント
9. その他

注目キーワード

• Ripple20
  数億台以上の電化製品にひそむ脆弱性「Ripple20」が発見される
  JVNVU#94736763 Treck 製 IP スタックに複数の脆弱性
  Treck社により開発された、TCP/IPプロトコルのライブラリの脆弱性が報告されています。Ripple20は、19件のゼロデイ脆弱性の総称とのこと。

• SNAKE(EKANS)ランサムウェア
  SNAKE(EKANS)ランサムウェアの内部構造を紐解く
  ホンダ襲ったのは国家か犯罪者か　新たなサイバー脅威
  (参考)制御系システムも止めるランサムウェアに注意--トレンドマイクロ
  ホンダの事案への関係が疑われるSNAKE(EKANS)ランサムウェアの詳細な解析報告がされています。また、制御系システムへの攻撃動向も併せて報告があり、OT系への攻撃が懸念されます。

• COCOA(新型コロナ接触確認アプリ)
  日本政府公式の新型コロナ接触確認アプリ「COCOA」がリリース、実際にインストールするとこんな感じ
  (参考)GoogleとAppleが共同開発した新型コロナ接触追跡APIはなぜアメリカで普及しないのか？
  新型コロナ接触確認アプリ「COCOA」がリリースされたようです。また、海外では国家プロジェクトとして、支援していないという情報を見かけました。

事案

クラウドの設定不備による漏洩記録330億件(2018年～2019年)の報告や、中国ファーウェイ通じ情報流出などが報告されています。
クラウド系は今年に入っても事案を継続的に見かけるので、監査サービスやペネトレが非常に流行りそうですね。

• 漏洩記録330億件--クラウドの設定不備による「損失額は推定5兆ドル」の意味

• 中国ファーウェイ通じ情報流出　元米グーグルCEOが見解

• フェチ向け出会い系アプリなどから約10万人の写真や会話のスクショ画像が流出

• 「カメラのキタムラ」通販サイトに不正アクセス　個人情報40万件が閲覧された可能性　二段階認証を採用せず

攻撃

マイクロソフトとCheck Pointから、コロナ関係の攻撃は、落ち付いたとの報告がありました。また、2月にAWSへ2.3TbpsのDDoS攻撃(CLDAPリフレクション攻撃)があったとの報告がありました。

• コロナ禍でもサイバー攻撃の手は止まらず - マイクロソフト調査

• 新型コロナウイルス関係の攻撃は減少 - 5月マルウェアランキング

• AWS、2.3TbpsのDDoS攻撃を2月に緩和--「AWS Shield」レポート

• 新型コロナによる減税措置をおとり文句とするNode.jsマルウェア「QNodeService」を解析

• オーストラリアに大規模サイバー攻撃、攻撃主体は「国家ベース」

• LinkedInのメッセージで始まるビジネスメール詐欺、著名な攻撃グループが関与か

• 9m先のスマートフォンを超音波で“攻撃”　人に聞かれずに音声入力も

脆弱性

VMware Cloud DirectorやBINDの脆弱性などが報告されています。MSP経由の標的型ランサムウェア等も攻撃としてはやっているので、VMwareの脆弱性は早急な対応が必要ですね。

• VMware Cloud Directorの脆弱性、データセンター乗っ取り招く危険性

• JVNVU#91012351 ISC BIND に複数の脆弱性

• JVNVU#95379131: 三菱電機製 MC Works64 および MC Works32 に複数の脆弱性

• Webex Meetingsなど複数のシスコ製品に脆弱性、アップデートを

• Google Chromeに脆弱性、アップデートを

サービス・製品

NRIからIGA(Identity Governance & Administration)という概念に沿った、IDガバナンスサービスが提供が開始されます。

• NRI、IDガバナンスサービス「OpenStandia KAID」を提供開始

• Cisco、「Cisco SecureX」提供開始

• カスペルスキー、未知の脅威を検知するセキュリティ新製品発表

• デジタルアーツ、Smarter SIEMを活用したセキュリティ運用管理改善サービス

• NTTテクノクロス、データ利活用を促進する匿名加工情報作成ソフトの新版

防御・ツール

個人情報保護法の改正に伴うプライバシー保護の観点の大事さを考察した投稿やNTT「ハローページ」の終了が報告されています。
また、IPAの中小企業向けサイバーセキュリティの取り組みに係る３つ報告書がリリースされています。中小企業の情報があまり得る機会がないのでいずれも貴重な情報です。

• 個人情報保護法の改正を機に企業が取り組むべきこと

• 個人情報保護の高まりとともに……NTT「ハローページ」の発行および配布が終了へ

• 中小企業向けサイバーセキュリティ事後対応支援実証事業（サイバーセキュリティお助け隊）の報告書について

• 「2019年度 中小企業の情報セキュリティマネジメント指導業務」報告書について

• 「中小企業向けサイバーセキュリティ製品・サービスに関する情報提供プラットフォーム構築に向けた実現可能性調査」報告書について

• MACアドレスの再利用は、みんなが思っているよりもはるかに一般的

• 機械学習モデルの学習データを推論する方法

• Zoom、エンドツーエンド暗号化通信オプションを無償ユーザーにも提供

• 高精度で注目の機械翻訳「DeepL」が日本で月額750円からの有料サービス開始、API利用も可能

キャリア・学習

日本政府のサイバー人材の不足の報告やVRを活用した学習効果の有効性が報告されています。

• サイバー防衛、出遅れる日本　規模や人材、米中に見劣り

• NTT Com、英会話の実験でVR活用の有効性を確認

• 技術顧問としてのお仕事 - cutmail's blog

• 正しい意思決定を導き出す、エンジニアのための交渉技術

• DX時代のITアーキテクチャー、7階層ですっきり理解

• OSS活動をはじめて5ヶ月の振り返りと学んだこと - Qiita

経営・マネジメント

米政府が5G規格の策定に限り、ファーウェイとの協力を容認する報告がされています。意図が読めないですが、ファーウェイ通じ情報流出なども報告されているので、いろいろ懸念されますね。

• 米政府、5G規格の策定でファーウェイとの協力を容認

• 巨大ITのネット広告、価格開示義務化へ　政府が規制案

• ハイブリッドITサービスの発表会見で富士通幹部が語った「メガクラウドとの関係」

• 日本IBM社長が会見で垣間見せた「パブリッククラウド戦略」

• IBM、クラウドセキュリティ強化に向けSpanugoを買収へ

• IoTセキュリティ基盤のビドゥ、日本市場への本格参入を発表

• 米グーグル、幹部の多様性推進へ　セキュリティー方針も見直し

• 日本ユニシスとソフトバンク、セキュリティ新会社を設立

• テレワークはコミュニケーションが不足するって本当かな？

• エンジニアの「雑談」の効能を考える - Qiita

• チーム内の対立を活力に変えるには--リーダーに贈る4つのヒント

• 【翻訳】ハイパフォーマンスチームを作るためにプロダクトオーナーがすべき10のこと

• テレワークが暴いた“不都合な真実”　ポスト・コロナに「中間管理職」がごっそり淘汰されるワケ

その他

• AdobeがFlash Playerの配布と更新を2020年12月31日に終了、期限後はFlashコンテンツ実行をブロック

• アドビ システムズ、社名変更で「アドビ」に

お知らせ

各ブログ（はてブ、Qiita、Note）の更新やセキュリティニュース等を
Twitter（@moneymog）でお知らせしています。
よろしければ、フォローください。