こんにちわ、モグ（@moneymog）です。
その週の気になったセキュリティ等のニュースを整理して毎週投稿しています。

今週は、詐欺サイトへの誘導に使われた「Subdomain Takeover」、5G技術開発や国家安全維持法等に関する「中国に対する動向(続報)」などが気になりました。

目次

1. 注目キーワード
2. 事案
3. 攻撃
4. 脆弱性
5. サービス・製品
6. 防御・ツール
7. キャリア・学習
8. 経営・マネジメント
9. その他

注目キーワード

• Subdomain Takeover
  Subdomain Takeoverによる詐欺サイトへの誘導についてまとめてみた - piyolog
  過去使用されていたドメイン名が悪用され、詐欺サイトへの誘導されたとのこと。対策は不要なCNAMEレコードの削除。詐欺サイトの例が非常に見覚えのあるものですね。

• 中国に対する動向(続報)
  Twitter、Facebook、Google、Telegram、香港当局への情報開示を一時停止
  ＴｉｋＴｏｋ、数日以内に香港市場から撤退
  China's Great Firewall Descends On Hong Kong Internet Users(中国のGreat Firewallが香港のインターネットユーザーに降りかかる) - Slashdot
  ＴｉｋＴｏｋ含む中国アプリの禁止を検討─米国務長官＝ＦＯＸ - ロイター
  英国、5G通信網からのファーウェイ製品排除を年内にも開始か
  (参考)ファーウェイ日本での攻勢指示　携帯各社、独最大手の契約契機に（共同通信） - Yahoo!ニュース
  5G技術開発や国家安全維持法等により、引き続き動きが見られました。グルーバル展開を進める上で、大きな考慮事項ですね。

事案

米Yahoo!元エンジニアによる内部犯行やマルウェアによるFirefox Sendの悪用が報告されています。内部犯行事案を踏まえて、権限の棚卸等をするのが良いですかね。

• ポルノ画像収集のため6000件のアカウントをハッキングしたYahoo!の元エンジニア、5年間の保護観察対象に

• 無償のファイル送信サービス“Firefox Send”が一時停止中 ～マルウェアによる悪用が増加

攻撃

米国でアンドロイド携帯電話にマルウェアがプリインストールされていた等の報告がされています。サプライチェーンとも関連しますが、機器の購入元の信頼度も考慮が必要ですね。

• Pre-Installed malware spotted on other Android phones sold in US
  米国で販売されている他のアンドロイド携帯電話にプリインストールされたマルウェアが発見された

• DOJ indicts Fxmsp hacker for selling access to hacked businesses
  司法省、ハッキングされたビジネスへのアクセスを販売したとしてFxmspハッカーを起訴

• 光ファイバー盗聴・侵入を５秒でできるか実験してみました

• 2020年6月のフィッシング報告件数、1万6千件を突破｜フィッシング対策協議会

脆弱性

BIG-IP製品、Zoom、Sanba等の脆弱性が報告されています。BIG-IPにおいては、TUMIという管理UI経由で攻撃される脆弱性とのことですが、SHODAN上は結構な数が公開されてそうとのことでした。利用しているところは公開されていないことの確認が、必要ですね。

• 複数の BIG-IP 製品の脆弱性 (CVE-2020-5902) に関する注意喚起

• BIG-IP等のNW機器の脆弱性まとめとSHODANでの観測状況

• Windows版「Zoom」に未修正の脆弱性 ～システムからの警告なしに任意のコードが実行可能

• Sambaに重大な脆弱性、アップデートを

サービス・製品

Microsoft Defender ATPに、現在の設定状況に基づいて、デバイスやネットワークに関するセキュリティスコアを提供する機能が追加されたとのこと。デフォ値で運用しているところも多いと思うので、設定の定期的な見直しのためのツールとして、便利そうですね。

• 「Microsoft Defender ATP」にセキュリティ設定評価機能が追加

• NRIセキュア、安全で効率的なリモートアクセスを実現する 「Zscaler Private Accessマネージドサービス」を提供開始〜 ゼロトラストモデルの実装で、テレワークなど多様な業務環境を支援 〜

防御・ツール

欧州警察のEncroChatの暗号化通信のハッキングおよび逮捕やMicrosoftのBEC利用ドメインのテイクダウン等が報告されています。欧州警察の事例は国内では難しそうな気がしますが、インパクトがすごいですね。

• European police infiltrate and dismantled EncroChat chat network
  欧州警察がチャットネットワーク「EncroChat」に潜入・解体

• 新型コロナウイルス便乗のビジネスメール詐欺、Microsoftがドメイン制圧

• テレワーク時代のインシデント対応｜事故事例から考える理想の対策

• ｢Windows File Recovery｣の使い方｜無料でファイル・データ復元が可能

• TLS暗号設定ガイドライン～安全なウェブサイトのために（暗号設定対策編）～第3.0版

• 暗号鍵管理ガイドライン：IPA 独立行政法人 情報処理推進機構

キャリア・学習

ビズリーチ上で募集を行っている、さいたま市のDX人材募集が記事になっていました。セキュリティアドバイザーの募集もありますが、副業前提のようなのでどういう人材活用になるんですかね。

• さいたま市、教育DX人材を募集　新型コロナで“GIGAスクール”の計画を前倒し

• 副業ってお金以外にメリットありますか？

• 社会で騙されないようにするためのOSINT

• VirusTotal, ANY.RUNなどのオンライン検査サービス利用における注意点

• 機械学習とセキュリティ - Speaker Deck

• AWSになぜセキュリティが必要なのか　エフセキュアのコンサル担当が教えるAWSセキュリティ対策

• 2020 FIRST Capture the Flag Challenge Writeup - setodaNote

経営・マネジメント

富士通の働き方改革や日本人の「サービス感」に関する記事が投稿されていました。富士通はリモートを推進し、成果型にシフトを進めるようですが、日本文化に根強い「サービス感」の扱いをどうするかが気になりますね。

• 富士通の人事部門トップが働き方改革に向けて発した「3つの刺激的な発言」

• 富士通、ニューノーマル時代の働き方「Work Life Shift」を推進--人事制度やオフィス環境を刷新

• 日本人の「サービス感」がもたらす、サービスの柔軟な変化への誤解

• オンラインプラットフォームは「著作権侵害者のメールアドレスやIPアドレス」を著作権者に開示する必要はないというと最高裁判決が下る

• チーム開発の潜在的課題が見つかる振り返りワーク「Mad Glad Sad(喜、怒、哀)」

• すごい技術で世界を変えることにこだわらず、誰よりも速く実装できる組織を作るようになったわけ

• グーグルが「一流と凡人」を見分ける、たった1つの違い

• 見逃してない？エンジニアが「サイレント退職」する7つの前兆

• わからないを積極的に言おう - ペパボテックブログ

その他

• 「ブラックハット」も差別連想？--用語変更についてセキュリティコミュニティで議論に

• Twitter、コードやドキュメント内の用語「Whitelist/Blacklist」「Master/Slave」「Dummy value」などを好ましい用語へ置き換え、具体例も発表

お知らせ

各ブログ（はてブ、Qiita、Note）の更新やセキュリティニュース等を
Twitter（@moneymog）でお知らせしています。
よろしければ、フォローください。