Dec 29, 2021

Log4j スキャナー

すでに色々出てるのでメモ。

CISAやCrowdStrike、「Log4j」向けスキャナーを提供--限界があるとの指摘も (12/24)

https://japan.zdnet.com/article/35181344/

『最大の課題は、本番環境にあるパッケージソフトウェア内のLog4Shellを検出することだ。(Log4jのような)Javaファイルは、その他のファイルの何層か下にネストされていることがあり、浅い検索では見つけられない』


CISAのスキャナー(↓)は、リモートスキャンも出来るみたい。

cisagov/log4j-scanner (12/21-28)

https://github.com/cisagov/log4j-scanner

手元でフルアップデート済みのものに試してみた(当然、何も出なかった)。
CUIだが、使いやすいし、表示も分かり易い。




Dec 23, 2021

Log4jのヤバさ

まず、Log4jのヤバさを会話形式で易しくまとめた記事(↓)

「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた (12/16)

https://www.itmedia.co.jp/news/articles/2112/16/news128.html


piyokangoさんの硬派な まとめ(↓)

Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた (12/13)

https://piyolog.hatenadiary.jp/entry/2021/12/13/045541

『.. 既にサポートが終了している1.xバージョンも脆弱性の影響を受けることが検証で確認されている*3が予め構成を変更している必要があり、2.xと比較して相当にリスクは低い..』

だそうだ。さらに幾つか興味本位でピックアップ(↓)

・Red Hat
 https://access.redhat.com/security/vulnerabilities/RHSB-2021-009

『The following products are NOT affected by this flaw and have been explicitly listed here for the benefit of our customers.

    ・Red Hat Enterprise Linux

    ・Red Hat Advanced Cluster Management for Kubernetes 

 (注、その他 多数)

』 

な一方で

Technical summary

A flaw was found in the Java logging library Apache Log4j in versions from 2.0.0 and before 2.15.0. A remote attacker who can control log messages or log message parameters can execute arbitrary code on the server via the JNDI LDAP endpoint. Refer to CVE-2021-44228 for more details.

Mitigation

For Log4j versions 2.10 and later:

  • set the system property log4j2.formatMsgNoLookups or the environment variable LOG4J_FORMAT_MSG_NO_LOOKUPS to true

For Log4j versions between 2.7 and 2.14.1:

  • all PatternLayout patterns can be modified to specify the message converter as %m{nolookups} instead of just %m

For Log4j versions between 2.0-beta9 and 2.10.0:

  • remove the JndiLookup class from the classpath. For example: 

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

On OpenShift 4 and in OpenShift Logging, the above mitigation can be applied by following the steps in this article: https://access.redhat.com/solutions/6578421

On OpenShift 3.11, mitigation to the affected Elasticsearch component can be applied by following the steps in this article: https://access.redhat.com/solutions/6578441

とも。

 

・Oracle
 Oracle Security Alert Advisory - CVE-2021-44228

・VMware
 https://www.vmware.com/security/advisories/VMSA-2021-0028.html

VMware Horizon, vCenter Server, HCX, NSX-T Data Center, vCenter Cloud Gateway .. その他多数

 

・IBM
 https://www.ibm.com/support/pages/node/6525706

Affected Products and Versions
WebSphere Application Server 9.0
WebSphere Application Server 8.5

元IBM製品に、こんなのもあったな(↓)

・HCL Technologies

Log4J 2 / Log4Shell の脆弱性に関するNotes、Domino、Verse、Traveler への影響 (CVE-2021-44228、CVE-2021-45046、CVE-2021-45105、CVE-2021-44832)
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0095594


・Fortinet

 https://www.fortiguard.com/psirt/FG-IR-21-245

 Tuesday December 15, 8:50 PM Pacific Time現在、下記状況

『The following products are NOT impacted:

 .. FortiOS (includes FortiGate & FortiWiFi) .. 

The following products are impacted and fixes are being worked on. This advisory will be updated as soon as ETAa are available:

FortiAIOps - Fixed in version 1.0.2
FortiAnalyzer BigData - Fixed on 2021-12-10 in 6.4.7 & 7.0.2
FortiCASB - Fixed on 2021-12-10
FortiConverter Portal - Fixed on 2021-12-10
FortiCWP - Fixed on 2021-12-10
FortiEDR Cloud - Not exploitable. Additional precautionary mitigations put in place on 2021-12-10
FortiInsight - Not exploitable. Additional precautionary mitigations being investigated.
FortiIsolator - Fix scheduled for version 2.3.4
FortiMonitor - Mitigations for NCM & Elastiflow available
FortiPortal - Fixed in 6.0.8 and 5.3.8
FortiSIEM - Mitigation available
ShieldX - Fix scheduled for versions 2.1 and 3.0 - ETA 2021/12/17


・AMD

 https://www.amd.com/en/corporate/product-security/bulletin/amd-sb-1034

『Currently, no AMD products have been identified as affected.』


・Intel

 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00646.html

Datacenter Manager, Secure Device Onboard, Computer Vision Annotation Tool, Optimized Analytics Package, Intel QAT Codec, Edge Insights for Autonomous Mobile Robots, oneAPI各種 

.. Clear Linux Project」なんてのもあるんですね。

.. 他にも多数。意識せず使ってたって事もあるかも。ご自分で確認されたし。

 

・NVIDIA 

 https://nvidia.custhelp.com/app/answers/detail/a_id/5294

 01/04現在で、

Remediated NVIDIA Products 

The following sections list the NVIDIA products affected, versions affected, and the updated versions  available or mitigations that require customer action.

  CUDA Toolkit Visual Profiler and Nsight Eclipse Edition
  DGX Systems
  NetQ
  vGPU Software License Server


・Palo Alto Networks

 https://security.paloaltonetworks.com/CVE-2021-44228

『We have determined that some configurations of Panorama appliances with PAN-OS 9.0, PAN-OS 9.1, and PAN-OS 10.0 are impacted by CVE-2021-44228 and CVE-2021-45046 through the use of Elasticsearch. Fixes were released on December 20, 2021 to address both vulnerabilities on impacted PAN-OS versions. Panorama appliances are not impacted by CVE-2021-45105. 

 PAN-OS for Panorama < 9.0.15, < 10.0.8-h8, < 9.1.12-h3  .. affected

 Exact Data Matching CLI < 1.2 .. affected


Oct 9, 2021

memo: SAPFPAYM output to file system

あたりから気になったものを、いくつか下にピックアップした。

Positive Pay file creation using Payment Medium Workbench(PMW) and Automatic Payment Program(F110) (2019/09/17)


Henri LOISEAU Feb 01, 2010 at 12:52 PM
 ・・・
In OBPM4 you define which variant of program SAPFPAYM you are using. 
In the parameters of program SAPFPAYM you have a checkbox 'Output to the file system' (PAR_XFIL) 
and you can give the filename (PAR_FILE).
I want to donwload Payment File using program SAPFPAYM using a background job. I want to download file to specified folder in a server.

Already set :Run Date, Identification, Payment Medium Format, Electronic file.

I check the "output to file system" check box and already specify the folder directory and file name.

While I execute it, file not directly downloaded to specific folder. It appear in DME administration and the status already exported 
・・・

Best Answer
Former Member Apr 09, 2012 at 09:37 AM
・・・
1.In F110,one tab "print program"is thr,here we can define variant with program "ZRFFOUSC",at the time of creating variant one field option"payment summary",check this entry and along this it also ask for on which printer we want this entry.

2.Last time i got similar type of issue when i was not able to download the file because some msoffice version update version problem.Try with first create one folder in particular location and then give the path(mention ur new created folder thr).
・・・

Former Member Apr 05, 2012 at 06:26 AM

For that issue, you need to specify the file place in F110 print variant.

Go to F110 transaction > Select the relevant payment run and ID> Go to printout data medium tab> Select variant and press Maintain variant button> check the Output control tab and file name path.

Change layout of payments summary 2014/02/24

↑ スクショ豊富。今、探しているイメージとは異なるが、メモ代わりに。

Testing and recreation of the Electronic payments file for the Bank 

↑ 全体を俯瞰しやすい。

Payment Medium Creation のスクショ ↓ 





Sep 25, 2021

2021年 データ侵害のコストに関する調査レポート (IBM Security) ほか

2021年データ侵害のコストに関する調査レポート (IBM Security)

https://www.ibm.com/downloads/cas/RBANYX1Q

462万ドル: ランサムウェアによるデータ侵害にかかる平均総コスト (p.8)

ランサムウェアや破壊的な攻撃は、 他のタイプのデータ侵害よりもコスト がかかりました。

ランサムウェア攻撃に伴うコストは平均462万ドルで、平均的なデータ侵害時のコスト(424万ドル)よりも高額です。これらのコストには、エスカレーション、通知、損失したビジネス、対応にかかるコストなども含まれていましたが、ランサムウェアの身代金コストは含まれていませんでした。ワイパー型の悪意のある攻撃でデータが破壊された場合のコストは平均469万ドルです。ランサムウェアがデータ侵害の要因となった企業の割合は7.8 %でした。 


424万ドル: データ侵害にかかる世界の平均総コスト (p.11)

データ侵害の平均総コストは、7年間で大幅に増加しました。

2021年のレポートを2020年のレポートと比較すると、データ侵害のコストは 2020年の386万ドルから2021年の424万ドルへと大幅に増加しています。38万ドルの増加は、9.8%の増加に相当します。これに対し、2019年から2020年のレポートを見ると、データ侵害にかかるコストは1.5%減少しています。データ侵害のコストは、2015年以降で11.9%増加しました。


金融サービスの機密データ侵害 (p.56)

財務損失の規模: 特定の銀行がランサムウェアの攻撃を受けるセキュリティー・リスクの数値化は、その銀行の強固なセキュリティー管理を鑑み、イベントが発生する確率が30%であることを示しています。平均的な財務損失は1,890万ドルで、これは対応コスト、ビジネスの損失、規制上の罰金で構成されています。


国または地域別のデータ侵害にかかる平均総コスト (p.14)

データ侵害にかかる平均総コストの上位5か国と地域は、以下の通りでした。

    1. 米国   $8.64M → $9.05M (左:2020 → 右:2021。以下同様)
    2. 中東   $6.52M → $6.94M
    3. カナダ  $4.50M → $5.40M
    4. ドイツ  $4.45M → $4.89M
    5. 日本  $4.19M → $4.69M

2020年のレポートでも、上位 5か国はこの5か国で、順位も同じでした。


業界別データ侵害の平均総コスト (p.15)

  • 医療/ヘルスケア $9.23M
  • 製造  $4.24M


侵害されたレコードのタイプ  各カテゴリーでデータを含む侵害の割合 (p.17)

  • 顧客の個人情報 44%
  • 匿名化された顧客データ 28%
  • 知的財産  27%
  • 従業員の個人情報  26%
  • その他の機密性の高いデータ  12%


侵害されたデータのタイプ別レコード当たり平均コスト (p.18)

  • 顧客の個人情報 $180M
  • 従業員の個人情報  $176M
  • 知的財産  $169M
  • その他の機密性の高いデータ  $165M
  • レコード当たりのグローバル・コスト  $161M
  • 匿名化された顧客データ  $157M


バラクーダの注目する脅威「ランサムウェアの傾向」について調査結果を発表

〜ランサムウェアのインシデントは、前年比64%増加し、身代金要求額も増加傾向に〜 (08/23)

バラクーダネットワークスジャパン株式会社・・・は、2020年8月から2021年7月の間に発生したランサムウェア攻撃を分析しました。

ハイライト: 

  • 過去12ヶ月間にバラクーダの調査担当者が確認および分析したランサムウェアのインシデントは121件で、前年比で64%増加。
  • インフラ、旅行、金融サービスなどを含む企業への攻撃は、ランサムウェア攻撃全体の57%を占める。
  • 身代金要求額が1,000万ドル未満のインシデントはわずか18%で、3,000万ドル以上のインシデントは30%
  • ランサムウェアの攻撃は世界中に拡大


今週のセキュリティニュース - 2021年8月27日 

https://www.cloudgate.jp/security-news/weekly-20210827.html


関連

サイバー身代金、支払い5割 金額急増し攻撃に拍車 (09/25)

https://akasaka-taro.blogspot.com/2021/09/5.html


サイバー身代金、支払い5割 金額急増し攻撃に拍車

1社あたり平均ランサム支払額。上半期で約6千万円に。このペースだと、『近年 指数関数的増加』とも言えそう。

欧米は、ランサム支払に応じる場合が多い(↓)。

日本が突出して支払いに応じないのは、どういった事情だろうか? 『応じれば、ますます日本中がターゲットにされるので、断固拒否』と言えば聞こえは良いが、実態は、社内政治の結果 日経に支払い申告するに至らなかった? 予算無し、人員無し、復旧作業残業代無し、責任問題恐怖感マシマシで疲弊する現場を想像してもやっとする。


出典

サイバー身代金、支払い5割 金額急増し攻撃に拍車 (09/20)

https://www.nikkei.com/article/DGXZQOUC107FU0Q1A610C2000000/


関連

FBI IC3 ネット犯罪報告書 (03/23)

https://akasaka-taro.blogspot.com/2021/03/fbi-ic3.html

こちら(↑)は、一般ユーザも含めた全体的傾向の記事。


Aug 7, 2021

Podcast for IT Security / English

 朝起きて朦朧としている間、podcastで英語耳をウォームアップするのが日課である。以下、最近のお気に入りをご紹介。これらの多くは、Transcriptが用意されていて、後で内容チェックできるのも、嬉しい。


1.Cyber Security Today

https://www.itworldcanada.com/podcasts#cyber-security-today

Howardがゆっくりしゃべってくれるので、朝一番の耳慣らしに丁度良い。


2.WSJ Tech News Briefing

https://www.wsj.com/podcasts/tech-news-briefing

音声は、右の「Google Podcasts」から、直近3週間分程のリストで、選べる。


3.Cyber Security Headlines

https://cisoseries.com/subscribe-podcast/

これはPodcast版のみで、トランスクリプトも無いようだ。
こっち↓に、vodcast があるので、時間が有る時は眺めてみる事にする。
https://www.crowdcast.io/cisoseries


4.CyberWire Daily

https://thecyberwire.com/podcasts/daily-podcast

昔は主に これだけを聞いていたが、次第に他の IT Security系podcastも聞くようになった。それは次の理由である。

・同様のニュース数分を、違う言い回しで複数の人から聞くのが、私には効率的と思われる事が一つ。
・the cyberwire daily版は 20分超で、後半の著名人インタビューは集中が続かない事が一つ。


➄番外編 Hak5 ThreatWire 

https://www.youtube.com/watch?v=5ofYqjC1s40&list=PLW5y1tjAOzI0Sx4UU2fncEwQ9BQLr5Vlu

私のWebを見ている人なら、ご存じの方も多いだろう。
Shannonちゃんのvodcastで、ほのぼのするのもお薦めです。


6.#セキュリティのアレ

https://www.tsujileaks.com/


7.バイリンガルニュース

https://ja.wikipedia.org/wiki/%E3%83%90%E3%82%A4%E3%83%AA%E3%83%B3%E3%82%AC%E3%83%AB%E3%83%8B%E3%83%A5%E3%83%BC%E3%82%B9


過去記事

Podcasts for bleeding-edge security (2019/03/07)

https://akasaka-taro.blogspot.com/2019/03/podcasts-for-bleeding-edge-security.html


Aug 4, 2021

Zoomの暗号化、エンドツーエンドでは無かった? FB, Googleに無断情報共有も!?

 ビジネスユーザにとって『安全な通信』は必須条件。経営陣が理解していないとしたら、まずい。同社の先日発表の決算は良かったようだが、さて、世間にはどう評価されるか。


Zoomのプライバシーと「Zoom爆撃」めぐる集団訴訟、約93億円で和解へ (08/03)

https://japan.cnet.com/article/35174700/

『Zoomは、ユーザーの同意を得ることなく個人情報をFacebook、Google、LinkedInと共有していたことや、ハッカーらが「Zoom爆撃」によってオンラインミーティングを妨害する行為を放置していたことが、ユーザーのプライバシー侵害にあたるとして起こされていた集団訴訟について、8500万ドル(約93億円)の和解金を支払うことで合意した。

 ・・・

 この和解に伴い、集団訴訟の対象となる顧客には、サブスクリプション料金の15%または25ドルが返金される可能性がある。』

お詫びに一部の利用料金を返金します、と言われても失われた情報は取り返せない。


Zoom to pay $85M for lying about encryption and sending data to Facebook and Google (08/02)

https://arstechnica.com/tech-policy/2021/08/zoom-to-pay-85m-for-lying-about-encryption-and-sending-data-to-facebook-and-google/

『Zoomは、エンドツーエンド暗号化の提供について嘘をついたという主張を解決するために8500万ドルを支払うことに同意

・・・

2021年5月に提出された修正集団訴訟の苦情は、Zoomがエンドツーエンド(E2E)暗号化を誤って約束したにもかかわらず、「各会議の暗号化キーは、クライアントデバイスではなくZoomのサーバーによって生成される」と述べています。』

つまり事業者が中間者として通信内容を解読できる、との主張である。


Jul 30, 2021

free decryptor for ransomware, "The No More Ransom Project"

もしも、の時、ここが使えそう(↓)

No more Ransom

https://www.nomoreransom.org/ja/index.html


普段 聞いているpodcastで知ったので、そちらも挙げておく(↓)

Cyber Security Today, July 28, 2021 - Remember this ransomware resource, a new ransomware strain updated and vulnerabilities in another Kaseya product (07/28)

https://www.itworldcanada.com/podcasts#cyber-security-today

『No More Ransom Project」は、オランダ警察の国家ハイテク犯罪ユニット、欧州警察の欧州サイバー犯罪センター、カスペルスキー、マカフィーが共同で立ち上げたプロジェクトで、ランサムウェアの被害者が犯罪者にお金を払うことなく、暗号化されたデータを取り戻すことを支援します。

 このプロジェクトでは、暗号化されたファイルをアップロードすると、121種類の無料ツールの中から解読できるかどうかを確認します。これらのツールは、151種類のランサムウェアを解読することができます。世の中にあるすべてのランサムウェアではありませんが、かなりの数になります。・・・

このサイトをインシデントレスポンスプランに入れておきましょう。www.nomoreransome.org

ところで、あなたはインシデントレスポンスプランを持っていますよね?』


関連

・Podcasts for bleeding-edge security (2019/03/07)

https://akasaka-taro.blogspot.com/2019/03/podcasts-for-bleeding-edge-security.html


・無料malwareスキャナー (2016/03/30)

http://akasaka-taro.blogspot.com/2016/03/online-scanner-httpwww.html

内容が古くなって、無効なリンクも出てる。更新しないと。。。


Jul 20, 2021

TTPs of APT40

 概要

・・・中略・・・

APT40(BRONZE MOHAWK、FEVERDREAM、G0065、Gadolinium、GreenCrash、Hellsing、Kryptonite Panda、Leviathan、MUDCARP、Periscope、Temp.Periscope、Temp.Jumper)は、中華人民共和国(PRC)海南省海口市に拠点を置き、少なくとも2009年から活動しています。APT40は、米国、カナダ、欧州、中東、南シナ海地域、さらには中国の「一帯一路」構想に含まれる産業など、生物医学、ロボット工学、海洋研究など幅広い分野の政府機関、企業、大学を標的にしています。


2021年7月19日、米国司法省は、APT40のサイバーアクター4名がフロント企業である海南翔敦科技発展有限公司(海南翔敦)を通じた不正なコンピュータネットワーク搾取(CNE)活動を行っていたとして、起訴状を公開しました。海南翔敦の従業員であるWu Shurongは、中国国家安全部(MSS)海南国家安全局(HSSD)の諜報員であるDing Xiaoyang、Zhu Yunmin、Cheng Qingminに協力し、CNE活動を行うよう命令しました。呉氏のCNE活動により、米国内外の企業や組織、複数の外国政府から企業秘密、知的財産、その他の高価値情報が盗まれました。これらのMSS関連の行為者は、次の業界の被害者を標的としました:学術、航空宇宙/航空、生物医学、防衛産業基盤、教育、政府、医療、製造、海事、研究機関、輸送(鉄道と海運)。


(2021年7月19日更新) 

STIX形式のIndicator of compromise(IOC)はこちらをご覧ください。注:悪意のある活動を発見するために、インシデント・レスポンダーは、ネットワークおよびホストベースのアーティファクトでIOCを検索し、その結果を評価します(評価の際には偽陽性を排除します)。例えば、STIXファイル内のMD5 IOCの中には、Putty、cmd.exe、svchost.exeなどの正規のツールを侵害の指標として識別するものがあります。ツール自体は悪意のあるものではありませんが、APT40の攻撃者は、コンピュータへの侵入行為の際に、被害者のシステム上の標準的でないフォルダからツールを配置し、使用しました。インシデント・レスポンダーによって正規のツールが特定された場合、誤検知を排除したり、悪意のある活動を発見したりするために、そのツールの場所を評価する必要があります。インシデント対応のガイダンスについては、「Technical Approaches to Uncovering and Remediating Malicious Activity」を参照してください。


技術的詳細

本Joint Cybersecurity Advisoryは、MITRE ATT&CK®フレームワーク、バージョン9を使用しています。参照されているすべての脅威アクターの戦術と技術については、ATT&CK for Enterprise フレームワークを参照してください。


APT40 [G0065]は、さまざまな戦術や技術、カスタムおよびオープンソースのマルウェアの大規模なライブラリ(その多くは、他の複数の中国の疑いのあるグループと共有されています)を使用して、ユーザや管理者の認証情報による初期アクセスを確立し、ネットワーク内に侵入した後は横方向の移動を可能にし、データを流出させるために高価値の資産を見つけ出しました。表1は、これらの戦術・技術の詳細を示したものです。注:この活動を促進するために使用されたドメイン、ファイル名、マルウェアのMD5ハッシュ値のリストについては、付録を参照してください。


、元記事の下の方のTactics and Techniques、APPENDIXも、興味深い。

緩和策

ネットワーク防御の深化

適切なネットワーク防御の徹底と情報セキュリティのベストプラクティスの遵守は、脅威を軽減し、リスクを低減するのに役立ちます。以下のガイダンスは、組織がネットワーク防御の手順を策定する際に役立ちます。


パッチと脆弱性の管理

  • 重要な脆弱性に対しては、ベンダーが提供し、検証されたパッチをすべてのシステムにインストールする。特に、インターネットに接続されたサーバやインターネットデータを処理するソフトウェア(Webブラウザ、ブラウザのプラグイン、ドキュメントリーダーなど)に対しては、優先的に適時パッチを適用する。
  • タイムリーにパッチを当てることができない脆弱性に対しては、適切な移行手順や代償のコントロールを確実に実施する。
  • ウイルス対策用のシグネチャとエンジンを最新の状態に維持する。
  • 構成とパッチの管理プログラムを定期的に監査し、新たな脅威を追跡して緩和する能力を確保する。厳格な設定とパッチ管理プログラムを導入することで、高度なサイバー犯罪者の活動を妨げ、リソースと情報システムを保護することができます。
  • 一般的な脆弱性を悪用した中国のAPTに関する詳細は、「参考文献」セクションの記事を参照してください。


クレデンシャルの保護

  • クレデンシャル要件を強化し、パスワードを定期的に変更し、多要素認証を導入することで、個々のアカウント、特にウェブメールやVPNアクセス、重要なシステムにアクセスするアカウントを保護します。また、複数のアカウントでパスワードを使い回さないこと。
  • 信頼できるネットワークやサービスプロバイダからのリモート認証をすべて監査する。
  • 内部ネットワークで使用されている認証情報と外部システムで使用されている認証情報を関連付けることで、不一致を検出する。
  • net、ipconfig、ping などのシステム管理者用コマンドの使用を記録する。
  • 最小限の特権の原則を実施する。


ネットワークの衛生と監視

  • インターネットに接続可能なアプリケーションを積極的にスキャンし、不正なアクセスや変更、異常な活動を監視する。
  • サーバーのディスク使用量を積極的に監視し、著しい変化がないか監査する。
  • ドメイン ネーム サービス (DNS) のクエリを記録し、承認された DNS サーバから発信されていないすべての送信 DNS 要求をブロックすることを検討します。DNS クエリを監視して、C2 over DNS を確認します。
  • ネットワークとシステムのベースラインを構築して監視し、異常なアクティビティを特定できるようにします。不審な動作についてログを監査する。
  • 異常な活動を行っているユーザーを特定し、アクセスを停止する。
  • 許可リストまたはベースライン比較を使用して、Windowsイベントログおよびネットワークトラフィックを監視し、ユーザがWindowsシステムの特権的な管理共有をマッピングしたことを検出する。
  • ファイル、DNS、URL、IPアドレス、電子メールアドレスを対象としたマルチソースの脅威評価サービスを利用する。
  • Telnet、SSH(Secure Shell)、Winbox、HTTPなどのネットワークデバイス管理インターフェイスは、ワイドエリアネットワーク(WAN)インターフェイスではオフにし、有効な場合は強力なパスワードと暗号化で保護すること。
  • 重要な情報は、可能な限りエアギャップのあるシステム上で管理する。重要なデータには厳格なアクセス制御手段を用いる。


出典 

Alert (AA21-200A)
Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department

https://us-cert.cisa.gov/ncas/alerts/aa21-200a


中国国家がスポンサーとなっている悪質なサイバー活動の傾向 by NSA、CISA、FBI

●インフラと能力の獲得

中国の国家支援型サイバー犯罪者は、情報セキュリティコミュニティの慣行を機敏に把握しています。これらのアクターは、一連の仮想プライベートサーバ(VPS)や、一般的なオープンソースまたは商用のペネトレーションツールを使用することで、自らの活動を隠す努力をしています。

●公的な脆弱性の利用

中国の国家支援を受けたサイバーアクターは、脆弱性が公開されてから数日以内に、重要な脆弱性や高度な脆弱性がないか、ターゲットネットワークを常にスキャンしています。多くの場合、これらのサイバーアクターは、Pulse Secure、Apache、F5 Big-IP、Microsoft製品などの主要なアプリケーションの脆弱性を悪用しようとします。悪意のある中国国家のサイバーアクターによって悪用されることが知られているCVE(Common Vulnerabilities and Exposures)に関する情報は、以下を参照してください。

〇 CISA-FBI Joint CSA AA20-133A: Top 10 Routinely Exploited Vulnerabilities,

〇 CISAアクティビティアラート:AA20-275A:Potential for China Cyber Response to Heightened U.S.-China Tensions

〇 NSA CSA U/O/179811-20: 中国の国家支援行為者が公知の脆弱性を悪用


●暗号化されたマルチホップ・プロキシ

中国の国家支援を受けたサイバーアクターは、暗号化されたプロキシとしてVPSを使用することが日常的に観察されています。このサイバーアクターは、VPSだけでなく、スモールオフィスやホームオフィス(SOHO)のデバイスを運用ノードとして使用し、検知を回避しています。


観測された戦術と技術

中国の国家支援を受けたサイバーアクターは、世界中の関心のあるコンピュータネットワークを悪用し、機密性の高い知的財産、経済、政治、軍事情報を取得するために、あらゆる戦術と技術を使用しています。付録B:MITRE ATT&CKフレームワークには、中国の国家支援型サイバーアクターが使用する戦術・技術がリストアップされています。ダウンロード可能なJSONファイルは、NSA CybersecurityのGitHubページでもご覧いただけます。

これらの戦術や技術に関連する手順や、適用可能な緩和策については、「付録A:中国国家支援型サイバーアクターの観察された手順」を参照してください。


緩和策

NSA、CISA、FBIは、連邦政府、SLTT政府、CI、DIB、民間企業の各組織に対し、以下の推奨事項と、観測された戦術・技術に合わせた付録Aの検知・緩和の推奨事項を適用するよう促します。


●システムや機器に迅速かつ熱心にパッチを当てる

外部に面した機器のリモートコードの実行やサービス妨害を可能にする重要かつ高度な脆弱性や、中国の国家的なサイバーアクターによって悪用されることが知られているCVEに重点的にパッチを当てること。タイムリーかつ徹底したパッチサイクルを可能にするパッチマネジメントプログラムの導入を検討する。

    注:中国の国家支援型サイバー犯罪者によって日常的に悪用されているCVEの詳細については、「中国の国家支援型サイバー犯罪の動向」の項に記載されているリソースを参照してください。


●ネットワークトラフィック、電子メール、およびエンドポイントシステムの監視を強化する

ネットワーク上のシグネチャや指標を確認し、新たなフィッシング・テーマを監視し、それに応じて電子メールのルールを調整する。電子メールの添付ファイルを制限し、評判に基づいてURLやドメインをブロックするというベスト・プラクティスに従う。アカウントの不正使用の監視を中心に、最大限の検知能力を発揮できるように、ログ情報の集約と相関関係の構築を行う。一般的なポートとプロトコルを監視して、コマンド&コントロール(C2)活動を確認します。SSL/TLS検査を使用して暗号化セッションの内容を確認し、マルウェアの通信プロトコルのネットワークベースの指標を探すことができます。ネットワークとエンドポイントのイベント分析および検出機能を導入・強化し、初期感染、認証情報の漏洩、エンドポイントのプロセスやファイルの操作を特定する。


●保護機能を使用して悪意のある活動を阻止する

ウィルス対策ソフトウェアやその他のエンドポイント保護機能を導入し、悪意のあるファイルを自動的に検出して実行を阻止する。ネットワーク侵入検知・防止システムを使用して、一般的に使用されている敵対的なマルウェアを特定・防止し、悪意のあるデータ転送を制限する。ドメインレピュテーションサービスを利用して、疑わしいドメインや悪意のあるドメインを検出する。サービスアカウントに強力な認証情報を使用し、リモートアクセスに多要素認証(MFA)を使用することで、敵対者が盗んだ認証情報を利用する能力を軽減する。ただし、MFAの実装によっては、MFAの傍受技術に注意すること。


、「出典」元の、この後に出てくる「APPENDIX A: Chinese State-Sponsored Cyber Actors’ Observed Procedures」が面白そうで読み応えもありそうだけど、今日は、もう寝ます。

出典

Alert (AA21-200B)
Chinese State-Sponsored Cyber Operations: Observed TTPs (07/19)

Jul 11, 2021

Vulnerability Summary for the Week of June 28

US-CERTの先週の脆弱性サマリーから、いくつかピックアップする。


以下、次の順に

Primary Vendor -- Product, Description, Published, CVSS Score, Source & Patch Info


adobe -- after_effects

Adobe After Effects version 18.1 (and earlier) is affected by an Uncontrolled Search Path element vulnerability. An unauthenticated attacker could exploit this to to plant custom binaries and execute them with System permissions. Exploitation of this issue requires user interaction.

2021-06-28
9.3
CVE-2021-28570 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-28570
MISC https://helpx.adobe.com/ee/security/products/after_effects/apsb21-33.html


adobe -- robohelp_server

Adobe RoboHelp Server version 2019.0.9 (and earlier) is affected by a Path Traversal vulnerability when parsing a crafted HTTP POST request. An authenticated attacker could leverage this vulnerability to achieve arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction.

2021-06-28
9
CVE-2021-28588 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-28588
MISC https://www.zerodayinitiative.com/advisories/ZDI-21-660/


fidelissecurity -- deception

Vulnerability in the CommandPost, Collector, and Sensor components of Fidelis Network and Deception enables an attacker with user level access to the CLI to inject root level commands into the component and neighboring Fidelis components. The vulnerability is present in Fidelis Network and Deception versions prior to 9.3.7 and in version 9.4. Patches and updates are available to address this vulnerability.

2021-06-25
9
CVE-2021-35047 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35047
CONFIRM https://support.fidelissecurity.com/hc/en-us/categories/360001842694-Advisories-News-and-Policies


helpu -- helpu

A remote code execution vulnerability exists in helpUS(remote administration tool) due to improper validation of parameter of ShellExecutionExA function used for login.

2021-06-29
CVE-2020-7868 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2020-7868
MISC https://www.boho.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=36088


huawei -- anyoffice

There is a deserialization vulnerability in Huawei AnyOffice V200R006C10. An attacker can construct a specific request to exploit this vulnerability. Successfully exploiting this vulnerability, the attacker can execute remote malicious code injection and to control the device.

AnyOfficeは、BYODを視野に入れたセキュリティ管理ツールで、MDMコンポーネントも含まれるらしい。  https://forum.huawei.com/enterprise/en/huawei-anyoffice-v200r002c10-deployment-guide-contents/thread/416297-867

2021-06-29
9.3
CVE-2021-22439 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-22439
MISC https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20210619-01-injection-en


inkdrop -- inkdrop

Inkdrop versions prior to v5.3.1 allows an attacker to execute arbitrary OS commands on the system where it runs by loading a file or code snippet containing an invalid iframe into Inkdrop.

Takuyaさんという日本のクリエイターが開発したノートアプリとのこと。  https://webdesign-trends.net/entry/4163

2021-06-28
9.3
CVE-2021-20745 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20745
MISC https://www.inkdrop.app/
MISC https://docs.inkdrop.app/releases/5.3.1
MISC https://jvn.jp/en/jp/JVN29949691/index.html


mcafee -- mvision_edr

A command injection vulnerability in MVISION EDR (MVEDR) prior to 3.4.0 allows an authenticated MVEDR administrator to trigger the EDR client to execute arbitrary commands through PowerShell using the EDR functionality 'execute reaction'.

2021-06-29
9
CVE-2021-31838 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-31838
CONFIRM https://kc.mcafee.com/corporate/index?page=content&id=SB10342


securepoint -- openvpn-client

Securepoint SSL VPN Client v2 before 2.0.32 on Windows has unsafe configuration handling that enables local privilege escalation to NT AUTHORITY\SYSTEM. A non-privileged local user can modify the OpenVPN configuration stored under "%APPDATA%\Securepoint SSL VPN" and add a external script file that is executed as privileged user.

ローカルの非特権ユーザが、設定変更により、外部スクリプトを特権ユーザとして実行できる。最新版にupdateすれば良い。

2021-06-28
7.2
CVE-2021-35523 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35523
MISC https://github.com/Securepoint/openvpn-client/security/advisories/GHSA-v8p8-4w8f-qh34
MISC https://bogner.sh/2021/04/local-privilege-escalation-in-securepoint-ssl-vpn-client-2-0-30/
FULLDISC http://seclists.org/fulldisclosure/2021/Jun/59
MISC http://packetstormsecurity.com/files/163320/Securepoint-SSL-VPN-Client-2.0.30-Local-Privilege-Escalation.html


tenable -- nessus

Nessus versions 8.13.2 and earlier were found to contain a privilege escalation vulnerability which could allow a Nessus administrator user to upload a specially crafted file that could lead to gaining administrator privileges on the Nessus host.

2021-06-29
7.2
CVE-2021-20079 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20079
MISC https://www.tenable.com/security/tns-2021-07


以下「Severity Not Yet Assigned」からピックアップしたもの。


apache -- traffic_server

Incorrect handling of url fragment vulnerability of Apache Traffic Server allows an attacker to poison the cache. This issue affects Apache Traffic Server 7.0.0 to 7.1.12, 8.0.0 to 8.1.1, 9.0.0 to 9.0.1.

caching proxy server "Apache Traffic Server"への潜在的リモート攻撃脆弱性

2021-06-29
not yet calculated
CVE-2021-27577 https://nvd.nist.gov/vuln/detail/CVE-2021-27577
 ← Base Score:  7.5 HIGH とされている。
MISC https://lists.apache.org/thread.html/ra1a41ff92a70d25bf576d7da2590575e8ff430393a3f4a0c34de4277%40%3Cusers.trafficserver.apache.org%3E


google -- chrome

Use after free in WebGL in Google Chrome prior to 91.0.4472.114 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.

2021-07-02
not yet calculated
CVE-2021-30554 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-30554
 ← Base Score:  8.8 HIGH  となっている。
MISC https://crbug.com/1219857
MISC https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html


hitachi -- virtual_file_platform_versions

Hitachi Virtual File Platform Versions prior to 5.5.3-09 and Versions prior to 6.4.3-09, and NEC Storage M Series NAS Gateway Nh4a/Nh8a versions prior to FOS 5.5.3-08(NEC2.5.4a) and Nh4b/Nh8b, Nh4c/Nh8c versions prior to FOS 6.4.3-08(NEC3.4.2) allow remote authenticated attackers to execute arbitrary OS commands with root privileges via unspecified vectors.

2021-06-28
not yet calculated
CVE-2021-20740 https://nvd.nist.gov/vuln/detail/CVE-2021-20740
 ← Base Score:  8.8 HIGH とされている。
MISC https://www.hitachi.co.jp/products/it/storage-solutions/global/sec_info/2021/2021_306.html
MISC https://jpn.nec.com/security-info/secinfo/nv21-011.html
MISC https://jvn.jp/en/jp/JVN21298724/index.html


huawei -- smartphone

There is a Memory Buffer Improper Operation Limit Vulnerability in Huawei Smartphone. Successful exploitation of this vulnerability may cause the device to crash and restart.

2021-06-30
not yet calculated
CVE-2021-22350 https://nvd.nist.gov/vuln/detail/CVE-2021-22350
 ← Base Score:  7.5 HIGH とされている。
MISC https://consumer.huawei.com/en/support/bulletin/2021/5/


huawei -- smartphone

There is a Configuration Defect Vulnerability in Huawei Smartphone. Successful exploitation of this vulnerability may allow attackers to hijack the device and forge UIs to induce users to execute malicious commands.

2021-06-30
not yet calculated
CVE-2021-22352 https://nvd.nist.gov/vuln/detail/CVE-2021-22352
 ← Base Score:  7.8 HIGH とされている。
MISC https://consumer.huawei.com/en/support/bulletin/2021/5/


ibm -- security_identity_manager_adapters

IBM Security Identity Manager Adapters 6.0 and 7.0 could allow a remote authenticated attacker to conduct an LDAP injection. By using a specially crafted request, an attacker could exploit this vulnerability and takeover other accounts. IBM X-Force ID: 199252.

2021-06-28
not yet calculated
CVE-2021-20574 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-20574
 ← Base Score:  8.8 HIGH (CVSS:3.1 ...) とされている。
CONFIRM https://www.ibm.com/support/pages/node/6465875
XF https://exchange.xforce.ibmcloud.com/vulnerabilities/199252


jenkins -- jenkins

Jenkins 2.299 and earlier, LTS 2.289.1 and earlier does not invalidate the previous session on login.

2021-06-30
not yet calculated
CVE-2021-21671 https://nvd.nist.gov/vuln/detail/CVE-2021-21671
 ← Base Score:  7.5 HIGH とされている。
CONFIRM https://www.jenkins.io/security/advisory/2021-06-30/#SECURITY-2371
MLIST http://www.openwall.com/lists/oss-security/2021/06/30/1


libressl -- libressl

LibreSSL 2.9.1 through 3.2.1 has a heap-based buffer over-read in do_print_ex (called from asn1_item_print_ctx and ASN1_item_print).

2021-07-01
not yet calculated
CVE-2019-25048 https://nvd.nist.gov/vuln/detail/CVE-2019-25048
 ← Base Score:  7.1 HIGH とされている。
MISC https://github.com/libressl-portable/portable/commit/17c88164016df821df2dff4b2b1291291ec4f28a
MISC https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=13914
MISC https://github.com/google/oss-fuzz-vulns/blob/main/vulns/libressl/OSV-2020-1923.yaml


mediawiki -- mediawiki

An issue was discovered in the CentralAuth extension in MediaWiki through 1.36. The Special:GlobalRenameRequest page is vulnerable to infinite loops and denial of service attacks when a user's current username is beyond an arbitrary maximum configuration value (MaxNameChars).

2021-07-02
not yet calculated
CVE-2021-36125 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-36125
 ← Base Score:  7.5 HIGH とされている。
MISC https://phabricator.wikimedia.org/T260865
MISC https://gerrit.wikimedia.org/r/q/I97d8b3236b5abed8ba9a9c4d3ab5050c2e782c22


microsoft -- windows

Windows Print Spooler Remote Code Execution Vulnerability

2021-07-02
not yet calculated
CVE-2021-34527 https://nvd.nist.gov/vuln/detail/CVE-2021-34527
 ← Base Score:  8.8 HIGH (CVSS 3.1)とされている。Criticalじゃないのか?
   ※ PrintNightmare 過去記事 
MISC https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527


netgear -- wac104_devices

NETGEAR WAC104 devices before 1.0.4.15 are affected by an authentication bypass vulnerability in /usr/sbin/mini_httpd, allowing an unauthenticated attacker to invoke any action by adding the &currentsetting.htm substring to the HTTP query, a related issue to CVE-2020-27866. This directly allows the attacker to change the web UI password, and eventually to enable debug mode (telnetd) and gain a shell on the device as the admin limited-user account (however, escalation to root is simple because of weak permissions on the /etc/ directory).

2021-06-30
not yet calculated
CVE-2021-35973 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-35973
 ← Base Score:  9.8 CRITICAL とされている。
MISC https://gynvael.coldwind.pl/?lang=en&id=736
MISC https://kb.netgear.com/000063785/Security-Advisory-for-Authentication-Bypass-on-WAC104-PSV-2021-0075


nvidia -- mb2

Bootloader contains a vulnerability in NVIDIA MB2 where a potential heap overflow could cause memory corruption, which might lead to denial of service or code execution.

2021-06-30
not yet calculated
CVE-2021-34384 https://nvd.nist.gov/vuln/detail/CVE-2021-34384
 ← Base Score:  7.8 HIGH (CVSS:3.1)とされている。
CONFIRM https://nvidia.custhelp.com/app/answers/detail/a_id/5205


torproject -- tor

An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-006. The v3 onion service descriptor parsing allows out-of-bounds memory access, and a client crash, via a crafted onion service descriptor

2021-06-29
not yet calculated
CVE-2021-34550 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34550
 ← Base Score:  7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40392
CONFIRM https://blog.torproject.org/node/2041


torproject -- tor

An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-005. Hashing is mishandled for certain retrieval of circuit data. Consequently. an attacker can trigger the use of an attacker-chosen circuit ID to cause algorithm inefficiency.

2021-06-29
not yet calculated
CVE-2021-34549 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34549
 ← Base Score:  7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40391
CONFIRM https://blog.torproject.org/node/2041


torproject -- tor

An issue was discovered in Tor before 0.4.6.5, aka TROVE-2021-003. An attacker can forge RELAY_END or RELAY_RESOLVED to bypass the intended access control for ending a stream.

2021-06-29
not yet calculated
CVE-2021-34548 https://nvd.nist.gov/nvd.cfm?cvename=CVE-2021-34548
 ← Base Score:  7.5 HIGH とされている。
MISC https://gitlab.torproject.org/tpo/core/tor/-/issues/40389
CONFIRM https://blog.torproject.org/node/2041


xen -- xen

Guest triggered use-after-free in Linux xen-netback A malicious or buggy network PV frontend can force Linux netback to disable the interface and terminate the receive kernel thread associated with queue 0 in response to the frontend sending a malformed packet. Such kernel thread termination will lead to a use-after-free in Linux netback when the backend is destroyed, as the kernel thread associated with queue 0 will have already exited and thus the call to kthread_stop will be performed against a stale pointer.

2021-06-29
not yet calculated
CVE-2021-28691 https://nvd.nist.gov/vuln/detail/CVE-2021-28691
 ← Base Score:  7.8 HIGH とされている。
MISC https://xenbits.xenproject.org/xsa/advisory-374.txt


出典

Bulletin (SB21-186) Vulnerability Summary for the Week of June 28, 2021 (07/05)
https://us-cert.cisa.gov/ncas/bulletins/sb21-186


Jul 10, 2021

Sage X3 脆弱性

ERPには珍しい critical vulnerability の記事があったので、挙げておく。

You've patched that critical Sage X3 ERP security hole, yeah? Not exposing the suite to the internet, either, yeah? (07/07)

https://www.theregister.com/2021/07/07/sage_x3_rce/

オンプレミスのSageX3 ERPのシステム管理者は、未認証のコマンド実行脆弱性の犠牲に備えて、ERPスイートをパブリックインターネットに公開していないことを確認する必要があります。

また、管理者は、Rapid7によって以前に発見および報告された多数のバグに対処する、ソフトウェアの最新のパッチが今までにインストールしているべきと述べました。 情報セキュリティチームは欠陥を詳細に説明し、「SageX3のリモート管理に関連するプロトコル関連の問題」と呼んでいます。

CVE-2020-7388を悪用して、Sage X3をだまして、TCPポート1818を介して公開されている管理サービスに、特別に細工されたリクエストを送信して、NT AUTHORITY / SYSTEMコマンドとして実行させることができます。

Sage X3 Vulnerabilities Can Pose Serious Risk to Organizations (07/09)

https://www.securityweek.com/sage-x3-vulnerabilities-can-pose-serious-risk-organizations

研究者によって特定された4つの脆弱性のうち、1つは重大と評価され、残りは中程度の重大度です。 CVE-2020-7388として追跡されている重大な欠陥は、認証されていないリモートコマンド実行の問題として説明されています。

CVE-2020-7387..7390: Multiple Sage X3 Vulnerabilities (07/07)

https://www.rapid7.com/blog/post/2021/07/07/cve-2020-7387-7390-multiple-sage-x3-vulnerabilities/

Sage X3に関連する4つの脆弱性がRapid7の研究者によって特定されました...これらの脆弱性はSageに報告されました...そして最近のリリースで修正されました
  • Sage X3バージョン9(Syracuse 9.22.7.2に同梱されているコンポーネント)、
  • Sage X3 HR&Payrollバージョン9(Syracuse 9.24.1.3に同梱されているコンポーネント)、
  • Sage X3バージョン11(Syracuse v11.25.2.6)、および
  • Sage X3バージョン12(Syracuse v12.10.2.8)。
SageX3の市販のバージョン10はなかったことに注意してください。

これらの脆弱性は、以下の表に要約されています。...一般的に、Sage X3のインストールはインターネットに直接公開するのではなく、必要に応じて安全なVPN接続を介して利用できるようにする必要があります。 この運用上のアドバイスに従うと、4つの脆弱性すべてが効果的に軽減されますが、お客様は通常のパッチサイクルスケジュールに従って更新する必要があります。 

VE Identifier, CWE Identifier, CVSS score (Severity), Remediation
  • CVE-2020-7388
CWE-290: Unauthenticated Command Execution Bypass by Spoofing in AdxAdmin
10.0 (Critical)
Update available
  • CVE-2020-7387
CWE-200: Exposure of Sensitive Information to an Unauthorized Actor in AdxAdmin
5.3 (Medium)
Update available
  • CVE-2020-7389
CWE-306 Missing Authentication for Critical Function in Developer Environment in Syracuse
5.5 (Medium)
No fix planned, as this is a development function and not a production function.
  • CVE-2020-7390
CWE-79: Persistent Cross-Site Scripting (XSS) in Syracuse
4.6 (Medium)
Update available (note, this affects V12 only, unlike the other issues which affects V9 and V11 as well)


Jul 8, 2021

カスペルスキーのパスワードマネージャーの脆弱性

KPMのパスワード生成に関する脆弱性「CVE-2020-27020」の記事。

疑似乱数や種の話が、直感的にスラスラ読める。
こういうサボり方は「あるある」かもな、という気もする。

カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか? (2021/07/07)

https://gigazine.net/news/20210707-kaspersky-password-manager-brute-force/


2020/10に修正パッチが出されているので、適用すれば良い。

影響を受けるのはWindows版・iOS版・Android版で、以下のバージョン以前のもの、との事。
・Kaspersky Password Manager for Windows 9.0.2 Patch F
・Kaspersky Password Manager for Android 9.2.14.872
・Kaspersky Password Manager for iOS 9.2.14.31

Jul 4, 2021

中国当局、滴滴を調査、セキュリティー懸念で

 アメリカやシンガポールでの配車サービスアプリは、それぞれお馴染み Uber、Grab。使いやすくて便利。

 中国では滴滴出行(Didi Chuxing Technology Co.,)が該当。これは有名だけど、まだ使ったことが無い。上海だと流しのタクシーを捕まえられた(2018~2019)ので、それほど必要も感じなかったのだ。

・関連過去記事(SIM)

アメリカ・ハワイSIM lycamobile 30日LTE4GB (2018/04/17)

アメリカ・ハワイSIM lycamobile 30日LTE4GB #2 使ってみた (2018/09/09) 

【中国聯通香港】「 シンガポール 7日間 データ 使い放題 上網/通話 SIMカード 」  (2018/09/12) 


 驚いたことに、米では主要観光地から離れるほど市中を流すタクシーを見つけにくく、しかし同サービスを使うと予め料金や車の到着時間まで分かり、もはや使って当たり前の便利必携ツールと化していた(2018)こと。別の或る国では、タクシー業界保護の規制で"Eats"以外は未だに浸透していない(本稿執筆時)のとは大違いである。UberもGrabも(恐らくDiDiも)、早くタクシーを捕まえたいユーザと、客待ち負担を最小化 & 効率的収益化したい運転手との双方のニーズを確実に満たすというのに、だ。

 また当該サービスは、大量のデータ利活用を図れる点も大きい。その可能性はマクロ視点での省エネや都市インフラ最適化など幅広いと推察する。さらに海外顧客情報まで収集しビッグデータ化できるなら、中国当局にとってもDiDiの米進出はプラスはあってもマイナス要素は少ないのでは?と不思議に感じたニュースを以下に挙げる。

---> 10/10 追記

 夏以降、中国の報道が増えてきた(例、IT企業巨大化に対する国家統制不足懸念、不動産問題、濠中関係悪化をきっかけとするエネルギー問題、など)。
この件も、個人情報漏洩懸念、特に統治者の身内の情報や、組織重鎮ないしは関係者全員の移動記録等の漏洩をきっかけに、ビックデータによる活動分析、といった文脈で想像を膨らませると、不都合や想定外事象の予防統制という点で意味があるのかもしれない。

<--- 10/10 追記、ここまで


滴滴出行 株価はこのリンク 


中国当局、配車サービスの滴滴を調査 セキュリティー懸念で (07/03)

https://jp.reuters.com/article/china-didi-global-idJPKCN2E81V2

 ニューヨーク証券取引所(NYSE)で2日、中国の配車サービス最大手、滴滴出行(ディディ)の株価が10%超値を下げた。中国サイバースペース管理局(CAC)が国家安全と公益を守るためにディディの調査を開始したと述べたことが材料視された。

 中国当局はここ数年、国内の大手テクノロジー企業に対する規制を強化してきた。企業に対して主要なデータを適切に収集・管理するように要求している。

 CACはディディの調査に関する詳細を明らかにしなかったが、国家安全法とサイバーセキュリティー法に言及し、調査の目的がデータの機密保護に関するリスクを防ぐものでもあると説明した。

 中国と世界15カ所超の市場で広範なサービスを提供するディディは毎日、膨大な量の移動データをリアルタイムで収集している。一部のデータは自動運転技術や交通量分析に使っている。


一次情報はこれか?(↓)

China investigates Didi over cybersecurity days after its huge IPO

https://www.reuters.com/technology/china-cyberspace-administration-launches-security-investigation-into-didi-2021-07-02/

 株式公開(IPO)から44億ドルを調達したディディは、中国企業の間では珍しい動きである市場デビューの祝賀イベントを開催しませんでした。

 2012年にWillChengによって設立されたDidiは、安全性とその運用ライセンスに関して、中国でいくつかの規制調査に直面しています。

 同社はまた、6月にロイターが明らかにした独占禁止法の調査に直面しており、ディディが反競争的行動を利用して小さなライバルを追い出したかどうかを調べている。当時、「名前のない情報源からの根拠のない憶測」についてはコメントしないと述べた。

 水曜日のディディのデビューは、2014年のアリババグループホールディングリミテッド以来、中国企業による最大の米国上場でした。

 ディディは、IPOを通じて最大100億ドルを調達し、同社の価値を1,000億ドルにすることを目指していました。しかし、投資家は、取引開始前の会議で評価目標に批判的であり、取引の規模が縮小しました。

 ディディはまた、ソフトバンクグループ(9984.T)、アリババ、テンセント(0700.HK)、ユーバー(UBER.N)などのテクノロジー投資大手にも支えられています。


【材料】中国のディディが反落 中国当局がサイバーセキュリティーに関して調査に着手=米国株個別 (07/03)

https://kabutan.jp/news/marketnews/?b=n202107030027

 同社は中国で配車サービスなどモビリティー業界に技術を提供。今週30日にNY証券取引所に上場し、中国企業の米IPOでは過去2番目の規模となった。本日は中国サイバースペース管理局(CAC)がサイバーセキュリティーに関して同社の調査に着手したと発表したことが嫌気されている。

--> 07/27追記

当局の規制強化について、投資系YouTuberからもコメントが挙がっている。

【悲報】中国教育関連株が軒並み大暴落 (07/25)

https://buffett-taro.net/archives/44462228.html
「共産党が支配する中国株への投資の難しさ」

【7/25配信】これらの銘柄はゼロになるかもよ❗️中国株、くだらない値頃観は捨てて!中国が抱える問題点を解説(EDU, TAL, DIDI)【じっちゃま米国株】 (07/26)

https://www.youtube.com/watch?v=gcPg2Jwn7M4
中国の課題(人口問題)を説明する上で、海外移住者の視点で日本事例まで言及していて、興味深いビデオになってます。


モンゴルの認証局 MonPassがハック。サプライチェーンアタック事例。Cobalt Strike悪用

Mongolian Certificate Authority Hacked to Distribute Backdoored CA Software (07/02)

https://thehackernews.com/2021/07/mongolian-certificate-authority-hacked.html

 ソフトウェアサプライチェーン攻撃のさらに別の例では、身元不明のハッカーが、モンゴルの主要な認証局の1つであるMonPassのWebサイトに侵入し、CobaltStrikeバイナリを使用してインストーラソフトウェアをバックドア化しました。

 チェコのサイバーセキュリティソフトウェア会社であるアバストは、木曜日に発表されたレポートで、トロイの木馬化されたクライアントは2021年2月8日から2021年3月3日までダウンロード可能だったと述べています。

 Avastによる調査は、顧客のシステムの1つにバックドアインストーラーとインプラントが見つかった後に始まりました。

 「CobaltStrikeは、アクセスが達成された後に脅威アクターが使用する第2段階のツールだけでなく、初期アクセスペイロードとして脅威アクターの間でますます人気が高まっており、2020年には犯罪脅威アクターがCobaltStrikeキャンペーンの大部分を占めています」とProofpointの研究者は述べています。 

 

Cobalt Strike Becomes One of the Go-To Tools for Hackers (07/02)

Cobalt Strikeは、サイバー犯罪の世界で最も誤用されているツールの1つになりました。 これは元々侵入テスト用に作成された合法で市販のツールですが、最近のレポートでは、このツールを使用したサイバー攻撃が前年比で161%増加したことが示されています。
(↑)この記事は、同ツールがSolarWindsの件でも使用されていた事に触れています。

Kaseyaにランサムウェア攻撃

 クライアント管理サービスのKaseyaに大規模ランサムウェア攻撃 またREvilの可能性 (07/04)

https://www.itmedia.co.jp/news/articles/2107/04/news014.html

 同社のIT環境管理・自動化サービス「VSA」のオンプレミス版が「高度なサイバー攻撃の犠牲になった」 ・・・ SaaSサーバも念の為オフラインにした(影響を受ける顧客は世界で約3万6000)。同社は約40の顧客が影響を受けたことを確認しており、保護のためすべての顧客にVSAを停止するよう呼び掛けた。

 Kaseyaとも協力しているセキュリティ企業のHuntress Labsは、このランサムウェア攻撃は5月にJBSを攻撃したのと同じ犯罪集団「REvil」が関わっている可能性が高いとしている。REvilはロシアを拠点としているとみられている。

 添えられた脅迫状では、身代金は仮想通貨の「Monero」で要求されている。

 米司法省(DoJ)は6月、米石油移送パイプライン大手のColonial Pipelineがビットコインで支払ったランサムウェアの身代金の秘密鍵を米連邦捜査局(FBI)が持つことで、身代金の一部を差し押さえたと発表した。Moneroの仕組みではこうした対策はできない。

 Kaseyaは米連邦捜査局(FBI)および米国土安全保障省のサイバーセキュリティ機関CISAと協力している。


PrintNightmare CVE-2021-34527

「PrintNightmare」は「CVE-2021-1675」と異なる脆弱性 - MSが回避策をアナウンス (07/02)

https://www.security-next.com/127752

 マイクロソフトはセキュリティアドバイザリを急遽リリースした。パッチは用意されておらず、回避策をアナウンスしている。(筆者注、次の記事参照)

 セキュリティ研究者が実証コードを一時公開。その後削除したものの、第三者が公開しており、すでに拡散している。

  修正プログラムを適用した環境においても、エクスプロイトコードの実行を防げない「ゼロデイ状態」にある・・・

  リモートからSYSTEM権限で任意のコードを実行されるおそれがある・・・


回避策など、具体的にまとまっている記事(↓)

[回避策あり][PrintNightmare]Windowsの印刷スプーラーにゼロデイ脆弱性CVE-2021-34527 (07/02)

https://a-zs.net/cve-2021-1675/


・概要

 「PrintNightmare」で発生する脆弱性は、ドメインコントローラーにおいては2021年6月の累積更新プログラムでは完全に防げず、結果的にゼロデイ脆弱性「CVE-2021-34527」が知られることになりました。

 Microsoftよるとドメインコントローラーが影響を受ける・・・まだ調査中で不明な点もあります。


・回避策、一次情報

 Windows Print Spooler Remote Code Execution Vulnerability CVE-2021-34527
 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527


・回避策要否判断、印刷スプーラーサービスが実行されているか確認するには

 Powershellで、「Get-Service -Name Spooler」 実行


・【回避策1】印刷スプーラーサービスを無効にする

 Stop-Service -Name Spooler -Force

 Set-Service -Name Spooler -StartupType Disabled

 以上のコマンドを実行後、OSを再起動


・【回避策2】グループポリシーでクライアント接続禁止

 グループポリシーで「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にする

 コンピューターの構成 > 管理用テンプレート > プリンター の「印刷スプーラーがクライアント接続を受け入れるのを許可する」を無効にして、リモート攻撃をブロック


・参考

Active Directory でグループ ポリシー設定を使用してプリンターを制御する (2020/09/08)  

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/printing/use-group-policy-to-control-ad-printer


・回避策の影響

 プリントサーバーとして機能しなくなります。


・その他

 CVE-2021-34527脆弱性は2021年6月の累積更新プログラムで修正されたCVE-2021-1675脆弱性とは異なる。

 この脆弱性は2021年6月の累積更新プログラムの前から存在していた。

 ドメインコントローラーが影響を受ける。他の種類の役割も影響を受けるかどうかはまだ調査中。

 この脆弱性を含むコードはすべてのバージョンのWindowsにある。すべてのバージョンが悪用可能かどうかはまだ調査中。


コマンドプロンプトから、Windows SCコマンドで診断・対処する方法(↓)

PrintNightmare の脆弱性を阻止するには (07/02)

https://news.sophos.com/ja-jp/2021/07/02/printnightmare-vulnerability-what-to-do-jp/


・対策

1.印刷スプーラーを可能な限りオフにしてください。
2.どうしてもオフにできない Windows マシンでは、印刷スプーラーサービスへのアクセスを可能な限り厳しく制限してください。
3.パッチを確認し、公開され次第直ちに適用してください。


・印刷スプーラーを実行しているデバイスを特定する方法

(1)Sophos EDR / Sophos XDR を使用して特定する

(2)Windows SC (サービスコントロール) コマンドを使用して特定する

 C:\Users\duck>sc query spooler

 

・再起動してもスプーラーが自動的に起動しないようにするには

 C:\Users\duck>sc config spooler start= disabled

本記事は、追加情報が入り次第更新します。。。とのこと


Windowsの印刷スプーラーにゼロデイ脆弱性? 「PrintNightmare」が公表・即削除 (06/30)

https://forest.watch.impress.co.jp/docs/news/1335086.html


・経緯

 Windowsの印刷スプーラーの脆弱性(CVE-2021-1675)を悪用して任意コードの実行が可能になることを実証したコード(PoC)が6月29日、「GitHub」で公開された。・・・すぐに削除されたものの、その内容はすでに広まっており、警戒を要する。 

 「CVE-2021-1675」は2021年6月のセキュリティ更新で対処されている・・・深刻度も低く見積もっていた。しかし、Microsoftは21日に・・・脆弱性の内容を「任意コードの実行」、深刻度を「Critical」に改めている。すべてのパッチを当てた環境でも攻撃が成立すると主張する研究者もいる・・・


・ベストプラクティス、ヒント

 Windowsの印刷スプーラーでは、過去にいくつも脆弱性が発見されてきた。最近では、四半世紀にわたり気付かれなかった「PrintDemon」脆弱性が記憶に新しい。 

・参考

四半世紀にわたり気付かれなかったWindows印刷スプーラーの脆弱性が2020年5月パッチで修正 (2020/05/19)

https://forest.watch.impress.co.jp/docs/news/1253261.html


 10年以上前にイランの核施設攻撃に用いられたマルウェア「Stuxnet」もWindowsの印刷スプーラーの脆弱性が一部用いられた。 


Jun 30, 2021

デル製PCのBIOS機能に脆弱性

3,000万台のデル製PCのBIOS機能に脆弱性。更新または機能無効化を推奨 (06/25)

https://pc.watch.impress.co.jp/docs/news/1334079.html


DSA-2021-106: Dell Client Platform Security Update for Multiple Vulnerabilities in the BIOSConnect and HTTPS Boot features as part of the Dell Client BIOS

https://www.dell.com/support/kbdoc/ja-jp/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature

回避策と緩和策

BIOSを最新版にする事が推奨されているが、出来ない場合は次の緩和策を。 

BIOSConnect:

Customers may disable the BIOSConnect feature using one of two options:

Option 1: Customers may disable BIOSConnect from the BIOS setup page (F2). 

Option 2: Customers may leverage Dell Command | Configure (DCC)’s Remote System Management tool to disable the BIOSConnect and Firmware Over the Air (FOTA) BIOS settings. 


HTTPS Boot:

Customers may disable the HTTPS Boot feature using one of two options:

Option 1: Customers may disable BIOSConnect from the BIOS setup page (F2). 

Option 2: Customers may leverage Dell Command | Configure (DCC)’s Remote System Management tool to disable HTTP Boot Support. 


May 15, 2021

CASB導入~運用、記事いろいろ

 “無法状態”のクラウド利用がもたらすリスク、知っていますか?CASBの活用で安心・安全な環境を (2018/10/09)

https://japan.zdnet.com/paper/20013091/30002810/

CASB: Cloud Access Security Broker


クラウドセキュリティの代表格、CASBのメリットと課題とは?

https://www.jbsvc.co.jp/useful/security/casb.html

CASBを導入する目的の多くは、シャドーIT対策

CASBの限界と考慮点
1.何が起きているかはわからない
2.クラウドにおけるセキュリティポリシーが明確でなければ意味がない
3.オンプレミス環境のデータ取り扱いによっては、漏洩盲点に


CASBを入れて終わりにしないために――導入後のCASBの運用業務を整理する  (2018/05/25)

https://enterprisezine.jp/article/detail/10728


May 3, 2021

Linuxのマルウェア、RotaJakiro、DreamBus、RedXOR

Linuxのマルウェア記事を三つ。
いずれも、検出方法がオリジナルサイト(英語)に詳しいので、併せて載せた。


Linuxバックドア「RotaJakiro」発見の報告 少なくとも3年前から活動か (05/01)

https://www.itmedia.co.jp/enterprise/articles/2104/30/news119.html

『TCP 443経由で、4つのドメインと通信する不審なバイナリファイルを検出した。 HTTPSと同じポートを使っているにもかかわらず、TLS/SSLが使われていなかった。』

この『4つのドメイン』他、一次情報サイト(↓)に詳しい。

RotaJakiro: A long live secret backdoor with 0 VT detection (04/28)

https://blog.netlab.360.com/stealth_rotajakiro_backdoor_en/

検出済みのマルウェアのファイル名等も載っているので、一度見ておくと良いだろう。


Linuxサーバが標的 検出しにくいマルウェア「DreamBus」  (01/26)

https://www.itmedia.co.jp/enterprise/articles/2101/26/news123.html

『セキュリティ製品の多くがDreamBusモジュールを検出できない

 DreamBusはワームとしての特徴を備えており、さまざまな方法を使ってインターネット経由ないし内部ネットワークにおいて、横方向へ広がる

DreamBus自体がモジュラー形式の構造を取っており、さまざまな機能を後付けできる仕組みになっており、拡張性が高い』


DreamBus Botnet – Technical Analysis

https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis

『The malware can spread to systems that are not directly exposed to the internet by scanning private RFC 1918 subnet ranges for vulnerable systems

DreamBus uses a combination of implicit trust, application-specific exploits, and weak passwords to gain access to systems such as databases, cloud-based applications, and IT administration tools』

検出(Detections)の為の IOCs(Indicators of Compromise)として、
SHA256 Hash値、Domain / IP address、ファイル名 や
Yara rules, Snort rules も提示されている。


Linuxに新バックドア「RedXOR」発見、増え続けるLinux標的マルウェアの脅威 (01/26)

https://www.itmedia.co.jp/enterprise/articles/2103/12/news149.html

『RedXORは現在のところ、中国の脅威アクターが標的とすることが多いインドネシアおよび台湾を狙っている .. この攻撃がかなり洗練されたものだ ..

「polkitデーモン」になりすましてサーバに居座る』


New Linux Backdoor RedXOR Likely Operated by Chinese Nation-State Actor (03/10)

https://www.intezer.com/blog/malware-analysis/new-linux-backdoor-redxor-likely-operated-by-chinese-nation-state-actor/

Detection & Response として Intezer Labs社のfree community editionが使えるらしい。同製品のスクリーンショットが載っている。直感的で使いやすそうなインターフェイスではある。

Linux系antivirus の今日現在のグーグルヒット件数は次の通りだった。
・ClamAV 1.2百万件
・intezer  0.3百万件
・LMD maldetect  3.7千件
・Dr.Web Antivirus for Linux 0.8千件
・NOD32 Antivirus for Linux Desktop 30千件

IoCsとして、ドメイン/IP、プロセス名、作成されるファイルとディレクトリ等が掲載されている。


Apr 4, 2021

Ubuntu 起動用USBの persistent モード

久々にやろうと思ったら手間取ったので、書き留めておく。

1.Windows機を準備・以下作業

1-1.diskmgmt.msc起動
下記(1),(2)で二つのパーティションを作成する
(1) OS主領域は FAT32, 4.6GB程度で作成
 パーティションをアクティブとしてマーク
(2) persistent modeでの記録領域として、お好みで(残り全部)
 ボリュームラベルは、casper-rw(勝手に大文字になる), ひとまずFAT32でフォーマット

1-2.ubuntu desktop 20.04 isoイメージのダウンロード

1-3.SHA256 sum の一致をチェック

1-4.unetbootin で元isoファイル、書込みusbドライブを選択して、書込み

1-5.OS主領域の/boot/grub/grub.conf に下記の感じでセクション追加する

menuentry "Ubuntu persistent" {

set gfxpayload=keep
linux    /casper/vmlinuz  file=/cdrom/preseed/ubuntu.seed boot=casper fsck.mode=skip quiet splash --- persistent
initrd    /casper/initrd

}

※ win機でやると楽。別のlinux機だったりすると、書込みに苦労するので
※ 「---」の後にスペースを空けて persistent を追記
※ boot=casper を追記(maybe-ubiquityとか only-ubiquityは不要)
※ fsck.mode=skip を入れておくと良い(起動時の長いfilesystem checkが省かれて起動が早くなる)


2.別のlinux機を準備・以下作業

2-1.Disksという名前のユーティリティを検索・実行
 Windows機にext4フォーマット可能なアプリをインストールすれば良いのだが、色々汚れる感じがいやで、デフォルトアプリでやれる方法を採用。
2-2.usbの casper-rw領域を ext4でフォーマット
 

3.usb起動したいPCに挿入・起動。動作確認


4.参考にしたところ

UNetbootin
https://unetbootin.github.io/

LinuxをUSBメモリへインストールする (2015/01/07)
http://forestspring.hatenablog.com/entry/2015/01/07/012404

設定保存可能なライブUSB(Ubuntu)を作る (2020/11/28)
https://qiita.com/nagayaoh/items/d15b0e5836e23060a976

mkusb fails to make persistent USB (2017/04/02)
https://askubuntu.com/questions/899341/mkusb-fails-to-make-persistent-usb
前回は、mkusbで作ったのかもしれない。思い出せない

Mar 31, 2021

LINEのアレ

LINEは 遅くとも 2014から脇が甘かったようです。

振り返りの為、当時の見覚えある記事と、最近の記事とを、見繕ってみました。

 

1.結論 「LINEの扱い(案)」

後述 第2, 3項から、以下の扱いが妥当と思います。

  • 学校や自治体の連絡手段になっていて利用不可避な場合もあるらしい。これは解決策無し
  • 個人利用なら、リスクを理解の上で(一定の情報交換に留めて)便利さを追求するのはアリ(私は使わないけど、気に入って使っている人に都度「危ないよ」と踏み込むのは憚られる)
  • 国家機密の交換には不適切(脇が甘いのは「DNA」で、短時日には解決しないと思われる)

 

2.LINEでの情報交換・データ処理を慎むべきケース

どのような情報なら、LINEで送ってもセーフ or アウトか、利用シーンを挙げて分類してみます。

※前提: 利用者本人と相手の氏名・所属を(何らかの方法で)識別可能とします。

セーフ(主に仕事以外を想定)

アウト(主に業務シーンの事例を想定)

 

差別発言(人種、宗教、性、マイノリティ 等への差別発言が漏洩したら組織的に「アウト」)

仕事メンバーを含まない飲み会案内

 

仕事メンバーを含む飲み会案内

(宛先から組織情報やメンバー関係性がばれる。例、特許チームや重要プロジェクト)

 

VIPの健康状態、出張・行動予定(含、便名、時刻、訪問先、宿泊先)

 

現金・貴金属・高級サンプル等の運搬・受渡し情報(金額、行動予定)

 

購入記録(薬品、図書、専門誌、嗜好品)

  • LINE Payの情報漏洩可能性が、報道では未だ過小評価されている印象

 

取引先との連絡

(競合先が韓国、中国である場合、特に問題)

その他、プライバシー・機微情報を含まないもの(無味乾燥過ぎ?

その他、機密情報(知財、原価 ほか)

意外に、VIPと家族の遣り取りや、取引先からの引き合いなどで、つい上記の「アウト」に当てはまる場合が起きているのでは?

今後とも、指導的立場の組織からの啓蒙が必要でしょう。

 

3.参考

・ユーザーの個人情報に関する一部報道について (2021/03/17)

https://linecorp.com/ja/pr/news/ja/2021/3675

『【韓国のデータセンターで保管されているデータ

画像・動画・Keep・アルバム・ノート・タイムライン・LINE Payの取引情報*1

*1 氏名住所など本人確認に必要な情報は国内で保管されています (←筆者注、画像・動画・タイムラインを保管しておきながら「本人確認に必要な情報は日本(だから安全)」と意図的にミスリーディングしているのでは?

 

中国においてはLINEの子会社LINE Plus Corporationの子会社であるLINE Digital Technology (Shanghai) Limited(大連)と、NAVER Corporationの中国法人であり、LINEの業務委託先であるNAVER China(北京)の2拠点で開発業務を行っております。加えて、LINEの子会社LINE Fukuokaの外部委託先(大連)において、一部公開コンテンツおよびユーザーから「通報*2されたトークテキストのモニタリング業務を行っています。

 

・「LINEの常識と世間の常識にズレ」個人情報問題で露呈 (2021/03/30)

https://mainichi.jp/premier/business/articles/20210329/biz/00m/020/003000c

LINEの情報管理で問題にされたのは主に次の2点だ。

1)ラインで利用者がやりとりした会話履歴や会員情報を、中国にある孫会社から閲覧できるようにしていた

2)利用者がラインに載せた写真や画像を、韓国にあるサーバーで保管していた。

ラインのプライバシーポリシー(個人情報の取り扱い方針)では「第三国に個人データを移転することがある」と書かれていたが、国名を明示していなかった。

・・・

この経過を見ると、ライン側は中国や韓国で利用者の個人情報を閲覧し保管することを大きな問題と考えておらず、統合相手のZホールディングスから事実確認を求められたことをきっかけに問題点を認識したことが垣間見える。

 

LINEの信頼失墜、中国拠点の情報閲覧問題で「ヤフー支配」強まる (2021/03/27)

https://diamond.jp/articles/-/266774

『ヤフーを運営するZHDと、LINEとの統合が完了したのは31日だ。

 ・・・個人情報の取り扱いに過剰なまでに過敏なヤフーに対し、LINEの反応の鈍さが目立つ。』

 

LINEの個人情報問題と決済・データビジネスへの影響 (2021/03/26)

https://www.watch.impress.co.jp/docs/series/suzukij/1314713.html

『「LINE Payと呼ばれる機能そのものはすべて韓国側のデータセンターに蓄積されており、

・・・

LINE PayLINE Payカードの発行に関して韓国側の担当者の意向がかなり介在ていたというは各方面から聞いており、親会社であったNAVERが何らかの形で関与していた可能性がある。

・・・

情報が漏れたのではないか・・・という懸念を抱いている人は少なからずいると思われる。これが違法かといえば否だが、その理由は、理由なき個人情報の海外移転を規制する「改正個人情報保護法(2020年成立)」の全面施行が202241日であり、現時点ではまだ規制対象外となるからだ。

・・・

個人レベルであれば「気に入らないから使わない」というのも自由だが、LINEの利用を強制されるケースがあるのであればそうもいかない。

・・・

個人的意見でいえば・・・LINE自体のガバナンスや運用ポリシーがずさんだったことを示しているのではないか・・・調査することでさらに新事実が出てくる可能性もあり、当面この問題は収束しないのではとも考える。

 

・韓国国情院がLINE傍受

仮想空間はとうに戦場。国家の「傭兵ハッカー」たちが盗み、奪い、妨害し、破壊する無法地帯で、日本も巻き込まれた。(20147月号)

https://facta.co.jp/article/201407039.html

5月下旬、官邸内に衝撃が広がった。韓国の国家情報院(旧KCIA)が、無料通話・メールアプリ「LINE」を傍受し、収拾したデータを欧州に保管、分析していることが明らかになったからだ。

・・・

「通信の秘密」を守る法律がない韓国側は悪びれない。だが、LINEの登録ユーザー4億人余のうち日本人は5千万人。その通話データなどが韓国にすべて送られ、丸裸にされているのだ。

・・・

そればかりか、LINEの日本人データが、SNS(交流アプリ)などを提供する中国のインターネットの「巨人」テンセント(騰訊)に漏れた疑いがあるのだ。

LINEは韓国最大の検索サイト、ネイバーの100%子会社

・・・

 

これに対する反論ブログ記事

  ↓

・本日報道の一部記事について (2014/6/18)

https://lineblog.me/morikawa/archives/1023072161.html

LINEはシステム内であってもシステム外の通信ネットワーク上であっても安全です。』

(筆者注、客観的・技術的根拠が十分示されているとは言えず、疑問が残ります。)

 

以上