Apr 17, 2024

メモ、今日のWebinarから

次回開催のご案内 https://global.fortinet.com/apac-lp-jp-cyber-security-lounge-may24

 

OTのセキュリティでこれから必須になるインシデントへの対応 - ZDNET Japan

https://japan.zdnet.com/article/35217597/

国家安全保障の観点から防衛が必要な重要インフラに必要なセキュリティ対策とは | TECH+(テックプラス) (mynavi.jp)

https://news.mynavi.jp/techplus/article/20240412-2925452/

 

ASCII.jp:重要インフラの事故対応にサイバー視点を ― OTセキュリティ関連法改正をフォーティネットが解説

https://ascii.jp/elem/000/004/193/4193582/

 

重要インフラの事故対応にサイバー視点を ― OTセキュリティ関連法改正をフォーティネットが解説(アスキー) - Yahoo!ニュース

https://news.yahoo.co.jp/articles/5dc00028ee5d7541fc1a1c9b91f9e94b19f4da82


OTセキュリティを巡るエネルギー業界の法改正とは、変わる事業者の事故対応:産業制御システムのセキュリティ(1/ページ) - MONOist (itmedia.co.jp)

https://monoist.itmedia.co.jp/mn/articles/2404/16/news056.html

OTセキュリティ関連法改正で何が変わる? 改正のポイントと企業が今やるべきこと(2/2 ページ) - ITmedia エンタープライズ

https://www.itmedia.co.jp/enterprise/articles/2404/16/news025_2.html


Apr 15, 2024

メモ、セキュリティは楽しいかね #166

CISA が緊急指令 ED 24-02 を発出

CISA Issues Emergency Directive 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System | CISA (04/11)

本日、CISAは、ロシアの国家が支援するサイバーアクターMidnight Blizzardが、Microsoft企業の電子メールアカウントの侵害に成功し、連邦文民行政府(FCEB)機関の電子メール通信を盗み出すという最近のキャンペーンに対処するために、急指令(ED)24-02を正式に発行しました。この指令 https://www.cisa.gov/news-events/directives/ed-24-02-mitigating-significant-risk-nation-state-compromise-microsoft-corporate-email-system、政府機関は、流出した電子メールの内容を分析し、侵害された資格情報をリセットし、特権のあるMicrosoft Azureアカウントを保護するための追加の手順を実行する必要があります。

ED 24-02 の要件は FCEB 機関にのみ適用されますが、他の組織も Microsoft 企業の電子メールの流出の影響を受けている可能性があるため、追加の質問やフォローアップについては、それぞれの Microsoft アカウント チームに連絡することをお勧めします。FCEB 機関、州および地方自治体は、Microsoft とのエスカレーションと支援のためにディストリビューション MBFedResponse@Microsoft.com  を利用する必要があります。直接的な影響に関係なく、すべての組織は、強力なパスワード、多要素認証 (MFA)安全でないチャネルを介した保護されていない機密情報の共有の禁止など、厳格なセキュリティ対策を適用することを強くお勧めします。

 

ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System | CISA (04/02)

必要なアクション

認証の侵害が既知または疑われる場合、またはそのような侵害の具体的な詳細を認識した場合、Microsoft から電子メール メタデータを受信した影響を受ける機関は、次の措置を講じる必要があります。

1.   トークン、パスワード、API キー、または侵害がわかっている、または侵害が疑われるその他の認証資格情報に対して、直ちに修復アクションを実行します。

2.   アクション 1 で特定された既知または疑われる認証侵害については、2024  4  30 日までに次のことを行います。

a.    関連付けられたアプリケーションの資格情報をリセットし、機関で使用されなくなった関連アプリケーションを非アクティブ化します。

b.   サインイン、トークンの発行、その他のアカウント アクティビティ ログで、資格情報が侵害された疑いがある、または悪意のあるアクティビティの可能性が確認されたユーザーとサービスを確認します。

影響を受けるすべての機関は、次の措置を講じるものとします。

3.   この指令の付属書に記載されている詳細に従って、侵害された Microsoft アカウントとの機関の通信の完全な内容を特定し、サイバーセキュリティ影響分析を実行するための措置を講じます。このアクションは、2024  4  30 日までに完了する必要があります。

4.   機関の分析によって特定された既知または疑わしい認証侵害については、CISA に通知し、手順 1  2 に従います。CISAは、これらの必要なアクションを完了するための更新されたタイムラインで機関と協力します。

 

 

Apple がスパイウェアによる攻撃の標的となっているユーザに警告の通知

About Apple threat notifications and protecting against mercenary spyware - Apple Support (04/10)

Appleの脅威通知は、傭兵スパイウェア攻撃の標的になった可能性のあるユーザに、その人が誰であるか、または何をしているかが原因である可能性を通知し、支援するように設計されています。このような攻撃は、通常のサイバー犯罪活動や消費者向けマルウェアよりもはるかに複雑で、傭兵スパイウェアの攻撃者は、非常に少数の特定の個人とそのデバイスを標的にするために並外れたリソースを使用します。傭兵スパイウェア攻撃は数百万ドルの費用がかかり、多くの場合、保存期間が短いため、検出と防止がはるかに困難になります。大多数のユーザーがこのような攻撃の標的になることはありません

 

市民社会組織、テクノロジー企業、ジャーナリストによる公開レポートや調査によると、このような並外れたコストと複雑さを持つ個人を標的とした攻撃はNSOグループのPegasusなど、民間企業に代わって傭兵スパイウェアを開発する民間企業を含む国家主体と歴史的に関連しています。傭兵スパイウェア攻撃は、ごく少数の個人(多くの場合、ジャーナリスト、活動家、政治家、外交官)に対して展開されていますが、継続的かつグローバルに行われています。2021年以降、これらの攻撃を検知したAppleの脅威通知を年に複数回送信し、現在までに合計150か国以上のユーザーに通知しています。傭兵スパイウェア攻撃の非常にコストが高く、巧妙で、世界的な性質を持っているため、今日存在する最も高度なデジタル脅威の1つとなっています。そのため、Appleは、攻撃またはその結果として生じる脅威通知を特定の攻撃者または地理的地域に帰属させることはありません。

 

Appleが傭兵スパイウェア攻撃と一致するアクティビティを検出した場合、Apple2つの方法で標的のユーザに通知します

l  脅威通知は、ユーザーが appleid.apple.com にサインインした後、ページの上部に表示されます。

l  Appleは、ユーザのApple IDに関連付けられているメールアドレスと電話番号にメールとiMessage通知を送信します。

 

すべてのユーザー向けのガイダンス

すべてのユーザーは、セキュリティのベストプラクティスに従って、一般的なサイバー犯罪者や消費者向けマルウェアから身を守り続ける必要があります。

l  最新のセキュリティ修正プログラムを含む最新のソフトウェアにデバイスを更新します

l  パスコードでデバイスを保護する

l  Apple ID2ファクタ認証と強力なパスワードを使用する

l  App Storeからアプリをインストールする

l  強力で一意のパスワードをオンラインで使用する

l  不明な送信者からのリンクや添付ファイルをクリックしないでください

 

Appleの脅威通知を受け取っていないが、傭兵スパイウェア攻撃の標的になっている可能性があると信じるに足る十分な理由がある場合は、Appleデバイスでロックダウンモードを有効にして保護を強化できます。その他の理由で緊急のサイバーセキュリティ支援が必要な場合は、Consumer Reports Security Planner  Web サイトに、支援できる可能性のある緊急リソースの一覧が用意されています。

 

Apple drops term 'state-sponsored' attacks from its threat notification policy | Reuters (04/12)

 

Apple swaps 'state-sponsored' lingo for 'mercenary spyware' • The Register (04/12)

 

 

Roku  Credential Stuffing 攻撃による不正ログインが発生。対応として、影響を受けたアカウントのパスワードはリセットされ、全ユーザのアカウントで 2要素認証が有効にされた

Protecting your Roku account (04/12)

『今年初め、Rokuのセキュリティ監視システムは、異常なアカウントアクティビティの増加を検出しました。徹底的な調査の結果、権限のない攻撃者が、Rokuとは無関係の別のソースから盗んだログイン認証情報(ユーザー名とパスワード)を使用して、「クレデンシャルスタッフィング」と呼ばれる方法で約15,000件のRokuユーザーアカウントにアクセスしていたことが判明しました。

Rokuがこれらの攻撃で使用されたアカウント資格情報のソースであったこと、またはRokuのシステムがいずれかのインシデントで侵害されたことを示す兆候はありません。むしろ、これらの攻撃で使用されたログイン資格情報は、影響を受けたユーザーが同じ資格情報を使用していた可能性のある別のオンラインアカウントなど、別のソースから取得された可能性があります。 .. 完全なクレジットカード番号やその他の完全な支払い情報を含む機密情報にはアクセスできませんでした。

情報セキュリティへの継続的な取り組みの一環として、これらの最近のインシデントの影響を受けていないアカウントであっても、すべてのRokuアカウントで2要素認証(2FA)を有効にしました。その結果、次回Rokuアカウントにオンラインでログインしようとすると、アカウントに関連付けられたメールアドレスに確認リンクが送信され、アカウントにアクセスする前にメール内のリンクをクリックする必要があります。』

 

Roku warns 576,000 accounts hacked in new credential stuffing attacks (04/12)

 

 

参考

今週の気になるセキュリティニュース - Issue #166 - セキュリティは楽しいかね? Part 2 (hatenablog.com) (04/14)

 

 

Apr 13, 2024

セキュリティは楽しいかね いろいろ 04/13

人的ミスで利用者に影響が 那覇市役所でシステム障害 (04/01)

https://www.qab.co.jp/news/20240401206783.html

『システム障害の影響で受付が現在およそ180分、書類受取まではおよそ5時間かかる ..

4月1日午前9時半ごろから、市役所内のネットワークでシステム障害が発生 ..

市によりますと、パソコンなどをつなげるLANケーブルを誤って接続し、大量の通信が発生したことが原因で、午前11時35分ごろに復旧したということです。』

 

運転免許センターのシステム障害 ほぼ復旧 警察庁が原因調査 (04/01 13:49)

https://www3.nhk.or.jp/news/html/20240401/k10014409031000.html

41日午前9時ごろ、全国19都府県の運転免許センターでシステム障害が発生 .. これまでにほぼ復旧した ..

全国の警察本部ではそれぞれの運転免許システムから警察庁の共通システムへの移行を進めていて、今回、障害が発生した19都府県はすでに移行を完了していました。

今回の障害は、共通システムの回線容量を超える通信が行われたことが、原因の1つとみられるということです。

共通システムに不具合が生じたのは、ことしに入ってから3回目です。

警察庁が詳しい原因を調べています。』

 

HOYAシステム障害

l  HOYAシステム障害 眼鏡用レンズの受注発送停止 不正アクセスか (04/04) https://www3.nhk.or.jp/news/html/20240404/k10014412561000.html

l  HOYAがシステム障害、眼鏡レンズの受注・出荷滞る…メガネスーパーなどで取り扱い一時停止 (04/04) https://news.yahoo.co.jp/articles/02c137aed86b18e2cda453502813fff5fad8bfcc

『システム障害が3月30日に発生 .. 第三者による同社サーバーへの不正アクセスが原因の可能性が高いと発表 ..

復旧の見通しは立っていない。眼鏡レンズの受注や出荷が滞り、眼鏡店の販売にも影響が出ている。

 3月30日未明に海外の事業所でシステムに不審な動きがあり、発覚した。4月4日時点でも工場内のシステムや受注システムが一部停止した状態だという。機密情報や個人情報の流出については調査中としている。

 眼鏡チェーンのJINS(ジンズ)やメガネスーパーでは、HOYA製レンズの取り扱いを一時停止した。注文が他社製品に流れたことで、眼鏡レンズ全般の納期に遅れが出ている。』

l  HOYAシステム障害で供給遅延、JINS・Zoffも一部レンズ販売停止…競合他社にも影響 (04/10) https://www.yomiuri.co.jp/economy/20240409-OYT1T50139/

l  HOYAがサイバー攻撃で3度目の被害、「犯人」はダークウェブで犯行を公表 (04/06) https://jbpress.ismedia.jp/articles/-/80342?page=4

2019年には同社のタイにおける最大の工場がサイバー攻撃被害を受け、レンズの生産ラインが3日にわたって停止 .. 当時、タイのシステムは日本の同社コンピューターにも繋がっていたために、日本の事業にも支障が出た。

.. 2021年にも「アストロチーム」と名乗るサイバー攻撃グループによって、身代金要求型ウイルスに感染させられている。同グループは、同社から300Gバイトのデータを盗んだと明らかにしている。攻撃を受けたのはHOYAのアメリカにある子会社だった。

.. 企業などを襲うサイバー攻撃では、セキュリティに予算をかけている会社の本社や本拠地の施設よりも、外国の子会社や取引先などが狙われるケースが増えている。』

 

 

サポート詐欺に注意

l  パソコンで警告が出たらサポート詐欺に注意! (国民生活センター 3) https://www.kokusen.go.jp/pdf/n-20240327_1_lf.pdf

『不 安 に 思 っ た 場 合 は 、 消 費 者 ホ ッ ト ラ イ ン 「 1 8 8 」 へ』

l  パソコンで警告が出たらサポート詐欺に注意!-70歳以上で大幅に増加-(03/27) https://www.kokusen.go.jp/news/data/n-20240327_1.html

『 いわゆる「サポート詐欺」の相談が全国の消費生活センター等に依然として多く寄せられています。サポート詐欺とは、パソコンでインターネットを使用中に突然「ウイルスに感染している」等の警告画面や警告音が出て、それらをきっかけに警告画面上に表示されている電話番号に電話をかけさせ、偽のサポートに誘導し、サポート料金を支払わせる手口です。

 

近年の相談状況をみると、相談件数は年間5,000件台で推移してきましたが、2023年度は、2022年度同期と比べて約1.3倍に増加しています。特に70歳以上の相談件数が大幅に増加しており、新たな手口として、インターネットバンキングで送金を指示されるケースも確認されていますので、注意してください。』

 

 

米国土安全保障省が昨年発生した Microsoft Exchange Online への侵害事案に関する報告書を公開

Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023 (2024/04/02) https://www.dhs.gov/news/2024/04/02/cyber-safety-review-board-releases-report-microsoft-online-exchange-incident-summer

『本日、米国国土安全保障省(DHS)は、2023年夏に発生したマイクロソフト・エクスチェンジ・オンラインへの不正侵入事件に関するサイバー安全審査委員会(Cyber Safety Review Board: CSRB)の独立審査結果を発表した。このレビューでは、侵入に至った業務上および戦略上の意思決定について詳述し、このような大規模な侵入が二度と起こらないようにするため、産業界と政府が実施すべき具体的な慣行を勧告した。国土安全保障省のアレハンドロ・N・マヨルカス長官は、理事会からCSRB報告書を受け取り、バイデン大統領に手渡した。これは、20222月にCSRB発表されて以来、3回目のレビュー完了となる。』 (機械翻訳)

 

CISA  Known Exploited Vulnerabilities (KEV) カタログに 2 個の脆弱性を追加

  『

  』

 

Pixel アップデート速報 — 2024  4  (04/02)

https://source.android.com/docs/security/bulletin/pixel/2024-04-01?hl=ja

Google デバイスの場合、セキュリティ パッチ レベル 2024-04-05 以降は、この公開情報のすべての問題と 2024  4 月の Android セキュリティ公開情報のすべての問題に対処します。デバイスのセキュリティ パッチ レベルを確認する方法については、 「 Android バージョンを確認して更新する を参照してください ..

.. Google デバイスには以下に説明するセキュリティの脆弱性に対するパッチも含まれています。

以下のものが限定的かつ標的を絞った悪用を受けている可能性があるという兆候があります。

·        CVE-2024-29745

·        CVE-2024-29748

 

複数の HTTP/2 プロトコル実装に脆弱性

HTTP/2 CONTINUATION Flood - nowotarski.info (4/3)

https://nowotarski.info/http2-continuation-flood/

tl;dr: CONTINUATION Flood は、多くの HTTP/2 プロトコル実装における脆弱性のクラスです。多くの場合、Rapid Reset と比べてより深刻な脅威となります。1台のマシン(場合によっては、単なる1つのTCPコネクションや一握りのフレーム)がサーバーの可用性を中断させる可能性があり、サーバーのクラッシュから大幅なパフォーマンスの低下まで、さまざまな影響を及ぼします。驚くべきことに、攻撃を構成するリクエストは、HTTPアクセスログでは見えない。』

 

Ivanti Connect Secure  Ivanti Policy Secure に複数の脆弱性

『説明

 

Ivanti Connect Secure (ICS) (旧称 Pulse Connect Secure) および Ivanti Policy Secure ゲートウェイに脆弱性が発見され、現在パッチが提供されています。これらの脆弱性は、サポートされているすべてのバージョン(バージョン 9.x および 22.x)に影響します(サポートされているバージョンについては、「Granular Software Release EOL Timelines and Support Matrix」を参照してください)。 

公開時点では、これらの脆弱性によって悪用されているお客様の存在は認識しておりません .. 

 

l  New Ivanti RCE flaw may impact 16,000 exposed VPN gateways (04/05)

https://www.bleepingcomputer.com/news/security/new-ivanti-rce-flaw-may-impact-16-000-exposed-vpn-gateways/

『インターネット上に公開されている約 16,500  Ivanti Connect Secure および Poly Secure ゲートウェイは、ベンダーが今週初めに対処したリモート コード実行 (RCE) の欠陥に対して脆弱である可能性があります。

 

この欠陥はCVE-2024-21894として追跡されており  Ivanti Connect Secure 9.x および 22.x  IPSec コンポーネントにおける重大度の高いヒープ オーバーフローであり、認証されていないユーザーがサービス拒否 (DoS) を引き起こしたり、RCE を達成したりする可能性があります。特別に作成されたリクエストを送信します。

..

当時、  Ivanti は 、どの顧客にも積極的な悪用の兆候は見られなかったと述べたが、システム管理者にできるだけ早くアップデートを適用するよう促した。』

 

参考

セキュリティは楽しいかね? Part 2

今週の気になるセキュリティニュース - Issue #165 (04/07)

https://negi.hatenablog.com/entry/2024/04/07/210502