May 21, 2024

セキュリティホールmemo のメモ 05/21

最近読めてなかった。4月記事に遡って気になった個所を抜粋した。 


マイナンバーカードの電子証明書の更新に行ってきた

~いたって簡単、青色申告の個人事業主は注意~ (04/26)

 

「OneDrive、SharePoint、Boxがマルウェア配布に悪用されている」とNetskopeが警告 (04/17)

 

遺族にもよく分からない故人のサブスク、解約できないと永遠に請求が続くのか? (04/19)

2年ほど未使用が続くアカウントの契約を解除してくれるNetflixのようなサービスが一般的になればいいのですが、現状では期待薄でしょう。

 しかし、多くの場合は遺品整理の過程でクレジットカードを退会したり、銀行口座を凍結したりすると思われます。サブスク契約自体には気づかなくても、そこで平常の支払いが一旦断然するわけです。

 この断絶をもって、猶予期間を経たうえで契約解除とするサブスクサービスも少なくありません。問題はそれでも何らかの手段で請求が続けられるケースです。

 ・・・

今回のまとめ

l  故人のサブスク契約の支払い義務は、原則として相続人に受け継がれる

l  クレジットカードを止めてもサブスクの支払いが止まるとは限らな

l  手離れの悪さを頭の片隅に置いて、契約窓口を含めて日頃から管理する姿勢が大切

 

Firefox 125.0.1 / ESR 115.10.0、Thunderbird 115.10.1 公開 (2024.04.16)

Firefox 125.0.2 公開。「信頼できない URL からのダウンロードのより積極的なブロック」機能で不具合が発生、一時的に無効化。 』

 

Malicious PDF File Used As Delivery Mechanism (SANS ISC, 4/17)


 

東日本大震災で切断された海底ケーブルの修理に震災直後から従事した日本の海底ケーブル修理船の秘話 (04/18)



邪魔な商品広告がスマートテレビへ 阻止する方法 (05/05)

パブリックAdGuard DNSに接続する方法 (2024)

なるほど、そういう手があるのか。で気になるのは ↓

Adguard : Security Vulnerabilities, CVEs

DNSを第三者に委ねるのは躊躇う。OSアップデートの名前解決も依存するわけで。public DNSの内容妥当性の検証は、どこかに有るのだろうか?


May 17, 2024

セキュリティホールmemo のメモ 5/17

AirTagの追跡悪用を防止する「iOS 17.5」「iPadOS 17.5」 ~Android 6.0以降も対応 (2024.05.14)

https://forest.watch.impress.co.jp/docs/news/1591132.html

『 忘れ物防止タグ「AirTag」には、特定の人物の持ち物にこっそりしのばせることで位置の追跡(トラッキング)に悪用できてしまうという問題があったが、AppleGoogleの協力により、「iOS 17.5」と「Android 6.0以降でトラッキングを検出してデバイスへ警告を送信できるようになった。Apple以外が製造しているBluetoothトラッカーでも、今後の対応が予定されている。 』

 

AppleGoogleiOSAndroidで不要な追跡の警告に関するサポートを提供 (05/13)

https://www.apple.com/jp/newsroom/2024/05/apple-and-google-deliver-support-for-unwanted-tracking-alerts-in-ios-and-android/

『 「Appleは本日、この機能をiOS 17.5に実装し、GoogleAndroid 6.0以降を搭載したデバイスでこの機能を導入します。」

 

Chrome 124.0.6367.207/.208 (Mac / Windows) および 124.0.6367.207 (Linux) 公開。 0-day 欠陥 CVE-2024-4761 を修正。  

関連:

Chrome 124.0.6367.201/.202 で修正された 0-day  CVE-2024-4671 。 今回のは CVE-2024-4761。』

 

JVNTA#94876636: DHCPのオプション121を利用したVPNのカプセル化回避の問題 (05/10)

 『

VPN実装者が実施できる対策

ネットワーク名前空間を利用する

Linux環境では、VPNを使用するすべてのアプリケーションに対して、物理​​インターフェイスを含む別の名前空間にトラフィックを送信する前にネットワーク名前空間を使用する機能が存在します。この機能を利用することで本問題の影響を回避することができます

詳細は、WireGuard’s documentationを参照してください。

 

VPNユーザーが実施できる対策

ワークアラウンドを実施する

信頼できないネットワークを使用しない

ホットスポット(携帯端末によって制御される一時的なWi-Fiネットワーク)を利用する

 』

 

今週の気になるセキュリティニュース - Issue #170 からのメモ

MITRE から不正侵入事案に関する続報

Technical Deep Dive: Understanding the Anatomy of a Cyber Intrusion | MITRE-Engenuity (medium.com) (05/03)

←後で読みたい

 

英国防省で外部からの不正アクセス

Defence Secretary Oral Statement to provide a Defence Personnel Update - 07 May 2024 - GOV.UK (www.gov.uk) (05/07)

『最近、国防省は、悪意のある人物が軍の決済ネットワークの一部にアクセスした兆候を特定しました。

これは防衛省のコアネットワークとは完全に独立した外部システムであり、主要な軍の人事システムには接続されていません。

下院は、それが請負業者によって運営されており、請負業者による潜在的な失敗の証拠があり、それが悪意のある行為者が簡単に侵入できるようにした可能性があることに留意したいと考えています …

政府は先月、これらの新たな脅威に対応するために国防費を増額し、10年後にGDP2.5%に達すると発表しました。』

 

DigiCert が一部の EV 証明書を再発行すると発表

【重要】EV証明書における再発行、ならびに入れ替え手順のご案内 (digicert.com) (05/10)

『首記の件につき、弊社が発行いたしましたEV TLS証明書の一部にBusiness Categoryの記載フォーマットに誤りがあるものを確認し、CA Browser Forum SSL/TLS証明書のBaseline Reuqirementの取り決めにより、2024 5 12日午前1時(日本時間)に、失効しなくてはならないことが判明いたしました。』

 

 

Google  Chrome のゼロデイ脆弱性を修正

Chrome Releases: Stable Channel Update for Desktop (googleblog.com) (05/09)

[N/A][339266700] High CVE-2024-4671: Use after free in Visuals. Reported by Anonymous on 2024-05-07

Google is aware that an exploit for CVE-2024-4671 exists in the wild.

 

「Chrome」に重大なゼロデイ脆弱性--今すぐアップデートを(ZDNET Japan) - Yahoo!ニュース (05/13)

 

マイクロソフト「Edge」に重大な脆弱性 すぐ更新を - 記事詳細|Infoseekニュース (05/13)

CVE-2024-4671……Visualsコンポーネントに関する脆弱性(重大度:高)

CVE-2024-30055……なりすまし(重大度:注意)

 

 Visualsコンポーネントに関する脆弱性は、共通のブラウザエンジンを採用する「Google Chrome」(Chromium)由来のもの。攻撃者が相手のPCからデータを盗んだり、深刻なダメージを与えることも可能で、すでに悪用が確認されている。

 なりすましに関する脆弱性は、Edge固有のものでChromiumとは無関係だ。

 対策済みのバージョンは「124.0.2478.97」。アップデートは自動で順次適用されるが、ブラウザーの設定から「Microsoft Edge について」を選択することで、最新版への手動更新も可能だ。』

 

CISA が脆弱性に関する様々な付加情報を提供する新たな取り組み Vulnrichment を発表

https://www.linkedin.com/feed/update/urn:li:activity:7193995615737901056

『今日、我々は「Vulnrichment」と呼んでいる、CVEsCommon Platform EnumerationCommon Vulnerability Scoring SystemCommon Weakness Enumeration、およびKnown Exploited Vulnerabilitiesを追加することに重点を置いたエンリッチメントの取り組みについて、各組織にお知らせしたいと思います。

 

私たちは、最近1,300件のCVEをエンリッチ化し、提出されたすべてのCVEがエンリッチ化されるよう、引き続き熱心に取り組んでいます。すべてのCVE番号付与機関(CNA)には、CVE.orgに最初にCVEを提出する際に、完全なCVEを提供するようお願いしています。』

 

重要経済安保情報の保護及び活用に関する法律が参議院で可決、成立

閣法 第213回国会 24 重要経済安保情報の保護及び活用に関する法律案 (shugiin.go.jp)

 

経済安保新法が成立 重要情報、適性評価で指定:時事ドットコム (jiji.com) (05/10)



出典

今週の気になるセキュリティニュース - Issue #170 (05/12)

 

May 16, 2024

X(旧Twitter)から 05/16

The Evolution - and Revolution - of Access  
CyberArkのビデオ。後で見る。

プロンプト経由のRCE (リモートコード実行) について | 技術者ブログ | 三井物産セキュアディレクション株式会社 (mbsd.jp) (05/13)

←後で読むためのメモ


05/17追記 →

Xユーザーの徳丸 浩さん: 「クレジットカード情報13,879名分(セキュリティコード含む)が漏洩。原因の記載からみてクロスサイトスクリプティングによるものと推測される / “Kemari87 KISHISPO / 不正アクセスによる、情報漏えいに関するお詫びとお知らせ” https://t.co/ThUScgRJdF」 / X (05/14)

← 05/17追記 これも後で見たい

 

Xユーザーの池田信夫さん: 「世界的に有名になった阿蘇山の悲惨な光景。世界遺産の美しい森と動物が、20万枚のソーラーパネルに変わってしまった。建築確認も環境アセスメントもなしで。」 / X (twitter.com) (

 

約3万円の「VMware Workstation Pro」が無償化 ~個人利用で、Mac向け「Fusion」も/「VMware Workstation/Fusion Player」は販売終了  窓の杜 (nordot.app) (05/15)

一方で ↓

VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は? - ITmedia エンタープライズ (02/14)

VMware ESXiの代替製品は幾つか存在する・・・ベンダーはVMware ESXiの終了を受けて、Proxmoxのサポートを拡大している。』


May 10, 2024

X(旧Twitter)から 05/10

 JNSAソリューションガイド

『「中小企業の情報セキュリティ対策ガイドライン」で示されている実行することで効果がある25項目(「5分でできる!情報セキュリティ自社診断」参照>>)の情報セキュリティ対策について、最良なセキュリティ対策(ベストプラクティス)をご紹介するとともにそれらの対策の実践に役立つ製品やサービスが検索できます。』

←見やすくまとまっているし読み物としても面白そう。

 

SECCON Beginners CTF 2024 を開催いたします! - SECCON13 (05/08)

 

Fakenet-NG 単体で証明書エラー無くHTTPS通信の復号をやらせるまで - 切られたしっぽ (hatenablog.com) (05/06)

Fakenet-NG を改造して、証明書のエラーなく任意の通信先に対して HTTPS の通信を行わせるための備忘録です

実質 MitM をさせる Proxy を作るための話になります』

 

SecHack365 ? SecHack365 では、他にはない365 日の長期ハッカソン1によるモノづくりの機会を提供することで、「セキュリティ イノベーター」としてセキュリティの様々な課題にアイデアで切り込める人材の育成を目指しています。 (nict.go.jp)

『いま世界に求められるセキュリティ人材。

そんな人材を育てようと情報通信研究機構(NICT)では毎年40名程度の若者を募集しています。

..

実は先輩たちも同じ不安を抱えながら応募していた ..

「応募するのは自由。この機会を逃して後悔するよりも、とにかく挑戦してほしい」』

 

今すぐできる4つのセキュリティ対策 | セキュリティ | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

 

電子署名付き電子メール(S/MIME) | 当社のセキュリティ対策 | NEOBANK 住信SBIネット銀行 (netbk.co.jp)

『当社の電子メールであることの確認方法

l  電子署名付き電子メールを受信した際、セキュリティ警告が出ていないことを確認する

セキュリティ警告が出ている電子メールは、信頼できない可能性があります。

l  送信者アドレスが “*****@netbk.co.jp” となっていることを確認する

住信SBIネット銀行から送られた電子メールであることが確認できます。

l  電子署名の発行元が“Cybertrust Japan SureMail CA G4”となっていることを確認する

サイバートラスト・シュアメールの発行する電子証明書であることが確認できます。』

 

GitHub comments abused to push malware via Microsoft repo URLs (bleepingcomputer.com) (04/20)

『たとえば、脅威アクターは、人気のあるゲームの問題を修正する新しいドライバーを装ったマルウェア実行可能ファイルをNVIDIAのドライバーインストーラーリポジトリにアップロードする可能性があります。また、脅威アクターは、Google Chromiumのソースコードにコメントでファイルをアップロードし、それがWebブラウザの新しいテストバージョンであるかのように装うことができます。

これらのURLは、会社のリポジトリに属しているようにも見え、はるかに信頼性が高くなります。

残念ながら、企業がリポジトリがマルウェアを配布するために悪用されていることを知ったとしても、BleepingComputerはプロジェクトに添付されたファイルを管理できる設定を見つけることができませんでした。

さらに、GitHubアカウントをこのように悪用され、評判を傷つけないように保護するには、コメントを無効にすることしかできません。このGitHubサポートドキュメントによると、コメントを一時的に無効にできるのは、一度に最大6か月間だけです。

ただし、コメントを制限すると、ユーザーがバグや提案を報告できなくなるため、プロジェクトの開発に大きな影響を与える可能性があります。』

 

セルゲイ フランコフさんによるライブストリーム(↓)。このバグを「脅威アクター達は活発に悪用している」とのこと。

https://twitter.com/i/status/1772988192678969567 (03/27)

 

社会人向けイベント「SOCアナリスト業務紹介&懇親会」の参加者を募集します(2024年6月7日, 2024年6月28日) | NTTセキュリティテクニカルブログ (security.ntt) (04/18)