Apr 15, 2024

メモ、セキュリティは楽しいかね #166

CISA が緊急指令 ED 24-02 を発出

CISA Issues Emergency Directive 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System | CISA (04/11)

本日、CISAは、ロシアの国家が支援するサイバーアクターMidnight Blizzardが、Microsoft企業の電子メールアカウントの侵害に成功し、連邦文民行政府(FCEB)機関の電子メール通信を盗み出すという最近のキャンペーンに対処するために、急指令(ED)24-02を正式に発行しました。この指令 https://www.cisa.gov/news-events/directives/ed-24-02-mitigating-significant-risk-nation-state-compromise-microsoft-corporate-email-system、政府機関は、流出した電子メールの内容を分析し、侵害された資格情報をリセットし、特権のあるMicrosoft Azureアカウントを保護するための追加の手順を実行する必要があります。

ED 24-02 の要件は FCEB 機関にのみ適用されますが、他の組織も Microsoft 企業の電子メールの流出の影響を受けている可能性があるため、追加の質問やフォローアップについては、それぞれの Microsoft アカウント チームに連絡することをお勧めします。FCEB 機関、州および地方自治体は、Microsoft とのエスカレーションと支援のためにディストリビューション MBFedResponse@Microsoft.com  を利用する必要があります。直接的な影響に関係なく、すべての組織は、強力なパスワード、多要素認証 (MFA)安全でないチャネルを介した保護されていない機密情報の共有の禁止など、厳格なセキュリティ対策を適用することを強くお勧めします。

 

ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System | CISA (04/02)

必要なアクション

認証の侵害が既知または疑われる場合、またはそのような侵害の具体的な詳細を認識した場合、Microsoft から電子メール メタデータを受信した影響を受ける機関は、次の措置を講じる必要があります。

1.   トークン、パスワード、API キー、または侵害がわかっている、または侵害が疑われるその他の認証資格情報に対して、直ちに修復アクションを実行します。

2.   アクション 1 で特定された既知または疑われる認証侵害については、2024  4  30 日までに次のことを行います。

a.    関連付けられたアプリケーションの資格情報をリセットし、機関で使用されなくなった関連アプリケーションを非アクティブ化します。

b.   サインイン、トークンの発行、その他のアカウント アクティビティ ログで、資格情報が侵害された疑いがある、または悪意のあるアクティビティの可能性が確認されたユーザーとサービスを確認します。

影響を受けるすべての機関は、次の措置を講じるものとします。

3.   この指令の付属書に記載されている詳細に従って、侵害された Microsoft アカウントとの機関の通信の完全な内容を特定し、サイバーセキュリティ影響分析を実行するための措置を講じます。このアクションは、2024  4  30 日までに完了する必要があります。

4.   機関の分析によって特定された既知または疑わしい認証侵害については、CISA に通知し、手順 1  2 に従います。CISAは、これらの必要なアクションを完了するための更新されたタイムラインで機関と協力します。

 

 

Apple がスパイウェアによる攻撃の標的となっているユーザに警告の通知

About Apple threat notifications and protecting against mercenary spyware - Apple Support (04/10)

Appleの脅威通知は、傭兵スパイウェア攻撃の標的になった可能性のあるユーザに、その人が誰であるか、または何をしているかが原因である可能性を通知し、支援するように設計されています。このような攻撃は、通常のサイバー犯罪活動や消費者向けマルウェアよりもはるかに複雑で、傭兵スパイウェアの攻撃者は、非常に少数の特定の個人とそのデバイスを標的にするために並外れたリソースを使用します。傭兵スパイウェア攻撃は数百万ドルの費用がかかり、多くの場合、保存期間が短いため、検出と防止がはるかに困難になります。大多数のユーザーがこのような攻撃の標的になることはありません

 

市民社会組織、テクノロジー企業、ジャーナリストによる公開レポートや調査によると、このような並外れたコストと複雑さを持つ個人を標的とした攻撃はNSOグループのPegasusなど、民間企業に代わって傭兵スパイウェアを開発する民間企業を含む国家主体と歴史的に関連しています。傭兵スパイウェア攻撃は、ごく少数の個人(多くの場合、ジャーナリスト、活動家、政治家、外交官)に対して展開されていますが、継続的かつグローバルに行われています。2021年以降、これらの攻撃を検知したAppleの脅威通知を年に複数回送信し、現在までに合計150か国以上のユーザーに通知しています。傭兵スパイウェア攻撃の非常にコストが高く、巧妙で、世界的な性質を持っているため、今日存在する最も高度なデジタル脅威の1つとなっています。そのため、Appleは、攻撃またはその結果として生じる脅威通知を特定の攻撃者または地理的地域に帰属させることはありません。

 

Appleが傭兵スパイウェア攻撃と一致するアクティビティを検出した場合、Apple2つの方法で標的のユーザに通知します

l  脅威通知は、ユーザーが appleid.apple.com にサインインした後、ページの上部に表示されます。

l  Appleは、ユーザのApple IDに関連付けられているメールアドレスと電話番号にメールとiMessage通知を送信します。

 

すべてのユーザー向けのガイダンス

すべてのユーザーは、セキュリティのベストプラクティスに従って、一般的なサイバー犯罪者や消費者向けマルウェアから身を守り続ける必要があります。

l  最新のセキュリティ修正プログラムを含む最新のソフトウェアにデバイスを更新します

l  パスコードでデバイスを保護する

l  Apple ID2ファクタ認証と強力なパスワードを使用する

l  App Storeからアプリをインストールする

l  強力で一意のパスワードをオンラインで使用する

l  不明な送信者からのリンクや添付ファイルをクリックしないでください

 

Appleの脅威通知を受け取っていないが、傭兵スパイウェア攻撃の標的になっている可能性があると信じるに足る十分な理由がある場合は、Appleデバイスでロックダウンモードを有効にして保護を強化できます。その他の理由で緊急のサイバーセキュリティ支援が必要な場合は、Consumer Reports Security Planner  Web サイトに、支援できる可能性のある緊急リソースの一覧が用意されています。

 

Apple drops term 'state-sponsored' attacks from its threat notification policy | Reuters (04/12)

 

Apple swaps 'state-sponsored' lingo for 'mercenary spyware' • The Register (04/12)

 

 

Roku  Credential Stuffing 攻撃による不正ログインが発生。対応として、影響を受けたアカウントのパスワードはリセットされ、全ユーザのアカウントで 2要素認証が有効にされた

Protecting your Roku account (04/12)

『今年初め、Rokuのセキュリティ監視システムは、異常なアカウントアクティビティの増加を検出しました。徹底的な調査の結果、権限のない攻撃者が、Rokuとは無関係の別のソースから盗んだログイン認証情報(ユーザー名とパスワード)を使用して、「クレデンシャルスタッフィング」と呼ばれる方法で約15,000件のRokuユーザーアカウントにアクセスしていたことが判明しました。

Rokuがこれらの攻撃で使用されたアカウント資格情報のソースであったこと、またはRokuのシステムがいずれかのインシデントで侵害されたことを示す兆候はありません。むしろ、これらの攻撃で使用されたログイン資格情報は、影響を受けたユーザーが同じ資格情報を使用していた可能性のある別のオンラインアカウントなど、別のソースから取得された可能性があります。 .. 完全なクレジットカード番号やその他の完全な支払い情報を含む機密情報にはアクセスできませんでした。

情報セキュリティへの継続的な取り組みの一環として、これらの最近のインシデントの影響を受けていないアカウントであっても、すべてのRokuアカウントで2要素認証(2FA)を有効にしました。その結果、次回Rokuアカウントにオンラインでログインしようとすると、アカウントに関連付けられたメールアドレスに確認リンクが送信され、アカウントにアクセスする前にメール内のリンクをクリックする必要があります。』

 

Roku warns 576,000 accounts hacked in new credential stuffing attacks (04/12)

 

 

参考

今週の気になるセキュリティニュース - Issue #166 - セキュリティは楽しいかね? Part 2 (hatenablog.com) (04/14)

 

 

No comments: