View profile

今週の気になるセキュリティニュース - Issue #13

Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi
事件、事故
今年 1月から AS8003 が突如膨大な数の IPv4 アドレスの経路広告を開始。過去に米国防総省に割り当てられていたが長期間にわたり未使用のままだった。国防総省の Defense Digital Service によると、未使用のアドレス空間の不正利用を防ぐ目的で試験的に行っているプロジェクトとのこと。
Brett Goldstein, the DDS’s director, said in a statement that his unit had authorized a “pilot effort” publicizing the IP space owned by the Pentagon.
“This pilot will assess, evaluate and prevent unauthorized use of DoD IP address space,” Goldstein said. “Additionally, this pilot may identify potential vulnerabilities.”
Goldstein described the project as one of the Defense Department’s “many efforts focused on continually improving our cyber posture and defense in response to advanced persistent threats. We are partnering throughout DoD to ensure potential vulnerabilities are mitigated.”
国内企業でランサムウェア感染被害が相次いで発生
日産証券
日本サブウェイ
サブウェイでは、ランサムウェアのオペレーターがランサムウェアを使用して日本サブウェイのファイルサーバーに不正アクセスをおこなったと断定しています。このサーバーには、現在の従業員、採用応募者、フランチャイズ・オーナー、各フランチャイズのスタッフ、フランチャイズ候補、PR/マーケティング関連の外部ベンダー、その他サプライヤーに関連した情報が保管されていました。また、同サーバーには64名の顧客の一部情報(名前、年齢、電話番号のみ)も保管されていました。
岡野バルブ製造
総務省は LINE 株式会社に対して、社内システムに関する安全管理措置等及び利用者への適切な説明について、行政指導を行った
オーストラリアのセキュリティ研究者 Troy Hunt 氏が運営する Have I Been Pwned が FBI からの情報提供を受け、Emotet マルウェアが感染端末から不正に取得した 432万件余りのメールアドレスを検索できるようになった
医療従事者等向けの接種予約を開始した東京都のワクチン接種予約システムで、予約者の個人情報が閲覧可能となる不具合
都民から、特殊な解析ツールを用いて、システムに特定の操作を行うと接種予約者の個人情報(氏名・生年月日・職種・接種券番号)が閲覧可能であるため、早急な対応をすべきとの情報提供があった。
当該事象につきまして弊社から東京都へ確認し、受付フォームおよびワクチン接種資格確認プロセスに関する不具合であり、kintoneの不具合や脆弱性等ではないことを確認しております。
米司法省が Bitcoin ミキシングサービス Bitcoin Fog の運営者を逮捕。2011年のサービス開始以来、3億ドル以上に相当する暗号資産の資金洗浄に使われていた
According to court documents, Roman Sterlingov, 32, operated Bitcoin Fog since 2011. Bitcoin Fog was the longest-running cryptocurrency “mixer,” gaining notoriety as a go-to money laundering service for criminals seeking to hide their illicit proceeds from law enforcement. Over the course of its decade-long operation, Bitcoin Fog moved over 1.2 million bitcoin – valued at approximately $335 million at the time of the transactions. The bulk of this cryptocurrency came from darknet marketplaces and was tied to illegal narcotics, computer fraud and abuse activities, and identity theft.
攻撃、脅威
CyberNews の研究者が犯罪者のふりをしてランサムウェア攻撃グループへの参加を試みた取材記事
(コメント) 攻撃活動の内情が垣間見えて非常に興味深い
Coveware が 2021年第1四半期のランサムウェア攻撃に関するレポートを公開。CL0P グループの活動の影響により、平均身代金支払い額が増加
The average ransom payment increased 43% to $220,298 from $154,108 in Q4 of 2020.  The median payment in Q1 also increased to $78,398 from $49,450, a 58% increase.  Averages and median were pulled higher by a small number of threat actor groups, most specifically CloP, that were extremely active during Q1 and impacted large victims with very high ransom demands.
一般社団法人日本サイバー犯罪対策センター (JC3) がトレンドマイクロ等の会員企業と連携して、国内の銀行等を騙ったフィッシングの攻撃者グループの手口を分析
Sophos が The State of Ransomware 2021 レポートを公開。30ヶ国 5,400 組織へのランサムウェアに関するサーベイ結果をまとめたもの。37% の組織が昨年 1年間にランサムウェアの被害にあったと回答
サイバー情報共有イニシアティブ (J-CSIP) が 2021年 1月〜 3月の運用状況を報告。ビジネスメール詐欺 (BEC) やクラウドサービスへの不正アクセスの事例などを紹介
SonicWall 製品のゼロデイ脆弱性 (CVE-2021-20016) を悪用してランサムウェアに感染させる攻撃活動について FireEye が報告。DEATHRANSOM, HELLOKITTY, FIVEHANDS ランサムウェアと関連。
CVE-2021-20016 is a critical SQL injection vulnerability that exploits unpatched SonicWall Secure Mobile Access SMA 100 series remote access products. A remote, unauthenticated attacker could submit a specially crafted query in order to exploit the vulnerability. Successful exploitation would grant an attacker the ability to access login credentials (username, password) as well as session information that could then be used to log into a vulnerable unpatched SMA 100 series appliance. This vulnerability only impacted the SMA 100 series and was patched by SonicWall in February 2021. For more information on this vulnerability, please refer to SonicWall PSIRT advisory SNWLID-2021-0001.
(コメント) 悪用された SonicWall 製品の脆弱性は今年 1月に SonicWall から公開されたもので、2月に対応ファームウェアがリリースされた
国内でもランサムウェア感染の被害事例が相次いでいることから、内閣サイバーセキュリティセンター (NISC) が注意喚起
脆弱性
NCC Group が Pulse Secure Connect の利用状況に関する調査結果を報告。既知の脆弱性の影響を受ける古いバージョンがまだかなりある。
Of note, we discovered that:
- 21047 PCS servers were analysed
- The most deployed version of PCS is 8.3R7.1 (build 65025)
- The second most deployed version of PCS is vulnerable to CVE-2020-8243 and CVE-2020-8260. Both of which are post-authentication RCEs
- 7.7% were running a version vulnerable to CVE-2019-11510, an unauthenticated file-read that allows credential dumping and RCE
- 42% were running a version vulnerable to CVE-2020-8243
- 53% were running a version vulnerable to CVE-2020-8260
- The largest number of vulnerable devices were located in the United States
- 16% of servers were running an EOL version of PCS. EOL versions do not receive patches and thus may also be exploitable to known CVEs. They will also not receive security updates in the future
- 13% were running a version older than 8.3R7.1
macOS Big Sur と Catalina に Gatekeeper のチェックをバイパスできる脆弱性 (CVE-2021–30657)。すでに Shlayer マルウェアによる悪用事例が今年の 1月には確認されている。macOS Big Sur 11.3 および Security Update 2021-002 Catalina で修正された。
The core of the blog post digs deep into the bowels of macOS to uncover the root cause of the bug. In this section, we’ll detail the flaw which ultimately results in the misclassification of quarantined items, such as malicious applications. Such misclassified apps, even if unsigned (and unnotarized), will be allowed to run uninhibited. No alerts, no prompts, and not blocked. Oops!   
To make the situation more urgent, the Jamf Protect detections team observed this exploit being used in the wild by a variant of the Shlayer adware dropper. The variant observed has strong ties to a sample previously written about by Intego Security. In fact, both malware samples are nearly identical. The major difference, in this case, is that the variant has been repackaged to use a format necessary for carrying out the Gatekeeper bypass vulnerability. The Jamf Protect detection team identified samples found to be abusing this vulnerability as early as January 9th, 2021.
(コメント) 非常に簡単な方法で、File Quarantine、Gatekeeper、Notarization のチェックをいずれもすり抜けて、ファイルを実行することが可能
Microsoft の研究グループが、多数の IoT 機器などに影響する BadAlloc 脆弱性に関する情報を公開
その他
Institute for Security and Technology の Ransomware Task Force がランサムウェアに対抗するための新たな枠組みを提言。Deter, Disrupt, Prepare, Respond の 4つのゴールに対して、あわせて 48 の対応策を提案している。
(コメント) 米国における官民連携や国際間の連携の推進、被害企業支援のためのファンド設立、暗号資産取扱業者の規制遵守の徹底など、幅広い対応策を提案している。被害企業に対して「支払うな」というのではなく、支払わなくすむような支援策を、そして攻撃者をこれ以上のさばらせないような対策を、官民一丸となって推進しようという意欲が伺える。
ATT&CK v9 がリリース
Updated: A revamp of data sources (Episode 1 of 2)
Updated: Some refreshes to macOS techniques
New: Consolidation of IaaS platforms
New: The Google Workspace platform
New: ATT&CK for Containers (and not the kind on boats)
Did you enjoy this issue? Yes No
Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

If you don't want these updates anymore, please unsubscribe here.
If you were forwarded this newsletter and you like it, you can subscribe here.
Created with Revue by Twitter.