View profile

今週の気になるセキュリティニュース - Issue #15

Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi
事件、事故
米石油パイプライン大手の Colonial Pipeline が 5/7 に DarkSide ランサムウェアに感染、その影響でサービスを一時停止。5/13 になって全面的に再開した。この件を受けて、米 CISA は FBI と共同で DarkSide に関するアドバイザリを公開。
(注) Colonial Pipeline の Web サイトは米国外からのアクセスを一時的に制限していると見られ、上記リンクは現在日本からはアクセスできない
(コメント) かなり情報が錯綜しているが、関係者の話としておよそ 500万ドル相当の身代金を支払ったと報道されている。また DarkSide など複数のランサムウェアが RaaS のアフィリエイト募集などに利用していた主要なフォーラム (XSS, Exploit) は RaaS 関連投稿を禁止するとの方針転換を発表。なお DarkSide のオペレータはその後活動停止を宣言し、サーバ等にアクセスできなくなったと主張している。法執行機関による差し押さえなのかは不明。
Colonial Pipeline
Colonial Pipeline can now report that we have restarted our entire pipeline system and that product delivery has commenced to all markets we serve. https://t.co/kpWNw0UQve https://t.co/9r5hA2CLNn
2020年 4月に不正アクセスによる情報漏洩が起きた Classi が、対応の経緯とその後の取り組みについて報告
(コメント) 詳細な時系列で対応経緯を報告するとともに、実施したセキュリティ対策についても即時対応と漸次対応とにわけて詳細に述べており、大変参考になる
Salesforce のサービスで障害が発生し、同サービスを利用している厚生労働省の新型コロナワクチンの管理システムなどに影響
4月に発生した Codecov の Bash Uploader スクリプトへの不正なコード混入に関連し、同スクリプトを利用していた Rapid7 が自社ソフトウェアの一部ソースコード流出などの被害を公表
A small subset of our source code repositories for internal tooling for our MDR service was accessed by an unauthorized party outside of Rapid7
These repositories contained some internal credentials, which have all been rotated, and alert-related data for a subset of our MDR customers
No other corporate systems or production environments were accessed, and no unauthorized changes to these repositories were made
攻撃、脅威
不正な Tor Exit Relay の活動状況についてのレポート。ピーク時には全体の 4分の 1以上を不正な Exit Relay が占めていた。
on 2020–10–30 the malicious entity operated more than 26% of the tor network’s exit relay capacity
and on 2021–02–02 they managed more than 27% of tor’s exit relay capacity. This is the largest malicious tor exit fraction I’ve ever observed by a single actor.
日本を狙った新たな攻撃キャンペーンに関する報告
2021年3月頃より、campo/Openfieldと呼ばれるインフラを利用した日本への攻撃が複数回確認されています。この攻撃キャンペーンは、感染組織によっては後続のマルウェアが配信される可能性があり、その中には最終的にランサムウェアが使用されるケースが海外で観測されています。
Kaspersky が 2021年第 1四半期における DDoS 攻撃の観測状況についてレポートを公開
2020年 7月に米司法省が起訴した 2人の中国人ハッカーと関係のある人物を特定した調査結果を Intrusion Truth が報告 
(コメント) この人物は 2020年の起訴状では “MSS Officer 1” として言及されていた。
脆弱性
国内のネットショップ等で広く利用されている EC-CUBE に XSS 脆弱性 (CVE-2021-20717)。この脆弱性の悪用によるカード情報流出がすでに確認されている。
EC-CUBE4系ご利用の一部サイトにおいて、クロスサイトスクリプティング(XSS)脆弱性の悪用によるクレジットカード情報の流出が確認されています。
本脆弱性は、既に複数サイトでの攻撃を確認しており、緊急度が非常に高い脆弱性でございます。該当バージョンでサイトを運営されている場合は、緊急対応のためのHotfixパッチを公開しておりますので、内容をご確認のうえ早急にご対応をお願いいたします。
なおクラウド版 ec-cube.co ではHotfixパッチを適用済ですので安心してご利用ください。
すでに本脆弱性を利用した攻撃が複数確認されており、危険度の高い脆弱性となりますので、以下のいずれかの方法で早急に対応をお願いします。
修正方法1: 修正用の差分ファイルを利用する場合(Hotfixパッチ)
修正方法2: 修正差分を確認して適宜反映する場合
修正方法3: EC-CUBEのバージョンアップを行う場合
多数の WiFi 機器に影響する複数の脆弱性 FragAttacks が公開
This website presents FragAttacks (fragmentation and aggregation attacks) which is a collection of new security vulnerabilities that affect Wi-Fi devices. An adversary that is within range of a victim’s Wi-Fi network can abuse these vulnerabilities to steal user information or attack devices. Three of the discovered vulnerabilities are design flaws in the Wi-Fi standard and therefore affect most devices. On top of this, several other vulnerabilities were discovered that are caused by widespread programming mistakes in Wi-Fi products. Experiments indicate that every Wi-Fi product is affected by at least one vulnerability and that most products are affected by several vulnerabilities.
(コメント) 脆弱性を発見した研究者は、2017年に WPA2 に関する脆弱性 KRACKs、2019年に WPA3 に関する脆弱性 Dragonblood も報告している。
Adobe から 2021年 5月のセキュリティ情報が公開。うち 1件の脆弱性 (CVE-2021-28550) については、標的型攻撃での悪用が確認されている
Adobe has released security updates for Adobe Acrobat and Reader for Windows and macOS. These updates address multiple critical and important vulnerabilities. Successful exploitation could lead to arbitrary code execution in the context of the current user.    
Adobe has received a report that CVE-2021-28550 has been exploited in the wild in limited attacks targeting Adobe Reader users on Windows.
Microsoft が 2021年5月の月例パッチを公開。パッチ公開前に悪用が確認されたものはない。
Yurika
今日はマイクロソフト月例セキュリティ更新日。今月は55件の脆弱性を修正しています。既定では自動で更新されます。企業組織環境などではリスク評価の上早急に適用をお願いいたします。概要のブログを公開しています:
https://t.co/bCA5v64eR3
↓メモ続く https://t.co/tQEIT0ERBl
その他
NICT が NICTER プロジェクトのダークネット観測網における 2021年 1月〜 3月の観測結果を公開
NICT が日本国内で IoT ボット Mirai の亜種に感染している機器の観測状況について報告
2021年以降,日本国内の Mirai 感染ホストは概ね 1,000 ホスト前後で推移
Mirai 感染ホストのバナー収集を行った結果,約半数がロジテック製ルータ(LAN-W300シリーズ)であることが判明
脆弱な実機を用いて検証を行った結果,以下の2機種が実際に感染し DDoS 攻撃の踏み台となることを確認
LAN-WH300N/DR
LAN-W300N/DR
再感染を繰り返す脆弱なロジテック製ルータは約1,500台残存しており,これらの対策が国内の Mirai 感染ホスト数の低減の鍵を握る
バイデン米大統領が米国のサイバーセキュリティ強化に向けた大統領令に署名
Verizon が 2021年の Data Breach Investigations Report (DBIR) を公開
Cloudflare がこれまで利用していた CAPTCHA の代わりに、WebAuthn の Attestation の仕組みを試験的に導入すると発表。同時に公開されたテストサイトで試すことができる
Today, we are launching an experiment to end this madness. We want to get rid of CAPTCHAs completely. The idea is rather simple: a real human should be able to touch or look at their device to prove they are human, without revealing their identity. We want you to be able to prove that you are human without revealing which human you are! You may ask if this is even possible? And the answer is: Yes! We’re starting with trusted USB keys (like YubiKey) that have been around for a while, but increasingly phones and computers come equipped with this ability by default.
(コメント) まだ実験段階の取り組みではあるが、非常に興味深い。Security Key がもっと普及しないと話にならないが、こうした利用法がどの程度受け入れられるのだろうか。
Did you enjoy this issue? Yes No
Weekly newsletter of Masafumi Negishi
Weekly newsletter of Masafumi Negishi

Security Researcher, IIJ-SECT, SANS Instructor in Japan, OWASP Japan Advisory Board, WASForum Hardening Project, 子供たちが安心して使える安全なネット社会を実現したいですね。

If you don't want these updates anymore, please unsubscribe here.
If you were forwarded this newsletter and you like it, you can subscribe here.
Created with Revue by Twitter.