IT小僧の時事放談

ほぼ毎日 ヤバいセキュリティ情報 FacebookやInstagram上で中国とロシアがアメリカやウクライナに悪影響を与えるための作戦を繰り広げてきた

サイバーセキュリティ入門:図解×Q&A【第2版】

世界中のデジタルデバイスには、セキュリティの問題が毎日のようにやばい情報が公開されている。

かなりヤバい情報がやってきた。
「Twitterのセキュリティチームには中国の工作員がいる」

IT小僧の時事放題では、
ほぼ毎日 ヤバいセキュリティ情報
と題して いろいろなメディアからの情報を報告します。

ほぼ毎日なので 毎日ではありません。

スポンサーリンク

目次

FacebookやInstagram上で中国とロシアがアメリカやウクライナに悪影響を与えるための作戦を繰り広げてきた

FacebookとInstagramの所有者であるMetaが、2022年にアメリカで開催される中間選挙に先立ち、アメリカの国内政治に悪影響をおよぼすようなプロパガンダや誤報を拡散しようとする中国やロシアのユーザーが作成したアカウントを検出・削除したと発表しました。

CIB-Report_-China-Russia_Sept-2022-1.pdf
(PDFファイル)https://about.fb.com/wp-content/uploads/2022/09/CIB-Report_-China-Russia_Sept-2022-1.pdf

Removing Coordinated Inauthentic Behavior From China and Russia | Meta
https://about.fb.com/news/2022/09/removing-coordinated-inauthentic-behavior-from-china-and-russia/

Doppelganger - Media clones serving Russian propaganda - EU DisinfoLab
https://www.disinfo.eu/doppelganger

Russia-based Facebook operation targeted Europe with anti-Ukraine messaging | by @DFRLab | DFRLab | Sep, 2022 | Medium
https://medium.com/dfrlab/russia-based-facebook-operation-targeted-europe-with-anti-ukraine-messaging-389e32324d4b

War in Ukraine: Meta removes network of Russian accounts - Protocol
https://www.protocol.com/bulletins/meta-russia-china-takedowns

Meta disrupted China-based propaganda machine before it reached many Americans | Ars Technica
https://arstechnica.com/tech-policy/2022/09/meta-disrupted-china-based-propaganda-machine-before-it-reached-many-americans/

Meta Shuts Down Influence Operations Started in China, Russia - WSJ
https://www.wsj.com/articles/meta-shuts-down-influence-operations-started-in-china-russia-11664303078?mod=djemalertNEWS

Meta disables Russian propaganda network targeting Europe | AP News
https://apnews.com/article/russia-ukraine-technology-social-media-misinformation-05d147b128c48bfa23705409448b7bbc

Metaのグローバル脅威インテリジェンス部門のリーダーを務めるBen Nimmo氏と脅威破壊担当ディレクターを務めるDavid Agranovich氏が、2022年のアメリカ中間選挙に先立ちアメリカ国内の政治を混乱させるべく影響力作戦を実施する中国由来の「小さなネットワーク」を検出し、関連アカウントを削除したと発表しました。

詳しくは、以下の絵インクを確認してください。
   ↓
FacebookやInstagram上で中国とロシアがアメリカやウクライナに悪影響を与えるための作戦を繰り広げてきたとしてMetaが関連アカウントを削除 - GIGAZINE
https://gigazine.net/news/20220928-meta-removing-inauthentic-behavior-china-russia/

Facebookは、いろいろと利用されるな

戦争は、すでにネット上で行われていて、マーケティングの手法も使われている。

Facebookが、過去には、こんなことをやらかして 大スキャンダルになっていた。

グレート・ハック:SNS史上最悪のスキャンダル(原題:#TheGreatHack)

ニュースウオッチ9 - NHKで Yahoo!とLINEが経営統合するというニュースが流れている。 ITなど取り上げたこともないマスコミのいくつかは、 「これでGAFA(Google,Apple,Am ...

続きを見る

スポンサーリンク

Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性

2022年09月20日

プログラミング言語のPythonで、2007年に存在が公開されたものの修正されなかったバグが再発見されました。任意コード実行可能な脆弱性にもつながるこのバグの影響は、コーディング自動化ツールを介してさまざまなプロジェクトに広まっており、修正するべきオープンソースリポジトリが35万件以上にも及ぶと指摘されています。

Tarfile: Exploiting the World With a 15-Year-Old Vulnerability
https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html

Tarfile: Exploiting the World With a 15-Year-Old Vulnerability
https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html

詳しくは、以下の絵インクを確認してください。
   ↓
Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性 - GIGAZINE
https://gigazine.net/news/20220922-python-old-bug-unpatched-15-years/

多くのオープンソースで使われている者なのでリンク先を確認して対策が必要な場合は、実施しましょう

Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける

2022年09月16日

フードデリバリーのUber Eatsなどを手がけるテクノロジー企業「Uber」のコンピュータネットワークが何者かによるハッキングを受けたことが、現地時間の2022年9月15日に明らかにされました。同社は被害を調査するためにいくつかの社内ネットワークをオフラインにしました。

Uber Investigating Breach of Its Computer Systems - The New York Times
https://www.nytimes.com/2022/09/15/technology/uber-hacking-breach.html

匿名を条件に話した従業員によると、Uberのネットワークが何者かによる侵入を受けたとのこと。従業員は社内で使用されていたメッセージングサービス「Slack」を使用しないよう指示され、他の社内システムにもアクセスできない状態だそうです。

さらに、Slackのシステムがオフラインになる少し前に、何者かから「私はハッカーであり、Uberがデータ侵害に遭ったことを発表する」というメッセージが送られてきたとのこと。続いてその人物はハッキングを行ったとする内部データベースをリストアップしていったと従業員は述べました。ハッカーは他の社内システムにもアクセスできたようで、従業員向けの社内情報ページにわいせつな写真を投稿していたそうです。

Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける - GIGAZINE
https://gigazine.net/news/20220916-uber-investigating-breach/

社内Slackに侵入 わいせつ画像爆撃ってかなり ヤバいな

Twitterのセキュリティチームには中国の工作員がいる

2022年9月14日

元Twitterセキュリティ責任者で内部告発を行ったピーター・ザトコ氏が、2022年9月13日、アメリカ上院司法委員会で開催された公聴会に出席しました。公聴会の中でザトコ氏は、Twitterのセキュリティチームの中に少なくとも1人は中国の国家公安安全部の工作員が含まれていたことなどを証言しています。

Meeting | Hearings | United States Senate Committee on the Judiciary
https://www.judiciary.senate.gov/meetings/data-security-at-risk-testimony-from-a-twitter-whistleblower

Twitter whistleblower: Security holes cause ‘real harm to real people’ - The Washington Post
https://www.washingtonpost.com/technology/2022/09/13/twitter-whistleblower-peiter-zatko-testifies/

Twitter whistleblower Peiter "Mudge" Zatko testifies to Congress : NPR
https://www.npr.org/2022/09/13/1122671582/twitter-whistleblower-mudge-senate-hearing

公聴会の様子

質問に答えるザトコ氏

◆工作員について
ザトコ氏の証言によると、Twitterは海外の諜報機関による悪用にとても脆弱(ぜいじゃく)で、悪用を根絶することは難しく、会社として根絶する気もなかったとのこと。また、セキュリティチームの中に、少なくとも1人は中国の国家公安安全部の工作員が紛れ込んでいたほか、インドからも工作員が送り込まれていたそうです。

中国の工作員がいるという情報はザトコ氏が解雇される1週間前に、FBIからTwitterのセキュリティチームにもたされたものだったとのこと。この情報がもたらされる以前に、ザトコ氏は会社の幹部に「社内に工作員がいると確信しています」と伝えことがあるものの、「1人はいるんだから、それ以上いてもしょうがないだろう」という反応だったと振り返っています。

続きは ↓

「Twitterのセキュリティチームには中国の工作員がいる」「経営陣は安全より利益を重視」などを内部告発者が議会で証言 - GIGAZINE
https://gigazine.net/news/20220914-peter-zatko-hearing/

かなりヤバい情報が出てきました。

 

ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説

2022年9月11日

サイバーセキュリティ会社のAT&T Alien Labsの研究者が、従来のサーバーと小型のIoT(モノのインターネット)デバイスの両方に感染する、ステルス性と巧妙さに優れた新種のLinuxマルウェアを明らかにしました。AT&T Alien Labsは、研究者が「シキテガ」と名付けたこのマルウェアが検出されにくい仕組みなど、その脅威について解説しています。

Shikitega - New stealthy malware targeting Linux | AT&T Alien Labs
https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux

New Linux malware combines unusual stealth with a full suite of capabilities | Ars Technica
https://arstechnica.com/information-technology/2022/09/new-linux-malware-combines-unusual-stealth-with-a-full-suite-of-capabilities/

New Linux malware evades detection using multi-stage deployment
https://www.bleepingcomputer.com/news/security/new-linux-malware-evades-detection-using-multi-stage-deployment/

研究者によると、シキテガが検出されにくい原因は主に2点あります。まず、感染時に毎回異なる暗号鍵で自身を暗号化するポリモーフィック型マルウェアである点。これにより、既知のウイルスを感染が疑われるファイルなどと照合するパターンマッチングを用いた検出ができなくなります。また、正規のクラウドサービスを悪用して踏み台となるC2サーバーをホストするため、発信元を特定することが困難になっているそうです。

続きは ↓

ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説 - GIGAZINE
https://gigazine.net/news/20220912-malware-shikitega/

Linuxだから安全ということはない

ということっを覚えていた方がよい

アップデートしていないOSは、どれも危険にさらされているということだ。

QNAPがNASのデータを破壊するランサムウェア「DeadBolt」について警告、直ちに更新してとメーカー

2022年9月11日

ネットワークアタッチトストレージ(NAS)を手がけるQNAPが2022年9月3日に、同社のPhoto Station内のデータを暗号化してしまうランサムウェア「DeadBolt」が検出されたと発表していたことが分かりました。QNAPはユーザーに対し、直ちにファームウェアを更新するよう要請しています。

Take immediate action to update Photo Station to the latest available version | QNAP (US)
https://www.qnap.com/en-us/security-news/2022/take-immediate-action-to-update-photo-station-to-the-latest-available-version

New wave of data-destroying ransomware attacks hits QNAP NAS devices | Ars Technica
https://arstechnica.com/information-technology/2022/09/new-wave-of-data-destroying-ransomware-attacks-hits-qnap-nas-devices/

QNAPは2022年1月に、ランサムウェアのDeadBoltが同社のNASを暗号化する問題を発表しましたが、今回のDeadBoltはQNAPの写真管理アプリケーションであるPhoto Stationを標的にしているとのこと。

QNAPの製品セキュリティインシデント対応チーム(QNAP PSIRT)は発見から12時間でパッチを適用したPhoto Stationをリリースしました。そのため、同社はPhoto Stationを最新バージョンに更新することを呼びかけているほか、同様の写真管理アプリであるQuMagieへの乗り換えも推奨しています。

続きは ↓

QNAPがNASのデータを破壊するランサムウェア「DeadBolt」について警告、直ちに更新してとメーカー - GIGAZINE
https://gigazine.net/news/20220908-data-destroying-ransomware-qnap-nas/

該当する人、会社の担当者は、すぐに実施しましょう。

GoogleがChromeを緊急アップデートして重大度の高いゼロデイ脆弱性に対処

2022年9月7日

2022年9月2日、GoogleがWindows、Mac、Linuxユーザー向けに「Chrome 105.0.5195.102」をリリースしました。今回のアップデートはゼロデイ脆弱(ぜいじゃく)性「 CVE-2022-3075」に対処するものです。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html

Google Chrome emergency update fixes new zero-day used in attacks
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-new-zero-day-used-in-attacks/

CVE-2022-3075は、プロセス間通信に用いられるライブラリ「Mojo」にデータ検証の不備があることが原因で生じた脆弱性です。2022年8月30日に匿名の研究者によりこの脆弱性が報告されていましたが、Googleによるとすでに悪用された形跡が確認されているとのことです。

続きは ↓

GoogleがChromeを緊急アップデートして重大度の高いゼロデイ脆弱性に対処、2022年に入り6つ目のゼロデイパッチ - GIGAZINE
https://gigazine.net/news/20220907-chrome-105-0-5195-102/

Chromeユーザーは、すぐにアップデートしよう

ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定

2022年9月6日

ハッカーがTikTokから大規模なデータを盗み出したとして、そのスクリーンショットをネット上に公開しました。TikTokはデータ侵害が発生した痕跡はないとして情報漏えいを否定している一方、セキュリティ研究者は少なくともデータの一部は本物であるとしています。

TikTok denies security breach after hackers leak user data, source code
https://www.bleepingcomputer.com/news/security/tiktok-denies-security-breach-after-hackers-leak-user-data-source-code/

IT系ニュースサイトのBleepingComputerによると、2022年9月3日に「AgainstTheWest」と呼ばれるハッカーがオンラインフォーラム上で、TikTokとWeChatに侵入したと主張したとのこと。

AgainstTheWestは、Alibabaクラウド経由でTikTokとWeChatからデータを盗んだとして、そのデータのスクリーンショットを公開しました。データは790GBにおよび、その中にはユーザーデータ、プラットフォームの統計、ソフトウェアコード、Cookie、認証トークン、サーバー情報などを含む20億5000万件のレコードが含まれているとされています。

続きは ↓ で・・・

ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定 - GIGAZINE
https://gigazine.net/news/20220906-tiktok-denies-security-breach/

また、TikTokですか・・・

Windowsのセキュリティアプリ「Microsoft Defender」がChromeやDiscordなどをマルウェアと誤検知するバグが発生

2022年9月5日

Microsoftが提供するWindows向けの標準搭載セキュリティソフトウェアである「Microsoft Defender」が、Google ChromeやMicrosoft Edge、Discordといったアプリケーションをマルウェアとして誤検知してしまうバグが発生しています。

Windows Defender is reporting a false-positive threat 'Behavior:Win32/Hive.ZY'; it's nothing to be worried about | Windows Central
https://www.windowscentral.com/software-apps/windows-11/windows-defender-is-reporting-a-false-positive-threat-behaviorwin32hivezy-its-nothing-to-be-worried-about

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps
https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-falsely-detects-win32-hivezy-in-google-chrome-electron-apps/

2022年9月4日(日)、以前はWindows Defenderという名称で配布されていたMicrosoft Defenderの、最新バージョンとなるバージョン1.373.1508.0がリリースされました。このバージョンにアップデートすると、Windows上でGoogle ChromeやMicrosoft Edge、Discordといったアプリケーションを開くたび、Microsoft Defenderに「Behavior:Win32/Hive.ZY」という脅威検出ポップアップが通知されるというバグが発生しています。

この記事の続きはこちら

Windowsのセキュリティアプリ「Microsoft Defender」がChromeやDiscordなどをマルウェアと誤検知するバグが発生 - GIGAZINE
https://gigazine.net/news/20220905-microsoft-defender-falsely-detects-win32-hive-zy/

なお、Microsoftはすでに問題を修正したバージョン1.373.1537.0をリリースしています。

セキュリティソフトウェア あるある なんですが、自社のブラウザ Microsoft Edge をマルウェアに誤認するとは、ギャグですか・・・

ロシア最大のタクシー会社がハッキングされ全車両が1カ所に集合し大渋滞

2022年9月2日

2022年9月1日にロシア最大手のタクシー会社であるYandex Taxiがハッキング被害を受け、偽の予約により全ての運転手が1つの場所に誘導された結果、モスクワの通りで渋滞が発生したと報じられています。

Yandex Taxi zhakowana. Taksówki utworzyły korek - Geekweek w INTERIA.PL
https://geekweek.interia.pl/transport/news-czegos-takiego-jeszcze-w-moskwie-nie-widzieli-dziesiatki-tak,nId,6258500

Hackers atacam a maior empresa de táxis da Rússia e causam engarrafamento em Moscovo – Observador
https://observador.pt/2022/09/02/hackers-atacam-a-maior-empresa-de-taxis-da-russia-e-causam-engarrafamento-em-moscovo/

Hackers Created Large Traffic Jam In MoscowSouth Front
https://southfront.org/hackers-created-large-traffic-jam-in-moscow/

モスクワで発生したタクシーによる渋滞の模様は、以下から見ることができます。


続きは ↓ で・・・

ロシア最大のタクシー会社がハッキングされ全車両が1カ所に集合し大渋滞してしまう - GIGAZINE
https://gigazine.net/news/20220902-yandex-taxi-hacked/

これって 模倣犯が大量に出そうですね・・・ 困ったものだ

スマホアプリ経由でユーザーの位置情報を追跡する大規模監視ツール アメリカの地方警察が使用

スマホアプリ経由でユーザーの位置情報を追跡する大規模監視ツール「Fog Reveal」をアメリカの地方警察が使用、一体どこまで詳細な追跡が可能なのかがユーザーマニュアルから明らかに

電子フロンティア財団(EFF)の調査から、アメリカの地方警察が市民のスマートフォンにインストールされたアプリから収集されたデータに基づき、令状なしで個々のデバイスを追跡することができてしまう「Fog Reveal」というツールを購入・使用していることが明らかになっています。このFog Revealのユーザーマニュアルが公開されており、一体どの程度詳細に特定の人物を追跡できるかが判明しました。

Inside Fog Data Science, the Secretive Company Selling Mass Surveillance to Local Police | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2022/08/inside-fog-data-science-secretive-company-selling-mass-surveillance-local-police

続きはこちらで

スマホアプリ経由でユーザーの位置情報を追跡する大規模監視ツール「Fog Reveal」をアメリカの地方警察が使用、一体どこまで詳細な追跡が可能なのかがユーザーマニュアルから明らかに - GIGAZINE
https://gigazine.net/news/20220902-cops-use-mass-surveillance-tool-fog-reveal/

スマートフォンを持った瞬間にあなたのプライベートなど ダダ漏れということを認識した方がよいと思います。
いまさら 何を防御しても無駄です。

問題は、その個人情報を誰が握っていて 外部に留意津市内かということですが、それは 神のみぞ知る ということなのだろうか?

TikTokのAndroid向けアプリに「1タップでアカウントが乗っ取られる脆弱があった」 対策済み

2022年9月2日(金)

Microsoft 365 Defenderのセキュリティ研究チームが、TikTokのAndroidアプリケーションに深刻度の高い脆弱(ぜいじゃく)性を発見したと報告しています。この脆弱性により、標的となったユーザーが悪意のあるURLを1回タップするだけで、攻撃者によってアカウントを侵害され、勝手にメッセージを送信されたり動画をアップロードされたりする可能性があったそうです。

続きはこちらで

TikTokのAndroid向けアプリに「1タップでアカウントが乗っ取られる脆弱性」があったという報告 - GIGAZINE
https://gigazine.net/news/20220902-tiktok-android-vulnerability/

現在、対応済みなのでアップデートがあったら必ず行って下さい

Google Chromeはウェブサイトがユーザーの許可なくクリップボードに書き込みを行うことができる状態にある

2022年08月29日

Google Chromeで開いたウェブサイトが、ユーザーの許可を得ることなく、クリップボードに任意の文字列を書き込み可能であることが指摘されています。Chromeのバグ管理システムにおいても認識はされているものの、修正はなされていない状態です。

続きはこちら

Google Chromeはウェブサイトがユーザーの許可なくクリップボードに書き込みを行うことができる状態にある - GIGAZINE

5Gネットワークは心配するほどハッキングされやすい

2022年08月29日

モバイルネットワークは単一ベンダーのモノリシックシステムから汎用ハードウェアやクラウド環境でも使えるようになってきています。しかし、複数のベンダーの製品やサービスを組み合わせて使うことによって、間違いや構成ミスが起きやすく、ハッキングの手がかりが増えてしまっていると指摘されています。

5G Networks Are Worryingly Hackable - IEEE Spectrum
https://spectrum.ieee.org/5g-virtualization-increased-hackability

media.ccc.de - OpenRAN – 5G hacking just got a lot more interesting
https://media.ccc.de/v/mch2022-273-openran-5g-hacking-just-got-a-lot-more-interesting#t=9

2022年7月にオランダで開催されたハッカーカンファレンス「May Contain Hackers 2022」において、ドイツのセキュリティ企業・Security Research Labsの創業者であるカルステン・ノール氏が「ほとんどの場合、ハッカーは5Gネットワークに侵入してネットワークを制御することができ、顧客データを盗んだり、業務を中断させたりできる可能性がある」ことを明らかにしました。

続きはこちら

5Gネットワークは心配するほどハッキングされやすい - GIGAZINE

【緊急】iPhoneに脆弱性、乗っ取りの恐れ AppleがOS更新推奨

2022年08月20日

【シリコンバレー=白石武志】米アップルは19日までにスマートフォン「iPhone」などの基本ソフト(OS)に新たな脆弱性が見つかったと明らかにした。ハッカーらによって欠陥が活発に悪用されている可能性があり、同社は修正済みの最新OSへの更新を呼びかけている。

アップルが公表したセキュリティー報告書によると、欠陥はiPhoneやタブレット端末「iPad」、パソコン「Mac」などのOSで見つかった。悪意をもって細工されたウェブ上のコンテンツを処理すると、任意のコードが実行される可能性がある。専門家は攻撃者によって端末が乗っ取られるおそれがあると指摘している。

ソフトウエアの開発元が脆弱性に気づいて修正する前に、セキュリティー上の欠陥を突く手法は「ゼロデイ攻撃」と呼ばれ、防ぐのが難しいとされる。iPhoneでも未発見の欠陥が国家の支援を受けるハッカーらに悪用され、要人やジャーナリストらへの高度な標的型サイバー攻撃を許してきた。

米セキュリティー会社、ソーシャルプルーフセキュリティーのレイチェル・トバック最高経営責任者(CEO)はツイッター上で「この種の脆弱性はよくあることだ」と指摘したうえで、ジャーナリストや社会活動家であれば早めにOSを更新するよう呼びかけている。

アップルは2022年秋に配布を始める「iOS 16」などの最新OSで、ハッキングの手がかりとなるおそれのある一部の機能を制限できる「ロックダウンモード」を導入する予定だ。スパイウエアなどを使った標的型サイバー攻撃の被害を受けにくくできるという。

日本経済新聞

必ず更新しましょう

「ウイルスバスター クラウド」に複数の脆弱性 ~JVNが注意喚起

2022年08月17日

 

脆弱性ポータルサイト「JVN」は8月17日、トレンドマイクロ社製のセキュリティソフト「ウイルスバスター クラウド」(Windows版)に関する脆弱性レポート(JVNVU#93109244)を公開した。複数の脆弱性が発見されたとして、注意を喚起している。

脆弱性の内容は、以下の通り(括弧内はCVSS 3.0のスコア)。前者はv17.7に、後者はv17.0/v17.7に影響し、情報漏洩や権限昇格につながる可能性がある。

  • CVE-2022-30702:範囲外メモリ読み取り、危険なメソッドの公開(7.3)
  • CVE-2022-30703:危険なメソッドの公開(6.5)

同社によると8月10日現在、本脆弱性を利用した攻撃を確認されていないとのこと。以下のバージョンへのアップデートが推奨されている。

  • v17.7.1472もしくはそれ以降
  • v17.0.1412もしくはそれ以降

窓の杜

セキュリティソフトウェアもバグはあります。

ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘

2022年08月13日

macOSのセキュリティ研究者として著名なパトリック・ワードル氏が、ハッキングカンファレンスであるDEF CONの中で、macOS向けのZoomインストーラーに存在するバグにより、macOSのroot権限を取得できるようになっていると指摘しています。

The Zoom installer let a researcher hack his way to root access on macOS - The Verge
https://www.theverge.com/2022/8/12/23303411/zoom-defcon-root-access-privilege-escalation-hack-patrick-wardle

ワードル氏はmacOS用のオープンソースセキュリティツールを作成する非営利団体・Objective-See Foundationの創設者で、これまでに「App Storeで配布されている複数の人気Macアプリがユーザーデータを収集して外部サーバーに送っている」ことなどを指摘してきた人物。

そんなワードル氏が、Zoomのインストーラーに存在するバグを指摘しています。

この続きは以下のリンク先で

ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘 - GIGAZINE
https://gigazine.net/news/20220813-zoom-installer-hack-root-access-macos/

問題は、この指摘をZoom側がしばらく放置してあったということです。

root権限を乗っ取られると言うことは、なんでもできてしまうということであり、ハッキングし放題ということになります。

新しい展開があったら レポートします。

FacebookやInstagramアプリはリンクをタップしたユーザーを詳細に追跡している

2022年08月12日

Googleの元エンジニアが行った最新の調査によると、ユーザーがアプリ内のリンクをクリックした後もそのユーザーを追跡できるように、FacebookとInstagramの所有者であるMetaは専用のコードを利用しているそうです。

iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser · Felix Krause
https://krausefx.com/blog/ios-privacy-instagram-and-facebook-can-track-anything-you-do-on-any-website-in-their-in-app-browser

Meta injecting code into websites to track its users, research says | Meta | The Guardian
https://www.theguardian.com/technology/2022/aug/11/meta-injecting-code-into-websites-visited-by-its-users-to-track-them-research-says

Metaが提供する「Facebook」と「Instagram」のアプリは、ユーザーが投稿に含まれる外部リンクをタップすると、アプリ内ブラウザでリンクを開きます。この「外部リンクをタップした際の挙動」について、元Googleのプライバシー研究者であるフェリックス・クラウス氏は、「Instagramは広告をクリックした時を含め、アプリ内ブラウザで表示されるすべてのウェブサイトに追跡コードを挿入することで、ユーザーがどのボタンやリンクをタップし、テキストを選択し、スクリーンショットを撮影し、パスワードなどのフォーム入力を行ったかなどの、あらゆるユーザー操作を監視できるようにしています。追跡可能な情報にはユーザーの住所やクレジットカード番号なども含まれます」と語っています。

クラウス氏はブラウザがウェブサイトに追加するすべての余分なコードを一覧表示できるようなツールを構築することで、Metaによる追跡コードの挿入を検出しています。通常のブラウザやアプリでは、クラウス氏の追跡アプリがコードを検出することはありません。しかし、FacebookやInstagramといったアプリでは、最大18行のコードが検出されたとのこと。検出されたコードについて、クラウス氏は「特定のクロスプラットフォームトラッキングキットのように見える」としています。FacebookやInstagramといったアプリがインストールされていない場合、Metaは代わりに追跡コードのピクセルを呼び出し、ウェブサイト上でユーザーがどのような操作を行っているのか追跡します。これにより、Metaはあらゆるユーザーの「どのようなものに興味関心を抱いているか」を正確にプロファイルできるようになるわけです。

MetaはFacebookとInstagramという2つのアプリに追跡コードを挿入していることをユーザーに一切開示しておらず、クラウス氏の調査によればMetaの所有するアプリのひとつであるWhatsAppには、同様の追跡コードが挿入されていないとのこと。Metaが行っているような「ウェブページがユーザー端末上に表示される前に余分なコードを追加する」という行為は、「Javascriptインジェクション」と呼ばれ、これは悪意のある攻撃の一種としてみなされるケースがあります。例えばサイバーセキュリティ企業のFerootは、Javascriptインジェクションを「攻撃者がウェブサイトまたはウェブアプリケーションを操作して、個人を特定できる情報や支払い情報などの機密データを収集できるようにするもの」と説明しています。

Metaがいつ頃から自社アプリに追跡コードを挿入し始めたのかは不明ですが、2021年にAppleが広告目的のユーザー追跡を許可するかどうかをユーザー自身が選択できる「App Tracking Transparency(ATT)」を有効化したことで、Facebookの広告主はそれまでのようなターゲット広告を打つことができなくなりました。これにより、最終的にFacebookの株価は20%以上急落しています。この事態に対処するべく、Metaは自社の主力アプリ2つに追跡コードを挿入した可能性があります。

これに対して、Metaの広報担当者は「このコードは我々のプラットフォームでユーザーが『トラッキングを許可する』を選択した際に機能するよう意図的に開発したものです」「このコードにより、ターゲット広告や測定目的でデータを使用する前の段階で、ユーザーデータを集計することが可能となります。このコードはピクセルを追加することなく、コンバージョンイベントを集計できるよう設計されています」「アプリ内ブラウザを介して行われた商品購入については、自動入力の目的で支払い情報を保存できるようユーザーに同意を求めています」と声明を発表しました。

「FacebookやInstagramアプリはリンクをタップしたユーザーを詳細に追跡している」ことが元Googleエンジニアの調査により明らかに - GIGAZINE
https://gigazine.net/news/20220812-meta-injecting-code-websites-track/

今さらという感じもありますが、それを阻止して自社に都合のよい広告ばかり流すとか いろいろなことがありまっすが、スマートフォンを持っている限り、個人情報など どこかに流れていると思った方がよいでしょう。

神経質になって個人情報がといっても無駄です。

問題は、個人情報の保管先でああってそこから外にでなければよしと願うだけです。

それより問題なのはSNSで「誰にでも簡単にわかる」ような情報を自らさらけ出すことです。
子供の写真とか 簡単に出すのは、危険ということを考えた方がよいと思います。

3200以上のアプリでTwitterのAPIキーが流出していることが判明、アカウント乗っ取りも可能

2022年08月03日

サイバー犯罪の監視を手がけるセキュリティ企業・CloudSEKが2022年8月1日に、多数のアプリがTwitterのAPIキーを流出させていることを報告しました。アプリがユーザーに代わってTwitterにアクセスすることを可能とするAPIキーの漏えいによりアカウントへの不正アクセスや乗っ取りが可能になっていると、CloudSEKは警鐘を鳴らしています。

How Leaked Twitter API Keys Can be Used to Build a Bot Army - CloudSEK
https://cloudsek.com/whitepapers_reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army/

Over 3,200 apps leak Twitter API keys, some allowing account hijacks
https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/

Twitter account hijacks made possible by error in 3,200 mobile apps
https://9to5mac.com/2022/08/02/twitter-account-hijacks/

アプリ開発者が自分のモバイルアプリにTwitterの機能を導入する場合、開発者は特別な認証キーを取得し、これによってモバイルアプリがTwitterのAPIとデータをやりとりできるようにします。そして、ユーザーがアプリと自分のTwitterアカウントを紐付けると、このキーによってアプリがユーザーの代わりにツイートを投稿したり、ダイレクトメッセージを送信したりすることが可能になります。例えば、ゲームアプリがハイスコアをTwitterに投稿するような機能がこれに該当します。

CloudSEKによると、この連携機能の要となるAPIキーが3207のモバイルアプリから流出しており、そのうち230のアプリが4つある認証資格情報を全て漏えいしているとのこと。さらに、39のアプリでは4つのキーが全て有効なものだったことが確認されたとCloudSEKは報告しています。

TwitterのAPIキーを入手した悪意ある第三者は、Twitterアカウントを完全に自由に制御し、「ダイレクトメッセージの閲覧」「リツイートやいいね」「ツイートの作成または削除」「フォロワーの追加または削除」「アカウント設定へのアクセス」「アカウント画像の変更」などを行うことが可能になります。

問題のアプリにはダウンロード数が5万から500万回のものが含まれており、アプリの種類も交通アプリ、ラジオ、読書アプリ、ニュース、インターネットバンキングアプリ、サイクリング用GPSアプリなど多種多様でした。CloudSEKはアプリ開発者らにこの問題を報告しましたが、修正が進んでいないため、具体的なアプリのリストは非公開になっています。

IT系ニュースサイトの9to5Macによると、幸いにも乗っ取られる可能性があるのはアプリのユーザーではなくアプリ開発者のアカウントだとのこと。このようなAPIキーの漏えいが発生するのは、アプリ開発者がTwitterのAPIに認証キーを埋め込んでから、リリースする際にそれを削除し忘れることによって発生することが多いと指摘されています。

乗っ取られるのがアプリ開発者のアカウントだからといって、一般のユーザーに直接的な被害が及ばないわけではありません。乗っ取り被害の潜在的なターゲットとなっているアプリ開発者のアカウントの多くは、知名度がある認証済みのTwitterアカウントなので、偽情報やマルウェアを拡散するボットネットワークとして利用されてしまう可能性があります。また、フォロワーを狙った投資詐欺などのスパムキャンペーンやフィッシング攻撃が行われることも懸念されています。

こうした事態を防ぐため、CloudSEKはアプリ開発者らに対して、APIキーを直接コードに埋め込まず、6カ月ごとにAPIキーを変更することなどを呼びかけました

3200以上のアプリでTwitterのAPIキーが流出していることが判明、アカウント乗っ取りも可能 - GIGAZINE
https://gigazine.net/news/20220803-leaked-twitter-api-build-bot-army/

Twitterで確認してみよう
→ 設定とプライバシー
→ セキュリティとアカウントアクセス
→ アプリとセッション
→ 連携しているアプリ

見知らぬアプリが連携しているかもしれないので確認してみよう。
取り消すには、アプリを選んで「アプリの許可を取り消す」で連携を削除できます。

ここで許可されているものは、Twitterの情報を「読み取りと書き込み」など許可したものです。
必要なものもありますが、??なものは、検索して取り消すかどうか確認してください。

多くのスマホがスパイウェア「Pegasus」でハッキング 個人情報も筒抜けだった

2022年07月19日

イスラエルの企業であるNSO Groupが開発したスマートフォン向けスパイウェア「Pegasus」は、各国の政府機関や諜報機関によって市民活動家や反政府勢力の監視に使われたことが報じられています。新たに、合計30人を超えるタイの活動家やその支持者らのスマートフォンがPegasusに感染し、オーディオや写真、メール、連絡先などが筒抜けになっていたことが、 カナダのトロント大学を拠点とするセキュリティ研究機関・Citizen Labなどの調査により判明しました。

GeckoSpy: Pegasus Spyware Used Against Thailand’s Pro-Democracy Movement - The Citizen Lab
https://citizenlab.ca/2022/07/geckospy-pegasus-spyware-used-against-thailands-pro-democracy-movement/

Pegasus spyware used to hack dozens of activists in Thailand - The Washington Post
https://www.washingtonpost.com/technology/2022/07/17/pegasus-nso-thailand-apple/

Israeli Pegasus Spyware Used Against Dozens of Thai Pro-democracy Activists, Report Says - Israel News - Haaretz.com
https://www.haaretz.com/israel-news/2022-07-18/ty-article/.premium/nsos-pegasus-software-was-used-against-thai-pro-democracy-activists-report-says/00000182-0dd8-d5f6-abe3-0ffbc44d0000

NSOグループが開発したPegasusは、iPhoneやAndroid搭載スマートフォンの脆弱性を突いてスマートフォンに感染し、メール・通話履歴・ソーシャルメディア上での投稿・パスワード・連絡先・写真・ムービー・録音ファイル・閲覧履歴といったデータを収集するスパイウェアです。Pegasusはイスラエルの輸出機関によって販売先を管理し、政府の法執行機関または諜報機関のみに販売されています。

スパイウェア「Pegasus」のもとでは、iPhoneも無力らしいので iPhone=安全といえなくなってきました。

2021年には「20カ国で180人以上のジャーナリスト・人権活動家・政治家・実業家がPegasusで監視されていた」と報じられたほか、2018年にトルコのサウジアラビア総領事館内で殺害されたジャーナリストのジャマル・カショギ氏に対するハッキングにも、Pegasusが用いられたことがわかっています。

こうした状況を受けてアメリカ政府は2021年11月、Pegasusの開発元であるNSOグループをブラックリストに登録しました。

アメリカがハッキングツールの「Pegasus」開発元など4社をブラックリスト入りに - GIGAZINE


また、同月にAppleはPegasusの被害者と思われる人々に通知を送信。その中にはタイ政府に批判的だった少なくとも6人の活動家と研究者が含まれていたとのこと。Appleから通知を受け取った人々は、デジタル権利の擁護団体であるAccess Nowや国際人権NGOのアムネスティ・インターナショナル、タイのデジタル擁護団体などに連絡し、スマートフォンの調査を依頼しました。

こんなヤバいソフトウェアが販売されているということ自体 危険極まりない。

詳細は、GIGAZINEで確認してください。
多くのスマホがスパイウェア「Pegasus」でハッキングされ個人情報も何もかもが筒抜けだったことが発覚 - GIGAZINE
https://gigazine.net/news/20220719-pegasus-spyware-used-activists-thailand/

海賊もサイバーの時代、コンテナ船をハッキングしてスエズ運河座礁事故クラスの損害を引き起こす可能性も

2022年7月1日

海賊と聞くと海賊船で攻撃対象に接近して金品を強奪する姿を思い浮かべますが、電子化の進む船舶を対象としたサイバー攻撃を行うサイバー海賊の存在が近年報告されています。サイバー海賊によって船舶のコントロール権が奪取された場合、2021年に発生したスエズ運河での座礁事故のような大規模な事故が人為的に引き起こされることが懸念されています。

Cyber Pirates Prowling Ship Controls Threaten Another Big Shock - Bloomberg
https://www.bloomberg.com/news/articles/2022-06-28/cyber-pirates-prowling-ship-controls-threaten-another-big-shock

2019年2月にニューヨークに向けて航行していた大型コンテナ船のシステムに、何者かが侵入した形跡が発見されました。沿岸警備隊による分析の結果、コンテナ船はコントロールを奪われることはなかったものの、重要な機能が重大な危険にさらされていたことが明らかになりました。沿岸警備隊によると、近年はコンピューターによるエンジン制御システムや海図作成システム、ナビゲーションシステムなどが多くの船舶に搭載されているとのこと。このため、沿岸警備隊はサイバー海賊による攻撃によって船舶のコントロール権が奪取される可能性を(PDFファイル)警告し、船舶の管理者に対してセキュリティ対策の強化を呼びかけています。

ここまでくると映画の話だな

詳細は、GIGAZINEで確認してください。
海賊もサイバーの時代、コンテナ船をハッキングしてスエズ運河座礁事故クラスの損害を引き起こす可能性も - GIGAZINE
https://gigazine.net/news/20220701-cyber-pirate/https://gigazine.net/news/20220630-microsoft-defender-intel-cpu/

小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か

2022年6月30日

CDN企業・Lumen Technologiesの脅威情報部門であるBlack Lotus Labsの研究者が、新型コロナウイルスの流行時にリモートワーカーが急増したことを狙い、小規模オフィスあるいは個人向け(SOHO)ルーターを標的とする新しいリモートアクセス型トロイの木馬(RAT)である「ZuoRAT」が登場したと報告しています。

ZuoRAT Hijacks SOHO Routers to Silently Stalk Networks - Lumen
https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/

ZuoRAT malware hijacks SOHO Routers to spy in the vitimsSecurity Affairs
https://securityaffairs.co/wordpress/132709/hacking/zuorat-soho-campaign.html

ZuoRATはASUS、Cisco、DrayTek、NETGEARのルーターを標的に設計されており、悪意のある攻撃者がネットワーク上でやりとりされる機密情報を盗むことができるようになります。ZuoRATは少なくとも4つのマルウェアで構成されており、そのうちの3つは新しく開発されたものだったとのこと。

詳細は、GIGAZINEで確認してください。
小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か - GIGAZINE
https://gigazine.net/news/20220630-zuorat-soho-campaign/

Microsoft DefenderがIntel製CPUのパフォーマンスを低下させていたことが判明

2022年6月30日

ThrottleStopRealTempなどのユーティリティソフトの開発者であるUncle Webbことケビン・グリン氏が、Windows 10の標準セキュリティツールであるMicrosoft Defenderが原因で、Intel製CPUのパフォーマンスが低下する現象を報告しています。

Microsoft Defender can Significantly Impact Intel CPU Performance, We have the Fix | TechPowerUp
https://www.techpowerup.com/295877/windows-defender-can-significantly-impact-intel-cpu-performance-we-have-the-fix

Microsoft Defender is reportedly hindering performance on Intel CPUs | PC Gamer
https://www.pcgamer.com/windows-defender-is-reportedly-hindering-performance-on-intel-cpus/

グリン氏によれば、CPUに負荷がかかっている時にハードウェア情報解析ソフトの「HWiNFO」をチェックしたところ、Intel製CPUの性能が低下するとのこと。例えば、CPUベンチマークソフトであるCinebenchでパフォーマンスを計測すると、Microsoft Defenderのリアルタイム保護が有効になっているとスコアがおよそ6%低くなったとグリン氏は報告しています。

詳細は、GIGAZINEで確認してください。
Microsoft DefenderがIntel製CPUのパフォーマンスを低下させていたことが判明 - GIGAZINE
https://gigazine.net/news/20220630-microsoft-defender-intel-cpu/

2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性があったことが明らかに

2022年4月25日

Androidスマートフォンに組み込まれたオーディオコーデックのApple Lossless Audio Codec(ALAC)に脆弱(ぜいじゃく)性が存在し、2021年に出荷されたスマートフォンのほぼ3分の2にリモートでコードを実行される危険性があったことが明らかになりました。報道時点で問題はすでに修正済みとのことです。

Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users’ Privacy around the World were at Risk - Check Point Software
https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/

iTunesなどで用いられているALACはもともとAppleにより開発されたオーディオコーディング形式で、2011年にオープンソース化されています。それ以来ALACはAndroidスマートフォンやLinuxおよびWindows向けメディアプレイヤーやコンバーターなど、Apple以外の多くのオーディオ再生デバイスやプログラムに組み込まれています。

Appleは独自バージョンのデコーダーを複数回更新し、セキュリティの問題を修正してパッチを適用していますが、共有コードには2011年以降パッチが適用されていません。このパッチが適用されていない脆弱性のあるALACコードが、世界最大のモバイルチップセットメーカーの2つであるQualcommとMediaTekにより、スマートフォンのオーディオデコーダーに移植されていることが今回明らかになりました。

サイバーセキュリティ企業のCheck Point Researchの調べによると、問題のALACのコードには攻撃者が不正な形式のオーディオファイルを介し、モバイルデバイス上でリモートコード実行攻撃を行える脆弱性があったとのこと。これにより攻撃者がコンピュータ上で悪意のあるコードをリモートで実行してマルウェアの実行からカメラへのアクセスなどを行えたほか、特権のないAndroidアプリを使用してメディアデータやユーザーの会話にアクセスする可能性もあったとのことです。

MediaTekとQualcommのチップセットは2021年第2四半期に合計67%のシェアを獲得しており、そのすべてに脆弱性があったものとみられています。Check Point Researchはすでに両社に情報を開示しており、MediaTekは今回の報告に対応する脆弱性であるCVE-2021-0674およびCVE-2021-0675の修正パッチを2021年12月にリリースし、Qualcommも対応する脆弱性のCVE-2021-30351の修正パッチを2021年12月にリリースしています。

2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性があったことが明らかに - GIGAZINE
https://gigazine.net/news/20220425-mediatek-qualcomm-alac-vulnerabilities/

Googleがこれに対応するという

Android通話録音アプリが使用不能に。抜け道に使われていたAPIが5月11日から規制対象に
デベロッパー プログラム ポリシー: 2022 年 4 月 6 日のお知らせ
https://support.google.com/googleplay/android-developer/answer/11899428#accessibility_preview

通販装う「攻撃用USBメモリー」が届く、ランサムウエアの脅威に備えよ

2022年4月25日

 企業が事業を止めざるを得なくなるようなサイバー攻撃の被害が相次いでいます。原因はランサムウエア(身代金要求型ウイルス)。データを暗号化してその復旧に身代金を要求するマルウエアで、ここ2年ほどの間に被害が急増しています。

日経クロステックでここ1年の間に読まれたセキュリティー分野の記事もランサムウエア関連が多く、特にオンライン通販などを装ってランサムウエアを仕込んだUSBメモリーを送付する攻撃事例が注目を集めました。攻撃側の手口が巧妙化するなかで、どんな対策を講じるべきなのでしょう。過去の被害や先進的なセキュリティー対策を講じる企業の事例から、ランサムウエアによる被害を防ぐヒントとなる記事をまとめました。

また、組織のセキュリティーは各エンドユーザーのパソコン、メールからコツコツ強化する必要があります。メールに潜む脅威とその対策、Windows 11で採用された最新セキュリティー対策を理解できる記事も併せてご覧ください。

通販装う「攻撃用USBメモリー」が届く、ランサムウエアの脅威に備えよ

USBメモリーって 「つい 差してしまう」なんてことありまっすよね

くれぐれも見知らぬUSBメモリーをパソコンに差すのは止めましょう

iPhoneの新たなゼロクリック脆弱性が発見される、NSOのスパイウェア「Pegasus」にも利用されていた

2022年04月19日 11時00分

iPhoneの新たなゼロクリック脆弱性が発見される、NSOのスパイウェア「Pegasus」にも利用されていた - GIGAZINE

カナダ・トロント大学を拠点とするセキュリティ研究機関・Citizen Labが2022年4月18日に、iOSで新たなゼロクリックのエクスプロイトが見つかったと発表しました。

CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru - The Citizen Lab
https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

Newly found zero-click iPhone exploit used in NSO spyware attacks
https://www.bleepingcomputer.com/news/security/newly-found-zero-click-iphone-exploit-used-in-nso-spyware-attacks/

Citizen Labが今回発表したのは、スパイウェア「Pegasus」で知られるイスラエル企業・NSO Groupが使っていたiMessageのエクスプロイトです。

「HOMAGE」と名付けられたこのゼロクリックのエクスプロイトは、スペインの自治州であるカタルーニャ州の政治家やジャーナリストなどを主な標的としたもので、「Kismet」と呼ばれるiMessageの脆弱(ぜいじゃく)性やWhatsAppの脆弱性と組み合わせて使用されました。

Citizen Labは、2017年~2020年の間に「HOMAGE」による攻撃を受けたカタルーニャの活動家は65人に上ると推測しており、その中には2010年以降に就任した全てのカタルーニャ州政府首相も含まれているとのこと。具体的には、2010年~2016年まで首相を務め、退任後にPegasusに感染したアルトゥール・マス氏、2016年~2017年まで在任したカルレス・プッチモン氏、2018年~2020年まで在任したキム・トーラ氏、そして2021年から現職のペレ・アラゴネス州首相の4人です。

このエクスプロイトを用いた攻撃の出どころは不明ですが、Citizen LabはPegasusが政府にのみ販売されていることを指摘した上で、「犠牲者やターゲットの性質・攻撃の時期・スペイン政府がNSO Groupのクライアントの1つだと報告されているといった状況証拠から、スペイン政府との強い結びつきが示唆されています」と述べて、カタルーニャ州の独立を巡り同州と対立しているスペイン中央政府の関与が強く疑われるとの見方を示しました。

Citizen Labによると、カタルーニャ州のターゲットのうち、iOSのバージョンが13.1.3より新しいデバイスでこのエクスプロイトが使われた例は確認されていないため、エクスプロイトはiOS 13.2で修正された可能性が高いとのこと。

Citizen Labは、既にエクスプロイトに関する詳細な情報をAppleに提供しており、記事作成時点で最新のバージョンのiOSが搭載されているiPhoneユーザーが「HOMAGE」での攻撃にさらされているとのエビデンスはないとしています。

これまでも何度は、取り上げてきましたが、

iPhoneは、絶対に安全であるという神話に騙されないで

と考えてほしいと思います。

AndroidとiPhone(iOS)でiPhoneが安全というのは、Appleが、やばそうなソフトウェア(Appleの意思にそぐわない)ものを排除しているからであって、OSが絶対的に安全ということでは、ないのです。

ソフトウェアは、人間が、構築し、検査しているものですから、100%安全なものなどなく、もし安全というのならば、インターネットを断絶し、Bluetooth、GPS、お財布ケータなど電波を使うものをすべて断つしかありません。

また、ブラウザで詐欺サイトに引っかかることに関しては、iPhoneといえども防ぐことは完全にできません。
自ら進んでパスワードを悪人に送るようなものですから、防ぐことなど不可能です。

SNS上で好き好んでバカをさらけ出して身バレしている人も減ることもないでしょう。

それが嫌だったら、スマホは常に危険であるというリスクを覚悟で使うということです。

 

「シン・ウルトラマン」の偽Twitterアカウントに注意 「DM開封しないで」 公式が呼び掛け

2022年04月18日 20時56分 

 5月13日公開予定の映画「シン・ウルトラマン」の公式Twitterアカウントは4月18日、本物をかたる偽アカウントを確認したとして注意喚起した。不審なダイレクトメッセージも送信しているといい「メッセージの開封、添付ファイルの参照、本文中のURLのクリック等を行わないよう注意してほしい」(公式Twitterアカウント)

同アカウントは公式マークの有無で真偽を見分けるよう呼び掛けている。一方で、15日公開の予告編に、原作で偽物のウルトラマンに変身する宇宙人「ザラブ星人」が登場したことから、ファンからは「ザラブ星人の仕業なのでは?」とする声も出ている。

photo
予告編に登場したザラブ星人

宇宙からの侵略者もネット攻撃する時代となったのだろうか????

GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は?

2022年04月18日 11時37分

GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は? - GIGAZINE

GitHubと連携して用いられる開発者向けサービス「Heroku」と「Travis CI」からOAuthのアクセストークンが流出したことが明らかとなりました。GitHubはアクセストークンの流出によってNode.jsのパッケージ管理システム「npm」を含む数十のプライベートリポジトリが不正アクセスを受けたと発表しています。

Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators | The GitHub Blog
https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

Incident 2413 | Heroku Status
https://status.heroku.com/incidents/2413

GitHubのセキュリティチームは、2022年4月12日にnpmのプライベートリポジトリへの不正アクセスを発見しました。不正アクセスの原因を調査した結果、アプリ開発用クラウドプラットフォーム「Heroku」と自動テスト実行サービス「Travis CI」からGitHub上のプライベートリポジトリへのアクセストークンが流出しており、数十の組織のプライベートリポジトリが不正アクセスの被害に遭っていることが判明しました。GitHubによると、npmプロジェクトの主な被害は「npmのプライベートリポジトリへの不正アクセスおよびダウンロード」「ストレージサービス『Amazon S3』上に存在するnpmパッケージへのアクセス」の2点で、パッケージの変更やユーザーアカウントへのアクセスは確認されていないとのこと。GitHubは被害への対応として流出したと考えられるアクセストークンを失効させ、HerokuおよびTravis CIと連携しながら調査を進めています。

また、Herokuが発表した声明によると、Herokuで管理されているGitHubプライベートリポジトリの不正ダウンロードは2022年4月9日に発生したとのこと。Herokuは2022年4月17日までに既存の全てのアクセストークンを失効させ、アクセストークンの新規発行を停止しました。

Herokuによるアクセストークンの失効&新規発行停止によって、記事作成時点ではHerokuとGitHubの連携が不可能となっています。Herokuは問題が解決されるまではGitHub以外のサービスを利用するかGitを用いてデプロイすることをユーザーに求めています。HerokuとGitHubの連携解除方法は、以下のページの「Disconnecting from GitHub」の項目を参考にしてください。

GitHub Integration (Heroku GitHub Deploys) | Heroku Dev Center
https://devcenter.heroku.com/articles/github-integration


加えて、GitHubとHerokuはユーザーに対してセキュリティログを確認して不正アクセスの被害に遭っていないか確認することを推奨しています。個人ユーザーの場合、以下のドキュメントを参考にセキュリティログを確認できます。

Reviewing your security log - GitHub Docs
https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/reviewing-your-security-log


GitHubを組織で利用している場合は、以下のドキュメントを参考にログを確認可能です。

Reviewing the audit log for your organization - GitHub Docs
https://docs.github.com/en/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization

先のGitに続いて 今度は、GitHubです。

GitHubと連携して用いられる開発者向けサービス「Heroku」と「Travis CI」からOAuthのアクセストークンが流出したことが明らかとなりました。GitHubはアクセストークンの流出によってNode.jsのパッケージ管理システム「npm」を含む数十のプライベートリポジトリが不正アクセスを受けたと発表しています。

ただし、迅速な対応が取られたようです。

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は?

2022年03月22日 15時00分

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は? - GIGAZINE

プログラムのソースコードなどの変更履歴を記録・追跡するための分散型バージョン管理システムの「Git」に、セキュリティ上の脆弱性があると指摘されています。すでにこの脆弱性に対応した最新バージョンとなる「Git 2.35.2」が公開されており、Git for Windowsユーザーやマルチユーザー環境でGitを使用しているユーザーには、Gitのアップグレードが推奨されています。

Git for Windows' uninstaller vulnerable to DLL hijacking when run under the SYSTEM user account · Advisory · git-for-windows/git · GitHub
https://github.com/git-for-windows/git/security/advisories/GHSA-gf48-x3vr-j5c3

Git security vulnerability announced | The GitHub Blog
https://github.blog/2022-04-12-git-security-vulnerability-announced/

問題となっている脆弱性のひとつが「CVE-2022-24765」で、悪意のある攻撃者が作業ディレクトリ上の共有スペースに「.gitディレクトリ」を作成できてしまうというもの。例えば、攻撃者が「C:\.git」というディレクトリに「config」というファイルを配置したとすると、リポジトリの外部で発生するすべてのGitコマンド呼び出しにその設定値を読み込ませることが可能となります。「core.fsmonitor」などの一部の設定変数は、Gitに任意のコマンドを実行させることができるため、脆弱性を悪用して任意のコマンドを実行させることも可能です。

Gitを利用するサービスの中でも最も著名なGitHubは、今回の脆弱性の影響を受けません。しかし、Git for Windowsユーザーやマルチユーザー環境でGitを使用しているユーザーは影響を受けるため、Gitを最新バージョンの「Git 2.35.2」にアップグレードすることが推奨されています。Git 2.35.2では、ディレクトリトラバーサルが現在のユーザーから所有権を変更した時に停止するトップレベルディレクトリを探す際のGitの動作を変更することで脆弱性に対処しており、この動作に例外を設けるための新しい複数値「safe.directory」も用意されています。

さらに、すぐにGitのアップグレードができないというユーザーのために、リスクを軽減するための最も効果的な方法も紹介されています。方法は以下の通り。

・ユーザープロファイルの親ディレクトリを含むように環境変数の「GIT_CEILING_DIRECTORIES」を定義(macOSなら「/Users」、Linuxなら「/home」、Windowsなら「C:\Users」)
・作業ディレクトリが信頼できるリポジトリ内にない場合、マルチユーザー環境でGitを実行しない

また、Git Bash、posh-git、VisualStudioのGit for Windowsといったツールでは、内部でGitコマンドを実行することに注意するよう指摘されており、マルチユーザー環境では最新バージョンへアップグレードするまでこれらのツールの使用を避けることが推奨されています。

もうひとつ問題となっている脆弱性が、ユーザーの一時ディレクトリで実行されるGit for Windowsのアンインストーラーに影響をおよぼす「CVE-2022-24767」です。Git for Windowsのアンインストーラーは一時フォルダにコピーされてから実行されますが、この一時フォルダは既定で誰でも書き込み可能となっているため、ここに悪意のあるファイルを配置することでアンインストーラー実行時に悪意のあるファイルを読み込んでしまう可能性があります。

この脆弱性からマシンを保護するための最も効果的な方法は、Git for Windowsをバージョン2.35.2にアップグレードすることです。すぐにアップグレードできない場合は、以下の方法でリスクを軽減することが推奨されています。

・アップグレードするまでGit for Windowsのアンインストーラーを実行しない
・ユーザーアカウントの権限をユーザーのみが書き込み可能となるように変更
・アンインストーラーを実行する前に不明なファイルを削除
・ユーザーアカウントとしてではなく管理者アカウントとしてアンインストーラーを実行

普段使うものですから Git for Windowsをバージョン2.35.2をしてください。

スポンサーリンク

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している

2022年03月22日 15時00分

多くのAndroidスマートフォンにデフォルトで搭載されているGoogle製メッセージングアプリ「Google Messages(メッセージ)」と、Google製通話アプリの「Google Dialer(Googleの電話アプリ)」について、「ユーザーへの通知や特定の同意なしにGoogleへデータを収集・送信している」と研究者が報告しています。収集・送信されるデータについてユーザーの制御が不十分な点から、EU一般データ保護規則(GDPR)に違反している可能性もあるとのことです。

What Data Do The Google Dialer and Messages Apps On Android Send to Google?
(PDFファイル)https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf

Messages, Dialer apps sent text, call info to Google • The Register
https://www.theregister.com/2022/03/21/google_messages_gdpr/

アイルランドのトリニティ・カレッジ・ダブリンでコンピューターサイエンスの教授を務めるダグラス・リース氏が発表した論文では、Google製のテキストメッセージングアプリ「メッセージ」と通話アプリ「Googleの電話アプリ」が、AndroidのシステムアプリであるGoogle Play Servicesのデータ収集サービスやFirebase Analyticsサービスに送信されていることが指摘されています。

リース氏は論文の中で、「『メッセージ』によって送信されるデータには、メッセージングテキストのハッシュが含まれており、メッセージのやり取りにおける送信者と受信者をリンクすることができます」「『Googleの電話アプリ』によって送信されるデータには、通話を始めた時刻と通話全体の時間が含まれており、通話を行う2台のデバイスのリンクが可能です。また、電話番号もGoogleに送信されます」と記しています。

「メッセージ」アプリが送信するハッシュは復元が困難なように設計されているものの、短いメッセージであればメッセージ内容の一部を復元することも不可能ではないとのこと。

「メッセージ」と「Googleの電話アプリ」はGoogle製アプリであるため、世界中で販売されている10億台以上ものAndroidスマートフォンにプリインストールされています。リース氏は、これらのプリインストールされたアプリにおいては、Googleがサードパーティーの開発者に要求している「データ収集内容を説明するアプリ固有のプライバシーポリシー」が欠如していると指摘。また、Google Takeoutを通じてテストに使用したGoogleアカウントに関連するデータを要求しても、Googleが提供したデータには収集しているはずのデータが含まれていなかったとのこと。

Androidにプリインストールされたアプリを最新バージョンに保つシステムアプリであるGoogle Play Servicesは、セキュリティ対策や詐欺の防止、Google Play ServicesのAPIとコアサービスの維持、ブックマークや連絡先の同期といったサービス提供のため、Google製アプリが一部のデータを収集することを説明しています。しかし、メッセージの内容や送受信者、通話時間や発信者および着信者といったデータまで収集することについては説明されておらず、ユーザーがデータ収集を拒否する方法も存在しないそうです。リース氏は、「このデータがこれらのGoogle製アプリによって収集されているのを見て驚きました」と述べています。

リース氏は2021年11月にこの調査結果をGoogleに開示し、「メッセージ」アプリを担当するエンジニアリングディレクターと何度か協議した結果、Googleは以下の変更に同意したそうです。

・アプリの導入フローを改善し、Google製アプリであることや消費者向けプライバシーポリシーへのリンクを通知する。
・「Googleの電話アプリ」における発信者の電話番号や「メッセージ」におけるテキストのハッシュといったデータの収集を停止する。
・Firebase Analyticsによる通話関連イベントの記録を「Googleの電話アプリ」と「メッセージ」の両方で停止する。
・テレメトリデータの収集において、Android端末固有の永続的な識別子であるAndroid IDとのリンクをやめ、可能な限り有効期間が短い識別子に切り替える。
・発信者IDやスパム保護がいつ有効になっているのか、またどうやって無効にできるのかを明確にし、ユーザーの安全性を高める上でより匿名性の高いデータを使う方法を検討する。

Googleの広報担当者はThe Registerに対し、リース氏とのやり取りは論文に記載されている通りであることを確認しました。「私たちはトリニティ・カレッジの学者や研究者とのパートナーシップやフィードバックを歓迎します。私たちはリース氏のチームと建設的に協力して彼らのコメントに対処してきましたし、今後もそうしていきます」と、広報担当者は述べています。

論文の中では、一連のデータ収集がGDPRに違反している可能性も指摘していますが、法的結論は分析の対象外だと記されています。また、Googleはユーザーがデータ収集をオプトアウトできる方法を導入するとしているものの、このオプトアウトはGoogleが「不可欠」と考えるデータ収集はオフにしないため、一部のデータはオプトアウトを選択した後も収集され続ける可能性があるそうです。

リース氏はGoogle Play Servicesの問題として、「Google Play Servicesに送信されるログデータには、多くの場合個人の身元にリンクされているAndroid IDが含まれているため、データが匿名だとはいえない」「Google Play Servicesによってどのようなデータが、どのような目的で送信されているのかほとんどわかっていない」という2点を挙げました。

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している - GIGAZINE
https://gigazine.net/news/20220322-androids-google-apps-sending-data/

まぁ そりゃそうだろう
アプリ単体ではなくOSが、Googleのものですから 当然です。
なにをいまさらですが、これは、サービスを瑠葉するためには必要なことでAppleもおなじこと
個人情報を渡す代わりに無料でサービスを受けていると思えば、騒ぐことではない。
また、個人情報がなければ サービスが成り立たないという面もあります。

いやだったら、スマートフォンをすべて捨てることです。

携帯電話だって携帯電話会社が個人を掴んでいるわけですから、携帯電話(ガラ携)も捨てよう。

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは?

2022年03月18日 07時00分

App Storeで配信されるアプリはすべてAppleの厳しい審査を受けており、一般のiPhoneユーザーは基本的にマルウェアアプリから保護されているといえます。昨今、このApp Store以外からユーザーにアプリをダウンロードさせ、iPhoneをマルウェアに感染させる手口が増加しています。

Scammers have 2 clever new ways to install malicious apps on iOS devices | Ars Technica
https://arstechnica.com/information-technology/2022/03/scammers-have-2-clever-new-ways-to-install-malicious-apps-on-ios-devices/

CryptoRom Bitcoin swindlers continue to target vulnerable iPhone and Android users – Sophos News
https://news.sophos.com/en-us/2022/03/16/cryptorom-bitcoin-swindlers-continue-to-target-vulnerable-iphone-and-android-users/

セキュリティ企業のSophosによると、悪意のある攻撃者はアプリのベータ版を配布できるAppleのプラットフォーム「TestFlight」を利用しているとのこと。TestFlightからは未審査のアプリもダウンロードできるため、一般のユーザーにマルウェアアプリなどをダウンロードさせることができます。

ユーザーにアプリをダウンロードさせる手口として増加しているのが、マッチングアプリを利用した「ロマンス詐欺」というもの。マッチングした相手から「仮想通貨の取引を行える」などと呼びかけられ、知らずにマルウェアアプリをダウンロードしてしまうという被害が増えているとのこと。

Sophosは「マルウェアアプリだけでなく、それを本物のように見せるためのウェブサイトも存在することがあります」と警告しています。悪意のある攻撃者は、実在する仮想通貨取引所のBTCBOXに見せかけた以下のようなアプリを作成し、マルウェアを配布したという事例も確認されています。


またSophosによると、ホーム画面に追加したアイコンのデザインを定義するWebクリップを利用し、フィッシングサイトのショートカットアイコンを実際のアプリのアイコンのように見せるという手口も行われているとのこと。

テクノロジー系メディアのArs Technicaは「TestFlightもWebクリップも、知識のあるユーザーは見分けられても、知識の浅いユーザーはだまされる可能性があります。App Store以外からアプリをダウンロードするように促すサイトやメッセージには注意する必要があります」と述べました。

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは? - GIGAZINE
https://gigazine.net/news/20220318-install-malicious-apps-on-ios/

iPhoneユーザーの多くの人は、「iPhoneは安全」という神話を信じていますが、絶対な安全なんてことはありません。
そもそもアプリではなく、自分からやばいサイトや

「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」とドイツのサイバーセキュリティ機関が警告

2022年3月3日

ドイツの連邦サイバーセキュリティ機関である連邦情報技術安全局(BSI)は、「メーカーの信頼性に疑問がある」として、ロシア資本のアンチウイルスソフト「カスペルスキー」をインストールしないように警告を発しました。

BSI - Presse - BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

Kaspersky Anti-Virus Software Risks Being Exploited by Russia, Germany Warns - Bloomberg
https://www.bloomberg.com/news/articles/2022-03-15/germany-warns-kaspersky-software-risks-being-exploited-by-russia

中略

2017年にはアメリカの国土安全保障省が、BSIと同様の理由で政府機関でのカスペルスキー製品の使用中止命令を出しています。

情報元

「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」とドイツのサイバーセキュリティ機関が警告 - GIGAZINE
https://gigazine.net/news/20220316-germany-bsi-warning-kaspersky/

企業とすれば、仮想敵国になりつつあるロシア企業のセキュリティソフトウェアなど使えないのは当たり前

と言っても、日本では、嘘つき企業のLINEを未だに公共機関で使っているぐらいですから、有事には、やられ放題だろう。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出

2022年3月3日

ロシアを拠点とするランサムウェア攻撃グループ「Conti」の親ロシアな方針を受けて憤った親ウクライナ派のセキュリティ研究者が内部チャットのログ1年分を入手し、「ウクライナに栄光あれ」というメッセージとともにジャーナリストやサイバーセキュリティ研究者に送りつけました。

Conti ransomware gang chats leaked by pro-Ukraine member - The Record by Recorded Future
https://therecord.media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/

Conti ransomware's internal chats leaked after siding with Russia
https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/

Ukrainian Researcher Leaks Conti Ransomware Gang Data
https://www.databreachtoday.com/ukrainian-researcher-leaks-conti-ransomware-gang-data-a-18620

Pro-Russia Conti Ransomware Gang Targeted, Internal Chats Leaked
https://www.vice.com/en/article/z3ng84/pro-russia-conti-ransomware-messages-leaked

ランサムウェア攻撃グループのContiが内部チャットのログを盗み出されたのは、今回のウクライナ侵攻に際してリーダーが「ロシア政府を正式にサポートする」という方針を定めたことがきっかけ。当時の発表では、ウクライナに対するサイバー攻撃を支援するほか、ロシアに対するサイバー攻撃を行った組織が現れた場合には、この組織の重要インフラストラクチャに対して反撃を行うという宣言が行われました。

しかし、親ウクライナ派の何者かが上記の宣言を「いかなる政府とも手を組まない」「現在進行中の戦争を非難する」と書き換え……

さらに2021年1月29日~2022年2月27日の全チャットログをジャーナリストやサイバーセキュリティ研究者に送りつけました。このチャットログが届いたというマルウェア研究グループのvx-undergroundによると、送付されたログには「ウクライナに栄光あれ!」というメッセージが同封されていたとのこと。この流出者については報道によって「Contiのウクライナ部署」「ウクライナのセキュリティ研究者」と割れていますが、真相は不明。いずれにせよ「Contiの内部情報にアクセスできる何者か」とされています。

 

このチャットログはContiが用いていたXMPPサーバーのデータベースから抜き出されたもので、セキュリティ企業いわく「本物」とのこと。Contiは2020年7月に操業を開始したため、流出したチャットログが全てではありませんが、20カ月にわたる活動のうち13カ月を網羅しています。

チャットログの内容は多岐にわたるもので、被害者とのやりとりや運営に関する議論、特定のエクスプロイトに関する話題にくわえて、ボットネット「TrickBot」やサイバー犯罪者グループ「Emotet」とのやりとりや、ビットコインウォレットのアドレス、CarbonBlackやSophosなどのセキュリティ企業のツールを突破しようと模索する会話などが含まれており、各国の法執行機関に大きく利するものだと報じられています。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE
https://gigazine.net/news/20220301-conti-ransomware-internal-chats-leaked/

殺傷兵器を持たない武器(ハッキング)が一番ヤバいわけです。
毎日 個人情報を垂れ流しているサイトや、古いバージョンのシステムを放置していたらなんの苦労もなく やられるというわけです。

中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明

2022年3月2日

サイバーセキュリティ企業・ノートンライフロックのThreatHunterチームが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と協力して、インターネットに直接接続されていないセキュリティで保護されたデバイスにリモートアクセスできるようになるマルウェア「Daxin」に関する情報を開示しました。

Broadcom Software Discloses APT Actors Deploying Daxin Malware in Global Espionage Campaign | CISA
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/28/broadcom-software-discloses-apt-actors-deploying-daxin-malware

Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks | Symantec Blogs
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage

Chinese cyberspies target govts with their ‘most advanced’ backdoor
https://www.bleepingcomputer.com/news/security/chinese-cyberspies-target-govts-with-their-most-advanced-backdoor/

New Chinese hacking tool found, spurring U.S. warning to allies | Reuters
https://www.reuters.com/technology/new-chinese-hacking-tool-found-spurring-us-warning-allies-2022-02-28/

CISAによると、「Daxin」はインターネットに直接接続されていないセキュリティ的に保護された状態にあるはずの端末に、リモートでアクセスできるようにするための複雑で検知することが難しいコマンド&コントロール機能を有した高度なルートキットバックドアです。Daxinを利用することで、攻撃者はターゲットネットワークに深く潜り込み、データを盗み出すことが可能となります。なお、ThreatHunterチームによると、Daxinは中国の攻撃者により展開された「最も先進的なバックドアのひとつ」だそうです。

Daxinの特徴のひとつは、マルウェアの世界ではあまり典型的ではない「Windowsカーネルドライバーをターゲットとしたマルウェアである」という点。Daxinは高いステルス性を有しており、それはデータ交換と通常のインターネットトラフィックを組み合わせた高度な通信機能に由来します。

Daxinは攻撃者に侵害されたコンピューターシステムへのリモートアクセスを提供するマルウェアというだけでなく、感染端末からデータを盗んだり、遠隔からコマンドを実行したり、別のマルウェアをインストールしたりすることも可能です。Daxinのようなマルウェアは通常、保護されたネットワークから情報を盗んだり、デバイスをさらに侵害したりするために使用されるため、ネットワークトラフィック監視ツールに検出されることを回避するため、データ転送に暗号化または難読化を施します。一方Daxinの場合、端末上のネットワークトラフィックを監視し、特定のパターンを検出してこれを真似ることでネットワーク監視から逃れるよう設計されているとのこと。そして、ネットワークトラフィックの特定パターンを検出したのち、正当なTCPコネクションをハイジャックすることで、攻撃者はコマンド&コントロールサーバーと通信することが可能となります。DaxinがTCPコネクションをハイジャックすることで、攻撃者は悪意のある通信データを正当なトラフィックに偽装可能となるわけです。

ThreatHunterチームは「DaxinがTCPコネクションをハイジャックすることで、通信のステルス性が高まり、厳格なファイアウォールを使用してネットワーク上に接続を確立することが可能になります。これにより、セキュリティオペレーションセンター(SOC)アナリストがネットワーク上の異常を検出することが難しくなります」と記しています。

また、DaxinはTCPコネクションをハイジャックすることで感染デバイスを増やしていくため、感染源となる端末さえインターネットに接続されていれば、その他の端末がインターネットに接続されていなくても感染を広めることが可能です。他にも、Daxinの内蔵機能は感染した端末に追加のコンポーネントを配置することで拡張できます。この追加コンポーネントは32ビットのサービス識別子を特定ハンドルに関連付けるため、攻撃者はリモートから特定のメッセージを送信することで、このコンポーネントと通信することも可能となります。そのため、Daxinに感染した端末ネットワークの中で複雑な通信経路を確立することもでき、これにより悪意のあるトラフィックの検出が難しく、攻撃者が検知される可能性が「最小限に抑えられてしまう」というわけです。


ThreatHunterチームは、Daxinを用いる攻撃者が中国政府を後ろ盾とするハッキンググループ「Slug(別名:Owlproxy)」と関連することを発見しています。なお、Daxinは2013年に初めて検出されており、その時点で現在と同等の機能を有していたそうですが、しばらくの間はサイバー攻撃に使用された形跡はなかった模様。Daxinが関与する最新のサイバー攻撃は2021年11月に観測されたもので、電気通信・運輸・製造業関連の企業をターゲットとしたものだったそうです。

中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明 - GIGAZINE
https://gigazine.net/news/20220302-china-malware-daxin/

もう ここまでくると ネットに繋がっているものは、すべて NGというわけで スマートフォンのセキュリティなんてiPhoneもふくめてざるレベル

狙われないことが一番重要となってくるわけです。

ロシアのウクライナ侵攻でセキュリティ最強の暗号化メッセンジャーアプリ「Signal」の需要が急増

2022年2月26日

ロシア軍によるウクライナ侵攻が始まったことで、高い秘匿性により電子フロンティア財団から「最も秘匿性が高く安全なメッセンジャーアプリ」と評価されたメッセンジャーアプリ・Signalの需要が急増していることが明らかになっています。

Encrypted messaging app Signal saw a spike in Ukraine as Russia invaded
https://mashable.com/article/ukraine-spike-signal-encrypted-messaging-app

Cloudflareの共同創設者兼CEOのMatthew Prince氏が公式Twitterアカウントに投稿した内容によると、「過去24時間でウクライナでのSignalの使用数が急増した」とのこと。

Prince氏がツイートと一緒に公開したのが以下のグラフ。グラフは横軸が時間、縦軸が利用者数を表しています。グラフは2022年2月21日からのメッセンジャーアプリの使用数を示しており、最も人気なのはTelegram(青線)です。しかし、2月24日の0時過ぎからウクライナでのSignal(緑線)の使用数が急増していることがわかります。ロシア軍によるウクライナへの複数拠点への侵攻は2022年2月24日にスタートしているため、このタイミングで多くのウクライナ国民がSignalの利用を開始したということになります。

24日にロシアによるウクライナへの本格的な侵攻がスタートしたと同時に、ウクライナ政府が運営するウェブサイトへの大規模なサイバー攻撃が検知されているため、海外メディアのMashableは「ウクライナへのサイバー攻撃が報告されているため、国民な最も安全なメッセンジャーアプリと考えられているSignalを利用しようとすることは理解できます」と記しています。

ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見 - GIGAZINE

Mashableがその後のウクライナでのSignalの使用数についてCloudflareに問い合わせたところ、広報担当者から「Cloudflareが保有しているメッセージングアプリに関するデータは公開している分のみです」と回答があったそうです。それでもCloudflareはウクライナのインターネット状況を監視し続けているそうで、「協定世界時の2月25日6時以降、ウクライナのウェブサイトに対するサイバー攻撃のピークは短くなっており、攻撃件数も大幅に減少しています」とコメントしています。

なお、インターネット通信を傍受されないようにするためにユーザーが取るべき手段は「Signalを利用する」だけではありません。現地時間の2022年2月25日には、匿名通信ツールのTorがウクライナとロシアのインターネットユーザーに向けて、インターネット検閲を回避するための詳細な方法をTwitterで共有しています。

Torは「新たな戦争が進展するにつれ、ウクライナとロシアのジャーナリスト・活動家・人権擁護家は、Torを使用することでオンライン上の監視と検閲から身を守ることができます」とツイートしています。

ロシアのウクライナ侵攻でセキュリティ最強の暗号化メッセンジャーアプリ「Signal」の需要が急増 - GIGAZINE
https://gigazine.net/news/20220226-signal-spike-ukraine-russia-invaded/

 

金融庁 金融機関に対してサイバー攻撃に警戒 ロシア軍事行動

2022年2月24日

昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

金融庁では、令和4年2月23日、昨今の情勢を踏まえ、下記のサイバーセキュリティ対策の強化について、金融機関への周知を徹底するため、業界団体等を通じて広く金融機関に注意喚起するとともに、仮にサイバー攻撃を受けた場合は速やかに当庁・財務局に報告するよう周知しました。


昨今の情勢を踏まえたサイバーセキュリティ対策の強化について
(注意喚起)

昨今の情勢を踏まえるとサイバー攻撃事案の潜在的なリスクは高まっていると考えられます。
各金融機関等においては、経営者のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。
また、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。
不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。

3.インシデント発生時の適切な対処・回復
〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。

詳しくは、金融庁のホームページ

金融庁の対応は、素早い それに比べて 他の省庁は、平和ボケ日本そのものである。

現在、軍事行動で他国に侵攻して「核があるぞと脅している」国が、隣にあるというのに平和ボケそのものである。

スパイウェアPegasus、サウジアラビアの女性のiPhoneから手がかりが見つかった

2022年2月15日

サウジアラビアの女性のiPhoneが世界中でハッキングを明らかにした方法

-単一の活動家が、ソフトウェアが政府をハッキングするために使用されたという新たな申し立てに損害を与えたとして、ワシントンで法的措置と精査の連鎖に直面している世界で最も洗練されたスパイウェア企業の1つであるNSOグループに対する流れを変えるのを助けました世界中の役人と反体制派。

それはすべて、彼女のiPhoneのソフトウェアの不具合から始まりました。

事件に関与した6人によると、NSOのスパイウェアの異常なエラーにより、サウジアラビアの女性の権利活動家であるルジャインハズルールとプライバシー研究者は、イスラエルのスパイウェアメーカーが彼女のiPhoneのハッキングを支援したことを示唆する証拠の山を発見しました。彼女の携帯電話内にある不思議な偽の画像ファイルは、スパイウェアによって誤って置き去りにされ、セキュリティ研究者に情報を提供しました。

昨年のアルハズルールの電話での発見は、NSOを守勢に置く法的および政府の行動の嵐に火をつけました。ハッキングが最初に発見された方法は、ここで初めて報告されます。

サウジアラビアで最も著名な活動家の1人であるAl-Hathloulは、サウジアラビアでの女性ドライバーの禁止を終わらせるキャンペーンを主導するのを支援したことで知られています。彼女は国家安全保障を害した罪で2021年2月に刑務所から釈放された。続きを読む

彼女が刑務所から釈放された直後、活動家はGoogleから、州の支援を受けたハッカーが彼女のGmailアカウントに侵入しようとしたことを警告するメールを受け取りました。彼女のiPhoneもハッキングされたのではないかと恐れ、アルハズルールはカナダのプライバシー権グループであるシチズンラボに連絡し、証拠を求めて彼女のデバイスを調査するように依頼したと、アルハズロールに近い3人がロイターに語った。

シチズンラボの研究者であるビルマルザックは、iPhoneの記録を6か月間掘り下げた後、前例のない発見をしました。彼女の電話に埋め込まれた監視ソフトウェアの誤動作により、悪意のある画像ファイル自体が削除されるのではなく、コピーが残ったのです。ターゲットのメッセージを盗む。

彼は、この発見、攻撃によって残されたコンピューターコードは、NSOがスパイツールを構築したという直接的な証拠を提供したと述べた。

翻訳:Google

reuters.com

サウジアラビアの女性の権利活動家のiPhoneからスパイウェア Pegasusの証拠が見つかったためAppleはすぐに対応とおなじくこの開発した企業(イスラエル企業NSOグループを提訴)を訴えました。

噂されてきたことが実証され 裁判へと発展所ていったわけですが、こんなものは、氷山の一角で実は、iPhoneやAndroid、ネットに繋がっているあらゆる機器は、すでに情報を抑えwられているのではないでしょうか?

つながっているということは、入り込まれると同義語で どんなに鉄壁だと思っている対策も使用者の使い方や警戒心のスキをついて入り込んでしまいます。

すでに、守るのではなく、やられたらどう対処すべきかを考えるほうがよいとIT小僧は思っています。

プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中

常のID+パスワードの認証にくわえて、SMSやワンタイムパスワード、プッシュ通知など別個の認証をさらに要求する「多要素認証(2段階認証とも)」は、パスワードの盗難などによるアカウント詐取を未然に防いでくれるため、金融機関をはじめとするさまざまなITサービスで急速に普及が進んでいます。そんな多要素認証について、「プッシュ通知を出しまくってユーザーのうっかりミスを待つ」という新たな攻撃手法が「Microsoft Office 365」で続発していると報告されています。

Current MFA Fatigue Attack Campaign Targeting Microsoft Office 365 Users - GoSecure
https://www.gosecure.net/blog/2022/02/14/current-mfa-fatigue-attack-campaign-targeting-microsoft-office-365-users/

プッシュ通知を出しまくってユーザーのうっかりミスを待つ「MFA Fatigue Attack(多要素認証疲労攻撃)」を実演しているムービーが以下。

MFA Attacks: Push Notification Fatigue Demonstration - YouTube

この攻撃は多要素認証における「二段階目」に焦点を当てたもので、一段階目にあたるIDとパスワードは盗み出しているというのが前提。まず攻撃者は、盗み出した攻撃対象のIDとパスワードを使ってMicrosoft Office 365にログインを試みます。

Microsoftのスマートフォン認証アプリ「Microsoft Authenticator」で二段階目の認証を行ってくださいと表示され、スマートフォン側に認証を求めるプッシュ通知が表示されます。

ここでは攻撃者が無断でMicrosoft Office 365のアカウントにログインしようとしているという設定なので、スマートフォン側は「DENY」をタップして、不審なログインを拒否します。

ところがMicrosoft Office 365では何度も何度も二段階目の認証を行うように求めることができるため、繰り返しスマートフォン側に「Microsoft Office 365のサインインを許可してください」という通知を送ることが可能に。後はユーザー側の押し間違いなどのうっかりミスを待つだけです。この攻撃はユーザーを疲労させてミスを誘発させることから、「多要素認証疲労攻撃」と名付けられています。

この攻撃手法について報告したIT系セキュリティ企業のGo Secureによると、多要素認証疲労攻撃の事例は大幅に増加しているとのこと。この攻撃はセキュリティ上の欠陥というよりもヒューマンエラーを突いた攻撃手法ですが、Go Secureは「たいていのユーザーはこのタイプの攻撃に不慣れなので、攻撃であると理解しないまま承認するか、単に邪魔な通知が出てきたという理由で流れ作業的に認証を許可する可能性があります」と述べ、ヒューマンエラーを突く類いの攻撃を「特に有効」と評価しています。

Go SecureはMicrosoft Office 365の管理者に対して、多要素認証の繰り返し試行に制限を設けたり、プッシュ通知による認証自体を制限したりするといった対策を行うように推奨しています。

プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中 - GIGAZINE
https://gigazine.net/news/20220217-fatigue-attack-campaign-microsoft-office-365/

これは、えげつない手法だな

スポンサーリンク

ドコモ「迷惑メール展」開催 怪しいメール24点を対処法とともに公開

2022年2月15日

NTTドコモは2月15日、迷惑メールの実例を展示するWebサイト「迷惑メール展」を公開した。「通販」「クレジットカード・銀行」「携帯キャリア」といったジャンルごとに、迷惑メールの文面と手口、対処法を公開している。期間は3月18日まで。

迷惑メールの実例を展示

 

迷惑メール展 presented by docomo
https://www.nttdocomo.co.jp/special_contents/meiwakumailten/

Emotetが再流行 感染していないか「EmoCheck」で確認しよう

2022年2月14日

 2021年1月にユーロポール(欧州刑事警察機構)によって制圧されたマルウェア「Emotet」が再流行しているとして、JPCERT/CCが2月10日に注意喚起した。Emotetに感染していないか不安な人は、JPCERT/CCが公開しているツール「EmoCheck」で感染の有無を確認しよう。

photo
「EmoCheck」のダウンロードページ 「emocheck_v2.0」が本体
EmoCheckはJPCERT/CCが2020年2月にGitHubで公開した、Emotetの感染有無を確認できるシンプルなツール。GitHubの配布ページから「emocheck_x86.exe」か「emocheck_x64.exe」をダウンロードし、調べたい端末上でファイルを実行するだけで「Emotetのプロセスが見つかりました」「Emotetは検知されませんでした」と結果を表示する。

感染を確認した場合は、EmoCheckの画面上に「プロセス名:certreq.exe」「イメージパス:(フォルダの場所)」などと表示。ユーザーは、タスクマネージャーを開いて「certreq.exe」などEmoCheckで表示されたプロセスを強制終了し、イメージパスで提示された場所にある実行ファイルを削除することでEmotetを端末から駆逐できるという。

photo
EmoCheckの出力画面 プロセス名が実行ファイルの名前、イメージパスが実行ファイルの保存場所
Emotetはメールを介して感染を広げるマルウェア。2月10日までにクラシエグループやライオン、積水ハウスグループ、リコーグループのリコーリースなどで感染が確認され、JPCERT/CCが注意喚起している。

ITmedia
https://www.itmedia.co.jp/news/articles/2202/14/news084.html

 

Zoomで「マイクが自動的にオンになって勝手に録音が始まる」

2022年2月10日

オンラインビデオ会議ツール「Zoom」を使用しているMacユーザーから「マイクが自動的にオンになって勝手に録音が始まっている」という報告が相次いでいます。第一報がもたらされたのは2021年12月ですが、同様の報告は2022年2月まで続いています。

Why is the Zoom app listening on my microphone whe... - Zoom Community
https://community.zoom.com/t5/Meetings/Why-is-the-Zoom-app-listening-on-my-microphone-when-not-in-a/td-p/29019

Zoomの公式フォーラムに投稿された、この問題の第一報が以下。内容は「macOS MontereyでZoomを使っているのですが、マイクがアプリによって使用されていることを示すアイコンが点灯し、コントロールセンターで調べてみるとZoomが原因だったと判明するという流れがここ数週間で複数回続いています。この問題が生じた時はZoomでミーティングをしているというわけではなく、単にZoomアプリを開いているだけです。なぜミーティング中でないにもかかわらず、Zoomがマイクにアクセスするのでしょうか?」というもの。

報告によると、この問題はアプリの再起動で直るとのこと。Zoomがリリースノートで主張しているように単にアイコンが勝手に点灯しているだけなのか、実際にマイクに対して何らかのアクセスが行われているのかは不明です。

Zoomで「マイクが自動的にオンになって勝手に録音が始まる」という事例が公式フォーラムに多数投稿される - GIGAZINE
https://gigazine.net/news/20220210-zoom-app-listening-microphone-mac/

macOSを使っている人は、すぐアップデートしましょう。
Release notes for macOS
https://support.zoom.us/hc/en-us/articles/201361963

「Photoshop」、「Illustrator」、「After Effects」などに致命的な脆弱性

2022年2月8日

 米Adobeは2月8日(現地時間)、同社製品に関するセキュリティ情報を発表した。今回は「Photoshop」や「Illustrator」、「After Effects」など5製品が対象となっている(括弧内はCVEベースでの脆弱性の件数と最大深刻度)。

APSB22-06:Adobe Premiere Rush(1件、Moderate)
APSB22-07:Adobe Illustrator(13件、Critical)
APSB22-08:Adobe Photoshop(1件、Critical)
APSB22-09:Adobe After Effects(1件、Critical)
APSB22-11:Adobe Creative Cloud Desktop(1件、Critical)
パッチの適用優先度はすべて「3」(各自の裁量で適用を推奨)。同社の公開したセキュリティアドバイザリを参照しながら、できるだけ早めに修正版へのアップデートを実施したい。

Impress Watch 2022年2月9日

FBIがGoogleに「特定地域を通過した全Androidデバイスの情報提供」を求めたことが発覚

2022年2月7日

スマートフォンの位置情報はさまざまなアプリやサービスを使用する上で役に立ちますが、一方で位置情報の取り扱いがプライバシーを脅かしているという指摘も存在します。新たに、ブラック・ライヴズ・マター運動に関連する捜査において、アメリカ連邦捜査局(FBI)が「特定地域を通過した全Androidデバイスの情報」をGoogleに求めたことが報じられました。

Seattle-FBI-geofence-warrant-Oct-2020 - DocumentCloud
https://www.documentcloud.org/documents/21197805-seattle-fbi-geofence-warrant-oct-2020

FBI used geofence warrant in Seattle after BLM protest attack, new documents show - The Verge
https://www.theverge.com/2022/2/5/22918487/fbi-geofence-seattle-blm-protest-police-guild-attack

2020年8月23日、アメリカ・ウィスコンシン州で黒人男性のジェイコブ・ブレーク氏が警察官による背後からの銃撃を受け、内臓や脊髄を損傷する重傷を負いました。事件発生直後からアメリカ各地で抗議デモが行われ、翌日にはワシントン州シアトルの警察官組合本部に火炎瓶が投げ込まれる事件が発生。幸いにも本格的な火災には至りませんでしたが、シアトル警察は放火未遂事件として捜査を開始しました。

何者かが建物に火炎瓶を投げつける様子は、以下のムービーで確認できます。


2022年2月3日に公開された文書からは、「火炎瓶が投げ込まれた前後の時間帯に周辺地域を通過した全Androidデバイスの情報」の開示を求め、FBIがGoogleに対して「ジオフェンス令状」を使用したことが明らかになっています。ジオフェンスとは仮想的な境界で囲まれたエリアを指す言葉で、スマートフォンなどの位置情報を使えば一定のジオフェンス内に立ち入った人物を特定することができます。

FBI捜査官は宣誓供述書の中で、「2020年8月24日の午後11時頃、未特定の容疑者2人が即席の発火装置とみられる物体を用いて、シアトル警察官組合の建物を故意に損害を与えました」「上記に基づいて、Googleが現在保有している情報や、対象地域内にあると報告された端末に関連した情報を検索する、正当な理由があると主張します」と述べました。

FBIのジオフェンス令状はGoogleに宛てられたものであり、GPSや可視化されたWi-Fi接続ポイント、Bluetoothビーコンを含む位置情報に基づいたデータ提供を求めています。FBIが指定したジオフェンスは緯度や軽度に基づく座標・日付・時刻によって定義されており、地理的範囲は警察官組合の建物を含むブロックやその周囲に位置する4つの交差点を含んでいて、期間は2020年8月24日22時~23時15分となっていました。


Googleは一般的に、ジオフェンス令状において指定された範囲内を通過したAndroidデバイスについて、匿名化された状態のリストを法執行機関に提供しており、これらのデバイスのいずれかが事件に関係している可能性が高まった場合、法執行機関はさらに詳細な情報を引き出すことができるそうです。裁判所記録によると、シアトル警察官組合本部の放火未遂事件に関する捜査でも、Googleは令状が出た翌日にリストを提供したとのこと。

海外メディアのThe Vergeは、FBIはジオフェンス令状を出してから数カ月後の2021年4月に事件の情報を求めて2万ドル(約230万円)の報奨金を出したことを指摘し、令状に基づいて提供されたAndroidデバイスの情報は犯人逮捕につながらなかったと述べています。

Googleの広報担当者はThe Vergeに対し、「私たちは法執行機関の重要な仕事をサポートしながら、ユーザープライバシーを保護するように設計された厳格なプロセスを持っています」とコメント。一方、FBIやシアトル警察の広報担当者は、The Vergeのコメント要請に応じませんでした。

ジオフェンス令状の使用は近年急速に増加しており、Googleが2018年に受け取ったジオフェンス令状はわずか982件だったのに対し、2020年は1万1554件と10倍以上に増加しているとのことです。

FBIがGoogleに「特定地域を通過した全Androidデバイスの情報提供」を求めたことが発覚 - GIGAZINE

これは、いくらなんでも やるすぎだろ

じゃ iPhoneなら安全だ

と思いのあなた

スパイウェア「Pegasus」と同様のiPhone向けゼロクリックエクスプロイトが別のイスラエル企業にも使われていた

北京オリンピックのアプリじゃなんだから・・・
すでに社会主義とか共産主義とか独裁政権とか 全く関係無しで当局に監視される時代になっているのである。

メタップスペイメント クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表

2022年2月1日

メタップスペイメントは2022年1月25日、クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表した。

不正アクセスに関するおわび

 

同社は2021年12月14日、クレジットカード会社からイベントペイにおいて不正利用の懸念があると連絡を受けた。社内調査ではシステムの問題を発見できなかったが、12月16日にイベントペイの決済を停止し、12月17日に第三者機関によるフォレンジック調査を始めた。

さらに12月28日から2022年1月5日にかけて会費ペイなどイベントペイ以外の3つの決済サービスも停止した。会費ペイなどの決済サービスを利用する企業は2021年の年末から2022年の年始にかけて、クレジットカード決済を一時中止すると相次いで発表した。

日経XTECH

決済システムの「トークン方式」が狙われたためデータベースに格納した一部の情報にアクセスされ、情報が流出した可能性が高い
とコメントされています。

キャリアインキュベーション ソフトウエアの脆弱性からサーバーを改ざん

2022年2月1日

 キャリアインキュベーションは2022年1月13日、2021年11月26日に公表した不正アクセス被害の最終報告を発表した。サーバー内に保管されていた個人情報流出の可能性を否定できないが、その可能性は極めて低いと結論付けた。

転職サイトへの不正アクセス被害について
(出所:キャリアインキュベーション)
流出した可能性があるのは、同社が運営する転職求人サイトにおいて、2016年10月2日から2021年11月24日までに応募フォームで登録した人と、2014年5月から7月の商社相談会に申し込んだ人の合計6074人の個人情報。名前や勤務先、年収、生年月日、卒業大学/大学院、住所、メールアドレス、電話番号、希望する職種などが含まれる。

日経XTECH

原因は、Webサイトで利用するソフトウエアの脆弱性によるものでサーバーが改ざん、個人情報にアクセスできる状態になっていた。

銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場

2022年1月31日

Androidで3年近く猛威を振るってきたリモートアクセス型トロイの木馬「BRATA」がパワーアップしました。新たに登場したBRATAの亜種は、銀行預金を全て奪い去った上にスマートフォンを工場出荷時の状態に戻す機能が確認されています。

How BRATA is monitoring your bank account | Cleafy Labs
https://www.cleafy.com/cleafy-labs/how-brata-is-monitoring-your-bank-account

Android malware can factory-reset phones after draining bank accounts | Ars Technica
https://arstechnica.com/information-technology/2022/01/android-malware-can-factory-reset-phones-after-draining-bank-accounts/

BRATAは2019年1月にセキュリティ大手のKasperskyが最初に報告したAndroid向けマルウェア。当時確認されていた機能は、スクリーンショットの撮影やロック解除、デバイス情報の窃取、アプリケーションの起動/アンインストール、テキストの送信などで、主にブラジルを中心で拡大したことから「Brazilian Remote Administration Tool Android(ブラジルのAndroid向け遠隔操作ウイルス)」の頭文字を取って「BRATA」と命名されました。

そんなBRATAに関する最新の報告で、「銀行アプリから預金を盗み出す」「スマートフォン自体を工場出荷時の状態に戻して証拠を全て抹消する」という機能が追加されていることが明らかになりました。セキュリティ企業のCleafyは2021年12月に「BRATA.A」「BRATA.B」「BRATA.C」という3種類の亜種を検出しており、BRATA.AはGPS追跡機能とスマートフォンを工場出荷時にリセットする機能を、BRATA.Bは前述の機能に加えて銀行のログイン情報をキャプチャして窃取する機能を、BRATA.Cは悪意のあるマルウェアを後にインストールさせる踏み台として機能する機能が備わっていることが確認されています。

最も脅威度が高いとされるBRATA.Bにおいては、感染したスマートフォンで銀行アプリを操作するとキー入力が全て送信されてしまうことが確認されており、盗み出した情報を使って銀行預金の無断送金が完了した際にはファクトリーリセットを作動させる仕組みまで仕組まれているとのこと。なお、BRATA.AとBRATA.Bに搭載されているGPS追跡機能は発表時点では「どのような意図があるかは不透明」とのことで、Cleafyは「後にGPS追跡機能を活用した悪意のある機能が追加されるのでは」と予想しています。

2019年に確認された元祖BRATAはGoogle Playやサードパーティのアプリストアで拡散していましたが、新型BRATAはこうしたアプリストアではなく銀行からの警告を装ったフィッシングメッセージを介して拡散しているとのこと。前述のように元祖BRATAはブラジルで広まったマルウェアでしたが、BRATA.Bはイギリス・ポーランド・イタリア・ラテンアメリカの銀行や金融機関で作動するようになっていることから、対応地域を増やしつつあると示唆されています。

銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場 - GIGAZINE
https://gigazine.net/news/20220131-android-malware-factory-reset-bank-accounts/

これは、かなりヤバい

新型BRATAはこうしたアプリストアではなく銀行からの警告を装ったフィッシングメッセージを介して拡散

メールを開くときは、送信元を必ず確認しよう

「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘

2022年1月28日

2022年2月に開催される北京冬季オリンピックでは、新型コロナウイルス感染症(COVID-19)のワクチン接種や健康状態を把握するため、専用の健康管理アプリ「MY2022」のインストールが参加者全員に義務づけられています。ところが、MY2022をリバースエンジニアリングしたセキュリティ研究者が、「My2022は音声データを含むさまざまなデータを収集し、中国のサーバーに送信する」と報告しています。

GitHub - jonathandata1/2022_beijing: Decompiled 2022 Beijing iOS & Android Apps
https://github.com/jonathandata1/2022_beijing

Mandatory Olympics iOS and Android apps are spying on athletes for China | AppleInsider
https://appleinsider.com/articles/22/01/28/mandatory-olympics-ios-and-android-apps-are-spying-on-athletes-for-china

Beijing spy games: watch out for the application of the Olympics! - The Switzerland Times
https://www.theswitzerlandtimes.com/beijing-spy-games-watch-out-for-the-application-of-the-olympics/

北京冬季オリンピックに出場する選手や出席者は中国へ入国する14日前に、MY2022という公式アプリをスマートフォンにインストールすることが義務づけられています。MY2022はワクチン接種状況や健康状態をモニタリングしてCOVID-19の広がりを抑制するという目的に加えて、現地のイベントや天気、関心のある物事に関する情報を提供するハブとして機能するように設計されているとのこと。

MY2022について分析したトロント大学の学際的研究機関「Citizen Lab」は、MY2022にはセキュリティ上の欠陥があり、ユーザーの音声や転送ファイルを保護する暗号化が簡単に回避されてしまうと報告しました。また、Android版のMY2022には新疆ウイグル自治区やチベット、政治、犯罪、ポルノ、宗教などに関する2422語の「検閲用のワードリスト」が含まれていたこともわかっています。なお、調査時点では検閲用キーワードリストは利用されていなかったそうです。

2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される - GIGAZINE

 

そんな中、アメリカのセキュリティ研究者であるジョナサン・スコット氏は、MY2022をリバースエンジニアリングして分析した結果をTwitterやGitHubで報告しています。スコット氏は、「逆コンパイルされた2022年オリンピック用のiOSおよびAndroidアプリがGitHubで利用可能になりました。AppleのApp Storeでは『データ収集なし』と主張しているにもかかわらず、中国によるデータ漏えいの証拠があります。このリポジトリは、私がリリースする完全なレポートと直接関係しています」と、#spyware(スパイウェア)というタグ付きでツイートしました。

スコット氏によると、2022年1月22日の時点ではApp StoreのMY2022ページにおいて「Data Not Collected(データ収集なし)」と記されていたものの、1月24日には連絡先情報を収集するという表記に変わっていたとのこと。

MY2022を分析したスコット氏は、「全てのオリンピック選手の音声が収集され、分析され、中国のサーバーに保存されていると断言できます」と主張しています。このプロセスには中国の国営音声認識AI企業・iFlytekの技術が使われているとのことですが、iFlytekは中国国内のイスラム教徒弾圧に関与しているとして、アメリカ政府によってブラックリストに登録されています。

アプリユーザーが同意するプライバシーポリシーにも、音声情報やスマートフォンにインストールされたアプリの情報が、iFlytekによって収集されると記されています。しかし、App Storeのページではこれが明記されていないとのこと。

MY2022はスマートフォンの脆弱性などを突いてバックグラウンドで動作するのではなく、マイクにアクセスするためにフォアグラウンドの状態を維持する仕組みになっているとのこと。

また、Android版のMY2022では、カレンダー・カメラ・連絡先・マイク・ストレージなどへのアクセス許可のほか……

ファイルのダウンロードやスクリーンロックの解除についての許可を求める可能性があるとのことで、マックス氏は「残念ながらGoogleは、あなたのデバイスに永続的なバックドアを作ることをMY2022アプリに許可しました」と述べました。

中国によるスパイ活動への懸念から、以前からオランダはスマートフォンやPCを中国へ持ち込まないよう選手に要請していたほか、アメリカやカナダも自前のスマートフォンを使うのではなく、プリペイド式や使い捨てのデバイスを使うように推奨しています。

「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘 - GIGAZINE
https://gigazine.net/news/20220128-my2022-beijing-olympics-apps-spying-athletes/

ホテルでも選手村でも 監視されるのが当たり前の中国ですから、アプリぐらい当たり前といえば当たり前

App StoreのMY2022ページにおいて「Data Not Collected(データ収集なし)」

そんなわけ無いでしょう。

Linuxでルート権限を自由に取得できる脆弱性が発覚

2022年1月27日

Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家

Linuxに12年前から存在する脆弱性「PwnKit」が新たに明らかになり、主要なLinuxディストリビューションのほとんどに影響が及ぶことがわかりました。エクスプロイトは概念実証の段階ですが、「悪用されるのは時間の問題」とみられています。

PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog
https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-403

A bug lurking for 12 years gives attackers root on most major Linux distros | Ars Technica
https://arstechnica.com/information-technology/2022/01/a-bug-lurking-for-12-years-gives-attackers-root-on-every-major-linux-distro/

このエクスプロイトはLinuxの特権管理ツールキット「Polkit(PolicyKit)」を利用するもの。特権管理プログラムとしてはsudoも広く使われていますが、全てのプロセスにルート権限を与えるsudoとは異なり、Polkitはより細かいレベルでシステムのポリシーを制御できることを特徴としています。

セキュリティ企業のQualysは新たな調査により、悪意ある攻撃者がPolkitを使用し、pkexecコマンドを実行することでルート権限を自由に取得きることを発表しました。問題となる脆弱性「CVE-2021-4034」は2009年5月以降にリリースされた全てのバージョンのpkexecに含まれているとのこと。研究チームは、脆弱性について独自に検証しエクスプロイトを開発することにより、Ubuntu、Debian、Fedora、CentOSの全てで完全なルート権限の取得に成功しており、「他のLinuxディストリビューションにもおそらく脆弱性がありエクスプロイトが実行可能」と述べています。

PwnKitと呼ばれるこの脆弱性の詳細は、以下のムービーから確認できます。

Qualysの脆弱性脅威調査ディレクターであるBharat Jogi氏は、エクスプロイトは脆弱性があるマシンでのローカル認証アクセスが必要であり、リモートでは実行できないと述べています。

研究チームは脆弱性を確認後すぐに、オープンソースのディストリビューション開発元やベンダーに連絡したとのこと。一方で、Qualysはユーザーへの悪影響を鑑み、概念実証されたエクスプロイトのコードを公開していません。ただし、研究者はPwnKitが悪用されるのは時間の問題だと考えています。

Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家 - GIGAZINE
https://gigazine.net/news/20220127-linux-polkit-bug-gives-attackers-root/

どんなシステムでも脆弱性は、絶対にあります。
しかし、Linuxの場合だとすると非常にやばいことになる。

北朝鮮のインターネットがDDoS攻撃でダウン

2022年1月27日

2022年1月26日、北朝鮮のインターネットがおよそ6時間にわたって遮断されていたことが明らかになりました。調査によりDDoS攻撃が行われた可能性が指摘されています。

さまざまな北朝鮮のサーバーを監視しているセキュリティ専門家のJunade Ali氏によると、2022年1月25日に北朝鮮が飛翔体を発射したあと、北朝鮮との間のすべてのトラフィックが遮断されたとのこと。およそ6時間後にメールサーバーに再接続できたものの、北朝鮮の外務省や、公式ポータルサイトのNaenaraといったウェブサイトは、しばらくのあいだダウンし続けていました。

北朝鮮についてのニュースを掲載するNK Proも、「北朝鮮のDNSがデータパケットがたどるルートの通信を停止したことにより、北朝鮮のほとんどのウェブサイトにアクセスできない」と報告していました。

Ali氏は「複数のサーバーが同時に停止していたことから、大量のデータトラフィックでサーバーに負荷をかけるDDoS攻撃が行われた可能性があります」と指摘。「1台のサーバーが一定期間オフラインになることはよくありますが、サーバーすべてがダウンしてネットワークが遮断されることはまれです」と述べました。

北朝鮮のインターネットがDDoS攻撃でダウン - GIGAZINE
https://gigazine.net/news/20220127-north-korea-internet-downed/

あれ? これって いつも彼らがやっていることじゃないの?

冗談はともかく、北朝鮮のインターネットなんて市民が使えないわけですから、社会的には影響なし

ということでしょうか?

データを盗んでスマホを初期化、Android向けウイルス「BRATA」にご注意

2022年1月27日

データを盗んでスマホを初期化、Android向けウイルス「BRATA」新種がGPS追跡やスクショ盗撮など凶悪すぎる進化を遂げてしまう

世界で最も利用者の多いOSとなったAndroidに凶悪すぎるウイルスの新種が現れました。

安心できるアプリ以外はダウンロードしない方が良さそうです。詳細は以下から。

海外メディアの報道によると、かつてAndroid向けに猛威を振るったリモートアクセス型トロイの木馬「BRATA」の新種が登場したそうです。

新種の1つ「BRATA.A」はGPS追跡機能やスマホを工場出荷時にリセットする機能を追加したほか、「BRATA.B」は同じ機能に加えて銀行のオンラインサービスへのログイン情報をキャプチャすることが可能に。

さらにユーザー補助機能を悪用して画面に表示されている情報をスクリーンショットできるため、『情報を盗み取った挙げ句にスマホが初期化される』という、身も凍るような事態を招いています。

なお、新種の恐ろしいポイントがアンチウイルスサービスなどを回避してしまうところ。

最も有効な対策として「アプリにユーザー補助や管理者権限を与えない」「ある程度信頼できるアプリ配信プラットフォーム(Playストアなど)を使い、不審なアプリはダウンロードしない」などが挙げられます。

イギリス、ポーランド、イタリア、スペイン、中国、ラテンアメリカなどで流行中のBRATA新種。万が一、日本向けの亜種が出てしまった時のことを考えて用心しておくに越したことはありません。

データを盗んでスマホを初期化、Android向けウイルス「BRATA」新種がGPS追跡やスクショ盗撮など凶悪すぎる進化を遂げてしまう

 

このような状況にならないためには、GooglePlayとかdocomoが運営しているスゴ得のような、公的なアプリ以外をダウンロードしてはならない。
ということになります。

AirTag絡みの問題が増えている

2022年1月25日

AirTag Apple社が販売している忘れ物タグのことです。
スマートタグとも呼ばれるこの種類のものは、Appleより以前に多数出ているので 今更感がありますが、AirTag絡みの事件が多くなってきました。

勝手にコートに入れられ…「AirTag」による犯罪被害に女性が注意喚起

デジタル化が進み、便利なアイテムが続々と発売される昨今。2021年4月には、Apple社が鍵や財布などの持ち物を追跡できる「AirTag」を発売し話題に。一見便利に思えるガジェットだけれど、今この紛失防止タグを使った被害が多く報告されています――。

鍵や財布、カバンなどの持ち物を追跡できる「AirTag」。幅わずか1.26インチ(約3.2センチ)の小さなサイズで、iPhoneの「探す」機能と同期して使うことができ、持ち物を探し出してくれるという便利なアイテムの一つとして注目されています。

そんな便利に思えるAirTagですが、実は欧米では、ストーカー行為や盗難、さらには誘拐未遂などの犯罪目的で使用されているとの報告が相次いでいるんだそう。「コートのポケットや車の中に、身に覚えのないAirTagを発見した」という声が多数寄せられているといいます。

Getty Images

今年1月6日(現地時間)、モデルのブルックス・ネイダーさん(25歳)は自身のInstagramストーリーズで、「AirTag追跡の標的にされた」という経験をシェア。

0時を迎える前に、ニューヨーク市のトライベッカ地区のレストランから一人で帰宅していたブルックスさんは、自身のスマホから「誰かがあなたを追跡しています」との通知を受け取ったそう。彼女がいたレストランは混雑しており、椅子の後ろにコートをかけていたため、その際に見知らぬ人にAirTagを入れられたのではと推測しているとのこと。

「自分の身に降りかかるまで、AirTagにこんな使い方があることを知りませんでした。だから私は、自分の持ち物から目を離さないでほしい、通知をしっかり確認してほしいと女性たちに注意を促しているのです」

「唯一の救いだったのは、誰かが私を追跡しているという通知が来たことです」
また昨年12月には、メリーランド州に住む女性が、「車の助手席側のホイールの下にAirTagが取り付けられていた」と自身のTwitterでシェアしたことも。

「夜中の2時で、周りに車がいない状態で運転していたら、この通知が30分くらいで続けていたんです」

<The New York Post>によると、上記の通知には「AirTagがあなたと一緒に移動していることが見つかりました。このAirTagの場所は、デバイスの所有者によって発見することができます」との記載があったといいます。

Apple社のホームページによると、ブルックスさんとジーナさんのときにも見られたように、AirTagにはプライバシー機能が組み込まれているとのこと。

「見知らぬ人からの追跡を防ぐために、iPhoneの『探す』機能は見知らぬAirTag、または他の『探す』ネットワーク対応アクセサリーが時間の経過と共に移動していることが発見された場合、通知するようになっています」

この通知を受け取った場合、通知をタップして[続行]を選択。これにより「サウンド再生」のオプションが表示され、音が鳴るとAirTagが設置されている場所を特定するのに役立つそう。

また同じように、長時間持ち主が不明なAirTagは、勝手に音が鳴るようになっているんだとか。Androidユーザーの場合、「Tracker Detect」というアプリをインストールすれば、AirTagまたは近くの他の追跡デバイスを感知することができるとのこと。

AirTagの所有者まで遡ることは可能?
各AirTagにはシリアル番号があり、これを使用してApple社と法執行機関は、登録ユーザーを特定することができます。

シリアル番号が確認できる3つの方法
1.iPhoneの「探す」アプリを開き、感知されたAirTagの名前をタップするとシリアル番号が表示される。

2.AirTagの白い面をスマートフォンの近くに持っていくと通知が届き、タップするとシリアル番号が表示される。

3.AirTagのステンレス面を指で押し込みながら、ロックが外れるまで反時計回りにまわして、バッテリーカバーを取り外す。取り外したバッテリーには、シリアル番号が印字されている。

日頃から自分の持ち物に身に覚えのないものが入っていないか確認し、万が一通知を受け取った場合は、冷静に対応しましょう。
YAHOO!ニュース 1/20(木) 20:08配信

ちょっと考えれば 犯罪に使われることは、容易にわかります。
住所の特定などに使われことは、わかりきっていること
とくに日本では、iPhoneのシェアが50%程度あるのですから

もっとバカな仕様は、Apple(iPhone専用)なので、iPhoneを持っていない人は気が付かないということ
(音を出すなら 爆音にしないと クルマに仕掛けられたら絶対にわからない)

悪用されることがおおくなってきたApple社は、あわててこんなツールをAndroidユーザー向けに提供

Tracker Detect

しかし

AirTagの機能を使えないのに バッテリーを消費するだけのアプリなど好き好んでインストールするバカはいない。

こんな意見がアプリのコメント欄に記載されていた。

「 自社でストーキングツールを売って、そのストーキングツールから逃れたかったらアプリをインストールしろとかありえない。」

「アプリが英語対応」

米国の訴訟逃れ対応ツールということが想像できるだろう。

こちらは、事件ではありませんが、今後多くなると思われます。

信頼の置けない引っ越し業者を追跡するためにAirTagを家財に忍ばせるという行為が話題に

Appleの落とし物トラッカー「AirTag」は、シンプルな操作で手軽に大事な物の位置情報を追跡できる小型デバイスです。そんなAirTagを「信頼の置けない引っ越し業者を追跡する」ために用いる手法がアメリカで広がりを見せています。

Army wife uses AirTag hack to track her movers while PCSing
https://www.militarytimes.com/the-home-front/2022/01/12/army-wife-uses-airtag-hack-to-track-her-movers-while-pcsing/

Army spouse uses Apple AirTag to track down shady moving truck driver
https://taskandpurpose.com/news/army-airtag-moving-company/

AirTagで引っ越し業者を監視する手法について報じたのは、アメリカ軍関係者向けの報道組織のMilitary Timesです。Military Timesによると、アメリカ軍に所属する軍人につきものなのが「大がかりなのに雑な引っ越し」で、配属先によっては国境どころか大陸をまたがる形で移動しなければならないにもかかわらず、送った荷物の一部が別の場所に運ばれることがしょっちゅう発生するとのこと。

そんな雑な引っ越しを4度も経験したヴァレリー・マクナルティ氏が考案したのが「AirTagを活用する」という方法です。マクナルティ氏はアメリカ中西部に位置するコロラド州から東部に位置するニューヨーク州に異動を命じられた際、AirTagを子どものオモチャを収めた段ボールに忍ばせ、引っ越し業者に託しました。

引っ越し業者は金曜日に配送を完了する予定でしたが、当日になってからマクナルティ氏に「お届けは日曜日になります」と伝えてきただけでなく、さらにその数時間後には「コロラド州で荷物を受け取ったばかりで、お届けは最短でも月曜になるとドライバーから連絡がありました」と通達してきたとのこと。

しかし、この通達は事実と反するものでした、マクナルティ氏が荷物に仕込んだAirTagから得られた情報によると、問題の荷物はコロラド州ではなく、「ニュージャージー州」に届けられていました。引っ越し業者が伝達したコロラド州はマクナルティ氏が荷物を送った州ですが、ニュージャージー州は目的のニューヨーク州の南隣の州。つまり、引っ越し業者は荷物の現在地についてかなり適当なことを伝えてきたわけです。

この件についてマクナルティ氏が電話で指摘したところ、引っ越し業者はいったん電話を切り、数分後に「お届けは最短で日曜日になると思います」とかけ直してきたとのこと。

その後の調査によって、引っ越し業者のコーディネーターもドライバーの現在地をつかめていなかったばかりか、ドライバーが目的地のはるか南にいたのも何かのトラブルなどではなく「単に妻に会いに行った」だけだったと発覚。マクナルティ氏は「AirTagがなければもっと待たされるところでした」と振り返っています。

こうしたトラブルを経つつマクナルティ氏の荷物の大部分は無事到着したそうですが、まだ高額品を収めた段ボール数点が届いていないとのことで、マクナルティ氏は「虚偽の申告をして荷物を盗む人がいます」と、軍の引っ越しプロセスを改善するように求めています。

なお、以上の事例のようにAirTagを盗難防止に使うという事例は他にも報告されていますが、近年はAirTagを悪用してストーキングに使うという手口も増加の一途をたどっています。身の回りの不審なAirTagを見つける方法についてはAppleが公式ガイドラインを公開し、iPhoneの「探す」を使った検出方法を解説しています。

AirTag や「探す」ネットワーク対応アクセサリを所持しているという通知が表示された場合の対処法 - Apple サポート (日本)

https://support.apple.com/ja-jp/HT212227

Apple社は、こういう状況になることは、想像できなかったのだろうか?
性善説では、ネット社会では、生きられない。

90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた

2022年1月24日

ネット上に存在する全ウェブサイトのうち43.3%で利用されているというブログソフトウェア・WordPressにおいて、合計90以上のテーマやプラグインに、ウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていたことがわかりました。

Backdoor Found in Themes and Plugins from AccessPress Themes
https://jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes/

AccessPress Themes Hit With Targeted Supply Chain Attack
https://blog.sucuri.net/2022/01/accesspress-themes-hit-with-targeted-supply-chain-attack.html

Over 90 WordPress themes, plugins backdoored in supply chain attack
https://www.bleepingcomputer.com/news/security/over-90-wordpress-themes-plugins-backdoored-in-supply-chain-attack/

Supply chain attack used legitimate WordPress add-ons to backdoor sites | Ars Technica
https://arstechnica.com/information-technology/2022/01/supply-chain-attack-used-legitimate-wordpress-add-ons-to-backdoor-sites/

WordPressではウェブサイトの見た目を変えるテーマや拡張機能を提供するプラグインをインストールして、自身のウェブサイトを自由にカスタマイズすることができます。WordPressを使うウェブサイトのセキュリティおよび最適化ツールを開発するJetpackの研究者らは、AccessPressという企業が提供するWordPressのテーマやプラグインに、ウェブサイトへのアクセス権を不正に取得できるバックドアが仕込まれていたと発表しました。

今回バックドアが見つかったのはAccessPressが配布する40のテーマと53のプラグインであり、これらは36万以上のアクティブなウェブサイトで使用されているとのこと。Jetpackの研究者は、攻撃者が2021年9月前半にAccessPressのウェブサイトを侵害してバックドアを仕込んだと考えており、AccessPressの公式ウェブサイトやミラーリングサイトから、バックドアを含むテーマやプラグインがインストール可能だったと述べています。

悪意のあるPHPコードが含まれたテーマやプラグインがインストールされると、メインテーマディレクトリに「initial.php」ファイルを追加し、これをメインの「functions.php」ファイルに含めるとのこと。「initial.php」ファイルはバックドアをエンコーディングする機能を持っており、「wp-includes/vars.php」にバックドアのコードを書き込むと、あらかじめ仕込まれていた自己破壊関数によって自動で消滅する仕組みです。

自動消滅機能によってこのマルウェアは検出されにくくなっていますが、ウェブサイトがコアファイルの整合性を監視するセキュリティプラグインを使用している場合は、「vars.php」ファイルが変更されたことがわかるため検出できるとのこと。

AccessPressで見つかったバックドアを調査したセキュリティ企業・Sucuriによると、今回のバックドアに関連して見つかったマルウェアはスパムや詐欺サイトへのリダイレクトを提供する程度であり、それほど洗練された攻撃は行われていなかった模様。しかし、バックドアを仕込んだ犯罪者がダークウェブ上で「バックドアでアクセスできるウェブサイトのリスト」を販売した可能性も指摘されています。

当初、JetpackはなかなかAccessPressと連絡が取れなかったそうですが、コミュニケーションチャネルを確立して詳細情報を提供した後は、すぐに問題のある拡張機能が削除されたとのこと。しかし、すでに侵害されたテーマやプラグインをインストールしている場合、単にテーマやプラグインを削除・置換・更新しても、植え付けられたウェブシェルを根こそぎ排除することはできないとIT関連サイトのBleeping Computerは指摘しています。

Bleeping Computerは影響を受けた可能性のあるウェブサイトの管理者に対し、以下の操作を行うように推奨しています。

1:「wp-includes/vars.php」ファイルの146~158行目に「wp_is_mobile_fix」という関数があるかどうかを確認し、関数が見つかった場合はウェブサイトが侵害されている。
2:ファイルシステムに対して「wp_is_mobile_fix」または「wp-theme-connect」を照会して、影響を受けるファイルがあるかどうかを確認する。
3:コアのWordPressファイルを新しいコピーに置き換える。
4:影響を受けたプラグインをアップグレードし、別のテーマに切り替える。
5:wp-adminとデータベースのパスワードを変更する。

90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた - GIGAZINE
https://gigazine.net/news/20220124-wordpress-themes-plugins-backdoored/

このブログもWordPress AccessPress関連は導入していないから大丈夫・・・

なんて言えないよね。

オープンソースのやばい面が出てきています。

初戦、性悪説で渡るしか無いネット社会なのだろうか?

Microsoft Defender、今後はAndroidやMacにも対応か

2022年1月17日

今回は、やばくない 前向きなセキュリティの話です。

2022/01/17Mark Hachman PCWorld

もともとWindowsの標準のマルウエア対策ツールとして登場したWindows Defenderは、最初は可も不可もないセキュリティーツールだったが、その後は優れたソリューションへと進化を遂げ、名前もMicrosoft Defenderに変わった。Microsoftとしては、このツールのクロスプラットフォーム化をさらに進めたいと考えているようだ。

実のところ、このプレビュー版がMicrosoft Storeに掲載されたのは、しばらく前だったようだ。しかし最近になって、このアプリの動作イメージと見られる画像も出てきている。TwitterユーザーのAggiornamenti Lumia氏が投稿した画像によると、新版のMicrosoft Defenderでは、MacやAndroidのファイルやアプリもスキャンできるほか、「Webプロテクション」という機能もあり、リンクの危険性を把握できるようだ。

Microsoftのアプリやサービスには、Windows以外のプラットフォームに対応しているものも多い。Edge、Office、Teamsといったアプリは、それぞれAndroid版やMac版がある。Microsoft Defenderがクロスプラットフォームのセキュリティー製品として登場するとしたら、年99.99ドルで最大6人が利用可能な「Microsoft 365 Family」に加わる可能性も考えられる。だが現時点では、Microsoftの計画は定かではない。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

最近のWindows Defenderは、かなり優秀なセキュリティツールです。
企業で指定されていなければ、わざわざ高価なセキュリティツールはいらないのではないかとIT小僧jは思っています。

そのWindows Defenderが、AndroidやMacにも対応となると結構期待してしまうわけです。
Android端末は、セキュリティアップデートがあるうちは、それほど心配していません。

よく、ウィルスがぁとか騒いでいる人のどれぐらいの人が被害にあっているのでしょうか?
IT小僧も何年か前は、Android端末にESETをインストールしていましたが、一度も警告もなく履歴にも残っていませんでした。
この使い方なら 必要ないと思い すえう年前からセキュリティアプリを外して Google Playのセキュリティに任せています。

自宅でのPCは、Windows Defenderだけで対応しています。

「Safari 15」にWeb履歴やGoogleアカウント情報がリークする可能性のあるバグ 修正はまだ

 ネットの不正検出APIを提供する米FingerprintJSは1月15日(現地時間)、米AppleのWebブラウザ「Safari 15」に、任意のWebサイトでユーザーのアクティビティを追跡し、IDを確認できてしまうバグがあると発表した。WebKit Bugzillaに2021年11月28日に報告した。

同社は17日に公式ブログを更新し、Appleが16日にBugzillaでこの問題を解決済みとしたが、Safariのアップデートが公開されるまではユーザーにとっての危険は解消されないと警告した。

FingerprintJSは、アップデートが公開されるまで、macOSユーザーは別のWebブラウザを使うことを勧めている。iOSおよびiPadOSの場合は、AppleがサードパーティにもWebブラウザでWebKitを使うことを要求しているため、別のWebブラウザを使っても問題を回避できない。

fingerprint
このバグは、クライアント側ストレージに大量のデータを保持するためのAPI「IndexedDB」に関連するもの。このAPIは、あるWebサイトで集めたユーザーデータは他のWebサイトからはアクセスできないようにするというWebKitのポリシーに準拠しているはずだが、Safari 15では違反しており、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、ウィンドウに同じ名前のデータベースが作成される」ため、他のWebサイトがそのWebサイトのデータベース名を見ることができてしまうという。

indexed
(FingerpringJSのデモ動画より)
FingerprintJSは、Googleアカウントを使うWebサイトはデータベース名をGoogleユーザーIDを使って生成するので、Safariのバグによって他のWebサイトからプロフィール画像などのユーザー情報にアクセスできてしまうとしている。同社は、Googleカレンダー、YouTube、Twitter、Bloombergをバグの影響を受けるWebサイトとして紹介した。

同社は公式ブログでこの問題を説明するデモも公開している。

2022年1月19日 追記
FingerprintJSはこの問題を2021年11月にApple(アップル)に報告していますが、現時点ではまだ問題の修正は行なわれていません。

2021年、上場企業が漏えいした個人情報は574万人分 事故件数や社数は過去最多に 2022年01月17日

 「2021年に上場企業が漏えいした個人情報は574万人分に達した」──東京商工リサーチは1月17日、そんな調査結果を発表した。個人情報の漏えいや紛失事故を公表した上場企業(子会社を含む)は120社(前年比36.3%増)、事故件数は137件(同33.0%増)となり、2012年の調査開始以来、過去最多となった。

漏えい・紛失事故の年次推移(左)と、事故件数の内訳(右)
漏えい・紛失事故の年次推移(左)と、事故件数の内訳(右)
2021年に発生した事故で、漏えい・紛失件数が最多となったのは、ネットマーケティングが手掛ける、婚活マッチングサービス「Omiai」の不正アクセス事件で、171万1756件。次いでスイスの国際航空情報通信機構(SITA)への不正アクセスによるANAホールディングスのマイレージ情報流出で100万件、日本航空で92万件と、それぞれ続いた。

2021年、情報漏えい・紛失件数上位
137件の事故のうち、最も多かった原因は「ウイルス感染・不正アクセス」が68件(構成比49.6%)という結果に。68件の事故で漏えい・紛失した個人情報は454万554件で、全体の78.9%を占めた。次点で多かった原因は「誤表示・誤送信」が43件(同31.3%)で、メールの送信間違いなどの人為的なミスによるものだった。

2021年、情報漏えい・紛失件数上位
漏えい・紛失した事故の原因
事故原因となった媒体別では「社内システム・サーバ」が81件(構成比59.1%)が最多となった。次に「PC」が30件(同21.9%)、「書類」が15件(同10.9%)、「その他・不明」が8件(同5.8%)の順となった。

漏えい・紛失した事故の原因

事故原因となった媒体
上場市場別で見ると、最多は東証1部の97社(構成比80.8%)が全体の8割を占め、大手企業がサイバー犯罪のターゲットとされやすい傾向が明らかになった。一方で「ガバナンスが徹底し、情報開示フローが充実していることも公表数が多い背景になっている」と、東京商工リサーチは指摘する。

事故原因となった媒体

事故を起こした市場の構成比
事故件数の増加には「国外から狙われるケースも多く、ネット社会を巧みに突いた犯罪の巧妙化やグローバル化がある」(同)と説明。顧客からの信用の毀損(きそん)や、膨大な損害賠償などのリスクもあるため、企業はこれまで以上に情報セキュリティへの意識を高め、対応策として人的・物的投資を進める必要があるとした。

事故を起こした市場の構成比

Itmedia News 2022年01月17日

漏れる前に漏れているので すでにもうどうでもよくなってきました。
直接被害がなければ問題ない。

そろそろ 個人情報の価値が下がっているので 価値が下がれば 漏洩した情報も使わなくなるだろう

ウクライナ政府に破壊的なサイバー攻撃 Microsoftが報告 2022年1月15日

 米Microsoftは1月15日(現地時間)、ウクライナ政府の複数の機関に対する破壊的なマルウェア攻撃を確認したと発表した。感染したシステムは動作不能になる。攻撃者については調査中としている。

ウクライナ保安庁は14日、13日から多数の政府公式Webサイトが攻撃されたと発表した。同庁は、「ロシアの秘密警察に関連するハッカーグループが事件に関与している兆候がいくつかあると言える」としている。

ウクライナ保安庁の発表
米連邦政府は14日、ロシアがウクライナ侵攻の口実を作る目的で、様々な工作を行っていると発表した。

Microsoftは、攻撃がウクライナ以外の範囲に広がっているかどうかはまだ特定しておらず、「既知の犯罪グループとの間に顕著な関連を発見していない」と語った。

 ウクライナ保安庁の発表

ウクライナに対しては、2016年末にも大規模なサイバー攻撃があった。この攻撃では、マルウェア「NotPetya」が使われた。米司法省は2020年、この攻撃を含む複数の攻撃の犯人として、ロシア連邦軍参謀本部情報総局(GRU)の諜報員を起訴した。

Microsoftによると、今回の攻撃は、PCの起動時に読み込まれるMBR(マスターブートレコード)を上書きして正常に動作できなくさせ、起動画面に身代金要求メモを表示するというもの。身代金はビットコインで1万ドル相当となっている。

ukra
身代金要求メモの文面

 身代金要求メモの文面
Microsoftは、指定されているウォレットは未知のものという。同社はこの攻撃はランサムウェアのように見えるが、身代金回収メカニズムがないことを理由に、攻撃の目的は身代金獲得ではなく、対象システムの動作不能だとみている。

同社は、多くの組織がこのマルウェアに感染しており、影響を受ける組織が増える可能性があるとしている。「今後もサイバーセキュリティコミュニティと協力し、標的と被害者を特定して被害者を支援していく」。

Itmedia News 2022年01月15日

ネットだけではなく

退職者がHDD売却 フリマで流出 2022年01月14日

 情報セキュリティ企業のラックは1月14日、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はないという。

Itmedia News 2022年01月14日

完全な人災です。
今回は、ハードディスクですが、USBメモリーも危険です。

今回は表面化しましたが、表に出てこないものも多いんだろうなぁ

まとめ

どんなに注意をして設計されたシステムでもセキュリティの穴は、絶対にあります。
みつけたら穴を塞ぐという手法でしかありません。

また、システム設計で問題がなくてもプラットフォーム、OS、デバイス そしてそれらを使う人間にセキュリティの欠落があったらやられます。

このブログでは、ほぼ毎日 気がついたセキュリティの問題を取り上げます。

 

-IT小僧の時事放談
-, , ,

Copyright© IT小僧の時事放談 , 2022 All Rights Reserved Powered by AFFINGER5.