IT小僧の時事放談

ほぼ毎日 ヤバいセキュリティ情報 Safari 15

サイバー術 プロに学ぶサイバーセキュリティ

世界中のデジタルデバイスには、セキュリティの問題が毎日のようにやばい情報が公開されている。

IT小僧の時事放題では、
ほぼ毎日 ヤバいセキュリティ情報
と題して いろいろなメディアからの情報を報告します。

ほぼ毎日なので 毎日ではありません。

目次

Microsoft Defender、今後はAndroidやMacにも対応か

2022年1月17日

今回は、やばくない 前向きなセキュリティの話です。

2022/01/17Mark Hachman PCWorld

もともとWindowsの標準のマルウエア対策ツールとして登場したWindows Defenderは、最初は可も不可もないセキュリティーツールだったが、その後は優れたソリューションへと進化を遂げ、名前もMicrosoft Defenderに変わった。Microsoftとしては、このツールのクロスプラットフォーム化をさらに進めたいと考えているようだ。

実のところ、このプレビュー版がMicrosoft Storeに掲載されたのは、しばらく前だったようだ。しかし最近になって、このアプリの動作イメージと見られる画像も出てきている。TwitterユーザーのAggiornamenti Lumia氏が投稿した画像によると、新版のMicrosoft Defenderでは、MacやAndroidのファイルやアプリもスキャンできるほか、「Webプロテクション」という機能もあり、リンクの危険性を把握できるようだ。

Microsoftのアプリやサービスには、Windows以外のプラットフォームに対応しているものも多い。Edge、Office、Teamsといったアプリは、それぞれAndroid版やMac版がある。Microsoft Defenderがクロスプラットフォームのセキュリティー製品として登場するとしたら、年99.99ドルで最大6人が利用可能な「Microsoft 365 Family」に加わる可能性も考えられる。だが現時点では、Microsoftの計画は定かではない。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

最近のWindows Defenderは、かなり優秀なセキュリティツールです。
企業で指定されていなければ、わざわざ高価なセキュリティツールはいらないのではないかとIT小僧jは思っています。

そのWindows Defenderが、AndroidやMacにも対応となると結構期待してしまうわけです。
Android端末は、セキュリティアップデートがあるうちは、それほど心配していません。

よく、ウィルスがぁとか騒いでいる人のどれぐらいの人が被害にあっているのでしょうか?
IT小僧も何年か前は、Android端末にESETをインストールしていましたが、一度も警告もなく履歴にも残っていませんでした。
この使い方なら 必要ないと思い すえう年前からセキュリティアプリを外して Google Playのセキュリティに任せています。

自宅でのPCは、Windows Defenderだけで対応しています。

「Safari 15」にWeb履歴やGoogleアカウント情報がリークする可能性のあるバグ 修正はまだ

 ネットの不正検出APIを提供する米FingerprintJSは1月15日(現地時間)、米AppleのWebブラウザ「Safari 15」に、任意のWebサイトでユーザーのアクティビティを追跡し、IDを確認できてしまうバグがあると発表した。WebKit Bugzillaに2021年11月28日に報告した。

同社は17日に公式ブログを更新し、Appleが16日にBugzillaでこの問題を解決済みとしたが、Safariのアップデートが公開されるまではユーザーにとっての危険は解消されないと警告した。

FingerprintJSは、アップデートが公開されるまで、macOSユーザーは別のWebブラウザを使うことを勧めている。iOSおよびiPadOSの場合は、AppleがサードパーティにもWebブラウザでWebKitを使うことを要求しているため、別のWebブラウザを使っても問題を回避できない。

fingerprint
このバグは、クライアント側ストレージに大量のデータを保持するためのAPI「IndexedDB」に関連するもの。このAPIは、あるWebサイトで集めたユーザーデータは他のWebサイトからはアクセスできないようにするというWebKitのポリシーに準拠しているはずだが、Safari 15では違反しており、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、ウィンドウに同じ名前のデータベースが作成される」ため、他のWebサイトがそのWebサイトのデータベース名を見ることができてしまうという。

indexed
(FingerpringJSのデモ動画より)
FingerprintJSは、Googleアカウントを使うWebサイトはデータベース名をGoogleユーザーIDを使って生成するので、Safariのバグによって他のWebサイトからプロフィール画像などのユーザー情報にアクセスできてしまうとしている。同社は、Googleカレンダー、YouTube、Twitter、Bloombergをバグの影響を受けるWebサイトとして紹介した。

同社は公式ブログでこの問題を説明するデモも公開している。

2022年1月19日 追記
FingerprintJSはこの問題を2021年11月にApple(アップル)に報告していますが、現時点ではまだ問題の修正は行なわれていません。

2021年、上場企業が漏えいした個人情報は574万人分 事故件数や社数は過去最多に 2022年01月17日

 「2021年に上場企業が漏えいした個人情報は574万人分に達した」──東京商工リサーチは1月17日、そんな調査結果を発表した。個人情報の漏えいや紛失事故を公表した上場企業(子会社を含む)は120社(前年比36.3%増)、事故件数は137件(同33.0%増)となり、2012年の調査開始以来、過去最多となった。

漏えい・紛失事故の年次推移(左)と、事故件数の内訳(右)
漏えい・紛失事故の年次推移(左)と、事故件数の内訳(右)
2021年に発生した事故で、漏えい・紛失件数が最多となったのは、ネットマーケティングが手掛ける、婚活マッチングサービス「Omiai」の不正アクセス事件で、171万1756件。次いでスイスの国際航空情報通信機構(SITA)への不正アクセスによるANAホールディングスのマイレージ情報流出で100万件、日本航空で92万件と、それぞれ続いた。

2021年、情報漏えい・紛失件数上位
137件の事故のうち、最も多かった原因は「ウイルス感染・不正アクセス」が68件(構成比49.6%)という結果に。68件の事故で漏えい・紛失した個人情報は454万554件で、全体の78.9%を占めた。次点で多かった原因は「誤表示・誤送信」が43件(同31.3%)で、メールの送信間違いなどの人為的なミスによるものだった。

2021年、情報漏えい・紛失件数上位
漏えい・紛失した事故の原因
事故原因となった媒体別では「社内システム・サーバ」が81件(構成比59.1%)が最多となった。次に「PC」が30件(同21.9%)、「書類」が15件(同10.9%)、「その他・不明」が8件(同5.8%)の順となった。

漏えい・紛失した事故の原因

事故原因となった媒体
上場市場別で見ると、最多は東証1部の97社(構成比80.8%)が全体の8割を占め、大手企業がサイバー犯罪のターゲットとされやすい傾向が明らかになった。一方で「ガバナンスが徹底し、情報開示フローが充実していることも公表数が多い背景になっている」と、東京商工リサーチは指摘する。

事故原因となった媒体

事故を起こした市場の構成比
事故件数の増加には「国外から狙われるケースも多く、ネット社会を巧みに突いた犯罪の巧妙化やグローバル化がある」(同)と説明。顧客からの信用の毀損(きそん)や、膨大な損害賠償などのリスクもあるため、企業はこれまで以上に情報セキュリティへの意識を高め、対応策として人的・物的投資を進める必要があるとした。

事故を起こした市場の構成比

Itmedia News 2022年01月17日

漏れる前に漏れているので すでにもうどうでもよくなってきました。
直接被害がなければ問題ない。

そろそろ 個人情報の価値が下がっているので 価値が下がれば 漏洩した情報も使わなくなるだろう

ウクライナ政府に破壊的なサイバー攻撃 Microsoftが報告 2022年1月15日

 米Microsoftは1月15日(現地時間)、ウクライナ政府の複数の機関に対する破壊的なマルウェア攻撃を確認したと発表した。感染したシステムは動作不能になる。攻撃者については調査中としている。

ウクライナ保安庁は14日、13日から多数の政府公式Webサイトが攻撃されたと発表した。同庁は、「ロシアの秘密警察に関連するハッカーグループが事件に関与している兆候がいくつかあると言える」としている。

ウクライナ保安庁の発表
米連邦政府は14日、ロシアがウクライナ侵攻の口実を作る目的で、様々な工作を行っていると発表した。

Microsoftは、攻撃がウクライナ以外の範囲に広がっているかどうかはまだ特定しておらず、「既知の犯罪グループとの間に顕著な関連を発見していない」と語った。

 ウクライナ保安庁の発表

ウクライナに対しては、2016年末にも大規模なサイバー攻撃があった。この攻撃では、マルウェア「NotPetya」が使われた。米司法省は2020年、この攻撃を含む複数の攻撃の犯人として、ロシア連邦軍参謀本部情報総局(GRU)の諜報員を起訴した。

Microsoftによると、今回の攻撃は、PCの起動時に読み込まれるMBR(マスターブートレコード)を上書きして正常に動作できなくさせ、起動画面に身代金要求メモを表示するというもの。身代金はビットコインで1万ドル相当となっている。

ukra
身代金要求メモの文面

 身代金要求メモの文面
Microsoftは、指定されているウォレットは未知のものという。同社はこの攻撃はランサムウェアのように見えるが、身代金回収メカニズムがないことを理由に、攻撃の目的は身代金獲得ではなく、対象システムの動作不能だとみている。

同社は、多くの組織がこのマルウェアに感染しており、影響を受ける組織が増える可能性があるとしている。「今後もサイバーセキュリティコミュニティと協力し、標的と被害者を特定して被害者を支援していく」。

Itmedia News 2022年01月15日

ネットだけではなく

 

退職者がHDD売却 フリマで流出 2022年01月14日

 情報セキュリティ企業のラックは1月14日、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はないという。

Itmedia News 2022年01月14日

完全な人災です。
今回は、ハードディスクですが、USBメモリーも危険です。

今回は表面化しましたが、表に出てこないものも多いんだろうなぁ

5億8500万件以上のパスワードをイギリス国家犯罪対策庁が個人情報流出確認サイト「Have I Been Pwned?」と共有

個人情報の流出を確認できるウェブサイト「Have I Been Pwned?(HIBP)」の開発者であるトロイ・ハント氏が、「イギリスの国家犯罪対策庁(NCA)が、調査中に発見した5億8500万件以上のパスワードをHIBPと共有した」と報告しました。

Troy Hunt: Open Source Pwned Passwords with FBI Feed and 225M New NCA Passwords is Now Live!

UK govt shares 585 million passwords with Have I Been Pwned
https://www.bleepingcomputer.com/news/security/uk-govt-shares-585-million-passwords-with-have-i-been-pwned/

The NCA shares 585 million passwords with Have I Been Pwned - The Record by Recorded Future
https://therecord.media/the-nca-shares-585-million-passwords-with-have-i-been-pwned/

HIBPは自分のパスワードやメールアドレス、電話番号を使用して、ネットサービスのアカウント情報が流出しているかどうかをチェックできるウェブサイトです。最初はメールアドレスやIDによる検索にのみ対応していましたが、2018年からはパスワードを過去の漏えいデータと照合できるサービス「Pwned Passwords」も展開しています。企業やシステム管理者はPwned Passwordsを使い、パスワードがハッキングなどで侵害されているかどうかを確認し、ブルートフォース攻撃(総当たり攻撃)パスワードスプレー攻撃に使用される危険があるかどうか調べることが可能です。

近年のHIBPは、法執行機関からの情報提供に基づいて「侵害されているパスワードのリスト」をアップデートする取り組みを進めており、2021年5月にはアメリカ連邦捜査局(FBI)が保有している流出パスワードデータが追加されました

そしてハント氏は12月20日のブログ記事で、FBIに続いてイギリスのNCAが合計5億8500万件以上の「何者かによって侵害されたパスワード」をHIBPと共有したと発表しました。ハント氏がNCAによって共有されたパスワードデータをインポートして解析したところ、約5億8500万件のうち2億2500万件以上はこれまでのリストにないものだったことが判明したそうです。

記事作成時点におけるPwned Passwordsの最新のリリースでは、リストに含まれている「侵害されたパスワード」の合計数は約55億8000万件であり、そのうちユニークなパスワードは8億4700万件だとのこと。

NCAがハント氏に寄せたコメントによると、今回共有された「侵害された可能性がある資格情報(メールアドレスとパスワード)」は、イギリスのクラウドストレージ施設から発見されたものだそうです。分析の結果、これらの資格情報が既知および未知の侵害されたデータセットであることが判明したとのこと。

「これらのデータが未知の犯罪アクターによってイギリスのビジネス向けクラウドストレージ施設に置かれたという事実は、資格情報が現時点でパブリックドメインに存在することを意味し、このデータがさらなる詐欺やサイバー犯罪のために第三者によって侵害される可能性があります。特定された資格情報は、1つの会社やプラットフォームに帰属させることができなかったため、NCAの国家サイバー犯罪ユニット(NCCU)は『Have I Been Pwned(HIBP)』の開発者兼CEOであるトロイ・ハント氏と手を組みました」と、NCAは述べました。

以上 記事は、gigazineより抜粋

英国の警察組織が、個人情報流出確認サイトと情報共有ということになるわけですが、一番情報があつまるところなので別に問題にはならないと思いますが、この情報をつかって犯罪組織ならともかく、別なことに利用しそうな気もします。

 NCAとは
国家犯罪対策庁(英語: National Crime Agency, NCA)は、イギリスの警察組織の一つ。主として組織犯罪を取り締まる捜査機関であり、2013年に既存の重大組織犯罪局(SOCA)を発展的に改編するかたちで、内務省所管の非内閣構成省庁(英語版)[1]として設置された

自分のパスワードが心配さったら以下のサイトに行って調べるといいでしょう。

Have I been pwned? Pwned Passwords
https://haveibeenpwned.com/Passwords

Pwned Passwords」は自分が使っているパスワードが過去のデータ侵害で悪用されたものと同一かどうかを判別してくれます。

2021年12月19日 ヤバいセキュリティ情報

数百のホテルで提供されるゲスト用Wi-Fiシステムにセキュリティ上の欠陥発見

あるセキュリティ研究者によると、世界の何百ものホテ

ルがゲストにWi-Fiネットワークを提供し、管理するために利用しているインターネットゲートウェイには脆弱性があり、ゲストの個人情報を危険にさらしている。

Etizaz Mohsin(エティザズ・モーシン)氏が語ったところによると、Airangel製のHSMX Gatewayにはプレーンテキストなどハードコードのパスワードがあり、それらは極めて簡単に推測できるものだ。そのパスワードをここでご紹介することはできないが、攻撃者はそれらを使ってゲートウェイの設定と、Wi-Fiを使っているゲストの記録があるデータベースにリモートでアクセスしている。それによりゲストの記録を盗んだり、ゲートウェイのネットワーキングの設定を変えて知らぬ間にゲストを悪質なウェブページへリダイレクトしたりするという。

2018年、モーシン氏は彼が泊まっていたホテルのネットワークが使っているゲートウェイの一部でそれを発見した。そのゲートウェイは、インターネットを介してファイルを別のサーバーと同期するために使われており、モーシン氏によると世界中の有名高級ホテルの一部が数百ものゲートウェイのバックアップファイルをそこに置いていた。またそのサーバーには「数百万」のゲストの名前やメールアドレス、到着と出発の日付が保存されていた。

モーシン氏はそのバグを報告し、サーバーは保護されたが、そこからある考えが浮かぶ「このたまたま1つのゲートウェイに、何百もの他のホテルを危険にさらす、その他の脆弱性はなかったのか?」

そしてそのセキュリティ研究者は、顧客情報の窃盗行為などゲートウェイの侵犯に使われる可能性がある他の5つの脆弱性を見つけた。彼が見せてくれたスクリーンショットでは、あるホテルの脆弱なゲートウェイの管理インターフェースが、ゲストの名前やルームナンバーやメールアドレスを暴露していた。

モーシン氏は新たに発見した欠陥のキャッシュをAirangelに報告したが、それから数カ月が過ぎても英国のネットワーキング機器メーカーはバグを修正していない。同社代表者は、その機種は2018年以降販売しておらず、すでにサポートしていない、とモーシン氏に告げた。

しかしモーシン氏によると、その機器は世界中のホテルやモール、コンベンションセンターなどで今でも広く使われている。インターネットをスキャンしてみると600以上のゲートウェイがインターネットだけからアクセスできる状態だが、本当の脆弱なデバイスの数はもっと多いだろう。被害を受けたホテルの多くが英国、ドイツ、ロシア、そして中東全域にある。

「この脆弱性の連鎖が攻撃者に提供するアクセスのレベルを見るかぎり、彼らにできることの限界はないようです」とモーシン氏はいう。

モーシン氏は彼の発見を、2021年11月にサウジアラビアで行われた@Hackカンファレンスで提示した。Airangelにコメントを求めているが応じていない。

画像クレジット:JEFF GREENBERG/GETTY IMAGES

原文へ

接続できるということは、侵入される可能性があることを意味している。

Windowsユーザーは注意 セキュリティソフトウェアの検出を回避する新種のマルウェアが見つかる

 セキュリティ企業のPrevailionは2021年12月14日(現地時間)、同社のブログでファイルレス技術といった最新の手法を駆使するリモートアクセス型のトロイの木馬「DarkWatchman」を特定したと報じた。

Prevailionは、DarkWatchmanについてセキュリティソフトウェアによる検出が困難だとし、注意を喚起している。

Prevailionは、DarkWatchmanの活動について報じた(出典:PrevailionのWebサイト)
Windowsユーザーは要注意 新種のマルウェア「DarkWatchman」の感染手法とは?
Prevailionによれば、マルウェアにとってファイル利用とはセキュリティソフトウェアから検出されるリスクを高める行為だ。そのため多くのマルウェアはなるべくファイル書き込みをせずに動作しようと試みる。一方でファイルを利用しなければマルウェアの持続性を高められないため、マルウェア開発者はセキュリティソフトウェアの検出を回避してファイルに書き込む方法を模索しているという。

DarkWatchmanは、ファイルレスでの動作を実現するため「レジストリ」を利用するという特徴がある。一時保存や永続保存の多くでレジストリを使用しており、その他のファイルには一切書き込まない。このためほとんどのセキュリティソフトウェアは同マルウェアを検出できない。

このマルウェアはレジストリを使ったファイルレスという特徴以外にも、セルフアップデートや再コンパイルといった動的ランタイムに関する新たな手法を取り入れている。Prevailionは、今後これらの手口を模倣したマルウェアが発生する可能性があると見ている。

DarkWatchmanの感染経路としては電子メールが確認されている。一度感染すると現時点では検出が困難なため、メール添付のファイルやリンクに注意するという基本的なマルウェア対策を徹底してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

守る側と攻撃する側の戦いは永遠に続く

メッセージ受信だけでiPhoneが乗っ取られる被害、その手法が明らかに――現在は修正済み

 グーグル(Google)のセキュリティチーム「Google Project Zero」は、iPhoneのiMessageを経由し、悪意あるGIF画像を受信するだけで、標的となったユーザーのiPhoneをハッキングする攻撃について、公式ブログでその詳細を明らかにした。

この手法により、ニューヨークタイムス紙のジャーナリストや、人権活動家団体のスタッフなどに対する攻撃が確認されているという。

なお、この脆弱性(CVE-2021-30860)は、2019年9月に公開されたiOS 14.8へのアップデートによって修正済みである。

悪意あるメッセージを受信するだけで乗っ取り可能に
Project Zeroの公式ブログによると、iMessageに含まれる脆弱性を悪用し、攻撃者が悪意あるメッセージを標的となるユーザーのiPhone宛に送信し、そのメッセージを受信しただけで、iPhoneがハッキングされる被害が発生していたという。

これまで、類似の攻撃手法としてSMSでフィッシング用のURLなどを送信し、ターゲットがそのリンクを誤ってクリックする、いわゆるワンクリック攻撃が行われていることが知られていた。

今回「Google Project Zero」が明らかにした手法では、攻撃の標的となるターゲットは悪意のあるメッセージを受信するだけで、URLなどを一切クリックしなくても、iPhone上で任意のコードを実行される乗っ取り被害にあうため、ソフトウェアアップデートにより脆弱性が修正されるまで、その被害を防ぐ方法は存在しなかったという。

iMessageには、チャット内にアニメーションGIFを送受信する機能がある。この機能は、実際にチャット画面でアニメーションGIFを表示させる前に処理が行われていた。

攻撃者はアニメーションGIFになりすました悪意あるPDFを送りつけ、PDFの構文解析プログラムに含まれる脆弱性を悪用して任意のコードを実行することで、iMessage経由で標的となるiPhoneのハッキングに成功していたという。

アップルでは、関連する脆弱性を修正した際の情報として「この脆弱性が悪用された可能性があるという報告について把握しています。」と、脆弱性が修正される前に、既に攻撃が行われている可能性があることを明かしていた。

セキュリティで強固だと言われているiPhoneでも自社のシステムだけでは、ないので そこに漬け込むスキはあるので要注意です。

2021年12月17日 ヤバいセキュリティ情報

Adobe Photoshopなど複数の製品に「緊急」の脆弱性 アップデートを

 Adobeは2021年12月15日(現地時間)、セキュリティアップデートを公開し、複数のAdobe製品に脆弱(ぜいじゃく)性が存在すると伝えた。脆弱性の幾つかは深刻度が「緊急」(Critical)や「重要」(Important)に分類されており対応が必要だ。

公式HPによる最新セキュリティアップデート情報(出典:AdobeのWebサイト)
脆弱性が存在する製品とバージョンは
脆弱性が存在する製品は以下の通りだ。それぞれの製品に存在する脆弱性については次のページを確認してほしい。

Adobe Premiere Rush 1.5.16およびこれよりも前のバージョン(Windows版)
Adobe Experience Manager(AEM) AEM Cloud Service(CS)
Adobe Experience Manager(AEM) 6.5.10.0およびこれよりも前のバージョン
Adobe Connect 11.3およびこれよりも前のバージョン
Photoshop 2021 22.5.3およびこれよりも前のバージョン(Windows版、macOS版)
Photoshop 2022 23.0.2およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Prelude 22.0およびこれよりも前のバージョン(Windows版)
Adobe After Effects 22.0 and?earlier versions(Windows版、macOS版)
Adobe After Effects 18.4.2 and?earlier versions?(Windows版、macOS版)
Adobe Dimension 3.4.3およびこれよりも前のバージョン?(Windows版、macOS版)
Adobe Premiere Pro 22.0およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Premiere Pro 15.4.2およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Media Encoder 22.0およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Media Encoder 15.4.2およびこれよりも前のバージョン(Windows版、macOS版)
Lightroom 4.4 and earlier versions Windows
Adobe Audition 22.0およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Audition 14.4およびこれよりも前のバージョン(Windows版、macOS版)
脆弱性が修正されたプロダクトおよびバージョンは次の通りだ。

Adobe Premiere Rush 2.0(Windows版、macOS版)
Adobe Experience Manager(AEM) AEM Cloud Service(CS)
Adobe Experience Manager(AEM) 6.5.11.0
Adobe Connect 11.4
Photoshop 2021 22.5.4(Windows版、macOS版)
Photoshop 2022 23.1(Windows版、macOS版)
Adobe Prelude 22.1.1(Windows版、macOS版)
Adobe After Effects 22.1.1(Windows版、macOS版)
Adobe After Effects 18.4.3(Windows版、macOS版)
Adobe Dimension 3.4.4(Windows版、macOS版)
Adobe Premiere Pro 22.1.1(Windows版、macOS版)
Adobe Premiere Pro 15.4.3(Windows版、macOS版)
Adobe Media Encoder 22.1.1(Windows版、macOS版)
Adobe Media Encoder 15.4.3(Windows版、macOS版)
Lightroom 5.1(Windows版、macOS版)
Adobe Audition 22.1.1(Windows版、macOS版)
Adobe Audition 14.4.3(Windows版、macOS版)
該当プロダクトを使用している場合には直ちにアップデートの適用が求められる。

Copyright © ITmedia, Inc. All Rights Reserved.

ThinkPadおよびYogaモデルを含むLenovoラップトップは、ImControllerSeervicサービスの特権昇格バグに対して脆弱

ThinkPadおよびYogaモデルを含むLenovoラップトップは、ImControllerServiceサービスの特権昇格バグに対して脆弱であり、攻撃者が管理者特権でコマンドを実行できるようにします。

欠陥はCVE-2021-3922およびCVE-2021-3969として追跡され、1.1.20.3より前のすべてのLenovo System InterfaceFoundationバージョンのImControllerServiceコンポーネントに影響します。Windowsサービス画面を表示すると、このサービスの表示名は「System InterfaceFoundationService」になります。

特定のサービスは、Lenovo System Interface Foundationのコンポーネントであり、LenovoデバイスがLenovo Companion、Lenovo Settings、LenovoIDなどのユニバーサルアプリと通信するのに役立ちます。このサービスは、YogaやThinkPadデバイスを含む多くのLenovoモデルにデフォルトでプレインストールされています。

BleepingComputer.com

Lenovoは、 中国メーカー

というわけでもないけどThinkPadまで影響があるのは、厳しいなぁ

「LenovoSystemInterface Foundation Service」は、システムの電源管理、システム最適化、ドライバとアプリケーションの更新、Lenovo Companion、Lenovo Settings、LenovoIDなどのLenovoアプリケーションへのシステム設定などの主要機能のインターフェイスを提供するものだという。このサービスを無効にすると、Lenovoのアプリケーションが正常に動作しなくなる可能性がある。

対策としては、ImControllerServiceコンポーネントのバージョンアップが唯一の解決法としている。

2021年12月17日 15:38
PC Watch
https://pc.watch.impress.co.jp/docs/news/1375191.html

2021年12月15日 ヤバいセキュリティ情報

「Apache Log4j 2.15.0」のLog4Shell脆弱性対策は不完全、v2.16.0への更新を ~Java 7ユーザーにはv2.12.2を提供

 The Apache Software Foundation(ASF)は12月14日、ロギングライブラリ「Apache Log4j 2.15.0」で実施された「Log4Shell」脆弱性(CVE-2021-44228)への対策が不完全であったことを明らかにした。

開発チームによると、「Log4j 2.15.0」では任意コード実行につながるJNDI LDAPルックアップ機能をlocalhostに限定する対策が導入されているが、これは不十分であったという。JNDIルックアップパターンを用いて悪意のある入力データを作成することで、特定のデフォルト設定以外ではサービス拒否攻撃(DoS)を許す問題(CVE-2021-45046)が残されていた。

「CVE-2021-45046」は、13日付けでリースされた「Log4j 2.16.0」で対処されている。システムプロパティ「log4j2.noFormatMsgLookup」を「true」に変更するといった以前に案内されていた緩和策は、このDoS脆弱性には効果がないようなので注意したい。

また、「Log4j」の「Java 7」対応は「Log4j 2.12.1」が最終のはずであったが、脆弱性の影響を鑑み「Log4j 2.12.2」がリリースされた。「Log4j 2.16.0」へすぐにアップグレードできない「Java 7」ユーザーは、「Log4j 2.12.2」の利用を推奨する。

https://forest.watch.impress.co.jp/docs/news/1374274.html

カスペルスキー、マルウェア「LODEINFO」の亜種が観測されたと発表

■ 日本企業を標的としたファイルレスバックドア「LODEINFO」

株式会社カスペルスキーは12月9日、日本の組織を標的としたファイルレス型マルウェア「LODEINFO」とそこから派生したと考えられる2つのマルウェアに関するプレスセミナーを開催した。発表はカスペルスキーの解析チームのカスペルスキーグローバル調査分析チーム(GReAT)アジア太平洋地域に所属するマルウェアリサーチャーの石丸傑氏が行った。

冒頭、石丸氏はLODEINFOについて紹介した。LODEINFOは、2019年12月ごろからバージョンアップを繰り返しながら日本国内の組織に対して攻撃が続いている。

LODEINFOは主に不正なOfficeドキュメント(Word/Excel)が添付されたメールを使用して送り付ける。受信者が「コンテンツの有効化」を行うとVBAによってマルウェア本体がメモリ内に復号化して実行される。

最終的に内部情報を窃取することを目的としており「過去3カ月(2021年8月27日~11月26日)に900件近い検知があり、現在も継続した攻撃が行われている」という。カスペルスキーのアンチウイルス製品は2019年の初観測以降、継続的なLODEINFOのシグネチャ対応を行っている。

LODEINFOという名前は初期検体にLOADPNGという文字列が初期検体にあったことと「png_info.pdb」というプログラムデータベースパスがある事から名付けられている。また、バージョン番号が内部に記載されているという特徴がある。2019年12月に発見されたLODEINFOはバージョン0.1.2だったが継続的にアップデートされており、最新の検体は2021年11月に発見されたバージョン0.5.6で、キーロガーやファイル暗号化機能の機能拡張が行われている。

■ LODEINFOの亜種としてDOWNJPIT、オープンソースを改造したLILIMRATを観測

石丸氏がLODEINFOの解析を進めている過程で亜種が見つかった。これはペイロードを「JustPaste.it」というコンテンツサイトからダウンロードするため「JustPast.ITからDOWNload」から「DOWNJPIT」と命名された。

DOWNJPITはLODEINFOの特徴を多く備えている一方、バックドア機構を持たない。メール以外にPowershellと.NETを利用し、OSを起動するたびにメモリ内に含める永続化の手法も観測された。

さらに調査を進めたところ、ダウンロード元にPastebin.comを利用する亜種も発見された。ダウンロード型のファイルレスマルウェアは特定のウェブコンテンツからダウンロードするため、URL先のファイルを入れ替えるだけで他のリモートアクセスツール(RAT)に変更できる。そこで見つかったのがオープンソースの「LilithRAT」を改変してコマンドを拡張したRATを実装した亜種「LILIMRAT」だ。これもDOWNJPIT同様にコンテンツサイトに同じデータ構造で埋め込まれており、独自のバックドアコマンドを追加している。

■ APT10が過去に使用したマルウェアとの類似点が多い。基本的な「コンテンツの有効化」を行わないところから対処したい

石丸氏は今回観測されたマルウェアの製作は「APT10」として知られる中国の攻撃グループとの関連性が高いと指摘した。APT10は2015年に日本年金機構から大量の個人情報を漏えいさせる事件を起こし、Pivy、PlugX、Emdivi、RedLeaves、ANELなど複数種のRATを過去に使用してきたことで知られている。

LODEINFO、DOWNJPIT、LILIMRATがAPT10が関与しているという理由について、石丸氏は過去にAPT10が使用したとみられる検体を比較すると、バージョン情報をハードコートする、C2サーバーに端末情報を送信する、パスワード保護されたドキュメントを攻撃メールの添付ファイルに使用するなど共通の手口が多く、類似点が多いと説明した。

このようにドキュメントファイルを添付したメールを送りつける標的型攻撃は現在も継続して行われている。組織は「メール添付のオフィスドキュメントで『コンテンツの有効化』は行わない」、アンチウイルスソフトやソフトの最新版を利用する基本的な対策を徹底し、さらに可能ならばEDRやSOCの導入、従業員へのセキュリティ教育等の高度な対策を行う事を推奨している。

また、今回紹介したLODEINFOは「見えない化」が進んでいるため、セキュリティコミュニティとしても引き続き調査が必要だとまとめた。

INTERNET Watch,小林 哲雄

Internet Watch

詳しい情報は、Internet Watchで確認をお願いいたします。



Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について

警察庁がRealtime攻撃の観測状況をリアルタイムで通知が行われています。

「Apache Log4j」の脆弱性に対する攻撃の観測状況(グラフ)が表示されています。

詳しくは、警察庁のページで確認することができます。

 

2021年12月14日 ヤバいセキュリティ情報

新たに発覚したソフトウェアの脆弱性、世界で数億台の機器にリスク 米政府が警告

 ワシントン(CNN) 世界で何億台もの機器が危険にさらされかねないソフトウェアの脆弱(ぜいじゃく)性が新たに発覚し、バイデン米政権のサイバーセキュリティー機関が13日、主要業界に対して必要な対策を講じるよう呼びかけた。

主要IT企業が影響の封じ込めに苦慮する中、米国土安全保障省サイバー・インフラ安全局(CISA)のジェン・イースタリー局長は業界幹部との電話会談で、ハッカー集団がこの脆弱性を活発に悪用していると警告した。

(以下略、続きはソースでご確認ください)

CNN 2021.12.14 Tue posted at 13:30 JST

何十億台のスマートフォンに危険 Wi-FiチップやBluetoothチップに気をつけろ

何十億台のスマートフォンに搭載されるWi-FiチップやBluetoothチップをとっかかりにしてパスワードやデータを盗み出す攻撃手法が開発される

デバイスのBluetoothコンポーネントに攻撃を仕掛けることでパスワードの抽出やWi-Fiチップ上のトラフィック操作を可能にする手法をドイツのダルムシュタット大学やイタリアのブレシア大学の研究チームが公開しました。

Attacks on Wireless Coexistence: Exploiting Cross-Technology Performance Features for Inter-Chip Privilege Escalation
(PDFファイル)https://arxiv.org/pdf/2112.05719.pdf

Bugs in billions of WiFi, Bluetooth chips allow password, data theft
https://www.bleepingcomputer.com/news/security/bugs-in-billions-of-wifi-bluetooth-chips-allow-password-data-theft/

スマートフォンに代表される最新の電子機器は、SoC内にBluetoothやWiFi、LTEをサポートするコンポーネントを別個に備えており、これらのコンポーネントは専用のセキュリティ機能を搭載していますが、こうしたコンポーネントはエネルギー効率やスループット向上などの理由からアンテナなどを共有しています。

今回ダルムシュット大学やブレシア大学の研究チームが公開した論文は、Wi-FiないしはBluetoothチップに内在するリモートコード実行の脆弱性を突き、これらのチップが共有しているリソースを橋渡しにする形でデバイス内の各チップに攻撃対象を広げていくという手法に関するもの。研究チームはBroadcom、Cypress、SiliconLabsによって製造されたSoCに対して、任意コード実行やメモリの読み出し、DoS攻撃を実際に実行しています。

 

Gigazine 2021年12月14日 19時00分

なにがヤバいって「何十億台のスマートフォンに搭載されるWi-FiチップやBluetoothチップ」ということで

今回ダルムシュット大学やブレシア大学の研究チームが公開した論文は、Wi-FiないしはBluetoothチップに内在するリモートコード実行の脆弱性を突き、これらのチップが共有しているリソースを橋渡しにする形でデバイス内の各チップに攻撃対象を広げていくという手法に関するもの。研究チームはBroadcom、Cypress、SiliconLabsによって製造されたSoCに対して、任意コード実行やメモリの読み出し、DoS攻撃を実際に実行しています。

iPhoneも含まれています。

研究チームはBroadcom、Cypress、SiliconLabsに対して当該欠陥を報告しましたが、サポートが終了したSoCやファームウェアが適用不可能なSoCが存在しており、大半の場合は修正不可能だそうです。

今回の脆弱性に割り当てられた共通脆弱性識別子は、「CVE-2020-10368」「CVE-2020-10367」「CVE-2019-15063」「CVE-2020-10370「CVE-2020-10369」「CVE-2020-29531」「CVE-2020-29533」「CVE-2020-29532」「CVE-2020-29530」の9種類で、これらの脆弱性には、ハードウェア的な修正を要するものや、修正によってパフォーマンスが大幅に低下するものが存在するとのことです

2021年12月13日 ヤバいセキュリティ情報

Log4jのゼロデイ脆弱性 中国政府の関与も疑われる

Javaのログ出力ライブラリであるApache Log4jで発見されたリモートコード実行のゼロデイ脆弱性「Log4Shell」を用いた攻撃が急激に増加しており、攻撃者の中には「中国政府が関連するハッカーの存在も確認された」というレポートをセキュリティ企業のCheck Point Softwareが公開しています。

The numbers behind a cyber pandemic – detailed dive - Check Point Software
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

Log4j vulnerability: Companies scramble to gird against hackers : NPR
https://www.npr.org/2021/12/14/1064123144/companies-scramble-to-defend-against-newly-discovered-log4j-digital-flaw

Hackers launch over 840,000 attacks through Log4J flaw | Ars Technica
https://arstechnica.com/information-technology/2021/12/hackers-launch-over-840000-attacks-through-log4j-flaw/

世界中で広く活用されているJavaのログ出力ライブラリであるLog4jに、リモートでコードを実行されてしまうゼロデイ脆弱性「Log4Shell」が存在することが明らかになっています。このゼロデイ脆弱性に対する修正パッチはすでに公開されているのですが、Log4jの利用範囲の広さからインターネット史上最も深刻な脆弱性のひとつである可能性も指摘されていました。

gigazine

被害というか、調べたら かなり被害が増えていたという状況になっています。

Log4Shellの存在が明らかになった2021年12月10日(金)以降、世界中の企業に対してLog4Shellを用いたサイバー攻撃が84万件以上発生していることが明らかになっています。Check Point Softwareによると、Log4Shellに関連する攻撃は10日から72時間で急増中で、あるタイミングでは1分間に100回以上の攻撃が検知されたそうです。Check Point Softwareによると、Log4Shellを用いたサイバー攻撃のほとんどが「コンピューターをリモートで制御して暗号資産をマイニングしたり、ボットネットの一部として利用したり、特定のウェブサイトに過剰なトラフィックを発生させたり、スパムを送信したり、その他の目的に使用できるコンピューターネットワークの一部として使用しています」とのこと。

また、Log4Shellを用いたサイバー攻撃を仕掛けている攻撃者のほぼ半分が既知の攻撃者であるとのこと。「既知の攻撃者」の中にはリモート制御したコンピューターをボットネットに変えるマルウェアの使用者や、サービス拒否攻撃などのリモート制御されたコンピューターを使用したネットワークである「Tsunami」や「Mirai」を利用するサイバー攻撃グループも含まれます。このほか、追跡が困難なデジタル通貨・Moneroをマイニングするソフトウェア「XMRig」を使用するグループも検知されました。

サイバーセキュリティ企業のMandiantで最高技術責任者を務めるCharles Carmakal氏によると、攻撃者の中には「中国政府が支援するハッカー」が含まれているとのこと。Carmakal氏はこれ以上の詳細を共有することを拒否していますが、サイバーセキュリティスタートアップ・SentinelOneの研究者も「中国のハッカーがLog4Shellを利用しているのを検知した」と語っています。

アメリカ国土安全保障省のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)のディレクターであるJen Easterly氏は、Log4Shellについて「私がキャリアの中で見てきたものの中で最も深刻な脆弱性のひとつ」とコメントしました。なお、Log4Shellに対しては、CISAとイギリスの国家サイバーセキュリティ・センターの両方が企業に向けて修正パッチの適用を促す警告を発しています。実際、AppleやAmazon、IBM、Microsoft、Ciscoといった大企業がLog4Shellの修正に対応しており、記事作成時点では主要企業から重大なセキュリティ侵害が生じたという報告はありません。

脆弱性診断ツールを開発するAcunetixのエンジニアリング責任者であるNicholas Sciberras氏は、「Log4Shellにより、攻撃者はほぼ無限の力を得ることができます。攻撃者は機密データの抽出、サーバーへのファイルアップロード、データの削除、ランサムウェアのインストール、他のサーバーへのピボットなどを実行可能です」と語り、攻撃を仕掛けることは「驚くほど簡単でしょう」「今後数カ月Log4Shellを悪用した攻撃は続くでしょう」とも述べています。

gigazine

インターネット史上最も深刻な脆弱性のひとつということで おそらく世界中のエンジニアは、動いているでしょう。

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

 JPCERT/CCは11日までに、この脆弱性を悪用するコードが公開されていることを発見。悪用を試みる通信も確認したとして注意喚起している。

対策方法は、修正バージョンへの更新、Lookup機能をオフにするなど。バージョン2.15.0以降であればLookup機能が標準でオフになっている。この他、Log4jを使っているiCloudなどのサービスやアプリの更新状況をチェックすること、通信ログなどを見て攻撃がないか確認すること、アクセス制限を掛けることなどを推奨している。

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

以下 JPCERT/CCより抜粋

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

I. 概要

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.15.0
https://logging.apache.org/log4j/2.x/security.html

II. 対象

- Apache Log4j-core 2.15.0より前の2系のバージョン

III. 対策

The Apache Software Foundationから本脆弱性を修正したバージョンが公開されています。速やかな対策の適用実施をご検討ください。次のバージョン以降では、Lookup機能がデフォルトでは無効になりました。

- Apache Log4j 2.15.0

使用するアプリケーションやソフトウェアなどについて関連情報を注視し、本脆弱性の影響を受けることが判明した場合も、速やかにアップデートなどの対応を行うことを推奨します。

また、すでに本脆弱性の悪用を試みる通信が確認されていることから、対策の適用実施とあわせて、不審なファイル及びプロセスの有無や、通信ログ等を確認し、攻撃の有無を確認することを推奨します。

IV. 回避策

The Apache Software Foundationから、Log4jのバージョンに応じた回避策に関する情報が公開されています。

Log4jバージョン2.10及びそれ以降
- 次のいずれかを実施する
(1)Log4jを実行するJava仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定する 例: -Dlog4j2.formatMsgNoLookups=true
(2)環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する

Log4jバージョン2.10より前
- JndiLookupクラスをクラスパスから削除する

また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。

2021年12月11日 ヤバいセキュリティ情報

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation

マイクロソフト者から Log4jの問題で
「欠陥を利用して脆弱なシステムにクリプトマイナー(仮想通貨を勝手にマイニングするマルウェア)を仕込んだり、システムの証明書を盗んだりする攻撃」
が実際に行われていると表明

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation

 

2021年12月10日 ヤバいセキュリティ情報

Javaライブラリ「Log4j」にゼロデイ攻撃の脆弱性がみつかる。

トレンドマイクロ社の公開文書に掲載されています。

SECURITY ALERT: Apache Log4j "Log4Shell" Remote Code Execution 0-Day Vulnerability (CVE-2021-44228)
Updated: 14 Dec 2021 Product/Version: Cloud One - Application Security 1.0 Platform:
SUMMARY
Updated on 12/14/2021 @ 2:30AM GMT with Log4j Vulnerability Testing Site, demo protection video, Trend Micro Cloud - Conformity information, updated VSAPI pattern detections and updated information on Trend Micro affected/not affected products.

On December 9, 2021, a new critical 0-day vulnerability impacting multiple versions of the popular Apache Log4j 2 logging library was publicly disclosed that, if exploited, could result in Remote Code Execution (RCE) by logging a certain string on affected installations.

This specific vulnerability has been assigned CVE-2021-44228 and is also being commonly referred to as "Log4Shell" in various blogs and reports. Versions of the library said to be affected are versions 2.0-beta 9 to 2.14.1.https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.15.0/.

https://success.trendmicro.com/solution/000289940

Googleでざっくり訳すと こんな漢字

2021年12月9日、人気のあるApache Log4j 2 ログライブラリの複数のバージョンに影響を与える新しい重大なゼロデイ脆弱性が公開されました。これは、悪用された場合、影響を受けるインストールで特定の文字列をログに記録することにより、リモートコード実行(RCE)を引き起こす可能性があります。

この特定の脆弱性にはCVE-2021-44228が割り当てられており、さまざまなブログやレポートで一般的に「Log4Shell」と呼ばれています。影響を受けると言われているライブラリのバージョンは、バージョン2.0-beta9から2.14.1です。

日本語訳:Google

SECURITY ALERT: Apache Log4j "Log4Shell" Remote Code Execution 0-Day Vulnerability (CVE-2021-44228)

日本のITmediaでも報道されています。

Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。

例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。

「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か

LINE、指針改定でも情報漏洩 揺らぐ信頼

 スマートフォン決済大手の「LINE Pay」は12月7日までに、国内外の約13万件の決済金額などの情報が漏えいし、インターネット上で一時閲覧できる状態になっていたと発表した。親会社の通信アプリ大手のLINEで2021年3月に中国の関連会社から利用者の情報が閲覧可能になっていたことが発覚し、データの運用指針を改定したばかり。見直したはずの新体制での流出に個人情報保護の信頼が揺らいでおり、改めて経営管理の在り方が問われる。

閲覧可能だった個人情報は、LINEが利用者を判別するために社内で使用していた識別データ。国内利用者は約5万件に上る。氏名や住所、クレジットカード番号は含まれないが、特殊な解析をすると個人を特定できる可能性があるという。

20年12月から21年4月までに利用促進キャンペーンで決済された金額や日時などが21年9月12日から11月24日までの間、ネット上で情報を共有するサービスで外部から見られる状態になっていた。委託先の韓国企業の従業員が法人用のアカウントを利用せず、個人としてデータを送信したのが原因で、LINE Payが詳細を調査している。部外者からのアクセスを11件確認しており、情報が悪用されて不審なメッセージが届く可能性があるとしている。

3月に発覚したデータ管理の不備では、LINEでは、中国の関連会社を通じて中国当局が利用者情報を収集する可能性があった他、画像や動画ファイルを韓国で保管しながらも、中央省庁などに「日本の利用者のデータは国内で保管してある」と虚偽の説明をするなどしていた。LINE Payでも取引情報を韓国で保管していた。

LINEはグループ全体で情報管理体制を見直し、LINE Payも9月末までにデータの国内移管を終え、システム開発で一時的にデータを移転する先として韓国などの国名を明示した指針に改定した。

ただ、今回の流出は指針に沿った運用の中で従業員のミスで発生した。LINEの出沢剛社長はデータ管理の姿勢について「本来は(ミスも想定し)先回りすべきだ」と述べている。

通信アプリの「LINE」は、東京都がスマートフォンによる新型コロナウイルスのワクチン接種証明の確認に活用するなど公的なサービスにも利用されているだけに、LINEグループには人為的なミスや悪意のあるサイバー攻撃なども想定した徹底した個人情報の保護が求められる。(高木克聡)

copyright (c) Sankei Digital All rights reserved.

ITmedia

これほどまで いい加減で嘘を言ってきたLINEを未だに使用して市民の個人情報を取り扱う 地方自治体のシステム関係者は、反省すべきか 無知としか言えない。
マスコミもいろいろな圧力があると思うけど、まっとうな技術者ならLINEを公共ツールとして使ってはいけない。
※これはIT小僧の個人的見解です。

まとめ

どんなに注意をして設計されたシステムでもセキュリティの穴は、絶対にあります。
みつけたら穴を塞ぐという手法でしかありません。

また、システム設計で問題がなくてもプラットフォーム、OS、デバイス そしてそれらを使う人間にセキュリティの欠落があったらやられます。

このブログでは、ほぼ毎日 気がついたセキュリティの問題を取り上げます。

 

-IT小僧の時事放談
-

Copyright© IT小僧の時事放談 , 2022 All Rights Reserved Powered by AFFINGER5.