IT小僧の時事放談

ほぼ毎日 ヤバいセキュリティ情報 約10年前のiPhone 5sなどが対象となるiOS12.5.7の緊急セキュリティアップデートをAppleがリリース

マスタリングTCP/IP 情報セキュリティ編 (第2版)

世界中のデジタルデバイスには、セキュリティの問題が毎日のようにやばい情報が公開されている。

かなりヤバい情報がやってきた。
「Twitterのセキュリティチームには中国の工作員がいる」

IT小僧の時事放題では、
ほぼ毎日 ヤバいセキュリティ情報
と題して いろいろなメディアからの情報を報告します。

ほぼ毎日なので 毎日ではありません。

スポンサーリンク

目次

約10年前のiPhone 5sなどが対象となるiOS12.5.7の緊急セキュリティアップデートをAppleがリリース

2023年1月25日

2023年1月23日に、AppleがiPhone 5sやiPhone 6といった最新OSのサポート対象外となっている古いモデルに対して、「iOS 12.5.7」をリリースしました。iOS 12.5.7には既に悪用された可能性のある脆弱(ぜいじゃく)性の修正が含まれています。

iOS 12.5.7 のセキュリティコンテンツについて - Apple サポート (日本)
https://support.apple.com/ja-jp/HT213597


新たにリリースされたiOS 12.5.7には、「悪意のあるウェブコンテンツにアクセスすると、任意のコードを実行される可能性がある」という脆弱性の修正が含まれています。この脆弱性はiOS 15.1以前のiOSに存在していますが、iPhone 5sやiPhone 6などの古いiPhoneでは「iOS 13」以降のOSが提供されていません。AppleによるiOS 12.5.7のリリースは、古いiPhoneを使っているユーザーに対する救済措置とも言えます。

上記の脆弱性の影響を受けるデバイスは以下の通り。

・iPhone 5s
・iPhone 6
・iPhone 6 Plus
・iPad Air
・iPad mini 2
・iPad mini 3
・iPod touch (第6世代)

続きは 

約10年前のiPhone 5sなどが対象となるiOS12.5.7の緊急セキュリティアップデートをAppleがリリース - GIGAZINE
https://gigazine.net/news/20230125-old-iphone-update/

このあたりは、Appleは、優秀だな とっくにサポートが終わっていても不思議ではないデバイスにきちんと対応する
Androidの場合は、この点 ひどすぎる 20万近いハイエンドスマートフォンでも 3年でセキュリティアップデート終了とか 当たり前のように行われている。

Google Pixelシリーズやごく一部のメーカーを除いて 大いに反省すべきである。

スポンサーリンク

航空会社が誤って公開していたサーバーから約150万件の飛行禁止対象者のリストが流出

2023年1月23日

アメリカのコミュートエアが管理するサーバーがセキュリティで保護されていなかったため、ハッカーに侵入を許し、保存されたデータを流出させてしまったことが分かりました。データの中にはコミュートエア従業員の個人情報のほか、テロとの関与が疑われる人物を記載した、通称「No Fly List(搭乗禁止リスト)」と呼ばれる情報が含まれていました。

U.S. No Fly List Left on Unprotected Airline Server
https://www.dailydot.com/debug/no-fly-list-us-tsa-unprotected-server-commuteair/

コミュートエアのサーバーには、約900人の従業員のパスポート番号、住所、電話番号、コミュートエアが運営する40以上のAmazon S3のバケット、サーバーのユーザー認証情報などが記録されていたとのこと。中でも重要視されたデータが、テロとの関与が疑われる人物を記載し、対象者が旅客機に搭乗するのを防ぐために使われる「No Fly List」でした。

続きは 

航空会社が誤って公開していたサーバーから約150万件の飛行禁止対象者のリストが流出 - GIGAZINE
https://gigazine.net/news/20230123-commuteair-cybersecurity-incident-no-fly-list/

もう 盗み放題? 失礼 盗まれ放題の時代
いくら スマートフォン側で防御してもアクセス先で漏洩したら何の意味もないし対応策もない

個人情報が漏洩しているという前提で行動するしかなさそうである。

最初からマルウェアがインストールされているAndroid TVデバイス「T95」が販売されていた

2023年1月12日

AmazonやAliExpressでも販売されているAndroid TV搭載のセットトップボックスT95」にマルウェアがプリインストールされていたという報告がGitHubに上げられています。マルウェアの正体は、Android端末を対象に感染を広げた「CopyCat」に似ているとのことです。

GitHub - DesktopECHO/T95-H616-Malware: "Pre-Owned" malware in ROM on T95 Android TV Box (AllWinner H616)
https://github.com/DesktopECHO/T95-H616-Malware

問題となったセットトップボックスはAmazon.comでも販売されているもので、記事作成時点では32.99ドル(約4300円)で購入可能。Android 10.0搭載でSoCはAllwinner H616、CPUはCortex-A5、GPUはMali-G31、3RAMは2GB、ストレージは16GB、6KウルトラHDに対応しているとのこと。

また、T95はAliExpressでも取り扱われていました。価格は約4500円前後といったところ。

報告ページを作成したDesktopECHO氏は自身で開発したAndroid向けツールのPi-holeをテストするためにT95を購入したとのこと。しかし、このT95の中身が非常に大雑把なものであることがわかったそうです。Android 10はテストキーで署名されており、Google Pixel 2にちなんで「Wallye」と名付けられていたとのこと。さらにデバイスと通信するための多用途コマンドラインツールであるAndroid Debug BridgeがイーサネットとWi-Fi経由で広く開かれていることが判明。

そこで、実際にT95にPi-holeをインストールし、DNSを127.0.0.1に設定したところ、T95がアクティブなマルウェア用アドレスにアクセスしていたことが判明したそうです。

続きは 

マルウェアが最初からインストールされているとんでもないAndroid TVデバイス「T95」がAmazonとAliExpressで販売中 - GIGAZINE
https://gigazine.net/news/20230112-t95-with-malware/

素性のわからない製品は十分気をつけないとヤバいということです。
少なくても と言って中国製品NGというと 家電はほぼ全滅します。

デジタルデバイスは、一応 名の通ったメーカーで判断するしかないだろう

2023 年 1 月のセキュリティ更新プログラム (月例)

2023年1月11日

今月も毎月更新されるWindowsのセキュリティ更新プログラムやバグ修正が配信されるWindows Updateが行われました。早めにアップデートしておきましょう。

2023 年 1 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center
https://msrc-blog.microsoft.com/2023/01/10/202301-security-update/

関連するサポート技術情報またはサポートのWebページ:
https://learn.microsoft.com/system-center

なお、Windows Updateの公開はアメリカ時間の毎月第2火曜日で、次回のアップデートは日本時間2023年2月8日(水)提供予定となっています。

続きは 

今日は毎月恒例「Windows Update」の日 - GIGAZINE
https://gigazine.net/news/20230111-windows-update/

 

特定の企業に依存する必要がなくなるかも Aegis Authenticator とは何か?

2023年1月9日

ウェブサービスを安全に使用する手段の1つとして、「ワンタイムパスワード発行サービスを利用する」という方法があります。ワンタイムパスワードを生成するアプリとしては「Google Authenticator」「Microsoft Authenticator」「Authy」といったアプリが広く利用されていますが、これらのアプリはGoogleやMicrosoftなどの企業によって開発されたものであり、透明性や信頼性に不安を感じる人もいるはず。オープンソースで開発されているAndroid向けのワンタイムパスワード発行アプリ「Aegis Authenticator」を使えば、特定の企業に依存せず二要素認証によるセキュリティ強化を実行できるだけでなく、Google Authenticatorでは不可能な「ワンタイムパスワードの不可視化」なども可能となります。

Aegis Authenticator - Secure 2FA app for Android
https://getaegis.app/

サイバー犯罪が増加する中、ウェブサービスを安全に利用するためには「パスワードと電話番号を組み合わせる」といった二要素認証の導入が重要となっています。ワンタイムパスワードを発行する方法は二要素認証の手段の1つで、Google Authenticatorなどのアプリで短時間だけ使用可能なコードを発行してウェブサービスなどにログインすることができます。ただし、Google Authenticatorなどのアプリには「特定の企業によってクローズドソースで開発されている」「アプリさえ起動すれば誰でもワンタイムパスワードを閲覧可能」といった問題が存在しています。

Aegis Authenticatorはオープンソースで開発されているワンタイムパスワード発行アプリで、Google Authenticatorと同様に短時間だけ使用可能なパスワードを発行できます。さらに、ワンタイムパスワードを閲覧する前にパスワード認証や指紋認証を求める設定も可能で、セキュリティを強化できます。

さらに、Aegis Authenticatorにはアカウントのエクスポート・インポート機能が搭載されており、アカウント情報のバックアップや別デバイスへの移行を簡単に実行できます。

Aegis AuthenticatorはGoogle PlayとF-Droidで配信されており、以下のリンク先からダウンロード可能です。

Aegis Authenticator - 2FA App - Google Play のアプリ
https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis


Aegis Authenticator | F-Droid - Free and Open Source Android App Repository
https://f-droid.org/packages/com.beemdevelopment.aegis/

続きは 

無料でワンタイムパスワードを発行可能&デバイス間エクスポートも可能なオープンソースアプリ「Aegis Authenticator」、特定の企業に依存する必要がなくなり安心 - GIGAZINE
https://gigazine.net/news/20230109-aegis-authenticator-2fa/

このブログでも取り上げてきた 個人情報漏洩問題ですが、パスワード管理アプリまで個人情報が盗まれる時代になってきました。

2億件を超えるTwitterアカウントのメールアドレスなどを含む個人情報がハッカーフォーラムでわずか2ドルで販売されている - GIGAZINE
https://gigazine.net/news/20230106-twitter-users-email-leaked-online/

パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE
https://gigazine.net/news/20221223-lastpass-password-hacking/

今回 GIGAZINE で記事になった Aegis Authenticatorは、Android向けのワンタイムパスワード発行アプリで特定の企業に依存せず二要素認証によるセキュリティ強化を実行できるだけでなく、Google Authenticatorでは不可能な「ワンタイムパスワードの不可視化」なども可能

という利点があります。

新しい試みとしてのワンタイムパスワード発行アプリは、普及するのでしょうか?

もっとも 普及しない方がセキュリティ面で安全という一面もありますが。。。

スポンサーリンク

2億件を超えるTwitterアカウントのメールアドレスなどを含む個人情報がハッカーフォーラムでわずか2ドルで販売されている

2023年1月5日

2億件超のTwitterアカウントの電子メールアドレスなどを含む個人情報が流出し、ハッカーフォーラムでわずか2ドル(約260円)で販売されていることが明らかとなりました。一連のデータは2021年の時点で、TwitterのAPIの脆弱(ぜいじゃく)性を悪用して盗み出されていたとみられています。

200 million Twitter users' email addresses allegedly leaked online
https://www.bleepingcomputer.com/news/security/200-million-twitter-users-email-addresses-allegedly-leaked-online/

Twitter leak of email addresses totals at least 200 million - The Washington Post
https://www.washingtonpost.com/technology/2023/01/04/witter-leak-emails-handles/

Twitter data of over 200 million users is on sale for just $2
https://www.androidheadlines.com/2023/01/twitter-data-200-million-users-on-sale-2-dollars.html

Twitterは2022年1月、バグ報奨金プログラムを通じて発覚した「メールアドレスや電話番号を入力するとリンクされたTwitter ID(アカウント作成時に自動で割り振られる識別番号)を取得できる」というTwitterのAPIの脆弱性を修正しました。この脆弱性は、2021年6月にTwitterが行ったコード更新によって生じたものとみられています。

ところが、一部のハッカーは脆弱性が修正される前に悪用してデータを盗み出しており、Twitter IDとメールアドレスや電話番号、そしてIDから得られる公開情報を紐付けたデータセットを作成していたとのこと。2022年8月には、ハッカーが540万人分のアカウント情報を3万ドル(約390万円)で販売していたことが報じられました。

データは合計59GBのテキストファイルで構成される6つのRARアーカイブとして販売され、約2億2160万行あります。以下はBleepingComputerが公開した流出データのサンプルで、ファイルの各行はメールアドレス・名前・ユーザー名・フォロワー数・アカウント作成日などで構成されています。

続きは 

2億件を超えるTwitterアカウントのメールアドレスなどを含む個人情報がハッカーフォーラムでわずか2ドルで販売されている - GIGAZINE
https://gigazine.net/news/20230106-twitter-users-email-leaked-online/

もし自分のIDが漏洩されているか確認したい場合、リンク先の記事で

自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」
https://gigazine.net/news/20160428-have-i-been-pwned/

4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求 ハッカー「Ryushi」

2023年1月5日

Twitterの脆弱(ぜいじゃく)性を突いて盗み出したとされる4億人分のユーザーデータを、Ryushiと名乗るハッカーが売り出そうとしていることが分かりました。RyushiはTwitterやイーロン・マスクCEOを相手取ってデータの購入を迫り、「EUの一般データ保護規則(GDPR)による多額の罰金を食らう前に即刻購入せよ」と要求しています。

Hacker claims to be selling Twitter data of 400 million users
https://www.bleepingcomputer.com/news/security/hacker-claims-to-be-selling-twitter-data-of-400-million-users/

ハッカーフォーラムに投稿されたRyushiの声明によると、Ryushiはメールアドレスや名前、電話番号などの非公開情報を含む4億人分のユーザーデータをTwitterから盗み出したとのこと。RyushiはTwitterとTwitterのイーロン・マスクCEOを名指しして20万ドル(約2600万円)でのデータの購入を迫り、購入すればデータを削除すると主張しています。Twitterがこれに応じない場合、1回あたり6万ドル(約800万円)で複数の人にコピーを販売するとのこと。

Ryushiは以前Facebookから5億3300万人分のデータが流出した事件を引き合いに出し、「(FacebookがGDPR違反の罰金として支払った)2億7600万ドル(約380億円)を回避する最もよい方法は、このデータを独占的に購入することだ」と脅迫しました。また、Ryushiはサンプルデータとしてアレクサンドリア・オカシオ=コルテス下院議員やドナルド・トランプ・ジュニア氏らを含むとされる1000人分のデータを公開しています。

続きは 

ハッカー「Ryushi」が4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求、自衛方法はコレ - GIGAZINE
https://gigazine.net/news/20230105-ryushi-selling-twitter-400-million-users-data/

自衛策について

ニュースサイトのMakeUseOfはデータ流出に伴う自衛策として、以下のものをあげています

・ほかのサービスでTwitterに登録したメールアドレスを使用している場合はすぐに変更すること
・電話番号も同様に変更すること
・今後登録するすべてのサービスでメールアドレスのエイリアスを使用すること
・可能な場合は予備の電話番号を使用すること
・アプリベースの二要素認証を使用すること

パスワード管理アプリ「LastPass」によるデータ流出事件の弁明に嘘がある?

2022年12月28日

パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。

What’s in a PR statement: LastPass breach explained | Almost Secure
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/

パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。

続きは 

パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵 - GIGAZINE
https://gigazine.net/news/20221228-lastpass-statement-explain/

 

北朝鮮のサイバー犯罪集団が外交政策の専門家約900人をハッキング

シンクタンクの専門家や大学教授などの外交政策に詳しい専門家892人や商業施設が、北朝鮮のサイバー犯罪集団からサイバー攻撃を受け、個人データやメーリングリストを盗まれたり、ランサムウェア攻撃を受けて身代金を要求されたりしたことが確認されたと、韓国の警察庁が発表しました。

North Korea hacked almost 900 South Korean foreign policy experts, sought ransom | South China Morning Post
https://www.scmp.com/news/asia/east-asia/article/3204528/north-korea-hacked-almost-900-south-korean-foreign-policy-experts-sought-ransom


警察庁によると、ハッカーは2022年5月に与党議員の秘書、同年10月に韓国外交院関係者などへ、韓国の人物を装った複数のアカウントからスピアフィッシングメールを送信したとのこと。メールには偽のウェブサイトへのリンクや、ウイルスを含むファイルが添付されていたそうです。受信者のうち49人が偽のウェブサイトにアクセスしてログインしてしまい、監視やデータのダウンロードを許してしまったと警察は発表しています。

サイバー犯罪集団は26カ国にある326カ所のサーバーを経由することでIPアドレスを「洗浄」し、オンラインの追跡を困難にしていたそうです。さらに外交政策の専門家以外にも、サイバーセキュリティーの脆弱性があるショッピングモールを攻撃したと見られており、13社が運営する19台のサーバーが被害に遭ったとのこと。そのうち2社が250万ウォン(約26万円)相当のビットコインを身代金としてグループに支払ったそうです。警察庁は、一連の犯行を行ったサイバー犯罪集団の手口が2014年に原子力発電所をハッキングした「キムスキー」と同じだったと指摘しています。

続きは 

北朝鮮のサイバー犯罪集団が外交政策の専門家約900人をハッキング、情報を盗んで身代金を要求 - GIGAZINE
https://gigazine.net/news/20221227-north-korea-hack-900-south-korean/

日本もガチでホワイトハッカーを雇って防御しないとまずいだろ
目に見える武器も重要ですが、こうした国家ぐるみで犯罪を犯す連中にきちんと対応と報復をしないと

まじで日本の政治家の多くは無知であるということです。

 

TikTok必死の攻防 2000億円の費用を費やし 中国政府とは関係ねぇと安全アピール

TikTokが、禁止されないように必死の攻防を続けています。

ショート動画プラットフォームのTikTokは日本だけでなくアメリカでも絶大な人気を誇っていますが、アメリカ政府はTikTokに対する規制を強めています。TikTokはアメリカ政府側に対して「ユーザーデータをアメリカのサーバーに保管すること」や「データ保護とコンテンツモデレーションに関する決定を監督する部門の設立」などを提案しており、そのために多額の費用をかけていることが明らかになりました。

Exclusive: TikTok steps up efforts to clinch U.S. security deal | Reuters
https://www.reuters.com/technology/tiktok-steps-up-efforts-clinch-us-security-deal-2022-12-22/

TikTok, blocked? US access may rest on shaky terms of natsec deal | Ars Technica

https://arstechnica.com/tech-policy/2022/12/leaked-details-show-how-biden-could-save-tiktok-from-being-blocked-in-the-us/

TikTok has reportedly spent $1.5 billion to set up the team that will shepherd U.S. user data - Tubefilter
https://www.tubefilter.com/2022/12/22/tikok-project-texas-us-user-data-deal-oracle-president-biden-white-house/

Why experts say the proposed TikTok ban is more about politics than privacy : NPR
https://www.npr.org/2022/12/22/1144745813/why-the-proposed-tiktok-ban-is-more-about-politics-than-privacy-according-to-exp

アメリカでは中国発のソーシャルメディアであるTikTokに対するセキュリティ上の懸念が高まっており、アメリカの複数の州では既にTikTok禁止措置が講じられているだけでなく、「TikTokを政府のスマホなどで使うことを禁止する法案」が上院で全会一致で承認されてもいます。さらに、アメリカでは政府機関以外のあらゆるアメリカ人ユーザーがTikTokを使用できなくなる「TikTok禁止法案」まで提案されました。

続きは 

TikTokは2000億円を費やし「TikTokは中国政府とは独立して運営された安全なアプリ」であることを認めるようアメリカ政府を説得している - GIGAZINE
https://gigazine.net/news/20221223-tiktok-efforts-clinch-us-security-deal/

かなりの危機感を持って必死な TikTok 中国企業だけど安全アピールに必死な状況

最後は、ロビー活動で金をばらまくしかないんだろうな

「TikTokを政府のスマホなどで使うことを禁止する条項」がアメリカ議会が発表した220兆円規模の歳出法案に含まれる

アメリカ上院の歳出委員会が2022年12月19日、1.7兆ドル(約220兆円)の規模となる2023年9月30日までの包括的歳出法案を発表しました。この歳出法案には、ウクライナやNATO同盟国への追加支援費で過去最大となった軍事費のほか、「TikTokを政府のスマートフォンやその他のデバイスで使用することを禁止する」という条項も含まれています。

Lawmakers propose banning TikTok on government devices - The Washington Post
https://www.washingtonpost.com/politics/2022/12/20/tiktok-ban-spending-bill-china/

Congress attempts to ban TikTok on government devices as part of $1.7 trillion spending bill | Engadget
https://www.engadget.com/congress-attempts-ban-tiktok-on-government-devices-through-17-trillion-spending-bill-204028363.html

Giant Omnibus Bill Mandates Online Seller Transparency, Cracks Down on TikTok | PCMag
https://www.pcmag.com/news/giant-omnibus-bill-mandates-online-seller-transparency-cracks-down-on-tiktok

ikTokは世界中で強い人気を誇るSNSですが、運営企業が中国に本拠を置くByteDanceであることから、中国政府との対立を深めるアメリカ政府および政治家たちは、TokTokに安全保障上の懸念があると主張しています。2020年にはドナルド・トランプ元大統領がアメリカ国内でのTikTok使用を禁止する大統領令に署名しており、この大統領令が後のジョー・バイデン大統領によって撤回された後も、政府はTikTokに厳しい目を向けています。2022年12月にはマルコ・ルビオ上院議員らの超党派議員グループが、国内でのTikTokの営業を禁止する法案「ANTI-SOCIAL CCP Act(反社会的中国共産党法)」を議会に提出しました。

また、12月14日にはジョシュ・ホーリー上院議員らが提出した「政府のデバイスに関するTikTok禁止法」が、全会一致で上院を通過しました。この法案は、「特定の個人がアメリカまたは政府機関によって発行されたデバイスでTikTokをダウンロードあるいは使用すること禁止する」というものです。なお、すでにアメリカでは13州がTikTokの使用禁止に向けた動きを進めているとのこと。

続きは 

「TikTokを政府のスマホなどで使うことを禁止する条項」がアメリカ議会が発表した220兆円規模の歳出法案に含まれる - GIGAZINE
https://gigazine.net/news/20221221-ban-tiktok-government-devices-spending-bill/

いよいよ TikTokが危うくなってきました。
もともと中国企業ですから 情報がダダ漏れということは、当たり前と言えなくもない。

気になる方は、削除をオススメします。

LINEも似たようなことをしていましたが、なぜか? 未だに公共な組織に使われている。
どうしてかは、お察しください。

YouTubeのショートを使いなさい・・・
と言えなくもない

中国警察、日本に「拠点」開設か 主権侵害の恐れ 外務省

中国というより中国共産党という組織は、こういうことをやっているのです。

 外務省は19日、自民党の外交部会などの合同会議で、スペインの人権監視団体が公表した報告書の内容として、中国の警察当局が日本などに海外拠点を設置している可能性があると説明した。

カナダ、中国の違法「警察署」捜査 トロントのビルやコンビニに?

既に外交ルートを通じ、中国政府に「仮に主権侵害があれば断じて容認できない」と伝達した。

外務省によると、報告書が示した日本国内の拠点は2カ所。福建省福州市公安局が東京都内に置き、江蘇省南通市公安局も所在地不明ながら開設している。

Yahoo!ニュース
https://news.yahoo.co.jp/articles/b5e139d280d241de09fe25ff4f38bbd38aa832ab

残念ながら日本の周りには、ミサイルを撃ってきたり、領海侵犯を平気でやってくる国があるのです。

中国語を使うハッカーグループ 日本の参院選で議員にフィッシング攻撃を仕掛けたことが判明

2022年12月16日

2022年7月に行われた日本の参議院議員選挙に合わせて、「MirrorFace」と呼ばれるハッカーグループが日本の政治家を標的にフィッシングメールキャンペーンを展開していたことを、セキュリティソフトを開発するESETの研究者が報告しました。MirrorFaceは日本の企業や組織を標的とするハッカーグループであり、中国語を使用することが知られています。

Unmasking MirrorFace: Operation LiberalFace targeting Japanese political entities | WeLiveSecurity
https://www.welivesecurity.com/2022/12/14/unmasking-mirrorface-operation-liberalface-targeting-japanese-political-entities/

Hackers target Japanese politicians with new MirrorStealer malware
https://www.bleepingcomputer.com/news/security/hackers-target-japanese-politicians-with-new-mirrorstealer-malware/

Chinese MirrorFace APT group targets Japanese political entitiesSecurity Affairs
https://securityaffairs.co/wordpress/139698/apt/mirrorface-apt-group-targets-japan.html

ESETがMirrorFaceというコードネームで呼ぶハッカーグループは中国語を使用し、日本国内のメディア・防衛関連企業・シンクタンク・外交機関・学術機関などのデータを流出させることを目的に活動しています。MirrorFaceの特徴としては、日本国内のターゲットにのみ使用される「LODEINFO」という独自のマルウェアを持っている点が挙げられます。なお、MirrorFaceはカスペルスキーなどが「APT10」という名称で呼ぶハッカーグループと関連するという推測があるものの、ESETはMirrorFaceを既知のハッカーグループに帰属させる確証がないとして、独立したグループとして追跡しているとのこと。

以下 送られてきたメール内容

続きは 

中国語を使うハッカーグループが日本の参院選を狙って議員にフィッシング攻撃を仕掛けたことが判明、自民党が標的か - GIGAZINE
https://gigazine.net/news/20221216-mirrorface-targeting-japanese-political-entities/

引っかかった議員さんがいるのかどうかは不明です。

お金を払えば好きなサイトにDDoS攻撃できる代行サイトを運営した6人の男たちが起訴

2022年12月16日

攻撃対象に膨大なトラフィックを送信し処理不能に陥らせるDDoS攻撃は、これまでに多数の企業や政府機関に被害を与えています。そんなDDoS攻撃の代行サービスを運営していた6人の人物がアメリカ司法省に起訴されました。今回起訴された人物らはアメリカおよび海外の教育機関や政府機関、ゲームプラットフォーム、何百万人もの個人にDDoS攻撃を実行したとされています。

Federal Prosecutors in Los Angeles and Alaska Charge 6 Defendants with Operating Websites that Offered Computer Attack Services | USAO-CDCA | Department of Justice
https://www.justice.gov/usao-cdca/pr/federal-prosecutors-los-angeles-and-alaska-charge-6-defendants-operating-websites

Six Charged in Mass Takedown of DDoS-for-Hire Sites – Krebs on Security
https://krebsonsecurity.com/2022/12/six-charged-in-mass-takedown-of-ddos-for-hire-sites/

DDoS攻撃とは、複数のコンピューターを使用して攻撃対象に過剰なデータを送信することで処理不能に陥らせるサイバー攻撃です。今回共謀罪およびコンピューター詐欺・乱用防止法違反の罪で起訴された人物の1人である、アメリカのテキサス州に住むジェレミア・サム・エバンス・ミラー容疑者は、DDoS攻撃を代行するウェブサイト「RoyalStresser.com」を運営していました。ミラー容疑者に対する訴状では、2021年11月から2022年2月の間に約20万件のDDoS攻撃を仕掛けたとされています。

同時に起訴されたその他の容疑者らもそれぞれDDoS攻撃請負サービスを運営しており、フロリダ州に住むエンジェル・マヌエル・コロン・ジュニア容疑者は「SecurityTeam.io」を運営し、2018年から2022年までの間に130万回の攻撃を行っていました。また、コリー・アンソニー・パーマー容疑者とシャマー・シャトック容疑者は「Booter.sx」「Astrostress.com」を運営し、約70万回の攻撃を行ったとされています。

続きは 

お金を払えば好きなサイトにDDoS攻撃できる代行サイトを運営した6人の男たちが起訴される - GIGAZINE
https://gigazine.net/news/20221216-ddos-site-charge/

こんな やばい 商売もある。
というわけである。

2022年12月のマイクロソフト月例セキュリティ更新プログラムを公開

2022 年 12 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center
https://msrc-blog.microsoft.com/2022/12/13/202212-security-update/

◆Windows 11 および v22H2
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
Windows 11 5021234
v22H2 5021255

◆Windows 10 v21H2, v21H1, およびv20H2
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
5021233

◆Windows Server 2022 (Server Core installationを含む)
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
5021249

◆Windows Server 2019 , 2016 (Server Core installation を含む)
最大深刻度:
緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
Windows Server 2019, 5021237
Windows Server 2016, 5021235

◆Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む)
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
Windows 8.1, Windows Server 2012 R2
Monthly Rollup 5021294
Security Only 5021296
Windows Server 2012
Monthly Rollup 5021285
Security Only 5021303

◆Microsoft Office
最大深刻度:重要

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates を参考にしてください。

◆Microsoft SharePoint
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてください。

◆Microsoft .NET
最大深刻度:重要

最も大きな影響:
リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/dotnet を参考にしてください。

◆Microsoft Visual Studio
最大深刻度:重要

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/visualstudioを参考にしてください。

◆Microsoft Dynamics
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
https://learn.microsoft.com/dynamicsを参考にしてください。

◆PowerShell
最大深刻度:緊急

最も大きな影響:リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
https://learn.microsoft.com/powershellを参考にしてください。

◆Remote Desktop client for Windows Desktop
最大深刻度:
重要

最も大きな影響:特権の昇格

関連するサポート技術情報またはサポートのWebページ:
https://learn.microsoft.com/windows-server/remote/remote-desktop-services/welcome-to-rds を参考にしてください。

◆Microsoft Azure-related software
最大深刻度:重要

最も大きな影響:特権の昇格

詳しくは以下を三故障願います

関連するサポート技術情報またはサポートのWebページ:
https://learn.microsoft.com/azure を参考にしてください。

詳しくはは 

今日は毎月恒例「Windows Update」の日 - GIGAZINE
https://gigazine.net/news/20221214-windows-update/

MicrosoftやAvastなどの人気アンチウイルスソフトがPCのデータを完全破壊してしまう脆弱性「Aikido(合気道)」が見つかる

2022年12月12日

Microsoft Defender、Avast、AVG、トレンドマイクロなどの主要なアンチウイルスおよびエンドポイント検出応答(EDR)ソフトに、感染したファイルを削除する機能を悪用してPCのデータを消去し復元できないようにしてしまうゼロデイ脆弱(ぜいじゃく)性があることが分かりました。

SafeBreach Labs Discovers New Zero-Day Vulnerabilities | New Research
https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/

For Cyberattackers, Popular EDR Tools Can Turn into Destructive Data Wipers
https://www.darkreading.com/vulnerabilities-threats/cyberattackers-popular-edr-tools-destructive-data-wipers

アメリカのサイバーセキュリティ企業・SafeBreachは2022年12月7日に、ターゲットとなるシステム上にインストールされているセキュリティソフトを悪用してステルス化された攻撃を行い、特権なしで被害者の端末のデータを削除することができるとの概念実証(PoC)を報告しました。

中略

セキュリティソフトの力を逆手にとってデータを一掃してしまうことから、セキュリティカンファレンス・Black Hat Europe 2022で発表されたこのPoCは、「Aikido Wiper(合気道ワイパー)」と名付けられています。

Yair氏が主要なセキュリティソフトで「Aikido Wiper」を試してみたところ、11製品のうち6製品と、半分以上で有効なことが分かりました。具体的な製品名は以下の通り。Windows標準のセキュリティ製品であるMicrosoft Windows DefenderとWindows Defender for Endpointのほか、TrendMicro ApexOne、Avast Antivirus、AVG Antivirus、SentinelOneで「Aikido Wiper」が使用可能でした。

「Aikido Wiper」は、システム上で最も信頼されているセキュリティソフトの機能を悪用するため、検出したりファイルの削除を阻止したりすることは不可能です。また、ドライバーを含む重要なシステムファイルを削除することが可能なため、OSが起動できなくなるおそれもあります

続きは 
MicrosoftやAvastなどの人気アンチウイルスソフトがPCのデータを完全破壊してしまう脆弱性「Aikido(合気道)」が見つかる - GIGAZINE

対応策は、迅速なアップデートしかありません。
必ず更新しましょう。

北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明

2022年12月8日

Googleの脅威分析グループ(TAG)が、「APT37」「Reaper」というコードネームで呼ばれる北朝鮮のサイバー犯罪グループが2022年10月にInternet Explorerのゼロデイ脆弱(ぜいじゃく)性を悪用して攻撃していたことを突き止めたと発表しました。この攻撃は、2022年11月のセキュリティ更新プログラムをインストールしていないWindows 7以降あるいはWindows Server 2008以降を搭載したマシンを対象としているとのことです。

Internet Explorer 0-day exploited by North Korean actor APT37
https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/


Google found North Korea used a tragedy to exploit Internet Explorer vulnerability - The Verge
https://www.theverge.com/2022/12/7/23498226/google-north-korea-exploited-internet-explorer-vulnerability-security

セキュリティ企業・FireEyeの(PDFファイル)報告書によると、APT37はこれまでにスピアフィッシングソーシャルエンジニアリングを駆使していることが確認されています。具体的には韓国で広く使われているハングルワープロソフトの脆弱性を悪用していたほか、2018年にはAdobe Flashのゼロデイ脆弱性(CVE-2018-4878)を利用した攻撃を行っていることも確認されています。

今回APT37が悪用したとみられるのは、Internet ExplorerのJavaScriptエンジン「jscript9.dll」が抱えるゼロデイ脆弱性「CVE-2022-41128」です。Google TAGによると、Internet Explorerは2022年6月16日にサポート終了となりましたが、Microsoft OfficeではまだInternet ExplorerのJavaScriptエンジンを使っており、2022年11月8月に配信されたセキュリティ更新プログラムをインストールしていないWindows 7以降あるいはWindows Server 2008以降を搭載したマシンで動作していたとのこと。

続きは 
北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明 - GIGAZINE

 

スポンサーリンク

Apple 「iMessage Contact Key Verification」「Security Keys for Apple ID」「Advanced Data Protection for iCloud」の3つのセキュリティ機能を発表

2022年12月6日

Appleがセキュリティ向上のため、新たに「iMessage Contact Key Verification」「Security Keys for Apple ID」「Advanced Data Protection for iCloud」という3つのセキュリティ機能を発表しました。

Apple advances user security with powerful new data protections - Apple
https://www.apple.com/newsroom/2022/12/apple-advances-user-security-with-powerful-new-data-protections/

◆iMessage Contact Key Verification
iMessageはエンドツーエンド暗号化が施されており、メッセージを読むことができるのは送信者と受信者のみですが、政府関係者やジャーナリスト、人権活動家などサイバー攻撃を受ける可能性があるユーザーがさらに安心して利用できるように、意図した相手とだけやりとりしていることを確認できる機能です。Imessage Contact Key Verification機能をオンにしたユーザー同士のやりとりを盗み読むために他のデバイスが割り込もうとすると、自動的にアラートが表示されます。

◆Security Keys for Apple ID
Apple IDへのサインインに2015年から導入された二要素認証は、iCloudアカウントの95%が利用しています。今回、サインイン時の要素に物理的なセキュリティキーを追加できるようになりました。これにより、二要素認証の強度が高くなり、高度な攻撃者であってもフィッシング詐欺のみで二要素認証を突破することができなくなります。

◆Advanced Data Protection for iCloud
Appleによれば、iCloudはデフォルトで、キーチェーンのパスワードやヘルスデータを含む14種類の機密データをエンドツーエンド暗号化を用いて保護しているとのことですが、保護範囲がiCloudのバックアップやメモ、写真などを含む23種類に拡大されます。

 

続きは 
Appleが二要素認証へのセキュリティキー追加やiCloudの暗号化対象拡大などセキュリティ機能3つの追加を発表 - GIGAZINE

 

中国系ハッカーが新型コロナ給付金27億円超を盗み出したことが判明

2022年12月6日

中国政府と関連のあるハッカーグループ・APT41が、アメリカ中小企業局の融資や失業保険基金など、新型コロナウイルス感染症対策の給付金を少なくとも2000万ドル(約27億円)盗み出したことが明らかになりました。

Hackers linked to Chinese government stole millions in Covid benefits, Secret Service says
https://www.nbcnews.com/tech/security/chinese-hackers-covid-fraud-millions-rcna59636

Chinese hackers stole millions worth of U.S. COVID relief money, Secret Service says | Reuters
https://www.reuters.com/technology/chinese-hackers-stole-millions-worth-us-covid-relief-money-secret-service-says-2022-12-05/

APT41は四川省成都市に本拠を置くハッカーグループ。中国政府から支援を受けているとみられるグループで、こうした国家支援を受けるハッカーグループによるパンデミック関連詐欺の発生をアメリカ政府が認めるのは初の事例です。

中略

アメリカ労働省監察室によると、パンデミック失業基金は8725億ドル(約119兆円)で不適切な支払率は約20%。詐欺を含めるともっと割合は高くなるとみられます。ヘリテージ財団のレイチェル・グレズラー研究員は上院委員会で、犯罪者に奪われた額を3570億ドル(約48兆円)に上ると報告しています。

Heritage Fellow Rachel Greszler Testifies to Congress on Unemployment Insurance | The Heritage Foundation
https://www.heritage.org/impact/heritage-fellow-rachel-greszler-testifies-congress-unemployment-insurance

続きは 

中国系ハッカーが新型コロナ給付金27億円超を盗み出したことが判明 - GIGAZINE

ゼロコロナの緩和政策に向かいつつある中国 しかし、裏では、こんなことをしているらしい
中国政府から支援を受けているとみられるグループ

公認のハッカーグループがやっているとしたら 政府にもカネが渡っているはずである。
そのように非難されても仕方がないわけです。

スポンサーリンク

Huaweiのスマホが中国政府への抗議映像を自動削除している疑い

2022年12月1日

中国で2022年11月下旬から政府の「ゼロコロナ」政策に対する抗議活動が広がっています。この動きの中で、抗議活動の様子を撮影した映像が、Huaweiのスマートフォンではユーザーが操作していないにもかかわらず勝手に消されているという疑いが浮上しています。

Chinese social media users report Huawei phones automatically deleting* videos of the protests that took place in China, without notifying the owners.

*Not sure if it’s from the cloud or device level

Our sci-fi movies have not even imagined this level of dystopia… pic.twitter.com/BKtJcRnus5

— Melissa Chen (@MsMelChen) November 30, 2022

HuaweiやZTEなど中国メーカー5社の通信機器の販売を「国家安全保障へのリスク」を理由にアメリカ連邦通信委員会が禁止、イギリス政府も制限へ - GIGAZINE

続きは 

Huaweiのスマホが中国政府への抗議映像を自動削除している疑い - GIGAZINE

今さら・・・ というより これが当たり前の政府ですから 何も驚かないけど
AIで自動判定しているところが凄い!

撮影場所とかでチェックしているんだろうか?

まさか 人力ではないよね

Twitterユーザー540万人の個人情報が盗み取られてハッカーフォーラムでさらされる

2022年11月29日

ハッカーが利用するフォーラムで、Twitterから流出した540万人分の個人情報が繰り返し取引されていることが分かりました。IT系ニュースサイトのBleepingComputerの取材により、このデータはバグ報奨金プログラムにより報告され2022年1月に修正された脆弱(ぜいじゃく)性を悪用して盗み出されたものであることが確認されました。

5.4 million Twitter users' stolen data leaked online — more shared privately
https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/

Twitterのユーザーデータが大量にさらされている問題が最初に発覚したのは、ハッキングフォーラムで「540万人以上のTwitterユーザーの個人情報を3万ドル(約410万円)で売る」と持ちかける2022年7月の書き込みです。「devil」と名乗る脅威アクターが共有したデータの大半はTwitter ID・名前・ログイン名・所在地・認証済みステータスなどの公開情報で構成されていましたが、電話番号やメールアドレスなどのプライベートな情報も含まれていました。

BleepingComputerによると、このデータはバグ報奨金プラットフォームのHackerOneで報告された脆弱性を利用して2021年12月に収集されたものだとのこと。この脆弱性を悪用すると、攻撃者はTwitterアカウントに関する公開情報をスクレイピングすることで、公開情報とプライベートなデータの両方を含むユーザレコードを作成することができるようになっていました。

HackerOneでの情報公開がリークされたのかどうかは不明ですが、BleepingComputerは複数の攻撃者がこの不具合を利用してTwitterから個人情報を抜き取っているとの情報を得ています。

続きは 

Twitterユーザー540万人の個人情報が盗み取られてハッカーフォーラムでさらされる、「今後はTwitterを名乗るメールに気をつけて」との注意喚起 - GIGAZINE

「今後はTwitterを名乗るメールに気をつけて」との注意喚起も出ています。

Samsung端末やPixelシリーズなど多数のスマホに使用されている「Mali GPU」に複数の脆弱性がありパッチが未適用になっているとの指摘

2022年11月25日

GoogleやSamsungなどのスマートフォンで採用されているARM製GPU「Mali」に、カーネルメモリの破損につながる可能性があるものなど複数の脆弱(ぜいじゃく)性が指摘されています。脆弱性を発見したのはGoogleのセキュリティアナリストチーム・Project Zeroで、2022年6月と7月にARMに対して報告を行い、ARMは修正対応を行いましたが、スマートフォンベンダーがセキュリティパッチを適用していないとのことです。

Project Zero: Mind the Gap
https://googleprojectzero.blogspot.com/2022/11/mind-the-gap.html

Mali security flaws affect millions of Samsung phones with Exynos - SamMobile
https://www.sammobile.com/news/mali-security-flaws-affect-millions-of-samsung-phones-exynos/

Google says Google and other Android manufacturers haven't patched security flaws | Engadget
https://www.engadget.com/google-arm-android-phones-security-flaw-mali-gpu-samsung-oppo-xiaomi-183029261.html

脆弱性を発見したのはProject Zeroの研究者、ジャン・ホーン氏。きっかけは同僚のマディ・ストーン氏が2022年6月に行われたセキュリティカンファレンス・FIRST Conference 2022で講演を行うにあたり、内部プレビューを行ったことです。

講演内容から、低レベルのメモリ管理コードに依存する脆弱性に関する記述が気になったホーン氏は、Maliのドライバーの監査を開始。3週間でカーネルメモリの破損につながる脆弱性物理メモリアドレスがユーザー空間に開示される脆弱性など5つの脆弱性を見つけました。

Project Zeroはこれら5つの脆弱性を2022年6月から7月にかけてARMに報告。ARMは7月から8月にかけてすみやかに対応を行い、「CVE-2022-36449」として情報を開示し、対応するパッチを公開しました。

Mali GPU Driver Vulnerabilities
https://developer.arm.com/Arm Security Center/Mali GPU Driver Vulnerabilities

しかし、テストを行ったところ、該当するデバイスは引き続き問題に対して脆弱だったとのこと。これはGoogleやSamsung、Xiaomiなどのベンダーがパッチを提供していないためで、Project Zeroでは「企業は警戒を怠らず、上流の情報源を細かく追跡し、できるだけ早く完全なパッチをユーザーに提供するために最善を尽くすべきです」と述べています。

Samsung端末やPixelシリーズなど多数のスマホに使用されている「Mali GPU」に複数の脆弱性がありパッチが未適用になっているとの指摘 - GIGAZINE
https://gigazine.net/news/20221125-mali-gpu-security-flaws/

Project Zeroはこれら5つの脆弱性を2022年6月から7月にかけてARMに報告。ARMは7月から8月にかけてすみやかに対応を行い

ということでアップデートがあったら積極的に行おう

と言ってもPixel死リースとGalaxy以外では、アップデートされるのだろうか?

匿名をうたうiPhoneの使用状況データからも個人を特定可能だということが発覚

2022年11月22日

スマートフォンの利用時には常に使用状況が収集され、収集されたデータはデバイス解析に役立っています。Appleはプライバシーポリシーの中で「収集された情報はどれも個人を特定するものではありません」と記載していますが、セキュリティの調査を行うソフトウェア企業のMyskが行った最新の調査によると、iPhoneの分析データにはユーザー名や電話番号と結び付いた「個人を特定できる識別ID」が含まれていることが明らかになりました。

 

Apple Sends DSID With iPhone Analytics Data, Tests Show
https://gizmodo.com/apple-iphone-privacy-dsid-analytics-personal-data-test-1849807619

iOS privacy concerns deepen; analytics data is tied to Apple IDs
https://9to5mac.com/2022/11/21/ios-privacy-concerns-deepen/

Appleはユーザーのプライバシー保護に注力していますが、Appleが提供するアプリストアであるApp Storeでは、ユーザーが画面のどこをタップしたりスワイプしたりしているかという操作に関する情報を収集していることを、iOSアプリ開発者とセキュリティ研究者の2人からなるソフトウェア開発企業のMyskが指摘しています。この使用状況はデータの共有設定がオフになっていても送信されており、さらにMyskは「仮にユーザーが分析データをAppleと共有することに同意していたとしても、共有される情報はあまりにも多すぎます」とコメントしています


続きは以下のリンク先でご覧ください。

匿名をうたうiPhoneの使用状況データからも個人を特定可能だということが発覚 - GIGAZINE
https://gigazine.net/news/20221122-iphone-privacy-personal/

個人情報などあってないようなもの
ネットに繋がった瞬間、スマホを所有した瞬間から ありません
個人情報を守ると言っている企業も 自分の所のは集めます。

ばぜなら カネが儲かるから

以上

 

アメリカ製を装ったロシアのソフトウェアが8000個以上のアプリに組み込まれて米軍にも使われていたことが明らかに

2022年11月15日

App StoreやGoogle Playで配信されている何千ものスマートフォンアプリに含まれているコードが、アメリカの企業を装ったロシアのテクノロジー企業「Pushwoosh」により開発されたものであることが分かりました。当該アプリの一部はアメリカ疾病予防管理センターやアメリカ軍兵士が使用していました。

Exclusive: Russian software disguised as American finds its way into U.S. Army, CDC apps | Reuters
https://www.reuters.com/technology/exclusive-russian-software-disguised-american-finds-its-way-into-us-army-cdc-2022-11-14/

Pushwooshはプッシュ通知のSDKを開発している企業です。アプリ開発者は、このSDKを使ってユーザーに通知を送信したり、ユーザーを追跡したり、プロファイリングしたりできます。PushwooshのSDKが組み込まれたアプリは約8000個におよび、これまでに使われたデバイスは23億台に上るとのこと。

Pushwooshはアメリカの企業としてアメリカの規制当局に登録されていましたが、実際はシベリアにある都市のノボシビルスクに本社を置いていることがロイターの調べにより明らかになりました。

対応機種と続きの情報は以下のリンクで満つ頃ができます。

アメリカ製を装ったロシアのソフトウェアが8000個以上のアプリに組み込まれて米軍にも使われていたことが明らかに - GIGAZINE
https://gigazine.net/news/20221115-pushwoosh-disguised-as-american/

Appleの審査もスルー、GoogleのAI審査もスルー
今後 アプリの審査がより厳しくなって湯ことは間違いない

Lenovo製ノートPCのUEFIに脆弱性が発見される、セキュリティ企業がアップデートを強く推奨

2022年11月11日

Lenovo製ノートPCに搭載されたUEFIに、3件の脆弱(ぜいじゃく)性が発見されました。Lenovoは脆弱性の影響を受ける製品に対してセキュリティアップデートを配信しており、アップデートの適用を呼びかけています。

Lenovo Notebook BIOS Vulnerabilities - Lenovo Support US
https://support.lenovo.com/us/en/product_security/LEN-94952

Lenovo製ノートPCのUEFIに存在する脆弱性は、セキュリティ企業のESETによって発見されました。ESETによると、脆弱性が悪用された場合「UEFIセキュアブートの無効化」「セキュアブートデータベースを工場出荷時の状態に復元」といった攻撃が実行可能になってしまうとのこと。3件の脆弱性には「CVE-2022-3430」「CVE-2022-3431」「CVE-2022-3432」というCVE番号が付与されています。各脆弱性の概要は以下の通り。

CVE-2022-3430
Lenovoの一般ユーザー向けノートPCのWMIセットアップドライバーに存在する脆弱性。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。

CVE-2022-3431
Lenovoの一般ユーザー向けノートPCのドライバに潜在的な脆弱性が存在しており、製造時に無効化されなかった。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。

CVE-2022-3432
ideapad Y700-14ISK」のドライバに潜在的な脆弱性が存在しており、製造時に無効化されなかった。攻撃者はNVRAM変数を改変してセキュアブートの設定を変更できる可能性がある。

対応機種と続きの情報は以下のリンクで満つ頃ができます。

Lenovo製ノートPCのUEFIに脆弱性が発見される、セキュリティ企業がアップデートを強く推奨 - GIGAZINE
https://gigazine.net/news/20221111-lenovo-notebook-vulnerability/

UEFIとは、
Unified Extensible Firmware Interface:(ユニファイド・エクステンシブル・ファームウェア・インタフェース)
と呼ばれ
BIOSを発展させたもので、ハードウェア(ファームウェア)とOSの橋渡しを行うものです。

11月9日 毎月恒例「Windows Update」の日

毎月恒例 Windows Update が降りてきました。

2022 年 11 月のセキュリティ更新プログラム (月例) – Microsoft Security Response Center
https://msrc-blog.microsoft.com/2022/11/08/202211-security-update/

◆Windows 11 および v22H2
最も大きな影響:
リモートでコードが実行される

◆Windows Server 2022 (Server Core installationを含む)
最大深刻度:
緊急

最も大きな影響:
リモートでコードが実行される

◆Windows Server 2019 , 2016 (Server Core installation を含む)
最大深刻度:
緊急

最も大きな影響:
リモートでコードが実行される

◆Windows 8.1, Windows Server 2012 R2, Windows Server 2012 (Server Core installation を含む)
最大深刻度:
緊急

最も大きな影響:
リモートでコードが実行される

◆Microsoft Office
最大深刻度:
重要

最も大きな影響:
リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates を参考にしてください。

◆Microsoft SharePoint
最大深刻度:
重要

最も大きな影響:
リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド およびhttps://learn.microsoft.com/officeupdates/sharepoint-updates を参考にしてください。

◆Microsoft Exchange Server
最大深刻度:
緊急

最も大きな影響:
特権の昇格

◆Microsoft .NET
最大深刻度:
重要

最も大きな影響:
情報漏えい

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/dotnet を参考にしてください。

◆Microsoft Visual Studio
最大深刻度:
重要

最も大きな影響:
リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド および https://learn.microsoft.com/visualstudioを参考にしてください。

◆Microsoft Azure-related software

最大深刻度:
緊急

最も大きな影響:
リモートでコードが実行される

関連するサポート技術情報またはサポートのWebページ:
セキュリティ更新プログラムの詳細については、セキュリティ更新プログラム ガイド  および https://learn.microsoft.com/azure を参考にしてください。

なお、Windows Updateの公開はアメリカ時間の毎月第2火曜日で、次回のアップデートは日本時間2022年12月14日(水)提供予定となっています。

詳しくは、以下のリンクで確認してください。

今日は毎月恒例「Windows Update」の日 - GIGAZINE
https://gigazine.net/news/20221109-windows-update/

多くのOS、ソフトウェアで「リモートでコードが実行される」という緊急状況の対策が実施されています。

すぐにアップデートすることをマイクロソフト社は伝えています。

スポンサーリンク

Apache Tomcatに「重要」の脆弱性 急ぎアップデート

2022年11月05日 07時00分 公開

Apache Tomcatにリクエストスマグリング攻撃を受ける可能性のある脆弱性が見つかった。該当ソフトウェアを使用している場合、問題修正済みのバージョンにアップデートすることが推奨されている。

JPCERTコーディネーションセンター(JPCERT/CC)は2022年11月2日、OSS(オープンソースソフトウェア)のJavaアプリケーションサーバ「Apache Tomcat」の複数のバージョンにCVE-2022-42252として特定されている脆弱(ぜいじゃく)性が存在すると伝えた。

CVE-2022-42252を利用すると、細工された不正なリクエストを送信してサイバー攻撃を実行できる可能性があり注意が必要だ。該当のソフトウェアとバージョンを利用している場合、問題修正済みのバージョンに急ぎアップデートしてほしい。

詳しくは、IPA 独立行政法人情報処理推進機構
サーバ用オープンソースソフトウェアに関する製品情報およびセキュリティ情報

 

Webは、セキュリティの最前線なのでアップデートすることをオススメします。

 

OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見 OpenSSL 3.0.7に更新を急げ

2022年11月01日

OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。

Forthcoming OpenSSL Releases
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html


OpenSSLは暗号通信プロトコル「SSL/TLS」をサポートするオープンソースライブラリで、事実上の業界標準ライブラリとして世界全体で広く利用されています。このため、2014年にデータの奪取が可能な脆弱性「Heartbleed」が発見された際には、世界中のインターネット管理者を悩ませることとなりました。

続きは以下のリンクを参照してください。
     ↓

OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を - GIGAZINE
https://gigazine.net/news/20221101-openssl-critical-vulnerability-fix/

OpenSSL 3.0.7が公開されているので更新をオススメします。

iOSのバグでアプリが「ユーザーとSiriの会話」を傍受可能になっているとの指摘

2022年10月27日

Bluetoothにアクセス可能なアプリでAirPodsあるいはBeats製のヘッドホンを使用している場合、iOSのキーボードに標準搭載されている音声入力機能を使うことで「Siriとユーザーの会話内容」を録音できてしまうと、ブラジルのアプリ開発者であるギジェルメ・ランボ氏が指摘しています。ランボ氏によると、「アプリからのマイクへのアクセス許可要求」は不要で、「アプリがマイクを使用していた痕跡」を残すことなく、会話の傍受が可能になるとのことです。

SiriSpy - iOS bug allowed apps to eavesdrop on your conversations with Siri | Rambo Codes
https://rambo.codes/posts/2022-10-25-sirispy-ios-bug-allowed-apps-to-eavesdrop

AirPodsでは内蔵マイクを利用して音声アシスタントのSiriを使用することができます。AirPodsでSiriを使用したことがある人なら、Siri利用時はマイクを使用しているにもかからわず音質が低下しないことに気付いている人もいるかもしれません。通常、ワイヤレスイヤホンなどを用いてビデオ会議を行うと、出力される音質が大幅に低下します。これはマイク使用時は音声の出力品質が低下するというBluetooth規格の物理的な制限によるものだそうです。しかし、前述の通り、AirPodsでSiriを使用する際、マイクを利用しているにもかかわらず音声品質が低下することはありません。

iOSのバグでアプリが「ユーザーとSiriの会話」を傍受可能になっているとの指摘 - GIGAZINE
https://gigazine.net/news/20221027-ios-bug-apps-eavesdrop-conversations-siri/

この問題は、解決しているらしく 記事に以下のような記載で締めくくられていた。

ランボ氏は今回発見したバグについて、2022年8月26日にAppleのセキュリティチームに報告しており、2022年10月24日に配信されたiOS 16.1およびその他の最新バージョンOSで、バグに対する修正パッチが適用されています。なお、ランボ氏はバグ報告による報酬として7000ドル(約100万円)の報奨金を受け取ることができるそうです。

アップデートは、必ず行います王

ワールドカップ公式スマホアプリは、「カタール当局に家の鍵を渡すようなものだ」

2022年10月17日

022年11月20日から12月18日までの約1カ月にわたり、カタールで開催予定の2022 FIFAワールドカップでは、現地へ向かうすべての人が「Ehteraz」と「Hayya」という2つのアプリをスマートフォンにインストールすることが義務付けられています。これらのアプリをインストールすることは、「カタール当局に家の鍵を渡すようなものだ」とセキュリティ専門家が警告しています。

Everyone going to the World Cup must have this app - experts are now sounding the alarm – NRK Sport – Sportsnyheter, resultater og sendeplan
https://www.nrk.no/sport/everyone-going-to-the-world-cup-must-have-this-app---experts-are-now-sounding-the-alarm-1.16139267

Ehteraz」は新型コロナウイルス感染症(COVID-19)の接触確認アプリで、「Hayya」は試合のチケットを入手した人が無料でカタールの地下鉄を利用できるようになるというワールドカップ公式アプリです。このEhterazとHayyaの2つのアプリを、ノルウェーの公共テレビ・ラジオ局であるNRKのセキュリティ責任者であるオイヴィン・ヴァサーセン氏と、ITセキュリティ企業のBouvetとMnemonicが分析・調査しています。

詳しくは、以下のリンク先で確認できます。

ワールドカップに参加するすべての人がインストールを義務づけられている公式スマホアプリは「カタール当局に家の鍵を渡すようなものだ」とセキュリティ専門家が警告 - GIGAZINE
https://gigazine.net/news/20221017-world-cup-app-experts-alarm/

心配だったら、個人情報のあまり入っていない安いスマホを買って持って行けばいいんじゃないでしょうか?

アメリカでHuaweiおよびZTEの通信機器を新規販売することが禁止される可能性

2022年10月14日

アメリカでは、国内の通信インフラの安全を脅かすとの懸念から、中国通信企業のHuaweiとZTEの製品を全面的に調査し、通信インフラから締めだそうと試みています。海外メディアのAxiosが伝えたところによると、アメリカの通信事業の規制監督を行う独立機関「連邦通信委員会(FCC)」が国内で初めて、国家安全保証上の懸念からHuaweiとZTEの新型通信機器の販売を全面的に禁止する計画を立てているとのことです。

FCC poised to ban all U.S. sales of new Huawei and ZTE equipment
https://www.axios.com/2022/10/13/fcc-ban-huawei-zte-equipment

通信設備や通信端末を数多く製作するHuaweiとZTEの製品はアメリカ国内でも広く使われており、民間企業や政府機関でも採用されていました。しかし、FCCは「国家の安全上許容できないリスクがある」などの理由から上記2社の製品を排除しようと試みており、2020年には「国家安全保障上の脅威」に指定して本格的な規制を始め、2021年には「安全な機器に関する法律(Secure Equipment Act)」を制定して国内にある既存製品をFCCが認める企業の製品にすべて入れ替えようとしています。

詳しくは、以下のリンク先で確認できます。

アメリカでHuaweiおよびZTEの通信機器を新規販売することが禁止される可能性 - GIGAZINE
https://gigazine.net/news/20221014-fcc-ban-all-new-huawei-zte-equipment/

米国で規制がかかるということは、日本にも圧力がかかって規制することになるだろう。

エロ画像と見せかけたマルウェアでデータを全損させる「偽アダルトサイト」が報告される

2022年10月11日

アダルトコンテンツに偽装したマルウェアを配布し、ストレージ内のデータファイルを暗号化したと偽って身代金を要求するという悪質サイトの事例が報告されました。

Cyble — % Fake Ransomware Infection Under widespread
https://blog.cyble.com/2022/10/06/fake-ransomware-infection-under-widespread/

Fake adult sites push data wipers disguised as ransomware
https://www.bleepingcomputer.com/news/security/fake-adult-sites-push-data-wipers-disguised-as-ransomware/

セキュリティ企業のCybleは2022年10月6日に、「nude-girlss.miwire[.]org・sexyphotos.kozow[.]com・sexy-photo[.]online」など、アダルトサイトを装ったドメインで偽のランサムウェアが配布されていたことが分かったと発表しました。

詳しくは、以下のリンク先で確認できます。

エロ画像と見せかけたマルウェアでデータを全損させる「偽アダルトサイト」が報告される - GIGAZINE
https://gigazine.net/news/20221011-fake-adult-sites-ransomware/

みなさま くれぐれも やばそうなサイトにご注意を・・・

ランサムウェアに感染した学校が身代金の支払いを拒否した結果、機密レポートや人事記録などがネット上に大量流出

2022年10月04日

ランサムウェア・ギャングとして知られるVice Societyという攻撃者が、全米第2位の学区であるロサンゼルス統一学区(LAUSD)から流出させたデータを公開しました。データの公開が行われる2日前に、LAUSDの代表者は攻撃者から身代金の要求を受けたことを明らかにしつつ、身代金の要求に屈しない姿勢を声明で示していました。


Ransomware gang leaks data stolen from LAUSD school system
https://www.bleepingcomputer.com/news/security/ransomware-gang-leaks-data-stolen-from-lausd-school-system/

Big data trove dumped after LA Unified School District says no to ransomware crooks | Ars Technica
https://arstechnica.com/information-technology/2022/10/ransomware-crooks-dump-big-data-trove-stolen-from-la-school-district/

LAUSDは2022年9月初週にもランサムウェア攻撃を受けており、LAUSDのサイトがつながらなくなったり、職員や学生用のメールシステムにもアクセスできなくなったりしたほか、授業に関するシステムもダウンしました。一方で、個人情報データが盗まれた形跡はなく、身代金の要求も行われていないと報じられました。

ランサムウェアに感染した学校が身代金の支払いを拒否した結果、機密レポートや人事記録などがネット上に大量流出 - GIGAZINE
https://gigazine.net/news/20221004-ransomware-school/

身代金を払わないので 「機密レポートや人事記録などがネット上に大量流出させる」この連鎖を止めることはできなさそうである。
狙われたら 終わり ということである。

スポンサーリンク

徴兵逃れをしたいロシア人男性がサイバー犯罪ビジネスのカモになりまくっている

2022年10月04日

ウクライナに侵攻するも激しい抵抗により戦争が長引いているロシアは2022年9月に、予備役の市民を対象とした部分的な動員を発表しました。2022年8月の時点でロシア側の死傷者数が7万~8万人に達しているとされる過酷な戦場に行くのを免れたいロシアの人々が、偽の懲役免除書類を発行するとうたうサイバー犯罪サービスの被害に遭ったり、技術を駆使して徴兵をすり抜けようと当局との間でいたちごっこを繰り広げたりしていると報じられています。

Сбербанк предупредил о мошенничестве с продажей якобы "белых" военников - РИА Новости, 26.09.2022
https://ria.ru/20220926/voennik-1819522959.html

И сим отечества – Газета Коммерсантъ № 180 (7381) от 29.09.2022
https://www.kommersant.ru/doc/5583320

Russians dodging mobilization behind flourishing scam market
https://www.bleepingcomputer.com/news/security/russians-dodging-mobilization-behind-flourishing-scam-market/

ウクライナ戦争が始まって以来、ロシアからはIT技術者など知識層の人々が我先にと国外へと脱出していましたが、動員が始まったことで周辺国への逃亡も本格化しており、その様子は「ロシアはおそらく、他国から侵略されたからではなく、他国を侵略したために国民が逃げ出すことになった最初の国でしょう」と評されています。

 

人の弱みのあるとこに詐欺あり というわけです。

「HIVや肝炎の感染証明書」
「徴兵が延期される職業探し」
「ロシアからの出国支援」

いろいろな種類のサイトが公開されているらしい。

ロシアのデジタル権利保護団体・Roskomsvobodaはロシアからの逃亡者に対し、国境では使い捨ての予備端末を提示し、出国できたらすぐに新しい端末を購入することを推奨しました。

徴兵逃れをしたいロシア人男性がサイバー犯罪ビジネスのカモになりまくっている - GIGAZINE
https://gigazine.net/news/20221004-russians-conscript-officers-cybercrime-services/

 

FacebookやInstagram上で中国とロシアがアメリカやウクライナに悪影響を与えるための作戦を繰り広げてきた

FacebookとInstagramの所有者であるMetaが、2022年にアメリカで開催される中間選挙に先立ち、アメリカの国内政治に悪影響をおよぼすようなプロパガンダや誤報を拡散しようとする中国やロシアのユーザーが作成したアカウントを検出・削除したと発表しました。

CIB-Report_-China-Russia_Sept-2022-1.pdf
(PDFファイル)https://about.fb.com/wp-content/uploads/2022/09/CIB-Report_-China-Russia_Sept-2022-1.pdf

Removing Coordinated Inauthentic Behavior From China and Russia | Meta
https://about.fb.com/news/2022/09/removing-coordinated-inauthentic-behavior-from-china-and-russia/

Doppelganger - Media clones serving Russian propaganda - EU DisinfoLab
https://www.disinfo.eu/doppelganger

Russia-based Facebook operation targeted Europe with anti-Ukraine messaging | by @DFRLab | DFRLab | Sep, 2022 | Medium
https://medium.com/dfrlab/russia-based-facebook-operation-targeted-europe-with-anti-ukraine-messaging-389e32324d4b

War in Ukraine: Meta removes network of Russian accounts - Protocol
https://www.protocol.com/bulletins/meta-russia-china-takedowns

Meta disrupted China-based propaganda machine before it reached many Americans | Ars Technica
https://arstechnica.com/tech-policy/2022/09/meta-disrupted-china-based-propaganda-machine-before-it-reached-many-americans/

Meta Shuts Down Influence Operations Started in China, Russia - WSJ
https://www.wsj.com/articles/meta-shuts-down-influence-operations-started-in-china-russia-11664303078?mod=djemalertNEWS

Meta disables Russian propaganda network targeting Europe | AP News
https://apnews.com/article/russia-ukraine-technology-social-media-misinformation-05d147b128c48bfa23705409448b7bbc

Metaのグローバル脅威インテリジェンス部門のリーダーを務めるBen Nimmo氏と脅威破壊担当ディレクターを務めるDavid Agranovich氏が、2022年のアメリカ中間選挙に先立ちアメリカ国内の政治を混乱させるべく影響力作戦を実施する中国由来の「小さなネットワーク」を検出し、関連アカウントを削除したと発表しました。

詳しくは、以下の絵インクを確認してください。
   ↓
FacebookやInstagram上で中国とロシアがアメリカやウクライナに悪影響を与えるための作戦を繰り広げてきたとしてMetaが関連アカウントを削除 - GIGAZINE
https://gigazine.net/news/20220928-meta-removing-inauthentic-behavior-china-russia/

Facebookは、いろいろと利用されるな

戦争は、すでにネット上で行われていて、マーケティングの手法も使われている。

Facebookが、過去には、こんなことをやらかして 大スキャンダルになっていた。

グレート・ハック:SNS史上最悪のスキャンダル(原題:#TheGreatHack)

ニュースウオッチ9 - NHKで Yahoo!とLINEが経営統合するというニュースが流れている。 ITなど取り上げたこともないマスコミのいくつかは、 「これでGAFA(Google,Apple,Am ...

続きを見る

Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性

2022年09月20日

プログラミング言語のPythonで、2007年に存在が公開されたものの修正されなかったバグが再発見されました。任意コード実行可能な脆弱性にもつながるこのバグの影響は、コーディング自動化ツールを介してさまざまなプロジェクトに広まっており、修正するべきオープンソースリポジトリが35万件以上にも及ぶと指摘されています。

Tarfile: Exploiting the World With a 15-Year-Old Vulnerability
https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html

Tarfile: Exploiting the World With a 15-Year-Old Vulnerability
https://www.trellix.com/en-us/about/newsroom/stories/threat-labs/tarfile-exploiting-the-world.html

詳しくは、以下の絵インクを確認してください。
   ↓
Pythonの15年間見過ごされてきた脆弱性が30万件以上のオープンソースリポジトリに影響を与える可能性 - GIGAZINE
https://gigazine.net/news/20220922-python-old-bug-unpatched-15-years/

多くのオープンソースで使われている者なのでリンク先を確認して対策が必要な場合は、実施しましょう

Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける

2022年09月16日

フードデリバリーのUber Eatsなどを手がけるテクノロジー企業「Uber」のコンピュータネットワークが何者かによるハッキングを受けたことが、現地時間の2022年9月15日に明らかにされました。同社は被害を調査するためにいくつかの社内ネットワークをオフラインにしました。

Uber Investigating Breach of Its Computer Systems - The New York Times
https://www.nytimes.com/2022/09/15/technology/uber-hacking-breach.html

匿名を条件に話した従業員によると、Uberのネットワークが何者かによる侵入を受けたとのこと。従業員は社内で使用されていたメッセージングサービス「Slack」を使用しないよう指示され、他の社内システムにもアクセスできない状態だそうです。

さらに、Slackのシステムがオフラインになる少し前に、何者かから「私はハッカーであり、Uberがデータ侵害に遭ったことを発表する」というメッセージが送られてきたとのこと。続いてその人物はハッキングを行ったとする内部データベースをリストアップしていったと従業員は述べました。ハッカーは他の社内システムにもアクセスできたようで、従業員向けの社内情報ページにわいせつな写真を投稿していたそうです。

Uberがハッキング被害に、ハッカーが社内Slackに侵入して攻撃宣言&わいせつ画像爆撃を仕掛ける - GIGAZINE
https://gigazine.net/news/20220916-uber-investigating-breach/

社内Slackに侵入 わいせつ画像爆撃ってかなり ヤバいな

Twitterのセキュリティチームには中国の工作員がいる

2022年9月14日

元Twitterセキュリティ責任者で内部告発を行ったピーター・ザトコ氏が、2022年9月13日、アメリカ上院司法委員会で開催された公聴会に出席しました。公聴会の中でザトコ氏は、Twitterのセキュリティチームの中に少なくとも1人は中国の国家公安安全部の工作員が含まれていたことなどを証言しています。

Meeting | Hearings | United States Senate Committee on the Judiciary
https://www.judiciary.senate.gov/meetings/data-security-at-risk-testimony-from-a-twitter-whistleblower

Twitter whistleblower: Security holes cause ‘real harm to real people’ - The Washington Post
https://www.washingtonpost.com/technology/2022/09/13/twitter-whistleblower-peiter-zatko-testifies/

Twitter whistleblower Peiter "Mudge" Zatko testifies to Congress : NPR
https://www.npr.org/2022/09/13/1122671582/twitter-whistleblower-mudge-senate-hearing

公聴会の様子

質問に答えるザトコ氏

◆工作員について
ザトコ氏の証言によると、Twitterは海外の諜報機関による悪用にとても脆弱(ぜいじゃく)で、悪用を根絶することは難しく、会社として根絶する気もなかったとのこと。また、セキュリティチームの中に、少なくとも1人は中国の国家公安安全部の工作員が紛れ込んでいたほか、インドからも工作員が送り込まれていたそうです。

中国の工作員がいるという情報はザトコ氏が解雇される1週間前に、FBIからTwitterのセキュリティチームにもたされたものだったとのこと。この情報がもたらされる以前に、ザトコ氏は会社の幹部に「社内に工作員がいると確信しています」と伝えことがあるものの、「1人はいるんだから、それ以上いてもしょうがないだろう」という反応だったと振り返っています。

続きは ↓

「Twitterのセキュリティチームには中国の工作員がいる」「経営陣は安全より利益を重視」などを内部告発者が議会で証言 - GIGAZINE
https://gigazine.net/news/20220914-peter-zatko-hearing/

かなりヤバい情報が出てきました。

 

ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説

2022年9月11日

サイバーセキュリティ会社のAT&T Alien Labsの研究者が、従来のサーバーと小型のIoT(モノのインターネット)デバイスの両方に感染する、ステルス性と巧妙さに優れた新種のLinuxマルウェアを明らかにしました。AT&T Alien Labsは、研究者が「シキテガ」と名付けたこのマルウェアが検出されにくい仕組みなど、その脅威について解説しています。

Shikitega - New stealthy malware targeting Linux | AT&T Alien Labs
https://cybersecurity.att.com/blogs/labs-research/shikitega-new-stealthy-malware-targeting-linux

New Linux malware combines unusual stealth with a full suite of capabilities | Ars Technica
https://arstechnica.com/information-technology/2022/09/new-linux-malware-combines-unusual-stealth-with-a-full-suite-of-capabilities/

New Linux malware evades detection using multi-stage deployment
https://www.bleepingcomputer.com/news/security/new-linux-malware-evades-detection-using-multi-stage-deployment/

研究者によると、シキテガが検出されにくい原因は主に2点あります。まず、感染時に毎回異なる暗号鍵で自身を暗号化するポリモーフィック型マルウェアである点。これにより、既知のウイルスを感染が疑われるファイルなどと照合するパターンマッチングを用いた検出ができなくなります。また、正規のクラウドサービスを悪用して踏み台となるC2サーバーをホストするため、発信元を特定することが困難になっているそうです。

続きは ↓

ステルス性の高い新たなLinuxマルウェア「シキテガ」についてサイバーセキュリティ会社が解説 - GIGAZINE
https://gigazine.net/news/20220912-malware-shikitega/

Linuxだから安全ということはない

ということっを覚えていた方がよい

アップデートしていないOSは、どれも危険にさらされているということだ。

QNAPがNASのデータを破壊するランサムウェア「DeadBolt」について警告、直ちに更新してとメーカー

2022年9月11日

ネットワークアタッチトストレージ(NAS)を手がけるQNAPが2022年9月3日に、同社のPhoto Station内のデータを暗号化してしまうランサムウェア「DeadBolt」が検出されたと発表していたことが分かりました。QNAPはユーザーに対し、直ちにファームウェアを更新するよう要請しています。

Take immediate action to update Photo Station to the latest available version | QNAP (US)
https://www.qnap.com/en-us/security-news/2022/take-immediate-action-to-update-photo-station-to-the-latest-available-version

New wave of data-destroying ransomware attacks hits QNAP NAS devices | Ars Technica
https://arstechnica.com/information-technology/2022/09/new-wave-of-data-destroying-ransomware-attacks-hits-qnap-nas-devices/

QNAPは2022年1月に、ランサムウェアのDeadBoltが同社のNASを暗号化する問題を発表しましたが、今回のDeadBoltはQNAPの写真管理アプリケーションであるPhoto Stationを標的にしているとのこと。

QNAPの製品セキュリティインシデント対応チーム(QNAP PSIRT)は発見から12時間でパッチを適用したPhoto Stationをリリースしました。そのため、同社はPhoto Stationを最新バージョンに更新することを呼びかけているほか、同様の写真管理アプリであるQuMagieへの乗り換えも推奨しています。

続きは ↓

QNAPがNASのデータを破壊するランサムウェア「DeadBolt」について警告、直ちに更新してとメーカー - GIGAZINE
https://gigazine.net/news/20220908-data-destroying-ransomware-qnap-nas/

該当する人、会社の担当者は、すぐに実施しましょう。

GoogleがChromeを緊急アップデートして重大度の高いゼロデイ脆弱性に対処

2022年9月7日

2022年9月2日、GoogleがWindows、Mac、Linuxユーザー向けに「Chrome 105.0.5195.102」をリリースしました。今回のアップデートはゼロデイ脆弱(ぜいじゃく)性「 CVE-2022-3075」に対処するものです。

Chrome Releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2022/09/stable-channel-update-for-desktop.html

Google Chrome emergency update fixes new zero-day used in attacks
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-new-zero-day-used-in-attacks/

CVE-2022-3075は、プロセス間通信に用いられるライブラリ「Mojo」にデータ検証の不備があることが原因で生じた脆弱性です。2022年8月30日に匿名の研究者によりこの脆弱性が報告されていましたが、Googleによるとすでに悪用された形跡が確認されているとのことです。

続きは ↓

GoogleがChromeを緊急アップデートして重大度の高いゼロデイ脆弱性に対処、2022年に入り6つ目のゼロデイパッチ - GIGAZINE
https://gigazine.net/news/20220907-chrome-105-0-5195-102/

Chromeユーザーは、すぐにアップデートしよう

ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定

2022年9月6日

ハッカーがTikTokから大規模なデータを盗み出したとして、そのスクリーンショットをネット上に公開しました。TikTokはデータ侵害が発生した痕跡はないとして情報漏えいを否定している一方、セキュリティ研究者は少なくともデータの一部は本物であるとしています。

TikTok denies security breach after hackers leak user data, source code
https://www.bleepingcomputer.com/news/security/tiktok-denies-security-breach-after-hackers-leak-user-data-source-code/

IT系ニュースサイトのBleepingComputerによると、2022年9月3日に「AgainstTheWest」と呼ばれるハッカーがオンラインフォーラム上で、TikTokとWeChatに侵入したと主張したとのこと。

AgainstTheWestは、Alibabaクラウド経由でTikTokとWeChatからデータを盗んだとして、そのデータのスクリーンショットを公開しました。データは790GBにおよび、その中にはユーザーデータ、プラットフォームの統計、ソフトウェアコード、Cookie、認証トークン、サーバー情報などを含む20億5000万件のレコードが含まれているとされています。

続きは ↓ で・・・

ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定 - GIGAZINE
https://gigazine.net/news/20220906-tiktok-denies-security-breach/

また、TikTokですか・・・

Windowsのセキュリティアプリ「Microsoft Defender」がChromeやDiscordなどをマルウェアと誤検知するバグが発生

2022年9月5日

Microsoftが提供するWindows向けの標準搭載セキュリティソフトウェアである「Microsoft Defender」が、Google ChromeやMicrosoft Edge、Discordといったアプリケーションをマルウェアとして誤検知してしまうバグが発生しています。

Windows Defender is reporting a false-positive threat 'Behavior:Win32/Hive.ZY'; it's nothing to be worried about | Windows Central
https://www.windowscentral.com/software-apps/windows-11/windows-defender-is-reporting-a-false-positive-threat-behaviorwin32hivezy-its-nothing-to-be-worried-about

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps
https://www.bleepingcomputer.com/news/microsoft/microsoft-defender-falsely-detects-win32-hivezy-in-google-chrome-electron-apps/

2022年9月4日(日)、以前はWindows Defenderという名称で配布されていたMicrosoft Defenderの、最新バージョンとなるバージョン1.373.1508.0がリリースされました。このバージョンにアップデートすると、Windows上でGoogle ChromeやMicrosoft Edge、Discordといったアプリケーションを開くたび、Microsoft Defenderに「Behavior:Win32/Hive.ZY」という脅威検出ポップアップが通知されるというバグが発生しています。

この記事の続きはこちら

Windowsのセキュリティアプリ「Microsoft Defender」がChromeやDiscordなどをマルウェアと誤検知するバグが発生 - GIGAZINE
https://gigazine.net/news/20220905-microsoft-defender-falsely-detects-win32-hive-zy/

なお、Microsoftはすでに問題を修正したバージョン1.373.1537.0をリリースしています。

セキュリティソフトウェア あるある なんですが、自社のブラウザ Microsoft Edge をマルウェアに誤認するとは、ギャグですか・・・

ロシア最大のタクシー会社がハッキングされ全車両が1カ所に集合し大渋滞

2022年9月2日

2022年9月1日にロシア最大手のタクシー会社であるYandex Taxiがハッキング被害を受け、偽の予約により全ての運転手が1つの場所に誘導された結果、モスクワの通りで渋滞が発生したと報じられています。

Yandex Taxi zhakowana. Taksówki utworzyły korek - Geekweek w INTERIA.PL
https://geekweek.interia.pl/transport/news-czegos-takiego-jeszcze-w-moskwie-nie-widzieli-dziesiatki-tak,nId,6258500

Hackers atacam a maior empresa de táxis da Rússia e causam engarrafamento em Moscovo – Observador
https://observador.pt/2022/09/02/hackers-atacam-a-maior-empresa-de-taxis-da-russia-e-causam-engarrafamento-em-moscovo/

Hackers Created Large Traffic Jam In MoscowSouth Front
https://southfront.org/hackers-created-large-traffic-jam-in-moscow/

モスクワで発生したタクシーによる渋滞の模様は、以下から見ることができます。


続きは ↓ で・・・

ロシア最大のタクシー会社がハッキングされ全車両が1カ所に集合し大渋滞してしまう - GIGAZINE
https://gigazine.net/news/20220902-yandex-taxi-hacked/

これって 模倣犯が大量に出そうですね・・・ 困ったものだ

スマホアプリ経由でユーザーの位置情報を追跡する大規模監視ツール アメリカの地方警察が使用

スマホアプリ経由でユーザーの位置情報を追跡する大規模監視ツール「Fog Reveal」をアメリカの地方警察が使用、一体どこまで詳細な追跡が可能なのかがユーザーマニュアルから明らかに - GIGAZINE
https://gigazine.net/news/20220902-cops-use-mass-surveillance-tool-fog-reveal/

スマートフォンを持った瞬間にあなたのプライベートなど ダダ漏れということを認識した方がよいと思います。
いまさら 何を防御しても無駄です。

問題は、その個人情報を誰が握っていて 外部に留意津市内かということですが、それは 神のみぞ知る ということなのだろうか?

TikTokのAndroid向けアプリに「1タップでアカウントが乗っ取られる脆弱があった」 対策済み

2022年9月2日(金)

TikTokのAndroid向けアプリに「1タップでアカウントが乗っ取られる脆弱性」があったという報告 - GIGAZINE
https://gigazine.net/news/20220902-tiktok-android-vulnerability/

現在、対応済みなのでアップデートがあったら必ず行って下さい

Google Chromeはウェブサイトがユーザーの許可なくクリップボードに書き込みを行うことができる状態にある

2022年08月29日

Google Chromeはウェブサイトがユーザーの許可なくクリップボードに書き込みを行うことができる状態にある - GIGAZINE

5Gネットワークは心配するほどハッキングされやすい

2022年08月29日

5Gネットワークは心配するほどハッキングされやすい - GIGAZINE

【緊急】iPhoneに脆弱性、乗っ取りの恐れ AppleがOS更新推奨

2022年08月20日

【シリコンバレー=白石武志】米アップルは19日までにスマートフォン「iPhone」などの基本ソフト(OS)に新たな脆弱性が見つかったと明らかにした。ハッカーらによって欠陥が活発に悪用されている可能性があり、同社は修正済みの最新OSへの更新を呼びかけている。

アップルが公表したセキュリティー報告書によると、欠陥はiPhoneやタブレット端末「iPad」、パソコン「Mac」などのOSで見つかった。悪意をもって細工されたウェブ上のコンテンツを処理すると、任意のコードが実行される可能性がある。専門家は攻撃者によって端末が乗っ取られるおそれがあると指摘している。

ソフトウエアの開発元が脆弱性に気づいて修正する前に、セキュリティー上の欠陥を突く手法は「ゼロデイ攻撃」と呼ばれ、防ぐのが難しいとされる。iPhoneでも未発見の欠陥が国家の支援を受けるハッカーらに悪用され、要人やジャーナリストらへの高度な標的型サイバー攻撃を許してきた。

米セキュリティー会社、ソーシャルプルーフセキュリティーのレイチェル・トバック最高経営責任者(CEO)はツイッター上で「この種の脆弱性はよくあることだ」と指摘したうえで、ジャーナリストや社会活動家であれば早めにOSを更新するよう呼びかけている。

アップルは2022年秋に配布を始める「iOS 16」などの最新OSで、ハッキングの手がかりとなるおそれのある一部の機能を制限できる「ロックダウンモード」を導入する予定だ。スパイウエアなどを使った標的型サイバー攻撃の被害を受けにくくできるという。

日本経済新聞

必ず更新しましょう

「ウイルスバスター クラウド」に複数の脆弱性 ~JVNが注意喚起

2022年08月17日

 

脆弱性ポータルサイト「JVN」は8月17日、トレンドマイクロ社製のセキュリティソフト「ウイルスバスター クラウド」(Windows版)に関する脆弱性レポート(JVNVU#93109244)を公開した。複数の脆弱性が発見されたとして、注意を喚起している。

脆弱性の内容は、以下の通り(括弧内はCVSS 3.0のスコア)。前者はv17.7に、後者はv17.0/v17.7に影響し、情報漏洩や権限昇格につながる可能性がある。

  • CVE-2022-30702:範囲外メモリ読み取り、危険なメソッドの公開(7.3)
  • CVE-2022-30703:危険なメソッドの公開(6.5)

同社によると8月10日現在、本脆弱性を利用した攻撃を確認されていないとのこと。以下のバージョンへのアップデートが推奨されている。

  • v17.7.1472もしくはそれ以降
  • v17.0.1412もしくはそれ以降

窓の杜

セキュリティソフトウェアもバグはあります。

ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘

2022年08月13日

ZoomのインストーラーにはmacOSのroot権限を取得できるバグがあるとセキュリティ研究者が指摘 - GIGAZINE
https://gigazine.net/news/20220813-zoom-installer-hack-root-access-macos/

問題は、この指摘をZoom側がしばらく放置してあったということです。

root権限を乗っ取られると言うことは、なんでもできてしまうということであり、ハッキングし放題ということになります。

新しい展開があったら レポートします。

FacebookやInstagramアプリはリンクをタップしたユーザーを詳細に追跡している

2022年08月12日

「FacebookやInstagramアプリはリンクをタップしたユーザーを詳細に追跡している」ことが元Googleエンジニアの調査により明らかに - GIGAZINE

https://gigazine.net/news/20220812-meta-injecting-code-websites-track/

今さらという感じもありますが、それを阻止して自社に都合のよい広告ばかり流すとか いろいろなことがありまっすが、スマートフォンを持っている限り、個人情報など どこかに流れていると思った方がよいでしょう。

神経質になって個人情報がといっても無駄です。

問題は、個人情報の保管先でああってそこから外にでなければよしと願うだけです。

それより問題なのはSNSで「誰にでも簡単にわかる」ような情報を自らさらけ出すことです。
子供の写真とか 簡単に出すのは、危険ということを考えた方がよいと思います。

3200以上のアプリでTwitterのAPIキーが流出していることが判明、アカウント乗っ取りも可能

2022年08月03日

3200以上のアプリでTwitterのAPIキーが流出していることが判明、アカウント乗っ取りも可能 - GIGAZINE
https://gigazine.net/news/20220803-leaked-twitter-api-build-bot-army/

Twitterで確認してみよう
→ 設定とプライバシー
→ セキュリティとアカウントアクセス
→ アプリとセッション
→ 連携しているアプリ

見知らぬアプリが連携しているかもしれないので確認してみよう。
取り消すには、アプリを選んで「アプリの許可を取り消す」で連携を削除できます。

ここで許可されているものは、Twitterの情報を「読み取りと書き込み」など許可したものです。
必要なものもありますが、??なものは、検索して取り消すかどうか確認してください。

多くのスマホがスパイウェア「Pegasus」でハッキング 個人情報も筒抜けだった

2022年07月19日

詳細は、GIGAZINEで確認してください。
多くのスマホがスパイウェア「Pegasus」でハッキングされ個人情報も何もかもが筒抜けだったことが発覚 - GIGAZINE
https://gigazine.net/news/20220719-pegasus-spyware-used-activists-thailand/

海賊もサイバーの時代、コンテナ船をハッキングしてスエズ運河座礁事故クラスの損害を引き起こす可能性も

2022年7月1日

海賊もサイバーの時代、コンテナ船をハッキングしてスエズ運河座礁事故クラスの損害を引き起こす可能性も - GIGAZINE
https://gigazine.net/news/20220701-cyber-pirate/https://gigazine.net/news/20220630-microsoft-defender-intel-cpu/

小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か

2022年6月30日

小規模オフィスや個人向けルーターを狙うトロイの木馬「ZuoRAT」が報告される、攻撃者の背景に中国政府か - GIGAZINE
https://gigazine.net/news/20220630-zuorat-soho-campaign/

Microsoft DefenderがIntel製CPUのパフォーマンスを低下させていたことが判明

2022年6月30日

詳細は、GIGAZINEで確認してください。
Microsoft DefenderがIntel製CPUのパフォーマンスを低下させていたことが判明 - GIGAZINE
https://gigazine.net/news/20220630-microsoft-defender-intel-cpu/

2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性があったことが明らかに

2022年4月25日

Android通話録音アプリが使用不能に。抜け道に使われていたAPIが5月11日から規制対象に
デベロッパー プログラム ポリシー: 2022 年 4 月 6 日のお知らせ
https://support.google.com/googleplay/android-developer/answer/11899428#accessibility_preview

通販装う「攻撃用USBメモリー」が届く、ランサムウエアの脅威に備えよ

2022年4月25日

通販装う「攻撃用USBメモリー」が届く、ランサムウエアの脅威に備えよ

USBメモリーって 「つい 差してしまう」なんてことありまっすよね

くれぐれも見知らぬUSBメモリーをパソコンに差すのは止めましょう

iPhoneの新たなゼロクリック脆弱性が発見される、NSOのスパイウェア「Pegasus」にも利用されていた

2022年04月19日 11時00分

iPhoneの新たなゼロクリック脆弱性が発見される、NSOのスパイウェア「Pegasus」にも利用されていた - GIGAZINE

これまでも何度は、取り上げてきましたが、

iPhoneは、絶対に安全であるという神話に騙されないで

と考えてほしいと思います。

AndroidとiPhone(iOS)でiPhoneが安全というのは、Appleが、やばそうなソフトウェア(Appleの意思にそぐわない)ものを排除しているからであって、OSが絶対的に安全ということでは、ないのです。

ソフトウェアは、人間が、構築し、検査しているものですから、100%安全なものなどなく、もし安全というのならば、インターネットを断絶し、Bluetooth、GPS、お財布ケータなど電波を使うものをすべて断つしかありません。

また、ブラウザで詐欺サイトに引っかかることに関しては、iPhoneといえども防ぐことは完全にできません。
自ら進んでパスワードを悪人に送るようなものですから、防ぐことなど不可能です。

SNS上で好き好んでバカをさらけ出して身バレしている人も減ることもないでしょう。

それが嫌だったら、スマホは常に危険であるというリスクを覚悟で使うということです。

 

「シン・ウルトラマン」の偽Twitterアカウントに注意 「DM開封しないで」 公式が呼び掛け

2022年04月18日 20時56分 

 5月13日公開予定の映画「シン・ウルトラマン」の公式Twitterアカウントは4月18日、本物をかたる偽アカウントを確認したとして注意喚起した。不審なダイレクトメッセージも送信しているといい「メッセージの開封、添付ファイルの参照、本文中のURLのクリック等を行わないよう注意してほしい」(公式Twitterアカウント)

同アカウントは公式マークの有無で真偽を見分けるよう呼び掛けている。一方で、15日公開の予告編に、原作で偽物のウルトラマンに変身する宇宙人「ザラブ星人」が登場したことから、ファンからは「ザラブ星人の仕業なのでは?」とする声も出ている。

photo
予告編に登場したザラブ星人

宇宙からの侵略者もネット攻撃する時代となったのだろうか????

GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は?

2022年04月18日 11時37分

GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は? - GIGAZINE

先のGitに続いて 今度は、GitHubです。

GitHubと連携して用いられる開発者向けサービス「Heroku」と「Travis CI」からOAuthのアクセストークンが流出したことが明らかとなりました。GitHubはアクセストークンの流出によってNode.jsのパッケージ管理システム「npm」を含む数十のプライベートリポジトリが不正アクセスを受けたと発表しています。

ただし、迅速な対応が取られたようです。

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は?

2022年03月22日 15時00分

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は? - GIGAZINE

普段使うものですから Git for Windowsをバージョン2.35.2をしてください。

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している

2022年03月22日 15時00分

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している - GIGAZINE
https://gigazine.net/news/20220322-androids-google-apps-sending-data/

まぁ そりゃそうだろう
アプリ単体ではなくOSが、Googleのものですから 当然です。
なにをいまさらですが、これは、サービスを瑠葉するためには必要なことでAppleもおなじこと
個人情報を渡す代わりに無料でサービスを受けていると思えば、騒ぐことではない。
また、個人情報がなければ サービスが成り立たないという面もあります。

いやだったら、スマートフォンをすべて捨てることです。

携帯電話だって携帯電話会社が個人を掴んでいるわけですから、携帯電話(ガラ携)も捨てよう。

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは?

2022年03月18日 07時00分

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは? - GIGAZINE
https://gigazine.net/news/20220318-install-malicious-apps-on-ios/

iPhoneユーザーの多くの人は、「iPhoneは安全」という神話を信じていますが、絶対な安全なんてことはありません。
そもそもアプリではなく、自分からやばいサイトや

「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」とドイツのサイバーセキュリティ機関が警告

2022年3月3日

ドイツの連邦サイバーセキュリティ機関である連邦情報技術安全局(BSI)は、「メーカーの信頼性に疑問がある」として、ロシア資本のアンチウイルスソフト「カスペルスキー」をインストールしないように警告を発しました。

BSI - Presse - BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

Kaspersky Anti-Virus Software Risks Being Exploited by Russia, Germany Warns - Bloomberg
https://www.bloomberg.com/news/articles/2022-03-15/germany-warns-kaspersky-software-risks-being-exploited-by-russia

中略

2017年にはアメリカの国土安全保障省が、BSIと同様の理由で政府機関でのカスペルスキー製品の使用中止命令を出しています。

情報元

「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」とドイツのサイバーセキュリティ機関が警告 - GIGAZINE
https://gigazine.net/news/20220316-germany-bsi-warning-kaspersky/

企業とすれば、仮想敵国になりつつあるロシア企業のセキュリティソフトウェアなど使えないのは当たり前

と言っても、日本では、嘘つき企業のLINEを未だに公共機関で使っているぐらいですから、有事には、やられ放題だろう。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出

2022年3月3日

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE
https://gigazine.net/news/20220301-conti-ransomware-internal-chats-leaked/

殺傷兵器を持たない武器(ハッキング)が一番ヤバいわけです。
毎日 個人情報を垂れ流しているサイトや、古いバージョンのシステムを放置していたらなんの苦労もなく やられるというわけです。

中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明

2022年3月2日

中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明 - GIGAZINE
https://gigazine.net/news/20220302-china-malware-daxin/

もう ここまでくると ネットに繋がっているものは、すべて NGというわけで スマートフォンのセキュリティなんてiPhoneもふくめてざるレベル

狙われないことが一番重要となってくるわけです。

ロシアのウクライナ侵攻でセキュリティ最強の暗号化メッセンジャーアプリ「Signal」の需要が急増

2022年2月26日

ロシアのウクライナ侵攻でセキュリティ最強の暗号化メッセンジャーアプリ「Signal」の需要が急増 - GIGAZINE
https://gigazine.net/news/20220226-signal-spike-ukraine-russia-invaded/

 

金融庁 金融機関に対してサイバー攻撃に警戒 ロシア軍事行動

2022年2月24日

昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

金融庁では、令和4年2月23日、昨今の情勢を踏まえ、下記のサイバーセキュリティ対策の強化について、金融機関への周知を徹底するため、業界団体等を通じて広く金融機関に注意喚起するとともに、仮にサイバー攻撃を受けた場合は速やかに当庁・財務局に報告するよう周知しました。


昨今の情勢を踏まえたサイバーセキュリティ対策の強化について
(注意喚起)

昨今の情勢を踏まえるとサイバー攻撃事案の潜在的なリスクは高まっていると考えられます。
各金融機関等においては、経営者のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。
また、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。
不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。

3.インシデント発生時の適切な対処・回復
〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。

詳しくは、金融庁のホームページ

金融庁の対応は、素早い それに比べて 他の省庁は、平和ボケ日本そのものである。

現在、軍事行動で他国に侵攻して「核があるぞと脅している」国が、隣にあるというのに平和ボケそのものである。

スパイウェアPegasus、サウジアラビアの女性のiPhoneから手がかりが見つかった

2022年2月15日

サウジアラビアの女性のiPhoneが世界中でハッキングを明らかにした方法

-単一の活動家が、ソフトウェアが政府をハッキングするために使用されたという新たな申し立てに損害を与えたとして、ワシントンで法的措置と精査の連鎖に直面している世界で最も洗練されたスパイウェア企業の1つであるNSOグループに対する流れを変えるのを助けました世界中の役人と反体制派。

それはすべて、彼女のiPhoneのソフトウェアの不具合から始まりました。

事件に関与した6人によると、NSOのスパイウェアの異常なエラーにより、サウジアラビアの女性の権利活動家であるルジャインハズルールとプライバシー研究者は、イスラエルのスパイウェアメーカーが彼女のiPhoneのハッキングを支援したことを示唆する証拠の山を発見しました。彼女の携帯電話内にある不思議な偽の画像ファイルは、スパイウェアによって誤って置き去りにされ、セキュリティ研究者に情報を提供しました。

昨年のアルハズルールの電話での発見は、NSOを守勢に置く法的および政府の行動の嵐に火をつけました。ハッキングが最初に発見された方法は、ここで初めて報告されます。

サウジアラビアで最も著名な活動家の1人であるAl-Hathloulは、サウジアラビアでの女性ドライバーの禁止を終わらせるキャンペーンを主導するのを支援したことで知られています。彼女は国家安全保障を害した罪で2021年2月に刑務所から釈放された。続きを読む

彼女が刑務所から釈放された直後、活動家はGoogleから、州の支援を受けたハッカーが彼女のGmailアカウントに侵入しようとしたことを警告するメールを受け取りました。彼女のiPhoneもハッキングされたのではないかと恐れ、アルハズルールはカナダのプライバシー権グループであるシチズンラボに連絡し、証拠を求めて彼女のデバイスを調査するように依頼したと、アルハズロールに近い3人がロイターに語った。

シチズンラボの研究者であるビルマルザックは、iPhoneの記録を6か月間掘り下げた後、前例のない発見をしました。彼女の電話に埋め込まれた監視ソフトウェアの誤動作により、悪意のある画像ファイル自体が削除されるのではなく、コピーが残ったのです。ターゲットのメッセージを盗む。

彼は、この発見、攻撃によって残されたコンピューターコードは、NSOがスパイツールを構築したという直接的な証拠を提供したと述べた。

翻訳:Google

reuters.com

サウジアラビアの女性の権利活動家のiPhoneからスパイウェア Pegasusの証拠が見つかったためAppleはすぐに対応とおなじくこの開発した企業(イスラエル企業NSOグループを提訴)を訴えました。

噂されてきたことが実証され 裁判へと発展所ていったわけですが、こんなものは、氷山の一角で実は、iPhoneやAndroid、ネットに繋がっているあらゆる機器は、すでに情報を抑えwられているのではないでしょうか?

つながっているということは、入り込まれると同義語で どんなに鉄壁だと思っている対策も使用者の使い方や警戒心のスキをついて入り込んでしまいます。

すでに、守るのではなく、やられたらどう対処すべきかを考えるほうがよいとIT小僧は思っています。

プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中

プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中 - GIGAZINE
https://gigazine.net/news/20220217-fatigue-attack-campaign-microsoft-office-365/

これは、えげつない手法だな

ドコモ「迷惑メール展」開催 怪しいメール24点を対処法とともに公開

2022年2月15日

NTTドコモは2月15日、迷惑メールの実例を展示するWebサイト「迷惑メール展」を公開した。「通販」「クレジットカード・銀行」「携帯キャリア」といったジャンルごとに、迷惑メールの文面と手口、対処法を公開している。期間は3月18日まで。

迷惑メールの実例を展示

 

迷惑メール展 presented by docomo
https://www.nttdocomo.co.jp/special_contents/meiwakumailten/

Emotetが再流行 感染していないか「EmoCheck」で確認しよう

2022年2月14日

 2021年1月にユーロポール(欧州刑事警察機構)によって制圧されたマルウェア「Emotet」が再流行しているとして、JPCERT/CCが2月10日に注意喚起した。Emotetに感染していないか不安な人は、JPCERT/CCが公開しているツール「EmoCheck」で感染の有無を確認しよう。

photo
「EmoCheck」のダウンロードページ 「emocheck_v2.0」が本体
EmoCheckはJPCERT/CCが2020年2月にGitHubで公開した、Emotetの感染有無を確認できるシンプルなツール。GitHubの配布ページから「emocheck_x86.exe」か「emocheck_x64.exe」をダウンロードし、調べたい端末上でファイルを実行するだけで「Emotetのプロセスが見つかりました」「Emotetは検知されませんでした」と結果を表示する。

感染を確認した場合は、EmoCheckの画面上に「プロセス名:certreq.exe」「イメージパス:(フォルダの場所)」などと表示。ユーザーは、タスクマネージャーを開いて「certreq.exe」などEmoCheckで表示されたプロセスを強制終了し、イメージパスで提示された場所にある実行ファイルを削除することでEmotetを端末から駆逐できるという。

photo
EmoCheckの出力画面 プロセス名が実行ファイルの名前、イメージパスが実行ファイルの保存場所
Emotetはメールを介して感染を広げるマルウェア。2月10日までにクラシエグループやライオン、積水ハウスグループ、リコーグループのリコーリースなどで感染が確認され、JPCERT/CCが注意喚起している。

ITmedia
https://www.itmedia.co.jp/news/articles/2202/14/news084.html

 

Zoomで「マイクが自動的にオンになって勝手に録音が始まる」

2022年2月10日

Zoomで「マイクが自動的にオンになって勝手に録音が始まる」という事例が公式フォーラムに多数投稿される - GIGAZINE
https://gigazine.net/news/20220210-zoom-app-listening-microphone-mac/

macOSを使っている人は、すぐアップデートしましょう。
Release notes for macOS
https://support.zoom.us/hc/en-us/articles/201361963

「Photoshop」、「Illustrator」、「After Effects」などに致命的な脆弱性

2022年2月8日

 米Adobeは2月8日(現地時間)、同社製品に関するセキュリティ情報を発表した。今回は「Photoshop」や「Illustrator」、「After Effects」など5製品が対象となっている(括弧内はCVEベースでの脆弱性の件数と最大深刻度)。

APSB22-06:Adobe Premiere Rush(1件、Moderate)
APSB22-07:Adobe Illustrator(13件、Critical)
APSB22-08:Adobe Photoshop(1件、Critical)
APSB22-09:Adobe After Effects(1件、Critical)
APSB22-11:Adobe Creative Cloud Desktop(1件、Critical)
パッチの適用優先度はすべて「3」(各自の裁量で適用を推奨)。同社の公開したセキュリティアドバイザリを参照しながら、できるだけ早めに修正版へのアップデートを実施したい。

Impress Watch 2022年2月9日

FBIがGoogleに「特定地域を通過した全Androidデバイスの情報提供」を求めたことが発覚

2022年2月7日

FBIがGoogleに「特定地域を通過した全Androidデバイスの情報提供」を求めたことが発覚 - GIGAZINE

これは、いくらなんでも やるすぎだろ

じゃ iPhoneなら安全だ

と思いのあなた

スパイウェア「Pegasus」と同様のiPhone向けゼロクリックエクスプロイトが別のイスラエル企業にも使われていた

北京オリンピックのアプリじゃなんだから・・・
すでに社会主義とか共産主義とか独裁政権とか 全く関係無しで当局に監視される時代になっているのである。

メタップスペイメント クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表

2022年2月1日

メタップスペイメントは2022年1月25日、クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表した。

不正アクセスに関するおわび

 

同社は2021年12月14日、クレジットカード会社からイベントペイにおいて不正利用の懸念があると連絡を受けた。社内調査ではシステムの問題を発見できなかったが、12月16日にイベントペイの決済を停止し、12月17日に第三者機関によるフォレンジック調査を始めた。

さらに12月28日から2022年1月5日にかけて会費ペイなどイベントペイ以外の3つの決済サービスも停止した。会費ペイなどの決済サービスを利用する企業は2021年の年末から2022年の年始にかけて、クレジットカード決済を一時中止すると相次いで発表した。

日経XTECH

決済システムの「トークン方式」が狙われたためデータベースに格納した一部の情報にアクセスされ、情報が流出した可能性が高い
とコメントされています。

キャリアインキュベーション ソフトウエアの脆弱性からサーバーを改ざん

2022年2月1日

 キャリアインキュベーションは2022年1月13日、2021年11月26日に公表した不正アクセス被害の最終報告を発表した。サーバー内に保管されていた個人情報流出の可能性を否定できないが、その可能性は極めて低いと結論付けた。

転職サイトへの不正アクセス被害について
(出所:キャリアインキュベーション)
流出した可能性があるのは、同社が運営する転職求人サイトにおいて、2016年10月2日から2021年11月24日までに応募フォームで登録した人と、2014年5月から7月の商社相談会に申し込んだ人の合計6074人の個人情報。名前や勤務先、年収、生年月日、卒業大学/大学院、住所、メールアドレス、電話番号、希望する職種などが含まれる。

日経XTECH

原因は、Webサイトで利用するソフトウエアの脆弱性によるものでサーバーが改ざん、個人情報にアクセスできる状態になっていた。

銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場

2022年1月31日

銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場 - GIGAZINE
https://gigazine.net/news/20220131-android-malware-factory-reset-bank-accounts/

これは、かなりヤバい

新型BRATAはこうしたアプリストアではなく銀行からの警告を装ったフィッシングメッセージを介して拡散

メールを開くときは、送信元を必ず確認しよう

「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘

2022年1月28日

「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘 - GIGAZINE
https://gigazine.net/news/20220128-my2022-beijing-olympics-apps-spying-athletes/

ホテルでも選手村でも 監視されるのが当たり前の中国ですから、アプリぐらい当たり前といえば当たり前

App StoreのMY2022ページにおいて「Data Not Collected(データ収集なし)」

そんなわけ無いでしょう。

Linuxでルート権限を自由に取得できる脆弱性が発覚

2022年1月27日

Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家 - GIGAZINE
https://gigazine.net/news/20220127-linux-polkit-bug-gives-attackers-root/

どんなシステムでも脆弱性は、絶対にあります。
しかし、Linuxの場合だとすると非常にやばいことになる。

北朝鮮のインターネットがDDoS攻撃でダウン

2022年1月27日

北朝鮮のインターネットがDDoS攻撃でダウン - GIGAZINE
https://gigazine.net/news/20220127-north-korea-internet-downed/

あれ? これって いつも彼らがやっていることじゃないの?

冗談はともかく、北朝鮮のインターネットなんて市民が使えないわけですから、社会的には影響なし

ということでしょうか?

まとめ

どんなに注意をして設計されたシステムでもセキュリティの穴は、絶対にあります。
みつけたら穴を塞ぐという手法でしかありません。

また、システム設計で問題がなくてもプラットフォーム、OS、デバイス そしてそれらを使う人間にセキュリティの欠落があったらやられます。

このブログでは、ほぼ毎日 気がついたセキュリティの問題を取り上げます。

-IT小僧の時事放談
-, ,

Copyright© IT小僧の時事放談 , 2023 All Rights Reserved Powered by AFFINGER5.