headless 曰く、

米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。

まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。

CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。

情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
IIJmio、「危険 SMS 拒否設定」機能を 3 月中旬から提供予定 2022年02月20日
政府、消費者契約法改正でサブスク解約方法を明示へ 2022年01月31日
米 MVNO Mint Mobile、全国広告審議会の勧告に従って「Unlimited」表記をやめる 2021年12月25日
新幹線の車掌、乗務中にスマホで位置情報ゲーム。 10年間ほどプレイとも 2021年11月18日
中国で暗号資産が全面禁止に。マイニングも決済も相場情報提供も全てNG 2021年09月27日
総務省、スマホ契約時の「オプション契約強要」などの不適切行為向け通報フォームを開設 2021年09月17日
Google Play、ロシアで購入済み有料アプリのダウンロードやアップデートをブロック 2022年05月12日

米国の政府機関が共同で行った発表によると、産業用システムを乗っ取るためのマルウェア「Pipedream」が見つかったという。米国土安全保障省（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）、エネルギー省（DOE）が共同でサイバーセキュリティアドバイザリーを出している（米国土安全保障省、BleepingComputer、Dragos、GIGAZINE）。

発表によるとこのPipedreamは、業用制御システム（ICS）および監視制御およびデータ取得（SCADA）デバイスに対する完全なシステムアクセスを獲得する能力があるとしている。ターゲットとなっている具体的な製品名として、Schneider Electric製プログラマブルロジックコントローラー（PLC）やオムロン製のSysmac NEX PLCを利用した製品、Open Platform Communications Unified Architecture（OPC UA）サーバーなどの名前が出ている。これらの機器を利用した製品は液化天然ガス（LNG）の生産施設で利用されることが多いことから、PipedreamはLNGの生産施設を標的にしたものではないかと推測されている。

BleepingComputerの記事によると今回の「Pipedream」は、2017年に産業安全システムを無効にしようとした「TRITON（Trisis）」、2016年にウクライナで停電を引き起こしたマルウェア「Industroyer」、2010年頃にイランの核開発計画を妨害した「Stuxnet」に匹敵するものであると指摘している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
トランプ政権下でCIAはサイバー攻撃の自由度を高めた。破壊的な活動も認められる 2020年07月17日
イランの核施設で火災が発生。サイバー攻撃が使われた可能性も 2020年07月07日
米国はマルウェア「Stuxnet」でイランに深刻なダメージを与えようとしていた 2016年07月13日
Stuxnet、ドキュメンタリー映画化 2016年02月22日
StuxnetやFlameと同郷の新型マルウェア「Gauss」 2012年08月13日
コンピューターウィルスの兵器化は戦争を変える 2012年06月28日

headless 曰く、

Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事、 NVD — CVE-2022-23812、 GitHub のアドバイザリー、 Snyk の脆弱性情報)。

脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。

一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ～ 10.1.3 および 9.2.2 が削除されている。

すべて読む | セキュリティセクション | セキュリティ | YRO |

関連ストーリー：
経産省、住所の正規化などを行えるコンポーネントを公開 2020年06月02日
Node.js開発者による新JavaScriptランタイムDeno 1.0がリリース、後継となるか？ 2020年05月29日
GitHub、npmを買収 2020年03月17日
Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定 2019年12月17日
AWS LambdaがCOBOLをサポートしたことが話題に 2018年11月30日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
GitHubのリポジトリ数が1億件に到達 2018年11月12日
ロシア半導体産業の内情 2022年03月23日

headless 曰く、

ドイツ連邦情報セキュリティ局 (BSI) は 15 日、ロシアに本社があるカスペルスキー製のセキュリティソフトウェア使用にはリスクがあると注意喚起した (プレスリリース、 FAQ、 The Register の記事、 HackRead の記事)。

BSI によれば現時点でカスペルスキー製品が具体的な脅威となっているわけではないが、ロシアからのサイバー攻撃リスクが高まる中、カスペルスキーがその意志に反して攻撃に加担させられたり、機密情報を提出させられたりする可能性が否定できないとのこと。そのため、カスペルスキー製品の使用を禁ずるものではないが、BSI では他の製品に置き換えることを推奨している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
映画007シリーズのMI6の職員はサイバーセキュリティの基本を理解していない 2021年11月16日
カスペルスキー、偽の Windows 11 インストーラーを実行しないよう注意喚起 2021年07月26日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
WHOを狙ったサイバー攻撃が相次ぐ 2020年03月28日
カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える 2019年03月23日
カスペルスキー日本法人、会社概要のページからロシア本社の住所をなぜか削除 2022年03月18日

2 月に NVIDIA のネットワークに侵入してプロプライエタリ情報を盗み出したハッキンググループ Lapsus$ が同社に対し、現行および将来の GPU ドライバー (Windows / macOS / Linux) をオープンソース化し、FOSS ライセンスで公開するよう要求している (Ars Technica の記事、 Mashable の記事、 Android Police の記事、 Computing の記事)。

同グループは先に NVIDIA のドライバーから暗号通貨採掘のハッシュレート制限機能 LHR を削除するよう要求していたが、それに加えてドライバーのオープンソース化を要求することにしたという。期限は金曜日 (4 日。日本時間で 5 日) までとなっており、オープンソース化の要求に応じなければ企業秘密を含む GPU 等のファイルを公開すると脅している。

NVIDIA は 1 日に公開したサポート記事で攻撃を受けたことを認めており、攻撃者が従業員のパスワードを使ってプロプライエタリ情報を盗み出したことを明らかにしているが、ランサムウェア被害にあったことは否定している。同社の対応としてはセキュリティ強化や従業員全員に対するパスワード変更要求、当局への通報といったもので、業務やサービスには影響しないとのことだ。

すべて読む | セキュリティセクション | オープンソース | セキュリティ |

関連ストーリー：
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日
ソフトバンク、NVIDIA への Arm 売却を断念して上場へ 2022年02月09日
NVIDIAのモデル名の「Ti」をどう発音する？ 2022年01月07日
密輸されたNVIDIAのマイニング用製品300枚が漁船から押収される 2021年04月09日
NVIDIA、RTX 3060の制限解除ドライバーを誤ってリリース。その影響でアキバから在庫消える 2021年03月18日
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日
NVIDIAが品不足対応のため、GeForce RTX 2060とGTX 1050 Ti製品を増やす計画 2021年02月16日

headless 曰く、

ギャレットのゲート型金属探知機で見つかった 9 件の脆弱性を発見者の Cisco Talos が解説している(Cisco Talos のブログ記事、 HackRead の記事)。

脆弱性が見つかったのは金属探知機本体ではなく、オプションの遠隔監視用 iC モジュールだ。もちろん金属探知機が脆弱性を発見したわけではない。このiCモジュールはゲート型金属探知機 PD6500i および Multi Zone (旧 MZ6100) に対応し、施設内のネットワーク環境に組み込むことで遠隔での設定や検知結果などの確認が可能になる。

脆弱性のうち 4 件 (CVE-2021-21901、 CVE-2021-21903、 CVE-2021-21905、 CVE-2021-21906) はバッファーオーバーフローの脆弱性で、リモートからコードを実行できる可能性がある。CVE-2021-21901 と CVE-2021-21902 は認証の前に発生するという。また、別の 4 件 (CVE-2021-21904、 CVE-2021-21907、 CVE-2021-21908、 CVE-2021-21909) はディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が特定の条件でデバイス上のファイルを読み取り・書き込み・削除できる。最後の 1 件(CVE-2021-21902)は認証バイパスの脆弱性で、競合状態により認証済みユーザーのセッションを攻撃者が乗っ取ることが可能とのこと。

攻撃者はこれらの脆弱性を悪用することで、遠隔から金属探知機の動作状況を監視できるほか、金属探知機の感度を変更するなど、セキュリティを低下させる操作を実行することが可能となる。既に修正版のファームウェアが提供されており、ユーザーにはできるだけ早く更新することが推奨されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 2021年12月24日
4 件の脆弱性を修正した X.Org Server 21.1.2、ディスプレイの物理 DPI を報告する機能が廃止に 2021年12月19日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる 2021年12月11日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
Firefox 95 リリース、新しいサンドボックス技術 RLBox が全プラットフォームで有効に 2021年12月08日
第12世代CoreでLinuxのSpectre・Meltdown対策パッチを無効化する意味はない 2021年12月08日

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし 2021年11月23日
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
UAParser.jsにマルウェアが混入 2021年10月29日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日

日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル（いわゆるPPAP）の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている（日立リリース）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日

headless 曰く、

Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事、 Mac Rumors の記事)。

このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。

内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。

USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
USB Type-C規格が更新。USB PDに48V・5Aで240W流せるEPRモード追加へ 2021年05月28日
新型iMac同梱の編組ナイロンUSB-C to Lightningケーブル、耐久性は向上するか 2021年05月02日
iPhoneの同梱品、次になくなるのは？ 2020年12月12日
Raspberry Pi、キーボード一体型PCを発表 2020年11月03日

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

1. サポートされないソフトウェアの使用
2. 既知/固定/デフォルトパスワードの使用
3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 2020年11月15日
中国政府関与のハッカー集団が2要素認証を突破してVPNアカウントを奪取していたとの報告 2019年12月26日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日

iida 曰く、

X.509 証明書の識別名の OU 属性 (organizationalUnitName: OID 2.5.4.11) の使用停止が CA/Browser Forum で決議された (Ballot SC47v2: Sunset subject:organizationalUnitName、 Baseline Requirement 1.7.9版: PDF、 EV SSL 1.7.7版: PDF)。

2022-09-01 以降に OU 属性のある識別名の証明書を発行してしまうと、証明機関が BR や EV に不適合になってしまい、対応するルート認証局がブラウザや OS などから信頼されなくなる危険性が高まる。ルート証明機関は下位の証明機関に BR や EV へ準拠するようはたらきかけるだろうから、現在 OU の有無や値を使って鍵や証明書を管理している TLS サーバー側の管理者や、それらで認証認可している (たいていは TLS クライアント側の) システムは、対応を迫られることになろう。

またもし 1 年モノの証明書を新規に発行してもらうばあいは、最初から OU なしで発行してもらうほうが更新が楽になろうから、ご検討いただきたい。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 2019年11月11日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 2018年06月07日
EV証明書を使用して既知の企業になりすませる可能性が指摘される 2017年12月16日
Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 2017年05月05日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日

Check Point Software Technologiesは8月6日、Amazon Kindleに脆弱性が存在すると発表した。この脆弱性を悪用するとKindleの制御権は完全に乗っ取られるほか、Amazonアカウントなども盗まれる可能性があるとしている。発表によると一冊の電子書籍をインストールするだけで実行可能だそう。話題になりそうな電子書籍を無料で出版するだけで実行できるとしている。同社は問題をすでにAmazon側に報告しており、Amazon側も問題を修正したファームウェア5.13.5を配信済みだとしている（Check Point、TECH+）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない 2021年08月09日
プレビュー版 Microsoft Edge のセキュリティ強化モード「Super Duper Secure Mode」 2021年08月08日
漫画家の佐藤秀峰氏がAmazonを訴えていた裁判、東京地裁が棄却 2020年03月31日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
Amazon、「Kindleインディーズマンガ」サービスを開始 2018年07月11日
Amazon.co.jpで漫画村ロゴ入りの電子書籍が販売される 2018年04月25日

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 2020年10月29日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

アカウント情報流出を確認できるWebサイト「Have I been pwned?」(HIBP)を運営するトロイ・ハント氏は4月27日、マルウェアEmotetにより盗み出された400万件以上の認証情報がHIBPで確認できるようになったと発表した(ハント氏のブログ記事、 HIBP - Emotet、 BetaNewsの記事)。

欧州刑事警察機構(Europol)に最も危険なマルウェアと呼ばれたEmotetだが、1月に各国の捜査機関が合同でサーバー差し押さえなどの作戦を実行し、4月25日には自己削除プログラムが起動して終息した。サーバー差し押さえの実行後、米連邦捜査局(FBI)がHIBPに連絡し、影響を受けた個人や企業に警告できないか相談したのだという。

これにより、Emotetのサーバーから押収した4,324,770件の電子メールアドレスとパスワードがHIBPで検索可能になった。これらの認証情報はEmotetが被害者のアカウントを通じてスパム送信に使用していた電子メールアカウントの認証情報と、Webブラウザーから収集したWebサイトの認証情報の2種類に分けられるとのこと。

HIBPが捜査機関からデータ提供を受けるのは今回が初めてではなく、2018年にはエストニア中央警察がデータを提供している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える 2021年04月27日
警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から 2021年02月26日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日
トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す 2019年06月14日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日

あるAnonymous Coward 曰く、

バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。

JPCERTによると
CVE-2021-3511：第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512：第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716：第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。

基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。

JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Ciscoのルーターで多数の脆弱性が見つかる 2019年05月17日
家庭で使われている無線LANルータの83％に脆弱性、米NPO調査 2018年10月10日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日

あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
ブラウザゲーム「チビファンタジー」、データ消失で13年分ロールバックへ 2021年01月05日
まるごとデータを消失した「ふくいナビ」、旧サーバにバックアップが発見される 2020年11月21日
NECの契約更新ミスでふくいナビの全データが消失。復旧も不能に 2020年11月09日
iOS版Adobe Lightroom、アップデートで写真やプリセットが消失するトラブル 2020年08月22日
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
ケニア、新型コロナ対応として今年の授業分を消失させると発表。2020年度分の学歴はなかったことに 2020年07月10日
全身麻酔で意識が失くなる理由がついに解明される 2020年06月09日

あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している（360 Netlab Blog）。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
外観からは識別できないSMR採用のHDDが増えている？ 2020年04月22日
ランサムウェア被害者が攻撃者のデータベースをハックして約3千人分の復号化キーを公開 2019年10月10日
nasne、「近日出荷完了予定」に 2019年06月26日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NASのHDDでオーディオの音質が変わるのか検証するイベント、6日に開催 2015年06月05日