[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

今週の気になるセキュリティニュース - Issue #208

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

欧州連合理事会が 2020年のエストニアへのサイバー攻撃に関与した 3人のロシア人へ制裁

(1/27) Cyber-attacks: three individuals added to EU sanctions list for malicious cyber activities against Estonia - Consilium

The Council today adopted additional restrictive measures against three Russian individuals responsible for a series of cyberattacks carried out against the Republic of Estonia in 2020. The individuals listed are officers of the General Staff of the Armed Forces of the Russian Federation (GRU) Unit 29155.


Ginco が北朝鮮の攻撃グループ TraderTraitor によるサイバー攻撃に関する報告

(1/28) 当社サービスへのサイバー攻撃に関するご報告 | Ginco

2024年12月24日付けの警察庁及び米国連邦捜査局(FBI)など捜査機関からの公表のとおり、北朝鮮当局の下部組織とされる「Lazarus Group」(ラザルスグループ)の一部とされているサイバー攻撃グループ「TraderTraitor」(以下、「攻撃者」といいます。)による標的型ソーシャルエンジニアリングを含む大規模なサイバー攻撃により、当社の提供する暗号資産ウォレットソフトウェア「Ginco Enterprise Wallet(以下、「本ソフトウェア」といいます。)」を構成するインフラストラクチャの特定部へ不正アクセスが行われていたことが確認されました。


欧米の複数の法執行機関の連携により、2つの主要な犯罪フォーラム Cracked と Nulled を摘発

(1/30) Law enforcement takes down two largest cybercrime forums in the world | Europol

A Europol-supported operation, led by German authorities and involving law enforcement from eight countries, has led to the takedown of the two largest cybercrime forums in the world.

The two platforms, Cracked and Nulled, had more than 10 million users in total. Both of these underground economy forums offered a quick entry point into the cybercrime scene. These sites worked as one-stop shops and were used not only for discussions on cybercrime but also as marketplaces for illegal goods and cybercrime-as-a-service, such as stolen data, malware or hacking tools. Investigators estimate that suspects earned EUR 1 million in criminal profits.

(1/30) Office of Public Affairs | Cracked and Nulled Marketplaces Disrupted in International Cyber Operation | United States Department of Justice

The Justice Department today announced its participation in a multinational operation involving actions in the United States, Romania, Australia, France, Germany, Spain, Italy, and Greece to disrupt and take down the infrastructure of the online cybercrime marketplaces known as Cracked and Nulled. The operation was announced in conjunction with Operation Talent, a multinational law enforcement operation supported by Europol to investigate Cracked and Nulled.


攻撃、脅威

Akamai が Mirai 亜種 Aquabot の活動について報告

(1/28) Active Exploitation: New Aquabot Variant Phones Home | Akamai

  • The Akamai Security Intelligence and Response Team (SIRT) has identified a new variant of the Mirai-based malware, Aquabot, that is actively attempting to exploit Mitel SIP phones. As this is the third distinct iteration of Aquabot, we have dubbed it Aquabotv3.
  • The malware exploits CVE-2024-41710, a command injection vulnerability that affects Mitel models.
  • This malware exhibits a behavior we have never before seen with a Mirai variant: a function (report_kill) to report back to the command and control (C2) when a kill signal was caught on the infected device. We have not seen any response from the C2 as of the date of this blog post.


GreyNoise が Zyxel CPE のゼロデイ脆弱性を悪用する攻撃について報告

(1/28) Active Exploitation of Zero-day Zyxel CPE Vulnerability (CVE-2024-40891) | GreyNoise Blog

GreyNoise is observing active exploitation attempts targeting a zero-day critical command injection vulnerability in Zyxel CPE Series devices tracked as CVE-2024-40891. At this time, the vulnerability is not patched, nor has it been publicly disclosed. Attackers can leverage this vulnerability to execute arbitrary commands on affected devices, leading to complete system compromise, data exfiltration, or network infiltration. At publication, Censys is reporting over 1,500 vulnerable devices online.


CISA が中国 Contec 製の医療機器に存在するバックドアについて注意喚起

(1/30) CISA Releases Fact Sheet Detailing Embedded Backdoor Function of Contec CMS8000 Firmware | CISA

CISA released a fact sheet, Contec CMS8000 Contains a Backdoor, detailing an analysis of three firmware package versions of the Contec CMS8000, a patient monitor used by the U.S. Healthcare and Public Health (HPH) sector. Analysts discovered that an embedded backdoor function with a hard-coded IP address, CWE – 912: Hidden Functionality (CVE-2025-0626), and functionality that enables patient data spillage, CWE – 359: Exposure of Private Personal Information to an Unauthorized Actor (CVE-2025-0683), exists in all versions analyzed.

(1/30) Contec Health CMS8000 Patient Monitor | CISA


Google が APT グループなどによる生成 AI の悪用に関する報告

(1/30) Adversarial Misuse of Generative AI | Google Cloud Blog


脆弱性

ApplemacOS Sequoia 15.3, macOS Sonoma 14.7.3, macOS Ventura 13.7.3, iOS 18.3 / iPadOS 18.3, iPadOS 17.7.4, tvOS 18.3, watchOS 11.3, visionOS 2.3, Safari 18.3 をリリース。すでに悪用が確認されている脆弱性の修正を含む。

(1/27) Apple security releases - Apple Support


Fortinet 製 FortiOS および FortiProxy の認証バイパスの脆弱性 (CVE-2024-55591) の PoC を watchTowr が公開

(1/28) Get FortiRekt, I Am The Super_Admin Now - Fortinet FortiOS Authentication Bypass CVE-2024-55591


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(1/29) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


その他

IPA が「情報セキュリティ10大脅威 2025」を公表

(1/30) 情報セキュリティ10大脅威 2025 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構

今週の気になるセキュリティニュース - Issue #207

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

TikTok が米国でサービス再開

(1/19) TikTok is restoring service in the US | TechCrunch

(1/20) Application Of Protecting Americans From Foreign Adversary Controlled Applications Act To TikTok – The White House

(1/21) TikTok Emerges from Shutdown Without Bytedance’s US CDN | Kentik Blog

(1/21) The fall and rise of TikTok (traffic)


サンリオピューロランド不正アクセスによるネットワークトラブルの影響で、一部サービスが利用できない状況

(1/23) 当社への不正アクセスによるネットワークトラブルについて

2025年1月23日(木)18時時点で一部のサービスがご利用いただけない状況が続いております。

引き続き全容解明と復旧に努めてまいります。

(1/23) 当社への不正アクセスによるネットワークトラブルについて|ハーモニーランド


北朝鮮の IT 技術者がなりすましなどにより不正に収益を得ている活動について、米司法省が北朝鮮国籍 2人、メキシコ国籍 1人、アメリカ国籍 2人を起訴。また FBI は北朝鮮の IT労働者による不正な活動に関する注意喚起

(1/23) Office of Public Affairs | Two North Korean Nationals and Three Facilitators Indicted for Multi-Year Fraudulent Remote Information Technology Worker Scheme that Generated Revenue for the Democratic People’s Republic of Korea | United States Department of Justice

(1/23) Internet Crime Complaint Center (IC3) | North Korean IT Workers Conducting Data Extortion

The Federal Bureau of Investigation (FBI) is providing an update to previously shared guidance regarding Democratic People's Republic of Korea (North Korea) Information Technology (IT) workers to raise public awareness of their increasingly malicious activity, which has recently included data extortion. FBI is warning the public, private sector, and international community about North Korean IT workers' continued victimization of US-based businesses. In recent months, in addition to data extortion, FBI has observed North Korean IT workers leveraging unlawful access to company networks to exfiltrate proprietary and sensitive data, facilitate cyber-criminal activities, and conduct revenue-generating activity on behalf of the regime.

(1/23) FBI: North Korean IT workers steal source code to extort employers


攻撃、脅威

Cloudflare が 2024年第 4 四半期の DDoS 攻撃レポートを公開

(1/21) Record-breaking 5.6 Tbps DDoS attack and global DDoS trends for 2024 Q4


Qualys が Mirai 亜種 Murdoc ボットネットの活動について報告

(1/21) Mass Campaign of Murdoc Botnet Mirai: A New Variant of Corona Mirai | Qualys Security Blog

(1/22) Using Censys to Track the Murdoc Botnet Campaign Targeting AVTECH Cameras and Huawei Routers | Censys


JPRSサブドメイン乗っ取りについての注意喚起

(1/21) サービス終了後に残っているDNS設定を利用したサブドメインの乗っ取りについて

(1/23) go.jpサブドメインが不正利用可能な状態だった件について:Geekなぺーじ


脆弱性

SonicWall SMA1000 に脆弱性。すでに悪用を確認

(1/22) SMA1000 Pre-Authentication Remote Command Execution Vulnerability | Security Advisory

Pre-authentication deserialization of untrusted data vulnerability has been identified in the SMA1000 Appliance Management Console (AMC) and Central Management Console (CMC), which in specific conditions could potentially enable a remote unauthenticated attacker to execute arbitrary OS commands.

IMPORTANT: SonicWall PSIRT has been notified of possible active exploitation of the referenced vulnerability by threat actors. We strongly advises users of the SMA1000 product to upgrade to the hotfix release version to address the vulnerability.

Please note that SonicWall Firewall and SMA 100 series products are not affected by this vulnerability.

(1/23) SonicWall warns of SMA1000 RCE flaw exploited in zero-day attacks


CISA が Known Exploited Vulnerabilities (KEV) カタログに 1+1 個の脆弱性を追加

(1/23) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

(1/24) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2025-23006 SonicWall SMA1000 Appliances Deserialization Vulnerability


その他

MITRE が D3FEND 1.0 をリリース

(1/16) MITRE Launches D3FEND 1.0 – A Milestone in Cybersecurity Ontology | MITRE

今週の気になるセキュリティニュース - Issue #206

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

日米韓の 3ヶ国が北朝鮮による暗号資産窃取及び官民連携に関する共同声明

(1/14) 北朝鮮による暗号資産窃取及び官民連携に関する共同声明 | お知らせ - NISC

(1/14) Joint Statement on Cryptocurrency Thefts by the Democratic People’s Republic of Korea and Public-Private Collaboration - United States Department of State


米仏などの法執行機関の連携により、PlugX に感染した機器からマルウェアを消去する作戦を実施

(1/14) Office of Public Affairs | Justice Department and FBI Conduct International Operation to Delete Malware Used by China-Backed Hackers | United States Department of Justice

The Justice Department and FBI today announced a multi-month law enforcement operation that, alongside international partners, deleted “PlugX” malware from thousands of infected computers worldwide. As described in court documents unsealed in the Eastern District of Pennsylvania, a group of hackers sponsored by the People’s Republic of China (PRC), known to the private sector as “Mustang Panda” and “Twill Typhoon,” used a version of PlugX malware to infect, control, and steal information from victim computers.


日本気象協会の tenki.jp において、DDoS攻撃によるネットワーク輻輳によりサービスに影響

(1/15) 【お詫び】天気予報専門メディア「tenki.jp」がご利用しづらい事象について | JWAニュース | 日本気象協会


米バイデン大統領がサイバーセキュリティ強化のための大統領令を発令

(1/16) Executive Order on Strengthening and Promoting Innovation in the Nation’s Cybersecurity | The White House

(1/16) Ransomware sanctions, software security among key points in new Biden executive order | The Record from Recorded Future News


Hulu で第三者による不正ログインが発生

(1/18) [重要]不正アクセス検知によるパスワード強制リセット実施のお知らせ(1/18更新) – Hulu ヘルプセンター

弊社サービスにご登録いただいている一部のアカウントにおきまして、2025 年 1 月 17 日(金)から1 月 18 日(土)にかけてご登録者以外の第三者による不正なログイン操作が実施されたことを確認いたしました。 現在詳細について調査中ではございますが、現時点で確認できている状況をお知らせいたします。

発生日:2025 年 1 月 17 日(金)~ 18 日(土)

対象アカウント:236 件(※ご契約中、解約済みなど、ご契約状況に関わらず)


TikTok が米国でのサービスを停止

(1/18) Statement on possible shutdown | TikTok Newsroom

(1/18) TikTok goes dark in the US | TechCrunch


攻撃、脅威

奇安信の Xlab が AIRASHI ボットネットの活動について報告

(1/15) Botnets Never Die: An Analysis of the Large Scale Botnet AIRASHI

In August 2024, XLab observed a premeditated large-scale DDoS attack targeting the distribution platforms of the chinese game Black Myth: Wukong, namely Steam and Perfect World.This attack operation was divided into four waves, with the attackers carefully selecting the peak online hours of gamers in various time zones to launch sustained attacks lasting several hours. They simultaneously targeted hundreds of servers distributed across 13 global regions belonging to Steam and Perfect World, aiming to achieve maximum destructive impact. The botnet involved in this attack operation referred to itself as AISURU at the time. This article will analyze the variants of the AISURU botnet, known as AIRASHI.

After the above-mentioned attack was exposed, the AISURU botnet temporarily ceased its attack activities in September. However, driven by profit motives, it was updated in October, and based on the sample characteristics, we named it kitty. By the end of November, a new variant reappeared and was updated again in the samples at the end of November, with the botnet renamed as: AIRASHI.


FortiGate 機器 15,000 台の設定情報や認証情報を含むデータがリークされる

(1/15) Hackers leak configs and VPN credentials for 15,000 FortiGate devices

(1/16) Analysis of Threat Actor Data Posting | Fortinet Blog


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+4+1 個の脆弱性を追加

(1/13) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2024-12686 BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) OS Command Injection Vulnerability
  • CVE-2023-48365 Qlik Sense HTTP Tunneling Vulnerability

(1/14) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

(1/16) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-50603 Aviatrix Controllers OS Command Injection Vulnerability


Microsoft が 2025年 1月の月例パッチを公開。すでに悪用が確認されている脆弱性を含む。

(1/14) 2025 年 1 月のセキュリティ更新プログラム (月例) | MSRC Blog | Microsoft Security Response Center

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は更新プログラムが公開されるよりも前に悪用が行われていること、や脆弱性の詳細が一般へ公開されていることを確認しています。お客様においては、更新プログラムの適用を早急に行ってください。脆弱性の詳細は、各 CVE のページを参照してください。

今月のセキュリティ更新プログラムで修正した脆弱性のうち、以下の脆弱性は、CVSS 基本値が9.8 と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性です。これらの脆弱性が存在する製品、および悪用が可能となる条件については、各CVEのページの「よく寄せられる質問」 を参照してください。セキュリティ更新プログラムが公開されるよりも前に、脆弱性の情報の一般への公開、脆弱性の悪用はありませんが、脆弱性の特性を鑑み、企業組織では早急なリスク評価とセキュリティ更新プログラムの適用を推奨しています。

  • CVE-2025-21311 Windows NTLM V1 の特権昇格の脆弱
  • CVE-2025-21298 Windows OLE のリモートでコードが実行される脆弱性
  • CVE-2025-21307 Windows Reliable Multicast Transport Driver (RMCAST) のリモートでコードが実行される脆弱性

(1/14) Zero Day Initiative — The January 2025 Security Update Review


Fortinet 製 FortiOS および FortiProxy に認証バイパスの脆弱性。すでに悪用が確認されている

(1/14) PSIRT | FortiGuard Labs

An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] affecting FortiOS and FortiProxy may allow a remote attacker to gain super-admin privileges via crafted requests to Node.js websocket module.

Please note that reports show this is being exploited in the wild.

(1/10) Console Chaos: A Campaign Targeting Publicly Exposed Management Interfaces on Fortinet FortiGate Firewalls - Arctic Wolf

(1/15) Fortinet製FortiOSおよびFortiProxyにおける認証回避の脆弱性(CVE-2024-55591)に関する注意喚起


rsync に複数の脆弱性

(1/14) VU#952657 - Rsync contains six vulnerabilities

(1/15) JVNVU#94903505: rsyncにおける複数の脆弱性


その他

iOSGoogle パスワードマネージャーのパスキーが利用可能に

(1/16) iOS で Google パスワード マネージャーのパスキーを利用できるようになりました | Blog | Chrome for Developers

今週の気になるセキュリティニュース - Issue #205

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

日本気象協会の tenki.jp において、DDoS攻撃によるネットワーク輻輳によりサービスに影響

(1/5) 【復旧】天気予報専門メディア「tenki.jp」がご利用しづらい事象について | JWAニュース | 日本気象協会

2025年1月5日(日)午前6時54分ごろから、DDoS攻撃によるネットワーク輻輳のため天気予報専門メディア「tenki.jp」(WEB版・アプリ版)がご利用しづらい事象が発生しておりましたが、2025年1月5日(日)午後2時35分ごろに回復いたしました。

(1/9) 【復旧】天気予報専門メディア「tenki.jp」がご利用しづらい事象について(2025/1/9) | JWAニュース | 日本気象協会

2025年1月5日(日)午前6時54分ごろから、DDoS攻撃によるネットワーク輻輳のため天気予報専門メディア「tenki.jp」(WEB版・アプリ版)がご利用しづらい事象が発生しておりましたが、2025年1月5日(日)午後2時35分ごろに回復いたしました。

(1/10) 天気予報専門メディア「tenki.jp」の復旧につきまして | JWAニュース | 日本気象協会

2025年1月9日(木)午後8時42分ごろから、DDoS攻撃(注1)によるネットワーク輻輳(ふくそう)のため天気予報専門メディア「tenki.jp」(てんきじぇーぴー)(注2)のWEB版が断続的に利用しづらい事象が発生しておりましたが、DDoS攻撃対策を講じた結果、2025年1月10日(金)午後4時30分ごろに復旧いたしました。


三井住友カードの Vpass においてアクセスしづらい事象が発生

(1/6, 1/8) 総合インフォメーション|クレジットカードの三井住友VISAカード

2025年1月6日

2025年1月6日(月)7:03頃~9:15頃の間、Vpass(Web・アプリ)にアクセスしづらい事象が発生しておりました。現在は復旧しております。ご迷惑をおかけしましたことを深くお詫び申し上げます。

2025年1月8日

2025年1月8日(水)13:48頃~14:26頃の間、Vpass(Web・アプリ)にアクセスしづらい事象が発生しておりました。現在は復旧しております。ご迷惑をおかけしましたことを深くお詫び申し上げます。

(1/6) 三井住友カードアプリなどの障害が復旧 サイバー攻撃含め原因は調査中


りそな銀行で外部からの大量データ送付に起因する障害が発生し、インターネットバンキングに影響

(1/7) 「重要」ネットワーク不具合による各種サービスへの影響について│りそな銀行

外部からの大量データ送付に起因し、「マイゲート・グループアプリ」において、繋がりにくい状況が発生しておりましたが 現在は安定しております。

本事象によるお客さまデータの流出やウイルス被害は発生しておりません。


LINE VOOM の投稿閲覧ページにおいて誤表示が発生

(1/7) LINE VOOM(ブラウザ版)の投稿閲覧ページにおける誤表示のお知らせとお詫び|LINEヤフー株式会社

LINE VOOM(ブラウザ版)の投稿閲覧ページにおいて、投稿動画が表示される代わりに、投稿したユーザーおよび投稿コンテンツに関する情報、ならびに当該投稿を直前に閲覧したユーザーの情報が文字列として、誤って表示される場合がありました。


ロシアの ISP Nodex がサイバー攻撃による被害を受け、サービスに影響

(1/8) Russian ISP confirms Ukrainian hackers "destroyed" its network

(1/9) Russian internet provider confirms its network was ‘destroyed’ following attack claimed by Ukrainian hackers | The Record from Recorded Future News


KDDI において通信設備の故障により、5G サービスの利用に影響

(1/10) 【復旧】全国の5G SA契約の一部の携帯電話サービスがご利用できない、またはご利用しづらい状況について(1月10日 午後6時20分時点)


攻撃、脅威

トレンドマイクロが2024年末からのDDoS攻撃との関連が疑われる IoT ボットネットについて報告

(1/6) 2024年末からのDDoS攻撃被害と関連性が疑われるIoTボットネットの大規模な活動を観測 | トレンドマイクロ | トレンドマイクロ (JP)

2024年の年末から大規模に活動を行っているIoTボットネットを発見し、そのC&Cサーバから送信されるDDoS攻撃コマンドを観測しました。このIoTボットネットのC&Cサーバからは各国の様々な企業を対象としたDDoS攻撃コマンドが発信されており、攻撃の対象の中には、日本の複数の大企業や銀行が含まれていました。


奇安信の Xlab が Mirai 亜種 Gayfemboy の活動状況について報告

(1/7) Gayfemboy: A Botnet Deliver Through a Four-Faith Industrial Router 0-day Exploit.


警察庁および NISC が攻撃者グループ MirrorFace によるサイバー攻撃について注意喚起

(1/8) MirrorFaceによるサイバー攻撃について(注意喚起)|警察庁Webサイト


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 3+1 個の脆弱性を追加

(1/7) CISA Adds Three Known Exploited Vulnerabilities to Catalog | CISA

(1/8) CISA Adds One Vulnerability to the KEV Catalog | CISA


Ivanti Connect Secure などに複数の脆弱性。すでに悪用を確認

(1/8) Security Update: Ivanti Connect Secure, Policy Secure and Neurons for ZTA Gateways | Ivanti

(1/8) Security Advisory Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)

We are aware of a limited number of customers’ Ivanti Connect Secure appliances being exploited by CVE-2025-0282 at the time of disclosure. We are not aware of these CVEs being exploited in Ivanti Policy Secure or ZTA gateways.

We are not aware of any exploitation of CVE-2025-0283 at the time of disclosure.

Exploitation of CVE-2025-0282 can be identified by the Integrity Checker Tool (ICT). We strongly advise all customers to closely monitor their internal and external ICT as a part of a robust and layered approach to cybersecurity to ensure the integrity and security of the entire network infrastructure.

(1/8) Ivanti Releases Security Updates for Connect Secure, Policy Secure, and ZTA Gateways | CISA

(1/9) Ivanti Connect Secure VPN Targeted in New Zero-Day Exploitation | Google Cloud Blog

On Wednesday, Jan. 8, 2025, Ivanti disclosed two vulnerabilities, CVE-2025-0282 and CVE-2025-0283, impacting Ivanti Connect Secure (“ICS”) VPN appliances. Mandiant has identified zero-day exploitation of CVE-2025-0282 in the wild beginning mid-December 2024. CVE-2025-0282 is an unauthenticated stack-based buffer overflow. Successful exploitation could result in unauthenticated remote code execution, leading to potential downstream compromise of a victim network.

(1/9) Ivanti Connect Secureなどにおける脆弱性(CVE-2025-0282)に関する注意喚起

(1/10) Do Secure-By-Design Pledges Come With Stickers? - Ivanti Connect Secure RCE (CVE-2025-0282)


その他

Meta が第三者によるファクトチェックの廃止などの方針変更を発表

(1/7) More Speech and Fewer Mistakes | Meta

  • Starting in the US, we are ending our third party fact-checking program and moving to a Community Notes model.
  • We will allow more speech by lifting restrictions on some topics that are part of mainstream discourse and focusing our enforcement on illegal and high-severity violations.
  • We will take a more personalized approach to political content, so that people who want to see more of it in their feeds can.

(1/7) アメリカIT大手メタ 第三者ファクトチェック廃止 FacebookやInstagram トランプ氏の大統領就任踏まえたか | NHK | IT・ネット

(1/8) 米メタ、ファクトチェック機能を廃止へ CEO「トランプ氏と協力」 | 毎日新聞

今週の気になるセキュリティニュース - Issue #204

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

財務省で 12月初めに中国の攻撃者からの不正アクセス

(12/30) US Treasury says China accessed government documents in 'major' cyberattack | TechCrunch

The U.S. Treasury told lawmakers in a letter Monday that it was hit by a cyberattack earlier in December, which the department has attributed to Chinese government hackers.

In the letter shared with senior U.S. House lawmakers, which TechCrunch has seen, the Treasury said the hackers gained remote access to certain Treasury employee workstations and had access to unclassified documents, in what it described as a “major cybersecurity incident.”

The Treasury said it was notified on December 8 by BeyondTrust, a company that provides identity access and remote support tech for large organizations and government departments, that hackers had “gained access to a key used by the vendor” for providing remote access technical support to Treasury employees. BeyondTrust disclosed the incident at the time, but did not say how the key was obtained.

(12/30) China Hacked Treasury Dept. in ‘Major’ Breach, U.S. Says - The New York Times

(12/30) US Treasury Department breached through remote support platform

(1/1) Treasury’s sanctions office hacked by Chinese government, officials say - The Washington Post

Chinese government hackers breached a highly sensitive office in the Treasury Department that administers economic sanctions against countries and groups of individuals — one of the most potent tools possessed by the United States to achieve national security aims, according to U.S. officials.

The targeting of the Office of Foreign Assets Control (OFAC) as well as the Office of the Treasury Secretary — developments not previously reported — reflects Beijing’s determination to acquire intelligence on its most significant rival in the global competition for power and influence, said the officials, who like others interviewed for this report spoke on the condition of anonymity because of the matter’s sensitivity.

(1/2) Chinese hackers targeted sanctions office in Treasury attack

(12/18) BeyondTrust Remote Support SaaS Service Security… | BeyondTrust


りそな銀行で外部からの大量データ送付に起因する障害が発生し、インターネットバンキングに影響

(12/30) 「復旧済・12月30日(月)1:30時点」「マイゲート・りそなグループアプリ」がご利用いただけない状況が発生│りそな銀行 (アーカイブ)

12月29日(日)21:00頃より、「マイゲート・りそなグループアプリ」がご利用いただけない状況が発生しておりましたが、 12月30日(月)1:15頃に、復旧いたしました。

(12/31) 「重要」「りそなグループアプリ・マイゲート」へ繋がりにくい状況について│りそな銀行

外部からの大量データ送付に起因し、「りそなグループアプリ・マイゲート」が断続的に繋がりにくい状況が発生しております。

(12/30) りそな銀行 ネットバンキング不具合 サイバー攻撃か


みずほ銀行で外部からの大量データ送付に起因する障害が発生し、インターネットバンキングに影響

(12/31) みずほ銀行 (アーカイブ)

2024年12月31日 午前7時頃から10時頃の間、外部からの大量データ送付により、みずほダイレクト・かんたん残高照会が断続的に繋がりにくい事象が発生しておりましたが、現在は通常通りご利用いただけます。

(1/3) みずほ銀行 (アーカイブ)

2025年1月3日 午前9時頃から10時30分頃の間、外部からの大量データ送付により、みずほダイレクト・かんたん残高照会が断続的に繋がりにくい事象が発生しておりましたが、現在は通常通りご利用いただけます。

(12/31) みずほ銀行 ネットバンキングが一時つながりにくい状態に サイバー攻撃の可能性も | NHK | 金融

(12/31) みずほ銀行、ネットバンキング「みずほダイレクト」などで障害 サイバー攻撃で - 日本経済新聞


NTTドコモで DDoS 攻撃による障害が発生し、goo など複数のサービスに影響

(1/2) ドコモからのお知らせ : 【お詫び/暫定復旧】gooサービス及びドコモの一部サービスがご利用しづらい事象について(2025年1月2日午後6時30分時点) | お知らせ | NTTドコモ

2025年1月2日(木曜)午前5時27分頃から、gooサービス及びドコモの一部サービスがご利用しづらい状況でしたが、アクセスしづらい状況については午後4時10分に回復いたしました。

復旧対処に伴い、影響を受けたサービスの一部コンテンツ更新等に影響が出ておりますが、最新の情報は各サービスサイト等で随時お知らせいたしますのでご確認をお願いします。

なお、本日d払いの決済サービスがご利用しづらい状況が発生(午前10時50分から午前11時08分)し、回復しておりますが、ドコモ設備へのDDoS攻撃の影響ではございません。

(1/2) goo blogにアクセスしづらい事象について - goo blog スタッフブログ


米政府が米国への不正アクセスに関与した中国のセキュリティ会社への制裁

(1/3) Sanctioning PRC Cyber Company Involved in Malicious Botnet Operations - United States Department of State

The United States is imposing sanctions today on the Beijing-based cybersecurity company Integrity Technology Group, Incorporated (Integrity Tech), which has links to the People’s Republic of China (PRC) Ministry of State Security, for its role in multiple computer intrusion incidents against U.S. victims.

(1/3) Treasury Sanctions Technology Company for Support to Malicious Cyber Group | U.S. Department of the Treasury

Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) sanctioned Integrity Technology Group, Incorporated (Integrity Tech), a Beijing-based cybersecurity company, for its role in multiple computer intrusion incidents against U.S. victims. These incidents have been publicly attributed to Flax Typhoon, a Chinese malicious state-sponsored cyber group that has been active since at least 2021, often targeting organizations within U.S. critical infrastructure sectors.

(1/3) US sanctions Chinese company linked to Flax Typhoon hackers


攻撃、脅威

複数の Chrome 拡張に不正なコードが挿入される

(12/27) Cyberhaven Incident

(12/31) New details reveal how hackers hijacked 35 Google Chrome extensions


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(12/30) CISA Adds One Known Exploited Vulnerability to Catalog | CISA


その他

今週の気になるセキュリティニュース - Issue #203

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

日本航空で外部からの大量データ受信に起因する障害が発生し、運航やサービスに影響

(12/26) ネットワーク障害による運航への影響について(終報) (アーカイブ)

2024年12月26日7:24から社内外を繋ぐネットワーク機器で障害が発生し、社外システムと通信しているシステムで不具合が発生しておりました。

  • 障害の原因ならびにシステム不具合による影響範囲を特定し、システムは復旧しました。  
  • 本件は、外部からの大量データの受信に起因する障害です。顧客データ流出やウイルス被害は生じておりません。  
  • 2024年12月26日に出発する国内線のJAL Webサイト・JALアプリからの当日アップグレードのお手続き、ならびに空港空席待ちサービスを停止しています。

(12/26) JAL 日本航空にサイバー攻撃 システム不具合は復旧 航空券の販売も再開 | NHK | 航空


三菱UFJ銀行で外部からの大量データ送付に起因する障害が発生し、複数のサービスに影響

(12/26) ネットワーク不具合による各種サービスの影響について(12月26日18時45分時点) | 三菱UFJ銀行

2024年12月26日15時頃より一部のお客さまにおいて、三菱UFJダイレクト(インターネットバンキング)の生体認証の利用が不安定な状態です。 生体認証が利用できない場合は、しばらくお待ちいただいてから再度お試しください。

また、BizSTATION及びCOMSUITE Portalにつきましても、ログインが不安定な状況が続いておりましたが、現在は安定しております。

本不具合は、外部からの不正な大量データ送付に起因するものであり、顧客データ流出やウイルス被害は生じておりません。

(12/26) JALと三菱UFJ銀がサイバー攻撃被害…システム障害で警視庁が通信記録解析へ : 読売新聞


攻撃、脅威

警察庁は FBI、DC3 と共同で、北朝鮮の攻撃者グループ TraderTraitor が DMM Bitcoin の暗号資産を窃取したことを特定したと公表

(12/23) FBI, DC3, and NPA Identification of North Korean Cyber Actors, Tracked as TraderTraitor, Responsible for Theft of $308 Million USD from Bitcoin.DMM.com — FBI

(12/24) 北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について|警察庁Webサイト

  • 令和6年3月下旬、TraderTraitor は、LinkedIn 上で、リクルーターになりすまし、日本に所在する企業向け暗号資産ウォレットソフトウェア会社「株式会社 Ginco」(以下「Ginco」という。)の従業員に接触しました。同サイバー攻撃グループは、Ginco のウォレット管理システムへのアクセス権を保有する従業員に、GitHub 上に保管された採用前試験を装った悪意ある Python スクリプトへの URL を送付しました。被害者は、この Python コードを自身の GitHub ページにコピーし、その後、侵害されました。
  • 令和6年5月中旬以降、TraderTraitor は、侵害を受けた従業員になりすますためにセッションクッキーの情報を悪用し、Ginco の暗号化されていない通信システムへのアクセスに成功しました。同月下旬、同サイバー攻撃グループは、同アクセスを利用して、DMM 従業員による正規取引のリクエストを改ざんしたものと認められます。その結果、4,502.9BTC(攻撃当時約 482億円相当)が喪失しました。最終的に、窃取された資産は TraderTraitor が管理するウォレットに移動されました。

(12/24) 暗号資産の流出リスクへの対応等に関する再度の自主点検要請について:金融庁

(12/24) 暗号資産の流出リスクへの対応等に関する再度の一斉点検実施について | 一般社団法人 日本暗号資産等取引業協会(JVCEA)

協会では、第一種会員である株式会社DMM bitcoinの暗号資産不正流出事案を受け、2024年9月26日に金融庁から公表された「暗号資産の流出リスクへの対応等に関する注意喚起及び自主点検要請について」に基づき会員に対し一斉点検を要請してきたところです。

本日金融庁から公表された「暗号資産の流出リスクへの対応等に関する再度の自主点検要請について」を受け、改めて暗号資産交換業を営む全会員に対して、会員各社の社内態勢について点検するよう要請いたします。

(12/26) 【重要】暗号資産の不正送金に関する警察庁の公表を受けた今後の当社の対応について - DMMビットコイン(2024/12/26)

令和6年12月24日(火)、警察庁より、当社が利用する株式会社Ginco(ギンコ)が開発及び利用提供されているコールドウォレットからの暗号資産の不正送金は、北朝鮮を背景とするサイバー攻撃グループ「TraderTraitor」によるものと特定されたとの公表(以下、「本件公表」)がありました。

本件公表を受け、当社は、株式会社Ginco(ギンコ)に対し、暗号資産窃取の具体的な手口や被害を防止できなかった原因について説明を求め、真相究明に努めて参ります。

(参考) TraderTraitorによるDMM Bitcoinのビットコイン不正流出についてまとめてみた - piyolog


NTTセキュリティが北朝鮮による攻撃キャンペーン Contagious Interview で使用されるマルウェア OtterCookie について報告

(12/25) Contagious Interviewが使用する新たなマルウェアOtterCookieについて | NTTセキュリティテクニカルブログ

SOCでは2024年11月頃から、Contagious InterviewキャンペーンにおいてBeaverTailやInvisibleFerret以外のマルウェアを実行していることを観測しています。私達は新たに観測したマルウェアをOtterCookieと呼び、その調査を行いました。本稿では、OtterCookieについて、その実行フローと詳細な挙動について紹介します。


JPCERT/CC水飲み場攻撃の国内事例を紹介 (Part2)

(12/26) 近年の水飲み場攻撃事例 Part2 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


Cyberhaven の Chrome 拡張が不正なコードに置き換えられる

(12/27) Cyberhaven’s Chrome extension security incident and what we’re doing about it

On December 24, a phishing attack compromised a Cyberhaven employee's credentials to the Google Chrome Web Store. The attacker used these credentials to publish a malicious version of our Chrome extension (version 24.10.4). Our security team detected this compromise at 11:54 PM UTC on December 25 and removed the malicious package within 60 minutes.

(12/27) Cyberhaven’s preliminary analysis of the recent malicious Chrome extension

Although analysis of the attack is still in progress, we now understand this was part of a larger campaign to target Chrome Extension developers. Public reports from security researchers have suggested that Chrome extensions from several different companies were compromised and our initial analysis points to a non-targeted attack. From analysis of some of the compromised machines, the primary motive for the attack was to target Facebook Ads accounts.

(12/27) Cybersecurity firm's Chrome extension hijacked to steal users' data


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 1 個の脆弱性を追加

(12/23) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2021-44207 Acclaim Systems USAHERDS Use of Hard-Coded Credentials Vulnerability


Palo Alto Networks の PAN-OS にサービス妨害の脆弱性 (CVE-2024-3393)

(12/27) CVE-2024-3393 PAN-OS: Firewall Denial of Service (DoS) in DNS Security Using a Specially Crafted Packet

Palo Alto Networks is aware of customers experiencing this denial of service (DoS) when their firewall blocks malicious DNS packets that trigger this issue.


その他

JNSA が 2024セキュリティ十大ニュースを発表

(12/25) JNSAセキュリティ十大ニュース


防衛省経済産業省および IPA が連携強化のための協定を締結

(12/27) 防衛省・自衛隊:サイバーセキュリティ分野における防衛省・経済産業省・IPAによる包括的な連携協定

今週の気になるセキュリティニュース - Issue #202

Revue アレかね

ポッドキャスト収録用のメモですよ。

podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。


事件、事故

Amnesty International がセルビア当局による市民への監視活動に関するレポートを公開

(12/16) “A Digital Prison”: Surveillance and the suppression of civil society in Serbia - Amnesty International Security Lab

(12/15) Project Zero: The Qualcomm DSP Driver - Unexpectedly Excavating an Exploit


CISA連邦政府機関向けにクラウドサービスのセキュリティ強化を義務付ける運用指令 BOD 25-01 を発行

(12/17) BOD 25-01: Implementing Secure Practices for Cloud Services | CISA

(12/17) BOD 25-01: Implementation Guidance for Implementing Secure Practices for Cloud Services | CISA


アイルランドの Data Protection Commission (DPC) が Meta に対して GDPR 違反による €251M の制裁金

(12/17) Irish Data Protection Commission fines Meta €251 Million | 17/12/2024 | Data Protection Commission


財務省北朝鮮の暗号資産マネーロンダリングネットワークに対して制裁

(12/17) Treasury Disrupts North Korean Digital Assets Money Laundering Network | U.S. Department of the Treasury


攻撃、脅威

ESET が 2024年下半期の脅威レポート "ESET Threat Report H2 2024" を公開

(12/16) ESET Threat Report H2 2024


Trend Micro がロシアの攻撃者グループ Earth Koshchei の攻撃活動について報告

(12/17) Earth Koshchei Coopts Red Team Tools in Complex RDP Attacks | Trend Micro (US)


JPCERT/CC水飲み場攻撃の国内事例を紹介

(12/19) 近年の水飲み場攻撃事例 Part1 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ


脆弱性

CISA が Known Exploited Vulnerabilities (KEV) カタログに 2+1+4+1 個の脆弱性を追加

(12/16) CISA Adds Two Known Exploited Vulnerabilities to Catalog | CISA

(12/17) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-55956 Cleo Multiple Products Unauthenticated File Upload Vulnerability

(12/18) CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA

  • CVE-2018-14933 NUUO NVRmini Devices OS Command Injection Vulnerability
  • CVE-2022-23227 NUUO NVRmini 2 Devices Missing Authentication Vulnerability
  • CVE-2019-11001 Reolink Multiple IP Cameras OS Command Injection Vulnerability
  • CVE-2021-40407 Reolink RLC-410W IP Camera OS Command Injection Vulnerability

(12/19) CISA Adds One Known Exploited Vulnerability to Catalog | CISA

  • CVE-2024-12356 BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection Vulnerability


その他