見出し画像

Daily Security Info - 2024/09/29

2024年9月30日 07:09

Tools

Ransomwareグループが使うツールのマトリックス
- 攻撃グループの特定や備えに使える情報

malware campaign

N/A

security report

N/A

cybercrime topics

N/A

日々のニュース要約

アイルランド、Metaに平文パスワード保存で9100万ユーロの罰金を課す

https://www.bleepingcomputer.com/news/legal/ireland-fines-meta-91-million-for-storing-passwords-in-plaintext/

要約
- Metaがユーザーパスワードを暗号化せずに保存したことで、アイルランドのデータ保護委員会は9100万ユーロの罰金を科した。
- 問題は2019年に発覚し、Metaは内部システム上で数百万のパスワードを平文で保管していた。
- 調査により、外部からの不正アクセスは確認されていないが、GDPR違反として罰金が科された。
- 関連するGDPR条項には、データ侵害通知や適切なセキュリティ対策の不足が含まれる。
- Metaは定期的なセキュリティレビュー中に発見し、自発的に問題を報告したことは罰金を決めるうえで考慮された。
IOCの列挙
- IOC情報なし
推奨事項
- 暗号化や適切なセキュリティ対策を強化すること。
- GDPRに従い、データ侵害の際の迅速な通知を行うこと。
その他
- なし
ChatGPTの推奨事項
- 暗号化と適切なアクセス制御をすぐに導入する。

イランのハッカーが選挙干渉を狙った「ハッキングとリーク」作戦で起訴

https://www.bleepingcomputer.com/news/security/iranian-hackers-charged-for-hack-and-leak-plot-to-influence-election/

要約
- イランのハッカー3人が、2024年米大統領選への干渉を目的とした「ハッキングとリーク」作戦で起訴された。
- 攻撃は、アメリカ政府の元高官や現職高官、複数のアメリカ政治キャンペーンの関係者、メディア関係者のアカウントをハッキング。2024年5月に標的をトランプ大統領選挙運動に関係する個人に移した。
- 非公開の文書が盗まれ、メディアにリークされる試みがあった。
- 攻撃は2020年から継続しており、個人情報のフィッシングも含まれていた。
- 実行犯はイランの革命防衛隊と関連している。
IOCの列挙
- IOC情報なし
推奨事項
- 政治キャンペーンや個人情報の保護を強化すること。
- スピアフィッシング対策の教育を徹底すること。
その他
- イランの国家支援によるハッカーの活動。
ChatGPTの推奨事項
- フィッシング対策の強化をすぐに行う。

Microsoft、Windows Recallが削除可能に、より安全に

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-recall-now-can-be-removed-is-more-secure/

要約
- Windows Recall機能がセキュリティとプライバシーを強化し、削除可能になったとMicrosoftが発表。
- Recallは、ユーザーの操作履歴を記録するが、暗号化やアクセス制御が強化された。
- ユーザーはRecall機能をオンにしない限りデータが保存されず、削除や停止も可能。
- Recallは、ユーザーコントロール、機密データの暗号化、サービスの分離、意図的な使用という4つのコア原則に基づいて動作するように再設計された。
- Recallはデバイスにローカル保存され、他のユーザーやMicrosoftと共有されない。
IOCの列挙
- IOC情報なし
推奨事項
- 機能を使用する場合は、暗号化設定やアクセス制御を有効にする。
その他
- マイクロソフトがWindows Recall機能を削除できるようにした理由は、顧客からのフィードバックとセキュリティ上の懸念によるもの。
ChatGPTの推奨事項
- Recallの使用時は必ず暗号化とセキュリティ設定を確認する。

Embargoランサムウェア、クラウド環境への攻撃を強化

https://www.bleepingcomputer.com/news/security/embargo-ransomware-escalates-attacks-to-cloud-environments/

要約
- Embargoランサムウェアのアフィリエイトである攻撃グループStorm-0501は、ハイブリッドクラウド環境を標的にした新たな戦術を採用。
- 資格情報の悪用や特権アカウントの利用を通じてクラウド環境へのアクセスを獲得し、データを盗み、ランサムウェアペイロードを実行することを目的としている。
- 初期アクセスの取得方法は、侵害された、または購入した資格情報を使用、または既知の脆弱性を悪用すること。
- アクセスを取得した後、攻撃者は、Microsoft Entraテナント内に新しいフェデレーションドメインを作成することにより、永続的なバックドアを配置。
- 攻撃者は、被害者のオンプレミスおよびクラウド環境にEmbargoランサムウェアを展開するか、後のためにバックドアアクセスを維持。
IOCの列挙
- IOC情報なし
推奨事項
- クラウドとオンプレミス間の認証強化を行う。
- MFA（多要素認証）を必須化する。
その他
- 攻撃者はイランのStorm-0501グループ。
ChatGPTの推奨事項
- クラウド認証情報のセキュリティを強化する。

Progress、WhatsUp Goldの重大な脆弱性の早急なパッチ適用を推奨

https://www.bleepingcomputer.com/news/security/progress-urges-admins-to-patch-critical-whatsup-gold-bugs-asap/

要約
- ProgressはWhatsUp Goldの重大な脆弱性に対し、早急なパッチ適用を呼びかけている。
- 6つの脆弱性が報告され、そのうちCVE-2024-46909とCVE-2024-8785はCVSSスコア9.8で特に危険。
- 既に攻撃が確認されており、バージョン24.0.1へのアップデートが推奨される。
IOCの列挙
- IOC情報なし
推奨事項
- WhatsUp Goldのバージョン24.0.1に即座にアップデートする。
- 未更新システムは直ちに対策を講じること。
その他
- なし
ChatGPTの推奨事項
- すぐに最新バージョンにアップデートする。

CUPSの脆弱性によりLinuxのリモートコード実行が可能、ただし条件あり

https://www.bleepingcomputer.com/news/security/cups-flaws-enable-linux-remote-code-execution-but-theres-a-catch/

要約
- CUPSの脆弱性によりリモートコード実行が可能になるが、デフォルト設定では無効。
- 有効化されたcups-browsedデーモンを利用し、悪意あるプリンター設定で攻撃可能。
- 実行にはローカルネットワークで特定の条件を満たす必要があるため、実際の影響は限定的。
  - 条件1: 標的となるシステムでは、cups-browsedデーモンが有効になっている必要がある。デフォルトでは無効であり、ネットワーク上でUDPポートを公開するために必要。
  - 条件2: 攻撃者は、ユーザーをだまして、マシン上に突然現れた悪意のあるプリンターサーバーから印刷させなければならない。
IOCの列挙
- IOC情報なし
推奨事項
- cups-browsedデーモンを停止し、再起動時に自動起動しないよう設定する。
その他
- なし
ChatGPTの推奨事項
- cups-browsedデーモンを無効にする。

日本のインシデント事例

その他のメモ

N/A

この記事が気に入ったらサポートをしてみませんか？