2025.04.03(木)
- 注目検索ワード
2024 年 11 月に公開された Angular-Base64-Upload に存在する脆弱性に対するエクスプロイトコードが公開されています。
Cloudflare の脅威インテリジェンス部門の責任者であるブレイク・ダーシェは、同社顧客のうち 14 名が、航空宇宙、保険、州政府、家電、旅行、教育など、さまざまな分野にわたるこの新興フィッシングキャンペーンの標的になるのを目にしてきたと語った。
ハッキングの対象として選んだのは「Sonos One」という IoT ワイヤレススピーカーだ。なぜそれを選んだのか。「どうせやるんなら僕は他人と違う題材をネタに選ぶ。Sonos のスピーカーのハッキングに成功したものはまだいない。いないということは賞金も高いということだ(ツァイ氏)」
政府ができていない実効性ある対策はとっくに市民によって行われていた。起きていたのに誰もこれに気づかなかったのはメディアが報道してこなかったことも理由のひとつだろう。こうした市民の活動は、VCDs(Voluntary Collective of Defenders:自発的集団防御)と呼ばれる。VCDs は、2024 年 8 月に英国で起きた暴動でも活躍した。市民たちは、あらかじめ暴徒が現れる場所を特定、共有し、事前にそこに集まって、暴徒たちが騒ぎを起こすのを抑止した。
カンザス州のハートランド・トライステート銀行の最高経営責任者 シャン・ヘインズ(53)は、自らが率いたハートランド・トライステート銀行を破綻させた。ヘインズは、いわゆる「豚の屠殺」と呼ばれる暗号資産の詐欺に誘い込まれた。彼は銀行で絶大な力を持ち、地域社会でも著名な人物であったため、銀行の従業員は CEO の行動に疑問を持ったり報告したりすることをためらった可能性がある。
議会公聴会の直後、上院財政委員会の委員長ロン・ワイデンは書簡を送り、今回の事件は完全に防げたものであり、企業の怠慢が事件の直接的原因であると述べた。書簡では、問題の原因は UHG の CISO(最高情報セキュリティ責任者)スティーブ・マーティンの経験不足にあると見られる、とされ、マーティンは「UHG でサイバーセキュリティの責任者に昇進するまで、フルタイムでサイバーセキュリティ職務に就いたことがない」らしい、と書かれている。
事件でセキュリティ技術者が逮捕されるたび杉浦は苛立ちを募らせた。それは、一度逮捕されるとあとでたとえ釈放されても社会復帰することが非常に難しくなる、つまり「戻ってこれなくなってしまう」ことだった。
これだけだとよくある事務作業が出来ない職員の話だが、SCAN的に引っかかったのは「通知書の送付を失念したため未送付が発覚しないようシステムに不正アクセスし納期限を勝手に変更した」という点だ。「事務作業をするくらいならシステムへの不正アクセスすら辞さない」という間違った方向への全振りがいっそすがすがしい。
2024 年 7 月に公開された Microsoft Windows OS に存在する脆弱性に対するエクスプロイトコードが公開されています。
最も重大な行為として、メニューをダウンロードして改ざんしアレルゲン情報を削除したことでも告発されている。この情報を削除することで、安全ではない食品が安全であると示唆されることになる。訴状で指摘されているとおり、この行為は、ディズニーがすでによく知っているアレルギーによる致命的な結果を引き起こす可能性があった。「それらのメニューは、レストランに発送される前に(ディズニーによって)特定されて分離され、それより先に配布されることはなかったと考えられる」と、訴状は指摘している。
人々が期待を寄せるように、セキュリティの分野ではスキルを持つ人材が不足していることから、一部の企業には無限の可能性がある。6 桁の給与を得ることも珍しくはない。しかし、GCHQ には、他のほとんどの企業が提供できないチャンスがある。それは、英国のサイバーセキュリティハブの一員となって自国を守ることだ。ただし、自分の仕事を友人や家族に伝えられないという代償を伴う。この代償は、払うには高いかもしれないが。
![回避ツール「EDRサイレンサー」ほか [Scan PREMIUM Monthly Executive Summary 2024年10月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/46709.jpg)
オープンソースの EDR 回避ツール「EDRSilencer」が攻撃に利用されていることが報告されています。この種のツールの多くは、レッドチームに携わるセキュリティ研究者が開発しており、EDRSilencer もセキュリティ愛好家の Chiris Au 氏が開発したものです。
WordPress で作成された Web サイトのバックアップを取得し、他のサーバへ移行するプラグインとして世界的に利用されている All-in-One WP Migration and Backup に、遠隔からの任意のコード実行につながる脆弱性が報告されています。脆弱性は、バックアップ作成時のエクスポート処理に存在します。
「言い訳っぽくなりますが、診療報酬というものに基づいて事業を行っている医療機関は、サイバー攻撃対策をいくらやっても診療報酬では戻ってこない。だから予算を組まない……という、構造的な事情があるということは、これまでも指摘されていたところです(深津代表理事 [取材時の肩書])」
安全性を高めるため証明書の最大有効期間は年を追って徐々に短くなってきた。2011 年以前は最長で約 8 年だったものが、2020 年には約 13 ヶ月になった。Apple の提案が受け入れられれば、証明書の最大有効期間は 2025 年 9 月から 200 日に短縮され、その 1 年後には 100 日に、そして 2027 年 4 月以降は 45 日まで短くされる。この提案には、ドメイン認証(DCV)の有効期間を段階的に短縮し、2027 年 9 月以降は 10 日にすることも含まれている。
ここで改めてことわっておくが「即時解除」とはサノフィ株式会社のリリースに記載された文言である。複数名及び複数組織のステークホルダーによるチェックという長い道のりを経て公開されたリリースに「即時解除」とあった訳で、強い怒りを感じさせることを厭わないこんなワードが再発防止策として記載されたのを目にしたのは、年間 1,000 本は情報漏えいのリリースを読んでいる筆者にとってもめったにない経験であることを記しておく。
2024 年 8 月に公開された Jenkins サーバの脆弱性を悪用する、エクスプロイトコードが公開されています。
空売り投資家が 4 月に、グローブ・ライフで詐欺行為が広く行われ、女性従業員へのレイプや麻薬使用、見返り要求などを可能にした「セクハラ文化」が存在すると訴える報告書を発表し同社株価は急落した。新たに明らかになったのは、恐喝未遂の背後にいる正体不明の脅威アクターが、空売り投資家にも影響を及ぼそうとしたという事実である。
認識を誤らせる心理に「確率的な損失と確定的な損失」の評価の違いがある。たとえば、100 %の確率で 1,000 万円損失するリスクと、10 %の確率で 1 億円を失うリスクがあった場合、一般的な人は後者を選ぶだろう。だが、期待値はどちらも同じ(1000万円)である。確率的な損失なら「自分は助かる側に入る」と、のんきに楽観性バイアスが語る幻想を信じてしまう。
一部の詐欺師は AI 支援型のソーシャルエンジニアリングツールを使用しており、ディープフェイクを使用した破壊的攻撃の可能性もあるが「一般的にこの技術は、大半のサイバー犯罪者が求めるような高い投資収益率を期待できるものではない」と彼女は言った。「私は 3 文字表記の機関に友人や接点がありますが、彼らによると、国家による攻撃はディープフェイクの作成からは目を背け、電話を使った、より伝統的ボイスフィッシングの手法に戻りつつあるようです」とデニス氏は述べた。
![活況 InfoStealer/財政難原因か ロンドン公共交通攻撃/GeoServer 脆弱性/毒殺からサイバー攻撃まで 露精鋭部隊 ほか [Scan PREMIUM Monthly Executive Summary 2024年9月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/46363.jpg)
注目のインシデントとして、英国のロンドンの公共交通機関(Transport for London, TfL)に対するサイバー攻撃事件について報じられています。
