2023年6月前半に収集した情報に関する備忘録です。主にセキュリティに関する情報をまとめますが、それ以外の気になる情報も含みます。長いので目次をご活用ください(目次だけで十分な可能性も…)。
■ インシデント関連
ファイル転送「Smooth File」などで40時間近いアクセス障害 ランサムウェア攻撃の影響で (ITmedia, 2023/06/14)
PPAP対策として導入した企業が多いと思うので、機密性への影響が大きい事案だと思います。
追記:VPNの脆弱性が侵入経路のようです。重大な脆弱性が多く見つかっていますが、パッチは当ててなかったのでしょうか…。
AWS米国リージョンで約4時間の障害 米公共機関やルンバ、マックにも影響か (ITmedia, 2023/06/14)
日本だと朝起きれなかった人がたくさんいそうです。
「バンダイナムコID」で障害 新作ゲーム“ブルプロ”リリース直後に 「アイマス」「ガンダム」など影響範囲は多数 (ITmedia, 2023/06/14)
共通認証基盤がパンクしたようです。
パーパスのマルウエア被害、ソフトウエアを暗号化されるも「脅迫は受けていない」 (日経クロステック, 2023/06/14)
単に情報窃取を狙った攻撃だったのでしょうか。今回、事業者向けサービスが被害に遭ったことで、エネルギー各社に影響が出ているようです。
アトミックウォレットの不正アクセス事件 被害額は1億ドル以上に=エリプティック分析 (コインテレグラフジャパン, 2023/06/14)
https://jp.cointelegraph.com/news/north-korean-hackers-swipe-over-100m-from-atomic-wallet-users
暗号資産関連のインシデントは被害規模が大きいですね…。
杉並区の委託事業者へのランサムウェア攻撃、サーバ内の全データが暗号化被害 (ScanNetSecurity, 2023/06/14)
侵害経路が気になります。
杉並区のプレスリリースはこちら:https://www.city.suginami.tokyo.jp/news/r0506/1088188.html
トヨタ紡織の欧州子会社で不正アクセス、一部のデータを盗まれる (日経クロステック, 2023/06/12)
重要な情報を扱っている箇所がピンポイントでやられています。
「復旧めど立たず」 クラウドベンダーがランサムウェア被害に 8サービスがダウン、約4日経過 (ITmedia, 2023/06/09)
業務影響が大きそうな事案。
追記:やはり影響は大きいようです。
三重県自治体情報セキュリティクラウドにサイバー攻撃、ホームページに閲覧障害 (ScanNetSecurity, 2023/06/09)
DDoS 攻撃でしょうか。
Ukrainian hackers take down service provider for Russian banks (BleepingComputer, 2023/06/09)
ウクライナのハッカーがロシアの銀行システムを攻撃している、との記事。侵攻の初期から、ロシアの金融業界に対する攻撃が行われているようです。
コクヨにサイバー攻撃 バックアップシステムで業務に支障なし 個人情報流出は現時点で確認されず (ABCニュース, 2023/06/08)
バックアップは大事です。報道だと流れ弾に当たっただけのようにも見えます。
PC遠隔操作で500万円不正送金か ベトナム国籍の男を逮捕 (朝日新聞, 2023/06/07)
サポート詐欺(不正送金)の初の検挙事例とのこと。黒幕がいると思いますが…。
エーザイ 「ランサムウエア」サイバー攻撃 複数サーバーに被害 (NHK, 2023/06/06)
侵入経路が気になります。
全国44.6万回線に及ぶ通信障害 特殊なパケットで未知のバグが発現 (日経クロステック, 2023/06/06)
2023年4月に発生した通信障害に関する記事。
■ 脆弱性・TTP関連
堺化学工業 役員をかたる不審メールに注意を呼びかけ (ScanNetSecurity, 2023/06/15)
BEC に使われているのでしょうか。ただし英文メールということなので、あまり熟れていない印象を受けます。
Critical RCE Flaw Discovered in Fortinet FortiGate Firewalls - Patch Now! (The Hacker News, 2023/06/12)
SSL-VPN に関する FortiGate の脆弱性に関する記事。RCE ができるようなので、深刻度は非常に高いです。
「水道料金滞納」「給水停止」と不安煽る水道局装うSMS (Security NEXT, 2023/06/12)
差出人が公的機関の場合、最初から疑ってかからないと引っかかる可能性が高そうです。
Windowsの深刻な脆弱性、PoCが公開される - 注意を (日経クロステック, 2023/06/10)
ローカル権限昇格の脆弱性に関する注意喚起です。修正プログラムは公開済みなので、慌てずパッチ適用ですね。
8700万人がダウンロード、Google ChromeのWebストアに悪意ある拡張機能 - 確認を (日経クロステック, 2023/06/06)
利用者自身が気づくことは無理なので、情報をキャッチしたらすぐに対応をするべきですね。
Palant のレポートはこちら:https://palant.info/2023/05/31/more-malicious-extensions-in-chrome-web-store/
Hackers hijack legitimate sites to host credit card stealer scripts (BleepingComputer, 2023/06/04)
サイバー犯罪グループ Magecart が攻撃を行うために、脆弱なサイトを乗っ取って C2(悪意ある命令の司令サーバ)として悪用している、という記事。被害者が加害者になってしまうというのは、サイバーセキュリティ分野のポイントの一つだと思います。
Akamai のレポートはこちら:https://www.akamai.com/blog/security-research/new-magecart-hides-behind-legit-domains
本人そっくりな声で仕掛ける詐欺の手口、AIでさらに巧妙になる「オレオレ詐欺」 (INTERNET Watch, 2023/06/02)
AI 生成音声でのビジネスメール詐欺は数年前から海外で報告されていますが、近い将来日本にも上陸するかもしれないです。
McAfee のレポートはこちら:https://www.mcafee.com/content/dam/consumer/en-us/docs/fact-sheets/fs-mcafee-ai-voice-scam-survey-japan.pdf
■ ガイドライン関連
EU離脱で実現? 英国が2024年に施行する新たな「最低限のセキュリティ基準」 (INTERNET Watch, 2023/06/08)
シンプルですがとても効果的な基準だと思います。
フィッシング対策協議会、2023年度版のガイドラインを公開 (TECH+, 2023/06/06)
技術動向や環境動向、攻撃手口等移り変わりが激しい分野なので、キャッチアップに使える良い資料だと思います。
フィッシング対策協議会のリリースはこちら:https://www.antiphishing.jp/report/guideline/antiphishing_guideline2023.html
■ AI 関連
欧州議会、AI規制法案を可決 「ChatGPTなどは透明性要件を順守すべし」 (ITmedia, 2023/06/15)
欧州は進んでいますね。日本でも特に著作権周りの整備を進めてほしいところです。
Deepfake Cyber Attack Hits Russia: Fake Putin Message Broadcasted (HackRead, 2023/06/07)
プーチン大統領のディープフェイク動画が放映された、という記事。侵攻初期にウクライナが受けた偽旗作戦の意趣返しでしょうか。反転攻勢の一環なのでしょうね。
将棋「学生名人戦」 優勝者が対局中にAIアプリ使用 失格に (NHK, 2023/06/06)
将棋に限らず、今後様々な場面で違反が出てきそうに思います。
「ChatGPT」に使われる言語モデル「GPT」からうまく答えを引き出すためのOpenAI公式ガイド (Gigazine, 2023/06/06)
ベストプラクティスのひとつになるでしょう。
東大の「教員向けChatGPT講座」無料公開 「多くの教員が困るだろう」から (ITmedia, 2023/06/01)
教育機関に限らず有用な内容だと思います。
講座のページはこちら:https://edulab.t.u-tokyo.ac.jp/2023-05-13-report-event-chatgpt-course/
■ トピックス
Microsoft、Windows 10, version 21H2のサポートを終了 (ITmedia, 2023/06/15)
Windows 10 のサポート終了が見えてきました。
脅威のアフィリエイト料率 ~ RaaS 組織潜入報告 (ScanNetSecurity, 2023/06/13)
完全に「ビジネス」ですね。
Group-IB のレポートはこちら:https://www.group-ib.com/blog/qilin-ransomware/
政府機関を装って「Vプリカ」を狙うネット詐欺が激増中、電力会社を騙ることも。詐欺サイトに誘導する手口に注意 (INTERNET Watch, 2023/06/09)
フィッシングが大流行しています。
SECが仮想通貨バイナンス提訴 違法に投資家勧誘の疑い (日本経済新聞, 2023/06/06)
暗号資産業界に対するルールの整備はまだまだこれからのようです。
「セキュリティークリアランス」“制度創設へ法整備” 高市氏 (NHK, 2023/06/06)
個人的には果たして正しく運用されるのか疑問です。
検索が危ない!? 悪用されるネット広告 (NHK, 2023/06/05)
非営利でない以上仕方ない面もありますが、インフラとしての公共性・公正性を両立する必要があると思いますので、難しいですね。すべての利用者に完璧な自衛を強いるのは難しいので、検索サイト側の取り組みにも期待したいです。
政府が医療DX工程表、クラウド標準電カルを2030年までにおおむね全医療機関へ (日経クロステック, 2023/06/02)
アクセルを踏みすぎている感もありますが、果たして医療機関の側がついていけるのか気になります。
IIJ、6月16日施行の「Cookie規制」 を解説〜多くのサイトやアプリが対象になり、情報の公表などが義務に (INTERNET Watch, 2023/06/01)
改正個人情報保護法と改正電気通信事業法に関する解説記事。幅広いサイトについて対応が必要になる話なので、正しい理解のためにもキャッチアップが必要です。
IIJ の特設サイト「世界のプライバシー保護規制対応を支援するサイト」はこちら:https://portal.bizrisk.iij.jp/