セキュリティニュース 2023/11/29

[脆弱性]
■Google Chrome emergency update fixes 6th zero-day exploited in 2023
https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2023/

■iOS 17.1.2は今週リリース?Wi-Fi接続の不具合に対処か
https://www.appps.jp/390432/

Appleは約2週間半前にiOS 17.1.1をリリースしましたが、バグ修正のため、iOS 17.1.2を間もなくリリースするのではないかとレポートがあり、話題になっています。

■キャプティブポータルを提供する「OpenNDS」に複数の深刻な脆弱性
https://www.security-next.com/151490

■脅威情報共有プラットフォーム「MISP」に脆弱性 – 最新版へ更新を
https://www.security-next.com/151457

■「Concrete CMS」に新板 – 複数脆弱性を修正
https://www.security-next.com/151453

■WordPressプラグインの11月セキュリティパッチ最新情報
https://news.mynavi.jp/techplus/article/20231128-2827247/

■バックアップソフト「Arcserve UDP」に脆弱性 – アップデートがリリース
https://www.security-next.com/151494

■Hackers start exploiting critical ownCloud flaw, patch now
https://www.bleepingcomputer.com/news/security/hackers-start-exploiting-critical-owncloud-flaw-patch-now/

Hackers are exploiting a critical ownCloud vulnerability tracked as CVE-2023-49103 that exposes admin passwords, mail server credentials, and license keys in containerized deployments.

[インシデント・情報漏洩]
■LINE個人情報44万件流出か…韓国ネイバー委託先へのサイバー攻撃きっかけ、共通基盤の分離急務
https://gunosy.com/articles/eM3Nf

無料通信アプリ「LINE」の利用者情報など、約44万件の個人情報が流出した可能性がある問題で、鈴木総務相は28日、「大変遺憾だ」と述べた。アプリを提供するLINEヤフーでは、利用者データの扱いを巡る問題が相次いでおり、対応が急務となっている。

■不正アクセスによる、情報漏えいに関するお知らせとお詫び LINE ヤフー株式会社
https://www.lycorp.co.jp/ja/ir/news/auto_20231127594672/pdfFile.pdf

■不正アクセス発生による個人情報流出可能性について(第 2 報) マツダ株式会社
https://newsroom.mazda.com/ja/publicity/release/2023/202311/231128a.pdf

■複数端末やサーバがランサム被害、情報流出の可能性 – 中嶋製作所
https://www.security-next.com/151466
https://www.nakamatic.co.jp/.assets/possibility_of_information_leakage.pdf

■観音寺市運営のLINEアカウントから個人情報閲覧可能な状態に…URLのリンクミスが原因
https://news.ksb.co.jp/article/15068782

観音寺市は、市の公式LINEアカウントで、誤って市民1人の個人情報が閲覧可能な状態だったと発表しました。

■開示請求者の情報がサイト上で閲覧可能に – 都交通局
https://www.security-next.com/151424

■システム開発用クラウドサーバーのセキュリティ設定不備によるお客様情報等の外部漏えいについて 積水ハウス株式会社
https://www.sekisuihouse.co.jp/company/topics/library/2023/20231128/20231128.pdf

■JAXAにサイバー攻撃か、宇宙開発の「機微」閲覧の恐れ…警察から連絡受けるまで気づかず
https://www.yomiuri.co.jp/politics/20231128-OYT1T50242/

宇宙航空研究開発機構( JAXAジャクサ )が今年夏頃、サイバー攻撃を受けていたことが複数の関係者への取材でわかった。組織内のネットワークを一元管理する中枢サーバーが不正アクセスされ、日本の宇宙開発に関する機微な情報を自由に閲覧できた恐れがある。JAXAは政府や警察と連携し、全容解明を急いでいる。

■JAXAへの不正アクセスについてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/11/29/123934

[脅威]
■不正な暗号資産マイナーやルートキットの感染を招く脆弱性「CVE-2023-46604(Apache ActiveMQ)」
https://www.trendmicro.com/ja_jp/research/23/k/cve-2023-46604-exploited-by-kinsing.html

Apache ActiveMQの脆弱性「CVE-2023-46604」を突いてマルウェア「Kinsing(別称:h2miner)」や暗号資産マイナーをインストールさせる攻撃活動について調査しました。本攻撃活動は現在も進行中であり、標的としてLinuxシステムが狙われています。

■Hackers Can Exploit ‘Forced Authentication’ to Steal Windows NTLM Tokens
https://thehackernews.com/2023/11/hackers-can-exploit-forced.html

Cybersecurity researchers have discovered a case of “forced authentication” that could be exploited to leak a Windows user’s NT LAN Manager (NTLM) tokens by tricking a victim into opening a specially crafted Microsoft Access file.

[セキュリティ関連]
■チェック・ポイント・リサーチ、2023年10月に最も活発だったマルウェアを発表
https://prtimes.jp/main/html/rd/p/000000254.000021207.html

■脆弱性対策のカギは真の影響を見極めること、不要な情報を減らす
https://news.mynavi.jp/techplus/article/20231128-2827551/

Sysdigは11月24日(米国時間)、「The Power of Library-Based Vulnerability Detection. – Sysdig」において、増え続ける脆弱性に対処する際の課題と対策について伝えた。企業や組織が脆弱性に対応するプロセスを次の4つの工程に分類し、3番目にあたる「脆弱性の比較」の課題と対策について解説している。

■「QRコード攻撃」があなたを襲う メールも紙も信用できない
https://kn.itmedia.co.jp/kn/articles/2311/28/news021.html

■複数の事業を行う暗号資産企業の破綻、実体経済への大きな脅威ではない:金融安定理事会
https://www.coindeskjapan.com/210136/

金融安定理事会(FSB)が11月28日に発表した報告書によると、複数の活動を行っている暗号資産企業の倒産は「実体経済」 に対する大きな脅威ではないという。

■前対応型のサイバーセキュリティに生成AIを活用する方法
https://news.mynavi.jp/techplus/article/20231128-2824921/

世界中で生成AIについて議論されていますが、リスクだけでなく、その活用方法についても注目されています。生成AIの強力な機能は、凶悪な目的ばかりに使用されているわけではなく、組織をサイバー攻撃から守るための有用なツールにもなり得ます。

■100万件の大規模Webサイト調査で見えた、ずさんで危険なパスワード管理の実態
https://xtech.nikkei.com/atcl/nxt/column/18/00676/112600155/

Webサービスの多くは、パスワードで正規のユーザーかどうかを確認する。このためユーザーとして気になるのは、Webサービスを提供するWebサイトのパスワード管理だ。

■2024年以降のサイバーセキュリティを大胆予測、生成AIによりリスク高まる
https://news.mynavi.jp/techplus/article/20231129-2828557/

CyberArk Softwareは11月27日(米国時間)、「Cybersecurity Predictions for 2024 and Beyond」において、2024年以降のサイバーセキュリティの予測について伝えた。これはCyberArkの調査、顧客やパートナとのやり取り、業界のコラボレーションに基づくものだという。

■ 受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか
https://scan.netsecurity.ne.jp/article/2023/11/29/50299.html

■ルーター不具合による韓国行政ネットワークの大規模なシステム障害についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2023/11/28/234747

■MMORPGゲームにランサムウェア攻撃、すべてのアカウントが破壊される
https://news.mynavi.jp/techplus/article/20231128-2828554/

Bleeping Computerは11月27日(米国時間)、「Ransomware attack on indie game maker wiped all player accounts」において、MMORPGゲーム「Steam:Ethyrial: Echoes of Yore」がランサムウェア攻撃を受け、すべてのユーザーアカウントが破壊され、ユーザのゲーム内アイテムとゲームの進行状況が消去されたと報じた。このゲームはインディーゲームパブリッシャーの「Gellyberry Studios」が開発中の基本プレイ無料のゲームとされる。

■広告ブロッカーの素晴らしさをもっと認識しよう
https://gblogs.cisco.com/jp/2023/11/talos-threat-source-newsletter-nov-16-23/

■インシデント対応計画を策定する際のよくある 7 つの間違いとその回避方法
https://gblogs.cisco.com/jp/2023/11/talos-seven-common-mistakes-companies-make-when-creating-an-incident-response-plan-and-how-to-avoid-them/

■賢い選択を:子どもが使うデジタル機器の安心・安全ガイド  | カスペルスキー公式ブログ
https://blog.kaspersky.co.jp/kids-first-gadget-checklist/35121/

■グーグル、「サイバーセキュリティガイドブック(小中高教育機関向け)」の日本語版を公開
https://edu.watch.impress.co.jp/docs/report/1549802.html

グーグルは2023年11月21日、小中高の教育現場におけるセキュリティ対策を示した「サイバーセキュリティガイドブック(小中高教育機関向け)」の日本語版を公開した。セキュリティ設定の方法やセキュリティ対策について、英語版を踏襲しながら、1人1台環境にある日本の教育現場にあわせた内容を加えたものになる。

[セミナー/研修/製品紹介等]
■Mandiant のインテリジェンス採用「IIJ アタックサーフェスアセスメントソリューション」
https://s.netsecurity.ne.jp/article/2023/11/28/50292.html

株式会社インターネットイニシアティブは11月22日、サイバー攻撃の対象となりうるIT資産を検出し、リスク評価を行なう「IIJアタックサーフェスアセスメントソリューション」を同日から提供すると発表した。

■IIJ、アカウント情報漏えいの検知・対応を支援するソリューションを提供
https://cloud.watch.impress.co.jp/docs/news/1550314.html

■組織的なサイバー攻撃対応能力向上につながる「メール訓練サービス(ハイブリッド型攻撃メール訓練サービス)」のリリースについて
https://prtimes.jp/main/html/rd/p/000000004.000124846.html

[その他(セキュリティ問わず)]
■Windows Updateの新ポリシー「オプションの更新プログラムを有効にする」の効果を検証
https://atmarkit.itmedia.co.jp/ait/articles/2311/29/news009.html

目次