セキュリティニュース 2023/12/25

[脆弱性]
■「Tera Term 5.1」が公開 ~SSHプロトコルで発見された脆弱性「Terrapin Attack」に対処
https://forest.watch.impress.co.jp/docs/news/1555812.html

■「Chrome」、最新アップデートで複数の機能強化–安全確認やタブグループなど
https://japan.zdnet.com/article/35213195/

■情報コンセント型ルータやビデオ監視システムの脆弱性が標的に – 米当局が注意喚起
https://www.security-next.com/152170

[インシデント・情報漏洩]
■複数サイトに攻撃、DBのテーブル名を取得された痕跡 – 紀伊國屋書店
https://www.security-next.com/152222

紀伊國屋書店は、同社が運用する複数サイトがサイバー攻撃を受けたことを明らかにした。情報が流出した可能性もあるという。

[脅威]
■S/MIME電子署名ファイルが添付されたフィッシング、件名「<重要>【三井住友銀行】パスワードの変更が完了しました」などの不審なメールに注意
https://internet.watch.impress.co.jp/docs/news/1555491.html

■SSH ProxyCommand == unexpected code execution (CVE-2023-51385)
https://vin01.github.io/piptagole/ssh/security/openssh/libssh/remote-code-execution/2023/12/20/openssh-proxycommand-libssh-rce.html

■Fake VPN Chrome extensions force-installed 1.5 million times
https://www.bleepingcomputer.com/news/security/fake-vpn-chrome-extensions-force-installed-15-million-times/

Three malicious Chrome extensions posing as VPN (Virtual Private Networks) infected were downloaded 1.5 million times, acting as browser hijackers, cashback hack tools, and data stealers.

■WordPressの通販サイトにマルウェア、偽の管理者を作成して隠蔽する興味深い手口
https://news.mynavi.jp/techplus/article/20231225-2849281/

[セキュリティ関連]
■あなたの Azure リソースが狙われている
https://qiita.com/Eurekaberry/items/d2648606d7be2e721a0b

■2023 年 マイクロソフト製品・サービスの脆弱性を振り返る
https://qiita.com/Eurekaberry/items/ef6ba812bfcb17866b4a

■NIST AIに関する大統領令のSec. 4.1、4.5、11に基づくNISTの任務に関する情報提供の要請(RFI)(2023.12.19)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2023/12/post-12c77b.html

■The Role of Upskilling in Strengthening Cybersecurity Defences
https://thecyberexpress.com/cybersecurity-defence/

Upskilling plays a crucial role in strengthening cybersecurity defences by ensuring that cybersecurity professionals have the necessary knowledge and skills to address evolving cyber threats.

■The CISO’s next priority isn’t technology, it’s building a great employee experience
https://betanews.com/2023/12/23/the-cisos-next-priority-employee-experience/

■Weaponizing DHCP DNS Spoofing — A Hands-On Guide
https://www.akamai.com/blog/security-research/weaponizing-dhcp-dns-spoofing-hands-on-guide

■All I really need to know about cybersecurity, I learned in kindergarten
https://venturebeat.com/security/all-i-really-need-to-know-about-cybersecurity-i-learned-in-kindergarten/

■米国司法省がALPHV/BlackCat Ransomwareグループ撲滅キャンペーン
https://hwdream.com/alphv-ransomware-group-news/

■年末年始のマルウェア対策に関する注意事項について
https://eset-info.canon-its.jp/malware_info/news/detail/231225.html

■米CISA、「MS 365」のセキュリティ最低構成と評価ツールを公開
https://www.security-next.com/152232

米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、米行政機関向けに「Microsoft 365」を利用する際のセキュリティ構成ベースラインと評価ツールを公開した。

■日本も導入目指す「ACD」とは? サイバー安全保障の最先端の姿
https://wedge.ismedia.jp/articles/-/32480

■The Top 24 Security Predictions for 2024 (Part 2)
https://securityboulevard.com/2023/12/the-top-24-security-predictions-for-2024-part-2/

目次