2024年1月セキュリティニュースまとめ

こんにちは、霜月です。

1月も個人的に気になったセキュリティニュースをまとめました！

よかったらどうぞ〜m(o･ω･o)m　

• インシデント
  • MandiantのXアカウントが乗っ取られる
  • SECのXアカウントが乗っ取られる
  • Trelloで約1511万件のメールアドレス流出、ダークウェブ上で販売
  • MicrosoftがMidnightBlizzard(Nobelium)による攻撃で社内情報が漏洩
• 脅威・攻撃者情報
  • Ivanti Connect Secure / Ivanti Policy Secureの脆弱性
  • MicrosoftがSHOSOHORUSについて解説
  • Google TAGがCOLDRIVERについて解説
  • BreachForums管理者に20年間の監視下の保釈判決
  • TalosがBabusTortillaランサム亜種の復号ツールを公開
• 政府・公的機関
  • IPAが情報セキュリティ10大脅威2024を公開
  • JASAが2024年情報セキュリティ十大トレンドを公開
  • IPAがSP800-161Rev.1 及び SP800-37Rev.2の邦訳版を公開
• 調査・報告書
  • Akamaiが2023年のDDoS攻撃トレンドを公開
  • LACがADに対するRBCD攻撃について解説ブログを公開
• その他
  • HPEがジュニパー約140億ドルで買収
  • IssueHuntが脆弱性診断実践用サイトを無償で公開
  • 2023年ランサムウェアリークサイト観察記

インシデント

MandiantのXアカウントが乗っ取られる

元のユーザー名を変更され、暗号ウォレットPhantomを装った偽のポストがされたようです。Mandiant自身で原因調査した結果、総当たり攻撃をやられたとのことで、通常なら2要素認証を利用していたところ、Xのポリシー変更などあり保護できていなかったようです。

www.mandiant.com

SECのXアカウントが乗っ取られる

米証券取引委員会（SEC）もXのアカウントが乗っ取られました。「本日、SECはETFの上場を承認しました。」という偽のポストがされました。乗っ取りの手口はSIMスワッピングだったそうです。最近SNS乗っ取り多いですね...。

www.sec.gov

Trelloで約1511万件のメールアドレス流出、ダークウェブ上で販売

1511万件ってなかなか大規模ですね。自分のメアドが漏洩しているかはHave I been pwned?でチェックしましょう。

Have I Been Pwned: Check if your email has been compromised in a data breach

そういえば、Trelloって2021年にも情報流出事案でNISCから注意喚起出ましたね...。

www.bleepingcomputer.com

MicrosoftがMidnightBlizzard(Nobelium)による攻撃で社内情報が漏洩

MicrosoftがNobeliumにやられたそうです。個人的な話ですが、Noberiumに関する情報取集する時にはいつもMicrosoftの記事を読んでいたので私は"Nobelium"派ですが、"CozyBear"派の方が多いんでしょうか？（今はMidnightBlizzardになりましたが）

msrc.microsoft.com

脅威・攻撃者情報

Ivanti Connect Secure / Ivanti Policy Secureの脆弱性

認証バイパスとコマンドインジェクションの深刻な脆弱性が出ました。ぱっと見「？」となる方もいるかもしれないですが、Ivanti Connect Secureは旧Pulse Connect Secureのことです。日本では結構メジャーな製品なので、被害も確認されているようです。

www.ipa.go.jp

www.jpcert.or.jp

MicrosoftがSHOSOHORUSについて解説

イランの脅威アクターです。

www.microsoft.com

Google TAGがCOLDRIVERについて解説

ロシアの脅威アクターです。

blog.google

BreachForums管理者に20年間の監視下の保釈判決

かの有名なPompompurin君に判決が言い渡されました。

www.bleepingcomputer.com

TalosがBabusTortillaランサム亜種の復号ツールを公開

Cisco Talosがオランダ警察およびAvastと連携し、Babukランサムの亜種に感染し暗号化されたシステムを復号するツールを公開しました。

blog.talosintelligence.com

政府・公的機関

IPAが情報セキュリティ10大脅威2024を公開

今年も出ました。組織編については昨年とほぼ同じ（順位のみ変動）で、1位はランサム、2位はサプライチェーン、3位は内部不正でした。個人編についてはランキング形式ではなくなり、「順位に関わらず脅威の対策をしてほしいから」との理由からです。

www.ipa.go.jp

JASAが2024年情報セキュリティ十大トレンドを公開

今年も出ました。1位は生成AIの悪用と誤用によるセキュリティ事故、2位はランサム、3位は国家支援型サイバー攻撃でした。

www.jasa.jp

IPAがSP800-161Rev.1 及び SP800-37Rev.2の邦訳版を公開

要チェック。

www.ipa.go.jp

調査・報告書

Akamaiが2023年のDDoS攻撃トレンドを公開

2023年に最も攻撃のターゲットとなったのは銀行・金融業界で、攻撃全体の約35%を占めていたようです。また、2023年にはHTTP/2 Rapid Reset DDoS攻撃もありましたね。

www.akamai.com

LACがADに対するRBCD攻撃について解説ブログを公開

ごった煮ブログの方です。

devblog.lac.co.jp

その他

HPEがジュニパー約140億ドルで買収

交渉をしている報道はされていましたが、遂に合意したそうな。

www.hpe.com

newsroom.juniper.net

IssueHuntが脆弱性診断実践用サイトを無償で公開

「kowaseru」という名前のやられサイトです。勉強用サイトなので壊しましょう。

issuehunt.jp

2023年ランサムウェアリークサイト観察記

辻大先生のブログです。※個人ブログなのでカテゴリを「その他」にしました。

16のランサムグループをウォッチしているとのことで、被害組織の所在国や業界、悪用された脆弱性、テイクダウンされた記録などなどまとめてくださっています。

csirt.ninja

因みに、辻大先生はセキュリティのpodcastを配信しております。「セキュリティのアレ」という名前で、根岸超人とおインコ様と3人で週次配信しており、非常におすすめです。

www.tsujileaks.com

過去には総務省の賞も受賞しております。

www.soumu.go.jp

こんな感じでしょうか？

1月はお正月早々、能登半島地震が起きました。JALの事故も。

個人的な話ですが、国内外含め大きな自然災害が起きるたびに東日本大震災を思い出します。当時はまだ学生で、募金すること以外何も出来ず、非常に悔しい気持ちになったことをよく覚えています。大人になった今「IT/セキュリティエンジニアとして自分にできることは何だろう？」と考えさせられます。例えば、能登半島地震では震災に便乗した不審なメール/SMSが出回ったり、募金の偽サイトが出回ったりしました。セキュリティ業界の中では、こういった事案に反応して注意喚起している人/組織がいました。私も自分が少しでも力になれるフィールドを見つけて、プライドを持って社会貢献していきたいです。

と、最後に真面目なことを書きましたが、1月のニュースは以上となりますm(o･ω･o)m　

最後まで読んでくださりありがとうございました！！