BitLockerを悪用してPCを暗号化するランサムウェア。Kasperskyが注意喚起
https://pc.watch.impress.co.jp/docs/news/1594922.html
VBScriptとPowershellの実行に気をつけろ、というが・・・サーバだったらPowershellは多用しているので、難しいかも。
侵入されないようにするしかない気がする。
BitLockerを悪用してPCを暗号化するランサムウェア。Kasperskyが注意喚起
https://pc.watch.impress.co.jp/docs/news/1594922.html
VBScriptとPowershellの実行に気をつけろ、というが・・・サーバだったらPowershellは多用しているので、難しいかも。
侵入されないようにするしかない気がする。
合わせ技かつ高度なので、よく発見したものだ、というくらい感想。サンプルコードをみると、シンプルなんだが、これでどうしてそうなるっていうのは、わからない。
CPUへの命令のやりくり高度になっているから、実装が難しくて、セキュリティ問題がでるのだろうけれど、このレイヤーの話だと、実感もないしわからない。発見する人達もすごいが、修正する人達もすごい。攻撃側は・・・手法が確立されてしまえば、ツールが出て回るだろうから、内容を理解しなくても攻撃できてしまうのだろうけれど。
新種のCPU脆弱性「GhostRace」をIBMが公表 ~Intel、AMD、ARMなどに影響
https://forest.watch.impress.co.jp/docs/news/1575896.html
ちょうど、3月(2024年3月)くらいから、ChromeでGmailの添付ファイルをダウンロードすると、暗号化されたZIPファイルがウィルス判定されて、ダウンロードできなくなった。
チャンと調べたところ、Gmail側の添付ファイルはスキャンできないという表示だけなので、Gmail上はグレー判定。Chrome自体にウィルスチェック機能は付加していない。ウィルスチェックは、Windows11のWindows Defenderで行っている。ダウンロードされた直後に、Windows Defenderでのウィルスチェックが行われて、そのまま削除されていた。1つのZIPファイルだと、ウィルス混在の可能性があったので、気にしなかった。これが複数のまったく別の件の添付されたZIPファイルで同じ動作になった。
Windows11で、一時的にWindows Defenderを無効化すれば、ダウンロードおよびZIPファイルの展開は可能。展開後に、Windows Defenderをオンにして、チェックを行うと、ZIPファイルはウィルス判定されて、削除される。展開されたファイルは、ウィルス判定されなかった。(どうしてもダウンロードが必要ならば、一時的にWindows Defenderを無効化する、自己責任で)
このことから、Windows Defenderが暗号化ZIPファイルをウィルス判定してしまう状況という判断になった。
三菱UFJ信託銀行の情報銀行サービス「Dprime」が終了するとのこと。情報銀行というコンセプト自体はよいと思うが、すでに情報を握っているIT巨人ではなく、もともとの銀行がやるというのがハードルが高かったのかもしれない。銀行なら信頼できるから預けて活用する、というわけではなくて、預ける情報の不安から活用されなかったようだ。たぶん、これは過度な監視・管理社会が嫌いという日本の国民性の問題だったのかもしれない。そして、まだ、時期早々だったのだろう。
三菱UFJ信託の“情報銀行”終了 情報管理への不安から活用進まず
https://www.itmedia.co.jp/news/articles/2402/20/news115.html
今年も、情報セキュリティ10大脅威 2024 が発表された。
https://www.ipa.go.jp/security/10threats/10threats2024.html
10大脅威としては、新しいものはなく、継続的に10大脅威に入っているものばかり。何年も経つのに、この脅威リストに載り続けるということは、それだけ対策ができていないということでもある。
ランサムウェアの攻撃は、「標的型攻撃」や「ゼロデイ攻撃」「犯罪のビジネス化」と組み合わされて、毎年被害が多く出ている。対策の決定打はないので、攻撃側とのいたちごっこが続いているわけだ。
個人的な感想としては、脅威については変わっていないですが、順位の変動がある。組織向けの脅威の「 内部不正による情報漏えい等の被害 」「 不注意による情報漏えい等の被害 」は、昨年よりも順位が上がっている。コンピュータ側のセキュリティソフトの対応の外側、人による操作による情報漏洩が昨年よりも注目されているようだ。逆に「 テレワーク等のニューノーマルな働き方を狙った攻撃 」は大幅に順位が下がっているので、テレワークが比率が下がっていたりなどの背景もあるんじゃないかと思う。あたらしい重大な脅威はないけれど、気は抜けない。
VMware Toolsの脆弱性の評価は、CVSSv3基本スコアで、CVE-2023-34057は「7.8」(Important)。ゲスト仮想マシンへのローカルユーザーアクセスを持つ悪意のある攻撃者が、仮想マシン内の権限を昇格できる可能性があるとのこと。
「VMware」のゲストOS向けアプリ「VMware Tools」に重大な脆弱性 ~対策版への更新を – 窓の杜 (impress.co.jp)
https://forest.watch.impress.co.jp/docs/news/1543401.html
脆弱性が修正されたバージョンへのVMware Toolsの更新が必要。
対象となるVMware Toolsのバージョン 12.xx、11.xx、10.3.x
脆弱性対応されたバージョン 12.3.5
https://www.vmware.com/security/advisories/VMSA-2023-0024.html
ダウンロードのURLは下記。ダウンロードには、VMwareのCUSTOMER CONNECTのアカウントが必要。
忘れたころにやってくるドメインの廃止(更新をやめる)の問題。個別にキャンペーン用にドメインを取得して作るから、キャンペーンが終わった後に、更新し続ける予算がなくなって、更新をやめたら発生する地雷のような問題だ。
ドコモ口座ドメイン名流出の背景 企業・政府におけるドメイン運用の課題
https://www.watch.impress.co.jp/docs/series/suzukij/1534421.html
今回、ドコモはオークションで、他社に落札されないようにするために多額の資金が必要になったわけだ。失効は社内管理の不手際だったらしい。個別にドメインを取得していくと管理が大変になるので、更新ミスも発生するわけだ。メインとなるドメイン1つで、そのサブドメインでキャンペーンを行うのが、やっぱりいいと思う。わないけれど、とりあえず抑えるドメインはあってもいいだろうけれど。
予算の話もあるので、ドメイン維持の課題はこの先も続いていくのだろう。使いまわしをやめるようになればいいのだだろうけれど、現状ではそういうものでもないからなぁ。
IntelのCPUに「Downfall Attacks」と呼ばれる脆弱性が見つかったとのこと。
第6世代Skylakeから第11世代Rocket LakeおよびTiger LakeまでのIntelプロセッサを使っているコンピュータが対象になるとのこと。この脆弱性を悪用すると、Gather Data Samplingを使用して他のユーザーからデータやその他の機密情報を盗み出すことができるようだ。
Linuxについては、Gather Data Samplingを無効化する方法が公開されているがパフォーマンスが低下するようだ。Windowsについては、Microsoftが対策中のようだ。今後の動きは注目しておきたい。
参考
読了した。実際のケースのところは、簡単なマンガになっていて、イメージが付きやすい。対策のところは、賛否がありそうなものもいくつかはある。
事例は、よくやりそうなミス系と、シャドウIT系のものが多い。やりがちなものが多いので、新人とか、使い方が怪しい人に読んでもらうには、ちょうどいいと思う。ほんと、気をつけないといけないようなものが多い。悪意があるわけではなく、善意とかがんばりの結果が・・・セキュリティ事故に繋がっている事例ばかり。本当に、ちょっとしたところなので、気をつける必要ありだ。自分は大丈夫だと言い張る人に読んでもらいたいくらいだ。そういう人にかぎって、いろいろと使っているので。
うっかりということはあるので、気を付けよう。
忘れたころに復活してくるEmotetが、また流行の兆しが見えてきた。今回のEmotetは、最新のEmoCheckでEmotetを検知できないケースも確認されているとのこと。いたちごっことはいえ、なかなかつらい。
わざと、大容量の添付ファイルにすることで、ウィルスチェック機構を回避(大きなファイルはメールのウィルスチェックの対象外になるという抜け道を利用)しているようだ。さらに、メールの署名なども巧妙化しており、本物の差出人と同じものを使っているケースが見られたとのこと。パッと見では、ウィルス付きメールとわからないように偽装しているので、内容が怪しかったら、うかつにひらかないようにしないといけない。
くわしくはJPCERT/CCの注意喚起を参照。