家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

関心のあるセキュリティニュース(2021年5月)

パスワード関連のニュース

World Password Day

5月の第1木曜日は「World Password Day」です。 この日はより良いパスワードの習慣を促進する、といったもののようです。 

nationaldaycalendar.com

 

Google wants to enable multi-factor authentication by default

www.bleepingcomputer.com

Googleがユーザに対して2FA(2SV,2-Step Verification)の利用開始を促しているようです。 記事の中で、「Account takeover prevention rates,by challenge type ではSecurity Key」という、Account Takeover(アカウント乗っ取り)への耐性のグラフを掲載しています。 グラフからはSecurity Keyが一番効果的なのが読み取れます。 SMSは(個人的に)思った以上に安全性が高いように感じました。

 

参考:Security Keyに関して

www.iestudy.work

 

Pixivのパスワード強化の取り組み

Pixivでは2021年5月10日より、第三者に推測されやすいパスワードを使用しているアカウントに対して、パスワードを変更を強制し、脆弱なパスワードを設定しているアカウントはサービスにログインできなくする対策をするようです。 

security.srad.jp

 

 

 

攻撃全般

新しいMoriya rootkit

「Tunnel Snake」と呼ばれる攻撃の関連した活動の中で、「Moriya」と呼ばれるWinodowsのrootkitの新種が確認されたようです。 

securityaffairs.co

www.bleepingcomputer.com

 

FiveHands Ransomware

FiveHands Ransomwareの分析レポートが公開されました。

us-cert.cisa.gov

FiveHands Ransomwareによる攻撃は、SonicWall SMA100シリーズ(VPN)のゼロデイ脆弱性を悪用したことが確認されているようです。 

www.cyclonis.com

 

DNSの脆弱性「tsuNAME」

DNSの再帰的な問い合わせで、権威サーバに対してループして問い合わせが発生する脆弱性が確認されたようです。

therecord.media

 

Fortigateの脆弱性を狙った攻撃が継続

FBIは5月にFortigateの脆弱性を狙った攻撃について注意喚起しました。
FBIでは4月にもFortigateの脆弱性について注意喚起していますが、5月以降も継続して攻撃が確認されており、今回の発表に至りました。

www.jiji.com

news.mynavi.jp



富士通「ProjectWEB」への不正アクセス

富士通は5月25日、自社製のプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受けたと発表した。複数の省庁や企業が同ツールを利用していたことから、省庁を中心に情報流出の被害が複数報告される事態になっている。

上記に関連して各所から発表が出ています。

運航情報管理システムの情報の流出について | 成田国際空港株式会社

報道発表資料:富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる国土交通省関係情報の流出について - 国土交通省

経産省と外務省でも情報流出、富士通「ProjectWEB」への不正アクセス問題 | 日経クロステック(xTECH)

富士通製ツールへの不正アクセスで複数省庁や企業の情報が流出 国交省職員のメールアドレス7.6万件も確認 - ITmedia NEWS

 

Amazonの不正な製品レビューに関与していると思われるユーザの個人情報が公開

セキュリティベンダのSafetyDetectivesが、設定不備により公開状態になっている中国関連のElasticsearchサーバがあることを報告しました。
公開状態のデータには、 ユーザー名、メールアドレス、PayPalアドレス、Amazonアカウントへのリンク、WhatsApp番号、Telegram番号等7GB相当のデータが公開されていました。
公開されていた情報のユーザは、Amazonで不正な製品レビューの書き込みに関与していると思われるユーザのものとされています。
不正な製品レビューの流れが参考記事に記載されていました。

データベースとそれに含まれるメッセージは、疑わしい売り手が使用した戦略を明らかにしました。1つのアプローチでは、5つ星の評価が必要な商品または製品への接続を顧客に送信してから、顧客が購入します。数日後、顧客は肯定的なレビューを残し、ベンダーにメッセージを送信します。これにより、PayPal経由で支払いが行われます。これは、アイテムが無料で保管されている間、「払い戻し」になる可能性があります。払い戻しの支払いはAmazonのWebサイトで行われるため、不正な有料レビューを見つけるのはさらに困難です。 SafetyDetectivesによると、偽のレビュー詐欺は通常、ベンダーが5つ星のレビューを希望する製品のリストをレビュー担当者の連絡先に送信することから始まります。 レビューを終了してベンダーにリンクを送信した後、レビュー担当者はPayPal経由で支払いを受け、製品の購入を補償し、製品自体を支払いとして保持することができます。レビューサイトは、リークがそのような計画に約20万人の個人を巻き込んだと主張しました。

www.infosecurity-magazine.com

www.ehackingnews.com

 

 

その他、動向

Twitterで話題になっている「投げ銭」

www.bleepingcomputer.com

 

クラウド利用における個人情報の取り扱い

security.srad.jp