バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne(ハッカーワン)が4900万ドル(約56億6000万円)のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j(ログフォージェイ)の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos(マーテン・ミコス)氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル(約184億7000万円)近くになった。ラウンドをリードしたのはGP Bullhound(GPブルハウンド)で、他に既存出資者のBenchmark(ベンチマーク)、NEA、Dragoneer Investment Group(ドラゴニア・インベストメント・グループ)、およびValor Equity Partner(ベイラー・イクイティー・パートナー)が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google(グーグル)、Dropbox(ドロップボックス)、Microsoft(マイクロソフト)、Twitter(ツイッター)の名前もある。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会(FTC)はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。

2021年12月に初めて発見されたこの「深刻な」脆弱性は、ますます多くの攻撃者によって悪用されており、何百万もの消費者製品に「深刻なリスク」をもたらすと、FTCは警告している。この公開書簡は、消費者に被害が及ぶ可能性を低減し、法的措置の可能性を回避するために、組織に対して脆弱性を緩和(ソフトウェアの最新バージョンへのアップデート)するよう組織に要請しています。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

「脆弱性が発見され悪用された場合、個人情報の紛失・漏洩、金銭的損失、その他取り返しのつかない損害を被る危険性がある。既知のソフトウェアの脆弱性を軽減するために合理的な措置を講じる義務は、特に連邦取引委員会法およびグラム・リーチ・ブライリー法を含む法律に関係するものである。 Log4jに依存している企業やそのベンダーが、消費者に被害を与える可能性を減らし、FTCの法的措置を回避するために、今すぐ行動することが重要だ」とFTCは述べている。

FTCは、2017年にApache Strutsの既知の欠陥のパッチを怠り、消費者1億4700人の機密情報の侵害が起こったEquifaxの例を挙げている。その信用報告機関はその後、FTCとそれぞれの州に7億ドル(約810億円)を払う示談に合意した

さらにFTCは「Log4jや同様の既知の脆弱性の結果として、消費者データを露出から保護するための合理的な措置を講じていない企業を追及するために、完全な法的権限を行使する意向だ」と述べ、「今後同様の既知の脆弱性」が発生した場合に消費者を保護するために法的権限を適用する計画だと付け加えた。

FTCは、数百万ドル(数億円)規模の罰金を回避したい企業に対して、米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)が発行したガイダンスに従うよう促している。これにより、企業はLog4jソフトウェアパッケージを最新バージョンにアップデートし、脆弱性を緩和するための対策を講じ、脆弱性の可能性があるサードパーティーやコンシューマーに脆弱性に関する情報を配布する必要がある。

このFTCによる警告射撃は、Microsoftが今週、Log4Shellの脆弱性が依然として企業にとって「複雑で高リスク」の状況にあると警告し、「12月最後の数週間、悪用の試みとテストは高いままであり、低スキルの攻撃者と国民国家の行為者が同様にこの欠陥を利用している」と述べたことを受けてのものだ。

関連記事:インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

「現時点では、悪用コードやスキャン機能が広く出回っていることが、顧客の環境にとって現実的な危険であると考えるべきでしょう。影響を受けるソフトウェアやサービスが多く、更新のペースも速いため、修復には長い時間がかかると予想され、継続的な警戒が必要です」とMicrosoftとは述べている。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

世界中のセキュリティチームが、Apache Log4jで発見された重大なセキュリティ上の欠陥である「Log4Shell」の修正に追われている。Log4jは、オンラインゲームから企業のソフトウェア、クラウドのデータセンターに至るまで、あらゆる場所で利用されているオープンソースのログ出力ライブラリだ。そのユビキタス(遍在)は、インターネットを厳戒態勢に入らせ、攻撃者は脆弱なシステムを狙う企みを増加させている。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

Log4Shellはゼロデイ脆弱性(影響を受けた組織がシステムにパッチを適用する対処期間がゼロデイであることから、このように名づけられた)と呼ばれるもので、この脆弱性は、開発者がアプリケーションの実行中に内部で何が起こっているかを記録するために使うLog4jを実行している脆弱なサーバー上で、攻撃者はリモートでコードを実行することができるというものだ。

この脆弱性は、CVE-2021-44228として追跡されており、深刻度は最大の10.0とされている。これは、攻撃者がインターネットを介して脆弱なシステムを、被害者とのやり取りも一切なしに、リモートで完全に制御できることを意味しており、しかも、その実行にはそれほどスキルを必要としないということだ。

当初の報告によると、Log4Shellの悪用は米国時間12月9日に始まったといわれており、Minecraft(マインクラフト)がLog4Shellの最初の有名な被害者として公表された。しかし、Cisco Talos(シスコ・タロス)とCloudflare(クラウドフレア)のセキュリティ研究者によると、Log4Shellが最初に悪用されたのは2週間前だという証拠が見つかったそうだ。Talosはこの欠陥に関連する攻撃者の活動を12月2日に初めて確認したというが、Cloudflareによると、その1日前の12月1日に悪用の成功を観測したとのこと。

「Log4jの悪用で、これまでに我々が見つけた最も早い証拠は、協定世界時2021年12月1日4時36分50秒です」と、Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏はツイートし「これは、少なくとも一般に公開される9日前には自然界に存在していたことを示唆しています。しかし、大規模な悪用の証拠は、一般に公開された後まで見られません」と、述べている。

誰が影響を受けているのか?

Log4Shellのニュースが最初に報じられて以来、被害者の数が増え続けていることから、数千もの有名企業やサービスがこの欠陥の影響を受けている可能性がある。GitHub(ギットハブ)で定期的に更新されているリストによると、Apple(アップル)、Amazon(アマゾン)、Baidu(バイドゥ)、Google(グーグル)、IBM、Tesla(テスラ)、Twitter(ツイッター)、Steam(スチーム)などが影響を受けた組織として挙げられている。これとは別に、VMware(ヴイエムウェア)は自社製品の多くが影響を受けることを顧客に警告する注意書を発表し、Cisco(シスコ)は自社製品の一部がこの欠陥の影響を受けることを確認している

これらの企業の多くは、すぐに行動を起こしている。Cloudflareは攻撃を防ぐためにシステムを更新したが、悪用された形跡は見られなかったとTechCrunchに述べており、Microsoft(マイクロソフト)はMinecraftユーザー向けにソフトウェアアップデートを発行したとコメント。Valve Corporation(バルブ・コーポレーション)は自社のサービスを「直ちに見直し」、Steamに関連するリスクはないとの結論に達したことを確認している。

iCloud(アイクラウド)サービスに脆弱性があったアップルは、同社のクラウドサービスにパッチを適用したと報じられているが、TechCrunchのコメント要求には応じていない。研究者たちは12月9日と12月10日にiCloudのウェブ・インターフェースが脆弱であることを発見したが、12月11日にはそのエクスプロイトが機能しなくなっていたという。

Log4jソフトウェアを管理しているApache Software Foundation(アパッチ ソフトウェア財団)は、緊急のセキュリティパッチを公開するとともに、すぐにアップデートできない場合の緩和策も発表した。サードパーティによる緩和策も多数用意されている。Huntress Labs(ハントレス・ラブズ)は、企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成し、Cybereason(サイバーリーズン)は、無料で利用できるLog4Shellの「ワクチン」をGitHubで提供している

脆弱性の深刻度は?

Log4Shellの影響を受ける企業やサービスの数が増えるとともに、この脆弱性を悪用した攻撃の数も増えている。マイクロソフトは週末のブログ記事で「暗号資産マイナーやCobalt Strike(コバルト・ストライク)をインストールして、クレデンシャル情報の盗用やラテラルムーブメントを可能にし、侵害されたシステムからデータを流出させるなどの行為が確認された」と述べている。

セキュリティ企業のKryptos Logic(クリプトス・ロジック)も米国時間12月12日に、インターネット上でプロービング(探査)を行っている1万以上の異なるIPアドレスを検出したと発表した。これは10日にLog4Shellをプロービングしていたシステムの数の100倍になる。

また、Cado Security(カドー・セキュリティ)では、積極的な悪用の増加を確認しているという。同社がTechCrunchに語ったところによると、12月11日にはLog4Shellを悪用したMirai(ミライ)ボットネットの活動や、多くのIPにわたるMushtik(ムシュティック)の活動が見られたとのこと。同社は、典型的なエクスプロイトの一連の流れに基づき「Log4Shellを原因とする標的型ランサムウェア攻撃の可能性が非常に高い」と考えているという。

広範に使用されているLog4Shellの性質と、それに続くランサムウェアの可能性を考えると、これは嵐の前の静けさと言えそうだ。脆弱性の修正または緩和は、すべてのセキュリティチームの最優先事項であるべきだ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

広く利用されているJavaログ出力ライブラリで見つかった問題の影響を受け、AppleのiCloud、Twitter、Cloudflare(クラウドフレア)、Minecraft(マインクラフト)、Steam(スチーム)など、数多くの人気サービスが、ゼロデイ脆弱性にさらされていることが報告されている。

膨大な数のアプリ、ウェブサイト、サービスで使用されているオープンソースのログユーティリティ「Apache Log4j」に発見されたこの脆弱性は、Alibaba(アリババ)のChen Zhaojun(チェン・ジャオジュン)氏が報告したもので、LunaSec(ルナセック)の研究者によって「Log4Shell」と名づけられた。Log4Shellが最初に発見されたのは、Microsoft(マイクロソフト)が所有するMinecraftだったが、LunaSecは、主なJavaベースの企業向けアプリやサーバーのほぼすべてにLog4jが「ユビキタス」に存在していることから「非常に多くのサービス」が悪意のある行為に対して脆弱であると警告している。このサイバーセキュリティ会社は、ブログ記事の中で、Apache Struts(アパッチ・ストラッツ)を使用している人は誰もが「おそらく脆弱である」と警告した。

これまでにLog4Shell攻撃に脆弱であることが確認されたサーバーを持つ企業は、Apple(アップル)、Amazon(アマゾン)、Cloudflare、Twitter、Steam、Baidu(百度、バイドゥ)、NetEase(ネットイース)、Tencent(テンセント)、Elastic(エラスティック)などだが、他にも数千とまではいかなくとも数百の組織が影響を受けている可能性がある。Cloudflareは、TechCrunchに寄せた声明で、攻撃を防ぐためにシステムを更新したと述べており、悪用された形跡はないと付け加えている。

NSA(米国家安全保障局)のサイバーセキュリティ担当ディレクターであるRobert Joyce(ロバート・ジョイス)氏は、同局が開発した無償でオープンソースのリバースエンジニアリングツール「GHIDRA」も影響を受けることを確認した。「Log4jの脆弱性は、NSAのGHIDRAも含め、ソフトウェアのフレームワークに広く搭載されているため、悪用される恐れが大きい」と、同氏は述べている。

ニュージーランドのCERT(コンピューター緊急対応チーム)や、ドイツテレコムのCERT、そしてウェブ監視サービスのGreynoise(グレイノイズ)は、攻撃者がLog4Shell攻撃を仕掛けるための脆弱なサーバーを積極的に探していると警告している。Greynoiseによると、約100の異なるホストがインターネット上でLog4jの脆弱性を悪用する場所をスキャンしているとのことだ。

HackerOne(ハッカーワン)のシニアセキュリティテクノロジストであるKayla Underkoffler(カイラ・アンダーコフラー)氏は、今回のゼロデイ脆弱により「世界の重要なサプライチェーンに対する攻撃において、オープンソースソフトウェアがもたらす脅威が増大している」ことが明らかになったと、TechCrunchに語った。

「オープンソースソフトウェアは、現代のデジタルインフラストラクチャのほぼすべてを支えており、平均的なアプリケーションでは528種類のオープンソースコンポーネントが使用されています」と、アンダーコフラー氏は語る。「2020年に発見されたリスクの高いオープンソースの脆弱性の大半は、2年以上前からコード上に存在していますが、ほとんどの組織では、サプライチェーン内のオープンソースソフトウェアを直接制御して、これらの弱点を簡単に修正することができません。しばしば資金が不足するこのソフトウェアを保護することは、それに依存しているあらゆる組織にとって急務です」。

Apache Software Foundation(アパッチ・ソフトウェア財団)は、Log4jのゼロデイ脆弱性を修正するための緊急セキュリティアップデートを米国時間12月10日に公開し、すぐにアップデートできない場合の緩和策も発表している。ゲーム開発会社のMojang Studios(モヤン・スタジオ)も、このバグに対応したMinecraftの緊急セキュリティアップデートを公開した。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

アップルがiPhone、Macなど全端末でセキュリティアップデート、政府機関も利用するというNSOのゼロデイ脆弱性を修正

Apple(アップル)は、すべてのiPhone、iPad、Mac、Apple Watchに影響を及ぼす、新たに発見されたゼロデイ脆弱性のセキュリティアップデートを公開した。この脆弱性を発見したとされるCitizen Labは、ユーザーに対して直ちにデバイスをアップデートするよう呼びかけている。

テクノロジーの巨人Appleは、iPhoneおよびiPad向けのiOS 14.8、ならびにApple WatchおよびmacOSの新アップデートにより「積極的に悪用された可能性がある」とされる少なくとも1つの脆弱性が修正されるという。

Citizen Labは、ForcedEntryの脆弱性の新たな痕跡を発見したとしている。この脆弱性は、バーレーンの活動家の少なくとも1人が所有する「iPhone」をひそかにハッキングするために使用されていたゼロデイ脆弱性の利用に関する調査の一環として2021年8月に初めて明らかにされた。

関連記事:iPhoneのセキュリティ対策もすり抜けるスパイウェア「Pegasus」のNSOによる新たなゼロクリック攻撃

8月、Citizen Labは、ゼロデイ脆弱性(企業が修正プログラムを提供するまでの期間が0日であることから、このように名づけられた)は、AppleのiMessageの欠陥を利用しており、イスラエルの企業であるNSOグループが開発したスパイウェア「Pegasus」を活動家の携帯電話に送り込むために悪用されたと発表された。

Pegasusは、政府機関の顧客に対してターゲットの個人データ、写真、メッセージ、位置情報など、そのデバイスにほぼ完全にアクセスできるようにする。

この脆弱性は、当時最新のiPhoneソフトウェアであるiOS 14.4および5月にリリースされたiOS 14.6を悪用していたため、大きな問題となった。また、この脆弱性は、AppleがiOS 14に搭載した「BlastDoor」と呼ばれる、潜在的な悪意のあるコードをフィルタリングすることでサイレントアタックを防ぐはずの新しいiPhone防御機能を突破していた。Citizen Labでは、AppleのBlastDoor保護機能を回避できることから、この特別な脆弱性を「ForcedEntry」と呼んでいる。

Citizen Labによる最新の調査結果によると、サウジアラビアの活動家のiPhoneに、当時最新バージョンのiOSを実行していたForcedEntryエクスプロイトの証拠を発見した。研究者によると、このエクスプロイトは、Appleのデバイスがディスプレイに画像を表示する際の弱点を利用しているという。

Citizen Labによると、このForcedEntryエクスプロイトは、これまで最新のソフトウェアを実行していたすべてのAppleデバイスで動作するという。

Citizen Labは、米国時間9月7日に発見した内容をAppleに報告したとのこと。Appleは、この脆弱性(CVE-2021-30860)のためのアップデートを公開した。Citizen Labは、ForcedEntryの攻撃はNSO Groupが行ったものだと確信しており、これまでに公表したことのない証拠を挙げている。

Citizen Labの研究者であるJohn Scott-Railton(ジョン・スコット-レイルトン)氏は、TechCrunchに対し、iMessageのようなメッセージングアプリは、ますます国家によるハッキング活動の標的となっており、今回の発見は、メッセージングアプリのセキュリティを確保する上での課題を明確に示していると述べている。

Appleはコメントを控えている。NSOグループは、我々の具体的な質問への回答を拒否した。

関連記事:自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Katsuyuki Yasui)

独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。

被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っていた。マイアミに本社のある同社は、企業のITネットワークとデバイスをリモートで管理するために使うソフトウェアを開発している。そのソフトウェアはマネージドサービスのプロバイダーに販売されており、実質的にIT部門をアウトソーシングし、プロバイダーはそのソフトウェアを使って顧客のネットワークを管理している。顧客は小規模の企業が多い。

しかし、ロシアと結びついているランサムウェア・アズ・ア・サービスのグループであるREvilと関係のあるハッカーたちは、そのソフトウェアのアップデートの仕組みに存在する、誰にも見つかっていなかったセキュリティの脆弱性を利用してランサムウェアをKaseyaの顧客企業にプッシュし、さらに、下流に位置する彼らの顧客へとそれは拡散したと信じられている。最終的にこの犯行の被害者になった企業の多くが、自分のネットワークをKaseyaのソフトウェアがモニターしていることすら、知らなかっただろう。

Kaseyaは7月2日に顧客(サービスプロバイダー)たちに、彼らのオンプレミスのサーバーを「IMMEDIATELY(ただちに)」シャットダウンするよう警告し、同社のクラウドサービスは(無事と信じつつ)用心のためオフラインにされた。

今回の攻撃をいち早く明らかにした脅威検知会社Huntress LabsのシニアセキュリティリサーチャーであるJohn Hammond(ジョン・ハモンド)氏は、約30社のマネージドサービスプロバイダーが攻撃を受け、ランサムウェアが「1000社をはるかに超える」企業に拡散したと述べる。セキュリティ企業のESETは、英国、南アフリカ、カナダ、ニュージーランド、ケニア、インドネシアなど17カ国の被害者を把握しているという。

7月5日の夜、Kaseyaはアップデートで、約60社のKaseyaの顧客が影響を受け、被害者の数は1500社未満であると発表した。

また現在、史上最大規模のランサムウェア攻撃をハッカーがどのように成功させたかが明らかになりつつある。

オランダの研究者は、ウェブベースの管理ツールのセキュリティに関する調査の一環として、Kaseyaのソフトウェアにいくつかのゼロデイ脆弱性を発見したと述べている(ゼロデイとは、企業が問題を修正するのに0日しか与えられないことから、そのように名付けられている)。これらのバグはKaseyaに報告され、ハッカーが攻撃してきたときには修正されている最中だったと、研究者グループを率いるVictor Gevers(ビクター・ゲバーズ)氏はブログ投稿で述べている。

Kaseyaの最高経営責任者であるFred Voccola(フレッド・ヴォコラ)氏は、The Wall Street Journalに対し、同社の企業システムは侵害されていないと述べた。これにより、セキュリティ研究者たちが、Kaseyaの顧客が運営するサーバーが、共通の脆弱性を利用して個別に侵害されたという定説をより確かなものにした。

同社によると、被害に遭ったソフトウェアが動いているすべてのサーバーが、パッチができるまでオフラインにされる。ヴォコラ氏はWSJに、パッチは7月5日中にリリースされるだろうと述べている。

犯行は7月2日の午後遅くに始まり、その頃は何百万人もの米国人が週末の7月4日に始まる連休に備えてログオフしていた。つまりCrowdStrikeの上級副社長Adam Meyers(アダム・マイヤーズ)氏が指摘するように、慎重に時間を選んで行われた犯行だった。

マイヤーズ氏は「今回の攻撃のタイミングと標的は、決して偶然ではありません。この攻撃は、我々が定義する『ビッグゲーム・ハンティング(大物狩り)』というもので、企業がガードを下げている週末に、サプライチェーンを通じて影響と利益を最大化するためにターゲットに対して仕かけられたものです」という。

週末にREvilが運営していると思われるダークウェブサイトにポストには、この犯行の声明と7000万ドル分(約77億6000万円)のBitcoin(ビットコイン)を支払えば、ランサムウェアグループが暗号解除ツールを公開リリースするとある。

同グループは投稿で「100万台以上のシステムが感染した」と主張している。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

カテゴリー:セキュリティ
タグ:Kaseyaランサムウェアゼロデイ攻撃マルウェア

画像クレジット:Ali Lorestani/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)

悪名高いMacマルウェアファミリーがこれまでになかった脆弱性を悪用して、macOSのセキュリティ防御を回避し、何の影響も受けずに動作していることが研究者によって明らかにされたのはちょうど1カ月ほど前だった。そして今、同じ研究者たちが、異なる脆弱性を利用した別のマルウェアがmacOSシステムに忍び込むことができると発表した。

Apple(アップル)デバイス管理を専門とするJamfによると「XCSSET」というマルウェアが、マイクやウェブカメラへのアクセス、画面の録画など、許可が必要なmacOSの一部に、許可を得ることなくアクセスできる脆弱性を悪用している証拠を発見したとのこと。

XCSSETは、Trend Microが2020年に最初に発見したApple開発者、特に彼らがアプリのコーディングやビルドに使用するXcodeプロジェクトを標的としたマルウェアだ。これらのアプリ開発プロジェクトを感染させることで、開発者たちは知らず知らずのうちにユーザーにマルウェアを配布してしまう。Trend Microの研究者たちはこれを「サプライチェーン的攻撃」と表現している。このマルウェアは継続的に開発されており、最近では新しいM1チップを搭載したMacをターゲットにしたものも存在する。

このマルウェアは、被害者のコンピュータ上で実行されると、2つのゼロデイを利用する。1つは、SafariブラウザーからCokkieを盗み、被害者のさまざまなオンラインアカウントにアクセスするもので、もう1つは、Safariの開発バージョンをこっそりインストールし、攻撃者がほぼすべてのウェブサイトを変更したり、そこから盗み見できるようにするものだ。

しかしJamfによると今回のマルウェアは、被害者の画面のスクリーンショットを密かに撮影するために、これまで発見されていなかった第3のゼロデイを悪用していたという。

macOSは、悪意のあるものであれそうでないものであれ、どんなアプリでも、画面の録画、マイクやウェブカメラ、またはユーザーのストレージにアクセスする前に、ユーザーに許可を求めることになっている。だがこのマルウェアは、正規アプリに悪意のあるコードを挿入することで認知されないように忍び込み、許可プロンプトを回避していた。

Jamfの研究者であるJaron Bradley(ジャロン・ブラッドリー)氏、Ferdous Saljooki(フェルドゥス・サリョーキ)氏、Stuart Ashenbrenner(スチュアート・アッシェンブレナー)氏は、TechCrunchと共有したブログ記事の中で、このマルウェアは、被害者のコンピュータ上でZoom(ズーム)、WhatsApp(ワッツアップ)、Slack(スラック)など、画面共有アクセス権が頻繁に与えられている他のアプリを検索し、それらのアプリに悪意のある画面録画コードを挿入すると説明している。これにより、悪意のあるコードが正規のアプリを「ピギーバック」し、macOS全体でそのアクセス権を継承する。そしてこのマルウェアは、macOSに内蔵されているセキュリティ保護機能のフラグが立たないように、新しい証明書を使用して新しいアプリバンドルを署名する。

研究者らは、このマルウェアが許可プロンプトのバイパスを「特にユーザーのデスクトップのスクリーンショットを撮影する目的で」使用したとしながらも、影響はスクリーンキャプチャに限定されないと警告している。言い換えれば、このバグを利用して、被害者のマイクやウェブカメラにアクセスしたり、パスワードやクレジットカード番号などのキーストロークを取得したりすることも可能だったということだ。

この手法でマルウェアが何台のMacを感染させることができたのかは不明だ。しかし、AppleはTechCrunchに対し、米国時間5月24日にアップデートとして提供されたmacOS 11.4でこのバグを修正したことを確認した。

関連記事
macOSにマルウェアがセキュリティ保護を回避できるバグ(macOS 11.3で修正済み)
さらばIE、25年以上にわたるセキュリティバグの思い出

カテゴリー:セキュリティ
タグ:macOSマルウェアAppleゼロデイ攻撃スクリーンショット

画像クレジット:Made Kusuma Jaya / EyeEm / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

アップルがiPhoneやiPad、Watch向けにゼロデイ脆弱性に対するセキュリティアップデートをリリース

Apple(アップル)はハッカーによる活発な攻撃を受けているiPhone、iPadおよびApple Watch向けに、セキュリティ脆弱性を修正するアップデートをリリースした。

このセキュリティアップデートiOS 14.4.2およびiPadOS 14.4.2としてリリースされており、iOS 12.5.2などの旧機種に対するパッチも含まれている。さらに、watchOSも7.3.3にアップデートされる。

Appleによると、この脆弱性はGoogle(グーグル)のProject Zeroのセキュリティ研究者によって発見されたもので、ハッカーによって 「積極的に悪用された」 可能性があるという。このバグは、 すべてのAppleデバイスのSafariブラウザーで利用されているブラウザーエンジンのWebKitに存在する。

誰がこの脆弱性を積極的に悪用しているのか、また誰が被害者になったのかは不明だ。Appleはこの攻撃が少数のユーザーを対象としたものなのか、より広範なものなのかについては明らかにしなかった。同社が積極的な攻撃を受けて、脆弱性を修正するためにセキュリティのみのアップデートを実施したのは(我々が調べた限り)これで3回目だ。Appleは6月に入り、WebKitに存在する同様の脆弱性に対するパッチをリリースした。

今回のアップデートは早めに適応するのが望ましい。

関連記事
AppleがiOS 14.4を公開、ハッカーが悪用した3カ所の脆弱性を修正
アップルがiPhone、iPad、Mac、Watchの重要なセキュリティパッチをリリース、すべてのユーザーに推奨
フェイスブックが中国ハッカーによる偽アカウントでの海外ウイグル人標的の不正行為を摘発

カテゴリー:セキュリティ
タグ:AppleiOSiPadOSwatchOSゼロデイ脆弱性

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害

米国政府は、その最も重要な連邦ネットワークをハッキングしたロシアへの報復を準備していると報じられているが、米国はサイバー空間でもう1つの古い敵にも直面している。中国だ。

関連記事:FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる

Microsoft(マイクロソフト)は3月初旬に、「Hafnium(ハフニウム)」と呼ぶ新たなハッキンググループの存在を明らかにしたが、このグループは中国で活動し、中国が支援している。Hafniumは、これまで報告されていなかった4つのゼロデイ脆弱性を利用して、Microsoft Exchange Server(マイクロソフト・エクスチェンジ・サーバー)をeメールサーバーとして運用している少なくとも数万の組織に侵入し、メールボックスやアドレス帳を盗み出した。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

Hafniumの目的は明らかになっていない。この活動を、国家が大企業や政府から情報や産業上の秘密を収集するスパイ活動になぞらえる人もいる。

しかし、今回の組織的ハッキング活動が大きな被害をもたらしているのは、欠陥が容易に悪用できるからというだけでなく、被害者が非常に多く、広範囲に及ぶからだ。

セキュリティ専門家によると、今回のハッカーはインターネット上で脆弱なサーバーをスキャンして攻撃を自動化しており、法律事務所や政策シンクタンクだけでなく、防衛関連企業や感染症の研究者など、幅広いターゲットや業界を狙っているという。脆弱なExchange Serverのメールーサーバーを運用していたため、Hafniumの攻撃に巻き込まれた膨大な数の被害者には、学校、宗教団体、地方自治体なども含まれる。

マイクロソフトはパッチを公開しているが、米国連邦政府のサイバーセキュリティ諮問機関であるCISAは、パッチは脆弱性を修正するだけで、ハッカーが残したバックドアを閉じることはできないと述べている。

CISAは、Microsoft Exchange Serverの脆弱性が国内外で広く利用されていることを認識しており、侵害の有無を判断するために、MicrosoftのIOC検出ツールでExchange Serverのログをスキャンすることを推奨しています。

リソースに余裕のある大規模な組織であれば、システムが侵害されたかどうかを調査し、破壊的なマルウェアやランサムウェアなどのさらなる感染を防ぐため、手を打つことができるだろう。

しかし、地方の小規模な被害者は、自分たちのネットワークが侵害されたかどうかの調査に、すぐに手が回らないことが多い。

Hafniumの発見に貢献したサイバーセキュリティ企業のVolexity(ヴォレクシティ)でセキュリティアナリストを務めるMatthew Meltzer(マシュー・メルツァー)氏は、「我々が見てきたところによると、被害者のタイプは非常に多様で、その多くは、サイバー脅威対応の専門業者ではなく、ITシステムの展開と管理を専門とする地元のITプロバイダーに技術サポートを委託しています」と述べている。

サイバーセキュリティの予算がない場合、被害者は常に侵害されていると考えられる。だが、次に何をすべきかを把握しているとは限らない。パッチを当てて不具合を修正することは、復旧作業の一部に過ぎない。ハッカーの後始末は、サイバーセキュリティの専門知識を持たない中小企業にとって、最も困難な作業となるだろう。

それはまた、他の悪質なハッカーに発見され、同じ脆弱性を利用してランサムウェアを拡散したり、破壊的な攻撃を仕かけたりされるのを防ぐための時間との戦いでもある。Red Canary(レッド・カナリー)とHuntress(ハントレス)の両社は、Hafnium以外のハッキンググループも同じ脆弱性を利用していることが考えられると述べている。ESET(イーセット)によると、少なくとも10のグループが同じサーバーの欠陥を悪用しているとのことだ。

脅威検出を専門とするRed Canaryのインテリジェンス担当ディレクターであるKatie Nickels(ケイティ・ニッケルス)氏は、これらのExchange Serverの脆弱性を悪用した活動が「明らかに広く行われている」としながらも、悪用されるサーバーの数はそれよりずっと少ないと述べている。

「一般的なIT管理者にとっては、最初に使われるWebシェルのクリーンアップをする方が、その後の活動を調査するよりもはるかに簡単でしょう」と、ニッケルス氏は語る。

マイクロソフトは管理者ができることについてのガイダンスを公開しており、CISAはアドバイスと、サーバーのログを検索して不正アクセスの証拠を見つけるためのツールを提供している。また、ホワイトハウスの国家安全保障会議は異例の声明を出し、パッチを当てるだけでは「修復にならない」と警告、企業に対して「直ちに対策を講じる」よう求めている。

サーバーがすでに侵害されている場合、パッチや緩和策は修復策にはなりません。脆弱性のあるサーバを持つ組織は、すでに標的にされていないかどうかを確認するために、早急に対策を講じることが不可欠です。

このようなアドバイスが中小企業にまでどれくらい浸透していくか、注視する必要があるだろう。

中小企業を含む多くの被害者は、自分たちが被害を受けていることに気づいていない可能性があり、たとえ被害を受けていることに気づいたとしても、次に何をすべきかについて段階的な説明が必要になると、サイバーセキュリティの専門家であるRuna Sandvik(ルナ・サンドビック)氏は語る。

「このような脅威から身を守ることも重要ですが、侵害の可能性を調査し、その行為者を排除することは、より大きな課題です」と、サンドビック氏は述べている。「企業にはパッチをインストールできる人はいるでしょう。しかし、それは最初のステップに過ぎません。侵入されたかどうかを調べるには、時間、ツール、ログが必要です」。

セキュリティ専門家によると、Hafniumは主に米国の企業をターゲットにしているが、攻撃はグローバルに行われているという。欧州銀行監督局は、自局のメールサーバーとして使用していたExchange Serverが攻撃を受けたことを確認した最大の組織の1つだ。

ノルウェーの国家安全保障局は、国内で「これらの脆弱性を悪用されたことがすでに確認されている」として、ノルウェーのインターネット空間全体で脆弱なサーバーをスキャンし、その所有者に通知すると発表した。SI-CERTとして知られているスロベニアのサイバーセキュリティ対応部隊は、こちらも自国のインターネット空間で潜在的な被害者に通知したと、Twitter(ツイッター)で述べている

米国企業の広範囲に及んでいることを考慮すると、米国政府と民間企業は対応を連携するためにもっとできることがあると、サンドビック氏は述べている。CISAは2019年に、脆弱でパッチが適用されていないシステムの所有者を特定するために、インターネットプロバイダーを召喚できる新たな権限を提案した。同庁は12月に政府の年次防衛法案の中でこれらの新しい権限を得たばかりだ。

「誰かがそれを持つ必要があります」と、サンドビック氏は言っている。

関連記事:米国土安全保障省が脆弱システムの利用者開示をISPに義務づけへ、法改正を準備中

カテゴリー:セキュリティ
タグ:ハッカーサイバー攻撃Microsoftゼロデイ攻撃中国

画像クレジット:BSIP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

Microsoft(マイクロソフト)は顧客に対し、中国政府の支援を受ける新たなハッカーが、同社の企業向け電子メール製品であるExchange Serverの、これまでに発見されていなかった4つのセキュリティ上の欠陥を悪用し攻撃していると警告した。

Microsoftは米国3月2日「Hafnium(ハフニウム)」と呼ばれるハッカーグループが、法律事務所や防衛請負業者だけでなく、感染症研究者や政策シンクタンクなど、米国を拠点とする幅広い組織を攻撃対象にして情報を盗み出そうとしているようだと述べた。

同社によると、Hafniumは、新たに発見された4つのセキュリティ脆弱性を利用して、企業ネットワーク上で稼働しているExchangeの電子メールサーバに侵入し、被害者組織から電子メールアカウントやアドレス帳などのデータを盗み出し、さらにマルウェアをインストールしていたとのこと。4つの脆弱性を併用することで、Exchange 2013以降を使用するオンプレミスの脆弱なサーバーを侵害できる攻撃の連鎖が作られるという。

Hafniumは中国を拠点に活動しているが、攻撃を仕かけるために米国内のサーバーを利用していると同社は述べている。Microsoftは、Hafniumがこれら4つの新しい脆弱性を最初に発見したハッカーグループであるとも述べた(同社のブログ記事の以前のバージョンでは、Hafniumがこの脆弱性を悪用する「唯一の」グループであると誤って記述されていた)。

Microsoftは攻撃が成功した数については明言を避けたが、その件数は「限られたもの」と説明した。

該当する4つのセキュリティ脆弱性を修正するためのパッチは現在すでに公開されており、通常は毎月第2火曜日に予定されている同社の典型的なパッチ適用スケジュールよりも1週間早い公表となった。

「Microsoftの顧客セキュリティ担当副社長であるTom Burt(トム・バート)氏は次のように述べた。「Hafniumの攻撃に対するアップデートを迅速に配備するよう尽力しましたが、多くの国家活動家や犯罪グループが、パッチが適用されていないシステムを利用しようと迅速に動くことが予想されます」。

同社は米政府機関にも調査結果をブリーフィングしたとしているが、今回のHafniumによる攻撃は、米連邦政府機関に対するSolarWinds関連のスパイ活動とは関係ないとしている。トランプ政権末期にNSA(米国家安全保障局)とFBIは、SolarWindsの件は「ロシア起源の可能性が高い」と述べていた。

関連記事
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
NASAと米連邦航空局もSolarWinds製品を使った大規模ハッキングで被害に遭ったとの報道

カテゴリー:セキュリティ
タグ:Microsoft中国ハッキングマルウェアゼロデイ攻撃

画像クレジット:Drew Angerer / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)