アップルがiOS 15.2.1リリース、iPhoneとiPadにHomeKitの欠陥に対するパッチを適用

Apple(アップル)は、iOSおよびiPadOSに存在するセキュリティ脆弱性を修正した。この脆弱性は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性がある。

Appleは米国時間1月12日にiOS 15.2.1およびiPadOS 15.2.1をリリースし、セキュリティ研究者のTrevor Spiniolas(トレバー・スピニオラス)氏によって1月初めに開示された、いわゆる「doorLock」と呼ばれる欠陥を修正した。このバグはiOS 14.7からiOS 15.2を搭載したiPhoneおよびiPadに影響するもので、Appleのスマートホーム基盤であるHomeKitを介して発生する。

このバグを悪用するには、攻撃者はHomeKitデバイスの名前を50万文字を超える文字列に変更する必要がある。この文字列がユーザーのiPhoneやiPadに読み込まれると、デバイスのソフトウェアがサービス拒否(DoS)状態に陥り、フリーズを解除するために強制リセットが必要になる。しかし、デバイスが再起動し、ユーザーがHomeKitにリンクされたiCloudアカウントにサインインし直すと、再びバグがトリガーされる。

ユーザーがHomeKitでデバイスを1つも追加していなくても、攻撃者は偽のHomeネットワークを作成し、フィッシングメールでユーザーを騙して参加させることができる。さらに悪いことに、攻撃者はdoorLock脆弱性を利用して、iOSユーザーに対してランサムウェア攻撃を仕かけ、デバイスを使用できない状態にロックして、HomeKitデバイスを安全な文字列長に戻すために身代金の支払いを要求することができると、スピニオラス氏は警告している。

スピニオラス氏によると、Appleは2021年のセキュリティアップデートでこの問題を修正することを約束していたが、これが「2022年初頭」まで延期されたため、同氏はこの遅れがユーザーに「深刻なリスク」をもたらすことを恐れてバグを公開したとのこと。

「Appleはセキュリティ問題を確認し、私はこの4カ月間に何度もこの問題に真剣に取り組むよう彼らに促したにもかかわらず、ほとんど為されていませんでした」と同氏は書いている。「頻繁に要求したにもかかわらず、この問題に関するステータスの更新は稀で、並外れて少ない詳細情報しか得られなかったのです」。

「Appleの透明性の欠如は、しばしば無償で活動しているセキュリティ研究者を苛立たせるだけでなく、セキュリティ問題に関するAppleの説明責任を低下させることで、日々の生活でApple製品を使用している何百万人もの人々にリスクをもたらしています」とも。

このアップデートは現在ダウンロード可能で、iPhone 6s以降、iPad Pro全モデル、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)が対象となる。

画像クレジット:file photo

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

米当局が重大なサイバーセキュリティ事案の36時間以内の報告を銀行に義務付け

米国の金融規制当局は、銀行が「重大な」サイバーセキュリティ事案を発見した場合、発見から36時間以内に報告することを義務付ける新ルールを承認した。

この規則では、銀行は業務の実行可能性、商品やサービスを提供する能力、または米国の金融セクターの安定性に重大な影響を与えているか、または与える可能性が高い事案について、連邦監督機関に報告しなければならない。対象には、顧客の銀行サービスへのアクセスを妨害する大規模なDDoS(分散型サービス妨害)攻撃や、銀行業務を長期間不能にするコンピュータハッキング事案などが含まれる。

さらに、銀行(この規則では国立銀行、連邦協会、外国銀行の連邦支店を含む「銀行組織」と定義されている)は、事案が4時間以上にわたって顧客に重大な影響を与えた場合、または与える可能性がある場合には「できるだけ早く」顧客に通知しなければならない。

「コンピュータセキュリティ事案は、破壊的なマルウェアや悪意あるソフトウェア(サイバー攻撃)だけでなく、ハードウェアやソフトウェアの悪意のない故障、人為的なミス、その他の原因によっても発生する可能性があります」と、コンピュータセキュリテインシデント通知最終規則は説明している。「金融サービス業界を標的としたサイバー攻撃は近年、その頻度と深刻さが増しています。これらのサイバー攻撃は、銀行組織のネットワーク、データ、システムに悪影響を及ぼし、最終的には通常の業務を再開する能力にまで影響を及ぼす可能性があります」。

連邦預金保険公社(FDIC)、連邦準備制度理事会(Board)、通貨監督庁(OCC)によって承認されたこの最終規則は2022年4月1日に発効し、2022年5月1日までの完全遵守が求められる。

このルールが、銀行スタートアップやフィンテック企業にも適用されるかどうかは不明だ。TechCrunchはFDICに詳細を問い合わせたが、すぐには返答が得られなかった。

金融規制当局は2020年12月に初めて通知義務を提案したが、業界団体から否定的なフィードバックがあったため、最終規則の一部要素の変更を余儀なくされた。例えば、当初の案では、銀行が重大なサイバー事案に見舞われたと「誠意を持って信じた」場合に事案を報告しなければならないとされていたが、銀行はかなりのサイバー事案に直面してきており、これでは広範な事案が過剰に報告される恐れがあると業界から警告され、ルールは変更された。

「コメントを慎重に検討した結果、当局は『誠意の信念』の基準を銀行組織の判断に置き換えています」と最終規則の概要に記載されている。「提案されていた『誠意をもって信じる』という基準は主観的で不明確すぎると批判したコメントに、当局は同意しています」。

この規制についてコメントしていた業界団体の1つであるBank Policy Institute(BPI、銀行政策研究所)は、最終規則を支持すると声明で述べた

BPIのテクノロジーリスク戦略担当上級副社長であるHeather Hogsett(ヘザー・ホグセット)氏は「BPIはタイムリーな通知の価値を認識しており、重大なインシデントが発生した際に規制当局や関係者に通知するための明確なタイムラインと柔軟なプロセスを確立した最終規則を支持します。この規則はまた、通知と報告を明確に区別している点でも重要です。サイバー事案の通知は、規制当局と銀行の早期の連携を促し、銀行が事案に対応したり調査を行ったりしている間に、規制当局が金融システム全体に広範な影響を及ぼす可能性のある状況を認識できるようにします」と述べた。

画像クレジット:Robert Alexander / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

Cloudflareが2Tbpsの過去最大級DDoS攻撃をブロック、GitLabはセキュリティパッチ適用を

Cloudflare(クラウドフレア)は、ピーク時に2Tbps弱を記録した分散型サービス拒否(DDoS)攻撃をブロックしたことを明らかにした。これは過去最大級の攻撃だという。

この攻撃は、オリジナルのMiraiコードの亜種を、悪用されたIoTデバイスやパッチが適用されていないGitLabインスタンスで実行する約1万5000のボットから行われたと、同社はブログで述べている

今回のDDoS攻撃は、脆弱性リスク管理のRapid7(ラピッドセブン)が、GitLabの脆弱性(CVSS深刻度スケールで10.0と評価)を警告してからわずか2週間後に発生したもので、この脆弱性が悪用されると、攻撃者は被害サーバー上でボットネットマルウェアのようなコードをリモートで実行することができる。Rapid7は、インターネットに接続している6万のGitLabインスタンスのうち、少なくとも半数にパッチが適用されていないことを確認し、バグの詳細が公表されるにつれて「悪用が増加すると予想される」と警告していた

同社は間違っていなかった。Cloudflareは、そのわずか1週間後に大規模なDDoS攻撃をブロックしたと述べている。Cloudflareは、この攻撃を分析した結果、DNS増幅攻撃とUDPフラッド攻撃の両方を組み合わせたマルチベクトル型攻撃だったと考えている。

Cloudflareによると、この攻撃は1分以下で終了し、これまでに同社が目撃した中で最大規模だったとのこと。Microsoft(マイクロソフト)が、欧州のAzure顧客を標的とした「記録的な」2.4TbpsのDDoS攻撃を緩和したと発表してからわずか1カ月後のことだった。

Cloudflareは今回の攻撃を数秒で緩和したものの、10月にも複数のテラビット級のDDoS攻撃を目撃しており、この傾向がすぐに弱まることはないだろうと警告している。

CloudflareのプロダクトマネージャーであるOmer Yoachimik(オメル・ヨアヒミック)氏は次のように述べている。「第3四半期のDDoSトレンドレポートのもう1つの重要な発見は、ネットワークレイヤーのDDoS攻撃が前四半期比で44%増加したことでした。第4四半期はまだ終わっていませんが、Cloudflareの顧客を標的としたテラビット級の攻撃が複数回発生しています」。

Rapid7はGitLabユーザーに対して、できるだけ早くGitLabの最新バージョンにアップデートするように促している。「さらに、理想的には、GitLabはインターネットに接続されたサービスであるべきではありません」と同社は付け加えている。「インターネットからGitLabにアクセスする必要がある場合は、VPN越しにすることを検討してください」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)