今週気になったIT関連のニュース

Jun 8, 2021 23:05 · 3162 words · 7 minute read 今週のニュース

2021年5月31日~2021年6月6日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

食肉大手企業へのランサムウェア攻撃

先日のColonial Pipelineへの攻撃に続いて、生活インフラと呼べるような大企業へのランサムウェア攻撃がニュースを騒がせていました。

What

  • 米国最大の食肉生産者JBSへのサイバー攻撃により、米国の牛肉工場が全て閉鎖された。
    • JBSは、ブラジルに本社を置き、世界中に250,000 人以上の従業員を擁する世界最大の食肉加工会社。
    • 影響は米国の供給量の4分の1
  • ブラジルサンパウロの拠点のネットワークが週末に攻撃を受けた後に、オーストラリアやカナダの施設も停止した。
  • 攻撃者はロシアを拠点としている?
  • バックアップサーバは影響を受けていない。
  • 攻撃に関する詳細は公表されていない模様。
  • JBSは事前にサイバーセキュリティに対応する計画を策定しており、被害発覚後計画していた内容を実行した。
    • 事前に計画があったので、復旧が早かったのか?
  • 顧客、サプライヤー、従業員の情報が侵害された事実は確認していない。
  • JBSへの攻撃は、REvilによるランサムウェア攻撃だった。
    • REvilの攻撃は合理的で冷酷。二重恐喝、盗んだデータの競売、身代金額の交渉に対して金額の倍増など。
    • 記事内に出てきたREvilのものとされる煽り文章は、なんというか攻撃的。ビジネスライクさは感じられなかった。

When

  • 5月30日 日曜に北米とオーストラリアのネットワークへの侵入を検知
    • 同日、北米とオーストラリアのシステムを停止
  • 5月31日 月曜 JBSが声明を発表
  • 6月1日 火曜 JBSが同社のシステムがオンラインに戻っていることを発表
  • 6月2日 水曜には大多数の施設が稼働を再開する予定

関連記事

ZerodiumがメッセンジャーツールPedginの脆弱性を募集している

What

  • 未修正の攻撃手法の買取りや販売をしているZerodiumが、Pidginというインスタントメッセンジャーの0-day脆弱性を探している。
  • 支払い金額は最大$100,000
  • Pidginは無料でオープンソース。マルチプラットフォーム対応のメッセンジャーツール。
  • メッセージを読み込むだけでRCEを実行できる脆弱性を探している。
  • Pidginはサイバー犯罪者グループやテロリストグループに利用されているらしい。
    • Zerodiumは0-dayの脆弱性を法執行機関や捜査機関に再販しているらしい。
  • Pidginは、XMPP (Jabber)というプロトコルを利用している。

関連記事

自宅の回線をAmazonデバイスに貸し出すAmazon Sidewalk

What

  • Amazonは6月8日からSidewalkというサービスを開始する。
  • Sidewalkでは、Bluetooth and 900 MHz spectrum(?)を使って、Amazonデバイスでメッシュネットワーク展開する。
  • 対応デバイス、EchoシリーズとRing Floodlight Cams と Ring Spotlight Cams。
    • Echo (third generation and newer)
    • Echo Dot (third generation and newer)
    • Echo Dot for Kids (third generation and newer)
    • Echo Dot with Clock (third generation and newer)
    • Echo Input
    • Echo Flex
    • Echo Plus (all generations)
    • Echo Show (all models and generations)
    • Echo Spot
    • Echo Studio
    • Ring Floodlight Cam (2019)
    • Ring Spotlight Cam Mount (2019)
    • Ring Spotlight Cam Wired (2019)
  • Sidewalkは、Sidewalk 対応デバイスと低帯域幅接続を共有する。インターネット回線の変わりにSidewalkを使うことはできないらしい。
    • Sidewalkのネットワークに自由にアクセスしてネットワークを利用することができたら、接続元を秘匿したい犯罪者に悪用されそう。
  • プライバシーの観点から、共有するネットワーク内で暗号化が利用されていて、接続している端末の情報や位置情報を悪用することを防いでいるらしい。
  • スマートライトなどのエンドポイントとアプリケーションサーバとの通信でも、デバイスの追跡や関連付けを防止するために15分毎に識別IDを変更するらしい。
  • Amazonが保有するネットワークデバイスのルーティング情報は24時間毎に自動消去される。
    • これらの匿名性は悪い人にとって魅力的だと思う。通信速度が遅くても良ければ、なんとかしてSidewalkのネットワークに参加して不正利用しようとするのではないだろうか。
  • Sidewalkは2021年6月現在は米国でのみ利用できる。
    • 米国で上手くサービスが回ったら、そのうち日本でも展開されるのだろうか。

関連記事

なりすましEmailで使われる手法色々

What

  • SMTPプロトコルはなりすまし対策の機能は提供しない。
  • 一番シンプルななりすましは、送信元のドメインを詐称すること。
  • なりすましメール対策
    • SPFはメールドメインの所有者は、そのメールドメインからメールを送信できるIPアドレスを制限できる。送信者のIPアドレスが、ドメイン所有者から許可されたものであるかを確認することができる。
    • DKIMは、メールサーバの秘密鍵を用いてデジタル署名による確認をすることができる。公開鍵は、ドメインを保有するDNSに保管する。ただしこの方法には弱点があり、攻撃者は署名無しのメールを送信することができる(!)
    • DMARCは、DKIM/SPF 検証されたドメインに対して From ヘッダー内のドメインをチェックする
  • なりすましの手法
    • ドメインやメールアドレスはそのままに、表示名だけ変更する。
      • こうすることで、SPFやDKIMをパスすることができる。ただし、メールアドレスを確認されたら偽物であることがわかる。
    • ゴーストスプーフィング。表示名の中にメールアドレスも含めることで、「これは偽物のメールでは?」という受信者のチェックもパスできるかも。
    • AD スプーフィング。なりすます人の名前をメールアドレスに使う?
    • そっくりなドメインを取得して、SPFやDKIMの設定をする。「deutschepots.de」と「deutschepost.de」など。設定の手間は少しかかるが。
    • ユニコードスプーフィング。ASCII文字を使う。ヘッダを見ればわかるが、ヘッダを見ないと判別が難しい。
      • システム部門の人が、Unicode Spoofing対策を従業員にトレーニングするのは結構大変だろうな。

関連記事

VMware vCenterに認証無しで任意コード実行ができる脆弱性が見つかる

What

  • VMaware vCenterのRCEに対応する緊急のアップデートが公開された。
    • 今回見つかった脆弱性は、認証なしで任意のコードを実行できる。
    • CVE-2021-21985 (CVSS スコア 9.8)
  • Bad Packets と Binary Edge によると、少なくとも14,858 の vCenter サーバーがインターネット経由で到達可能であることがわかった。

When

  • 5月25日: VMWareから脆弱性修正updateが提供される
  • 6月2日: セキュリティ研究者がブログで脆弱性のproof-of-concept codeを公開
  • 6月3日: Bad Packetsによって、大量のスキャンが観測される
  • 6月5日: 別の研究者が自身のハニーポットでCVE-2021-21985の攻撃を観測したことをツイート

関連記事

最後に

今週は気になるニュースが沢山ありました。

生活のインフラと呼べる企業がランサムウェア攻撃のターゲットになる事例が続いているので、各国政府が対策に本腰を入れてくるかもしれないですね。

tweet Share