今週気になったIT関連のニュース

2021年7月5日～2021年7月11日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• Kaseya VSAのセキュリティアップデート提供が始まった
• 中国で夜間にスマホゲームをする時に顔認証が必要になった
• 海水からリチウムを生成できる技術が開発された
• 最後に

Kaseya VSAのセキュリティアップデート提供が始まった

What

• Kaseyaはゼロデイ攻撃の被害にあったVSAのセキュリティアップデートの提供を始めた。
• 今回修正された脆弱性は下記。
  • CVE-2021-30116
  • CVE-2021-30117
  • CVE-2021-30118
  • CVE-2021-30119
  • CVE-2021-30120
  • CVE-2021-30121
  • CVE-2021-30201
• 今回の攻撃では、Kaseyaの顧客約50組織、Kaseyaの顧客の顧客1,500程度の組織が攻撃の被害にあったとされている。
• Kaseyaは、インフラが攻撃の被害にあっているか検査するツールも合わせて公開した。
• セキュリティ更新プログラムがインストールされると、すべてのユーザのパスワードがリセットされる。ユーザは再度パスワードを設定する必要がある。
• Kaseyaは、VSAをインストールしたサーバの443ポートをファイアウォールでブロックし、VSA Web GUI へのアクセスをローカル IP アドレスに制限することを推奨している。
• VSA SaaSも順次サービスを再開している。
• 今回の事件ではCVE-2021-30116、CVE-2021-30119、CVE-2021-30120を組み合わせて利用されたと考えられている。
• 攻撃者は「被害企業は彼らと交渉することができる」もしくは「データを復号するために誰かが7000万ドル相当の仮想通貨を支払うことで復号キーを買うことができる」と述べているが、ランサムウェアの専門家は支払いしないことを勧めている。
  • 多くの被害端末を復元することはとても難しい。
• Kaseya CEOによると、35,000の顧客企業の内、約50の企業が侵害されている。

• 今回の事件と関係するかわからないが、Kaseyaのシステムのセキュリティ管理状況に関する情報が記載されている記事があった。
  • 脆弱性のあるカスタマーサービスポータルが2015年から残されていた。
  • このカスタマーサービスポータルが今回の攻撃に利用されたという証拠はまだ見つかっていない。調査中。
  • Kaseyaの製品や製品開発ポリシーがセキュリティを軽視していたとする元従業員の告発情報もある。
    • Kaseya Failed to Address Security Before Hack, Ex-Employees Say

When

• 2021年4月 オランダのThe Dutch Institute for Vulnerability Disclosure (DIVD)が
  CVE-2021-30116とその他6つの脆弱性についてKaseyaに連絡した
• 2021年7月11日（日） Kaseya がVSAのセキュリティアップデートをリリースした

関連記事

• Kaseya Failed to Address Security Before Hack, Ex-Employees Say
• Kaseya Releases Patches for Flaws Exploited in Widespread Ransomware Attack
• Kaseya Left Customer Portal Vulnerable to 2015 Flaw in its Own Software – Krebs on Security
• Kaseya releases patches for flaws exploited in massive ransomware attackSecurity Affairs

中国で夜間にスマホゲームをする時に顔認証が必要になった

What

• 中国で展開する60以上のスマホゲームで夜間のゲームプレイに関する制限が実施された。
• 午後10時から午前8時の間にゲームのプレイセッションが一定時間を越えると顔認識が実施される。
  • 顔認識に失敗した場合はゲームができなくなる。
• どの様にして顔認証を実施しているのか、技術的な詳細は明らかにされていない。
  • 中国の公的な顔のスキャンシステムを利用している？
• こんな風に「思い切った政策を実行して、失敗したらやり直す」というのをできるのは中国の強みだなぁ。

関連記事

• Dozens of Chinese phone games now require facial scans to play at night | Ars Technica

海水からリチウムを生成できる技術が開発された

IT系のニュースとは少し違うが、すごいなと思ったので。

What

• 電気自動車で必要となるリチウム電池を海水から抽出する方法が開発された。
• 海には、陸上の5000倍のリチウムが存在しているらしい。
• リチウムは通過できるが、他の大きな金属は通過できないフィルターのようなものを使うらしい？
  • 他にも各種溶液を使って必要なリチウムだけを抽出することができるらしい。
  • 週刊少年ジャンプで連載中のDr. Stoneででてきたような化学のフローチャートが頭を過ぎった。内容はさっぱりわからなかったけど。
  • このような技術を一歩一歩積み重ねて、人類は進歩してきたんだな、と感じるニュースだった。
• 海水から1kgのリチウムを抽出するのにかかる費用は約5ドル。
  • 抽出にかかるコストよりも、取り出したリチウムの価値の方が高いらしい。

関連記事

• We Can Now Harvest Usable Lithium From Seawater | IE

最後に

今回のKaseyaの件に便乗して、「Kaseyaのアップデート提供が開始された」と偽るスパムメールも観測されているらしい。

ほんと悪い人は抜け目がないしフットワークが軽い。

スパムメールについては、こちらのPodcastで話題にあがっていた。

セキュリティのアレ 第94回 まさかのネタ被り！互いのネタがいつもと逆！スペシャル！