今週気になったIT関連のニュース

2021年10月11日～2021年10月17日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• 広告をブロックするブラウザ拡張機能が広告を埋め込んでいた
• 中国で開催されたハッキングコンテストで多くの製品にゼロデイ脆弱性が見つかった
• 最後に

広告をブロックするブラウザ拡張機能が広告を埋め込んでいた

What

• 広告ブロック機能を謳う悪意のあるブラウザ拡張機能が見つかった。
• この拡張機能では、検索結果に表示されたリンクのURLを攻撃者が指定したリンクに置き換える。
• リンクをクリックすると、利用者が攻撃者の指定したURLにアクセスさせられることになる。
• 今回アクセスさせられたURLはアフィリエイトのURLだったらしい。
• 今回見つかった拡張機能は、100ミリ秒毎にデバッグコンソールを削除したり、主要な検索エンジンを攻撃の対象から外すなど、攻撃が見つかりにくくする対策をとっていた。
• 攻撃に利用されたIPアドレスとドメインに、以前に見つかったPBotキャンペーンとの関連が見られるらしい。
• ブラウザの拡張機能はかなり色々なことができてしまうので、「信頼できる拡張機能以外は追加してはいけない」と改めて感じる内容だった。
  • 「信頼できると判断するのがとても難しい」という問題もあるが。

関連記事

• The ad blocker that injects ads | Imperva
• Ad-Blocking Chrome Extension Caught Injecting Ads in Google Search Pages
• Experts spotted an Ad-Blocking Chrome extension injecting malicious adsSecurity Affairs

中国で開催されたハッキングコンテストで多くの製品にゼロデイ脆弱性が見つかった

What

• 中国で開催されたセキュリティのイベントで、各種環境のゼロデイ脆弱性が見つかった。
• 対象になった製品には下記が含まれる
  • Windows 1021H1で実行されるGoogleChrome
  • MacbookProで実行されるAppleSafari
  • Adobe PDF Reader
  • Docker CE
  • Ubuntu 20
  • CentOS 8
  • Microsoft Exchange Server 2019
  • Windows 10
  • VMware Workstation
  • VMware ESXi
  • Parallels Desktop
  • iPhone
• このイベントで見つかった脆弱性の詳細は明らかになっていない。
• 見つかった脆弱性の修正パッチは順次公開される模様。

関連記事

• Experts hacked a fully patched iOS 15 running on iPhone 13 at Tianfu CupSecurity Affairs
• Windows 10, Linux, iOS, Chrome and Many Others at Hacked Tianfu Cup 2021

最後に

こんな記事も見かけた。

上下水道のシステムを狙う攻撃に関する内容。

水処理施設を狙った攻撃に関する記事をよく目にするのは何か理由があるのだろうか？

水が生活に必要なのは間違い無いが、他にも生活インフラと呼べる分野はたくさんあると思うのだが。

• CISA Issues Warning On Cyber Threats Targeting Water and Wastewater Systems