今週気になったIT関連のニュース

2021年12月13日～2021年12月19日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• Log4jに関する情報色々
• OAuthの仕組みを悪用したフィッシング攻撃
• FBIが合法的に収集できるメッセージングサービスの情報
• 最後に

Log4jに関する情報色々

今週も色々な情報が出てきました。
気になったものだけでもかなりの数があったので、ざざっと記載します。

• Log4j: List of vulnerable products and vendor advisories

  • IT企業各社のLog4jに関する情報まとめ

• New ransomware now being deployed in Log4Shell attacks

  • Log4shellを悪用したランサムウェアが見つかった。
  • しかしこのランサムウェアは、攻撃者の連絡先が記載されていなかった。
    • ということは、身の代金目的ではなく、データの破壊自体が目的である可能性がある。

• Second Log4j Vulnerability (CVE-2021-45046) Discovered — New Patch Released

  • Log4jの脆弱性（CVE-2021-44228）が修正されたが、修正が不完全だったので新たな脆弱性が見つかった。
    • NVD - CVE-2021-45046 (nist.gov)
    • 当初この脆弱性はCVSSが3.7に設定されていたが、対策をパイパスする方法が見つかったためCVSSが9.0に変更された。
  • NetLabによるLog4j2に関する攻撃検知情報
    • Ten families of malicious samples are spreading using the Log4j2 vulnerability Now (360.com)
      • 攻撃のアクセス元になっている国や、検知したアクセス元IPの情報が公開されている。

• Log4Shell Is Spawning Even Nastier Mutations | Threatpost

  • 情報が公開されたあと24時間以内に攻撃の変異体の数が60を超えたらしい。
    • 数を見るに、この記事の変異体は攻撃ペイロードの種類を表しているんじゃないかと思う。
  • セキュリティ関連企業各社で、大量の攻撃の試行を観測している。
    • CheckPointは月曜時点で845,000以上のエクスプロイトの試みを阻止した。
    • 試みの46％以上は既知の悪意のあるグループによって行われた。

• The Log4J Vulnerability Will Haunt the Internet for Years | WIRED

  • Log4Shellは今後数年間インターネットの世界に影響を与え続ける可能性がある。

OAuthの仕組みを悪用したフィッシング攻撃

What

• Microsoftを始めとする多くの起業で利用されるOAuth2.0を使った実装に問題が見つかった。
  • OAuth2.0のリダイレクト機能を悪用することで、利用者を任意のURLにリダイレクトすることができる。
  • この攻撃はほとんどのフィッシング検知ソリューションと電子メールの保護ソリューションをバイパスできる。
  • この手法を悪用する攻撃が既に見つかっている。
  • フィッシングURLはAzureドメインを使うことで正当なサービスを装っている。
• 攻撃者はエラーが発生する状態を作ってOAuth2.0のURLにターゲットをアクセスさせる。
  • エラー処理の実装により、攻撃者の意図したURLにリダイレクトさせられてしまう。
  • このとき利用するリダイレクト前のURLは、MicrosoftやGitHubの正規のURLなので、エラー検知をするのが難しい。
• 先日OAuth2.0の仕組みについて学んだけど、記憶が薄れてきたので復習しないと。

関連記事

• Microsoft and GitHub OAuth Implementation Vulnerabilities Lead to Redirection Attacks | Proofpoint US

FBIが合法的に収集できるメッセージングサービスの情報

What

• FBIは各社が提供するメッセージングサービスから一部の情報を取得することができる。
  • FBIのトレーニング資料の内容から、取得できる情報と取得できない情報がわかった。
• 海外の法執行機関がどのような情報にアクセスしているのかという情報はとても興味深い。

• FBI document shows what data can be obtained from encrypted messaging apps - The Record by Recorded Future

最後に

今週もLog4jに関する情報がたくさんでてきました。

今週で材料出尽くして新しい攻撃手法の情報や被害情報もどんどん少なくなるといいのですが。