slashdot(security)

p>独立行政法人情報処理推進機構（IPA）は24日、2023年に発生した情報セキュリティに関する重要な脅威をまとめた「情報セキュリティ10大脅威 2024」を発表した。これは毎年公開しているもので、情報セキュリティの専門家や企業の担当者など約200人からなる「10大脅威選考会」によって選定されている（IPA、INTERNET Watch）。 今回は、個人向けの脅威には順位がなくなり、代わりに初選出年と過去の取り扱い状況が記載された。個人における情報セキュリティ10大脅威に選ばれたのは以下の通り。 インターネット上のサービスからの個人情報の窃取（初選出年2016/5年連続8回目）インターネット上のサービスへの不正ログイン（同2016/9年連続9回目）クレジットカード情報の不正利用（同2016/9年連続9回目）スマホ決済の不正利用（同2020/5年連続5回目）偽警告によるインターネット詐欺（同2020/5年連続5回目）ネット上の誹謗・中傷・デマ（同2016/9年連続9回目）フィッシングによる個人情報等の詐取（同2019/6年連続6回目）不正アプリによるスマートフォン利用者への被害（同2016/9年連続9回目）メールやSMS等を使った脅迫・詐欺の手口による金銭要求（同2019/6年連続6回目）ワンクリック請求等の不当請求による金銭被害（同2016/2年連続4回目） 一方、組織向けの脅威では、ランキング形式が残されている。選ばれたのは以下の通り。 1位 ランサムウェアによる被害（前回順位1位）2位 サプライチェーンの弱点を悪用した攻撃（同2位）3位 内部不正による情報漏えい等の被害（同4位）4位 標的型攻撃による機密情報の窃取（同3位）5位 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）（同6位）6位 不注意による情報漏えい等の被害（同9位）7位 脆弱性対策情報の公開に伴う悪用増加（同8位）8位 ビジネスメール詐欺による金銭被害（同7位）9位 テレワーク等のニューノーマルな働き方を狙った攻撃（同5位）10位 犯罪のビジネス化（アンダーグラウンドサービス）（同10位）

すべて読む | セキュリティセクション | セキュリティ | ニュース | インターネット |

関連ストーリー：
政府、AIの安全性確保を担う組織を新設へ 2023年12月18日

headless 曰く、Microsoft が従業員の電子メールアカウントに対する不正アクセスを受け、4 営業日以内の報告が義務付けられた重大なサイバーセキュリティインシデントとして米証券取引委員会 (SEC) に報告している (Microsoft Security Response Center Blog の記事、 The Verge の記事、 Neowin の記事、 Form 8-K 報告書)。 不正アクセスは国民国家に関係する脅威アクターによるもので、Microsoft ではロシアの支援を受けた Midnight Blizzard (Nobelium) だと特定している。脅威アクターは 11 月下旬からパスワードスプレー攻撃でレガシーなテスト用テナントアカウントを乗っ取って足場を作り、そのアカウントのパーミッションを利用して Microsoft の従業員向け電子メールアカウントのごく一部にアクセスしたのだという。 不正アクセスされたアカウントの中には Microsoft 幹部のアカウントのほか、サイバーセキュリティや法務などにかかわる従業員のアカウントも含まれるといい、電子メールメッセージや添付ファイルが盗み出されたそうだ。この問題は 1 月 12 日に発覚し、Microsoftが不正アクセスを止めるための対策を行った。調査の結果、Midnight Blizzard が自身に関する情報を収集しようとして開始した攻撃とみられている。 今回の攻撃は Microsoft 製品やサービスの脆弱性によるものではなく、顧客の環境やソースコード、AI システムなどが不正アクセスを受けた証拠はないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ニュース | インターネット |

関連ストーリー：
米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール 2023年07月29日
Microsoft、気象用語を使用した脅威アクター新命名法 2023年04月21日

サイバーセキュリティ会社のQuarkslabによると、多くのUEFI/BIOSに実装されているPXE（Preboot Execution Environment）ブート機能には、9件の共通の脆弱性「PixieFAIL」が存在すると報告されている。これは、多くのUEFIにはネットワーク経由でブートを行なう「PXE」がTianocoreのオープンソースプロジェクト「EDK II」に基づいて実装されており、そのEDK IIのIPv4およびIPv6の実装に脆弱性があったためだという（Quarkslab、PC Watch）。 EDK IIを実装していて影響を受けるUEFIは下記の通り。 ArmのリファレンスソリューションInsyde SoftwareのInsyde H20 UEFI/BIOSAmerican Megatrends Inc（AMI）のAptio OpenEditionPhoenix TechnologiesのSecureCoreMicrosoftのProject MuPixieFAILは、PXEブートの初期段階でDHCPサーバーとのやり取りに問題があり、次のような脆弱性が報告されている。 整数アンダーフロー（CVE-2023-45229）バッファオーバーフロー（CVE-2023-45230）境界外読み取り（CVE-2023-45231）無限ループ（CVE-2023-45232、CVE-2023-45233）TCPセッションハイジャック攻撃の可能性（CVE-2023-45236）擬似乱数ジェネレーターの使用（CVE-2023-45237）ただし、この脆弱性はPXEブートを使用していない環境では影響を受けないため、一般ユーザーにとってはほとんど脅威にならないとされている。最新のUEFIへの更新、PXEブートの無効化またはネットワーク分離を強制した環境での実行、安全なOSの導入などによって、この脆弱性から保護することができるとしている。

すべて読む | セキュリティセクション | オープンソース | ハードウェア | セキュリティ | ニュース | バグ |

関連ストーリー：
AMD製CPUに脆弱性見つかる 2023年07月27日
セキュアブートを無効化可能な脆弱性、Acer の個人向けノート PC でも見つかる 2022年12月03日
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

Fortinetは8日、YouTubeを通じて情報窃取マルウェア「Lumma Stealer」の亜種を配布する脅威グループを発見したと報告した。この脅威グループはYouTubeアカウントを侵害、このアカウントからクラックされたソフトウェアを宣伝する動画をアップロード。動画内に悪意あるファイルへの短縮URLを埋め込み、動画の視聴者を悪意あるファイルをダウンロードするよう誘導するという（Fortinet、TECH+）。 リンク先にはフィルタによる保護を回避する目的から、GitHubやMediaFireなどのオープンソースプラットフォームが使用されているという。これらの悪意のあるファイルはZIPファイル形式で、PowerShellを使用して悪意のあるインストールファイルをダウンロードするリンクファイルを含んでいるとしている。

すべて読む | セキュリティセクション | セキュリティ | ニュース | YouTube |

関連ストーリー：
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
100 体のマルウェアでセキュリティソフトを比較してみた 2010年03月18日