今宵のサイバーセキュリティについて気になること：デジタル庁のサイトやばすぎるwww、ALPHV（BlackCat）がRedditへ侵入、FortiOS CVSS9.8 Criticalなど

Table of Contents

デジタル庁のサイトやばすぎるwww

素晴らしい。そして、デジタル庁のシステムに携わった富士通Japanの開発者や中小の請負ベンダー、名も無きフリーエンジニアのお陰だと思います。「誰一人取り残されない、人にやさしいデジタル社会の実現」に向けて、ありがとうございます。

煽り詐欺タイトルでQiita記事書いたらちゃんと見てもらえて嬉しい。邪道だけどでも読んでもらいたいから悪事に手を染めたhttps://t.co/pj5i7VjaKq
— まさぴー (@masap714) June 11, 2023

プログラマーになりたい若者が一連の騒動で、開発者に対して憶測で批判しているのを見て、怖いと感じていると思う。アーキテクトの非機能の考慮漏れはテスト仕様にも含まれず、実装段階で見つけ整合させるのは、ほぼ不可能だと思います。

「Fujitsu MICJET コンビニ交付」サービスは全国989団体の自治体で導入した既存の仕組みですが「デジタル社会の実現に向けた重点計画」によるトータルデザインで、証明書交付申請の量と負荷、印刷処理における遅延を想定したアーキテクトの解像度が要求されたと思います。

河野デジタル相は「富士通Japanから（デジタル庁が対象自治体の）情報をもらってデジタル庁が自治体と協議をしていく」ことを挙げております。アーキテクトがレガシーシステムを紐解き、分解し、その後、モダンアーキテクチャに接合していくことが必要です。

ALPHV（別名：BlackCat）について

ALPHV（別名：BlackCat）が、2023年2月5日にRedditへ侵入し80GBに及ぶZIP形式のファイルを窃取し、450万ドルを要求した模様です。

The Reddit Files.@Reddit https://t.co/cIUyCWwMlP pic.twitter.com/gyHA7lplvG
— Dominic Alvieri (@AlvieriD) June 17, 2023

コロニアルパイプラインへ攻撃を行い2021 年 5 月に閉鎖、7月31日にBlackMatterとしてブランド名を変更し、11 月に BlackCat ランサムウェアを発売。LockBit上にリンクを公開しました。感染が拡大しており重要インフラ事業者は警戒を。

米国水処理施設の危機　警告（AA21-042A）オールズマー市およびコロニアル・パイプライン

FBIによる注意喚起

BlackCat/ALPHV （RaaS）は、世界中で60以上の組織を侵害しており、数百万ドルの身代金の支払いを要求します。BlackCat/ALPHVの多くは、Darkside/Blackmatterと連携しており、ランサムウェア運用に関する広範なネットワークと経験を有しています。

#Ransomware is constantly evolving. Since March 2022, BlackCat/ALPHV ransomware as a service has compromised at least 60 entities worldwide – and is the first to do so successfully utilizing RUST. Learn more from our #FBI FLASH https://t.co/0A9KMftsWX pic.twitter.com/jofLL7aoGH
— FBI (@FBI) April 20, 2022

Microsoftより 2023年6月のセキュリティ更新プログラム (月例)がリリース

CVSSが9.8と高いスコアで、認証やユーザーの操作なしで悪用が可能な脆弱性は以下４点です。

CVE-2023-29357 Microsoft SharePoint Server の特権の昇格の脆弱性影響: 特権の昇格最大深刻度: 緊急
CVE-2023-29363 Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性影響: リモートでコードが実行される最大深刻度: 緊急
CVE-2023-32015 Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性影響: リモートでコードが実行される最大深刻度: 緊急
CVE-2023-32014 Windows Pragmatic General Multicast (PGM) のリモートでコードが実行される脆弱性影響: リモートでコードが実行される最大深刻度: 緊急

なるべく早く更新することをお勧め致します。

2023年6月のマイクロソフト月例セキュリティ更新プログラムを公開しました。既定では自動で更新されます。更新管理を行っている組織向けに、概要をブログで公開しています。ご参照のうえ、早期に更新の展開をお願いします。https://t.co/iw74ipish5 #セキュリティ #更新プログラム #マイクロソフト pic.twitter.com/tNmoY6gXt1
— マイクロソフトセキュリティチーム (@JSECTEAM) June 14, 2023

Fortiguard PSIRT アドバイザリー（6月）

FortiOS および FortiProxy、FortiADC および FortiADC Manager、FortiADC、FortiClient (Windows) / FortiConverter (Windows) 、FortiManager および FortiAnalyzer、FortiNACなどのセキュリティアップデート21件をリリースしました。
重大度：Critical １件 CVSS9.8

FortiOS および FortiProxy – sslvpn 事前認証におけるヒープバッファオーバーフローすでに悪用が確認されております。 CVE-2023-27997 回避策:SSL-VPNを無効にします。

その他、重大度：High 7件、 Medium 11件、 Low 2件修正済みバージョンへ更新することをお勧め致します。

VMware ESXi ゼロデイ脆弱性 CVE-2023-20867

CVSSが3.9と低いスコアですがバックドアを展開したESXi ホストからのゲスト認証やゲストVMのログ記録を行わずに、Windows、Linux、および PhotonOS (vCenter) ゲスト VM 全体で特権コマンドの実行が可能になります。

最近は、マルウェアの開発がネットワークアプライアンス、SAN アレイ、VMware など、EDR をサポートしていないシステムに展開することへ移行している模様です。
なお、ゼロデイ脆弱性 (CVE-2023-20867) を悪用すると、侵害された ESXi ホストからのゲスト認証やゲストVMのログ記録を行わずに、Windows、Linux、および PhotonOS (vCenter) ゲスト VM 全体で特権コマンドの実行が可能になります。
ラテラルムーブメントと継続的な永続性のために、代替ソケットアドレスファミリである VMCI を使用して ESXi ホストにバックドアを展開します。このアドレスファミリにより、ネットワークセグメンテーションや設定されているファイアウォールルールに関係なく、ゲスト VM から侵害された ESXi ホストのバックドアへ接続が可能になります。

Mandiant IR has discovered new insights into UNC3886 intrusions including a new VMware zero day vulnerability (CVE-2023-20867), leveraging VMCI sockets, and additional tampering on systems which generally do not support EDR.

Check out the new blog here: https://t.co/ZHxYsqY9c3
— Rufus (@rufusmbrown) June 13, 2023

WordPressのプラグインWooCommerce Stripe Payment Gateway IDOR の脆弱性

WordPressのプラグインWooCommerce Stripe Payment Gatewayは、認証されていない直接オブジェクト参照 (IDOR) の脆弱性があります。この脆弱性により電子メール、ユーザー名、住所などのPII データを閲覧できます。
CVE-2023-34000 CVSS7.5 High
早めにアップデートすることをお勧め致します。

🚨Just in: Security vulnerability found and patched in the popular WooCommerce Stripe Gateway WordPress plugin, exposing sensitive PII data to unauthenticated users.🛑 Make sure to update to version 7.4.1 or higher to stay protected.⚠️https://t.co/vr3VymM4xw
— Patchstack (@patchstackapp) June 13, 2023

Microsoft Threat Intelligence ロシアの脅威アクター Cadet Blizzard

Telegram チャネルFree Civilianを利用し、標的は政府機関、サービスプロバイダー、サプライチェーン、メーカーなど様々な組織に及んでおります。
CVE-2021-26084 の脆弱性を介してConfluenceサーバーを悪用したり、CVE-2022-41040やProxyShellを含む複数の脆弱性を介してExchangeサーバーを悪用したり、コンテンツ管理システムなどオープンソースプラットフォームの脆弱性を悪用します。

In our continuous tracking of Russian govt affiliated threat groups, Cadet Blizzard (DEV-0586) has emerged as a novel GRU-affiliated actor that's conducted destructive operations likely supporting military objectives in Ukraine. Get TTPs & protection info: https://t.co/vj8wGoqtD8
— Microsoft Threat Intelligence (@MsftSecIntel) June 14, 2023

コマンドまたはトンネリングの汎用 Web シェルの展開を通じて、ターゲットネットワーク上に侵入します。一般的に使用される Web シェルには、P0wnyshell、reGeorg、 PAS が含まれ、さらには公開されているエクスプロイトキットに含まれるカスタムバリアントも含まれます。

Cadet Blizzard is a conventional network operator and commonly utilizes living-off-the-land techniques after gaining initial access to move laterally through the network, collect credentials and other information, and deploy defense evasion techniques and persistence mechanisms. pic.twitter.com/nKMtJJWKFJ
— Microsoft Threat Intelligence (@MsftSecIntel) June 14, 2023

特権昇格と資格情報の収集
LSASS のダンプ – Cadet Blizzard は、 procdumpなどの Sysinternals ツールを使用してLSASS をダンプします。またprocdump64をdump64.exeなどの別の名前に変更します。レジストリハイブのダンプ – Cadet Blizzard は、reg saveを介してレジストリハイブを抽出します。

ラテラルムーブメント
資格情報の収集から取得した有効なネットワーク資格情報を使用してラテラルムーブメントを実行します。Impacket フレームワークのモジュールを使用しており、コマンドのパターンを優先的に実行することからCadet Blizzard をプロファイリングできる可能性があります。

運用上のセキュリティ
Cadet Blizzard は、匿名化レイヤーとして IVPN、SurfShark、および Tor を利用します。

フォレンジック対策
Cadet Blizzardが、PowerShell のWin32_NTEventlogFile を利用して、システムイベントログとセキュリティイベントログの両方を抽出しています。
・コマンドファイル
　sec.evtx
　sys.evtx
・NirSoft AdvancedRunユーティリティ：WinDefendサービスを停止
・Windows Defender.bat を無効化

身代金の支払いを拒む組織が増加

パロアルト2023 Unit 42 Ransomware and Extortion Reportによれば、身代金支払額の中央値は約4,500万円、前年比35%減の一位の要因は身代金の支払いを拒む組織が増加でした。国外ではサイバー犯罪者への支払いや支払い幇助が法に触れ、世界的にも身代金の支払いを断固として拒む流れになっています。

なお各国の法執行機関はランサムウェアに関与した人物の逮捕や攻撃システムの停止を行い、サイバー犯罪者等を追い詰めています。2023年3月に米国「国家サイバーセキュリティ戦略」の中でも、国際連携によりランサムウェアの脅威に対して対処していくことが述べられています。

ランサムウェアの先にあるもの: 予測される脅威アクターの収益拡大戦略と組織がとるべき備え
paloalto Blog

Chat Completions APIの新しいFunction Call について

自然言語で問いかけるだけで、自動的に適切なFunction Callに変換することで、仕事を自動化することが可能です。 これは、システム開発者にとって活用範囲を大きく拡大させるものです。一方で社会与える影響度合いから様々な配慮（法規制）が必要です。

gpt-4-0613またはgpt-3.5-turbo-0613に関数を記述し、その関数を呼び出すための引数を含むJSONオブジェクトを出力することをモデルがインテリジェントに選択します。例えば自然言語を API 呼び出しまたはデータベースクエリに変換できます。

例えば「友達の○○に来週金曜日にカフェに行くことをメールで誘う」と問い合わせるとsend_email(to: string, body: string)に変換します。「名古屋の天気はどうですか?」はget_current_weather(location: string, unit: ‘celsius’ | ‘fahrenheit’)に変換します。

lots of good updates including function calling and 16k context 3.5-turbo: https://t.co/CD8TTSE4LP
— Sam Altman (@sama) June 13, 2023

AIアバターが、コンサルや弁護士やコメンテーターやアナウンサーを行う時代へ

サービスリリース当初は “generative video” という言葉が理解されず “synthetic video” と表現していました。今や Synthesia はシリーズ C で 9,000 万ドルを調達したユニコーンです。

AIアバターが、コンサルや弁護士やコメンテーターやアナウンサーを行う時代へそして、The Virtual Life によって、好きな人のAIクローンと暮らせる時代がやってくる。人が残された領域は、AIアバターと既存の仕組みを組み合わせ、社会に貢献する事だと思います。

pic.twitter.com/5DeMZX0hkk
— Synthesia 🎥 (@synthesiaIO) June 13, 2023

機械学習にはもう一つの側面がある「データー生成装置」としての役割

無意識データ民主主義によって、大量のデータから割当アルゴリズムを用いて選好順位や優先権を決めることから、仮に少数者が実質的決定から排除されることとなってしまえば「多数者の専制」になりかねないと感じます。機械学習が生成するデータが鍵になると思います。

価値あるデータ生成装置として、どのように分析すれば、どのような情報が取れるのか、更なる探究を

機械学習・市場設計・公共政策への統一アプローチ
RIETI 自然実験としてのアルゴリズム

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示