ネットワークやデジタルセキュリティに関する最新ニュースをまとめてご紹介します。この連載の記事一覧を見るにはこちらをクリックしてください。

マルウェア

• 最近、4 か月で 60 の組織に影響を与えたランサムウェアグループに関して、FBI が警告を発しました。BlackCat というこのランサムウェアグループは、数百万ドルの身代金を要求し、主に侵害先のユーザークレデンシャルを悪用してアクセスしていました。
• ドイツで実施された新しい調査によると、iPhone は電源を切っているときでもマルウェアに感染しやすいことが判明しました。Apple は、新しい iOS 15 へのアップデートで、電源がオフの状態でも電話機の位置を特定できる「電源オフ後に iPhone を探す」機能を導入しました。それによって Bluetooth が悪用され、iPhone にマルウェアをインストールされる可能性があります。

脆弱性

• FBI は、正体不明の攻撃者が数か月前から米国企業のチェックアウトページからクレジットカード情報を盗み出していると警告しています。悪意のある PHP コードを利用して、データをスクレイピングするという手口です。デフォルトのログイン情報を変更したうえで、悪質な恐れのある活動を監視し、すべてのウェブサイトを TLS/SSL で保護するよう、FBI は推奨しています。
• Tesla で新たな脆弱性が見つかり、攻撃者は Bluetooth の弱点を突いて、数百キロ離れた場所からでも、ドアロック解除、車両の操作、さらにはインターネットに接続しているノートパソコンへのアクセスを行う可能性があります。このハッキングはリレー攻撃に分類され、リモコンキーが圏外にある場合でも悪用されます。これは BLE（Bluetooth Low Energy）を利用した攻撃であり、BLE には脆弱性があるため近接認証には使用すべきではない、と研究者は説明しています。BLE プロトコルのこの脆弱性は、スマートフォン、スマートロック、腕時計など、BLE を搭載しているどんなデバイスでも悪用される可能性があります。
• CISA は、悪用の恐れがあるとして、VMware の新たな脆弱性 2 件について警告する緊急指令を発表しました。
• 最近 WordPress のテーマに欠陥が発見され、サイトの完全な乗っ取りが可能になっています。問題の Jupiter テーマと JupiterX Core プラグインは、90,000 以上のサイトで使用されており、潜在的にかなり大きな脅威ベクトルが存在します。Jupiter の新しいアップデートには、この不具合に対するパッチが含まれています。

データ侵害

• 米国司法省（DoJ）は、Sercan Oyuntur の有罪判決を公表しました。2018 年、フィッシング操作を利用して国防総省（DoD）から 2,350 万ドルを自身の銀行口座に移したという罪状です。
• ウェディングレジストリサイトの Zola が、5 月にクレデンシャルスタッフィング攻撃によるハッキングを受けました。現金の損失はなく、ギフトカードはカップルに返金されると同社は発表しました。また、クレジットカードや銀行情報の流出もなかったといいます。Zola はユーザーすべてのパスワードをリセットしましたが、二要素認証を適用していないアカウントもあったため、ハッカーにとって攻撃が容易になっていました。

政府規格

• 欧州議会と EU 加盟各国は、EU 全域で高い共通水準のサイバーセキュリティの措置を実施する指令について 5 月上旬、合意に達しました。従来の規則は、サイバーセキュリティに関する EU 全域として初の法律でしたが、デジタルトランスフォーメーションが進む中で、デジタルトラストを推し進めるためにアップデートが必要でした。この NIS 2 指令は、公共電気通信、行政、医療など各分野の中堅および大手企業にまでその範囲を拡大するものです。欧州でサイバーセキュリティのレベルを向上させることを目的としています。加盟各国は、この指令を国内法に導入するために猶予期間として 21 か月間を与えられます。

モノのインターネット

• ドメインネームシステム（DNS）のバグが原因で、パッチを適用していない数百万台のデバイスやルーターが危険な状態になる可能性があります。この欠陥は、標準Ｃライブラリの全バージョンで見つかっており、攻撃者が DNS ポイズニング攻撃を実行できる予測可能なトランザクション ID に起因しています。DNS 攻撃は近年増加しており、デジサートは DNS ハイジャックを防止・検出するための研究を重ねてきました。