Check PointやKaspersky Labは、5GやIoTの普及に伴い、不正侵入やデータ窃盗、改ざんの危険も増大すると予想する。「5Gの利用が増え、その接続に依存するデバイスが増えれば、攻撃者が悪用できる脆弱性を探すインセンティブも強まる」（Kaspersky）

2020年を代表する事件“電子決済サービスを通じて不正預金引き出し

今年を代表する事件としてランキングの第1位に登場したのは電子決済サービスを通じて、利用者の預金が何者かに不正に引き出された事件でした。ユーザーはサービス口座と銀行口座を容易に紐付けることができ、利便性の高さから注目が集まっていました。利便性のみを追求した結果、セキュリティの甘さを狙われたこの事件は、世間に大きな衝撃を与えました。

　楽天、楽天カード、楽天Edyは12月25日、利用中のクラウド型営業管理システムに不正アクセスを受け、保管していた個人情報など最大148万6291件が流出した可能性があると発表した。
　楽天の情報漏えいと同日に、Salesforce社が同社製品利用顧客による「設定ミス」が発生したことを発表した。楽天の発表には「クラウド型営業管理システム」としか記載されていないが、一部報道では既に「Salesforce社のサービスだった」との指摘があり、Salesforce社が同日に発表した「お客様」は「楽天」ではないかと推測される。

すでにコミュニティならびにサイトをご利用のすべてのお客様にお伝えしている通り、ゲストユーザのアクセス制御の権限設定の再確認を支援するパッケージ「Guest User Access Report Package」（英語）を利用することをお勧めします。また、以下のヘルプ記事「ゲストユーザプロファイルを設定する際のベストプラクティスと考慮事項」を確認することもあわせてお勧めします。

アクセス制御の権限設定の見直しや構成に支援が必要なお客様は、いつでも Salesforce ヘルプからケースを起票いただくか、SIパートナーにご相談ください。

現時点の最新のEmotetの感染有無の確認は、プロセス一覧の中にrundll32.exeが動いており、その引数のファイルの拡張子がdllでない、実行のエクスポート関数がRunDLLである、ということ、それがレジストリRunキーに設定されている、という点を確認する必要があると思われます。
ただ、これはすぐに変更可能な点ですので、確認ポイントとして今後しばらく使えるか、という点は不明です。

ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。

SUNBURSTが接続するドメインavsvmcloud[.]comをMicrosoftが2020年12月13日頃に押収し、シンクホール化している。

サイバー攻撃による被害が深刻化し、被害内容も複雑になっており、経営者
の一層の関与が必要になっている

最近では外出自粛等の影響により、逆に家でパソコンなどを利用する時間が長くなり、ウイルス感染やネット詐欺被害のリスクが高まることも考えられます。

FBIはEgregorに関して、複数の異なる攻撃者が侵入およびランサムウェアイベントの実行に関与するといったように、感染と展開に多数のアクターが関与し、その活動に使われる戦術、技術、手順が大きく異る点を指摘。結果として、防御と軽減の実施に関して重大な課題をもたらしていると警告している。

Aterm SA3500Gの特長

日本に合った安全対策を提供

株式会社ラック※とパートナー契約を締結し同社が提供するシグネチャ（ウイルス等定義ファイル）を採用しています。同社は、グローバルにウイルス、不正プログラム、フィッシングサイトなどの情報を収集するだけでなく、日本の最新情報を加えて解析を行うことで、より日本のネットワーク環境に合ったシグネチャを提供しており、安全にネットワークを利用できます。SA3500Gは、この最新のシグネチャをライセンス期間（5年間/6年間/7年間）に合わせて提供します。

2020-166

DATE(S) ISSUED:
12/14/2020

SUBJECT:
Multiple Vulnerabilities in SolarWinds Orion Could Allow for Arbitrary Code Execution

OVERVIEW:
Multiple Vulnerabilities have been discovered in SolarWinds Orion, the most severe of which could allow for arbitrary code execution. SolarWinds Orion is an IT performance monitoring platform that manages and optimizes IT infrastructure. Successful exploitation of the most severe of these vulnerabilities could allow for arbitrary code execution. Depending on the privileges associated with the user an attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than those who operate with administrative user rights.

THREAT INTELLIGENCE:
The Cybersecurity and Infrastructure Security Agency (CISA) released an alert detailing active exploitation of the SolarWinds Orion Platform software versions 2019.4 HF 5 through 2020.2.1 HF 1.

2020-166

発行日
12/14/2020

件名：SolarWinds Orion の複数の脆弱性は、任意のコード実行を許している。
SolarWinds Orionにおける複数の脆弱性により、任意のコード実行が可能になる可能性がある。

概要。
SolarWinds Orionには複数の脆弱性が発見されており、その中でも最も深刻なものは任意のコード実行を許してしまう可能性があります。SolarWinds Orionは、ITインフラストラクチャを管理・最適化するITパフォーマンス監視プラットフォームです。これらの最も深刻な脆弱性を悪用すると、任意のコードが実行される可能性があります。攻撃者は、ユーザーに関連付けられた権限に応じて、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成などを行うことができます。システム上でのユーザー権限が少ないアカウントに設定されているユーザーは、管理ユーザー権限で操作するユーザーよりも影響が少ない可能性があります。

脅威のインテリジェンス。
Cybersecurity and Infrastructure Security Agency (CISA)は、SolarWinds Orion Platformソフトウェアバージョン2019.4 HF 5から2020.2.1 HF 1までのアクティブな悪用を詳細に説明するアラートをリリースしました。

米財務省と米商務省の国家通信情報管理局（NTIA）が不正侵入の被害を受けたと報じて

Orionは、集中監視および管理を提供するソフトウェアプラットフォームで、通常は大規模なネットワークに導入され、サーバーやワークステーション、モバイル端末、IoTデバイスなど、ITリソース全般の追跡に使われる。

推奨事項。
以下の措置をとることをお勧めします。
適切なテストを行った後、直ちにSolarWindsが提供する適切なアップデートを脆弱性のあるシステムに適用する。
すべてのソフトウェアを非特権ユーザー（管理者権限のないユーザー）で実行し、攻撃が成功した場合の影響を軽減する。
信頼されていないウェブサイトにアクセスしたり、不明な情報源や信頼されていない情報源から提供されたリンクをたどったりしないようにユーザーに注意を促します。
電子メールや添付ファイルに含まれるハイパーテキストリンク、特に信頼されていないソースからのリンクがもたらす脅威について、ユーザーに情報を提供し、教育する。
最小特権の原則をすべてのシステムおよびサービスに適用する。

Cit0day (unverified): In November 2020, a collection of more than 23,000 allegedly breached websites known as Cit0day were made available for download on several hacking forums. The data consisted of 226M unique email address alongside password pairs, often represented as both password hashes and the cracked, plain text versions. Independent verification of the data established it contains many legitimate, previously undisclosed breaches. The data was provided to HIBP by dehashed.com.

Compromised data: Email addresses, Passwords

Cit0day（未検証）。2020年11月、Cit0dayとして知られている23,000以上の侵害されたとされるウェブサイトのコレクションが、いくつかのハッキングフォーラムでダウンロードできるようになりました。データは、パスワードのペアと並んで226Mのユニークなメールアドレスで構成されており、多くの場合、パスワードハッシュとクラックされたプレーンテキスト版の両方で表現されています。データの独立した検証により、これまで公表されていなかった合法的な侵害が多数含まれていることが確認されました。データはdehashed.comによってHIBPに提供されました。

侵害されたデータ メールアドレス、パスワード

脅威のインテルのアナリストがこの種の最大のリークと呼んでいるものの中で、23,000以上のハッキングされたデータベースが、いくつかのハッキングフォーラムやTelegramチャンネルでダウンロード可能な状態になっています。

データベースの収集は、ハッキングフォーラムで他のサイバー犯罪者に向けて宣伝しているプライベートサービス「Cit0Day.in」から発信されたものと言われています。

Cit0dayは、ハッキングされたデータベースを収集し、ユーザー名、電子メール、アドレス、さらにはクリアテキストパスワードへのアクセスを他のハッカーに日割りまたは月額料金で提供することで運営されていました。

サイバー犯罪者はこのサイトを利用してターゲットとなるユーザーのパスワードを特定し、他のより知名度の高いサイトでアカウントを侵害しようとしていました。

　IPAは、標的型サイバー攻撃の被害拡大防止のため、2014年7月16日、経済産業省の協力のもと、相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する活動としてサイバーレスキュー隊（J-CRAT：Cyber Rescue and Advice Team against targeted attack of Japan）を発足させました。

専門監査人WGで作成いたしました
「サイバーセキュリティ対策マネジメントガイドラインVer2.0」を公開いたしました。
併せて皆様からのパブリックコメントへの回答も掲載していますので
ご確認ください。