今週のIT・サイバーニュースまとめ(20190728-20190803)
今週の総括
今週はBlackHat前夜といったところで、来週からはBlackHat、DEFCONネタが豊富になるんですかね。
BlackHatについては、感想のところでも述べているのでご参考まで。
結果的にAppleネタを集中的に扱うことになってしまった今週ですが、ご容赦ください。
感想
iOSの重大な脆弱性について
Googleのセキュリティチーム「Project Zero」の研究者2人によって、「iOS」に関する重大な脆弱性が発見されました。
Today, @5aelo and I unrestricted five bugs in iMessage! Here are some highlights:
— Natalie Silvanovich (@natashenka) July 29, 2019
当該脆弱性は、2019年5月にはすでに発見者によってAppleに報告されているとのことです。
報告された脆弱性は、全部で6件です。
うち4件「CVE-2019-8641」「CVE-2019-8647」「CVE-2019-8660」「CVE-2019-8662」は、攻撃者が遠隔から特定のメッセージを送るだけでよく、結果として被害端末の操作なしに任意のコードが実行できてしまいます。
かつ、この4つの脆弱性を悪用するPoC(脆弱性の検証コード)が公開されているため、すぐにでも悪用が可能です。
残り2つの脆弱性についても、被害端末をユーザが操作せずに、メモリ上のデータやデバイス上のファイルが読み取れてしまうものになります。
本脆弱性の対象となるのは、iOS12.4より前のバージョンです。
そのため、2019年7月22日に公開されたアップデートを適応していない端末は早急な対応が推奨されます。
発見者がアップデートの公開ではなく、一週間後のこのタイミングでツイートしたのは、おそらく来週のBlackHatに向けた宣伝もあるかと思います。
BlackHat行ってみたいなーいいなー
念のため説明しておくと、BlackHatというのは国際的なセキュリティカンファレンスです。
そのうち今回の発表があるBlackHat USAは、年に一回ラスベガスで開かれるとても大きな会だと聞いています。
出典:BlackHat
私自身まだ足を運んだことがないので、行きたいな~と思ってます。
Siriがプライベートな会話を盗聴
タイトルの通りではあるのですが、イギリスの大手新聞社であるガーディアンが、Appleの契約業者からの内部告発を報じました。
内容としては、AppleのAIアシスタントSiriが、会話を盗聴してるとのことです。
リード文からもわかる通り、非合法なやり取りや極めてプライベートなやり取りまで、色々聞けてしまいますよね。。
There have been countless instances of recordings featuring private discussions between doctors and patients, business deals, seemingly criminal dealings, sexual encounters and so on. These recordings are accompanied by user data showing location, contact details, and app data.
AIアシスタントが、すべての音声を取得しているかと言うとそうではなく、Siriの場合「Hey,siri」を契機に一定の時間のみ音声が取得される設計です。
ただ、何かの聞き間違えで、音声の取得が始まり、結果として、さまざまな内容が記録されてしまうことがあるのも事実です。
今回の告発では、gradingと呼ばれるSiriの品質向上のためAppleから提供される生の音声データの取り扱いに対し、業者が疑問を感じた結果だそうです。
問題なのは、ユーザの許可なしにこういったgradingが行われていることで、見直しが求められています。
これらを受け、apple社は現在、このgradingを停止しています。
個人的には、やむを得ない気もしていますが、GDPRをはじめとした個人情報管理の法整備も加速化していることを踏まえると、いささかお粗末な気がしています。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Say hello to Lord Exploit Kit https://t.co/QkIMyfij5D
PowerShell Empire Framework Is No Longer Maintained https://t.co/kc2Nj4NyaZ
New SystemBC Malware Uses Your PC to Hide Malicious Traffic https://t.co/D7hjdoeVWF
From Carnaval to Cinco de Mayo – The journey of Amavaldo https://t.co/QP3eDIkODf
No summer break for Magecart as web skimming intensifies https://t.co/Qoeyxlnsn1 @Malwarebytesより
Neapolitan Backdoor Injection https://t.co/xwRl44b3F5 @sucurisecurityから
New Hexane Group Targets Oil and Gas, Telco Providers https://t.co/yD4vZzVTVT
APT trends report Q2 2019 https://t.co/FqmUZqQ8tP
お知らせ:JPCERT/CC Eyes「マルウエアの設定情報を自動で取得するプラグイン ~MalConfScan with Cuckoo~」 https://t.co/e1ANfG4Al9
Cobalt Group Returns To Kazakhstan https://t.co/8NIYmKXsAG
Keeping a Hidden Identity: Mirai C&Cs in Tor Network https://t.co/Nv6T1VDY4g
Exploit kits: summer 2019 review https://t.co/MQNqHlhSIn @Malwarebytesから
New TrickBot Version Focuses on Microsoft's Windows Defender https://t.co/D54uiUcQc3
お知らせ:JPCERT/CC Eyes「マルウエアの設定情報を抽出する ~ MalConfScan ~」 https://t.co/N224YXmiYy
Android ransomware is back https://t.co/uabZrUpbml
製品・脆弱性・アップデート関連
Researchers Discover New Ways to Hack WPA3 Protected WiFi Passwords https://t.co/I8cXyuYVcA
Security Bulletin: NVIDIA GPU Display Driver - August 2019 https://t.co/K3XLmBmKDY
DHCP Client Remote Code Execution Vulnerability Demystified https://t.co/LQLMohmEvs
Cisco Releases Security Updates https://t.co/qTz5I8ugcD
Some Fiberhome routers are being utilized as SSH tunneling proxy nodes https://t.co/3x2YAmBTHW
R7-2019-18: Multiple Hickory Smart Lock Vulnerabilities https://t.co/D7ZuwxBkvO
OXID eShop Used by Mercedes Fixes Remote Takeover Security Bug https://t.co/vzkZRgBaRl
Security Bulletin 2019-001 https://t.co/zbTX7eNfk4
CISA Releases Advisory on Wind River VxWorks Platform https://t.co/72qQgY9Kvc
Jet Database Engine Flaw May Lead to Exploitation: Analyzing CVE-2018-8423 https://t.co/4xtFRD2RMA
Stable Channel Update for Desktop https://t.co/F8eEZ4FUL2
Researchers Hack Surveillance Systems to Show Fake Video Feed https://t.co/6TWYHHuZpb
Google Researchers Disclose PoCs for 4 Remotely Exploitable iOS Flaws https://t.co/51PcneLFP4 @TheHackersNewsから
Apple iMessage Flaw Lets Remote Attackers Read Files on iPhones https://t.co/JmTGhTiNIh
URGENT/11 Information from the Research Team - Armis Labs https://t.co/OD2PjYdcQM
Critical VxWorks flaws expose millions of devices to hacking https://t.co/ofYW8Sw2lm
インシデント関連
Ransom Note Replaces 2.1M Customer Records on Open MongoDB https://t.co/Kz11rP5HfJ
Scammer Arrested After Defrauding US Universities of Over $870K https://t.co/VNByge774J
1M+ Payment Card Details from South Korea Sold on the Dark Web https://t.co/qKS7R1x9N1
Phishing Attacks Target US Utilities with Remote Access Trojan https://t.co/TxbXl1CaMM
Malware Attack Delays Alabama District's School Year Twice https://t.co/m5UPoDeDXV
Logins Stolen From Admin-Backdoored Club Penguin Rewritten Site https://t.co/k25TDIC2MO
ホンダの内部ネットワーク情報を格納したElasticSearchが公開されていた件についてまとめてみた https://t.co/iu0SNNz7zk
Be Wary of WhatsApp Messages Offering 1000GB of Free Data https://t.co/yyYU9Hsn0q
Malvertising: Online Advertisings' Darker Side https://t.co/i7jOypNclI
North Carolina County Lost $1.7 Million in BEC Scam https://t.co/naWj3JfxOY
Outlook Is Down, Users Are Experiencing Sign-in Failures https://t.co/b8DB4Z8sIE
Capital One data breach: 106m customers affected; suspected hacker arrested https://t.co/xFBaisuWRD
Slack Experiencing Large-Scale Outage Caused by Messaging Issue https://t.co/VO1z2uFxA3
Attackers Are Wiping Iomega NAS Devices, Leaving Ransom Notes https://t.co/Nj6TGincLz
Apple contractors 'regularly hear confidential details' on Siri recordings https://t.co/9QMNLj4xCz
Whistleblower says Apple contractors listen to your Siri conversions https://t.co/4dbIdUWc5w @hackreadから
LAPD Data Breach Exposes Personal Info of Roughly 2.5K Officers https://t.co/0espYMfB4p
Former AWS software engineer arrested over massive Capital One data leak https://t.co/RTKCHgdIw0
NAB reveals 13,000-person data breach at 6PM Friday https://t.co/7lZTTeG2Na
Capital One Data Breach Affects 106 Million Customers; Hacker Arrested https://t.co/PpmkCHDPrr
ビジネス・政治・レポート
StockX Password Reset Emails Are Legit, Not a Phishing Attack https://t.co/Sme2MOCzII
[プロジェクト TOKYO 2020]<7>技術結集 テロ抑止 : オリンピック・パラリンピック : 読売新聞オンライン https://t.co/iexQ8zffXU
セブンペイ9月末廃止、被害者に全額補償の方針…ナナコは継続へ : 経済 : 読売新聞オンライン https://t.co/sbpMSOnuj7
GAFA決算、収益力は健在 制裁金や競争激化、逆風強まる https://t.co/zCG7csBfbF @Sankei_newsから
7iDパスワードリセット 誤解でID変更相次ぐ 「7pay入金額がゼロに」 - 毎日新聞 https://t.co/RlEL84s9qI
Russia Bans Connection to OneWeb Global Internet Satellites https://t.co/6NzaCHHpYY
メルカリ、J1鹿島の経営権取得 Jリーグ理事会承認: 日本経済新聞 https://t.co/1MT1VMZwaw
セブンID、全会員のパスワードを一斉リセット : 経済 : 読売新聞オンライン https://t.co/x1zPkTfod3
五輪テロに備え 警視庁が対「サイバー」…消防庁は米軍式で止血 : オリンピック・パラリンピック : 読売新聞オンライン https://t.co/d1ICCrLDt5
世界的サイバー攻撃阻んだ「英雄ハッカー」放免 : 国際 : 読売新聞オンライン https://t.co/7112P7QfO1
ネット認証、「ID・パスワードのみ」75% : 国内 : 読売新聞オンライン https://t.co/oPb08ujkwn
JR駅に無人コンビニ「現金使えず」「酒・たばこ扱わず」 : 経済 : 読売新聞オンライン https://t.co/PfCVNFJuSC
最後に
昨日の夜はイベントが相当集中したようで新宿駅がカオスでした(笑) - 花火大会(板橋&江戸川) - Jリーグ1位のFC東京vsC大阪 - 神宮の東京燕プロジェクト - ももクロのライブ
経済効果半端ないなーと思いつつ、色々な趣味の人たちが同じ時間にいろいろな意味で感動してるんだと思うと、混雑も致し方ないと思いました。
いい世の中だな~
なにしろすべてのイベントの前提として
晴れてよかった。
そんなリア充な人たちを横目に、 お盆前なので、もうひとつ言わせてください。
もっと遊びたい(笑)