アップルがアドバイザリを更新、新たなクラスの脆弱性が開示されたこと受け（CVE-2023-23520、CVE-2023-23530、CVE-2023-23531）

山口 Tacos

2023.02.22

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年2月22日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

アップルがアドバイザリを更新、アップルがアドバイザリを更新、新たなクラスの脆弱性が開示されたこと受け（CVE-2023-23520、CVE-2023-23530、CVE-2023-23531）

Security Week – Feb 21 2023 14:47

アップルは月曜日に最近のセキュリティアドバイザリ（元々1月23日に公開されたもの）の一部を更新し、iOSおよびmacOSの新たな脆弱性3件（CVE-2023-23520、CVE-2023-23530、CVE-2023-23531）を追加した。

CVE-2023-23520は、Crash Reporterコンポーネントに影響を与える競合状態で、攻撃者がルートとして任意のファイルを読み込むことを可能にする恐れがある。

CVE-2023-23530とCVE-2023-23531はアップル製OSの「Foundation」コンポーネントに影響を与えるセキュリティホールで、攻撃者が「サンドボックスの外部で、または昇格した特定の権限で任意のコードを実行」することを可能にする恐れがある。これら2件は、セキュリティ企業Trellixによって発見され、アップルに報告された。

Trellixが公開したこれらの脆弱性に関するブログ記事によると、両脆弱性は、macOSおよびiOSシステム上でのコード署名のバイパスを可能にする「新たなクラスのバグ」の一部だという。同社の分析は、過去の研究や、アップルの顧客を狙う実際の攻撃で使われているエクスプロイトに基づいたもの。

アップルは悪用を防ぐための措置を講じているものの、Trellixの研究者は、アップルの緩和措置がバイパス可能であることを発見している。また、標的システムにアクセスできる攻撃者は、これらの脆弱性を悪用してiOSやmacOSのプロセス隔離を破る可能性があるという。標的となったプロセスのロールや権限によっては、ハッカーは秘密情報（カレンダー、アドレス帳、写真）にアクセスしたり、任意のアプリをインストールしたり、ユーザーをスパイしたりできるようになる恐れがあるとのこと。

コインベースでソーシャルエンジニアリングを用いたハッキングの試みが発生、従業員データが盗まれる

Medium Cybersecurity – Feb 21 2023 23:52

人気暗号資産取引所「コインベース」がセキュリティ侵害に見舞われた。この侵害は、正体不明の脅威アクターが、ある従業員のログイン認証情報を盗み出して同社システムへリモートアクセスを試みたことにより発生したもの。これにより攻撃者は、複数のコインベース従業員に属する連絡先情報を入手したという。ただし同社は、「顧客の資金やデータはアクセスを受けていない」と述べている。

攻撃者が認証情報を盗み出した手口は、偽のSMSアラートを使うというものだった。2月5日、攻撃者はコインベースの従業員数人にSMSアラートを送り、自身の業務用アカウントに接続して極めて重要なメッセージを受け取るよう求めた。ほとんどの従業員はこれを無視したが、1人が騙されてフィッシングページにアクセスし、認証情報を入力してしまったという。

攻撃者は盗んだ認証情報を使ってコインベースの内部システムに侵入しようとしたものの、多要素認証に阻まれて断念。その後、騙された従業員に連絡して指示を出し、別の方法で侵入しようとした。しかしコインベースのCSIRT（※）が不審な活動を発見して騙された従業員に連絡を入れたことで、内部システムが不正アクセスを受けるのを防ぐことができたそう。

※関連記事：CSIRTとは？役割やSOCとの違い、構築のプロセスについて解説

2023年2月22日

ハイライト

HardBitが身代金要求金額を設定するため被害者に保険の詳細を開示するよう要請

Heimdal Security Blog – Feb 21 2023 09:50

関連記事：ランサムウェアHardBit、最適な身代金額を設定するためサイバー保険の詳細情報を求める

米CISA 、悪用が確認済みの脆弱性カタログに新たに脆弱性3件を追加（CVE-2022-47986、CVE-2022-41223、CVE-2022-40765）

CISA Current Activity – Feb 21 2023 18:34

アクティビジョンがデータ侵害について認める、従業員情報とゲーム情報が漏洩

Bleeping Computer – Feb 21 2023 19:14

カナダ：Sobeysが2022年秋のデータ侵害について認め、顧客と従業員に注意喚起

DataBreaches.net – Feb 21 2023 12:40

アイルランド、保健データ関連の侵害に関しさらなる被害者2万人に通知へ

BankInfoSecurity – Feb 21 2023 17:09

健康保険会社Highmarkにおける2022年のデータ侵害

Medium Cybersecurity – Feb 21 2023 15:05

Protenusがヘルスケア部門のデータ侵害に関するレポート「2023 Breach Barometer」をリリース

DataBreaches.net – Feb 21 2023 15:10

LockBitグループ、ポルトガルの水道事業者を攻撃したと主張

The Record – Feb 21 2023 19:19

特集：APT10

Forbes – Cybersecurity RSS – Feb 21 2023 17:28

多言語対応スキマーがCloudflare製エンドポイントAPIを用いて「密かな買い物客」のフィンガープリントを採取

Malwarebytes Unpacked – Feb 21 2023 09:30

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。