11月10~13日:サイバーセキュリティ関連ニュース
米政府、新たなSBOMガイダンス公開
SecurityWeek – November 10, 2023
米CISA、国家安全保障庁(NSA)、国家情報長官室(ODNI)は先週、ソフトウェアベンダーやサプライヤー向けにソフトウェアサプライチェーンの安全性を高めるための新たなガイダンスをリリース。同ガイダンスは、SBOM(ソフトウェア部品表)をソフトウェアセキュリティおよびソフトウェアサプライチェーンリスクマネージメントの中心要素と位置付け、SBOMの処理、特定された脆弱性のリスク評価、脆弱性悪用を防止するための具体的手順、アップデートされたソフトウェアに関する新たなSBOMの要求など、組織が効率的にSBOMを利用するために取るべきアクションについて解説している。
ガイドラインは以下の4セクションと3つの付属書で構成され、32ページのPDFにまとめられている。
・セクション1:定義
・セクション2:SBOM利用
・セクション3:エンタープライズにおけるSBOMのライフサイクル
・セクション4 :SBOMのリスクスコアリング
なお、CISA、NSA、ODNIの3機関によれば、顧客は自社のリスクを理解するために何千ものSBOMを利用する必要があり、SBOMの持つ潜在能力を最大限に活用するためにはSBOMの処理、分析、相互関連付け、およびSBOMデータのセキュリティインテリジェンスへの変換を自動で行う必要があるとのこと。
このように、米国では大統領令に基づき、連邦政府機関におけるSBOMを含めたソフトウェアサプライチェーンセキュリティ対策の強化に向けた動きが進展しているが、今年7月には、日本でも経済産業省がガイドライン「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を公開。この手引きでは、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントが解説されている。
大規模フィッシングプロバイダーBulletProftLinkを警察がテイクダウン
BleepingComputer – November 11, 2023
300個以上のフィッシングテンプレートを提供していたPhaaSプラットフォームBulletProftLinkがテイクダウンされたと、マレーシア王立警察が発表した。同プラットフォームのオペレーションは2015年に始まったが、2018年から盛んに運用されるようになったという。Intel471によると、BulletProftLinkが提供していたフィッシングリソースには、Microsoft Office、DHL、Naver、アメリカンエクスプレス、バンク・オブ・アメリカ、Consumer Credit Union、カナダロイヤル銀行のログインページが含まれていた。これらのフィッシングページの一部は、メールセキュリティツールを回避するためにGoogle CloudやMicrosoft Azureのような正規のクラウドサービス上でホストされていたとのこと。また、AiTM攻撃用のフィッシング攻撃を可能にするEvilginx2リバースプロキシツールも提供されていたようだ。このオペレーションは、サイバー犯罪者が企業システムへの初期アクセスを獲得するための重要な認証情報の情報源だったという。警察は関与の疑われる8人を逮捕したほか、複数ドメインをテイクダウンして暗号資産ウォレットやサーバーなどを差し押さえたとのこと。
イランのハッカーら、イスラエルの技術分野へのマルウェア攻撃を開始
BleepingComputer – November 12, 2023
輸送、物流、テクノロジー企業を標的としたImperial Kitten(イスラム革命防衛隊との関連が指摘される脅威アクター)の新たなキャンペーンが追跡されている。11月9日に発表されたCrowdStrikeのレポートによると、Imperial Kittenは10月に「求人募集」をテーマにしたフィッシング攻撃を開始し、Microsoft Excelの有害な添付ファイルがついたメールを送信したという。またこの攻撃で、攻撃者がPAExecやNetScanを使用してラテラルムーブメントを行うこと、ProcDumpを使用してシステムメモリから認証情報を取得すること、C2サーバーとの通信には、カスタムマルウェアのIMAPLoaderとStandardKeyboardが使用されることも分かっている。CrowdStrikeによると、2023年10月の攻撃は、イスラエルとハマスの紛争を受けてイスラエルの組織を標的にしたものとのこと。CrowdStrikeとPwCの両社は、観測された攻撃に使用されたマルウェアとインフラについてIoCを提供している。