Mother of all Breaches – 260億件の漏洩レコード含む超大規模データセットが見つかる
(情報源:Cybernews – January 22, 2024)
260億件もの漏洩データのレコードから成る史上最大規模のデータセットを、SecurityDiscovery.comの研究者Bob Dyachenko氏とCybernewsのチームが発見。「Mother of all Breaches(MOAB)」と名付けられたこのデータセットは、これまでに発生した幾多の侵害で漏洩したデータを集めたもので、容量は12TBに及ぶという。
多様な企業や政府組織からの流出データが存在
MOABは、流出データセットや侵害されたデータベース、売りに出されたデータベースなどのデータを集約したもので、中国のメッセージアプリTencent QQからの流出データが最も多いという(レコード14億件分)。加えて、Weibo(5億400万件)、MySpace(3億6,000万件)、Twitter(2億8,100万件)、Deezer(2億5,800万件)、Linkedin(2億5,100万件)、AdultFriendFinder(2億2000万件)、Adobe(1億5300万件)、Canva(1億4300万件)、VK(1億100万件)、Daily Motion(8,600万件)、Dropbox(6,900万件)、Telegram(4,100万件)、その他多くの企業や組織からの流出データが含まれるものと思われる。さらに、米国、ブラジル、ドイツ、フィリピン、トルコほか複数国の政府組織から漏洩したレコードも存在するという。
ユーザーへの影響は?
研究チームによれば、MOABの存在により、消費者には前代未聞の影響が及ぶ可能性があるという。同じユーザー名とパスワードを使いまわしている人の多さを踏まえると、悪意あるアクターがMOAB内の認証情報を入手すれば、クレデンシャルスタッフィング攻撃が大規模に実施される恐れがある。また、MOABに自らのデータが含まれているユーザーはスピアフィッシング攻撃の標的にされたり、ハイレベルなスパムメールを送りつけられたりする可能性もあるとされる。
なお、Cybernewsが提供するこのページで、自らのデータが漏洩しているかどうかをチェックできるとのこと。
1月22~23日: その他のサイバーセキュリティ関連ニュース
GoAnywhere MFTに重大な認証バイパスの脆弱性: CVE-2024-0204、CVSS 9.8
GoAnywhere MFTにおける新たな認証バイパスの脆弱性CVE-2024-0204についてのアドバイザリを、Fortraが公開。この脆弱性を利用することで、権限のないユーザーは管理ポータルを使って管理者ユーザーを作成できるようになるという。つまり、不正な第三者による管理者へのなりすましが可能になる恐れがあるということになる。CVSSスコアは9.8で、Fortraによる深刻度評価は「Critical」。
CVE-2024-0204の影響を受けるのは以下のバージョン:
・Fortra GoAnywhere MFT 6.x (6.0.1以降)
・Fortra GoAnywhere MFT 7.x (7.4.1より前)
影響を受けるバージョンの利用者には、7.4.1以降のバージョン(修正済みバージョン)へのアップグレードが呼びかけられている。Fortraはまた、非コンテナのデプロイにおいてはインストールディレクトリ内のファイルInitialAccountSetup.xhtmlを削除してサービスを再起動することにより、脆弱性が解消される可能性があるとしている。さらに、コンテナがデプロイされたインスタンスに関しては、同ファイルを空のファイルと置き換えて再起動させることを推奨している。
GoAnywhere MFTといえば、昨年初頭にClopランサムウェアが同セキュアファイル共有ソリューションのゼロデイ脆弱性CVE-2023-0669を悪用し、多数の組織を攻撃したことが記憶に新しい。今回新たに開示されたCVE-2024-0204については悪用の有無などは不明だが、CVSSスコアや深刻度の高さを考えると、早急な対処が必要なことは間違いないものと思われる。
CVE-2024-22233:Spring Frameworkに深刻度の高い脆弱性
SecurityOnline.info – January 22, 2024
オープンソースのJavaプラットフォームSpring Frameworkに最近、新たなWeb DoS脆弱性CVE-2024-22233(CVSS 7.5)の存在が発覚。同脆弱性を悪用することで、攻撃者は特別に細工したHTTPリクエストを提供してDoS状態を引き起こせるようになる可能性があるという。
CVE-2024-22233に対して脆弱なのは、以下2つの条件に該当するアプリケーション:
・Spring MVCを使用している
・classpathにSpring Security 6.1.6+または6.2.1+が存在する
(通常、Spring Bootアプリが両条件を満たすには依存関係「org.springframework.boot:spring-boot-starter-web」と「org.springframework.boot:spring-boot-starter-security」が必要になる)
影響を受けるSpring Frameworkのバージョンは以下:
・6.0.15
・6.1.2
(これより古いバージョンは影響なし)
上記バージョンの利用者に対しては、速やかに以下の措置をとることが推奨されている:
・6.0.15利用者:6.0.16へのアップグレード
・6.1.2利用者:6.1.3へのアップグレード
Apple、今年初めて攻撃に悪用されたゼロデイ脆弱性を修正(CVE-2024-23222)
BleepingComputer – January 22, 2024
Appleは22日、今年初めて攻撃に悪用されたゼロデイ脆弱性を修正するセキュリティアップデートをリリースした。この欠陥CVE-2024-23222はWebKitにおける型の取り違えの問題と説明されており、iPhone/Mac/AppleTVに影響を与える可能性がある。
悪用に成功した攻撃者は、iOSやmacOS、tvOSの脆弱なバージョンを実行しているデバイス上で不正なWebページを開かせた後、任意の悪意あるコードを実行することができるようになる。Appleは「この問題が悪用された可能性があるとの報告を認識している」と発表したものの、現時点では攻撃に関する詳細を明らかにしていない。
同社はiOS 16.7.5以降/iPadOS 16.7.5以降/macOS Monterey 12.7.3以降/vOS 17.3以降のチェック機能を改善し、CVE-2024-23222に対応した。このバグは新旧両モデルに影響を与えるため、早急なセキュリティアップデートが必要なデバイスは広範に及ぶ。