英政府、ランサムウェア攻撃の報告義務と身代金支払いのライセンス制度を提案へ

5月22日：サイバーセキュリティ関連ニュース

英政府、ランサムウェア攻撃の報告義務と身代金支払いのライセンス制度を提案へ

The Record – May 21st, 2024

英国政府はランサムウェア攻撃に対する国の対応方法を大幅に見直す意向を示し、インシデント発生を政府に報告することを義務付けるとともに、身代金の支払いにライセンス取得が必要になる制度の導入を検討していることがわかった。この提案は来月公表される公開協議に盛り込まれる予定で、重要インフラに関連する組織については身代金の支払いを完全に禁止する案も出ている。

英当局はランサムウェアの被害が公表されない傾向を「これまで以上に懸念している」とし、今回の提案がこの問題の本当の規模を明らかにするために役立つと考えている。しかし、報告の義務化が成功するかどうかは、サイバー犯罪報告プラットフォーム「Action Fraud」に代わる新たなサービスが鍵を握っているようだ。ロンドン市警の担当者は今年初め、このサービスの開発が遅れていることを認めている。

また、ライセンス制度もどのように機能するかがまだ明らかではない。この制度は報告義務を補完し、一部の被害者に身代金を支払う以外に選択肢があることを認識させる可能性がある一方で、場合によっては申請手続きが復旧の妨げとなり、ランサムウェアによる被害や混乱をかえって拡大させるのではないかとの懸念もある。

QNAP NASのバグ15件が明らかに、PoC1件も公開される　今すぐアップデートを！（CVE-2024-27130、CVE-2024-21902他）

Help Net Security – May 21st, 2024

QNAPのネットワーク接続ストレージ（NAS）デバイスに存在する脆弱性15件のうち、リモートコード実行に悪用される可能性がある未認証スタックオーバーフローの欠陥（CVE-2024-27130）についてPoCがリリースされた。

WatchTower Labsの研究員は、QNAPのQTSオペレーティングシステムとその「亜種」（QuTSCloudとQTS hero）を調査し、認証の欠落または不正、バッファおよびヒープのオーバーフロー、ログのスプーフィング、蓄積型クロスサイトスクリプティングなど脆弱性を発見。昨年12月から今年1月にかけて、QNAPへこれらの脆弱性について報告したという。その後、CVE-2023-50361〜50364の4件は先月ようやく修正され、さらにCVE-2024-21902、CVE-2024-27127〜27130の5件が21日リリースのビルドで対処された。

PoCが公開されたCVE-2024-27130は、アドレス空間レイアウトのランダム化が手動で無効化されているQNAPデバイスでのみ機能するもの。攻撃者が特別に細工されたnameパラメータでリクエストを送信することにより、バッファオーバーフローを引き起こす可能性がある。QNAPのNASデバイスは中小企業や公的機関に人気がある反面、しばしばランサムウェアグループの標的にされている。