SecurityWeekのサイバーセキュリティニュースまとめは、見逃されがちな注目すべきストーリーを簡潔にまとめてお届けします。
記事全体を割くほどではないものの、サイバーセキュリティの全体像を理解する上で重要なストーリーを要約してご提供します。
毎週、最新の脆弱性発見や新たな攻撃手法、重要な政策変更や業界レポートなど、注目すべき動向を厳選してお届けしています。
今週の注目ストーリーはこちら:
バーガーキング親会社、DMCA申し立てでセキュリティ研究を検閲
2人の研究者が、ティムホートンズ、バーガーキング、ポパイズブランドを所有するRestaurant Brands International(RBI)が運用するシステムに、従業員情報やドライブスルー注文が漏洩する深刻な脆弱性を発見したと報告しました。脆弱性はベンダーに報告され、迅速に修正されました。また、RBIは、研究者が対象としたシステムはまだ開発初期段階であると述べています。しかし同社は、研究内容を詳細に記したブログ記事の削除を強制するため、研究者にDMCA申し立てを送りました。ブログ記事は当初インターネットアーカイブに保存されていましたが、現在はそこからも削除されています。
Google、クラウドハッキングイベントで160万ドルを支払う
Googleは、初開催となるクラウド特化型bugSWATハッキングイベントの結果を発表しました。ここでは20人のトップクラウドセキュリティ専門家が集まり、合計91件の脆弱性を発見しました。このイベントで約160万ドルが支払われ、今年同社がクラウド脆弱性に支払った総額は250万ドルに達しました。
広告。スクロールして記事の続きをお読みください。
Microsoftサービスで依然として数百件のXSS脆弱性が発見される
クロスサイトスクリプティング(XSS)脆弱性は20年以上前から存在していますが、依然としてオンラインサービスで一般的です。Microsoftは2024年1月以降、自社サービスに影響を与える約1,000件のXSS脆弱性を把握しています。過去1年間で、同社はXSSのバグに対して90万ドル以上のバグ報奨金を支払い、1件あたりの最高額は2万ドルでした。
Huntressの研究が懸念を呼ぶ
セキュリティ企業Huntressは、脅威アクターが自社製品のトライアル版をインストールした後に実施した調査の結果を公開しました。これにより、同社はハッカーのオペレーション内部を「稀に見る形」で観察できました。しかし、ブログ記事の書き方により、同社が顧客システムにどの程度アクセスできるのか、無料トライアルのみの利用者も含めて懸念が生じました。同社はその後、自社製品の仕組みや実際に攻撃者や顧客システムにアクセスできた範囲について説明を行いました。
「Huntressがハッカーの動きを観察できたのは、ハッカー自身がHuntressのトライアルエージェントをインストールしたためであり、当社のSOCが他の顧客同様にアラートを分析・調査した結果です」とHuntressの主任セキュリティ研究員John Hammond氏はSecurityWeekに語りました。「Huntressエージェントにはリモート画面アクセスやスクリーンショット取得などの機能はありません。ブログで言及したブラウザ履歴は、エンドポイントで観測されたマルウェアアラートに関連するフォレンジックログやアーティファクトの調査から得られたものです。ブログ記事に掲載した画像は、脅威アクターが行ったサイバー犯罪活動を単にレビューすることで再現したものです。」
MostereRATの分析
FortiGuard Labsは、MostereRATおよびそれが関与したフィッシングキャンペーンの分析を公開しました。攻撃の流れやC&Cドメインは2020年のレポートでバンキングトロイの木馬と関連付けられていましたが、その後マルウェアは進化し、現在はMostereRATと呼ばれるRATとなっています。このマルウェアは、EPLプログラムの組み込み、サービス作成手法の隠蔽、AVトラフィックのブロック、AnyDeskやtightVNC、RDP Wrapperなど正規のリモートアクセスツールへの切り替えなど、高度な手法を用いて被害者のシステムを制御します。
コソボ国籍の男、米国でBlackDB運営を認める
コソボ国籍の33歳、Liridon Masuricaは、BlackDB.ccサイバー犯罪マーケットプレイスの運営を米国の裁判所で認めました。このマーケットプレイスでは、アカウントやサーバーの認証情報、決済カード情報、その他個人情報が取引されていました。Masuricaは2024年12月にコソボで逮捕され、その後米国に送還されました。最長10年の懲役刑に直面しています。
カリフォルニア州法案、ウェブブラウザにデータ共有オプトアウト機能を義務付け
カリフォルニア州の議員は、ウェブブラウザに個人情報の販売・共有をオプトアウトできるオプションの搭載を義務付けるAB 566法案を可決しました。今後はニューサム州知事の署名を経て成立します。
HybridPetya、UEFIセキュアブートを回避
悪名高いNotPetyaに関連するマルウェアが、CVE‑2024‑7344を悪用してUEFIセキュアブートを回避していることがESETの調査で判明しました。HybridPetyaと名付けられたこのランサムウェアはファイルの暗号化を目的としています。ただし、実際に野生で使用された証拠はなく、ESETはHybridPetyaがセキュリティ研究者によって開発された概念実証マルウェアの一つである可能性が高いとみています。
Cursorの脆弱性
Oasis Securityは、AIコードエディタCursorに脆弱性を発見しました。これにより、Cursorで開いた際に悪意のあるリポジトリが任意のコードを実行できてしまいます。悪意のあるプロジェクトには、フォルダを開いた瞬間にタスクを実行するようCursorに指示する隠し「autorun」命令が含まれています。ユーザーの明示的な許可なしに実行されますが、CursorのWorkspace Trust機能によってこの攻撃は防止されます。この機能はデフォルトで無効ですが、Cursorは今後リスクについてユーザーに周知するため、セキュリティガイダンスを更新する予定です。