被害状況

事件発生日	2023年5月1日
被害者名	PHPパッケージのユーザー
被害サマリ	研究者が14個のPackagistパッケージを乗っ取り、自己PRをするために、manifestファイルを変更した
被害額	不明

攻撃者

攻撃者名	neskafe3v1という偽名を使用した研究者
攻撃手法サマリ	不正なアクセスによるCredential Compromiseを使用したPackagistパッケージの乗っ取り
マルウェア	なし
脆弱性	情報は不明

脆弱性

CVE	なし
影響を受ける製品	PackagistがPHPのパッケージを扱うためのメタデータディレクトリ
脆弱性サマリ	パッケージのGitHubリポジトリのURLが改ざんされることにより、開発者が意図しない場所からコンテンツをダウンロードする可能性がある
重大度	不明
RCE	無
攻撃観測	なし
PoC公開	なし

脆弱性の概要：PHPのパッケージを扱うメタデータディレクトリであるPackagistが脆弱性にさらされ、パッケージのGitHubリポジトリのURLが不正に書き換えられることにより、開発者が意図しないフォークからコンテンツをダウンロードするおそれがある。この問題は、Packagist内の古いアカウントで2段階認証が有効になっておらず、セキュリティの脆弱性に起因すると考えられている。パッケージ名の中には、多くのインストールがあるものも含まれている。影響を受けたパッケージには、acmephp/acmephp、acmephp/core、acmephp/ssl、doctrine/doctrine-cache-bundle、jdorn/file-system-cacheなどがある。攻撃者は、貢献するためにコメントを変更し、自分自身の情報をプロモートするためにパッケージの説明を書き換えることができる。詳細は不明だが、攻撃者は既知の技術を利用してそうしたとされている。Packagistチームによると、この問題は既知のアカウントセキュリティの問題が原因で発生したもので、被害を受けたアカウントが悪用されたことはないという。

被害状況

事件発生日	不明
被害者名	Brightline
被害サマリ	Brightlineのファイル共有プラットフォーム「Fortra GoAnywhere MFT」にゼロデイ攻撃を仕掛けたClopランサムウェアにより、受診情報が含まれるデータが盗難され、783,606人が被害を受けた。
被害額	不明（予想：数百万ドル以上）

攻撃者

攻撃者名	Clopランサムウェア
攻撃手法サマリ	Fortra GoAnywhere MFTのゼロデイ攻撃
マルウェア	Clopランサムウェア
脆弱性	Fortra GoAnywhere MFTのゼロデイ脆弱性(CVE-2023-0669)

脆弱性

CVE	なし
影響を受ける製品	Google Accounts
脆弱性サマリ	GoogleがPasskeysを導入し、Google Accountsにおいて、伝統的なパスワードを使用せずにアプリやウェブサイトにサインインできる。
重大度	なし
RCE	不明
攻撃観測	なし
PoC公開	なし

GoogleがPasskeysを導入し、Google Accountsにおいて、伝統的なパスワードを使用せずにアプリやウェブサイトにサインインできる方法を提供している。Passkeysは、FIDO Allianceに支えられた認証方法で、従来のパスワードを使用せずに、コンピューターやモバイルデバイスをバイオメトリクス(指紋認証や顔認証)やローカルPINでアンロックすることができる。Googleは、「パスワードとは異なり、Passkeysはフィッシングのようなオンライン攻撃に耐性があるため、SMSワンタイムコードのようなものよりもセキュリティが高い」と述べている。

被害状況

事件発生日	2023年5月3日
被害者名	台湾、タイ、フィジー、フィリピンの政府、医療、テクノロジー、製造業界の組織
被害サマリ	中国国営のサイバースパイ集団であるEarth Longzhiが新しい攻撃キャンペーンを開始。BEHINDERウェブシェルを展開し、CroxLoaderなどの追加ペイロードをドロップして攻撃。DLLシドローディング、BYOVD攻撃、ドライバーサービスのインストールなどの攻撃手法を使用していた。また、スタックランブリングと呼ばれる一種のDoS攻撃を行い、ターゲットされたアプリケーションをクラッシュさせていた。VietnameseとIndonesianのデコイドキュメントも確認されており、将来的にはこれらの国のユーザーを狙う可能性がある。
被害額	不明（予想なし）

攻撃者

攻撃者名	中国国営のサイバースパイ集団Earth Longzhi
攻撃手法サマリ	BEHINDERウェブシェル、CroxLoader、DLLシドローディング、BYOVD攻撃、スタックランブリングを使用
マルウェア	BEHINDERウェブシェル、CroxLoader、SPHijacker、Roxwrapper、BigpipeLoader、dllhost.exe
脆弱性	zamguard.sysやRTCore64.sysなどの脆弱性を利用

脆弱性

CVE	なし
影響を受ける製品	Google Accounts
脆弱性サマリ	GoogleはGoogleアカウントにパスキーのサポートを追加し、パスワードや2段階認証なしでログインすることを可能にする。
重大度	なし
RCE	なし
攻撃観測	なし
PoC公開	なし

脆弱性

CVE	なし
影響を受ける製品	Googleアカウント
脆弱性サマリ	Googleは、すべてのサービスとプラットフォームでGoogleアカウントに対するパスキーのサポートを追加した。これにより、ユーザーはパスワードを入力することなく、パスキーを使用してGoogleアカウントにログインできる。
重大度	なし
RCE	無
攻撃観測	不明
PoC公開	なし

GoogleはすべてのサービスとプラットフォームでGoogleアカウントに対するパスキーサポートを追加した。ユーザーはパスワードを入力することなく、パスキーを使用してGoogleアカウントにログインできる。パスキーは端末に紐づき、PINやバイオメトリック認証（指紋または顔認証）でアンロックできる。また、パスキーがクラウドにバックアップされ、他のデバイスへ移行するときも容易に使用できる。これにより、より安全で便利なオプションが提供される。

1. 「The Hacker News」は、3.45 million人以上の人々にフォローされている、信頼できるサイバーセキュリティのニュースプラットフォームである。
2. 中小企業はサイバー攻撃の危険性が高く、SMBは専任の内部IT担当者を持っていないため、サイバー犯罪者が中小企業を重点的に狙うことが多く、SMBは侵入防止やリスク軽減、攻撃の影響の緩和のための専門的なC-レベルのサイバー支援を得るために購読またはレターリテイナーを支払うことにますます意欲的になっている。
3. Virtual Chief Information Security Officer (vCISO)サービスは、CISOの本来の業務の一部しか提供しないサービスプロバイダが多いが、CISOの全範囲を提供することで、高く評価され、より多くの収益を生むことができる。
4. 「What does it take to be a full-fledged Virtual CISO?」 という本は、いくつかの最高のvCISOから得た答えを提供し、高度なスキルを持つ専門家を追加することなく、サービスを拡大し、スケーリングする方法を紹介している。
5. 「The Hacker News」は、Twitter、LinkedInなどのメディアで、他にはない独自のコンテンツを投稿している。

被害状況

事件発生日	2023年5月3日
被害者名	不明（国籍も不明）
被害サマリ	フランス、オーストリア、英国、米国、ドイツ、スイス、ブラジル、ポーランド、オランダで288人の身柄を拘束し、現金や仮想通貨、850キロのドラッグ、117個の銃器を押収した。被害者が不明である。
被害額	$53.4 million

攻撃者

攻撃者名	不明
攻撃手法サマリ	ダークウェブでの麻薬売買
マルウェア	使用されていない
脆弱性	不明

1. AppleとGoogleが共同で業界標準規格を策定し、AirTagsなどのデバイスを使用した無許可のトラッキングからユーザーを警告することを目的としている。
2. この規格は、異なるベンダーからのBluetoothロケーショントラッキングデバイスに対する互換性を提供し、不正なトラッキングの可能性を最小限に抑えることを目的としている。また、Samsung、Tile、Chipolo、eufy Security、およびPebblebeeなどが参加している。
3. この規格には、アクセサリの所有者の検証可能な（しかし、曖昧化された）ID情報（電話番号またはメールアドレスなど）とアクセサリのシリアル番号が含まれるペアリングレジストリの使用が含まれる。
4. この規格では、所有者がペアリングを解除した後、データを少なくとも25日間保持する必要があり、法執行機関が正当な要求を提出した場合に利用可能になる。
5. モバイルエコシステムの両方で、不正なトラッキングアラートのための製品実装が年末までにリリースされる予定であり、AppleとGoogleは関心のあるパートナーからのフィードバックを募集している。

脆弱性

CVE	CVE-2018-9995
影響を受ける製品	TBK DVR4104およびDVR4216（CeNova、DVR Login、HVR Login、MDVR Login、Night OWL、Novo、QSee、Pulnix、Securus、XVR 5 in 1を含む）
脆弱性サマリ	5年前の未解決の脆弱性によるTBK DVRデバイスの認証バイパス。遠隔攻撃者は、ユーザー権限を上回る特権を取得し、最終的にカメラ映像のアクセスまで行える。
重大度	高
RCE	無
攻撃観測	有（2023年4月に5万回以上の試行あり）
PoC公開	有

TBK DVR4104およびDVR4216（CeNova、DVR Login、HVR Login、MDVR Login、Night OWL、Novo、QSee、Pulnix、Securus、XVR 5 in 1を含む）には、CVE-2018-9995という、認証バイパスの未解決脆弱性があり、一部のTBK DVRデバイスが攻撃者にアクセスされ、カメラ映像を監視されるおそれがある。Fortinetによると、2023年4月に5万回以上の試行が観測された。PoCが公開されているが、解決策はない。また、MVPower CCTV DVRモデルにも重大度が高いCVE-2016-20016の脆弱性が存在するという警告がなされている。