20210501 ~ 20210507の間で海外サイトで取り上げられたWebに関連しそうなセキュリティ記事をPickUpして共有していこうと思います。
今週は掲載されていたWeb関連の記事が少なかったので4つとなります。
掲載された記事は以下です。
1. SolarMarket RAT Uses Google SEO Tactics to Lure Victims(SolarMarketRATはGoogleSEO戦術を使用して被害者を誘惑します)
Google検索結果に悪質なサイトを表示するようにしてユーザーを悪質なサイトへ誘導する手口があるそうです。
この悪質なサイトへアクセスした時点でSolarMarkerRATに感染させ、PDFに隠した不正なプログラムを実行できるようにするみたいです。
2. Python also impacted by critical IP address validation vulnerability(Pythonは重大なIPアドレス検証の脆弱性の影響も受けています)
Python標準ライブラリのipaddressにも以前起きたnpmモジュールである「netmask」と同様の重大なIPアドレス検証の脆弱性があるそうです。
netmaskの脆弱性については以前の記事で触れています。
www.sassy-blog.com
ipaddressモジュールの脆弱性の詳細はこちらです。 NVD - CVE-2021-29921
仕様に基づくのであればIPv4アドレスの一部に接頭辞「0」が付いている場合、8進数として解釈すべきところをPythonのipaddressでは先頭の「0」を切り捨ててしまうようです。
draft-main-ipaddr-text-rep-00 - Textual Representation of IPv4 and IPv6 Addresses
3. Over 40 Apps With More Than 100 Million Installs Found Leaking AWS Keys(インストール数が1億を超える40を超えるアプリでAWSキーのリークが見つかりました)
CloudSEKという企業が最近BeVigilという、アプリをインストールする前にアプリのセキュリティ評価やその他のセキュリティ問題を検索および確認できるサービスの提供を開始しました。
https://bevigil.com/
このBeVigilをつかって人気アプリのAWSキーがリークしていることについて書かれています。
大手企業のアプリでもAWSキーのリークがあったようでした。
個人で開発したアプリについてもこのサービスを使ってセキュリティチェックしてみてもいいかもしれないですね。
4. Office 365 security baseline adds macro signing, JScript protection(Office 365のセキュリティベースラインは、マクロ署名、JScript保護を追加します)
MicrosoftがMicrosoft 365 Apps for Enterpriseのセキュリティベースラインを更新したそうです。
このベースラインの更新によりセキュリティ管理者はMicrosoftが推奨するセキュリティポリシーを使用してMicrosoft 365の攻撃対象領域を狭くできるようです。
ベースラインについてはこちらを参照してください。
Windows security baselines guide - Windows security | Microsoft Docs
5. Google Chrome is getting a new Progressive Web App feature(GoogleChromeは新しいプログレッシブウェブアプリ機能を取得しています)
最新のPWAの取り組みとしてはオペレーティングシステムのファイルシステム内のファイルを読み取りできるようにする新しいAPIに取り組んでいるようです。
この取り組みにより例えば画像エディタのPWAがあったとします。
このアプリを端末にインストールした場合にアプリ外部に保存されている画像ファイルを認識させることができ画像エディタのPWAアプリでその画像が開けるようにすることが可能となるようです。
6. How to stop Windows 10 Defender from uploading files to Microsoft(Windows 10DefenderがMicrosoftにファイルをアップロードしないようにする方法)
これ初めて知ったのですが、Microsoft Defenderは疑わしいファイルをMicrosoftにアップロードして本当に悪意のあるファイルかどうかを分析しているみたいです。
これについては分析のための機能なのでありがたいことなのですが、何でもかんでもアップロードされていたら溜まったもんじゃない!というユーザーもおり一部ではプライバシーリスクを懸念してブロックしているユーザーもいるそうです。
このブロック方法について説明があるので、気になる方は自動アップロード機能を無効にしてみてはどうでしょうか。
7. Twilio discloses impact from Codecov supply-chain attack(TwilioがCodecovサプライチェーン攻撃の影響を明らかに)
Twilioが資格情報を盗まれたようです。
盗まれた原因がTwilioが使用していたCodecovが提供するBash Uploaderが攻撃者により改ざんされ、攻撃者はTwilioのCI/CD環境から環境変数情報を盗み出したようです。
8. Google Chrome adopts Windows 10 exploit protection feature(GoogleChromeはWindows10エクスプロイト保護機能を採用しています)
ハードウェア強制スタック保護は、「Intel CETチップセットセキュリティ拡張機能を使用して、Return-Oriented Programming(ROP)やJump Oriented Programming(JOP)などの一般的なエクスプロイト手法からアプリケーションを保護する」そうです。
Understanding Hardware-enforced Stack Protection - Microsoft Tech Community
9. Google wants to enable multi-factor authentication by default(Googleはデフォルトで多要素認証を有効にしたいと考えています)
Googleがすべてのユーザーに多要素認証を使用させるように努めているそうです。
2段階認証とか少々めんどくさいですが、セキュリティを高めていく上ではやはりこれらの仕組みを導入しないといけないですし、ユーザーも本当に自分の情報を守りたいのなら2段階認証を採用すべきかなと思います。