2022

2022 年は、大規模なサイバー攻撃とデータ侵害、革新的なフィッシング攻撃、プライバシーに関する懸念、そしてもちろんゼロデイ脆弱性など、サイバーセキュリティにとって大きな年でした。

ただし、一部のストーリーは、他のストーリーよりも読者に人気がありました。

ハッカーが8 月のクラウド ストレージ侵害LastPass ボールト データを盗んだという最近の発見は、トップ 10 リストに入るにはあまりにも新しいものでしたが、言及する価値があります。

以下は、2022 年に最も人気のある 10 の記事と、それぞれの概要です。

.top_story {
padding: 20px;
background-color: #537aba;
color: white!important;
font-weight:bold;
}
.top_story a:link, .top_story a:visited {
color: white!important;
text-decoration: underline;
}
.top_story a:hover {
color: #57FA89!important;
}

10. ロシアは制裁を回避するために独自のTLS認証局を作成

ロシアは独自の TLS 認証局 (CA) を作成し、制裁により Web サイトが西側企業からの証明書を更新できなくなった後も、Web サイトが引き続き HTTPS 接続を提供できるようにしました。

認証局は、ブラウザで使用する前に企業によって精査される必要があるため、ロシアを拠点とする Yandex ブラウザと Atom 製品は、当時、新しい CA を認識した唯一の企業でした。

このため、ロシアは市民に対し、Chrome、Firefox、Edge などの代わりにこれらのブラウザーを使用するように指示しました。

9. Google Play で発見された 100 万以上のインストールがある悪意のある Android アプリ

4 つの悪意のある Android アプリが Google Play で利用可能であり、被害者のデバイスから機密情報を盗み、オペレーターに「クリック課金型」の収益を生み出しました。

このマルウェアは、インストール後 72 時間まで悪意のある機能を表示しない Bluetooth アプリになりすました。この遅延により、アプリはセキュリティ ソフトウェアと Google のレビュー プロセスによる検出を回避することができました。

8. 大規模な妨害行為: 有名な npm パッケージがファイルを削除してウクライナ戦争に抗議

非常に人気のある「node-ipc」という名前の npm パッケージの開発者は、「平和」メッセージを含む新しいテキスト ファイルを作成するだけでなく、すべてのデータを削除し、開発者のマシン上のすべてのファイルを上書きするライブラリの妨害バージョンをリリースしました。

多言語の「平和」メッセージを含む WITH-LOVE-FROM-AMERICA.txt ファイル

7. Microsoft Teams の GIF を使用してリバース シェルを作成する GIFShell 攻撃

新しいソーシャル エンジニアリング攻撃により、Microsoft Teams を悪用してフィッシング攻撃を行い、GIF を使用してデータを盗むコマンドを密かに実行する方法が可能になりました。

この方法はさまざまな欠陥を悪用して、Microsoft 自身のサーバーから直接データを盗み出し、正当な Microsoft Team のトラフィックのように見せかけました。

攻撃者はまず、コマンドを実行し、出力を Microsoft Teams Webhook にアップロードする悪意のあるステージャーをインストールするようにユーザーを説得する必要があることに注意してください。

6. インストール数が 100 万回の Chrome 拡張機能がターゲットのブラウザを乗っ取る

Chrome Web ストアに合計 100 万回インストールされた 30 以上の悪意のある Google Chrome 拡張機能が、Web サイトにアフィリエイト リンクを挿入し、検索をハイジャックするために使用されました。

拡張機能自体には悪意のあるコードが含まれていなかったため、検出が困難でした。

しかし、一度インストールすると、悪意のある JavaScript をブラウザーにサイドロードする追加の拡張機能のインストールを求める他のサイトにユーザーをリダイレクトしました。

5. Linux システム サービスのバグにより、主要なすべてのディストリビューションで root が取得され、エクスプロイトがリリースされました

Polkit の pkexec コンポーネントに、PwnKit という名前の Linux の脆弱性が発見されました。

この脆弱性は、CVE-2021-4034 がすべての主要な Linux ディストリビューションのデフォルト構成に存在し、管理者やセキュリティ プロフェッショナルにとって重大な懸念事項となったため追跡されました。

4. Microsoft Teams は、認証トークンをクリアテキストとして Windows、Linux、Mac に保存します。

セキュリティ研究者は、Microsoft Teams のデスクトップ アプリが認証トークンをクリア テキストで Windows のさまざまな場所に保存していることを発見しました。

これらの認証トークンは、多要素認証 (MFA) が有効になっている場合でも、デバイスにアクセスしてユーザーとしてログインする攻撃者によって盗まれる可能性があります。

マイクロソフトと多くのセキュリティ研究者は、これ自体が問題であるとは考えていませんでした。ユーザーがトークンを盗む前にシステムへのアクセス権を取得している必要があるためです。これは、脅威アクターができるように、ユーザーにとって「ゲーム オーバー」を意味します。ローカルに保存されたすべてのデータにアクセスします。

しかし、他の研究者は、トークンを盗んでリモートの攻撃者に送り返す可能性のある情報窃盗犯の増加傾向により、このレポートが重大な懸念事項であることを発見しました。

3. GitHub リポジトリがハッキングされた後、Okta のソース コードが盗まれた

は、攻撃者が Okta の GitHub リポジトリにアクセスし、同社のソース コードを盗んだことを最初に報告しました。

Okta は先月、 と共有された「機密」メールを介して顧客に警告を開始し、Okta Workforce Identity Cloud (WIC) のソースコードが侵害で公開されたことを警告しました。

ただし、ハッカーは侵害中に Auth0 (Customer Identity Cloud) 製品のソース コードにアクセスしなかったと述べています。

2. 開発者がNPMライブラリの「colors」と「faker」を破損し、何千ものアプリを破壊

人気のあるオープンソース ライブラリ「colors」と「faker」の開発者は、パッケージに依存する何千ものプロジェクトをブリックする無限ループを意図的に導入しました。

これらのライブラリを使用するアプリケーションは、プロジェクトがコンソールに「LIBERTY LIBERTY LIBERTY」という意味不明なメッセージを出力し、その後に一連の非 ASCII 文字が続くことを突然発見しました。

「faker」および「colors」プロジェクトによって出力されたガベージ データ

この変更は、巨大企業やオープンソース プロジェクトの商用消費者に対する報復として導入されたようです。これらの企業は、開発者によると、コミュニティが運営する無料のソフトウェアに大きく依存しているが、コミュニティには恩返しをしていません。

1. Androidフォンの所有者が誤ってロック画面をバイパスする方法を見つけた

今年最も読まれた記事は、セキュリティ研究者が、完全にパッチが適用された Google Pixel 6 および Pixel 5 Android スマートフォンでロック画面をバイパスする方法を誤って発見した方法に関するものです。

この脆弱性は CVE-2022-20465 として追跡されており、2022 年 11 月 7 日にリリースされた Android セキュリティ アップデートで修正されました。

このバイパスのデモンストレーションを以下に示します。