週次サイバーセキュリティ脅威レポート（2025年2月3日版）”今週もヘルスケア業界でサイバー被害の事例相次ぐ　DeepSeekに保護されていないデータベースが　等”

TakahiroS — Tue, 04 Feb 2025 04:24:40 GMT

チェック・ポイント・リサーチ・チームによる2025年2月3日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

大手スポーツ用品メーカーのミズノUSAは、2024年8月から10月にかけて、同社のネットワークから個人情報が盗まれるサイバー攻撃があったことを確認しました。データ流出には、氏名、社会保障番号、金融口座情報、運転免許証の詳細、パスポート番号などが含まれていました。BianLianランサムウェア・ギャングがこの攻撃の責任を主張しています。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Wins.BianLian.ta.*; Ransomware.Wins.BianLian; Backdoor.Wins.BianLian; HackTool.Wins.BianLian]に対する防御機能を備えています。
アルゼンチンのブエノスアイレスにあるエル・クルス病院が、ランサムウェアグループ「Medusa」によるランサムウェア攻撃を受けました。このグループは病院のITネットワークに重大な攻撃を仕掛け、現在、ビットコインで20万ドルを支払わない限り、患者情報を含む760GBのデータを開示すると脅しています。

Check PointのThreat EmulationとHarmony Endpointは、この脅威に対する防御機能を備えています。
ニューヨーク血液センター・エンタープライズは1月26日、ランサムウェア攻撃を受け、ITシステムに影響が出ました。同血液センターはネットワークをオフラインにし、システム復旧の具体的な目処は立っておらず、献血は遅れているとしています。
インドの大手ハイテク企業タタ・テクノロジーズがランサムウェア攻撃を受け、一部のITサービスが一時的に停止ましたが、中核となるクライアント配信システムは影響を受けませんでした。攻撃の犯行声明を出した脅威アクターはおらず、データが盗まれたかどうかも不明です。
日本のタブレット・メーカーであるワコムは、2024年11月28日から2025年1月8日にかけて、同社のオンライン・チェックアウトから顧客の支払いカードが盗まれる可能性が高いサイバー攻撃を受けました。この攻撃は、ワコムのウェブサイトでの取引中に、悪意のあるコードを使用して決済カード情報を盗まれました。
米国の医療サービス・プロバイダであるコミュニティ・ヘルスセンター（CHC）が、100万人以上の機密個人情報および健康情報を流出させるデータ侵害の被害に遭いました。この情報漏洩は2025年1月2日に発生し、CHCのシステムへの不正アクセスにより、個人情報、社会保障番号、医療情報、財務データが漏洩しました。
イランのハクティビスト集団ハンダラが、イスラエルのさまざまな幼稚園や教育機関の緊急システムを悪用し、警報サイレンやさまざまなテロ支援ソングを放送しました。同グループは、学校の非常ボタンシステムを運営するイスラエルの電子機器会社Maagar-Tecを標的にしたと主張しています。
英国のエンジニアリング大手スミス・グループは、同社のシステムへの不正アクセスを含むサイバー攻撃を公表しました。同社は、攻撃がいつ発生したのか、データが流出したのかについては明らかにしていません。まだ犯行声明を出している脅威アクターはいません。

脆弱性及びパッチについて

中国の新しいAIエンジンDeepSeekに属する、一般にアクセス可能なClickHouseデータベースが発見され、100万行以上のログストリームが暴露されました。このデータには、チャット履歴、APIシークレット、バックエンドの詳細など、非常に機密性の高い情報が含まれていました。この暴露により、認証や防御の仕組みがないため、DeepSeekの環境内でデータベース操作の完全な制御と特権昇格できる可能性がありました。この問題は、公開後に修正されました。
FortinetのFortiOSにクリティカルな脆弱性(CVE-2024-55591)が発見され、実際に悪用されていることが報告されました。この脆弱性は、代替パスまたはチャネルを使用した認証バイパスの脆弱性であり、リモートの攻撃者は、Node.jsウェブソケットモジュールへの細工されたリクエストを経由して、スーパー管理者権限を取得することができるようになります。

Check PointのIPSは、この脅威[Fortinet Multiple Products Authentication Bypass (CVE-2024-55591)]に対する防御機能を備えています。
Node.jsのバージョン（v18.x、v20.x、v22.x、v23.x）に重大な脆弱性があり、データ盗難、DoS、システム侵害につながる可能性があります。注目すべき脆弱性には、CVE-2025-23087 から CVE-2025-23089 があり、ワーカー権限のバイパス、パストラバーサル、メモリリークなどの問題で様々なバージョンに影響を及ぼします。これらにより、リモートの攻撃者に不正アクセスや任意のコードの実行、システムの侵害を許す可能性があります。

サイバー脅威インテリジェンスレポート

ウェブブラウザ、電子メールクライアント、およびFTPアプリケーションから情報を盗むことで知られるFormbookの後継であるXloaderマルウェアは、ランタイムコード暗号化やNTDLLフック回避のような、より強化された難読化および暗号化技術を採用しています。特定のディレクトリに自身をコピーしたり、Windowsレジストリエントリを変更したり、プロセスインジェクションを使用したりすることで、永続性を確立します。

Check PointのThreat EmulationとHarmony Endpointは、この脅威[Trojan.Win.Xloader; Trojan.Win.Xloader.ja; Trojan.Wins.Xloader.tayc; Trojan.Wins.Xloader.ta.*]に対する防御機能を備えています。
最近発見されたWindows Lockerと呼ばれるランサムウェアは、2024年12月にGitHubで初めて確認されたもので、ファイルを暗号化し、レジストリ・キーを持続的に変更することで被害者を狙います。標準的な復旧方法を妨げ、AES暗号化技術を使用してデータを暗号化します。さらに、Windows Lockerはシャドウコピーを削除するため、ユーザは操作されたファイルを回復ささえることができません。
Arcus Mediaランサムウェアの技術的分析によると、管理者アクセスなしでShellExecuteExW APIを使用して特権を昇格させ、レジストリベースの永続性を維持します。また、CreateToolhelp32Snapshot APIを介してSQLサーバーや電子メールクライアントなどの重要なプロセスを停止させ、ファイル名に「[Encrypted].Arcus」を追加するChaCha20暗号でファイルを暗号化し、シャドウバックアップの削除、システムリカバリの無効化、イベントログのクリアによって復旧を妨げます。

topic 週次サイバーセキュリティ脅威レポート （2025年2月3日版）”今週もヘルスケア業界でサイバー被害の事例相次ぐ DeepSeekに保護されていないデータベースが 等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート （2025年2月3日版）”今週もヘルスケア業界でサイバー被害の事例相次ぐ DeepSeekに保護されていないデータベースが 等”

topic 週次サイバーセキュリティ脅威レポート（2025年2月3日版）”今週もヘルスケア業界でサイバー被害の事例相次ぐ　DeepSeekに保護されていないデータベースが　等” in Japanese 日本語

週次サイバーセキュリティ脅威レポート（2025年2月3日版）”今週もヘルスケア業界でサイバー被害の事例相次ぐ　DeepSeekに保護されていないデータベースが　等”