チェック・ポイント・リサーチ・チームによる2023年1月16日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 英国の国際郵便サービスRoyal Mailが、サイバー攻撃により業務に支障をきたしました。同サービスは、荷物を目的地に発送できないため、利用者に郵便物を投函しないよう指示しています。この攻撃の実行犯として、ランサムウェアのギャング「LockBit」が確認されており、身代金の要求に応じなければ、盗まれたデータを流出させると脅迫しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Lockbit]に対する防御機能を備えています。

•  米国連邦航空局(FAA)がデータベースファイルの破損により通信不能に陥ったため、米国内のすべての出発便が数時間にわたり欠航となりました。この件に関する初期調査において、FAAはサイバー攻撃の証拠を発見していません。

• ロシア系のハクティビストグループ「NoName057(16)」は、先週、NATO加盟国に対してDDoS攻撃を開始し、特にデンマークの金融機関やチェコの大統領選挙候補者のウェブサイトを標的としていました。　その結果、同グループのDDoSプロジェクトが管理されていたコード管理プラットフォームGitHubは、同グループのアカウントを無効化しました。
• カナダ最大のアルコール供給会社である政府機関LCBOのウェブサイトがハッキングされました。同社が発表した声明によると、攻撃者が悪意のあるコードを注入し、同社のチェックアウトページから顧客の支払い情報を盗み出すために使用したとのことです。
• 保険会社2社にサービスを提供しているサードパーティベンダのサーバ不正アクセスを受け、200万人を超える日本人の個人情報が流出しました。
• アイオワ州デモインの公立学区は、ランサムウェアの攻撃により数日間の学校閉鎖を余儀なくされたため、学年を延長することを発表しました。攻撃者や盗まれた可能性のあるデータに関する情報は明らかにされていません。
• サイバー犯罪者がTelegramのサーバへのアクセス権を販売すると申し出ています。売り手は、オンラインのアンダーグラウンドマーケットプレイスで2万ドルという価格を提示しており、インサイダーの従業員の共犯者を使用して、数カ月前のあらゆるTelegramの会話にアクセスできると主張しています。

• サイバー研究者は、オーストラリアのヘルスケア分野を標的としたGootkitキャンペーンを分析しました。このキャンペーンでは、検索エンジン最適化ポイズニングを使用して、オーストラリアで一般的なヘルスケア用語を検索する被害者に悪意のある結果をプッシュし、また正規のプログラムVLC Media Playerを悪用していました。

Check PointのAnti-Botは、この脅威[Trojan.Win32.Goodkit]に対する防御機能を備えています。

脆弱性及びパッチについて

• Microsoftは、1月のパッチチューズデーを公開しました。このパッチチューズデーには、Microsoft製品全般にわたる98件のセキュリティ脆弱性の修正が含まれており、そのうち1件は実際に悪用が確認されています(CVE-2023-21674)。このうち、11件の脆弱性は、リモートでコードが実行される可能性があり、重要な脆弱性とされています。

Check Pointのは、これら脅威[e.g., Microsoft Windows Advanced Local Procedure Call (ALPC) Elevation of Privilege (CVE-2023-21674)] に対する防御機能を備えています。

• Adobeは、多くの製品に対してセキュリティアップデートを公開しました。このアップデートには、リモートでコードが実行される可能性のある、複数の重大な脆弱性の修正が含まれています。

• Ciscoは、同社のルータ製品の一部に影響を及ぼす2つの脆弱性を公開しており、そのうちの1つはリモートでコードが実行される深刻度の高い脆弱性です。ただし、悪用の概念実証を認識しているにもかかわらず、ルータがEnd-of-Lifeとなっているため、同社はアップデートをリリースしないとしています。

• Juniper Networksは、複数の製品に影響を及ぼすセキュリティ脆弱性に対し、パッチを適用しました。今回修正された脆弱性の中には、リモートでコードが実行される可能性のある重大なものが含まれています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチでは、ロシアのサイバー犯罪者がOpenAIの制限を回避し、ChatGPTを悪用しようとする試みを確認しています。地下のハッキング・フォーラムでは、ハッカーたちが、ロシアからChatGPTにアクセスするために必要なIPアドレス、支払いカード、電話番号の規制を回避する方法について議論しています。

• チェック・ポイント・リサーチの調査によると、12月は、先月復活したバンキング型トロイの木馬「Qbot」が「Emotet」を抜いて最も流行しているマルウェアとなり、世界の組織の7％に影響を及ぼしました。ブロックチェーン対応トロイの木馬Gruptebaは、2022年7月以来、初めてトップ10に返り咲きました。AndroidマルウェアのHiddadがカムバックし、教育が引き続き世界で最も影響を受けた業界となりました。

• サイバー研究者は、StrongPity APTグループに起因するAndroidスパイウェアキャンペーンを発見しました。このキャンペーンのペイロードは、悪意のあるバージョンのTelegram Androidアプリによって配信されます。

Check PointのHarmony Endpointは、この脅威に対する防御機能を備えています。

• アジア太平洋地域の研究者により、未所属の新たなAPTグループに起因する活動が観測されています。このグループは、アジアの複数の国の軍事・政府機関を標的とし、諜報活動を目的とした高度なカスタムマルウェアを配信しています。
• イラン国民を標的としたスパイウェア・キャンペーンがサイバー研究者によって発見されました。このキャンペーンは、イラン政府のインターネット検閲を回避するために一般的に使用されている悪意のあるVPNインストーラを使用して配信されています。