チェック・ポイント・リサーチ・チームによる2023年10月23日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• クラウドID認証大手Oktaのネットワークの一部に攻撃者が、少なくとも2週間にわたって同社のサポート部門にアクセスを獲得し、サポートチケットからコピーしたトークンを使って顧客のネットワークにアクセスしようとしていました。報告によると、Oktaがこの事件に気づいたのは、顧客からサポート・チケットのトークンが悪用されているとの報告を受けたときだといいます。Oktaによると、この事件は「ごく少数」の顧客にしか影響を与えなかったといいます。

• FBIは、米国全土で数千人の北朝鮮人がIT分野の遠隔地での職を見つけるために偽りの身分やその他のなりすまし手段を使用していたことを明らかにしました。その後、その労働者は賃金を北朝鮮の弾道ミサイル兵器プログラムに送金していました。司法省は、この作戦に関する捜査の一環として、17のドメインと150万ドルを押収したと発表しました。

• 23andMeの顧客300万人分の記録を漏洩させたとされるハッカーが、さらに410万人分の記録を漏洩させました。この情報には、個人識別情報のほか、遺伝的な先祖のデータも含まれていると言われています。ハッカーたちは、被害を受けた400万人はイギリス出身者であると主張しています。

• 台湾のネットワーク・ハードウェア大手D-Linkは、脅威アクターが同社の300万行におよぶとされる顧客データベースをダークウェブ・フォーラムで売りに出していることをい受けて、データ漏洩を確認しました。しかし、同社の声明によると、脅威アクターはサポート終了したサーバから700件の古いレコードにアクセスしただけであるため、影響は脅威アクターの主張よりもはるかに小さいとしています。

• 米国のセキュリティ機関は、Confluence インスタンスにアクセスするための未承認の管理者アカウントの作成を可能にする重大な脆弱性であるAtlassian Confluence の脆弱性 CVE-2023-22515 が不特定の国家行為者によって広範に悪用されていることを警告しています。同機関は、脅威アクターはパッチ適用後もこの脆弱性を積極的に悪用し続けていると警告しています。

Check PointのIPSは、この脅威[Atlassian Confluence Authentication Bypass (CVE-2023-22515)に対する防御機能を備えています。

脆弱性及びパッチについて

• Cisco IOS XEソフトウェアのWeb UI機能のゼロデイ脆弱性を悪用したキャンペーンが発見されました。Ciscoによると、このキャンペーンは1カ月以上継続されており、全世界で3万4000台以上のCiscoデバイスが影響を受けているといいます。この脆弱性（CVE-2023-20198）は、IOS XEを実行するCiscoデバイスに管理者レベルのリモートアクセスを可能にするものです。Ciscoはこの脆弱性に対処するパッチをリリースしました。

Check PointのIPSは、この脅威[Cisco IOS XE Web UI Privilege Escalation (CVE-2023-20198)に対する防御機能を備えています。

• セキュリティ研究者は、Citrix Netscaler ADCおよびゲートウェイの情報漏えいの脆弱性CVE-2023-4966の積極的な悪用について警告しています。この脆弱性はCitrix社によって今月開示されましたが、8月以降ゼロデイとして悪用されている証拠が共有されています。さらに、デバイスにアクセスした脅威アクターは、パッチが適用された後も、この脆弱性を保持している可能性があります。

• SolarWinds社は、同社のAccess Rights Manager（ARM）プログラムに影響する8つの深刻度の高い脆弱性に対処したアドバイザリを公開しました。これらの脆弱性（CVE-2023-35180-7）は、ARM製品上で特権の昇格、ディレクトリトラバーサル、リモートコード実行の組み合わせが可能になります。

• VMwareは、Aria Operations for Logs製品に影響する2つの深刻度の高い脆弱性に対処しました。これらの脆弱性（CVE-2023-34051-2）は、リモートの認証されていない脅威アクターが、ファイルを注入してリモートでコードを実行したり、データのデシリアライズをトリガーして認証をバイパスしたりする可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、イスラエルとハマスの戦争が始まってから最初の10日間に関連するサイバー活動を分析しました。中東系、イスラム系、ロシア系など、複数のハクティビスト・グループがイスラエルに対する活動を活発化させています。DDoS、改ざん、一部のイスラエル・サイトからの情報漏洩など、さまざまな攻撃のベクトルが観測されていますが、そのほとんどは影響が非常に限定的です。

• チェック・ポイント・リサーチの最新ブランド・フィッシング・レポートによると、前四半期に最もなりすまされた業種は小売業であることが明らかになりました。Walmartがリストのトップとなり、Home Depoも偽装ブランドのトップ10にランクインしています。

• サイバー研究者は、イランの国民国家グループAPT34が中東の国家政府を標的にしたキャンペーンを発見しました。報告書によると、脅威アクターは政府のExchangeサーバに侵入し、8ヶ月間電子メールのやり取りへのアクセスを維持していました。

• ウクライナCERTは、ロシアの脅威行為アクターグループ「Sandworm」による、ウクライナの11の通信プロバイダを標的にした5ヶ月間にわたる広範なキャンペーンについて報告しています。脅威アクターはプロバイダへのアクセスを利用して、サービスの中断を引き起こし、通信データを盗む可能性がありました。