チェック・ポイント・リサーチ・チームによる2023年11月13日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 中国最大の銀行である中国工商銀行（ICBC）の米国部門がランサムウェア攻撃を受け、金融サービス・システムの一部に混乱が生じ、米国債の流動性に影響が出たと報じられています。この攻撃の背後にはLockBitランサムウェア集団がいると伝えられています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.LockBit.ta*; Ransomware.Win.Lockbit; Gen.Win.Crypter.Lockbit.AI; Ransomware_Linux_Lockbit]に対する防御機能を備えています。

• OpenAIは、継続的な分散型サービス妨害（DDoS）攻撃の被害を受けており、その結果、APIとChatGPTサービスに影響を与える定期的な停止が発生しています。ロシアと提携しているハクティビスト集団Anonymous Sudanは、イスラエルとパレスチナに対する偏見を理由に行った攻撃に対して犯行声明を出しました。

• DPワールド・オーストラリアは、深刻かつ継続的なサイバー事件のため、金曜日からオーストラリアの主要4港での業務を停止しました。同国に輸出入される商品のほぼ半分を管理するDPワールド・オーストラリアは、この事故について調査中であると述べています。

• チェック・ポイント・リサーチ（CPR）によると、Microsoft Access（Office製品に含まれる）の機能を悪用し、NTLM資格情報の窃取を防止するために設定されたファイアウォールのルールを攻撃者が回避できる可能性があることが明らかになりました。NTLM に対する攻撃は、ブルートフォース攻撃、中間者攻撃（Man in the Middle）、「パス・ザ・ハッシュ（Pass the Hash）」シナリオなど様々であり、いずれも個人情報を盗んだり、ID になりすましたりすることを目的としています。CPR は責任を持ってマイクロソフトに情報を開示しました。

  米国メイン州の州機関が、広く使用されているファイル転送ツールMOVEitの脆弱性を悪用したランサムウェア集団Cl0pによるデータ盗難につながるサイバー攻撃を受けました。この攻撃により、氏名、州ID、社会保障番号（SSN）、生年月日、運転免許証番号、医療情報、健康保険情報など、約1.3百万人の個人情報が影響を受けました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.Clop.ta*; Ransomware.Wins.Clop; Ransomware.Win.Clop]に対する防御機能を備えています。

• 米国の非営利団体McLaren Health Careは、220万人の患者の機密個人情報に影響を与えるデータ侵害を公表しました。ALPHV/BlackCatランサムウェア集団がこの攻撃の犯行声明を出し、その結果、氏名、生年月日、社会保障番号（SSN）、健康保険情報、その他の医療情報が流出しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.BlackCat.ta*; Ransomware.Win.BlackCat]に対する防御機能を備えています。

• 米住宅ローンサービス大手のMr. Cooperがサイバー攻撃の被害に遭い、数百万人の顧客のローン支払いやその他の取引が中断されました。同社は、漏洩したデータの内容について調査中です。

脆弱性及びパッチについて

• チェック・ポイント・リサーチ（CPR）によると、Microsoft Access（Office製品に含まれる）の機能を悪用し、NTLM資格情報の窃取を防止するために設定されたファイアウォールのルールを攻撃者が回避できる可能性があることが明らかになりました。NTLM に対する攻撃は、ブルートフォース攻撃、中間者攻撃（Man in the Middle）、「パス・ザ・ハッシュ（Pass the Hash）」シナリオなど様々であり、いずれも個人情報を盗んだり、ID になりすましたりすることを目的としています。CPR は責任を持ってマイクロソフトに情報を開示しました。

Check PointのIPSは、この脅威[Microsoft　Windows NTML Information Disclosure]に対する防御機能を備えています。

• Veeam ONEは、ITモニタリング・プラットフォームにおける2つの重要な脆弱性と2つの中程度の深刻度の脆弱性（CVE-2023-38547、CVE-2023-38548、CVE-2023-38549、CVE-2023-41723）に対するパッチをリリースしました。これらの脆弱性により、脅威者はSQLデータベース設定サーバ上でリモートコード実行機能を取得し、脆弱なサーバからNLTMハッシュ化された認証情報を取得する可能性があります。

• QNAP は、2 つの重大なコマンドインジェクションの脆弱性 (CVE-2023-23368, CVE-2023-23369) に関するアドバイザリを公開しました。侵害された QTS オペレーティングシステムおよびアプリケーションの欠陥は、リモートの攻撃者によって悪用され、ネットワーク経由でコマンドを実行される可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、2023年10月の月次マルウェアレポートを発表し、中東の政府機関や組織を標的にすることで知られる「NJRat」が最も顕著なマルウェアとして2位に浮上したことを明らかにしました。一方、AgentTeslaを狙った新たなマルスパムキャンペーンが確認されており、最も標的とされた業種は引き続き教育機関でした。また、Zyxel ZyWALLのコマンドインジェクションの欠陥（CVE-2023-28771）は、最も悪用された脆弱性であり、世界の42％の組織に影響を与えました。

Check PointのIPS、Threat EmulationおよびHarmony Endpointは、この脅威[Zyxel ZyWALL Command Injection (CVE-2023-28771); Rat.Win.Njrat; Infostealer.Win.Agenttesla; Trojan-Downloader.Win.Agenttesla; Trojan.Win.Agenttesla]に対する防御機能を備えています。

• 脅威グループFIN11は、包括的なITサービス管理であるSysAidのゼロデイ脆弱性を悪用し、企業のサーバにアクセスし、Clopランサムウェアを展開しました。その結果、彼らはSysAid Tomcatウェブサービスのウェブルートにウェブシェルをアップロードすることができました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.Clop.ta*; Ransomware.Wins.Clop; Ransomware.Win.Clop]に対する防御機能を備えています。

• この1ヶ月の間に、ハッカーはScreenConnectリモートアクセスツールを悪用し、米国内の複数の医療機関を標的としていました。彼らはまた、持続的なアクセスのために追加のリモートアクセスツールをインストールするなど、複数の医療機関への追加攻撃に備えるための措置を講じました。