チェック・ポイント・リサーチ・チームによる2023年12月18日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• ウクライナ最大の携帯電話会社Kyivstarが、「通信インフラに対する世界最大のサイバー攻撃」を受け、少なくとも48時間、数百万人が携帯電話やインターネットサービスを利用できなくなりました。伝えられるところによると、この攻撃は空襲警報サイレン、ATM、POS端末にも影響を与えました。ロシアの軍事グループ「サンドワーム」と以前から関係があったロシア系グループ「ソルンツェペック」が、この攻撃の犯行声明を出しました。別のロシア系グループKillnetも犯行声明を出したましたが、その関与は証明されていません。Kyivstarは2,430万人の携帯電話加入者と110万人以上の家庭用インターネット加入者がいます。

• MongoDBはサイバーセキュリティ侵害を公表し、同社の企業システムが侵害され、顧客データが流出したことを明らかにしました。脅威アクターは、12月13日に攻撃が検知されるまでのしばらくの間、データへの持続的な不正アクセスを行っていたと見られています。

• オンタリオ公共図書館は、サイバー攻撃による大規模なシステム停止に見舞われ、ランサムウェア攻撃の被害に遭ったことを明らかにしました。同図書館のデジタル・サービスは、WiFi、プリンター、図書館ウェブサイト、その他あらゆるオンライン製品を含めて中断されました。

• ランサムウェア攻撃とされる攻撃により、スイスの地方裁判所のITシステムと電話回線がダウンしました。この攻撃は、スイスの組織に対するランサムウェア攻撃が最近増加していることを示しています。

• レソト中央銀行がサイバー攻撃により機能停止に陥っています。同銀行は声明の中で、侵入を阻止するためにシステムの一部停止を余儀なくされたものの、攻撃による金銭的損失は発生していないことを確認しました。このため、レソト国内での銀行間送金は不可能となり、レソトの周辺隣国である南アフリカとの為替レートにも影響が出る可能性があります。

• ランサムウェア集団「ハンターズ・インターナショナル」が、フレッド・ハッチンソンがんセンターを攻撃し、同センターのデータ533GBが侵害されたと主張しました。このグループはまた、同センターで治療を受けた個々の患者を恐喝しようとしており、顧客が個人情報を削除するために50ドルを支払わなければ、社会保障番号、検査結果、病歴を漏らすと脅していると報じられています。

• 米国の放射線科・腫瘍学サービスプロバイダであるAkuminが、BlackSuitとBianLianという2つのランサムウェアグループに襲われたと報じられました。同社の声明と各グループが公表した情報によると、BlackSuitはデータの流出と暗号化に成功し、BianLianはPHI（個人健康情報）を含む5TBの機密性の高いデータを保有していると主張しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.BlackSuit, Ransomware_Linux_BlackSuit]に対する防御機能を備えています。

脆弱性及びパッチについて

• 12月のパッチ・チューズデーで、Microsoftは36の欠陥と6つのMicrosoft以外のCVE（うち1つはゼロデイ脆弱性）に対するセキュリティ更新プログラムを発表しました。 Microsoft Power Platform Connectorスプーフィングの脆弱性（CVE-2023-36019）、2つのICSリモートコード実行の脆弱性（CVE-2023-35630、CVE-2023-35641）の３つの重大な欠陥が修正されました。ゼロデイ脆弱性（CVE-2023-20588）は、一部のAMDプロセッサーにおけるゼロ除算エラーで、深刻度は中程度に分類されています。

• Apple社は、Safari、iOS、iPadOS、Sonoma、Ventura、Montereyを含む同社製品の複数の脆弱性に対するセキュリティ・アップデートをリリースしました。この脆弱性を悪用することで、脅威アクターは影響を受けたシステムを制御することが可能になり、iOSとiPasOSの2つの脆弱性が活発に悪用されていると報告されています。

• Adobeは、同社製品に存在する212のCVEに対応する9つのパッチを公開しました。脆弱性のうち186件はクロスサイトスクリプティング（XSS）のバグで、Adobe After Effects、Adobe Illustrator、Substance 3D Samplerの重大な脆弱性も今回のパッチで対処されています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、情報窃取ソフト「Rhadamanthys」の新バージョン0.5.0の機能を紹介するレポートを発表しました。Rhadamanthysは、多様なモジュールを備えた情報窃取ツールで、ブラックマーケットで販売されています。Rhadamanthysの作者は、マルウェア市場で人気の商品にするため、Rhadamanthysを更新し続け、新しい拡張機能を追加し、多様な機能を持つ多目的ボットに変身させています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[InfoStealer.Wins.Rhadamanthys.E/F, InfoStealer.Wins.Rhadamathys.C/D/G)]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、11月の上位サイバー脅威について、悪意のある HTML ファイルがマルウェアの拡散に使用される新たな「AsyncRAT」キャンペーンや、ユーザを騙して偽のブラウザ・アップデートを実行させる「FakeUpdates」ダウンローダなどをまとめています。

Check PointのThreat Emulationは、この脅威[RAT.Win32.AsyncRat, Downloader.WIN32.SocGholish, Dropper.Wins.SocGholish]に対する防御機能を備えています。

• Microsoftは、フィッシング、個人情報の窃盗と詐欺、分散型サービス拒否（DDoS）攻撃など、さまざまなサイバー犯罪活動の入り口として機能する、不正なマイクロソフトアカウントの販売者と作成者の主要グループであるStorm-1152に取り組んでいます。このグループは、ウェブサイトやソーシャルメディア・アカウントをービスの含むサービスとしてのサイバー犯罪エコシステムを運営しており、これらはすべて、すでに7億5,000万を超える不正アカウントを他のサイバー犯罪者に販売しているグループの配信プラットフォームとして使用されています。Storm-1152のアカウントを利用したランサムウェアやデータ窃盗に関与する複数のグループが確認されています。