チェック・ポイント・リサーチ・チームによる2023年3 月20 日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 日立エナジーは、日立が使用していたMFTシステム「Fortra GoAnywhere」のゼロデイ脆弱性（CVE-2023-0669）を突いたランサムウェアグループ「Clop」によって引き起こされたデータ漏洩を報告しました。

Check PointのIPS、Threat Emulation、およびHarmony Endpointは、この脅威[GoAnywhere MFT Insecure Deserialization (CVE-2023-0669); Ransomware.Win.Clop]に対する防御機能を備えています。

• 中国のハッキンググループが、Fortinet機器のゼロデイ脆弱性（CVE-2022-41328）を利用してマルウェアを展開し、政府機関を狙った複数の攻撃に関与していると見られています。このセキュリティ上の欠陥により、攻撃者は複数のFortinetのソリューションで不正なコードやコマンドを実行することができました。

• オフィス用品の卸売業者であるEssendantは、LockBitランサムウェアの攻撃を受け、オンライン注文の発注と履行に支障をきたす大規模かつ継続的な停止が発生し、同社の顧客やサプライヤに影響を与えたとされています。

Check PointのThreat Emulation、およびHarmony Endpointは、この脅威[Ransomware.Win.Lockbit]に対する防御機能を備えています。

• ロシア語圏の主要なハッキングフォーラムにおいて、ある脅威アクターが米国連邦保安庁（USMS）のサーバから取得したと思われる数百ギガバイトのデータを売りに出していることが報告されました。USMSは、2月に同社のスタンドアロン・システムの1つに影響を与えたランサムウェア攻撃の後、「データ流出イベント」についての継続的な調査を確認しています。

• マイアミに拠点を置くヘルスケアプロバイダー、Independent Living Systems（ILS）は、420万人の個人情報が流出するデータ侵害を報告し、今年最大のヘルスケアデータ侵害となりました。

• NBAは、サードパーティのニュースレターサービスが保有するファンの個人情報が盗まれるデータ侵害が発生したことを通知しました。

• セキュリティ研究者は、最近、BianLianランサムウェアグループの行動に新しい傾向があることを明らかにし、彼らが攻撃戦略の転換を遂げたことを示しました。具体的には、グループの優先事項がデータの暗号化からデータの流出へと変化しているようです。

　Check PointのThreat Emulationは、この脅威[Ransomware.Win.GenRansom.glsf.A]に対する防御機能を備えています。

脆弱性及びパッチについて

• Microsoftのパッチ・チューズデーでは、活発に悪用されているゼロデイ脆弱性2件を含む83件の不具合が修正されています。その中には、Microsoft Outlookの特権昇格の脆弱性（CVE-2023-23397）も含まれており、他のサービスに対してNTLMリレー攻撃を行い、ユーザとして認証させることができます。

Check PointのIPSは、この脅威[Microsoft Outlook Privilege Escalation (CVE-2023-23397)]に対する防御機能を備えています。

• Foxit Software は、PDF Reader および Editor ソフトウェアに存在するリモートコード実行の脆弱性 (CVE-2023-27329, CVE-2023-27330, CVE-2023-27331) を修正しました。これらはユーザのシステムを重大な危険にさらす可能性があるものです。

• iTop IT Service Management Platform に重大なセキュリティ脆弱性 (CVE-2022-39214) が検出されました。この脆弱性は、認証が不十分であることに起因しており、攻撃者は、usernameパラメータを使用した特別な細工を施したリクエストを送信することにより、脆弱性を悪用することができます。

• Adobeは、ColdFusionに影響を及ぼすRCE脆弱性CVE-2023-26360に対応したセキュリティアドバイザリを公開しました。アドバイザリによると、Adobeはこの脆弱性が活発に利用されていることを認識しています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、20 以上の金融アプリを模倣し、銀行員との会話をシミュレートすることで音声フィッシングに関与できる FakeCalls Android トロイの木馬を明らかにしました。 韓国市場向けに設計されたこのマルウェアは、被害者のデバイスから個人データも抽出することができます。

Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。

• チェック・ポイント・リサーチは、ユーザがゲーム結果を操作できる可能性のあるセキュリティ上の欠陥をchess.comに発見しました。この脆弱性を利用して、研究者は相手の時間を短縮し、その結果、ゲームに勝利することができました。

• チェック・ポイント・リサーチは、Redline、Raccoon、Formbookを含む既知のさまざまなマルウェア・ファミリーをシステムへ感染させるdotRunpeXインジェクタを分析しました。このインジェクタは、悪意のある添付ファイルとしてフィッシングメールに添付されたり、通常のプログラムユーティリティを装ったWebサイトを通じて一般的に配布されます。

Check PointのThreat Emulationは、この脅威[Injector.Wins.dotRunpeX.A]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、ChatGPT4を分析し、脅威アクターが制限を回避してChatGPT4を利用し、フィッシングメールやマルウェアを作成することができる5つのシナリオを特定しました。 

• 米国司法当局は、ハッキングフォーラム「BreachForums」の運営者であるPompompurinと思われるニューヨークの人物を拘束しました。BreachForumsは現在、盗まれたデータを販売・公開する英語圏最大のアンダーグラウンドフォーラムです。