チェック・ポイント・リサーチ・チームによる2023年5月15日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• スウェーデンとスイスの多国籍オートメーション企業であるABBが、ロシアのBlack Bastaランサムウェアグループによって行われたランサムウェア攻撃の被害を受けていることがわかりました。脅威アクターは、同社のWindows Active Directoryを攻撃し、数百台のデバイスに影響を与えました。顧客へのランサムウェアの拡散を防ぐため、ABBは他のネットワークとのVPN接続を終了させました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.BlackBasta; Ransomware.Wins.BlackBasta]に対する防御機能を備えています。

• 日本の自動車メーカーであるトヨタ自動車は、10年にわたるデータ侵害に見舞われ、日本国内の200万以上の顧客の車両情報が流出しました。この情報侵害は、クラウドデータベースの設定ミスにより、パスワードなしで誰でもその内容にアクセスできるようになったことが原因です。公開されたデータには、タイムスタンプ付きの車の位置情報、シャーシ番号、車載GPSナビゲーション端末のID番号などが含まれています。

• 米国の医療ソフトウェアプロバイダーであるNextGen Healthcareは、データ侵害により100万人以上の患者の個人データが漏洩したことを報告しました。脅威アクターは、患者の名前、生年月日、住所、社会保障番号にアクセスすることに成功しました。

• アメリカの食品流通会社Cyscoは、米国とカナダの顧客とサプライヤーのデータ、および米国従業員の社会保障番号と口座番号が流出したデータ侵害を公表しました。

• データストレージ大手のWestern Digitalは、同社の顧客の個人情報が流出したデータ侵害を確認しました。流出したデータには、氏名、請求先住所、配送先住所、電子メールアドレス、電話番号などが含まれています。脅威アクターは、ランサムウェアのギャングであるAlphV（別名Black Cat）とは関係ないものの、同グループのリークサイトを利用し同社を脅し、恐喝しようとすると主張しました。

• オンラインチャットプラットフォーム「Discord」は、サードパーティのチケットサポートエージェントのアカウントがハッキングされたことによるデータ侵害について通知をしました。この攻撃により、電子メールアドレス、カスタマサービスのメッセージ、チケットの添付ファイルなど、ユーザのデータが漏洩しました。

• 韓国のソウル大学病院（SNUH）がデータ侵害の被害に遭い、83万1千人の患者および職員が影響を受けました。この攻撃は、北朝鮮の脅威アクターによって行われ、病院の内部ネットワークを標的として、機密性の高い医療情報や個人情報を取得しました。韓国の地元メディアは、この攻撃とKimsuky APTグループとの関連を指摘しています。

   

脆弱性及びパッチについて

• Microsoftのパッチ・チューズデーは、3つのゼロデイ脆弱性を含む38の不具合が修正されています。その中で、Microsoft OutlookのWindows OLEの欠陥（CVE-2023-29325）は、特別に細工された電子メールを使用して悪用される可能性があります。悪用に成功すると、被害者のマシン上でリモートコードが実行される可能性があります。

Check PointのIPSは、この脅威[Microsoft Windows OLE Remote Code Execution (CVE-2023-29325)]に対する防御機能を備えています。

• サイバー研究者らは、特権のないローカル ユーザーが特権を昇格し、影響を受けるシステムを完全に制御できるようになる新しい Linux NetFilter カーネルの欠陥 (CVE-2023-32233) を発見しました。

• 人気WordPressプラグインEssential Addons for Elementorに認証されていない特権昇格の脆弱性（CVE-2023-32243）が公開されました。この欠陥により、認証されていないユーザが特権を昇格して、管理者を含むあらゆるユーザのパスワードをリセットすることができます。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、2023年4月の脅威インデックスを発表し、2位となったトロイの木馬Qbotの大規模なマルスパム・キャンペーンに焦点をあてました。一方、IoT（Internet-of-Things）マルウェアのMiraiが1年ぶりにリストに復帰し、ヘルスケアは最も攻撃された業界の2位に浮上しました。

Check PointのHarmony EndpointとThreat Emulationは、これらの脅威[Trojan.Wins.Qbot; Trojan.Downloader.Win.Qbot; Banker.Wins.Qbot; Trojan.Wins.Mirai]に対する防御機能を備えています。

• Maoriと名付けられた新しいランサムウェアファミリーが、研究者によって分析されました。Goで書かれたこの亜種は、Linuxプラットフォームをターゲットとし、Homeディレクトリのみを暗号化するため、非常に迅速な暗号化処理が可能になります。

• サイバー研究者らは、ロシアとウクライナの紛争に関連する軍事、輸送、および重要なインフラを標的とする、Red Stinger（別名Bad Magic）と名付けられた新しいAPTを発見しました。脅威アクターは、監視とデータ収集の目的で、スナップショット、USBメモリ、キーボードストローク、マイク録音を窃取することに成功しました。

Check PointのThreat Emulationは、この脅威[Technique.Win.PowerShellBase64.D, Trojan.Win.PowerMagic.A, Technique.Win.MalScript.la.B, Dropper.Win.GenDrop.la.J, Technique.Win.MalMsi.la.A]に対する防御機能を備えています。

• 米国、英国、カナダ、オーストラリアの安全保障機関が、ロシア連邦保安庁のマルウェア「Snake」に関する共同サイバーセキュリティアドバイザリを発表しました。このマルウェアは、機密性の高いターゲットから情報を収集するために使用されており、そのインフラは50カ国以上の治安機関によって観察されています。