チェック・ポイント・リサーチ・チームによる2023年6月5日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米国最大の歯科保険会社の１つであるMCNAは、ランサムウェア攻撃の結果、同社の顧客890万人分の情報が漏洩したことを規制当局に通知しました。悪名高いランサムウェア集団LockBitはこの攻撃を主張し、そのデータを恥ブログに掲載したとされています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.LockBit; Ransomware.Wins.Lockbit]に対する防御機能を備えています。

• ギリシャの教育省が、同国史上最も大規模と言われる持続的な分散型サービス拒否攻撃の被害に遭いました。この攻撃は、100カ国以上のホストから発信されたと報告されており、高校受験のホストとして使用されるプラットフォームに障害が発生し、年末の試験が数時間遅延しました。

• ロシア連邦保安庁（FSB）は、アメリカのNSAが数年にわたりiPhone端末に対しスパイウェアキャンペーンを行い、世界中の著名なロシア人個人をターゲットにしていたと非難しました。FSBはまた、Appleがスパイウェアツールの開発においてNSAと協力したと主張していますが、Appleはこれを否定しています。今週初め、ロシアのサイバーセキュリティ企業Kasperskyは、iPhoneのスパイウェア感染が同社の従業員の一部の端末に影響を与えていることを発見しました。

• 暗号通貨プロジェクトであるJimbos Protocolがフラッシュローン攻撃を受け、750万ドル以上に相当するイーサリアムトークンの損失が発生しました。攻撃者は、プラットフォームにスリッページ制御メカニズムがないことを悪用し、トークンを貸し出し、返す前にその価値を操作することを可能にしました。また、この攻撃はプラットフォームの評判に悪影響を及ぼし、トークンの評価額を大きく下落させることになりました。

訳者注；フラッシュローン攻撃とは1つのトランザクション内で無利子・無担保の借入返済を行う仕組みを悪用し、仮想通貨を窃取するもの

• 米国バージニア州のMiddlesex County Public Schoolsの教育長は、同組織がランサムウェア攻撃の被害に遭ったことを確認しました。声明によると、学校活動の混乱は最小限であったという。しかし、この攻撃の責任を負うランサムウェア集団Akiraは、この侵害で500GB以上の機密データを流出させたと主張しています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Akira.A; Trojan.Win.Krap.gl.D]に対する防御機能を備えています。

• イランの反体制派MEKに所属するイランのハクティビストたちが、イランの大統領ネットワークにアクセスを獲得しました。ハクティビストたちは、大統領を反体制派の人物に置き換えてウェブサイトを改ざんし、外交文書とされるものなどを含む機密情報を流出させました。

脆弱性及びパッチについて

• マネージドファイル転送プラットフォームであるMOVEit Transferに影響を及ぼすゼロデイSQLインジェクション脆弱性（CVE-2023-34362）が、数週間前から広く悪用されています。この脆弱性は情報漏洩につながる可能性があり、専門家は多数の組織がデータを盗まれたことを懸念しています。専門家は、今年初めのCl0PランサムウェアグループによるFortra GoAnywhereゼロデイキャンペーンに似た、大規模な恐喝キャンペーンの可能性を懸念しています。

Check PointのIPSは、この脅威[MOVEit Transfer SQL Injection (CVE-2023-34362)]に対する防御機能を備えています。

• インターネットから自動的にアップデートをダウンロードする隠しファームウェアコードが、数百万台のコンピュータに搭載されているGigabyteマザーボード数百モデルで発見されました。このコードは合法的な目的で設計されていますが、その実装は安全でないと考えられており、専門家は、脅威者がこのプロセスを乗っ取って悪意のあるコンテンツをこっそりとインストールする可能性があると警告しています。Gigabyte社は、この脅威に対するより強力な安全策を含むファームウェアのアップデートをリリースしたと主張しています。

• WebサイトプラットフォームのWordPressは、WordPressで使用される人気のプラグインであるJetpackのアップデートを、500万以上のウェブサイトにプッシュしました。致命的とされるこの脆弱性は、攻撃者がJetpackのAPIを悪用してWordPressのファイルを操作できる可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、中国のAPTグループ「Camaro Dragon」が使用するバックドアツールの解析結果を発表しました。TinyNoteと名付けられたこのバックドアツールはGoで書かれており、東南アジア諸国で普及しているインドネシアのアンチウイルスソフトSmadAVをバイパスする機能が含まれています。APTグループの被害者には、東南アジア諸国の大使館が含まれている可能性が高いと思われます。

Check PointのThreat Emulationは、この脅威[APT.Wins.MustangPanda.ta.*]に対する防御機能を備えています。

• サイバー研究者は、中南米のスペイン語圏のユーザをターゲットにした新しいボットネットを分析しました。Hoarbotと名付けられたこのボットネットは、被害者の取引所アカウントを制御してスパムメール経由でボットネットを拡散させるほか、被害者の金融口座へのアクセスに使用される認証情報窃盗機能を備えています。研究者は、このボットネットの背後にいる脅威の主体は、ブラジルに拠点を置いていると推定しています。

• Androidアプリに埋め込まれた潜在的に悪意のあるスパイウェアモジュールが発見されました。このモジュールは、初回初期化時に端末の詳細な技術情報を送信し、ファイルにアクセスしたりコピーしたりすることができます。このモジュールを含むアプリケーションのインストール数は、合計で4億2千万を超えています。

Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。

• 米国と韓国の安全保障当局は、シンクタンク、メディア、学術機関への初期アクセスに使用される北朝鮮のソーシャルエンジニアリング手法に警告する共同勧告を発表しました。