チェック・ポイント・リサーチ・チームによる2023年7月17日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• コロラド州立大学（CSU）は、ランサムウェアギャングCl0pのMOVEit Managed File Transfer攻撃の影響を受けました。脅威アクターは、大学のサービスベンダを侵害し、少なくとも2021年までさかのぼる学生および職員の個人情報への不正アクセスをもたらしました。流出したデータには、氏名、生年月日、学生番号または職員のID番号、社会保障番号、その他の人口統計学的情報が含まれています。

Check PointのIPSブレード、Harmony EndpointおよびThreat Emulationは、この脅威[(Progress MOVEit Transfer Multiple Vulnerabilities); Webshell.Win.Moveit, Ransomware.Win.Clop, Ransomware_Linux_Clop; Exploit.Wins.MOVEit]に対する防御機能を備えています。

• 米国・シンガポールのゲーミング・ハードウェア大手 Razar は、同社の Razer Gold 支払いシステムに影響を与えたデータ侵害を確認しました。この侵害は、ダークウェブ・フォーラムのユーザによって主張されたもので、同社のメインWebサイトのソースコード、データベース、暗号化キー、バックエンド・アクセス・ログインを盗んだとされています。この脅威アクターは、データに対して13万ドル以上の暗号通貨を要求しました。

• 米国の病院運営会社HCAヘルスケアは、1,100万人の患者のデータが流出した可能性があることを明らかにしました。この侵害には、氏名、自宅住所、生年月日、予約詳細などの患者の個人情報が含まれています。HCAは、今回の侵害には臨床情報や支払い情報は含まれていないことを確認しています。この侵害は、2023年における医療情報の最大規模の侵害の１つであると考えられています。

• オーストラリアとニュージーランドを拠点とする大手基幹インフラ・サービス・プロバイダであるVentia社は、サイバー攻撃によりシステムの一部をオフラインにしたことを明らかにしました。同社は攻撃の詳細については明かしませんでしたが、システムをシャットダウンするという同社の決定は、ランサムウェア攻撃に対する特徴的な対応です。

• 中国関連グループStorm-0558は、政府機関を含む約25の組織の電子メールシステム、およびこれらの機関に関連すると思われる個人のアカウントを侵害しました。Microsoftは、脅威アクターの手法、ツール、およびインフラストラクチャの分析を含む、スパイ活動の詳細を共有しています。

• 米カリフォルニア州ヘイワード市はランサムウェア攻撃を受け、予防措置として市の公共ウェブサイトやその他のサービスへのアクセスを停止しました。同市によると、個人情報流出の証拠はないとしています。まだ攻撃に対する犯行声明を出しているランサムウェア グループはありません。

• 人口140万人を超えるカリブ海最南端の島国、トリニダード・トバゴ共和国が、同国の司法長官・法務省（AGLA）に影響を与えたサイバー攻撃の被害者となりました。

   

脆弱性及びパッチについて

• チェック・ポイント・リサーチはClaroty Team82と共同で、QuickBloxプラットフォームのアーキテクチャにいくつかの重大なセキュリティ脆弱性があることを発見しました。これが悪用されると、脅威アクターが数万のアプリケーションのユーザ・データベースにアクセスし、数百万のユーザ・レコードが危険にさらされる可能性があります。

• Microsoftのパッチ・チューズデーは、9件の重大な脆弱性と6件のゼロデイ脆弱性を含む、2022年4月以来最大の132件の欠陥を修正しました。その中には、Microsoft OfficeとWindowsにおけるリモートコード実行の欠陥（CVE-2023-36884）があり、特別に細工されたMicrosoft Office文書を使用して悪用される可能性があります。悪用に成功すると、被害者のマシン上でリモートコードが実行される可能性があります。

Check PointのThreat Emulationは、この脅威[Technique.Win.OleEmbed.la.A]に対する防御機能を備えています。

• Appleは、iOSおよびmacOSデバイスで共有されているWebKitエンジンにおいて、現在悪用されている欠陥（CVE-2023-37450）に対処した緊急セキュリティアップデートをリリースしました。悪用に成功すると、被害者のマシン上でリモートコードが実行される可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、Googleの生成AIプラットフォーム「Bard」に関する分析を発表し、同プラットフォームが悪意のあるコンテンツを生成することを許可するいくつかのシナリオを提示しています。脅威アクターはBardを利用して、フィッシングメールやマルウェアのキーロガー、基本的なランサムウェアのコードを生成する可能性があります。

• チェック・ポイント・リサーチの調査によると、2023年第2四半期に世界全体で週当たりのサイバー攻撃が8%急増し、企業は週平均1258件の攻撃に直面していることを検出しました。ランサムウェアによる攻撃は、毎週世界の44組織に対し1組織の割合で発生しており、その多くがアジア太平洋地域とヨーロッパに集中しています。さらに、最も標的とされた教育／研究部門に続き、政府／軍事部門が前年同期比で9％増加しています。

• サイバー研究者は、2022年11月に始まったキャンペーンにおいて、Blackmoonトロイの木馬（KRBanker）を利用した巧妙かつ段階的なキャンペーンを発見しました。このキャンペーンは、米国とカナダの企業を標的としており、複数の不要なプログラムを展開し、被害者の環境に長期間にわたって存在し続けるために、回避と持続のテクニックを採用しています。一般的なクレデンシャル盗難とは異なり、このキャンペーンの焦点は、クレデンシャルを盗むことよりも、永続的な存在にあります。

Check PointのHarmony EndpointおよびThreat Emulationは、この脅威[Banker.Win.BlackMoon; Banker.Wins.BlackMoon]に対する防御機能を備えています。

• Windowsフィルタリングプラットフォーム（WFP）を使用してブラウザのトラフィックを傍受する、ドライバベースのブラウザハイジャッカーであるRedDriverの複数のバージョンを研究者が特定しました。RedDriverは少なくとも2021年から活動しており、中国語を母国語とするユーザをターゲットに設計されています。