チェック・ポイント・リサーチ・チームによる2023年８月７日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米国で 16 の病院と 166 の外来診療所およびセンターを運営する大手ヘルスケア サービス プロバイダーである Prospect Medical Holdings は、大規模なランサムウェア攻撃を受けました。 この攻撃により、少なくとも3つの州で同社の業務が混乱し、病院は患者を他の施設に転向させざるを得なくなりました。 まだ攻撃に対する犯行声明を公表しているランサムウェア集団はいません。

• 米国政府の請負業者であるSerco Inc.は、1万人以上の個人情報に影響を与えるデータ侵害に見舞われました。侵害されたデータは、サードパーティーベンダのMoveITマネージドファイル転送（MFT）サーバから盗まれたもので、氏名、米国の社会保障番号、生年月日、電子メールアドレス、医療給付情報などで構成されています。

• オンラインゲーム「コール・オブ・デューティ」を開発アメリカの大手ゲーム会社Activisonは、サイバー攻撃を受け、「コール・オブ・デューティ」（モダン・ウォーフェア2）のゲームをオフラインにしたとされています。研究者らが調査したところ、「コール・ オブ・ デューティ」のプレイヤーが、マルチプレイヤーロビーを通じて自動的に拡散するマルウェアに感染していることが判明しました。

• 米国のアパレル小売業者、Hot Topicは、顧客の個人情報が流出した可能性のあるデータ侵害を確認しました。この情報侵害は、今年2月7日から6月21日の間に発生したクレデンシャル・スタッフィング攻撃によるものでした。盗まれたデータは、フルネーム、電子メールアドレス、注文履歴、電話番号、保存された支払いカードの下4桁などで構成されています。

• コロラド州高等教育局（CDHE）は、2020年までの10年以上に渡り、州内の公立高校、大学、カレッジに通う職員と学生のデータが流出したことを公表しました。盗まれたデータには、氏名、米国の社会保障番号、学生証番号、その他の教育記録などの個人情報が含まれています。

• ケニア政府が大規模なDDoS（分散型サービス拒否）攻撃を受け、国民が5,000以上の政府サービスにアクセスするためのプラットフォームとして機能しているeCitizenポータルに影響が出ました。この攻撃は、ロシア系のハクティビスト集団「アノニマス スーダン」によって行われました。

• LockBitランサムウェア・ギャングが、イギリスの特別な教育を必要とする子どもたちのための学校、West Oaks Schoolへのサイバー攻撃の犯行声明を出しました。脅威アクターは、同校のデータベースにアクセスしたとされていますが、現在のところ、事件の範囲はまだ明らかになっていません。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Lockbit;Ransomware_.Wins.Lockbit]に対する防御機能を備えています。

脆弱性及びパッチについて

• Microsoft は、Power Platform のカスタムコネクタに使用される カスタムコード機能への不正アクセスにつながる可能性のあるセキュリティ問題を修正しました。この問題は、カスタムコード機能に埋め込まれた機密情報の情報漏えいにつながる可能性があります。

• Mozillaは、Firefox 116のいくつかの脆弱性に対するパッチをリリースしました。修正された脆弱性の中には、StorageManagerのスタックバッファオーバーフローの欠陥（CVE-2023-4050）があり、潜在的に悪用可能なクラッシュが発生し、サンドボックスからの脱出につながる可能性があります。

• PaperCut 社は、NG/MF 印刷管理ソフトウェアに存在する重大なセキュリティ脆弱性 (CVE-2023-39143) にパッチを適用しました。この脆弱性を悪用されると、Windows上で動作するパッチ未適用のPaperCutサーバにおいて、認証されていない攻撃者がリモートでコードを実行される可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイントの研究者が、50以上の一般的なパッケージで発見された NPM ベースの脆弱性に関する最新の調査結果を発表し、無数のプロジェクトや組織が危険にさらされていることを明らかにしました。

Check PointのCloudGuard CNAPPは、この脅威に対する防御機能を備えています。

• サイバー研究者は、ロシアのAPT29（別名Midnight Blizzard、NOBELIUM、Cozy Bear）によって行われた、Microsoft Teamsのチャットとして送信される認証情報を盗むフィッシング・ルアーを使用するソーシャル・エンジニアリング攻撃キャンペーンを特定しました。APTグループは、以前に侵害された中小企業から取得したTeamsのユーザプロファイルを使用し、ユーザを騙して多要素認証（MFA）のプロンプトを承認させ、標的の組織から認証情報を盗むことを目的としています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[APT.Win.APT29;ATP.Wins.APT29]に対する防御機能を備えています。

• 新しいフィッシング戦術は、オープンソースのHTMLフレームワークであるGoogle Accelerated Mobile Pages (AMP)を利用し、フィッシングメールに悪意のあるリンクを埋め込みます。信頼できるドメインでホスティングされたこれらのリンクは、企業の従業員をターゲットにする上で非常に効果的であることが証明されており、発見がより困難になっています。

• WormGPTの2週間後にダークウェブ上で出現したFraudGPTと呼ばれるAI駆動型の悪意あるツールをサイバー研究者が発見しました。この悪意のあるツールは、スピアフィッシングメールの作成、クラッキングツールの作成、カード作成などの攻撃的な活動に使用される「専用ボット」として宣伝されています。

• SpyNoteと名付けられたAndroidマルウェアが、欧州の複数の銀行顧客を標的とした広範なキャンペーンを積極的に展開しています。このマルウェアはフィッシング・キャンペーンやスミッシング・キャンペーンを通じて拡散され、不正行為にはリモート・アクセス・トロイの木馬（RAT）機能とフィッシング攻撃が併用されて利用されます。