チェック・ポイント・リサーチ・チームによる2024年11月18日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米FBIとCISAは共同声明を発表し、APTグループ「Salt Typhoon」が主導した、米国の通信インフラを標的にした中国の大規模なサイバースパイ活動の詳細を明らかにしました。この活動では、通話記録を盗み出し、政府や政治家が関与する通信を傍受し、米国の法的要請に関連するデータにアクセスするためにネットワークを侵害しました。この声明は、2024年10月にAT&T、ベライゾン、ルーメン・テクノロジーズを含む複数の通信会社に影響を与えた侵害の確認を受けて発表されたものです。T-モバイルもこのキャンペーンの被害者であることを確認しており、ソルト・タイフーンはシスコのルータにあるような脆弱性を利用して同社のネットワークに侵入し、政府や国家安全保障の高官をスパイしていたと述べています。しかし、T-モバイル社は、同社のシステムへの重大な被害や顧客データの漏洩はなかったと報告しています。

• ハンガリーの国防調達庁（VBÜ）は、INCランサムウェアグループによるサイバー攻撃を確認しました。このグループは、軍事調達に関する文書を含むVBÜのデータにアクセスし暗号化したと主張し、500万ドルの身代金を要求しています。国防省は、VBÜは軍事機密データを保存しておらず、現在この侵害について調査中であると述べています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威に対する防御機能を備えています。

• 米ウィスコンシン州シボイガン市は、ランサムウェア攻撃によるネットワークへの不正アクセスが最近発生したと報告しました。これを受け、市はシステムを保護し、インシデントの範囲を評価するためのサイバーセキュリティの専門家による徹底的なフォレンジック実施しています。現在のところ、機密性の高い個人情報が漏えいした形跡はありませんが、同市では10月下旬からテクノロジの停止に対処しています。

• 2,000以上の米国の薬局を管理するAmerican Associated Pharmacies（AAP）は、1.469TBのデータを盗み、ファイルを暗号化したと主張するEmbargoランサムウェアグループの標的になったと報告されています。Embargoは、AAPが復号化のために130万ドルを支払い、現在はデータ流出を防ぐためにさらに130万ドルの要求に直面していると主張しています。AAP社は攻撃を確認していませんが、ユーザ・パスワードをリセットし、認証情報の更新を勧めています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Embargo, Ransomware.Wins.Embargo]に対する防御機能を備えています。

• 分散型サービス拒否（DDoS）攻撃により、イスラエルのガソリンスタンドやスーパーマーケットでクレジットカード読み取り機が使用不能となり、広範囲にわたり決済処理の問題が発生しました。読み取り機のサイバーセキュリティを担当するCredit Guard社は、攻撃を特定し、約1時間後にサービスを復旧させました。この攻撃は、ハクティビスト集団「Anonymous for Justice」に関連しています。
  
  
  

脆弱性及びパッチについて

• Microsoftは、4件のゼロデイ脆弱性を含む89件の脆弱性を修正したパッチ・チューズデー・アップデートを公開しました。ゼロデイ脆弱性のうちの2つCVE-2024-43451（NTLMハッシュ開示なりすましの脆弱性）とCVE-2024-49039（Windowsタスクスケジューラ特権昇格の脆弱性）は、実際に活発に悪用されています。

• Palo Alto Networksは、次世代ファイアウォール（NGFW）の管理インターフェイスに重大なゼロデイ脆弱性（PAN-SA-2024-0015）を確認しました。この欠陥は、認証されていないリモートコード実行を可能にするもので、現在、インターネットに公開された管理インターフェイスを狙った攻撃で悪用されています。同社は、パッチが開発されている間、信頼できる内部 IP アドレスからの接続のみを許可することで、これらのインターフェイスへのアクセスを制限するなど、複数のセキュリティ対策を講じるよう勧告しています。

• WordFence は、Really Simple Security プラグインに重大な認証バイパスの脆弱性を確認しました。この欠陥により、プラグインの2要素認証機能が有効になっている場合、認証されていない攻撃者がWordPressサイトの管理者アクセス権を得ることができるなります。プラグインは脆弱性を修正するための強制アップデートをプッシュしていますが、メンテナンスされていないウェブサイトはまだ脆弱性が残っている可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチが発表した「2024年10月の要注意マルウェア（Most Wanted Malware）」によると、10月は情報窃取型マルウェアが大幅に増加し、AgentTeslaとLumma Stealerが上位を占めました。これらのマルウェアは、多くの場合、フィッシングメールや悪意のあるWebサイトを通じて拡散され、ログイン認証情報や財務情報などの機密データを狙います。また、このレポートでは、モバイルマルウェアの中で2位にランクインし、重要な脅威として浮上している新バージョンのモバイルマルウェア「Necro」についても言及しています。

• チェック・ポイント・リサーチは、「WIRTE」と名付けられたハマスに関連する APT グループの 2024 年中の最新の活動を明らかにしました。同グループは中東諸国に対するスパイ活動を継続しており、スパイ活動にとどまらず、イスラエルに対する破壊的攻撃を行うなど、活動の幅を広げています。レポートでは、同グループが使用するカスタムマルウェアと、イスラエルの組織を標的とするワイパーマルウェアであるSameCoinを結びつけています。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Wins.Wirte.ta.A/B/C/D/E/F; ransom.win.honey, infostealer.win.blackguard.d]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、FBI、米国財務省、イスラエル国家サイバーセキュリティ総局が発表した勧告を受け、イランの脅威グループ Emennet Pasargad が使用しているカスタム・モジュール型 RAT ツール WezRAT に関するレポートを発表しました。このグループは最近、イスラエル、フランス、スウェーデン、米国を標的にしています。最近のキャンペーンでは、WezRATが修正され情報窃取機能が追加されていました。

  Check PointのThreat EmulationとHarmony Endpointは、この脅威[Behavioral.Win.FakeChrome.B, Trojan.Wins.FakeUpdater.A]に対する防御機能を備えています。