チェック・ポイント・リサーチ・チームによる2024年5月20日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• オーストラリアの電子処方箋プロバイダであるMediSecureは、大規模なランサムウェア攻撃に見舞われ、広範囲に渡る混乱とデータ侵害につながりました。この攻撃の影響は甚大で、国内の医療データに広く影響を及ぼしています。

• 米国の医療管理・運営サービスプロバイダであるWebTPAは、約250万人に影響するデータ侵害を明らかにしました。この情報侵害は2023年12月28日に発覚し、4月18日から4月23日の間に個人情報への不正アクセスが行われていました。社会保障番号のような機密データは漏洩しましたが、財務情報や医療情報は影響を受けませんでした。

• ロシア系のハクティビスト・グループが、米国資本で英国第2位の地方紙・地域紙発行会社であるNewsquestメディア・グループの数百の英国地方紙・地域紙のウェブサイトを改ざんした。同グループはプラットフォームを利用して「PERVOKLASSNIY RUSSIAN HACKERS ATTACK」というメッセージを掲載しました。

• 米ミシガン州のロックフォード公立学区は、ランサムウェア攻撃を受けてコンピュータ、インターネットサービス、電話のシャットダウンを余儀なくされました。ランサムウェアグループのINC Ransomは、プリンタに残された身代金要求のメモの中で犯行声明を出しました。

• MLSシカゴ・ファイア・フットボール・クラブが、セキュリティ侵害に遭ったことを報告しました。クラブによると、昨年末のサイバー攻撃により、個人情報が流出したといいます。情報には社会保障番号、運転免許証、パスポートのほか、医療情報や財務情報も含まれていました。

• フィンランドのヘルシンキ市は、教育課の情報侵害事件により、同市の全職員および生徒とその保護者の個人情報が流出したことを明らかにしました。同市の発表によると、流出したデータには数千万件のファイルが含まれているといいます。

• 日本の自動車メーカーである日産自動車は、昨年末に発生した情報流出事件で、アメリカの現従業員および元従業員5万3000人以上の個人情報が流出したと発表しました。同社によると、情報には従業員の社会保障番号も含まれているといいます。

• 米FBIと司法省は、ハッキングされたデータや盗まれたデータの売買に利用されていたサイバー犯罪フォーラムとして知られるBreachForumsのウェブサイトとテレグラムチャンネルの接収に成功しました。この作戦により、ハッカー間の機密情報の交換や不正なサービスなど、さまざまな違法行為を助長していたサイバー犯罪の主要拠点が混乱しました。

脆弱性及びパッチについて

• MicrosoftとアAdobeは2024年5月のパッチチューズデーを発表し、Microsoftは67件の脆弱性に、Adobeは37件の脆弱性に対処しました。Microsoftのリリースには、3件のゼロデイ脆弱性（CVE-2024-30051、CVE-2024-30040、CVE-2024-30046）に対するパッチが含まれています。Adobeのリリースでは、26の脆弱性に重要度が「Critical」に与えられており、任意のコード実行につながる可能性があります。

• 人気の高いネットワーク監視ツール Cacti に、リモートでコードを実行される重大な脆弱性 (CVE-2024-25641) が公開されました。この脆弱性により、攻撃者はパケットインポート機能を使用し、ウェブサーバ上で任意の PHP コードを実行することが可能となります。

Check PointのIPSは、この脅威[Cacti Arbitrary File Upload (CVE-2024-25641)に対する防御機能を備えています。

• Google は、リモートの攻撃者に境界外メモリ書き込みを実行される可能性のある、深刻度の高い Chrome の脆弱性（CVE-2024-4761）に対処したセキュリティアップデートを公開しました。Googleは、この脆弱性に対するエクスプロイトが存在することを認めています。

• Broadcom 社は、VMware Workstation および Fusion の 4 件の脆弱性に対応したセキュリティ・アップデートを公開しました。最も深刻な脆弱性（CVE-2024-22267）は、use-after-free の重大な脆弱性で、リモートでコードが実行される可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、Foxit PDF Readerを悪用した、悪意のあるPDFを使用したマルウェアのキャンペーンについて報告しています。この悪用は、Foxit Readerの警告メッセージの設計に欠陥があることを利用したもので、最も有害なオプションがデフォルトで設定されています。ユーザがデフォルトのオプションを2回実行すると、エクスプロイトがトリガーされ、リモートサーバからペイロードがダウンロードされ実行されます。

Check PointのThreat Emulation ,Harmony EndpointとHarmony Mobile Protectionは、この脅威[Exploit.Wins.FoxitExploit.ta.Aに対する防御機能を備えています。

• チェック・ポイントは、電子メールに添付される悪意のある PDF の脅威が深刻化していることを示すデータを共有しました。これは、先月ですべての悪意のあるファイルの約 75% を占め、最も標的とされた分野は医療分野でした。ハッカーは URL やスクリプトを埋め込んで PDF を悪用し、従来のセキュリティ対策を回避するため、サイバーセキュリティ・アナリストにとって大きな課題となっています。

• 研究者らは、名前を明かされていない欧州外務省を標的としたTurla APTグループによるスパイ活動キャンペーンを特定しました。このキャンペーンには、ステガノグラフィやLuaスクリプティングのような洗練された技術を利用した2つのカスタムバックドア「LunarWeb」と「LunarMail」が関与しており、2020年に初めて観測され、ロシアの国家的利益に関連していました。