チェック・ポイント・リサーチ・チームによる2024年5月27日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• データ侵害により500GBのインドの生体認証データが流出し、インドの選挙中にインドの警察、軍人、その他の公務員に影響が及びました。流出したのはThoughtGreen Technologies社とTiming Technologies社が管理する安全性の低いデータベースで、指紋や顔のスキャンなどの機密情報から構成されています。流出したデータは、インドの選挙で使用される生体認証システムを操作するために使用されると言われているため、特に機密性が高いものです。

• ウェスタン・シドニー大学は、学生の氏名、住所、連絡先などの個人情報への不正アクセスにつながるデータ漏洩に見舞われました。この情報侵害は、定期的なセキュリティチェックの際に発見され、セキュリティの強化と該当者への通知が行われました。

• ニューヨーク州アルバニー郡当局は、メモリアルデーの週末直前に検知されたサイバーセキュリティ侵害の可能性について調査しています。同郡のダニエル・マッコイ行政官は、データ流出の証拠はないと述べました。この事件は、州の国土安全保障緊急サービス部門サイバー事件対応チームとの連携が促進されました。

• 6億枚のGALAコインの鋳造と販売を可能にした不正アクセスにより、Gala Gamesから2,200万ドルの暗号通貨が盗まれました。この不正アクセスは迅速に特定され、今後のインシデントを防ぐためにセキュリティ対策が強化されました。

• スパイウェアアプリケーションのPC Tattletaleがセキュリティ侵害を受け、ウェブサイトが改ざんされ、ソースコードとデータベースが流出しました。攻撃者はウェブサイトのコンテンツを改ざんし、その能力を誇示するとともに、スパイウェア・アプリが保存しているユーザ・データを危険にさらす可能性がありました。

• OmniVision Technologiesは、2023年にCuctusランサムウェア・グループによるランサムウェア攻撃を受け、データ漏洩が発生したことを公表しました。この情報流出事件では、様々な種類の機密データへの不正アクセスが行われており、Cactusグループによると、パスポートスキャン、契約書、機密文書などが含まれていました。OmniVisionは、この事件により機密情報が流出した可能性があると警告しています。

• インド国籍の男が、Coinbase ProWebサイトのなりすましサイトを通じて盗まれた3,700万ドル以上の電信詐欺の共謀について罪を認めました。この計画は、被害者を騙して偽サイトに認証情報を入力させ、本物の口座への不正アクセスとそれに続く暗号通貨の盗難を可能にしました。

• 製薬業界で著名なプロバイダであるCencora社は、最近、重大なデータ侵害を確認しました。この事件により、大手製薬会社11社の機密性の高い患者情報が不正アクセスされ、複数の州にまたがる個人情報が流出しました。

脆弱性及びパッチについて

• Googleは、Chromeのゼロデイ脆弱性CVE-2024-5274（ChromeのV8 JavaScriptエンジンに存在する深刻度の高い型混乱の欠陥）にパッチを適用しました。この脆弱性は、Googleの内部チームによって発見され、実際に悪用されており、潜在的な任意のコード実行のリスクを軽減するために緊急のセキュリティアップデートを促しています。

• GitLabの最近のアップデートでは、不正なアカウント乗っ取りにつながる複数の重大な脆弱性が修正されました。最も深刻な問題であるCVE-2024-4024は、BitbucketとのOAuth認証の不具合で、攻撃者がGitLabのアカウントを乗っ取る可能性がある。CVE-2024-2434とCVE-2024-2829を含むこの欠陥は、更新されたバージョンでパッチが適用されました。

• Veeamは、未認証の脅威行為者が任意のユーザとしてVeeam Backup Enterprise Managerにログインできる重大な脆弱性CVE-2024-29849を公開しました。この認証バイパスは重大なリスクをもたらし、CVSSスコアは9.8です。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、アフリカおよびカリブ海諸国の政府機関を標的としたサイバー・スパイ活動を発見しました。このキャンペーンは、中国の脅威アクターであるSharp DragonがペイロードとしてCobalt Strike Beaconを採用し、C2通信やコマンド実行などのバックドア機能を実現しながら、カスタム・ツールの露出を最小限に抑えています。この洗練されたアプローチは、ターゲットに対する深い理解を示唆しています。

• チェック・ポイント・リサーチは、MOIS（Ministry of Intelligence and Security：情報セキュリティ省）に所属するイランの脅威アクター、Void Manticoreの活動を明らかにしました。この攻撃者は、破壊的なワイプ攻撃と影響力の行使を組み合わせた攻撃で注目を集めています。特に、Void Manticoreは様々なオンラインペルソナを採用して活動を展開しており、最も著名なものはアルバニアでの攻撃では「Homeland Justice」、イスラエルを標的にした活動では「Karma」です。この行為者は、スパイ活動に重点を置くイランの脅威アクターScarred Manticoreと緊密に連携して活動しています。

• 研究者らはRustで開発されたEmbargoランサムウェアが出現し、二重の恐喝戦術を採用し、これまでに4人の被害者がでた事を報告しています。このランサムウェアの技術的分析によると、ChaCha20とCurve25519の暗号化を使用しており、プロセスやサービスの標的型終了も行っています。Embargoの進化は、より洗練されたクロスプラットフォームのランサムウェアへの移行を意味しています。

• セキュリティ研究者は、南シナ海の組織を標的とする「Unfading Sea Haze」と名付けられた新たな脅威アクターを特定しました。このグループは、中国の利益に沿った地政学的な情報収集に重点を置いています。彼らの手法には、スピアフィッシングやネットワークインフラの脆弱性を悪用し、Gh0st RATのような既知のマルウェアで長期的なプレゼンスを確立することなどが含まれます。