チェック・ポイント・リサーチ・チームによる2024年6月17日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 脅威アクターUNC5537の仕業と特定されたSnowflakeの顧客データベースを標的とした攻撃により、重大なデータの盗難と恐喝が発生しました。UNC5537は、主にinfostealerマルウェアから入手した窃取したSnowflakeの顧客認証情報を使用して、Snowflakeインスタンスから大量のデータにアクセスし、流出させました。侵害されたアカウントには多要素認証がなく、多くの場合、認証情報が古かったため、攻撃が容易になりました。Snowflakeはすでに、被害を受けた約165の組織に通知し、法執行機関と協力して侵害を調査しています。

• アメリカの大手保険会社Globe Life社は、同社のウェブ・ポータルのひとつで、消費者や保険契約者の情報が流出した可能性があるとして調査を行っています。この情報漏洩により、Globe Life社はポータルサイトへの外部アクセスを社団し、現在セキュリティ専門家により事件の全容を調査しています。関係者によれば、情報漏洩は特定のポータルに限定されると考えていると述べられました。

• サイバーセキュリティ企業Cylanceの古いマーケティングデータが流出し、3400万人の顧客と従業員の電子メールと個人を特定できる情報に影響が及びました。このデータは、脅威アクターSp1d3rによってアンダーグラウンドのマーケットプレイスで75万ドルで販売されており、サードパーティのプラットフォームから取得され、2015年から2018年にさかのぼるものになります。Cylanceはデータの正当性を認めましたが、現在のCylanceの顧客や機密情報に影響はないと主張しています。

• 米クリーブランド市はサイバー・インシデントに見舞われ、市役所の閉鎖を余儀なくされ、いくつかの内部システムやソフトウェアプラットフォームに影響を及ぼしました。当局によると、インシデントがより詳細に調査されるまで、影響を受けたシステムはオフラインのままであり、現在サービスの安全確保と復旧に取り組んでいると述べています。

• 米マサチューセッツ州アーリントン市は、最近のビジネスメール侵害攻撃において、44万5000ドル以上が脅威アクターに支払われたことを明らかにしました。サイバー犯罪者は、侵害したビジネスアカウント、ソーシャルエンジニアリング、なりすましなどを使って、同市が取引のある業者になりすましました。同市の声明によると、このキャンペーンで機密データは漏洩していないといいます。

• 日本のメディアグループであるKADOKAWAグループは、最近サイバー攻撃を受け、ニコニコサービス、KADOKAWA公式サイトなど複数のウェブサイトが機能停止に陥ったことを報告しました。この攻撃により、データ保護のため影響を受けたサーバがシャットダウンされました。KADOKAWAは発表の中で、外部の専門家や法執行機関とともに、機密情報が流出したかどうかを調査し、システムの復旧に努めていると述べました。

脆弱性及びパッチについて

• Microsoft社の2024年6月のパッチチューズデーは、18件のリモートコード実行の不具合を含む51件の脆弱性に対処し、その中には1つの重大な脆弱性（CVE-2024-30080）と1つのゼロデイ不具合（CVE-2023-50868）が含まれています。今回の更新は、さまざまなMicrosoft製品を対象としており、Microsoft Officeにおけるリモートコード実行の脆弱性や、Windows Kernelにおける特権昇格フローに対する重要なパッチが適用されています。

Check PointのIPSブレードは、この脅威[Microsoft Message Queuing Remote Code Execution (CVE-2024-30080)]に対する防御機能を備えています。

• 研究者らは、人気のあるZKTecoバイオメトリック端末を包括的に分析した結果、24の脆弱性を明らかにしました。脆弱性のリストには、SQLインジェクションの脆弱性6件、バッファオーバーフローの脆弱性7件、コマンドインジェクションの脆弱性5件、任意ファイルの読み取り/書き込みの脆弱性6件が含まれています。これらの脆弱性を悪用することで、認証バイパス、データ漏洩、ネットワークアクセス侵害が可能になります。

• 研究者らは、Fortinetのファイアウォールファームウェアに、パスワードなどの機密情報を攻撃者に暴露する可能性のある重大性の高い欠陥（CVE 2024-21754）を発見しました。この脆弱性により、権限のないユーザが設定バックアップファイルを復号化し、ユーザ認証情報にアクセスすることが可能になります。この脆弱性はFortinetに開示され、FortiOS v7.4.4で修正されました。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、2024年5月のグローバル脅威インデックスを発表し、Phorpiexボットネットが数百万通のフィッシングメールを介してLockBit Blackランサムウェアの配布に使用されており、重要なマルスパム・キャンペーンとなっていることを強調しました。さらに、LockBit3ランサムウェアグループの活動が復活し、最近の混乱後、ランサムウェア攻撃の33%を占めています。この復活は、リーダーを摘発し、復号化キーを公開することで、彼らの活動を一時的に停止させた法執行機関の措置に続くものです。また、このレポートでは、FakeUpdates、Androxgh0st、Qbotといったマルウェア・ファミリーの蔓延も強調しています。

• チェック・ポイント・リサーチ（CPR）は、夏休みに関連したオンライン・フィッシング詐欺について警告しています。2024年5月、CPR は夏に関連するサイバー詐欺の大幅な急増を検出し、旅行者が常に情報を入手し、積極的に個人情報を保護する必要性を浮き彫りにしました。具体的には、休日や休暇に関連した新規作成ドメインの顕著な増加が見られ、昨年の同時期と比べて大幅に増加していることが確認されました。

• チェック・ポイントでは、オンライン決済システム、銀行、暗号通貨取引所のユーザからログイン認証情報やクレジットカード情報を盗むことを目的とした、高度な DLL サイドローディング攻撃について取り上げています。この攻撃は、正当なビジネス アプリケーションを悪用して侵害された DLL ファイルを実行するため、検出が困難になるものです。具体的に説明されている攻撃は、Casbaneiroバンキング型トロイの木馬に関連しており、Amazon AWSとGitHubでホストされている正規のリソースを使用して、悪意のあるDLLをサイドロードします。