チェック・ポイント・リサーチ・チームによる2024年7月15日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 米通信大手AT&Tは、同社の顧客1億1000万人分の個人情報が流出した大規模なデータ漏洩事件を公表しました。サードパーティのクラウドプラットフォームであるSnowflake上の同社のワークスペースから盗まれました。流出したデータには、AT&Tの全携帯電話顧客の完全なメタデータが含まれているとされ、これを使って人々の親しい連絡先を見つけることができます。

• 薬局大手のRite Aidがランサムウェア攻撃の被害に遭い、顧客の個人情報4500万件が盗まれました。データには氏名、住所、運転免許証のID番号、生年月日、Rite Aidのポイント番号などが含まれているといいます。RansomHubランサムウェアグループが犯行声明を出し、7月22日までに盗まれたデータを流出させると脅しています。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.RansomHub; Ransomware.Wins.RansomHub.ta.*]に対する防御機能を備えています。

• 米ダラス郡がランサムウェア攻撃の被害に遭い、20万人以上の個人情報が流出しました。流出したデータには、氏名、社会保障番号、医療情報などが含まれています。Playランサムウェア・ギャングが犯行声明を出しました。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Play; Ransomware.Wins.PLAY]に対する防御機能を備えています。

• 日本の大手テクノロジー企業である富士通は、複数の業務用コンピュータから発見されたマルウェアにより、個人情報や顧客情報が盗まれる可能性のあるサイバー攻撃を受けました。同社は、使用されたマルウェアの種類や盗まれたデータの正確な内容については明らかにしていません。まだ犯行声明を出している脅威アクターはいません。

• アメリカ無線中継連盟（ARRL）は、ランサムウェア攻撃により150人の従業員の氏名、住所、社会保障番号などの個人情報が盗まれたことを明らかにしました。ARRLはこの攻撃を特定のランサムウェア集団によるものとは断定していませんが、情報筋によるとEmbargoランサムウェアが原因である可能性を示しています。

• Advance Auto Partsは、約230万人の求職者と現・元従業員に影響を与えるデータ漏洩に見舞われ、盗まれたデータは「Sp1d3r」として知られるハッカーによって地下フォーラムで販売されました。この情報漏洩は、Snowflakeアカウントを標的とした大規模なキャンペーンの一環で、フルネーム、社会保障番号、運転免許証、政府ID番号などの機密情報が流出しました。

• 米フィラデルフィア市は、35,000人以上の個人情報に影響を与えるデータ漏洩を確認しました。流出したデータには、氏名、住所、社会保障番号、医療情報、限られた財務情報が含まれています。

脆弱性及びパッチについて

• チェック・ポイント・リサーチは、実際に悪用され、数百万のユーザーに影響を与える可能性のある新しいゼロデイ脆弱性 CVE-2024-38112 を特定しました。この脆弱性は、Internet Explorer のショートカット・ファイルを悪用して Windows 10/11 ユーザをおびき寄せ、リモートでコードを実行させるというものです。

  Check Pointは、この脅威[Internet Shortcut File Remote Code Execution]に対する防御機能を備えています。

• Microsoft社の2024年7月のパッチ・チューズデーは、5件の重大なリモート・コード実行の不具合を含む139件の脆弱性に対処しており、その中にはTIFF（Tagged Image File Format）画像処理に関連するWindows Imaging Componentの不具合CVE-2024-38060も含まれています。今回の更新は、さまざまなマイクロソフト製品を対象としており、Windows Hyper-Vの特権昇格やMSHTMLプラットフォームのスプーフィングに関する重要なパッチが含まれています。

• GitLabは複数のパッチをリリースしましたが、その中にはGitLab Community EditionとEnterprise Editionのバージョン15.8から16.11.6、17.0から17.0.4、17.1から17.1.2に重大な問題CVE-2024-6385が含まれています。この欠陥により、攻撃者は特定の状況下で別のユーザーとしてパイプラインを起動することができます。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチが発表した「2024年6月の要注意マルウェア（Most Wanted Malware）」によると、Ransomware-as-a-Service（RaaS）の状況に変化が見られ、RansomHubがLockBit3を抜き、最も流行しているマルウェアの1位となりました。さらに、偽のブラウザ更新を介して拡散するBadSpaceと呼ばれるWindowsバックドアが特定されています。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.RansomHub; Ransomware.Wins.RansomHub.ta.*; Ransomware.Wins.LockBit]に対する防御機能を備えています。

• チェック・ポイント・リサーチは、マルウェア作成者によるコンパイル済み V8 JavaScript の使用状況を調査し、静的検出の回避やソース・コードの隠蔽におけるコンパイル済み V8 JavaScript の役割を明らかにしました。コンパイル済み V8 JavaScript は、Google が提供する V8 エンジンの機能であり、攻撃者は JavaScript を低レベルのバイトコードにコンパイルすることで、静的な解析を困難にしています。このテクニックは、RAT、情報窃取、マイナー、ランサムウェアなど、さまざまなタイプのマルウェアで採用されています。

• 研究者らは、MoonWalkバックドアをロードするDodgeBoxローダーの使用に焦点を当てた、APT41の新しいツールの詳細な技術分析を共有しています。DodgeBoxは、中国に関連する脅威アクターによって使用されるStealthVectorの新しい亜種です。このローダーには、コールスタックスプーフィング、DLLサイドローディング、DLLホロリング、環境ガードレールなど、さまざまな回避技術が組み込まれています。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Trojan.Win.APT41; APT.Win.APT41; Trojan.Wins.APT41; APT.Wins.APT41.ta.*]に対する防御機能を備えています。

• 研究者らは、CVE-2023-27532を利用し、FortiGate Firewall SSL VPN上の休眠アカウントを悪用して初期ネットワークアクセスを行う、「Estate」と名付けられた新種のランサムウェアを発見しました。Estateランサムウェアは、フェイルオーバー・サーバ上に永続的なバックドアを展開し、RDP経由でラテラルムーブメントを行います。また、NetScan、AdFind、各種NirSoftユーティリティなどのツールを利用します。