チェック・ポイント・リサーチ・チームによる2024年7月8日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• フォーミュラ1(F1)の統括団体であるFIAは、電子メールアカウントへのフィッシング攻撃に起因するデータ漏洩を公表しました。この攻撃により個人データへの不正アクセスが発生し、インシデントは関連するデータ保護規制当局に報告されました。FIAはセキュリティを強化するための措置を講じており、影響を受けた個人に対する保護措置を開始しています。

• カナダのルータ製造会社であるMercku社は、同社のサポートポータルが侵害され、カスタマーサポートチケットに対しフィッシングの自動対応が送信されました。サポートを必要とする顧客には、MetaMaskアカウントを更新するよう指示するメールが送られましたが、これは暗号通貨ウォレットを侵害することを狙った戦術でした。

• ヘルスケア・フィンテック企業であるHealthEquity社は、パートナーのアカウントが侵害され、機密医療データへの不正アクセスと流出につながるデータ侵害に見舞われました。盗まれた情報には、特定の会員の保護対象医療情報とみなされる個人を特定できる情報が含まれています。HealthEquityは、影響を受けた個人への通知を開始し、クレジット・モニタリングとID復元サービスを提供していています。

• クロアチア最大の病院であるKBCザグレブは、LockBitランサムウェアグループによる大規模なランサムウェア攻撃を受けました。この攻撃は、ビジネス・ソフトウェア、ストレージ・システム、患者の入院情報システムなど、病院のITシステムを混乱させました。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.LockBit; Ransomware.Wins.Lockbit.ta]に対する防御機能を備えています。

• 脅威アクターがイーサリアムのメーリング・リスト・プロバイダを悪用し、35,000人のユーザーにフィッシング・メールを送信することに成功しました。これらのメールは、ステークしたイーサリアムに対して6.8%のAPYを提供する偽の投資機会を提供する悪意のあるサイトに受信者を誘い、暗号通過ドレイナー攻撃を引き起こしました。

• 米アラバマ州教育省は、ランサムウェア攻撃に直面し、攻撃が部分的にブロックされていたにもかかわらず、不正アクセスとデータの盗難が発生しました。この事件では、生徒と職員の個人情報が盗まれる可能性がありました。

• 研究者らは、2024年の英国選挙期間中のインターネットトラフィックとDDoS攻撃を分析し、投票時間帯にトラフィックが著しく減少したり急増したりし、選挙後に政党への攻撃が顕著になることを観測しました。このデータは、政治プロセスに影響を及ぼす可能性のある標的型DDoSインシデントを浮き彫りにしています。

• 「RockYou2024」と題された大規模なパスワード集がサイバー犯罪フォーラムに投稿され、複数のデータ侵害から生じた約100億の固有のプレーンテキストパスワードが含まれていると報じられています。このデータは、クレデンシャルスタッフィング攻撃やブルートフォース攻撃の重大なリスクをはらんでおり、さまざまなオンラインアカウントやサービスに影響を及ぼす可能性があります。

脆弱性及びパッチについて

• glibc ベースの Linux 環境で動作する OpenSSH サーバ (sshd) に、 認証されていないリモートコード実行の脆弱性 (CVE-2024-6387) が発見されました。この深刻度の高い脆弱性は、古い脆弱性 (CVE-2006-5051) を再導入するリグレッションによって引き起こされ、8.5p1 から 9.8p1 までのバージョン、および特定のパッチを適用していない 4.4p1 より前のバージョンに影響を及ぼします。

  Check PointのIPSは、この脅威[Multiple SSH Initial Connection Requests]に対する防御機能を備えています。

• Microsoftの研究者は、Rockwell Automation社の PanelView Plus デバイスに、認証されていないリモート・コード実行やサービス拒否攻撃を許す可能性のある 2 つの重要な脆弱性（CVE-2023-2071 および CVE-2023-29464）を公表しました。これらの脆弱性は、重要度がクリティカルな RCE と境界外読み出しによる重大度の高い DoS であり、攻撃者が悪意のあるコードを実行したり、産業環境での運用を妨害したりする可能性があるため、高いリスクがあります。

• 研究者らは、iOSおよびmacOSアプリケーションのためのオープンソースの依存関係マネージャであるCocoaPodsの重大な脆弱性（CVE-2024-38368、CVE-2024-38366、CVE-2024-38367）に関する情報を共有しました。これらの脆弱性により、悪意のある行為者が要求されていないパッケージの所有権を主張し、悪意のあるコードを挿入することが可能になり、数千のアプリケーションに影響を与える可能性があります。

  Check PointのIPSは、この脅威[Trunk Cocoapods Command Injection (CVE-2024-38366)]に対する防御機能を備えています。

• GeoServer と GeoTools に 2 つの重大なリモートコード実行の脆弱性 (CVE-2024-36401 および CVE-2024-36404) が発見されました。これらの脆弱性により、認証されていない攻撃者が XPath 式インジェクションを悪用して任意のコードを実行することができます。

サイバー脅威インテリジェンスレポート

• Amazon Prime Day 2024 を前に、チェック・ポイント・リサーチでは、Amazon の顧客を標的とした新規登録の悪質なドメインが増加していることを確認しました。特に、1,230を超えるドメインが新たに登録され、そのうち85%に不審なドメインとしてフラグが付けられており、ログイン認証情報や財務情報を盗むフィッシングなどの詐欺的な手口が組み込まれていました。レポートでは、正規のAmazonプラットフォームを模倣し、ユーザデータを取得するように設計されたフィッシングサイトに焦点を当てています。

• チェック・ポイント・リサーチは、様々な最新の暗号攻撃を分析し、古典的な暗号解読、統計的バイアス攻撃、サイドチャネル攻撃に分類しています。この記事では、中間者攻撃、バースデー攻撃、RSA暗号に対する特定の攻撃などのテクニックについて論じています。これらの攻撃は暗号アルゴリズムや実装の弱点を突くものであり、そのメカニズムや潜在的な影響についての洞察を提供しています。

• 研究者たちは、2024年3月に出現し、6月に活動を拡大している洗練されたRansomware-as-a-ServiceであるEldoradoランサムウェアを調査しました。ロシア語を話すグループが主導し、サイバー犯罪フォーラムで存在感を示しているEldoradoは、WindowsとLinuxシステムの両方をターゲットにカスタマイズされたランサムウェアサンプルを作成できるようにしています。注目すべきは、このRaaSがChacha20やRSA-OAEPのような高度な暗号化技術を使用していることです。