チェック・ポイント・リサーチ・チームによる2024年8月12日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• フランスでオリンピック・イベントを主催するグラン・パレの財務データ・システムが、正体不明のランサムウェア・グループの標的となりました。この攻撃の一環として、ルーブル美術館やグラン・パレを含むフランスの他の約40の美術館の財務システムも影響を受けました。この攻撃は美術館の運営やオリンピックの中核システムには影響を与えませんでした。

• 米テキサス州キリーン市がランサムウェア攻撃を受け、重要なサービスが中断され、機密データが流出しました。この攻撃は、昨年ダラスの封鎖に関わった集団の名称を変更した「BlackSuit」ランサムウェア集団によるものとされています。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.BlackSuite, Ransomware.Wins.BlackSuit, Ransomware_Linux_BlackSuit]に対する防御機能を備えています。

• 米サムター郡保安官事務所がランサムウェア攻撃を受けたことを確認しました。Rhysidaランサムウェアグループがこの攻撃の責任を主張し、パスポート、社会保障番号、その他の機密データや文書などのデータを流出させたとされています。

  Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Win.Rhysida; Ransomware.Wins.Rhysida]に対する防御機能を備えています。

• 米ミシガン州の非営利病院ネットワーク、McLarenがランサムウェア攻撃を受けました。この攻撃はINCのランサムグループによるもので、13の病院のネットワークのITと電話システムが混乱しました。

• DDoS攻撃により、米テキサス州中部地域で911緊急サービスが1日中断されました。脅威アクターは大量の偽のロボコール（自動電話）を使用し、911緊急電話回線をクラッシュさせ、通話品質に影響を与えたり、緊急電話が全く通じないようにしました。

• 教室管理プラットフォームのMobile Guardianは、サイバーセキュリティ侵害の影響を受けたと発表しました。この攻撃により、攻撃者は13,000台以上のiPadとChromebookの登録を解除し、デバイスを消去しました。Mobile Guardianはこの攻撃によりサービスを停止しました。

• 身元調査会社National Public Data（別名Jerico Pictures）が運営するスクレイピング・サービスの大規模なデータ漏洩により、約29億人分の個人情報が流出しました。盗まれたデータベースは当初、USDoDの脅威行為者によって350万ドルで売りに出されていましたが、後に悪名高いBreachForumsで部分的に無料で流出しました。このデータベースには、氏名、住所、生年月日、社会保障番号などの機密データが含まれています。

• SOCRadarは、サイバー犯罪者がサイバーセキュリティ会社から3億2200万通の電子メールのデータベースをスクレイピングすることを可能にする脆弱な設定フローのために、データ侵害に見舞われたと報告されています。データをスクレイピングしたと主張する脅威アクターであるUSDoDは、データはSOCRadarが過去の侵害やリークから編集したものだと主張しています。この主張はまだ確認されていません。
  
  
  

脆弱性及びパッチについて

• Microsoftは、世界中の多くの IP 機器に組み込まれている人気のオープンソースプロジェクト OpenVPN に発見された 4 つの脆弱性を報告しました。これらの脆弱性（CVE-2024-27459、CVE-2024-24974、CVE-2024-27903、CVE-2024-1305）により、攻撃者はローカルでの権限昇格やリモートでのコード実行を許してしまう可能性があります。OpenVPNは2.6.10バージョンリリースで脆弱性にパッチを適用しました。

• Googleは、Android端末に影響を及ぼす深刻度の高いゼロデイ脆弱性（CVE-2024-36971）にパッチを適用しました。このLinuxカーネルの欠陥は、実際に悪用されていることが確認されており、攻撃者が影響を受けるデバイス上でリモートからコードを実行することを可能にするものです。

• Akamaiの研究者が Ivanti Connect Secure および FortiGate VPN の脆弱性を発見しました。この欠陥（CVE-2024-37374、CVE-2024-37375）により、侵害された VPN サーバへの初期アクセスと制御が可能になります。攻撃者はこれを利用して、VPN機能を操作したり、外部認証資格情報のような機密情報を傍受したりすることができます。レポートが公開された時点では、Ivantiはまだパッチをリリースしておらず、Fortinetはカスタム暗号化キーのバイパスについて修正しないことを決定しました。

• Cisco 社は、同社の IP 電話 SPA300 および SPA500 の Web UI に影響する重大な脆弱性に関するアドバイザリを公開しました。この脆弱性(CVE-2024-20450, CVE-2024-20454)により、攻撃者は任意のコマンドを実行したり、サービス拒否状態を引き起こす可能性があります。Ciscoは、製品が製造終了となったため、脆弱性を修正する予定はないと発表しています。

サイバー脅威インテリジェンスレポート

• 研究者らは、大規模で進行中の Magniber ランサムウェアキャンペーンについて警告しています。脅威アクターは、企業ではなくホームユーザを標的にしており、最初の攻撃ベクトルとしてトロイの木馬化されたソフトウェアのクラックダウンローダを使用しているようです。このランサムウェアはデバイス上のファイルを暗号化し、暗号化されたファイル名に.oaxyswや.oymtkのようなランダムな5～9文字の拡張子を付加します。ランサムノート（身代金要求書）は、各被害者に対し1,000～5,000ドルが要求されています。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.Magniber]に対する防御機能を備えています。

• 研究者は、Windows Updateプロセスを悪用してソフトウェアのバージョンをダウングレードし、攻撃者がパッチが適用された脆弱性を再導入することを可能にする新たな攻撃ベクトルを特定しました。ダウングレードのプロセスは、整合性検証やTrusted Installerの実行を含むすべての検証ステップをバイパスします。ダウングレードされた OS は、完全に更新されたものとして表示され、将来の更新プログラムをインストールできなくなるため、システムは攻撃に対して脆弱になります。

• デバイス乗っ取り型トロイの木馬「Chameleon」が、カナダとヨーロッパを標的とした新たなキャンペーンで再浮上しました。このマルウェアはAndroid端末に影響を及ぼし、顧客関係管理（CRM）アプリを装っています。このキャンペーンは、ホスピタリティの従業員、特に国際的に事業を展開するカナダのレストランチェーンを標的としています。インストールされると、Chameleonはキーロギングや偽のログインページを通じて認証情報を収集し、銀行口座に重大なリスクをもたらします。

  Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。