チェック・ポイント・リサーチ・チームによる2024年9月16日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
米シアトル港は、2024年8月にシアトル・タコマ国際空港を含む同港の重要なシステムに影響を与えたサイバー攻撃を、Rhysidaランサムウェアグループが行ったことを確認しました。このランサムウェア攻撃により、チェックインシステム、手荷物取り扱い、港のウェブサイトの停止など、大規模なサービス障害が発生しました。同港は身代金の支払いを拒否しました。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Rhysida; Ransomware.Wins.Rhysida]に対する防御機能を備えています。
-
サイバーセキュリティ企業Fortinetは、人気のサイバー犯罪フォーラムで活動する脅威アクターによって、同社のMicrosoft SharePointサーバーから440GBのファイルが盗まれたデータ侵害を確認しました。この事件では、データの暗号化や企業ネットワークへのアクセスは行われなかったものの、Fortinetから身代金を脅し取ろうとする試みが行われ、同社は支払いを拒否しました。報告されているところによると、この侵害は、サードパーティのクラウドベースの共有ファイルドライブに保存されていた少量の顧客データに関わるものでした。
-
米ワシントン州のハイライン公立学校は、サイバー攻撃により、施設の閉鎖や活動の中止につながる重大な混乱に見舞われました。この事件は、どのグループからの犯行声明は出されていませんが、重要なシステムに影響を与えた不正なネットワーク活動に対処するため、連邦および州の法執行機関の関与のもと、調査が続けられています。
-
Boulanger や Culturaを含むフランスの小売企業数社は、人気のあるサイバー犯罪フォーラムで活動する脅威アクターによるサイバー攻撃で顧客データが盗まれたことを確認しました。盗まれたデータには、顧客の名前、住所、連絡先が含まれていますが、銀行情報は含まれていません。Culturaはその後、攻撃で悪用された脆弱性を特定し、パッチを適用したことを報告しています。
-
漫画、アニメ、ビデオゲームなどを手がける日本のメディア企業、KADOKAWAは、6月に発生したとされるBlackSuitランサムウェア攻撃に続き、新たなデータ流出に対処しています。BlackSuitは現在、契約書や従業員情報を含む会社の機密データを流出させています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.BlackSuite; Ransomware.Wins.BlackSuit, Ransomware_Linux_BlackSuit]に対する防御機能を備えています。
-
ランサムウェア集団「BlackSuit」が、英チャールズ・ダーウィン・スクールを攻撃し、生徒の機密データを盗んだと主張しています。このグループは、生徒の個人記録を含む機密情報を盗んだと報告されています。
-
米国を拠点とする非営利団体「フリーロシア財団」は、クレムリンと関連のあるハッカー集団「Coldriver」に関連したデータ流出事件を調査しています。数千通の電子メールや文書がネット上に流出し、機密の戦略データや財務データも含まれていた可能性が高いものです。この情報漏洩は、民主主義擁護派を威嚇し、弾圧することを目的としており、現在進行中のロシア政府のサイバースパイ活動と一致しています。
脆弱性及びパッチについて
-
Microsoftの2024年9月のパッチチューズデーは、4件のゼロデイを含む79件の脆弱性に対処しました。重要/高レベルの脆弱性のうち2件、Windows Updateのリモートコード実行の不具合(CVE-2024-43491)とWindows Installerの特権昇格の脆弱性(CVE-2024-38014)は、優先的にパッチを適用するよう強調されています。また、この更新プログラムは、複数の Windows コンポーネントおよびマイクロソフト製品にわたる複数の特権昇格およびリモートコード実行の不具合を解決しています。
-
Ivanti社は、組織内のデバイスを一元管理できる企業向けエンドポイント管理ソリューションであるEndpoint Manager(EPM)ソフトウェアの重大なリモートコード実行(RCE)の脆弱性(CVE-2024-29847)の修正プログラムをリリースしました。この欠陥は、信頼されていないデータの不適切なデシリアライゼーションによって引き起こされます。その後、PoCが共有され、潜在的なリスクが高まっています。
-
Ivanti 社は、同社の Cloud Services Appliance (CSA) にリモートでコードが実行される深刻度の高い脆弱性 (CVE-2024-8190) が存在することを確認しました。この欠陥は、コマンドインジェクションによって CSA バージョン 4.6 に影響を与え、CISA はこの脆弱性を Known Exploited Vulnerabilities カタログに追加し、10 月 4 日までに連邦政府機関によるパッチ適用を要求しています。
-
WordPress プラグイン Post Grid および Gutenberg Blocks に特権昇格の脆弱性(CVE-2024-8253)が存在し、40,000 以上のサイトに影響を及ぼしています。この脆弱性は現在パッチが適用されており、最小限の権限で認証されたユーザーが管理者に権限を昇格させることが可能です。
サイバー脅威インテリジェンスレポート
-
チェック・ポイント・リサーチは、Veaty および Spearal と名付けられたマルウェアを使用し、イラク政府のネットワークを標的としたイランの脅威アクターによるサイバーキャンペーンを確認しました。使用された手法では、パッシブな IIS バックドア、DNS トンネリング、侵害された電子メールアカウントを介した C2 通信などがあり、イランの MOIS と連携する APT34 グループとの関係が示唆されています。このキャンペーンは、初期感染にソーシャル・エンジニアリングを用い、高度なC2インフラを使用している可能性があります。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Wins.Oilrig.ta.B/C/D/E, APT.Win.OilRig.F, APT.Win.OilRig.WA.G, APT.Win.OilRig.H]に対する防御機能を備えています。
-
チェック・ポイントは、ランサムウェア、マルウェア、および悪用される脆弱性のトップについて、2024年8月のグローバル脅威インデックスを発表しました。同レポートによると、RansomHub がランサムウェア・ファミリのトップにランクインしたほか、Meow ランサムウェアが革新的な恐喝手法によって顕著な台頭を見せたことが明らかになっています。マルウェアファミリーのリストでは、FakeUpdatesが最も流行しており、全世界の組織の8%に影響を及ぼしており、次に Androxgh0st と Phorpiex が続きます。
-
研究者は、東南アジアの政府機関や公共サービス機関を標的とした、中国国家によるサイバースパイ活動「Operation Crimson Palace」の復活を検知しました。この作戦は「TattleTale」と名付けられた新しいキーロガーを利用し、侵害されたネットワークをコマンド・アンド・コントロールの中継点として活用し、この地域でのスパイ活動を拡大しています。
