チェック・ポイント・リサーチ・チームによる2024年9月30日における週次のサイバーセキュリティ脅威レポートの抄訳です
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
-
アメリカの送金サービス、MoneyGramがサイバー攻撃を受け、大規模なネットワーク障害が発生し、世界的にサービスが停止しました。この攻撃は、特にカリブ海諸国、ジャマイカ、メキシコでの送金取引に影響を与えました。現時点で、いずれからも犯行声明は出されていません。
-
Medicare & Medicaid Services(CMS)センターは、310万人以上の個人情報と健康情報が流出したデータ流出事件の被害者であることを公表しました。この情報漏洩は、Cl0pランサムウェアグループによる2023年のMOVEit攻撃に起因するもので、氏名、社会保障番号、メディケアの識別子などが漏洩しました。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[Ransomware.Win.Clop; Ransomware.Wins.Clop; Ransomware.Wins.Clop.ta.*;Exploit.Wins.MOVEit]に対する防御機能を備えています。
-
アメリカの自動車ディーラーグループAutoCanadaがランサムウェア攻撃の被害に遭い、氏名、住所、給与情報、社会保険番号などの従業員データが流出しました。この攻撃はHunters Internationalというランサムウェア集団が行ったもので、人事記録、財務書類、従業員の個人情報など、テラバイト単位の機密データが流出しました。顧客データが流出した形跡はありません。
-
米アーカンソーシティの水処理施設は、少なくとも1台のコンピュータに影響を与えたサイバー攻撃を公表しました。水の供給やサービスには支障はありませんでしたが、同施設はインシデントを食い止めるために手動操作に切り替えなければなりませんでした。
-
米カンザスシティの南東に位置するフランクリン郡は、ランサムウェアの攻撃を受け、約3万人の住民の機密個人情報が流出しました。流出したデータには、氏名、社会保障番号、運転免許証番号、金融口座の詳細、郡の投票簿記録からの医療情報などが含まれていました。まだ犯行声明を出した脅威アクターはいません。
-
米テキサス州リチャードソン市は、ネットワーク上のファイルを暗号化しようとするサイバー攻撃を確認しました。少数のファイルが暗号化されたものの、市のセキュリティ・システムによりそれ以上の被害は防がれ、機密データにアクセスされた兆候は今のところみられません。
-
イギリスの通信会社Telentが運営するネットワーク・レールの公衆Wi-Fiサービスが、イギリスの20の駅で不正アクセスを受け、利用者にイスラム嫌悪のメッセージを表示していました。影響を受けた駅には、ロンドン、レディング、リーズ、グラスゴーの主要な通勤拠点が含まれています。
-
イギリスのFylde Coast Academy Trust(FCAT)は、ITインフラを侵害するランサムウェア攻撃を受け、ブラックプールとランカシャーの10校が影響を受けました。攻撃により業務が中断させられ、学校は非ITプロセスへの回帰を余儀なくされ、必要不可欠なシステムへのアクセスも制限されました。
脆弱性及びパッチについて
-
NVIDIA は、NVIDIA Container Toolkit の重大な脆弱性(CVE-2024-0132)に対するソフトウェア・アップデートを公開しました。このTOCTOU(Time-of-Check Time-of-Use)の欠陥により、攻撃者はコンテナの制約を抜け出し、ホストシステムへフルアクセスできるようになり、コードの実行、権限の昇格、データの改ざんにつながる可能性があります。この脆弱性は、v1.16.1 までのすべてのバージョンに影響し、v1.16.2 で修正されています。
-
研究者は、位置追跡、ドアロック解除、エンジン始動などのコネクテッドカー機能を遠隔操作を可能にする起亜自動車のウェブポータルに脆弱性を発見しました。研究者はポータルのAPIを悪用し、車両のナンバープレートとそれを車体番号に変換するツールを使って不正アクセスを行いました。起亜自動車はこの欠陥を修正しましたが、同社のシステムでこのような脆弱性が見つかったのはこれが2件目で、同様の問題は他の自動車メーカーにも影響を及ぼしています。
-
ChatGPT macOSアプリの脆弱性により、攻撃者は間接的なプロンプトインジェクションを介して、SpAIwareと名付けられた永続的なスパイウェアをアプリのメモリに埋め込み、ユーザの入力と将来のチャットセッションの継続的なデータ流出が可能になります。OpenAIはアプリのバージョン1.2024.247でこの問題に対処しました。
サイバー脅威インテリジェンスレポート
-
チェック・ポイント・リサーチは、モバイル ユーザのみをターゲットにした仮想通貨ドレイナーの初めての事例である、暗号通貨を窃取することを目的とした悪質なアプリを Google Play 上で発見しました。このアプリは、信頼性の高いWalletConnectプロトコルを使用した正規のWeb3ツールを装っており、5カ月間にわたり検知を逃れ、1万回以上ダウンロードされました。ソーシャル・エンジニアリングと高度なクリプト・ドレイナーの手口を悪用し、攻撃者は150人以上の被害者から約7万ドルを盗み出しました。
Check PointのHarmony Mobileは、この脅威に対する防御機能を備えています。
-
チェック・ポイント・リサーチは、DLLハイジャックの手口を分析し、悪意のあるアクターがダイナミック・ライブラリの依存関係を悪用して、正規のアプリケーションで悪意のあるコードを実行させる手口に焦点を当てました。この調査では、Lazarus Group や Tropic Trooper といった国家機関によって支援されたアクターが関与する事例を調査し、回避、永続化、特権の昇格といった使用例を浮き彫りにしました。
-
研究者は、Sparkling Piscesとしても知られる北朝鮮のAPTグループKimsukyに関連する、これまで文書化されていなかった2つのマルウェア・サンプルを特定しました。1つ目の「KLogEXE」は、ユーザの活動を収集し流出させるキーロガーであり、2つ目の「FPSpy」は、データ収集とコマンド実行が可能な高度なバックドアです。両サンプルはコードベースを共有しており、両者の関連を示唆しています。
Check PointのThreat EmulationとHarmony Endpointは、この脅威[APT.Win.Kimsuky; Trojan.Wins.Kimsuky]に対する防御機能を備えています。
-
Microsoftは、Storm-0501脅威グループが、米国のハイブリッドクラウド環境に対して多段階のランサムウェア攻撃を仕掛けていることを発見しました。このグループは、オンプレミスのシステムを侵害し、クラウド環境に横展開し、政府、製造業、運輸業、法律などのセクターにわたって、データの流出、クレデンシャルの盗難、バックドアアクセス、ランサムウェアの展開を引き起こします。