チェック・ポイント・リサーチ・チームによる2024年4月25日における週次のサイバーセキュリティ脅威レポートの抄訳です

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• 日本の光学機器大手HOYAがランサムウェア攻撃の被害に遭い、主要なITインフラと様々な事業部門が影響を受けました。この攻撃はHunters Internationalというランサムウェア集団が行ったもので、盗まれた170万のファイルに対して1000万ドルの身代金を要求しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威に対する防御機能を備えています。

• フランスのサッカークラブ、パリ・サンジェルマン（PSG）が、水曜日のチャンピオンズリーグの試合前に、チケット発券システムに影響を与えるサイバー攻撃の被害にあいました。侵害されたシステムには、名前、電子メール、電話番号、IBAN番号の下3桁など、ファンの機密データが含まれていました。

• Royalランサムウェア・グループのリブランドであるBlackSuitランサムウェア・ギャングは、米オクラホマ州エイダのイーストセントラル大学（ECU）と非営利医療サービス・プロバイダのGroup Health Cooperative of South Central Wisconsin（GHC-SCW）に対する2つのサイバー攻撃の犯行声明を出しました。この脅威アクターは、ECUの様々なキャンパスコンピュータやGHC-SCWの保護された医療情報（PHI）に影響を与えるファイルサーバを攻撃し、暗号化しました。

Check PointのHarmony EndpointとThreat Emulationは、この脅威[Ransomware.Wins.Royal.ta.*; Ransomware.Win.Royal]に対する防御機能を備えています。

• Medusaランサムウェアグループは、米国の皮膚科クリニックPaducah Dermatology PLLCとテキサス州の政府機関Tarrant County Appraisal District (TAD)への2つのサイバー攻撃の犯行声明を出しました。このグループは、盗まれたとされる個人データの削除するため、被害者それぞれに10万BTCの身代金を要求しました。

• AT&Tは、約5100万人の元顧客および現顧客の個人情報が流出したことを確認しました。流出したデータベースには、氏名、自宅住所、電子メールアドレス、電話番号、社会保障番号、AT&Tアカウント番号、AT&Tパスコードが含まれる可能性があります。

• モバイルガジェットとバッグのメーカーであるTargusは、複数のファイルシステムに不正アクセスされるサイバー攻撃を受け、予防措置としてネットワークの一部をシャットダウンしました。盗まれたデータの内容はまだ確認されていません。

• 英国の動物病院サービスプロバイダーであるCVSグループは、ITシステムへの外部からの不正アクセスにより、個人情報に影響を与えるサイバー攻撃を受けました。CVSグループは予防措置としてITシステムをオフラインにし、業務に影響を与えました。

脆弱性及びパッチについて

• Microsoftの2024年4月のパッチチューズデーは、149件の脆弱性を修正しました。そのうちの1件は、深刻度がクリティカルと評価されたAzure Kubernetes Service Confidential Containers（AKSCC）のEoP脆弱性（CVE-2024-29990）であり、2件は積極的に悪用されているゼロデイです。最初のもの（CVE-2024-26234）は、プロキシドライバのなりすましの欠陥であり、2つ目（CVE-2024-29988）は、攻撃者が特別に細工されたファイルを開くことによってMicrosoft Defender Smartscreenをバイパスすることを可能にするSmartScreenプロンプトのセキュリティ機能バイパスの欠陥です。

Check PointのIPSブレードは、この脅威[Microsoft Proxy Driver Spoofing (CVE-2024-26234)]に対する防御機能を備えています。

• D-Link NAS デバイスの 2 つの重大な脆弱性 (CVE-2024-3272 および CVE-2024-3273) が積極的に悪用されていることが明らかになりました。 netsecfishによって最初に報告され、D-Link によって公開されたこれらの脆弱性により、ハードコードされた資格情報の漏洩とコマンド インジェクションが可能になります。 94,000台 を超えるユニットがインターネットに公開されており、攻撃は主に中国から発生しています。

Check PointのIPSは、この脅威[D-Link DNS Command Injection (CVE-2024-3273)]に対する防御機能を備えています。

• Citrix社は、XenServerおよびCitrix Hypervisorの2つの脆弱性（CVE-2024-2201およびCVE-2024-31142）に対応するセキュリティアップデートをリリースしました。この脆弱性の悪用に成功すると、悪意のある非特権コードがゲストVM内の自分自身または同じホスト上の他のVMに属するメモリの内容を推測することが可能になります。さらに、ゲスト VM 内で実行されている悪意のある特権コードにより、ホストをクラッシュさせる可能性のある問題 (CVE-2023-46842) も発見されています。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、2024年3月に発表した「Most Wanted Malware」レポートにおいて、一般的なセキュリティ対策を回避して被害者の端末に不正アクセスする「Remcos RAT」の新たな手口を紹介しています。また、最も悪用されているランサムウェア・グループのトップ3には Blackbasta が初めてランクインし、最も悪用されている業種では通信業が3位に躍進しています。

• チェック・ポイント・リサーチは、2024年第1四半期の世界のサイバーセキュリティ動向に関する見解を発表しました。その中で、1組織当たりのサイバー攻撃の平均件数は、2023年第1四半期と比較して28%増加していることが確認されました。20％減少したラテンアメリカとは対照的に、アフリカ地域ではサイバー攻撃が顕著に20％増加しています。さらに、ハードウェアベンダ業界ではサイバー攻撃が37％増加し、教育／研究、政府／軍事、ヘルスケアの各セクターも依然として最も標的とされています。

• 研究者らは、APAC地域で数年にわたりテクノロジーおよび政府部門を標的に活動を続けているサイバースパイ活動家であるEarth Hundunが使用する2つのマルウェア・ファミリーの詳細な分析を提供しています。その主なツールの1つがWaterbearで、検知や解析の可能性を最小限に抑えるため、いくつかの回避メカニズムを用いた複雑さで知られています。