株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年7月第2回目のニュースレターとなります。
1. 米当局、悪用済み脆弱性リストに5件を追加
米国のCISAは、5つの脆弱性を「悪用が確認された脆弱性カタログ(KEV)」に追加した。積極的な悪用が確認されているとして、CISAが同リストへ脆弱性を追加したもの。追加された脆弱性そのものは広く悪用される可能性があり、製品を利用するすべての組織に注意が呼びかけられている。
追加された脆弱性は、「NetScaler ADC」「NetScaler Gateway」「Adobe ColdFusion」「Ivanti Endpoint Manager Mobile(EPMM)」およびAppleのカーネルで確認され、これら全てで悪用の可能性があり、アップデートが提供されている。
- 詳しくは: CISA:Known Exploited Vulnerabilities Catalog
- 注目ポイント:CISAから発表された脆弱性について、該当する製品を使用している企業は速やかにアップデートを適用すること。
2. IvantiのMDM製品に脆弱性、ゼロデイ攻撃も発生
上記のCISAにおいて脆弱性カタログに追加された5つの脆弱性の中で、特に重要とおもわれるIvantiのモバイルデバイス管理ソリューション「Ivanti Endpoint Manager Mobile(EPMM)」の脆弱性(CVE-2023-35078)については、最高値のCVSSv3ベーススコア「10」を持ち、全バージョンのEPMMが影響を受ける。
攻撃者は認証なしでAPIにアクセスし、ユーザーデータを窃取したり、システムを改ざんしたりできる。既に悪用事例があり、Ivantiは修正パッチの適用を強く推奨している。
- 詳しくは:Ivanti:CVE-2023-35078
- 注目ポイント:CVSSv3のベーススコアが最高値の10を記録している深刻な脆弱性が発見された。Ivantiから提供されているパッチを直ちに適用し、脆弱性を修正してほしい。
3. 「社労夢」へのサイバー攻撃、「マイナンバー」への影響否定
社労士事務所や人事労務部門向けサービス「社労夢」がランサムウェア攻撃を受け、システムが停止したことを受け、エムケイシステムは調査を行い、侵入経路や影響を受けたサーバ、可能性のある情報流出の範囲を特定した。
データが摂取された可能性はあるが、外部へ転送された痕跡は無く、「マイナンバー」を取り扱うシステムにも影響は無いと発表した。
- 詳しくは:エムケイシステムリリース
- 注目ポイント:今回のランサムウェア攻撃に対して、高度な暗号化処理により、「マイナンバー」情報が保護された。しかし、全体の侵害範囲と具体的な外部侵入経路がまだ詳細に公開されていないことから、今後の続報が待たれる。
4. Ciscoの「SD-WAN」管理製品に深刻な脆弱性
Ciscoの「SD-WAN vManage」のREST APIに深刻な脆弱性「CVE-2023-20214」が確認された。これにより、認証なしでインスタンスの構成情報を読み書きできる可能性がある。
影響はREST APIに限定されており、現時点では悪用は確認されていない。CVSSv3.1のベーススコアで9.1の評価を受けた。
Ciscoは修正版をリリースしてアップデートを呼びかけている。
- 詳しくは:Cisco SD-WAN vManage Unauthenticated REST API Access Vulnerability
- 注目ポイント:CiscoのSD-WANの脆弱性はデータ漏洩、ネットワーク制御の喪失など多岐にわたる。迅速なアップデートを推奨する。
5. 海賊版ソフトウェアを通じて拡散する AsyncRAT マルウェアの新しい亜種
Avastによると、新たなAsyncRATマルウェア(リモートアクセス型トロイの木馬)の亜種であるHotRatが、人気ソフトウェアの海賊版を通じて配布されている。 HotRatは、ログイン認証情報や仮想通貨ウォレットの盗難、スクリーンキャプチャ、キーロギング、さらなるマルウェアのインストール、クリップボードデータへのアクセスや改変など、攻撃者に多様な機能を提供する。
感染は2022年10月以降に確認され、タイ、ガイアナ、リビアなどの新興国に集中しているという。
- 詳しくは: HotRat: New Variant of AsyncRAT Malware Spreading Through Pirated Software
- 注目ポイント:注目すべきは、HotRatの持つ複雑性と拡張性であり、約20のコマンドを持ち、それぞれがリモートサーバから取得した.NETモジュールを実行する。信頼性の高いソースからのみソフトウェアをダウンロードし、海賊版ソフトウェアの利用は避けるべきである。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595