株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2023年9月第1回目のニュースレターとなります。
1.「Adobe Acrobat/Reader」にゼロデイ脆弱性
Adobeが「Adobe Acrobat」および「Adobe Reader」向けにセキュリティアップデートをリリースした。このアップデートは、ゼロデイの脆弱性「CVE-2023-26369」に対処するもので、この脆弱性を悪用されると任意のコードの実行が可能となる。
CVSSv3.1のベーススコアは「7.8」で「クリティカル」と評価され、実際にこの脆弱性を狙った攻撃が発生していることが明らかにされている。Adobeは最優先でのアップデートを強く推奨している。
- 詳しくは:CVE-2023-26369
- 注目ポイント:社内ネットワーク内の全てのマシンでAdobe製品のバージョンを確認し、最新版に更新する方針を徹底してほしい。
2. Ciscoセキュリティ製品のVPN機能にゼロデイ脆弱性
Cisco SystemsのVPN機能にゼロデイ脆弱性「CVE-2023-20269」が確認され、ランサムウェア攻撃に利用されている。この脆弱性は認証と認可の分離が不適切であることに起因し、ブルートフォース攻撃によりユーザー名とパスワードを特定できる。更に、不正なSSL VPNセッションが可能に。
同社はこの脆弱性の重要度を中と評価している。Rapid7からの報告後、調査が進行中。攻撃者は「Akiraランサムウェア」をネットワークに展開していた。
- 詳しくは:Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Remote Access VPN Unauthorized Access Vulnerability
- 注目ポイント:VPN機能のゼロデイ攻撃に関する記事である。アップデートを随時確認してほしい。
3. アルプスアルパインで一部サーバにランサム攻撃、生産や出荷に影響
アルプスアルパインは、グループで管理する社内サーバがランサムウェアのサイバー攻撃を受けたことを発表。9月10日に攻撃を検知し、現在も一部システムがダウンしている影響で生産や出荷に問題が出ている。
対策としてサーバの停止やネットワークからの隔離を行い、影響範囲の調査を進めている。なお、同社は7月にも攻撃を受け、IDやパスワードなどの情報が窃取されていることが明らかにされている。
- 詳しくは:当社グループが管理するサーバへの不正アクセスについて
- 注目ポイント:7月の攻撃でのデータ漏洩は、今回の攻撃と関連がある可能性も指摘される。二要素認証の導入や、強固なパスワードポリシーの実施が必須である。
4. 「Apache RocketMQ」に対する攻撃が発生
分散型メッセージングプラットフォーム「Apache RocketMQ」に存在するコードインジェクションの脆弱性「CVE-2023-33246」が悪用されている。CISA(アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)がKEV(Known Eploited Vulnerability:悪用が確認されている脆弱性)へと追加した。
この脆弱性は、特定の環境下で外部からコマンドを実行することを可能にしており、NISTによればCVSSv3.1のベーススコアは「9.8」、重要度は「クリティカル」とレーティングされている。影響を受けるのは「同5.1.0」までのバージョンで、修正済みバージョンとして「同5.1.1」「同4.9.6」がリリースされている。この脆弱性の悪用は増加のおそれがあるため、関連機関やユーザーには注意が呼びかけられている。
- 詳しくは: CVE-2023-33246
- 注目ポイント:攻撃者に当該サーバを制御下に置かれる危険性がある。パッチの適用を推奨する。
5. 巧妙なフィッシングキャンペーンが流行中
Agent Tesla、OriginBotnet、RedLine Clipperという3つのマルウェアを悪用して、Windowsマシンから幅広い情報を収集する複雑なフィッシングキャンペーンが流行。フィッシングメールはWord文書を添付ファイルとして配信し、意図的にぼかした画像と偽のreCAPTCHAを提示して受信者を誘う。クリックするとローダが配布され、そのローダはキーロガーやパスワード回収のためのOriginBotnet、暗号通貨の盗難のためのRedLine Clipper、機密情報の収集のためのAgent Teslaを配布する。
ローダはセキュリティソフトウェアの検出を回避するために、バイナリパディングと呼ばれるテクニックを使い、ファイルサイズを400MBまで増加させる技術を利用。この攻撃は、複雑なイベントの連鎖を経て実行され、高度な技術を使って検出を回避し、感染したシステム上で持続性を維持しようとする。
- 詳しくは: Sophisticated Phishing Campaign Deploying Agent Tesla, OriginBotnet, and RedLine Clipper
- 注目ポイント:Agent Tesla、OriginBotnet、RedLine Clipperの3つの異なるマルウェアが組み合わさっており、検知を回避する高度な技術を利用している。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595