株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2024年4月第2回目のニュースレターとなります。
1. 2024年第1四半期のセキュリティ相談増加:不正ログインとサポート詐欺が過去最多に
2024年第1四半期にIPAに寄せられたセキュリティ相談は3225件で、前四半期から1.5%増加し、不正ログインとサポート詐欺の相談が過去最多を記録した。
特にサポート詐欺は、偽の警告画面を使った誘導が主な手口で、1324件から1385件へと増加している。また、広告を悪用した新たな誘導手法も確認された。これにより、ユーザーを誤認させて悪意のあるページに誘導する行為が増えている。
- 詳しくは: 情報セキュリティ安心相談窓口の相談状況[2024年第4四半期(1月~3月)]
- 注目ポイント:新しい広告を悪用した誘導手法が確認されたことは、攻撃者の手口がいかに巧妙化しているかを物語っており、一般ユーザーの意識向上が急務であることを示す。
2. 急増中の脅威:AkiraランサムウェアがVMware ESXiも標的に
「Akira」というランサムウェアがVMware ESXiを含む複数のプラットフォームを標的にして活動を展開しており、これまでに4200万ドルの被害が発生している。
このランサムウェアは、最初はWindowsシステムを標的にしていたが、最近ではLinux向けの亜種「Akira_v2」を使用し、VMware ESXiの仮想マシンを攻撃している。2023年8月以降は、Rustベースの「Megazord」という新型ランサムウェアも使用し、両方のOSに対応した攻撃を同時に行っている。
- 詳しくは: #StopRansomware: Akira Ransomware
- 注目ポイント:ランサムウェア「Akira」が進化を続け、新たなバージョン「Akira_v2」でLinux環境も攻撃するようになった。ESXiは広く使われているため、影響度が大きい事案である。
3. 「Cisco ASA」「FTD」に複数脆弱性 – ゼロデイ攻撃も発生
Ciscoが提供する「Cisco Adaptive Security Appliance Software」と「Cisco Firepower Threat Defense Software」に、複数の脆弱性が存在することが確認された。
特に「CVE-2024-20358」と「CVE-2024-20353」という脆弱性は、それぞれファイルの読み取り検証の不備とHTTPヘッダ解析処理の問題により、高いリスクを持つ。CVE-2024-20358はroot権限で任意のコードを実行可能であり、CVE-2024-20353はDoS攻撃を可能にする。
- 詳しくは:Cisco Adaptive Security Appliance and Firepower Threat Defense Software Web Services Denial of Service Vulnerability
- 注目ポイント:企業にとって即時の対応が求められる重大な課題であるため、攻撃の兆候が無いか確認して欲しい。
4. APT28による長期的なサイバー攻撃活動:GooseEggとWindows脆弱性の悪用
ロシアのサイバースパイ組織「Forest Blizzard」、別名APT28、は2019年4月からマルウェア「GooseEgg」を使用し、Windows印刷スプーラーの脆弱性「CVE-2022-38028」を悪用。
このグループはロシア連邦軍の情報部と関連があり、権限昇格を通じてSYSTEMレベルのアクセスを取得し、ネットワーク内での資格情報窃取や他の攻撃活動を展開している。
攻撃対象にはウクライナを含むヨーロッパ、北米、中東の政府機関、エネルギー、メディア、非政府組織などが含まれる。
- 詳しくは:Analyzing Forest Blizzard’s custom post-compromise tool for exploiting CVE-2022-38028 to obtain credentials
- 注目ポイント:APT28が長期間にわたり特定の脆弱性を活用しており、彼らがどのように戦術を進化させ、対象範囲を拡大しているかを示している。また、幅広いセクターと地域が標的にされているため、このグループの影響力とリーチの広さが浮き彫りになっている。
5. ゴールデンウィーク前のセキュリティ対策:長期休暇に備えた緊急の再確認
ゴールデンウィークの長期休暇を前にして、セキュリティ対策の再確認が求められている。
特に休暇期間中はサーバやネットワーク機器の脆弱性対策とソフトウェア更新が重要であり、リモートアクセスツールやファイル共有ツールのセキュリティチェックが必要。
ランサムウェアの被害防止のためには、オフラインバックアップと緊急対応計画の準備が効果的だ。休暇中のインシデント対応のためには、緊急連絡体制や対応手順の確認と更新が不可欠であり、十分に備えたうえで休暇を取って頂きたい。
- 詳しくは: 長期休暇における情報セキュリティ対策
- 注目ポイント:休暇中は通常の業務が停滞し、セキュリティ対応が遅れがちになるため、休暇前の準備が特に重要だ。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595