100%

サイアカ サイバーセキュリティニュースレター(2024年 6月第2回号)

株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2024年6月第2回目のニュースレターとなります。

1. WordPressプラグインの同時多発改ざん事件、PWリスト攻撃が原因 

WordPress向けの複数プラグインに不正なコードが挿入された問題が発生した。

他ウェブサイトから流出したユーザー名とパスワードを組み合わせたパスワードリスト攻撃が原因で、プラグイン開発者のアカウント5件が不正アクセスを受けた。 攻撃者はこれらの侵害アカウントを通じて悪意のある更新を行い、「BLAZE Retail Widget」などといったプラグインで改ざん被害が発生。

WordPress.orgは、適切な権限設定、定期的な監査、オプトイン機能の活用、強固なパスワード、2要素認証の活用を推奨。 また、アカウントを複数ユーザーで共有する危険性を指摘し、注意を呼びかけている。

 

2. KADOKAWAへのランサム攻撃、「Black Suit」が犯行声明 

6月8日、「ニコニコ」を中心としたサービス群を標的として、KADOKAWAグループのデータセンター内のサーバー(プライベートクラウド)がランサムウェアを含む大規模なサイバー攻撃を受け、ニコニコファミリーのサービス全般以外に、出版事業(製造、物流)、MD(マーチャンダイジング)事業、経理機能などにも重大なシステム障害が発生し、まだ一部しか復旧していない。 情報漏洩の範囲等の状況は調査中であるが、一部個人情報や契約情報などが流失したことが確認された。当初は、データセンター側でプライベートクラウド内のサーバーをシャットダウンする対応を行ったが、攻撃が継続したためサーバーの電源や通信ケーブルを物理的に切断・封鎖する対処を実施し、この対応が後のグループ企業全体でのシステム障害発生につながったとしている。 

6月27日にサイバー犯罪集団「Black Suit」がダークウェイブに犯行声明を公表し、ニコニコ動画などのサービスを含むネットワーク全体を暗号化し、財務データ等幅広い会社のデータ1.5TBを入手したこと、身代金の交渉次第では、7月1日に当該データを公表するとしている。

  • 詳しくは240627_release_z3KYSyvM.pdf (kadokawa.co.jp)
  • 注目ポイント:ランサムウェア攻撃が大企業に深刻な打撃を与えたことを教訓に、サイバー攻撃の防御の強化とともにサイバー攻撃に対するBCPの強化も図られるべきである。

 

3. 国内狙う攻撃キャンペーン「Blotless」 – 再侵入防ぐ対策を

JPCERT C/Cは、国内組織を標的とした「Blotless作戦」の対策を発表した。この攻撃キャンペーンは、現地調達型(Living off the Land: LotL)攻撃を展開し、短期的な調査が難しい特徴を持つ。

2023年から国内で観測されており、海外で報告された「Volt Typhoon」との類似点が多い。「Volt Typhoon」は、政府機関や重要インフラ企業を標的にし、認証情報の窃取を行うが、マルウェアを使用しない点が特徴である。

短期的な対応としては、ドメインコントローラやウェブサーバ、ネットワーク機器、VPN機器のログ調査、「Powershell」の実行内容の調査が推奨されている。 JPCERTは再侵入を防ぐため、中長期的な対策を強調している。

  • 詳しくは Operation Blotless攻撃キャンペーンに関する注意喚起
  • 注目ポイント:最近のトレンドとして、LotL攻撃の増加が顕著であり、従来のマルウェア検出手法では対処が難しい。 このような攻撃に対抗するためには、ログ管理と監視の重要性が高まっている。

 

4.「FileCatalyst Workflow」に深刻な脆弱性 – PoCも公開

Fortraのファイル転送ソリューション「FileCatalyst Workflow」に深刻な脆弱性が発覚した。6月25日にセキュリティアドバイザリが公表され、SQLインジェクションの脆弱性「CVE-2024-5276」が明らかになった。

この脆弱性は「5.1.6 Build 135」および以前のバージョンに影響を及ぼし、匿名アクセスを許可している場合、認証なしでリモートから悪用可能となる。 これにより、データベースの不正操作や管理権限を持つユーザーの作成、データベースの改ざんや削除が可能となる。 CVSSv3.1のベーススコアは9.8で、重要度はクリティカルと評価されている。 PoCも公開されており、迅速な対策が求められている。

 

5.「VMware vCenter Server」に複数の深刻な脆弱性 – 早急に対応を

仮想化環境の管理運用ツール「VMware vCenter Server」に複数の深刻な脆弱性が明らかとなった。 提供元のBroadcomは、これらの脆弱性に対し最も高い重要度「クリティカル(Critical)」と評価し、利用者に迅速な対応を呼びかけている。

6月17日に公開されたセキュリティアドバイザリで、「CVE-2024-37079」「CVE-2024-37080」「CVE-2024-37081」の3件が発表された。このうち、「CVE-2024-37079」と「CVE-2024-37080」は、DCERPCプロトコルの実装に起因するヒープベースのバッファオーバーフローの脆弱性で、細工されたパケットによってリモートからコードが実行される可能性がある。 CVSSv3.1のベーススコアは両方とも9.8である。

  • 詳しくはVMSA-2024-0012: Questions & Answers
  • 注目ポイント:DCERPCプロトコルに関する通信を監視し、異常なパケットが送信されていないかを確認して欲しい。

 

6. Windows環境の「PHP」脆弱性、ランサムの標的に他脆弱性にも注意

「PHP 8.3.8」「PHP 8.2.20」「PHP 8.1.29」で修正された深刻な脆弱性がランサムウェア攻撃に悪用されている。 特に「CVE-2024-4577」はCGIモジュールに存在し、過去の脆弱性「CVE-2012-1823」をバイパスする形でリモートコード実行が可能となる。

Windows環境での利用時に影響を受ける。 この脆弱性は既にWebShellの設置やランサムウェア「TellYouThePass」の感染活動に悪用されていることが確認されている。

  • 詳しくはCVE-2024-4577 Detail
  • 注目ポイント:近年、Webアプリケーションを狙った攻撃が増加しており、特にPHPの脆弱性は攻撃者にとって魅力的な標的である。

 

最後までお読みいただき、有難うございます。

【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係

102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F

TEL 03-6262-0595

info1@cyberprotec.jp

サイバーセキュリティのeラーニング専門アカデミー サイアカ