株式会社サイバープロテックのサイバーセキュリティアカデミー(サイアカ)より、サイバーセキュリティに関する最近のインシデントや最新の動向などの情報をシェアする目的で毎月2回程度ニュースレターを発信させていただきます。今回が2024年8月第1回目のニュースレターとなります。
1. KADOKAWA、2025年3月期でサイバー攻撃による損失100億円の見込み
KADOKAWAは、8月14日に、2025年3月期の連結業績予想について、2024年6月に発覚したデータセンターのサーバへの大規模サイバー攻撃による 同期の売上高の減少影響は84億円、営業利益の減少影響は64億円とし、特別損失に36億円を計上する修正を行ったことを公表した。
当該サイバー攻撃による利益への影響額は機会損失も含め、税引前で合計100億円となる。
- 詳しくは:https://ssl4.eir-parts.net/doc/9468/tdnet/2493143/00.pdf
- 注目ポイント:日本におけるサイバー攻撃による損失としては最大級のものとおもわれる。これを教訓に他社においてもサイバー攻撃に対するセキュリティ強化が求められる。
2. 脆弱性「CVE-2024-37085」が世界中のVMware ESXiに影響を及ぼす
「VMware ESXi」(一台の物理的なコンピュータを複数の仮想的なコンピュータに分割するソフトウェア)の脆弱性「CVE-2024-37085」は、世界中で2万台以上のインスタンスに影響を及ぼしている。特に、ドメインに参加するESXiにおいて、認証バイパスが可能となる点が問題である。脆弱性の悪用にはActive Directoryの権限が必要だが、一度悪用されると甚大な被害を招く可能性がある。
2024年初頭からランサムウェア攻撃に利用されており、CISAは警戒を呼びかけている。日本でも148台の脆弱なインスタンスが確認されており、対策が急務である。
- 詳しくは:CVE-2024-37085 Detail
- 注目ポイント:VMware ESXiを使用しているシステム管理者は、直ちに最新のセキュリティパッチを適用し、Active Directoryのアクセス権限を見直す必要がある。
3. 既知脆弱性を使った台湾を狙うサイバー攻撃
2018年に修正された「Microsoft COM for Windows」の脆弱性「CVE-2018-0824」が、台湾の政府系研究機関を狙ったサイバー攻撃で悪用されていたことが判明した。攻撃には「ShadowPad」や「Cobalt Strike」といったマルウェアが使用され、攻撃グループ「APT41」の関与が疑われている。
この脆弱性は、異なるプログラム間のオブジェクト交換を可能にする「Microsoft COM」に存在し、リモートからのコード実行を可能にする。今回の攻撃では、特に権限昇格に利用されており、CISAはこの脆弱性を悪用された脆弱性カタログに追加した。
- 詳しくは:「Microsoft COM」既知脆弱性に悪用報告 – 台湾狙う攻撃に使用
- 注目ポイント:APTグループによる高度な攻撃では、過去に修正された脆弱性が再び悪用されるケースが増加しており、継続的な脆弱性管理とインシデント対応の強化が求められる。
4. Linuxカーネル脆弱性の攻撃成功率を飛躍的に高める新手法「SLUBStick」発表
セキュリティ研究者は、新たなLinuxカーネルの脆弱性攻撃手法「SLUBStick」を発表した。この手法は、従来の「クロスキャッシュ攻撃」の成功率を劇的に向上させるものである。「SLUBStick」は、Linuxカーネルのメモリアロケータ「SLUB」に対するサイドチャネル攻撃を利用し、攻撃成功率を99%以上に引き上げることに成功している。
研究者は、既知の複数の脆弱性を利用して実証を行い、KASLRなどのカーネル防御策を回避できることを確認した。この攻撃手法により、サービス拒否にとどまらず、権限昇格やコンテナの制限回避が可能となる。
●詳しくは:SLUBStick: Arbitrary Memory Writes through Practical Software Cross-Cache
Attacks within the Linux Kernel
●注目ポイント:Linuxカーネルに対する攻撃が高度化しており、特にサイドチャネル攻撃を利用した手法が注目されている。セキュリティ研究の進展が、現実世界での攻撃手法の高度化につながっている側面もある。
5. VPN脆弱性を悪用したランサム攻撃でオイレス工業が被害
オイレス工業は、ランサムウェアによるサイバー攻撃を受け、同社のサーバが暗号化される被害が発生したと発表した。調査の結果、攻撃者は同社グループ内のVPNに存在する脆弱性を悪用して侵入したことが判明。幸いにも、顧客に関するデータの流出は確認されておらず、外部での情報流通も見られなかった。
同社はマルウェアの除去を完了し、EDRの導入など再発防止策を強化している。生産活動や出荷業務には影響がなく、通常通りの業務を継続している。
- 詳しくは:当社サーバーへの不正アクセスに関するお知らせ(最終報)
- 注目ポイント:適切なデータバックアップとゼロトラストアーキテクチャの導入がランサムウェア攻撃に対する有力な手段である
6. CISA、7月に14件の新たな脆弱性を「悪用が確認された脆弱性カタログ」に追加
CISAは、7月に「悪用が確認された脆弱性カタログ(KEV)」へ14件の脆弱性を追加した。これには、2024年初めより悪用が確認されている「VMware ESXi」の脆弱性「CVE-2024-37085」や、2013年にゼロデイ攻撃が発見された「Internet Explorer」の「CVE-2012-4792」などが含まれている。
特に「Internet Explorer」の脆弱性はサポート終了後も影響が残っており、最新の「Windows 11」にも関連する脆弱性「CVE-2024-38112」が報告されている。8月以降も新たな脆弱性が登録されており、警戒が必要だ。
- 詳しくは: Known Exploited Vulnerabilities Catalog
- 注目ポイント:脆弱性管理の重要性が一層高まっており、特にサポートが終了したソフトウェアに対する脆弱性の悪用が依然としてリスクとなっている。最新のシステムであっても、過去のコンポーネントに依存する場合があり、その影響が残存することがあるため、セキュリティ対策の継続的な強化が必要である。ゼロデイ攻撃の増加もあり、迅速な対応が求められる。
最後までお読みいただき、有難うございます。
【お問い合わせ窓口】
株式会社 サイバープロテック ニュース編集係
102-0074 東京都千代田区九段南1―5-6 りそな九段ビル5F
TEL 03-6262-0595