GIFShell 攻撃 EDR回避か/米が中国攻撃時に京大を踏み台と報道/今後必要な Lazarus対策 ほか [Scan PREMIUM Monthly Executive Summary 2022年9月度] | ScanNetSecurity
2024.04.15(月)

GIFShell 攻撃 EDR回避か/米が中国攻撃時に京大を踏み台と報道/今後必要な Lazarus対策 ほか [Scan PREMIUM Monthly Executive Summary 2022年9月度]

米国の NGO 団体であるフリーダム・ハウスは、中国のメディア影響力を調査した「Beijing’s Global Media Influence 2022」を公開しています。

脆弱性と脅威
「Beijing’s Global Media Influence 2022」FreedomHouse.org

 大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。
※「●」印は特に重要な事象につけられています。

>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

>>岩井氏 取材記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【1】前月総括

 先月は、ロシアのハクティビスト「KillNet」とその関連グループによる日本組織への DDoS 攻撃の話題で持ち切りでした。ロシアによるウクライナ侵攻直後はいた、初期の KillNet メンバーはめっきり活動が見えなくなりましたが、その勢力は特殊作戦チームを設立するまでになっているようです。一部のチームは、採用内容によれば、プログラマやペンテスターを募集していますので、今後は DDoS だけでなく、システムへの侵入行為(ランサムを含む)を含めての活動となるのかもしれません。

 安全保障関係では、バイデン米政権が提唱する新経済圏構想「インド太平洋経済枠組み(IPEF)」の閣僚級会合が 9 月 8 日開催され、日本を含む全 14 カ国が参加する形で正式に交渉開始が決定されています。同枠組みでは、「IPEF アップスキリング・イニシアティブ」も公表されており、今後 10 年間で、IPEF の新興経済国および中所得国のパートナーの女性に、データサイエンス、サイバーセキュリティ、AI、ロボット工学などの訓練・教育の機会を提供するとのことです。サイバー領域における脅威に対し、IPEF 内で連携し、サイバー攻撃や虚偽情報へ対処していくということなのでしょう。

 脅威動向ですが、国家コンピュータウイルス緊急対応センター(NCERT)と中国の 360社は西北工業大学へのサイバー攻撃に、米国国家安全保障局が関与していることを発表しました。9 月 27 日には第二弾のレポートが報告され、日本の京都大学のプロキシサーバなどが踏み台となっていたことを指摘しています。この報道は、これまでの米国による「Name and Shame(名指し非難)」への対抗処置とみられ、中国の国営メディアを含め、複数社が一斉に報じています。ただし、公開された内容だけでの判断は情報が不足している印象を受けるものでした。

 北朝鮮の脅威アクターの動向ですが、非常に活発なものとなっています。韓国では、8 月 22 日から 9 月 1 日まで実施された米韓の合同軍事演習「自由の盾」の期間中に、朝鮮人民軍傘下の Kimsuky による攻撃が複数確認されたことが報じられています。日本国内においては、Lazarus( APT38 )が VMware Horizon サーバー上の Log4j の脆弱性を悪用した攻撃報告や、大手銀行を偽装した攻撃などが確認されています。

 気になる脆弱性関連ですが、セキュリティ研究者の Bobby Rauch 氏( @bobbyrsec )が、Microsoft Teams に存在する複数の脆弱性と GIF を利用することで、悪意あるファイルやコマンドの配信や C2 通信を実行する攻撃手法「GIFShell」を公開しています。リモートワーク全盛だからこそ気になる報告です。

 また、大型のインシデント情報として、米ライドシェア大手の Uber Technologies(以降、Uber )が、自称 18 歳のハッカーによる主張を受けて、同社に対するサイバー攻撃の被害が発生したことを発表しています。Uber の説明によれば、Uber EXT の契約者のアカウントが侵害を受けたことが最初の攻撃だったとし、攻撃者はダークウェブから契約者の Uber コーポレートパスワードを購入したと推測しているといいます。そして、最終的に契約者の二要素認証を突破し、ログインに成功したといいます。現状では、推測以上の情報は公開されておらず、続報が待たれます。

 興味深い研究レポートとして、米ジョージタウン大学が、中国人民解放軍や民間のセキュリティベンダー、研究機関で構成されたサイバーセキュリティ・チームが活用するサイバーレンジに関する調査レポートを公開しました。同レポートによれば、単なるサイバー演習だけではなく、重要インフラシステムを攻撃・防御する演習を行うことが可能な施設や、産業制御システムに関する演習ができるとのことです。また、AI を活用した攻撃・防御の研究なども実施されているとのことです。

 最後に、米国の NGO 団体であるフリーダム・ハウスは、中国のメディア影響力を調査した「Beijing’s Global Media Influence 2022」を公開しています。同レポートでは、伝統的、秘密的、強制的な戦術の組み合わせにより、外国の報道発信地とニュース消費者に影響を与える中国共産党のグローバルキャンペーンの動向を分析しています。同研究では、調査対象国におけるメディアの独立性の回復力を評価しており、最も中国メディアの影響を受けているのは台湾としながらも、最も回復力のあるのも台湾であると評価していました。この回復力に関しては、日本も見習うべきところが多いように思います。


《株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹》

編集部おすすめの記事

特集

Scan PREMIUM Monthly Executive Summary

脆弱性と脅威 アクセスランキング

  1. WordPress 用プラグイン Ninja Forms に複数の脆弱性

    WordPress 用プラグイン Ninja Forms に複数の脆弱性

  2. 「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

    「Pokemon GO」で身元バレの可能性、個人情報の管理に注意

  3. サポート詐欺や三菱UFJ銀行を騙るフィッシングメールに注意を呼びかけ

    サポート詐欺や三菱UFJ銀行を騙るフィッシングメールに注意を呼びかけ

  4. NEC Aterm シリーズに複数の脆弱性

  5. ゲーム配信サイトGOG.com、「サイバーパンク2077」海賊版や不正購入のゲームキーに注意喚起

  6. Apache HTTP Server 2.4 に複数の脆弱性

  7. JINS MEME CORE にハードコードされた暗号鍵の使用の脆弱性

  8. スマートフォンアプリ「Yahoo! JAPAN」にXSSの脆弱性

  9. 観光庁が注意喚起、Booking.com 利用者へのフィッシング被害

  10. Windows 11のスクリーンショット、黒塗りを復元できる可能性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×