米 CISA、サプライチェーン安全確保ガイダンス発表/Zoom における 3 つの脆弱性/APT41 の新たなサブグループ「Earth Longzhi」 ほか [Scan PREMIUM Monthly Executive Summary 2022年11月度] | ScanNetSecurity
2023.12.12(火)

米 CISA、サプライチェーン安全確保ガイダンス発表/Zoom における 3 つの脆弱性/APT41 の新たなサブグループ「Earth Longzhi」 ほか [Scan PREMIUM Monthly Executive Summary 2022年11月度]

注目のセキュリティ関連のガイドラインが幾つか公開されています。

脆弱性と脅威
「ソフトウェア・サプライチェーンの安全確保に関するカスタマー向けガイダンス」(CISA 、NSA、ODNI)

 大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。
※「●」印は特に重要と分析者が考える事象につけられています。

>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

>>岩井氏 取材記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

【1】前月総括

 連日、熱戦が繰り広げられている FIFA ワールドカップですが、CloudSEK はこれまで確認されている同大会をテーマとした事案を報告しています。代表的なものは、カタールのスタジアム入場の際に提示が必要となるカード「Hayya Card」の偽物の販売です。Telegram 上では、50 ドル~ 150 ドルの価格で販売されていることが確認されており、購入の際には購入者のパスワートのような有効な ID が求められます。詐欺行為は、公式スポンサーに関連するものも報告されています。Crypto.com が FIFA の公式スポンサーであり、Biance がクリスティアーノ・ロナウドと提携して NFT を宣伝していることを利用し、偽のワールドカップコインやワールドカップトークンを販売しているとのことです。また、国際イベントには付きものの DDoS 攻撃に関してですが、一部のハクティビストは、政府機関を含むカタールを拠点とする組織に DDoS 攻撃を仕掛けたと主張しています。基本的には、イベントに乗じた金銭を目的とした犯罪行為を中心とした報告が目立っています。

 11 月に報告されている脅威情報ですが、Broadcom 社 Symantec は、Budworm( APT27 )が米国内の組織を標的とする活動を再開したことを報告しています。同報告によれば、Budworm は過去 6 ヶ月間に中東諸国政府、多国籍電子メーカー、米国の州議会といった戦略的に重要な組織を標的としていたようです。また、同社は Billbug( Lotus Blossom )によるアジア各国の証明書発行機関や政府機関、防衛機関を標的にしたによる活動についても報告しています。

 また、AVAST 社が、今年 9 月に ESET 社が報告した APT グループ「 Worok 」によるステガノグラフィを利用した攻撃報告を基に、追加のアーティファクトをキャプチャし、ESET 社の分析結果を拡張した内容の報告をしています。中国を拠点とする脅威アクターの情報は、その他に TrendMicro 社が APT41 や Mustang Panda の活動を報告しています。全体的に同国を拠点としたサイバー活動は活発である印象を受けますが、その多くは政府機関であるようです。

 一方で、北朝鮮を拠点とする攻撃動向も報告されており、一部は日本の金融機関を騙った攻撃が確認されています。同国の攻撃は外貨獲得を目的とした活動に注目が集まりますが、メールの窃取を目的とした活動も報告されています。

 次にインシデント情報ですが、国内では大阪急性期・総合医療センターがランサムウェア攻撃被害について報じられています。これは、Phobos ランサムギャングによる仕業であるとみられるとのことです。

 一方で、海外ではドイツ銀行のシステム・アクセス権が Telegram 上で売買されていたことが話題となっています。「 0xdump︎ 」と名乗る初期アクセスブローカー( IAB )が、同銀行のシステムをハッキングした本インシデントですが、ドイツ銀行の広報担当者は事案を否定しています。このアクセス権は既に購入者が付いており、興味深いことに、“購入者の要求”により Telegram 上の関連の投稿は削除されています。

 注目のセキュリティ関連のガイドラインが幾つか公開されています。まず、米 CISA、NSA、ODNI は、ソフトウェア・サプライチェーンの安全確保に関する顧客向けガイダンスを発表しています。本ガイドラインは、2020 年に発生した SolarWinds のサプライチェーン攻撃をきっかけとしてホワイトハウスが発表した「国家のサイバーセキュリティの改善に関する大統領令( EO 14028 )」を受けてのものです。脅威シナリオを明記してのガイドラインとなっていますので一読しておくことをお勧めします。

 国内においては、経済産業省が産業制御システムや OT などの工場システムに対するランサムウェア攻撃などのサイバー脅威の高まりを受けて、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を公開しています。セキュリティ対策企画・導入について、想定ゾーンと導入ステップ毎に解説していますので、関連分野に携わる方々は一読しておくことをお勧めします。時間の無い方は、別添のチェックリストで全体像を把握しておくと良いかもしれません。


《株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹》

編集部おすすめの記事

特集

Scan PREMIUM Monthly Executive Summary

脆弱性と脅威 アクセスランキング

  1. Proofpoint Blog 32回「2024年サイバーセキュリティ予想:衝撃に備える」

    Proofpoint Blog 32回「2024年サイバーセキュリティ予想:衝撃に備える」

  2. 女性政治指導者を狙うサイバー攻撃グループ、その新手口

    女性政治指導者を狙うサイバー攻撃グループ、その新手口

  3. トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり

    トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり

  4. FXC 製無線 LAN ルータに OS コマンドインジェクションの脆弱性

  5. オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]

  6. 複数の CODESYS Control 製品に任意の OS コマンドを実行される脆弱性

  7. Ruckus Access Point に XSS の脆弱性

  8. ダイソンなどを騙った複数の偽サイトに注意喚起

  9. Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report)

  10. Sansan、不正ログインに注意呼びかけ ~ 無償提供の二要素認証等促進

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×