大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。
※「●」印は特に重要と分析者が考える事象につけられています。
>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針
>>岩井氏 取材記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」
【1】前月総括
連日、熱戦が繰り広げられている FIFA ワールドカップですが、CloudSEK はこれまで確認されている同大会をテーマとした事案を報告しています。代表的なものは、カタールのスタジアム入場の際に提示が必要となるカード「Hayya Card」の偽物の販売です。Telegram 上では、50 ドル~ 150 ドルの価格で販売されていることが確認されており、購入の際には購入者のパスワートのような有効な ID が求められます。詐欺行為は、公式スポンサーに関連するものも報告されています。Crypto.com が FIFA の公式スポンサーであり、Biance がクリスティアーノ・ロナウドと提携して NFT を宣伝していることを利用し、偽のワールドカップコインやワールドカップトークンを販売しているとのことです。また、国際イベントには付きものの DDoS 攻撃に関してですが、一部のハクティビストは、政府機関を含むカタールを拠点とする組織に DDoS 攻撃を仕掛けたと主張しています。基本的には、イベントに乗じた金銭を目的とした犯罪行為を中心とした報告が目立っています。
11 月に報告されている脅威情報ですが、Broadcom 社 Symantec は、Budworm( APT27 )が米国内の組織を標的とする活動を再開したことを報告しています。同報告によれば、Budworm は過去 6 ヶ月間に中東諸国政府、多国籍電子メーカー、米国の州議会といった戦略的に重要な組織を標的としていたようです。また、同社は Billbug( Lotus Blossom )によるアジア各国の証明書発行機関や政府機関、防衛機関を標的にしたによる活動についても報告しています。
また、AVAST 社が、今年 9 月に ESET 社が報告した APT グループ「 Worok 」によるステガノグラフィを利用した攻撃報告を基に、追加のアーティファクトをキャプチャし、ESET 社の分析結果を拡張した内容の報告をしています。中国を拠点とする脅威アクターの情報は、その他に TrendMicro 社が APT41 や Mustang Panda の活動を報告しています。全体的に同国を拠点としたサイバー活動は活発である印象を受けますが、その多くは政府機関であるようです。
一方で、北朝鮮を拠点とする攻撃動向も報告されており、一部は日本の金融機関を騙った攻撃が確認されています。同国の攻撃は外貨獲得を目的とした活動に注目が集まりますが、メールの窃取を目的とした活動も報告されています。
次にインシデント情報ですが、国内では大阪急性期・総合医療センターがランサムウェア攻撃被害について報じられています。これは、Phobos ランサムギャングによる仕業であるとみられるとのことです。
一方で、海外ではドイツ銀行のシステム・アクセス権が Telegram 上で売買されていたことが話題となっています。「 0xdump︎ 」と名乗る初期アクセスブローカー( IAB )が、同銀行のシステムをハッキングした本インシデントですが、ドイツ銀行の広報担当者は事案を否定しています。このアクセス権は既に購入者が付いており、興味深いことに、“購入者の要求”により Telegram 上の関連の投稿は削除されています。
注目のセキュリティ関連のガイドラインが幾つか公開されています。まず、米 CISA、NSA、ODNI は、ソフトウェア・サプライチェーンの安全確保に関する顧客向けガイダンスを発表しています。本ガイドラインは、2020 年に発生した SolarWinds のサプライチェーン攻撃をきっかけとしてホワイトハウスが発表した「国家のサイバーセキュリティの改善に関する大統領令( EO 14028 )」を受けてのものです。脅威シナリオを明記してのガイドラインとなっていますので一読しておくことをお勧めします。
国内においては、経済産業省が産業制御システムや OT などの工場システムに対するランサムウェア攻撃などのサイバー脅威の高まりを受けて、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を公開しています。セキュリティ対策企画・導入について、想定ゾーンと導入ステップ毎に解説していますので、関連分野に携わる方々は一読しておくことをお勧めします。時間の無い方は、別添のチェックリストで全体像を把握しておくと良いかもしれません。
![中国の攻撃者が好む脆弱性一覧/カタール政府特製マルウェア/権威主義国家の米選挙“政治利用” ほか [Scan PREMIUM Monthly Executive Summary 2022年10月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/39660.jpg)
![AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/44553.jpg)
![北 運営管理の賭博サイト/露 GPSスプーフィングで飛行妨害/安洵信息技術有限公司 社内情報流出 ほか [Scan PREMIUM Monthly Executive Summary 2024年2月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/44242.jpg)
![レバノン首都国際空港にハッキング/米国証券取引委員会の X アカウント乗っ取り/SharePoint 脆弱性悪用 ほか [Scan PREMIUM Monthly Executive Summary 2024年1月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/43938.jpg)
![NASA 宇宙サイバーセキュリティガイド/ウクライナ 対露サイバー攻撃実施発表 ほか [Scan PREMIUM Monthly Executive Summary 2023年12月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/43705.jpg)
![オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/43394.jpg)
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/43329.jpg)
![反社と会社 ランサム共謀/ENISA 年次報告/東大教員 講演依頼 ほか [Scan PREMIUM Monthly Executive Summary 2023年10月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/43178.jpg)
![脅威アクターインタビュー/「五毒」を標的に/ネットワーク機器も監視対象に ほか [Scan PREMIUM Monthly Executive Summary 2023年9月度]](/imgs/p/U2LJXeJbJ084VMuUElAEPG8JUgdcBQQDAgEA/42910.jpg)
