【インシデントに関する情報】
・Prudential Financial breached in data theft cyberattack
・Prudential Financial Discloses Data Breach - SecurityWeek
→NW侵害により、従業員と請負業者のデータが漏洩。進行中の調査では、保険会社のネットワーク上の他の情報やシステムへのアクセスの可能性を含め、インシデントの全範囲と影響が評価されています。ただし、現時点では、悪意のある攻撃者が顧客またはクライアントのデータを取得したという兆候はまだ見つかっていません。
・Bank of America warns customers of data breach after vendor hack
・BofA Warns Customers of Data Leak in Third-Party Breach
→バンク・オブ・アメリカは、同社のサービスプロバイダーの1つであるインフォシス・マカミッシュ・システムズ(IMS)が昨年ハッキングされたことを受け、個人情報が流出したデータ侵害について顧客に警告している。合計57,028人が直接影響を受けたことが明らかになった模様。
→Lockbitが攻撃を行った模様。
・委託先2社のアカウントを利用した不正アクセスによる、従業者等の情報漏えいに関するお知らせとお詫び|LINEヤフー株式会社
・LINEの利用者情報など情報漏えい51万件余に拡大 LINEヤフー | NHK | IT・ネット
・LINEヤフー、従業員の個人情報など情報漏えい--2023年の流出受けモニタリング強化中に - CNET Japan
・LINEヤフーへの不正アクセスについてまとめてみた - piyolog
→LINEヤフーは2月14日、第三者による不正アクセスを受け、従業者の個人データなど、5万7611件の情報漏えいが判明したと発表した。情報漏えいは、2023年11月27日に公表した不正アクセス事案とは異なり、モニタリングを強化する中で判明したもの。LINEヤフーと子会社の委託先2社のアカウントが不正に利用され、LINEヤフーのシステムに不正アクセスがあった。
→同日に再発防止策もリリース。
https://ly.swcms.net/ja/ir/news/auto_20240214535931/pdfFile.pdf
【攻撃の傾向・手法】
・Hackers used new Windows Defender zero-day to drop DarkMe malware
・Attackers Exploit Microsoft Security-Bypass Zero-Day Bugs
・DarkMe Malware Targets Traders Using Microsoft SmartScreen Zero-Day Vulnerability
→今月のWindowsセキュリティパッチで回収されているSmartScreenの回避の脆弱性を悪用した手法が確認されている。攻撃者の目標は、ターゲットのトレーダーをだましてソーシャル エンジニアリングを通じて DarkMe マルウェアをインストールさせること。「一か八かの為替取引市場に参加している外国為替トレーダー」を標的とした攻撃に使用され、最終目標はデータ窃盗か、後の段階でのランサムウェアの展開である可能性が高い。
・Ongoing Azure Compromises Target Senior Execs, Microsoft 365 Apps
→ドキュメントでは個別のフィッシングルアーが使用され、多くの場合、悪意のあるフィッシング ページにリダイレクトする埋め込みリンクが使用されます。いずれの場合も、目標は Microsoft 365 ログイン資格情報を取得することです。
→標的とされたアカウントの一部は、アカウント マネージャーや財務マネージャーなどの役職を持つアカウントに属しており、これらは貴重なリソースにアクセスできる可能性が高い、または少なくともチェーンの上位でさらなるなりすましの試みの基盤を提供する可能性が高い種類の中レベルの役職に属しています。他の攻撃は、副社長、CFO、社長、CEO を直接狙っています。
→「My Signins」を通じて、被害者の多要素認証 (MFA) 設定を操作し、検証コードを受信するための独自の認証アプリや電話番号を登録します。また、Exchange Online を介して組織内の横方向の移動も実行し、特に人事情報や財務リソースにアクセスできる人事部門や財務部門の従業員など、特別にターゲットを絞った個人に高度にパーソナライズされたメッセージを送信します
・QR Code Scam: Fake Voicemails Target Users, 1000 Attacks in 14 Days
→Check Point Harmony Email の研究者は、偽のボイスメールを使ったサイバー攻撃が急増していることを発見しました。Hackread.com に共有された同社のレポートによると、サイバー犯罪者は企業の電話システムの電子メール サーバーへのリンクを悪用し、認証情報を収集するためにボイスメールの再生に悪意のあるリンクを埋め込んでいます。
→ビッシング、またはボイス フィッシングには、 電話を使用してユーザーをだまして、口座番号やパスワードなどの財務情報や個人情報を漏らすことが含まれます。詐欺師は、侵害されたアカウントを主張したり、銀行や法執行機関を代表したり、ソフトウェアのインストール支援を提供したりする場合があります。
・Japan sees increased cyberthreats to critical infrastructure, particularly from China
→中国の支援を受けたハッカーが日本の通信事業者、インターネットプロバイダー、その他の重要なインフラをますます標的にしている
【脆弱性情報】
・Adobe Security Bulletin
→Adobe Acrobat Readerにおける脆弱性に関する情報(APSB24-07)が公開されました。脆弱性を悪用したコンテンツをユーザーが開いた場合、任意のコードが実行されるなどの可能性がありま/す。優先度は3。
・New critical Microsoft Outlook RCE bug is trivial to exploit
→Moniker Link と 名付けられたこの脆弱性により、攻撃者は file:// プロトコルを使用し、攻撃者を指す URL に感嘆符を追加することで、電子メールに埋め込まれた悪意のあるリンクに対する Outlook の組み込み保護をバイパスすることができます。
→プレビュー ペインがこのセキュリティ欠陥の攻撃ベクトルであり、悪意を持って作成された Office ドキュメントをプレビューしている場合でも悪用が成功する可能性がある。
・Azureを使う組織は要注意 管理職などを狙うアカウント乗っ取りキャンペーンが進行中:セキュリティニュースアラート - ITmedia エンタープライズ
→このキャンペーンは2023年11月下旬から始まっており、上級管理職を含む全世界のさまざまな職位を持つ個人のAzureのユーザーアカウントが標的になっている。
・2024年1月度 MBSD-SOCの検知傾向トピックス | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
→本脆弱性は1/10(米国時間)に公開されました。認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)となっており、これらが組み合わされて悪用された場合、攻撃者に認証不要で任意のコマンドを実行されてしまう可能性があります。弊社SOCでは、1/17(水)から攻撃を観測しています。1/19(金)~20(土)において攻撃数が急増しました。
【当局関連の動き、法規則等】
・Threat Actor Leverages Compromised Account of Former Employee to Access State Government Organization | CISA
→元従業員のアカウントに不正アクセスを行う手口に対する注意喚起。
・2024年施行予定の「欧州サイバーレジリエンス法案」、日本企業に与える影響の大きさ | LAC WATCH
→欧州サイバーレジリエンス法とはEUで審議されている新しい法律です。「デジタルの要素を持つ製品」のサイバーセキュリティの欠陥からユーザー・消費者を守ることを目的としており、違反した企業には巨額の罰金が科されることがあります。「デジタル要素を持つ全ての製品」で、EU域内で販売されるものを対象とします。「デジタルの要素を持つ製品」のメーカーや開発者に対し、セキュリティ対策を義務付けるものです。
【調査結果・ベンダーレポート】
・サイバー攻撃からの復旧にかかった時間、「2日以上」が6割超 デル調査 - ITmedia NEWS
・NICTER観測レポート2023の公開|2024年|NICT-情報通信研究機構
→1 IPアドレス当たりの年間総観測パケット数は、前年の2022年から更に増加しており、インターネット上を飛び交う探索活動が更に活発化していることが、数字から読み取れます。
→上位10位までのポートが全体に占める割合は、2022年とほぼ同じでしたが、最も多いTelnet (23/TCP)を狙った攻撃が占める割合は若干増加し、2022年の23.0%から27.1%へと推移しました。その他のポート番号宛ての通信については、2022年と比べて多少の順位の入れ替わりはあるものの傾向の大きな変化は見られず、IoT機器が使用する特徴的なポート番号宛ての通信が上位に多く観測される傾向が継続しました。第三者によるインターネットの広域スキャンがますます増加する傾向を観測しています。
・【2024年2月号 (2024年1月分)】暴露型ランサムウェア攻撃統計CIGマンスリーレポート | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
→引き続きLockbitが活発。
・攻撃者がユーザーのログイン情報を窃取して悪用する仕組みについて
→多要素認証、アクセス制御、退職者のアカウント失効等が必要。フィッシングの手口も多様化している。
・New Security Advisory Tab Added to the Microsoft Security Update Guide | MSRC Blog | Microsoft Security Response Center
【コラム系】
・Contiの解析から判明した“攻撃者エコシステムの実態”と“EDRの限界”:Itmedia Security Week 2023秋 イベントレポート(1/2 ページ) - ITmedia エンタープライズ
→EDRいれてもいたちごっこ。
【その他】
・業務でAWSを利用する時に知っておくべきポイント10選 #AWS - Qiita
・「セキュリティ技術者の“思考”を覗く」~ SHIFT SECURITY、17種類のサイバー攻撃の解説と対策資料公開 | ScanNetSecurity
・フィッシングサイトや偽サイトの注意喚起で載せる例示用ドメインについて知っておいてほしいコト - にゃん☆たくのひとりごと
・Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識 - Speaker Deck
