【攻撃の傾向・手法】
Active Kubernetes RCE Attack Relies on Known OpenMetadata Vulns
OpenMetadataのオープンソースメタデータリポジトリの既知の脆弱性は4月初旬から活発に悪用されており、攻撃者がパッチを当てていないKubernetesクラスタに対してリモートでコード実行サイバー攻撃を仕掛けることが可能となっている。
New LockBit Variant Exploits Self-Spreading Features - Infosecurity Magazine
システム管理者のなりすましやネットワーク全体への適応的な自己拡散など、前例のない機能を示しています。 このランサムウェアは、高度な特権を持つドメイン資格情報を利用して、セキュリティ対策を無効にし、ネットワーク共有を暗号化し、イベント ログを消去して自身の動作を隠蔽することもできます。感染した各ホストはさらなる感染の媒介となり、被害者のネットワーク内での影響を増幅させます。
カスタム構成ファイルを使用すると、マルウェアが特定のネットワーク環境に適応し、その有効性と回避性が強化されます。この柔軟性は、漏洩したビルダーの使いやすさと相まって、サイバーセキュリティの専門家にとって大きな課題となります。
ネットワーク貫通型攻撃では、設置された webshell を通じて組織内ネットワークへの侵入が試みられることや他組織への踏み台としての機能が仕組まれることがあります。踏み台のケースにおいては、意図せずに他組織への攻撃活動に加担してしまうことに繋がり、C2 サーバとの通信の中継や攻撃元の隠蔽を目的として利用するケースを確認されている。アドビ社が提供する Adobe ColdFusion の脆弱性 (CVE-2023-29300) を悪用したネットワーク貫通型攻撃による被害を確認しています。国内の複数組織においてこの脆弱性が悪用され、当該装置に webshell が設置されている。
【脆弱性情報】
PAN-OS GlobalProtect の脆弱性 CVE-2024-3400 についてまとめてみた - piyolog
脆弱性が確認されたのはPalo Alto社のFW製品等で稼働するPAN-OS一部バージョンのGlobalProtect機能。攻撃者が脆弱性の存在するFW製品等に対しネットワーク経由でのっとりなど可能となる恐れがあるもので、同社は脆弱性深刻度を最高と評価している。
HotFixが公開済みなので、早期適用が推奨。
AWS, Google, and Azure CLI Tools Could Leak Credentials in Build Logs
アマゾン ウェブ サービス(AWS)と Google Cloud のコマンドライン インターフェース(CLI)ツールがビルド ログ内の機密認証情報を公開し、組織に重大なリスクをもたらす可能性があることが判明しました。
CLI コマンドを使用して、(事前に) 定義された環境変数を表示し、継続的インテグレーションおよび継続的デプロイメント (CI/CD) ログに出力する方法に関係する。
Microsoft とは異なり、Amazon と Google はこれを予期された動作とみなしており、組織が環境変数にシークレットを保存することを回避し、代わりに AWS Secrets Manager や Google Cloud Secret Manager などの専用のシークレット ストア サービスを使用する措置を講じることを要求しています。
【当局関連の動き、法規則等】
Joint Guidance on Deploying AI Systems Securely | CISA
警察庁、サイバー事案通報の統一窓口を設置 | ScanNetSecurity
警察への相談窓口がWeb上に設置。
【調査結果・ベンダーレポート】
日本ではクラウド利用の高まりに応じ、クラウドからのマルウェア配布が増加している~Netskope調査 - INTERNET Watch
「日本では、2024年に入ってから再びクラウドアプリを通じたマルウェア配布が増加している。ドメインブロックリストなどのレガシー型セキュリティツールのレーダーを回避しており、被害を受けやすい」
「日本におけるクラウドテクノロジーの普及と使用が広がるのに伴い、クラウドアプリの悪用が進展することになる。日本企業はクラウドアプリの悪用によるマルウェアの脅威に直面している」
マルウェアの配布元としては、Microsoft OneDriveが、日本および海外で最も多いが、日本ではSharePointやBoxが悪用されるケースが多いことがわかった。
「国家が支援するマルウェアが含まれている。日本が標的型攻撃にさらされていることの証であり、地政学的リスクにも直面している」」」「クラウドアプリからのマルウェアの配布をキャッチする仕組みや、セキュリティポリシーの設定による機微データの漏洩防止、AIツールの活用の最大化など、日本企業は、セキュリティポスチャー(セキュリティに取り組む姿勢)を見直し、適切な防御を講じてほしい」
【セキュリティ対策機器、ツールの紹介記事】
Dark Web Monitoring: What's the Value?
ダークウェブ上での認証情報の売買の状況やランサムウェア集団のブログから自社への脅威動向を探る。
Exchange Online to introduce External Recipient Rate Limit - Microsoft Community Hub
Microsoft will limit Exchange Online bulk emails to fight spam
Microsoft社が、ExchangeOnlineでの外部へのメール送信件数を1日当たり2000人までに制限するとのこと。新規ユーザーは来年1月、既存ユーザーは来年5月以降とのこと。2000以上に送りたい場合には個別にプランに加入する必要あり。
【その他】
Wi-Fi利用時のプライバシー保護「MACアドレスのランダム化」を有効化する【Windows 11】:Tech TIPS - @IT
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート | ScanNetSecurity
「自分の当たり前は、他人の当たり前ではありません。ITリテラシーが低い人の視点や気持ちを知ることが大事だと思います」と述べた。
「まず未然の対策として、インフラの監視やアクター分析、もし自社の偽サイト、フィッシングサイトが作られてしまった時の対応策の整備などが挙げられます。一方、事後の対策としては、利用者がどんな被害を受けてしまったのかを把握し、対応に当たらなければならず、やるべきことは結構多いです」と述べた。さらに、継続的な注意喚起や啓発活動も重要だ。
正直にいうと、クリックした件数や開封率は気にしなくていいと思っています。フィッシングメールは常に来るものです。それが来た時に、組織内に窓口があり、きちんと報告できるのかの訓練を、社内教育の一環として実施してほしい。
「正しいURL、正しいメールアドレスはこうです」と説明し、注意を呼びかけても、攻撃者はそれを踏まえて新たな偽装を試みてくる。従って「これが正しいものです」と呼びかけるのではなく、あらかじめブックマークしておいた正規のサイトからアクセスするよう呼びかけてほしい
