2023年12月はセキュリティ運用サービスを提供させていただいているお客様で以下のようなインシデントがありました。
特に印象的だったインシデントは、インターネットからお客様端末に対してのブルートフォースです。
当該端末の(おそらく)445番ポートが何らかの理由でインターネット上に露出しておりNTLM認証を繰り返す攻撃を受けていました。
事象発生当時のEDRの記録を確認すると、端末に直接パブリックIPが割り当てられていた事から
等が考えられます。
この場合、外部からの通信に対する防御はパーソナルファイアウォール依存となってしまいます。
特にWindowsの場合はパーソナルファイアウォールをユーザが無効にしたり意図せず許可設定が入ってしまいやすいためActive Directoryで制御する等の対策を講じる必要があると考えられます。
本脆弱性は12月11日に報告された新しい脆弱性ですが、当SOCで監視しているIPS機器にて早速検知されていましたのでIoC情報を示します。
当SOCで検知した範囲では以下のIPアドレスから攻撃が行われていました。
85[.]209.11.108
91[.]92.251.220
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2023年12月に追加されたものを抽出しました。
悪用が確認されている事から緊急性の高い脆弱性と考えられる一方で日本国内では採用が稀なソフトウェアが多いため、JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2023-42917 | Apple | Multiple Products | Apple Multiple Products WebKit Memory Corruption Vulnerability | |
| CVE-2023-42916 | Apple | Multiple Products | Apple Multiple Products WebKit Out-of-Bounds Read Vulnerability | |
| CVE-2023-49897 | FXC | AE1021, AE1021PE | FXC AE1021, AE1021PE OS Command Injection Vulnerability | |
| CVE-2023-41266 | Qlik | Sense | Qlik Sense Path Traversal Vulnerability | |
| CVE-2023-41265 | Qlik | Sense | Qlik Sense HTTP Tunneling Vulnerability | |
| CVE-2023-47565 | QNAP | VioStor NVR | QNAP VioStor NVR OS Command Injection Vulnerability | |
| CVE-2023-33107 | Qualcomm | Multiple Chipsets | Qualcomm Multiple Chipsets Integer Overflow Vulnerability | |
| CVE-2023-33106 | Qualcomm | Multiple Chipsets | Qualcomm Multiple Chipsets Use of Out-of-Range Pointer Offset Vulnerability | |
| CVE-2023-33063 | Qualcomm | Multiple Chipsets | Qualcomm Multiple Chipsets Use-After-Free Vulnerability | |
| CVE-2022-22071 | Qualcomm | Multiple Chipsets | Qualcomm Multiple Chipsets Use-After-Free Vulnerability | |
| CVE-2023-6448 | Unitronics | Vision PLC and HMI | Unitronics Vision PLC and HMI Insecure Default Password Vulnerability |
今月はKVEに掲載されたものの中で日本国内の主要組織からも併せて注意喚起がなされているものはありませんでした。
12月時点ではKVEに記載されていなかったものの、警戒すべき脆弱性があったため以下に示します。
Ivanti社のモバイル管理製品Avalancheにリモートコード実行に至る複数の深刻な脆弱性が見つかっています。
具体的なCVEは次の通りです。
CVE-2023-41727,CVE-2023-46216,CVE-2023-46217,CVE-2023-46220,CVE-2023-46221,CVE-2023-46222,CVE-2023-46223,CVE-2023-46224,CVE-2023-46225,CVE-2023-46257,CVE-2023-46258,CVE-2023-46259,CVE-2023-46260,CVE-2023-46261,CVE-2023-46262,CVE-2023-46266,CVE-2023-46263,CVE-2021-22962,CVE-2023-46264,CVE-2023-46265,CVE-2023-46803,CVE-2023-46804
モバイルデバイスの管理にAvalancheを利用している場合はバージョン(6.3.4.153以前が対象)を確認の上、更新を検討してください。
Avalancheは度々脆弱性が発見され、悪用されています。
当月に日本国内で発生したセキュリティインシデントをリストアップしました。
実際は他にも多くのインシデントが発生していますが、話題性のあったものを中心に取り上げています。
| 公表日 | 発生日 | 発生組織 | 概要 | 内容 |
|---|---|---|---|---|
| 2023/12/5 | 2017年4月~2021年11月 | 電子部品メーカーA | 機密情報漏えい | 同社に勤務していた従業員(中国籍)が転職にあたり機密情報を私物のHDDにコピーして持ち出した。 |
| 2023/12/7 | 2022年9月~2023年10月 | システムベンダS | 個人情報等漏えい | 同社が提供する位置情報共有アプリは家族や友人に対して自分の位置を共有するアプリだったが、位置情報、チャット等が第三者からも閲覧できる状態だった。 |
| 2023/12/21 | 2017年3月~2023年11月 | スマートフォンアプリ事業者A | 機密情報漏えい | 同社がGoogleドライブに保存していたファイルの共有設定に誤りがありリンクを知っていれば誰でも参照できる状態になっていた。 この影響で同社のサービスやアプリを利用した事があるユーザの個人情報約93万件を含む機密情報が漏えいした可能性がある。 |
Googleドライブに限らずクラウドサービスのセキュリティ設定を誤り意図せず機密情報が公開されたり、攻撃者の侵入経路になってしまう事例が以前から度々発生していますのでクラウドサービスの設定は充分に注意して行う必要があります。
設定が適切に行われているか自動的に検出する製品も登場しており、CSPM(Cloud Security Posture Management)やSSPM(SaaS Security Posture Management)と呼ばれています。弊社でも取り扱っていますので、ご検討の際は下部のお問い合わせフォームよりお問い合わせください。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではないことをご了承ください。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2023/12/1 | サイバー警察局便りVol.20「IoT機器が乗っ取られる危機!?」(注意喚起) | 警察庁 |
| 2023/12/5 | サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について | JPCERT/CC |
| 2023/12/5 | JPCERT/CC Eyes「国連IGF2023にて2つのセッションの運営と進行を務めました」 | JPCERT/CC |
| 2023/12/5 | JPCERT/CC Eyes「サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響について」 | JPCERT/CC |
| 2023/12/7 | サイバー警察局便りVol.21「ネット上の誹謗中傷、一人で抱え込まないで」(注意喚起) | 警察庁 |
| 2023/12/14 | 標準から学ぶICSセキュリティ #6 サービス事業者に対するセキュリティ要件 | JPCERT/CC |
| 2023/12/19 | JPCERT/CC Eyes「世界のCSIRTから ~ウズベキスタン、モンゴル~」 | JPCERT/CC |
| 2023/12/25 | フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起) | 警察庁 |
今月、筆者が特に注目したのは米司法省等によるランサムウェア「ALPHV(別名:BlackCat)」のサイト押収です。
ALPHVのようなランサムウェアを運営するグループはターゲットに侵入して情報を盗み出し、暗号化した後、自身が運営するWebサイトでその事を報告して身代金を支払うよう脅迫するのが一般的ですが、今回このWebサイトが法執行機関により押収されました。
あくまで一部のWebサイトを押収したのみでグループメンバーを逮捕したりインフラを破壊できたわけでは無いため、残念ながらALPHVは未だに活動を続けており被害情報も日々アップデートされているものの、法執行機関による地道な活動がいつか活動停止に追い込むことを期待します。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
