セキュリティ運用サービス月次レポート 2023年5月
坂西寿麻
今知りたいセキュリティの役立つ情報をお届け| NECネッツエスアイ
セキュリティ運用サービス月次レポート 2024年1月
坂西寿麻
1. サイバー攻撃検知状況
- ・当月発生したインシデントの所感
2024年1月はセキュリティ運用サービスを提供させていただいているお客様で以下のようなインシデントがありました。
当月は特に印象的なインシデントはありませんでした。
- ・当月検知した攻撃についての所感
当月発生した攻撃について直近公開の脆弱性を対象としたものとして以下の攻撃を検知していました。Atlassian Confluenceのリモートコード実行の脆弱性(CVE-2023-22527)本脆弱性は2024年1月16日公開されました。この脆弱性に対する攻撃を当SOCでも早速検知していましたのでIoC情報を示します。範囲では以下のIPアドレスから攻撃が行われていました。116.198.40[.]76125.76.87[.]13414.225.53[.]21193.8.172[.]17843.136.96[.]91Ivanti Connect SecureおよびIvanti Policy Secureの認証バイパスの脆弱性(CVE-2023-46805)本脆弱性は2024年1月10日公開されました。この脆弱性に対する攻撃を当SOCでも早速検知していましたのでIoC情報を示します。範囲では以下のIPアドレスから攻撃が行われていました。37.19.207[.]89
2.脆弱性情報
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年1月に追加されたものを抽出しました。悪用が確認されている事から緊急性の高い脆弱性と考えられる一方で日本国内では採用が稀なソフトウェアが多いため、JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2023-29300 | Adobe | ColdFusion | Adobe ColdFusion Deserialization of Untrusted Data Vulnerability | |
| CVE-2023-38203 | Adobe | ColdFusion | Adobe ColdFusion Deserialization of Untrusted Data Vulnerability | |
| CVE-2023-27524 | Apache | Superset | Apache Superset Insecure Default Initialization of Resource Vulnerability | |
| CVE-2022-48618 | Apple | Multiple Products | Apple Multiple Products Improper Authentication Vulnerability | |
| CVE-2023-41990 | Apple | Multiple Products | Apple Multiple Products Code Execution Vulnerability | |
| CVE-2024-23222 | Apple | Multiple Products | Apple Multiple Products Type Confusion Vulnerability | |
| CVE-2023-22527 | Atlassian | Confluence Data Center and Server | Atlassian Confluence Data Center and Server Template Injection Vulnerability | |
| 〇 | CVE-2023-6548 | Citrix | NetScaler ADC and NetScaler Gateway | Citrix NetScaler ADC and NetScaler Gateway Code Injection Vulnerability |
| 〇 | CVE-2023-6549 | Citrix | NetScaler ADC and NetScaler Gateway | Citrix NetScaler ADC and NetScaler Gateway Buffer Overflow Vulnerability |
| CVE-2016-20017 | D-Link | DSL-2750B Devices | D-Link DSL-2750B Devices Command Injection Vulnerability | |
| CVE-2024-0519 | Chromium V8 | Google Chromium V8 Out-of-Bounds Memory Access Vulnerability | ||
| CVE-2023-7024 | Google Chromium | WebRTC | Google Chromium WebRTC Heap Buffer Overflow Vulnerability | |
| 〇 | CVE-2023-46805 | Ivanti | Connect Secure and Policy Secure | Ivanti Connect Secure and Policy Secure Authentication Bypass Vulnerability |
| 〇 | CVE-2024-21887 | Ivanti | Connect Secure and Policy Secure | Ivanti Connect Secure and Policy Secure Command Injection Vulnerability |
| 〇 | CVE-2024-21893 | Ivanti | Connect Secure, Policy Secure, and Neurons | Ivanti Connect Secure, Policy Secure, and Neurons Server-Side Request Forgery (SSRF) Vulnerability |
| 〇 | CVE-2023-35082 | Ivanti | Endpoint Manager Mobile (EPMM) and MobileIron Core | Ivanti Endpoint Manager Mobile (EPMM) and MobileIron Core Authentication Bypass Vulnerability |
| CVE-2023-23752 | Joomla! | Joomla! | Joomla! Improper Access Control Vulnerability | |
| CVE-2018-15133 | Laravel | Laravel Framework | Laravel Deserialization of Untrusted Data Vulnerability | |
| 〇 | CVE-2023-29357 | Microsoft | SharePoint Server | Microsoft SharePoint Server Privilege Escalation Vulnerability |
| CVE-2023-7101 | Spreadsheet::ParseExcel | Spreadsheet::ParseExcel | Spreadsheet::ParseExcel Remote Code Execution Vulnerability | |
| CVE-2023-34048 | VMware | vCenter Server | VMware vCenter Server Out-of-Bounds Write Vulnerability |
3.セキュリティインシデント
- 日本国内で発生したセキュリティインシデント
当月に日本国内で発生したセキュリティインシデントをリストアップしました。
実際は他にも多くのインシデントが発生していますが、話題性のあったものを中心に取り上げています。
| 公表日 | 発生日 | 発生組織 | 概要 | 内容 |
|---|---|---|---|---|
| 2024/1/31 | 2021年1月5日~2023年11月15日 | ECサイト運営会社F | 個人情報漏えい | 同社が運営するWebサイトにクロスサイトスクリプティングの脆弱性があり、期間内に行われた決済情報(クレジットカード番号、住所など)が漏えいした可能性がある。被害規模は約5000名。 |
| 2024/1/26 | 2023/12/13 | 釣り具メーカーO | 個人情報漏えい | 同社が設置していたVPNが不正アクセスされ、内部に侵入された。 侵入後、ランサムウェアをインストールされて発覚した。 暗号化されたデータの中に最大20万件の個人情報が含まれていたため、漏えいした可能性がある。 |
4.その他
- ・公的機関のお知らせまとめ
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
筆者独自の調査、取捨選択を行っているため全ての発信情報を網羅しているわけではないことをご了承ください。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2024/1/16 | CyberNewsFlash「GitLabのパスワードリセット機能における脆弱性(CVE-2023-7028)について」 | JPCERT/CC |
| 2024/1/17 | サイバー警察局便りVol.22「公衆Wi-Fi、狙われていますよ!!(提供者向け)」(注意喚起) | 警察庁 |
| 2024/1/17 | サイバー警察局便りVol.23「あなたの家のWi-Fiが狙われています!」(注意喚起) | 警察庁 |
| 2024/1/18 | JPCERT/CC 活動四半期レポート[2023年10月1日~2023年12月31日] | JPCERT/CC |
| 2024/1/18 | JPCERT/CC インシデント報告対応レポート[2023年10月1日~2023年12月31日] | JPCERT/CC |
| 2024/1/18 | ソフトウェア等の脆弱性関連情報に関する届出状況[2023年第4四半期(10月~12月)] | JPCERT/CC |
| 2024/1/23 | サイバー警察局便りVol.24「身に覚えのない料金請求!画面に突然登録完了!」(注意喚起) | 警察庁 |
| 2024/1/23 | CyberNewsFlash「Apple製品のアップデートについて(2024年1月)」 | JPCERT/CC |
5.最後に
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
ABOUT ME
SOC(Security Operation Center)サービス事業でアナリスト業務に従事。
