2024年2月は以下のようなインシデントがありました。
当月印象的だったインシデントとして、イントラネットからのTorノードへのアクセスがありました。
私物であればともかく業務用PCでTorネットワークを利用する可能性は低いためTorノードへのアクセス自体に一定の不信感があります。
Torネットワーク上にC2サーバを設置しているマルウェアの存在は以前から報告されており、マルウェア感染や不正アクセスの結果Torノードへアクセスしている可能性も考えられるため確度としては低いもののインシデントとして対応しました。
最近のファイアウォール製品にはTorネットワークとの通信を拒否できるよう事前にアドレスグループが登録されているものもあるため、特に理由が無ければ拒否しておいた方が安全だと思います。
当月発生した攻撃について直近公開の脆弱性を対象としたものとして以下の攻撃を検知していました。
本脆弱性は2024年1月11日公開されました。
CVE-2023-46805は認証を脆弱性、CVE-2024-21887はコマンドインジェクションの脆弱性です。
この脆弱性を標的とした攻撃を当SOCでも早速検知していましたのでIoC情報を示します。
141.98.11[.]201
216.180.136[.]175
94.156.68[.]104
本脆弱性は2024年2月8日公開されました。
この脆弱性を標的とした攻撃を当SOCでも早速検知していましたのでIoC情報を示します。
164.92.83[.]110
本脆弱性は2024年2月8日公開されました。
この脆弱性を標的とした攻撃を当SOCでも早速検知していましたのでIoC情報を示します。
209.205.112[.]178
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年2月に追加されたものを抽出しました。
JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2020-3259 | Cisco | Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD) | Cisco ASA and FTD Information Disclosure Vulnerability | |
| CVE-2024-1709 | ConnectWise | ScreenConnect | ConnectWise ScreenConnect Authentication Bypass Vulnerability | |
| 〇 | CVE-2024-21762 | Fortinet | FortiOS | Fortinet FortiOS Out-of-Bound Write Vulnerability |
| CVE-2023-4762 | Chromium V8 | Google Chromium V8 Type Confusion Vulnerability | ||
| 〇 | CVE-2024-21412 | Microsoft | Windows | Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability |
| 〇 | CVE-2024-21351 | Microsoft | Windows | Microsoft Windows SmartScreen Security Feature Bypass Vulnerability |
| 〇 | CVE-2024-21410 | Microsoft | Exchange Server | Microsoft Exchange Server Privilege Escalation Vulnerability |
| CVE-2023-29360 | Microsoft | Streaming Service | Microsoft Streaming Service Untrusted Pointer Dereference Vulnerability | |
| CVE-2023-43770 | Roundcube | Webmail | Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability |
特にFortiOSの脆弱性CVE-2024-21762は注意が必要です。
FortiGateのSSL-VPN機能を利用している場合には早急なOSアップデートを推奨します。
当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。
2月5日、外務省の外交公電を担うシステムのネットワークが中国に盗聴されていると報道されました。
情報提供元は米国家安全保障局(NSA)と言われています。
日本政府は情報漏えいを認めていないため実際のところ被害があったのかは不明です。
筆者としては、IP-VPNを使って容易には盗聴できないようにしていた外務省と在外公館間の通信が(漏えいしているとしたら)どのようにして攻撃を受けたのかが気になっています。
2月20日、ランサムウェアグループ最大手LockBitの主要メンバー逮捕及びリークサイトテイクダウンが発表されました。
LockBitは日本国内では徳島県つるぎ町立半田病院、名古屋港統一ターミナルシステム、明治等が被害を受けた事で知られています。
一連の捜査は日本やアメリカ等により共同で行われ、日本の警視庁は特にLockBitの複合ツール作成で成果を上げたようです。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2024/2/2 | サイバー警察局便りVol.25「御社のセキュリティ対策を見直しましょう!!」(注意喚起) | 警察庁 |
| 2024/2/7 | 「2023年度情報システム等の脆弱性情報の取扱いに関する研究会」の資料を公開しました | 情報処理推進機構(IPA) |
| 2024/2/14 | サイバー警察局便りVol.26「Fortinet社製品を利用している皆様へ」(注意喚起) | 警察庁 |
| 2024/2/15 | JPCERT/CC インターネット定点観測レポート[2023年10月1日~2023年12月31日] | JPCERT/CC |
| 2024/2/19 | サイバー警察局便りVol.27「あなたの大切な情報が狙われています!!」(注意喚起) | 警察庁 |
| 2024/2/19 | ECサイト・フリマサイトでの犯罪に加担させる「副業」募集に注意!(注意喚起) | 警察庁 |
| 2024/2/19 | 「コンピュータウイルス・不正アクセスの届出状況[2023年(1月~12月)]」を公開しました | 情報処理推進機構(IPA) |
| 2024/2/20 | JPCERT/CC Eyes「TSUBAMEレポート Overflow(2023年10~12月)」 | JPCERT/CC |
| 2024/2/21 | JPCERT/CC Eyes「PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動」 | JPCERT/CC |
| 2024/2/27 | 安心相談窓口だより「サポート詐欺の偽セキュリティ警告はどんなときに出るのか?」を公開しました | 情報処理推進機構(IPA) |
| 2024/2/29 | 「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年10月~12月]」を公開しました | 情報処理推進機構(IPA) |
| 2024/2/29 | 「情報セキュリティ10大脅威 2024」解説書を公開しました | 情報処理推進機構(IPA) |
筆者が注目したのは情報処理推進機構の「サポート詐欺の偽セキュリティ警告はどんなときに出るのか?」です。
昨今、正規サイトからも広告経由でサポート詐欺サイトが表示される事があり被害が発生しやすくなっています。
情報処理推進機構よりサポート詐欺を体験できるサイトが公開されたため、教育等に活用する事で被害を予防できるかも知れません。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
