2024.03.26 2024.04.01

セキュリティ運用サービス月次レポート 2024年２月

坂西寿麻

1. サイバー攻撃検知状況

当月発生したインシデントの所感

2024年2月は以下のようなインシデントがありました。

当月印象的だったインシデントとして、イントラネットからのTorノードへのアクセスがありました。
私物であればともかく業務用PCでTorネットワークを利用する可能性は低いためTorノードへのアクセス自体に一定の不信感があります。
Torネットワーク上にC2サーバを設置しているマルウェアの存在は以前から報告されており、マルウェア感染や不正アクセスの結果Torノードへアクセスしている可能性も考えられるため確度としては低いもののインシデントとして対応しました。
最近のファイアウォール製品にはTorネットワークとの通信を拒否できるよう事前にアドレスグループが登録されているものもあるため、特に理由が無ければ拒否しておいた方が安全だと思います。

当月検知した攻撃についての所感

当月発生した攻撃について直近公開の脆弱性を対象としたものとして以下の攻撃を検知していました。

Ivanti Connect SecureおよびIvanti Policy Secureの脆弱性（CVE-2023-46805およびCVE-2024-21887）

本脆弱性は2024年1月11日公開されました。
CVE-2023-46805は認証を脆弱性、CVE-2024-21887はコマンドインジェクションの脆弱性です。
この脆弱性を標的とした攻撃を当SOCでも早速検知していましたのでIoC情報を示します。
141.98.11[.]201
216.180.136[.]175
94.156.68[.]104

Ivanti Connect SecureおよびIvanti Policy SecureのXML外部実体参照（XXE）の脆弱性（CVE-2024-22024）

本脆弱性は2024年2月8日公開されました。
この脆弱性を標的とした攻撃を当SOCでも早速検知していましたのでIoC情報を示します。
164.92.83[.]110

Ivanti Connect SecureおよびIvanti Policy SecureのSSRFの脆弱性（CVE-2024-21893）

本脆弱性は2024年2月8日公開されました。
この脆弱性を標的とした攻撃を当SOCでも早速検知していましたのでIoC情報を示します。
209.205.112[.]178

2.脆弱性情報

米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年2月に追加されたものを抽出しました。
JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。

要注意	脆弱性番号	ベンダ	製品	脆弱性名
	CVE-2020-3259	Cisco	Adaptive Security Appliance (ASA) and Firepower Threat Defense (FTD)	Cisco ASA and FTD Information Disclosure Vulnerability
	CVE-2024-1709	ConnectWise	ScreenConnect	ConnectWise ScreenConnect Authentication Bypass Vulnerability
〇	CVE-2024-21762	Fortinet	FortiOS	Fortinet FortiOS Out-of-Bound Write Vulnerability
	CVE-2023-4762	Google	Chromium V8	Google Chromium V8 Type Confusion Vulnerability
〇	CVE-2024-21412	Microsoft	Windows	Microsoft Windows Internet Shortcut Files Security Feature Bypass Vulnerability
〇	CVE-2024-21351	Microsoft	Windows	Microsoft Windows SmartScreen Security Feature Bypass Vulnerability
〇	CVE-2024-21410	Microsoft	Exchange Server	Microsoft Exchange Server Privilege Escalation Vulnerability
	CVE-2023-29360	Microsoft	Streaming Service	Microsoft Streaming Service Untrusted Pointer Dereference Vulnerability
	CVE-2023-43770	Roundcube	Webmail	Roundcube Webmail Persistent Cross-Site Scripting (XSS) Vulnerability

2024年2月注意すべき脆弱性情報
特にFortiOSの脆弱性CVE-2024-21762は注意が必要です。
FortiGateのSSL-VPN機能を利用している場合には早急なOSアップデートを推奨します。

3.サイバーセキュリティ関連ニュース

当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。

中国による外務省システムに対するサイバー攻撃

2月5日、外務省の外交公電を担うシステムのネットワークが中国に盗聴されていると報道されました。
情報提供元は米国家安全保障局(NSA)と言われています。
日本政府は情報漏えいを認めていないため実際のところ被害があったのかは不明です。
筆者としては、IP-VPNを使って容易には盗聴できないようにしていた外務省と在外公館間の通信が(漏えいしているとしたら)どのようにして攻撃を受けたのかが気になっています。

ランサムウェアグループ最大手LockBitの主要メンバー逮捕

2月20日、ランサムウェアグループ最大手LockBitの主要メンバー逮捕及びリークサイトテイクダウンが発表されました。
LockBitは日本国内では徳島県つるぎ町立半田病院、名古屋港統一ターミナルシステム、明治等が被害を受けた事で知られています。
一連の捜査は日本やアメリカ等により共同で行われ、日本の警視庁は特にLockBitの複合ツール作成で成果を上げたようです。

4.その他

公的機関のお知らせまとめ

公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。

公表日	表題	発信元
2024/2/2	サイバー警察局便りVol.25「御社のセキュリティ対策を見直しましょう!!」（注意喚起）	警察庁
2024/2/7	「2023年度情報システム等の脆弱性情報の取扱いに関する研究会」の資料を公開しました	情報処理推進機構（IPA）
2024/2/14	サイバー警察局便りVol.26「Fortinet社製品を利用している皆様へ」（注意喚起）	警察庁
2024/2/15	JPCERT/CC インターネット定点観測レポート［2023年10月1日～2023年12月31日］	JPCERT/CC
2024/2/19	サイバー警察局便りVol.27「あなたの大切な情報が狙われています!!」（注意喚起）	警察庁
2024/2/19	ECサイト・フリマサイトでの犯罪に加担させる「副業」募集に注意!(注意喚起)	警察庁
2024/2/19	「コンピュータウイルス・不正アクセスの届出状況［2023年（1月～12月）］」を公開しました	情報処理推進機構（IPA）
2024/2/20	JPCERT/CC Eyes「TSUBAMEレポート Overflow（2023年10～12月）」	JPCERT/CC
2024/2/21	JPCERT/CC Eyes「PyPIを悪用した攻撃グループLazarusのマルウェア拡散活動」	JPCERT/CC
2024/2/27	安心相談窓口だより「サポート詐欺の偽セキュリティ警告はどんなときに出るのか？」を公開しました	情報処理推進機構（IPA）
2024/2/29	「サイバー情報共有イニシアティブ（J-CSIP）運用状況 [2023年10月～12月]」を公開しました	情報処理推進機構（IPA）
2024/2/29	「情報セキュリティ10大脅威 2024」解説書を公開しました	情報処理推進機構（IPA）

2024年2月公的機関のお知らせまとめ
筆者が注目したのは情報処理推進機構の「サポート詐欺の偽セキュリティ警告はどんなときに出るのか？」です。
昨今、正規サイトからも広告経由でサポート詐欺サイトが表示される事があり被害が発生しやすくなっています。
情報処理推進機構よりサポート詐欺を体験できるサイトが公開されたため、教育等に活用する事で被害を予防できるかも知れません。

5.最後に

NECネッツエスアイではセキュリティ運用サービス（SOC）の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。
お問い合わせフォームからお気軽にご相談ください。

ブログ一覧

ABOUT ME