セキュリティ運用サービス月次レポート 2024年3月

1. サイバー攻撃検知状況

当月発生したインシデントの所感

2024年3月は以下のような種類のインシデントが発生しました。

当月は取り立ててユニークなインシデントはありませんでした。

当月検知した攻撃についての所感

取り上げるような目新しい攻撃はありませんでしたが、引き続きIvanti製品に対する攻撃が散見されたのでIoC情報を示します。

標的の脆弱性
CVE-2023-46805
CVE-2024-21887
CVE-2024-22024
CVE-2024-21893
いずれも攻撃元IPは143.244.188[.]172でした。

2.脆弱性情報

米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年3月に追加されたものを抽出しました。

JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。

脆弱性番号	ベンダ	製品	脆弱性名
CVE-2023-21237	Android	Pixel	Android Pixel Information Disclosure Vulnerability
CVE-2024-23225	Apple	Multiple Products	Apple Multiple Products Memory Corruption Vulnerability
CVE-2024-23296	Apple	Multiple Products	Apple Multiple Products Memory Corruption Vulnerability
CVE-2023-48788	Fortinet	FortiClient EMS	Fortinet FortiClient EMS SQL Injection Vulnerability
CVE-2021-44529	Ivanti	Endpoint Manager Cloud Service Appliance (EPM CSA)	Ivanti Endpoint Manager Cloud Service Appliance (EPM CSA) Code Injection Vulnerability
CVE-2024-27198	JetBrains	TeamCity	JetBrains TeamCity Authentication Bypass Vulnerability
CVE-2024-21338	Microsoft	Windows	Microsoft Windows Kernel Exposed IOCTL with Insufficient Access Control Vulnerability
CVE-2023-24955	Microsoft	SharePoint Server	Microsoft SharePoint Server Code Injection Vulnerability
CVE-2019-7256	Nice	Linear eMerge E3-Series	Nice Linear eMerge E3-Series OS Command Injection Vulnerability
CVE-2021-36380	Sunhillo	SureLine	Sunhillo SureLine OS Command Injection Vulnerablity

2024年3月注意すべき脆弱性情報

3月時点ではKEVには記載ありませんでしたが興味深い脆弱性が報告されているので1件紹介します。

XZ Utilsの脆弱性(CVE-2024-3094)

2024年3月29日、XZ Utilsに特定条件下で外部から侵入される可能性がある脆弱性が存在する事が報告されました。

本脆弱性が話題になったのは、実は脆弱性ではなく意図的に作り込まれたバックドアだという点です。

OSS(オープンソースソフトウェア)であるXZ Utilsの開発プロジェクトに2年ほど前から参加していた開発者が今年2月に密かにバックドアを仕込みました。

偶然にも早期に発見されたため概ね事なきを得ましたが、発見されなかった場合は世界中のLinuxがこの開発者に乗っ取られていた可能性があります。

Linuxを始めOSSは社会にとって無くてはならないソフトウェアの提供形態となっている一方で、悪意ある開発者によるリスクと影響範囲の広さが浮き彫りになったように感じます。

OSS利用者としてできる対策は少ないですが、利用する際は開発グループの規模や成り立ち、支援組織等を総合的に判断して利用可否を検討した方が良いかも知れません。

3.サイバーセキュリティ関連ニュース

当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。

ランサムウェアグループALPHV(別名:BlackCat)解散？

ランサムウェアグループALPHVは日本国内でも複数の大企業が被害に遭った事で知られています。

２０２３年１２月ごろFBI等複数の法執行機関によりこのグループのインフラの一部が閉鎖されて以降、表社会からも裏社会からも風当たりが強くなっていたようで３月５日ごろ残っていたインフラも閉鎖されました。

法執行機関の努力が実ったと言える一方で、ランサムウェアグループは一旦解散してもしばらくすると名前を変えて再登場するのが慣例となっているため諸手を挙げて喜んで良いかは難しいところです。

米国下院でTikTok禁止法案可決

３月１３日米国下院でTikTokを禁止できる法案が可決しました。

今後、上院でも可決し大統領の署名があれば成立します。

この法案が提出された背景には動画投稿アプリTikTokを運営するByteDanceが中国企業であるという問題があります。

中国企業は中国政府が２０１７年から施行している国家情報法の対象となり、中国政府に対して情報活動(諜報活動)への協力義務が課されているためTikTokに蓄積されている米国民の個人情報が中国政府に漏えいする事が懸念されています。

ByteDance社には利用者の位置情報を目的外利用する等、個人情報の不適切な利用に関していくつかの前例が報告されている事も米国政府が懸念を強めている要因になっていると考えられます。

4.その他

公的機関のお知らせまとめ

公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。

公表日	表題	発信元
2024/3/4	JPCERT/CC Eyes「JSAC2024 開催レポート～DAY 1～」	JPCERT/CC
2024/3/6	サイバー警察局便りVol.28「企業の皆様へ、被害に遭ったらすぐ相談を!」（注意喚起）	警察庁
2024/3/6	サイバー警察局便りVol.29「ホテルを狙う事案が発生!」（注意喚起）	警察庁
2024/3/11	JPCERT/CC Eyes「JSAC2024 開催レポート～DAY 2～」	JPCERT/CC
2024/3/14	サイバー警察局便りVol.30「インターネット・ホットラインセンターを知っていますか？」（注意喚起）	警察庁
2024/3/14	令和５年におけるインターネット・ホットラインセンターの運用状況について	警察庁
2024/3/14	サイバー警察局便りVol.31「サイバー空間の脅威の情勢：極めて深刻」（注意喚起）	警察庁
2024/3/14	不正アクセス行為対策等の実態調査・アクセス制御機能に関する技術の研究開発の状況等に関する調査	警察庁
2024/3/14	JPCERT/CC Eyes「制御システムセキュリティカンファレンス 2024 開催レポート」	JPCERT/CC
2024/3/18	JPCERT/CC Eyes「JSAC2024開催レポート～Workshop & Lightning Talk～」	JPCERT/CC
2024/3/21	情報セキュリティ啓発映像「今、そこにある脅威～内部不正による情報流出のリスク～」を公開	情報処理推進機構（IPA）
2024/3/26	安心相談窓口だより「企業をかたるメッセージから海外SMS送信に誘導される手口を確認」を公開しました	情報処理推進機構（IPA）
2024/3/26	JPCERT/CC Eyes「ランサムウェア攻撃事案から見る、ファーストレスポンダー同士の情報共有が必要な理由」	JPCERT/CC
2024/3/27	「コンピュータウイルス・不正アクセスの届出事例［2023年下半期（7月～12月）］」を公開しました	情報処理推進機構（IPA）
2024/3/27	情報システム等の脆弱性情報の取扱いに関する調査の報告書などを公開しました	情報処理推進機構（IPA）
2024/3/27	「制御系SIRTの機能を備えるための手引き」（CSIRTマテリアル補完資料）を公表	JPCERT/CC
2024/3/29	サイバー事案に関する通報等のオンライン受付窓口の運用開始	警察庁