2024年8月は以下のような種類のインシデントが発生しました。
8月印象的だったインシデントは、フィッシングサイトでユーザを騙し指定したコマンドを実行させる事でマルウェアに感染させる手法です。
8月、あるお客様のEDR製品が以下のような不審なPowerShellコマンドの実行を検知しました。
このPowerShellがどのような経緯で実行されたか調査すると、mshta.exeを経由して以下のコマンドを実行した事が発端となっていました。
このプロセスの流れを調査するとLumma Stealerと言う情報窃取系マルウェアの感染パターンに酷似している事が分かりました。
整理すると次の流れと思われます。
ユーザがウェブサーフィンする
↓
(おそらく)CAPTCHAを模したフィッシングサイトに騙され画面に従ってPowerShellコマンドを実行する
↓
PowerShellがmshtaを呼び出す
↓
mshtaが追加のコマンドをインターネットからダウンロードしPowerShellで実行する
↓
PowerShellがLumma Stealerをダウンロードして実行
↓
感染
脆弱性を使って標的端末に任意のコマンドを実行させるのは難しいですが、利用者を騙して利用者自身にコマンドを実行させるのは技術面でもセキュリティ回避の面でも難易度が低く攻撃者としては合理的な戦略かも知れません。
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年8月に追加されたものを抽出しました。JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2024-36971 | Android | Kernel | Android Kernel Remote Code Execution Vulnerability | |
| CVE-2024-32113 | Apache | OFBiz | Apache OFBiz Path Traversal Vulnerability | |
| CVE-2024-38856 | Apache | OFBiz | Apache OFBiz Incorrect Authorization Vulnerability | |
| CVE-2021-33044 | Dahua | IP Camera Firmware | Dahua IP Camera Authentication Bypass Vulnerability | |
| CVE-2021-33045 | Dahua | IP Camera Firmware | Dahua IP Camera Authentication Bypass Vulnerability | |
| CVE-2024-7965 | Chromium V8 | Google Chromium V8 Inappropriate Implementation Vulnerability | ||
| CVE-2024-7971 | Chromium V8 | Google Chromium V8 Type Confusion Vulnerability | ||
| CVE-2024-23897 | Jenkins | Jenkins Command Line Interface (CLI) | Jenkins Command Line Interface (CLI) Path Traversal Vulnerability | |
| CVE-2022-0185 | Linux | Kernel | Linux Kernel Heap-Based Buffer Overflow Vulnerability | |
| CVE-2018-0824 | Microsoft | Windows | Microsoft COM for Windows Deserialization of Untrusted Data Vulnerability | |
| CVE-2021-31196 | Microsoft | Exchange Server | Microsoft Exchange Server Information Disclosure Vulnerability | |
| 〇 | CVE-2024-38106 | Microsoft | Windows | Microsoft Windows Kernel Privilege Escalation Vulnerability |
| 〇 | CVE-2024-38107 | Microsoft | Windows | Microsoft Windows Power Dependency Coordinator Privilege Escalation Vulnerability |
| 〇 | CVE-2024-38178 | Microsoft | Windows | Microsoft Windows Scripting Engine Memory Corruption Vulnerability |
当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。
8月にKADOKAWA社が公開した資料によると2024年6月に発生したサイバー攻撃の被害の影響は、特別損失36億円(後に24億円に下方修正)との事です。
被害額は業種や被害範囲等、状況によって大きく変わるため一概にこの金額を基準にするべきではありませんが、一つの参考にはなるのではないかと思います。
プライバシーマークを運営する一般財団法人日本情報経済社会推進協会によると、2023年は付与事業者1,952社から9,208件の事故がありました。(引用元:2023年度 個人情報の取扱いにおける事故報告集計結果)
集計結果によると、事故の大半は誤送信や誤配達、紛失と言った過失によるものでした。
引用元:【別紙】2023年度 個人情報の取扱いにおける事故報告集計結果の修正について(JIPDEC)
「プライバシーマーク取得=事故を起こさない」と言うわけでは無く、取得後もミスしない仕組みづくりや教育を地道に継続するのが重要だと思いました。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2024/8/1 | 2024年度 夏休みにおける情報セキュリティに関する注意喚起 | 情報処理推進機構(IPA)/td> |
| 2024/8/5 | JPCERT/CC Eyes「Androidマルウェアのsmaliガジェット挿入による動的分析手法」 | JPCERT/CC/td> |
| 2024/8/9 | サイバー警察局便りR6Vol.5「顧客のクレカ情報流出にご用心!!」 | 警察庁/td> |
| 2024/8/9 | サイバー警察局便りR6Vol.6「令和6年宮崎県日向灘を震源とする地震におけるインターネット上の偽・誤情報に注意!」 | 警察庁/td> |
| 2024/8/9 | JPCERT/CC インターネット定点観測レポート[2024年4月1日~2024年6月30日] | JPCERT/CC/td> |
| 2024/8/19 | JPCERT/CC Eyes「TSUBAMEレポート Overflow(2024年4~6月)」 | JPCERT/CC/td> |
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
