2024年12月は以下のような種類のインシデントが発生しました。
印象的なインシデントは特にありませんでした。
通報に至らなかった軽微なアラートについても特に印象的なものはありませんでした。
米国CISA(サイバーセキュリティー・インフラセキュリティー庁)が公開しているKEV(悪用が確認されている脆弱性一覧)から2024年12月に追加されたものを抽出しました。
JPCERT/CC等の日本国内組織からも注意喚起されている脆弱性は要注意としてマークしています。
| 要注意 | 脆弱性番号 | ベンダ | 製品 | 脆弱性名 |
|---|---|---|---|---|
| CVE-2021-44207 | Acclaim Systems | USAHERDS | Acclaim Systems USAHERDS Use of Hard-Coded Credentials Vulnerability | |
| ○ | CVE-2024-20767 | Adobe | ColdFusion | Adobe ColdFusion Improper Access Control Vulnerability |
| CVE-2024-12356 | Cleo | Privileged Remote Access (PRA) and Remote Support (RS) | BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection Vulnerability | |
| CVE-2024-50623 | BeyondTrust | Multiple Products | Cleo Multiple Products Unrestricted File Upload Vulnerability | |
| CVE-2024-55956 | Cleo | Multiple Products | Cleo Multiple Products Unauthenticated File Upload Vulnerability | |
| CVE-2024-51378 | CyberPersons | CyberPanel | CyberPanel Incorrect Default Permissions Vulnerability | |
| ○ | CVE-2024-49138 | Microsoft | Windows | Microsoft Windows Common Log File System (CLFS) Driver Heap-Based Buffer Overflow Vulnerability |
| ○ | CVE-2024-35250 | Microsoft | Windows | Microsoft Windows Kernel-Mode Driver Untrusted Pointer Dereference Vulnerability |
| CVE-2023-45727 | North Grid | Proself | North Grid Proself Improper Restriction of XML External Entity (XXE) Reference Vulnerability | |
| CVE-2022-23227 | NUUO | NVRmini2 Devices | NUUO NVRmini2 Devices Missing Authentication Vulnerability | |
| CVE-2018-14933 | NUUO | NVRmini Devices | NUUO NVRmini Devices OS Command Injection Vulnerability | |
| CVE-2024-3393 | Palo Alto Networks | PAN-OS | Palo Alto Networks PAN-OS Malicious DNS Packet Vulnerability | |
| CVE-2024-11680 | ProjectSend | ProjectSend | ProjectSend Improper Authentication Vulnerability | |
| CVE-2021-40407 | Reolink | RLC-410W IP Camera | Reolink RLC-410W IP Camera OS Command Injection Vulnerability | |
| CVE-2019-11001 | Reolink | Multiple IP Cameras | Reolink Multiple IP Cameras OS Command Injection Vulnerability | |
| CVE-2024-11667 | Zyxel | Multiple Firewalls | Zyxel Multiple Firewalls Path Traversal Vulnerability |
KEVに掲載されていない脆弱性ものの、日本国内で影響がありそうな脆弱性が出ていたので以下に示します。
各製品、ソフトウェアバージョンをご利用の場合はご注意ください。
脆弱性がある機器を使っていたとしても、WebGUI画面がインターネット側に公開されていなければ攻撃を受けるリスクは限定的ですがアップデートしておく方が安全です。
当月発生したサイバーセキュリティ関連のニュースから筆者が気になったものを紹介します。
2024年5月、国内大手仮想通貨事業者が外部から何らかの攻撃を受け仮想通貨漏えい事故が発生しましたが、このインシデントについて12月に漏えい先や原因が公開され話題になりました。
攻撃者は北朝鮮が支援しているとされる攻撃グループ「TraderTraitor」であり、大手仮想通貨事業者の業務委託先従業員に対してLinkedInを通じてリクルーターを装って接触し従業員を騙して不正なプログラムを実行させてアクセス権を得たようです。
ゼロトラストの名のもとにシステムのセキュリティは強化されても、意識の低い従業員が私用端末で業務したり、出所や内容が不確かなプログラムを不用意に実行してしまうとセキュリティインシデントにつながるため、従業員に対するセキュリティ教育を繰り返し行っていく必要があるのだと思います。
2024年12月、米国当局がTP-Link社ルータ製品の利用禁止を検討している事が報道されました。 TP-Link製ルータは非常に安価なため米国の家庭向けルータとしては非常に高いシェアを持っている一方で、脆弱性を悪用されDDoS等の攻撃の踏み台になっている事が知られていたため、利用禁止の検討に至ったのではないかと推察されます。
本報道に対して、TP-Link社が声明を出していますので合わせて紹介します。
TP-Link:一部報道に関する米国本社の声明
※「米国本社」とされていますが運営母体は中国籍の企業です。
2024年12月末から発生した航空会社や金融機関のDDoS攻撃の攻撃元の多くは悪用された脆弱なルータだったとする調査結果も一部で公開されており、脆弱なルータは実は我々の生活にも影響を及ぼしているようです。
2024年12月26日、大手航空会社に対してDDoS攻撃が行われ飛行機の発着が遅れるなどの影響が出たためニュース番組等でも大きく報道されました。
年明け以降も銀行等対象組織をまたいで攻撃が続きました。
一連の攻撃が個人のいたずらなのか組織によって計画的に行われたのか現時点では報道や報告は出てきておらず、意図等も良く分かっていません。
DDoS攻撃は大きな企業や組織だけが標的になる印象があるかも知れませんが、最近だとストレス発散を動機に愉快犯的に企業をDDoS攻撃したり、就職希望の企業にDDoS攻撃を行い「自分なら攻撃を止められる」と自己アピールに利用して逮捕される事例もあり、中小企業でも標的になる事があります。
イデオロギーや逆恨み等どういう理由でいつ攻撃されるか予測できないため、組織規模に関わらず攻撃を受けたらどういう影響が考えられるか、対策するべきか等は検討しておくべきなのかも知れません。
公的機関が発するセキュリティ関連の注意喚起や定期レポートをまとめた一覧を示します。
※筆者独自に取捨選択しています。
| 公表日 | 表題 | 発信元 |
|---|---|---|
| 2024/12/3 | サイバー警察局便りR6Vol.13「サイバー犯罪(不正アクセス)行為者の実態」 | 警察庁 |
| 2024/12/3 | サイバー警察局便りR6Vol.14「その書き込み、一人で悩んでいませんか。」 | 警察庁 |
| 2024/12/13 | サイバー警察局便りR6Vol.15「『ボイスフィッシング』による不正送金被害が急増」 | 警察庁 |
| 2024/12/16 | 「制御システムに対するリスク分析の実施例 第2版 事例2:社外サービスと接続した制御システムに対するリスク分析」を公開しました | 情報処理推進機構(IPA) |
| 2024/12/17 | 年末年始における情報セキュリティに関する注意喚起を公開しました | 情報処理推進機構(IPA) |
| 2024/12/19 | JPCERT/CC Eyes「近年の水飲み場攻撃事例 パート1」 | JPCERT/CC |
| 2024/12/23 | セキュリティセンター 「AIに起因する選挙リスクとAIガバナンス米国調査レポート」を公開しました | 情報処理推進機構(IPA) |
| 2024/12/24 | 北朝鮮を背景とするサイバー攻撃グループTraderTraitor によるサイバー攻撃について | 内閣サイバーセキュリティセンター(NISC) |
| 2024/12/25 | JPCERT/CC Eyes「サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~」 | JPCERT/CC |
| 2024/12/26 | JPCERT/CC Eyes「近年の水飲み場攻撃事例 パート2」 | JPCERT/CC |
| 2024/12/27 | サイバーセキュリティ分野における防衛省・経済産業省・IPAによる包括的な連携協定を締結しました | 情報処理推進機構(IPA) |
年末という事もあり、興味深いレポートが複数出ています。
特に内閣サイバーセキュリティセンターと警察庁が連名で発行している「北朝鮮を背景とするサイバー攻撃グループTraderTraitorによるサイバー攻撃について」は先に紹介した仮想通貨漏えい事故の手口が紹介されているためセキュリティ関係者は把握しておくべき内容かと思います。
NECネッツエスアイではセキュリティ運用サービス(SOC)の他、Webアプリケーションファイアウォール、侵入防御システム、各種セキュリティ対策製品の導入支援や、お客様のシステム環境に最適な解決策のご提案を行うセキュリティコンサルティングサービスを提供しております。お問い合わせフォームからお気軽にご相談ください。
Sakanishi Kazuma
