目次
DDoS攻撃の観測情報
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は219件であり、1日あたりの平均件数は7.06件でした。期間中に観測された最も規模の大きな攻撃では、最大で約332万ppsのパケットによって12.12Gbpsの通信が発生しました。この攻撃は主にUDP Floodによるものでした。当月最も長く継続した攻撃もこの通信であり、およそ2時間3分にわたって攻撃が継続しました。
IIJマネージドセキュリティサービスの観測情報
IPS機器における攻撃検出
対象期間において、1サイト当たりの攻撃検出件数と攻撃種別トップ10の割合を以下に示します。
今回の対象期間において最も多く検出したのは、Apache HTTP Server path traversal and file disclosure (CVE-2021-41773)で全体の42.67%を占めました。当該シグネチャは2024年9月から4ヵ月連続で最多となっており、観測した通信も引き続きマイニングマルウェアであるRedTailのダウンローダの実行を試みるものでした。
2番目に多く検出したのは、Microsoft Windows Internet Connection Sharing Denial of Serviceの9.02%でした。当該シグネチャは、細工されたDNSクエリを用いたWindowsのInternet Connection Sharingサービスに対するDoS攻撃を検出するもので、検出内容に変化は見られませんでした。最初に取り上げた2024年8月観測レポート以降の傾向として、毎月20日前後にピークがあり、検出が短い期間に集中していました。当月の特徴としては、月初の5日及び6日にもまとまった検出がある点や、22日のピークを過ぎた後にも月末にかけて検出が続いたことが挙げられます。その結果、検出件数は前月の約4倍に上りました。
更に、4番目に多かったZyxel Communications IKEv2 Notify Payload Remote Code Execution Vulnerability (CVE-2023-28771)は、検出が21日に集中していました。当該脆弱性は、Zyxel社のファイアウォールに存在するコマンドインジェクションを可能にするもので、リモートから任意のOSコマンドを実行される恐れがあります。観測した攻撃通信の多くは、外部サイトからシェルスクリプトをダウンロードして実行させるものでした。当該シェルスクリプトはIoTマルウェアのMiraiへの感染を狙うものであることを確認しています。
また、当月の攻撃種別トップ10には含まれていませんが、Shenzhen Tenda Technology社製Wi-FiルータのAPIエンドポイントに存在するコマンドインジェクションの脆弱性(CVE-2024-10697)に関連する通信を新たに観測しました。
確認した範囲では、Mirai亜種をホストするIPアドレスにPingを送信するコードが挿入されていました。影響を受けるTenda AC6のファームウェアバージョンは15.03.05.19です。該当する製品を利用されている場合には、バージョン情報をご確認ください。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
対象期間における、Webアクセス時に検出したマルウェア種別の割合を図-5に示します。
対象期間内に最も多く検出したのはHEUR:Trojan.Script.Genericであり、全体に占める割合は94.06%でした。当該シグネチャでは、前月に引き続きParrot TDSの特徴を持ったJavaScriptファイルを多く検出しています。その他に、当月はサポート詐欺に用いられるコンテンツを当該シグネチャで検出しました。サポート詐欺は、ブラウザ上に偽の警告画面を表示してユーザの不安を煽ることで、情報や金銭の窃取につなげる脅威です。今回の観測において、攻撃者はWeb広告を用いてユーザをコンテンツへ誘導したと見られます。ユーザはWeb広告からランディングページを経て攻撃者の用意したコンテンツへリダイレクトされます。このような正規の広告配信ネットワークを悪用した攻撃はマルバタイジング(Malvertising)と呼ばれます。SOCが観測したコンテンツをブラウザで閲覧した際の様子を図-6に示します。
ブラウザの画面には、コンピュータに問題が生じたことを示唆する偽の警告が表示されます。また、コンテンツにはユーザの操作に応じて画面をフルスクリーンにする処理が含まれていました。これには、ユーザが画面を閉じるといった操作を妨害する意図があると考えられます。
このコンテンツは静的なWebページであり、クラウドのオブジェクトストレージサービスを用いてホスティングされていました。オブジェクトストレージサービスの中には、静的なWebページをホスティングする機能を備えたものがあります。また、観測した事例とは異なる企業の提供するいくつかのクラウドサービスにおいても、ホスティングの機能が同様の攻撃に悪用される事例を外部情報で確認しています。
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出した脅威種別の割合を図-7に示します。
当月最も多く検出したのは、前月から引き続きHEUR:Hoax.Script.Scaremailでした。全体に占める割合は前月から41.77ポイント減の34.34%でした。これは当該脅威の検出数が前月の1割以下であったことによるものです。検出したメールの件名は「You got hacked and recorded!」や「You have an outstanding payment.」といったものが多く、脅迫やフィッシング攻撃が目的であると考えられます。
また、当月は情報窃取型マルウェアであるFormBookやマルウェアのダウンローダであるGuLoaderに関連するファイルが多く検出されました。この検出は、2位のHEUR:Trojan.Script.Genericや5位のHEUR:Trojan-Downloader.Script.Genericで多く見られました。これらのメールは支払いや請求に関連する件名で、ZIP形式やRAR形式のファイルを添付したものでした。
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | 観測情報 | その他 | |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 12月2日(月) | 脆弱性情報 | Google社は、Androidに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 12月3日(火) | 脆弱性情報 | Google社は、12月3日、18日にChromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 12月10日(火) | 脆弱性情報 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。
|
| 12月10日(火) | 脆弱性情報 | Adobe社は、Acrobatに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 12月10日(火) | 脆弱性情報 | Mozillaは、12月10日、11日にThunderbirdに存在する複数の脆弱性を修正したセキュリティアップデートを公開した。
|
| 12月10日(火) | 脆弱性情報 | Ivanti社は、Ivanti Cloud Services Application(CSA)に複数の脆弱性が存在することを公表した。脆弱性はいずれもCSAの管理Webコンソールに起因するもの。5.0.3より前のバージョンを実行している場合は、修正バージョンへのアップデートを案内している。
|
| 12月11日(水) | 脆弱性情報 | Apple社は、12月11日に複数の製品に存在する脆弱性に対するセキュリティアップデートを公開した。
|
| 12月11日(水) | 脆弱性情報 | Apache Software Foundationは、Apache Struts 2の脆弱性(CVE-2024-53677)が存在することを公表した。脆弱性が悪用されるとリモートからコードが実行される恐れがある。同団体は6.4.0以降のバージョンにアップデートすることを推奨している。 |
| 12月13日(金) | 脆弱性情報 | Google社は、12月13日、23日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 12月23日(月) | 脆弱性情報 | Adobe社は、Adobe ColdFusionにパストラバーサルの脆弱性(CVE-2024-53961)が存在することを公表した。本脆弱性を悪用するPoC(Proof of Concept)が公開されていることを伝えており、修正済みのバージョンへ更新することを推奨している。
|
| 12月24日(火) | 脅威情報 | 米国連邦捜査局(FBI)、米国国防省サイバー犯罪センター(DC3)及び警察庁は、過去に顧客の暗号資産が流出した事案は、北朝鮮に関連するサイバー攻撃グループ「TraderTraitor」による犯行であると公表した。TraderTraitorは北朝鮮当局の下部組織とされる「Lazarus Group」の一部とされている。また、警察庁、内閣サイバーセキュリティセンター及び金融庁は、当該攻撃グループによるソーシャルエンジニアリングの手口例及び緩和策に関する資料を公表し、注意喚起している。
|
| 12月26日(木) | セキュリティ事件 | 12月26日から年末にかけて、航空会社や複数の金融機関はシステムの不具合が発生したことを公表した。不具合はDDoS攻撃と見られる外部からの大量データの送付に起因するもので、顧客情報の流出やマルウェア感染の被害はないとしている。その後、システムは翌月上旬までに復旧し、通常通り利用できるようになったとのこと。 |
| 12月27日(金) | 脆弱性情報 | Palo Alto Networks社は、PAN-OSのDNSセキュリティ機能にサービス拒否(DoS)の脆弱性(CVE-2024-3393)が存在することを公表した。セキュリティアドバイザリにて修正バージョンのリリース状況が公開されており、執筆時点では、一部バージョンの修正はリリース予定となっている。また、アップデートが困難な場合は回避策の適用を推奨している。
|
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
]]>目次
DDoS攻撃の観測情報
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は217件であり、1日あたりの平均件数は7.23件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,680万ppsのパケットによって174.80Gbpsの通信が発生しました。この攻撃は主にDNSプロトコルを用いたUDP Amplificationでした。また、当月最も長く継続した攻撃は1時間14分にわたるもので、最大で55.33Gbpsの通信が発生しました。この攻撃も主にDNSプロトコルを用いたUDP Amplificationでした。
IIJマネージドセキュリティサービスの観測情報
IPS機器における攻撃検出
対象期間において、1サイト当たりの攻撃検出件数と攻撃種別トップ10の割合を以下に示します。
当月の対象期間において最も多く検出したのは、Apache HTTP Server path traversal and file disclosure (CVE-2021-41773)で、60.03%でした。通信の大半は、マイニングマルウェアであるRedTailのダウンローダの実行を試みるもので、検出件数は前月に近い水準で推移しています。
また、当月の攻撃種別トップ10には含まれていませんが、Palo Alto Networks社製PAN-OSの管理Webインタフェースに存在する認証バイパス(CVE-2024-0012)及び権限昇格(CVE-2024-9474)に関連する通信を新たに観測しました。
観測した通信は、認証バイパスが可能となるパスへアクセス試行しているものでコマンド実行などの通信は確認できませんでしたが、Palo Alto Networks社ではコマンド実行やWebshellを設置する攻撃があったことを報告しています。 1
脆弱性の影響を受けるPAN-OSのバージョンは以下の通りです。該当する製品を利用されている場合には、バージョン情報の確認及びアップデートを推奨します。
- 認証バイパスの脆弱性(CVE-2024-0012)
- PAN-OS 11.2.4-h1以前の11.2系のバージョン
- PAN-OS 11.1.5-h1以前の11.1系のバージョン
- PAN-OS 11.0.6-h1以前の11.0系のバージョン
- PAN-OS 10.2.12-h2以前の10.2系のバージョン
- 権限昇格の脆弱性(CVE-2024-9474)
- PAN-OS 11.2.4-h1以前の11.2系のバージョン
- PAN-OS 11.1.5-h1以前の11.1系のバージョン
- PAN-OS 11.0.6-h1以前の11.0系のバージョン
- PAN-OS 10.2.12-h2以前の10.2系のバージョン
- PAN-OS 10.1.14-h6以前の10.1系のバージョン
昨今、ファイアウォールやVPNデバイスなどの管理Webインタフェースが侵入口となる脆弱性が発見されることは珍しくありません。このことから、管理Webインタフェースへアクセス可能なIPアドレスを制限することは緩和策の1つとなります。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-6に示します。
対象期間内に最も多く検出したのはHEUR:Trojan.Script.Genericであり、全体に占める割合は90.29%でした。当該シグネチャによる検出では、前月までと同様にParrot TDSの特徴を持つJavaScriptファイルが検出されました。スクリプトの一部では、これまでSOCが観測したParrot TDSの難読化とは異なる特徴が見受けられます(図-7)。この難読化はJavaScriptのコードを一定の規則で並び替えた文字列を変数として定義し、以降のコード内関数によって復元するものでした。
2位のHEUR:Trojan.Script.Iframerでは、2024年8月と同様にiframe要素を利用して悪意のあるコンテンツを表示するJavaScriptファイルを検出しています。当該ファイルは正規サイトを模倣した偽サイト上に配置されていました。模倣された正規サイトには日本国内の大学が複数含まれており、以前より様々な大学から偽サイトに関する注意喚起 2 3が出されています。今回観測した偽サイトへのアクセスについても、注意喚起で言及されているように検索エンジンを経由したアクセスが多くあることを確認しています。検索エンジンの検索結果からアクセスする場合であっても、URLのドメインが正規のサイトものであるかを確認するなどの注意が必要です。
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出した脅威種別の割合を図-8に示します。
対象期間内に最も多く検出したのはHEUR:Hoax.Script.Scaremailであり、全体に占める割合は前月比74.28ポイント増の76.11%でした。これは当該の脅威を検出した件数が、前月に比べて大幅に増加したためです。脅威を検出したメールの件名には、支払いの催促やフィッシングを意図した内容が多く含まれました。最も多く検出した件名は「There is an overdue payment under your name. Please, settle your debts ASAP.」で、当該の脅威を検出したメールの約半数を占めました。
5位から8位で検出している名称にMSOfficeを含む脅威の多くは、情報窃取型マルウェアのSnake Keyloggerへの感染を狙ったものでした。脅威を検出したメールの多くは、英語で支払いの催促や送金などを装った件名を用いており、Microsoft Word(docx)形式やMicrosoft Word 97-2003(doc)形式のファイルを添付したものでした。
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | 観測情報 | その他 | |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 11月4日(月) | 脆弱性情報 | Google社は、Androidに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 11月5日(火) | 脆弱性情報 | Google社は、11月5日、12日、19日にChromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 11月8日(金) | 脆弱性情報 | D-Link社は、同社が提供する複数のNASデバイスでリモートによるコマンドインジェクションの脆弱性(CVE-2024-10914)が存在することを公開した。この脆弱性で影響を受けるデバイスはすべてEOL、EOSとなっており、同社は該当の製品の利用停止を強く推奨している。
|
| 11月11日(月) | 脆弱性情報 | Google社は、11月11日、21日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 11月12日(火) | 脆弱性情報 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。
|
| 11月12日(火) | 脆弱性情報 | Mozillaは、11月12日、26日にFirefox及びThunderbirdに存在する複数の脆弱性を修正したセキュリティアップデートを公開した。
|
| 11月18日(月) | 脆弱性情報 | Apache Software Foundationは、Apache Tomcatにおける複数の脆弱性(CVE-2024-52316、CVE-2024-52317、CVE-2024-52318)が存在することを公開した。CVE-2024-52316は未認証のユーザが認証をバイパスできる脆弱性で、CVE-2024-52317はユーザ間でリクエストと応答の取り違えが発生する脆弱性、CVE-2024-52318は一部のタグの出力がエスケープされず、XSS攻撃を引き起こす脆弱性となっている。同団体はこれらの脆弱性を修正したアップデートを提供している。
|
| 11月18日(月) | 脆弱性情報 | GNU ProjectのWgetに、短縮URLに起因する脆弱性(CVE-2024-10524)が存在することが判明した。この脆弱性は、サーバサイドリクエストフォージェリ、フィッシング攻撃、中間者攻撃へ繋がる恐れが指摘されているが、悪用には認証制御が必要であることから、攻撃を成功させる可能性は低いとされている。同団体は修正済みのアップデートを提供している。
|
| 11月18日(月) | 脆弱性情報 | Palo Alto Networks社は、PAN-OSのWeb管理インタフェースにおいて、認証をバイパスできる脆弱性(CVE-2024-0012)と権限昇格が可能となる脆弱性(CVE-2024-9474)が存在することを公開した。CVE-2024-0012により、未認証のリモートユーザが管理者権限を取得し、管理者アクションの実行や構成の改ざん、権限昇格を行われる恐れがある。さらに、CVE-2024-9474により、管理者権限を持つユーザがルート権限でファイアウォール上でアクションを実行される恐れがある。また、米サイバーセキュリティインフラストラクチャーセキュリティ庁(CISA)は、これらの脆弱性が既に悪用されているとしてKnown Exploited Vulnerabilities Catalog(KEV)に追加した。これらの脆弱性はセキュリティアップデートによって修正されている。
|
| 11月19日(火) | その他 | 米国司法省は、ランサムウェアグループ「Phobos」を運営したロシア人国籍の被疑者を検挙した。この攻撃グループは世界中の1,000以上の公的機関及び民間組織を被害に遭わせたと報じられている。捜査には日本の警察庁を含む各国法執行機関が協力した。
|
| 11月19日(火) | 脆弱性情報 | Apple社は、11月19日に複数の製品に存在する脆弱性に対するセキュリティアップデートを公開した。
|
| 11月25日(月) | セキュリティ事件 | ホテル事業者は、同社が利用しているオンライン予約システムが不正アクセスを受けたことにより、一部の顧客に対してフィッシングメールが配信されたことを公表した。また、この不正アクセスにより、オンライン予約システム経由の宿泊予約情報に含まれる顧客の個人情報が流出した可能性があるとのこと。 |
| 11月25日(月) | セキュリティ事件 | 国内の病院は、PC機器の廃棄におけるデータ消去処理の不備により、個人データの漏えいが発生した可能性を公表した。電子カルテに入力される診療データは別の機器に保存されていたため、漏えいの恐れはないとしている。 |
| 11月26日(火) | セキュリティ事件 | 食品販売事業者は、運営するWebサイトに対して、アカウントのなりすましによる不正ログインが確認されたことを公表した。これにより、被害を受けたアカウントの顧客情報が不正に参照された可能性があるとのこと。事業者は、該当アカウントに対してパスワードリセットを実施し、顧客に対してパスワードの再設定とカスタマーサポート窓口への案内を行っている。 |
| 11月27日(水) | その他 | DDoS攻撃を代行する人物らに依頼し、企業が運営するサイトを閲覧できない状態にさせて業務を妨害した疑いがあるとして、京都府警が中国籍夫婦を逮捕したことを複数のメディアが報じた。DDoS攻撃の依頼先は中国の総合ポータルサイトに掲示されていたサイトの脆弱性診断の広告から知り、1回の攻撃で約750元支払ったとされる。 |
| 11月27日(水) | 脆弱性情報 | Zabbix社は、オープンソースの統合監視ソフトウェアZabbixにSQL インジェクションの脆弱性(CVE-2024-42327)が存在することを公開した。デフォルト権限または、API利用権限を持つユーザであれば、この脆弱性を悪用して管理者権限を取得し、不正な権限昇格を行える可能性がある。この脆弱性はセキュリティアップデートによって修正されている。
|
| 11月29日(金) | セキュリティ事件 | インターネットサービス会社は、同社が運営するSNSのアルバム機能においてサムネイルが正しく表示されない不具合があったことを公表した。この不具合により、利用者のアルバムのサムネイルに他のユーザのアルバムのサムネイルが表示されたとのこと。 |
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
Notes:
- [1] Palo Alto Networks, Threat Brief: Operation Lunar Peek, Activity Related to CVE-2024-0012 and CVE-2024-9474, 2024/11/22 ↩
- [2] 札幌大学, 【注意喚起】札幌大学公式Webサイトの偽サイトにご注意ください,
2024/11/15 ↩ - [3]愛知教育大学, 愛知教育大学の偽サイトに御注意ください。, 2024/12/12 ↩
目次
DDoS攻撃の観測情報
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は241件であり、1日あたりの平均件数は7.77件でした。期間中に観測された最も規模の大きな攻撃では、最大で約477万ppsのパケットによって49.63Gbpsの通信が発生しました。この攻撃は主にDNSプロトコルを用いたUDP Amplificationでした。また、当月最も長く継続した攻撃は12分にわたるもので、最大で16.80Gbpsの通信が発生しました。この攻撃も主にDNSプロトコルを用いたUDP Amplificationでした。
IIJマネージドセキュリティサービスの観測情報
IPS機器における攻撃検出
2024年10月に検出した1サイト当たりの攻撃検出件数と攻撃種別トップ10の割合は以下のとおりです。
対象期間に最も多く検出したのは、Apache HTTP Server path traversal and file disclosure (CVE-2021-41773)で全体の50.81%を占めていました。当該シグネチャは前月から16.39ポイント増加し、2ヵ月連続で最多検出となりました。観測した通信は前々月から引き続き、マイニングマルウェアであるRedTailのダウンローダの実行を試みるものでした。
2番目に多く検出したのは、Zyxel Communications IKEv2 Notify Payload Remote Code Execution Vulnerability (CVE-2023-28771)でした。当該脆弱性はZyxel社のファイアウォールに存在するもので、コマンドインジェクション攻撃によりリモートから任意のOSコマンドの実行が可能になります。今年の7月頃から当該シグネチャによる検出数は増加傾向にあり、当月では前月の1.5倍の検出を確認しています。
検出した攻撃の多くは外部サイトからシェルスクリプトをダウンロードして実行させるものでした(図-4)。調査時点で取得したシェルスクリプトではIoTマルウェアのMiraiへの感染を目的としていることを確認しました。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-5に示します。
対象期間に最も多く検出したのはHEUR:Trojan.Script.Genericで、全体の75.26%を占めました。この検出の多くは前月と同様にParrot TDS(Traffic Direction System)の特徴を持つJavaScriptファイルでした。このほかに、ClickFix(ClearFake)の攻撃キャンペーンを確認しています。この攻撃キャンペーンでは、悪意あるJavaScriptファイルが含まれたWordPressプラグインが複数用いられ、導入されたWebサイトの閲覧者が攻撃対象となります。
この攻撃キャンペーンではEtherHidingと呼ばれる攻撃手法を利用しており、図-6のコードが実行されることで、ブロックチェーンのスマートコントラクトに配置された悪意あるコードが取得されます。調査時点では悪意あるコードを実行したあとの挙動は確認できませんでしたが、コードが実行されるとTDSを通じてWebサイト閲覧者にブラウザの更新を求める偽のポップアップを表示させ、情報窃取型マルウェアなどへの感染に誘導することをGoDaddy社が報告しています。 1
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出した脅威種別の割合を図-7に示します。
当月最も多く検出したのはHEUR:Trojan.Script.Genericで、前月比16.86ポイント増の35.95%でした。この脅威では、日本語の件名を含むものが一部検知されており、「見積依頼」の件名で「RFQ_List.html」という名称のHTMLファイルが添付されていました。このファイルを開くことで外部サイトに遷移し認証情報の入力が求められ、ユーザがブラウザ上で認証情報を入力した場合にその情報が外部サイトへ送信される恐れがあります。次点で検出しているHEUR:Hoax.Script.Mailoyについては支払いを要求する脅迫メールであり、件名が存在しないものや「Re:」や「Fw:」のみが件名に含まれているメールが多く検出されました。
3番目に多く検出したHEUR:Hoax.HTML.Phishでは、「Payment Advice」から始まる支払い通知に関連した件名で香港の金融機関を装ったメールを複数検知しました。これらのメールに添付されたHTMLファイルを開くと、ファイル内容の確認のために認証情報の入力を求める画面がブラウザ上で表示されます。ユーザがブラウザ上で認証情報を入力した場合にその情報が外部サイトへ送信される恐れがあります。
また、当月は日本語件名のメールにおいて情報窃取型マルウェアであるSnakeKeyLoggerやFormBook、マルウェアのダウンローダであるGuLoaderに感染させることを狙ったファイルの添付を検知しています(表-1)。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。複数のメールで検知しているSnakeKeyLoggerは、感染した場合にユーザの機密情報が収集されFTPやSMTP、Telegramを通じて外部に送信される恐れがあります。
| 検知日付 | 件名 | 添付ファイル名 | 感染するマルウェア |
|---|---|---|---|
| 2024-10-01 | お見積り依頼 | お見積り依頼.zip | SnakeKeyLogger |
| 2024-10-01 | 特典への署名 – 署名して返送 – <文字列> | 特典への署名 – 署名して返送#9553-01.tbz | GuLoader |
| 2024-10-02 | 見積依頼 | 見積依頼.zip | SnakeKeyLogger |
| 2024-10-07 | 必要な供給 | 注文.pdf | FormBook |
| 2024-10-21 | お見積り依頼 | お見積り依頼.r00 | SnakeKeyLogger |
| 2024-10-29 | 支払い依頼のコピーを確認する | 付款收据_PDF.zip | SnakeKeyLogger |
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | 観測情報 | その他 | |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 10月1日(火) | セキュリティ事件 | 保育施設運営会社は、同社のサーバがランサムウェア攻撃を受けたことを公表した。公表時点では詳細な原因の特定などは調査中であり、情報漏えいの事実は確認できていないが、同社が保有する企業情報や個人情報の一部が漏えいした可能性があるとのこと。また、同社に施設の運営を委託している自治体も個人情報が漏えいした可能性があることを公表している。 |
| 10月1日(火) | 脆弱性情報 | Mozillaは、10月1日、9日、10日、14日、29日にFirefox及びThunderbirdに存在する複数の脆弱性を修正したセキュリティアップデートを公開した。
|
| 10月1日(火) | 脆弱性情報 | Google社は、10月1日、8日、15日、22日、29日にChromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 10月1日(火) | 脆弱性情報 | Google社は、10月1日、15日、29日にChromeOSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 10月3日(木) | セキュリティ事件 | 大手飲食店チェーンは、同社が運営するECサイトにおいて第三者による不正アクセスにより、顧客の個人情報及びクレジットカード情報が漏えいした可能性があることを公表した。原因は、ECサイトのシステムの脆弱性を攻撃者に利用され、ペイメントアプリケーションの改ざんが行われたためとのこと。また、当該事象とは別だが、同月29日に鞄メーカの運営するECサイトでもペイメントアプリケーションの改ざんによる情報漏えいの可能性を公表している。 |
| 10月3日(木) | 脆弱性情報 | Apple社は、10月3日、28日、29日に複数の製品に存在する脆弱性に対するセキュリティアップデートを公開した。
|
| 10月3日(木) | その他 | 米国司法省は、ロシアの諜報機関が米国内でのスピアフィッシング攻撃に使用していた41のドメインを押収したことを公表した。また、官民連携の枠組みによってMicrosoft社が同一のアクターグループが使用していた66のドメインを差し押さえるための民事訴訟を提起したことを公表した。Microsoft社ではこのグループを「Star Blizzard」と呼称しており、過去に30を超える民間組織・企業へのスピアフィッシング攻撃に関わったとしている。
|
| 10月7日(月) | セキュリティ事件 | 損害保険鑑定会社は、同社のサーバーがランサムウェアに感染したことを公表した。公表時点では、漏えいした恐れのある情報については調査中とのこと。本事案では、同社に損害調査業務を委託していた複数の損害保険会社が自社の顧客などの情報が漏えいした恐れがある旨を公表している。 |
| 10月7日(月) | 脆弱性情報 | Google社は、Androidに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
|
| 10月8日(火) | 脆弱性情報 | Microsoft社は、複数のソフトウェアに対する月例セキュリティ更新プログラムを公開した。
|
| 10月16日(水) | セキュリティ事件 | 大手飲食店チェーンは、同社のサーバがランサムウェア攻撃を受けたことを公表した。同社の従業員や取引先の個人情報、業務で作成した電子ファイルに保存した情報などが漏えいした可能性があるとのこと。この攻撃により、社内システムの一部が使用できなくなるといった影響が出ている。 |
| 10月16日(水) | その他 | 米国司法省は、サイバー犯罪グループAnonymous Sudanの運営に関与した疑いで2名の人物を起訴したことを公表した。また、本事案に関連して2024年3月にはAnonymous SudanがDDoS攻撃に使用していたツールを米国司法省が押収・無効化していたとのこと。押収されたツールを用いて、Anonymous Sudanは顧客にDDoS攻撃代行サービスを提供していた。Anonymous Sudanとその顧客は、2023年初頭から約1年間の活動において3万5千件を超えるDDoS攻撃に関わったとされる。本事案は、各国の法執行機関や民間企業が連携してDDoS攻撃に用いられるインフラの解体を目的とした取り組みであるOperation PowerOFFの一貫とのこと。
|
| 10月23日(水) | 脆弱性情報 | Cisco社は、Cisco ASAの脆弱性(CVE-2024-20329)、Cisco FMCの脆弱性(CVE-2024-20424)、Cisco Firepowerの脆弱性(CVE-2024-20412)を公開した。CVE-2024-20329・CVE-2024-20424は認証済みのユーザがroot権限でOSコマンドをリモート実行することが可能となる脆弱性で、CVE-2024-20412は未認証のローカルユーザがシステムにハードコードされた静的認証情報を利用して不正アクセスが可能となる脆弱性となっている。同社はこれらの脆弱性を修正したアップデートを提供している。
|
| 10月23日(水) | 脆弱性情報 | Fortinet社は、同社が提供するセキュリティ管理プラットフォーム「FortiManager」のfgfmdデーモンにおいて認証の欠如の脆弱性(CVE-2024-47575)が存在していることを公開した。この脆弱性により、リモートで任意のコードまたはコマンドを実行される恐れがある。また、米サイバーセキュリティインフラストラクチャーセキュリティ庁(CISA)は、当該脆弱性が既に悪用されているとしてKnown Exploited Vulnerabilities Catalog(KEV)に追加した。当該脆弱性はセキュリティアップデートによって修正されている。
|
| 10月28日(月) | その他 | 米国司法省は、Operation Magnusと呼ばれる共同作戦によって、情報窃取型マルウェアのRedLine及びMETAを無効化したことを公表した。両マルウェアは密接に関連しており、感染数が世界中で数百万台に上るとの推計もあるとのこと。RedLine及びMETAはMalware as a Service(MaaS)モデルで販売されており、ライセンスの購入者は様々な方法で被害者の端末にマルウェアを感染させていた。共同作戦では、マルウェアのインフラとなっていた3台のサーバがオランダでテイクダウンされ、2つのドメインが押収された。また、マルウェアの開発や管理に関わっていた疑いのある人物が米国で告訴され、ベルギーで拘留されたとのこと。
|
| 10月29日(火) | セキュリティ事件 | デリバリーサービス会社は、同社のサーバが暗号資産マイニングマルウェアRedTailに感染していたことを公表した。サーバが高負荷となったことをきっかけとして継続的に調査する過程で判明したとのこと。本事案では2度に渡って同社が提供するサービスの停止が生じており、1度目は10月25日(金)にサーバが高負荷となったことからサービスを停止している。その後、当該サーバを切り離してサービスを再開していたが、翌10月26日(土)にも異なるサーバが高負荷となったことで再びサービスを停止した。前述のマルウェアが発見・削除された上で安全性が確認できたことから10月29日(火)にサービスを再開したとのこと。 |
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
Notes:
- [1] GoDaddy, Threat Actors Push ClickFix Fake Browser Updates Using Stolen Credentials, 2024/10/17 ↩