2021年7月17日から23日までに発生したセキュリティインシデントの概要

2021/07/27 セキュリティーニュース
logo

■概要

イスラエルのスパイウェアベンダーであるNSOグループとそのペガサスプログラムを取り巻くスキャンダル、中国政府に対するハッキングキャンペーンの告発、興味深い脆弱性とランサムウェア攻撃-これらのインシデントについて、ご一読ください。 

■ペガサススパイウェア

今週の注目を集めたイベントの1つは、フランスのNGO ForbiddenStoriesと人権団体AmnestyInternationalによる、ジャーナリスト、政治家、反体制派をスパイするための数十か国の政府によるペガサススパイウェアの使用に関するレポートでした。 組織は、ペガサスデータベースから5万の電話番号のリストを自由に利用できます。 このリストには、とりわけ、Telegramメッセンジャーの作成者であるPavelDurov氏とフランスの大統領EmmanuelMacron氏の電話番号が含まれていました。

 

レポートは、ペガサスの開発者であるイスラエルの会社NSO Groupに多くの質問を投げかけたが、最終的にはアムネスティ・インターナショナルとForbiddenStoriesによる同社の製品の誤用の申し立てについてコメントしないと述べた。

■Microsoft Exchangeサーバーへの大規模な攻撃

 今週、米国、英国、NATO、および関連国は、中国政府がMicrosoft Exchangeサーバーへの大規模な攻撃を実行し、世界中の数万の企業に影響を与えたと非難しました。

 

 ■サイバー攻撃で4人の中国市民を起訴

米国当局は、2011年から2018年にかけて、米国、ドイツ、カナダ、南アフリカ、英国、オーストリア、スイス、サウジアラビア、およびその他のいくつかの国の企業、大学、政府機関に対するサイバー攻撃で4人の中国市民を起訴しました。

 

■13のパイプラインオペレーターのコンピューターネットワークに侵入

今週、FBIとCISAは、中国政府が後援するハッカーが2011年から2013年の間に米国の少なくとも13のパイプラインオペレーターのコンピューターネットワークに侵入したと報告しました。 ハッカーはパイプラインの運用を妨害しようとはしませんでした。彼らはSCADAシステム、従業員のリスト、資格情報、およびシステムを管理するためのマニュアルに関連する情報にもっと興味を持っていました。

 

ハッカーグループAPT31(Zirconium)によるフランスの組織への攻撃

 さらに、フランスのサイバーセキュリティ機関ANSSIは、中国のものとされるハッカーグループAPT31(Zirconium)によるフランスの組織への攻撃について警告しました。 攻撃者は、侵害されたホームルーターとオフィスルーターのネットワークを使用して、攻撃の発信元を隠します。  APT31グループは2つの中国のAPT(2つ目はAPT40)の1つであり、米国と同盟国はMicrosoftExchangeサーバーへの大規模な攻撃で非難しています。

■サイバー攻撃から身を守るためのグローバルなプラットフォームの構築

最近の出来事に照らして、イスラエルのナフタリ・ベネット首相は、サイバー攻撃から身を守るためのグローバルなプラットフォームを作成するよう世界のコミュニティに呼びかけました。 彼の意見では、さまざまなサイバー脅威から州、その市民、およびさまざまな部門を最もよく保護するのはグローバルシールドです。

■Secure Mobile Access(SMA)100デバイスの脆弱性を悪用した攻撃

 SonicWallとCISAは、HelloKittyランサムウェアの運営者によって組織された悪意のあるキャンペーンについてユーザーに警告しました。 攻撃者は、End of Life(EOL)に達したSecure Mobile Access(SMA)100およびSecure Remote Access(SRA)デバイスを標的にします。 攻撃中に、ハッカーはファームウェアの脆弱性を悪用します。これは新しいバージョンで修正されています。

 

■PulseSecureデバイスの脆弱性を悪用した攻撃

 今週発行された別のCISA警告は、PulseSecureデバイスの脆弱性を悪用する攻撃に関するものです。 今年4月に始まった攻撃は、米国およびその他の国の防衛、政府、および金融機関を標的にしました。

 

■石油会社SaudiAramco社への攻撃

サイバー犯罪グループZeroXは、世界最大の石油会社SaudiAramcoが所有する1TBの機密データを盗み、ダークネットで売りに出しました。 攻撃者はサウジアラムコのデータを初期価格500万ドルで提供します。グループは、サウジアラムコのネットワークへのアクセスに使用された脆弱性については説明しませんでしたが、代わりに「ゼロデイエクスプロイト」と呼びました。

■ランサムウェア攻撃

 残念ながら、この1週間は、ランサムウェア攻撃がなかったわけではありません。 特に、クラウドホスティングと統合ITインフラストラクチャ管理サービスCloudstarのアメリカのプロバイダーに対するランサムウェア攻撃は、数百の企業の活動を混乱させ、別のランサムウェア攻撃は、英国の国営鉄道会社であるノーザントレインの券売機の誤動作を引き起こしました。

 

3週間前にアメリカのIT企業Kaseyaは、ランサムウェアグループREvilによる攻撃に苦しみ、暗号化されたデータを回復するためのユニバーサル復号化機能を受け取ったと報告しました。 当初、REvilグループは7000万ドルの価格で復号化ツールを提供しましたが、その後5000万ドルに値下げしました。Kaseyaが身代金を支払ったのか、会社が他の方法で復号化キーを取得したのかは不明です。

 

■南アフリカの国営物流会社のトランスネットへのサイバー攻撃

 南アフリカの国営物流会社のトランスネットがサイバー攻撃の犠牲になったとされています。 トランスネットは、鉄道貨物、パイプライン、エンジニアリング、不動産部門が通常通り稼働している間、コンテナターミナルが混乱に見舞われたと述べた。

■Google Chromeブラウザから資格情報を盗むことができる2つの悪意のあるNPMパッケージを発見

ReversingLabsは、NPMリポジトリで、Windowsシステム上のGoogle Chromeブラウザから資格情報を盗むことができる2つの悪意のあるNPMパッケージを発見し、さらにスパイウェア活動のためのバックドアをインストールしました。 パッケージ(nodejs_net_serverおよびtemptesttempfile)は、2018年からリポジトリにあり、合計で2,000を超えるダウンロードがあります。

 

■Linuxの新しい脆弱性

 Qualysの専門家は、Linuxの新しい脆弱性を発表しました。これにより、ほとんどのディストリビューション、特にUbuntu、Debian、Fedoraでスーパーユーザー権限を取得できます。

 

 Sequoiaと呼ばれるこの問題(CVE-2021-33909)は、Linuxファイルシステムに含まれており、範囲外の読み取りの脆弱性です。 専門家によると、問題はファイル名の長さの誤った処理に関連しています。 その問題によって、特権のないローカルユーザーはスーパーユーザー権限でコードを実行できます。

■主要メーカーが使用する一般的なプリントドライバーに脆弱性

サイバーセキュリティの研究者は、HP、Xerox、Samsungなどの主要メーカーが使用する一般的なプリントドライバーに脆弱性を発見しました。

 

 CVE-2021-3438として識別されるこの問題は、2005年からコードに存在し、過去16年間に製造された数百万のプリンター、具体的には380を超えるHPおよびSamsungプリンター、および少なくとも12のXeroxデバイスモデルに影響を及ぼします。