大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。
※「●」印は特に重要な事象につけられています。
>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針
>>岩井氏 取材記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」
【1】前月総括
先月は、米ペロシ下院議長の訪台をきっかけとし、サイバー空間は俄に騒がしくなりました。各国メディアが台湾の政府系サイトへの DDoS 攻撃やウェブ改ざんなどが発生したことを報じたこともあり、日本への影響も懸念されましたが杞憂に終わりました。
関連報道として話題となったのは、中国のハクティビストである 27Attack( @APT27Attack )を名乗るハクティビストが、Youtube や Twitter 上で台湾政府や重要インフラへの攻撃を行ったと投稿し、話題となりました。一方、台湾側のハクティビストも反撃しており、一例として中国人民解放軍の戦略支援部隊隷下の解放軍信息工程大学( PLAIEU )の入試サイトが改ざんされたことが報じられています。
関連して、認知戦も展開されており、台湾国防部政治工作局副局長の陳育琳氏は、8 月 8 日までに 272 件の虚偽情報の拡散を確認していると述べ、注意喚起を行っていました。
脅威動向におきましては、Github や PyPI のリポジトリを悪用したソフトウェア・サプライチェーン攻撃が注目されています。一部は、中国を拠点とする脅威アクターによるものである可能性が高いことが判明しています。憶測の域を出ませんが、システム開発者やサーバ運用を行うサービスプロバイダーなどを標的とし、最終的にはシステムの納品先などへの侵入を企んでいるのかもしれません。この種の事案が発生しますと、DevSecOps の重要性を改めて感じざるを得ません。
Kaspersky 社が、北朝鮮の脅威アクターが Maui ランサムウェアを悪用し、2021 年に日本の住宅会社を攻撃していたことを報告しています。これは、APT38(別名、Lazarus )の傘下の Andariel の活動によるものです。これまで北朝鮮の APT グループの活動は日本国内でもたびたび報告されていましたが、建築分野への攻撃は非常に珍しいものです。今回のようなランサムウェアを利用した攻撃は、業種は関係ありませんので、北朝鮮の APT グループは、標的対象を徐々に拡大していくことが予想されます。
ウクライナ情勢に関してですが、ウクライナ国営原子力企業のエネルゴアトムは、ロシアのハクティビスト「 People's Cyber Army 」が 725 万のボットを利用し、同社のウェブサイトに対して約 3 時間の大規模な DDoS 攻撃などを実施したと発表しています。ちなみに、「 People's Cyber Army 」の Telegram チャンネル自体は、盛況なものではなく攻撃も一部のユーザが関与しているものと思われます。
次に、脆弱性情報ですが、Apple 社が MacOS や iOS に対して緊急パッチをリリースしています。これは、iPhone、iPad、Mac の未解決の脆弱性( 0day )を悪用した攻撃活動を受けてのものとみられます。なお、脆弱性の詳細はほとんど公開されておらず、CVE-2022-32894 と CVE-2022-32893 が対象となることが報告されています。前者は、OS のカーネルに存在する境界外書き込みの脆弱性、後者は Safari などウェブにアクセスできるアプリが使用しているウェブブラウザエンジン「 WebKit 」における境界外書き込みの脆弱性とのことで、いずれも悪意ある第三者によるコード実行が可能となるものとのことです。
異色の報告として、Check Point Software Technologies 社が、中国の Xiaomi 社のスマートフォンに内属されている決済システム( MediaTek 社製)に関連する脆弱性を報告しています。この脆弱性は、非特権 Android アプリから決済パッケージの偽造や決済システムの無効化を可能にするとのことです。
米国では、中間選挙を 11 月に控え、米サイバー軍と国家安全保障局( NSA )の関係者が、選挙セキュリティ対策合同チームがイランや中国、ロシアなどの敵対勢力による干渉から守るためにすでに活動していると発表しました。(米国では 2017 年に DHS が「選挙セキュリティ」を重要インフラの構成要素に指定)
同発表に先立ち、米 CISA と Joint Cyber Defense Collaborative ( JCDC )は、州および地方の選挙管理者が利用できる無料のサービスおよびツールのカタログである Cybersecurity Toolkit to Protect Elections をリリースしています。このような国政に関わるセキュリティ関連ツールの開発は、日本も見習いたいところですね。
