01エグゼクティブサマリ

■ JNSA 2021セキュリティ十大ニュース

https://www.jnsa.org/active/news10/2021.html

■ JPCERT/CC 2021年10月から12月振返り

https://www.jpcert.or.jp/newsflash/2021122301.html

■ Apache Log4jに重大な脆弱性【Log4Shell】

Log4jはログ出力制御ライブラリです。Java開発プログラムでは多く利用されているだけでなく、ミドル製品に含まれているケースも非常に多い製品です。この遍在性のため長期間に渡り悪用が懸念されている重大な脆弱性です。脆弱性は「ログに記録された特別に細工された文字列を取得することで任意コードをリモートで実行できてしまう」というものです。セキュリティ研究者は、過去10年で最大のセキュリティ欠陥であると警告しています。米CISAは「米国政府機関に対して12/24までに修正を命じる緊急指令を発令」しています。ただし、現状の影響範囲や対応も微妙に変化しておりますので定期的な情報収集を行い、最新対応を行ってください。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
https://logging.apache.org/log4j/2.x/security.html

02サイバー攻撃動向

■ Log4j欠陥：国家に支援されたハッカーが攻撃使用しているとMicrosoftが警告

• マイクロソフトは、中国、イラン、北朝鮮、トルコの国家支援ハッカーがLog4j脆弱性の悪用を開始しランサムウェアを含むマルウェアを展開していると警告しています。
  米国CISAの関係者が予測したように、より高度な攻撃者がLog4Shellバグ（CVE-2021-44228）を悪用し始めています。脆弱なバージョンのLog4jJavaライブラリを実行しているデバイスやアプリケーションに影響を及ぼします 。
  これは、リモート攻撃者が侵害後にデバイスを乗っ取ることができる強力な欠陥です。
  CISA当局者は、バグが修正されるまで何億もの企業および消費者向けデバイスが危険にさらされていると警告しています。Log4Shell「今知っておくべきこと」を以下に記載します。
  • 米国はLog4Shellが何億ものデバイスを危険にさらすと警告している
  • 攻撃者はこの深刻な脆弱性を悪用しようと何千回も攻撃を試みていることを観測している
  • ボットネットが脆弱性を利用した攻撃（Log4jRCEアクティビティ）は12月1日より開始されている
• マイクロソフトの観測では、攻撃の大部分は脆弱システム探索の大量スキャンです。悪用が容易で、Log4Jが広く配布されているため高度な犯罪者や、国が後援する攻撃者にとって魅力的な標的になっています。

■ 英SPARサイバー攻撃で330店舗が閉鎖状態に

• 国際的スーパーマーケットフランチャイズSPARがサイバー攻撃で英北東部330店舗に影響を与えました。多くの店舗は攻撃後にレジシステム、クレジットカード決済、バックオフィスシステム等に大きな影響があり、店舗の一時閉鎖または現金のみの支払い切り替えを余儀なくされました。影響の大きさよりサイバー攻撃はランサム攻撃と考えられます。

■ FBIレポート：キューバランサムウェアグループ

• FBIはキューバのランサムウェアに関するレポートを発表しました。グループが「5つの重要なインフラセクター49組織」を攻撃し少なくとも4390万ドルの身代金を支払ったことを説明しています。
• キューバランサムウェアは、リモートアクセストロイの木馬（RAT）やその他の種類のランサムウェアなどの情報詐取プログラムを被害者ネットワークで実行することで知られるローダーで、Hancitorマルウェアを介して配布されます。犯罪者は、フィッシングメール、Microsoft Exchangeの脆弱性、盗まれた資格情報、正当なリモートデスクトッププロトコル（RDP）ツールなどを使用して被害者ネットワークにアクセスします。キューバランサムウェアは、PowerShell、PsExecなどの正当なWindowsサービスを利用し、Windows管理者権限でランサムウェアやプロセスをリモート実行します。
• FBIはキューバグループの恐喝は少なくとも49組織と認識していました。「被害者の数は少ないものの、少なくとも4390万ドルを稼いだとFBIは報告しています。ランサムウェアがこれら犯罪グループにとって非常に有益であることを示しています。