※本レポート内の情報を用いての行為に起因して生じた損害、トラブル、紛争について当社は何ら責任を負わないものとします。予めご了承ください。
※本レポートの無断転載・無断使用はご遠慮ください。
※セキュリティに関するご相談やご依頼などございましたらお気軽にお問い合わせください。
01エグゼクティブサマリ
■ IPA情報セキュリティ10大脅威 2022
新しい10大脅威へ「ゼロディ攻撃」が追加されています。
https://www.ipa.go.jp/files/000095773.pdf
■ 2022年1月フィッシング報告
フィッシング対策協議会の報告では、報告件数は減少していますが、フィッシングサイトのURLと悪用されたブランド数は増加しており従来の金融系だけではなく、フードデリバリサービスを騙る報告や、偽装SMSから誘導されるケースが増えているとしています。
https://www.antiphishing.jp/report/monthly/202201.html
■(再掲載)Apashe Log4jに重大な脆弱性【Log4Shell】
Log4jはログ出力制御ライブラリです。Java開発プログラムでは多く利用されているだけでなく、ミドル製品に含まれているケースも非常に多い製品です。この遍在性のため長期間に渡り悪用が懸念されている重大な脆弱性です。脆弱性は「ログに記録された特別に細工された文字列を取得することで任意コードをリモートで実行できてしまう」というものです。セキュリティ研究者は、過去10年で最大のセキュリティ欠陥であると警告しています。米CISAは「米国政府機関に対して12/24までに修正を命じる緊急指令を発令」しています。ただし、現状の影響範囲や対応も微妙に変化しておりますので定期的な情報収集を行い、最新対応を行ってください。
https://www.ipa.go.jp/security/ciadr/vul/alert20211213.html
■ 1月の脅威の傾向】
12月と比較すると、日本へのサイバー攻撃被害の傾向は変わりませんが被害件数は横ばいか減少しています。傾向は「大企業、公共機関、オンラインスーパー」で、目的は企業情報スパイ、公的機関HP改ざんなどの威力示唆、顧客カード情報詐取などに分類できます。一方で、クラウドサーバをサイバー攻撃のC2サーバとして悪用するなど、攻撃手口の高度化、複雑化している事例が報告されています。不特定多数へのサイバー攻撃は、メール添付、不正URLなど従来の手口がまだまだ主流ですので、不審なメールのURLや添付ファイルは開かない慎重さが必要です。
高度標的型攻撃(APT攻撃)はパナソニック、デンソーなどの海外支店などの被害が報告されています。傾向としては昨年ぐらいから日本企業からの報告事例が増加しています。キャノンマーケティングから「日本を狙うサイバー攻撃が増加—今すべきセキュリティ対策とは?」という報告がありますので一読ください。
https://news.mynavi.jp/techplus/kikaku/20220114-security_frontline_v141/
02サイバー攻撃動向
■ クラウドサービスを使用してNanocore、Netwire、およびAsyncRATマルウェア配布
- 攻撃者はAmazonとMicrosoftのパブリッククラウドサービスを悪意のあるキャンペーンに積極的に組み込み、Nanocore、Netwire、AsyncRATなどのトロイの木馬(RAT)を配布し機密情報を吸い上げているとセキュリティ研究者から報告されています。
Cisco Talosの研究者は、「The Hacker Newsレポート」内で2021年10月に開始されたスピアフィッシング攻撃が、米国、カナダ、イタリア、シンガポールの各拠点が標的にされたと述べています。 - これらのキャンペーンはZIP添付ファイルを含む請求書を表題としたフィッシングメールで始まります。メールを開くとAzureクラウドベースのWindowsサーバーまたはAWS EC2インスタンスへAsyncRAT、Nanocore、NetwireなどのさまざまなRATがデプロイをされてしまいます。また、無料ダイナミックDNSサービスであるDuckDNSを使用しマルウェアを配信する悪意のあるサブドメインを作成し、このサブドメインの一部をAzure Cloudダウンロードサーバに紐づけることでRATのC2(マルウェアダウンロード用サーバ)として運用されています。
■ FBI:マルウェア入りUSB送り付けるBadUSB攻撃を警告
- FBI(米国連邦捜査局)は悪名高いサイバー犯罪グループであるFIN7が過去数か月にわたってマルウェア入りUSBデバイスを米国企業に送信していると警告しています。
- マルウェア入りUSB(BadUSB)の配布方式は、2つのバリエーションがあるようです。ひとつは、HHS(米国保健社会福祉省)を偽装したもので「COVID-19ガイドライン」参照の文字が記載されています。2つ目は、アマゾンを偽装した礼状と偽造ギフトカード、そしてBadUSBが入ったギフトボックスで配送されています。
- BadUSBをコンピューターに接続するとUSBドライブはキーボードとして登録され、あらかじめプログラミングされた自動タイピングをバックグラウンドで実行します。これにより攻撃者のバックドアとして機能するさまざまなマルウェアをダウンロードします。
- BadUSBに含まれるプログラムはバックグラウンドでPowerShellコマンドを実行し、ローダーと呼ばれるマルウェアをダウンロードするためのプログラムを外部サーバよりダウンロードし実行します。
■ 法務および会計事務所の従業員を標的とするGootLoaderハッカー
- GootLoaderハッカーは、マルウェアをシステム感染させるサイバー攻撃の一環として、会計事務所や法律事務所の従業員をターゲットにします。これは、攻撃者が高価値ターゲットへ焦点を広げていることを示しています。
- eSentire研究者はThe HackerNews共有レポートで、「GootLoaderはステルス型初期アクセスマルウェアと呼ばれ、被害者コンピュータに侵入後、ランサムウェアやその他のマルウェアに感染させる」と述べています。
- サイバーセキュリティサービスプロバイダーは、3つの法律事務所と会計企業を狙った侵入を検知し防御したとしています。犠牲者の名前は明らかにされていません。
