被害状況

事件発生日	2023年5月31日
被害者名	Zyxelのネットワークデバイス利用者
被害サマリ	CVE-2023-28771という深刻なコマンドインジェクションの脆弱性が悪用され、マルウェアのインストールや情報の詐取が行われた。
被害額	不明

攻撃者

攻撃者名	不明
攻撃手法サマリ	CVE-2023-28771を悪用し、特殊なIKEv2パケットを送信することで、リモートからコードを実行した。
マルウェア	不明
脆弱性	CVE-2023-28771およびCVE-2023-33009、CVE-2023-33010

被害状況

事件発生日	不明（2022年9月から感染が報告されている）
被害者名	主にゲームコミュニティのユーザー
被害サマリ	ステルシーなリモートアクセスツール、SeroXenによる被害。低検知性と強力な機能が評価され、価格が安価なため、サイバー犯罪者によって利用されている。被害範囲はゲームコミュニティから、大企業や団体へ拡大することが懸念される。
被害額	不明（予想：数百万ドル・円規模）

攻撃者

攻撃者名	不明。サイバー犯罪者。
攻撃手法サマリ	フィッシングメールやDiscordでの拡散を通じ、ZIPアーカイブ内に含まれるバッチファイルによって感染拡大。SeroXen RATは、Quasar RAT、r77 rootkit、およびNirCmdコマンドラインツールを組み込んでおり、検知が困難になっている。
マルウェア	SeroXen RAT、Quasar RAT、r77 rootkit、NirCmdコマンドラインツール
脆弱性	不明

被害状況

事件発生日	2023年5月19日
被害者名	Apache NiFiインスタンスの所有者
被害サマリ	攻撃者はApache NiFiインスタンスに侵入し、暗号通貨マイニングマルウェアをインストールして、横方向の移動を容易にしました。また、攻撃により、競合する暗号通貨マイニングツールが無効化されました。
被害額	不明（予想：数万ドルから数十万ドル）

攻撃者

攻撃者名	不明
攻撃手法サマリ	攻撃者はApache NiFiインスタンスにスキャンを実行した後、脆弱性を利用して侵入しました。攻撃者は、暗号通貨マイニングマルウェアKinsingをダウンロードし、実行しました。
マルウェア	Kinsingマルウェア
脆弱性	公に開示されたWebアプリケーションの古い脆弱性

被害状況

事件発生日	不明
被害者名	トヨタ自動車の顧客
被害サマリ	トヨタ・コネクテッドが管理する2つのクラウドサービスがミスコンフィグレーションされ、顧客情報が漏えい。1つ目は、10年間にわたりアジア・オセアニア地域のトヨタ顧客の場所情報を含む氏名、住所、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車両識別番号などを公開された。2つ目は、2009年から2015年にかけて販売されたレクサスブランドの自動車のナビゲーションシステムに関連した情報（約26万件）が公開された。
被害額	不明（予想：数百万円以上）

攻撃者

攻撃者名	不明
攻撃手法サマリ	ミスコンフィギュレーションされたクラウドサービスを悪用したデータ漏えい
マルウェア	不明
脆弱性	不明

被害状況

事件発生日	[不明]
被害者名	[不明]
被害サマリ	企業に対するペネトレーションテストにより、脆弱性が発見された。
被害額	[予想：数千ドル]

攻撃者

攻撃者名	[不明]
攻撃手法サマリ	ペネトレーションテスト
マルウェア	[不明]
脆弱性	[不明]

るは、Webアプリケーションのペネトレーションテストに関する記事である。 この記事は、「7つのペネトレーションテストの段階」と、ペネトレーションテストを実施するためのソリューションである「PTaaS」について述べている。 ペネトレーションテストは、侵入テストやペンテストとも呼ばれ、ウェブアプリケーションのセキュリティ脆弱性を特定するための手法である。ペネトレーションテストには、「事前準備」「データ収集」「Discovery Scanning」「脆弱性アセスメント」「Exploitation」「報告とリスク分析」「脆弱性の解決と再テスト」の7つの段階がある。 従来のペネトレーションテストは、セキュリティの点検や評価が一度で完了するため、DevOpsやクラウド技術といった新しいテクノロジーには対応できない。そのため、ペネトレーションテストのサービスであるPTaaSが利用されるようになっている。 PTaaSは、自動化されたスキャンやテストを定期的に実施することで、Webアプリケーションの持続的な監視を実現する。また、開発チームとの連携により、開発プロセスの早い段階で脆弱性を特定できるため、時間とリソースを節約できる。それに加えて、PTaaSは、多様なWebアプリケーションや環境に対応することができ、セキュリティ業界の専門家によるサポートや、コンプライアンスレポートの生成も可能である。

脆弱性

CVE	なし
影響を受ける製品	Gigabyteシステム
脆弱性サマリ	GigabyteシステムのUEFIファームウェアにはBackdoorのような動作があり、ファームウェアがWindowsの実行コードを落としそのあと、アップデートプログラムを暗号化されていない形式で引き出すことができ、攻撃者が中間者攻撃を行うことができる。
重大度	高
RCE	不明
攻撃観測	なし
PoC公開	なし

ギガバイトのシステムには、バックドアのような動作があり、読み込み可能なファームウェアがWindowsの実行コードを落とし、アップデートプログラムを暗号化されていない形式で引き出せることがわかった。ファームウェアがマザーボードにあるため、ファームウェアにマルウェアを注入することで、ドライブをワイプしてもOSを再インストールしても影響が残る。この問題に対処するためには、最新のファームウェアアップデートを適用し、UEFI/BIOS設定の「APPセンターダウンロード＆インストール」機能を調査して無効化することが推奨される。

脆弱性

CVE	なし
影響を受ける製品	Salesforce Sites and Communities
脆弱性サマリ	未使用のSalesforceサイトやコミュニティが不適切に非活性化された場合、未承認者が機密情報にアクセスできる危険がある
重大度	不明
RCE	不明
攻撃観測	有
PoC公開	なし

Salesforce Sites and Communities（Experience Cloud）は不適切に非活性化されることがあり、「ghost sites」とされる。これらのサイトはメンテナンスされず、脆弱性がテストされず、更新されないため、不正アクセスの可能性がある。Varonisによると、これらの非活性化されたサイトが新しいデータを取得している場合が多く、HTTPリクエストのホストヘッダーを操作して脅威行為者がデータを抽出できることがある。Varonisは、これらのサイトを特定することが困難だが、DNSレコードの変更を追跡するツールなどを利用することができると指摘している。Varonisは、これらのオブソリートなサイトが最新のセキュリティ保護を欠いていることが多く、機密情報を盗み取るための脅威行為者にとって理想的なターゲットであることを警告している。企業は、使用されていないサイトを適切に非活性化すること、Salesforceサイトとそのユーザーの権限を追跡することが推奨されている。

脆弱性

CVE	CVE-2023-32369
影響を受ける製品	Apple macOS
脆弱性サマリ	Microsoftは、rootアクセスを持つ脅威アクターが、Apple macOSに存在するSIP（System Integrity Protection）を迂回するために悪用できる、重大な脆弱性を明らかにした。この脆弱性により、SIPで保護されたファイルとフォルダ上で実行することができる。
重大度	高
RCE	不明
攻撃観測	不明
PoC公開	不明

注：この脆弱性はCVE-2023-32369と呼ばれ、Apple macOSに存在するSIPを迂回することができる重大な脆弱性である。2023年5月18日にリリースされたmacOS Ventura 13.4、macOS Monterey 12.6.6、及びmacOS Big Sur 11.7.7にて修正済。これは、rootアクセス権限を既に持っている脅威アクターによって攻撃が可能であり、rootキットをインストールしたり、永続的なマルウェアを作成するために悪用される可能性がある。また、Transparency、Consent、およびControl（TCC）ポリシーを管理するデータベースを置き換えることで、SIP迂回によって任意のカーネルコード実行や重要なデータへのアクセスを獲得することもできる。

1. 「The Hacker News」というサイトがある。
2. サイトは「Data Breaches」「Cyber Attacks」「Vulnerabilities」「Webinars」「Store」「Contact」のカテゴリーを持っている。
3. サイトでは「Threat Hunting」の記事が掲載されている。
4. 脅威を見つけるためには計画的で注意深い調査が必要であることが説明されている。
5. 脅威ハンティングにおいて、CTI(サイバー脅威インテリジェンス)は重要な役割を果たすとされている。