Week in review - 2024/05 week01

Week in reviewは、毎週の振り返りです。
ニュース情報などから今週気になったことなどに対し、その内容と所感を書いていきます。

対象期間

以下期間における週の振り返りです。

• 2024年04月28日 ～ 2024年05月04日

---

レポート内容

3 Topics

今週のニュースの中で、3つ特に注目したトピックを選びました。

1. DropBox、eSignatureサービスから顧客データと認証情報が盗まれる

2. 脆弱性の悪用が侵入の初期アクセスポイントとして3倍に

3. CISA、ソフトウェア開発者にパストラバーサル脆弱性の排除を要請

それぞれ、以下に個別に書いていきます。

DropBox、eSignatureサービスから顧客データと認証情報が盗まれる

https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/

• dailynewsの情報

  • DropBox Signプラットフォームから顧客情報と認証トークンが盗まれた可能性

  • 不正アクセスは4月24日に検出され、調査が開始された

  • 脅威アクターはAPIキーとMFAキーなどを含むデータにアクセス

  • DropBoxは全ユーザーのパスワードをリセットし、セッションをログアウト

  • フィッシング攻撃に注意し、パスワードリセットは公式サイトから行うよう警告

  • 顧客のドキュメントや契約書、他のDropBoxサービスへアクセスしたという証拠は見つからなかった

  • DropBox Sign(旧称 HelloSign)は、顧客がドキュメントをオンラインで送信して法的拘束力のある署名を受け取ることができる電子署名プラットフォーム

所管

かなり大きなニュースではありますが、DropBoxのWebストレージサービスなどその他のサービスには影響がなかったという点は朗報ですね。
とはいえ、「実は。。」といって後からわかることがありますので、今後は要注目ですね。

脆弱性の悪用が侵入の初期アクセスポイントとして3倍に

https://www.infosecurity-magazine.com/news/dbir-vulnerability-exploits-triple/

• dailynewsの情報

  • 2022年から2023年にかけて、脆弱性の悪用が180%増加。

  • Verizonの報告書によると、侵入手段の14%が脆弱性の悪用であり3番目に多かった。なお、1番目は認証情報の盗難(38%)で、2番目はフィッシング。

  • 特にMOVEitの脆弱性が悪用され、ランサムウェアの脅威に。

  • 米国のNVDが資源と財政の問題で運営困難な状況が起きている。

  • ソフトウェアサプライチェーン攻撃も68%増加している。

所管

VerizonのDBIR 2024に関する記事ですね。私はこれ見て発行されていることを知りました。元の調査レポートを見られたい方は以下をどうぞ。

• Verizon DBIR 2024

私もこのレポートをまだ読めてないので、基本は本記事をベースに見ます。(記事に書かれているものは読んでます)
攻撃の侵入経路として、脆弱性の攻撃がかなり増加したようで、180%増加とのことですね。これは記事にも書かれている通り、MOVEitの影響が大きいので、一過性の事象もあるのではないかな、とは少し思います。
ただ、この点は脆弱性のエクスプロイト販売が増加しているという調査情報もありましたので、大きなトレンドなのかもしれません。
今まで以上に脆弱性の管理、EASMなどでのそもそも攻撃面を露出させないといった管理が重要になりそうだと思います。

もう1つ気になったのは、ランサムウェアとエクストーション(日本だとノーウェアランサムですかね)の比率です。ランサムウェアは横ばいですが、エクストーションが顕著に増加しています。これは結構大きなトレンドですね。(レポート内 p.7 の figure.2)

CISA、ソフトウェア開発者にパストラバーサル脆弱性の排除を要請

https://www.bleepingcomputer.com/news/security/cisa-urges-software-devs-to-weed-out-path-traversal-vulnerabilities/

• dailynewsの情報

  • CISAとFBIがパストラバーサルの脆弱性排除を呼びかけ

  • 攻撃者がシステム侵入やデータ漏洩に利用可能

  • ソフトウェア製品の出荷前のチェックを促す

  • よく知られた有効な対策の実施が推奨される

    • ユーザー入力文字列をファイル名に使わない

    • ファイル名に使用できる文字の種類を、厳密に制限(英数字のみなど)

    • アップロードされたファイルに実行権限がないことを確認

  • パストラバーサルは2007年以来許しがたい脆弱性と言われてきたが、依然として一般的な脆弱性である

    • 参考: https://cwe.mitre.org/documents/unforgivable_vulns/unforgivable.pdf

所管

少し前にSQLインジェクションについても声明を出していましたが、今回はパストラバーサルですね。
SQLインジェクションはMOVEitの件があったからだと思いますが、パストラバーサルはどうなのでしょう。色々な脆弱性で連鎖させるために使われたりすると思いますが。
もしかしたらMOVEitの件もあって順々にこういった声明を出していくのかもしれないな、と感じました。

---

other topics

• 新たなLatrodectusマルウェア、MicrosoftとCloudflareのテーマを使用した攻撃

  • IcedIDと同じ開発者によるマルウェアで今後は後継として使われるかもといわれるLatrodectusの動向ですね。

  • 少し前にproofpointが出していたものも、JavaScriptを使ってMSIで感染させるものでしたし、同じキャンペーンですかね。(参考)

• 2024 年のランサムウェアの現状

  • Sophosが調査した2023年までのランサムウェアに関する現状です。レポート内で2024年となっているものは2023年のデータを回答したもの、のようですね。レポートに書いてあります。

  • 気になったのは、ランサムウェア感染時の支払い率が増加して行っていることです。chinalysisの調査などでは記録的に下がっていると出ていましたが、やはりこういったデータは調査主体によって変わりますね。まだまだランサムウェアがサイバー犯罪者にとっての金銭的価値が高いものであり続けるかもですね。

その他

特になし

最後に

ゴールデンウィークとはいうものの、海外ニュース含めても個人的にはそこまで注目する記事がなかったです。
早いところその他の分析情報も載せられるようになるといいな。