Threat Report

Silobreaker-CyberAlert

GoDaddyが新たなデータ侵害について公表

山口 Tacos

2023.02.20

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年2月18日と19日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

GoDaddyが新たなデータ侵害について公表

Security Affairs – Feb 18 2023 17:54

Webホスティング企業GoDaddyは、攻撃者がソースコードを盗み、同社のサーバーにマルウェアをインストールしていたことを発表。同社によれば、今回の攻撃は、2020年3月および2021年11月のデータ侵害の原因となったものと同じ長期的なキャンペーンの一部だという。なお、2020年3月の侵害では顧客28,000人分のデータが漏洩し、2021年11月の侵害では顧客120万人が影響を受けていた。

今回GoDaddyのシステムにインストールされたマルウェアは、無作為に選ばれる顧客Webサイトを、悪意あるサイトへ断続的にリダイレクトするものだったそう。ある顧客が、自身のWebサイトが別のドメインへのリダイレクトに使われていたことをGoDaddyに報告したことで、2022年12月にセキュリティ侵害が発見された。

同社は、この攻撃が高度な技術を持つ脅威アクターによって行われたものだと考えているという。また、このアクターが、世界中のWebホスティングプロバイダーを数年間にわたって狙う攻撃に関与していることを示す証拠を入手していることも明かした。

同社の声明によれば、攻撃者の狙いは、フィッシングキャンペーンやマルウェア配布、およびその他の悪意ある活動のためにWebサイトやサーバーをマルウェアへ感染させることだとみられるという。

今回の攻撃によるGoDaddyの事業や運営への影響はないとされているが、同社は引き続きインシデントの根本原因を判断すべく調査を続けているとのこと。

アトラシアンの企業情報がサードパーティアプリから盗まれる

Information Security Buzz – Feb 17 2023 14:45

ハッカーグループ「SiegedSec」がTelegram上で、「オーストラリア企業アトラシアンから盗んだデータ」とされるものを公開したことを、Cyberscoopが明らかにした。アトラシアンはその後、「自社ネットワークおよび顧客データは保護されている」としたものの、サードパーティベンダーにおけるデータ流出が今回の侵害につながったことを認めた。

SiegedSecの主張は、「数千件分の従業員情報と併せてオフィスの間取り情報も少数開示する。これらの人員記録には、氏名、電話番号、メールアドレス、およびその他多数が含まれる！」というものだったという。公開されたデータをCheckpoint社が調べたところ、シドニーおよびサンフランシスコの建物の間取り情報と、従業員データを含むJSONファイルとが見つかった。

Check Pointは調査の結果を踏まえ、SiegedSecはアトラシアンを直接ハッキングしたのではなく、サードパーティサービス「hxxps://envoy[.]com/」（アトラシアンが内部オペレーションのために利用するベンダー）をハッキングしたと考えているという。

Envoy社の予備調査では、ハッカーが1人のアトラシアン従業員に属する本物の認証情報を使って、Envoyアプリ内に保存された従業員ディレクトリと間取り情報にアクセスしたことが明らかになったとのこと。

SolarWinds、深刻度の高い脆弱性に対する今後のパッチ予定について発表（CVE-2023-23836、CVE-2022-47503、CVE-2022-47504、CVE-2022-47507、CVE-2022-38111）

Security Week – Feb 17 2023 12:58

SolarWindsは先週、2月末のSolarWinds Platformのアップデートで修正される予定の脆弱性数件に関するアドバイザリを公開した。修正予定の脆弱性7件のうち、5件はコマンド実行を可能にする恐れがあるという。また4件はCVSSスコアが8.8/10と、深刻度が高い。

これら4件（CVE-2023-23836、CVE-2022-47503、CVE-2022-47504、CVE-2022-47507）は、Orionの管理者レベルアカウントを持つ遠隔の攻撃者によるSolarWinds Web Consoleへのアクセスと、その後の任意のコマンド実行を可能にする恐れがある。

またCVE-2022-38111（CVSSスコアは7.2/10）も悪用が成功した場合の結果は上記4件と同様だが、SolarWindsは「深刻度が中程度の問題」と評価している。

さらに、SolarWinds Platformにおける深刻度の高いパストラバーサルの脆弱性（CVE-2022-47506、CVSSスコアは8.8/10）も修正される予定。

これらの脆弱性に対処したSolarWinds Platform 2023.1は2月末までに利用可能となる見込み。顧客に対しては、同バージョンが利用可能となり次第できる限り早くアップデートすることが推奨されている。

2023年2月18日

ハイライト

ボットネットMiraiの新亜種V3G4、LinuxサーバーやIoTデバイスを狙う（CVE-2012-4869、CVE-2022-26134、CVE-2019-15107、CVE-2020-8515、 CVE-2020-15415、CVE-2022-4257）

CSO Magazine – Feb 17 2023 18:04

Windows、Exchangeなどに影響を与える、緊急に対応すべき3つのゼロデイ脆弱性（CVE-2023-21823,、CVE-2023-21715、CVE-2023-23376)）

Computerworld – Feb 17 2023 12:56

シスコ、オープンソースアンチウイルスClamAVの重大な脆弱性に対するパッチを発行（CVE-2023-20032）

IT Pro UK – Feb 17 2023 12:44

2023年2月19日

ハイライト

IoTデバイスの既知の脆弱性13件を狙うMiraiの新亜種（CVE-2012-4869、CVE-2014-9727、CVE-2017-5173、CVE-2019-15107、CVE-2020-8515、CVE-2020-15415、CVE-2022-36267、CVE-2022-26134、CVE-2022-4257）

Cyware – Feb 18 2023 12:32

HP Support Assistantにおける権限昇格の脆弱性（CVE-2022–38395）

Medium Cybersecurity – Feb 18 2023 14:48

英国：ランカシャー州議会、データ侵害の発生を受け、自らを照会

DataBreaches.net – Feb 18 2023 12:41

スコットランド人のがん患者が反撃、NHS Lothianで職員による医療記録の大規模なデータ漏洩が発生したこと受け

DataBreaches.net – Feb 18 2023 12:41

スカンジナビア航空、Webサイトが侵害され、顧客情報が流出

Medium Cybersecurity – Feb 19 2023 02:37

中国に位置するKuluozのC2サーバーを狩る

Medium Cybersecurity – Feb 18 2023 07:32

秘密裏に通信を行うため、IISの機能を悪用する新型マルウェア「Frebniis」

Cyware – Feb 18 2023 12:32

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。