ホンダのEコマースプラットフォームにおけるAPIの欠陥により、顧客データなどが閲覧可能な状態に

Yoshida

2023.06.08

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年6月8日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

Honda社のAPIにおける欠陥により、顧客データ、ディーラーパネル、内部文書が公開状態に

Bleeping Computer – Jun 07 2023 20:10

Honda（ホンダ）のEコマースプラットフォームに任意のアカウントのパスワードリセットを可能にするAPIの欠陥が存在していたことにより、不正アクセスが可能な状態になっていたことが明らかになった。なおこれはホンダの動力設備部門に影響を与える問題で、ホンダ製の自動車やバイクの所有者への影響は生じていない。

この欠陥を発見したのはセキュリティ研究者のEaton Zveare氏で、数か月前には同様の脆弱性を利用してトヨタのサプライヤポータルの侵害に成功していた人物。Eaton氏はホンダのAPIの欠陥を利用し、高価値なアカウントのパスワードをリセットして同社のネットワーク上のデータへ無制限にアクセスすることに成功したという。

その結果、Eaton氏は以下のような情報を閲覧することができたとされる：

・2016年8月から2023年3月までの全ディーラーでの顧客注文21,393件（顧客名、住所、電話番号、注文した商品を含む）

・1,570のディーラーのWebサイト。※これらのサイトの修正が可能だった

・ディーラー利用者3,588人のアカウント（姓名、メールアドレスを含む）。※これらのユーザーのパスワードを変更することが可能だった

・ディーラーのEメール1,090件（姓・名を含む）

・顧客11,034人のEメール（姓・名を含む）

・内部の財政レポート

また上記に加え、ディーラー向けのStripe、PayPal、Authorize.netの秘密鍵も閲覧できる状態だった可能性がある。なお欠陥はEaton氏によってホンダへ報告され、すでに修正されている。

このほか、Eaton氏による同欠陥の詳細および悪用結果の詳細については以下のブログ記事で確認できる：Compromising Honda’s power equipment / marine / lawn & garden dealer eCommerce platform through a vulnerable password reset API

ハッカーグループLazarus、Atomic Walletからの3,500万ドル相当の暗号資産窃取に関与か

Bleeping Computer – Jun 07 2023 18:16

先週末に発生したAtomic Walletへのハッキング攻撃と、同ウォレットユーザーからの3,500万ドル以上に相当する暗号資産の窃取について、Elliptic社のブロックチェーン専門家は、これが北朝鮮のハッキンググループ「Lazarus」によって実施されたものだと指摘している。

Lazarusは昨年にもハーモニーの「Horizon Bridge」への攻撃やAxie Infinityへの攻撃で多額の暗号資産を盗み取っていたとされるが、同グループが2023年に入ってから大規模な暗号資産窃取を実施したのは今回が初めてとされている。

専門家らは、Lazarusが盗み出す資金は直接北朝鮮の兵器開発プログラムの資金源に使われていると述べている。

VMware、ネットワーク監視製品の重大な脆弱性を修正（CVE-2023-20887、CVE-2023-20888、CVE-2023-20889）

Security Week – Jun 07 2023 15:07

VMwareは水曜、同社製ネットワーク監視ツール「Aria Operations for Networks（旧vRealize Network Insight）」におけるセキュリティ欠陥への緊急パッチをリリースした。修正された脆弱性は以下の3件。

・CVE-2023-20887：CVSSスコアが9.8/10のコマンドインジェクションの脆弱性。Aria Operations for Networksへのネットワークアクセスが可能な状態の攻撃者がこれを悪用すると、リモートコード実行につながるコマンドインジェクションを実行できるようになる恐れがある。

・CVE-2023-20888：CVSSスコアが9.1/10の、認証の必要なデシリアライゼーションの脆弱性。ネットワークアクセスと有効な「メンバー」ロール認証情報を有する攻撃者によって悪用されると、リモートコード実行につながるデシリアライゼーション攻撃が可能になる恐れがある。

・CVE-2023-20889：CVSSスコアが8.8/10の情報開示の脆弱性。Aria Operations for Networksへのネットワークアクセスが可能な状態の攻撃者がこれを悪用すると、機微データの開示につながるコマンドインジェクション攻撃を実行できるようになる恐れがある。

3件の深刻度は「Critical」と評価されている。VMwareのアドバイザリはこちら。

2023年6月8日

ハイライト

Cl0pランサムウェアグループ、MOVEitへのハッキングの被害に遭った企業に6月14日までに連絡せよ、さもなくば…と通達

Graham Cluley – Jun 07 2023 14:41

関連記事：Clopランサムウェア、MOVEit Transferの脆弱性を悪用しデータを盗み出す：CVE-2023-34362

Cisco AnyConnect Secure Mobility Client Software for WindowsとCisco Secure Client Software for Windowsに特権昇格の脆弱性（CVE-2023-20178）

Cisco Security Advisory – Jun 07 2023 16:00

ClopグループによるMOVEitの脆弱性の悪用でBBC、ブリティッシュ・エアウェイズ、Bootsが影響受ける

SiliconANGLE – Jun 08 2023 01:49

新マルウェアPowerDropが米国の航空宇宙業界を標的に

Cyware – Jun 08 2023 05:46

Kimsuky、シンクタンクやニュースメディア狙ってソーシャルエンジニアリング攻撃実施

The Hacker News – Jun 08 2023 04:23

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。