7月3日:サイバーセキュリティ関連ニュース
脆弱性「regreSSHion」に懸念広がるも、一部専門家は大規模悪用の発生に懐疑的(CVE-2024-6387)
今週明らかになった、OpenSSHにおける認証前RCEの脆弱性CVE-2024-6387。「regreSSHion」と名付けられた同脆弱性はglibcベースのLinuxシステムに影響を与えるもので、脆弱な恐れのあるインスタンスの多さや、悪用にユーザー操作が不要であることなどからセキュリティ業界でも懸念が高まっている。しかし一方で、専門家のなかには広範な悪用が行われる可能性を疑う者もいるという。
サイバーセキュリティ企業WizとPalo Alto Networksの専門家らもその一員で、両者ともに大規模な悪用が起こる可能性は低いだろうとの見解を明かしている。Wizによれば、CVE-2024-6387に対するエクスプロイトをカスタマイズするためにはターゲットとなるLinuxのバージョンを把握する必要があり、この条件の存在ゆえ、同脆弱性は「数打ちゃ当たる方式の広範な悪用に使うには不適当」なのだという。また1日月曜日には早くもPoCコードがリリースされているものの、Palo Alto Networksはこれが有効に機能しなかった旨を報告している。また同社は、2日火曜日の時点で実際の攻撃における悪用の試みは観測されていないとも述べた。
またContrast Securityの共同創立者Jeff Williams氏は、regreSSHionの悪用を伴う攻撃は「少しノイズが多い」ものになるだろうと指摘。悪用を成功させるには数千〜数万回の試行が必要になる可能性があるため、成功するまでの試行段階での防御側による食い止めが可能だろうと説明している。Wizによれば、この悪用を成功させるためには通常、合計数時間かけてログイン試行を行う必要があるという。
NetSPIの脅威研究エンジニアであるBen Lister氏も、悪用の複雑性と大規模悪用が起こる可能性の低さを理由に「現時点でパニックボタンを押す必要はない」としつつ、それでも組織はプロアクティブな体制を崩すことなく、悪用に対して警戒しておくべきであるとの見解を示している。
RansomedVCとの関連指摘されるハッカー、ブルガリアで捕まる
サイバー脅威グループRansomedVCとの関連が疑われるハッカーのTeodor Vanev Iliev容疑者が、ブルガリアの首都ソフィアで逮捕されたとの報道。21歳の同容疑者は、「Emil Külev」というエイリアスのもとで活動し、2020年から2024年にかけて「数十の国家機関、商業銀行、保険会社、およびその他の法人」をハッキングしたとされている。
「MAGADANS」の呼び名でも知られるIliev容疑者は、ブルガリアの保険会社LEV INSのデータをリークしたとされているが、BreachForumsへ流出データが掲載された1ヶ月後に同社の所有者が殺害された事件は同国で大きな注目を集めていた。
ブルガリア当局はIliev容疑者と何らかのランサムウェアグループとの結びつきについて言及してはいないものの、セキュリティ研究者の中にはRansomedVCとの繋がりを指摘する者がいるという。
RansomedVCといえば、2023年後半にSonyやNTTドコモを含む複数の大企業をリークサイトに掲載し、恐喝を行ったことが記憶に新しい。しかしその主張の真偽は怪しく、同グループが犯行声明を出したハッキングの一部は虚偽または過去の盗難データを転売する試みであったとも考えられている。