米DOGEのWebサイト「DOGE.gov」には誰もがアップデートをプッシュ可能：情報筋

佐々山 Tacos

2025.02.17

2月15〜17日：サイバーセキュリティ関連ニュース

米DOGEのWebサイト「DOGE.gov」には誰もがアップデートをプッシュ可能：情報筋

404Media – Feb 14, 2025

イーロン・マスク氏率いる政府効率化省（DOGE）のWebサイト（doge.gov）は、誰もが編集可能なデータベースからデータを取得していると、2人のWeb開発専門家が報告。うち1人は、このデータベースに少なくとも2件のエントリを追加し、「this is a joke of a .gov site（これは冗談のような.govサイトだ）」、「THESE ‘EXPERTS’ LEFT THEIR DATABASE OPEN -roro（この『エキスパートたち』はデータベースをオープンなままにしている -roro）」という各メッセージをdoge.gov上に表示させることに成功したという。

このサイト（Doge.gov）は、マスク氏が11日火曜日に記者団に対し、DOGEは「可能な限り透明であろうとしている」と語った後、急遽導入されたもの。開設当時は基本的に空白のWebページだったが、現在までにコンテンツが追加され、Xアカウント「@DOGE」の投稿のミラーと、米国政府の連邦労働力に関するさまざまな統計が表示されるようになっている。

2人の情報筋は404 Mediaに対し、同サイトはCloudflare Pagesサイト上に構築されているものとみられ、政府のサーバー上でホストされているわけではない模様だと報告。またデータの取得元となっているデータベースはサードパーティによって書かれており、誰もがデータを追加可能で、追加されたデータはライブWebサイト上に出現するようになっている旨も伝えている。さらに情報筋の1人はWebサイトの構造を調べてデータベースのAPIエンドポイントを発見したのち、任意のアップデートを政府の雇用情報のデータベースへ追加することにも成功したという。このコーダーは、「完全に急ぎ足でぞんざいに作られている感じだ」、「ページのソースコードには大量のエラーと詳細が漏れ出ている」などとコメントしているとのこと。

RansomHubが2024年のトップランサムウェアに：世界中で600超える組織を攻撃

The Hacker News – Feb 14, 2025

RansomHubランサムウェアグループは2024年、世界の600以上の組織を標的にし、この年最も活動的なランサムウェアグループとしての地位を確立したという。Group-IBが先週公開したブログ記事の中で報告した。

RansomHubは2024年2月に初めて登場したRaaSグループで、かつて存在したRaaSグループ「Knight」に関連するソースコードをサイバー犯罪フォーラム「RAMP」から入手し、オペレーションを加速させてきた。RansomHubランサムウェアの亜種は複数存在し、Windows、VMware ESXi、SFTPサーバー上のファイルを暗号化することができ、昨年を通じてヘルスケア、金融、政府、重要インフラといったセクターの組織を攻撃してきた。また、LockBitやBlackCatからアフィリエイトを積極的に引き抜いている様子も確認されている。

攻撃においては、Palo Alto Networks製PAN-OSデバイスの脆弱性CVE-2024-3400を悪用する試みが観測されている。その後VPNサービスにブルートフォース攻撃を仕掛けることによりターゲットのネットワークを侵害すると、24時間以内にデータの暗号化と抜き取りが実施される。この際、ドメインコントローラーを乗っ取り、ネットワーク上でのラテラルムーブメントを実現するために、Active Directoryの脆弱性CVE-2021-42278とNetlogonプロトコルにおける特権の昇格の脆弱性CVE-2020-1472が悪用されるという。また、エンドポイントのセキュリティソリューションを阻止・回避するためにPCHunterが使われることや、データ抽出のためにFilezillaが用いられることも報告されている。

RansomHubグループの成り立ち、その攻撃的な活動、そしてほかのグループとの重複する特徴は、鮮明なサイバー犯罪エコシステムの存在を裏付けているとGroup-IBは指摘。その上で、「この環境は、ツールやソースコードの共有、再利用、リブランドによって繁栄し、注目度の高い被害者、悪名高いグループ、そして多額の資金を中心に展開される強固なアンダーグラウンドマーケットに活力を与えている」と結論付けている。