-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
4月24日:サイバーセキュリティ関連ニュース
米国の保険業者から470万人分のデータがGoogleへ流出、アナリティクスの誤設定により
米カリフォルニア州の非営利健康保険業者Blue Shieldが、被保険者470万人に影響を与えるデータ侵害について報告。このインシデントは、Googleアナリティクスの誤設定によって引き起こされたという。
Blue Shieldでは、被保険者によるWebサイト利用状況を組織内で追跡する目的でGoogleアナリティクスを使用してきた。しかし同組織の声明によれば、2021年4月から2024年1月までの期間における同ツールの設定により、被保険者データをGoogleの広告出稿サービス「Google広告」へ共有することが可能になっていたことを2025年2月に発見したという。この設定ミスにより、保護対象保健情報(PHI)を含む以下の情報がGoogleの手に渡った恐れがあるとされる。なお、Blue Shieldは2024年1月にGoogleアナリティクスとGoogle広告の接続を解除済みだという。
- 保険プラン名
- タイプとグループ番号
- 都市名と郵便番号
- 性別
- 家族の人数
- Blue Shieldが被保険者のオンラインアカウントに割り当てた識別子
- 医療請求の日付とサービス提供者、患者名、患者の金融責任
- 医療機関検索機能「Find a Doctor」での検索条件と検索結果(所在地、プラン名とタイプ、プロバイダー名とタイプ)
Blue Shieldは「Googleは、こうしたデータを該当する個人に対する広告キャンペーン実施のために使った可能性がある」としながらも、「悪意あるアクターは関与していない」ことと、Googleが広告以外の目的でこの情報を使用していないこと、またGoogleから他者への情報共有は一切行われていないことを強調している。The RecordはGoogleに対し、これらのデータは削除されているのか、されていなければ現在どこにあるのか問い合わせたが、返答は得られなかったという。
テック企業や医療関連企業による患者データの広告目的での利用は、5年以上前から問題視されてきた。2023年には米連邦取引委員会(FTC)と米保健福祉省(HHS)がおよそ130の医療・保健関連組織へ共同書簡を送付し、MetaピクセルやGoogleアナリティクスといった追跡テクノロジーがもたらすセキュリティリスクについて警告している。こうしたツールはユーザーの識別情報をユーザー自身では回避しにくい形で収集している上、ユーザーは自らの保健データが第三者へ開示されることにも気づきにくい。またこれまでに、機微な保健データを収集した、またはGoogleなどの第三者ベンダーと共有したことにより、KaiserやBetterHelpといったいくつかの企業が多額の制裁金を科されている。
一方で昨年には、米連邦裁判所が、病院やその他の医療提供者によるオンライントラッカーの使用を制限しようとするバイデン政権の取り組みは違法であるとの判決を下し、これを受けて連邦政府は、病院によるWebトラッキングツールの導入を制限する新たな規制を撤回するに至っていた。
WinZipに、MOTWバイパスを可能にするゼロデイ脆弱性:CVE-2025-33028
Securityonline[.]info – April 23, 2025
ファイルの圧縮、暗号化、共有、およびデータ バックアップ機能を提供する人気のZipユーティリティ「WinZip」におけるゼロデイCVE-2025-33028について、サイバーセキュリティ研究者が報告。29.0以前の全バージョンに影響を与えるこの脆弱性により、WindowsのセキュリティメカニズムであるMark of the Web(MOTW)を回避することが可能になるという。
M0TWはインターネット上からダウンロードされたファイルに自動的にメタデータを付与することで、当該ファイルが開かれた際にセキュリティ警告を発出する機能。しかしWinZipではインターネットからダウンロードされたアーカイブファイルを開く際に、解凍されたファイルへMOTW保護が伝播されない。CVE-2025-33028(CVSSスコア 7.8)として追跡されるこの問題により、マクロが有効化されたOfficeドキュメントや実行可能スクリプトといったファイルが「信頼されたファイル」として扱われ、セキュリティ警告を発出させることなく実行されてしまう恐れがあるという。
同脆弱性について伝えた研究者は、エクスプロイトチェーンとして以下のようなシナリオを紹介している。
①攻撃者が、あるファイル(.docmなど)を含んだ悪意あるアーカイブ(.zipや.7zなど)を作成する
②インターネットから当該アーカイブがダウンロードされると、MoTWフラグが付与される
③アーカイブがWinZipを使って開かれ、解凍される
④解凍により抽出されたファイルからはMoTWフラグが外れてしまうため、「信頼されたファイル」として実行可能となる
⑤抽出されたファイル内部の悪性マクロが実行できるようになる
CVE-2025-33028をとりわけ不穏なものにしているのが、これが過去に公表されたMOTW回避の脆弱性CVE-2024-8811の部分的な修正による「亜種」的な脆弱性と思われるという点。このことから、アーカイブファイルの処理におけるセキュリティ上の欠陥がいかに根深い問題であるかが浮き彫りになっている。実際に最近も、7-Zip(CVE-2025-0411)やWinRAR(CVE-2025-31334)でも、MOTWバイパスを可能にする同様の脆弱性が見つかっていた。
本記事執筆時点までに、WinZipのセキュリティアップデートはまだリリースされていない模様。現時点では、信頼できないソースからのアーカイブを開く際に、細心の注意を払うことが強く推奨される。
Eブック無料配布中:Codebook 2024 ~サイバーセキュリティ分析レポート~
Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。
無料ダウンロードはこちらのバナーから:
目次
第1章:脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法
第2章:世界情勢や地政学がサイバーセキュリティにもたらす影響
第3章:スティーラーの急成長と認証情報の漏洩が生むリスク
第4章:サプライチェーンリスク
第5章:2024 年に組織を脅かした脆弱性
関連投稿
韓国のハッカー、WPS Officeのゼロデイを悪用してマルウェアを展開(CVE-2024-7262)
29.08.2024
進行中のソーシャルエンジニアリングキャンペーンに新戦術:CVE-2022-26923の悪用試みるペイロードが使われるように
19.08.2024
英政府、ランサムウェア攻撃の報告義務と身代金支払いのライセンス制度を提案へ
22.05.2024
英国で給与データの大規模侵害、軍関係者の個人情報が漏洩
08.05.2024
脆弱性ハンターにサイバー犯罪者:2つの顔持つアクターEncryptHubの正体が暴かれる(CVE-2025-24061、CVE-2025-24071)
08.04.2025
