-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
8月5日:サイバーセキュリティ関連ニュース
SonicWall、VPNデバイスをオフラインにするよう推奨 ランサムウェア攻撃でファイアウォール製品が狙われていること受け
8月1日以降、セキュリティ企業数社がSonicWallのファイアウォールデバイスに対する攻撃について警告しているのを受け、SonicWall社が5日にブログ記事を投稿。SSLプロトコルを用いるSonicWall VPNサービスを無効化することなどを推奨した。
SonicWallのSSL VPNを通じたVPNアクセスを攻撃について最初に伝えたのはArctic Wolfで、同社は8月1日公開のブログ記事において、Akiraランサムウェアを使用する攻撃者が初期アクセス獲得の目的でSonicWall製ファイアウォールを標的にしていると注意喚起。完全にパッチを適用済みのデバイスも影響を受けており、何らかのゼロデイ脆弱性が使われた可能性があると指摘していた。
[※Update : 2025-08-08] SonicWallは8月8日、調査の結果ゼロデイ脆弱性が悪用されている証拠は見つからなかったと発表した。詳しくはこちらの記事で:SonicWall、最近の攻撃にゼロデイは関与していないと報告
またインシデントレスポンス企業のHuntressも、7月25日以降SonicWallのSSL VPNが関係する攻撃を20件ほど観測していると報告。インシデントの多くは、特権アカウントの悪用、ラテラルムーブメント、認証情報の窃取、ランサムウェアの展開を伴うものだったと述べたほか、ゼロデイが悪用された可能性や、多要素認証(MFA)が有効化されていたアカウントが乗っ取られたケースもあることにも言及した。
こうした報告を受け、SonicWallは5日のブログで同攻撃キャンペーンについて把握していることを認め、SSL VPNが有効化された第七世代(Gen 7)のファイアウォール製品に関するサイバーインシデントが増加していると警告。これらのインシデントについて、すでに開示済みの脆弱性に関連しているのか、または新たな脆弱性が関係しているのかを判断するために調査を実施中であると明かした。またその上で、SSL VPNを無効化するか、ソースIPを信頼できるもののみに限定するなどの緩和策を提供している。調査の結果新たな脆弱性が見つかった場合には、その旨を顧客に伝えて最新版のファームウェアをリリースする予定とのこと。
企業のSalesforceインスタンス狙うデータ窃取攻撃、新たな被害者はシャネル
BleepingComputer – August 4, 2025
フランスのファッション大手Chanel(シャネル)が、企業のSalesforceインスタンスからデータを窃取する進行中の攻撃キャンペーンの新たな被害者であるとの報道。WWDが最初に報じたところによると、同社は7月25日に初めてデータ侵害を検出したという。
脅威アクターがアクセスしたのはサードパーティのサービスプロバイダーによってホストされているシャネル社のデータベース。影響を受けるのは米国の一部の顧客のみで、個人の連絡先情報(名前、メールアドレス、住所、電話番号)が漏洩したとされる。
シャネル自体はコメントの要請に応じていないものの、BleepinComputer紙は独自に上記データが同社のSalesforceインスタンスから盗まれたとの情報を入手したという。この攻撃は、恐喝グループShinyHuntersによるものとされる進行中のデータ窃取キャンペーンで実施された攻撃の1つとされている。
同キャンペーンを最初に報告したMandiantによると、ShinyHuntersはビッシング(ボイスフィッシング)でSalesforceの顧客の認証情報を騙し取るか、ターゲット組織の従業員を騙し、悪性OAuthアプリで自組織のSalesforceポータルの認証を行うよう仕向ける。そしていずれかの手段でSalesforceインスタンスにアクセスすると、データベースを抜き出してこれを当該組織への恐喝に利用するという。同様にSalesforceインスタンスを狙った攻撃で影響を受けた組織には、Adidas、カンタス航空、Allianz Life、Louis Vuitton、Dior、Tiffany & Coなどがあるとされる。
Salesforce社はBleepingComputerの取材に対し、自社のプラットフォームが侵害されたわけではなく、同社の顧客のアカウントがソーシャルエンジニアリング攻撃によって侵害されているのだと強調。「当社は、引き続きすべての顧客に対し、セキュリティのベストプラクティスに従うよう推奨しています。これには、多要素認証(MFA)の有効化、最小権限の原則の適用、接続されているアプリケーションの適切な管理が含まれます」と述べたとのこと。
とは?.jpg)
