セキュリティエンジニアが気になったニュースまとめ　2023/5/27～6/2

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。 

2024/5/28

CVE-2024-23108　Detail

NVD – CVE-2024-23108 (nist.gov)
参照元・引用を修正

An improper neutralization of special elements used in an os command (‘os command injection’) in Fortinet FortiSIEM version 7.1.0 through 7.1.1 and 7.0.0 through 7.0.2 and 6.7.0 through 6.7.8 and 6.6.0 through 6.6.3 and 6.5.0 through 6.5.2 and 6.4.0 through 6.4.2 allows attacker to execute unauthorized code or commands via via crafted API requests.

要約すると・・・。

“Fortinet製品「FortiSIEM」に関係している、既知の脆弱性「CVE-2024-23108」について詳細が公開されました。
リモートより認証を必要とすることなくコードの実行が可能となる「コマンドインジェクション」の脆弱性です。”

ということです。
同時公開の「CVE-2024-23109」とともに、共通脆弱性評価システム「CVSSv3.1」のベーススコアが「10.0」、重要度は「Critical」。
影響が大きい脆弱性のため、未修正の場合は急ぎ対応が必要となっています。
Horizon3.aiにて脆弱性の詳細とともに実証コード（PoC）が公開されており、ログから攻撃の兆候があるか確認する方法を紹介しています。

2024/5/28

Kaspersky、BitLockerを使用して企業データを暗号化する新たなランサムウェア「ShrinkLocker」を特定

Kaspersky、BitLockerを使用して企業データを暗号化する新たなランサムウェア「ShrinkLocker」を特定 | カスペルスキー

Kasperskyのグローバル緊急対応チーム（GERT）※はこのたび、MicrosoftのWindowsで提供されるドライブ暗号化機能「BitLocker」を悪用し、企業のデータやファイルの暗号化を試みるランサムウェアを使用した攻撃を確認しました。この攻撃者は、特定のWindowsバージョンを検出し、それに応じてBitLockerを有効にしてドライブ全体を暗号化するという新機能を備えたスクリプトを使用します。また、ファイルの復元を防ぐために回復オプションも削除します。このランサムウェアとその亜種によるインシデントは、メキシコ、インドネシア、ヨルダンで確認しており、主に鉄鋼やワクチンの製造企業、政府機関を標的としていました。日本での攻撃は観測されていませんが、今後は注意が必要です。GERTはこのランサムウェアを「ShrinkLocker（シュリンクロッカー）」と名付けました。

動作としては
①特定のバージョンのWindowsをターゲットとし、ドライブ全体にBitLockerをアクティブ化するスクリプトを実行する。
・VBScript（主にWindowsのタスク自動化、アプリケーション制御）を使用。
・スクリプトの特徴：攻撃対象とするシステムのWindowsバージョンを確認し、それに応じてBitLockerの機能を有効にする。
・Windowsの最新バージョンからWindows Server 2008までが該当。
②OSのバージョンが該当している場合、起動時のブート設定を変更し、BitLockerを使用してローカルドライブ全体の暗号化を試みる。
③非ブートパーティション領域を縮小して新しいブートパーティションを作成し、OSのブートファイルを含む別のセクションを設定する。
・被害者が端末を使用できないようにするのが目的。
④ファイルの復号ができないようにするため、プロテクター（BitLockerの暗号化キーを保護するためのもの）を削除。
⑤新しいブートパーティションのラベルが攻撃者のメールアドレスに変更され、被害者が攻撃者に連絡されるようにする。
⑥システムに関する情報と、被害者の端末で生成された暗号化キーを攻撃者が管理するサーバーに送信する。
⑦攻撃による調査を妨ぐため、ログ・各種ファイルを削除して侵入された痕跡を隠す。
⑧システムを強制的にシャットダウンする（新しいブートパーティションによって可能となる）。
⑨再起動後、BitLockerの画面には「There are no more BitLocer recovery options on your PC（あなたのPCにはもうBitLockerの回復オプションはありません）」と表示される。

このランサムウェアの厄介なところは、BitLockerという「正式な機能」を悪用しているため、検知や削除が難しいみたいです。

2024/5/30

2023年度「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書

https://www.ipa.go.jp/security/reports/economics/ts-kanri/20240530.html

IPAでは、これまで企業経営上の重要な課題である秘密情報の管理と保護に関する実態調査を通じ、「守るべき情報資産の認識不足や内部不正防止対策の取組の遅れ」などの問題点や課題を示しました。特に中小企業等においては以下の課題が顕著であると示唆されてきたところです。

内部不正防止が「重要な経営課題」として認識されていない
営業秘密は各社の業務に依存するため定義が難しく、守るべき情報資産を特定できていない
サイバーセキュリティ対策を講じているものの、内部不正対策は後手に回りがち
そこで、今次調査ではそれらの課題に沿った改善策に関する中小企業の状況を把握し示唆を抽出するため、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの調査を実施し、報告書としてまとめました。

内部不正防止ができなければ、外部からの不正防止をすることも難しいでしょう。
まずは内部の不正を見直すことが肝心ですね。