2024

2024年はサイバーセキュリティにとって大きな年であり、重大なサイバー攻撃、データ漏洩、新たな脅威グループの出現、そしてもちろんゼロデイ脆弱性などがあった。

しかし、3,100万人の読者にとって、他の記事よりもインパクトが強かったり、人気のあった記事もある。

以下は、2024年に最もインパクトのあったと思われるサイバーセキュリティに関する14のストーリーと、それぞれの概要です。これらのストーリーは順不同である。

14.インターネット・アーカイブがハッキングされる

10月9日、Internet Archiveは、3300万人分のユーザーデータが盗まれたデータ侵害と、SN_BlackMetaという親パレスチナ派とされるグループによるDDoS攻撃という、2つの異なる攻撃を同時に受けた

両攻撃は同じ期間に発生したが、異なる脅威アクターによって行われた。

JavaScript alert on Internet Archive warning about the breach
侵害を警告するInternet ArchiveのJavaScriptアラート
Source

Internet Archiveに侵入した脅威アクターは、認証トークンを含むGitLabの設定ファイルを公開することで、Internet Archiveのソースコードをダウンロードできると伝えていました。

このソースコードには、Internet Archiveのデータベース管理システムの認証情報を含む、追加の認証情報と認証トークンが含まれていました。これにより、脅威者は組織のユーザーデータベース、さらなるソースコードをダウンロードし、サイトを修正することができました。

13. CrowdStrikeの不正アップデートにより850万台のWndowsデバイスがクラッシュ

2024年7月19日、早朝にCrowdStrike Falconの欠陥アップデートがWindows PCに配信され、サイバーセキュリティソフトウェアのカーネルドライバがオペレーティングシステムをクラッシュさせました。

このバグは世界的に大きな混乱を引き起こし、約850万台のWindowsシステムに影響を与え、デバイスがクラッシュし、セーフモードで起動する以外に欠陥のあるアップデートを削除するためにOSに戻る簡単な方法がないことが判明した。

このバグは、CrowdStrikeのコンテンツ検証プロセスの欠陥に起因しており、欠陥のあるアップデートを検出できなかった。この欠陥のある更新プログラムは、WindowsデバイスとWindows 365クラウドPCの両方に影響を及ぼし、無限の再起動ループを含む一連のシステムクラッシュを引き起こした。

CrowdStrikeは多くの組織で利用されているため、瞬く間に広範な混乱を引き起こし、突然Windowsデバイスとアプリケーションが利用できなくなったことに気づいた世界中の金融会社、航空会社、病院に影響を与えた。

マイクロソフトは、問題のあるCrowdStrikeドライバを削除し、影響を受けたシステムを復元するためのWindows修復ツールをリリースした。このツールにもかかわらず、多くの組織は、各デバイスを手作業で修正する必要があるため、回復プロセスに時間がかかることに直面した。

事態が悪化したのは、脅威行為者がこのゲームに参加し始めたときだった。

サイバー犯罪者は、偽のCrowdStrike修復ツールやマニュアルを配布し、 新しいDaolpu infostealerを含むマルウェアをプッシュしました。これらのフィッシングキャンペーンは、障害から復旧しようとしている組織を標的としており、障害をさらに遅らせました。

Fake CrowdStrike fix pushing info-stealing malware
偽のCrowdStrike修正プログラム、情報窃取マルウェアをプッシュ
ソースは こちら:

投資家たちは、CrowdStrikeが品質保証プロセスを怠り、欠陥アップデートのリリースを防げなかったとして、すぐにCrowdStrikeを提訴した

マイクロソフトはまた、この事件を受けてカーネルドライバの取り扱いポリシーを変更することを検討すると発表し、ウイルス対策ベンダーに対して、この種のクラッシュを防ぐためにカーネルドライバの使用を制限するよう奨励した。

12. 米国でカスペルスキーが使用禁止に-ソフトは自動的にUltraAVに置き換わる

6月、バイデン政権はカスペルスキー・アンチウイルス・ソフトウェアの販売禁止を発表し、2024年9月29日までに代替のセキュリティ・ソフトウェアを見つけるよう顧客に指示した。

この禁止措置は、米国内でのカスペルスキー・ソフトウェアの販売だけでなく、同社が顧客にウイルス対策ソフトやセキュリティ・アップデートを提供することも妨げるものだった。

その1ヵ月後、カスペルスキーは米国での事業を停止し始め、バイデン政権の決定によって “もはや事業が成り立たなくなった “と伝えた。

カスペルスキーは米国の顧客基盤をパンゴに売却することを決定し、9月上旬にUltraAVソフトウェアへの無料アップグレードを提供する旨を顧客に電子メールで送った。

しかし、同社は顧客にソフトウェアをアンインストールすることを明確にしていなかったため、9月19日、カスペルスキーユーザーは突然、望むと望まざるとにかかわらず、カスペルスキー製品が削除され、UltraAVがコンピュータに強制的にインストールされていることに気づいた

このため、多くのカスペルスキーユーザーは、許可なく、あるいはそうなることを明確に通知することなく、自分のデバイスにソフトウェアがインストールされたことに激怒した。

11. ロシア国家に支援されたハッカーがマイクロソフトの企業メールに侵入

1月、マイクロソフトは、ロシア国家に支援された脅威者が2023年11月に同社の企業メールサーバーに侵入し、リーダーシップ、サイバーセキュリティ、法務チームからメールを盗んだことを明らかにした

これらの電子メールの一部には、ハッキング・グループ自身に関する情報が含まれており、脅威行為者はマイクロソフトが自分たちについて何を知っているかを知ることができた。

Midnight Blizzard(別名Nobelium、またはAPT29)として知られるこのハッキンググループは、ロシア対外情報庁(SVR)と結びついた国家の支援を受けたサイバースパイ集団であると考えられている。

マイクロソフトは後に、脅威行為者がパスワード・スプレー攻撃を行い、レガシーの非本番テスト・テナント・アカウントへのアクセスを許可したことを明らかにした

このテスト・テナント・アカウントは、マイクロソフトの企業環境で昇格した権限を持つOAuthアプリケーションへのアクセスも可能で、ハッカーは企業のメールボックスからデータを盗むことができた。

ハッカーは2024年3月、盗まれた電子メールにあった情報を使って再びマイクロソフトに侵入し、ソースコード・リポジトリを盗むことを可能にした。

さらに悪化の一途をたどり、CISAは4月、米連邦政府機関とマイクロソフトの間の電子メールも攻撃で盗まれたことを確認した。これらの電子メールには、ハッカーが一部の顧客のシステムにアクセスするための情報が含まれていた。

10. ナショナル・パブリックのデータ流出で社会保障番号が流出

8月、ハッキング・フォーラムで米国内の人々の個人情報約27億件が流出し、氏名、社会保障番号、すべての既知の住所、偽名の可能性が暴露された。

このデータは、身元調査や犯罪記録の入手、私立探偵のために個人データへのアクセスを収集・販売しているNational Public Data社から盗まれたものである。

Have I Been Pwnedのトロイ・ハントは、この情報漏洩を分析し、1億3,400万ものユニークな電子メールアドレスが含まれていることを突き止めた。

この情報漏えいの背後にいた脅威行為者は、この情報を350万ドルで売ろうとしたが、最終的にはハッキング・フォーラムに無料で流出した

9.エッジ・ネットワーキング・デバイスへの攻撃が横行

今年も、Fortinet、TP-Link、Ivanti、Ciscoなど、さまざまなメーカーのエッジ・ネットワーキング・デバイスを標的とした攻撃が見られた。

この種のデバイスはインターネットに公開されることを目的としているため、貴重な標的であり、いったん侵入されると、脅威行為者は内部ネットワークに軸足を移すことができる。

あまりにも多くのストーリーがあるため、要約することはできないが、以下に興味深いものを列挙する:

米国がサイバーセキュリティ上の懸念から中国製TP-Linkルーターの使用禁止を検討するほど悪化している。

8. CDK Globalのランサムウェア攻撃、自動車ディーラー業界をダウンさせる

自動車ディーラー向けSaaS(Software-as-a-Service)プロバイダーであるCDKGlobalがBlack Suitランサムウェア攻撃を受け、同社のシステムをシャットダウンさせ、顧客は通常の業務ができなくなった。

CDK Globalは自動車業界のクライアントに、CRM、融資、給与計算、サポート・サービス、在庫、バックオフィス業務など、カーディーラーの業務全般を処理するSaaSプラットフォームを提供している。

米国内の自動車ディーラーの多くがこのプラットフォームを利用しているため、今回の障害により、ディーラーは自動車部品の追跡・発注、新規販売、融資の提供ができなくなり、広範囲に混乱が広がった。

7. SnowFlakeデータ盗難攻撃

5月、スノーフレーク・クラウド・データ・プラットフォームの顧客から盗まれたと主張するデータを、脅威行為者が販売し始めた。

攻撃が調査された後、脅威行為者はSnowFlakeを侵害したのではなく、漏洩した認証情報を使用して顧客のSnowFlakeアカウントにログインしたことが判明しました。

これらの認証情報は、情報窃取マルウェアによって盗まれたと考えられています。

アカウントにログインすると、データベースをエクスポートし、データを公開しないよう身代金を支払うよう企業を恐喝するために使用することができた。

AT&Tは7月、この事件で1億900万人の顧客の通話ログが流出し、データは同社のSnowflakeアカウントのオンライン・データベースからアクセスされたことを明らかにした

TicketMasterも影響を受け、脅威者は5億6,000万人の顧客のデータを盗んだと主張した。

Claiming to sell Ticketmaster data

2024年4月に始まったこれらの攻撃に関連するデータ漏洩は、AT&Tチケットマスターサンタンデールピュア・ストレージアドバンス・オート・パーツロサンゼルス・ユニファイドクォートウィザード/レンディングツリーニーマン・マーカスのサービスを利用する数億人の個人に影響を及ぼしている。

米司法省は11月、この攻撃の背後にいたとされるコナー・ライリー・ムッカとジョン・エリン・ビンズの2人に対する起訴状を公開した。

ワイアードは、ハッカーが盗んだ通話記録を削除するためにAT&Tが37万ドルを支払ったことを報じている

6. 北朝鮮のIT労働者計画

今年、北朝鮮のIT労働者が米国やその他の国で仕事を得て、サイバースパイ活動を行い、自国の活動のために収入を得ようとする動きが活発化した。

5月、司法省は、北朝鮮の核兵器プログラムのための収入を得るために、北朝鮮のIT労働者が米国の雇用市場に潜入するのを助けたとして、米国市民の女性、ウクライナ人の男性、および3人の外国人の5人を起訴した

7月、電子メール・セキュリティ会社のKnowBe4は、誤って北朝鮮のハッカーを主任ソフトウェア・エンジニアとして雇用し、ネットワーク上に情報を盗むマルウェアをインストールしようとした。

8月、司法省は、北朝鮮のIT労働者が米国内の企業でリモートワークを取得するのを支援し、彼らが米国在住の個人を装うために使用したラップトップ・ファームを運営していた罪で起訴されたナッシュビルの男性を逮捕した

その後、Mandiantと SecureWorksの両社は、北朝鮮IT労働者の脅威に関する報告書を発表し、彼らの手口と企業が自らを守る方法を共有しました。

5.UnitedHealth Change HealthCareのランサムウェア攻撃

2月、UnitedHealthの子会社であるChange Healthcareは、大規模なランサムウェア攻撃を受け、米国の医療業界に大規模な混乱をもたらした。

機能停止により、医師や薬局は請求書を提出できなくなり、薬局は割引処方箋カードを受け付けなくなり、患者は薬代を全額支払うことになった。

この攻撃は、最終的にBlackCatランサムウェア集団、別名ALPHVに関連しており、彼らは盗んだ認証情報を使って、多要素認証が有効になっていない同社のシトリックス・リモート・アクセス・サービスに侵入した。

攻撃中、脅威者は6TBのデータを盗み出し、最終的にネットワーク上のコンピュータを暗号化したため、同社は攻撃の拡大を防ぐためにITシステムをシャットダウンした。

UnitedHealth Groupは、復号化装置を受け取り、脅威行為者が盗んだデータを削除するために身代金要求を支払ったことを認めた。攻撃を行ったBlackCatランサムウェアの関連会社によると、身代金の支払いは2200万ドルだったとされている。

BlackCatランサムウェアの作戦は、Change Healthcareの攻撃の後、法執行機関から絶大な圧力を受け、閉鎖に追い込まれました。

UnitedHealthが2,000万ドルの身代金を支払ったとされる後、このランサムウェア・オペレーションは出口詐欺を行い、すべての金銭を盗み、攻撃を行ったアフィリエイトには一切分け与えませんでした。

Affiliate stating BlackCat performed an exit scam
BlackCatが終了詐欺を行ったとするアフィリエイト

残念なことに、このアフィリエイトはChange Healthcareのデータをまだ持っていると主張し、RansomHubの恐喝サイトを使って、このヘルスケア企業を再び恐喝しました。

最終的にデータは恐喝から消え、おそらく別の身代金が支払われたことを示している。

10月、UnitedHealthは1億人以上の個人およびヘルスケア・データが盗まれたことを確認し、これは近年最大のヘルスケア・データ流出となった。

4. ロックビットの機能停止

2月19日、当局はLockBitのインフラをダウンさせた。このインフラには、データ流出ウェブサイトとそのミラーをホストする34台のサーバー、被害者から盗まれたデータ、暗号通貨アドレス、復号キー、アフィリエイト・パネルが含まれていた。

この混乱は「オペレーション・クロノス」と呼ばれる国際的な法執行活動の一環であった。

Law enforcement seizure message on LockBit's servers
LockBitのサーバー上の法執行機関の押収メッセージ
ソースは こちら:

その5日後、LockBitは新しいインフラで再始動し、政府部門への攻撃をさらに集中させると脅した。

しかし、このランサムウェア・ギャングが以前のような隆盛を取り戻すことはなく、その関連会社は他のランサムウェア作戦に移行した。

この1年間、法執行機関はLockBitを標的にし続け、7人のLockBitランサムウェアのメンバーを特定し、起訴した

起訴された人物の中には、ランサムウェアの主要な運営者が含まれており、司法省は、「LockBitSupp」および「putinkrab」の別名を持つロシア国籍のDmitry Yuryevich Khoroshevであると主張している。

LockBitは最近、LockBit 4と呼ばれる新しい暗号化ソフトのテストを開始したが、以前のバージョンと大きな違いはないようだ。

3. Windows 11のリコール:プライバシーの悪夢?

マイクロソフトのAIを搭載した新しいWindows 11 Recall機能は、サイバーセキュリティ・コミュニティの間で多くの懸念を呼び起こした。多くの人が、これは大規模なプライバシー・リスクであり、脅威行為者がデータを盗むために悪用できる新たな攻撃ベクトルであると考えている。

多大な反発を受け、マイクロソフトはソフトウェアのリリースを延期し、ユーザーが自分のコンピュータでRecallを有効にするためにオプトインを要求し、Windows Helloを介してPCの前にいることを確認しなければRecallを使用できないようにすることで、セキュリティを強化した。

マイクロソフトはリリースを延期しながら、機密性の高いコンテンツを自動的にフィルタリングしたり、ユーザーが特定のアプリやウェブサイト、プライベートブラウジングセッションを除外できるようにしたり、必要に応じて削除できるようにしたりといった追加機能を追加し続けた。

しかし、テスト用にWindows Insidersにソフトウェアをリリースした後、Windows 11 Recallがクレジットカードのような機密情報を適切にフィルタリングしていないことが判明した。

マイクロソフトは、新たな問題が発見されるたびに製品の改良を続けていると述べている。

2. 2024テレコム攻撃

ソルト・タイフーン」として知られる中国の国家支援によるハッキング・グループが、世界中の電気通信会社を標的とした一連のサイバー攻撃に関連している

これらの侵害により、AT&T、Verizon、T-Mobileを含む少なくとも9つの大手通信プロバイダーが危険にさらされた

このグループは、標的の人々からテキストメッセージ、電話情報、ボイスメールを盗むために、通信インフラに侵入することに重点を置いていたと報告されている。脅威の主体は、米国政府が使用している盗聴プラットフォームも標的にしており、国家安全保障上の重大な懸念を引き起こしている。

ホワイトハウスのブリーフィングでは、ソルト・タイフーンの作戦が数十カ国の通信プロバイダーにも影響を与えたことが明らかにされた。

米国では、これらの攻撃により、通信インフラの弱点や政府監視プラットフォームのセキュリティに対する懸念が高まった。

ロン・ワイデン上院議員を含む米国の議員たちは、国の通信インフラの脆弱性に対処するための法案を提出した。この法案は、今後同様の攻撃を防ぐため、通信事業者により厳しいサイバーセキュリティ基準と監督を設けることを目的としている。

米国政府は、今回のハッキング事件を受けて、チャイナテレコムの米国での最後の活動を禁止する予定だと報じられている

1.情報窃取者の台頭

感染したユーザーのブラウザ情報、クッキー、保存された認証情報、クレジットカード、暗号通貨ウォレットを盗むために、さまざまなキャンペーンで使用されている。

インフォステーラーは何年も前から存在していましたが、脅威行為者が幅広いキャンペーンで使用することで、特に目立っています。

これらの盗まれた認証情報は、企業ネットワーク、銀行口座、暗号通貨取引所、電子メールアカウントへの侵入に使用される。

インフォステーラーにまつわる話題は枚挙にいとまがないので、代わりに、今年インフォステーラーがどのように利用されたかをいくつか紹介しよう:

残念なことに、インフォステーラーに感染した場合、脅威者は暗号通貨を盗み、被害者の銀行口座にアクセスするため、壊滅的な金銭的損失につながる可能性があります。

このような攻撃を防ぐ最善の方法は、認証を提供するすべてのアカウントで認証アプリを使用して2要素認証を有効にすることです。2FAを有効にすると、たとえ脅威者があなたの認証情報を持っていたとしても、認証機能によって生成されたコードなしではログインできなくなります。

.top_story { padding:20px; background-color:#color: white!important; font-weight:bold; } .top_story a:link, .top_story a:visited { color: white!important; text-decoration: underline; } .top_story a:hover { color:#重要; } .top_story a:hover