2024年上半期サイバーセキュリティレポート 脆弱性を悪用したカスタムツールGooseEggやWordPressを狙った事例を解説

この記事をシェア
全42ページのレポート(PDF)無料ダウンロードはこちら

2024年1月から6月(以下上半期)に発生したサイバー攻撃の事例や、総合セキュリティソフトESETにより日本国内および全世界で検出されたマルウェアなどを解説した、2024年上半期サイバーセキュリティレポートです。
本レポートでは、ヨーロッパや北米などで悪用の事例が確認されたカスタムツールGooseEggや、世界的に多くのシェアを持つCMSであるWordPressを標的として仕組まれた分散型ブルートフォース攻撃など、2024年上半期のサイバーセキュリティの脅威を、サイバーセキュリティラボ独自の視点から深堀り分析し、効果的なセキュリティ対策の強化につながる情報をまとめました。

2024年上半期サイバーセキュリティレポート 脆弱性を悪用したカスタムツールGooseEggやWordPressを狙った事例を解説

トピック

  • 第1章:2024年上半期マルウェア検出統計

2024年上半期に、日本国内と全世界で検出したマルウェア情報を元に、検出数とTOP10、月別推移、ファイル別、カテゴリー別に比較分析を解説します。
日本国内では、2024年2月以降マルウェアの検出数が増加となり、4月に最も多く検出されました。2024年2月の検出数増加の要因として、アドウェアとフィッシングを目的としたHTMLファイルが多数を占め、フィッシングを目的としたHTMLファイルの検出数が正月休みに少なかったことが影響しています。また日本国内は全世界と比較して、JS/ScrInject、HTML/FraudといったWebブラウジング中に検出される脅威への遭遇が多く、フィッシング対策協議会や情報処理推進機構(以下IPA)にて、フィッシングやサポート詐欺の注意喚起が出されています。
全世界でも日本と同様に2月に増加し、4月が最も多くマルウェアを検出しています。全世界の統計では、6月に検出数が減少しており、理由としては不正なJavaScriptファイルやフィッシングを目的としたHTMLファイルの検出数減少が影響しています。

日本国内におけるマルウェア以外の脅威としては、検出数9位にランクインしたPHP_CVE-2024-4577の今後の動向に注意してください。CVE-2024-4577は、2024年6月に公開されたPHP CGIモードの脆弱性で、公開されてから1カ月で上半期検出数の9位に入っており、今後も検出数が増加する可能性があります。そして、悪用した攻撃による被害も既に報告されており、IPAは「国内の複数組織のWebサービスにwebshellが設置されていた」とCVE-2024-4577の悪用に関する注意喚起を行っています。

本章では、解説した統計データや脅威の中から、今後注意が必要になる攻撃と推奨するセキュリティ対策を提案しています。

  • 第2章:脆弱性を悪用して権限昇格を行うカスタムツールGooseEgg

GooseEggは、ロシアを拠点とする攻撃者グループForest Blizzardが権限昇格を行うために作成したカスタムツールです。サイバー攻撃者は初期侵入に成功した後、被害者のパソコンに悪用できる脆弱性の有無を偵察します。GooseEggは脆弱性の悪用をスムーズに行うためのツールで、権限昇格に成功したサイバー攻撃者は、高い権限で更なる侵害行為を実行します。現在のところ日本国内での事例は確認されていませんが、油断はできません。GooseEggは手軽に入手でき、シンプルな構造のため容易に活用が可能なこと、日本企業のランサムウェア被害が増加しているため、今後日本をターゲットとした攻撃にGooseEggやそれに類するツールを使用した攻撃が想定されます。

本章では、Forest BlizzardとGooseEggの概要と攻撃フロー、また解析の結果判明した詳細な動作・特徴や、日本国内での攻撃に関する予測や講じるべき対策について解説します。

  • 第3章:仕組まれた分散型ブルートフォース攻撃と狙われたWordPress

世界中で利用されているオープンソースのCMSであるWordPressは、個人ブログだけではなく企業の公式サイトなどでも利用されています。一方で、簡単に利用できるため利用者が多く、設定不備や脆弱性を内包したWebサイトも存在し、サイバー攻撃者の標的になる事件が発生しています。
2024年3月にSUCURI社が公開し伝えた事例では、分散型ブルートフォース攻撃を使いWordPressの資格情報を狙う手口が紹介されました。日本国内でも、改ざんを受けたブログや企業サイトが検出されました。改ざんを受けたWebサイトをユーザーが閲覧すると、サイバー攻撃者の用意したサーバーからプログラムが呼び出され、ユーザーの端末から特定のリクエスト認証を試行する通信が標的サイトへ送信されます。多数のユーザーが改ざんされたWebサイトを閲覧することで、各地の端末から標的サイトへ送信が行われ、分散型ブルートフォース攻撃を引き起こします。その結果、サイバー攻撃者は標的サイトの中から侵入可能なWordPressの資格情報を搾取します。

本章では、日本国内における改ざんの事例を挙げ、攻撃の展開や改ざんを受けたWebサイトの傾向を解説するとともに、企業における脅威への具体的なセキュリティ対策を2つの観点で説明します。

  • 第4章:パスワード単独認証の限界とその対策

総務省は2023年5月に「国民のためのサイバーセキュリティサイト」をリニューアルしました。このサイトは一般利用者に向けてセキュリティ対策の知識を分かりやすく提供することを目的としています。今回のリニューアルでは「サイバーセキュリティ初心者のための三原則」が最新動向を反映した内容に更新されましたが、その中でも2つ目の項目である「IDとパスワードの適切な管理」が、「強固なパスワードの設定と多要素認証を活用しよう」に変更されたように、パスワードの質に加え、新たに認証方法の活用を促す詳細な内容が盛り込まれています。

本章では、パスワード認証における代表的なパスワード攻撃とユーザーの対策を例に挙げ、強固なパスワードについて考察します。また、パスワード認証の問題点を取り上げ、その対策となる多要素認証やパスワードレス認証について解説します。

解説動画公開中!

「2024年上半期サイバーセキュリティレポート紹介動画」
各章の内容を要約して解説いたしました。

詳細レポートは、下記よりダウンロードしていただきご覧ください。

全42ページのレポート(PDF)無料ダウンロードはこちら
この記事をシェア

サイバー攻撃対策に

サイバーセキュリティ
情報局の最新情報を
チェック!