2024年上半期サイバーセキュリティレポートを公開　脆弱性を悪用したカスタムツールGooseEggや世界的シェアを持つWordPressを狙った攻撃事例を解説

キヤノンMJ
2024年09月24日

キヤノンMJ
キヤノンマーケティングジャパン株式会社（代表取締役社長：足立正親、以下キヤノンMJ）は、”2024年上半期サイバーセキュリティレポート”を公開しました。本レポートでは、Window OSの脆弱性を悪用し、OSの高度なアクセス権や管理権限を得るカスタムツールGooseEggや、初心者でも簡単にWebサイトやブログの制作や更新が可能なWordPressを標的として仕組まれた分散型ブルートフォース攻撃など、2024年上半期に発生したサイバーセキュリティの脅威動向について解説します。

2024年上半期サイバーセキュリティレポート

キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威や動向の情報収集および分析を行い、セキュリティ対策に必要な情報を定期的に発信しています。
このたび、2024年1月から6月（以下上半期）に発生したサイバー攻撃の事例や、総合セキュリティソフトESETにより日本国内および全世界で検出されたマルウェアなどについて解説した、“2024年上半期サイバーセキュリティレポート（以下本レポート）“を公開しました。
本レポートでは、ヨーロッパや北米などで悪用の事例が確認されているGooseEggと呼ばれるOSの権限昇格を行うカスタムツールを取り上げ、サイバー攻撃に使われる背景や今後日本に対する攻撃にGooseEggが悪用される可能性について考察します。
また世界的にも多くのシェアを持つCMS（Contents Management System）であるWordPressを狙い、国内Webサイトにおける改ざん、および改ざんにより引き起こされた分散型ブルートフォース攻撃と、その対策について解説します。その他本レポートでは、2024年上半期に発生したサイバーセキュリティの主な脅威動向について、サイバーセキュリティラボ独自の視点で分析・考察しており、セキュリティ対策に役立つ情報をまとめています。
＜2024年上半期サイバーセキュリティレポート＞
https://eset-info.canon-its.jp/malware_info/special/detail/240924.html
＜レポートの主な内容＞
■カスタムツールGooseEggの現状と日本における今後の予測
サイバー攻撃から組織を保護するための情報を提供する「マイクロソフトサイバー脅威インテリジェンス（Microsoft Threat Intelligence）」は、2024年4月にWindows OSの脆弱性を悪用するカスタムツールについての分析を公開しました。このカスタムツールはGooseEggと呼ばれ、コマンドライン（※1）で指定された実行ファイルやDLL（Dynamic Link Library）ファイルを管理者権限で実行することができます。GooseEggはロシアを拠点とする攻撃者グループForest Blizzardによって作成されたツールです。Microsoft社の報告によると、ウクライナや西ヨーロッパ、北米を中心としたさまざまな組織に対する攻撃にこのツールが使用されたことが判明しています。本レポートでは、カスタムツールGooseEggと攻撃者グループForest Blizzardおよび、日本での攻撃に悪用される可能性について紹介します。
■WordPressを標的としたWebサイト改ざんの脅威
世界中で利用されているオープンソースのCMSであるWordPressは、個人のブログだけではなく企業の公式サイトなどでも利用されている一方で、利用者が多いことから設定の不備や脆弱性を内包したWebサイトも存在し、サイバー攻撃者の標的になる事件が発生しています。2024年3月にSUCURI社が公開し伝えた事例（※2）では、分散型ブルートフォース攻撃を使いWordPressの資格情報を狙う手口が紹介されました。また、海外で観測されたこの手口と同じ改ざんを受けた、日本国内のWebサイトが検出されています。本レポートでは日本国内における改ざん事例を調査した結果と、その脅威への対策を解説します。

※1 キーボードからコマンド（指示）を打ち込んで処理を実行する方法。
※2 ＜出典元＞From Web3 Drainer to Distributed WordPress Brute Force Attack ｜ Sucuri Blog
https://blog.sucuri.net/2024/03/from-web3-drainer-to-distributed-wordpress-brute-force-attack.html
サイバーセキュリティ情報局：https://eset-info.canon-its.jp/malware_info/
＜2024年上半期サイバーセキュリティレポート　章ごとの主な内容＞
第1章：2024年上半期マルウェア検出統計
日本国内で2024年上半期にESET製品によってマルウェアが最も多く検出された月は4月で、2024年2月の検出数増加以降、高い検出数が維持されています。2024年2月の検出数増加のうち、アドウェアとフィッシングを目的としたHTMLファイルが多数を占め、フィッシングを目的としたHTMLファイルの検出数が正月休みに少なかったことが、2月の検出数増加へ影響しています。また日本国内は全世界と比較して、JS/ScrInject、HTML/FraudといったWebブラウジング中に検出される脅威への遭遇が多く、フィッシング詐欺サイトやサポート詐欺サイトが増加していることが、フィッシング対策協議会の月次報告書や情報処理推進機構（以下IPA）のサポート詐欺レポートからも読み取れます。全世界で最も多くマルウェアが検出された月は4月で、2024年2月の検出数増加は全世界の統計にも確認できます。全世界の統計では、6月における検出数の減少が顕著です。これは不正なJavaScriptファイルやフィッシングを目的としたHTMLファイルの検出数減少が影響しています。
日本国内におけるマルウェア以外の脅威では、検出数TOP10のうち9位に入ったPHP_CVE-2024-4577の今後の動向に注意してください。CVE-2024-4577は2024年6月に公開されたPHP CGIモードの脆弱性で、公開されてから1カ月で上半期検出数の9位に入っており、今後も検出数が増加する可能性があります。そして、これを悪用した攻撃による被害も既に報告されており、IPAは「国内の複数組織のWebサービスにWebshellが設置されていた」とCVE-2024-4577の悪用に関する注意喚起内に記載しています。ほかにも、本脆弱性がランサムウェアグループTellYouThePassのランサムウェア配布に悪用されていたと報告されています。
第2章：脆弱性を悪用して権限昇格を行うカスタムツールGooseEgg
GooseEggは、Forest Blizzardが権限昇格を行うために用意したカスタムツールです。サイバー攻撃者は初期侵入に成功した後、悪用できる脆弱性が被害者のパソコンに存在するかどうかを偵察します。脆弱性が存在していた場合は、脆弱性悪用のフェーズに入ります。GooseEggはこのフェーズをスムーズに行うためのツールで、脆弱性を悪用して権限昇格に成功したサイバー攻撃者は、高い権限で更なる侵害行為を実行します。現在のところ日本国内での悪用事例は確認されていませんが、このような現状に変化が生じる可能性は十分にあります。GooseEggは入手が容易かつシンプルな構造を持っており簡単に活用することが可能なこと、日本の企業がランサムウェアの被害に遭うケースが増えていることから、今後日本国内をターゲットとした攻撃にGooseEggやそれに類するツールが使われることを想定する必要があります。
本章では、Forest BlizzardとGooseEggの概要と攻撃フロー、また解析の結果判明した詳細な動作・特徴や、日本国内での攻撃に関する予測や講じるべき対策について解説します。
第3章：仕組まれた分散型ブルートフォース攻撃と狙われたWordPress
日本国内では、サイバー攻撃者により悪性スクリプトが組み込まれる改ざんを受けたブログや企業サイトが検出されました。サイバー攻撃者がサイト閲覧者を使いブルートフォース攻撃を発生させるためのスクリプトが、この改ざんにより組み込まれました。改ざんを受けたWebサイトをユーザーが閲覧すると、サイバー攻撃者の用意したサーバーからプログラムが呼び出され、ユーザーの端末から特定のリクエスト認証を試行する通信が標的サイトへ送信されます。改ざんされたWebサイトを多数のユーザーが閲覧することで、各地の端末から標的サイトへ送信が行われ、分散型ブルートフォース攻撃を引き起こします。その結果、サイバー攻撃者は標的サイトの中から侵入可能なWordPressの資格情報を搾取します。
本章では、日本国内における改ざんの事例を挙げ、攻撃の展開や改ざんを受けたWebサイトの傾向を解説するとともに、プロキシサーバーやファイアウォール、ESET製品をはじめとするMDRサービスや脆弱性診断・WAFなどセキュリティサービスの活用など、脅威への具体的な対策について明示します。
第4章：パスワード単独認証の限界とその対策
総務省は2023年５月に「国民のためのサイバーセキュリティサイト」をリニューアルしました。このサイトは一般利用者に向けてセキュリティ対策の知識を分かりやすく提供することを目的としています。今回のリニューアルでは「サイバーセキュリティ初心者のための三原則」が最新動向を反映した内容に更新されましたが、その中でも2つ目の項目である「IDとパスワードの適切な管理」が、「強固なパスワードの設定と多要素認証を活用しよう」に変更されたように、パスワードの質に加え、新たに認証方法の活用を促す詳細な内容が盛り込まれています。
本章では、パスワード認証における代表的なパスワード攻撃とユーザーの対策を例に挙げ、強固なパスワードについて考察します。また、パスワード認証の問題点を取り上げ、その対策となる多要素認証やパスワードレス認証について解説します。

* ESETは、ESET, spol. s r.o.の商標です。Microsoft、Windowsは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。その他、文中の商品名、会社名、団体名は、各社の商標または登録商標です。