VMwareに危険な攻撃 丸ごと暗号化されてしまう：週刊セキュリティニュース

2024年7月22日週と7月29日週に起きた国内や海外の主要セキュリティニュースを中心に紹介する。CrowdStrike問題の続報の他、ランサムウェア攻撃ではニデックインスツルメンツが、不正アクセスではシャープのECサイトが、設定ミスではウォンテッドリーが、脆弱性ではCheck Point SoftwareやBIND 9、VMware製品、Microsoft Edgeが、DDoS攻撃ではMicrosoft 365とMicrosoft Azureがニュースになった。出版物ではIPAの情報セキュリティ白書2024が報じられた。

[畑陽一郎，キーマンズネット]

　2024年7月21日〜8月4日に報じられたセキュリティニュースを振り返る。

今週のセキュリティニュースまとめ　VMwareが丸ごと暗号化？

　今回深刻な被害をもたらしそうなのが、「VMware ESXi」と「vCenter Server」の脆弱（ぜいじゃく）性だ。ハイパーバイザー上のファイルシステムを丸ごと暗号化されてしまう可能性がある。Microsoftはこの問題について解説した。

　Microsoftが受けたDDoS（分散型サービス妨害）攻撃は全世界の「Microsoft 365」と「Microsoft Azure」を一時停止させた。犯人が分かっていないため、問題の再発が心配だ。

　ウォンテッドリーの情報漏えいは10年間で約20万人に及ぶ可能性がある。10年前に個人情報を入力したかどうか思い出せない読者もいるだろう。

---

●2024年7月23日

　シャープは同社のECサイト「COCORO STORE」が第三者による不正アクセスを受けて改ざんされていたため、一時停止したと発表した。7月29日には調査結果を発表、脆弱性を突かれた攻撃によって合計203人の個人情報が流出したとことが分かったという。この他、最大2万6654人が悪意あるサイトに誘導されて強制的にウイルスをインストールされた疑いがあるという。

　JPCERT/CCはCheck Point Software Technologies製品の脆弱性（CVE-2024-24919）について発表した。パスワード認証のみを使用するローカルアカウントを使い、VPN機能を用いて不正にログインを試みる活動が続いているため、「Quantum Maestro」や「CloudGuard Network」など5製品について同社が提供したホットフィックスを適用する必要がある。

---

●2024年7月24日

　JPCERT/CCはDNSサーバ「BIND 9」の脆弱性（CVE-2024-24919）について発表した。脆弱性を悪用したリモート攻撃によって動作が不安定になったり、応答速度が低下したり、予期せず終了したりする可能性があるという。

---

●2024年7月25日

　Broadcomは「VMware ESXi」と「vCenter Server」に脆弱性（CVE-2024-37085, CVE-2024-37086, CVE-2024-37087）が見つかったと発表した。攻撃者が認証をバイパスしたり、境界外メモリを読み出したりできるとした。

　CrowdStrikeのジョージ・カーツ氏（CEIO）は7月25日時点でWindowsセンサーの97％以上がオンラインに戻っていると「LinkedIn」に投稿した。これは97％のユーザーがCrowdStrike製品の動作に成功している、つまりWindowsを起動できていることを意味する。

　ニデックインスツルメンツはランサムウェア攻撃を受けた結果、個人情報が流出した可能性があると発表した。2024年5月26日にランサムウェア攻撃を受け、同社とグループ会社など6法人が複数のサーバを暗号化された。漏えいした可能性があるのは、取引先や関係者に関する個人情報が延べ31万8151件（個人情報には氏名や性別、住所、生年月日、電話番号、メールアドレスが含まれる）、同社製品を購入したりイベントに参加したりした7万1089件の個人情報、従業員など1万3290件の個人情報だ。

---

●2024年7月27日

　CrowdStrikeは同社のEDR製品「Falcon Platform」のアップデートに不具合があり、Windowsの正常な起動ができなくなる問題について「インシデント事後のプレレビュー」を発表した。Falcon Platformのセンサーを更新する方法は2つあり、そのうちラビッドレスポンスコンテンツの更新に問題があったことが分かった。このコンテンツに含まれていたコードが境界外メモリを読み出して例外を起こしたものの、この例外が適切に処理されなかったため、Windowsが起動できなくなったという。同社が展開前に実施した検証チェックでは不具合を検出できなかったため、今後は展開前のテストの種類を増やすことで問題の再発を防止するとした。

　MicrosoftはCrowdStrikeの障害に関する検証結果を発表した。無償の「Microsoft WinDBG Kernel Debugger」と拡張機能を用いて、Windowsのクラッシュダンプを分析し、CrowdStrikeの「CSagent.sys」ドライバのメモリ安全性エラーだということを検証できたという。なぜ、セキュリティソリューションは動作に失敗すると致命的になるカーネルドライバを活用するのかという疑問にも答えた。

---

●2024年7月29日

　Microsoftは7月25日にBroadcomが発表したVMware製品の脆弱性を利用した攻撃について、分析結果を発表した。CVE-2024-37085を「Storm-0506」や「Storm-1175」「Octo Tempest」「Manatee Tempest」といったランサムウェア攻撃グループが利用しており、ESXiハイパーバイザーへの完全な管理者アクセスを得て、ハイパーバイザーのファイルシステムを暗号化されてしまう可能性があるという。

---

●2024年7月30日

　MicrosoftはDDoS（分散型サービス妨害）攻撃を受けたため、全世界の「Microsoft 365」と「Microsoft Azure」が一時停止したことについて予備的な調査結果を発表した。7月30日11時45分から19時43分の間、ネットワークの上流にある「Azure Front Door」と「Azure Content Delivery Network」に対して予期しない接続量の急増があり、これがMicrosoft 365やMicrosoft Azure利用時の断続的なエラーやタイムアウト、待機時間の急増につながったという。なお、「OneDrive for Business」や「Microsoft Teams」には影響がなかった。なお、攻撃者については分かっていないという。

　ウォンテッドリーは同社のSNS「Wantedly」で約20万人の情報が漏えいした可能性があると発表した。Wantedlyは会社ページや採用ブログを企業が投稿し、SNSを経由して採用につなげるサービスだ。このSNSのアクセス設定に不具合があったため、権限のない第三者に2万4435件の企業の公式ページ、19万4733件の人材募集記事、20万578人のユーザー（求職者）情報が漏えいした可能性があるという。ユーザー情報には氏名や所属企業、職種、プロフィール画像、自己紹介文、スキル、地域などが含まれる。漏えいした可能性がある期間は2013年10月17日〜2024年6月10日の約10年だった。

　情報処理推進機構（IPA）は「情報セキュリティ白書2024」を発行したと発表した。264ページの冊子（有償）の他、PDF版もある。2023年度の情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などを網羅した。

---

●2024年8月1日

　Microsoftは「Microsoft Edge」のセキュリティアップデートを公開した。「CVE-2024-6990」「CVE-2024-7256」「CVE-2024-7255」などの「Chromium」に由来する脆弱性を修正できる。