Monthly PickUp:2025-08

  1. Splunk SOAR & Enterprise のセキュリティ・アップデートがリリース (2025/7/7)
  2. Unit 42 Attribution Framework が公開(2025/07/31)

Splunk SOAR & Enterprise のセキュリティ・アップデート

  • セキュリティ製品そのものの脆弱性
  • サプライチェーンリスクの典型例
  • 既に悪用可能なクリティカル脆弱性が含まれている
  • 複数チームに関わる横断的課題
  • 背景
    • OSS/サードパーティ・ライブラリ経由の脆弱性増加
    • 依存関係が複雑化 → 管理負荷が上昇
    • 脆弱性放置は「侵入経路」となり得る
    • OSS ライブラリの脆弱性が製品に直結

Splunk 脆弱性アドバイザリ比較(2025年7月)

項目Splunk SOARSplunk Enterprise
アドバイザリ番号SVD-2025-0712SVD-2025-0710
公開日2025年7月7日2025年7月7日
影響バージョンv6.4.0 / v6.4.19.4.2 以下 / 9.3.4 以下 / 9.2.6 以 / 9.1.9 以下
修正版v6.4.1 以上9.4.3 / 9.3.5 / 9.2.7 / 9.1.10
脆弱な主なパッケージGit, @babel/traverse, jQuery DataTables, Django, axios, tornado など数十種setuptools, golang crypto, golang net, 各種システムユーティリティ
重大脆弱性例– Git
・CVE-2024-32002
・任意コード実行
・悪用中
– @babel/traverse
・CVE-2024-48949
・AST汚染 → 任意コード実行		– golang.org/x/crypto CVE-2024-45337(クリティカル)- setuptools CVE-2024-6345(High)
リスクPlaybook 内で Git を利用 → 悪意あるコード実行の恐れEnterprise 環境全体がリモート侵害に晒される可能性
対応策– v6.4.1 以上にアップデート- Automation Broker の更新確認- Playbook 依存関係を見直し– 修正版(9.4.3 など)にアップデート- Python/golang ライブラリ更新を反映
修正までの平均時間 (MTTR)短縮のための推奨対応
  • SBOM (ソフトウェア部品表) の CI/CD への統合
  • ベンダー・アドバイザリの購読
  • 自動パッチ管理ツールの活用
参考

Unit 42 Attribution Framework

  • 発表日:2025年7月31日
  • 目的:アトリビューションを科学的に体系化
  • 3段階分類:
    • CL- 活動クラスター ⇒ IoC(侵害の兆候)/TTPs/時系列で関連性を持つ2件以上の事象
    • TGR- 暫定グループ ⇒ 6か月以上観測+Diamond Model全要素の分析
    • 確定的な脅威アクター識別
  • 特徴:
    • Diamond Model × Admiralty System(信頼性・確実性をスコア化)
      • Diamond Model ⇒ サイバー攻撃のパターンを「攻撃グループ、攻撃基盤、能力、ターゲット」の4つの要素から分析する方法。
      • Admiralty System ⇒ 情報源とその情報源が提供する情報の品質を評価するための構造化されたフレームワーク。
        • ソース信頼性 :A~F(A=信頼できる、F=不明)
        • 情報の確実性 :1~6(1=確認済、6=不確か)
    • 7カテゴリ分析 (TTPs  – 戦術・技術・手順、ツール、マルウェアコード、OPSEC、時系列、ネットワーク・インフラ、被害者傾向) 
実例
  • Stately Taurus を10年間追跡
  • 2015年 Bookworm Trojan → 2025年確定リンク
  • IoC分析やインフラ解析を通じて証拠を積み上げ
参考記事

2025/07/31:Introducing Unit 42’s Attribution Framework – Palo Alto Networks
2025/08/01:Unit 42 が Attribution Framework を公表:脅威アクターの属性をアクティビティ・ベースで整理する