Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

「脅威の発生源」ニュース レター(4 月 11 日)


2019年4月24日

「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。

まだ登録をお済ませでない方は、今年の「Talos Threat Research Summit」にぜひご登録くださいpopup_icon。防御側による、防御側のための年次イベントとして 2 回目となる今年は、Cisco Live の開幕日と同じ 6 月 9 日にサンディエゴで開催されます。昨年の参加チケットは売り切れましたので、今年もお早めにご登録ください。

今週は、Talos が発見した Facebook 上で暗躍する不正ユーザpopup_iconについての記事が話題となりました。それらのユーザは、カード情報の不正取引やスパム、身分証の偽造など、さまざまな不正サービスの売買を Facebook 上で行っていて、ユーザ数も数千人規模にのぼっています。記事は NBC ニュースpopup_iconForbespopup_iconWIREDpopup_icon といった世界中のニュースで取り上げられました。

また、Gustuff マルウェアに関する新しい調査結果も出されました。Gustuff はバンキング型トロイの木馬で、Talos の研究者が今年初めに発見したものです。最近では、金融サービスの Web サイトからログイン情報を詐取すべくオーストラリアのユーザを標的にしていることが確認されています。

今回の記事では、ブログで毎週金曜日の午後に配信される週ごとの「脅威のまとめ」popup_iconも記載しています。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。

今後予定されている Talos の公開イベント

イベント:Cisco Connect ソルトレイクシティpopup_icon

場所:ユタ州ソルトレイクシティ

日付:4 月 25 日

講演者: Nick Biasini

あらすじ:全日の教育イベントでは、シスコのさまざまな情報について Nick Biasini が解説します。セッションのひとつでは特に Talos について取り上げ、Talos の業務内容や運営について簡単にご説明します。また、Talos チームにとって最も頭の痛い脅威や、一般的に最も懸念すべき傾向についてもご紹介します。

サイバー セキュリティ週間の概要

  • ウィキリークスの創設者 Julian Assange 氏、エクアドル大使館から引き渡された後、木曜日にロンドンで逮捕popup_icon。その数時間後、コンピューター システムへの侵入に関わる陰謀罪で米国が正式に同氏を起訴しました。ウィキリークスは長年にわたって政府の機密文書を何千件も漏洩してきました。
  • Amazon の従業員、音声認識技術を改善するために Alexa とユーザとの会話を聞いていたpopup_iconことが判明。報道によると、一握りの従業員が録音内容を文字に起こし、注釈を付けてからソフトウェアにフィードバックしていたようです。
  • Yahoo 社、2013 年のデータ漏洩でユーザと 1 億 1800 万ドルの和解popup_iconに合意。この事件では世界中の Yahoo (現在は Verizon 社の子会社)ユーザ データが 30 億人分も流出しましたが、同社は長らくコメントを控えていました。
  • 米国政府、北朝鮮の関与が疑われる新しい「HOPLIGHT」マルウェアpopup_iconに関する警告を発表。FBI と国土安全保障省の報告によると、「HOPLIGHT」マルウェアは、ファイルの読み書き、移動やアップロード/ダウンロード、リモート ホストへの接続などの機能を備えています。
  • Verizon 社、攻撃者が root 権限を取得できる可能性がある複数の脆弱性を同社製ルータで修正popup_icon。これらの脆弱性により、ネットワーク上の他のデバイス(IoT 機器など)が攻撃の標的になる危険性があります。
  • Samsung 社製 Galaxy S10、セキュリティ研究者が 3D プリンタにより指紋認証の突破に成功popup_icon。攻撃者により指紋情報が盗まれた場合、デバイスの指紋認証が突破され物理的にアクセスされる危険性があります。
  • 最近発生した 3 件のスパム キャンペーン、税金書類に見せかけた悪意のある添付ファイルを介して TrickBot マルウェアpopup_iconを拡散。これらのキャンペーンでは、人事・給与計算ソフトウェアの大手である ADP 社と Paychex 社を偽の差出人として利用しています。
  • サイバーセキュリティ各社、「ストーカー ウェア」をスマートフォンから削除するためのpopup_iconユーザ支援に乗り出す。複数のサイバーセキュリティ企業は、他のユーザを追跡する目的で従来から使用されているストーカー ウェアが検出された場合にユーザに警告する対策を始めました。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、14 件の「緊急」を含む 74 件の脆弱性を修正popup_icon
説明:Microsoft 社は、各種の製品で確認/修正された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月のセキュリティ更新プログラムでは 74 件の新たな脆弱性が修正されています。そのうち 16 件が「緊急」、58 件が「重要」と評価されています。Adobe Flash Player のセキュリティ更新プログラムに関する重要なアドバイザリも同時に公開されました。今月のセキュリティ更新プログラムでは、Chakra スクリプト エンジン、Microsoft Office、Windows 10 などの同社製品で確認されたセキュリティ問題が修正されています。
Snort SID 45632, 45635, 46548, 46549, 49380, 49381, 49688, 49689, 49692 – 49711, 49716 – 49723, 49727 – 49747, 49750 – 49755

件名:Adobe 社、Flash Player と Acrobat で確認された脆弱性を修正popup_icon
説明:Adobe 社が今週公開した月例のセキュリティ更新プログラムでは、同社製品で確認された 15 件の脆弱性が修正されています。修正された脆弱性には、Shockwave で発見された重大なメモリ破損のバグや、Acrobat Reader で見つかったリモート コード実行の脆弱性などが含まれています。
Snort SID 48293, 49294

今週最も多く見られたマルウェアファイル

SHA 256 d05a8eaf45675b2e0cd6224723ededa92c8bb9515ec801b8b11ad770e9e1e7edpopup_icon
MD5 6372f770cddb40efefc57136930f4eb7
一般的なファイル名: maftask.zip
偽装名: 該当無し
検出名: PUA.Osx.Adware.Gt32supportgeeks::tpd

SHA 256 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD5 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名: Win.Trojan.Generic::in10.talos

SHA 256 8f236ac211c340f43568e545f40c31b5feed78bdf178f13abe498a1f24557d56popup_icon
MD5 4cf6cc9fafde5d516be35f73615d3f00
一般的なファイル名: max.exe
偽装名: 易 言程序
検出名: Win.Dropper.Armadillo::1201

SHA 256 46bc86cff88521671e70edbbadbc17590305c8f91169f777635e8f529ac21044popup_icon
MD5 b89b37a90d0a080c34bbba0d53bd66df
一般的なファイル名: cab.exe
偽装名: Orgs ps
検出名: W32.GenericKD:Trojangen.22ek.1201

SHA 256 790c213e1227adefd2d564217de86ac9fe660946e1240b5415c55770a951abfdpopup_icon
MD5 147ba798e448eb3caa7e477e7fb3a959
一般的なファイル名: ups.exe
偽装名: TODO:< 品名>
検出名: W32.Variant:XMRig.22fc.1201

今週のトップ スパム統計

スパムの件名のうち、観察された上位 5

  • 「ヘルプ デスクからのお知らせ:9 日(火曜日)にメンテナンスを予定(Help Desk: Planned maintenance for Tuesday 9th)」
  • 「Iron Mountain オーストラリア支社からのお知らせ:請求書番号 AUS402803(Iron Mountain Australia Group Pty Ltd – Invoice Number AUS402803)」
  • 「転送:Netflix 領収書(Fwd: Netflix statement Of Payment)」
  • 「アリアナからの承認要求(Please approve – Allina)」
  • 「Netflix が解約されました(Your Netflix Membership Has Been Suspended)」

スパム送信に最も使用されている 上位 5 つの ASN

  • 8075 Microsoft 社
  • 3136 ウィスコンシン州管理局
  • 6276 OVH SAS 社
  • 8560 1&1 Internet SE 社
  • 16509 Amazon.com(株)

 

本稿は 2019年4月11日に Talos Grouppopup_icon のブログに投稿された「Threat Source (April 11)popup_icon」の抄訳です。

Tags:
コメントを書く