「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
先週は「Hacker Summer Camp」への出席のためニュースレターは休載しました。Black Hat での様子は、Talos の研究者やアナリストからの「ライトニング トーク」としてまとめたブログ記事
をご覧ください。
今週は他にも、月例のセキュリティ更新プログラム が Microsoft 社から提供されました。重大な脆弱性に対しては Talos から Snort ルールによるカバレッジも提供されています。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認およびブロックした最も顕著な脅威を紹介しています。
今後予定されている Talos の公開イベント
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots」 at SecTor
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルのひとつですが、他のネットワーク プロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバー セキュリティ概況
- 17 ヵ国で発生した 35 件のサイバー攻撃について、北朝鮮の関与が疑われるとして国連が調査を開始。新しい報告書では、北朝鮮がサイバー攻撃によって核兵器開発資金を獲得している可能性を指摘しています。
- 英国サウスウェールズ州の警察、現場で容疑者を特定できるよう顔認識アプリの導入を開始。50 人の警察官のスマートフォンにアプリを導入し、今後数ヵ月にわたってテストする予定ですが、プライバシー保護団体からは早くも反対の声が出ています。
- Black Hat でのスポンサー付きプレゼンテーションで、「新しい暗号形式」だと主張する「Time AI」が発表されるも非難が集中し、会場側がトーク内容の削除を決定。「Time AI」に関しては、誤解を招くとしてオンライン上で多数の研究者が非難したほか、少なくとも 1 人の出席者はプレゼンテーションを遮って責め立てる事態となりました。
- Adobe 社が今週リリースした月例セキュリティ アップデートで、Acrobat および Acrobat Reader で確認された 76 件のバグを含む多数の脆弱性を修正。Photoshop では 22 件の重大な脆弱性が修正されています。
- Google 社、 17 億人にのぼる Android ユーザについて Google サービスの認証方法をパスワードから変更する計画だと発表。同社のエンジニアは、指紋認証などの方法で Android ユーザが Google サイトやサービスにログインできるメリットして、「新しいセキュリティ テクノロジーが強固さと利便性の両面でパスワードを上回っている」と述べています。
- Facebook 社、以前に請負業者によりユーザの会話を聞き取り、文字に起こしていたことを認める。同社は一連の作業を最近になって廃止したと述べていますが、アイルランドのデータ保護委員会は GDPR 違反の可能性について現在も調査しています。
- Steam のゲーム ストアに存在する脆弱性により、Windows ユーザが攻撃を受ける危険性が指摘。ただし同社は、修正内容が同社の責任範囲外だと述べています。
- FBI、デート詐欺の最近の上昇について米国市民に警告するレポートを発表。レポートでは、攻撃者が偽のユーザ名で被害者に接近し、新たな銀行口座を開設した上で攻撃者に送金させる詐欺手口を指摘しています。
- Def Con に出席したセキュリティ研究者、米軍で多数使用されている F-16 戦闘機に重大な脆弱性を発見。エクスプロイトされた場合、戦闘機のカメラとセンサーの一部が動作を停止し、飛行中にデータ送信を妨げる危険性があります。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、8 月のセキュリティ更新プログラムで 31 件の「緊急」の脆弱性を修正
説明:Microsoft 社は、同社の各種製品で確認された 90 件を超える脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今月のセキュリティ更新プログラムでは 97 件の新たな脆弱性が修正されています。そのうち 31 件が「緊急」、65 件が「重要」、1 件が「警告」と評価されています。今月のセキュリティ更新プログラムでは、Graphics Component、Outlook、Chakra スクリプト エンジンなどの同社製品・サービスで確認されたセキュリティ問題が修正されています。
Snort SID:35190、35191、40851、40852、45142、45143、50936 ~ 50939、50969 ~ 50974、50987、50988、50940、50941、50998、50999、51001 ~ 51006 (作成者:Cisco Talos のアナリスト)
件名: WebEx Teams で発見された重大度の高いバグの修正パッチなど、複数のシスコ製品でセキュリティ更新プログラムがリリース
説明:シスコは、同社の複数製品で確認された脆弱性に対するセキュリティ更新プログラムをリリースしました。重大性の高い脆弱性は、攻撃者に該当システムの乗っ取りを許す危険性があります。最も深刻な脆弱性のいくつかは、Cisco WebEx Network Recording と Cisco Webex Player(いずれも Windows 版)に存在しており、5 件の CVE が割り当てられています。リモート攻撃者が該当システム上で任意コードを実行できる危険性があります。
Snort SID:50902、50904 ~ 50907(作成者:Amit Raut)
今週最も多く見られたマルウェア ファイル
SHA 256:b22eaa5c51f0128d5e63a67ddf44285010c05717e421142a3e59bba82ba1325a
MD5:125ef5dc3115bda09d2cef1c50869205
一般的なファイル名:helpermcp
偽装名:N/A
検出名:PUA.Osx.Trojan.Amcleaner::sbmt.talos
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6
MD5:f7145b132e23e3a55d2269a008395034
一般的なファイル名:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6.bin
偽装名:N/A
検出名:Unix.Exploit.Lotoor::other.talos
SHA 256:39a875089acaa37c76dd333c46c0072c6db0586c03135153fe6c15ac453ab750
MD5:df61f138409416736d9b6f4ec72ac0af
一般的なファイル名:cslast.gif
偽装名:N/A
検出名:W32.39A875089A-100.SBX.TG
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG
本稿は 2019年8月15日に Talos Group
Authors