「脅威の発生源」ニュース レターでは、Talos からの最新情報を週ごとにお伝えします。
サイバー保険は大多数の人にとっては新しい未知の領域であり、少なからぬ問題を抱えているように見えるかもしれません。しかし、実は 2000 年問題への懸念が高まっていた頃にはこの保険が存在していたことをご存知でしょうか。サイバー保険にまつわる誤解は以前にも増して広がっています。そこで Talos ではこうした誤解を少しでも解消すべく、サイバー保険に関する FAQ を用意しました。ぜひご覧ください。
DEFCON で Talos ブースにお越しくださった方であれば、特製の基板型バッジをお持ちかもしれません。あいにくバッジには小さな不具合が見つかっていますが、それを解消するための詳しい手順を紹介しています。手順を参照しながら作業を進め、自分だけの Digispark クローンに仕上げてください。
この 1 週間は脆弱性関連の話題にも事欠かず、慌ただしく過ぎていきました。Google 社の Nest カメラに複数の不具合が見つかり、悪用されるとプライバシーに関わる情報の漏洩が懸念されることから、Talos の記事でも大きく取り上げました。また、複数の Aspose APIs にもリモートでコードが実行される脆弱性が見つかっています。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Virus Bulletin 2019 で発表予定の「DNS on Fire(狙われる DNS)」
開催地:ノボテル ロンドン ウエスト ホテル(英国、ロンドン)
日付:10 月 2 日~ 4 日
講演者:Warren Mercer、Paul Rascagneres
概要:Talos からは Paul と Warren の 2 人が登壇し、DNS を標的とした 2 つの攻撃キャンペーンについてお話しします。ひとつは、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。このマルウェアを調査する中で、ターゲットに対する DNS アクセスをリダイレクトする動きも判明しました。また、この攻撃で使用される複数の登録済み SSL 証明書も見つかっています。講演ではこの 2 つの攻撃手段で使われている戦術や手法、攻撃の手順、標的の構成について解説します。
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(DNS のはずがない…DNS だった:攻撃者はいかにしてネットワークの死角を悪用しているか)」(SecTor)
開催地:メトロ トロント コンベンション センター(カナダ、トロント)
日付:10 月 7 日~ 10 日
講演者:Edmund Brumaghin、Earl Carter
概要:DNS はほとんどの企業ネットワークで最もよく使用されているネットワーク プロトコルのひとつですが、環境内に存在する他のネットワーク プロトコルと同じレベルで DNS を監視している組織は多くありません。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバー セキュリティ概況
- テキサス州を標的にした一連のランサムウェア キャンペーンで狙われた自治体の数は 20 を超え、要求された身代金の総額は 250 万ドルにのぼっています。ある自治体では要求には屈しないという声明も出されています。
- 昨今のランサムウェア攻撃の広がりを受け、全米の都市ではコンピュータ システムに対する同様の攻撃への対策を引き締める動きが見られます。
- データ収集と監視という、物議を醸すサービスを提供している Palantir 社がアメリカ合衆国移民・関税執行局(ICE)との契約を更新しました。5,000 万ドル規模の契約によって ICE に提供されるソフトウェアはデータの管理と保護、分析の用途に使われ、主に米国への入国を試みる個人の識別が目的となります。
- Bluetooth 搭載デバイスを狙った新手の攻撃手法がセキュリティ研究者により発見されました。この手法は「KNOB(Key Negotiation Of Bluetooth)」攻撃と名付けられています。この脆弱性が悪用された場合、盗み取ったデータを Bluetooth を介して受け渡すことができ、過去にペアリングしたことがあるデバイスとの間でもデータ共有が可能です。
- Instagram 社はユーザのログイン情報を窃取するサードパーティ製アプリを発見した研究者に報奨金を支払う不具合の報奨金制度を拡充しました。強化されたプログラムでは、ユーザにボットのフォロワーを追加し、ユーザの投稿に対して偽のいいねやコメントを送るアプリも対象になります。
- Bernie Sanders 氏は司法当局が顔認識技術を使用することに対して、公式の場で最初に拒絶の意を表明した大統領候補です。氏は自身が提案する刑事司法制度改革の中で、顔認識技術のことを「公共の安全の名のもとにプライバシーと市民の自由を侵害する George Orwell 的テクノロジーの最新の例」と呼んでいます。
- Twitter 社は同社のプラットフォームでの広告の購入を国営の通信社に対して禁止するという方針を発表しました。これは中国の報道機関が、先日来香港で起きている抗議活動を非難する広告を掲載したことを受けて導入されたものです。
- 映画チケットのサブスクリプション サービスである MoviePass から、顧客の MoviePass カードの情報とクレジット カード番号が数千人規模で流出しました。同社は肝心のサーバをパスワードによる保護を行わずに運用していて、ある時点で 1 億 6,100 万件のレコードが保存されていたことが判明しています。
最近の注目すべきセキュリティ問題
タイトル:乗っ取りからのデータ漏洩にさらされる Nest Cam IQ カメラ
説明:Cisco Talos はこのほど Nest Cam IQ Indoor カメラに複数の脆弱性を発見しました。Nest Cam IQ Indoor カメラは Nest Labs 社の最先端デバイスのひとつで、Security-Enhanced Linux in Android、Google アシスタント、さらには顔認識といった機能をコンパクトな筐体に収めたセキュリティ カメラです。カメラのセットアップおよび他の Nest デバイスとの初期通信は TCP、UDP、Bluetooth、6lowpan を介して行われますが、そこでは Weave プロトコルが使用されています。今回発見された脆弱性の大半はカメラの Weave バイナリに存在していますが、Weave ツールのバイナリにも一部の脆弱性が確認されました。Weave ツールのバイナリはカメラに内蔵されているため、「カメラ本体の脆弱性」であると言えます。ただし、攻撃にはローカル アクセス(攻撃者によって制御されるファイル)が必要であり、かつ脆弱なコマンドがカメラ上で直接実行されることは決してないため、現実的にはエクスプロイト不可能です。
Snort SID:49843 ~ 49855、49797、49798、49801 ~ 49804、49856、49857、49813 ~ 49816、49912(執筆者:Josh Williams)
タイトル:リモートでのコード実行につながる Aspose API の不具合
説明:このほど、リモートからコードを実行されるおそれのある脆弱性が、複数の Aspose API で発見されました。Aspose にはさまざまなドキュメント形式のファイルの操作や変換に使える API が一通り用意されています。Aspose の脆弱性は PDF や Microsoft Word ファイルをはじめとするドキュメント ファイルの処理を支援する API に内在するものです。攻撃者は巧妙に細工された悪意のあるファイルを標的に送信し、そのファイル形式に対応する API を使って開くように仕向けることで、この脆弱性をエクスプロイトする可能性があります。
Snort SID:49756、49757、49760、49761、49852、49853(執筆者:Cisco Talos のアナリスト)
今週最も多く見られたマルウェア ファイル
SHA 256:b22eaa5c51f0128d5e63a67ddf44285010c05717e421142a3e59bba82ba1325a
MD5:125ef5dc3115bda09d2cef1c50869205
一般的なファイル名:helpermcp
偽装名:N/A
検出名:PUA.Osx.Trojan.Amcleaner::sbmt.talos
SHA 256:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6
MD5:f7145b132e23e3a55d2269a008395034
一般的なファイル名:8c0b271744bf654ea3538c6b92aa7bb9819de3722640796234e243efc077e2b6.bin
偽装名:N/A
検出名:Unix.Exploit.Lotoor::other.talos
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名:W32.AgentWDCR:Gen.21gn.1201
SHA 256:46b241e3d33811f7364294ea99170b35462b4b5b85f71ac69d75daa487f7cf08
MD5:db69eaaea4d49703f161c81e6fdd036f
一般的なファイル名:invoice.exe
偽装名:N/A
検出名:W32.46B241E3D3-95.SBX.TG
本稿は 2019年8月22日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 22)」の抄訳です。