脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
最近では「BlueKeep」を一度は耳にしたことがあるでしょう。これは WannaCry をも彷彿させる「ワームの侵入を許す」脆弱性であるため、大きな注目を集めています。現時点では、BlueKeep を悪用した大規模な攻撃が確認されていませんが、
騒動がこれで収まる気配もありません。Microsoft 社は先月、RDP で新たに確認された複数の脆弱性(通称 DejaBlue)を公開しました。これらも「ワームの侵入を許す」脆弱性ですが、Cisco Firepower のお客様は実践的なガイドに沿うことで防御できます。
今週は他にも、Blynk-Library(1 件の情報漏えいの脆弱性)と Epignosis eFront(2 件の脆弱性)についてアドバイザリを公開しました。
週ごとの「脅威のまとめ」もご覧いただけます。この概要は、毎週金曜日の午後に、ブログに掲載されます。「脅威のまとめ」シリーズでは、Talos が過去 1 週間に確認・ブロックした最も顕著な脅威についてご紹介しています。
今後予定されている Talos の公開イベント
イベント:Virus Bulletin 2019 で発表予定の「DNS on Fire(狙われる DNS)」
開催地:ノボテル ロンドン ウエスト ホテル(英国、ロンドン)
日付:10 月 2 日~ 4 日
講演者:Warren Mercer、Paul Rascagneres
骨子:Talos から Paul と Warren の 2 人が登壇し、DNS を標的とした 2 件の攻撃キャンペーンについて解説します。ひとつは、中東の政府機関や航空会社を標的とするマルウェア「DNSpionage」です。このマルウェアを調査する中で、標的に対する DNS アクセスをリダイレクトする仕組みや、攻撃者が登録した複数の SSL 証明書が特定されています。講演ではこれら 2 件の攻撃手法、攻撃の手順、標的の構成について解説します。
イベント:「It’s never DNS…It was DNS: How adversaries are abusing network blind spots(死角となっている DNS と、それを狙う攻撃者)」 at SecTor
開催地:Metro Toronto コンベンション センター(カナダ、トロント)
日付:10 月 7 日 ~ 10日
講演者:Edmund Brumaghin、Earl Carter
骨子:DNS は大多数の企業ネットワークで最もよく使用されるネットワーク プロトコルのひとつですが、他のネットワーク プロトコルほど監視されない傾向にあります。DNS は、強固なセキュリティ アーキテクチャを簡単に破壊できる手段として、レッド チームと悪意のある攻撃者の両方にとってますます魅力的になっています。このプレゼンテーションでは、さまざまな目的で DNS を利用していることが確認された、DNSMessenger、DNSpionage などの実際の攻撃における技術的詳細をご説明します。
1 週間のサイバー セキュリティ概況
- IBM 社の新しい調査では、ランサムウェアの身代金を税金で支払うことに対して米国の納税者が批判的であると判明。回答者の 80% は地方自治体に対するランサムウェア攻撃を懸念していると答え、60% は身代金の支払いに税金を使って欲しくないと述べています。
- Facebook アカウントにリンクされた数百万件の電話番号を含むサーバが、オンラインでアクセスできる状態だったと判明。この中には 1 億 3,300 万人の米国ユーザも含まれています。サーバはパスワードで保護されておらず、誰でもアクセスできる状態でした。
- 米国連邦取引委員会(FTC)とニューヨーク州、子供たちのデータを不適切に取り扱っていたとして YouTube 社に 1 億 7,000 万ドルの罰金を科すと発表。同社は今後の対策として、子供向けコンテンツであればアップロード時にその旨を明記することを必須化し、子供の使用状況を追跡する際は事前に保護者の同意を求める予定です。
- 新しいセキュリティ報告書では、サイバーセキュリティ保険に加入済みの企業や地方自治体とランサムウェア攻撃との間に関連がある可能性を指摘。保険に加入済みの組織は、加入していない組織よりも身代金を支払う可能性が高い点も指摘しています。
- 中国のハイテク企業 Huawei 社、同社から機密情報を盗むためサイバー攻撃を仕掛けたとして米国を告発。また同社は、「悪徳手段」によりビジネスを妨害しているとして米国政府を非難しています。
- モバイル デバイスを標的とする最近発見された不正な Web サイトについて、ウイグル族のイスラム教徒を標的した中国政府による攻撃である可能性が浮上。問題の Web サイトは、ユーザが iPhone や Android デバイスから開くだけで感染する危険性があります。
- 香港でデモ隊が使用している人気のオンライン フォーラム、攻撃者により一時的にシャットダウンされる。香港では中国政府の関与を強める方針を撤回するよう、市民によるデモが続いています。
- 米国議会、連邦政府のサイバー防御システムを強化する超党派の法案を提出。法案では、連邦政府機関の内部セキュリティを強化するために国土安全保障省が割り当てる予算の増加を求めています。
- Google 社製の Pixel デバイス、今週から Android 10 の配信が開始される。新しいモバイル OS では、アプリごとに位置情報の利用権限を確認・変更できるなど、セキュリティやプライバシー機能が刷新されています。
最近の注目すべきセキュリティ問題
件名:人気の VPN サービスに対するパスワード窃取攻撃に関して、新しい対策が提供
説明:Fortigate および Pulse の VPN サービスに対して、パスワードを盗む攻撃が先週から起きています。それに応じて Cisco Talos では、Pulse VPN ユーザを保護するための SNORT® ルールをリリースしたほか、Fortigate VPN ユーザ向けの追加対策も新たに提供しています。攻撃者が狙うのは、これら 2 つの VPN サービスを利用しているサーバから暗号化キーやパスワードなどの重要データを盗み出すことです。これらの脆弱性は、特別な文字シーケンスを含む特殊な Web 要求を脆弱なサーバに送信することでエクスプロイトできます。
Snort SID:51370 ~ 51372、51387(作成者:John Levy)
件名:Cisco NX-OS ソフトウェアで発見された複数の脆弱性が開示
説明:シスコでは、NX-OS ソフトウェアで確認されたサービス拒否の脆弱性を 3 件(CVE-2019-1965、CVE-2019-1964、CVE-2019-1962)開示しました。これらのバグは、強制リブート、クラッシュ、特定のプロセスの中断など、さまざまな問題を引き起こす可能性があります。いずれの脆弱性も重大度が「緊急」だと考えられています。
参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-memleak-dos
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-ipv6-dos
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-nxos-fsip-dos
Snort SIDs: 51365 – 51367 (Written by John Levy)
今週最も多く見られたマルウェア ファイル
SHA 256:3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3
MD5:47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos
SHA 256:9a082883ad89498af3ad8ece88d982736edbd46d65908617cf292cf7b5836dbc
MD5:7a6f7f930217521e47c7b8d91fb79649
一般的なファイル名:DHL Scan File.img
偽装名:IMGBURN V2.5.8.0 – THE ULTIMATE IMAGE BURNER!
検出名:W32.9A082883AD-100.SBX.TG
SHA 256:7acf71afa895df5358b0ede2d71128634bfbbc0e2d9deccff5c5eaa25e6f5510
MD5:4a50780ddb3db16ebab57b0ca42da0fb
一般的なファイル名:xme64-2141.exe
偽装名:N/A
検出名:W32.7ACF71AFA8-95.SBX.TG
SHA 256:1755c179f08a648a618043a5af2314d6a679d6bdf77d4d9fca5117ebd9f3ea7c
MD5:c785a8b0be77a216a5223c41d8dd937f
一般的なファイル名:cslast.gif
偽装名:N/A
検出名:W32.1755C179F0-100.SBX.TG
SHA 256:093cc39350b9dd2630a1b48372abc827251a3d37bd88c35cea2e784359b457d7
MD5:3c7be1dbe9eecfc73f4476bf18d1df3f
一般的なファイル名:sayext.gif
偽装名:なし
検出名:W32.093CC39350-100.SBX.TG
本稿は 2019年9月5日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 5, 2019)」の抄訳です。