Cisco Japan Blog

脅威情報ニュースレター(2019 年 12 月 12 日)

1 min read



脆弱性調査の分野では、例年どおり忙しい一年でした。今年は 1 営業日あたりで 1 件を超える脆弱性を公開してきました。それらの多くは IoT や ICS デバイスに関するものです。一年の脆弱性のまとめについては、こちらの記事をご覧ください。

新年を目前に控える中、今週も多くの脆弱性を公開しました。詳細は割愛しますが、Apple 社製 Safari ブラウザに発見したリモートコード実行の脆弱性や、Linux カーネルで見つけたサービス妨害の脆弱性などです。

さらに今週は、Microsoft 社から 2019 年最後のセキュリティ更新プログラムが公開されました。注目すべき脆弱性についてはこちらの記事をご覧ください。それらの脆弱性から保護する Snort ルールはこちらのページpopup_iconに記載されています。今月公開された脆弱性のうち、2 件は Talos が発見したものです。いずれも Windows のリモート デスクトップ プロトコルに関連するもので、旧バージョンの Windows が影響を受けます。

1 週間のサイバー セキュリティ概況

  • Adobe 社、各種の同社製品に対して月例のセキュリティ更新プログラムpopup_iconをリリース。今回は Adobe Acrobat Reader で発見された 14 件の「緊急」な脆弱性などが含まれています。
  • セキュリティカメラ「Ring」、深刻なエクスプロイトにさらされているpopup_iconことが一連のニュースで報じられる。フロリダ州では攻撃者が Ring カメラのスピーカーを乗っ取り、所有者に人種差別的な中傷を投げかける事態が起きています。またテネシー州では、購入からわずか 4 日の Ring カメラに男が侵入し、3 人の女の子を盗撮したと考えられるうえ、サンタを装って 1 人に話しかける事件も起きています。
  • 米国のインフラ諮問委員会による新しい報告書では、米国のインフラに対するサイバー攻撃が「現実的な脅威」になっているpopup_iconとして政府に警告。同委員会はまた、ICS システムを保護する「大胆な対策」を講じるようドナルド・トランプ大統領に促しています。
  • ランサムウェア「Ryuk」の作者による新しい復号ソフトウェアについて、サイズの大きなファイルを破損させる可能性popup_iconが指摘。復号ソフトウェアの本来の目的は、身代金を支払った被害者のファイルを回復させることです。
  • 新種のランサムウェア「Snatch」popup_icon、感染プロセスの途中で Windows マシンを再起動する手口により検出を回避。再起動により強制的にセーフモードを起動し、暗号化プロセスを開始します。
  • フロリダ州ペンサコーラ市、市内の米軍施設で発砲事件が起きたわずか数日後にランサムウェア攻撃を受けるpopup_icon。影響は今も続いており、市庁の電話回線や一部の電子メールなどのオンライン機能が木曜日現在もダウンしています。
  • イラン政府、不特定の「電子インフラストラクチャ」に対する大規模なサイバー攻撃を阻止したpopup_iconと発表。ある政府高官は、マルウェアについて具体的な情報は提供できないものの、「政府が関与する高度に組織化された攻撃」だと述べています。
  • 米国のドナルド・トランプ大統領、今週開かれたロシア当局者との非公式会談で選挙のセキュリティについて話し合っていたpopup_iconことが判明。ロシアのセルゲイ・ラブロフ外相は会談後の記者会見で、2016 年の米国大統領選挙における不正行為についてロシア側としては情報を公表したいが、米国側がそれを阻止していると述べました。
  • Apple 社、最新バージョンの iOS を今週リリース。Safari に新しいセキュリティ機能が提供popup_iconされ、NFC、USB、Lightning のセキュリティキーがサポートされました。これによりパスワードへの依存から脱却できます。
  • Google Chrome、データ漏えいによりログイン情報が流出している場合に警告するpopup_icon新機能を追加。ユーザがサイトにログインするたびに、その際のログイン情報が流出していないか漏えい情報のデータベースと照合します。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、月例のセキュリティ更新プログラムで 2 件の「緊急」な脆弱性を修正
説明:Microsoft 社は本日、各種の製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回の脆弱性は 25 件で、そのうち 2 件が「緊急」と評価されています。同社の各種サービスとソフトウェア(リモート デスクトップ プロトコル、Hyper-V、複数の Microsoft Office 製品など)で発見されたセキュリティ問題を修正しています。
Snort SID52402、52403、52410、52411、52419、52420

件名:AMD 社製 ATI Radeon で確認された、ATIDXX64.DLL(シェーダー機能 sincos)に起因するサービス拒否の脆弱性popup_icon
説明:Cisco Talos は最近、AMD 社製 ATI Radeon シリーズのビデオカード内に、特定の DLL に起因するサービス拒否の脆弱性を発見しました。この脆弱性は、VMware ゲスト OS 内に不正なピクセルシェーダーを提供することでエクスプロイトされる可能性があります。このような攻撃は VMware ゲストユーザモードからトリガーされ、ホスト上の vmware-vmx.exe プロセスで境界外メモリ読み込みが発生する可能性があります。理論的には WEBGL によって引き起こされる可能性もあります。
Snort SID51461、51462(作成者:Tim Muniz)

今週最も多く見られたマルウェアファイル

SHA 25664f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8bpopup_icon
MD542143a53581e0304b08f61c2ef8032d7
一般的なファイル名:myfile.exe
偽装名:N/A
検出名:Pdf.Phishing.Phishing::malicious.tht.talos

SHA 256f917be677daab5ee91dd3e9ec3f8fd027a58371524f46dd314a13aefc78b2ddcpopup_icon
MD5: c5608e40f6f47ad84e2985804957c342
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名: PUA:2144FlashPlayer-tpd

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名: qmreportupload.exe
偽装名: qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:N/A
検出名: W32.AgentWDCR:Gen.21gn.1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201

Talos の最新情報については、Twitterpopup_icon をフォローしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2019年12月12日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Dec. 12, 2019)popup_icon」の抄訳です。

コメントを書く