Cisco Japan Blog

脅威情報ニュースレター(2019 年 1 月 16 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

今月は、Microsoft 社の月例セキュリティ更新プログラムがいくつかの理由で特に注目されていました。第一に、いよいよ Windows 7 をあきらめる時が到来しました。Microsoft 社が Windows 7 に無料で提供する更新プログラムは、今回で最後だからです。

また、Windows が暗号化スプーフィングのリスクにさらされるという脆弱性も注目されました。この脆弱性により、悪意のあるファイルが、信頼できる送信元を装って署名される可能性があります。このバグは非常に深刻だったため、Microsoft 社が公開に先立って米軍に連絡し、先行パッチを提供したほどです。今月の更新プログラムの詳細については、こちらのまとめ記事と、こちらpopup_iconでリリースされた Snort ルールをご確認ください。

また、広く使用されている Citrix 製品の注目すべきバグからユーザを保護するために、新しい Snort ルールがリリースされています。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:Talos Insights:「The State of Cyber Security at Cisco Live Barcelona
Cisco Live Barcelona:サイバーセキュリティ概況)」会場:Fira Barcelona(バルセロナ、スペイン)
会期:1 月 27 ~ 31 日
講演者:Warren Mercer
概要:Cisco Talos は、安全なネットワークの維持に欠かせない早期警告インテリジェンスと脅威分析を専門としています。攻撃者がスキルを高める中、セキュリティ上の脅威の構図が絶えず移り変わっていることを実感しつつ、ネットワークの防衛に携わっています。Talos は、データの集約、セキュリティのエキスパートで構成されるチームとの連携、セキュリティへの最先端のビッグデータテクノロジーの応用を手段として、シスコのすべてのセキュリティ プラットフォームの全体的な有効性を引き上げています。今回の講演では、昨今の脅威を詳細に分析し、製品の向上とリスク軽減戦略の実践に向けて Talos が大規模なデータセットをどのような形で活用しているかをご紹介します。

1 週間のサイバー セキュリティ概況

  • Apple 社、被疑者が保有していた iPhone のロック解除を求める FBI の要請popup_iconを再度拒否。FBI は、昨年海軍基地で複数人を射殺した犯人のデバイスにアクセスしようとしています。
  • Apple 社が拒否したことで、ドナルド・トランプ米大統領が介入。トランプ大統領は Twitterpopup_icon で、「殺人者、麻薬の売人、その他の暴力的な犯罪に関わる者が使用する」デバイスに法執行機関がアクセスしようとするのを Apple 社が拒否したことに不満を示しました。
  • 外貨両替サービスの Travelex 社、ランサムウェア攻撃を受けてから 2 週間以上経過して、ようやく通常業務を再開popup_icon。同社は最近、システムが「順調に復旧している」と述べ、顧客向けシステムが間もなく復旧することを見込んでいました。
  • Travelex 社への攻撃を受け、米国政府は、ユーザができるだけ早く同社の VPN サービスを更新する必要があるという新たな警告を発表popup_icon。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)によると、脆弱性が昨年公開された Pulse Secure VPN のユーザは、Travelex 社に起きたランサムウェア感染と同様のサイバー攻撃のリスクにさらされています。
  • アイオワ州の民主党、セキュリティリスクがあるという警告にもかかわらず、依然としてモバイルアプリを使用して予備選挙の結果を報告popup_iconすると発表。選挙審査員は、大統領の予備選挙中にアプリから投票結果を集計し、結果を報告する予定です。ただし当局は、結果を検証するための紙のバックアップを用意すると述べています。
  • ニューオーリンズ市が最近受けたサイバー攻撃について、推定コストが700 万ドルを超えるpopup_icon。同市は、そのうち 300 万ドルをサイバー保険でまかなうと述べています。同市の関係者は、内部ネットワークの再構築にはまだ数ヵ月かかるとしており、数週間にわたって多くの機能を手作業で実施しなければならない状態が続いています。
  • 米国選挙のセキュリティに関する専門家、米国の次期大統領選挙への干渉は、かつてないほど巧妙なものになるpopup_iconと警告。Shelby Pierson 氏は最近の講演で、米国がいくつかのハッキング集団を追跡中であると述べています。その中には、ドナルド・トランプ米大統領の弾劾裁判の中心となっているウクライナ企業を狙い、最近発覚したサイバー攻撃も含まれています。
  • 有名な WordPress プラグインで重大な脆弱性popup_iconが発覚。30 万以上のサイトが攻撃のリスクにさらされています。影響を受けるサイトでは、攻撃者が InfiniteWP のバグをエクスプロイトし、管理者としてログインできる危険性があります。
  • Faketoken マルウェアに感染した Android デバイス、先週から攻撃的な SMS メッセージの送信popup_iconを始める。これらのメッセージは海外の番号に送信されるため、通信事業者によっては被害者に課金される可能性があります。
  • 中国のハイテク企業 Huawei 社および ZTE 社の利用を断ち切るため、米国政府は 5G の代替技術の研究popup_iconに 10 億ドル以上の投資を検討。上院で提出された法案は、中国政府の電気通信分野への投資に対抗することを米国政府に求めています。

最近の注目すべきセキュリティ問題

件名:Microsoft 社、今月のセキュリティ更新プログラムで 49 件の脆弱性を修正popup_icon
説明:Microsoft 社は本日、各種の同社製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回の脆弱性は 49 件で、そのうち 8 件が「緊急」と評価されています。今月のセキュリティ更新プログラムには、中核的な暗号化コンポーネントで確認された 2 件の脆弱性が含まれているため特に重要です。この 2 件はすべてのバージョンの Windows に影響を与えます。CVE-2020-0601 の脆弱性では、攻撃者が暗号化を利用して悪意のある実行可能ファイルに署名し、信頼できる作成者からのものとして偽装できる可能性があります。被害者にとっては、不正な実行可能ファイルかどうかを判断する術がありません。サイバーセキュリティ業界のジャーナリスト、Brian Krebs 氏の指摘によれば、脆弱性があまりに深刻であるため、公開に先立ち Microsoft 社が密かに米軍の PC に更新プログラムを適用したほどです。
Snort SID52593 ~ 51596、52604、52605

件名:ZeroCleare wiper malware deployed on oil refinery popup_icon
説明:イランのハッカー集団とつながっているワイパー型マルウェアの ZeroCleare が、最近バーレーンの国営石油精製所に侵入しました。セキュリティ研究者によると、検出されたのは強化版の亜種で、感染したマシンからファイルを削除できます。最新の攻撃は、ZeroCleare ファミリによりサウジアラビアを標的にした以前の攻撃と類似しています。米国がドローンによる攻撃でイランの有名な将軍を殺害して以来、イランのサイバー攻撃に対する懸念が急激に高まっています。
Snort SID52572 ~ 52581

今週最も多く見られたマルウェアファイル

SHA 2561c3ed460a7f78a43bab0ae575056d00c629f35cf7e72443b4e874ede0f305871popup_icon
MD5c2406fc0fce67ae79e625013325e2a68
一般的なファイル名:SegurazoIC.exe
偽装名:Digital Communications Inc.
検出名:PUA.Win.Adware.Ursu::95.sbx.tg

SHA 256d73ea76f6f07f96b337335213418b58e3fbc7e4b519fec0ef3fbd19c1d335d81popup_icon 
MD55142c721e7182065b299951a54d4fe80
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::1201

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon 
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:N/A
検出名:W32.Generic:Gen.22fz.1201

SHA 256da231330efd623bc7d116ed233828be88951b9df7cc889e747d31279bdf2c2a0 popup_icon
MD54a4ee4ce27fa4525be327967b8969e13
一般的なファイル名:4a4ee4ce27fa4525be327967b8969e13.exe
偽装名: なし
検出名:PUA.Win.File.Coinminer::tpd

最新情報については Talos をTwitter でフォローpopup_iconしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年1月16日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Jan. 16, 2019)popup_icon」の抄訳です。

コメントを書く