脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
Microsoft 社が今月リリースしたセキュリティ更新プログラムでは、際立って多い 100 件弱の脆弱性が修正されました。そのうち 3 件は Talos が発見したものです。詳細についてはこちらのブログ記事をご覧ください。Microsoft 社製品をまだアップデートしていない場合は、今すぐに更新することをお勧めします。
Talos の YouTube ページでは、Cisco Talos インシデント対応チームがお送りする『Stories from the Field(現場での事例)』シリーズが新たに始まりました。各ビデオではチームメンバーの 1 人が登場し、印象的だった 1 件のインシデントと、そこから得た教訓について説明します。
脅威調査に関して言えば、RAT「LODA」の亜種について新たな発見がありました。最近になって LODA に複数の検出対策が追加され、南北アメリカ全体を標的にしていることが判明したのです。
最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。
今後予定されている公開イベント
イベント:Cisco Live Australia
会場:Melbourne Convention & Exhibition Centre(オーストラリア、メルボルン)
会期:3 月 3 ~ 6 日
講演者:Nick Biasini
骨子:Cisco Talos は、セキュリティなネットワークの維持に欠かせない早期警告インテリジェンスと脅威分析を専門としています。攻撃者がスキルを高め、セキュリティ脅威の構図が絶えず変化している中で、ネットワーク防衛の重要な一角を成しています。Talos は、データの集約、セキュリティ専門家チームとの連携、そしてセキュリティに対する最先端のビッグデータテクノロジーの応用により、シスコのセキュリティ製品全体の効力を引き上げてきました。今回の講演では Nick が登壇し、昨今の脅威を詳細に分析します。製品の向上とリスク軽減のために大規模なデータセットを活用する Talos での取り組みについても解説します。
イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(「脅威環境における攻撃者の進化」、Interop Tokyo 2020)
会場:幕張メッセ
会期:4 月 13 日 ~ 15 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
1 週間のサイバーセキュリティ概況
- Equifax 社の大規模な情報流出をめぐり、米司法省が中国軍ハッカー 4 人を起訴。この事件では Equifax 社のシステムが侵入され、米国人口の約半数に相当する 1 億 4,700 万件超の信用情報が流出しました。
- 大統領候補者を選ぶアイオワ州での党員集会で、結果発表が大幅に遅れた問題をめぐり、政治評論家やセキュリティ研究者、政府高官による原因追及が依然として続く。原因の大部分は集計アプリにありますが、それ以外にも複数の要因が絡んでいました。
- 結果発表が大幅に遅れた一つの要因として、結果報告に使用される州内の電話回線を狙った分散型サービス妨害攻撃が指摘される。党員集会の当日、電話回線をパンクさせるようトランプ支持者が動いていました。アイオワ州の民主党関係者は、「党員集会のホットラインに、尋常ではない件数の電話があった」と述べています。
- 今年の大統領選挙では、アイオワ州で使用されたアプリ以外にも新たなテクノロジーが利用される予定。アイオワ州での事態を受けて、選挙関連システムを見直し、紙ベースのバックアップを整える動きが各州で広まっています。
- パレスチナ人を狙った一連の攻撃をめぐり、ガザ地区のハッカー集団による関与が指摘される。これらの攻撃では政治的なメッセージを含むドキュメントや電子メールが使われ、悪意のあるリンクをクリックするよう被害者を誘導します。クリックするとバックドアがインストールされます。
- Android デバイスを狙ったトロイの木馬「xHelper」について、感染した場合はデバイスの初期化でも消せないことが判明。xHelper を完全に消去するには、デバイス上で特定のファイルをスキャンし、初期化前に削除する必要があります。
- Google 社が Play ストアで始めた新たなマルウェア対策について、2019 年は 19 億超のマルウェア感染をブロックしたと発表。同社によれば、悪意のあるアプリを削減するための新しいスキャンポリシーと段階的なプライバシールールが功を奏したようです。
- 共和党の有力な上院議員、3 件の選挙セキュリティ法案の全体審議を阻止。法案の 1 つは、投票機をインターネットに接続することを非合法化するもので、他の 2 件は FBI と現地の選挙委員会との連携を高めるものです。
- イラン政府、同国が受けた中で最大級のサイバー攻撃を阻止したと発表。セキュリティ研究者は、先週起きたサイバー攻撃の最中に、インターネットアクセスがイラン国内の全ユーザの約 25% に制限され、その状態が 1 時間続いていたことを突き止めています。
最近の注目すべきセキュリティ問題
件名:Microsoft 社、今月のセキュリティ更新プログラムで 12 件の「緊急」の脆弱性を修正
説明:Microsoft 社は本日、各種の同社製品で確認された脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回の脆弱性は 98 件で、そのうち 12 件が「緊急」、84 件が「重要」と評価されています。重大度が割り当てられていないバグも 2 件含まれます。今月のセキュリティ更新プログラムには、Windows カーネル、Windows スクリプトエンジン、リモート デスクトップ プロトコルなどのソフトウェアや機能に対する更新が含まれています。Microsoft 社は、Adobe Flash Player に対する更新プログラムを対象とした重要なアドバイザリも提供しています。
Snort SID:48701、48702、53050 ~ 53056、53061、53072、53073、53079 ~ 53089
件名:Adobe 社、Reader や Flash Player などに向けたセキュリティ更新プログラムをリリース
説明:Adobe 社は今週、35 件の「緊急」を含む 42 件の脆弱性に対して月例のセキュリティ更新プログラムをリリースしました。今回対象となったのは Acrobat Reader や Flash Player などの同社製品です。注目すべき脆弱性は、Flash Player と Adobe Framemaker で発見された 2 件です。いずれの脆弱性も、攻撃者が任意コードを実行できる危険性があります。
Snort SID:52331、52332
今週最も多く見られたマルウェアファイル
SHA 256:1460fd00cb6addf9806a341fee9c5ab0a793762d1d97dca05fa17467c8705af7
MD5:88cbadec77cf90357f46a3629b6737e6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.File.2144flashplayer::tpd
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5:8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256:97d8ea6cee63296eaf0fa5d97a14898d7cec6fa49fee1bf77c015ca7117a2ba7
MD5:be52a2a3074a014b163096055df127a0
一般的なファイル名:xme64-553.exe
偽装名:なし
検出名:Win.Trojan.Coinminer::tpd
SHA 256:15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5:799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
Talos からの最新情報については、Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年2月13日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 13, 2020)」の抄訳です。