Cisco Japan Blog

脅威情報ニュースレター(2020 年 2 月 6 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

サイバーセキュリティ分野のポッドキャストが、かつてないほど充実しました。新しい『Talos Takes』シリーズに向けてポッドキャストページ(TalosIntelligence.com)popup_iconが今週リニューアルされたのです。新しいページでは『Beers with Talos』も配信されるため、サイバーセキュリティ分野のニュースを週ごとにチェックするのにピッタリです。

『Talos Takes』の各エピソードではシスコの研究者とアナリストが登場し、複雑なトピックを数分で易しく解説します。IT 知識のない方でも簡単に理解できる内容になっています。『Talos Takes』は Apple Podcastspopup_iconSpotifypopup_iconStitcherpopup_icon および Pocket Castspopup_icon の各サービスからご視聴いただけます。

金曜日は『Beers with Talos』の新エピソードもリリースされました。今回は、PowerShell がマルウェアで広く使用されている理由についてご説明します。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:A World of Threats: When DNS becomes the new weapon for governments at Swiss Cyber Security Dayspopup_icon(Swiss Cyber Security Days:DNS が政府機関の新兵器になるとき)
会場:Forum Fribourg(スイス、グランジュ=パコ)
期間:2 月 12 ~ 13日
講演者:Paul Rascagnères
骨子:DNS システムを操作する 2 組の攻撃者について、Cisco Talos の追跡で発見した内容をご紹介します。米国国土安全保障省は 2019 年 1 月 22 日に、関連する攻撃ベクトルについて指令を発表しました。本講演ではこの一連の攻撃と、攻撃手口の詳細についてお話します。1 組の攻撃者は、Talos が「Sea Turtle(ウミガメ)」と名付けた攻撃の背後にいます。この攻撃者は、過去に確認されたどの攻撃者よりも高度で攻撃的です。複数のレジストラと 1 つのレジストリに容赦なく直接攻撃を仕掛けてきたからです。今回の公演では、これら 2 組の攻撃者と、彼らの攻撃手法について解説します。

イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(「脅威環境における攻撃者の進化」at Interop Tokyo 2020)
会場:幕張メッセ
会期:4 月 13 日 ~ 15 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。

1 週間のサイバーセキュリティ概況

  • アイオワ州で今週開かれた民主党の党員集会、集計アプリの問題により結果発表が大幅に遅れる。集計アプリは Shadow Inc. によって開発されたものです。アイオワ州の選挙関係者はハッキングされていないと述べていますが、攻撃を許す複数の脆弱性がセキュリティ専門家によって発見popup_iconされています。
  • 今回の事態を受けて他の州は必要なバックアップ計画popup_iconを検討中。アイオワ州は大統領予備選挙での最初の州として誇りを持ってきたことから、民主党と同州にとっては大失態だったと言えます。
  • Amazon のジェフ・ベゾス CEO、自身の iPhone がハッキングされた件に関して早ければ 2019 年 4 月頃から FBI の調査担当者と面会popup_iconしていた可能性を指摘される。面会は、イスラエルのテクノロジー企業 NSO Group 社に対する FBI の調査の一環だったようです。
  • APT(持続的標的型攻撃)を展開する親ロシア系のハッカー集団 Gamaredon Group、能力を増強中popup_icon。新しい調査によると、Gamaredon は今年に入って攻撃態勢を強化して標的を拡大し、ウクライナ政府への妨害を激化させています。
  • ランサムウェア「EKANS」、技術管理サービスに対する攻撃効果popup_iconを高めるべく新たに機能を追加。ただしセキュリティ研究者の間では、EKANS の機能が依然としてやや初歩的だと考えられています。
  • オーストラリアの物流企業 Toll 社、ランサムウェア攻撃を受けるpopup_icon。その影響により全国で貨物の出荷が一時停止しています。同社では個人データが流出した証拠はないと見ています。
  • 米国政府、中国 Huawei 社の 5G 技術の代替製品popup_iconを開発するようハイテク企業と政府機関に呼びかける。セキュリティ上の懸念により、Huawei 社は長年にわたって米国政府から敵対視されています。
  • 他のユーザの非公開ビデオを誰でも閲覧、ダウンロードできる可能性のあるpopup_icon脆弱性が Google フォトで発見される。Google 上に保存されているデータをダウンロードできる「Google Takeout」サービスで、一部のユーザに誤ったビデオが提供されていました。
  • 今週リリースされた Chrome ブラウザの最新版、56 件の脆弱性を修正popup_icon。最新版では、安全性の低い HTTP ではなく、セキュリティの確保された HTTPS 経由でより多くのコンテンツを送受信させるための措置も導入されています。
  • Microsoft 社製の Internet Explorer で発見された緊急の脆弱性について、NSA(アメリカ国家安全保障局)が公開を決定。これは NSA の方向性が大きく変わりつつある兆候popup_iconだと言えるかもしれません。将来の諜報活動に役立つ可能性があることから、NSA はこれまで自局が発見した脆弱性を非公開にしてきました。

最近の注目すべきセキュリティ問題

件名:NetWire RAT reappears with financial motivationspopup_icon
説明:リモートアクセストロイの木馬「NetWire」に関連して、セキュリティ研究者は最近、偽のビジネスメールを介して拡散する新しい亜種を発見しました。攻撃者は正当に見える電子メールで請求書を送り付け、NetWire をダウンロードさせます。NetWire に感染すると一連の不正操作が実行され、ユーザの財務情報やログイン情報が盗まれます。NetWire は 2012 年に登場して以来、複数の攻撃者により多様な亜種が作成されてきました。
Snort SID53026 ~ 53030

件名:シスコのスモールビジネス向けスイッチで確認されたサービス拒否の脆弱性popup_icon
説明:シスコは、一部のスモールビジネス向けスイッチで確認された、重大度の高い 2 件の脆弱性を公開しました。これらの脆弱性はサービス妨害攻撃や機密情報の漏えいにつながる危険性があります。脆弱性の影響を受けるのはスマートスイッチ、マネージドスイッチ、スタッカブル マネージド スイッチの各シリーズですが、更新プログラムがすでに提供されています。2 件の脆弱性が実際にエクスプロイトされた事例は確認されていません。
Snort SID52993 ~ 52998

今週最も多く見られたマルウェアファイル

SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD5: 47b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 256: c0cdd2a671195915d9ffb5c9533337db935e0cc2f4d7563864ea75c21ead3f94 popup_icon
MD5: 7c38a43d2ed9af80932749f6e80fea6f
一般的なファイル名:xme64-520.exe
偽装名:なし
検出名:PUA.Win.File.Coinminer::1201

SHA 256: 1460fd00cb6addf9806a341fee9c5ab0a793762d1d97dca05fa17467c8705af7popup_icon 
MD5: 88cbadec77cf90357f46a3629b6737e6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.File.2144flashplayer::tpd

SHA 256: 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201

Talos からの最新情報については、Twitterpopup_icon でフォローしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年2月6日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Feb. 6, 2020)popup_icon」の抄訳です。

 

コメントを書く