Cisco Japan Blog

脅威情報ニュースレター(2020 年 1 月 30 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

先日お伝えしたように、Snort.org ではサイトの更新作業popup_iconを進めています。ここでは詳しく書きませんが、現在は検索機能が正常に機能しなかったり、サイト上で不安定な挙動が確認されたりするかもしれません。あらかじめご了承ください。
最新号の脅威のまとめ記事popup_iconでは、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:A World of Threats: When DNS becomes the new weapon for governments at Swiss Cyber Security Dayspopup_icon(Swiss Cyber Security Days:DNS が政府機関の新兵器になるとき)
会場:Forum Fribourg(スイス、グランジュ=パコ)
期間:2 月 12 ~ 13日
講演者:Paul Rascagnères
骨子:DNS システムを操作する 2 組の攻撃者について、Cisco Talos の追跡で発見した内容をご紹介します。2019 年 1 月 22 日、米国国土安全保障省はこの攻撃ベクトルに関する指令を発表しました。本講演ではこの一連の攻撃イベントと攻撃者が使用する技術の詳細についてお話します。Talos は当該攻撃キャンペーンの背後にいる攻撃者の 1 人を「Sea Turtle(ウミガメ)」を名付けました。この攻撃者は、過去に確認されたどの攻撃者よりも高度で攻撃的です。複数のレジストラと 1 つのレジストリに容赦なく直接攻撃を仕掛けてきます。今回の公演では、この 2 人の攻撃者と、彼らが使用する攻撃手法について詳しくお話します。

1 週間のサイバーセキュリティ概況

  • トルコ政府の支援が疑われるハッカー集団、中東やアジアの政府を標的とした最近のサイバー攻撃popup_iconとの関連が指摘される。ハッカー集団は「DNS ハイジャック」と呼ばれる手口を使用しています。昨年に Cisco Talos が発見した「Sea Turtle」と、いくつかの類似点があります。
  • Amazon 社の CEO、ジェフ・ベゾス氏のスマートフォンがハッキングされた問題について、Facebook 社幹部は、メッセージアプリ「WhatsApp」のセキュリティに問題がなかったpopup_iconと述べる。報道によれば、WhatsApp で送られてきた悪意のあるビデオをベゾス氏が開いたことでスパイウェアに感染したようです。ただし Facebook 側は、Apple 社と iOS のセキュリティに問題があったと主張しています。
  • ベゾス氏がハッキングされた事例を受けて、セキュリティに関する個人的な支援popup_iconを求める富裕層がサイバーセキュリティ ベンダーに殺到。その流れを受けてか、各国の王族を標的とするサイバー攻撃に備えた情報共有プラットフォームまで登場しました。
  • 国連を狙った昨年 8 月のサイバー攻撃popup_iconに関して新たに流出したレポートでは、多数のサーバとユーザのアカウント情報が盗まれたと指摘。スイスのジュネーブにある国連オフィスでは、パスワードを変更するよう従業員に通達が出されましたが、セキュリティ侵害については知らされていませんでした。
  • 夏季オリンピックの開催を控える日本政府、サイバー攻撃から行政サービスを保護するための一連の新しいポリシーを採用popup_icon。インフラと公共交通機関に対応する特別委員会を設置して、IoT デバイスに起因する行政システムの脆弱性を調査し、発見された場合は管理者に即座に報告します。
  • シスコは今週、IoT デバイス向けの新しいセキュリティ アーキテクチャ プラットフォーム「Cisco Cyber Vision」を発表popup_icon。Cisco Talos のインテリジェンスに裏打ちされたソフトウェア/サービスにより、IoT における脅威と脆弱性をリアルタイムで追跡できます。
  • Facebook 社、イリノイ州で起こされた集団訴訟の和解で 5.5 億ドルを支払うことに合意popup_icon。今回の訴訟では、ユーザの同意を得ることなく顔認識技術により写真を自動でタグ付けすることは州法違反だとして、同社が訴えられていました。
  • ランサムウェア「Maze」の攻撃者、盗み出した大量のデータを今週になってオンラインで公開popup_icon。この中には、オハイオ州のコミュニティカレッジや、ミシガン州のスーパーマーケットチェーンの情報も含まれています。最近被害を受けたフロリダ州パークランド市のデータは公開を免れましたが、攻撃者はハッキングした証明として一部のデータを流出させました。
  • iOS 向けの最新セキュリティアップデートpopup_iconでは、多くのアプリで使用されている位置追跡機能を無効化可能に。同時に、WebKit ブラウジングエンジンで確認された、リモートコード実行の重要な脆弱性も修正されています。

 

最近の注目すべきセキュリティ問題

件名:Firepower Management Center で見つかった緊急の脆弱性について、早急にアップロードするようシスコが注意喚起popup_icon
説明:シスコは先週、Firepower Management Center で確認された、重大度の高い脆弱性を開示しました。この脆弱性では、攻撃者が通常の認証手順をバイパスできる危険性があります。脆弱性の重大度スコアは 10 段階で 9.8 と高く、外部認証サーバからの LDAP 認証応答を Firepower が処理する方法に起因しています。攻撃者は、細工された HTTP 要求を送信することにより脆弱性をエクスプロイトできる可能性があります。対策としては、早急のアップロードに加え、デバイス側で LDAP 設定を無効にすることも推奨されます。Smart Software Manager を含む他の製品で確認された 7 件の「緊急」な脆弱性と、19 件の「重要」な脆弱性もシスコから開示されました。
Snort SID52627 ~ 52632、52641 ~ 52646

件名:Citrix 社製品の脆弱性 PoC がリリース後、脆弱性のエクスプロイトが急増(その後、更新プログラムが提供開始)popup_icon
説明:Citrix 社製の Application Delivery Controller(ADC)と Citrix Gateway 製品で重大な脆弱性が発見された問題で、概念実証(PoC)コードのリリースに伴うエクスプロイトの増加を受けて同社は更新プログラムを急きょリリースしました。同社が脆弱性(CVE-2019-19781)を公開したのは昨年 12 月のことで、更新プログラムは後で提供予定としていました。しかしセキュリティ研究者によりエクスプロイト件数の増加を指摘されたことで、同社が対応を早めたようです。
Snort SID52620

今週最も多く見られたマルウェアファイル

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名: qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 256c0cdd2a671195915d9ffb5c9533337db935e0cc2f4d7563864ea75c21ead3f94 popup_icon
MD57c38a43d2ed9af80932749f6e80fea6f
一般的なファイル名:xme64-520.exe
偽装名:なし
検出名:PUA.Win.File.Coinminer::1201

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5 e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
偽装名:なし
検出名: W32.AgentWDCR:Gen.21gn.1201

SHA 256d91abcd024d4172fadc5aa82750a18796a549207b76f624b8a9d165459379258popup_icon 
MD5 a917d39a8ef125300f2f38ff1d1ab0db
一般的なファイル名:FFChromeSetters
偽装名:なし
検出名:PUA.Osx.Adware.Macsearch::agent.tht.talos

最新情報については Talos を Twitter でフォローpopup_iconしてください。Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年1月30日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Jan. 30, 2020)popup_icon」の抄訳です。

 

コメントを書く