Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2020 年 2 月 27 日)


2020年3月6日

脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

大望の新しい Snort リソースページpopup_iconがついに完成しました。関連資料が追加されるなどのリニューアルも実施されましたが、今回の目玉は新しい『Snort 101』シリーズのビデオです。ビデオでは短いチュートリアルにより、Snort 2/Snort 3 の設定について知っておくべき事柄を詳しく解説します。Snort ルール作成の裏舞台についても短くご紹介します。詳細については Snort ブログpopup_iconをご覧ください。

今週の『Beers with Talospopup_icon』では、開催中の RSA Conference からのニュースなど、最新トピックについて取りあげています。今週のエピソードは通常よりも短いですが、脆弱性調査やソフトウェアライセンスなどについて十分に掘り下げています。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:Cisco Live Australia popup_icon
会場:Melbourne Convention & Exhibition Centre(オーストラリア、メルボルン)
会期:3 月 3 ~ 6 日
講演者:Nick Biasini
骨子:Cisco Talos は、セキュリティなネットワークの維持に欠かせない早期警告インテリジェンスと脅威分析を専門としています。攻撃者がスキルを高め、セキュリティ脅威の構図が絶えず変化している中で、ネットワーク防衛の重要な一角を成しています。Talos は、データの集約、セキュリティ専門家チームとの連携、そしてセキュリティに対する最先端のビッグデータテクノロジーの応用により、シスコのセキュリティ製品全体の効力を引き上げてきました。今回の講演では Nick が登壇し、昨今の脅威を詳細に分析します。製品の向上とリスク軽減のために大規模なデータセットを活用する Talos での取り組みについても解説します。

イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(「脅威環境における攻撃者の進化」、Interop Tokyo 2020)
会場:幕張メッセ
会期:4 月 13 日 ~ 15 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。

1 週間のサイバー セキュリティ概況

  • シスコ、今週開催中の RSA Conference で SecureX security platformpopup_icon を発表。SecureX では複数の製品が単一インターフェイスに統合されるため、パッチ適用プロセスを簡素化できます。
  • ランサムウェア「DoppelPaymer」の攻撃者popup_icon、身代金の支払い要求に応じない被害者の情報を公開するためのサイトを新設。すでに 4 社の被害者について間接的に言及しているほか、それらの被害者から盗み出した情報についても掲載しています。
  • Verizon 社、今週始まった RSA Conference への参加を直前になって取り止めpopup_icon。新型コロナウイルスの感染拡大や渡航制限により、複数のセキュリティベンダーが参加を中止しました。
  • RSA 社の複数のセキュリティ専門家、米国の選挙では紙ベースの投票方式に切り替えるようpopup_icon選挙委員会に勧告。テクノロジーを防御の最前線としてではなく、投票結果の監査目的で使用するよう提案しています。
  • フランスのスポーツ用品企業 Decathlon 社、1 億 2,000 万人を超える従業員と顧客の情報が流出popup_icon。保護されていないサーバに、電子メールアドレスや雇用契約などの情報が保存されていました。
  • 米国の国防情報システム局に接続していた 20 万人以上のユーザpopup_iconから、攻撃者によって情報が盗まれる。同局の役割は、ホワイトハウスと防衛機関との間の通信を監督することです。
  • Huawei 社、米国企業に対する 5G テクノロジーのライセンス供与popup_iconを今でも諦めていないと発表。同社は中国大手のハイテク企業ですが、サイバーセキュリティを懸念する米国政府と応酬を繰り広げています。
  • Google 社、Chrome ブラウザ向けの修正プログラムをリリースpopup_icon。今回のリリースでは、広く使用されている V8 エンジンで確認された、型の取り違え(type confusion)の脆弱性が修正されています。過去 1 年間に Chrome で検出されたゼロデイ脆弱性としては、今回で 3 個目になります。
  • 刑事事件の被疑者が所有していたデバイスの復号化をメーカーに強制できる法案popup_iconについて、通過させるための対策を米国司法省が強化。iPhone のロックを解除するよう司法省が Apple 社などに求めた複数の事例では、いずれも企業側が拒否してきました。

最近の注目すべきセキュリティ問題

件名:不正ドキュメント経由で拡散する「ObliqueRAT」を発見
説明:Cisco Talos は、悪意のある Microsoft Office ドキュメント(不正ドキュメント)を利用して、「ObliqueRAT」と呼ばれるリモートアクセス型トロイの木馬(RAT)を拡散させるキャンペーンを発見しました。不正ドキュメントは、悪意のあるマクロによって第 2 ステージの RAT ペイロードを配信します。ネットワークベースの検出技術も重要ですが、今回のような脅威に備えるには、エンドポイント保護と組み合わせて複数のセキュリティレイヤを実装することが不可欠です。Talos の研究者は、昨年発見された CrimsonRAT の攻撃者が ObliqueRAT にも関与している可能性を突き止めました。
Snort SID53152 ~ 53163

件名:Cisco Data Center Network Manager で複数の脆弱性が発見
説明:Cisco Data Center Network Manager には、特権昇格の脆弱性と、クロスサイト リクエスト フォージェリ(CSRF)の脆弱性が確認されました。いずれも重大度の高い脆弱性で、シスコから先週末に公開されたものです。権限昇格の脆弱性では、攻撃者がエクスプロイトに成功した場合、管理者権限で API を利用される危険性があります。
参考資料:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-dcnm-priv-esc

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200219-dcnm-csrf
Snort SID53171 ~ 53176

今週最も多く見られたマルウェアファイル

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:N/A
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 2561460fd00cb6addf9806a341fee9c5ab0a793762d1d97dca05fa17467c8705af7popup_icon 
MD588cbadec77cf90357f46a3629b6737e6
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Services
検出名:PUA.Win.File.2144flashplayer::tpd

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201

Talos からの最新情報については、Twitterpopup_icon でフォローしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2020年2月27日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Feb. 27, 2020)popup_icon」の抄訳です。

 

Tags:
コメントを書く