Cisco Japan Blog

脅威情報ニュースレター(2020 年 3 月 19 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

可能な限り外出を控えて、感染拡大の予防に貢献する重大な局面に入ってきました。しかし攻撃者がその手を休めることはないため、今のような事態でも Talos が休むわけにはいきません。

最大の懸念材料は、もちろん COVID-19(新型コロナウイルス)でしょう。そのため、在宅勤務や新型コロナウイルス関連マルウェアについての記事を執筆中です。コロナパニックに便乗する攻撃者については、2 月の投稿をご覧ください。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。

1 週間のサイバーセキュリティ概況

  • 新型コロナウイルスのパンデミックに攻撃者が便乗popup_iconし、スパムや偽装型マルウェアを大量に拡散中。これまでと同様の対策、つまり出所の確認が効果的です。「上手い話」は疑い、送信者を確認できない限り電子メールを開かないことです。
  • 在宅勤務の数、これまでにない規模に増加。増加により、特有のセキュリティリスクpopup_iconが顕著化しています。ホームネットワークに対応できるセキュリティリソースの不足や、クラウド ストレージ ソリューションへの依存度の増加などです。
  • 米国政府の高官、新型コロナウイルスに関する恐怖やデマを煽るサイバー攻撃と無休で闘っているpopup_iconと表明。すでに一部の専門家は、ロシアや中国の攻撃者の関与を指摘しています。
  • 上述のサイバー攻撃で、米国保健福祉省popup_iconが初期の標的となる。同省は、攻撃のタイミングが最悪だったものの、ネットワークへの影響は免れたと述べています。
  • パンデミックの際に院内感染を防ぐため、医療機関の仮想検診を検討している米国人の増加が指摘される。しかしトランプ政権による仮想検診の規制緩和は、新たな種類のサイバー詐欺popup_iconを誘因するとして懸念の声が上がっています。
  • 企業を支援するための法案が注目を集める中、エンドツーエンドの暗号化で政府向けバックドアを用意させる法案popup_iconも静かに審議される。法案の提出者は、未成年者の性的搾取を防ぐためだと述べています。
  • シスコの SD-WAN で確認された高リスクの脆弱性popup_icon、修正プログラムが提供開始。攻撃者に root 権限の取得を許し、多様なルータ、コントローラソフトウェア、ネットワーク管理システムに侵入される危険性があります。
  • Microsoft 社、Azure クラウドプラットフォームの脆弱性を意図せず修正popup_icon。この脆弱性では、他者のクラウドサービスに攻撃者がアクセスできる可能性がありました。セキュリティ研究者の間では、脆弱性をエクスプロイト可能だった期間が今年初旬の 2 週間程度だったと考えられています。

最近の注目すべきセキュリティ問題

件名:販売中のマルウェア「Parallax」、スパムメールを介して拡大中popup_icon 
説明:リモートアクセス型トロイの木馬「Parallax」がスパムメールで拡散されるケースが増えています。「サービスとしてのマルウェア」としてハッカーフォーラムで販売(月額約 65 ドル)されていることが背景にあります。Parallax が侵入すると、ログイン情報やファイルが盗まれ、任意コードを実行される危険性があります。Parallax のダウンロードリンクを含む可能性があるため、疑わしい電子メールには細心の注意が必要です。
Snort SID53437 ~ 53440

件名:Zoho ManageEngine contains remote code execution vulnerability, being exploited in the wildpopup_icon
説明:Zoho 社製の ManageEngine で確認されたリモートコード実行の脆弱性、実際のエクスプロイトが確認問題の脆弱性(CVE-2020-10189)により、攻撃者がデータのシリアル化を解除し、SYSTEM 権限または Root 権限で任意コードを実行できる危険性があります。あるセキュリティ研究者によると、この脆弱性が修正されていない ManageEngine のインスタンスは 2,300 件にものぼります。
Snort SID53433 ~ 53435

今週最も多く見られたマルウェアファイル

SHA 2568e0aea169927ae791dbafe063a567485d33154198cd539ee7efcd81a734ea325popup_icon
MD55fb477098fc975fd1b314c8fb0e4ec06
一般的なファイル名:upxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in07.talos

SHA 2561460fd00cb6addf9806a341fee9c5ab0a793762d1d97dca05fa17467c8705af7popup_icon 
MD588cbadec77cf90357f46a3629b6737e6
一般的なファイル名:FlashHelperServices.exe
偽装名: Flash Helper Services
検出名:PUA.Win.File.2144flashplayer::tpd

SHA 2561bbcd367a317af33aee72ae06f5f38067f27b27a0f321b54325cfb0f7431ebe7popup_icon 
MD506fad4d91f0e79143d1270ad0b1fce3f
一般的なファイル名:set-up.exe
偽装名:µTorrent
検出名:W32.1BBCD367A3-100.SBX.VIOC

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 25664f3633e009650708c070751bd7c7c28cd127b7a65d4ab4907dbe8ddaa01ec8bpopup_icon
MD542143a53581e0304b08f61c2ef8032d7
一般的なファイル名:myfile.exe
偽装名:なし
検出名:Pdf.Phishing.Phishing::malicious.tht.talos

Talos からの最新情報については、Twitter でフォローしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年3月19日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 19, 2020)popup_icon」の抄訳です。

 

コメントを書く