Cisco Japan Blog

脅威情報ニュースレター(2020 年 3 月 26 日)

1 min read



脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

大半の従業員が在宅で勤務しているからといって、パッチの適用が遅れても構わないということには決してなりません。今週、Talos は多忙を極めています。Intel RAID Web ConsoleVideolabsGStreamer を筆頭に、新たな脆弱性を次々に公表しているからです。

自宅の静けさに物足りなさを感じる場合には、毎週新エピソードを公開しているポッドキャストpopup_iconをお聴きください。『Beers with Talos(Talos とビールを)』と『Talos Takes(Talos 放送局)』をぜひお見逃しなく!

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:“Everyone’s Advanced Now: The evolution of actors on the threat landscape” at Interop Tokyo 2020(Interop Tokyo 2020「脅威環境における攻撃者の進化」)
会場:幕張メッセ
会期:6 月 10 日 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に縮小している現状をご紹介します。

1 週間のサイバーセキュリティ概況

  • 世界各国の NGO が新型コロナウイルスのパンデミックへの対応を続ける中、世界保健機関(WHO)に対するサイバー攻撃が急増中popup_icon。最高情報セキュリティ責任者によると、ピークは無事に脱したものの、攻撃は今も続いています。
  • セキュリティ研究者、CovidLock Android ランサムウェアに感染したユーザに役立つパスワードpopup_iconを発見。発見されたロック解除トークンを使用すると、マルウェアによって暗号化され、身代金を要求されているユーザの情報を取り返すことができます。
  • 米保健福祉省のオープンリダイレクトを利用し、 新型コロナウイルスに関連する情報を提供すると装うpopup_icon攻撃が発生。攻撃者は電子メールで偽情報を送り付け、ユーザに情報窃取ソフトウェア「Raccoon」をダウンロードさせようと仕向けます。
  • セキュリティ研究者、COVID-19 の拡散を追跡可能と称する悪意のあるアプリを発見popup_icon。しかし、このアプリは実際にはユーザの所在地を追跡してモバイルデバイスの情報を盗み出します。問題のアプリ「Coronalive 1.1」は、Johns Hopkins Hospital が開発した本物の Covidlive アプリに関連するアプリであると称して配布されています。
  • COVID-19 のパンデミックが続く中、米国上院は米国経済を支援するために大規模な緊急経済対策を可決。法案の中には、今年予定されている総選挙の支援基金 4 億ドルpopup_iconも含まれています。この基金は、オンライン登録の拡充、投票場所の確保、増加が予想される郵送票への準備などに充当されます。
  • Google Play ストア、悪意のあるアプリが 56 種類popup_iconも発見される。これらはすべて Tekya マルウェアの亜種でした。セキュリティ研究者の試算によるとダウンロード回数は合計で 170 万回に上ります。
  • 感染拡大を防ぐために米議会の上下院議員が自宅で待機する中、リモート議決が検討され始める。しかし議会はリモート議決に必要な技術的インフラストラクチャに投資してこなかったため、新たな攻撃の波popup_iconを招く懸念もあります。
  • 中国人 5 億 3800 万人の個人情報がダーク Web で売買popup_iconされる。攻撃者は、ソーシャルメディアサイト「Weibo(微博)」から漏洩したデータを盗んだと主張しています。
  • 有名人の Instagram アカウントがハッキングされるpopup_iconケースに対して、善玉ハッカーが支援するケースが拡大中。ハッカーたちは、Instagram のログイン情報や細工されたフィッシングページとスクリプトを含む、複数のサーバを発見しています。
  • ビデオ会議サービス「Zoom」の人気急増につけ込んで、友人や学生が Zoom で交流を図る際に悪意のあるコンテンツを送り付ける攻撃手口が増加中。「Zoombombing」と呼ばれるpopup_iconこうした攻撃では、無防備な通話に割り込み、画面共有機能を使用してアダルト画像などの不適切なコンテンツに表示させます。

最近の注目すべきセキュリティ問題

タイトル:シスコ、一部のルーターの重大な脆弱性を修正popup_icon
説明:シスコは最近、SD-WAN ソフトウェアで発見された 5 つの脆弱性を公表しました。そのうち 3 つは重大度「高」に分類されています。これらのセキュリティ上の欠陥を放置すると、複数の製品が攻撃のリスクにさらされます。これには、ルーターやネットワーク管理システムも含まれます。最も重大度が高い脆弱性は CVE-2020-3266(CVSS スコア 7.8)です。ローカル環境内の攻撃者は、SD-WAN の CLI ユーティリティを悪用して、root 権限で任意のコマンドを注入できる危険性があります。これらの脆弱性を含むリリースを利用し続けながら問題を回避する方法は存在しません。できるだけ速やかにパッチを適用することが推奨されます。
Snort SID53481 ~ 53483

タイトル:Intel RAID Web Console 3 の DoS バグ
説明:Intel RAID Web Console 3 の Web API には DoS を引き起こす 2 つの脆弱性が含まれています。RAID Web Console には、コントローラとストレージエクスパンダを含む、Intel RAID 製品ライン向けのさまざまな設定機能があります。コンソールでは製品の監視、メンテナンス、トラブルシューティングができます。攻撃者は、悪意のある POST リクエストを API に送信することで、これら 2 件のバグをエクスプロイトできる可能性があります。
Snort SID51652、51684

今週最も多く見られたマルウェアファイル

SHA 256a545df34334b39522b9cc8cc0c11a1591e016539b209ca1d4ab8626d70a54776popup_icon
MD55d34464531ddbdc7b0a4dba5b4c1cfea
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::in03.talos

SHA 2568e0aea169927ae791dbafe063a567485d33154198cd539ee7efcd81a734ea325popup_icon
MD55fb477098fc975fd1b314c8fb0e4ec06
一般的なファイル名:upxarch.exe
偽装名:なし
検出名:Win.Dropper.Ranumbot::in07.talos

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201

SHA 25646f2f4815d25bf313c08880f3b0a23fb541ae74344371867f58b64d1d488a02bpopup_icon 
MD5b70431ab7b13034e9d25edba5c5436d5
一般的なファイル名:FOC invoices_pdf.gz.xlsx
偽装名:なし
検出名:W32.46F2F4815D-100.SBX.TG

Talos からの最新情報については Twitter でフォローしてください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年3月26日に Talos Grouppopup_icon のブログに投稿された「 Threat Source newsletter (March 26, 2020)popup_icon」の抄訳です。

 

コメントを書く