00
Talos 読者の皆様、こんにちは。
今週も Microsoft 社の月例セキュリティ更新プログラムを中心に新しいコンテンツをお届けします。脆弱性の詳細についてはこちらをご覧ください。シスコが Excel で発見したリモートコード実行の脆弱性 2 件に関する詳細情報も掲載されています。
Cisco Live の新日程(6 月 15 ~ 17 日)も決まりました。ご登録方法は以下でご確認いただけます。Talos による 2 回のトークセッションは 17 日からオンデマンドで配信します。
今後予定されている公開イベント
イベント:「誰でも進化する時代:今の脅威ランドスケープにおける攻撃者の進化(Everyone’s Advanced Now: The evolution of actors on the threat landscape)」 / Interop Tokyo 2020
会場:特設 Web サイトでのストリーミング配信
会期:6 月 10 ~ 12 日
講演者:Nick Biasini
骨子:企業が直面する脅威は、これまで明確に 2 種類に分かれていました。洗練された手口と、初歩的な手口です。初歩的な手口は、単純なトリアージと修復を必要とする一般的な脅威でした。しかし今や、これらの脅威が壊滅的なランサムウェア攻撃へと進化し、企業に数億円単位の被害を及ぼしているのです。防御が今まで以上に重要になるなかで、脅威インテリジェンスはその一角を占めています。自社の環境と世界各地の攻撃を可視化することも、同じく重要です。講演ではこうした傾向について説明し、洗練された手口と初歩的な脅威とのギャップが急速に消失している現状をご紹介します。
イベント:Cisco Live 米国
会場:ストリーミング配信
会期: 6 月 15 ~ 17 日
講演者:Craig Williams、Sean Mason
骨子:無料の Cisco Live(米国)にバーチャルでご参加ください。2 日間にわたって多数の講演を予定しています。Talos 関連では、アウトリーチチームの Craig Williams が最近の脅威の概要を説明し、Talos による最新の調査情報を視聴者にお届けします。また Cisco Talos のインシデント対応の責任者である Sean Mason も、過去 1 年間の IR の状況と、最悪の事態に備えるうえで CTIR がどのように役に立つかについて説明します。
1 週間のサイバーセキュリティ概況
- 全米で Black Lives Matter のデモと抗議活動が続く中、米国の人種間の分断を狙った攻撃が国外から仕掛けられる可能性が指摘される。11 月の米国総選挙が近づくにつれ、抗議活動をめぐる意見の対立に便乗した不正なソーシャル メディア アカウントが多数現れるだろうと専門家は見ています。
- 抗議デモが広がる中、寄付や関心が高まった人権団体も多くのサイバー攻撃を受ける。特に増えているのは、これらの組織に対する DDoS(分散型サービス妨害)攻撃です。
- 米国国土安全保障省、Windows 10 で新たに発見されたワームの侵入を許す脆弱性に関して警告。 この脆弱性は今月の Microsoft 月例セキュリティ更新プログラムで修正されています。
- ホンダの海外工場の一部では、今週起きたランサムウェア攻撃により生産を停止。 同社によると個人情報漏えいの危険性はありません。
- 米国の連邦および州の法執行機関、携帯電話を追跡する新技術「Crossbow」に投資。Crossbow は、多くの地元警察が使用している「Stringray」の改良版です。
- 米国の 5 つの州で使用されているオンライン投票ソフトウェアについて、セキュリティ保護が不十分だと判明。最近の 3 回の予備選挙で使用されたソフトウェアの欠陥が MIT の研究者によって指摘されています。
- アラバマ州のある地方自治体、市のシステムを感染させ多数のファイルを暗号化したハッカー集団に 25 万ドルの身代金を支払うことに合意。DopplePaymer ランサムウェアに感染したと見られています。
- 米国防高等研究計画局(DARPA)は今年、新たなバグ報奨金プログラムを開始。研究者らにハードウェアの脆弱性を発見するよう求めています。対象となるデバイスはサイバー攻撃から防御するよう設計されています。
- Amazon 社、警察による同社の顔認識ソフトウェアの使用を 1 年間停止すると発表。この 1 年で連邦政府が新しい規制を策定することを期待するとしています。
- あるサイバーセキュリティ企業が重要なインフラシステムを偽装したハニーポットを仕掛けたところ、ごく短時間のうちに多数の攻撃を確認。
最近の注目すべきセキュリティ問題
件名:Word や SMB で発見されたリモートコード実行の脆弱性などが修正
説明:Microsoft 社が月例セキュリティ更新プログラムをリリースし、同社の製品全体で 120 件を超える脆弱性を修正しました。公開された脆弱性の中ですでに悪用されているものはありませんが、Microsoft および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新してエクスプロイトを防ぐ必要があります。今回のセキュリティ更新プログラムでは VBScript エンジン、SharePoint ファイル共有サービス、GDI+ など複数の製品で確認された脆弱性が修正されています。
Snort SID:52213 ~ 52217、54191 ~ 54194、54219、54220、54230 ~ 54240、54245 ~ 54250、54270、54271
件名:シスコの IOS XE で確認された、数種の業務用ルータに影響する脆弱性が修正
説明:シスコは、IOS / IOS XE ソフトウェアで確認された、特定の業務用ルータに影響する緊急レベルの脆弱性を 3 件公開しました。いずれもコマンドインジェクションの脆弱性であり、感染した OS 上では任意コードを実行される危険性があります。特に深刻な脆弱性では、感染したシステムの認証トークンがリモートの攻撃者に盗み取られ、そのデバイスで攻撃者が自由に IOx API コマンドを実行できる可能性があります。
Snort SID:53497 ~ 53504、54155、54159 ~ 54164
今週最も多く見られたマルウェアファイル
SHA 256: 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos
SHA 256: 094d4da0ae3ded8b936428bb7393c77aaedd5efb5957116afd4263bd7edc2188
MD5: a10a6d9dfc0328a391a3fdb1a9fb18db
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::100.sbx.vioc
SHA 256: 8bf5d91950033ef6f40ffbd2340d8b0add0ffdcbbb4cfd309218d6d0810d85be
MD5: 4709a871ba0c0a3598eb78dadfe90aec
一般的なファイル名: tapout.exe
偽装名:なし
検出名:Win.Dropper.Zudochka::in03.talos
SHA 256: c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5: e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201
SHA 256: 15716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8b
MD5: 799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201
最新情報については Talos を Twitter でフォローしてください。Snort、ClamAV および Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。 『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020 年 6 月 11 日に Talos Group のブログに投稿された「Threat Source newsletter for June 11, 2020」の抄訳です。