Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 3 月 11 日):新しく公開した SolarWinds 座談会を特集


2021年3月19日

 

Talos 読者の皆様、こんにちは。

 

新たに公開したビデオを早速ご紹介したいので、今週は脅威情報ニュースレターの特別版をお届けします。 

SolarWinds 社製品を悪用したサプライチェーン攻撃について語り合った座談会の全編動画をぜひご覧ください。座談会に登場したのは、インシデント対応担当者、グローバル脅威インテリジェンス研究者、アウトリーチチームなど、Talos の複数の部門の研究者たちです。SolarWinds 攻撃に関し、Talos が把握している情報はもちろん、まだ明らかになっていない点についても議論しています。このビデオは Talos の YouTube ページpopup_iconでもご視聴いただけます。

記事を読みたいという方は、Microsoft Exchange のゼロデイ攻撃に対する脆弱性について完全網羅した記事を先週公開していますので、そちらをご覧ください。ネットワークのセキュリティを維持するために必要なカバレッジをすべてpopup_icon掲載しています。

今後予定されている Talos の公開イベント

イベント:Cisco Live 2021popup_icon

開催日:3 月 30 日 〜 4 月 1 日

講演者:Nick Biasini、他(未定)

概要:年に一度の Cisco Live カンファレンスにご参加ください。今年は初のバーチャルでの世界同時開催となります。Cisco Live では、年間を通じて技術教育やトレーニングを提供しています。カンファレンス開催中は、多数のオンデマンドセッションをご用意しています。Talos アウトリーチ担当の Nick Biasini が、デュアルユースツールとサプライチェーン攻撃を中心に、過去 1 年間の脅威とトレンドを振り返ります。その他のセッションの詳細は数週間以内に発表される予定です。

1 週間のサイバーセキュリティ概況

  • Microsoft Exchange のゼロデイ攻撃に対する脆弱性に関する初期のレポートで、30,000 を超える組織popup_iconが影響を受ける可能性を示唆。脆弱性が公開されパッチが配布された後、攻撃者はパッチ未適用のサーバをスキャンする試みを強化しました。
  • SolarWinds 社製品の脆弱性をロシアのグループが標的にしていたのと同時期に、中国の攻撃者も同じ脆弱性を標的にしていたpopup_icon可能性が浮上。今回の新たな発見から、米国政府機関や大企業を狙った APT 攻撃がまったく収まる気配を見せていないことがうかがわれます。
  • 米国政府、今後数週間以内に SolarWinds 社製品を利用した侵害に関してロシアに報復措置を取る見込みpopup_icon。サイバー攻撃や経済制裁が行われる可能性もあります。
  • 右派に人気のソーシャルメディアアプリ Gab でデータ漏洩が発生、機密メッセージが大量に流出popup_iconしたことでサイトの詳細が明るみに。漏洩した情報の中には、Gab の CEO と QAnon の陰謀説で有名な人物との間で直接交わされたメッセージもあります。
  • 12 月から 1 月にかけて SolarWinds がニュースの見出しを飾っている間に、別の重大なサイバー攻撃が水面下で進行popup_icon。ニュージーランドの中央銀行や食料品店チェーン Kroger などの著名な組織を標的に、SolarWinds 社製品をエクスプロイトした攻撃とはまったく別の、組織的な侵入が行われていました。
  • 今なおリモートで授業を受けている学生ら、学校の試験監督システムを誰でも回避できる方法popup_iconを次々に発見。サードパーティ製アプリのダウンロードが必要な場合もあれば、ビデオチャットを使用するのと同程度の簡単な方法もあります。
  • FBI は今週、国家の支援を受けた攻撃グループがサイバーセキュリティへの影響力を高めるためにディープフェイク動画を導入する危険性があるpopup_iconと警告。この種の改ざんされたビデオを見分ける一般的な方法として、ゆがみや同期の問題を見つけることなどが挙げられています。
  • 最近承認されたコロナ救済法案では、米国政府のサイバーセキュリティへの取り組みに対し数百万ドルの資金を拠出popup_icon。法案の条項によれば、サイバーセキュリティ インフラストラクチャ セキュリティ庁のサイバーセキュリティリスク管理プログラムに 6 億 5,000 万ドルが割り当てられる予定です。
  • 米国上院、選挙のセキュリティに関する政府職員の研修に追加資金を拠出popup_iconする超党派法案を提出。法案が可決されれば、州および地方の選挙管理当局とその職員に対するサイバーセキュリティ研修費の大半をまかなうことができる 100 万ドルの助成金が設けられることになります。
  • F5 Networks 社、BIG-IP および BIG-IQ ソフトウェアに影響を与えるリモートコード実行の脆弱性を 4 件公開popup_icon。脆弱性の CVSS 重要度スコアは、いずれも 10 点満点中0 以上です。

最近の注目すべきセキュリティ問題

件名:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、14 件の「緊急」を含む 89 件の脆弱性を公開

説明:Microsoft 社が月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 89 件の脆弱性についての情報を公開しました。これは、今年に入ってから最大の件数です。重大度は 14 件が「緊急」、1 件が「低」、残りはすべて「重要」となっています。「緊急」に分類された脆弱性のうちの 3 件は、Microsoft 社が先週公開した Exchange Server の脆弱性です。同社によると、国家が支援しているグループがこの脆弱性をエクスプロイトし、電子メールを傍受していたようです。Microsoft 社は、Exchange Server の古いバージョン用のパッチもリリースすると発表しました。影響を受けるソフトウェアを使用しているすべての組織は、Exchange Server のポート 443 への外部アクセスをブロックするか、ポート 443 への外部アクセスを提供する VPN を設定する必要があります。これにより、認証・承認されたユーザのみがこのサービスに接続できるようになります。ただし、この対策は攻撃の最初の段階に対してのみ有効です。管理者は速やかに、公開されたパッチを Exchange Server の脆弱性に対して適用する必要があります。今月のセキュリティ更新プログラムでは、Exchange Server 以外にも、Azure Sphere、SharePoint ファイル共有サービス、.hevc ビデオファイル拡張子など、他のソフトウェアに対するパッチが提供されています。

Snort SID54518、57233、57234、57241 〜 57246、57252、57253、57259 〜 57268、57269、57274 〜 57276

件名:Microsoft Exchange Server の脆弱性を狙った攻撃で HAFNIUM の存在が浮上popup_icon

説明:Microsoft 社は先週、Exchange Server の重大な脆弱性を数件公開しました。同社によれば、これらの脆弱性を利用した攻撃の背後には「HAFNIUM」と呼ばれる国家の支援を受けた攻撃グループが存在するとのことです。同グループは、4 件の脆弱性をエクスプロイトして電子メールを盗み出しました。最も深刻な脆弱性は、サーバサイド リクエスト フォージェリ(SSRF)のゼロデイ脆弱性です。HAFNIUM は、今回新たに見つかった攻撃グループです。Microsoft 社によると、軍事請負業者、感染症研究機関、法律機関、教育機関、シンクタンクなどが同グループの主な標的になっているとのことです。中国を拠点とするグループである可能性が高いものの、米国でリースされている仮想プライベートサーバを利用していると同社は発表しています。HAFNIUM の存在は、Exchange Server の脆弱性のエクスプロイトで初めて知られるようになりました。Exchange Server の脆弱性が公開されたことで、今後戦略を転換する可能性があります。

Snort SID57235 〜 57240

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2564647f1a0850a961e341a863194e921c102578a9c4ef898fa5e4b54d9fb65e57bpopup_icon

MD5f37167c1e62e78b0a222b8cc18c20ba7

一般的なファイル名:flashhelperservice.exe

偽装名:Flash Helper Service

検出名:W32.4647F1A085.in12.Talos

SHA 25617c4a85cdc339f525196d7f5da3a02e43c97513ff50b6bc17db4470ae3b182e2popup_icon

MD596f8e4e2d643568cf242ff40d537cd85

一般的なファイル名:SAntivirusService.exe

偽装名:SAService

検出名:PUA.Win.File.Segurazo::95.sbx.tg

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon

MD58c80dd97c37525927c1e549cb59bcbf3

一般的なファイル名:svchost.exe

偽装名:なし

検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 03 月 11 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 11, 2021) — Featuring new SolarWinds roundtablepopup_icon」の抄訳です。

Tags:
コメントを書く