Talos 読者の皆様、こんにちは。
サイバーセキュリティ啓発月間ですが、皆様いかがお過ごしでしょうか?この機会にパッチの適用を徹底的に進めてみるのもよいかもしれません。
今週は、Microsoft 社の月例セキュリティ更新プログラムが公開されました。「緊急」と評価された脆弱性は 2 件しかありませんでしたが、パッチの適用を怠らないようにしましょう。記事の中で、今月の Microsoft 製品に対するセキュリティ更新プログラムと、Excel で発見したコード実行の脆弱性について詳しく説明していますのでご覧ください。
セキュリティ啓発月間をさらに有意義に過ごしたい方は、Talos Takes の最新のスペシャルエディションで 2021 年のランサムウェアを振り返っていますので、ぜひお聞きください。また、脅威研究者がどのような 1 日を送っているか興味がある方は、Cisco Newsroom で Talos の研究者 Vanja Svajcer の紹介記事をお読みいただけます。
『脅威情報ニュースレター』で取り上げてほしい情報(脅威、IOC、マルウェアファミリ、攻撃者)があれば、threatsource@cisco.com までご連絡ください。
今後予定されている Talos の公開イベント
Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)
講演者:Brad Garnett
開催日:10 月 18 日午前 9 時 30 分(米国東部時間)
場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング
概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。
復元力のあるインシデント対応:ランサムウェア攻撃をブロックする効果的戦略(SANS Cyber Solutions Fest)
講演者:Brad Garnett
開催日:10 月 22 日午前 8 時 30 分(米国東部時間)
場所:バーチャル
概要:このセッションでは、Talos インシデント対応チームのゼネラルマネージャを務める Brad Garnett が、ハイブリッドワークフォースを抱える CISO やビジネスリーダーに必ず役立つ実用的なインシデント対応戦略を披露します。ランサムウェアと最前線で戦って得た知見、既存のインシデント対応計画を再評価すべき理由、進化する攻撃に Talos が果敢に立ち向かっている様子を Brad が紹介します。
1 週間のサイバーセキュリティ概況
- 大規模な SolarWinds サプライチェーン攻撃に関与したハッカー集団により、米国政府の機密情報が流出。連邦政府機関へのセキュリティ侵害によって、諸外国のサイバー攻撃グループに対する制裁措置の可能性や、新型コロナウイルス感染症への米国の対応計画に関する情報が盗み出されました。
- 実際に悪用される危険性があるバージョンの SolarWinds ソフトウェアをいまだに使用している企業が 15 社中 1 社に上ることが新しいレポートで明らかに。このレポートでは、今後狙われる可能性がある「魅力的な」攻撃対象の 1 つとして Microsoft IIS が挙げられています。調査に参加した企業の 15% が Microsoft IIS を使用しています。
- Windows 11 が一般公開。ランサムウェア攻撃の防御に利用できる新しいツールがいくつか付属しています。
- 米国連邦政府機関、導入済みの EDR(エンドポイント検出/対応)ソリューションへのアクセスをサイバーセキュリティ インフラストラクチャ セキュリティ庁に提供へ。今週から約 90 日以内の対応が求められています。これは、ジョー・バイデン大統領が発表した最新のサイバーセキュリティ標準に各省庁が準拠していることを確認するための新しい監視プログラムの一環です。
- Google、スパイウェアをモバイルデバイスに密かにインストールする「ストーカーウェア」アプリの広告を複数削除。広告の主なターゲットは、配偶者のことを疑っていて、その行動を監視したいと考える人たちでした。
- Apple 社が iOS および iPad OS のアップデートをリリース。悪用が確認されていた脆弱性が修正されています。この脆弱性の詳細な性質はほとんど明らかにされていませんが、一部のアプリで「任意のコードがカーネル権限で実行される」危険性があると Apple 社は警告していました。
- セキュリティコミュニティの著名なホワイトハッカー、2016 年の米大統領選の結果に影響を与えた大規模なフェイクニュース作戦に加担していたことを最近告白。「ハッカー X」の名で活動していたときにある企業に雇われ、Facebook などのソーシャル メディア プラットフォームにデマ情報を拡散させる大規模な作戦を展開したことを詳細に語っています。
- 米国海軍の駆逐艦の Facebook ページが何者かに乗っ取られる。ビデオゲーム「Age of Empires」のプレイ動画がページ上でライブ配信されました。他にもいくつかの動画が投稿された挙げ句、数日経ってようやく海軍がページの制御を取り戻しました。
- 2020 年から 2021 年半ばにかけて 130 種のランサムウェアの脅威にさらされていたことが VirusTotal の新しい調査で明らかに。攻撃に最もよく使用されたのは GandCrab ファミリでした。
最近の注目すべきセキュリティ問題
Microsoft 社が月例セキュリティ更新プログラムをリリース、重大度 9.9 の脆弱性 2 件を公表
Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のさまざまなソフトウェア、ハードウェア、ファームウェア製品で確認された 77 件の脆弱性についての情報を公開しました。今月のリリースは特に注目に値します。「緊急」と評価された脆弱性は 2 件だけで、残りはすべて「重要」です。月例のセキュリティ更新プログラムで公開される「緊急」の脆弱性の件数としては、少なくともこの 1 年間で今回が最少となっています。CVE-2021-40461 は「緊急」と評価された脆弱性の 1 つです。ネットワーク仮想化サービスプロバイダーの脆弱性で、攻撃対象のマシンでリモートコードを実行される可能性があります。重大度は 10 点中 9.9 点であり、これまで月例のセキュリティ更新プログラムで公開された中で実質上の最高値となっています。「緊急」と評価されたもう 1 件の脆弱性 CVE-2021-38672 は、Windows Hyper-V に存在します。この脆弱性もリモートでコードを実行される可能性があり、重大度スコアは CVE-2021-40461 と同じです。
Snort SID:58286 〜 58289、58294、58295、58303 〜 58319
Apache HTTP Server にゼロデイ脆弱性、エクスプロイトが活発化
最近発見された Apache HTTP Server(CVE-2021-41733)の脆弱性が活発にエクスプロイトされています。これはパストラバーサルおよびファイル開示の脆弱性であり、攻撃者がドキュメントルートの外にあるファイルに URL をマッピングする可能性があります。CGI スクリプトなど解釈されたファイルのソースが漏洩する危険性もあります。本脆弱性のエクスプロイトは複雑ではないため、Apache HTTP Server の全ユーザにとって重大な脅威となります。脆弱性が存在するのは Apache の最新バージョン(2.4.49)です。古いバージョンの Apache を実行しているユーザには、現在のところ影響はありません。バージョン 2.4.50 で CVE-2021-41733 の修正が行われましたが、それでは不十分であることが判明し、現在 Apache から別の新たな脆弱性(CVE-2021-42013)として報告されています。これを受け、問題を完全に解決するためにバージョン 2.4.51 がリリースされました。できるだけ早く 2.4.51 にアップグレードするようお勧めします。
Snort SID:58276(Snort 3 SID 300053)
今週最も多く見られたマルウェアファイル
SHA 256:8b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9
MD5:34560233e751b7e95f155b6f61e7419a
一般的なファイル名:SAntivirusService.exe
偽装名:A n t i v i r u s S e r v i c e
検出名:PUA.Win.Dropper.Segurazo::tpd
SHA 256:50604f47e8d7822aa29325e41546138db99c7002d776c510ac3bd620e75c801f
MD5:9f4303d51b3ceffb74c5cc9c887fc05e
一般的なファイル名:9f4303d51b3ceffb74c5cc9c887fc05e.file
偽装名:なし
検出名:W32.50604F47E8-95.SBX.TG
SHA 256:8639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2
MD5:fe3659119e683e1aa07b2346c1f215af
一般的なファイル名:SqlBase.exe
偽装名: SqlServerWorks.Runner
検出名:W32.8639FD3EF8-95.SBX.TG
SHA 256:bec65782844355875f88723419b44dc543ba07b83c8a339036f79e39364493c6
MD5:af581caf268f7ad9def31b477f8349a3
一般的なファイル名:NNV.exe
偽装名:WindowsApp8
検出名:W32.BEC6578284-95.SBX.TG
SHA 256:f0a5b257f16c4ccff520365ebc143f09ccf233e642bf540b5b90a2bbdb43d5b4
MD5:84452e3633c40030e72c9375c8a3cacb
一般的なファイル名:sqhost.exe
偽装名:sqhost.exe
検出名:W32.Auto:f0a5b257f1.in03.Talos
最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2021 年 10 月 14 日に Talos Group のブログに投稿された「Threat Source newsletter (Oct. 14, 2021)」の抄訳です。