Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 10 月 14 日)


2021年10月26日

Talos 読者の皆様、こんにちは。

サイバーセキュリティ啓発月間ですが、皆様いかがお過ごしでしょうか?この機会にパッチの適用を徹底的に進めてみるのもよいかもしれません。

今週は、Microsoft 社の月例セキュリティ更新プログラムが公開されました。「緊急」と評価された脆弱性は 2 件しかありませんでしたが、パッチの適用を怠らないようにしましょう。記事の中で、今月の Microsoft 製品に対するセキュリティ更新プログラムと、Excel で発見したコード実行の脆弱性について詳しく説明していますのでご覧ください。

セキュリティ啓発月間をさらに有意義に過ごしたい方は、Talos Takes の最新のスペシャルエディションで 2021 年のランサムウェアを振り返っていますので、ぜひお聞きください。また、脅威研究者がどのような 1 日を送っているか興味がある方は、Cisco Newsroom で Talos の研究者 Vanja Svajcer の紹介記事popup_iconをお読みいただけます。

『脅威情報ニュースレター』で取り上げてほしい情報(脅威、IOC、マルウェアファミリ、攻撃者)があれば、threatsource@cisco.com までご連絡ください。

今後予定されている Talos の公開イベント

Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Monthpopup_icon

講演者:Brad Garnett

開催日:10 月 18 日午前 9 時 30 分(米国東部時間)

場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング

概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。

復元力のあるインシデント対応:ランサムウェア攻撃をブロックする効果的戦略(SANS Cyber Solutions Festpopup_icon

講演者:Brad Garnett

開催日:10 月 22 日午前 8 時 30 分(米国東部時間)

場所:バーチャル

概要:このセッションでは、Talos インシデント対応チームのゼネラルマネージャを務める Brad Garnett が、ハイブリッドワークフォースを抱える CISO やビジネスリーダーに必ず役立つ実用的なインシデント対応戦略を披露します。ランサムウェアと最前線で戦って得た知見、既存のインシデント対応計画を再評価すべき理由、進化する攻撃に Talos が果敢に立ち向かっている様子を Brad が紹介します。

1 週間のサイバーセキュリティ概況

  • 大規模な SolarWinds サプライチェーン攻撃に関与したハッカー集団により、米国政府の機密情報が流出popup_icon。連邦政府機関へのセキュリティ侵害によって、諸外国のサイバー攻撃グループに対する制裁措置の可能性や、新型コロナウイルス感染症への米国の対応計画に関する情報が盗み出されました。
  • 実際に悪用される危険性があるバージョンの SolarWinds ソフトウェアをいまだに使用しているpopup_icon企業が 15 社中 1 社に上ることが新しいレポートで明らかに。このレポートでは、今後狙われる可能性がある「魅力的な」攻撃対象の 1 つとして Microsoft IIS が挙げられています。調査に参加した企業の 15% が Microsoft IIS を使用しています。
  • Windows 11 が一般公開。ランサムウェア攻撃の防御popup_iconに利用できる新しいツールがいくつか付属しています。
  • 米国連邦政府機関、導入済みの EDR(エンドポイント検出/対応)ソリューションへのアクセスpopup_iconをサイバーセキュリティ インフラストラクチャ セキュリティ庁に提供へ。今週から約 90 日以内の対応が求められています。これは、ジョー・バイデン大統領が発表した最新のサイバーセキュリティ標準に各省庁が準拠していることを確認するための新しい監視プログラムの一環です。
  • Google、スパイウェアをモバイルデバイスに密かにインストールする「ストーカーウェア」アプリの広告を複数削除popup_icon。広告の主なターゲットは、配偶者のことを疑っていて、その行動を監視したいと考える人たちでした。
  • Apple 社が iOS および iPad OS のアップデートをリリースpopup_icon。悪用が確認されていた脆弱性が修正されています。この脆弱性の詳細な性質はほとんど明らかにされていませんが、一部のアプリで「任意のコードがカーネル権限で実行される」危険性があると Apple 社は警告していました。
  • セキュリティコミュニティの著名なホワイトハッカーpopup_icon、2016 年の米大統領選の結果に影響を与えた大規模なフェイクニュース作戦に加担していたことを最近告白。「ハッカー X」の名で活動していたときにある企業に雇われ、Facebook などのソーシャル メディア プラットフォームにデマ情報を拡散させる大規模な作戦を展開したことを詳細に語っています。
  • 米国海軍の駆逐艦の Facebook ページが何者かに乗っ取られるpopup_icon。ビデオゲーム「Age of Empires」のプレイ動画がページ上でライブ配信されました。他にもいくつかの動画が投稿された挙げ句、数日経ってようやく海軍がページの制御を取り戻しました。
  • 2020 年から 2021 年半ばにかけて 130 種のランサムウェアの脅威popup_iconにさらされていたことが VirusTotal の新しい調査で明らかに。攻撃に最もよく使用されたのは GandCrab ファミリでした。

最近の注目すべきセキュリティ問題

Microsoft 社が月例セキュリティ更新プログラムをリリース、重大度 9.9 の脆弱性 2 件を公表

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のさまざまなソフトウェア、ハードウェア、ファームウェア製品で確認された 77 件の脆弱性についての情報を公開しました。今月のリリースは特に注目に値します。「緊急」と評価された脆弱性は 2 件だけで、残りはすべて「重要」です。月例のセキュリティ更新プログラムで公開される「緊急」の脆弱性の件数としては、少なくともこの 1 年間で今回が最少となっています。CVE-2021-40461 は「緊急」と評価された脆弱性の 1 つです。ネットワーク仮想化サービスプロバイダーの脆弱性で、攻撃対象のマシンでリモートコードを実行される可能性があります。重大度は 10 点中 9.9 点であり、これまで月例のセキュリティ更新プログラムで公開された中で実質上の最高値となっています。「緊急」と評価されたもう 1 件の脆弱性 CVE-2021-38672 は、Windows Hyper-V に存在します。この脆弱性もリモートでコードを実行される可能性があり、重大度スコアは CVE-2021-40461 と同じです。

Snort SID58286 〜 58289、58294、58295、58303 〜 58319

Apache HTTP Server にゼロデイ脆弱性、エクスプロイトが活発化

最近発見された Apache HTTP Server(CVE-2021-41733)の脆弱性が活発にエクスプロイトされています。これはパストラバーサルおよびファイル開示の脆弱性であり、攻撃者がドキュメントルートの外にあるファイルに URL をマッピングする可能性があります。CGI スクリプトなど解釈されたファイルのソースが漏洩する危険性もあります。本脆弱性のエクスプロイトは複雑ではないため、Apache HTTP Server の全ユーザにとって重大な脅威となります。脆弱性が存在するのは Apache の最新バージョン(2.4.49)です。古いバージョンの Apache を実行しているユーザには、現在のところ影響はありません。バージョン 2.4.50 で CVE-2021-41733 の修正が行われましたが、それでは不十分であることが判明し、現在 Apache から別の新たな脆弱性(CVE-2021-42013)として報告されています。これを受け、問題を完全に解決するためにバージョン 2.4.51 がリリースされました。できるだけ早く 2.4.51 にアップグレードするようお勧めします。

Snort SID58276(Snort 3 SID 300053)

今週最も多く見られたマルウェアファイル

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 25650604f47e8d7822aa29325e41546138db99c7002d776c510ac3bd620e75c801fpopup_icon

MD59f4303d51b3ceffb74c5cc9c887fc05e

一般的なファイル名:9f4303d51b3ceffb74c5cc9c887fc05e.file

偽装名:なし

検出名:W32.50604F47E8-95.SBX.TG

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2popup_icon

MD5fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlBase.exe

偽装名:        SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

SHA 256bec65782844355875f88723419b44dc543ba07b83c8a339036f79e39364493c6popup_icon

MD5af581caf268f7ad9def31b477f8349a3

一般的なファイル名:NNV.exe

偽装名:WindowsApp8

検出名:W32.BEC6578284-95.SBX.TG

SHA 256f0a5b257f16c4ccff520365ebc143f09ccf233e642bf540b5b90a2bbdb43d5b4popup_icon

MD584452e3633c40030e72c9375c8a3cacb

一般的なファイル名:sqhost.exe

偽装名:sqhost.exe

検出名:W32.Auto:f0a5b257f1.in03.Talos

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 10 月 14 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 14, 2021)popup_icon」の抄訳です。

 

Tags:
コメントを書く