Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター(2021 年 10 月 7 日)


2021年10月22日

Talos 読者の皆様、こんにちは。

私たちは、日々膨大なデータを目にしています。その中から顧客やユーザにとって重要なデータを探し出すにはどうしたらいいのでしょうか。さまざまな方法がありますが、読者や研究者の皆様に 1 つの選択肢として Apache Spark を使用したやり方popup_iconをご覧いただければと思います。

機械学習やソフトウェア、さらに昔ながらの優れた直感を活かして大規模なデータセットを処理する方法を詳しくご紹介しています。

10 月は、全米サイバーセキュリティ啓発月間です。これを祝して、ポッドキャスト『Talos Takes』では、特定のテーマを中心に特別エピソードを毎週リリースしていきます。第 1 弾として、Talos の Chris Marshall が燃え尽きを防止する方法について語っています。サイバーセキュリティ業界は、世界的なパンデミックの最中でなくともストレスの多い業界です。ハイブリッド勤務という新しい働き方に Talos のメンバーはどのように適応したのでしょうか?こちらでご確認ください

『脅威情報ニュースレター』で取り上げてほしい情報(脅威、IOC、マルウェアファミリ、攻撃者)があれば、threatsource@cisco.com までご連絡ください。

今後予定されている Talos の公開イベント

Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Monthpopup_icon

講演者:Brad Garnett

開催日:10 月 18 日午前 9 時 30 分(米国東部時間)

場所:すべての Talos ソーシャル メディア アカウントでライブストリーミング

概要:Talos インシデント対応チームが支援するサイバーセキュリティ啓発月間(National Cybersecurity Awareness Month)にご参加ください。CTIR ゼネラルマネージャの Brad Garnett が、ライブで質問に回答し、脅威環境とランサムウェアの脅威の拡大状況について解説します。このページで、事前にご質問いただくか、ライブチャットにご参加ください。録画が YouTube ページ(cs.co/TalosTube)でまもなく公開されます。

1 週間のサイバーセキュリティ概況

  • 匿名のハッカーにより、Twitch のサービスそのものに当たる情報が漏洩popup_icon。人気のストリーミングサービスのソースコードがオンラインで公開されました。高額な報酬を得ているストリーミング配信者に関する情報をはじめとする膨大なデータも公開されています。
  • Twitch、情報漏洩への対応としてすべてのストリームキーを変更。同社は、サーバの設定変更ミスによりデータが公開されたままになっていたことが今回の漏洩の原因だとしています。
  • ランサムウェア攻撃が原因で初の死亡例か、訴訟へ発展。提訴した家族は、当時病院のスタッフはサイバー攻撃からの回復を試みている最中であり、乳児は十分なケアを受けられずに病院で死亡したと述べています。
  • 米国ホワイトハウスが 30 ヵ国のサイバーセキュリティ専門家popup_iconを招いて会議を開催、サイバー犯罪とランサムウェアへの対処として。ジョー・バイデン米大統領は声明の中で、不法な暗号通貨取引に関する「法執行機関の協力体制の改善」についても議論する予定だと述べています。
  • Facebook、Instagram、WhatsApp のサービス、BGP エラーにより月曜日に数時間にわたって停止popup_icon。ソーシャルメディアではすぐに、サイバー攻撃を受けた可能性についての憶測が飛び交いました。Facebook 社は、単にメンテナンス中に実行したコマンドが原因だったと発表しています。
  • 海上輸送システムを標的としたサイバー攻撃が、2020 年の数ヵ月で 400% 増加popup_iconしていたことが最近のレポートで判明。この種の攻撃により、国際貿易や運輸会社などが混乱に陥る恐れがあります。
  • 欧州と英国のユーザの多くがお気に入りのサッカーチームの名前をパスワードに使用popup_iconしていることが最近のデータから判明、ログイン情報の推測が容易に。研究者らは、チームのニックネームを使用している 25 億のパスワードのうち、8 億を超えるパスワードが漏洩したことを発見しました。
  • 米国運輸保安庁、鉄道および航空業界向けの新しいサイバーセキュリティ ガイドラインpopup_iconを制定へ。発表を受け、鉄道業界は新ガイドラインに対して即座に反対を表明しています。
  • 米国司法省、暗号通貨の違法使用の調査に特化した新たなタスクフォースを設立popup_icon。同チームは、ランサムウェア攻撃を受けて支払われた暗号通貨を追跡し、回収を試みます。

最近の注目すべきセキュリティ問題

スパイウェア「Pegasus」対策を装うマルウェアが拡散

Amnesty International になりすまし、スパイウェア「Pegasus」からの保護を謳ってマルウェアを拡散する攻撃者が存在します。Amnesty International は最近、国際的なジャーナリストや活動家を監視するために Pegasus が広く使用されているという衝撃的な報告書を発表し、世界的に注目を集めました。攻撃者は、人権擁護活動を推進する非政府組織 Amnesty International を装った偽サイトを立ち上げ、NSO グループが開発したスパイウェア Pegasus からの保護を謳ったウイルス対策ツールを紹介しています。しかし、ダウンロードした後に実際にインストールされるのは、あまり知られていないマルウェア「Sarwent」です。Sarwent には、リモートアクセスツール(RAT)の通常の機能が含まれています。標的のマシンにバックドアを仕掛けるのが主な機能ですが、標的のマシンでリモート デスクトップ プロトコルを有効にすることもでき、攻撃者がデスクトップに直接アクセスできるようになる危険性があります。

Snort SID54357、57901

SonicWall 社、リモート接続デバイスの重大な脆弱性を修正popup_icon

説明:SonicWall 社は、Secure Mobile Access(SMA)100 シリーズのデバイス向けに、セキュリティ更新プログラムをリリースしました。同社は、認証されていない攻撃者が標的のデバイスの管理者権限をリモートで取得できる重大な脆弱性を公開しました。CVE-2021-20034 の重大度スコアは 10 点中 9.1 点となっています。SMA 100 は、リモートワーカーがオフィスのネットワークやデバイスに安全に接続できるようにするための製品です。同製品については、サポートが終了したバージョンのデバイスがランサムウェア攻撃を拡散するための標的になっているという警告が SonicWall 社から出されており、最近さらなる精査が行われていました。

Snort SID58224 ~ 58226

今週最も多く見られたマルウェアファイル

SHA 256c1d5a585fce188423d31df3ea806272f3daa5eb989e18e9ecf3d94b97b965f8epopup_icon

MD59a4b7b0849a274f6f7ac13c7577daad8

一般的なファイル名:ww31.exe

偽装名:なし

検出名:W32.GenericKD:Attribute.24ch.1201

SHA 2566c62b768d8b22888724288af038bc0b6e55280ddbbe42a436cdf68889346df18popup_icon

MD5830ffb393ba8cca073a1c0b66af78de5

一般的なファイル名:smbscanlocal0902.exe

偽装名:なし

検出名:MS17010::mURLin::W32.Auto:6c62b768d8.in03.Talos

SHA 256fad16599a866f466bdeff2a716b9aa79faa6677f2895f0b262cf9402deb4b66cpopup_icon

MD504c1f4395f80a3890aa8b12ebc2b4855

一般的なファイル名:zReXhNb

偽装名:なし

検出名:Auto.FAD16599A8.241842.in07.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:A n t i v i r u s S e r v i c e

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2popup_icon

MD5: fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlBase.exe

偽装名:        SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

 

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2021 年 10 月 07 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 7, 2021)popup_icon」の抄訳です。

 

Tags:
コメントを書く