Categories: 脅威リサーチ

脅威情報ニュースレター(2021 年 12 月 16 日)

Talos 読者の皆様、こんにちは。

Log4j 関連の情報をお望みの方ばかりでしょうから、早速本題に入りましょう。最新の Talos の調査については、こちらのブログ記事をご覧ください。上の動画は、月曜日の午前中に最新状況をお伝えしたライブ配信の録画です。ただ当然ですが、すでにいろいろと状況が変わっているため、米国東部時間の金曜日正午に『Beers with Talos』でもう一度ライブレコーディングを行います。レコーディングの内容は、シスコのソーシャル メディア プラットフォームまたは YouTube ページでご視聴いただけます。

年末年始の休暇に入るため、2021 年の脅威情報ニュースレターは今回が最後となります。読者の皆様も、せめて数日くらいは Log4j のことを忘れ、ご友人やご家族と充実した時間をお過ごしになれますように。

1 週間のサイバーセキュリティ概況

  • 今週全国的なニュースとなった Log4j の脆弱性に世界中が騒然。比較的エクスプロイトしやすいため危険性が非常に高く、さまざまなソフトウェアに影響が及びます。
  • 国家の支援を受けた攻撃者も、すぐさまこの脆弱性に注目。Microsoft 社は、中国、イラン、北朝鮮、トルコを拠点とする攻撃者が Log4j のバグのテストとエクスプロイトを開始しただけでなく、マルウェアを展開するためにすでに利用していると警告を発しました。
  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)、12 月 24 日までに同脆弱性(Log4shell)にパッチを適用するよう連邦政府機関に通達。脆弱性について CISA 長官のジェン・イースタリー氏は「深刻なリスク」だと述べています。
  • オンライン上ではセキュリティ研究者が Apple 社のデバイスや Tesla 社の電気自動車で Log4shell をエクスプロイトできたと主張。いずれも、デバイスの名前を変更するだけで標的のサーバーを任意のサイトにアクセスさせることができるとのことです。
  • 火曜日に Microsoft 社がセキュリティ更新プログラム(月例)を公開。Log4j の陰に隠れて目立ちませんが、同社の製品の緊急の脆弱性が 6 件公開されていますのでご注意ください。そのうちの 1 件の重大度スコアは 10 点中6 点です。
  • Google もパッチを公開し、Chrome Web ブラウザの 5 件の脆弱性を修正。このうちの 1 件(CVE-2021-4102)については、すでにエクスプロイトが確認されていると Google は警告しています。
  • Microsoft 社から始まった一連のパッチ公開の流れに Apple 社も追随。iOS のモバイル オペレーティング システムを更新し、新型 iPhone 13 を簡単にジェイルブレイクできる脆弱性を修正しました。他にも、攻撃対象となったデバイスでリモートコードが実行される危険性がある脆弱性を修正するためのパッチがいくつか公開されています。
  • ブロックチェーン ゲームプラットフォーム VulcanForged が攻撃を受け、1 億 3,500 万ドル相当の仮想通貨が不正流出。今月この種の攻撃が発生するのはこれで 3 回目で、被害総額は 4 億ドルに上りました。
  • 自動車メーカー Volvo、サイバー攻撃を受け「限られた量」の研究開発情報が盗まれたと報告。最初の侵入経路については、引き続き同社による調査が行われています。

最近の注目すべきセキュリティ問題

Log4j の脆弱性、長期にわたってインターネットに広く影響を及ぼす可能性あり

セキュリティコミュニティ全体で、CVE-2021-44228(積極的にエクスプロイトが仕掛けられている Apache Log4j の脆弱性)への対処が進められています。広範に使用されている Java ロギングライブラリに影響を与える脆弱性であり、多くの大規模な組織の環境にはこのライブラリが導入されている可能性があります。これまでのところ、主な標的となっているのは Apple 社や人気ビデオゲーム「Minecraft」などです。問題のライブラリは、Elastic をはじめとするエンタープライズ環境で使用されるさまざまな Web アプリケーションの依存関係としても使用されている可能性があります。脆弱性の性質からみて、攻撃者の間で今後広くエクスプロイトされていくものと Cisco Talos は考えています。影響を受ける製品を使用している場合は、できる限り早くパッチを適用して脆弱性を軽減してください。Apache は Log4j の最新バージョン 2.16.0 をリリースしました。以前のリリース(2.15.0)では、ルックアップを解決する機能を削除して問題に対処し、脆弱性 CVE-2021-44228 を軽減していました。今回のリリースでは、デフォルトで JNDI が無効になり、メッセージの検索がサポートされなくなっています。詳細については、軽減策に関するセクションを参照してください。

SNORT SID58722 ~ 58744、58751、58784 ~ 58790、58795

Snort 3 SID300055 ~ 300058

ClamAV 署名:Java.Exploit.CVE_2021_44228-9914600-1、Java.Exploit.CVE_2021_44228-9914601-1、Java.Exploit.CVE_2021_44228-9914600-2、Java.Exploit.CVE_2021_44228-9914601-4、Java.Exploit.CVE_2021_44228-9915330-0、Java.Malware.CVE_2021_44228-9915820-0、Java.Malware.CVE_2021_44228-9915819-0、Java.Malware.CVE_2021_44228-9915818-0、Java.Malware.CVE_2021_44228-9915817-0、Java.Malware.CVE_2021_44228-9915816-0、Java.Malware.CVE_2021_44228-9915813-0、Java.Malware.CVE_2021_44228-9915812-0

Microsoft 社、12 月のセキュリティ更新プログラム(月例)で 80 件の脆弱性のパッチを公開

Microsoft 社は本日、月例のセキュリティ更新プログラムをリリースし、同社のハードウェアおよびソフトウェアの大規模なコレクションで確認された 80 件の脆弱性についての情報を公開しました。今月公開された脆弱性には、実際にエクスプロイトされているものはありません。これは数ヵ月ぶりのことです。なお、4 件は公開済みの脆弱性でした。12 月のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 5 件で、残りは「重要」と評価されています。最も重大な問題は CVE-2021-43215 です。これはメモリ破損の脆弱性で、iSNS サーバーでリモートコードが実行される危険性があります。iSNS プロトコルは iSNS サーバーおよび iSNS クライアントと相互に通信し、ネットワークユーザーが iSNS データベースを照会できるようにするサーバーを管理します。iSNS サーバーに細工されたリクエストを送信して、攻撃者がこの脆弱性をエクスプロイトする可能性があります。この脆弱性の重大度スコアは 10 点中 9.8 点です。

SNORT SID58752 ~ 58757、58635、58636

今週最も多く見られたマルウェアファイル

SHA 2560ab024b0da0436fddc99679a74a26fdcd9851eb00e88ff2998f001ccd0c9016f

MD5ee30d6928c9de84049aa055417cc767e

一般的なファイル名:app.exe

偽装名:なし

検出名:Glupteba::gravity::W32.Auto:0ab024b0da.in03.Talos

SHA 2565bab2ae1cada90f37b821e4803912c5b351fda417bbf0a9c768b715c6d492e13

MD5: a6a7eb61172f8d988e47322ebf27bf6d 

一般的なファイル名:wx.exe

偽装名:なし

検出名:Win.Dropper.Wingo::in07.talos

SHA 2561b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37 

MD5a5e345518e6817f72c9b409915741689 

一般的なファイル名:swupdater.exe 

偽装名:Wavesor SWUpdater

検出名:W32.1B259D8CA9.Wavesor.SSO.Talos

SHA 256e5044d5ac2f8ea3090c2460a5f7d92a5a49e7fa040bf26659ec2f7c442dda762

MD5 6ea750c9d69b7db6532d90ac0960e212

VirusTotal

一般的なファイル名:deps.zip

偽装名:なし

検出名:Auto.E5044D5AC2.242358.in07.Talos

SHA 256 1487f122c92f3bade35e03b6b0554a80b1563f2c167d9064263845653d912ec6

MD5ee62e8f42ed70e717b2571c372e9de9a

一般的なファイル名:lHe

偽装名:なし

検出名:W32.Gen:MinerDM.24ls.1201 

最新情報を入手するには、Twitter で Talos をフォローしてください。Snort および ClamAV の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。

 

本稿は 2021 年 12 月 10 日に Talos Group のブログに投稿された「Threat Source Newsletter (Dec. 16, 2021)」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。