Cisco Japan Blog

脅威情報ニュースレター(2022 年 1 月 6 日)

1 min read



Talos 読者の皆様、こんにちは。

休暇中はゆっくりと休養されたことと思います。年が明けて仕事も始まりましたが、Log4j の問題はまだ続いていますpopup_icon

Log4j にはもう 1 年くらい振り回されてきたような気がしますが、実はまだ数週間しか経っていません。2021 年には Log4j のほかにも SolarWinds への対応や Kaseya サプライチェーン攻撃など、振り返っておきたい出来事がたくさんありました。1 年を振り返ったこちらの記事popup_icon、去年の出来事を確認して教訓を学んでおきましょう。

新しいビデオチュートリアルも公開しました。冒頭にも掲載していますが、新しい IoT アシスタントを安全にセットアップする方法を紹介しています。この時期、Google Home や Alexa のスマートデバイスを新たに手に入れた方も多いかと思います。こうしたデバイスにはサイバーセキュリティ上の固有のリスクがありますが、プライバシー設定を活用したさまざまなセットアップによって安全を確保することができます。ビデオをご覧いただき、皆様が IoT デバイスで活用している設定があればコメントでお教えいただけますと幸いです。

1 週間のサイバーセキュリティ概況

  • Log4j の Log4Shell エクスプロイトが年明け後も世界中のセキュリティ担当者の最優先事項にpopup_icon。国家の支援を受けた攻撃者から一般的なサイバー犯罪者まで、さまざまなサイバー攻撃集団がこのエクスプロイトを使用してハンズオンキーボード攻撃を仕掛け、標的のマシンにリモートシェルをドロップしています。
  • 米国連邦取引委員会が Log4j のパッチを適切に適用していない企業に法的措置を取る可能性があるpopup_iconと警告。同委員会は声明の中で、この脆弱性は「何百万もの消費者向け製品、エンタープライズソフトウェア、Web アプリケーションに深刻なリスクをもたらす」と述べています。
  • Google が Chrome ブラウザのセキュリティアップデートをリリースしpopup_icon 37 件の脆弱性を修正。Chrome 97.0.4692.71 には解放済みメモリ使用(use-after-free)の重大な脆弱性 1 件(CVE-2022-0096)に対するパッチが含まれています。
  • 17 社が標的になったクレデンシャル スタッフィング攻撃によって 110 万件のアカウントが侵害されたpopup_iconことがニューヨーク州の調査で判明。被害企業は「有名なオンライン小売業者、レストランチェーン、食品配送サービス」であると州検事総長は述べています。
  • ミズーリ州知事が、同州の教育部門の Web サイトにセキュリティ上の脆弱性があることを報道した現地記者に対する法的措置を未だに検討popup_icon。この記者はページのソースコードをブラウザで表示し、機密情報が保護されていない問題を記事で公開していました。
  • 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁が各州のサイバーセキュリティ連絡担当者のネットワークを構築中popup_icon。この連邦政府の担当者は、各州がサイバーセキュリティのポリシーや計画を策定およびテストし、連邦政府の助成金を申請できるように支援します。
  • Microsoft Exchange Server のコーディングエラーによりオンプレミスの電子メール配信が年明け早々に停止。Exchange Server が 2022 年の日付に適切に対応していなかったことが原因でした。「2022 年問題」という皮肉を込めた名前popup_iconで呼ばれ始めています。
  • 12 月に発生したメリーランド州保健省の Web サイトに対するサイバー攻撃popup_iconにより、同州の医療ライセンスの発行が一部遅延。新規申請者の中には承認が間に合わず新しい仕事の開始日が数週間ずれ込んだ人もいました。
  • Google ドキュメントのコメント機能の脆弱性popup_iconをエクスプロイトする攻撃が発生。Microsoft Outlook ユーザーにフィッシングリンクが送り付けられています。コメントが攻撃ベクトルになっているため、電子メールフィルタやスキャナでリンクが検出されにくくなっています。

最近の注目すべきセキュリティ問題

ホリデーシーズンが過ぎても Log4j の対応に追われるセキュリティ担当者

Log4j の重大な脆弱性が、発覚から数週間経った現在も活発にエクスプロイトされています。Microsoft 社は今週、国家の支援を受けた攻撃者やサイバー犯罪者が依然としてこの広く使用されているライブラリを標的にしているとして同社の顧客に注意喚起しました。この脆弱性がエクスプロイトされると、標的のサーバーが攻撃者に完全に乗っ取られる危険性があります。Log4Shell と呼ばれているこの脆弱性は、ソフトウェアコンポーネントがさまざまなアプリケーションやサービスで広く使用されているため、修復に何年もかかる可能性があります。デフォルト構成でこの脆弱性を悪用すれば、認証されていないリモート攻撃者が Log4j ライブラリを利用しているアプリケーションを標的にすることができます。CVE-2021-44228 で追跡されているこの脆弱性の CVSS 重大度スコアは最大の 10.0 であり、簡単にエクスプロイトされると一般に考えられています。問題のライブラリは、Elastic をはじめとするエンタープライズ環境で使用されるさまざまな Web アプリケーションの依存関係としても使用されている可能性があります。脆弱性の性質からみて、攻撃者の間で今後広くエクスプロイトされていくものと Cisco Talos は考えています。影響を受ける製品を使用している場合は、できる限り早くパッチを適用して脆弱性を軽減してください。

Snort SID58722 – 58744, 58751, 58784 – 58790, 58795, 58801 and 58811-58814

Snort 3 SID 300055 – 300058

ClamAV シグネチャ:

  • Exploit.CVE_2021_44228-9914600-1
  • Exploit.CVE_2021_44228-9914601-1
  • Exploit.CVE_2021_44228-9914600-2
  • Exploit.CVE_2021_44228-9914601-4
  • Exploit.CVE_2021_44228-9915330-0
  • Malware.CVE_2021_44228-9915820-0
  • Malware.CVE_2021_44228-9915819-0
  • Malware.CVE_2021_44228-9915818-0
  • Malware.CVE_2021_44228-9915817-0
  • Malware.CVE_2021_44228-9915816-0
  • Malware.CVE_2021_44228-9915813-0
  • Malware.CVE_2021_44228-9915812-0
  • Java.Tool.CVE_2021_44228-9916978-0

金属探知機の周辺機器の脆弱性によってセキュリティデバイスが操作される危険性

Cisco Talos はこのほど、Garrett 社の金属探知機のデバイスに複数の脆弱性を発見しました。エクスプロイトされると、リモートの攻撃者が認証要件を回避して金属探知機の設定を操作できるようになるだけでなく、デバイスで任意のコードが実行される危険性があります。具体的に言うと、脆弱性が存在するのは Garrett iC モジュールです。保安検査場で一般的に使用されているゲート型金属探知機 Garrett PD 6500i または Garrett MZ 6100 へのネットワーク接続を提供するこのモジュールが攻撃者によって操作され、アラームが鳴ったかどうかや通過した人数などの金属探知機の統計情報がリモートでモニターされる可能性があります。また、デバイスの感度などの設定が変更されてしまい、これらの金属探知機に頼っているユーザーに保安上のリスクをもたらす恐れがあります。

Snort SID58013 ~ 58017

今週最も多く見られたマルウェアファイル

SHA 2561b259d8ca9bb4579feb56748082a32239a433cea619c09f827fd6df805707f37popup_icon

MD5 a5e345518e6817f72c9b409915741689

一般的なファイル名:swupdater.exe

偽装名:Wavesor SWUpdater

検出名:W32.1B259D8CA9.Wavesor.SSO.Talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon

MD534560233e751b7e95f155b6f61e7419a

一般的なファイル名:SAntivirusService.exe

偽装名:Antivirus Service

検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 2560fa5cf65905b79ede6fe39e9ee8a8a8b2d04b71b859fe6e7a0ee583a7b832f43popup_icon

MD5cbd421ed5799f498e42ec6c598dc0aef

一般的なファイル名:なし

偽装名:なし

検出名:W32.Auto:0fa5cf6590.in03.Talos

SHA 2568639fd3ef8d55c45808f2fa8a5b398b0de18e5dd57af00265e42c822fb6938e2popup_icon

MD5fe3659119e683e1aa07b2346c1f215af

一般的なファイル名:SqlServerWorks.Runner.exe

偽装名:SqlServerWorks.Runner

検出名:W32.8639FD3EF8-95.SBX.TG

 SHA 256d339e195ca0b74746b02a4ee1a5820fa3074f43bec2988737005d2562a90cd34popup_icon

MD53f75eb823cd1a73e4c89185fca77cb38

一般的なファイル名:signup.png

偽装名:なし

検出名:Win.Dropper.Generic::231945.in02

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_icon および ClamAVpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_iconから『Beers with Talos』の最新ニュースに登録することもできます。『Talos Takes』のポッドキャストへの登録はこちらpopup_iconからどうぞ。普段お使いのポッドキャストアプリでもご登録いただけます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2022 年 01 月 06 日に Talos Grouppopup_icon のブログに投稿された「Threat Source Newsletter (Jan. 6, 2022)popup_icon」の抄訳です。

 

コメントを書く