今週の脅威情報ニュースレターはフォーマットを新しくし、これまでとは趣を変えてお届けします。
まず、改めて言うまでもないことですが、私たちは皆、ウクライナで起こっている危機に心を痛めています。私たちの心は、ウクライナの人々、シスコの従業員とそのご家族、そして影響を受けたすべての人々とともにあります。
ウクライナでの紛争をきっかけに、偽情報やフェイクニュースが話題になっています。これまで何度もブログで取り上げたように、フェイクニュース記事やディープフェイク動画、誤解させることを意図したソーシャルメディア投稿などで偽情報は拡散されます。ですが、ここ数週間で目にした状況はそれとは違います。一般の人々がソーシャルメディアで偽情報を共有しているのです。
何百万ドルもの資金提供を受けた情報工作組織の仕業ではありません。面白いと思った情報を普通の人がただ共有しているだけであり、情報の出所を確認していないのです。今週の Twitter と Instagram ではこうした例が散見されます。具体的には、狙撃兵のレーザーを検知する訓練を受けたウクライナ軍の「軍猫」だという触れ込みの猫の写真、最新の「タイム」誌の表紙だという偽の表紙、ウクライナとロシアの兵士が一緒に踊っているという嘘のキャプションが付けられた動画などがシェアされています。
ここでの教訓は、偽情報を拡散するには、必ずしも組織的な大規模工作を企てる必要などないということです。あなた自身、あるいはあなたの友人が情報源を調べたり事実確認を行ったりすることなく流行トレンドのリツイートボタンをやみくもにクリックすることで、偽情報の拡散を助長している可能性があります。こうした偽の投稿や誤解を招く投稿の中には、比較的無害なものもあります。しかしここで重要なのは、私たちの社会における偽情報拡散の歴史とメディアリテラシーの低下という、より大きな問題にどうやって対処するかということです。
戦時中は常にプロパガンダが喧伝されてきました。アンクル・サム(米国を擬人化した架空の人物)の「I Want YOU」のポスターからロージー・ザ・リベッター(第二次世界大戦期に工場や造船所で働いた女性を象徴する架空の人物)まで、あらゆるイメージが過去の戦争中に急速に広まりました。「軍猫」はロージーほど有名な文化的アイコンにはならないかもしれませんが、何かを共有する前には常に情報源を確認することが重要です。いつ何時、国家が関与するより大規模な情報工作に利用されるか分からないのです。
これを機に、何かを共有する前には三重にチェックすることをお勧めします。情報の出所を確認できるか、他の誰がどのように情報を共有しているのか、共有しようとしている情報の真偽を検証することのできる第三者が見つかるか。この 3 点に留意してください。現在の情勢に関する認識や前向きなニュースを広めるには情報共有が役に立つと思っていたとしても、長期的に見ると害を及ぼしかねず、私たちが何年も前から警告してきた偽情報の拡散に加担することになってしまいます。
重要な情報
Talos はウクライナ・ロシア情勢の監視を続けながらチーム全体で包括的な取り組みを行い、パートナーとお客様にサポートを提供しています。具体的な活動としては、サイバー脅威に対する新しい保護機能(調査結果とマルウェア分析に基づいたもの)の定期的なリリース、Talos の調査報告内容を組織内で体系的に管理するための危機管理システムの制定、パートナーである国内外の情報機関との情報共有などが挙げられます。
この 2 週間、現在の情勢や、当該地域と世界に影響を及ぼす可能性のあるサイバー攻撃について新たな情報を入手するたびにブログを更新してきました。脅威インテリジェンス脅威防御チームのリーダーである Matt Olney は、何もかもが流動的な今、それに伴うリスクについて詳しく解説した記事を書いています。現在は攻撃者の特定でミスが起きやすく、恐怖や不安、疑念が煽られやすい状況にあります。このほか、小規模オフィスやホームオフィス向けのルータを狙った Cyclops Blink マルウェアと、ウクライナを標的とした一連のワイパー攻撃の技術的な詳細に関するブログも公開しています。なお、攻撃はウクライナ以外の国にも波及する可能性があります。
情勢を注視すべき理由
現在のウクライナ情勢を注視すべき理由はいくつもあり、ここでは書ききれないほどです。サイバーセキュリティの観点から見ると、現在は私たちがこれまでに経験した中で最もサイバー戦争に近い状況にあります。最悪のシナリオに備えつつ、基本的なセキュリティ対策を講じなければなりません。
西側諸国がロシアの侵略に対する制裁を発動する中、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)と FBI はすでに警告を発し、大規模なサイバー攻撃が米国に及び、重要インフラと大小さまざまな企業が危険にさらされる可能性があるとしています。英国の機関と EU の機関も同様の警告を発表しました。
必要な対策
現在のところ Talos のガイダンスに変わりはなく、CISA が発表した勧告を支持しています。この勧告の内容は、巻き添え被害を受けないように、ウクライナと関わりがあるグローバル組織はウクライナに接続されているシステムを分離してモニタリングする方法を慎重に検討する必要があるというものです。
目の前の脅威がどのようなものであれ、Talos の基本的なガイダンスは一貫しています。技術的負債、サイバーセキュリティ対策の不備、時代遅れのシステムとソフトウェアは、組織に壊滅的な影響を与えます。一方、あらゆる敵対者からの攻撃を乗り切るための鍵となるのが、ネットワークのセグメンテーション、可視化、アセットインベントリ、優先的なパッチ適用、防御方法を積極的に変更できるようにするインテリジェンスプログラムです。
その他の注目情報
ロシアとウクライナの紛争を巡ってランサムウェアグループ Conti で内部対立が発生し、親ウクライナ派のメンバーが内部チャットを含む大量のログを流出させました。Conti はロシアの試みに賛同して攻撃を実行する約束をしていましたが、メンバーの 1 人がこれに異議を唱え、内部情報を暴露するという事態になっています。Conti が身代金を受け取ったビットコインアドレス、これまで知られていなかった被害者が分かるメッセージ、Trickbot ボットネットが今年初めに活動を停止した決定的証拠などが流出しました。Conti で起きた騒動は、ウクライナ情勢を巡って、現在ランサムウェアコミュニティがいかに分裂しているかを示しています(情報源:The Record、Krebs on Security)。
世界最大手のテクノロジー企業数社も、ウクライナ紛争に対して影響力を行使しています。Google は、ウクライナに数百万ドルを寄付し、ロシア政府が支援する複数の報道機関を YouTube でブロックすると発表しました。これらの報道機関は偽情報を広めることで知られています。一方 Apple は、ロシアでのすべての製品の販売を一時停止し、やはり一部のメディアを App Store からブロックすると発表しました。悪用を防ぐために、ウクライナにおけるリアルタイムのトラフィックデータをブロックしている企業もあります。またサイバーセキュリティベンダーは、ソフトウェアとサービスを無償で提供しています(情報源:Washington Post、ZDNet、CNBC、New York Times)。
Microsoft 社の月例セキュリティ更新プログラムは、比較的軽微な脆弱性に対するものでした。71 件の脆弱性が公開され、Azure および Office 製品スイートの問題などが修正されています。3 月のセキュリティ更新プログラムで「緊急」と評価された脆弱性は 2 件のみでした。2 月のセキュリティ更新プログラムで「緊急」と評価された脆弱性はなかったわけですが、今月の少なさも際立っています。注目に値するのは、Xbox 向けのセキュリティ更新プログラムが初めて公開されている点です。ゲーム機は特権昇格攻撃を受けやすいのですが、月例セキュリティ更新プログラムで Xbox 固有のセキュリティ問題に対する修正が行われたのは今回が初めてだと思われます(情報源:Talos、ThreatPost)。
Talos のブログ記事
- 注目の脆弱性:コード実行と情報漏洩につながる Gerbv の脆弱性を発見
- 注目の脆弱性:JavaScript/SQL インジェクションを引き起こす可能性がある Lansweeper の脆弱性を発見
- 詳細解説:デバイスが完全に制御される危険性がある ZTE ルータの脆弱性
- 2 月 25 日 ~ 3 月 4 日の 1 週間における脅威のまとめ
Talos が参加予定のイベント
Cisco Secure 脅威アラート:Talos によるウクライナ情勢についての説明(3 月 11 日午前 11 時[東部標準時])
Talos のすべてのソーシャルメディア プラットフォームでライブ配信
RSA 2022(2022 年 6 月 6 日 ~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日 ~ 16 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:792bc2254ce371be35fcba29b88a228d0c6e892f9a525c330bcbc4862b9765d0
MD5:b46b60327c12290e13b86e75d53114ae
一般的なファイル名:NAPA_HQ_SetW10config.exe
偽装名:なし
検出名:W32.File.MalParent
SHA 256:02f6094b5d14e880a1fb7eef90228dbb34102788b5e513836750f90894dde185
MD5:1152e84337d5d4c56c66a692676b7422
一般的なファイル名:WaveSWUpdater.exe
偽装名:Wavesor SWUpdater
検出名:W32.02F6094B5D.Wavesor.SSO.Talos
SHA 256:5a8660fdb45a0016725485a8a0e94df5a992953437ac18017850ec6e26d26b4a
MD5: 6c863625fe503e89e916dfff22a1c4e6
一般的なファイル名:TiWorker.exe
偽装名:Microsoft® Windows® オペレーティングシステム
検出名:PUA.Win.Dropper.Miner::tpd
SHA 256:dcbb12bf4dd59d4907cb2c8daad2ba558fb462fdb795159e1b3c1ba8ecba9265
MD5:e253fa52dc43a4db2b73b1ce8db04572
一般的なファイル名:KMSAuto_Lite_Portable_v1.2.1.zip
偽装名:なし
検出名:PUA.Win.Tool.Hackkms::mash.sr.sbx.vioc
本稿は 2022 年 03 月 10 日に Talos Group のブログに投稿された「Talos Threat Source newsletter (March 10, 2022) — Fake social media posts spread in wake of Ukraine invasion」の抄訳です。