Cisco Japan Blog

脅威情報ニュースレター(2022 年 3 月 24 日):その動画、ディープフェイクではありませんか?

1 min read



今週も脅威情報ニュースレターをお届けします。

ウクライナ戦争では、ロシアの地上軍がウクライナに侵攻する前から誤った情報が飛び交ってpopup_iconいました。ですので、本格的な情報戦が始まってディープフェイク動画が出回ったのも特に驚くようなことではありません。 

先週、ある動画がソーシャルメディアで話題になりました。ウクライナのウォロディミル・ゼレンスキー大統領のように見える人物popup_iconが、ロシア軍に降伏するようウクライナの兵士に呼びかけている動画です。幸いなことに、この動画が偽物で捏造されたものだということはすぐに突き止められました。そのこと自体は良かったのですが、安心はできません。というのは、この動画は誰が見ても怪しいと思うような出来だったからです。

私も最初に見たとき、画質が粗すぎるのと、大統領の声がニュースで聞き覚えのある声より低いことにすぐに気付きました。頭の位置もちょっとズレているように感じました。程なくしてこの動画はインターネットで拡散され、ゼレンスキー氏自身もすぐに偽動画だという声明を発表しました。気を付けなければいけないのは、これはディープフェイク動画が出回った事件の中でもまだましなケースだったということです。あまりに見え透いていたので誰も騙されませんでした。

ウクライナ侵攻を巡る情報戦でまたディープフェイク動画が使われた場合、今回ほど簡単に見破れるとは限りません。ゼレンスキー氏の偽動画が Twitter に投稿されてからわずか数日後に、ロシアのウラジーミル・プーチン大統領が和睦を宣言しているように見えるpopup_icon別の偽動画が出回りました。この動画が偽物だとすぐに見破るのは私には難しかったのですが、Twitter やメディアですでに調査が行われており、私が見たときにはもうフェイク動画だと断定されていました。

プーチン大統領の偽動画や、ジョーダン・ピール氏がバラク・オバマ氏になりすましたこの動画popup_iconのような悪名高いディープフェイクを見ると、攻撃者が、ディープフェイク動画や写真を作成する高度な技術を持っていることが分かります。これについては以前の記事でも取り上げていますpopup_icon

ゼレンスキー氏の偽動画は、ディープフェイクへの対応をソーシャルメディア企業がアピールするpopup_icon絶好の機会となり、すぐにブロックされて削除されました。しかし、もっと巧みな攻撃者が次のディープフェイクを拡散したらどうなるでしょうか?ソーシャルメディア企業が気付くまで何時間も放置されるかもしれませんし、どんなに目の肥えたネットユーザーでさえ騙されるかもしれません。次に動画をご覧になるときは、MIT が作成したこちらの手順に従ってpopup_iconディープフェイクかどうか確認することをお勧めします。現在、ウクライナ関連の情報については誤った情報を共有するリスクが非常に高くなっています。数人の友人やフォロワーに伝える場合でも注意が必要です。

重要な情報

ランサムウェア攻撃グループの名前は紛らわしいものが多くて困ります。BlackCat、BlackMatter、DarkSide(BlackMatter と同じ組織のようです)、Babuk などなど。まるで子どもの頃にベッドの下に潜んでいるんじゃないかと恐れていたモンスターの名前のようです。ランサムウェア攻撃グループの多くにはさまざまなアフィリエイト(攻撃の実行役)や個々の攻撃者が参加します。そうした人物は攻撃グループの間を渡り歩きますが、グループ間にはもっと深いつながりがあるのでしょうか?

Talos の研究者は最近、BlackCat と BlackMatter を調査して、この 2 つのグループが単にコードを共有する以上の関係にあるのかどうかを調べました。両グループの間に正式な関係はないと攻撃グループの代表が公言していますが、それが事実であったとしても、両グループの戦術、手法、手順(TTP)には類似性が確認されています。このことから、規模の大きなランサムウェアグループが広範なランサムウェアコミュニティで要員を確保している様子がうかがわれます。

情勢を注視すべき理由

サービスとしてのランサムウェア(RaaS)はこの数年で勢力を伸ばしています。RaaS グループは攻撃者にツールを(もちろん有料で)提供し、攻撃者はそれらのツールを使って攻撃を仕掛けます。そうして得た利益の一部を RaaS グループが受け取るという仕組みです。

多くの攻撃者が BlackMatter から BlackCat に乗り換えていることから、RaaS の活動がすぐに収まることはないと思われます。また、BlackMatterpopup_icon は Colonial Pipeline 社を攻撃して米国東部へのガス供給を中断させるという 2021 年最大級のサイバー攻撃を仕掛けたグループであることを考えても、次に警戒すべき大きなランサムウェアグループが BlackCat であることは明らかです。

すでに世界中の組織が BlackCat の標的になっていますが、その 3 割が米国に拠点を置く企業である点が特徴的です。

必要な対策

BlackCat と BlackMatter にどのような関係があるのかは分かっていませんが、攻撃で使用されたツールや手法、共通のインフラから判断すると、BlackMatter のアフィリエイトが BlackCat で早期から活動していた可能性があります。

これまで何度も見てきたように、RaaS サービスは登場しては消えていきます。しかし、アフィリエイトはそのまま次のサービスに移行する可能性があり、それによって多くの TTP が受け継がれている可能性があります。いつ何時ランサムウェア攻撃の標的になるか分からないという前提で対策を立てておく必要があります。攻撃を早期に検出し、事態をできる限り早く収束させるための計画を整えておくことが重要です。

その他の注目情報

米国政府は、ロシア政府の支援を受けた攻撃者が米国の企業や重要インフラに対して近々サイバー攻撃を行う可能性があるとして警戒強化を呼びかけました。ウクライナ侵攻に対する西側諸国の制裁にロシアが報復しようとしているため攻撃を受ける危険性が高いと、ここ数か月の間、米国政府が警告しています。これまでのところ、多くのセキュリティ専門家が予想していたほど大規模な攻撃は行われていません。なぜ攻撃が実行されないのか、また紛争が長引いてロシアにさらなる経済制裁が課されても同じ状況が続くのかどうかは不明です(情報源:The New Yorkerpopup_iconCBS Newspopup_icon)。

攻撃グループ「Lapsus$」が今週、Microsoft 社と認証サービス企業である Okta 社にサイバー攻撃を仕掛けて成功したことが報じられ、大きな話題を呼びました。Okta 社の経営幹部によると、攻撃者は同社のマシンにリモートアクセスしてスクリーンショットを何枚か撮影しており、360 社を超す顧客に影響を与える可能性があります。FedEx 社や Moody’s 社をはじめとするさまざまな主要企業が Okta 社のソフトウェアを使用して社内ユーザーを認証しています。一方、Microsoft 社も Lapsus$ が同社のネットワークに侵入したことを認めました。Lapsus$ は Microsoft 社のソースコードを窃取したと語っていますが、Microsoft 社は「顧客のデータやコード」は流出しなかったとしています(情報源:Reuterspopup_iconTechMonitorpopup_iconBleeping Computerpopup_icon)。

Conti ランサムウェアグループの情報がまた暴露されました。今年初めに大量のデータとチャットログが流出しましたが、今度は Conti ランサムウェアバージョン 3 のソースコードが VirusTotal に投稿されました。アーカイブにアクセスするにはパスワードが必要ですが、誰でも簡単に推測できます。さらに、Conti やロシアの支援を受けた攻撃グループに協力する初期アクセスブローカーの存在が Google によって明らかにされました。とは言え、Conti にとって悪いことばかりというわけでもありません。Conti から漏洩したドキュメントを記者が調べたところ、平均的なメンバーでも月に 1,800 ドルほど稼いでいることが分かりました(情報源:Googlepopup_iconThreatPostpopup_iconZDNetpopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

RSA 2022popup_icon(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ

CISCO LIVE U.S. popup_icon(2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 25659f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaapopup_icon
MD5df11b3105df8d7c70e7b501e210e3cc3 
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 2565616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1popup_icon
MD53e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201

SHA 25694e50729a9ccf722ecc62bf766404e1520d5a5a9b44507c7d74dc4ff5cad991cpopup_icon
MD5376ead6e862e2957628576a77c08d1e1
一般的なファイル名:LyricsTube.exe
偽装名:LyricsTube
検出名:PUA.Win.Adware.Addlyrics::dk

SHA 2561c25a55f121d4fe4344914e4d5c89747b838506090717f3fb749852b2d8109b6popup_icon
MD54c9a8e82a41a41323d941391767f63f7
一般的なファイル名:!!mreader.exe
偽装名:なし
検出名:Win.Dropper.Generic::sheath 

 

本稿は 2022 年 03 月 24 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 24, 2022) — Of course the deepfake videos are herepopup_icon」の抄訳です。

 

コメントを書く