脅威情報ニュースレター(2022 年 3 月 31 日):『フォートナイト』はメタバースか?
今週も脅威情報ニュースレターをお届けします。
インターネットは今、新時代を迎えつつあります。古典的なミームが Web 3.0 や NFT に取って代わられようとしているわけですが、ふと別の疑問が頭に浮かんできました。「フォートナイトはメタバースか?」というものです。
先週、Web 3.0 とメタバースに関する新しい調査結果を発表したときに、またこの疑問が頭をよぎりました。この調査では、セキュリティ上の課題がどこに潜んでいるかを明らかにするとともに、攻撃者がすでにメタバースを悪用してスパムやマルウェアを拡散していることを説明していますので、ぜひご覧ください。
実は、私がメタバースを知ったきっかけはビデオゲームと父親でした。父親からは NFT でオリジナルアートを作りたいがディズニーから訴えられないだろうかという相談を受けました。私はさまざまなビデオゲームのポッドキャスト
を聴いていますが、そうしたポットキャストで NFT について耳にするようになりました。その頃、NFT やメタバースへの参入を「検討中」だという曖昧な声明をビデオゲーム各社が発表していました。投資家がそれを望んでいたからです。
しかし『フォートナイト』は違いました。EA 社や Ubisoft 社のはるか先を進んでいたのです。フォートナイトは、サードパーソン シューティングゲームから出発した基本プレイ無料のバトルロイヤルゲームです。独自のメタバースを数年前にすでに構築しており、バーチャルコンサートを開催したり、大統領選挙運動のプラットフォームとして利用されたりしています。また、考えつくほぼすべての IP がこの 1 つのゲームに取り入れられています。
先週の『Talos Takes』のエピソードで Jaeson Schultz と語り合ったのですが、他のビデオゲーム開発者やパブリッシャーもこの動きに続こうとしていました。ところが、メタバースでの詐欺の危険性や NFT を巡る環境問題への懸念を消費者が表明したのを受け、各社はほんの数週間のうちに態度を翻し始めました。
フォートナイトのメタバースに対する取り組みは最近少し勢いが落ちています。特に、友人と一緒に出掛けたりアリアナ・グランデのパフォーマンスを楽しんだりするという点では、対面でのコンサートが再開され、居心地の良い場所でまた集まれるようになったため、仮想環境が絶対に必要というわけでもなくなりました。結局のところ、フォートナイトの一番大切な要素はやはりビデオゲームであるということなのです。
メタバースに対するビデオゲーム各社のこの動向は、2012 年から 2013 年にかけて巻き起こった仮想現実に対する熱狂を思い起こさせます。この時期には最初の消費者向け VR ヘッドセットがリリースされており、数年後にはすべてが VR 化されて最高のプレイ体験を提供してくれるだろうと思われていました。しかしながら、VR ヘッドセットを購入したのはごく一部の人だけでした。現在、VR は外科医のトレーニングといった非常に特殊な用途でのみ使用されています。
したがって、フォートナイトや Roblox などのゲームで独自のメタバースが提供されていても、それが「メタバース」全体に良い結果をもたらすかどうかは分かりません。フォートナイトで上手くいったからといって、『アサシンクリード』のファンが 2026 年の『ファークライ 10』にも持ち込める「世界に 1 本しかない剣」を競り落とそうとするとは限らないのです。とりあえず、フォートナイトのチートと謳って悪意のあるクリプトマイナーを配布する悪者が現れないことを祈りましょう。
重要な情報
Transparent Tribe の攻撃活動が止まりません。インド亜大陸を標的にしているこの攻撃グループを Talos はもう 1 年以上も追跡しています。最近、Transparent Tribe は新しいツールを開発して、インドの政府機関や政府関係者を再び攻撃しています。たとえば、これまで確認されていなかった Python ベースのステージャを使用して .NET ベースの偵察ツールや RAT を展開しています。
この攻撃は遅くとも 2021 年 6 月から続いており、政府機関や関連組織の正規ドメインに見せかけた偽のドメインを使用して悪意のあるペイロードを配布しています。これは Transparent Tribe がよく使用する戦術です。
情勢を注視すべき理由
現在、この攻撃グループは明らかにアジア、特にインドのユーザーを標的にしています。したがって、攻撃対象の地域にお住まいの皆様は、Transparent Tribe への警戒を怠らないようにしてください。また、この攻撃グループのマルウェアと感染ツールをブロックする Snort ルールや ClamAV シグネチャなどの緩和策の導入をぜひご検討ください。
他の地域にお住まいの方も、くれぐれもご注意ください。時間とともに攻撃対象地域が拡大していかないとは限りません。Talos ではこの攻撃グループを 2021 年 3 月から監視してきましたが、新種の RAT、特定のオペレーティングシステムを対象としたマルウェア、著名な政府組織をスプーフィングする新しい方法を次々に開発しています。
必要な対策
複数の配布手段やファイル形式を使用していることから、インプラントへの感染を広げようとしていることが分かります。これまでと同様に、政府機関や準政府機関を装った偽のドメインと、一般的なコンテンツをホストしているドメインを使用してマルウェアを配布しています。このような罠に引っ掛からないようにするには、埋め込まれたリンクや画像をクリックせずに、アクセスしようとしている組織のドメインを入力して検索するようにしてください。Talos のブログ記事でも、ブロックすべき IP アドレスやドメインの新しいリストを提供しています。
将来的にさらに攻撃が増える可能性があるため、この攻撃グループに対する警戒を怠らないようにする必要があります。リスク分析アプローチに基づいた多層防御戦略には最高の予防効果がありますが、優れたインシデント対応計画で常に補完する必要があります。インシデント対応計画は机上の演習でテストするだけでなく、攻撃者との実際の攻防で試されるたびに見直し改善しておくことが重要です。
その他の注目情報
Lapsus$ ランサムウェアグループのメンバーとされる人物が数人逮捕されましたが、この攻撃グループは今もデータを漏洩させており、成功したランサムウェア攻撃もあると主張を続けています。同グループは Web サイトに「休暇から戻った」と投稿し、ソフトウェア開発企業である Globant 社のシステムにアクセスしたものと見られるスクリーンショットを掲示しました。screengrab によると、Globant 社への不正アクセスが確認されたこの攻撃では Apple 社などの他の大企業も影響を受けた可能性があります。Lapsus$ のリーダーは 16 歳の英国人男性で、他のティーンエイジャーとともに活動していると研究者は見ています(情報源:BBC、VentureBeat、Krebs on Security)。
ロシアの支援を受けた攻撃者が米国のネットワークにサイバー攻撃を仕掛ける可能性があるとジョー・バイデン米大統領が先週警告して以来、米国のさまざまな重要セクターが警戒態勢を強めています。FBI は最近警告を発しており、米国の少なくとも 5 つのエネルギーグループのコンピュータネットワークが攻撃者にスキャンされたとして企業のセキュリティ担当者に警戒を求めました。この警告の後、金融システム、水道、医療業界も警戒を強化しています。民間企業の中には脅威に対する準備が整っていないと危惧している企業もあります。その傾向は特に、大規模なセキュリティチームや予算がない小規模な公共事業者で顕著です(情報源:Bloomberg、Politico)。
ウクライナ戦争が進展していく中で、同国の重要インフラの混乱を狙ったサイバー攻撃が続いています。国家の支援を受けた攻撃者がウクライナの国営通信企業とインターネットプロバイダーを攻撃したようで、今週初めに一部のユーザーが接続できなくなりました。ウクライナを支えている大規模な衛星ネットワークもサイバー攻撃を受けており、ヨーロッパの何千ものブロードバンド インターネット ユーザーに混乱をもたらしました。Viasat 社が攻撃されたのはロシアがウクライナに侵攻して間もない頃でしたが、最近になってようやく公表されました(情報源:ABC News、Reuters)。
Talos が発信している情報
- 重大な脅威に対する防御:主要な傾向分析
- Matt Olney(Talos 脅威阻止とインテリジェンスチーム)が語る、Colonial Pipeline 社への攻撃によって今なお続く影響
- 3 月 18 日~ 25 日の 1 週間における脅威のまとめ
- Transparent Tribe が新種のカスタムマルウェアでインド政府関係者を攻撃
Talos が参加予定のイベント
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:1c25a55f121d4fe4344914e4d5c89747b838506090717f3fb749852b2d8109b6
MD5:4c9a8e82a41a41323d941391767f63f7
一般的なファイル名:!!mreader.exe
偽装名:なし
検出名:Win.Dropper.Generic::sheath
SHA 256:5516d898970854dbab9e3a49aced96186f3e748a56ed2f7cd7809447b7dd5c1a
MD5:814358af9c54b6eb66333cd117f38423
一般的なファイル名:USPSSIBDSJDSS.zip
偽装名:なし
検出名:Win.Dropper.Upatre::hw
SHA 256:7cfdf65b1f93bd600a4e7cadbcfeccc634d0c34b5b098740af1cf2afa7c64b97
MD5:258e7698054fc8eaf934c7e03fc96e9e
一般的なファイル名:samsungfrp2021.exe
偽装名:なし
検出名:W32.7CFDF65B1F-85.TPD2.RET.SBX.TG34
SHA 256:dc6a484441c59a75fe586ea789a9637921b33dc86e3ac5b57fdb376c9f6e5d7e
MD5:94e1b019cc2720b7e33a94c2f643216f
一般的なファイル名:2012f643216f_1.exe
偽装名:なし
検出名:Win.Dropper.Generic::90.tpd2.ret.sbx.tg
本稿は 2022 年 03 月 31 日に Talos Group
Tags:
