脅威情報ニュースレター(2022 年 4 月 21 日):アプリのサイドローディングが安全かどうかはユーザー次第
今週も脅威情報ニュースレターをお届けします。
ことはよくご存知かと思います(毎週フォートナイトを取り上げるつもりはありませんのでどうぞご安心ください)。
この訴訟がきっかけとなって、アプリのサイドローディングや、1 台のモバイルデバイスで複数のアプリストアを利用できるようにすることについて大きな議論が巻き起こっています。フォートナイトの場合は、Epic Games Store を Apple の iOS で実行できるようにして、有料ゲームのダウンロードやゲーム内課金などを行えるようにすべきだというのが Epic 社の見解です。
また EU は、スマートフォンメーカーがあらゆるアプリストアを自社のデバイスで受け入れるように義務付ける新しい法律を検討しています。ただし、これにはセキュリティ上の懸念がいくつか伴います。実際、攻撃者がサイドローディングアプリを利用してマルウェアを配布しているケースがいくつか確認されています。そうしたマルウェアの中には、ユーザーがデバイスで行ったあらゆる操作を追跡するものもあります。
Apple のティム・クック CEO は最近、EU のデジタル市場法案や米国での同様の動きに反対の立場を示しています。同氏の言い分はもっともです。攻撃者が独自にアプリストアを立ち上げ、正規のものに見せかけてマルウェアアプリやトロイの木馬化したアプリをばらまく危険性があるのですから。攻撃者はすでに現在の主要アプリストアを回避する方法を見出しており、悪意のあるアプリをいつでも配布できる状況です。
しかし結局のところ、サイドローディングが安全かどうかはユーザー次第ということになるでしょう。これは現在のアプリストアも同様です。Epic Games Store などのあらゆるアプリストアには独自のデータ プライバシー ポリシー ルールやアプリのレビュープロセスがあります。サイドローディングが許可されるようになった場合には、そうした新しいルールをストアが設けることになるでしょう。アプリをサイドローディングしても必ずしも悪意や危険にさらされるとは限りません。ただし、出所がよく分からないアプリをダウンロードしたり、ストアのポリシーや沿革をよく調べていなかったりすると痛い目に遭う可能性があります。
関連法案が施行されても、セキュリティが終焉のときを迎えハルマゲドンが起きるわけではありませんが、アプリをダウンロードする際はとにかく慎重にならざるを得ないでしょう。Apple App Store であれ Google Play であれ、あらゆる場所から新しいアプリをダウンロードするときは、次の点に注意してください。
- アプリが検証済みであることを確認します。Android スマートフォンの場合は、「Play プロテクトにより検証済み」という小さなバッジが表示されます。
- アプリの説明に記載されている連絡先情報を見て、ダウンロード元が合法であるか確認します。
- 何が起こるか分からないので、アプリ内のポップアップ広告を「非表示にする」ためにクリックするのは決してお勧めできません。
- スマートフォンの設定を使用して、アプリが異常な量のデータを使用していないかどうかを確認します。
- スマートフォンで各アプリのプライバシー設定をカスタマイズします。位置情報などの機密情報へのアクセスを許可するのは、本当に信頼できるアプリや、適切に機能するために必要な場合のみにしてください。
重要な情報
ZingoStealer というマルウェアが新たに登場しましたが、早くも所有者が変わろうとしています。これは Haskers Gang の最新マルウェアですが、Talos が把握した頃にはすでに売りに出されており、別のグループに所有権を移すことが発表されていました。ZingoStealer の実行ビルドの配布やデータ漏洩には Telegram のチャット機能が利用されています。ログイン情報などの機密情報や暗号通貨ウォレットの情報を盗み出したり、標的のシステムで暗号通貨をマイニングしたりする機能を備えているため、所有者が誰になろうとこのマルウェアには注意が必要です。
注意すべき理由
このマルウェアに感染すると、RedLine などの別の情報窃取マルウェアや XMRig 暗号通貨マイナーを攻撃者がダウンロードできるようになります。XMRig は標的のコンピューティング能力を奪い取り、標的に電気代を肩代わりさせます。この情報窃取マルウェアは無償で提供されており、複数の攻撃者が使用している可能性があります。Talos が初期調査を進めている間にすでに所有者が変わっており、今後の展開が見通せない状況になっています。ゲームのチート、キージェネレータ、海賊版ソフトウェアを装ってロシア語圏の標的を感染させる攻撃が確認されています。
必要な対策
Talos はこのマルウェアについて従来のカバレッジを大量にリリースしています。それらについては Talos のブログ記事をご覧ください。このマルウェアを回避するには、適切な保護を実施することが重要です。また、上にも書きましたが、何かをダウンロードするときはダウンロード元を常に再確認することが重要です。この攻撃者は、Telegram チャットや Discord サーバーを悪用して偽のビデオゲームチートを拡散しています。ゲームの Mod をダウンロードする場合は、信頼できる正規のストアで提供されているものであることを確認してください。
その他の注目情報
米国の安全保障当局は、ロシア政府の支援を受けた攻撃者がサイバー攻撃を仕掛けてくる可能性があるとして引き続き警戒を呼び掛けています。サイバーセキュリティ インフラストラクチャ セキュリティ庁長官のジェン・イースターリー氏が週末の『60 Minutes』に出演し、連邦機関、企業、個人は大規模な攻撃に見舞われることは避けられないという前提に立って準備態勢を整える必要があるというバイデン政権のメッセージを強調しました。「ロシアが攻撃を計画していることを示す情報が各方面から集まりつつあります。侵害を受けることは避けられないと思っていいでしょう。インシデントや攻撃は発生するものと思って準備を整える必要があります」と同氏はインタビューで語っています(情報源:CBS News、Politico)。
Oracle 社は今週、四半期ごとの定例セキュリティアップデートをリリースして、広範な製品スイートで発見された 520 件に及ぶ脆弱性を修正しました。「緊急」と評価された脆弱性に対するパッチは 70 件を超えており、そのうち 3 件は重大度スコアが満点の 10 と評価されています。同社は今四半期もパッチの適用を強く促すメッセージを発しており、パッチを適用していなかったために公開済みの Oracle の脆弱性が攻撃者にエクスプロイトされる事例が発生しているとしてユーザーに注意を呼び掛けました。パッチの件数が最も多かった製品は Oracle Fusion Middleware で、54 件の脆弱性が修正されており、そのうち 41 件は認証なしでリモートからエクスプロイトされる危険性があります(情報源:ZDNet、Oracle)。
コンピュータメーカーの Lenovo 社は、同社の何十ものラップトップに攻撃に対する脆弱性が存在しており、ハードドライブの交換やオペレーティングシステムの再インストールを行っても問題が解決しない場合があると注意喚起しました。同社が今週公開した 3 件の脆弱性のうち 2 件は、Unified Extensible Firmware Interface(UEFI)ドライバに関するものです。製造工程でのみ使用されるはずだったドライバが誤って BIOS イメージに組み込まれてしまい、製品として出荷されてしまいました。数機種については、開発サポートサイクルがすでに終了しているため、問題を修正するための適切なパッチが提供されていません(情報源:Dark Reading、PC World)。
Talos が発信している情報
- 『Beers with Talos』エピソード#120:攻撃者が編み出す MFA の新たな回避方法
- TeamTNT が AWS と Alibaba 社を攻撃
- 4 月 8 日~ 4 月 15 日における脅威のまとめ
- 『Talos Takes』エピソード#92:Kenna の基礎知識 — CVE の読み方
Talos が参加予定のイベント
RSA 2022(2022 年 6 月 6 日 ~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5:3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:1a234656f81e870cdeb0e648a6b305a41452c405cca21124de26b54f79d55ad0
MD5:10f1561457242973e0fed724eec92f8c
一般的なファイル名:ntuser.vbe
偽装名:なし
検出名:Auto.1A234656F8.211848.in07.Talos
本稿は 2022 年 04 月 21 日に Talos Group
Tags:
