今週も脅威情報ニュースレターをお届けします。
最近は多要素認証(MFA)の義務化の動きが進んでいます。先日も GitHub が、ソースコードをアップロードするすべてのユーザーは 2023 年までに MFA に登録してアカウントにログインする必要があると発表しました。また Google も「世界パスワードの日」の一環として、すべてのユーザーに近々 MFA を義務付けることを発表しています。
しかし、MFA の義務化を悠長に待つのも、導入したからといって安心するのも危険です。
誤解しないでいただきたいのですが、MFA はサイバー攻撃などのネットワーク侵害を防ぐのに欠かせない重要な防御策の 1 つです。Talos のほぼすべてのブログ記事や、私が出演している『Talos Takes』のエピソードにも MFA は登場します。
MFA の義務化を先延ばしにしていても、策を練るための時間を攻撃者に与えてしまうだけです。SMS メッセージを通じて送信される MFA コードを傍受する方法を攻撃者がすでに見つけていることは去年のエピソードで Wendy Nather と話しました。
また『Beers with Talos』の最新エピソードでは、Talos インシデント対応チームの Nate Pors が「プロンプト爆撃」について語っています。MFA のプロンプトを煩わしいくらい表示させて標的に「許可する」をクリックさせる侵入手法のことです。
主要なサイトやネット上の重要なアカウントで MFA が義務付けられるのを待っている間に、MFA を回避する攻撃手法がさらに編み出されていくでしょう。すでにワンタイムコードは時代遅れになり始めており、FIDO や証明書ベースの PKI 認証に取って代わられつつあります。数年前の標準プラクティスを導入して安心せずに、MFA の未来に目を向けるべき時が来ているように思われます。
おそらくゼロトラストで未来のセキュリティを実現していくのが最善の方法になるでしょう。米国政府もすでにゼロトラストを検討していますが、皆様もご存知のようにお役所というのはどんなレベルでも対応に時間がかかります。
それまでの間は、MFA の義務化ができる限り早く実現されるように全員で取り組む必要があります。確かに手間がかかるかもしれませんが、将来のさまざまな悩みの種を取り除いてくれます。すでに MFA を導入している場合は、SMS ベースの認証ではなく、アプリのプッシュ通知を利用してください。また、いつもお伝えしていますように、ユーザー教育が重要になります。心当たりがない限り、MFA のプロンプトが表示されても「許可する」をクリックしてはいけないことをユーザーに教えてください。夜中の 3 時にプロンプトのせいで目が覚め、煩わしく感じたとしてもです。
重要な情報
Mustang Panda という攻撃グループが最近、多くの人にとっての外交上の常識を破ってロシアの組織を標的にし始めました。同グループは、中国政府の支援を受けていると長い間考えられてきました。これまでのところ、ロシアのウクライナ侵攻に関して中国はロシア批判を控えており、西側諸国がこの数か月間に発動したさまざまなロシア制裁にも参加していません。今回の攻撃は、Mustang Panda の攻撃パターンから外れているように見えますが、この長年活動してきた攻撃グループが暗躍を続けていることも示しています。
注意すべき理由
Mustang Panda は長年にわたって戦術とインプラントを進化させながらさまざまな組織や機関を標的にしてきました。欧州連合、米国、アジア、ロシアをはじめとする疑似同盟国など、3 大陸のいくつもの政府が攻撃を受けています。できる限り長期間アクセスを確立してスパイ活動や情報窃盗を行うことを目的としており、首脳会議やカンファレンスに関連する名前を付けたファイルをアジアやヨーロッパで使用しています。
必要な対策
大物狙いのランサムウェア攻撃が続いている時期でもあることから、Talos では Mustang Panda の攻撃の動向を注視しています。同グループが攻撃を避ける相手はほとんどいません。新たに提供された Snort ルールで、Mustang Panda がよく使用する PlugX マルウェアのダウンロードや実行を防止できます。また、同グループの攻撃や既知のエクスプロイトを防ぐためのさまざまな保護策も提供されています。
その他の注目情報
F5 社の BIG-IP ソフトウェアで発見された「緊急」の脆弱性が活発にエクスプロイトされており、セキュリティコミュニティを騒がせています。BIG-IP は、ロードバランサやファイアウォールとして使用できるアプライアンス製品シリーズです。ネットワークとの間で送受信されるデータを検査および暗号化することもできます。この脆弱性は重大度スコアが 10 点中 9.8 点という深刻なものですが、それに加えて、このソフトウェアの 16,000 を超すインスタンスがオンラインで検出されており、世界有数のいくつもの大企業がこのソフトウェアを使用していることが騒ぎに拍車をかけています。このソフトウェアはネットワーク境界に近接して使用されており、HTTPS で保護されたトラフィックを復号して処理することが多いため、攻撃者にエクスプロイトされるとさらなる攻撃を受ける危険性があります(情報源:Talos ブログ、ZDNet、Ars Technica)。
ロシアのウクライナ侵攻が始まる直前の時期に米国の衛星通信会社にサイバー攻撃を仕掛けたとして、西側諸国の複数の政府がロシア政府の支援を受けた攻撃者を公式に非難しました。EU、英国、米国は、2 月 24 日の侵攻開始とともに Viasat 社のヨーロッパのネットワークが攻撃を受けたというレポートをそれぞれ独自に発表しています。米国国務省の声明によると、「この攻撃活動によってウクライナとヨーロッパの VSAT(Very Small Aperture Terminal)が機能停止する事態に陥り」、「とりわけ、風力タービンをサポートする端末や、インターネットサービスを民間に提供する端末に被害が及んだ」とのことです(情報源:米国国務省、NBC News)。
Microsoft 社が月例セキュリティ更新プログラムで 70 件を超す脆弱性を公開しました。今月は 7 件の不具合が「緊急」と評価されています。サポートされているすべてのバージョンの Windows に影響を与えるゼロデイ脆弱性も修正されています。また、Magnitude Simba Amazon Redshift ODBC ドライバの脆弱性も公開されています。これは Windows セルフホステッド統合ランタイムサービスに影響を与えます。Adobe 社も 5 件のセキュリティ情報を火曜日に発表しており、Adobe CloudFusion、InDesign、Character Animator、Framemaker などのソフトウェアにおける 18 件の脆弱性が公開されています。ただし Adobe 社によると、これらの問題はいずれも、実際に活発にエクスプロイトされているわけではないようです(情報源:Talos ブログ、Adobe)。
Talos が発信している情報
- 20 周年を迎えた ClamAV
- バングラデシュも Bitter APT の標的に
- 注目の脆弱性:Alyac ウイルス対策プログラムにウイルススキャンが停止されてサービス拒否に陥る危険性がある脆弱性を発見
- Talos インシデント対応チームがドイツ BSI Advanced Persistent Threat 対応リストに追加
- 4 月 29 日~ 5 月 6 日における脅威のまとめ
Talos が参加予定のイベント
NORTHSEC 2022(2022 年 5 月 19 日~ 20 日)
カナダ、モントリオール
RECON(2022 年 6 月 3 日~ 5 日)
カナダ、モントリオール
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:1b94aaa71618d4ecba665130ae54ef38b17794157123675b24641dc85a379426
MD5: a841c3d335907ba5ec4c2e070be1df53
一般的なファイル名:chip 1-click installer.exe
偽装名:chip 1-click installer
検出名:Win.Trojan.Generic::ptp.cam
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名:DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
本稿は 2022 年 05 月 12 日に Talos Group のブログに投稿された「Threat Source newsletter (May 12, 2022) — Mandatory MFA adoption is great, but is it too late?」の抄訳です。