Categories: 脅威リサーチ

脅威情報ニュースレター(2022 年 6 月 16 日):Cisco Live の 3 つのキーポイント

今週も脅威情報ニュースレターをお届けします。

Cisco Live の興奮がまだ冷めやりません。ご来場いただいた皆様と 1 年半ぶりに親交を深めることができて感無量でした。 

展示会場で数日間を過ごし、皆様とお話をさせていただいた中で、セキュリティを巡る状況や Cisco Live で関心を集めた事柄について、特に印象深かったことがいくつかありました。そこで、今年の Cisco Live で感じたことの中から特に取り上げておきたい点をいくつかご紹介したいと思います。編集者注:脅威情報ニュースレターは来週、夏休みをいただきます。発行はお休みさせていただきますのでご了承ください。

思い出すのも嫌な最悪の体験

今週は Cisco Secure Pub で簡単なプレゼンテーションをいくつか行いました。その多くは、Colonial Pipeline 社のランサムウェア攻撃、Log4JKaseya といった、多くの業界関係者が対応に追われた激動の日々を巡るものだったのですが、困ったことに、あの時期に味わったひどい体験のことは誰も思い出したくないのです。

プレゼンテーションでは、聴衆の皆様の多くが最悪の事態にどう備えるかという話をうなずきながら聞いていらっしゃいました。ただ、誰も好き好んで最悪の事態について話したいわけではありません。次の Log4J を予言する役回りなど誰も引き受けたくないのですが、残念ながら、いつかは必ずやってきます。インシデント対応計画やプレイブックなどの対策が重要であるのはそのためです。

専門家としてのキャリアの中で一番大変だった日のことを語るのは嫌なことかもしれませんが、その日は必ずやってくるので、覚悟を決めて準備を整えましょう。

口に出すのもはばかられる

重大インシデントと言えば、前回の Cisco Live 以来、どうやら重大なセキュリティ事件が数多く発生した模様です。重大事件が発生するとその話題で持ちきりになるのですが、会話の中では、「SolarWinds」や「Kaseya」といった言葉は声を潜めて話されるか、「あのとき」や「黒歴史」といった曖昧な表現に置き換えられていました。

事件から本当に教訓を学びたいのであれば、オープンかつ率直に話す必要があると思います。セキュリティについて、私は人にとやかく言わないように気を付けています。というのも、侵害は誰の身にも起こり得るからです。大切なのは、侵害を受けた人に恥をかかせるのではなく、学んだ教訓を隠さずにオープンに話し合って、次はもっとうまくやれるようになることです。

私たちは皆、こうした事件が起きたときに忙しく働き回り、ストレスを抱え、夜更かしをしました。それは問題ありませんし、そうしたことを話すのも問題ないはずです。たとえ関係者の耳に届いたとしても。

インターネットで置き換えられないものもある

未来がハイブリッドワークに向かっているのは間違いありません。私自身、オフィスに通勤するより在宅勤務をする方が好きな部類の人間なのですが、カンファレンスや展示会で得られる人とのつながりを Webex で得るのが難しいことは認めざるを得ません。

ミーティングや 1 対 1 のチェックインはオンライン会議プラットフォームでもうまく行えますが、初対面の方と直接会って個人的なつながりを得ることには特別な意味があるように思えます。今週 Talos のブースで働いていたときに、NFL チームのネットワーク運用を行っている方と会話をする機会がありました。私は NFL の大ファンですし、Cisco Talos インシデント対応チームも最近スーパーボウルや NFL ドラフトに協力していますので、その方の仕事や組織について根掘り葉掘り質問させていただきました。

このような経験は、残念ながらこれまでオンラインで得ることはできませんでした。その方とは、運用現場で起きていることや存在する問題点について情報を交わしただけでなく、NFL のオフシーズンのことも話しました。こんなことを言えば妻や上司、両親は驚くかもしれませんが、私は人と直接話したくてたまらなかったのです。

重要な情報

今月の Microsoft セキュリティ更新プログラムでは、重大度の高い脆弱性が 40 件公開されました。「緊急」と評価された脆弱性も 1 件あります。最も深刻な問題は CVE-2022-30136 です。これは、Windows ネットワーク ファイル システム(NFS)サービス(バージョン NFSv4.1)のリモートコード実行の脆弱性で、重大度スコアは満点に近い 9.8 点です。NFS に対して未認証の細工された呼び出しを行うことでこのネットワークの脆弱性をエクスプロイトすることができ、リモートコードが実行される危険性があります。この脆弱性を軽減するには、脆弱性のあるバージョン NFSv4.1 を無効にしてから、NFS サーバーを再起動するかマシンを再起動してください。

注意すべき理由

今月のセキュリティ更新プログラムには、数週間前に公開された Follina という重大な脆弱性に対する修正も含まれています。現在、攻撃者がこれを積極的にエクスプロイトしてマルウェアを配布していますので、直ちにパッチを適用することが特に重要です。また、今回のリリースをもって、25 年以上使用されてきた Microsoft 社のブラウザである Internet Explorer のサポートが正式に終了しました。火曜日の時点で、Microsoft 社はほとんどのバージョンの Explorer の公式サポートを終了し、IE デスクトップ アプリケーションを無効にしています。Explorer をお使いの方は、Microsoft Edge(または別の Web ブラウザ)に切り替えるようにしてください。

必要な対策

Talos ではこれらの脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。改めて言うまでもないことですが、すべての Microsoft ユーザーはお使いの製品をできるだけ早く更新する必要があります。

その他の注目情報

米国の防衛請負業者である L3Harris 社が、イスラエルのテクノロジー企業である NSO Group 社の買収交渉を行っています。NSO Group 社は Pegasus スパイウェアを作成して物議を醸していました。Pegasus は、対立関係にある活動家、ジャーナリスト、政府関係者などを攻撃者が追跡するために使用されていることが知られています。この買収交渉に対してプライバシー専門家や米国の安全保障の担当者が警鐘を鳴らしています。先制措置を講じてあらゆる種類の取引を阻止するよう米国政府に求めている人もいます。NSO Group 社は現在、「米国の外交政策および国家安全保障上の利益に反する」活動を行っているとして、米国のブラックリストに登録されています(情報源:The GuardianHaaretz)。

Apple 社が先週、iPhone 用の iOS オペレーティングシステムの最新バージョンを公開しました。これにはいくつかの新しいセキュリティ機能と改善が含まれています。ユーザーはセキュリティアップデートを導入するためにオペレーティングシステムのスタンドアロンバージョンをダウンロードする必要がなくなり、パッチが自動的にインストールされるようになります。もう 1 つの新機能として、送信した iMessage の編集および送信取り消し機能があります。ただし、セキュリティ専門家やプライバシー専門家は、ストーカー、ハラスメントの加害者、虐待者が被害者にメッセージを送信した後、この機能を使用してメッセージの痕跡を隠すことができると懸念しており、Apple 社に機能変更を求める声も上がっています(情報源:9To5MacMac Rumors)。

検出が非常に困難な Linux マルウェアが新たに発見されており、ネットワーク上で静かな広がりを見せています。セキュリティ研究者はこの攻撃を「Symbiote」と呼んでおり、攻撃が実際に行われたことがすでに確認されています。Symbiote は実行中の Linux プロセスに感染して、ユーザーのログイン情報を窃取し、ルートキット機能を取得し、リモートアクセス用のバックドアを設置します。いったんプロセスに感染すると、一般的なセキュリティソフトウェアでは検出が困難になる可能性があります。そもそもこの攻撃を検出できるのかを疑問視する研究者もいます(情報源:ThreatPostArs Technica)。

Talos が発信している情報

Talos が参加予定のイベント

BlackHat U.S. 2022 8 6 日~ 11 日)
ネバダ州ラスベガス

DEF CON U.S. 2022 8 11 日~ 14 日)
ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD52c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02

SHA 256b2ef49a10d07df6db483e86516d2dfaaaa2f30f4a93dd152fa85f09f891cd049
MD5 067f9a24d630670f543d95a98cc199df
一般的なファイル名:RzxDivert32.sys
偽装名:WinDivert 1.4 driver
検出名:W32.B2EF49A10D-95.SBX.TG

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD58c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201

本稿は 2022 年 06 月 16 日に Talos Group のブログに投稿された「Threat Source newsletter (June 16, 2022) — Three top takeaways from Cisco Live」の抄訳です。

Share
TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。

Comments are closed.