Categories: 脅威リサーチ

脅威情報ニュースレター(2022 年 7 月 14 日):空港の保安検査でセキュリティリスクを冒してまで身分証アプリを利用すべきか?

今週も脅威情報ニュースレターをお届けします。

仕事で会議に出向いたり他州で休暇を過ごしたりするのがまた当たり前になってきたようです。私も以前のように飛行機を定期的に利用するようになっています。コロナ禍が猛威を振るっていたときは 1 年半ほど飛行機の利用を控えましたが、すでに 2 回目のワクチン接種を受けており、N95 マスクも必要なときに確実に手に入るようになりました。

空の旅をまた楽しめるようになったわけですが、1 点だけどうしても楽しめないことがあります。それは空港です。行列が果てしなく続き、荷物をチェックインするだけで延々と待たされ、コーヒー 1 杯飲むのに 6 ドルもかかります。朝 5 時に営業している飲食店は Subway しかないのですから仕方ありません。

自分の個人情報を 1 つのアプリにまとめて、空港の手続き全体を簡単に済ませたいという誘惑に駆られるのは確かです。私が住んでいるメリーランド州では、先日から Apple ウォレットで州の身分証を提示できるようになっており、空港で使用することができます。また、アメリカン航空が独自の旅行アプリを提供し始めました。ユーザーは運転免許証、パスポート、TSA Pre-Check などを 1 か所にまとめられるので、よりスムーズに飛行機を利用できます。他の州も身分証のデジタル化を進めると表明しています。しかし、そうしたアプリにはセキュリティリスクがあります。TSA(米国運輸保安局)が実施している保安検査の列に並んでいるときに身分証の実物を取り出す手間が省けるというだけでは、利用する気にはなれません。コロナ禍では、多くの州が独自の追跡アプリを提供して、感染した可能性があるユーザーに警告できるようにしました。最終的にはワクチン接種状況も記録されるようになりました。

それらのアプリはすぐに攻撃者の餌食になり始めました。ノースダコタ州が運営するアプリは、ユーザーの位置データや個人情報を広告主に送信してしまい自らが定めたサービス規約に違反するという失態をのっけから冒しています。またペンシルベニア州では、サードパーティの接触追跡サービスでデータ漏洩が発生しており、最大で 72,000 人の個人情報が影響を受けた可能性があります。

「本当に問題ないのか?」という言葉は、セキュリティや安全に関わるほぼすべてのことに当てはまります。

これらのアプリの開発者は善意を尽くしているに違いありません。しかし、アプリ制作をサードパーティに丸投げする行政機関のせいで曖昧な点が多いうえに、官僚主義の要素が次々に足され、挙句の果てに、次の足掛かりを築こうとする攻撃者に隅々まで研究されてしまうとなると、仕組みに不明な点が多すぎて安心して利用できません。

デジタル身分証を携帯電話に常に保持できるのは確かに魅力的です。そうすれば、空港で搭乗券や身分証を取り出すのに 30 秒ほどもたついてしまい、後ろの旅行者から白い目で見られることも次回からなくなるでしょう。

ですが、これは利便性と引き換えにプライバシーを蔑ろにしがちな消費者のよい例です。実際、利便性がどれだけ向上しているのかも私には疑問です。

重要な情報

Transparent Tribe APT の攻撃活動が止まりません。Talos ではこの攻撃グループを 1 年以上追跡してきましたが、またもや標的を変えて、今度はインドの大学生を攻撃しています。同グループはこれまで、この地域の政府機関や政府関連企業を標的にしてきており、機密情報の入手を目的としている可能性があります。今回の攻撃では、Transparent Tribe が好んで使用する CrimsonRAT が展開されており、被害者のネットワークへの長期的なアクセスが確立されています。

注意すべき理由

セキュリティに関わるすべての人は、実際に攻撃される可能性があるかどうかに関係なく、Transparent Tribe を注視する必要があります。当初はインド亜大陸で活動するあまり知られていないグループでしたが、Talos が継続的に追跡するまでに勢力を伸ばしており、この数か月で標的の範囲を広げています。同グループが好んで使用する CrimsonRAT マルウェアに攻撃されると、スクリーンショットを撮影されたり、キーストロークを記録されたり、エンドポイントで特定のプロセスを実行されたりして、機密情報が窃取される危険性があります。

必要な対策

このような攻撃グループは明確な目的を持って活動しているため、警戒を怠らないようにする必要があります。リスク分析アプローチに基づいた多層防御戦略には最高の予防効果がありますが、強力なインシデント対応計画で常に補完する必要があります。インシデント対応計画は机上の演習でテストするだけでなく、攻撃者との実際の攻防で試されるたびに見直し改善しておくことが重要です。また、このグループの戦術やツールから保護するための Snort ルールや ClamAV シグネチャが複数提供されています。

その他の注目情報

Predatory Sparrow というグループが、イランの製鉄所に対して一連のサイバー攻撃を行ったと発表しました。この攻撃によって工場の 1 つで火災が発生しました。同グループは約 20 GB のドキュメントも破棄しており、ドキュメントには、それらの製鉄所がイラン革命防衛隊とつながりがあることを示す情報が含まれていたと主張しています。また、Telegram のページを立ち上げて次のようなメッセージを投稿しています。「これらの企業は国際社会から制裁を受けているが、困難に陥りながらも事業を継続している。今回のサイバー攻撃は、罪のない人々に被害を与えないよう慎重を期して行った」。Predatory Sparrow は 2021 年にもイランの鉄道システムと国営ガソリン配送センターを標的にして攻撃を行っています(情報源:CyberScoopYahoo!BBC)。

米国商務省の国立標準技術研究所(NIST)が、量子コンピューティングの脅威に耐えることができるとする暗号化アルゴリズムを 4 つ選定しました。2 年後には新しい標準が登場する見通しとなっています。量子コンピューティング技術はさまざまな国で開発が進められています。現在使用されている暗号化方式を突破する能力を備えているため、それに耐えられる暗号化方式が求められていました。新しい暗号化標準が策定されたら、企業はそれらの導入に努めるべきですが、絶対に導入しなければならないわけではありません。切り替えに向けた準備として、現在の公開キー暗号化標準を使用しているアプリケーションのリストを作成することをお勧めします(情報源:VentureBeatDarkReadingWired)。

Apple 社が、新しいロックダウンモードを同社の主要なオペレーティングシステムに導入すると発表しました。この機能は、スパイウェア攻撃を受けている被害者が攻撃に対応するのに役立ちます。ロックダウンモードを有効にすると、デバイスの特定の機能(メッセージの添付ファイル、共有アルバム、モバイルデバイス管理など)が無効になります。そうした機能は、攻撃やリモートモニタリングに対して脆弱である可能性があります。今回の発表の背景には、政府機関がスパイウェアを使用して著名なジャーナリスト、政治家、活動家を攻撃する事例が増えていることがあります。Apple 社は、ロックダウンモードの脆弱性を発見した人に最高 200 万ドルの報奨金を与えるとしています(情報源:CNETApple)。

Talos が発信している情報

Talos が参加予定のイベント

A New HOPE2022 7 22 日~ 24 日)
ニューヨーク市

BlackHat U.S. 2022 8 6 日~ 11 日)
ネバダ州ラスベガス

DEF CON U.S. 2022 8 11 日~ 14 日)
ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID001.exe

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256bd517b0695921df15586f2e81f970313112d008f52955502194cdf44a227a664

MD5 aa367b2ef077ffd51bf0597237ef513e

一般的なファイル名: 1302323352.exe

偽装名:なし

検出名: W32.DFC.MalParent

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645

MD52c8ea737a232fd03ab80db672d50a17a

一般的なファイル名: LwssPlayer.scr

偽装名:梦想之巅幻灯播放器

検出名:Auto.125E12.241442.in02

SHA 25691e994229a7c8fdd899ce9b961516179da4c41be0818b5f07f07e4f4b4ebf28e

MD5 a7742a6d7d8b39f1a8cdf7f0b50f12bb

一般的なファイル名:wrsanvs.exe

偽装名:なし

検出名:W32.Auto:91e994229a.in03.Talos

 

本稿は 2022 年 07 月 14 日に Talos Group のブログに投稿された「Threat Source newsletter (July 14, 2022) — Are virtual IDs worth the security risk of saving a few seconds in the TSA line?」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。