今週も脅威情報ニュースレターをお届けします。
誰もが次の「Netflix」的サービスを生み出そうとしているようです。たとえば Xbox の Game Pass は「ビデオゲームの Netflix」であり、Rent the Runway は、おしゃれな服の着回しを提案する「ファッションの Netflix」です。
そして攻撃者は今、「マルウェアの Netflix」を目指そうとしています。あらゆるカテゴリのマルウェアで、ある種の「as a Service」化の傾向が見られるようになりました。世界最大規模のランサムウェアグループの中には、自グループのランサムウェアを「サービスとして」展開しているところもあります。これにより、小規模なグループでも、料金を支払えば大規模なグループのツールを使用できるようになります。
Talos は、情報窃取マルウェアに関する最新のレポートで、「サービスとしての情報窃取マルウェア」の人気が高まっていることを指摘しました。また Talos の研究者は、料金を支払えばサードパーティのサイトをコマンドアンドコントロールとして機能させることのできる新たな C2aaS(サービスとしての C2)プラットフォームも発見しました。それが Dark Utilities というプラットフォームですが、Netflix と同様、複数のレイヤのツールとマルウェアを選択できるようになっています。これは、非常に懸念される動きだと思います。というのは、コンピュータの基本的な知識がある人なら誰でも、比較的簡単にサイバー攻撃を実行できるようになるからです。Netflix のおかげで、私の祖母のような人でも、視聴したいものをすべて 1 か所で見つけられるようになりました。『ナイトライダー』のような懐かしの番組から『シュレック・ザ・ミュージカル』のライブ配信まで、あらゆるものを簡単に見ることができます。
インターネットにアクセスできる人なら誰でも、異様なダークウェブ上のサイトにログインして、その日の気分にあったものを何でも見つけ出せるようになるまで、あとどのくらい時間がかかるでしょうか?実際のダークウェブを一度も利用したことのなかった人がダークウェブでツールを入手したという話は、すでに実例が存在するのだとしても私は把握していません。ですが、いずれは攻撃者も気を利かせて、Netflix 並みにおしゃれな Web サイトを提供するかもしれません。そうなれば、サイトからのおすすめをスクロールして情報窃取マルウェアの Redline をチョイスした後で、夜にくつろぎながら Conti のランサムウェアを展開するようなことも可能になります。
すべてが「サービスとして」実行されるということは、マルウェアを独自に作成するためのコーディングスキルが必ずしも必要ではなくなるということです。現金さえあれば、すぐに使用できるツールをオンラインで購入し、誰に対しても展開できるようになります。
マルウェアの場合、Netflix で番組を選ぶのと同じくらい簡単になるとは限りません。ただ、Netflix がスキル不足を補うという点に注目するのは、飛躍しすぎた話ではありません。私の祖母は、ケーブルチャンネルをスクロールしたり DVD を借りるために車で図書館まで行ったりしなくても、Netflix を使って見たい番組を見つけられるようになりました。それと同様に、「サービスとして」のランサムウェア攻撃ならば、PowerShell の使い方は分かるという程度の人でも展開できるようになるのです。
この問題に対する簡単な解決策となると、Talos が推奨している従来型の検出と防止のほかにはまったく思い浮かびません。「サービスとして」のプラットフォームをインターネットから断絶させる方法は、法執行機関が直接介入する以外にはほとんど存在しません。ということは、「サイバーセキュリティツールの Netflix」の構築に着手する必要があるということなのかもしれません。
重要な情報
サイバー犯罪は、これまでホワイトカラーの犯罪行為とされていて、高い知識を持つ人が悪事に手を染めているのだと考えられていました。しかし、テクノロジーは今や私たちの生活に深く浸透しており、スマートフォンと欲望さえあれば誰でもサイバー犯罪を始められます。暗号通貨を巡っては合法/非合法を含むさまざまな活動が展開されていますが、その成長性や匿名性が犯罪者の注目を集めており、伝統的な犯罪組織で活動してきた犯罪者が今ではサイバー犯罪や個人情報の窃取を行うようになっています。Talos の新しい調査によると、小物の犯罪者が続々とフィッシングやクレジットカード詐欺などのオンライン犯罪に手を染めるようになっています。そうした犯罪者は従来のような「実践型」の犯罪行為を好む傾向があります。
注意すべき理由
自分が住んでいる地域で「暴力犯罪」が増加していることを示すグラフをローカルニュースで見たら誰もが動揺します。であれば、直近数年間のサイバー犯罪の増加と、今後さらに増加する可能性についても同様に心配する必要があります。前述したように、「サービスとして」のマルウェアが提供されたことで、インターネットにアクセスできる人なら誰でも、簡単にサイバー攻撃を実行してランサムウェアを展開できるようになっています。誰かから数千ドルだまし取ろうとすることも可能です。
必要な対策
特に地方レベルの法執行機関は、一般市民を保護する任務を負っている以上、犯罪者に応じて進化する必要があります。今後犯罪者が保身や Tor のようなテクノロジーを意識するようになれば、ますます逮捕が難しくなっていきます。この機会に、サイバーセキュリティとインターネットの安全性について、ご家族と話し合っておくとよいでしょう。また、古典的な「入院していてお金が必要なんだ」といったよくあるタイプの詐欺について、ご家族に注意を促しておきましょう。
その他の注目情報
Microsoft 社の月例のセキュリティ更新プログラムで、Microsoft Support Diagnostics Tool(MSDT)の新たなゼロデイ脆弱性が注目を集めました。CVE-2022-35743 と CVE-2022-34713 は、MSDT のリモートコード実行の脆弱性です。ただし、実際にエクスプロイトされているのは CVE-2022-34713 のみで、こちらの方がエクスプロイトされる「可能性が高い」と Microsoft 社は評価しています。MSDT は、6 月に「Follina」というゼロデイ脆弱性の標的になっていました。同社の全製品で 120 件を超える脆弱性に対し、セキュリティ更新プログラムが適用されました。また Adobe 社も、火曜日に 25 件の脆弱性を修正するアップデートをリリースしました。主に Adobe Acrobat Reader の脆弱性です。重大な脆弱性の 1 つは、任意コードの実行とメモリリークにつながる可能性があります(情報源:Talos ブログ、Krebs on Security、SecurityWeek)。
今週初め、英国の NHS 111 サービス(非緊急医療電話相談)の一部が、マネージド サービス プロバイダーに対するサイバー攻撃の疑いにより中断されました。英 NHS(国民健康保健制度)は、一部の緊急通報が遅れる可能性があるほか、健康診断の予約を取れない場合もあると住民に警告しました。攻撃の標的となった Advance 社は、患者データの盗難の可能性を調査していると述べています。攻撃は木曜日の朝の時点で食い止められています。ただし、少なくとも 9 つの NHS メンタルヘルストラストが、脆弱性の高い患者の記録に最長 3 週間にわたりアクセスできなくなる可能性があります(情報源:SC Magazine、Bloomberg、The Guardian)。
ネブラスカ州で、18 歳の女性とその母親が薬による中絶を行った疑いで起訴されています。根拠となったのは、Facebook のメッセージの情報です。裁判所の記録によると、州の法執行機関が Facebook の親会社である Meta 社に捜査令状を発行し、起訴された 2 人について同社が保持していたメッセージをはじめとするすべての個人データを要求しました。メッセージの内容は 2 回目の捜査令状の根拠として使用され、コンピュータとデバイスがさらに押収されました。本事件の捜査は、米国最高裁判所がロー対ウェイド判決を覆す前に始まっていますが、この訴訟により、デジタルプライバシーとデータストレージに改めて注目が集まっています(情報源:Vice、CNN)。
Talos が発信している情報
- BlackHat の『DarkReading News Desk』
- 『Talos Takes』エピソード#107:情報窃取マルウェアの基礎知識
- 7 月 29 日から 8 月 5 日の 1 週間における脅威のまとめ
- 小者化が進むサイバー犯罪の状況
- 攻撃者の注目を集める Dark Utilities の C2 サービス
Talos が参加予定のイベント
USENIX Security ’22 (2022 年 8 月 10 日~ 12 日)
ネバダ州ラスベガス
DEF CON (2022 年 8 月 11 日~ 14 日)
ネバダ州ラスベガス
Security Insights 101 ナレッジシリーズ (2022 年 8 月 25 日)
オンライン
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5:8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201
SHA 256:168e625c7eb51720f5ce1922aec6ad316b3aaca838bd864ee2bcdbd9b66171d0
MD5:311d64e4892f75019ee257b8377c723e
一般的なファイル名:ultrasurf-21-32.exe
偽装名:なし
検出名:W32.DFC.MalParent
本稿は 2022 年 08 月 11 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 11, 2022) — All of the things-as-a-service」の抄訳です。