Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター（2022 年 8 月 18 日）：なぜロックダウンモードをスマートフォンのデフォルト設定にしないのか？

TALOS Japan
2022年8月30日

今週も脅威情報ニュースレターをお届けします。

データプライバシーを巡る状況に暗雲が立ち込める中、アプリ開発者やデバイスメーカーは、ユーザーの個人情報を確実に保護するための新しい方法を模索しています。ユーザーはいつものとおり、機能が提供されたら有効にすればよいだけです。

Apple 社は最近、同社の iPhone に搭載されている iOS オペレーティングシステムに新しいロックダウンモードを導入すると発表しました。この機能を有効にすると、モバイルデバイスがスパイウェアの標的になった場合に悪用される可能性があるさまざまな機能が無効になります。スパイウェアに対する懸念は世界中で高まっています。特に悪名高いのが NSO Group の Pegasus ツールです。

ロックダウンモードを有効にすると、攻撃者がスマートフォンの特定の機能にアクセスできなくなります。また音声認識や顔認識などの重要な API へのアクセスもブロックされます。音声認識や顔認識は比較的簡単にバイパスできることが調査によって判明しています。

ロックダウンモードのレビューを行った TechCrunch の Zack Whittaker 氏は次のように述べています。「ロックダウンモードで iPhone を使用してみましたが、最初に機能が発表されたときに予想したほど大きな制約を受けたりイライラしたりすることはありませんでした」。Android は 2018 年に同様のモードをリリースしていますが、その機能は限定的です。ロックダウンモードを有効にするとデバイスの指紋リーダーと顔 ID スキャンが無効になり、PIN、パスワード、パターンのみにログイン方法が制限されます。ただし、ユーザーが再ログインするとこの機能はすぐに無効になるので、毎回手動で有効にする必要があります。

個別のアプリも独自の措置を取り始めています。たとえば生理日管理アプリの Flo は最近、新しい匿名モードを発表しました。このモードを使用すると、個人データをアプリから完全に削除できます。

こうした機能は標準搭載すべきです。それだけではなく、デフォルト設定は逆にした方がよいと思います。GDPR のおかげでブラウザ Cookie が規制されるようになったのと同様に、この種のモードはユーザーがオプトインするのではなくオプトアウトするようにすべきでしょう。実現する可能性は低いかもしれませんが、デバイスメーカーやアプリ開発者がユーザーデータの保護を真剣に考えているのであれば、「はい、私は指紋リーダーを使用し、それに伴うリスクを引き受けます」、「はい、私は自分のデータがサードパーティの広告主に販売されてもかまいません」というチェックボックスをユーザーに選択させるべきだと思うのです。

現在、こうした機能にたどり着くには設定メニューでいくつもの階層を降りていかなければなりません。Android に至っては変更がずっと保たれるわけですらありません。

スタートアップ企業の中には、「ダムフォン」（機能が限定された携帯電話）の時代に戻ってこの問題を解決しようとしている企業もあります。たとえば The Light Phone には Web ブラウジング機能が搭載されていません。また Mudita Minimalist Phone では通話とテキストメッセージのやり取りと音楽再生しか行えません。

偉そうに主張してみましたが、ある日突然、私のスマートフォンに警告が表示されて、『ファンタジーフットボール』のラインナップを確認できなくなると言われたり、ポッドキャストのストリーミングにアクセスできなくなると言われたりしたら、表示される大きな赤いボタンを押してそれらの機能を有効にするだろうと思います。ですが、少なくともそのオプションは大きな赤いボタンで示してほしいものです。Google で調べなければ有効にする方法が分からないようでは困ります。

重要な情報

ウクライナの農業が世界の食料サプライチェーンにとって必要不可欠であることは、ロシアのウクライナ侵攻を巡る議論の中であまり話題になっていませんが、非常に重要な点です。ウクライナは国家の支援を受けたサイバー攻撃を受け続けており、ヨーロッパにおける穀物不足や食糧不足の危険性が高まり続けています。Joe Marshall が最新のブログ記事で指摘しているように、セキュリティ関連の重大事件が起きてウクライナの食料生産や輸送システムが混乱に陥った場合には、さまざまな影響が連鎖的に発生する可能性があります。

注意すべき理由

農業部門はサイバー攻撃に対して非常に脆弱です。ダウンタイムの許容度が低く、サイバー攻撃に対する備えが不十分で、混乱が発生すると広範囲に影響が波及するからです。この業界がサイバー攻撃を受けると、生産速度の低下、出荷の遅延、経済的価値の喪失、供給不足などの結果を招く可能性があります。

必要な対策

現在の状況は、許容できるビジネスリスクをエグゼクティブが評価する機会となっています。そのためには、農業運営と会社のオフィスが互いにどのように関連しているかを時間をかけて把握する必要があります。ランサムウェア攻撃の影響を受けてもビジネスとして機能できますか？農業運営のレジリエンスを確保するためにどのような投資を行いましたか？これらの質問は簡単には答えられません。世界で発生するさまざまな出来事をきっかけにして投資を進めてください。テクノロジーへの投資も重要ですが、人材への投資はそれ以上に重要です。そうすることで答えが見つかります。先手の対応を心掛け、サイバー攻撃などの突発的な出来事に備えてトレーニングを実施しましょう。

今週のセキュリティ関連のトップニュース

Twilio が最近データ侵害を受けましたが、それによって暗号化メッセージングアプリ Signal の 1,900 人のユーザーのログイン認証コードが窃取された可能性があります。Twilio は、さまざまな Web プラットフォームが SMS や音声メッセージを送信するために利用している人気のあるゲートウェイです。Signal は今週からこの問題についてユーザーに通知し始めています。ある被害者によると、攻撃者は Twilio へのアクセスを使用して被害者の電話番号に関連付けた新しいデバイスを再登録しています。これによって攻撃者は自分の Signal アプリでメッセージを送受信できるようになります。Cloudflare もフィッシング攻撃の標的になっています。攻撃者は、ログイン情報が変更されたという内容の偽のテキストメッセージをユーザーに送り付けています。標的の家族に連絡することさえあります（情報源：The Verge、Ars Technica）。

世界をリードするセキュリティ専門家、ハッカー、セキュリティ企業が先週の Black Hat および DEF CON カンファレンスで新しい調査結果を発表しました。Zoom ビデオ会議アプリで発見された 2 つの重大な問題など、注目を集めているいくつかの脆弱性についてさまざまな講演、プレゼンテーション、展示が行われました。また、デマの拡散や選挙のセキュリティなどの話題についても詳細な議論が展開されました。楽しい内容のデモンストレーションもありました。ある研究者は、John Deere 社のトラクターに搭載されている Linux システムを脱獄して、センターコンソールでビデオゲームの『Doom』をプレイしてみせました（情報源：Politico、The Guardian、The Verge）。

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）が、Zeppelin ランサムウェアによる攻撃が増加していると注意喚起しています。特に、重要インフラに対する攻撃が増えています。新しい CISA アドバイザリによると、攻撃者はこの RaaS（Ransomware-as-a-Service）を利用してマルウェアを拡散しています。標的のネットワークに侵入する際には SonicWall ファイアウォールとリモート デスクトップ プロトコルの脆弱性が悪用されています。Zeppelin では新しいマルチ暗号化戦術が採用されています。被害者のネットワークに侵入したマルウェアはランサムウェアを複数回実行するため、ID や暗号化ファイルの拡張子が複数作成されます。したがって、被害者は 1 つの復号キーを使用してもファイルを取り戻すことができません（情報源：ThreatPost、CISA）。

Talos が発信している情報

• Cisco Talos、小規模なサイバー犯罪の拡大を警告
• 注目の脆弱性：WWBN AVideo Web アプリで、コマンドインジェクションと認証バイパスの脆弱性を発見
• 『Talos Takes』エピソード#108（XL エディション）：Talos インシデント対応チームによるオンエア
• 注目の脆弱性：HDF5 ファイル形式でリモートコード実行の脆弱性を 3 件発見
• 8 月 5 日から 8 月 12 日の 1 週間における脅威のまとめ

Talos が参加予定のイベント

ウクライナ独立記念日：Talos ライブストリーム（2022 年 8 月 24 日）

Talos の LinkedIn と Twitter でライブストリーム

Security Insights 101 ナレッジシリーズ（2022 年 8 月 25 日）

オンライン

シスコ セキュリティ ソリューション エキスパート セッション（10 月 11 日、13 日）

オンライン

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5：93fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名：Wextract
偽装名：Internet Explorer
検出名：PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c

MD5: a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名：AAct.exe     

偽装名：なし

検出名：PUA.Win.Tool.Kmsauto::1201  

SHA 256：c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0  

MD5：8c69830a50fb85d8a794fa46643493b2  

一般的なファイル名：AAct.exe  

偽装名：なし

検出名：PUA.Win.Dropper.Generic::1201

SHA 256：8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7

MD5：0e4c49327e3be816022a233f844a5731

一般的なファイル名: aact.exe

偽装名：AAct x86

検出名：PUA.Win.Tool.Kmsauto::in03.talos

SHA 256：58d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681

MD5：f1fe671bcefd4630e5ed8b87c9283534

一般的なファイル名：KMSAuto Net.exe 

偽装名：KMSAuto Net

検出名：PUA.Win.Tool.Hackkms::1201

本稿は 2022 年 08 月 18 日に Talos Group のブログに投稿された「Threat Source newsletter (Aug. 18, 2022) — Why aren’t Lockdown modes the default setting on phones?」の抄訳です。

• 脅威情報ニュースレター