Categories: 脅威リサーチ

脅威情報ニュースレター(2022 年 7 月 21 日):フェイクニュースやデマと無縁ではいられない

今週も脅威情報ニュースレターをお届けします。

このニュースレターでフェイクニュースについて書こうと思ったら、毎週でも書けそうな気がします。Instagram のフィードや妻が「いいね」して私に見せてくれる TikTok をのぞいてみると、ばかげたミームやニュース、誤解を招く記事、Facebook のバズ投稿、操作されたメディアでいつもあふれ返っています。

しかし、最近起きたある出来事はあまりに衝撃的でしたので、はっきり意見を述べておかなければなりません。日本の安倍晋三元首相が今月初め、街頭演説中に暗殺されました。世界でも屈指の影響力を持つ国の大物政治家が命を落とすという恐ろしい悲劇となりました。数日間、世界はこのニュースで持ち切りとなり、日本では銃が厳格に規制されていることや、世界のリーダーが暴力の標的になる事例が比較的少ないことも相まって、大きな衝撃を持って受け止められました。

この悲報をネット上の人々が嗅ぎ付け、誤報、デマ、とてつもなく有害なフェイク記事が生み出され、拡散されるのに時間はかかりませんでした。それらは安倍氏の死を冒涜し、24 時間年中無休でニュースが報じられる現代社会を逆手に取ったものとなっています。誰もがソーシャルメディアに対する自分なりの「姿勢」を今すぐ確立する必要があります。

安倍氏が殺害されてから程なくして、ビデオゲーム開発者の小島秀夫氏が安倍氏殺害の容疑者であるとする虚偽の情報が悪名高いオンラインフォーラムである 4chan に投稿され、それをフランスの極右政治家である Damien Rieu 氏が信じて Twitter で共有しました。この政治家は、ジョーカーが描かれた T シャツを着てチェ・ゲバラの顔が描かれたバッグを肩から下げた『メタルギアソリッド』のクリエイターである小島氏の写真を示しながら、同氏が「極左」であるとまでツイートしています。Rieu 氏のツイートを信じたギリシャのニューステレビ局は小島氏が暗殺犯であると報道しました

幸い、この情報が嘘であることがすぐに判明し、政治家も謝罪しましたが、小島氏とコジマプロダクションはこの件に対して法的措置を取ることを検討すると表明しています(当然の対応かと思います)。今回の件では、ソーシャルメディアが安倍氏暗殺の責任を短絡的に小島氏に押し付け、影響力のある人物がそれを取り上げ、評判の高い国際的なテレビ局までもがそれを報道するという恐ろしい展開になりました。これは「ロシアのボット」が拡散しているような典型的なフェイクニュースの領域を超えています。単純なファクトチェックも行わずにいわれなき非難を誰かに浴びせています。小島氏には社会に対する発信力やそうした非難と戦うための資金力がありましたが、そうしたものを持ち合わせていない人が犯人に仕立て上げられていたらどうなっていたか、想像してみてください。

また、安倍氏殺害から数時間もたたないうちに、フェイクニュースや誤解を招く情報を利用して、ここぞとばかりに自説を流布しようとした人もいました。安倍氏が殺されたのはコロナ禍に対する姿勢が原因だったという噂が広まりましたが、これはその後の検証によって誤りであることが分かりました。また、米国の政治家であるヒラリー・クリントン氏の逮捕につながる情報をつかんでいるというツイートを殺害の直前に安倍氏がしていたように見せかける完全な偽造スクリーンショットも出回りました。

Instagram を調べてみたところ、安倍氏が暗殺されたのは「グローバルアジェンダ」に従わないコロナ禍に対する生ぬるい姿勢が原因だったというまだ閲覧可能な投稿が 54,000 人を超すフォロワーがいるアカウントで公開されていました。Instagram はこの投稿に「背景の説明が不足している」という警告を表示しているものの、偽情報の警告は表示しておらず、水曜午後の時点でもまだコンテンツにアクセスできます。

今回の出来事を巡って一番気になるのは、ソーシャルメディアユーザーがどんな話題でも節度なく取り上げて自分勝手な目的に利用することです。最近も、UPS の配達員が車を飛び越えながらダンクシュートを決めたように見える TikTok のばかげたフェイク動画に ESPN 社が引っ掛かりましたが、私はもう驚きもしません。しかし今回はっきり分かったように、何か大きな出来事が起きると、その深刻さや危険さにお構いなく、フェイクニュース、デマ、誤報を拡散しようとする人々がネットに必ず現れます。少年が気球に乗って飛ばされたという事件が最大のフェイクニュースだった時代が懐かしく思えます。

重要な情報

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が、活発なエクスプロイトが行われている先週公開された Microsoft 社の脆弱性にパッチを適用するよう、すべての連邦政府機関に求めています。CVE-2022-22047 は特権昇格の脆弱性で、Windows クライアント/サーバー ランタイム サブシステム(CSRSS)に影響を与えます。エクスプロイトされた既知の脆弱性のリストにこの脆弱性が追加されたことで、各政府機関には 8 月 2 日までにこの問題に対してパッチを適用する義務が課されます。Microsoft 社と CISA は、攻撃者がこの問題を積極的にエクスプロイトしていると述べています。

注意すべき理由

先週のセキュリティ更新プログラムで公開された脆弱性のうち、実際にエクスプロイトされているのはこの脆弱性だけです。この脆弱性がエクスプロイトされると、標的のマシンで任意のコードが SYSTEM として実行される危険性があります。この問題をエクスプロイトするには、攻撃者がマシンに物理的にアクセスする必要がありますが、実際に活発にエクスプロイトされていると CISA がユーザーに警告しているのですから、これを機にパッチの適用を進めてください。

必要な対策

セキュリティ更新プログラムに関する Talos のブログ記事では、Microsoft 社のセキュリティ更新プログラムへのリンクと、確認すべきその他の脆弱性の概要を提供しています。また、CVE-2022-22047 のエクスプロイトを検出できる複数の Snort ルールも提供しています。

その他の注目情報

米国国土安全保障省が、Log4shell の脆弱性は「エンデミック」であり、少なくとも今後 10 年間は組織にリスクをもたらすと宣言しました。Log4j の主要な脆弱性に関する新しい報告では、オープンソースコミュニティにはコードを適切に保護できるだけのリソースがなく、官民を挙げてパッチの実装を支援する必要があるとしています。また、攻撃者が利用できる脆弱なソフトウェアがまだ数多く存在すると警告しています。さらに、不具合を特定できるだけのサイバーセキュリティの知識をレビュー担当者が持っていたら、オリジナルの脆弱なコードは 2013 年に検出されていた可能性があると述べています。しかし、Log4shell を利用した米国の重要インフラに対する大規模なサイバー攻撃は行われていないと調査委員会は述べています(情報源:Dark ReadingAssociated PressZDNet)。

ロシア政府の支援を受けた攻撃者によるサイバー攻撃が増えており、不要な対立を煽りヨーロッパ全体に波及的な影響を及ぼす危険性があると EU が警告しています。EU の公式宣言によると、加盟国は「サイバースペースにおけるこの容認できない行動を強く非難し、犠牲になったあらゆる国との連帯を表明」しています。最近も、リトアニアのエネルギー企業が分散型サービス妨害攻撃の標的になっています。同国によるとこの攻撃はこの 10 年間で最大のサイバー攻撃でした。またベルギーの指導者も、中国政府の支援を受けたいくつかのグループに同国が最近攻撃されたと語っています(情報源:Bleeping Computer欧州連合理事会Infosecurity Magazine)。

最近行われた 3,000 件を超す分散型サービス妨害攻撃に、比較的小規模なボットネットが関わっていた疑いが浮上しています。Mantis ボットネットは Meris が進化したものと思われ、すでにドイツ、台湾、韓国、日本、米国、英国のユーザーが標的になっています。最近で言うと、フランスの Android ユーザーに対してマルウェア攻撃を開始しました。悪意のある SMS メッセージを使用して被害者がマルウェアをダウンロードするように仕向けています。こうしてボットネットにデバイスが追加され、システムが拡大していきます。セキュリティ研究者によると、このマルウェアはすでに約 9 万回ダウンロードされています(情報源:Bleeping ComputerZDNet)。

Talos が発信している情報

Talos が参加予定のイベント

A New HOPE 2022 7 22 日~ 24 日)
ニューヨーク市

CTIR On Air 2022 7 28 日)
Talos の Twitter、LinkedIn、YouTube ページ

BlackHat  U.S. 2022 8 6 日~ 11 日)
ネバダ州ラスベガス

DEF CON U.S. 2022 8 11 日~ 14 日)
ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507

MD52915b3f8b703eb744fc54c81f4a9c67f

一般的なファイル名:VID001.exe   

偽装名:なし

検出名:Win.Worm.Coinminer::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD593fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c     

MD5 a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名:AAct.exe     

偽装名:なし

検出名:PUA.Win.Tool.Kmsauto::1201  

SHA 256ea500d77aabc3c9d440480002c3f1d2f2977a7f860f35260edda8a26406ca1c3

MD5 5741eadfc89a1352c61f1ff0a5c01c06

一般的なファイル名:3.exe

偽装名:なし

検出名:W32.DFC.MalParent

SHA 256125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645    

MD52c8ea737a232fd03ab80db672d50a17a

一般的なファイル名: LwssPlayer.scr

偽装名:梦想之巅幻灯播放器

検出名:Auto.125E12.241442.in02

 

本稿は 2022 年 07 月 21 日に Talos Group のブログに投稿された「Threat Source newsletter (July 21, 2022) — No topic is safe from being targeted by fake news and disinformation」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。