今週も脅威情報ニュースレターをお届けします。
妻の出産予定日まで今週であと約 90 日となりました。今回が初産で、女の子だということです。妻も私もすごくワクワクしながら同時に緊張もしています。話し合わなければならないこともたくさんあります。子ども部屋のレイアウトをどうするか、何時にお昼寝させるか、午前 2 時に泣き出したらどちらが起きるか、といったことです。
しかし、子どもについて二人で初めて真剣に話し合ったのは、赤ちゃんの顔を Instagram で公開するかどうかでした。
この子はまだ生まれてきてもいませんが、ソーシャルメディア企業はすでに娘のデータプロファイルを構築しているかもしれません。私は What to Expect アプリに登録して、妻の妊娠の状態を追跡し、妻の身体に起きていることや胎児の成長過程について詳しく学んでいます。このアプリと Instagram ではすでにターゲット広告が表示されています。特定のブランドのベビーフード、レジストリに登録したベビーカー、子ども用の電動歯ブラシといった具合です。著名人の間では、赤ちゃんの顔をソーシャルメディアで見せない動きが広がっています。パパラッチから子どもを守り、身体的なプライバシーを保護したいという理由があるようです。なるほどとうなずかされます。ただ、娘が自分の意思で物事を決断できる年齢になる前に、プライバシーに関してどんなことを娘の代わりに決めなければならないのかについては、私はすでに疑問に感じるようになっています。それに私の場合は、娘がパパラッチされて『ピープル』誌に 100 万ドルで写真が売られることを心配する必要もありません。
私たちがベビーレジストリに使用しているサイトでは、すでに娘の名前を尋ねられました(娘が生まれるまで誰にも名前は教えないつもりです)。妻の出産予定日も尋ねられましたので、このサイトは娘が大体いつ頃生まれてくるか知っているかもしれません。もしホームアシスタントを使用しておむつやベビーフードを注文したら、Amazon は娘についてどんなことを学び始めるのでしょうか?アプリを使用して娘の睡眠リズムや食事のスケジュールを追跡したら、アプリは他にどんなことを学んで、最終的により的確なターゲット広告を表示してくるのでしょうか?
Instagram に赤ちゃんの写真などを投稿しないというのは、確かにちょっとやり過ぎかもしれません。結局のところ、可愛い娘を自慢するのに他によい方法はないのですから。
しかし、ソーシャルメディアに子どもの写真を投稿すると、身の安全を確保する上で実際に問題が発生します。というのは、これらのサイトの一部は、残念なことに、犯罪者が危害を加える子どもを探す場所になっていることがあるからです。また、娘が 13 歳になって、自分の情報をインターネットで公開したくないと思うようになったら、どうなるでしょうか?娘が生後 2 週間のときに彼女の同意を得ていなかったので、インターネットに出回っている娘の情報をすべて削除する、ということは可能なのでしょうか?
公開した子どもの写真や情報がどのように使用されているかを親が把握できるシステムは何もありません。また、ほとんどの親は Meta 社のプライバシーポリシーについて詳しく調べていません。
ソーシャルメディアに投稿したものはすべて、自分ではコントロールできなくなる可能性があるという経験則は、多くの場合に成り立つように思えます。Instagram で非公開アカウントを使用していたとしても、誰かが自分の投稿のスクリーンショットを撮って拡散しないとは限りません。こうした事態を実際に回避しようと思ったら、親がインターネットを完全に遮断する以外に方法はありません。
娘が生まれたら、娘の名前と可愛い服を Instagram でお披露目せずにはいられないでしょう。しかし、そうした行為がプライバシーに与える影響を考えるのは興味深いことです。私が生まれたときも、両親が VHS ビデオカメラで私の顔を撮影しましたが、その映像が数十億ドル規模の企業に利用されて Wi-Fi 接続機能の付いたおむつを売りつけられるかもしれないなどといった心配は無用だったろうと思います。
重要な情報
正体不明の攻撃者が ModernLoader RAT を使用して、暗号通貨マイナーや情報窃取マルウェアなど、複数の種類のマルウェアを拡散しています。攻撃者は、脆弱な Web アプリケーションを侵害してマルウェアを感染させ、Amazon ギフトカードを装った偽のファイルを通じて脅威を配布しようとしています。最終的には ModernLoader がダウンロードされ、このローダによって RedLine 情報窃取マルウェアや XMRig 暗号通貨マイナーなど、他のマルウェアファミリが環境にダウンロードされる可能性があります。これまでのところ、この攻撃では主に東ヨーロッパが標的になっていますが、攻撃者は活動の意図がつかみにくいように行動しており、次の標的や攻撃者の過去のパターンを特定するのが難しくなっています。
注意すべき理由
この攻撃の範囲はこれまでのところ限定的ですが、攻撃者はかなり高度な能力を備えているようです。既製のツールを使用しているため、攻撃者を追跡したり、これらの攻撃を既知の APT に結び付けたりするのは難しくなっています。ModernLoader がドロップする情報窃取マルウェアは、ユーザーの重要なログイン情報や、標的のマシンに関する重要な情報を窃取する可能性があります。今後の攻撃で、窃取された情報が利用されるかもしれません。また、暗号通貨マイナーは、標的のマシンの処理能力を奪い、時間的および金銭的な被害を与える可能性があります。
必要な対策
この攻撃のアクティビティを検出する新しい Snort ルールと OS クエリをリリースしましたので、直ちに導入してください。皆様はうまい話に騙されないよう日頃から注意されているかと思いますが、この攻撃者は主に Amazon ギフトカードの偽のオファーを使用しているようですので、この種の詐欺には特に警戒してください。
今週のセキュリティ関連のトップニュース
モンテネグロでさまざまな行政サービスがサイバー攻撃を受けており、給水システム、輸送サービス、オンライン行政サービスなどに影響が及んでいます。モンテネグロ当局は、ロシア政府の支援を受けた攻撃者の仕業であると今週初めに非難しており、同国がこれまでに受けたこの種の攻撃の中で最大規模だったと語っています。FBI は専門のサイバーセキュリティチームを同国に派遣して、サービスをできる限り早く復旧できるように支援しています。犯行声明を出したのはキューバのランサムウェアグループで、財務書類などを窃取したと主張しています。FBI によると、キューバのランサムウェア攻撃者は昨年の攻撃によって 4,390 万ドルの身代金を奪っています(情報源:CBS News、Recorded Future)。
分散型金融(DeFi)プラットフォームに対する最近のいくつかの攻撃によって数百万ドル相当の暗号通貨が奪われたことが、FBI が発表した新しい警告で取り上げられています。このアドバイザリによると、攻撃者は人気のある DeFi プラットフォームのスマートコントラクトおよび署名検証システムに存在する個々の脆弱性をエクスプロイトしてユーザーのウォレットに侵入したり、複数の欠陥を連鎖させてデジタル通貨の価格設定を操作したりしています。コードを分析してパッチを適用するように FBI がこれらのプラットフォームに指示していますが、ユーザーは暗号通貨をどこかに保管したり投資したりする前に、潜在力のあるプラットフォームを適切に調査する必要があります(情報源:ZDNet、Gizmodo)。
何百万ものモバイルデバイスユーザーの位置情報データを、個人を直接追跡することが可能な状態のまま販売したとして、米国連邦取引委員会が大手データブローカーを訴えています。訴訟によると、同社は携帯電話から収集した正確な位置情報データを匿名化せずに他のサードパーティ企業に販売しました。このデータを使用すると、個人の活動を正確に追跡することができます。訴訟でも指摘されていますが、これによって、たとえばユーザーがホームレスかどうか、中絶クリニックに最近行ったかどうか、どの礼拝所に通っているか、といったユーザーに関する情報を、データを入手した人に知られる可能性があります(情報源:Ars Technica、Reuters)。
Talos が発信している情報
- 8 月 19 日から 8 月 26 日の 1 週間における脅威のまとめ
- 『Beers with Talos』エピソード#125:新しいホストが加わりました
- 『Talos Takes』エピソード#110:ウクライナの農業を襲う物理的な脅威とサイバー脅威
- 3 つの攻撃で ModernLoader や XMRig マイナーなどの複数のマルウェアが配布
- Talos、ウクライナへのサイバーセキュリティ サポートを独立記念日に更新
Talos が参加予定のイベント
シスコ セキュリティ ソリューション エキスパート セッション(10 月 11 日、13 日)
オンライン
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
SHA 256:f21b040f7c47d8d3d9c1f0ef00f09e69f2c3f0e19d91988efc0ddd4833ced121
MD5: 9066dff68c1d66a6d5f9f2904359876c
一般的なファイル名: dota-15_id3622928ids1s.exe
偽装名:なし
検出名: W32.F21B040F7C.in12.Talos
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
本稿は 2022 年 09 月 01 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 1, 2022) — Conversations about an unborn baby’s privacy」の抄訳です。