今週も脅威情報ニュースレターをお届けします。
しなければならなくなる事態が発生しました。
多くのユーザーは、有料のパスワード管理サービスを利用しています。Talos で何度も取り上げてきたサービスですが、これも万能の解決策ではありません。LastPass は、最も人気のあるパスワード管理サービスの 1 つです。最近、LastPass 社の社内開発環境が侵害を受けました。ただ、今のところユーザーのプライマリパスワードは侵害されていないものと思われます。
これをきっかけに、どんなパスワード管理が好まれているのか興味が湧き、Twitter でアンケートを実施してみました。読者には、パスワードの管理方法を尋ねました。特に人気が高かったのは LastPass や 1Password などの有料パスワード管理サービスでした。その次に人気だったのが、Chrome や Safari などが提供する Web ブラウザベースのマネージャです。いくつかの回答から、私が軽視していた一般的な選択肢がもう 1 つあることを思い出しました。KeePass のように、オペレーティングシステムに依存しないオープンソースのソリューションです。私がこれまで挙げてきた多くのサービスは月額や年額で料金が発生しますが、オープンソースのソリューションは無料で利用できるという点で魅力的です。また、クラウドベースのサービスであり、強力なパスワード暗号化機能を備えているため、利用するオペレーティングシステムやマシンがころころと変わる人にとっては特に便利と言えます。
ただし、こうしたオープンソースのソリューションも、やはり完璧な解決策ではありません。携帯電話で実行するにはモバイル OS に非公式に移植する必要があるものが多く、「一般的」なユーザーが解析するのはやや厳しいでしょう。私自身、自分の両親が Web ブラウザでオープンソースソフトウェアを試すとは思えません。1Password のアプリをダウンロードして使い方を理解できるようになるという方が、まだしも現実味があります。こうした私の両親のようなタイプのユーザー層が、パスワードマネージャへの侵入を目論むフィッシング詐欺の類で狙われやすくなっています。
また、Web ブラウザベースのマネージャは、他のマネージドオプションほど安全ではありません。悪意のある人間によって Google アカウントが侵害され、他のすべてのログイン情報が盗まれてしまうと、深刻な結果につながる可能性があります。
「ノートにすべてを書き留める」という昔ながらの管理方法に戻る覚悟を決めない限り(ただし、このやり方にも数々の問題があります)、パスワードを安全に保つための完璧なソリューションはないように思われます。必要なのは、完璧さを追求することではなく、さまざまな解決策のそれぞれの利点から学び、パスワードの健全性を改善することです。
Web ブラウザが推奨するとおりに、複数の文字種を使用した長いパスワードを設定するくらいなら誰でもできるでしょう。ただし、有料のソフトウェアサービスを利用する場合と同様に、何重もの認証を経ないとプライマリパスワードにはアクセスできないようにする必要もあります。
それでもなお、「平均的」なユーザーや管理者が安全なパスワードを使うとは限りません。最近、妻の医療機関の Wi-Fi パスワードが非常に推測しやすい数字の羅列であることを知りました。ここでばらしても自分が悪いとは思えないほど分かりやすいものです(ばらしませんが)。すべての人をオープンソースのパスワードマネージャに移行させようとする前に、まずはこうした問題を解決する必要があるのかもしれません。
重要な情報
国家の支援を受ける攻撃グループとして有名な Lazarus が、新たなトロイの木馬を採用しています。それが、Talos が最近発見した「MagicRAT」です。Lazarus は VMware Horizon プラットフォームの脆弱性をエクスプロイトし、その後いくつかの事例で MagicRAT を展開しました。RAT の機能は比較的単純ですが、開発には Qt フレームワークが使われています。これはひとえに、人間による分析を難しくし、機械学習やヒューリスティック分析により自動検出される可能性を下げるためと思われます。
注意すべき理由
MagicRAT の実際の展開が確認されたことから、カスタム版の新しいマルウェアをすばやく開発し、TigerRAT など既知のマルウェアと併用して世界中の組織を標的にしようとする Lazarus の狙いが見えてきます。Lazarus はもともと手ごわい攻撃グループですが、仮想通貨関連で大規模な攻撃を展開するなど、今年は極めて活発な動きを見せています。その目的は、北朝鮮への資金提供と国際社会の制裁を打破することです。同グループの新たな動向は、セキュリティコミュニティ全体から大きな注目を集めています。
必要な対策
Talos が確認した Lazarus グループの攻撃では、VMware の脆弱性がエクスプロイトされているという共通点がありました。脆弱性のある製品を使用している場合はできるだけ早く更新するようにしてください。また、Talos が新たにリリースした Snort ルールと OSquery を使用すれば、MagicRAT のアクティビティを検出してそれ以上の侵害をブロックできます。
今週のセキュリティ関連のトップニュース
有名なバンキング型トロイの木馬の最新バージョンが Google Play ストアで配信されています。正規のウイルス対策ソフトウェアを装っており、すでに数万のデバイスにインストールされています。それが SharkBot というマルウェアで、2 月に最初に発見されました。Android ユーザーに感染し、ユーザーのログイン情報を盗んで SMS の多要素認証メッセージを傍受することで、不正な送金を開始しようとします。セキュリティ研究者によると、このマルウェアは 2 つのアプリに偽装しています。Google Play ストアでこれまで 5 万回以上ダウンロードされている Mister Phone Cleaner と、1 万回以上ダウンロードされている Kylhavy Mobile Security です。米国、スペイン、オーストラリア、ポーランド、ドイツ、オーストリアなど、各国で被害が出ています(情報源:Bleeping Computer、Tech Monitor)。
全米では、夏休みを終えた多くの生徒が学校に戻りつつあります。学校にとっては、サイバー攻撃を受けるリスクが高まるということです。攻撃者は従来から、攻撃の影響を受けやすく身代金を支払う可能性が高いこの時期に、教育機関を標的にしようとします。今週、カリフォルニア州ロサンゼルスにある大規模な合同学区がランサムウェア攻撃に見舞われました。これにより、60 万人以上の生徒と教職員がパスワードのリセットを余儀なくされています。どのような情報が盗まれたかは現時点では不明ですが、レイバーデーの週末が明けて以降、生徒たちは予定どおり登校することができました。米国連邦政府は、回復を支援するため、サイバーセキュリティ関連の機関を同学区に配備しました(情報源:NPR、Washington Post)。
2018 年以降、あまり知られていない位置追跡サービスを地方警察署が使用しており、令状なしで容疑者の位置を追跡できるようになっています。Fog Reveal というこのソフトウェアを使用すると、容疑者のスマートフォンから収集したデータを使用して現在地やその他の活動を追跡できます。法執行機関は、殺人事件や 2021 年 1 月 6 日の米国議会議事堂襲撃事件に関連して発生する可能性のあった犯罪など、さまざまなタイプの犯罪の捜査でこのソフトウェアを使用しています。ただし、刑事裁判の証拠として使用される場合、法廷文書でこのソフトウェアについて言及されることはほとんどありません(情報源:Associated Press、Vice Motherboard)。
Talos 関連の情報
- 標的型攻撃で新しい MagicRAT マルウェアを展開する北朝鮮のハッカー
- 複数のランサムウェアのデータリークサイトで DDoS 攻撃による断続的な停止と接続障害が発生
- 注目のセキュリティ研究者:Asheer Malhotra が脅威ハンティングで即座に満足感を得る方法
- 8 月 26 日から 9 月 2 日の 1 週間における脅威のまとめ
- 『Talos Takes』エピソード#111(特別版):ウクライナでの業務に関する Talos の最新情報
Talos が参加予定のイベント
シスコ セキュリティ ソリューション エキスパート セッション (10 月 11 日、13 日)
オンライン
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201
SHA 256:58d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681
MD5:f1fe671bcefd4630e5ed8b87c9283534
一般的なファイル名:KMSAuto Net.exe
偽装名:KMSAuto Net
検出名:PUA.Win.Tool.Hackkms::1201
SHA 256:8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5:0e4c49327e3be816022a233f844a5731
一般的なファイル名:aact.exe
偽装名:AAct x86
検出名:PUA.Win.Tool.Kmsauto::in03.talos
本稿は 2022 年 09 月 08 日に Talos Group
Authors