Cisco Japan Blog
Share

脅威情報ニュースレター(2022 年 9 月 8 日):単体で完璧だと言えるパスワード保護ソリューションが存在しない理由


2022年9月28日


 

今週も脅威情報ニュースレターをお届けします。

重大なパスワード侵害が、少なくとも毎月 1 回は発生しているようです。つい先日も、Plex 社で全ユーザーがパスワードをリセットpopup_iconしなければならなくなる事態が発生しました。 

多くのユーザーは、有料のパスワード管理サービスを利用しています。Talos で何度も取り上げてきたサービスですが、これも万能の解決策ではありません。LastPass は、最も人気のあるパスワード管理サービスの 1 つです。最近、LastPass 社の社内開発環境が侵害を受けましたpopup_icon。ただ、今のところユーザーのプライマリパスワードは侵害されていないものと思われます。

これをきっかけに、どんなパスワード管理が好まれているのか興味が湧き、Twitter でアンケートを実施popup_iconしてみました。読者には、パスワードの管理方法を尋ねました。特に人気が高かったのは LastPass や 1Password などの有料パスワード管理サービスでした。その次に人気だったのが、Chrome や Safari などが提供popup_iconする Web ブラウザベースのマネージャです。いくつかの回答から、私が軽視していた一般的な選択肢がもう 1 つあることを思い出しました。KeePass のように、オペレーティングシステムに依存しないオープンソースのソリューションです。私がこれまで挙げてきた多くのサービスは月額や年額で料金が発生しますが、オープンソースのソリューションは無料で利用できるという点で魅力的です。また、クラウドベースのサービスであり、強力なパスワード暗号化機能を備えているため、利用するオペレーティングシステムやマシンがころころと変わる人にとっては特に便利と言えます。

ただし、こうしたオープンソースのソリューションも、やはり完璧な解決策ではありません。携帯電話で実行するにはモバイル OS に非公式に移植する必要があるものが多く、「一般的」なユーザーが解析するのはやや厳しいでしょう。私自身、自分の両親が Web ブラウザでオープンソースソフトウェアを試すとは思えません。1Password のアプリをダウンロードして使い方を理解できるようになるという方が、まだしも現実味があります。こうした私の両親のようなタイプのユーザー層が、パスワードマネージャへの侵入を目論むフィッシング詐欺の類で狙われやすくなっています。

また、Web ブラウザベースのマネージャは、他のマネージドオプションほど安全ではありませんpopup_icon。悪意のある人間によって Google アカウントが侵害され、他のすべてのログイン情報が盗まれてしまうと、深刻な結果につながる可能性があります。

「ノートにすべてを書き留める」という昔ながらの管理方法に戻る覚悟を決めない限り(ただし、このやり方にも数々の問題があります)、パスワードを安全に保つための完璧なソリューションはないように思われます。必要なのは、完璧さを追求することではなく、さまざまな解決策のそれぞれの利点から学び、パスワードの健全性を改善することです。

Web ブラウザが推奨するとおりに、複数の文字種を使用した長いパスワードを設定するくらいなら誰でもできるでしょう。ただし、有料のソフトウェアサービスを利用する場合と同様に、何重もの認証を経ないとプライマリパスワードにはアクセスできないようにする必要もあります。

それでもなお、「平均的」なユーザーや管理者が安全なパスワードを使うとは限りません。最近、妻の医療機関の Wi-Fi パスワードが非常に推測しやすい数字の羅列であることを知りました。ここでばらしても自分が悪いとは思えないほど分かりやすいものです(ばらしませんが)。すべての人をオープンソースのパスワードマネージャに移行させようとする前に、まずはこうした問題を解決する必要があるのかもしれません。

重要な情報

国家の支援を受ける攻撃グループとして有名な Lazarus が、新たなトロイの木馬を採用しています。それが、Talos が最近発見した「MagicRAT」です。Lazarus は VMware Horizon プラットフォームの脆弱性をエクスプロイトし、その後いくつかの事例で MagicRAT を展開しました。RAT の機能は比較的単純ですが、開発には Qt フレームワークが使われています。これはひとえに、人間による分析を難しくし、機械学習やヒューリスティック分析により自動検出される可能性を下げるためと思われます。

注意すべき理由

MagicRAT の実際の展開が確認されたことから、カスタム版の新しいマルウェアをすばやく開発し、TigerRAT など既知のマルウェアと併用して世界中の組織を標的にしようとする Lazarus の狙いが見えてきます。Lazarus はもともと手ごわい攻撃グループですが、仮想通貨関連で大規模な攻撃を展開popup_iconするなど、今年は極めて活発な動きを見せています。その目的は、北朝鮮への資金提供と国際社会の制裁を打破popup_iconすることです。同グループの新たな動向は、セキュリティコミュニティ全体から大きな注目を集めています。

必要な対策

Talos が確認した Lazarus グループの攻撃では、VMware の脆弱性がエクスプロイトされているという共通点がありました。脆弱性のある製品を使用している場合はできるだけ早く更新するようにしてください。また、Talos が新たにリリースした Snort ルールと OSquery を使用すれば、MagicRAT のアクティビティを検出してそれ以上の侵害をブロックできます。

今週のセキュリティ関連のトップニュース

有名なバンキング型トロイの木馬の最新バージョンが Google Play ストアで配信されています。正規のウイルス対策ソフトウェアを装っており、すでに数万のデバイスにインストールされています。それが SharkBot というマルウェアで、2 月に最初に発見されました。Android ユーザーに感染し、ユーザーのログイン情報を盗んで SMS の多要素認証メッセージを傍受することで、不正な送金を開始しようとします。セキュリティ研究者によると、このマルウェアは 2 つのアプリに偽装しています。Google Play ストアでこれまで 5 万回以上ダウンロードされている Mister Phone Cleaner と、1 万回以上ダウンロードされている Kylhavy Mobile Security です。米国、スペイン、オーストラリア、ポーランド、ドイツ、オーストリアなど、各国で被害が出ています(情報源:Bleeping Computerpopup_iconTech Monitorpopup_icon)。

全米では、夏休みを終えた多くの生徒が学校に戻りつつあります。学校にとっては、サイバー攻撃を受けるリスクが高まるということです。攻撃者は従来から、攻撃の影響を受けやすく身代金を支払う可能性が高いこの時期に、教育機関を標的にしようとします。今週、カリフォルニア州ロサンゼルスにある大規模な合同学区がランサムウェア攻撃に見舞われました。これにより、60 万人以上の生徒と教職員がパスワードのリセットを余儀なくされています。どのような情報が盗まれたかは現時点では不明ですが、レイバーデーの週末が明けて以降、生徒たちは予定どおり登校することができました。米国連邦政府は、回復を支援するため、サイバーセキュリティ関連の機関を同学区に配備しました(情報源:NPRpopup_iconWashington Postpopup_icon)。

2018 年以降、あまり知られていない位置追跡サービスを地方警察署が使用しており、令状なしで容疑者の位置を追跡できるようになっています。Fog Reveal というこのソフトウェアを使用すると、容疑者のスマートフォンから収集したデータを使用して現在地やその他の活動を追跡できます。法執行機関は、殺人事件や 2021 年 1 月 6 日の米国議会議事堂襲撃事件に関連して発生する可能性のあった犯罪など、さまざまなタイプの犯罪の捜査でこのソフトウェアを使用しています。ただし、刑事裁判の証拠として使用される場合、法廷文書でこのソフトウェアについて言及されることはほとんどありません(情報源:Associated Presspopup_iconVice Motherboardpopup_icon)。

Talos 関連の情報

Talos が参加予定のイベント

シスコ セキュリティ ソリューション エキスパート セッション popup_icon10 11 日、13 日)

オンライン

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636cpopup_icon

MD5a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名:AAct.exe

偽装名:なし

検出名:PUA.Win.Tool.Kmsauto::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD593fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0popup_icon

MD5 8c69830a50fb85d8a794fa46643493b2

一般的なファイル名:AAct.exe 

偽装名:なし

検出名:PUA.Win.Dropper.Generic::1201 

SHA 25658d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681 popup_icon

MD5f1fe671bcefd4630e5ed8b87c9283534

一般的なファイル名:KMSAuto Net.exe 

偽装名:KMSAuto Net

検出名:PUA.Win.Tool.Hackkms::1201

SHA 2568664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7popup_icon

MD50e4c49327e3be816022a233f844a5731 

一般的なファイル名:aact.exe 

偽装名:AAct x86

検出名:PUA.Win.Tool.Kmsauto::in03.talos 

 

本稿は 2022 年 09 月 08 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Sept. 8, 2022) — Why there is no one-stop-shop solution for protecting passwordspopup_icon」の抄訳です。

 

Tags:
コメントを書く