Cisco Japan Blog

脅威情報ニュースレター(2022 年 10 月 6 日):プライバシーポリシー問題の根は深い

1 min read



今週も脅威情報ニュースレターをお届けします。

先週も書いたように、最近はさまざまなアプリのプライバシーポリシーを調べているのですが、先日、家族を追跡するアプリというものが存在することを初めて知りました。

子どもなどの家族の現在地、電話の使用状況、車の運転速度まで保護者が追跡できるモバイルアプリが数えきれないほど提供されています。もうすぐ父親になる心配性の私にとっては興味深いアプリです。Apple デバイスの「友達を探す」のパワーアップ版といったところでしょうか。これを使用すれば、中高生になった子どもに帰宅時間や現在地を尋ねずに済むでしょう(私が中高生だったのは遠い昔のことですので、このような追跡手段はありませんでした)。

しかし、こうしたアプリにも、他のモバイルアプリと同様の落とし穴があります。

Life360 はこの種のアプリの中でも屈指の人気を誇っており、運転時の最高速度まで教えてくれるのですが、2021 年 12 月に、ユーザーの詳細な位置情報データを販売しているpopup_iconことが発覚しました。何百万もの人々が影響を受けた可能性があります。詳細な位置情報データが一旦外部に出てしまえば、誰の手に渡るか分かりません。Life360 には、敵対者に情報提供する意図はないのかもしれませんが、売り渡した情報がサードパーティにどのように扱われても直接管理することはできません。

このアプリの最新のプライバシーポリシーpopup_iconでは、次のように述べられています。「Cuebiq 社および同社のパートナー企業をはじめとする弊社パートナーとも、カスタマイズ広告、アトリビューション、分析、調査およびその他の目的で位置情報を共有することがあります」。ただし、このアプリではユーザーがオプトアウトできるオプションが提供されています。

この種の追跡を行えるハードウェア製品もあります。嫉妬や怒りに駆られた人たちや疑り深い保護者などの間で Apple 社の AirTag を使用してこっそり配偶者や子どもを追跡するpopup_icon事例が相次ぎ、ついには Apple 社が直接問題に対処せざるを得なくなったpopup_iconことがあります。同社は AirTag のセキュリティや詳細な位置情報アラートにいくつかのアップデートを施して、車や所持品に仕掛けられた可能性がある AirTag を発見しやすいようにしました。

調査を始めるまでは、こうした問題が起きているなど、考えたこともありませんでした。多くの保護者は子どもを守るためなら何だってするでしょうし、その気持ちも理解できます。しかし、個人用健康アプリの場合と同様に、こうした追跡機能を利用する場合も、引き換えに失われるセキュリティについて考えるべきだと思います。以前にもお話ししましたように、「隠すものなど何もない」などと言っていられる人は 1 人もいないpopup_iconのです。未成年者や弱い立場にある人々は特にそうです。こうしたアプリは利用すること自体が間違っているとか、AirTag は合法な目的には利用されないなどと言いたいのではありませんが、この手のソフトウェアやハードウェアを自宅やデバイスで利用するときは、それと引き換えに何か失っているものがないか考えたほうがよいと思います。

重要な情報

Microsoft 社が先週、最近公開された Microsoft Exchange Server 2013、2016、2019 に影響を与える 2 件の脆弱性(「ProxyNotShell」と総称)のエクスプロイトについて警告しました。このうち 1 件は、エクスプロイトされると標的のサーバー上でリモートコードを実行される危険性があります。件数は少ないながら、実際にこれらの脆弱性がエクスプロイトされたという報告がなされています。CVE-2022-41040 はサーバーサイド リクエスト フォージェリ(SSRF)の脆弱性です。一方 CVE-2022-41082 は、攻撃者が PowerShell にアクセスできる場合にリモートコード実行が可能になります。

注意すべき理由

Exchange の脆弱性をエクスプロイトすればネットワーク環境への初期アクセスを獲得できるため、攻撃者の間でますます関心が高まっています。多くの場合、フィッシング攻撃やスパム攻撃の有効性を高めるために、この脆弱性が悪用されています。攻撃者の Hafnium は、2021 年に Exchange Server のいくつかのゼロデイ脆弱性をエクスプロイトしてランサムウェアを配布しました。Cisco Talos インシデント対応チームは、Exchange Server の脆弱性のエクスプロイトは、昨年最も多く確認された 4 種類の攻撃のうちの 1 つだと報告しています。

必要な対策

修正やパッチは未提供ですが、Microsoft 社は 2022 年 9 月 29 日にオンプレミスの Microsoft Exchange ユーザー向けの緩和策を提供しましたpopup_icon。Exchange Online を使用している組織も、ハイブリッドサーバーを実行している場合は影響を受ける可能性があります。Microsoft 社は緩和策を更新し続けていますが、それらは回避できると述べているpopup_iconセキュリティ研究者もいます。Talos は、これらの脆弱性のエクスプロイトや、攻撃で使用されている関連するマルウェアファミリを検出するための Snort ルールをいくつかリリースしました。

今週のセキュリティ関連のトップニュース

オーストラリアの大手通信会社である Optus 社がデータ侵害を受け、200 万人を超す顧客の個人情報が流出しました。同社 CEO が発表した最新情報によると、現在有効な身分証明書の 1 つ以上の ID 番号がその他の個人データとともに流出した顧客が 120 万人超に上っています。同社はニューサウスウェールズ州の多くの住民に対して運転免許証の再発行が必要であると説明していましたが、後日これを撤回し、再発行が必要なのは影響を受けた住民の一部のみだと伝えて混乱に拍車をかけています。Optus 社は、サードパーティと協力して徹底的に侵害を調査し、セキュリティギャップやその他の潜在的影響を特定するとしています(情報源:ABC Newspopup_iconNine Newspopup_icon)。

Vice Society ランサムウェアグループが、ロサンゼルス統一学区の教職員と生徒に関する 500 GB を超すデータを流出させました。同学区は数週間前にランサムウェア攻撃に見舞われており、要求された身代金の支払いを拒否していました。今回の流出は当初の想定より小規模で、2013 年~ 2016 年の出席簿および学業記録に限定されていると当局は述べています。同学区が身代金の支払いを拒否したのは、支払ったところで攻撃者が情報を流出させない保証はなかったからです。教育機関に対するランサムウェア攻撃は、年度が始まったばかりの時期に、ネットワークが特に脆弱な学校を狙って行われることが多くなっています(情報源:Axiospopup_iconLos Angeles Timespopup_icon)。

悪名高い攻撃者である Lazarus グループが活動をエスカレートさせ続けています。最近は、オープンソースソフトウェアや Dell 社のハードウェアをエクスプロイトして、世界中の企業に攻撃を仕掛けています。Microsoft 社の最近のレポートによると、同グループはオープンソースプロジェクトの共同作成者になりすまして、そのソフトウェアに悪意のある更新を施し、ユーザーに配布しています。また、この APT グループは別の攻撃において Dell 社のファームウェアドライバをエクスプロイトして、ベルギーの航空宇宙企業や著名なジャーナリストに Windows ルートキットを配布しています。Lazarus グループは、北朝鮮の国益に沿った活動を展開していることが知られており、多くの場合、暗号通貨を窃取するなどして収益を上げています(情報源:Bleeping Computerpopup_iconSecurity Affairspopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

シスコ セキュリティ ソリューション エキスパート セッションpopup_icon10 11 日、13 日)

オンライン

GovWare 2022 popup_icon10 18 日~ 20 日)

シンガポール、Sands Expo & Convention Centre

Conference On Applied Machine Learning For Information Securitypopup_icon10 20 日~ 21 日)

バージニア州アーリントン郡、Sands Capital Management 社

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0popup_icon

MD58c69830a50fb85d8a794fa46643493b2

一般的なファイル名:AAct.exe

偽装名:なし

検出名:PUA.Win.Dropper.Generic::1201

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 25658d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681popup_icon

MD5f1fe671bcefd4630e5ed8b87c9283534

一般的なファイル名:KMSAuto Net.exe

偽装名:KMSAuto Net

検出名:PUA.Win.Tool.Hackkms::1201

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636cpopup_icon

MD5a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名:AAct.exe

偽装名:なし

検出名:PUA.Win.Tool.Kmsauto::1201

SHA 25663d543945e33b4b6088dc34d0550213dc73ea6acce248d8353c63039e8fa284fpopup_icon

MD5a779d230c944ef200bce074407d2b8ff

一般的なファイル名: mediaget.exe

偽装名:MediaGet

検出名:W32.File.MalParent

 

本稿は 2022 年 10 月 06 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Oct. 6, 2022) — Continuing down the Privacy Policy rabbit holepopup_icon」の抄訳です。

 

コメントを書く