Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター（2022 年 9 月 29 日）：個人用健康アプリの問題はずっと前から指摘されていた

TALOS Japan
2022年10月8日

今週も脅威情報ニュースレターをお届けします。

個人用健康アプリのプライバシーポリシーを同僚の Ashlee Benge と一緒に数か月かけて調査したところ、機密情報を扱っているいくつかのアプリで、サードパーティの広告主や法執行機関と特定の情報を必要に応じて共有すると述べられていることが分かりました。

Period Calendar Period Tracker は、Google Play Store で最も人気のある生理追跡アプリの 1 つです。このアプリのプライバシーポリシーでは、次のように述べられています。「法律の定めがある場合、または合理的に必要な場合は、法執行機関、公的機関、またはその他の組織と情報を共有します。弊社はそうしたすべての要求を慎重に検討して、それらの要求に法的根拠があり、特定の調査目的でのみ法執行機関がアクセスできるデータに対象が限定されていることを確認します」。

ワシントンポストも先週レポートを発表しており、同アプリや WebMD をはじめとする人気のある健康サイトが、「抱えている健康上の懸念に基づいて人々や消費者グループにマーケティング活動を展開するのに必要な情報を広告主に提供した」と述べています。

このようなことが行われているなど、考えたこともありませんでした。Google で「左脇腹 痛み」などと入力して、命にかかわる病気かどうか調べたことがあるのは、私だけではないと思います。今回の Ashlee との調査がきっかけとなって、自分がスマートフォンアプリに提供している情報、特に健康に関する情報を真剣に見直しました。たとえば、スマートフォンで利用していた Google Fit の追跡機能は連携を解除しました。バックグラウンドで歩数をカウントするだけではないからです。また、自宅のパソコンではプライバシー重視のブラウザを使用することにしました（広告ブロッカーのサポートを終了した Chrome に腹を立てていたことも決断を後押ししました）。

この問題を今まで批判的に検討してこなかった自分に呆れ返っています。同じような調査結果はすでに公開されていたのですから。

Privacy International の 2018 年の調査によると、テストしたアプリの 61% が、ユーザーがアプリを開いた直後から Facebook とデータを共有し始めました。この調査が行われたときには、Cambridge Analytica 社と Facebook のスキャンダルが大きな問題になっていました。2021 年 1 月には、米国連邦取引委員会が Flo 生理追跡アプリに対して、個人情報の送信先についてユーザーに誤解を招く説明をしているという申し立てを行っています。

私たちは、社会全体でこの問題をもっと真剣に考えなければいけなかったのです。少し前にドブス対ジャクソン女性健康機構事件に対する最高裁判所の判決が下されました。これによって、アプリに保存される個人データに基づいて法的責任を問われる可能性が出てきています。問題を指摘してくれる人は常にいたのですが、私たちの多くは「隠すものなど何もない」と考え、利便性と引き換えにプライバシーを蔑ろにしすぎたようです。

重要な情報

組織内に潜む脅威が攻撃チェーンの一端を担うことが増えています。この 1 年間で発生したインシデントでは、悪意のある内部関係者と自覚のない情報提供者が重要な役割を果たしています。企業は今、リモートワーカーを世界中に抱えており、二度とオフィスに戻らない可能性がある従業員も多くなっています。そのような現代の企業環境において、組織内に潜む脅威は大きな課題になりつつあります。また、退職する従業員が重大なセキュリティギャップをもたらす可能性もあります。Talos が行っているインシデント対応業務の中でも、悪意のある内部関係者やソーシャルエンジニアリングの手口に引っかかった自覚のない情報提供者に関連する対応業務は、この半年から 1 年の間に顕著に増加しています。

注意すべき理由

組織内に潜む脅威は、私たちが考えている「従来の」サイバー攻撃とは異なります。まったく別の国に住む攻撃者が悪意のあるコードをネットワークに放とうとしているわけではないからです。通常は、標的にソーシャルエンジニアリングを仕掛けて警戒を解き、悪意のあるユーザーにアクセスを提供するように仕向けたり、報酬と引き換えに機密情報を提供させたりします。こうした攻撃者の手に落ちる可能性は、働いている場所に関係なく、誰にでもあります。ハイブリッドワークの時代を迎えた今、その可能性は一段と高まっています。

必要な対策

こうした組織内に潜む脅威を防御することが難しい理由はさまざまですが、何よりもまず、ネットワークへのアクセスが許可されていて、有効なログイン情報を持っていることが多いことが挙げられます。そこで役立つのが、ユーザー制御やアクセス制御などの従来のセキュリティ制御です。組織は、業務上必要な最小限のアクセス権のみをユーザーに付与する必要があります。

今週のセキュリティ関連のトップニュース

ロシアの支援を受けた攻撃者による重要インフラへのサイバー攻撃が続いているとウクライナが警告しています。これらの攻撃は「電力供給施設に対するミサイル攻撃の効果を高める」ことが目的である可能性があるとウクライナ政府は述べています。また、バルト諸国やウクライナの同盟国も標的にされ、分散型サービス妨害攻撃が仕掛けられる可能性があるとも述べています。米国はウクライナのサイバー防御に引き続き資金を提供しています。ボランティアのハッカーも世界中でサイバー防御に協力し続けています（情報源：CyberScoop、Voice of America）。

Rockstar 社で最近発生したデータ漏洩事件に関与したとされる 10 代の若者が英国の警察に逮捕されました。漏洩したデータの中には、現在開発中のビデオゲーム『Grand Theft Auto VI』の情報が含まれていました。容疑者は Lapsus$ ランサムウェアグループとつながりがある可能性があり、ライドシェア会社である Uber 社に対する別のデータ漏洩事件にも関与した疑いがあります。APT は通常、何らかの形で金銭を奪うことを目的としていますが、Lapsus$ の最近の活動はこの従来の目的から大きく逸脱しており、単に混乱を引き起こして楽しんでいるように見えます。この 2 件の重大な漏洩事件によって、未対応の脆弱性を多くの大組織が抱えていることが浮き彫りになっています（情報源：TechCrunch、Wired）。

LockBit ランサムウェアグループに新たな展開です。不満を抱いた開発者が LockBit 3.0 ランサムウェアで使用されている暗号化ツールを流出させました。このビルダーは正常に機能しており、これを使用することで誰でも独自のランサムウェアを構築できます。ランサムウェア集団 Bl00Dy は、流出したビルダーを企業に対する攻撃ですでに使用し始めています。Bl00Dy は 2022 年 5 月から活動しており、ニューヨークの診療所や歯科医院が最初の標的になっています。同グループは過去にも、Babuk や Conti から流出したコードを使用してランサムウェアペイロードを構築しています。また、標的企業が身代金を支払わなかった場合に情報を流出させるのに使用する Tor チャネルも保持していると同グループは主張しています（情報源：The Record、Bleeping Computer）。

Talos が発信している情報

• 『Talos Takes』エピソード#114：再びラザラス・ピットへ
• 9 月 16 日～ 9 月 23 日の 1 週間における脅威のまとめ
• Cisco Talos、内部関係者による攻撃の急増を警告
• Microsoft の欠陥を狙って Cobalt Strike を配布するフィッシング攻撃
• 組織内に潜む脅威によるセキュリティインシデントが増加中と研究者が警告
• 暗号通貨関連の仕事を探す MacOS ユーザーが Lazarus グループの標的に

Talos が参加予定のイベント

シスコ セキュリティ ソリューション エキスパート セッション （10 月 11 日、13 日）

オンライン

GovWare 2022（10 月 18 日～ 20 日）

シンガポール、Sands Expo & Convention Centre

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5：93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名：Wextract
偽装名：Internet Explorer
検出名：PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645

MD5： 2c8ea737a232fd03ab80db672d50a17a

一般的なファイル名： LwssPlayer.scr

偽装名： 梦想之巅幻灯播放器

検出名： Auto.125E12.241442.in02

SHA 256：1a234656f81e870cdeb0e648a6b305a41452c405cca21124de26b54f79d55ad0

MD5：10f1561457242973e0fed724eec92f8c

一般的なファイル名：ntuser.vbe

偽装名：なし

検出名：Auto.1A234656F8.211848.in07.Talos

SHA 256：c326d1c65c72eb66f5f5c0a84b1dcf3e8a79b69fffbd7a6e232b813ffbb23254

MD5： 8a5f8ed00adbdfb1ab8a2bb8016aafc1

一般的なファイル名： RunFallGuys.exe

偽装名：なし

検出名： W32.Auto:c326d1.in03.Talos

SHA 256：36efad0617db0d45de00cc4f3cf49af7c2d6b5b15ca456d13703b5d366c58431

MD5：147c7241371d840787f388e202f4fdc1

一般的なファイル名：EKSPLORASI.EXE

偽装名：なし

検出名：Win32.Generic.497796

本稿は 2022 年 09 月 29 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 29, 2022) — Personal health apps are currently under a spotlight, but their warning signs have always been there」の抄訳です。

• 脅威情報ニュースレター