脅威情報ニュースレター（2022 年 11 月 10 日）：脆弱性調査、授業中に見た映画、Emotet 再来

今週も脅威情報ニュースレターをお届けします。

今週火曜日は、情報セキュリティコミュニティにとって大変な 1 日でした。米国中間選挙があっただけでなく、Emotet が再来し、月例の Microsoft セキュリティ更新プログラムのリリース日でもありました。更新プログラムがリリースされるといつも、バグハンティング エコシステム、そして脆弱性調査の重要性と価値について考えさせられます。バグハンティング エコシステムというと、学生時代の特別な日々を思い出すという人もいるでしょう。大きな AV カートで教室に運び込んだテレビでドキュメンタリーを上映。そんな青春の日々でした。当時はセキュリティについて、万能感を抱いていたような気がします。昔話はここまでにしましょう。脆弱性調査は、インターネットのセキュリティにとって絶対に欠かせないものです。研究者はソフトウェアとオペレーティングシステムを調査して脆弱性を特定します。この目的は、攻撃者よりも先に脆弱性を発見することです。脆弱性を見つけ、責任を持って開示することによって、実際に攻撃が開始される前に、悲惨な状況を招く可能性があるエクスプロイトキットの公開を防ぐことができます。攻撃者よりも先に、研究者が脆弱性を発見する場合もあります。脆弱性が実際に悪用される前にベンダーがパッチや修正プログラムを作成できるようにすることは、防御する側にとって大きなメリットなのですが、この点が広く議論されることはあまりありません。脆弱性を特定し、情報開示についてベンダーと調整するという骨の折れる作業をしてくれている研究者の皆さんに、心からの感謝を伝えたいと思います。

重要な情報

Emotet が再来しました。というより、本当に消滅していたのでしょうか？Emotet は法執行機関によって停止に追い込まれては、何度も復活を繰り返しています。バンキング型トロイの木馬からモジュラーボットネットへと進化を遂げた Emotet は、興味が失せない追跡対象です。エクスプロイトキット「Angler」との戦いはモグラ叩きのようでしたが、それと似ています。エンドユーザーに被害を及ぼすだけでなく、検出を回避するための新しい手法を開発し、実装し続けているのです。

注意すべき理由

Emotet は非常に長い間成功を収めています。このブログを読んでいる方の中には、すでに Emotet について知っていて、直接対処しなければならなかった人もいるかもしれません。過去を振り返ってみても、Emotet が自ら姿を消すことはありません。つまり、Talos が現在行っている調査について把握しておくことは、セキュリティを確保するうえで不可欠です。

必要な対策

これまでと同じです。エンドユーザーを可能な限り教育してください。それでもなお、リンクをクリックしてしまうユーザーがいることを理解する必要があります。すべてのセキュリティデバイスが最新のカバレッジリリースに対応していること、そして Talos のブログ（IOC を平文で公開）をフォローしていることをご確認ください。IOC は、Talos の GitHub でも提供しています。パッチ管理を徹底してシステムを最新の状態に保ち、不要なサービスやプロトコルを削除するなど、一般的なシステムの強化を実施するようにしてください。

今週のセキュリティ関連のトップニュース

20 機種以上の Lenovo 社製ノートパソコンに、UEFI セキュアブートプロセスが無効になる脆弱性が存在することが判明しました。この脆弱性がエクスプロイトされると、署名されていない UEFI アプリまたはロードブートローダーが実行され、デバイスに永続的にバックドアが仕掛けられるようになります。Lenovo 社は、脆弱性が存在する 25 機種に対してセキュリティアップデートをリリースしましたが、そのタイミングで ESET の研究者がこの脆弱性を公開しました。UEFI セキュアブートが無効になるという脆弱性であり、悪意のあるファームウェアを攻撃者がインストールできるようになります。このファームウェアは、オペレーティングシステムを何度再インストールしても起動し、検出もされません（情報源：Ars Technica）。

Zimperium zLabs は最近、攻撃者が Google Chrome をリモートで制御できるようになる悪意のある拡張機能を特定しました。悪意のあるブラウザ拡張機能である Cloud9 には、ブラウザセッションから情報を盗む機能だけでなく、ユーザーのデバイスにマルウェアをインストールし、その後デバイス全体を制御する機能を備えています。これは事実上、Chromium Web ブラウザ（Google Chrome や Microsoft Edge など）を標的としたリモートアクセス型トロイの木馬（RAT）です。この拡張機能は、公式の Chrome ストアでは入手できませんが、偽の Adobe Flash Player アップデートをプッシュ配信する Web サイトで提供されていました（情報源：Bleepingcomputer）。

Talos が発信している情報

• Emotet 再来
• 注目の脅威：サイバー犯罪者がフィッシング攻撃やマルウェア攻撃に IPFS を採用
• Microsoft セキュリティ更新プログラム（月例）：2022 年 11 月に公開された脆弱性と、対応する Snort ルール
• 企業を守る – Talos IR でサプライチェーン攻撃に備える

Talos が参加予定のイベント

BSides Lisbon（11 月 10 日～ 11 日）
ポルトガル、リスボン、Cidade Universitária

SIS（セキュリティインテリジェンスサミット）2022.ON（11 月 29 日）
ソウル、朝鮮パレスホテル

CactusCon（1 月 27 日～ 28 日）
アリゾナ州メサ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5：2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名：VID001.exe
検出名：Simple_Custom_Detection

SHA 256：
1077bff9128cc44f98379e81bd1641e5fbaa81fc9f095b89c10e4d1d2c89274d
MD5：26f927fb7560c11e509f0b8a7e787f79
一般的なファイル名：Iris QuickLinks.exe
検出名：W32.DFC.MalParent

SHA 256：a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5：7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名：IMG001.exe
検出名：Simple_Custom_Detection

SHA 256：
e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5：93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名：Wextract
偽装名：Internet Explorer
検出名：PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

本稿は 2022 年 11 月 10 日に Talos Group のブログに投稿された「Threat Source newsletter (Nov. 10, 2022): Vulnerability research, movies in class, and Emotet once again」の抄訳です。