Cisco Japan Blog / 脅威リサーチ / 脅威情報ニュースレター（2023 年 2 月 16 日）：大事なニュースを見逃していませんか

今週も脅威情報ニュースレターをお届けします。

育児休暇で Talos から 3 か月以上離れていましたが、このたび復帰しました。子どもを持つと、世の中のことを「常に把握しておかなければ」という思いが吹き飛びます。11 月から 1 月半ばぐらいまでは外の世界で何が起きているのかまったくわからず、ひたすら娘にミルクを飲ませる時間を気にかけ、合間を見て 30 分程度うたた寝をするのがせいぜいでした。

ここ数週間はソーシャルメディアとニュースに触れる機会が徐々に増えてきましたが、急いで仕事に復帰したわけでもなく、かなりのニュースを見落としています。『サタデー・ナイト・ライブ』の「ウィークエンド・アップデート」で最新ニュースを拾っているだけの期間もあったのです。

私が不在の間の脅威情報ニュースレターについては、同僚の Madison Burns と Bill Largent が見事に代わりを務めてくれました。ただ、11 月 1 日以降私自身が見逃してしまったこともあり、いくつか重要なニュースをまとめて発表するのも悪くないのではないかとふと思いつきました。

この時期は、読者の皆さんも何かと慌しかったかもしれません。年末年始の休暇もありましたし、やることが色々あれば、ニュースなんてすぐに見逃してしまいます。ここでは、2022 年後半から 2023 年初めのセキュリティ関連のトップ記事を見直していて目に留まった主な動向と記事の大筋を紹介します。

• ロシアとウクライナの戦争があらゆる局面で進展を続ける。サイバー攻撃が衰える気配はなく、ウクライナ政府は 2023 年初めに国家の支援を受けた攻撃が複数回あったと報告しました。この中には、国営通信社への攻撃も含まれています。悪名高い WhisperGate マルウェアが再び勢いを取り戻し、ウクライナの著名な組織を標的にしてデータのワイプを実行し、機密情報を盗み出そうとしました。Gamaredon APT は依然としてやりたい放題です。幸い、ロシアの後押しを受けたグループとの戦いで、防御側がいくらか前進を果たしました。この点については、後で取り上げます。
• 2022 年に活況を呈したスパイウェア業界。スパイウェアについては、今後も耳にする機会が増えると思われます。このような違法すれすれのソフトウェアがユーザーの携帯電話にインストールされると、ユーザーの行動とメッセージを逐一追跡できるようになります。そのため、政治家、活動家、ジャーナリストなど注目度の高い人たちを標的にする場合によく使用されます。スパイウェアは世界中で増殖しており、米国を含め多くの国の政府機関で使用されています。ただ、バイデン政権は外国企業のスパイウェアが米国内の携帯電話に入り込まないようにするための取り組みを始めています。
• Lapsus$ ランサムウェアグループが依然として世界中で活発に活動。Cisco Talos の研究者は 2022 年全体を通して Lapsus$ の攻撃を広範囲にカバーしていました。それでも 2022 年後半から 2023 年初めにかけて数回の攻撃が発生しています。「リーグ・オブ・レジェンド」のソースコードを漏洩させようとした攻撃や、認証会社 Okta を侵害した攻撃などです。こうした攻撃は、2022 年初めに T-Mobile や Uber などを標的にした大規模な攻撃の流れを汲むものです。
• 芸術から声優、そして今や高機能検索エンジンまで、AI 全盛時代が到来。見解が大きく分かれているツールの 1 つに ChatGPT があります。ただ、これはすでにマルウェアの領域に入っています。ChatGPT は、昨年 11 月にリリースされたチャットボットであり、繰り返し変異して従来の検出方法を回避できる「ポリモーフィック型」のマルウェアを作成できることがすでに明らかになっています。詐欺師や攻撃者も ChatGPT を使用するようになっています。用途は、つい納得してしまうようなスピアフィッシングメールを短時間で作成して標的のユーザーが個人的に知っていそうな人物になりすますことです。

重要な情報

Microsoft 社の今月の月例セキュリティ更新プログラムには、3 件のゼロデイ脆弱性が含まれています。同社によると、いずれも実際の攻撃に活発に使用されているとのことです。Microsoft 社が公開した月例セキュリティ更新プログラムによると、CVE-2023-23376、CVE-2023-21715、CVE-2023-21823 がすでに実際に悪用されています。合計で 73 件の脆弱性が公開されており、そのうち「緊急」に分類されたものが 8 件、「重要」に分類されたものが 64 件、「警告」に分類されたものが 1 件です。

注意すべき理由

火曜日に公開された問題の中で最も深刻なのは CVE-2023-21823 です。これは、Windows グラフィックス コンポーネントに見られるリモートコード実行の脆弱性です。攻撃者にこの脆弱性が悪用された場合、システムレベルの権限を取得される恐れがあります。月例セキュリティ更新プログラムの後には、必ずすべての Microsoft 製品を更新することが重要です。

必要な対策

Microsoft 製品のユーザーは、これらの更新プログラムをできるだけ早く適用するようにしてください。また、Talos はこうした脆弱性のエクスプロイト試行を検出する新しい Snort ルールをリリースしました。Cisco Secure Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

今週のセキュリティ関連のトップニュース

数名のロシア人が新たな制裁措置の対象となりました。Trickbot と Conti ランサムウェア集団のメンバーであることが明らかになっています。こうしたグループに所属する人物は、ランサムウェアコードの開発からマネーロンダリングやコマンドアンドコントロール サーバーの管理に至るまでさまざまな活動に関わっています。米国と英国の両政府は、新たな対抗手段として、こうした攻撃者の多くの正体を明らかにし、名前を公表しました。匿名で秘密裏に活動するのを難しくするのがその狙いです。最近の調査によると、この種の制裁措置はロシアの後押しを受けたランサムウェア攻撃を遅らせるのに有効であることが明らかになっています（情報源：Wired、CPO Magazine）。

最近のニュースでは、中国の悪名高いスパイバルーンなど未知の物体がたびたび話題になっています。米軍は空中での撃墜を続けていますが、世界各国の政府関係者は中国のサイバー攻撃能力が依然として喫緊の脅威であると警告しています。台湾政府はすでに、この数年何度か注目を集めた改ざん攻撃の標的となっています。最近になって同国は、サイバーセキュリティ能力の強化に向けてまったく新しい政府組織を設立しました。FBI 長官も、中国の監視能力とサイバー能力の向上に対抗しようとしている民間のセキュリティ会社に新しいサービスを提供し和解の手を差し伸べています（情報源：Bloomberg、Wall Street Journal）。

ソーシャルメディアサイト Reddit は、同サイトが先ごろ「標的を絞り込んだ高度なフィッシング攻撃」の標的になったと発表しました。攻撃者は「ドキュメント、コード、一部の内部ビジネスシステム」にアクセスしたものの、ユーザー名とパスワードには影響がないということです。攻撃者は Reddit の社員を騙して多要素認証のプッシュ通知を承認させましたが、自分のミスに気づいた社員がすぐに Reddit のセキュリティチームに連絡して大事には至りませんでした（情報源：Dark Reading、Reddit）。

Talos が発信している情報

• 新たな脅威、MortalKombat ランサムウェアと Laplas Clipper マルウェアを展開する金銭目的の攻撃を発見
• 『Talos Takes』エピソード128：一年の総括 — ランサムウェアとコモディティ型ローダー
• Cisco Live EMEA 2023：シンプルさ、セキュリティ、サステナビリティ
• 米国、英国、トルコ、フィリピンが MortalKombat ランサムウェアの標的に
• 新しいランサムウェアとクリッパーマルウェアを使用した金銭目的の攻撃が発生

Talos が参加予定のイベント

WiCyS（3 月 16 日～ 18 日）

デンバー（コロラド州）

RSA（4 月 24 日～ 27 日）

カリフォルニア州サンフランシスコ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5： a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Tool.Kmsauto::1201

SHA 256：59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5： df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名： DOC001.exe
偽装名：なし
検出名： Win.Worm.Coinminer::1201

SHA 256：36efad0617db0d45de00cc4f3cf49af7c2d6b5b15ca456d13703b5d366c58431
MD5： 147c7241371d840787f388e202f4fdc1
一般的なファイル名： EKSPLORASI.EXE
偽装名：なし
検出名： Win32.Generic.497796

SHA 256：125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5： 2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名： LwssPlayer.scr
偽装名：梦想之巅幻灯播放器
検出名： Auto.125E12.241442.in02

本稿は 2023 年 02 月 16 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 16, 2023) — Recapping what we may have missed so far this year」の抄訳です。

Authors

TALOS Japan