Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター（2023 年 2 月 23 日）：ソーシャルメディアがセキュリティを有料化

TALOS Japan
2023年3月8日

今週も脅威情報ニュースレターをお届けします。

ソーシャルメディアの最新のビジネスプランでは、セキュリティが有料化されるようです。

Twitter 社は SMS による二要素認証を有料サービス「Twitter Blue」の加入者に限定するとのプランを先ごろ発表しました。この機能を利用するには、月額 8 ドルまたは 11 ドルを支払うことになります。Facebook を運営する Meta 社も、Facebook と Instagram で認証バッジを取得できる新しい有料サービス「Meta Verified」を発表しています。サービスの月額料金は最大 14 ドルです。同社によると、「認証バッジは政府発行の身分証明書によってアカウントが本人のものだと証明するものであり、このサービスを利用することでアカウントの保護が強化され、アカウントの問題に関するサポートが拡張されるほか、自分の投稿が人目に触れやすくなりリーチ拡大につなげることができる」とのことです。

Twitter 社のプランは判断が難しいものです。専門家は、アプリによる多要素認証（MFA）の方が SMS による MFA より安全だと指摘しています。アプリによる MFA は Twitter で今も無料で使えるため、理論上は、SMS による MFA を有料化すると利用者は無料の MFA に切り替えていくと考えられます。

一方、現在 MFA を利用している Twitter ユーザーの 74% 以上は SMS による認証を選択しています。Twitter のユーザー数（推定で 3 億 5,300 万人以上）といずれかの MFA を利用している人の割合（2.6%）から計算すると、およそ 6,845,841 ものアカウントが、SMS による認証を利用し続けるために有料サービスに加入するか、アプリによる認証に切り替えることを余儀なくされるということになります。

ユーザーの多くは Twitter Blue に切り替えるか、自分のアカウントで MFA を利用し続けるための新たな方法を探すかもしれません。MFA の利用をやめてしまう人も多いでしょう。良心的なソーシャルメディアの運営企業なら、何があろうと利用者の保護を最優先にすべきです。

サインアップのために個人情報を差し出さなければならない以上、サイトでのなりすましを防ぐといったことは当然であると考えられます。しかも、多くの「普通の」人は、新しい MFA アプリのダウンロードや設定作業に時間を割くことを望んでいません。

セキュリティに詳しい人でさえ、用途に合わせていくつもの MFA アプリをダウンロードしなければならない状況にうんざりしてきています。簡単に安全なログインを行うために残された手段はパスワードマネージャを利用することですが、この方法も完全ではありません。

有料サービスに加入したくない Meta と Twitter の利用者が、自分のアカウントのセキュリティを強化する方法がいくつかあります。

• 物理的なセキュリティキーの購入。アカウントにログインする度に、セキュリティキーで一意のコードが生成されます。
• アプリによる MFA（Cisco Duo など）に登録。アプリによる MFA は、今も Twitter で無料で利用できます。
• 米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）のガイドラインの遵守。MFA アプリを初めて設定する場合は、CISA のガイドラインに従ってフィッシングに強い MFA を採用するようにしてください。
• パスワード管理プログラムの利用。どの MFA にも登録しないのであれば、パスワード管理プログラムを利用して、大文字、小文字、記号、数字をランダムに組み合わせたパスワードを生成し、安全に保管してください。ただし、最も安全なのはアプリによる MFA です。

重要な情報

正体不明の攻撃者が MortalKombat ランサムウェアと Laplas Clipper マルウェアの GO 亜種を展開し、被害者から暗号通貨を窃取しています。このところ Talos の研究者は、個人や中小企業、大規模な組織を標的とした攻撃を何度か確認しています。攻撃の目的は、暗号通貨の窃取や暗号通貨での身代金の支払い要求です。

注意すべき理由

格闘ゲーム『Mortal Kombat』に由来する MortalKombat は 1 月に発見されたばかりの新しいランサムウェアです。このマルウェアファミリについてはまだよくわかっていませんが、Talos はすでに新しい保護機能を提供しています。暗号通貨の価値が全面的に下落しているとはいえ、攻撃者が見向きもしなくなったわけではありません。攻撃者にとって、追跡されずに金儲けできる一番安全な方法が暗号通貨を狙う攻撃であることに変わりはないのです。

必要な対策

Talos は、先週のブログで概略を示した脅威から保護するための新しい Snort ルールと ClamAV シグネチャをリリースしました。Cisco Secure Endpoint をご利用のお客様は、Orbital Advanced Search を使用して複雑な OSquery を実行することで、エンドポイントがこの脅威に感染していないかを確認できます。

今週のセキュリティ関連のトップニュース

ランサムウェア集団「Clop」が 130 以上の組織に対するデータ侵害を主張。被害組織の多くは医療機関で、CHS Healthcare の患者に大きな影響が出ています。CHS は米国証券取引委員会に被害を報告しており、攻撃対象は MFT（マネージドファイル転送）製品の GoAnywhere だったとしています。この侵害により 100 万人もの人が影響を受けたということです。Clop のメンバーが述べたところでは、悪用されたのはセキュリティ上の欠陥である CVE-2023-0669 です。これをエクスプロイトすると、管理コンソールがインターネットで公開されているパッチ未適用の GoAnywhere MFT インスタンスでリモートコードを実行できるようになります。データ侵害は新年早々 10 日間にわたって続きました（情報源：Bleeping Computer、Ars Technica）。

米国連邦捜査局（FBI）がセキュリティインシデントを「封じ込めた」と発表。FBI のコンピュータネットワーク上のセキュリティインシデントだということですが、詳細は明かされていません。FBI はニュースネットワーク CNN への声明で、「インシデントについては把握しており、現在詳しく調べている」と述べ、「今回は単発の攻撃であり、すでに封じ込めに成功している。捜査が継続中なので、現時点ではこれ以上のコメントはできない」としています。今回の攻撃では、児童の性的虐待画像に関する捜査で使用される FBI のネットワークが標的にされたとのことです（情報源：CNN、InfoSecurity）。

治療用アプリの情報がデータブローカーの主な収益源に。データブローカーは利用者の情報から利益を得ていますが、オンライン診療サービスなどを提供する治療用アプリの情報がその主な収益源になりつつあります。デューク大学が行った新たな調査によると、あるブローカーが提供していたデータには個人のメンタルヘルスに関する情報が含まれており、年間 10 万ドルもの「サブスクリプション」サービス料金が請求されていました。個人の属性情報や利用者が申告した病気（うつ病、強迫性障害、双極性障害、脳卒中など）といった要配慮情報がデータには含まれていたとのことです。こうした治療用アプリは米国で利用者が増えていて、特にコロナ禍の時期に広く普及しました。保険診療を行う医療機関を見つけるのが難しい患者にとっては、費用を抑えられる利用しやすい選択肢となっています（情報源：PBS、Washington Post、Duke University）。

Talos が発信している情報

• Cisco Talos、暗号資産投資家を標的とした新たなマルウェア攻撃を発見
• Microsoft セキュリティ更新プログラム（月例）：2023 年 2 月に公開された脆弱性と、対応する Snort ルール
• 『Beers with Talos』エピソード#130：ランサムウェアは人間の問題（メールを使わないのが一番）

Talos が参加予定のイベント

WiCyS （3 月 16 日～ 18 日）

デンバー（コロラド州）

RSA （4 月 24 日～ 27 日）

カリフォルニア州サンフランシスコ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5：a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Tool.Kmsauto::1201

SHA 256：00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5： d47fa115154927113b05bd3c8a308201
一般的なファイル名： mssqlsrv.exe
偽装名：なし
検出名： Trojan.GenericKD.65065311

SHA 256：de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5： 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名： teams15.exe
偽装名： teams15
検出名： Gen:Variant.MSILHeracles.59885

SHA 256：59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5： df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名： DOC001.exe
偽装名：なし
検出名： Win.Worm.Coinminer::1201

本稿は 2023 年 02 月 23 日に Talos Group のブログに投稿された「Threat Source newsletter (Feb. 23, 2023) — Social media sites are making extra security a paid feature」の抄訳です。

• 脅威情報ニュースレター