Cisco Japan Blog

脅威情報ニュースレター(2023 年 3 月 2 日):ランサムウェアとの戦いにおける小さな勝利

1 min read



今週も脅威情報ニュースレターをお届けします。

サイバーセキュリティ コミュニティの一員である Talos は何年もの間、世界的な課題となっているランサムウェア対策についての議論に参加してきました。これまでに、国際的なランサムウェアグループに対する制裁の強化、米国政府による新法の制定、攻撃者が追跡をかわすためによく使用する仮想通貨へのアクセスの制限などの対策がとられています。

ここに来て、その成果が現れてきたようです。

一年の総括でも述べたように、Talos インシデント対応チームが 2022 年に対応したインシデントのうち、ランサムウェアが占める割合が前年よりも低下しました。ランサムウェアファミリの民主化が進んだことで、個々に活動していたグループが集結していくつかの大きなグループを形成するようになっています。

ブロックチェーン分析企業 Chainanalysispopup_icon の調査によると、2022 年にランサムウェアグループが得た身代金の総額はおよそ 4 億 5,680 万ドルであり、2020 年と 2021 年に比べ約 40% 減少しました。先日は Wall Street Journal(WSJ)も、ランサムウェアに攻勢をかけているという米国政府の見解を報道していますpopup_icon

リサ・モナコ米司法副長官は WSJ に対し、「政府が積極姿勢へ転換したこと」が抑止効果をもたらしているとし、「攻撃を未然に防ぐためにあらゆる手段を講じている」と述べました。

大規模なランサムウェア攻撃は依然として発生しています(先日も大手食品会社 Dole がサイバー攻撃popup_iconを受け、生産の一時停止に追い込まれました)。一方で、あまり話題にはなりませんが、Talos などの民間企業と各国政府が協力して対策を講じたことで防御に一定の成果が出ているようです。

どれか 1 つの対策が奏功したのではなく、複数の対策の積み重ねによる成果だと思われます。先ごろランサムウェアグループ Trickbot のメンバーに厳しい措置を講じたpopup_iconように、政府は攻撃者と背後で糸を引く勢力に対して制裁を強化popup_iconしています。逮捕popup_icon、刑事告発され、懲役刑を受ける者も出てきました。

ランサムウェアの被害を防ぐ体制が整い、被害を受けた場合でも組織や個人の多くは以前より適切に対処できるようになっています。身代金の支払いも回避できていると期待したいところです。さらに、資産の差し押さえや凍結により一部のランサムウェアグループはメンバーを解雇popup_iconせざるを得ない状況に追いやられています。

2022 年は例外だった可能性もあります。一年の総括でも指摘したように、ロシアのウクライナに対する軍事侵攻が始まると、ランサムウェアの活動が一時的に減少しました。このことも防御側にとっては有利に働きました。

だとしても気を緩めて AI チャットボットのような代物に気を取られている場合ではありません。病院や学校など社会にとって最も重要な機関をはじめとして、誰にとってもランサムウェアが大きな脅威であることに変わりはないのです。勝利を味わいつつも注意は怠らないことが大切です。

重要な情報

米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、CVE-2022-36537 が盛んに悪用されているpopup_iconとして注意を呼びかけました。これは ZK フレームワークの AuUploader における脆弱性であり、これまで悪用は特定されていませんでした。パッチを適用していないインスタンスがある場合、ソフトウェア サプライチェーンにとって深刻な脅威になります。CISA は「米国企業にとって大きなリスクである」と警告しています。攻撃者は脆弱性を悪用しサーバーにバックドアを仕掛けると報告されています。ZK フレームワークを使用している ConnectWise の R1Soft Server Backup Manager は特に注意が必要です。

注意すべき理由

ZK は Java で記述されたオープンソースの Ajax Web アプリケーション フレームワークです。これを使用すればプログラミングの知識がなくても Web アプリケーションの GUI を作成できます。多くのオープンソースのプロジェクトやソフトウェアが ZK フレームワークを利用しているため、この脆弱性による影響は広範囲に及ぶ可能性があります。公開情報によると、攻撃者は ConnectWise R1Soft の脆弱性を悪用して認証を回避し、バックドアを仕掛け、リモートコードを実行できるようにするとのことです。

必要な対策

研究者が脆弱性を最初に公表したのは 10 月であり、このフレームワークを利用しているプロジェクトや製品にパッチを適用するための十分な期間があったことになります。ConnectWise は 10 月 28 日にパッチpopup_iconをリリースしています。

今週のセキュリティ関連のトップニュース

米国防総省が特殊作戦軍(SOCOM)の電子メールデータ漏洩を調査。サーバーの IP アドレスを入手すればパスワードを入力しなくてもデータにアクセスできる状態が何年も続いていたことをセキュリティ研究者が発見しました。この発見を受け、ただちにサーバーのセキュリティが確保されています。漏洩したメールには米軍の契約に関する情報や、書類の提出を求める国防総省職員のメッセージが含まれていました。SOCOM は、ハッキングの被害は確認されておらず、単なるミスだとしています(情報源:CNNpopup_iconBloombergpopup_icon)。

AI が生成した音声で銀行の自動電話認証システムを回避し、銀行口座へのログインに成功。記者によると、インターネットで簡単に入手できる AI ツールで作成した自分の偽の音声を使用して最近の取引一覧や預金残高などの口座情報にアクセスできたとのことです。現時点では、認証システムの悪用事例はほぼなさそうですが、銀行などのサービスで音声認証によるログインを停止すべき理由が明らかになっています。AI 音声ツールを使用して著名人がおかしな発言をしているように見せかけるミームやフェイク画像はもう出回っています(情報源:Vicepopup_icon)。

衛星放送事業者 Dish がランサムウェア攻撃を受けたと発表。一部のサービスがここ数日停止していることに加え、システムからデータが流出した可能性があります。同社は米国証券取引委員会への報告で、IT システムから「特定のデータ」が流出し、その中には個人情報が含まれている可能性があると述べていますが、それが従業員のものなのか顧客のものなのか、あるいは両方の個人情報なのかはわかっていません。水曜朝の時点で、Web サイト、モバイルアプリ、カスタマーサポートシステム、Sling TV(Dish のストリーミングサービス)が影響を受けています(情報源:TechCrunchpopup_iconBleeping Computerpopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

WiCyS popup_icon3 16 日~ 18 日)

デンバー(コロラド州)

RSA popup_icon4 24 日~ 27 日)

カリフォルニア州サンフランシスコ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon
MD5 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201

SHA 25600ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725popup_icon
MD5 d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934popup_icon
MD593fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423popup_icon
MD5 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名: teams15.exe
偽装名: teams15
検出名:Gen:Variant.MSILHeracles.59885

SHA 256e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636cpopup_icon
MD5 a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201

 

本稿は 2023 年 03 月 02 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (March 2, 2023) — Little victories in the fight against ransomwarepopup_icon」の抄訳です。

 

コメントを書く