脅威情報ニュースレター(2023 年 3 月 2 日):ランサムウェアとの戦いにおける小さな勝利
今週も脅威情報ニュースレターをお届けします。
サイバーセキュリティ コミュニティの一員である Talos は何年もの間、世界的な課題となっているランサムウェア対策についての議論に参加してきました。これまでに、国際的なランサムウェアグループに対する制裁の強化、米国政府による新法の制定、攻撃者が追跡をかわすためによく使用する仮想通貨へのアクセスの制限などの対策がとられています。
ここに来て、その成果が現れてきたようです。
一年の総括でも述べたように、Talos インシデント対応チームが 2022 年に対応したインシデントのうち、ランサムウェアが占める割合が前年よりも低下しました。ランサムウェアファミリの民主化が進んだことで、個々に活動していたグループが集結していくつかの大きなグループを形成するようになっています。
ブロックチェーン分析企業 Chainanalysis
の調査によると、2022 年にランサムウェアグループが得た身代金の総額はおよそ 4 億 5,680 万ドルであり、2020 年と 2021 年に比べ約 40% 減少しました。先日は Wall Street Journal(WSJ)も、ランサムウェアに攻勢をかけているという米国政府の見解を報道しています。
リサ・モナコ米司法副長官は WSJ に対し、「政府が積極姿勢へ転換したこと」が抑止効果をもたらしているとし、「攻撃を未然に防ぐためにあらゆる手段を講じている」と述べました。
大規模なランサムウェア攻撃は依然として発生しています(先日も大手食品会社 Dole がサイバー攻撃を受け、生産の一時停止に追い込まれました)。一方で、あまり話題にはなりませんが、Talos などの民間企業と各国政府が協力して対策を講じたことで防御に一定の成果が出ているようです。
どれか 1 つの対策が奏功したのではなく、複数の対策の積み重ねによる成果だと思われます。先ごろランサムウェアグループ Trickbot のメンバーに厳しい措置を講じたように、政府は攻撃者と背後で糸を引く勢力に対して制裁を強化しています。逮捕、刑事告発され、懲役刑を受ける者も出てきました。
ランサムウェアの被害を防ぐ体制が整い、被害を受けた場合でも組織や個人の多くは以前より適切に対処できるようになっています。身代金の支払いも回避できていると期待したいところです。さらに、資産の差し押さえや凍結により一部のランサムウェアグループはメンバーを解雇せざるを得ない状況に追いやられています。
2022 年は例外だった可能性もあります。一年の総括でも指摘したように、ロシアのウクライナに対する軍事侵攻が始まると、ランサムウェアの活動が一時的に減少しました。このことも防御側にとっては有利に働きました。
だとしても気を緩めて AI チャットボットのような代物に気を取られている場合ではありません。病院や学校など社会にとって最も重要な機関をはじめとして、誰にとってもランサムウェアが大きな脅威であることに変わりはないのです。勝利を味わいつつも注意は怠らないことが大切です。
重要な情報
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、CVE-2022-36537 が盛んに悪用されているとして注意を呼びかけました。これは ZK フレームワークの AuUploader における脆弱性であり、これまで悪用は特定されていませんでした。パッチを適用していないインスタンスがある場合、ソフトウェア サプライチェーンにとって深刻な脅威になります。CISA は「米国企業にとって大きなリスクである」と警告しています。攻撃者は脆弱性を悪用しサーバーにバックドアを仕掛けると報告されています。ZK フレームワークを使用している ConnectWise の R1Soft Server Backup Manager は特に注意が必要です。
注意すべき理由
ZK は Java で記述されたオープンソースの Ajax Web アプリケーション フレームワークです。これを使用すればプログラミングの知識がなくても Web アプリケーションの GUI を作成できます。多くのオープンソースのプロジェクトやソフトウェアが ZK フレームワークを利用しているため、この脆弱性による影響は広範囲に及ぶ可能性があります。公開情報によると、攻撃者は ConnectWise R1Soft の脆弱性を悪用して認証を回避し、バックドアを仕掛け、リモートコードを実行できるようにするとのことです。
必要な対策
研究者が脆弱性を最初に公表したのは 10 月であり、このフレームワークを利用しているプロジェクトや製品にパッチを適用するための十分な期間があったことになります。ConnectWise は 10 月 28 日にパッチをリリースしています。
今週のセキュリティ関連のトップニュース
米国防総省が特殊作戦軍(SOCOM)の電子メールデータ漏洩を調査。サーバーの IP アドレスを入手すればパスワードを入力しなくてもデータにアクセスできる状態が何年も続いていたことをセキュリティ研究者が発見しました。この発見を受け、ただちにサーバーのセキュリティが確保されています。漏洩したメールには米軍の契約に関する情報や、書類の提出を求める国防総省職員のメッセージが含まれていました。SOCOM は、ハッキングの被害は確認されておらず、単なるミスだとしています(情報源:CNN、Bloomberg)。
AI が生成した音声で銀行の自動電話認証システムを回避し、銀行口座へのログインに成功。記者によると、インターネットで簡単に入手できる AI ツールで作成した自分の偽の音声を使用して最近の取引一覧や預金残高などの口座情報にアクセスできたとのことです。現時点では、認証システムの悪用事例はほぼなさそうですが、銀行などのサービスで音声認証によるログインを停止すべき理由が明らかになっています。AI 音声ツールを使用して著名人がおかしな発言をしているように見せかけるミームやフェイク画像はもう出回っています(情報源:Vice)。
衛星放送事業者 Dish がランサムウェア攻撃を受けたと発表。一部のサービスがここ数日停止していることに加え、システムからデータが流出した可能性があります。同社は米国証券取引委員会への報告で、IT システムから「特定のデータ」が流出し、その中には個人情報が含まれている可能性があると述べていますが、それが従業員のものなのか顧客のものなのか、あるいは両方の個人情報なのかはわかっていません。水曜朝の時点で、Web サイト、モバイルアプリ、カスタマーサポートシステム、Sling TV(Dish のストリーミングサービス)が影響を受けています(情報源:TechCrunch、Bleeping Computer)。
Talos が発信している情報
- 2 月 17 日~ 2 月 24 日の 1 週間における脅威のまとめ
- 注目の脆弱性:EIP Stack Group OpENer にリモートコード実行の脆弱性を 2 件発見
- ロシアによるウクライナ侵攻をきっかけとしたサイバー戦争の評価
- サプライチェーンのセキュリティに果てしない混乱をもたらす SBOM
Talos が参加予定のイベント
WiCyS (3 月 16 日~ 18 日)
デンバー(コロラド州)
RSA (4 月 24 日~ 27 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5: 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名: teams15.exe
偽装名: teams15
検出名:Gen:Variant.MSILHeracles.59885
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 03 月 02 日に Talos Group
Tags:
