Cisco Japan Blog / 脅威リサーチ / 脅威情報ニュースレター（2023 年 3 月 23 日）：【朗報】Meta がカナダでニュース共有を禁止すると警告 

今週も脅威情報ニュースレターをお届けします。

2 週間前、ChatGPT にニュースレターの執筆を依頼した後、同じことを Google の Bard でも試してみたくなりましたが、これをニュースレターの新ネタにするのもどうかと思いました。

そこで、代わりにもう 1 つの巨大テック企業 Meta について記事にすることにしました。

同社は最近、カナダでオンラインニュース法「法案 C-18」が可決された場合、同社のプラットフォームである Facebook と Instagram からニュースへのリンクと共有を削除するとして警告を強めました。同法案は、Meta や Google のような企業に対し、自社プラットフォームを通じて（つまりこの場合は Facebook 上の共有リンクや Google の検索結果を通じて）ユーザーがニュースリンクをクリックするたびに報道機関に対価を支払うという契約をカナダの報道機関と結ぶことを義務付けるものです。

しかし、かのトビー・マグワイアが映画『スパイダーマン』で言ったように、「そんなことは私にとってはどうでもいい話」なのです。

もし Facebook が、ユーザーが自分のページでニュースリンクを共有できないようにすれば、それはトータルでプラスになるかもしれません。Facebook ユーザーがフェイクニュースや誤った情報を共有する最大の発信源であることは有名です。2020 年 5 月の Nature Human Behavior 誌に掲載された研究によると、2016 年の米大統領選期間中、他のどのソーシャルメディアよりも高い割合でユーザーに偽ニュースサイトを紹介していたのは Facebook だったことがわかりました。

Harvard による別の研究では、2020 年の最初の数か月間、主流ニュース記事に対するフェイクニュースにユーザーが関与した割合は 1：3.5 であったことが判明しています。また国際通信協会は、ソーシャルメディアユーザーの調査をもとに、「Facebook でカウンターメディアのコンテンツを共有することは、イデオロギーの過激さと正の相関があり、主流ニュースメディアへの信頼と負の相関がある」と報告しています。

もし Instagram や Facebook などのソーシャルメディアがカナダの法案に対抗して共有しないという選択をするのであれば（Google はすでに先月、オンラインニュース法に抗議して、検索エンジンからニュースリンクを黙って削除し始めました）、偽情報との戦いに大きく貢献できると思います。ソーシャルメディアを通じてニュースを読むことができなくなれば、ユーザーは、Babylon Bee の出来の悪いパロディに過ぎない Great Aunt Betty の投稿をやみくもに「シェア」するのではなく、独自に情報を探さざるを得なくなるかもしれません。

また、この法律がカナダの報道機関にもたらすと思われるメリットについても触れないわけにはいきません。元ジャーナリストとして、また前職で年がら年中解雇に怯えていた身としてわかるのは、正当な報道機関が今、財政的な苦境に立たされているということです。オンライン広告はかつてのようにはいかないので、多くの報道機関はコンテンツをすべて有料化するハードペイウォールに軸足を移すか、何もニュースを提供しないクリックベイト記事に頼らざるを得なくなっています。もしこれが、正当なジャーナリズムに資金を提供する新しい方法ならば、特に世界で最も裕福な企業に財政的負担がかかるだけならば、報道機関の存続に大いに役立つかもしれません。

カナダで法案が通ったからと言って、他の国でもすぐに同じルールが採用されるとは限りません。ただ、もしカナダで突然、Facebook でニュースが共有されなくなったとしたら、自分たちはどこからニュースを入手しているのか、そしてほんの 15 年前まではどのようにニュースを入手していたのかを誰もが考えざるを得なくなるでしょう。

重要な情報

CVE-2023-23397 が公開されましたが、シスコは今も、できるだけ早く Microsoft Outlook クライアントをアップデートするよう注意を呼び掛けています。攻撃者は昨年からこの脆弱性を悪用していると報告されていますが、すでに Microsoft 社を通じて修正プログラムが提供されています。攻撃者が標的となったシステムを操作して、ユーザーの Net-NTLMv2 ハッシュを攻撃者に提供させる可能性があります。このハッシュは、他のシステムに対する NTLM リレー攻撃に使用されます。

注意すべき理由

Microsoft 社をはじめとする複数の情報源が、この脆弱性が実際に悪用されていることを確認しています。さらに言うと、この脆弱性を悪用するためには、ユーザーが電子メールや悪意のある添付ファイルを開く必要すらありません。細工されたメールが標的の Outlook の受信ボックスに届くだけでよいのです。深刻度が高く、攻撃条件の複雑さが低い脆弱性なので、もしまだパッチを適用していない場合は必ず適用するようにしてください。

必要な対策

Microsoft 社は適用すべきパッチをリリースしていますが、Talos も複数の層からなる検出と保護の手段を用意しています。このパッチを何らかの理由で適用できない場合でも、Microsoft 社から緩和策がいくつか提供されています。Protected Users セキュリティグループにユーザーを追加して NTLM が認証メカニズムとして使用されないようにする策や、社内ネットワークから発信されるポート TCP/445 をブロックして NTLM メッセージがネットワーク外に出ていかないようにする策などがあります。

今週のセキュリティ関連のトップニュース

FBI によるサイトの主要管理者の逮捕を受け、よく知られているダーク Web サイト BreachForums が今週閉鎖。これは、サイバー犯罪グループに対する法執行機関の一連の勝利の中で最新のものです。1 月にはランサムウェア集団 Hive のサイト、昨年は BreachForums の前身である RaidForums を閉鎖させました。ユーザー名「Pompompurin」を名乗る同サイトの管理者は、2021 年 11 月に発生した FBI のメールシステムに対するデータ侵害への関与も認めています。BreachForums は、サイバー犯罪者が盗んだ情報のデータベースを売買するのによく使用していたサイトです。複数の国会議員の機密情報が盗まれることになった今月の DC Health Link への攻撃など最近話題になったデータ侵害でも、同サイトが中心となっていました（情報源：Krebs on Security、Axios）。

Google のセキュリティ研究チームが、Samsung 製の特定のチップに複数のゼロデイ脆弱性を発見。この脆弱性が原因で、多くの Google のスマートフォンやその他のウェアラブルデバイスにも脆弱性が存在します。Google Project Zero のブログ記事によると、影響を受けるデバイスを、携帯電話ネットワーク経由で「密かに遠隔から」侵害する可能性のある 4 つの重大な欠陥があります。攻撃者がこれらの脆弱性をエクスプロイトして「携帯電話を遠隔からベースバンドレベルで侵害する可能性があり、その際、ユーザーの操作は不要で、被害者の電話番号だけわかればよい」とのことです。Google は、Samsung 社が修正プログラムを発行する 90 日間の期限を守らなかったので、影響を受ける多くのデバイスにパッチがない状態で脆弱性を公表せざるを得なかったと述べています（情報源：TechCrunch、Google Project Zero）。

TikTok の CEO が木曜日に米国議会の委員会に出席。TikTok の使用禁止を求める声が連邦政府内で再燃しているのを受け、この人気アプリのデータセキュリティとプライバシーポリシーについて議論しました。周受資 CEO が準備した証言内容では、TikTok が 15 億ドルを投じて米国のユーザーの情報を Oracle のサーバーに保存していることがアピールされており、外部の監視者が同社のソースコードを検査できるようにすることが示されています。同社の中国人オーナーが株式売却に応じない場合は TikTok を使用禁止にすると米国の規制当局が警告したと報じられていますが、アプリをブロックする実際の仕組みと上場廃止は表に見えている以上に複雑です（情報源：ABC News、New York Times）。

Talos が発信している情報

• 中央アジアと東欧でスパイ活動を展開する新たな攻撃者が登場
• 3 月 10 日～ 17 日の 1 週間における脅威のまとめ
• 注目の脆弱性：任意のコマンドが実行されてしまう Netgear Orbi ルータの脆弱性
• 注目の脆弱性：WellinTech ICS プラットフォームにおける情報開示の脆弱性とバッファオーバーフローの脆弱性
• 『Talos Takes』エピソード#131：Prometei ボットネットはなぜ拡大し続けるのか？

Talos が参加予定のイベント

RSA （4 月 24 日～ 27 日）

カリフォルニア州サンフランシスコ

Cisco Live U.S. （6 月 4 日～ 8 日）

ラスベガス（ネバダ州）

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5： d47fa115154927113b05bd3c8a308201
一般的なファイル名： mssqlsrv.exe
偽装名：なし
検出名： Trojan.GenericKD.65065311

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5： 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名：teams15.exe
偽装名： teams15
検出名： Gen:Variant.MSILHeracles.59885

SHA 256：280c8c4f08700f0fea08f0e3ca6e96eadccf49c414c56b6a855c945769678e66
MD5： cd1f364e46c6367dd96f8469eb226981
一般的なファイル名：cd1f364e46c6367dd96f8469eb226981.scr
偽装名：なし
検出名： Win.Dropper.Upatre::dk

SHA 256：5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5： 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名： IMG001.exe
偽装名：なし
検出名： Win.Dropper.Coinminer::1201

本稿は 2023 年 03 月 23 日に Talos Group のブログに投稿された「Threat Source newsletter (March 23, 2023) — Meta is threatening to ban news sharing in Canada. Good.」の抄訳です。

Authors

TALOS Japan