今週も脅威情報ニュースレターをお届けします。
個人的な旅行の準備をしなければならないので、この記事は今週初めに書いています。そのため、RSA で何か重要なことが起きても紹介できないのですが、どうぞご了承ください(今年もサイバーセキュリティ模擬ドラフトについて記事にしようと思いましたが、見送ることにしました。読者の皆様にとってはラッキーだったかもしれません)。
ともあれ、RSA 初日となる今週月曜日の朝、シスコは皆様を驚かすような数々の発表を行いました。今日この記事を読んでいて発表の詳細について知りたいという方は、まだ間に合いますので、会場にいるチームメンバーを探してみてください(ブースの位置など詳細については先週のニュースレターをご覧ください)。
Cisco Duo に関する発表をご紹介すると、同サービスを有料契約しているすべてのお客様に Trusted Endpoints をご利用いただけるようになりました。Trusted Endpoints を使用すれば、未知のデバイスからのアクセスをブロックできます。
Duo の 3 つのエディションの名称変更も行われており、今後は Duo Essentials、Duo Advantage、Duo Premier という名称になります。月曜日にセキュリティ機能が追加されたことを発表しましたが、1 ユーザー当たりの単価は上がりませんので、お客様はたいへんお得に強力なセキュリティ機能をご利用になれます。
シスコは、新しい Extended Detection and Response(XDR)プラットフォーム、Cisco XDR も発表しました。ユーザーのエンドポイント、ネットワーク、アプリケーションのテレメトリと、ご利用の環境に合わせてカスタマイズされた脅威検出機能が組み合わさった新しいソリューションです。このプラットフォームを使用すると、他の多くのポイント製品単独では把握できない環境においても脅威を検出できます。
Talos の Hazel Burton がお届けする今週の『ThreatWise TV』の新エピソードでは XDR を取り上げており、現在 XDR を使用している企業ユーザーへのインタビューも行っています。このエピソードには Talos アウトリーチチーム責任者の Nick Biasini も登場し、現在攻撃者が使用している戦術、手法、手順に対し、Cisco XDR がどのように適応しているかについて解説しています。
重要な情報
3CX のサプライチェーン攻撃については今も詳しい調査が行われており、情報が続々と出ています。新たな報告では、実際には 2 つのサプライチェーン攻撃が連動していたことが明かされています。3CX の侵害に関与した攻撃者はまず、別のアプリケーションにバックドアを設置していました。次に、そのバックドアを使って 3CX への侵入を果たし、悪意のある偽のアップデートを送り付けていたのです。報告は他にもあり、3CX への攻撃中に、国家の支援を受けた同じ攻撃者が、バックドアを使って複数の重要インフラのネットワークにも侵入していたことが判明しています。
注意すべき理由
このニュースで、サプライチェーン攻撃に対する計画と防御がいかに大切かが、一層浮き彫りになりました。国家の支援を受け、豊富な資金を持つ攻撃者がサプライチェーン攻撃にますます注目するようになっており、複数のセクターや産業を標的としたサプライチェーン攻撃が野放しになっていることは明らかです。
必要な対策
サプライチェーン攻撃に備えるためにあらゆる組織が講じることのできる重要な措置がいくつかあります。こちらの記事で説明しているのでご確認ください。Talos インシデント対応チームの Craig Jackson を迎えた最新の『Talos Takes』エピソードでも、あらゆる規模の組織に役立つアドバイスを提供しています。
今週のセキュリティ関連のトップニュース
AI が生成したスパムが、すでに電子メールの受信トレイ、Amazon のレビュー、ソーシャルメディアの投稿に出現。セキュリティの研究者や情報提供者は、ChatGPT のような AI チャットボットを使用して Amazon の人気商品の偽レビューが書かれた事例をすでに何件か発見しています。ツイートが投稿された事例すらあります。偽のレビューを書いたのが ChatGPT であることを示す動かぬ証拠があります。その多くには、スパムや憎悪に満ちたコンテンツを生成するように明示的に依頼された場合に通常 ChatGPT が返す「I cannot generate inappropriate content(不適切なコンテンツを作成することはできません)」という文言が入っているのです。他の AI モデルでは、標的にするソーシャルメディアのプロファイルを調べるような学習がなされており、支持政党や雇用形態などを素早く学習して推測し、個々の標的に狙いを定めたスパムやフィッシングメッセージを生成します。専門家は、フェイクニュース、誤った情報、詐欺などがさらに急増する恐れがあると警告しています(情報源:Vice、Gizmodo)。
印刷管理ソフトウェア PaperCut の脆弱性に対するエクスプロイドコードが今週オンラインで公開。この脆弱性の深刻度は 9.8 で、攻撃者が悪用する可能性が高まっています。PaperCut は 3 月にこの脆弱性を公表し、パッチをリリースしましたが、まだパッチを適用していないデバイスが多く見られます。CVE-2023-27350 は、PaperCut MF/NG の SetupCompleted クラスに存在する不適切なアクセス制御の問題です。この脆弱性をエクスプロイトすると、システムレベルの権限で認証をバイパスして任意のコードを実行できます。セキュリティ研究者は、攻撃者がこの脆弱性を悪用し、悪意のある遠隔管理ソフトウェアをインストールしている事例を 2 件発見しました。PaperCut MF と PaperCut NG を使用している場合は、バージョンが 20.1.7、21.2.11、22.0.9 のいずれかであることを確認するようにしてください(情報源:Ars Technica、SecurityWeek)。
米国の法執行機関と諜報機関が、ダーク Web のネットワークやフォーラムの閉鎖を優先、サイト管理者とユーザーの逮捕は後回しに。リサ・モナコ米国司法省副長官は、今週開催された RSA カンファレンスでの講演で、検察官と捜査官には「サイトの閉鎖と被害者を出さないための行動に集中し、被害が発生している場合は最小限に食い止め」、「次の被害者を出さないようにする行動を取る」よう指示が出ていると述べました。とはいえ、人気のダーク Web フォーラム Genesis Market が最近閉鎖に追い込まれたことで、法執行機関がこうした闇サイトの開設者の正体を暴き、ユーザーの活動の匿名性を低下させられるようになってきたことは明らかです(情報源:CyberScoop、SC Media)。
Talos が発信している情報
- 『Beers with Talos』エピソード#133:よく議論されているワイヤレスルータの話題
- 『Talos Takes』エピソード#135:多要素認証の未来はどうなるか
- シスコ、ネットワークハードウェアを最新に保つようユーザーに呼びかけ
- 4 月 14 日~ 4 月 21 日における脅威のまとめ
- 注目の脆弱性:コマンドインジェクションを実行される恐れがある IBM AIX の特権昇格の脆弱性
Talos が参加予定のイベント
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:e248b01e3ccde76b4d8e8077d4fcb4d0b70e5200bf4e738b45a0bd28fbc2cae6
MD5: 1e2a99ae43d6365148d412b5dfee0e1c
一般的なファイル名: PDFpower.exe
偽装名: PdfPower
検出名: Win32.Adware.Generic.SSO.TALOS
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:4ad8893f8c7cab6396e187a5d5156f04d80220dd386b0b6941251188104b2e53
MD5:cdd331078279960a1073b03e0bb6fce4
一般的なファイル名: mediaget.exe
偽装名: MediaGet
検出名: W32.DFC.MalParent
本稿は 2023 年 04 月 27 日に Talos Group のブログに投稿された「Threat Source newsletter (April 27, 2023) — New Cisco Secure offerings and extra security from Duo」の抄訳です。