今週も脅威情報ニュースレターをお届けします。
私は長年にわたって macOS を使ってきたため、Microsoft Windows に関しては正直時流に乗り遅れています。Steam Deck(Linux ベースの OS を搭載したゲーミング PC)を購入してからは Linux や Proton(Windows のゲームを Linux ベースの OS で動作させるための互換レイヤ)についても詳しくなりましたが、Windows についてはそれほど詳しくありません。
ですが、そんな私でも、今週ソーシャルメディア上で目にした Windows のトレンドはあまりに異様で、ぎょっとしてしまいました。なんと、Windows 7 を使い続けていることを自慢している人たちがいるのです。
Microsoft 社は、Windows 7 に対する無料のセキュリティ更新プログラムの提供を 2020 年 1 月で終了し、最近になってから有料の拡張セキュリティ更新プログラム(ESU)の提供も終了
しています。今年の初めに、同社は Windows 7 を使用し続けるのは危険であり、Windows 10 にアップグレードするか、Windows 11 を実行できる新しいマシンを使うよう、はっきりとユーザーに伝えています。
にもかかわらず、Windows 7 のままでコンピュータを実行し続けることに全面的に特化した Subreddit が存在していたのです。そこには、リリースから 13 年も経過した OS を最新の GPU とグラフィックカードで問題なく実行する方法を喧伝する投稿が大量にあふれていました。
人気 PC ゲームのオンライン販売を手掛ける Steam 社は、最近になってようやく Windows 7 と 8 のサポート終了について発表しましたが、正式にサポートが終了するのは来年 1 月だとしています。また、知名度はそれほど高くないものの実は世界最大級のビデオゲーム プラットフォームを提供している Roblox 社も、Windows 7 と 8 のサポートを終了したのはつい最近のことです。
他の分野のソフトウェアでも似たような例はあるはずです。ただ、インターネット界隈で私自身が参加していて特に詳しい分野がビデオゲームなので、基準にしやすいものとして例に挙げてみました。
ここでお伝えしたいのは、Windows 7 で何かをすること、特に(ゲームをダウンロードしてプレイするために)インターネットに接続するのは本当にやめた方がいいということです。攻撃者は、古い OS を常に狙っています。なぜなら、パッチ未適用で脆弱な可能性が高いためです。
セキュリティの更新が受けられなくなった OS を実行し続けるのは極めて危険です。もし感染してしまったら、その 1 台のマシンが踏み台として使われる可能性もあります。そうなれば、ネットワークでつながっている他のマシンも攻撃者の標的となり、感染してしまいかねません。
米国の国立標準技術研究所の脆弱性データベースによると、今年に入ってから、Windows 7 の脆弱性は 47 件見つかっています。Windows 7 上で動作するサードパーティ製ソフトウェアが抱えるセキュリティ上の問題となると、その件数はもっと多いでしょう。
古いからといって、もう狙われないということにはなりません。Windows 7 の公式サポートやセキュリティ更新は終了しているため、脆弱性に CVE を付与して公式に情報を開示し、OS のセキュリティホールについてユーザーに周知するよう Microsoft 社に求めることはもはやできません。
確かに、PC をアップグレードしたり新しく買ったりするにはお金がかかります。ですが、もはや Windows 7 は目新しいものではなく、セキュリティ上のリスクです。もしどうしても Windows 7 を使い続けなければならないのなら、マシンをネットワークから隔離するか、一切インターネットに接続しないようにすることです。
とはいえ、もっとよいのは Windows 10 へのアップグレードです。今 Windows 7 を使っているのならアップグレードは無料ですし、お使いのハードウェアも Windows 10 をサポートしている可能性が高いはずです。アップグレードではなくゼロからのインストールでよいのなら、多くのオンラインストアが、Windows 10 や 11 のプロダクトキーを 20 ドル以下の大幅割引価格で販売しています。ただしこの場合は必ず、Microsoft 社から直接 ISO ファイルをダウンロードするようにしてください。
重要な情報
モンタナ州は最近、全米で初めて TikTok を禁止しましたが、法律が実際に施行されるまで、まだ道のりは遠いようです。モンタナ州知事は先週、2024 年 1 月 1 日からモバイルアプリストアが同州で TikTok を提供することを禁じ、違反した場合は罰金を科す法案に署名しました。ただし、モンタナ州で禁止令を実際に施行できるかどうかは今のところ不明です。というのも、アプリストアは特定のアプリケーションについてストア上でジオフェンスを設定することはなく、インターネット サービス プロバイダーもこうした規則を施行する義務を免除されているからです。中国政府の支援を受ける親会社に米国人のデータが収集、利用されるのではないかという懸念から、TikTok は最近、共和党議員の批判の的となっています。TikTok とモンタナ州で活動している人気 TikTok 動画クリエイターらは、同法の施行を取りやめるよう同州を提訴しています。
注意すべき理由
TikTok を使っていない方にとっても、この禁止令は注目に値します。米国の法律と合衆国憲法修正第 1 条の施行に大きな影響を与えるためです。モンタナ州の法案に反対している人たちは、同法案は明らかに合衆国憲法修正第 1 条に違反していると主張しています。さまざまな法的な課題が法制度の中で整理されるには、おそらく数か月がかかるものと見られます。ただ、最終的にどのような判決が下されるにせよ、特定の技術(場合によっては本や映画)を禁ずることについて各州がどう捉えるかに影響を及ぼすことになるはずです。
必要な対策
この禁止令がどのように機能するのか、効力を発するのかについては、疑問が多々残ります。当面のところは、関係者としても法的手続きの結果をただ待つしかありません。
今週のセキュリティ関連のトップニュース
先週 Apple 社が多数のデバイス向けに、WebKit ブラウザエンジンのゼロデイ脆弱性 3 件を修正したセキュリティアップデートをリリース。その数日後、このアップデートが「ColdInvite」(CVE-2023-27930)として知られる別の脆弱性にも対応していることをセキュリティ研究者が発見しました。ColdInvite をエクスプロイトされると、iPhone のコプロセッサチップに対する攻撃により、コプロセッサの隔離実行環境を回避され、最終的には iPhone のカーネルにアクセスされる危険性があります。WebKit の脆弱性 3 件は、一部の iPhone と iPad に影響します。CVE-2023-28204、CVE-2023-32373、CVE-2023-32409 がエクスプロイトされると、Web コンテンツのサンドボックスを回避される可能性があります。CVE-2023-32409 は、Google の脅威分析グループ(TAG)と Amnesty International が共同で報告しました。そのため多くのセキュリティ専門家は、攻撃者がこの問題をエクスプロイトしてスパイウェアを拡散していたものと推測しています(情報源:SecurityWeek、Forbes)。
Amazon で売れ筋の Android TV 搭載セットトップボックス 2 機種にマルウェアがプリロードされていたことが発覚。このマルウェアは、バックグラウンドで密かにメーカーに収益をもたらすようになっています。ユーザーが知らないうちに実行中の広告をデバイスがクリックし、世界中に存在する他の感染した Android デバイスで構成されたグローバルボットネットに接続します。セキュリティ上の問題が報告されたにもかかわらず、今週初めの時点でも同デバイスは Amazon で販売されていました。ボットネットを発見したセキュリティ研究者が、ボットネットに組み込まれているデバイスに指示を出していたコマンドアンドコントロール サーバーをホストしていたインターネット企業と協力してサーバーをダウンさせましたが、ボットネットや広告クリックマルウェアが復活しないとも限りません。したがって一番簡単な解決策は、至急デバイスを交換することです(情報源:TechCrunch、ArsTechnica)。
Google が発表した 2 つの新たなトップレベルドメイン「.zip」と「.mov」がユーザーの混乱を招き、詐欺師に狙われかねないとセキュリティ研究者が懸念を表明。トップレベルドメインには .com、.gov、.uk などがありますが、今回新たに発表された 2 つはよく知られているファイル拡張子と同じです。攻撃者がこれを利用し、悪意のある Web アドレスを正規のファイル名のように見せかけて、Web ページかもしれないことを悟らせないまま人々を誘導する可能性があります。あるいは、実在する Web サイトの URL の長い文字列の中に 1 文字だけ追加した正規の URL のように見える URL を用意し、悪意のあるファイルやサイトへと人々を誘導する可能性もあります。なお Google によると、ドメイン侵害については積極的に監視しているとのことです(情報源:Wired、Ars Technica)。
Talos が発信している情報
- 『Talos IR On Air』のハイライト:第 1 四半期に最も多く見られた脅威を振り返る
- 『Beers with Talos』エピソード#135:XDR を取り巻く課題
- 『Talos Takes』エピソード#139:ランサムウェアの分派を示す最新の例、RA Group
- 『Beers with Talos』エピソード#136:従業員のメンタルヘルスへの配慮
Talos が参加予定のイベント
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
女性のためのサイバーワークショップ (6 月 8 日)
ドーハ(カタール)
REcon (6 月 9 日~11 日)
モントリオール(カナダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:856777e16c153722ebd3f389197d4b6482f8afb2e51345e1ab19760c486c3f78
MD5: c720ac483a5752c2b69945a8ad673162
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: DeepScan:Generic.BitcoinMiner.9.88FBC400
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5:d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 05 月 25 日に Talos Group
Authors