今週も脅威情報ニュースレターをお届けします。
2016 年と 2020 年の米大統領選の後、大手テック企業はデマ情報対策に真剣に取り組んでいるように見えました。ソーシャルメディアは新たなファクトチェックの手順を導入し、選挙を巡るデマ情報を拡散するページやプロフィールを禁止またはブロックする対策に積極的に取り組むようになったのです。
ですがどういうわけか、次の大統領選挙を目前に控えた今、この真剣に対処する姿勢がなんとなく後退している感じがして心配しているのです。
昨年 11 月、Twitter は大量のスタッフを解雇しました。この解雇は、誤情報やフェイクニュースを同プラットフォームから排除することを任務としていたチームに大きな影響を与えました。Google は、YouTube で誤情報問題にあたっていた専門家数名を解雇したと報じられました。誤情報に関する同プラットフォームのポリシーを世界レベルで担当する 1 人だけが残されたとのことです。
先週になって YouTube は、2020 年の選挙結果について誤情報を拡散している動画の削除に関するポリシーを変更すると発表しています。政治家やネット上の著名人は、有権者の不正投票を示す具体的な証拠がないにもかかわらず、同年の大統領選では現在のジョー・バイデン米大統領が有利になるように仕組まれていたという嘘を繰り返し拡散しようとしてきました。また、トランプ前政権は選挙前に郵便投票について不信感をあおるようなこともしていました。
YouTube の誤情報に関するポリシーでは、「政府のトップを決める過去の特定の選挙で、広範な不正、エラー、技術的なミスが生じていたという虚偽の主張を助長するコンテンツ」をプラットフォームから削除する権利を有するとなっています。
この手のコンテンツが見られた具体例としては、2021 年のドイツ連邦議会選挙や、2014 年、2018 年、2022 年のブラジル大統領選が挙げられています。奇妙なことに、米大統領選についてはまったく言及されていません。それどころか YouTube は「2020 年およびその他の過去の米大統領選において、広範な不正、エラー、技術的なミスが生じていたという虚偽の主張を助長するコンテンツについて、それらの削除を停止する」という声明を発表しました。
同社は、「現在の環境では、このようなコンテンツを削除することで一部の誤情報を抑制する効果はあるものの、暴力やその他実際の危害のリスクが有意に減るわけではなく、政治的な発言をする権利が奪われるという意図しない影響が生じる可能性もあることがわかった」と述べています。
このような逆転現象が生じるのには、いくつか原因があるようです。コロナ禍の間に人員を増やした企業は現在、従業員の数を減らそうとしています。そして 2020 年の選挙から 3 年経った今、このような誤情報に対処するチームは人員削減の対象になりやすいようです。また、選挙を巡る虚偽の主張は世間ではほぼ「忘れられた」ようで、そうしたコンテンツを削除するルールを強制する圧力(2021 年 1 月の米国議会議事堂襲撃事件の直後にあったような圧力)は今はほとんどありません。
こうして、2024 年の選挙期間中に歴史が繰り返されることになります。まだ投票が行われていないのに選挙結果について嘘の情報を流し、結果について疑念を抱かせようとする人が現れ、誰もが動揺して情報を配信する企業に何か対策をするよう圧力をかけます。数年経って誰も気にしなくなったら、対応を行っていた部門の従業員を削減するというわけです。
Talos が以前記事にしたように、デマ情報を巡る活動にはいくつかの側面があります。フェイクニュースの問題を、それだけで解決できるような汎用的な解決策はありません。ですが、多くの解決策を数年試して諦めてしまうことも正解とは言えないのです。
重要な情報
Cisco Talos インシデント対応チームは、ベンダーなどサードパーティのアカウント(VCA)のログイン情報を盗んで利用する攻撃の増加について報告しています。VCA は、サードパーティで働く人、つまり組織の環境に物理的あるいは仮想的にアクセスできる外部のパートナー組織の従業員に対して作成されるアカウントです。攻撃者は VCA のログイン情報を盗んでソフトウェアのサプライチェーン攻撃を仕掛け、標的のネットワークに潜み続けます。偽のアップデートを促す大規模なサプライチェーン攻撃がニュースを賑わせている場合には、こうした攻撃は見落とされがちです。
注意すべき理由
VCA は、初期アクセスに頻繁に利用されるほか、アクセス後は組織のネットワーク内で侵入を拡大するのに使用されます。被害者が多要素認証(MFA)をまだ導入していない場合は特にそうです。通常、VCA には高い権限が付与されているため、VCA のログイン情報が盗まれると、往々にして損害が被害者のアセットへ広がります。それだけでなく、最初の被害者のサプライチェーンをたどって被害が拡大する可能性すらあります。ソフトウェアからサポートまで、外部のサードパーティと連携している組織は、この手の脅威の被害を受けるリスクがあります。
必要な対策
Talos のブログでは、最悪のシナリオを回避するために講じることのできる対策について、概要を説明しています。IT チームや情報セキュリティチームはさまざまな方法で VCA を保護できますが、中でも特に手軽なのが不要な VCA を無効にすることです。あるいは、ベンダーかどうかに関係なくすべてのアカウントに対して、ネットワーク全体で最小権限の原則を適用するようにしてください。
今週のセキュリティ関連のトップニュース
Progress Software 社の MOVEit Transfer アプリのゼロデイ脆弱性を積極的に悪用する攻撃が発生。攻撃者は、ノバスコシア州政府や British Airways 社などさまざまな企業や組織からデータを盗んでいます。Microsoft 社は、今回の攻撃はランサムウェアグループ CLOP によるものだとし、後続の攻撃も確認されていると報告しました。攻撃者が英国の給与計算会社 Zellis に侵入を果たしたとのことです。MOVEit の脆弱性 CVE-2023-34362 は、同ソフトウェアのデータベースにアクセスし、データベースの構造に関する情報を推測して SQL 文を実行できるようになるというもので、データベースの改ざんや情報の削除といった危険性があります。Progress 社は先週この脆弱性に対するパッチを発行しましたが、5 月の時点でこの脆弱性が悪用されていたと発表しています。被害に遭った企業のスタッフは、英国の国民保険番号や銀行口座の詳細など、個人情報が危険にさらされる可能性があると警告されています(情報源:Dark Reading、BBC)。
Google が、自社の Web ブラウザ Chrome 向けに、重大度の高いゼロデイ脆弱性を修正する緊急パッチを公開。火曜日午後の時点では、CVE-2023-3079 について限られた情報しかありません。Google によると、Chrome や Microsoft Edge など Chromium ベースのブラウザが使用している V8 JavaScript エンジンに存在する脆弱性であり、Type Confusion(型の取り違え)に起因するものだとされています。Google の脅威分析グループ(TAG)は、商用スパイウェアがすでにこの脆弱性を利用していると報告しています。Google が今年になって公開した Chrome の脆弱性はこれで 3 件目です(情報源:SecurityWeek、PCMag)。
Microsoft Outlook のモバイルアプリと Web アプリで月曜日と火曜日に断続的に障害が発生。分散型サービス拒否(DDoS)攻撃によるもので、ハクティビストグループが関与を主張しています。Microsoft 社はこの問題について、製品の技術的なエラーに起因するものだと発表しています。一方、Anonymous Sudan というグループの主張によると、この障害を引き起こしたのは自分たちであり、米国がスーダン問題に関与していることへの抗議だとしています。同グループは Telegram チャネルで「米国の大企業、政府、インフラを標的にし続ける」と述べています。スウェーデンの航空会社 SAS とデンマークの 9 つの病院が狙われた最近の DDoS 攻撃の背後にいたのも Anonymous Sudan でした(情報源:The Register、Bleeping Computer)。
Talos が発信している情報
- 注目のセキュリティ研究者:電力会社から穀物協同組合まで、複数の大陸で組織の保護を支援する Joe Marshall
- 企業規模を問わず必要なサイバーセキュリティ:保護対策の設計図
- 『Talos Takes』エピソード#141:スパイウェア Predator とその他の「傭兵スパイウェア」グループ
- Horabot による攻撃が発覚、2 年以上前から企業を標的に
- Horabot による攻撃の標的は中南米のスペイン語ユーザー
Talos が参加予定のイベント
女性のためのサイバーワークショップ (6 月 8 日)
ドーハ(カタール)
REcon (6 月 9 日~11 日)
モントリオール(カナダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a8a6d67140ac6cfec88b748b8057e958a825224fcc619ed95750acbd1d7a4848
MD5: 8cb26e5b687cafb66e65e4fc71ec4d63
一般的なファイル名: dattService.exe
偽装名:Datto Service Monito
検出名: W32.Auto:a8a6d6.in03.Talos
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:7c8e1dba5c1b84a08636d9e6f225e1e79bb346c176e0ee2ae1dfec18953a1ce2
MD5: 3e0fb82ed8ea6cd7d1f1bb9dca5f2bdc
一般的なファイル名: PDFShark.exe
偽装名:PDFShark
検出名: Win.Dropper.Razy::95.sbx.tg
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 06 月 08 日に Talos Group のブログに投稿された「Now’s not the time to take our foot off the gas when it comes to fighting disinformation online」の抄訳です。