スパイウェアを阻止するには、法律の制定だけでは不十分
今週も脅威情報ニュースレターをお届けします。
スパイウェアの利用に関するニュースは、依然として世界の注目を集めています。スパイウェアを主に使用するのは独裁政権です。利用目的は、政敵や政治運動家に関することなど、機密事項にあたる可能性のある内容を追跡することですが、各国政府
も無罪というわけではなく、スパイウェア開発企業との取引を行っています。
企業によるスパイウェアの作成、販売を阻止しようとする動きが活発になっている一方で、いまだに多くの政府(米国も酷い状況です)がスパイウェアを利用しています。使用しているのは政府だけではありません。嫉妬深い昔の恋人や高圧的な配偶者など、誰もがスパイウェアを利用して相手のあらゆる行動を追跡してきたのです。
Talos は最近、スパイウェアの 1 つである Predator について詳しく調査し、具体的に動作する仕組みと各種機能を明らかにすることができました。Predator は標的を追跡し、そのデバイスから情報を窃取しますが、エンドユーザーはこの情報を利用して相手の正確な現在位置を特定することさえ可能になっています。
ジョー・バイデン米大統領は、米国政府が商用スパイウェアを使用する契約を結ぶことを禁止する大統領令に数週間前に署名しました。また、米国の企業が NSO Group(スパイウェア「Pegasus」を作成した悪名高いイスラエルのメーカー)を買収しそうな場合には、国が介入すると強く主張しました。
欧州連合も、新しいスパイウェア対策法に適応するよう圧力を受けています。これは、欧州議会の特別委員会の調査により、ハンガリーとポーランドがジャーナリストや政治家、活動家を違法に監視するために監視ソフトウェアを使用していたことが判明したことを受けてのことです。
新しい法律や政策は、このような危険なツールの開発を阻止するうえで確かに有効ですが、文言による規制だけでなく、実際の行動を強化しなければなりません。
カーネギー国際平和基金が発表した『商用スパイウェアとデジタルフォレンジックの世界調査』のレポートによると、2011 年から 2023 年の間に、少なくとも 74 か国の政府が民間企業と取引をしてスパイウェアやデジタルフォレンジック技術を入手しています。つまり、米国がスパイウェア対策法を成立させたとしても、同じように対処しなければならない国がまだ 70 か国ぐらい残っているということです。
バイデン大統領の大統領令も、万全なものではありません。米国には、スパイウェアの標的を法的に保護する包括的なプライバシー法や、民間企業が開発できるソフトウェアの種類を規制する法律がまだありません。
個々の州や地方自治体でも、独自の規則を制定することができます。そうすれば、地域企業によるこの種のソフトウェアの開発を防止できるでしょう。
また国際的には、各国政府が連携して、スパイウェア開発企業に国際的な経済圧力をかけていく必要があります。具体的には、個々の企業に対する制裁や、当該企業が国内(あるいは域内)で事業を行うことを許可している国に対する制裁が考えられます。
インターネットの歴史を通じて変わらないのは、悪事を働く人間というものは、ルールや規制をかいくぐる方法を見つけようとするということです。スパイウェアのようなツールは、人権とすべての国家の安全保障にとって深刻な脅威となるため、Predator の詳細を明らかにするために Talos の研究者が行った作業は極めて重要です。
あらゆるレベルの議員に質問してみてほしいのですが、スパイウェアの国際的な拡散に対処するために、議員たちは実際に何をしているのでしょうか。スパイウェア業界が自ら衰退することは絶対にありません。スパイウェアの需要と供給を減らすために、すべての国が取り組みを進める必要があります。
重要な情報
Talos は、これまで特定されていなかった「Horabot」というボットネットプログラムを展開する新たな攻撃を確認しました。既知のバンキング型トロイの木馬とスパムツールを被害者のマシンに配布するこの攻撃は、遅くとも 2020 年 11 月には始まっており、今も継続しています。攻撃チェーンは、複数の段階で構成されています。フィッシングメールに始まり、PowerShell ダウンローダースクリプトの実行を経てから、正規の実行ファイルにサイドロードすることによってペイロードを配布するという流れになっています。
注意すべき理由
Horabot は新たに発見された Outlook のボットネットで、攻撃者が標的の Outlook のメールボックスを完全に制御できるようになります。そして、この攻撃の標的は Yahoo、Gmail、Outlook のメールアカウントを持つユーザーです。世界で最も普及している 3 つのメールプロバイダーのユーザーが狙われているということになります。Horabot に感染すると連絡先リストを盗まれるリスクがあり、攻撃者が他の人にもマルウェアを送信する可能性があります。攻撃者が、被害に遭ったユーザーのメールを使用して悪意のある HTML を添付したフィッシングメールを送信するということです。
必要な対策
ずっと変わらないことですが、フィッシングに関する教育が最も重要です。組織内の 1 人でも Horabot に感染すると、会社全体が標的にされる危険性があるため、明らかなフィッシングの試みや悪意のある添付ファイルを見分ける方法について、ユーザー教育を行う必要があります。Horabot に関する Talos のブログ記事では、この新しいボットネットを検出、ブロックできる Cisco Secure のソリューションの概要も紹介しています。
今週のセキュリティ関連のトップニュース
新たに流出した文書で、スペインが EU に対してエンドツーエンドの暗号化を禁止するよう提唱したことが明らかに。他の加盟国の間でもこの政策が支持されていることが判明しています。EU 委員会は、政府が個人のメッセージをスキャンして違法な可能性のある内容を特定できるように、暗号化を禁止する法律を何年も前から検討してきました。流出した文書の中でスペインは、「個人のメッセージにアクセスすることは不可欠」だと主張していますが、プライバシーやセキュリティの専門家は、この主張が意味するところを懸念しています。暗号化したメッセージングサービスを提供している企業の中には、暗号化方式をやめるくらいなら EU での事業を停止する、と圧力をかけるところもあります。少なくとも、加盟国の 1 つであるドイツは、この法律が成立しても施行しないと宣言しています(情報源:Wired、techdirt)。
Microsoft 社のセキュリティ研究者が、中国政府の支援を受けている攻撃者が米国の重要インフラのネットワークにアクセスした可能性があると指摘。米国当局は、脅威を取り除き、攻撃者が排除されたことを確認するために、現在も積極的な取り組みを行っていると発表しています。Microsoft 社によると、標的にされているのは米国領グアムであり、太平洋で米中間の軍事衝突が発生した場合(中国が台湾に侵攻した場合など)、重要な通信が中断される可能性があるとのことです。米国家安全保障局のサイバーセキュリティ責任者、ロブ・ジョイス氏は、この中国の活動は昨年から行われている可能性が高く、バイデン政権は攻撃の「範囲と規模」について懸念していると発言しています(情報源:New York Times、CNN)。
さまざまな業界が、アウトソーシング企業 Capita に対するデータ侵害の影響を今なお懸念。英国情報コミッショナーオフィスによると、情報が漏洩したこと、および Capita 社が保有していて窃取された個人情報が利用されたことを報告した企業の数が 90 社に上っています。英国で国や地方自治体に重要なサービスを提供している Capita 社は、3 月下旬に情報漏洩があったことを初めて公表しました。英国では多くの公的機関や民間団体が Capita 社を利用しており、同社は数百万人の個人情報を扱っています。企業の従業員に対する年金制度の支払いを処理することが多く、同社の顧客には地方自治体の議会も含まれています。Capital 社の事件は、何らかのデータが侵害された場合に二次被害が出る事実を物語っています(情報源:The Guardian、BBC)。
Talos が発信している情報
- 『Decipher』ポッドキャスト:Hazel Burton
- Web シェルとは何か?
- 注目の脆弱性:三菱電機の PLC にメモリ破損の脆弱性、DoS 攻撃やコード実行の攻撃を受ける可能性あり
- Intellexa 社の Android スパイウェア「Predator」を徹底分析
- Predator は思った以上に深刻な問題か
Talos が参加予定のイベント
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
REcon (6 月 9 日~11 日)
モントリオール(カナダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a8a6d67140ac6cfec88b748b8057e958a825224fcc619ed95750acbd1d7a4848
MD5: 8cb26e5b687cafb66e65e4fc71ec4d63
一般的なファイル名: a8a6d67140ac6cfec88b748b8057e958a825224fcc619ed95750acbd1d7a4848-dropped.bin
偽装名: Datto Service Monitor
検出名:W32.Auto:a8a6d6.in03.Talos
SHA 256:f3d5815e844319d78da574e2ec5cd0b9dd0712347622f1122f1cb821bb421f8f
MD5: a2d60b5c01a305af1ac76c95e12fdf4a
一般的なファイル名: KMSAuto.exe
偽装名:N/A
検出名: W32.File.MalParent
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5:3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:N/A
検出名: Win.Dropper.Coinminer::1201
SHA 256:161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5: fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto_Net.exe
偽装名: KMSAuto Net
検出名: W32.File.MalParent
本稿は 2023 年 06 月 01 日に Talos Group
Tags:
