今週も脅威情報ニュースレターをお届けします。
Talos は最近のブログ記事で、新たにリリースされたトップレベルドメイン(TLD)である「.zip」がもたらす危険性を取り上げました。ファイル名に見える(実際は URL)リンクを攻撃者がどのように作成し、ユーザーを騙してクリックさせるのか、その仕組みを概説しています。.zip など、TLD がファイル名の拡張子と同じ文字列になっている場合は、予期しない情報漏洩を引き起こす可能性があります。
ユーザーにとって問題になりそうな TLD は以前にもありました。なかでも、インターネットを正しく機能させるための文字列に関する規則がよくわかっていないユーザーにとっては大きな問題となります。
誰でも登録できる TLD として .zip がリリースされたのと同じ日に、Internet Corporation for Assigned Names and Numbers(ICANN)は .mov も TLD としてリリースしました。この TLD を悪用するのは簡単です。「WeddingVideo.mov」というファイル名を見た人が、自分の家族の結婚式の動画だと思っても仕方ありません。
余談ですが、同じ日に .dad も TLD としてリリースされたので、私は自分の名前にちなんで jon.dad という URL を取得したいと本気で考えています。
攻撃者は長い間、被害者を誘導するための巧妙な URL を使ってきました。ドメインの入力ミスを狙ったサイバー攻撃(タイポスクワッティング攻撃)については、これまでにも何度か記事にしてきました。tvitter[.]com や twltter[.]com のように、正規の URL である twitter.com とそっくりで少しだけ違うドメインを取得して攻撃に使用するというものです。このようなドメインが使用されると、何がきっかけで危険にさらされるかわかりません。単にブラウザのウィンドウに間違った URL を入力するというだけでなく、DNS の設定をわずかにミスしただけで情報漏洩やフィッシング詐欺につながりかねないのです。
ごく普通に使用されている .com も、いかにも本物らしい名前の URL にするために攻撃者がよく使用する TLD です。
最近、セキュリティ研究者でコンテンツクリエイターでもある Bobby Rauch 氏は、電子出版プラットフォーム Medium に投稿した記事の中で、「攻撃者は標的が不正な URL に気づいたり、疑いを持ったりしないように、正規の Web サイトを悪意のある URL の隠れ蓑にしてきた」と指摘しています。
たとえば、Web サイトの URL に「@」を 1 文字入れると、正規の URL に見えるものの別の Web サイトへユーザーを誘導することができます。
https://google[.]com@bing[.]com は一見したところ Google の URL に見えますが、実際には bing.com に接続します。どのような TLD が使用されていても、攻撃者はそれを利用して、URL についての十分な知識を持っていないユーザーを騙すことができるのです。
フィッシングメールや偽文書を本物らしく見せるために簡単に使用できる TLD は他にもあります。たとえば、長い間使用されてきた TLD である .media を使用して、正規のファイルに見せかけることは簡単でしょう。また、.run が Mac ドライバのファイル拡張子だと思ったのは、私だけではないはずです。
.zip や .mov を URL に使用することでユーザーに危険が及ぶ可能性は否めません。ただ、アクセスしようとする URL を 4 重にチェックする必要があるのは分かり切っていたことです。情報漏洩の脅威は確かに新しいものですが、セキュリティ エバンジェリスト(そして年配の家族あるいはセキュリティに詳しくない家族にセキュリティについて教えようとする人たち)が伝えたいメッセージは何も変わりません。
重要な情報
Microsoft 社が 6 月に公開した月例セキュリティ更新プログラムにはゼロデイ脆弱性に対する警告が含まれていませんでしたが、これは久しぶりのことです。直近の 4 か月間は、攻撃者による積極的な悪用が確認された問題が少なくとも月に 1 件は含まれていました。とはいえ、Microsoft 社は同社のソフトウェアとハードウェアにおいて約 70 件の脆弱性を公表しており、その中には「悪用される可能性が高い」ものも含まれています。Cisco Talos が発見した Microsoft Excel の 2 件の脆弱性については、今月のセキュリティ更新プログラムでパッチが適用されています。いずれもシビラティ(重大度)が「重要」と評価されているリモートコード実行の脆弱性です。攻撃者が作成したファイルを標的となったユーザーが開くとエクスプロイトされます。
注意すべき理由
今月のセキュリティ更新プログラムに新たなゼロデイ脆弱性が含まれていなかったことは、確かに良いニュースです。今年に入ってから、あらゆるソフトウェアメーカーですでに多数のゼロデイ脆弱性が報告されていました。ただし、深刻度スコアが 10 点中 9.8 点と非常に高い「緊急」の脆弱性が複数存在し、すぐにパッチを適用する必要があります。
必要な対策
Microsoft 社が今月公開した脆弱性の一覧については、更新ページをご覧ください。すべての Microsoft ユーザーは、すぐにパッチを適用するか、これらのアドバイザリに記載されている適切な緩和策を講じる必要があります。Talos も、Snort ルールをリリースしました。これらの脆弱性に対するエクスプロイトを検出するため、あるいは攻撃者の悪意のある行動を阻止するためにご利用いただけます。
今週のセキュリティ関連のトップニュース
Progress Software 社が、同社のファイル転送ソフトウェア MOVEit で発見された複数のセキュリティ脆弱性に対するパッチを公開。これらの脆弱性は、世界中ですでに複数件のデータ侵害の原因になっている注目のゼロデイ脆弱性を調査していたときに発見されたものです。この新しい脆弱性に対するアドバイザリには、「攻撃者がエクスプロイトを仕掛けるために利用する可能性がある」と記載されていますが、現時点では実際に悪用された形跡はないようです。セキュリティ研究者も、新たな概念実証コードを公開しています。これは、MOVEit のゼロデイ脆弱性である CVE-2023-34362 をエクスプロイトするものです。この問題を悪用して標的のマシン上でリモートコードを実行できることが判明しています。この問題は、これまで SQL インジェクションの問題としてのみ認識されていましたが、攻撃者は実際に CVE-2023-34362 を悪用して MOVEit を使用している組織からデータを窃取しています。被害に遭ったのは、BBC、ミネソタ州教育省、カナダのノバスコシア州などです(情報源:SecurityWeek、SC Media)。
米国の著名な投資家グループが NSO Group の資産購入を検討か。NSO Group は、悪名高いスパイウェア「Pegasus」を開発したイスラエルの IT 企業です。購入を検討していると報じられたのは、長年ハリウッド映画に携わってきた投資家や、Wrigley 社(チューインガムで有名な食品会社)の経営者一族です。セキュリティの専門家やジャーナリストは、米国政府や米国企業との取引を禁止する米国商務省の対象企業リストに NSO Group が追加された後も、同社の財務状況が好調なことを不審に思っています。一方、NSO Group はワシントン D.C. の有名なロビー団体に報酬を支払い、同社を禁止対象リストから除外するよう議会への働きかけを行ったとも報じられています。ロビー団体が使用した資料には、新たな「人権ガバナンス コンプライアンス プログラム」が NSO Group のソフトウェアに導入されたとの記載があるとのことです(情報源:The Guardian、Haaretz)。
米国 CISA 長官が中国の国家支援型サイバー攻撃の危険性について警告。中国との軍事衝突が発生した場合、米国の重要インフラが主な標的になると警鐘を鳴らしています。今週、Aspen Institute で行われた講演で、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)のジェン・イースタリー長官は、中国のサイバースパイと攻撃能力は「時代を特徴づける脅威」であるとして、両国間で武力攻撃を伴う軍事衝突が生じた場合、中国の攻撃者が石油パイプラインや電力網など米国のインフラに対してサイバー攻撃を仕掛ける可能性もあると述べました。国家安全保障の専門家は長期にわたって、中国が台湾に侵攻した場合の米中の衝突について警告を発してきました。イースタリー長官は「中国の国家支援型脅威の恐るべき性質、能力の規模、そこに投入する資源と労力を考えると、インフラの停止を防ぐことは極めて難しい」との見解を示しています(情報源:CNBC、Reuters)。
Talos が発信している情報
- 『Talos Takes』エピソード#142:メールボックスを制御する新たな脅威、Horabot が登場
- 知っておきたいこと:ランサムウェア攻撃グループが「二重恐喝」の手口を使う理由
- 注目の脆弱性:Microsoft Excel のリモートコード実行の脆弱性が 2 件公開
- 6 月 2 日~ 6 月 9 日の 1 週間における脅威のまとめ
- ThreatWise TV:Snort のトレンド
Talos が参加予定のイベント
BlackHat (8 月 5 日~ 10 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a8a6d67140ac6cfec88b748b8057e958a825224fcc619ed95750acbd1d7a4848
MD5: 8cb26e5b687cafb66e65e4fc71ec4d63
一般的なファイル名: dattService.exe
偽装名:Datto Service Monito
検出名: W32.Auto:a8a6d6.in03.Talos
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:7bf7550ae929d6fea87140ab70e6444250581c87a990e74c1cd7f0df5661575b
MD5: f5e908f1fac5f98ec63e3ec355ef6279
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::tpd
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
本稿は 2023 年 06 月 15 日に Talos Group のブログに投稿された「URLs have always been a great hiding place for threat actors」の抄訳です。