忘却を許さない DDoS 攻撃
今週も脅威情報ニュースレターをお届けします。
分散型サービス拒否攻撃(DDoS)は、私がコンピュータの電源を入れる方法を知る前から存在していました
。
DDoS 攻撃というと、LAN パーティや Netscape の時代によく話題になった「コンピュータウイルス」と同じような感じを受けるのですが、最近になって大きな復活を遂げています。攻撃者が DDoS 攻撃を仕掛ける方法を強化しており、名だたるサービスや組織を標的にしてトップニュースになっているのです。
『Diablo IV』は、現在最も利用者が多いビデオゲームの 1 つですが、6 月 25 日の週末にかけて DDoS 攻撃を受け、プレイヤーがゲームのサーバーにアクセスできなくなりました。さらに、Blizzard 社が開発した『World of Warcraft』(またしても LAN パーティの時代に戻った感じですが)など他のゲームにも影響がありました。
また、Microsoft 社が最近確認したところでは、Azure、Outlook、OneDrive に影響を与えた 6 月の障害の原因はレイヤ 7 への DDoS 攻撃でした。Anonymous Sudan(ロシアと関係があるかどうかは不明なものの、スーダンという国家の利益のために活動していると主張しているグループ)が、この攻撃を行ったという声明を出しています。
このような最近の大規模な DDoS 攻撃の状況を踏まえ、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は先週、DDoS 攻撃の危険性について警告するアドバイザリを公開しました。その中で、DDoS 攻撃または DoS 攻撃を受けていると思われる場合は必ず「送信元を特定すること、さらにファイアウォールのルールを適用して、また場合によっては DoS 防御サービスを使用してトラフィックを再ルーティングすることによって状況を緩和すること」と勧告しています。
DDoS 攻撃が「時代遅れ」の攻撃と見られているにもかかわらず、増加しているのにはいくつか理由があるようです。
まず挙げられるのは、DDoS 攻撃がインターネットの発展段階ですでに行われていた単純な攻撃であるという事実です。これは重要なポイントであり、大物狩りのランサムウェア攻撃といった巧妙な攻撃と比べると、DDoS 攻撃は比較的簡単に実行できるのです。基礎的なレベルのネットワーク知識があれば、誰でも DDoS 攻撃を開始できます。
昨年 Talos が発見した「as-a-service」プラットフォームである Dark Utilities は、まさにその一例です。同プラットフォームの主力サービスは C2-as-a-service と暗号通貨マイニングですが、レイヤ 4 とレイヤ 7 への DDoS 攻撃用ツールも提供されており、お金さえ払えば誰でも利用できるようになっています。
また、DDoS 攻撃が増加している背景には資金調達の増加もあるようです。率直に言って、資金があればどんな攻撃者もより手強くなります。攻撃の背後にいるのがロシアであれ、ロシア政府が支援する攻撃者であれ、DDoS 攻撃を仕掛けているグループは主要な APT とつながっているように見えます。このことは、DDoS 攻撃を実行し、確実に成功させ、標的にメッセージを送る推進力が働いていることを示しています。
DDoS 攻撃の経済的損害を算定するのは困難です。プレイヤーが数時間『Diablo IV』を利用できず、ゲーム内課金をしなかったことやゲームを購入しなかったことで Blizzard 社がどれだけの売上を失ったのか、本当のことは誰にもわかりません。ランサムウェア攻撃を受けると復旧やバックアップの再インストール、要求された身代金の支払いに一定の時間と費用がかかるため、組織がランサムウェア攻撃に備えるべき理由は明らかですが、その点 DDoS 攻撃の場合は、そこまで具体的な話にはなりません。
DDoS はただ話題になって終わることもありますが、ここ数週間、さまざまな動機とリソースを持つ攻撃者が DDoS 攻撃を注視しているため、軽視は禁物だと言えます。
重要な情報
各国政府が商用スパイウェアの使用を抑制しようと努力しているにもかかわらず、スパイウェアは未だに懸念されています。スパイウェア開発企業として最も悪名高いのは NSO Group ですが、他にも Intellexa 社、DSIRF 社、Variston IT 社といった「金目当てのグループ」が名を連ねており、新たに情報が公開された Quadream 社もその 1 つです。そして現在はもっと多くの企業が水面下で活動していると思われます。
注意すべき理由
商用スパイウェアは、法執行機関と政府機関向けの「ツール」であり、合法的な使用のみを目的としたものであると謳われていますが、犯罪者やテロリストには該当しない、倫理的に疑わしいとする人物に対して使用され続けている事例が次々と報告されています。スパイウェア開発企業は、製品の輸出を規制する法律がない国や、IT サービスプロバイダーに分類されるために事実上製造物責任から逃れられる国に本社を置くことで、法的な影響を避けています。そのため結局のところは、対象となる人物が誰であるかや、被害者にどのような影響が及ぶかを気にすることなく、金さえ払えば誰にでも販売しているという現状があります。
必要な対策
商用スパイウェアの標的になっている、あるいはその可能性があると思われる場合、スパイウェアを送り込んできた相手に連絡する前にデバイスを再起動するか、ロックダウンモードに切り替えることが、当面の間は数少ない選択肢かもしれません。
商用スパイウェアの標的になっていると感じているのであれば、習慣にした方がよい一般的な対策が他にもあります。それらを以下に示します。
- 定期的にデバイスを再起動する。
- iPhone を使っている場合はロックダウンモードを使用する。
- 怪しい情報源のリンクはクリックしない。
- 知らない人からのプライベートメッセージは受け取らない。
- 公的な連絡を保つ必要がある場合は、情報が何も入っていないデバイスを使用して受信し、頻繁にそのデバイスをリセットする。
- デバイスを常に最新の状態に保つ。
今週のセキュリティ関連のトップニュース
自称ハクティビスト集団の Anonymous Sudan が 3,000 万人以上の Microsoft ユーザーのログイン情報を盗んだと主張したことを受け、Microsoft 社がデータ侵害に遭ったことを否定。Anonymous Sudan は盗んだ情報を 5 万ドルで売却するとしており、同グループの Telegram ボットから連絡すれば希望者にデータを売却すると発言しています。一方、Microsoft 社の担当者は記者団に対し次のように述べています。「データを分析した結果、これは正当な主張ではなく、データの集計もないことがわかりました。当社の顧客データがアクセスまたは侵害された証拠は確認されていません」。Anonymous Sudan はここ数か月、Microsoft 社に対する DDoS 攻撃で悪名を馳せており、最近になってロシア政府が支援する Killnet との関係を認めましたが、その真の目的と所属関係はわかっていません(情報源:Bleeping Computer、TechRadar)。
ホワイトハウスの報道官が、米国の組織が NSO Group の買収や同社のスパイウェアツールを購入しようとするいかなる試みも、国家安全保障上の懸念から真剣な検討を要すると公式に警告。最近、アメリカの投資家グループがスパイウェア Pegasus の開発で知られる悪名高い NSO Group の買収に関心を寄せているという報道がありました。一方、各国政府がスパイウェアの使用と購入を制限する措置をとったため、このところ NSO Group は資金難に陥っています。NSO Group はすでにホワイトハウスの禁止リストに載っており、国家安全保障会議は、NSO Group の合併や関連する取引はすべて、「その買収が米国政府、および政府のシステムや情報に対する防諜上の脅威を生じさせるかどうか、米国の民間企業がリスクにさらされる可能性があるかどうか、他国の組織や政府がどの程度までアクセスやコントロールを保持するかについての検討を要する」と述べています(情報源:The Guardian)。
MOVEit のゼロデイ脆弱性の被害が広がる中、依然として世界で最も存在感を放つランサムウェア集団 Clop。先週、米国の 2 つの大学が、MOVEit の脆弱性のエクスプロイトが原因となった Teachers Insurance and Annuity Association of America でのデータ侵害によって被害を受けたと発表しました。現在、多数のハッキング被害が発生しており、約 160 のさまざまな組織や企業に影響が及んでいます。セキュリティ研究者は Clop の最近の攻撃について、新しい時代の象徴になる可能性があると述べています。攻撃者は従来からランサムウェア攻撃に使用しているツールに依存しながらも、ランサムウェアは実行しないという選択をするようになるかもしれません。MOVEit 攻撃が及ぼす影響の範囲と攻撃の成功は、他の攻撃グループにも影響を与える可能性があります(情報源:TechCrunch、Dark Reading)。
Talos が発信している情報
- 22 件の脆弱性と一連の攻撃チェーン:VPN 経由で Milesight UR32L ルータが乗っ取られる危険性
- ランサムウェアの未来:Cisco Talos の脅威ハンターの舞台裏
- 『Talos Takes』エピソード#145:攻撃者が URL、TLD、DNS を悪用するさまざまな手口
Talos が参加予定のイベント
BlackHat (8 月 5 日~ 10 日)
ネバダ州ラスベガス
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
本稿は 2023 年 07 月 06 日に Talos Group
Tags:
