今週も脅威情報ニュースレターをお届けします。
マーベルの TV ドラマのオープニングクレジットが AI で制作されたという話題から、ぼったくり系のユーチューバーが AI ツールに児童書を書かせれば何百万ドルも稼げると主張していることまで、ここ数か月、AI が生成するアートがインターネット上で物議を醸しています。
AI が生成するアートが持つ倫理的、法的な意味合いはいろいろあるのでここでは割愛しますが、こうしたツールがすでにサイバー攻撃やオンライン詐欺に使われていることは注目に値すると思いました。
AI ツールを使用すれば極めて説得力のあるディープフェイクアートを作成することができ、誤報や偽情報が拡散されてしまう可能性があります。とりわけ、重要なニュースや政治家に関して顕著に見られる問題です。これについては以前にもニュースレターで取り上げました。
また、見る人を唸らせるような AI アートや人物の肖像画を作成できると謳って、別の悪質な目的を果たそうとするアプリも数多く存在します。McAfee がこちらのブログ記事で指摘しているように、Android アプリの中には、AI フィルタでユーザーのプロフィール写真を「おしゃれ加工する」と謳いながら、実は情報を窃取するマルウェアが仕込まれたトロイの木馬アプリだったものもあります。蓋を開けてみると、それらのアプリはすべて同じ基本的なフィルタを使っていました。こうしたアプリの多くも、ユーザーが投稿した写真を盗んで再利用している可能性があります(老け顔加工アプリのプライバシーポリシーが話題になったのを覚えているでしょうか)。
今週は他にも取り上げたいことがあるのでこの話題にあまり深入りするつもりはありませんが、アプリのプライバシーポリシーには警戒を怠らないようにする必要があります。いつも言っていることですが、自分の写真をスクラル人のように加工したいと思って何かのアプリをダウンロードする前に、そのクリエイターの身元をざっと調べるようにしてください。
Talos の舞台裏をインタビューして収録した新しい動画もご紹介したいと思います。
Cisco Secure のこの動画は、ランサムウェアの進化と未来にスポットライトを当てています。Talos の脅威ハンターが実際に発生する新たな脅威や進化する脅威をどのように特定しているか、また、そのリサーチやインテリジェンスが組織の強固な防御の構築にどのように役立っているかを紹介する動画です。こちらの Cisco.com からもご覧いただけます。
重要な情報
Apple 社は先週、全 OS 向けに 2 件のゼロクリック脆弱性に対する緊急パッチをリリースしました。これらの脆弱性によって、標的のデバイスが攻撃者に完全に乗っ取られてしまう可能性があります。CVE-2023-32434 および CVE-2023-32435 として識別されている両脆弱性は、ロシアの携帯電話を危険にさらすために使用されたと報告されています。Triangulation というスパイウェアを展開するために悪用された脆弱性であり、ロシアに拠点を置くサイバーセキュリティ企業 Kaspersky 社の複数の従業員の iPhone で発見されましたが、デバイスの再起動後にマルウェアは iPhone から削除されました。
注意すべき理由
セキュリティコミュニティが現時点で把握している情報では、Triangulation スパイウェアに狙われる可能性はほぼありません。ただいずれにしても、iOS にゼロデイ脆弱性が存在することはいつも大きなニュースになります。Apple 社は、iOS 16.5.1 および iPadOS 16.5.1 にアップグレードするようユーザーに呼びかけました。同社は CVE-2023-32434 について、「iOS 15.7 より前にリリースされたバージョンの iOS で、この脆弱性が悪用された可能性がある」とも述べています。
必要な対策
すべての Apple ユーザーは、影響を受ける製品をできるだけ早くアップデートする必要があります。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁も、「ユーザーと管理者は(Apple 社の)アドバイザリを確認し、必要なアップデートを適用すること」との勧告を発表しました。
今週のセキュリティ関連のトップニュース
自称ハクティビスト集団「Anonymous Sudan」が、当初考えられていたよりも活発な活動を展開。Anonymous Sudan がどこかの国家とつながりがあるのか研究者にはまだわかっていませんが、同グループはスーダンのために活動していると主張しています。今月初めに登場したグループで、Outlook に影響を与えた Microsoft 社への分散型サービス拒否攻撃で話題になりました。研究者によれば、同グループの活動は実際はそれ以前から始まっており、今年初めにイスラエルやスウェーデンなどの国々を標的にして攻撃を行っていたとのことです。Microsoft 社は先週、Azure、Outlook、OneDrive に影響を与えた障害の原因がレイヤ 7 DDoS 攻撃だったことを確認しました。同社は、「これらの攻撃では、レンタルされたクラウド インフラストラクチャ、オープンプロキシ、DDoS ツールを併用して複数の仮想プライベートサーバー(VPS)にアクセスした可能性が高い」としたうえで、「お客様のデータがアクセスされたり侵害されたりした形跡は見られない」と述べています(Bloomberg、Bleeping Computer)。
MOVEit の侵害の影響を受けた企業が増加中。この攻撃の背後にいる攻撃グループ Clop が今週、大手電気会社 2 社(Schneider Electric 社と Siemens Energy 社)をリークサイトに追加しました。カリフォルニア大学ロサンゼルス校(UCLA)も、6 月 1 日にこの攻撃の標的となったことを確認しましたが、すぐに大学のインシデント対応チームと連携し、パッチを適用して問題に対処しました。攻撃が公になって以来、Clop のリークサイトでは、米国の 7 つの州や地方政府などを中心に侵害の情報が公開されました。全米最大の公務員年金基金であるカリフォルニア州職員退職年金基金も被害に遭っています。ニューヨーク市の公立学校のシステムも影響を受け、45,000 人以上の生徒の個人データが盗まれ、その中にはソーシャルセキュリティ番号などの機密情報が含まれていました(The Record from Recorded Future News、CyberScoop)
悪名高いハッキングサイト BreachForums の創設者の逮捕から 3 か月後、FBI が同サイトのドメインを差し押さえ。BreachForums の利用者は、さまざまな Web サイトや企業から盗んだ個人データを共有、販売していたことで知られていました。管理者である「Pompompurin」が逮捕されてから数週間の間、BreachForums では目立った動きはありませんでしたが、今月になって、同サイトの一番新しい管理者が新たなサーバーでサイトを立ち上げることを決定しました。BreachForums のトップページには、今回の逮捕に関わった複数の法執行機関のロゴが表示されており、Pompompurin が使用していたアバターの画像にも手錠がかけられています(TechCrunch、Infosecurity Magazine)。
Talos が発信している情報
- サービス概要:Talos インシデント対応サービスが提供するパープルチーム演習
- 注目の脆弱性:Google Chrome WebGL で発見された解放済みメモリ使用(use-after-free)の脆弱性
- 動画:サイバーレジリエンスの向上に役立つ Talos のオープンソースツール
- 『Talos Takes』エピソード#144:被害が拡大している MOVEit のゼロデイ脆弱性についてこれまでにわかっていること
Talos が参加予定のイベント
BlackHat (8 月 5 日~ 10 日)
ネバダ州ラスベガス
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
本稿は 2023 年 06 月 29 日に Talos Group のブログに投稿された「New video provides a behind-the-scenes look at Talos ransomware hunters」の抄訳です。