外食を楽しむ人たちから攻撃者まで、再び注目を集める QR コード
今週も脅威情報ニュースレターをお届けします。
新型コロナウイルスのパンデミックはほぼ「終息した」と考えてよいでしょうが、2023 年の半ばになっても、ロックダウンのピーク時の名残とウイルスへの不安は色濃く残っています。今も医師の予約をすぐに取ることはできませんが、多くのレストランではテラス席で食事を楽しめるようになり、QR コードも再び注目を集めています。
私は 2010 年ごろを境に、QR コードの利用は完全に廃れたと思っていましたが、今ではレストランのメニュー、レジ、チップ入れ、広告など、いたるところで QR コードを目にします。QR コードの利用は、消費者と非接触でやりとりする方法としてコロナ禍で注目され、屋内の人数制限が無くなった今でも定着しているようです。
QR コードは、攻撃者がマルウェアを拡散させたり、ウケを狙った知人がリック・アストリーの最も有名な MV を共有
したりする方法として使われてきました。ところが最近になって、社会が QR コードに新しく見出した信頼性を、攻撃者が「斬新な」方法で利用しようとしている状況をいくつか目にしました。
2 か月前、Bleeping Computer が偽の駐車違反切符について報じました。これは米国と英国の主要都市に出回っているもので、偽の違反切符には、ユーザーを騙して支払う義務のない罰金を「支払わせる」ための偽の QR コードが記載されています。同じ週には、QR コードが記載された偽の Microsoft Word 文書が中国財務省を名乗る攻撃者から電子メールで送りつけられたという報告もありました。この手口を使用すれば、通常はリンクやメールの本文をスキャンする従来の電子メールセキュリティをバイパスできます。
フロリダ州タンパベイの地元 CBS 局も 3 月に Amazon の偽広告を発見しました。これはハガキを受け取った人が新商品のモニターに参加できるというもので、QR コードを開くとリンク先のサイトでユーザーの個人情報と連絡先の入力が求められます。
私は、攻撃者が何にでも QR コードを貼り付ける時代は終わったと考えていましたし、3 年前に、私たちは QR コードと決別したとも思っていました。このブログで皆さんにお伝えしたいのは、普段見かける QR コードを「理由もなく」スキャンしないようにということです。
あるいは、QR コードの作成者がよくわからない場合、iOS や Android のスマホでは QR コードをスキャンすると URL の一部が表示されるようになっているので、リンクをクリックする前に目的の URL(amazon.com など)が表示されているかどうか再確認することが重要です。それか、レストランでは紙のメニューで注文するとよいでしょう。
重要な情報
Cisco Talos は、これまで情報がなかった悪意のあるドライバ「RedDriver」の複数のバージョンを発見しました。ドライバベースのブラウザハイジャッカーであり、Windows フィルタリング プラットフォーム(WFP)を使用してブラウザのトラフィックを傍受します。この脅威は、ハイジャックの対象として中国語ブラウザを探していることから、中国語を母国語とするユーザーを標的にしていると考えられます。また、おそらくは作者自身も中国語を話します。この悪意のあるドライバがインストールされると、Web トラフィックのハイジャックとスパイ行為が可能になり、攻撃者が選んだソースにトラフィックがリダイレクトされる可能性があります。
注意すべき理由
ここで、Talos が追跡してきた最近の事例について紹介します。Windows ポリシーの抜け穴を悪用する攻撃者が確認されています。その抜け穴とは、2015 年 7 月 29 日以前に発行された証明書でクロス署名されたカーネルモードドライバの読み込みが可能であるというものです。Talos は、10 個以上のコード署名証明書と、秘密鍵、パスワードを含む PFX ファイルが GitHub 上でホストされていることを確認しました。署名には、オープンソースのツールが使用されています。カーネルモードドライバの署名を偽造することで、攻撃者は Windows の証明書ポリシーをバイパスすることができます。
必要な対策
Microsoft 社は、Talos が今週投稿したブログで取り上げたすべての証明書をブロックし、月例セキュリティ更新プログラムの一環として、この問題に関するアドバイザリをリリースしました。Talos では、このブログ記事で取り上げた証明書をブロックすることを推奨しています。というのも、悪意のあるドライバを推測に基づいて検出することは困難であり、ファイルハッシュまたはドライバの署名に使用された証明書に基づいてブロックすることが最も効果的だからです。署名のタイムスタンプをドライバのコンパイル日付と比較することは、タイムスタンプの偽造を検出する効果的な手段となる場合があります。具体的なところでは、RedDriver の悪意のあるドライバを検出してブロックするための新しい保護機能が Cisco Secure 製品に導入されています。
今週のセキュリティ関連のトップニュース
MOVEit の大規模なハッキングの影響を受けた企業が増え続けているとの報告。国際的なホテルチェーンの Radisson と GPS 会社の TomTom も被害に遭っています。Clop は、データ転送ソフト MOVEit に対する攻撃の実行犯とされるランサムウェアグループです。この攻撃は最終的に 100 以上の組織のデータ漏洩につながり、今週は同グループのリークサイトにさらに多くの企業が追加されました。商業銀行であるドイツ銀行とコメルツ銀行も新たな被害者となっており、両行とも顧客の名前と口座番号が流出したと報じられています。Radisson の親会社も、正確な数は明らかにしなかったものの、「一定数の宿泊客の記録」がアクセスされたことを確認しました。Clop は当初ゼロデイ脆弱性を利用して MOVEit のソフトウェアインスタンスにアクセスし、ユーザーの特定の情報を窃取しました。この脆弱性にはその後パッチが適用されています。ニュージーランドのウイルス対策ソフトのメーカー Emsisoft の脅威アナリストは、今や 1700 万人の個人を含め、世界中で 270 社以上の企業が影響を受けていると推定しています(情報源:Tech Crunch、Bloomberg)。
Meta 社の新たなマイクロブログ プラットフォーム Threads が好評を博す中、ユーザーやプライバシー擁護派が同アプリのプライバシーポリシーとデータ収集ポリシーを批判。先週、Facebook や Instagram を傘下に持つ Meta 社が Threads のサービスを開始し、多くの反響を呼びました。サービス開始から数時間で数百万人のユーザーを獲得しています。ただし、同アプリはいくつかの GDPR ポリシーに違反しているため、EU ではまだサービスを開始していません。Threads のプライバシーポリシーには、同アプリは GPS 位置情報、カメラ、写真、IP 情報、ユーザーが使用しているデバイスの種類、さらには「Bluetooth 信号、近くの Wi-Fi アクセスポイント、ビーコン、携帯電話基地局」などのデバイス信号にアクセスできると記載されています。一般的に、Meta 社は他のプラットフォームよりも多くの個人情報を Threads ユーザーから収集しているようですが、同社の他の主要プラットフォームである Facebook や Instagram と比べて多いとは限りません(情報源:The Guardian、CPO Magazine)。
ランサムウェア撲滅に向けた各国政府や民間部門の大規模な取り組みにもかかわらず、2023 年の身代金支払額は記録を更新する勢い。ブロックチェーン企業 Chainanalysis の新しいレポートによると、ランサムウェアの被害者が支払った総額は、2022 年には 5 億ドル未満でしたが、今年は最初の半年ですでに 4 億 4910 万ドルに達しています。このペースでいくと、2023 年は 2021 年に次いで史上 2 番目に身代金支払額が多い年になりそうです。セキュリティ研究者によると、2022 年に被害額が減少した原因としては、ロシアのウクライナ侵攻によって一部の主要 APT グループの間で混乱が生じたこと、被害者のファイルを無料でとり返すための新しい復号ソフトウェアを政府機関や民間企業が提供したことなどが考えられます。Chainanalysis のアナリストはレポートの中で、いわゆる「大物狩り」が今年の収益に大きく貢献していると述べています。つまり攻撃者が標的にしているのは、要求された多額の身代金を支払う資金があると思われる大企業です(情報源:Wired、Bleeping Computer)。
Talos が発信している情報
- Cisco Talos、攻撃者が Microsoft Windows ポリシーの抜け穴を悪用していることを報告
- ブラウザハイジャッカー「RedDriver」の標的は中国語を話す Microsoft ユーザー
- 人を思いやる Gergana Karadzhova-Dangela が次世代に継承するインシデント対応
- 商用スパイウェア増加の裏にある、開発企業が法的・倫理的に監督を受けないという現実問題
- Microsoft 社が 7 月のセキュリティ更新プログラムで 130 件以上の脆弱性を公開、4 件については悪用の事実を確認済み
Talos が参加予定のイベント
BlackHat (8 月 5 日~ 10 日)
ネバダ州ラスベガス
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:1c25a55f121d4fe4344914e4d5c89747b838506090717f3fb749852b2d8109b6
MD5: 4c9a8e82a41a41323d941391767f63f7
一般的なファイル名: !!mreader.exe
偽装名:なし
検出名:Win.Dropper.Generic::sheath
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:b4d8d7cbec7fe4c24dcb9b38f6036a58b765efda10c42fce7bbe2b2bf79cd53e
MD5: c585f4faee96a0bec3b0f93f37239008
一般的なファイル名: stream.txt
偽装名:なし
検出名: Win.Dropper.Autoit::211461.in02
本稿は 2023 年 07 月 13 日に Talos Group
Tags:
