NFL も懸念を表明したディープフェイク
今週も脅威情報ニュースレターをお届けします。
毎年この時期になると、NFL のコンテンツに夢中になります。半年の眠りを経てまたアメフトのシーズンが始まり、これ以上嬉しいことはありません。週に 3 日は試合を観戦し、残りの 4 日は NFL のポッドキャストを聴いたりパワーランキングを読んだりしています。
ですから当然、Dark Reading に掲載された NFL の最高情報セキュリティ責任者を取材した特集記事を見過ごすはずはありません。単なる偶然ですが、Talos とシスコに対する感謝の言葉もつづられていました
。Talos は NFL にとって重要なセキュリティパートナーであり、毎年米国で最も視聴されるエンターテインメント イベントである NFL のドラフトやスーパーボウルなど主要なイベントの安全確保を支援しています。
Dark Reading のインタビューで Tomás Maldonado 氏が語った中で非常に気になったことの 1 つは、NFL 選手のディープフェイクが詐欺に利用されることへの懸念でした。ディープフェイクとは、著名人や政治家がさまざまなもの(たいていはお金)を求めているように見せかける詐欺であり、もう何年も前から広まっています。Maldonado 氏が懸念しているのは、攻撃者が NFL の人気選手の肖像を詐欺やスパムに使い始めるのではないかということです。
実を言うと、ディープフェイクがすでに NFL 界隈に広まっていたことには気づいていませんでした。
ESPN が 2021 年に放送したドキュメンタリー『30 for 30』で、番組制作者がレイダースの前オーナー Al Davis 氏と NFL の元コミッショナー Pete Rozelle 氏のディープフェイクと AI 音声を使用しましたが、2 人ともこのドキュメンタリーが制作される何年も前に亡くなっています。世間がどう受け止めたかについては、微妙だったとしか言いようがありません。
NFL リーグのダラス・カウボーイズもまた AI の流れにのって、ホログラム加工した Jerry Jones チームオーナーの AI 強化版を作成しました。ファンは 55 ドル払ってカウボーイズの AT&T スタジアムツアーに参加し、AI 版の Jones 氏に質問することができます(ブラウンズファンとしては、もし自分が参加するとしたらレシーバーの Amari Cooper との交換条件として 5 巡目指名権しか要求しなかったことにただ感謝を述べると思います)。
攻撃者は、文字通りありとあらゆる形でディープフェイクを利用してユーザーをだまそうとします。ですから、Maldonado 氏が何を懸念しているかは明らかです。
有名人からメッセージ動画が届く Cameo のような有料サービスが人気を博していることを考えると、何者かが十分な説得力のある選手のディープフェイクを開発し、50 ドルを払えばゲーム『Fantasy Football League』でいたずらができると言って誰かからお金をだまし取ろうとするのはいとも簡単でしょう。この攻撃経路については、これまで特に考えたことがありませんでした。ディープフェイクは政治指導者や世界の著名人に限られたものだとずっと思っていたのです。
今のところ実例は見たことがありませんが、ESPN が説得力のある Al Davis 氏の AI 版を作成できるとしたら、Aaron Rodgers そっくりの声でお金を無心する AI の音声や、シーズンチケットの購入を促す Russell Wilson のフェイク動画を制作できると考えるのはばかげた話ではありません。
重要な情報
火曜日、Microsoft 社は月例のセキュリティ更新プログラムで 2 件のゼロデイ脆弱性を公開しました。そのうちの 1 件については、すでにコンセプト実証コードが出回っています。9 月の月例セキュリティ更新プログラムには、他にも 5 件の重大な脆弱性が含まれています。これらは従来の Microsoft 社のセキュリティリリースからすると比較的深刻度が低いものです。また同社が「重要」と評価した 56 件の脆弱性も含まれています。
注意すべき理由
攻撃者がすでに実際に悪用している脆弱性の 1 件が CVE-2023-36802 です。これは、SharePoint と Office 365 を統合した企業向けビデオ共有プラットフォームである Microsoft Streaming Service の権限昇格の脆弱性です。この脆弱性のエクスプロイトに成功した攻撃者は、SYSTEM 権限を得ることができます。このほか、CVE-2023-36761 もすでに実際に悪用されており、コンセプト実証コードが公開されています。ただし、攻撃者が実際にどうやって Microsoft Word のこの脆弱性をエクスプロイトしたのかは明らかになっていません。Microsoft 社によると、プレビューウィンドウも攻撃経路である可能性があるとのことです。エクスプロイトが成功した場合、攻撃者によって NTLM ハッシュが閲覧されるおそれがあります。Microsoft 社は、これらの脆弱性が月例セキュリティ更新プログラムの公開前に、すでに攻撃者によって悪用されていると警告しているので、すべてのユーザーはできるだけ早くパッチを適用する必要があります。
必要な対策
Microsoft 社のセキュリティ更新プログラムガイドには、ユーザーがインストールする必要があるすべてのパッチが掲載されています。まだ更新していない人は今すぐ更新する必要があります。月例セキュリティ更新プログラムに関する Talos のブログでも、これらのうち数件の脆弱性に対するエクスプロイトを検出するためにリリースした Snort ルールについて概説しています。
今週のセキュリティ関連のトップニュース
Apple 社がここ 1 週間でセキュリティアップデートを次々とリリース、企業の全モバイルデバイスのユーザーに対し、できるだけ早くアップデートをインストールするよう推奨。9 月 7 日のセキュリティアップデートでは、攻撃者が実際にエクスプロイトしているセキュリティの脆弱性を修正するために、ユーザーは iOS 16.6.1 または iPadOS 16.6.1 に直ちにアップデートする必要があると警告されています。中には、脆弱性のエクスプロイトによって標的のデバイスにスパイウェアがインストールされた事例もあります。Apple 社のアドバイザリには、「悪意を持って細工された画像を操作すると、任意のコードが実行される可能性があります」と記載されています。同社は月曜日にも、iPhone、iPad、Mac、その他の Apple デバイスの旧モデルを対象に「重要なセキュリティ修正を提供する」別のセキュリティアップデートをリリースしました。同一の脆弱性に対処したものだと思われます。Apple 社は水曜日のイベントで、最新の iPhone と Apple Watch を発表する予定でした(情報源:USA Today、CNET)。
米国と英国が、サイバー犯罪組織 Trickbot に属しているとされる別のメンバーに対する制裁を発表。両国の法執行当局は、「Trickbot グループの経営管理および調達に関与している」疑いがあるとする 11 人に対して制裁を科すと発表しました。Trickbot は大企業や大規模な組織をランサムウェア攻撃の標的にすることで知られており、ロシア政府とのつながりが疑われています。リストアップされた人物のうち 7 人は、2022 年末に解散した Conti ランサムウェアグループで活動していた容疑もかけられています。容疑者たちは、Conti の「管理者、マネージャ、開発者、プログラマー」だとされています。英国家犯罪対策庁(NCA)の報告によると、Trickbot 攻撃により推定 1 億 8,000 万ドルの被害が発生しており、そのうち 3,360 万ドルは英国内で発生した被害だということです。同グループの被害者リストには、世界中の病院、学校、政府機関が名を連ねています(情報源:TechCrunch、Dark Reading)。
LastPass のデータ侵害で窃取されたパスキーが攻撃者に解読され始めていることについて、セキュリティ研究者が懸念を表明。最近、仮想通貨ウォレットの盗難被害に遭った人のうち、150 人以上は LastPass のユーザーであり、3,500 万ドル相当の仮想通貨が盗まれました。仮想通貨の利用者の多くは、自分のウォレットを保護するためにセキュリティフレーズを使用しており、それを LastPass のようなパスワードマネージャ内の暗号化されたフォルダに保存しています。そのフレーズが攻撃者に知られた場合、実質的に、そのキーに結びついた被害者のすべての仮想通貨資産にアクセスされてしまうことになります。LastPass の提供元は、2022 年のデータ侵害について現在も法執行機関による捜査活動が続いていることを理由に、研究者の調査結果についてコメントすることを控えています(情報源:Krebs on Security、The Verge)。
Talos が発信している情報
- 『Talos Takes』エピソード #154:オープンソースのマルウェア SapphireStealer がインターネットに公開
- 注目のセキュリティ研究者:ファームウェアに潜むどんなバグも見つけ出して解明する Kelly Patterson
- 情報漏洩と不正アクセスにつながる Open Automation Software Platform の 8 件の脆弱性
- サイバー犯罪者がグラフィックデザイン ソフトウェア用の GPU を悪用
Talos が参加予定のイベント
LABScon (9 月 20 日~ 23 日)
アリゾナ州スコッツデール
Vitor Ventura がプレゼンテーションを行い、破綻寸前だったサイバー傭兵企業が、完全に機能するスパイウェアを持つようになるまでの詳細な説明とタイムラインについて説明します。同スパイウェアの標的は iOS と Android で、ワンクリックのゼロデイ攻撃(ゼロデイエクスプロイト)を仕掛けます。
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:d5763a87ec22a583b9dd853e31a9d4cb187d81251ce51099ce3d0f749bbf405a
MD5: 5cedec562076ac629453cc99dd0cdda6
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名: W32.Auto:d5763a.in03.Talos
SHA 256:4c3c7be970a08dd59e87de24590b938045f14e693a43a83b81ce8531127eb440
MD5:ef6ff172bf3e480f1d633a6c53f7a35e
一般的なファイル名: iizbpyilb.bat
偽装名:なし
検出名: Trojan.Agent.DDOH
SHA 256:d5219579eec1819d52761730a72ce7a95ee3f598fcfd9a4b86d1010ea103e827
MD5: bf357485cf123a72a46cc896a5c4b62d
一般的なファイル名: bf357485cf123a72a46cc896a5c4b62d.virus
偽装名:なし
検出名: W32.Auto:d5219579ee.in03.Talos
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
本稿は 2023 年 09 月 14 日に Talos Group
Tags:
