今週も脅威情報ニュースレターをお届けします。
イスラエルとガザ地区で起きていることを考えると、今週は何か特別なことや気の利いたことを書きたいとは思いませんでしたが、イスラエルとパレスチナの皆さんのために救援活動を行っている多くの団体や支援者らに対して、自分も何かしたいと考えている読者の皆さんに心から賛同します。
そして今月はサイバーセキュリティ啓発月間です。私自身が特に参考になると感じた各種リソース、ブログ記事、ポッドキャストのリンク(いずれも英語)をいくつか紹介したいと思います。
- ランサムウェア急増への対策(シスコの YouTube)
- APJC 向け『Talos Threat Update』:攻撃者はどのように AI を利用しているか
- ニューノーマル:今日の世界でソーシャルエンジニアリングに対抗するために XDR を活用する方法とは(Cisco Secure ブログ)
- CISA の『Secure Our World』イニシアチブ
- ヘイト反対同盟:信仰に基づくコミュニティのリーダーを対象とした CISA のリソース
- ファクトシート:OT と産業制御システムにおけるオープンソースソフトウェアのセキュリティ向上
重要な情報
世界最大級のクラウドプロバイダーの多くが、8 月に受けた過去最大の分散型サービス妨害(DDoS)攻撃の原因となった脆弱性について警鐘を鳴らしています。HTTP/2 プロトコルの脆弱性(CVE-2023-44487)が最近悪用され、複数の標的に対して集中的な DDoS 攻撃が仕掛けられました。この問題は、HTTP/2 プロトコルがリクエストのキャンセル(リセット)を処理する方法に起因します。クライアントが HTTP/2 リクエストのリセットを発行すると、対応するストリームがキャンセルされるのでサーバーのリソースが消費されます。一方クライアントは、リセットの発行後直ちに新しいストリームを開くことができます。
注意すべき理由
Google 社によると、同社が 8 月に受けた過去最大規模の DDoS 攻撃は 1 秒あたり約 3 億 9,800 万件ものリクエストを受信するというもので、これまでの記録の 7 倍以上の規模だったとのことです。この規模の大きさには確かに驚かされます。もし、この種の攻撃がもっと大規模なボットネットを使用して仕掛けられたら、トラフィック量が桁違いに大きくなり、はるかに大きな影響を及ぼす可能性があります。そのため、できるだけ早くパッチ適用などの軽減策を実施することが強く求められています。
必要な対策
脆弱なプロトコルを使用している製品のユーザーはすぐにパッチを適用する必要があります。影響を受ける製品については、F5 や Microsoft など各社が個別のアドバイザリをリリースしていますが、この問題の大部分は自分の環境で DDoS の軽減策を講じているかにかかっています。この脆弱性に関連するアクティビティは新しくリリースされた Snort ルール(SID 62519)で検出できます。
今週のセキュリティ関連のトップニュース
遺伝子検査サービスを提供する 23AndMe 社が攻撃を受け、アシュケナージ系ユダヤ人(東欧系ユダヤ人)約 100 万人の個人情報が公開される。流出したリストには、23AndMe 社に登録されていた利用者の氏名、性別、祖先の出身地に関するデータが含まれるとされています。水曜朝の時点ではまだ犯行声明について調査中でしたが、実際に攻撃が行われたものと同社では考えていました。識別データ、健康情報、遺伝子の表現型、写真などを 23AndMe 社に提供することで、自分の家族の祖先に関する詳細情報について知ることができます。あるセキュリティ研究者は、今回漏洩した情報はおそらく本物であり、ネットワークの奥深くまで手動で侵入されなかったとしても、データ漏洩がもたらすリスクは大きいことを示すものだと語りました(情報源:The Record by Recorded Future:23andMe 社からアシュケナージ系と中国系ユーザー 130 万人のデータが流出)。
Microsoft 社が月例セキュリティ更新プログラムをリリース、100 件を超える自社製品の脆弱性にパッチを適用。今月公開された脆弱性のうちの 2 件はゼロデイ脆弱性で実際に悪用されており、9 件はレイヤ 2 トンネリングプロトコルにおける「緊急」の問題であるとのことです。一方 Apple 社も、iOS モバイル オペレーティング システムの重大な脆弱性 2 件を修正するための月例セキュリティアップデートをリリースしました。これらの脆弱性も実際の悪用が確認されています。ローカルデバイスへのアクセス権を昇格させるために、iOS および iPadOS の脆弱性である CVE-2023-42724 が悪用されています。Microsoft 社に話を戻すと、同社は月例セキュリティ更新プログラムを提供し、今年初めの大規模な分散型サービス妨害(DDoS)攻撃に使用されたことで注目が集まった HTTP/2 プロトコルに関連する自社製品のセキュリティホールを修正しました(情報源:Talos のブログ記事、Krebs on Security)。
赤十字国際委員会が新たなガイドラインを今週発表、戦時中に重要インフラや一般民間人への影響が出ないようハクティビスト集団が同ガイドラインに従うことを期待。民間ハッカーの数は増えており、特にロシアとウクライナ間の戦争、そして今またイスラエル問題で変化を起こすことを願って国際紛争にまで参加するようになっています。赤十字の新ガイドラインはハクティビスト集団や民間ハッカーに対し、適切な場合には国内法を遵守し、国際人道法(IHL)が定める「一般市民や、戦うことができなくなった兵士を戦禍から」保護することを目的とした物理的な戦闘行為に適用されるものと同じ規則に従うよう促しています。同ガイドラインの目的として掲げられているのは、民間人を標的にしないこと、軍民の区別なく標的とする恐れのあるマルウェアを導入しないこと、敵の行動如何にかかわらずこれらの規則を遵守することなどです(情報源:Washington Post、SecurityWeek)。
Talos が発信している情報
- 『Talos Takes』エピソード #157:サイバーセキュリティ啓発月間:多要素認証導入のベストプラクティス
- Qakbot ハッカーによるランサムウェア「Cyclops/Ransom Knight」の拡散についてシスコが情報を公開
- FBI の摘発を受けた Qakbot ハッカーが依然としてスパムを送信
- Qakbot の攻撃者は今も活発に活動していることが研究者の調査で判明
- 注目のセキュリティ研究者:2000 年問題からメタバース、暗号通貨まで、数十年にわたってスパムを調べてきた Jaeson Schultz を導いたものとは
- 脆弱性のまとめ:産業用セルラールータで 10 件のゼロデイ脆弱性を発見、コード実行やバッファオーバーフローにつながる恐れあり
Talos が参加予定のイベント
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:d5219579eec1819d52761730a72ce7a95ee3f598fcfd9a4b86d1010ea103e827
MD5: bf357485cf123a72a46cc896a5c4b62d
一般的なファイル名: bf357485cf123a72a46cc896a5c4b62d.virus
偽装名:なし
検出名:W32.Auto:d5219579ee.in03.Talos
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5: 9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名:Win.Dropper.Scar::tpd
SHA 256:4c3c7be970a08dd59e87de24590b938045f14e693a43a83b81ce8531127eb440
MD5: ef6ff172bf3e480f1d633a6c53f7a35e
一般的なファイル名: iizbpyilb.bat
偽装名:なし
検出名: Trojan.Agent.DDOH
SHA 256:7f66d4580871e3ee6a35c8fef6da7ab26a93ba36b80279625328aaf184435efa
MD5:e9a6b1346d1a2447cabb980f3cc5dd27
一般的なファイル名: профиль 10 класс.exe
偽装名:なし
検出名: Application_Blocker
本稿は 2023 年 10 月 12 日に Talos Group のブログに投稿された「Top resources for Cybersecurity Awareness Month」の抄訳です。