今週も脅威情報ニュースレターをお届けします。
現在も続いているイスラエルとガザの衝突には心を痛めています。残念ながらすぐには平和的な解決は期待できそうにないため、「通常」のニュースレターは来週お届けすることにします。
今週もこの場をお借りして、サイバーセキュリティ啓発月間に目を通しておきたい情報をまとめてご紹介します。インターネットバンキングにログインする際の多要素認証を有効にするだけでも、怪しげな電子メールをスパムに分類するだけでもかまわないのですが、何らかの「セキュリティ対策」を講じることでセキュリティレジリエンスの向上に大きな役割を果たすことができ、自分のためにも所属する組織のためにもなります。
- サイバーセキュリティに対する意識と行動に関する年次報告書 2023(全米サイバーセキュリティ アライアンス)
- 2023 年度データ漏洩/侵害調査報告書 [日本語](Verizon)
- シスコ、将来必要なスキルの認定プログラムへの投資を継続。サイバーセキュリティ分野の専門家不足を解消するための同社の取り組みを紹介(Fortune)
- XDR とクロスドメインテレメトリのオープン性(Cisco Secure ライブストリーム)
- 米国家サイバー長官が AI の使用にブレーキをかけるよう政府機関に指示(Wall Street Journal)
- 元 NSA 長官:AI はサイバーセキュリティにとって「諸刃の剣」(The Hill)
- 中小企業のサイバーセキュリティ:エキスパートが教える効果的な 20 のヒント(Forbes)
- 今すぐ Android スマートフォンのセキュリティを強化するための 5 つのヒント(ZDNet)
- ファクトシート:OT と産業制御システムにおけるオープンソースソフトウェアのセキュリティ向上(CISA)
- シスコ 2023 コンシューマプライバシー調査
重要な情報
シスコは、Cisco IOS XE ソフトウェアの Web ユーザーインターフェイス(Web UI)機能の脆弱性(CVE-2023-20198)が実際に悪用されている事例を確認しました。これまで知られていなかったゼロデイ脆弱性であり、Cisco IOS XE ソフトウェアを搭載したシステムがインターネットや信頼できないネットワークに公開されている場合にエクスプロイトが可能になります。HTTP または HTTPS サーバー機能が有効化された Cisco IOS XE ソフトウェアを実行する物理デバイスや仮想デバイスが影響を受けます。この脆弱性のエクスプロイトに成功すると、攻撃者は影響を受けたデバイス上に特権レベル 15 のアクセス権を持つアカウントを作成できます。その結果、侵害されたデバイスをほぼ完全に制御できるようになり、以降は不正な活動が可能になります。
注意すべき理由
攻撃者がこの脆弱性をエクスプロイトして、標的のデバイスにインプラントをインストールしたことをセキュリティ研究者が確認しています。ある推計によると、最大 1 万台のデバイスがすでに影響を受けている可能性があります。最悪の場合、標的のデバイスで任意のコードを実行される恐れがあります。
必要な対策
シスコは、インターネットに接続しているすべてのシステムの HTTP サーバー機能を無効にするようセキュリティアドバイザリで勧告を提示しています。これはベストプラクティスであるだけでなく、米政府が過去に提示したガイダンス(インターネットに公開された管理インターフェイスに起因するリスクの軽減に関するガイダンス)とも一致しています。この脆弱性は「緊急」と評価されているので、影響を受ける場合はシスコの PSIRT のアドバイザリで概説している手順を直ちに実施することを強く推奨します。パッチがリリースされ次第 Talos とシスコからご案内しますので、できるだけ早く適用するようにしてください。
今週のセキュリティ関連のトップニュース
ウクライナ侵攻初期のロシアによるサイバー攻撃の実態について、ウクライナ政府関係者が情報公開を開始。ウクライナ諜報機関のサイバー部門責任者が最近の Recorded Future のインタビューで、ロシアによるウクライナへの地上侵攻が始まった 2022 年 2 月に、ウクライナが米国と協力して国内の重要インフラを麻痺させる複数の試みを阻止したと語りました。Mandiant 社の Sandra Joyce 氏(グローバルインテリジェンス部門エグゼクティブ バイスプレジデント)も今週別のインタビューに応じ、侵攻当初数週間から数か月間のロシアからの防衛は「白兵戦」のようだったと述べています。同社は侵攻の 8 年前からウクライナ政府と提携していますが、侵攻開始後の数週間にウクライナを標的に展開されたワイパーマルウェアの数は、8 年間に確認された数を上回ったとも Joyce 氏は語りました。前述とは別のウクライナ政府サイバーセキュリティ高官はこれらのサイバー攻撃について、「戦争犯罪以外の何ものでもない」と弾劾しています(情報源:The Record、Yahoo! News)。
インターネット大手 Amazon、ユーザーのログインに使用されるパスキーに徐々に対応。Amazon のユーザーアカウント管理ポータルに機能がひっそりと追加され、パスキーの設定が可能になりました。ユーザーは指紋認証や顔認証などの生体認証を使用してデバイスにログインできるようになります。パスキーを設定すればユーザー本人が物理的にデバイスにアクセスする必要があるので、ユーザーの知らぬ間にサイバー犯罪者がアカウントにアクセスするのは難しくなると考えられます。ただしこのログイン方法は、モバイルデバイスにインストールされている Amazon のネイティブアプリ(Prime Video や Amazon ショッピングアプリなど)ではまだ機能しません。また、パスキーによるログインでも多要素認証コードの入力が必要なので、パスキーを使用すると無駄な手順が増えるかもしれません。Amazon の広報担当者は報道機関の TechCrunch に、「お客様に別の安全な方法でアカウントにアクセスしていただくために Amazon.com にパスキー対応を追加していますが、初期段階にあります。詳細は追ってお知らせします」と伝えています(情報源:TechCrunch、Dark Reading)。
今年初めベトナムの攻撃者が米政府関係者のデバイスにスパイウェアを送り込もうとしたとの新たな報道。CNN の人気キャスターのデバイスも標的になったとのことです。問題のスパイウェアはソーシャルメディア プラットフォーム(旧 Twitter)のメッセージ内のリンクに仕込まれていました。試みは失敗に終わったようですが、Talos が以前の記事で紹介した Predator などのスパイウェアがもたらす脅威が収まっていない状況が浮き彫りになったと言えます。イタリアのサイバーセキュリティ研究グループも先ごろ、攻撃者が偽の全国緊急警報を通じてイタリア国内でスパイウェアの拡散を試みたことを突き止めました。攻撃者は、イタリアでリリースされたばかりの自然災害用 IT アラートプログラムを装った偽サイトを作り、重要なアラートを受け取れるようにアプリをダウンロードするよう促していました(情報源:Washington Post、Cyber Security Hub)。
Talos が発信している情報
- 『Talos Takes』エピソード #158:自分に合った適切なパスワード管理ソリューションを見つける方法
- インシデント対応においてロギングが最も見落とされがちである理由と Cisco Talos IR の機能
- WTF を活用した Direct Composition のスナップショットファジング
- ランサムウェアとデータ盗難の比較
Talos が参加予定のイベント
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:744c5a6489370567fd8290f5ece7f2bff018f10d04ccf5b37b070e8ab99b3241
MD5: a5e26a50bf48f2426b15b38e5894b189
一般的なファイル名: a5e26a50bf48f2426b15b38e5894b189.vir
偽装名:なし
検出名: Win.Dropper.Generic::1201
SHA 256:85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5: 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: Eternalblue-2.2.0.exe
偽装名:なし
検出名: Win.Exploit.Shadowbrokers::5A5226262.auto.talos
SHA 256:4c3c7be970a08dd59e87de24590b938045f14e693a43a83b81ce8531127eb440
MD5: ef6ff172bf3e480f1d633a6c53f7a35e
一般的なファイル名: iizbpyilb.bat
偽装名:なし
検出名: Trojan.Agent.DDOH
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5: 9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名:Win.Dropper.Scar::tpd
SHA 256:2ebfc0b6ae3e80ca4e5a3ebfa4d9d7e99818be183d57ce6fbb9705104639bf95
MD5: 2371212b783f959809647de4f476928b
一般的なファイル名: wzncntdmgkm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2023 年 10 月 19 日に Talos Group のブログに投稿された「More helpful resources for users of all skill levels to help you Take a Security Action」の抄訳です。