今週も脅威情報ニュースレターをお届けします。
昨年の今頃、イーロン・マスク氏が初めて Twitter(現 X)の買収について言及して以来、同氏が特に問題としてきた点の 1 つが、プラットフォーム上にあるボットアカウントの数が不確かであり、それが広告収入やユーザー数にどのような潜在的影響を与えているのかという点です。
ボットとの戦いの進展が伝えられる中で、X は最近、有料プレミアムユーザーが使える政府発行の身分証明書に基づく認証プロセスを開始しました。このソーシャルメディア プラットフォームはサードパーティのセキュリティ企業と提携しており、他人がユーザー本人になりすますことが難しくなるよう、手厚いサポートを迅速に提供します。
認証のセットアッププロセスの説明には、ユーザーがコンピュータのカメラで、自分の写真と政府発行の身分証明書の写真を撮る必要があると記載されています。X の認証ポリシーによると、サードパーティ企業が提供された写真を保管するのは、提供された情報の検証に必要な期間だけであり、いかなる ID 画像も 72 時間しか保管しないことになっています。提出された写真から得られた情報はサードパーティが 30 日間保管しますが、その名目は、ユーザーに「認証の判断に抗議する機会を与え、X がユーザーの抗議を検討するため」というものです。
Facebook と Instagram の親会社である Meta 社は、Meta Verified という同様のプログラムを開始しています。これも、政府発行の身分証明書の写真を提出すること、また「なりすましを防止できるアカウント認証と、高い可視性や手厚いサポートへのアクセス」を得るためにサブスクリプション料金を支払うことをユーザーに求めています。
額面通りに受け取れば、提供された ID の画像を保管する X と Meta のポリシーは申し分ないように見えます。私が問題に感じる主な点は、具体的なメリットが何なのかがよくわからないことです。
ID 情報を提出し、プレミアム サブスクリプション料金を支払うことで得られるメリットについて X が説明しているのは、より迅速なサポートが受けられることと、ユーザーアカウントに認証バッジが追加され、今となっては評判の悪い青いチェックマークが付くということだけです。このオプションは、最もなりすましの対象になりやすいと思われるビジネスアカウントや組織のアカウントでは利用できません。私は X のプラットフォームで、Talos になりすましたアカウントをかなりの数見ています。誰かが Talos のアカウントのふりをしていたのです。
X はこの認証プログラムの将来的なメリットについても触れていますが、あくまでも検討すると言っているだけです。その内容は、「ユーザーが年齢にふさわしいコンテンツにアクセスできるようにし、スパムや悪意のあるアカウントから保護するなどの追加対策を講じる可能性がある」というものです。同サービスは EU でも英国でもまだ提供されていません。おそらく、これらの地域ではより厳格な個人情報保護法が定められているからでしょう。
認証手続きが実施されたとしても、うまく機能するという保証もありません。私の義理の姉は昨年、Instagram/Meta のアカウントを仮想通貨のスパム発信者に乗っ取られました。Instagram に 360 度の自撮り写真と政府発行の身分証明書の画像を提出していたのに、Instagram は彼女のアカウントがハッキングされたという主張を否定しました。また、彼女が新しいアカウントを作成したにもかかわらず、今日に至るまで仮想通貨のスパムメールがいまだに家族に送られています。彼女の訴えは Meta 社からも認められていません。
これはごく限られた事例ですが、もし私がこのようにセキュリティ履歴が怪しい会社に自分の運転免許証の写真を送ることになったとしても、将来的な機能についての約束やあいまいなサポートの約束以上のものが示されなければ、この多要素認証の方法には納得できません。
重要な情報
Google Chrome の深刻な脆弱性が複数公開されました。ユーザーはできるだけ早く自分のブラウザをアップデートする必要があります。Google は当初、Chrome で採用している画像保存形式である WebP のヒープ バッファ オーバーフローとして CVE-2023-4863 を公開しました。しかし水曜日には、この脆弱性が実は libwebp に存在することを特定した CVE-2023-5129 と一緒に新たなアドバイザリをリリースしました。つまり、Chrome だけでなく複数のアプリケーションに影響することになります。更新されたアドバイザリではシビラティ(重大度)スコアも上がり、10 点中 10 点になりました。今週は Talos も CVE-2023-3421 を公開しています。これは、Chrome に影響を与える解放済みメモリ使用の脆弱性です。攻撃者は、標的をだまして細工された HTML Web ページにアクセスさせる方法で、この脆弱性をエクスプロイトします。
注意すべき理由
Chrome は非常に人気のある Web ブラウザであり、そのオープンソース版である Chromium は他の多くのブラウザソフトウェアの基盤になっています。WebP の重大な脆弱性が特に注目されるのは、WebP が新しいデフォルトのファイル形式であり、Chrome で扱われる画像のほとんどで使用されているからです。アドバイザリには、攻撃者が CVE-2023-5129 をエクスプロイトした場合、「細工された WebP 形式のロスレスファイルに起因して、libwebp がヒープ領域外にデータを書き込む可能性があります」と記載されています。
必要な対策
ここでのアドバイスはとても単純です。もしまだであれば、Google Chrome をアップデートしてください。
今週のセキュリティ関連のトップニュース
ランサムウェア攻撃のために停止していた MGM 社のカジノが 10 日振りにオンラインに復帰。同社が運営するカジノとホテルでは、ランサムウェア攻撃を受けて閉鎖されていたゲストサービスや電動スロットマシンに関連するすべての問題が解決されました。ある推定によると、この停止により 8,000 万ドル以上の損害が発生した可能性があります。攻撃グループ Scattered Spider が既知の有力なランサムウェアグループ ALPHV と手を組んで攻撃を行ったと声明を出しました。セキュリティ研究者は、Scattered Spider の正体は Star Fraud と名乗るハッカー集団だと考えています。先週の LABScon で発表された新しい研究でも、同グループが Okta の認証サーバーのアクセス権を獲得した後に、MGM 社とは別のカジノ運営元 Caesars に潜入したと報告されています(情報源:Washington Post、Associated Press)。
ハッカー集団が「ソニーの全システム(原文ママ)」を侵害したと主張。窃取したデータをダーク Web 上で販売するとの報道がなされています。犯行声明を出したのは Ransomed.vc という新たなグループで、ビデオゲーム機 PlayStation を生み出したことで知られる大手テクノロジー企業の 6,000 以上のファイルにアクセスしたと発表しています。同グループの主張について、ソニーはまだ調査中であるとコメントしています。Ransomed.vc という名前を冠しているものの、実際は恐喝グループであり、自前の暗号化プログラムを持っていません。身代金を要求する代わりに、同グループはデータをダーク Web 上で 250 万ドルで販売するつもりです。ただしその後、他の攻撃グループも犯行声明を出しており、真相は不明のままです。MajorNelson と自称する攻撃グループが、圧縮されていない 3.14 GB のデータが入った 2.4 GB の圧縮アーカイブを「無料で流出させた」と発言し、データはソニーのものだと主張しています(情報源:Bleeping Computer、Kotaku)。
新たな RaaS(Ransomware as a Service)犯罪グループ ShadowSyndicate が、サーバーの巨大ネットワークを運営しているとの報道。他の大規模なランサムウェアファミリとつながりがあると伝えられています。セキュリティ研究者は、同グループが ALPHV ランサムウェアグループや Clop、Play、Royal、Cactus のような他のランサムウェアファミリと結びついている可能性があると述べています。新たに公表されたレポートでは、ShadowSyndicate が管理している数十のシステムの概要が示されており、同グループのセキュアシェル(SSH)のフィンガープリントを含む 52 のシステムを取り上げています。このフィンガープリントは、ShadowSyndicate がさまざまなマルウェア攻撃の管理と調整を行うために Cobalt Strike のビーコンとして使用するものです。ShadowSyndicate が本当に RaaS グループなのか、アクセス情報を入手して販売するイニシャル アクセス ブローカー的な存在なのかは今のところ不明です(情報源:DarkReading、SC Magazine)。
Talos が発信している情報
- 『Talos Takes』エピソード #155:ラスベガスで開催された Black Hat のネットワークの防御に Talos はどう貢献したか
- 『Beers with Talos』エピソード #139:Jacques Wagon とは何者か
- Decipher セキュリティポッドキャスト:Source Code 9/22
- Snort 3 サービスインスペクタを使用した ICS プロトコルのカバレッジ
- Google Chrome の解放済みメモリ使用など、新たに 10 件の脆弱性を Talos が発見
Talos が参加予定のイベント
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e2cdf48bc6741afd7aba54d7c0b30401d2d6dd06138979ca73f3167915bf22b3
MD5: eba4ad9540713d5956ab0b6a566c1487
一般的なファイル名: webnavigatorbrowser.exe
偽装名: WebNavigatorBrowser
検出名: Win64:WebNav.26k0.rlsync.Talos
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:7f66d4580871e3ee6a35c8fef6da7ab26a93ba36b80279625328aaf184435efa
MD5: e9a6b1346d1a2447cabb980f3cc5dd27
一般的なファイル名:профиль 10 класс.exe
偽装名:なし
検出名: Application_Blocker
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
本稿は 2023 年 09 月 28 日に Talos Group のブログに投稿された「The security pitfalls of social media sites offering ID-based authentication」の抄訳です。