これは別に大袈裟な表現ではないのですが、広告ブロッカーは本当に優れています。
2016 年に広告ブロッカーを使い始めてからというもの、私のインターネット使用体験は飛躍的に向上しました。今では、インフルエンサーのブログをランダムにチェックしても簡単に夕食のレシピが見つかるし、「車のヘッドライトの交換方法」を調べると以前よりも早く答えが得られます。何百ものマルバタイジングを回避できるようにもなりました。
ところが、YouTube が広告ブロッカーの利用を防ぐための新しいポリシーを打ち出したことで、広告ブロッカーの利用がますます物議を醸しています。新しい警告によると、広告ブロッカーの許可リストに youtube.com を登録しない限り、ユーザーは一定の本数の動画しか視聴できません。こうすることで YouTube 動画の前に広告が表示されるようにしているのです。
2 週間前にこの警告が表示されたとき、私はすぐに回避策の調査を開始し、自分の視聴習慣にぴったりの安全な解決策をすぐに見つけました。Google(YouTube の親会社)が広告ブロッカーを排除したい理由はシンプルで、お金です。Google は 2000 年代初めから Google 広告サービスを運営し、誰もが Web サイトで見慣れてきた典型的な広告を提供してきました。残念なことに、詐欺犯が魅力的な見出しや偽の画像、売り文句を並べて人々を騙し、偽サイト、詐欺被害、あるいはマルウェアのダウンロードにつながるリンクをクリックさせようとすることは少なくありません。
広告ブロッカーは、この種の脅威をブロックするためにユーザーが導入できる主要なツールであるため、誰もが広告ブロッカーを使用したいと考える理由も明らかです。
広告ブロッカーの回避に取り組んでいる大手企業は決して Google だけではありません。Spotify の利用規約には、同社のプラットフォーム上で「広告を回避またはブロックすること、または広告をブロックするためのツールを作成または配布すること」を禁止する旨が明記されています。また、CNBC のような多くのニュース Web サイトでは、記事を読み続ける前に広告ブロッカーをオフにするよう警告が表示されます。
私はパブリッシャーがコンテンツに対して課金したり、コンテンツをペイウォールの内側に配置したり、さらにはポッドキャストやビデオで広告を無効にする「プレミアム」サブスクリプションを導入したりすることには賛成です。しかし、広告ブロッカー(少なくとも合法的なもの)がインターネット全体にとって良いものであり、ユーザーの安全を守るものであることを、私たち全員が認めなければなりません。この点については FBI と CIA も同じ見解を示しており、以前から Web ブラウザで広告ブロッカーを有効にするようユーザーに勧告しています。
広告はクリエイターの利益になっている、だから自分たちはクリエイターからその利益を還元してもらっているのだ、というこれらの企業の主張はまったく的外れです。
YouTube パートナープログラムに参加しているクリエイター、つまり申請書に記入し、再生回数と登録者数の最低基準を満たしているクリエイターは、YouTube の広告が表示される動画が 1,000 回再生されるごとに 1.61 ドル~29.30 ドルの収入を得ます。ですから、再生回数が非常に多い動画のクリエイターならば毎月それなりの収入を得られるでしょう。ただ、たとえ現在数千ドルの余裕すらないとしても、そうしたクリエイターであればうまくやっていくに違いありません。
洗濯機の修理方法やチャイルドシートの正しい取り付け方を教えてくれるような親切な人たちは、私が広告ブロッカーを使用して広告を 1 回見なかったとしてもがっかりしないでしょう。
幸いなことに、YouTube の新しいルールは EU の規制に抵触する可能性があるため、いずれにせよ長くは続かない可能性があります。実際、プライバシー擁護団体はすでに EU の独立系データ規制機関に正式な異議申し立てを行っています。
重要な情報
Microsoft 社は今週の月例セキュリティ更新プログラムの一環として 3 件のゼロデイ脆弱性を公開しました。この 3 件の脆弱性はすべて、CISA の「悪用が確認された脆弱性カタログ(KEV)」にすでに追加されています。ただし、今月のセキュリティ更新プログラムに含まれていた「緊急」の脆弱性は 3 件のみで、先月と比べて非常に少ない件数となりました。CVE-2023-36033 は、攻撃者による SYSTEM レベルの権限取得につながる Windows DWM コアライブラリの特権昇格の脆弱性です。Microsoft 社によると、この脆弱性はすでに悪用されており、使用可能なコンセプト実証コードがあります。別の特権昇格のゼロデイ脆弱性である CVE-2023-36036 は Windows クラウドファイルのミニフィルタドライバに存在します。この脆弱性を悪用すれば SYSTEM 権限を取得できます。
注意すべき理由
今年は残念ながら、月例セキュリティ更新プログラムでゼロデイ脆弱性が公開されることが当たり前になっていて、毎月のように新たに 2、3 件報告されているようです。今月のゼロデイ脆弱性については、Microsoft 社がパッチを適用する前に攻撃者がエクスプロイトを発見しており、これらの脆弱性が実際に悪用されていることを CISA もすでに認識しています。
必要な対策
すべての Microsoft ユーザーは、自動更新がオンになっている場合は更新プログラムが正しくインストールされていることを確認し、オフの場合はできるだけ早くパッチを手動でダウンロードするようにしてください。こちらの Talos のブログにも、Microsoft 社が今週公開した脆弱性の多くを検出できる Snort ルールを掲載しています。
今週のセキュリティ関連のトップニュース
Royal ランサムウェアグループが間もなく名称を変更する可能性があり、すでに「BlackSuit」という名前で活動している可能性があると米国の諜報機関が警告。政府の制裁を受け、Royal はこれまでランサムウェア攻撃で思うように収益を得られなくなっていましたが、民間企業や政府機関の新たな調査によると、同様のオープンソースツールを使用する別の攻撃グループである BlackSuit と Royal がつながっている可能性があります。Royal は活発に活動するランサムウェアグループであり、FBI によると 350 社以上の企業に感染させ、2 億 7,500 万ドルを超える収益を上げています。さらにセキュリティ研究者は、かつての Conti ランサムウェア集団が分裂して Royal が組成されたのではないかと推測しています。Conti もまた、政府による取り締まりの対象となり、制裁を受けました。米国と英国が Conti の構成員とみられる 11 人に対する制裁を発表したのは 9 月のことです(情報源:TechCrunch、The Register)。
2020 年の米大統領選以降、選挙関連のデマ情報との闘いは厳しさを増す一方。新たな報告や証言によれば、ネット上のフェイクニュースや偽情報と闘うための重要なプログラムやパートナーシップの多くが、右派の指導者や組織からの政治的攻撃を受け、ここ数年で衰退しています。FBI のクリス・レイ長官が先週上院委員会で語ったところによると、外国のプロパガンダ対策に特化した連邦政府機関、ハイテク企業、選挙管理人、セキュリティ研究者の連携が最近では崩壊しており、関係者間の意思疎通がほとんど取れていないか、まったくないということです。選挙の偽情報対策を担当する他の当局者らは、FBI から最後に連絡があったのは数か月前のことだと述べています。それまでは、ソーシャルメディア上のフェイクニュース対策について FBI と定期的に連絡を取り合っていたとのことです。さらに、「デマ情報」という言葉を弾圧だと考える右派有権者たちから何年もネット上で反発を受けてきたため、多くの選挙スタッフや選挙管理人はこの話題について議論することを恐れています(情報源:NBC News、NPR)。
チップメーカーの Intel 社と AMD 社、特権昇格につながる可能性のある新たな脆弱性を今週公開。一部の Intel 社製 CPU は、新たに発見され火曜日に公開された「Reptar」という脆弱性(CVE-2023-23583)の影響を受けます。攻撃対象のシステムにすでにアクセスできる状態になっている場合、この高重大度の欠陥が悪用されることで最終的にはマシンがクラッシュしてしまい、特権昇格につながったりシステムの機密情報が漏洩したりする可能性があります。「CacheWarp」という AMD 社製 CPU に対する別の攻撃では、暗号化された仮想マシンに攻撃者が侵入し、特権昇格を実行する危険性があります。CVE-2023-20592 として識別されているこの脆弱性は、AMD の Secure Encrypted Virtualization(SEV)テクノロジーに影響します。ドライバとオペレーティングシステムに最新のパッチが適用されていることを確認しさえすれば、これらの脆弱性に対処するために他の対策を講じる必要はありません(情報源:SecurityWeek、The Hacker News)。
Talos が発信している情報
今週は、ここに大量のリンクを掲載する代わりに、ロサンゼルスの Fox 11 の番組紹介をしたいと思います。Talos アウトリーチチームの Nick Biasini が出演しますのでぜひご覧ください。オンライン詐欺を扱う番組ですが、オンラインビデオゲーム『Roblox』関連のさまざまな詐欺に関する Talos の最近の研究について Nick が解説します。
Talos が参加予定のイベント
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
『プラットフォームの力』 (12 月 5 日と 7 日)
シスコ オンラインイベント(すべてドイツ語でのプレゼンテーションとなります)
Talos インシデント対応チームの Gergana Karadzhova-Dangela をはじめとするシスコの専門家たちが、デジタル化の導入における未来志向のトピックについて皆さんと意見交換する年末恒例の IT イベントです。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名:Win.Dropper.Scar::1201
SHA 256:b9ddbd1a4cec61e6b022a275d66312b5b676f9a0a9537a7708de9aa8ce34de59
MD5: 3b100bdcd61bb1da816cd7eaf9ef13ba
一般的なファイル名: vt-upload-C6In1
偽装名:なし
検出名: Backdoor:KillAV-tpd
SHA 256:1fa0222e5ae2b891fa9c2dad1f63a9b26901d825dc6d6b9dcc6258a985f4f9ab
MD5: 4c648967aeac81b18b53a3cb357120f4
一般的なファイル名: yypnexwqivdpvdeakbmmd.exe
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5: 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2023 年 11 月 16 日に Talos Group のブログに投稿された「We all just need to agree that ad blockers are good」の抄訳です。