いまだに Windows CE を使用しているデバイスがあるという衝撃の事実
発売から 27 年になるオペレーティングシステム Windows CE が、なぜ「CE」と呼ばれるのか公式な説明がないまま今週ついに正式なサポート終了期間を迎えました。
Windows CE は Microsoft 社にとって初となる組み込みデバイスとポケットデバイス用のオペレーティングシステムであり、これまでパーソナル ポケット アシスタント、初期の BlackBerry 風の製品、ラップトップなどで導入されてきました。
2020 年、Microsoft 社は Windows CE を使用するデバイスの明確な移行パスを発表し、ユーザーに Windows 10 IoT 上でコンテナを実行するよう促すことで、サポート終了(サポートやセキュリティパッチなどが提供されなくなること)が迫っていることについて注意喚起しました。
ただし Microsoft 社は、Windows Embedded Compact 2013 のライセンス販売を継続するとしています(Windows CE の完全バージョンの最終アップデートは 2028 年まで)。少し前に Windows 7 がまだ動くことが格好いいと考えるユーザーがいることを知り、そうした考え方の危険性について書きました。それだけでも驚きだったのですが、今週 Windows CE について詳しく調べていたところ、米国が依存している最も重要なハードウェアのいくつかで、いまだに Windows CE が使用されていることがわかりました。たとえば投票機などです。
2016 年の米大統領選では、Windows CE 搭載の携帯電話が「ヒラリー・クリントンの電子メール」騒動で注目を浴びました
。それ以来、セキュリティ研究者たちは、Windows CE を使用する一部の投票機がさまざまなエクスプロイトに対して脆弱であることを発見してきました。
2017 年の DEF CON 25 に参加した人が、カンファレンス史上初の「Voting Village」に行ったときの様子について書いた記事を見つけたのですが、そこでは何と、Windows CE 5.0 を使用した ExpressPoll 5000 有権者登録システムを含む各種の投票システムに対し、研究者たちがさまざまな方法でハッキングを仕掛けていました。言うまでもなく、ExpressPoll 5000 に勝ち目はありませんでした。
ExpressPoll 5000 がまだ流通しているかどうかに関する情報は見つかりませんでしたが、メリーランド州選挙管理委員会は 2016 年の「受け入れテスト」の時点で、選挙での使用を認めるデバイスのリストにこの ExpressPoll 5000 を入れていました。
2016 年の大統領選挙で使用された Diebold 社製の他の投票機にも、古いバージョンの Windows CE が搭載されていました(Vice News 社はかつてこのトピックに関する動画をサイトに掲載していました。現在はインターネットから削除されていますが、動画の内容をまとめた記事はこちらでご覧いただけます)。
繰り返しになりますが、これらのシステムが現在でも実際に使用されているという確証はありません。2016 年の選挙に端を発したこのセキュリティ上の問題が明るみに出てから、米国は選挙におけるセキュリティをそれまでより厳しく監視し、高セキュリティな投票機に多額の投資を続けています。このため、これらのデバイスは現在すべて使用されなくなっているか、パッチが適用されているか、(願わくは)どこかにそのまま埋められている可能性があります。
ただそれよりも重要な点は、米国政府が依存しているテクノロジーの多くが「古い」ということです。2020 年の大統領選挙で使用された投票システムの多くは Windows 7 に依存していましたが、これも現在ではサポートが終了しており、セキュリティアップデートは提供されていません。Windows 8.1 のサポートは今年の初めに終了しました。この OS を使用しているデバイスがまだ世の中にどれほど出回っているかは誰にもわかりません。また、Windows 10 は 2025 年 10 月にサポート終了期間を迎えます。2028 年の大統領選までに(実際にこの年に実施されるかはまだわかりませんが)、投票に使用されるあらゆるデバイスが Windows 10 に依存しているという記事を数多く目にするのではないかと思っています。
重要な情報
Arid Viper の攻撃者が活発な活動を行っています。中東のデバイスが標的にされており、偽の出会い系アプリを使ってスパイウェアをインストールしようとしています。Arid Viper はガザを拠点としていると考えられていますが、Talos は、この攻撃がイスラエルとハマスの戦争に何らかの形で関連していることを示す情報も、関連性を否定できる情報も持ち合わせていません。Arid Viper が使用する悪意のあるアプリは他の正規のアプリと非常によく似ているため、何も知らないユーザーはいとも簡単に騙されてしまいます。
注意すべき理由
スパイウェアは種類を問わず非常に危険ですが、この特定の事例で使用される Arid Viper のスパイウェアは機密性の高い個人情報をデバイスから収集し、攻撃者が他のマルウェアをインストールできるようにセキュリティ通知を無効にします。スパイウェアの使用は世界中で依然として大きな問題であり、各国政府が対応に追われています(場合によっては政府自体がスパイウェアを使用していることさえあります)。
必要な対策
Talos のブログ記事には、今回の攻撃で使用されている悪意のあるアプリの詳細が記載されているため、攻撃を受ける可能性がある場合は何に注意すべきかを知ることができます。また、防御側がブロックリストに追加できる新しい IOC もいくつか掲載しています。政治家、ジャーナリスト、活動家など標的にされやすい人たちは、モバイルデバイスで「セーフ」モードを有効にすることで、あらゆる種類のスパイウェアから身を守ることができます。
今週のセキュリティ関連のトップニュース
ジョー・バイデン米大統領が今週、AI の使用を規制し、プライバシー保護措置を講じることを目的とした包括的な大統領令に署名。この大統領令では、議会に対し国家的な AI プライバシー法を可決することも求めています。新たな規則が施行されると、大手 AI 開発企業は自社のソフトウェアに関する安全性テストの結果などの情報を政府と共有する必要があります。米国立標準技術研究所(NIST)も、AI ツールの一般公開前に安全性とセキュリティを確保するための新基準を作成する予定です。連邦政府機関も今後は AI の使用方法を見直す必要があり、これに民間部門が追随することが期待されます。連邦政府の福利厚生プログラムと請負業者は、使用する AI ツールが原因で人種的偏見が深刻化しないようにする必要があります。一方、プライバシーの専門家たちはこの大統領令を小さな第一歩としか見ておらず、国の法令や執行機関によってさらに強化する必要性を感じています(情報源:AP News、ABC News)。
対ハマス戦争での米国のイスラエル支援への報復としてイランが支援するサイバー攻撃が急増していることを受け、米国政府が警戒態勢に。FBI のクリストファー・レイ長官は今週開かれた議会の委員会で「イランと非国家主体によってすでに行われている米国の国益や重要インフラに対するサイバー攻撃は、紛争が拡大すればさらに激化することが予想される」と述べました。また、新たな調査によると、イランの攻撃勢力は機密情報の収集や重要なサービスの妨害を目的として、中東全域でさまざまなサイバースパイ活動を展開しています。最大で 15 のハッカー集団がイラン革命防衛隊やイラン情報省と直接提携、あるいはその代理として活動していると考えられます(情報源:Politico、The New York Times)。
クラウドコンピューティング企業 Citrix、同社の NetScaler ADC/ゲートウェイデバイスの重大な脆弱性が広く悪用されていると警告。「Citrix Bleed」として知られる CVE-2023-4966 は情報漏洩の脆弱性です。NetScaler デバイスがインターネットに接続されていて脆弱なソフトウェアを実行している場合、デバイスの有効なセッショントークンが盗まれる可能性があります。Citrix 社は 10 月 10 日にこの脆弱性を公表し、影響を受けるデバイスを直ちにアップデートするようユーザーに警告しましたが、それからすぐ、攻撃者が 8 月からこの脆弱性を悪用していたことを複数のセキュリティ研究者が突き止めました。研究者の Kevin Beaumont 氏は自身のソーシャルメディアチャネルで、Citrix デバイスからセッショントークンが盗まれ悪用された事例が推定で 2 万件見つかったことを報告しました(情報源:HelpNet Security、Ars Technica)。
Talos が発信している情報
- 『Beers with Talos』エピソード#140:チキンスープとコンタクトセンター
- 『Talos Takes』エピソード#160:パッチ適用の基本
- 『Talos IR On Air』2023 年第 3 四半期の Talos インシデント対応チームの業務
- アラビア語圏のユーザーを標的とした Arid Viper による攻撃
- カザフスタンを拠点とするハッカーが中央アジアの政府 Web サイトを標的にしているとシスコが発表
Talos が参加予定のイベント
Black Hat Middle East and Africa(11 月 16 日)
サウジアラビア、リヤド
Talos インシデント対応チームの Rami Atalhi が、生成系 AI がサイバーセキュリティのレッドチームとブルーチームに影響を与える方法について話します。生成系 AI がこれらのチーム間の架け橋となり、チームワークと革新的な戦略を促進する方法をご覧ください。実際の事例から、生成系 AI がどのように成功を導くのかを説明し、レジリエンスのあるサイバーセキュリティ計画を構築するためのインサイトを提供します。
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:21d709b0593c19ad2798903ae02de7ecdbf8033b3e791b70d7595bca64b99721
MD5: af8a072f20c8e647f53eb735528f070d
一般的なファイル名:Head Office.exe
偽装名:Head Office
検出名: Win.Dropper.Pykspa::100.sbx.vioc
SHA 256:032f2e845d2b9832c7845bc6a7de650ee2148891c8ee442fe3f3a8478e588dbe
MD5: a5cc0738a563489458f6541c3d3dc722
一般的なファイル名: wuauclt.exe
偽装名:Microsoft® Windows® Operating System
検出名: Win.Dropper.Vools::100.sbx.tg
SHA 256: 8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5: 0e4c49327e3be816022a233f844a5731
一般的なファイル名: aact.exe
偽装名:AAct x86
検出名:PUA.Win.Tool.Kmsauto::in03.talos
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:b9ddbd1a4cec61e6b022a275d66312b5b676f9a0a9537a7708de9aa8ce34de59
MD5:3b100bdcd61bb1da816cd7eaf9ef13ba
一般的なファイル名: vt-upload-C6In1
偽装名:なし
検出名: Backdoor:KillAV-tpd
Tags:本稿は 2023 年 11 月 02 日に Talos Group
