この 1 週間余りで Talos のブログに掲載された記事の並びを見ていたらちょっと面白いと感じました。
まず、最も危険なマルウェアの 1 種であるスパイウェアを拡散させている Arid Viper について長文の記事を掲載しました。Arid Viper は今話題になっているガザを拠点に活動している中東の攻撃グループです。
次に、子供向けのビデオゲーム『Roblox』について取り上げました(これまで何度か記事にしてきましたが、このゲームがメタバースの元祖だと固く信じています)。
攻撃の規模で言うと、両者は明らかに大きく異なります。スパイウェアは世界中で使用されており、最も被害に遭いやすい活動家、ジャーナリスト、政府関係者を監視し、その物理的な動きを追跡します。
一方『Roblox』(キャラクターが何となくレゴのミニフィギュアのように見えるゲーム)のプレーヤーはゲーム内で詐欺被害に遭っています。
Talos ブログのホームページを見ていると、サイバーセキュリティの役割が単にマルウェアをブロックするだけではないことは一目瞭然です。オンラインゲームを安全に楽しむ方法、ログイン情報をきちんと保護する方法、詐欺の見破り方を子供たちに教えることもサイバーセキュリティです。
一方、ウクライナについて何度も Talos のブログで取り上げたように、世界的な軍事衝突が起きている地域ではサイバーセキュリティが世界的な意味を持つこともあります。
あるセキュリティ研究者の研究が他の研究者の研究より「重要」であると言うつもりはまったくありません。セキュリティコミュニティの誰もが、働いている会社や専門分野に関係なく、インターネットの安全を守るために非常に熱心に取り組んでいます。『Roblox』の詐欺についての記事を書いたのはアウトリーチチームの Tiago ですが、これよりはるかに多くのマルウェア調査を行っています。ただ、この 2 つの脅威が現実世界に与える意味合いがまったく違うことは明らかです。
私にとって重要なことは、あらゆることを考慮に入れる余地を残しておくということです。サイバーセキュリティにおいては、世界規模でランサムウェアを阻止する方法や、データ窃盗の標的になった病院を稼働させ続ける方法など「大きな」問題にとらわれがちですが、「小さな問題」を無視することはできません。なぜなら、後者の方が私たちのバーチャルな玄関先に現れる可能性が高いからです。
Talos の取り組みについて話を戻したいと思います。本日より、『注目の脅威』で新しい動画シリーズを開始します。毎月 Decipher のレポーターと Talos の研究者がチームを組み、重要な話題、マルウェア、脅威について取り上げていく予定です。Talos 一同、Decipher との新たな協力関係にとても期待しています。
重要な情報
Google フォームを使用してスパムフィルタをすり抜け、電子メールを受信トレイに配信するという新たな手口を攻撃者が使用しています。Google フォームにはフィールドに「テスト」機能があります。攻撃者はテストへの「回答」を標的に送信するという手口を編み出しました。実際にはスパムメッセージなのですが、ユーザーには Google から送信された正当なメッセージに見えます。ある事例では、この方法を使った手の込んだ暗号通貨関連の詐欺が確認されています。ユーザーに悪意のあるリンクをクリックさせることだけを狙っている攻撃者もいます。この場合、リンクをクリックすると他の詐欺やマルウェアの被害につながる可能性があります。
注意すべき理由
平均的なユーザーは Google フォームからのメッセージを正当なものだと思い込んでしまいます。自分が記入したばかりのフォームから届いたメッセージであればなおさらです。このため、従来の電子メールによる方法と比べて、Google フォームを使ってスパムを配信した方が成功する可能性が高くなります。Google フォームの悪用は数年前からスパム攻撃で確認されていましたが、Talos が調査したところ、Google フォームのテストの特定の機能がスパム送信に悪用されるということは、比較的最近までほとんどありませんでした。
必要な対策
あらゆる種類のスパムと同様「あまりにもうまい話=ほぼ詐欺」という基本を忘れないようにしてください。こうしたコメントやテスト結果の送信をブロックする具体的な方法はありませんが、Google フォームを使用している場合は、怪しげなメッセージに注意してください。スペルミスやタイプミスはないか、見覚えのない URL ではないか、といった点に注意を払うことが大切です。
今週のセキュリティ関連のトップニュース
欧州連合(EU)や国際刑事警察機構(インターポール)をはじめとする 40 以上の各国政府機関の連合が、ランサムウェア攻撃グループから金銭を強要されても応じないことに合意。このコミットメントは、先週米国主導で開催されたランサムウェア対策イニシアチブ会議で発表されたものであり、合意国の政府機関に適用されます。ランサムウェアの主な標的になるのは各国で事業を行う民間企業ですが、政府機関の指導者たちは、今回の合意を受けて民間企業も同じ姿勢を取ることを期待しています。民間企業にとって、身代金を支払うかどうかは難しい決断となることが多く、復旧中にネットワーク運用をオフラインにするコストと、ファイルをできるだけ早く取り戻すコストのバランスを取らなければなりません。ただし、ランサムウェア攻撃グループが約束どおりに復号キーを提供するという保証はまったくありません。政府関係者は、攻撃グループへの資金の流れを断ち切ることでリソースが枯渇し、今後の攻撃が抑制されることを期待しています(情報源:Axios、Reuters)。
Atlassian 社、最近公開した脆弱性を攻撃者が悪用して Cerber ランサムウェアを配布し始めたことを受け、重大度評価を最大に引き上げへ。CVE-2023-22518 は Confluence Data Center と Confluence Server における不適切な認証の脆弱性であり、10 月 31 日に初めてパッチが適用されました。攻撃者は、セットアップをやり直して復元しようとしているエンドポイントに対し細工したリクエストを送信することにより、インターネットに接続された Confluence Server 上でこの脆弱性を悪用する可能性があります。Atlassian 社によれば、同社のクラウド環境でホストされている Confluence アカウントは影響を受けません。CVE-2023-22518 を最初に公開した際、Atlassian 社は「悪用された場合は重大なデータ損失が発生する」と警告し、「顧客はインスタンスを保護するために直ちに措置を講じる必要がある」と述べています(情報源:SC Media、Ars Technica)。
Mozi ボットネットがなぜかオフラインになったことが判明、本来の作成者が意図的に行ったのかは専門家にも不明。Mozi はかつて大規模なネットワークを構築しており、攻撃者が IoT デバイスに対して分散型サービス拒否(DDoS)攻撃、データ漏洩、ペイロード実行を行うために利用していました。セキュリティ研究者によると、かつては世界最大級のボットネットの 1 つだった Mozi ですが、現在は実質的にオフラインだということです。キルスイッチが根本的な原因のようですが、攻撃者が自らの意志でこれを行ったのか、法執行機関が強制措置を講じたのか、あるいは別の第三者が関与したのかは不明です。キルスイッチコードは元のボットネットといくつかのコードスニペットを共有しており、これを展開したユーザーはペイロードの署名に正しい秘密鍵を使用していました。ボットネットは解体が報告された後も復活する傾向があるため、Mozi が永久に消滅したという保証はありません(情報源:Dark Reading、The Register)。
Talos が発信している情報
- 10 月 27 日から 11 月 3 日における脅威のまとめ
- 『Talos Takes』エピソード #161(特別版):インシデント対応の動向(2023 年第 3 四半期)
- Cisco Talos の研究者 Nick Biasini が APT、傭兵ハッカーの追跡について語る
- Web アプリケーションを狙うサイバー攻撃事例が増加
Talos が参加予定のイベント
Black Hat Middle East and Africa (11 月 16 日)
サウジアラビア、リヤド
Talos インシデント対応チームの Rami Atalhi が、生成系 AI がサイバーセキュリティのレッドチームとブルーチームに影響を与える方法について話します。生成系 AI がこれらのチーム間の架け橋となり、チームワークと革新的な戦略を促進する方法をご覧ください。実際の事例から、生成系 AI がどのように成功を導くのかを説明し、レジリエンスのあるサイバーセキュリティ計画を構築するためのインサイトを提供します。
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
『プラットフォームの力』(12 月 5 日と 7 日)
シスコ オンラインイベント(すべてドイツ語でのプレゼンテーションとなります)
Talos インシデント対応チームの Gergana Karadzhova-Dangela をはじめとするシスコの専門家たちが、デジタル化の導入における未来志向のトピックについて皆さんと意見交換する年末恒例の IT イベントです。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5: 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd
SHA 256:8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5: 0e4c49327e3be816022a233f844a5731
一般的なファイル名:aact.exe
偽装名:AAct x86
検出名:PUA.Win.Tool.Kmsauto::in03.talos
SHA 256:5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名: Win.Dropper.Pykspa::tpd
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5: 9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2023 年 11 月 09 日に Talos Group のブログに投稿された「A new video series, Google Forms spam and the various gray areas of cyber attacks」の抄訳です。