もうご覧になった方もいらっしゃると思いますが、先週 Talos は 2023 年版『一年の総括』レポート
をリリースしました。今年の重大脅威、攻撃者の動向、マルウェアファミリを、未公開の Cisco Talos のテレメトリとともにご紹介する包括的なレポートです。
ポッドキャストや長編ビデオ、さらには Reddit AMA で、最新情報のほか、レポートの内容を簡潔にまとめたダイジェストをご確認いただけます。コーヒーでも飲みながらゆっくりとレポート全文をお読みいただくことも可能ですので、ご都合に合わせてお選びください。
今回が今年最後の脅威情報ニュースレターとなるため、自分なりに『一年の総括』をしたいと思います。私がここでご紹介する内容については、裏付けとなるデータがあるわけではなく、実際に調査を行ったわけでもありません。とても感覚的なもので、この 1 年間で気付いたことや私のサイバーセキュリティにおける習慣の中で発見した内容です。そのため、ご紹介する内容をファイアウォールに展開することはできないかもしれませんが、新しい年を前にセキュリティについて考える際に、何らかの役に立てれば嬉しく思います。
- まずは、反面教師にしていただきたいことからご紹介します。娘が生まれる前にこちらのニュースレターで書いたのですが、娘がまだスマートフォンが何かすら理解できないほど幼いうちに顔がわかる写真をオンラインに投稿し、各種プラットフォームで個人データを入力することに対して、当時の私は疑問を抱いていました。しかし娘が笑顔を見せるほど成長するとすぐに、投稿せずにはいられなくなりました。娘の写真を Instagram に何度も投稿し、年 1 回開催される Gerber Baby コンテストへのエントリーのために娘の個人情報を提供し(優勝の Maddie ちゃんにはあと一歩届かなかったようです)、1 本目の歯が生えたときには、どうしても質問したいことがあったので、回答を得ようと午前 2 時に手あたり次第にいろいろなサイトに個人情報を提供したことは認めざるを得ません。長い目で見れば特にスマートなやり方ではありませんでしたが、先入観のない者として自信を持って言えるのは、インターネット上の娘の可愛らしさは、単にインターネットをより良いものにしているだけです。
- パスワードは外部に流出すると考えたほうがよいでしょう。今年、複数の大手パスワード管理サービスがデータ侵害の被害に遭いました。そして、総当たり攻撃によるパスワードの推測がいかに他の被害をもたらすかについて、数え切れないほどの記事を目にしてきました。パスワードマネージャーの基本的な考えは、同じパスワードを繰り返し使用したり、物理的に紙に書いたり、ログイン情報を覚えておこうとしたりするよりも、本質的に安全性が高まる点にあります。現時点では、パスワードは最も安全なオプションではないと考えた方が無難だと思います。パスキーやパスワードレスでセキュリティを確保する方法が主流になりつつあるため、使用できる場合は使用した方がよいでしょう。一方、これまでのようにユーザー名とパスワードの組み合わせしか選択肢がない場合は、どのパスワード管理サービスを使用していても、できる限り頻繁にパスワードを変更し、多要素認証を導入してください。
- Twitter をやめる時が来ました。現在は X ですが、呼び方は何でもよいでしょう。このプラットフォームは現時点でもう流行は過ぎ去っていて、誤った情報で溢れかえっています。同社は、フェイクニュースや詐欺に立ち向かってきた社内のチームを完全に解体したので、文字どおり何を検索しても誤解を招くような情報が表示され、明らかな嘘や不快なコンテンツを目にすることになります。Twitter にアクセスし、トピックを検索して特定のニュースに関する更新情報を得ていた頃を懐かしく思います。この記事は 12 月 13 日に書いているのですが、Twitter では「#cyberattack」がトレンド入りしていました。当然ですが、把握しておくべき内容があるか確認したいと思いました。理由は言うまでもありません。実際に見てみると、上位にあったのは、イングランド銀行についての不可解な内容(英国の重要インフラに対するサイバー攻撃に同行が関与したというもの)や、コメンテーターのダン・ボンジーノ氏の意味不明なクリップ映像(急進派が新作映画でサイバーパンデミックを描いているという内容)、さらにはその新作映画『終わらない週末』にまつわる驚くほどの数の陰謀論でした。ここで思い出すのは、『アレステッド・ディベロプメント』でのマイケル・ブルースのセリフ。冷蔵庫から袋を取り出した際に、そこに書かれていた「死んだハト。食べるな」というメッセージを見て放った一言です。
- 脅威が永遠になくなるとは考えないようにしましょう。今年は、一度は排除できたと思った主要な攻撃者やマルウェアの多くが復活しました。8 月、FBI による Qakbot ボットネット解体のニュースが大きな話題になりました。そして、記事の概要を読んだ人なら誰しも「素晴らしい。これでもう心配する必要はない」と思ったでしょう。ところが、その後の Talos の調査と他のセキュリティ企業による調査で、Qakbot の残骸がまだ残っており、それがスパムを送り込む機能を有していることが判明しました。大物狩りで知られる主要な攻撃者グループ Trickbot は、連邦政府の摘発を受けて開発者が逮捕され、複数の罪を認めるに至ったものの、最近になってその手口を変えてウクライナの組織を積極的に狙っています。活動を停止しては復活を繰り返すことで知られる Emotet は、今でこそ比較的落ち着いていますが、今年の初めに一度活発になりました。法執行機関によるサーバーの停止や逮捕に意味がないわけではありません。攻撃者の活動が難しくなるように打てる手をすべて打つことは最終的には勝利に結びつくのです。ただそれは、本当の意味で脅威を完全に排除することはできないという変わらぬ現実でもあります。
重要な情報
Cisco Talos は最近、Lazarus Group による新しい攻撃を発見しました。Talos では「Operation Blacksmith」と呼んでいる攻撃で、D 言語をベースとした新しいマルウェアファミリを少なくとも 3 つ使用しています。2 つはリモートアクセス型トロイの木馬(RAT)で、このうち 1 つは Telegram ボットと Telegram チャネルをコマンドアンドコントルール(C2)通信の媒体として使用しています。Talos の最近の調査結果で、北朝鮮政府が支援する悪名高い攻撃者の手口に決定的な変化があったことが示されています。
注意すべき理由
この特定の活動は、Lazarus Group から派生した Andariel によるものと考えられます。Andariel は、事実上あらゆる所にある Log4j の脆弱性「Log4Shell」を積極的に悪用しています。頼みの綱は、2021 年後半にこの脆弱性が発見されて以降、多くの人がパッチを適用していることですが、テレメトリは脆弱なインスタンスがまだ多く残っていることを示しています。一度感染すると、Andariel は攻撃対象のマシン上に他のマルウェアローダーのインストールを試みて、システムの詳細を把握できるリモートコードを実行します。
必要な対策
Talos のブログでは、Lazarus Group による Operation Blacksmith や他の活動に対抗するために、Cisco Secure 製品を使用して保護を実現するさまざまな方法について概要を説明しています。
今週のセキュリティ関連のトップニュース
さまざまなメーカーの何百もの Windows と Linux のデバイスが、新たに発見された「LogoFAIL」攻撃に対して脆弱であることが判明。この攻撃では、マシンの起動シーケンス中に悪意のあるファームウェアが実行されます。従来の検出方法ではブロックすることが困難なうえに、攻撃されていることをユーザーが気付きにくいのが特徴です。このエクスプロイトを発見した研究者の論文によれば、ドライバ実行環境フェーズで攻撃者が LogoFAIL を使用してリモートコードを実行すると、「プラットフォームのセキュリティが崩壊」してしまいます。この攻撃が実際に使用された形跡はありませんが、複数の CVE で追跡されています。影響を受ける可能性があるユーザーは、ファームウェアをアップデートし、AMI、Intel、Insyde、Phoenix、Lenovo が配布する新しいパッチを適用して、最新バージョンの UEFI にアップデートする必要があります。マシンの EFI システムパーティション(ESP)をロックダウンして攻撃者がアクセスできないようにすることもできます。LogoFAIL を実行するには、ESP へのアクセスが必要です(情報源:ArsTechnica、ZDNet)。
長年にわたり展開された、英国政府関係者や著名な一般市民が標的となったスパイ活動について、ロシアの諜報機関 FSB によるものだと英国が公に告発。英国外務省は、2019 年の国政選挙に関連した情報窃取など、FSB が数年にわたって「英国の政治プロセスに干渉しようとする成功率の低い試み」を行っていたと述べています。政治家、ジャーナリスト、活動家、学者のメールへの不正アクセスや、ソーシャルメディアで偽のプロフィールを設定してなりすまし行為を行った疑惑があるとのことです。英国のある国会議員は、メールが盗まれたと語っています。Star Blizzard というグループに属する複数人が、これらの活動に関与したとして制裁措置を受けています(情報源:BBC、Politico)。
今週、複数の主要なハードウェアとソフトウェアのベンダーが今年最後となるパッチをリリース。Microsoft 社は、月例セキュリティ更新プログラムで 4 件の「緊急」の脆弱性を公開しました。このうちの 3 件はリモートコード実行に至る可能性があるものです。ただし、12 月に公開された脆弱性は 33 件で、2019 年 12 月以降、単月では最も少ない件数となりました。一方、月曜日には Apple 社が主要ハードウェア向けにパッチをリリースし、iPhone や Mac などのセキュリティの問題を公開しました。macOS の脆弱性の 1 つ CVE-2023-42914 はカーネルの問題で、アプリがサンドボックスから脱出する可能性があります。さらに、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は、攻撃者が Adobe ColdFusion の脆弱性を積極的に悪用しており、政府機関にとって脅威となる可能性があるとするアドバイザリをリリースしました。CVE-2023-26360 は、任意のコード実行に至る可能性のある不適切なアクセス制御の問題です(情報源:Dark Reading、Talos、Security Boulevard)。
Talos についての関連情報
- サイバー脅威の主な標的となるネットワークインフラ
- 北朝鮮のハッカーが世界規模の攻撃で Log4J 脆弱性を使用
- 動画:Talos 2023 年版『一年の総括』のハイライト
- CCQ が産業界におけるインシデントの管理、対応のためにサイバーセキュリティ戦略を考察
- CW39 Houston:サイバー攻撃から身を守る
- Lazarus が Log4Shell の脆弱性を悪用して新種の RAT マルウェアを拡散
Talos が参加予定のイベント
NIS2 指令:コンプライアンスとセキュリティを確保するために今すぐ行動しなければならない理由(2024 年 1 月 11 日午前 10 時(GMT))
オンライン
NIS2 指令は、相互接続が進む世界において、欧州の重要インフラと必要不可欠なサービスを守るための重要な一歩です。新しい要件に備え、事業活動を守り、堅牢なサイバーセキュリティ態勢を維持するために、今すぐ行動しなければなりません。Talos インシデント対応チームの Gergana Karadzhova-Dangela をはじめとするシスコの専門家が、来るべき規制に対して組織はどう備えればよいのかについて語ります。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名: Win.Dropper.Pykspa::tpd
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:5a6b089b1d2dd66948f24ed2d9464ce61942c19e98922dd77d36427f6cded634
MD5: 05436c22388ae10b4023b8b721729a33
一般的なファイル名: BossMaster.txt
偽装名:なし
検出名: PS1.malware.to.talos
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5: 9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2023 年 12 月 14 日に Talos Group
Authors