ブラックフライデー、サイバーマンデー、年末年始のショッピングをキーワードに SEO 対策を打つには少々出遅れたのは承知しています。ただ、このニュースレターの読者の方でしたら、数日過ぎたところで、年末年始のショッピングをもう済ませてしまったということもないでしょう。
ホリデーシーズンの詐欺について消費者に警告するのが私 1 人ではないことも承知しています。ですから間を取って、冬休みまでの残りの日々に皆さんが詐欺に遭うことがないように、すでに実際に出回っている詐欺やスパム攻撃をいくつか具体的に紹介したいと思います。今年のブラックフライデーに発見されたものもあります。
今月詐欺犯が好んで使用した手口は偽の Facebook 広告のようです。これは完全に個人的な体験になりますが、私の母はある Facebook グループに所属しています。このグループに投稿された詐欺話に母は「ひっかかる」ところでした。Nintendo Switch のゲームが Amazon でお買い得というものでしたが、事実ではありませんでした(幸いなことに、15 ドルの『マリオオデッセイ』はお買い得かと私に尋ねたとき、母はまだリンクをクリックしていませんでした)。
他にもあります。詐欺犯が Facebook 広告を使用して 19 ドルのスタンレーのカップを宣伝しているとの報告がいくつか挙がっています。スタンレーの真空ボトルは、今ではすべてのインフルエンサーが使用していますが、セールであっても 35 ドルを下回ることはありません。この事例では、詐欺犯は偽の注文プロセスで金銭やクレジットカード情報を奪おうとしているだけで、注文した品物が送られてくることはありません。
小売業者の Big Lots を装った偽の Facebook のページと Web ページも開設されています。これらの偽広告や投稿では、さまざまな商品やセールについて曖昧な情報が提示されていますが、Big Lots の偽サイトにユーザーを誘導するようになっています(Big Lots のサイトに接続するかのように見える紛らわしい URL が使用されています)。
詐欺犯はまた、Amazon Prime、Paramount+、Peacock といったさまざまなストリーミングサービスの加入者に偽情報を記載した電子メールを大量に送りつけています。サブスクリプションは失効したものの、ブラックフライデーの特価として大幅な割引価格で再加入できるというものです。無料で再加入できると謳っているものもあります。
最近、Amazon も警告を出しました。「アカウント」のロックを解除する代わりにユーザーの個人情報を要求する悪意のある添付ファイル付きの電子メールを詐欺犯が送信しているという内容です。
これは、現在詐欺犯が展開している、数百種類はあると思われる詐欺やスパム攻撃のほんの一例です。そこで一般的なものとして、オンラインショッピングをする際のアドバイスをいくつか挙げておきます。
- アプリをインストールする際は、必ず Google Play ストアや App Store などの信頼できる公式ストアからのみ入手する。
- テキストメッセージ(SMS)、電話帳、保存されたパスワード、管理機能などへのアクセスを要求する疑わしいアプリには注意する。
- 不正アプリが中身を偽っている可能性に留意する:偽装しているアプリを見分ける手掛かりは、アプリの説明やインターフェイス内の誤字脱字、動作の遅さ、デベロッパーの連絡先(Gmail などのフリーメールを使用)などです。
- 迷惑メールをクリックしない:小売業者から受け取ったマーケティングメールは、自分が意図的に購読したものであることを開封前に確認してください。
- ブラウザに広告ブロッカーをインストールして使う:オンラインショッピングの利用者を狙った不正広告の多くは、広告ブロッカーでブロックできます。
- 支払時には、可能な限り Google Pay、Samsung Pay、Apple Pay などの支払サービスを利用する:これらのサービスではクレジットカード番号の代わりにトークンを使用するため、より安全に支払えます。
- サイトごとに異なる、複雑なパスワードを使用する:他人のアカウントへ侵入を試みる攻撃者は通常、同じユーザー名とパスワードの組み合わせを複数のサイトで利用します。安全なパスワードを作成しても覚えきれない場合は、パスワードロッカーを使用することもできます。
- 目的のサイトにはリンクから飛ぶのではなく、URL を手動で入力する。
- 不正利用を避けるために、電子メールアカウントへのログインで、Cisco Duo などの多要素認証を使用する。
来週は、Talos 独自のホリデースペシャルをお届けします。12 月 5 日に、今年で 2 回目となる『一年の総括』レポートを発表する予定です。2023 年に Talos が確認した攻撃とマルウェアに関する新しいデータやインサイトのすべてを盛り込んだこのレポートのリリースについては Talos のソーシャルメディアやブログでご案内しますので、引き続きご注目ください。
重要な情報
Cisco Talos はこのほど、2023 年 8 月には始まっていたと思われる攻撃を発見しました。Talos が「SugarGh0st」と名付けた新たなリモートアクセス型トロイの木馬(RAT)を送り込む攻撃です。SugarGh0st RAT は Gh0st RAT(10 年以上活動している悪名高いトロイの木馬)を新たにカスタマイズした亜種だと Talos ではほぼ確信しています。C2 から指示が出るリモート管理タスクを実行しやすくするためにコマンドがカスタマイズされているほか、コマンド構造とコード内で使用されている文字列の類似性に基づいて通信プロトコルが変更されています。
注意すべき理由
感染すると、SugarGh0st はフル機能を備えたバックドアとして動作し、攻撃者がほとんどのリモート制御機能を実行できるようになります。リバースシェルを起動し、C2 から文字列として送信される任意のコマンドをコマンドシェルを使用して実行することができます。SugarGh0st には、被害を受けたマシンのホスト名、ファイルシステム、論理ドライブ、オペレーティングシステムの情報を収集する機能があります。被害を受けたマシンの実行中のプロセス情報にアクセスすることが可能なので、C2 サーバーの指示どおりにプロセス情報にアクセスして終了させることによって環境を制御できます。さらに、実行中のサービスの構成ファイルにアクセスすることによってマシンのサービスマネージャを管理することもできるので、サービスを開始、終了、削除することが可能です。
必要な対策
SugarGh0st は GhostRAT の亜種のようです。したがって、他にも亜種が登場する可能性を排除することはできません。Talos も、SugarGh0st を検出し防止するための新しい ClamAV シグネチャ、Snort ルール、その他の Cisco Secure の保護機能を提供しています。
今週のセキュリティ関連のトップニュース
Cisco Talos ほかシスコのチーム、複数の政府機関パートナーとの協力のもとウクライナの送電網の保護と適切な稼働を支援。Talos の Joe Marshall の主導で行われたこの取り組みでは、ウクライナのエネルギー供給会社 Ukrenergo に提供する特注ハードウェアの作成が必要でした。ウクライナの送電網は従来、時間どおりに稼働し続けるために GPS 装置に依存していましたが、それに取って代わるものです。GPS 衛星とウクライナの変電所は、ロシアによるウクライナ侵攻の間、絶え間なく武力攻撃とサイバー脅威の標的となってきました。同プロジェクトには米国の複数の政府機関当局者が協力しました。カスタマイズされたスイッチを物理的に輸送するための飛行機を手配したのは国防総省で、機器の配送の調整についてはエネルギー省が支援しました。Ukrenergo 社が CNN に語ったように、本プロジェクトの概要が最初に説明された重要な会議には商務省も参加していました。Ukrenergo 社で配電を監督する Taras Vasyliv 氏は、特注スイッチは暗闇の中で手術をしようとする外科医にとっての「懐中電灯」に相当すると CNN に語っています(情報源:CNN、Business Insider)。
一部の地方、連邦、州の法執行官が何百万人ものアメリカ人の電話記録を閲覧できていたことが、流出した政府文書で明らかに。これには、犯罪で告発されたことも嫌疑をかけられたこともない人の記録も含まれていたとのことです。オレゴン州選出の Ron Wyden 米上院議員が Merrick Garland 司法長官に送った書簡によって、このほとんど知られていない国防総省のプログラムが部分的に明らかになりました。書簡の中で Wyden 議員の事務所は、同プロジェクトに関する詳細な情報を要求し、連邦政府に事実を公表するよう促しています。書簡には、米国政府が携帯電話会社 AT&T に代金を支払い、「令状がなくても捜索を要求する能力」をすべての連邦、州、地方、部族の法執行機関に与えると記されています。「Hemisphere Project」として知られる同プログラムは 2007 年から施行されていたらしく、2013 年に New York Times 紙が報じていますが、それ以降はほとんど注目されていません。Wyden 議員は Hemisphere Project の合法性に異議を唱えようとしています(情報源:Wired)。
Microsoft 社の Windows Hello ログイン認証システムのバイパス方法をセキュリティ研究者が発見。Windows Hello は、Dell、Lenovo、Microsoft のデバイスに搭載されている多くの指紋リーダーや顔認識スキャナで使用されています。Microsoft 社が読み取り機のセキュリティをテストするために雇った研究者たちが、これらの脆弱性を同社に報告しました。研究者らが概説した手口を用いると、盗まれたノートパソコンへのアクセスや、放置されたデバイスに対する「悪意あるメイド」攻撃が可能になります。Microsoft 社は Windows 10 オペレーティングシステムで Hello を導入しました。以来、すべてのデバイスに指紋スキャナを搭載しています(ただし、Surface タブレットのように Microsoft 独自のハードウェアでは Hello が採用されなかった例もあります)。メーカー各社は現在これらの脆弱性を認識しているものの、攻撃の種類が多く、問題にパッチを当てるのは困難な場合があります。ただし、どの攻撃であっても、最終的にはデバイスへの物理的なアクセスが必要となります(情報源:Ars Technica、The Verge)。
Talos についての関連情報
- テクノロジー大手シスコ、送電網へのサイバー攻撃に対抗するウクライナへの支援として特別なデバイスを構築
- シスコ、ロシアのサイバー攻撃からウクライナの送電網を保護するために急遽スイッチをカスタマイズ
- 『Talos Takes』エピソード #163:Phobos ランサムウェアがなぜこれほど長い間機能しているのか
- 知っておきたいこと:脅威ハンティングとは
- 脆弱性のまとめ:任意のコード実行につながる Adobe Acrobat と Microsoft Excel の脆弱性
Talos が参加予定のイベント
『プラットフォームの力』 (12 月 5 日と 7 日)
シスコ オンラインイベント(すべてドイツ語でのプレゼンテーションとなります)
Talos インシデント対応チームの Gergana Karadzhova-Dangela をはじめとするシスコの専門家たちが、デジタル化の導入における未来志向のトピックについて皆さんと意見交換する年末恒例の IT イベントです。
2023 年に訪れた脅威:1 年の振り返りと今後の動向 (12 月 13 日午前 11 時(PT))
オンライン
毎年、どんどん複雑化するセキュリティ環境を利用した新たな脅威が発生しています。米国全土の重要インフラ組織を標的にした Volt Typhoon にせよ、カジノ大手 MGM に対する攻撃を開始した ALPHV にせよ、攻撃グループはこれまで以上に大胆に活動し、回避能力を高めています。そのため、幅広いテレメトリ送信元、詳細なネットワークインサイトと脅威インテリジェンスを活用して、高度な攻撃に効果的に対応し、迅速に復旧することがかつてないほど重要になっています。Amy Henderson(Cisco Talos 戦略計画およびコミュニケーション担当ディレクター)と Briana Farro(シスコ XDR 製品管理担当ディレクター)が、脅威の動向とこの 1 年に最も多く確認された脅威について、また XDR やネットワークインサイトのようなセキュリティ技術を活用して脅威に対抗する方法について語ります。
NIS2 指令:コンプライアンスとセキュリティを確保するために今すぐ行動しなければならない理由 (2024 年 1 月 11 日午前 10 時(GMT))
オンライン
NIS2 指令は、相互接続が進む世界において、欧州の重要インフラと必要不可欠なサービスを守るための重要な一歩です。新しい要件に備え、事業活動を守り、堅牢なサイバーセキュリティ態勢を維持するために、今すぐ行動しなければなりません。Talos インシデント対応チームの Gergana Karadzhova-Dangela をはじめとするシスコの専門家が、来るべき規制に対して組織はどう備えればよいのかについて語ります。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5: 0e4c49327e3be816022a233f844a5731
一般的なファイル名: aact.exe
偽装名:AAct x86
検出名: PUA.Win.Tool.Kmsauto::in03.talos
SHA 256:77c2372364b6dd56bc787fda46e6f4240aaa0353ead1e3071224d454038a545e
MD5: 040cd888e971f2872d6d5dafd52e6194
一般的なファイル名: streamer.exe
偽装名:Ultra Virus Killer
検出名: PUA.Win.Virus.Ultra::95.sbx.tg
SHA 256:abaa1b89dca9655410f61d64de25990972db95d28738fc93bb7a8a69b347a6a6
MD5: 22ae85259273bc4ea419584293eda886
一般的なファイル名: KMSAuto++ x64.exe
偽装名:KMSAuto++
検出名: Hacktool:PUP.26ld.in14.Talos
SHA 256:77c2372364b6dd56bc787fda46e6f4240aaa0353ead1e3071224d454038a545e
MD5: 040cd888e971f2872d6d5dafd52e6194
一般的なファイル名: tmp000c3787
偽装名:Ultra Virus Killer
検出名: PUA.Win.Virus.Ultra::95.sbx.tg
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5: 9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2023 年 11 月 30 日に Talos Group のブログに投稿された「$19 Stanely cups, fake Amazon Prime memberships all part of holiday shopping scams circulating
By Jonathan Munshaw」の抄訳です。