Cisco Japan Blog

歯ブラシに DDoS 攻撃?私たちみんなが騙された理由

1 min read



最初に告白しておきます。私は先週、インターネット上の多くの皆さんと同じように、歯ブラシを使った分散型サービス拒否(DDoS)攻撃(事実ではない)のニュースpopup_iconに振り回されてしまいました。 

このニュースに関する記事を先週のニュースレター用に書き上げていたのですが、その後で誤報であることを暴く Graham Cluleypopup_icon 氏のブログ記事を目にし、ニュースレター公開の約 1 時間前に削除する羽目になりました。

多くの報道機関によって、数千個の歯ブラシがインターネット接続していたボットネットに対し DDoS 攻撃が実施されたというニュースが、約 24 時間にわたり取り上げられました。1 つの国際紙による報道から始まったこのニュースですが、その後さまざまな報道機関に集中的に報道され、ソーシャルメディア上であっという間に拡散されました。

この攻撃はあるセキュリティ研究者がインタビューで提起した単なる「仮説」にすぎませんでしたが、実際に起こった攻撃のように報道されたり解釈されたりしてしまったのです。

私は、皆がこの一連の出来事からいくつかの重要な教訓を学べると考えています。もちろん、私自身もです。

なぜこの話がすぐに拡散してしまったのか、その理由はシンプルです。インターネットに接続する必要もないはずの何でもないデバイスが関係していたこと、挙げられたデバイスの数が世間の注目を浴びるほど大量であったこと、そしてこれがここ 1 年で突然再流行しだした DDoS 攻撃であったことです。

しかし、確かに、今回の集中報道の内容は初めから少し怪しげなものでした。というのも、どの報道にも、標的になった企業、攻撃が続いた期間、侵害されたとされるデバイスの名前など、具体的な情報が一切含まれていなかったからです。

最後に挙げた「具体的な情報の記載がない」ことは、怪しさを示す危険信号です。今後また何らかのサイバーセキュリティ関連の話が拡散され、自分もインターネットで共有したくなっても、この点に気づけば立ち止まれます。個人的には、何らかの攻撃や侵害について責任を持って開示する際には、エクスプロイトされた脆弱性がどんなものであれ、必ずその脆弱性に関する情報を含めなければならないと思います。この仮説のシナリオでも、攻撃者がインターネットに接続された電動歯ブラシを侵害するには、何らかの脆弱性をエクスプロイトする必要があったはずです。脆弱性が公開されているのであれば、少なくともパッチまたは緩和策に関する情報が含まれているべきでしょう。

また、私たちは皆「なぜ?」という根本的な問いを発する必要があると思います。今回のケースでは、攻撃者がなぜわざわざスマート歯ブラシを侵害しようとしたのか、自問すべきでした。特定の民間企業を DDoS 攻撃で標的にする最終目標は何でしょうか?おそらく、攻撃者は攻撃を止める代わりに身代金を要求するのでしょうが、標的となった企業の業種がわからなければ、どれだけの利益が得られるのかを推測することさえ難しいことでしょう(たとえば標的が医療機関であったなら、文字通り人命に関わる可能性があるため、できるだけ早く業務を再開するためにあらゆる手段を講じようとするでしょう)。

また、攻撃者が歯ブラシを侵害したとして、歯の衛生習慣以外にどんな情報をユーザーから収集できるのでしょうか?通常、攻撃者の目的は、何らかの個人情報、ログイン情報、財務データを窃取し、それをダーク Web で販売することです。

言うまでもないことですが、この話が広まり始めたとき、私たち全員が複数の危険信号を見過ごしてしまいました。もちろん、この件で誰かを責めるつもりはありません。どれもが単純なミスであり、すべてを考慮に入れてもそれほど深刻なものではありませんでした。しかし、実際には存在しなかった歯ブラシボットネットの話題は、共有をクリックしたり、ソーシャルメディアに記事を投稿したりする前に、もう少し慎重になるよう私たち全員に注意を喚起しています。

重要な情報

Cisco Talos は、APT グループ Turla(ロシアのサイバースパイ攻撃グループ)が作成し使用している新たなバックドアを特定しました。Talos が「TinyTurla-NG」(TTNG)と呼ぶこの新しいバックドアは、コーディングスタイルと実装されている機能の点で、Turla が以前に公開したインプラントである TinyTurla に似ています。TinyTurla-NG は、感染したシステムで他のすべての不正アクセス/バックドアメカニズムが失敗したり検出されたりした場合に使用するためのバックドアである可能性が高いと Talos は考えています。TinyTurla と同様、わずかな「最後のチャンス」として感染システムに設置されると思われます。

注意すべき理由

Turla は、米国、欧州連合、ウクライナ、アジアなどの地域で、膨大な攻撃ツールを使用して世界中の組織を標的にしていることが広く知られています。彼らはこれまでにも、CAPIBAR や KAZUAR などのマルウェアファミリを使用して、ウクライナ国防軍を標的にしてきました。Turla は、Crutch と TinyTurla に続き、TinyTurla-NG と TurlaPower-NG というマルウェアファミリを新たに開発して攻撃力を高める一方で、攻撃対象を NGO にまで広げています。

必要な対策

Talos は、TinyTurla と Turla の攻撃から保護するための新しい ClamAV シグネチャpopup_iconSnort ルールpopup_iconをリリースしました。初期アクセスの手法が不明なのでこのマルウェアを回避する方法について的を絞ったアドバイスを提供するのは困難ですが、エンドポイント検出を適切に導入すればこの「最後のチャンス」として設置されるバックドアをブロックできます。

今週のセキュリティ関連のトップニュース

中国の支援を受けている攻撃グループ Volt Typhoon が、5 年以上にわたって米国の重要インフラネットワークに潜伏していた可能性あり。米国の諜報機関の新たな報告書によると、この悪名高いハッカー集団はルータ、ファイアウォール、VPN の脆弱性をエクスプロイトし、米国中の水道、交通、エネルギー、通信システムを標的にしています。Volt Typhoon は標的となった一部の監視カメラシステムを制御できる状態にあり、これによって重要なエネルギーや水道の管理を妨害することができた可能性があります。この攻撃者は、最初の足がかりを作ると、その後は検出されないようにするために、環境寄生型バイナリ(LoLBins)を使用することで知られています。先週出されたこのアドバイザリの作成には、カナダ、オーストラリア、ニュージーランドの各当局も協力しており、自国での同様のアクティビティに対する懸念を表明しました。FBI 長官は最近、米国議会での証言において、侵害を受け Volt Typhoon に接続されていたデバイス数百台からなるボットネットワークを解体したと述べました(情報源:Axiospopup_iconThe Guardianpopup_icon)。

新しいスパイウェアネットワークの TheTruthSpy、ユーザーが正規のものだと思ってダウンロードしたサイレント トラッキング アプリを使用して、数百台の Android デバイスを侵害した可能性あり。セキュリティ研究者らは、IMEI 番号や広告 ID など、これまでに侵害された数千台のデバイスに関する情報を公表しました。TheTruthSpy は、ヨーロッパ、インド、インドネシア、米国、英国にいる膨大な数の標的に対して積極的にスパイ活動を行っているようです。TheTruthSpy の背後にいる攻撃者は、このソフトウェアのセキュリティ脆弱性 CVE-2022-0732 について何の対策も講じていないため、窃取された標的のデータが他の悪意のある人物の手に渡る可能性もあります。このタイプのスパイウェアツールは、多くの場合、標的の人物の家族、配偶者、同僚が、標的の物理的な位置を追跡し、メッセージや通話を傍受したいと考えて使用します。スパイウェアはアプリ経由でダウンロードされますが、標的のホーム画面には表示されず、バックグラウンドで気付かれることなく動作します(情報源:TechCrunchpopup_iconmaia blogpopup_icon)。

Apple 社、人気のパスワード管理サービスからの報告を受け、LastPass の偽アプリ「LassPass」を削除。偽の LassPass は、正規の LastPass と同じロゴを使用していました。App Store に掲載されていた期間は不明です。Apple 社はさらに、当該アプリの作成者を Developer Program から除名すると発表しました。Apple App Store には厳格な審査ポリシーがあることを考えると、これは非常にまれなケースであると言えます。LastPass は先週、すべてのユーザーに対して偽アプリの存在を警告し、正規の LastPass アプリへのリンクを掲載しました。App Store では LassPass には 1 件の評価しかなく、複数のレビューがこのアプリが偽物であると警告していました。ただし、このアプリは、偽アプリの作成者がユーザーに正規の LastPass ログイン情報を入力させて盗むことを目的とした、フィッシング詐欺の一種として用意されたものである可能性が高いと考えて間違いないでしょう(情報源:Ars Technicapopup_iconBleeping Computerpopup_icon)。

Talos が発信している情報

Talos が参加予定のイベント

S4x24 popup_icon3 4 27 日)

フロリダ州マイアミビーチ

ウクライナ軍は、ロシアによる侵略から身を守るため、電子戦を利用して重要インフラを覆い隠し、レーダーや GPS 誘導のスマート兵器を使えなくしています。ですがこれにより、GPS の同期フェーザクロックの測定が中断され、すでに包囲され損傷を受けている送電網ではサービスを提供できなくなるという、予期しない結果が起きています。Talos の戦略コミュニケーションチームの Joe Marshall が、さまざまな組織の連合体のエンジニアとセキュリティ専門家が結集して、どのようにこの電子戦における GPS の問題を型破りな技術手法で解決してウクライナの送電網の一部を安定化させたのかについて、驚くべきストーリーを語ります。

RSApopup_icon5 6 9 日)

カリフォルニア州サンフランシスコ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91popup_icon
MD5 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991

SHA 2565616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1popup_icon
MD5 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201

SHA 25659f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaapopup_icon
MD5 df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201

SHA 2565e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cfpopup_icon
MD52cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名:Win.Dropper.Pykspa::tpd

SHA 25677c2372364b6dd56bc787fda46e6f4240aaa0353ead1e3071224d454038a545epopup_icon
MD5 040cd888e971f2872d6d5dafd52e6194
一般的なファイル名: tmp000c3787
偽装名:Ultra Virus Killer
検出名: PUA.Win.Virus.Ultra::95.sbx.tg

 

本稿は 2024 年 02 月 15 日に Talos Grouppopup_icon のブログに投稿された「Why the toothbrush DDoS story fooled us allpopup_icon」の抄訳です。

 

コメントを書く