ここ 1 週間で、スパイウェアの使用や他の「傭兵」グループの活動を封じ込めようとする官民の取り組みが熱を帯びてきました。米国政府はスパイウェアの使用者に対して追加措置を講じ、世界最大手のハイテク企業数社も各国政府に取り組み強化を呼びかけています。
The Register の最近の記事で Talos の Nick Biasini が語っているように、有名人やスパイの脅威にさらされやすい個人を標的にしたスパイウェアの違法な使用が、世界的に問題となっています。スパイウェアは、標的の正確な位置を追跡したり、メッセージや個人情報を盗んだり、通話を傍受したりするためによく用いられます。そして、これまでも記事にしてきたように、多くの PSOA(民間部門の攻撃主体)がスパイウェアを開発し、購入者の動機が何であれ、金さえ払えば誰にでも販売しています。
今週火曜日、米国、英国、フランスなどの国々と Fortune 500 に名を連ねるハイテク企業数社が、世界中でスパイウェアの使用を制限し、ソフトウェアを違法に販売および使用する攻撃者の取り締まりを強化する協定に署名しました。しかし、この協定の文言は、具体的な行動を起こすというより、そうしたいという願望を表しているように見えます。
米国の取り組みとしては、商用スパイウェアを悪用する外国人のビザに新たな制限が設けられました。スパイウェアを作成したり、その販売で利益を得たり、テクノロジーの販売を促進したりする人物も、この制限の影響を受ける可能性があります。
これらはすべて、商用スパイウェアの使用と販売の抑制に向けて正しい方向へ進むための有効な措置ですが、現時点でスパイウェアが蔓延し、セキュリティ環境に深く入り込んでいるため、今後何年もこの問題に対処することになるのではないかという懸念が残ります。
Google のセキュリティ研究グループが最近明らかにしたところによると、Google TAG が 2023 年に実際に悪用されていることを発見した 25 件のゼロデイ脆弱性のうち 20 件を悪用していたのは商用スパイウェアベンダーでした。Google TAG はこのレポートの中で、少なくとも 40 社の商用スパイウェアベンダーを積極的に追跡していると述べていますが、顧客、ユーザー、作成者、従業員の数はいずれも不明です。
スパイウェアの一般的な手口は、私たちの身の回りにも溢れています。ジャーナリストや反体制派を追跡する従来の商用スパイウェアではないとしても、目立たないトラッカーがインターネットの至る所で使用されています。
404 Media の先月のレポートによると、9gag フォーラムや Kik メッセージングアプリといった、いくつかの人気サイトのアプリが、大規模な広告追跡ネットワークの一部であったことが判明しています。報じられたところでは、各アプリ内の広告が、とある強力な大規模監視ツールに情報を送信していて、その情報が国家安全保障機関に宣伝、販売されているとのことです。この情報を用いてユーザーのプロファイルを密かに構築すれば、ユーザーの趣味や家族構成、物理的な場所の追跡など、さまざまな方法で利用できます(ターゲティング広告のためだけに使用されるのであればまだ良いのですが)。
Meta 社の人気ソーシャルメディアサイト Instagram と Facebook には独自の追跡ツールがあり、アプリの外でのユーザーの Web アクティビティまで監視できます。この機能は、ユーザーが手動でオフにする必要があります。一部の傭兵グループに至っては、オンライン広告にスパイウェアを埋め込んで拡散しており、モバイルデバイスはほとんど、あるいはまったく保護されていない状態です。
ランサムウェアと同様、スパイウェアや PSOA に対処するには、官民一体の国際的な取り組みが必要であり、一朝一夕に解決することはできません。しかし、インターネット アクティビティの追跡方法と、最悪のシナリオで攻撃者がそれを悪用する方法を変えるには、誠意ある解決策以上のものが必要だと思います。
スパイウェアの拡散を直ちに封じ込める措置を講じる方法の 1 つが、コミュニケーションの強化です。Talos は、官民を問わずあらゆる組織に対し、実際に発見されたスパイウェアに関連する実用的な情報や検出コンテンツを公的に共有することを推奨しています。公開情報では多くの場合、スパイウェア自体の動作の仕組みに関する技術的な詳細が限られていたり、IOC があまり記載されていなかったりします。
読者の中に、自社のシステムが商用スパイウェア、あるいは雇われハッカー集団の侵害を受けている可能性があるという方がおられましたら、ぜひ Talos の研究チーム(no-spyware@external.cisco.com)までご一報ください。こうした脅威についてコミュニティの知識を深めるために、ご協力をお願いいたします。
重要な情報
Cisco Talos は、少なくとも 2021 年 3 月から継続していると思われる新たなステルス型のスパイ活動を発見しました。今回確認されたのはイスラム系の非営利団体に影響を与えている攻撃で、これまで報告されていなかったマルウェアファミリのバックドア「Zardoor」が使用されています。カスタムバックドア Zardoor を展開し、改変されたリバースプロキシツールを使用し、数年間にわたって検出を回避していることから、この攻撃を行っているのは高度な攻撃者であるというのが Talos の見解です。少なくとも 1 回の攻撃では、サウジアラビアのイスラム系非営利慈善団体に感染させ、1 か月の間に複数回データを流出させていました。
注意すべき理由
現時点では、Talos が侵害を確認した事例は 1 件だけですが、攻撃者は発見されずに標的のネットワークへのアクセスを長期にわたって維持できることから、まだ知らないだけで他にも被害を受けた組織が存在する可能性があります。今回確認された攻撃も、実際の TTP と既知の攻撃者を結びつけることができないので、まだ発見されていない攻撃者の仕業ということになります。Zardoor は、長期間検出されない状態を維持する危険なバックドアであり、この攻撃者についての事前情報が十分でなければ今後の動向を予測するのは困難です。
必要な対策
Talos は、Zardoor とその攻撃から保護するための新しい ClamAV シグネチャと Snort ルールをリリースしました。初期アクセスの手法が不明なのでこのマルウェアを回避する方法について的を絞ったアドバイスを提供するのは困難ですが、エンドポイント検出を適切に導入すれば Zardoor をブロックできます。
今週のセキュリティ関連のトップニュース
Ivanti 社の VPN ソフトウェアの 3 件の脆弱性を攻撃者が実際に悪用。そのうちの 1 件は先週末に新たに発見されたものです。Ivanti 社は 1 月 22 日に、Connect Secure および Policy Secure VPN 製品に影響を及ぼす 2 件の脆弱性を初めて公開しました。やがて攻撃者がこれに気づき、パッチが適用されていないソフトウェアのインスタンスを標的にし始めました。情報が公開された直後、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は連邦政府機関に対し、影響を受けるソフトウェアを使用しているすべてのデバイスの接続を 48 時間以内に解除するように通達しました。すでに 3 件の脆弱性に対するパッチが提供されており、ユーザーはできるだけ早く更新することが推奨されています。CISA 指令では、「影響を受ける製品を稼働させている政府機関は、影響を受ける製品に関連付けられたドメインアカウントは侵害されていると想定しなければならない」として、3 月 1 日までに「オンプレミスの(原文ママ)アカウントのパスワードを 2 回リセットし、Kerberos チケットを取り消してから、ハイブリッド展開のクラウドアカウントのトークンを取り消す必要がある」とされています。また、「クラウドに参加/登録しているデバイスについては、クラウド内のデバイスを無効にしてデバイストークンを取り消すこと」という記載もあります。最新の脆弱性 CVE-2024-21893 はサーバサイド リクエスト フォージェリであり、攻撃者が認証なしで特定の制限されたリソースにアクセスできる可能性があります(情報源:Ars Technica、Decipher)。
Apple 社が、新しくリリースされたばかりの複合現実ヘッドセット Apple Vision Pro のセキュリティ問題に対処。同製品の最初のレビューが公開されてから数日後、Apple 社はヘッドセット用の最初のセキュリティアップデートをリリースし、WebKit ブラウザエンジンの脆弱性が実際に「悪用された可能性がある」と述べました。この脆弱性 CVE-2024-23222 は、iOS や iPad OS などの他の Apple オペレーティングシステムにも影響します。また、Vision Pro ユーザーの場合、ソフトウェアパッチが適用される前は、ヘッドセットを Apple ストアに持ち込まないとデバイスのパスコードをリセットできませんでした。このパスコード(通常はヘッドセットに設定する一連の数字)は、ユーザーが物理デバイスを Apple サポートに渡すか、AppleCare に郵送するかしないとリセットできませんでしたが、前述の脆弱性を修正した同じパッチで、デバイスのパスコードをリセットする機能が追加されました(情報源:TechCrunch、Bloomberg)。
Talos が発信している情報
- 2 月の注目の脅威:侵入後の攻撃
- 攻撃者がユーザーのログイン情報を窃取して悪用する仕組みについて
- 『Talos Takes』エピソード #171:攻撃者は Windows で悪意のあるドライバをどのように使用して検出から逃れているのか
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名:Win.Dropper.Pykspa::tpd
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名: W32.File.MalParent
SHA 256:4c3c7be970a08dd59e87de24590b938045f14e693a43a83b81ce8531127eb440
MD5: ef6ff172bf3e480f1d633a6c53f7a35e
一般的なファイル名: iizbpyilb.bat
偽装名:なし
検出名: Trojan.Agent.DDOH
SHA 256:8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5:0e4c49327e3be816022a233f844a5731
一般的なファイル名: aact.exe
偽装名:AAct x86
検出名:PUA.Win.Tool.Kmsauto::in03.talos
SHA 256:77c2372364b6dd56bc787fda46e6f4240aaa0353ead1e3071224d454038a545e
MD5: 040cd888e971f2872d6d5dafd52e6194
一般的なファイル名: tmp000c3787
偽装名:Ultra Virus Killer
検出名: PUA.Win.Virus.Ultra::95.sbx.tg
本稿は 2024 年 02 月 08 日に Talos Group のブログに投稿された「Spyware isn’t going anywhere, and neither are its tactics」の抄訳です。