Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

最新のインターネット接続機器を入手したらやるべきこと

TALOS Japan
2024年2月6日

2024 年になりました。

お休みをいただいていた脅威情報ニュースレターも今週から再開します。

休暇中はよちよち歩きの子どもを追いかけ回していたのですが、自宅のインターネット接続をアップグレードする計画もありました。契約している ISP が、ギガビットの速度と 60 GHz 帯を使用した接続を提供し始めたのです。これは、PS5 のゲームを Steam Deck にストリーミングする最適な方法をずっと探していた私にとって魅力的な出来事でした。

そこで、自宅のネットワークの設定をやり直し、たくさんのデバイスを新しいネットワークに接続することにしました。サイバーセキュリティの分野で働く人にしてみると、これはとても基本的なスキルなのかもしれませんが、IoT 専用ネットワークを個別に設定するというのは、私にとっては大変な作業でした。

ホリデーギフトとして新しい IoT デバイスをプレゼントされた読者の方も多いかもしれません。こちらのモバイルプロジェクターは、私が 12 月に調べていた「2023 年のトップギフト」リストに掲載されていたものです。Google Home や Amazon Echo Show など、家中のあらゆるものを「スマート」に制御する新しいホーム AI アシスタントも間違いなく喜ばれる贈り物です。

そして誰もが知っているように、こうした IoT デバイスの多くはインターネットに接続されるとセキュリティが脆弱になります。先週、多くの産業環境で使用されているネットワーク接続されたトルクレンチがランサムウェアに感染する可能性があることが発見されました。

Wi-Fi 対応の家庭用カメラ、アシスタント、ドアホンがさまざまなセキュリティ問題に脆弱である例はたくさんあるので、このニュースレターでそれらの危険性を詳しく説明する必要はないと思います。ここでは、これらのデバイスをどのように設定して管理するのがベストなのか、いくつかの注意事項やベストプラクティスを紹介したいと思います。これは数年前にビデオ形式で取り上げたことのあるトピックですが、このチュートリアルの UI/UX の多くは当時と変わっているでしょうし、ここ 1 週間ほどの間に「YouTube University」からもかなりのことを学習したような気がします。

• ネットワーク マッピング ソフトウェアを使用して、どのデバイスがどのような通信方法を使用してネットワークに接続しているかを追跡します。NetworkMaps は、私がオンラインでサイバーセキュリティのコースを受講していたときに使っていたオープンソースの無料のソフトウェアです。
• IoT 専用のネットワークを作成します。これは、ISP から送られてきたギガビット対応ルータを使用することでとても簡単にできましたが、これらのデバイス（ベビーモニターやスマート TV など）が接続する専用のネットワークを「メイン」ネットワークとはまったく別のネットワーク名とパスワードで設定しました。こうすることでデバイスが分離された状態に保たれるため、悪意のある人物がネットワークに侵入したとしても、仕事用のラップトップなどのより機密性の高いデバイスとは通信しない IoT 専用のネットワークにしかアクセスできません。
• ルータのファイアウォールが有効になっていることを確認したら、WPS を無効にして、WPA2 または WPA3 セキュリティプロトコルを有効にします。
• 設定中の新しい Wi-Fi 接続デバイスのデフォルトのユーザー名とパスワードをすぐに変更します。
• OpenDNS サーバーを使用すれば、ホームルータや IoT デバイスのセキュリティを強化できます（しかも無料で利用できます）。
• 不要と思われる追加機能やデータ共有を無効にします。その代表的な例が Amazon Sidewalk です。これは、Amazon デバイスが相互に通信し、それぞれのコミュニティで起こっているさまざまな出来事についてユーザーにアラートを送信できるようにするコミュニティネットワークです。主な欠点と思えるのは、隣人があなたのインターネット帯域幅をほんの少しだけ自分の接続デバイス用に利用できるようになることと、プライバシーに関する懸念が広がってしまうことです。

重要な情報

Cisco Talos は最近、同じくセキュリティ企業である Avast 社と協力して、Babuk ランサムウェアの復号ツールの新しいバージョンをリリースしました。Talos の研究者は、Babuk Tortilla ランサムウェア亜種の影響を受けたファイルを復号できる実行コードを入手しました。これにより、最新の亜種による攻撃で使用された秘密の復号キーを抽出して共有できるようになりました。

注意すべき理由

Babuk は現在最も流行しているランサムウェアファミリの 1 つなので、被害者がより迅速に回復できる可能性のある追加のリソースが無料で提供されるのは朗報です。そして、オランダ警察が Talos から提供された脅威インテリジェンスに基づいて行動し、Babuk Tortilla 攻撃の実行者を特定、逮捕し、オランダ検察庁がこの人物を起訴しました。この事例は、法執行機関と Talos や Avast 社のような民間セキュリティ組織との連携の力を示すものでした。

必要な対策

最新バージョンの復号ツールは現在、No More Ransom または Avast 社の Web サイトから直接入手できます。ランサムウェア攻撃の実行者を追跡、逮捕、告発するために法執行機関が継続的に行動することは、ランサムウェアの蔓延を減らすために社会とセキュリティコミュニティが講じることのできる数々の重要な措置の 1 つです。

今週のセキュリティ関連のトップニュース

セキュリティ研究者は、Ivanti 社の Connect Secure VPN の脆弱性が実際に悪用されていることを警告しています。水曜日の時点ではまだパッチは提供されていません。この脆弱性は、認証バイパスの欠陥（CVE-2023-46805）とコマンドインジェクションの問題（CVE-2024-21887）です。攻撃者がこれらの脆弱性を連鎖させて、攻撃対象のアプライアンス上で任意のコマンドを実行する可能性があります。インシデント対応企業の Volexity 社は今週初め、世界各国の政府機関や軍事部門、さらには Fortune 500 に名を連ねる民間企業数社に報告しました。中国の支援を受けている攻撃グループ UTA0178 がこれらの脆弱性のエクスプロイトに関与している疑いがあり、その一部は昨年 12 月に遡ります。Ivanti 社によれば、これらの脆弱性に対するパッチは現在開発中であり、そのうちの 1 つは 2 月中旬にならないと利用できない可能性があるとのことです。ユーザーはそれまでの間、Ivanti 社が説明している緩和手順に従って、エクスプロイトの試行を検出できる新しいスキャナを導入する必要があります（情報源：DarkReading、SecurityWeek）。

サイバー攻撃を受けてから 11 週間が経ち、大英図書館がオンラインサービスの復旧に取り組み始めましたが、完全復旧には年末までかかる可能性があります。大英図書館は先週から、オンライン図書目録の読み取り専用バージョンの復旧を開始しました。これには、印刷本、貴重書、地図、雑誌、楽譜の記録が含まれます。Rhysida ランサムウェアグループは当初、2023 年 10 月にこの攻撃への関与を表明し、個人情報をダーク Web で販売していると主張しました。最終的に、この攻撃で一部の従業員データが盗まれたことが確認され、一時的に全図書目録をオフラインにせざるを得なくなっています。この攻撃により、著者やクリエイターの作品が貸し出されるたびに図書館が報酬を支払うシステムも影響を受けました（情報源：The Guardian、The New York Times）。

Apple 社の AirDrop ユーザーの身元を突き止めて、中国では非合法とされるコンテンツを共有する人物を追跡する方法を政府当局が発見したようです。AirDrop は通常暗号化されており、中国の与党である共産党に反対するメッセージ、コンテンツ、アートを公の場で他の iPhone ユーザーと共有するためにこれまで使用されてきました。ところが北京市司法局によると、中国の支援を受けた専門家が複雑な暗号化攻撃を実行し、メッセージの送信者を特定して起訴する方法を発見したとのことです。2022 年 11 月に Apple 社が AirDrop の設定を更新したので、中国のユーザーの場合は不明な連絡先からのファイルの受信が 10 分までに制限され、それ以降は自動的にオフになるようになっています。これまではこの機能に時間制限はありませんでした。政府の声明を翻訳したところ、この手法には、AirDrop がユーザーの電話番号と電子メールアドレスを難読化するために導入している措置を無効にする、いわゆる「レインボーテーブル」が使われているとのことです（情報源：Ars Technica、CBS）。

Talos が発信している情報

• 『Beers with Talos』エピソード#142：Talos 突撃インタビュー（予定外の急ごしらえのエピソード）
• Intellexa 社（旧 Cytrox 社）：売りに出された企業が諜報機関並みのスパイウェア企業に生まれ変わるまでの軌跡
• Microsoft 社、比較的件数の少ないセキュリティ更新プログラムで新年をスタート、ゼロデイ脆弱性はなし
• ビデオシリーズ：2023 年からの主な攻撃者の動向を議論する
• 2023 年のマルウェア：この 1 年の主なサイバーセキュリティ事例のまとめ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：b8aec57f7e9c193fcd9796cf22997605624b8b5f9bf5f0c6190e1090d426ee31
MD5： 2fb86be791b4bb4389e55df0fec04eb7
一般的なファイル名： KMSAuto Net.exe
偽装名：KMSAuto Net
検出名： W32.File.MalParent

SHA 256：36efad0617db0d45de00cc4f3cf49af7c2d6b5b15ca456d13703b5d366c58431
MD5： 147c7241371d840787f388e202f4fdc1
一般的なファイル名：EKSPLORASI.EXE
偽装名：なし
検出名： Win32.Generic.497796

SHA 256：1fa0222e5ae2b891fa9c2dad1f63a9b26901d825dc6d6b9dcc6258a985f4f9ab
MD5： 4c648967aeac81b18b53a3cb357120f4
一般的なファイル名： yypnexwqivdpvdeakbmmd.exe
偽装名：なし
検出名： Win.Dropper.Scar::1201

SHA 256：a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5： 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名： c0dwjdi6a.dll
偽装名：なし
検出名： Trojan.GenericKD.33515991

SHA 256：39b0d4bad98713924775595834f1e07598a12c2622977578739222e09766066c
MD5： a543017b4fa809e9f6b7251e7c14a5b0
一般的なファイル名：a543017b4fa809e9f6b7251e7c14a5b0
偽装名：なし
検出名：Auto.39B0D4BAD9.232061.in07.Talos

本稿は 2024 年 01 月 18 日に Talos Group のブログに投稿された「What to do with that fancy new internet-connected device you got as a holiday gift」の抄訳です。

• 脅威情報ニュースレター