「フェイクニュース」といえば、この言葉を悪名高いものとしたあの人物を思い浮かべるのではないでしょうか。
誤情報や偽情報といえば、「ロシアのトロールファーム」を思い出す人も多いでしょう。トロールファームは、2016 年の米国大統領選挙中に出現し、バラク・オバマ前大統領の任期も終わりに近づいた頃に正体が暴かれて活動を終了した情報工作組織です。
しかし、最も人気のあるオンライン ソーシャルメディア プラットフォームである TikTok が最近講じたいくつかの対策は、誤情報や偽情報の拡散の問題がもはや米国だけのものではなくなっていることを示しています。
TikTok は先週、アプリ内「選挙センター」のサービスを開始すると発表しました。これは、ユーザーが欧州連合(EU)加盟国の選挙に関する動画を閲覧する際、誤情報に対処し、ユーザーに事実を知らせることを目的としたものです。これには 27 のアプリが含まれており、すべてその国の母国語が使用されています。
TikTok のサイトに掲載された声明によると、この取り組みは「事実とうそを簡単に区別できるようにする」ことを目的としています。
この問題は、TikTok 自身が作り出した問題ではないかと思わずにいられない側面もあります。TikTok は COVID-19 の世界的大流行に関して誤情報の急速な拡散を許したうえ、さまざまな国際的ブランドに関する「物議を醸す」動画を増加させるアルゴリズムを使用したのは、他ならぬ同社だからです。ですが、これらの選挙センターが、少し前に Twitter が立ち上げた小さな通報窓口よりも内容のあるものになることを心から願っています。
この問題は米国文化に限ったものではない、ということに注目することが重要だと思います。フェイクニュース、偽情報、誤情報など、どのような呼び方をしてもよいのですが、米国の選挙でどうにか対処できたからといって、これらの問題がなくなるわけではありません。これは、あらゆる国のすべてのプラットフォームに広がっている問題なのです。
私は以前、この問題の責任は Twitter にあると思っていたのですが、それは間違いでした。Twitter のサイトで誤情報が広まったことを考えると、同社は問題の根本原因の一つですが、Twitter だけが原因ではないし、たとえ偶然であっても、このような誤情報を拡散できる唯一のプラットフォームでもありません。
TikTok では他のプラットフォームと同じように、誰かの動画が魅力的であれば、何も考えずに簡単に「シェア」や「いいね」ができます。あなたの友人や家族も知らないうちに、あるいは悪意を持って、自分のフィードに誤った情報を流している可能性があります。あなたが住んでいる場所に関係なく、これはおそらく真実でしょう。
米国の政治的な場では、何かが起きると世界中で他の誰もが気づくため、それが増幅されて目立つのです。米国の人々は、必ずしもギリシャの国政選挙に注目しているとは言えません。
しかし、もしギリシャの選挙で誤った情報の拡散が可能になるなら、それは米国の大統領選挙にも広まるでしょう。いったんプラットフォーム上で偽情報が拡散されるインフラが整ってしまうと、どのような話題であれ、それを削除するのはほとんど不可能です。
重要な情報
現在、大量のマルウェアを送り込む攻撃に Google Cloud Run が悪用されています。拡散されているのは Astaroth(別名 Guildma)、Mekotio、Ousaban といった数種類のバンキング型トロイの木馬で、中南米とヨーロッパが標的となっています。2023 年 9 月以降、一連の攻撃に関連する電子メールの量が大幅に増えており、電子メールを送り付ける新たな攻撃が定期的に観測される状況が続いています。同じ時期に見られた 3 種類のマルウェアファミリはすべて、Google Cloud の同一のストレージバケットから送り込まれていたことを Talos では確認しています。
注意すべき理由
最近確認された数回の大規模攻撃の主な標的は中南米諸国で、バンキング型トロイの木馬である Astaroth、Mekotio、Ousaban が送り込まれています。中南米より規模は小さいものの、ヨーロッパと北米でも攻撃を確認しており、近い将来、特定の地域に攻撃対象が絞られる傾向が薄れる可能性があることが示唆されています。たとえば Astaroth の現在の亜種の標的となっているのは、中南米 15 か国の 300 を超す機関です。
必要な対策
Talos は、これらのバンキング型トロイの木馬の攻撃から保護するための新しい ClamAV シグネチャと Snort ルールをリリースしました。また、Cloud Run で内部的に対処できるよう、Talos の研究者は Google にこの活動について警告しました。
今週のセキュリティ関連のトップニュース
ポーランドが、前政権指導者がスパイウェア Pegasus を悪用したかどうかについて正式な調査を開始。議会は、以前ポーランドの与党であった「法と正義」(PiS)政権が、政敵を追跡し標的にするために、物議を醸したスパイウェアを使用していたかどうかを確認するために連合を組みました。現在の与党党首たちは、この調査を行うことを主要な選挙綱領の一つとして挙げていました。一方、Pegasus の開発元である NSO Group は、「MMS Fingerprint」と呼ばれる新しいワンクリックエクスプロイトを作成し、Pegasus の感染ツールとして提供していると報じられています。MMS Fingerprint を使うと、Pegasus のユーザーは、細工されたマルチメディア メッセージング サービス(MMS)のメッセージを送信することで、ターゲットの Blackberry、iPhone、Android デバイスについて多くの情報を入手できるようになります。NSO Group のリセラーとガーナの顧客との間で交わされた契約には、MMS Fingerprint なら「ユーザーとの対話も関与もメッセージの開封もなしで、デバイスのフィンガープリントを入手できる」と記載されていることが明らかになりました(情報源:Politico、DarkReading)。
スパイウェアの新興企業 Variston が活動を縮小し、完全に廃業する準備をしているとの報道。Variston は、iPhone や Android デバイス、および一部の PC を標的とするスパイウェアを発表したことで知られています。Variston に不満を抱いていた従業員が、Variston の情報、および同社が使用するゼロデイエクスプロイトに関する情報を Google の攻撃分析グループにリークしたため、Google がこの攻撃の企みを暴くことができたと報じられています。結果として、複数の従業員と開発者が Variston を去ることになりました。2018 年に設立された Variston は、2023 年 3 月にインドネシアの iPhone を標的にした攻撃など、3 つのゼロデイ脆弱性を使用して Apple デバイスを標的にした攻撃をこれまで展開していました。Variston が具体的に誰に対してサービスや技術を売ったのか、記者や研究者はまだ確認できていません。ただ、元従業員は、スパイウェアの一部はアラブ首長国連邦に送られたと語っています(情報源:Tech Crunch、Google)。
中国を拠点とする大規模な APT(高度標的型攻撃) グループの Volt Typhoon が、現在も運用技術(OT)ネットワーク上の機密情報を流出させているとの報告。Volt Typhoon は、世界中の通信、製造、公益事業、IT、教育分野の組織を標的としていることで知られていますが、最近では米国の重要なネットワークを標的としていることで注目されています。サイバーセキュリティ企業 Dragos の新しいレポートによると、Volt Typhoon は 2023 年 11 月から 12 月にかけて電力会社に対してスキャン活動を行っていたことが判明しました。Volt Typhoon は従来、中国政府に代わってスパイ活動を行い、データを窃取することで知られていました。しかし Dragos によると、最近では米国の大都市の緊急サービスネットワークやアフリカの重要インフラストラクチャ ネットワークにも侵入していると報じられています。このレポートによれば、盗まれた OT データは「重要な産業プロセスに意図しない混乱を引き起こしたり、後続の攻撃ツールの開発や ICS ネットワークへの攻撃に役立つ重要な情報を攻撃者に提供したりする」可能性があるとのことです(情報源:SecurityWeek、The Register)。
Talos が発信している情報
- 『Talos Takes』エピソード #172:ケーススタディ:Talos IR によるヘルスケアテック企業のランサムウェア攻撃回避支援
- CVSS 4.0 により、脆弱性の深刻度の見方はどう変わるか
- 2023 年のサイバー脅威の主な標的はネットワークインフラ
- ロシアの APT グループ Turla、ポーランドの NGO に新たなバックドア型マルウェアを展開
- Turla のハッカー、新しい TinyTurla-NG マルウェアにより NGO をバックドア化
Talos が参加予定のイベント
S4x24(3 月 4 日 ~ 27 日)
フロリダ州マイアミビーチ
ウクライナ軍は、ロシアによる侵略から身を守るため、電子戦を利用して重要インフラを覆い隠し、レーダーや GPS 誘導のスマート兵器を使えなくしています。ですがこれにより、GPS の同期フェーザクロックの測定が中断され、すでに包囲され損傷を受けている送電網ではサービスを提供できなくなるという、予期しない結果が起きています。Talos の戦略コミュニケーションチームの Joe Marshall が、さまざまな組織の連合体のエンジニアとセキュリティ専門家が結集して、どのようにこの電子戦における GPS の問題を型破りな技術手法で解決してウクライナの送電網の一部を安定化させたのかについて、驚くべきストーリーを語ります。
RSA(5 月 6 日 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:6d167aee7013d61b0832937773cd71d77493a05d6ffb1849bdfb1477622e54c2
MD5: 36503fd339663027f5909793ea49ccbc
一般的なファイル名: telivy_agent_2.3.1.exe
偽装名:なし
検出名: W32.File.MalParent
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
本稿は 2024 年 02 月 22 日に Talos Group のブログに投稿された「TikTok’s latest actions to combat misinformation shows it’s not just a U.S. problem」の抄訳です。