Apple 社は、同社のほぼすべてのデバイス向けに新しいアップデートをリリースしました。このアップデートにより iMessage は全く新しいタイプの暗号化を実現し、理論的には量子コンピュータからの攻撃に対して保護されるようになりました。
これは少し微妙な表現です。というのも以前取り上げたように、量子コンピュータはまだ存在していませんし、いつ実現するかもわからないからです。
Apple 社の最新の暗号化技術である PQ3 は、量子耐性を持つエンドツーエンドの暗号化で iMessage を保護します。2023 年 9 月、多くの人が使用している安全なメッセージングアプリ Signal でサービスの耐量子暗号化が開始されました。これには、PQXDH という独自のプロトコルが使用されています。
Apple 社のブログの投稿を見ると、今回のアップデートは「iMessage 史上最も重要な暗号セキュリティのアップグレード」だということです。
一般のユーザーにとっては、これが何を意味するのかを完全に理解することは難しいでしょう。民間企業や政府はいまだに量子コンピュータの開発に何十億ドルもの資金を投入しており、量子コンピュータは、現実のものというよりは理論に近いものです。私たちは量子コンピューティングについて、そしてそれが最終的にスケーラブルで責任ある方法で展開できるかどうかについて、まだ多くを知りません。ただし、量子コンピュータが実用化された途端に、悪の手に渡るのは間違いないでしょう。
このような保護対策を今のうちに導入することは、米国国立標準技術研究所の目標であるポスト量子暗号をあらゆる場所で実現するための大きな一歩です。しかし、ご存知のように変化には時間がかかるため、量子コンピューティングのマイナス面の影響を受けずに済むと喜ぶのは時期尚早です。
最終的には、SSL や TLS のような公開鍵のインフラストラクチャに依存しているすべてのサービスや製品などは、その運用方法を再検討して、耐量子アルゴリズムの統合を開始する必要があります。ネットワーク インフラストラクチャが IPv4 から IPv6 へ移行するのにどれだけの時間がかかったか、そして今日のインターネットトラフィックの大半が、いまだに IPv4 を使用してルーティングされていることを考えてみてください。
ユーザーに自動アップデートを展開している Apple や Signal と比較してみるのもよいと思います。ユーザーがパッチをインストールする保証はありませんが、大半のユーザーは、夜間に自動的にデバイスがアップデートされるようにしているか、最終的にポップアップ通知を消すためにアップデートをインストールするでしょう。このようなメリットは他では得られません。
メッセージングアプリにポスト量子暗号(PQC)を導入するのは簡単です。となると次は、Web ブラウザやメールクライアント、ワイヤレスルータ、そして、そのメッセージングアプリをサポートするベンダー各社が同じ認識を持つことを願わずにはいられません。そうなれば、量子コンピュータの時代に突入したときに IT チームが対応できなくなる状況は避けられそうです。
重要な情報
Cisco Talos の研究者は、Turla APT が使用しているツールとコマンド & コントロール(C2)サーバーに関する新たな詳細を明らかにしました。Turla APT は、ロシア政府の支援を受けている悪名高い攻撃グループで、最近、感染したエンドポイントにコマンドを発行するために TinyTurla-NG(TTNG)バックドアを拡散していることが確認されました。また、最初のインプラントである TinyTurla-NG を介して展開された 3 つの別の悪意のあるモジュールによってアクセスを維持し、任意のコマンド実行とログイン情報収集を行っていることも確認されました。これらのコンポーネントの 1 つは、オープンソースの攻撃フレームワークである Chisel のエージェント/クライアントを改変したものです。このコンポーネントを使用して別の C2 サーバーと通信し、感染したシステム上で任意のコマンドを実行します。
注意すべき理由
有名なグループである Turla は、直近では、ポーランドの非政府組織(NGO)を標的にしていることが確認されています。Talos の調査によると、Turla の新しいバックドアのコードは以前のものとは異なるため、防御システムも検出方法を変更する必要があります。Talos の研究者とポーランドのインシデント対応サービスである Cert NGO が提携してこの情報を開示したので、被害を受ける可能性があるポーランドの組織は、この攻撃に対する保護と対策を強化することができました。
必要な対策
Talos は、この攻撃者をブロックする新たな方法を防御システムに提供するために、新しい IOC を公開しました。Turla は昇格プロセスの実行やログイン情報収集のためのツールも備えているため、最小権限の原則を組織で確実に活用することが、こうした攻撃を防ぐ上で大きな効果を発揮します。
今週のセキュリティ関連のトップニュース
ランサムウェア集団 LockBit が被害者恐喝のために使用していたリークサイトを閉鎖させるために、FBI と国際的な法執行機関が提携。ところが、この発表から数日後に LockBit はオンラインに復帰し、新たなリークサイトらしきものを立ち上げたことを発表しました。この摘発活動の一環として、法執行機関は LockBit の被害者向けに新しい復号ソフトウェアをリリースし、フランス当局の要請を受けてポーランドとウクライナで 2 人の容疑者を逮捕しました。リークサイトのページは、復号キーに関する情報、関与した法執行機関からのプレスリリース、告発文書などで置き換えられました。しかし週明け、LockBit は復活を宣言し、インフラへ戻ってくるようアフィリエイトに呼びかけました。さらに現在の被害組織の 1 つであるジョージア州フルトン郡政府に対して再び恐喝を行いました。フルトン郡政府の代表者は月曜日、同グループが「ダーク Web 上にサイトを再開し、フルトン郡を再び被害組織の 1 つとして挙げ、盗んだとされるデータを公開すると脅している」と声明を出しました(情報源:CNN、SecurityWeek、WSB-TV)。
先週 Microsoft 社が無料のロギングサービスを拡大し、米国の全連邦政府機関に提供。この動きは、昨年、中国政府の支援を受けた攻撃者が Microsoft の署名キーを盗み出し、それを使用して米国議員の電子メールを傍受したことを受けてのものです。同社はこれまでクラウドサービスを利用している顧客に対して、この種の侵入の検出が記録されている可能性があるセキュリティログにアクセスするための料金を別途請求していましたが、現在は無料で利用できるようにしています。また、デフォルトのログ保存期間を 90 日から 180 日(Talos インシデント対応チームが過去に推奨した最低期間)に延長しています。米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は声明の中で、Microsoft 社、行政管理予算局(OMB)、国家サイバー局長室(ONCD)との協力のもと、過去 6 か月間に同プログラムを一部の政府機関に展開したと述べています。CISA は政府機関向けにログ管理の新しいハンドブックも公開しました。このハンドブックは「新たに利用できるようになった各ログの詳細と、脅威ハンティングとインシデント対応業務をサポートするためにこれらのログをどう利用できるかの詳細を記載したもの」です(情報源:CISA、CyberScoop)。
ジョー・バイデン米大統領が水曜日、米国民の個人情報がロシアと中国の企業や組織に売却されないようにすることを目的とした大統領令に署名。両国はサイバー空間において米国の最大敵対国とされています。同大統領令は、いわゆる「懸念国」を特定したもので、たとえ合法的に収集された個人情報であっても、懸念国に指定された国に売却した米国企業は処罰の対象となり得ます。ただし、施行の仕組みを構築して導入するのに数か月以上かかる可能性があります。バイデン政権の狙いは、米国で事業活動を行う外国企業や外国の管理下にある企業による、機密データ(生体認証、健康データ、地理位置情報など)の不当な収集を制限することです。米国の議員たちは以前から、ブローカーが販売したデータやサイバー攻撃で盗まれたデータが、政府高官や軍事指導者など、米国内の重要な標的に対する諜報や脅迫に使用される可能性があるという懸念を表明してきました。データブローカーは米国では合法であり、通常はユーザーの個人情報を収集・分類してプロファイルを作成します。これらのプロファイルは広告主やソーシャルメディア企業などに販売され、ターゲティング広告に使用されます(情報源:Associated Press、Bloomberg)。
Talos が発信している情報
- 『Talos Takes』エピソード #173:NIS2 の要約
- リモートコード実行につながる可能性がある、Adobe Acrobat Reader の複数の脆弱性
- パッシブモードでのセキュリティ対策から脱却すべき理由
- 『Talos Takes』エピソード #144:Volt Typhoon の余波
- Google Cloud Run が Microsoft インストーラ経由でサイバー攻撃に「悪用」されていることが判明:シスコのレポート
Talos が参加予定のイベント
BSides Sofia 2024(3 月 23 ~ 24 日)
ソフィア(ブルガリア)
S4x24(3 月 24 ~ 27 日)
フロリダ州マイアミビーチ
ウクライナ軍は、ロシアによる侵略から身を守るため、電子戦を利用して重要インフラを覆い隠し、レーダーや GPS 誘導のスマート兵器を使えなくしています。ですがこれにより、GPS の同期フェーザクロックの測定が中断され、すでに包囲され損傷を受けている送電網ではサービスを提供できなくなるという、予期しない結果が起きています。Talos の戦略コミュニケーションチームの Joe Marshall が、さまざまな組織の連合体のエンジニアとセキュリティ専門家が結集して、どのようにこの電子戦における GPS の問題を型破りな技術手法で解決してウクライナの送電網の一部を安定化させたのかについて、驚くべきストーリーを語ります。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: W32.File.MalParent
SHA 256: 9ef2e8714e85dcd116b709894b43babb4a0872225ae7363152013b7fd1bc95bc
MD5: 4813fa6d610e180b097eae0ce636d2aa
一般的なファイル名: xmrig.exe
偽装名: XMRig
検出名: Trojan.GenericKD.70491190
SHA 256: a75004c0bf61a2300258d99660552d88bf4e1fe6edab188aad5ac207babcf421
MD5: c44f8ef0bbaeee256bfb62561c2a17db
一般的なファイル名: ggzokjcqkgcbqiaxoohw.exe
偽装名:なし
検出名: Symmi:GenMalicious-tpd
SHA 256: 5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名: Win.Dropper.Pykspa::tpd
SHA 256: 59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
本稿は 2024 年 02 月 29 日に Talos Group のブログに投稿された「Why Apple added protection against quantum computing when quantum computing doesn’t even exist yet」の抄訳です。