このニュースレターを定期的に読んでくださっている方なら、フェイクニュース、偽情報、誤情報を拡散することの危険性について私がどれほど懸念しているかをすでにご存知でしょう。
正直に言って、この問題を今さら取り上げる必要もないはずです。とはいえ、インターネットに流れる偽情報との終わりの見えない闘いにはいつもイライラさせられます。その理由の 1 つは、偽情報を拡散する「最悪な加害者」に対し、実質的な措置が何も講じられていないということです。
誤解を招く情報やとんでもない虚偽情報をソーシャルプラットフォーム上で意図的に、または繰り返し共有しても、せいぜいそのユーザーのアカウントがブロック、停止、削除されるか、その投稿だけが削除されて終わることがあります。
偽情報を拡散しているという点では Twitter も「最悪な加害者」になっていますが、ここ数年で状況はさらに悪化しています。現時点で、問題のアカウントに対して何の措置も取らないばかりか、さまざまな方法でそうしたアカウントのプロモーションを行い、より大きなプラットフォームを提供しています。
Meta 社は現在、一部の国のプラットフォーム上で政治的な投稿を非表示にすることが多くなりましたが、フェイクニュースを共有するアカウントについて言えば、十分な数のユーザーから報告を受け、措置を講じることを決定した場合にのみ当該アカウントが制限されるといった状況です。
私は今、こうした偽情報の拡散を支持したり、煽ったり、ただ傍観したりする個人や企業に対して、ブラジル最高裁判所が何らかの法的措置を取るのではないかと期待しています。具体的に念頭に置いているのは、Twitter(現在の X)とその所有者であるイーロン・マスク氏に対して裁判所が新たに捜査を開始したことです。
ブラジル最高裁は、同プラットフォームのユーザーが裁判所判事に対する大規模な誤報キャンペーンに参加しており、裁判官に関する虚偽の情報や有害な情報を意図的に共有していると述べています。マスク氏はさらに、司法妨害の容疑でも関連捜査を受けています。
裁判所は以前、Twitter でフェイクニュースを拡散している特定の極右アカウントをブロックするよう求めていましたが、これは最も悪質な誤報発信源を対象としてソーシャルメディア プラットフォームに課された、実効性のある永久停止措置の 1 つと見られています。Twitter は先ごろ、これらのアカウントのブロックを拒否しました。
といっても、これは今に始まった取り組みではありません。ブラジル政府は長い間、偽情報の拡散に対して法的手段を講じる具体的な方法を模索してきました。2022 年に最高裁はブラジルの国家選挙管理委員会に相当する機関と協定を締結し、「司法に関わるフェイクニュースと闘いながら、2022 年の総選挙に関する情報を発信していく」と表明しました。
ブラジルの大統領は(米国と同様に)何年もフェイクニュースや偽情報と闘ってきました。政治的な発言は信じられないほどの分裂を招き、さまざまな形で発言者に身体的な危害が及びかねない状況になっています。私はもちろんこの分野の専門家ではないので、この問題について、また「フェイクニュース」という言葉が、現代社会における「ファクト(事実)」に疑問を投げかけるための武器として利用されるようになった経緯についてコメントできる立場にはいません。
また、高等裁判所が「フェイクニュース」を口実に、実際には「正確で」検証可能な情報を拡散している人々を告発し起訴する状況も十分考えられます。
それでも、マスク氏や Twitter の担当者にブロックポリシーに関する質問に回答してもらうだけで、このプロセスの透明性は向上するでしょう。仮に、ソーシャルメディア上で誤解を招く情報が共有されるのを本気でやめさせたいとします。その場合、誤情報の発信者のアカウントをただブロックするだけでは不十分です。なぜなら、2 秒後には別の電子メールアドレスを使用して新しいアカウントを作成できるからです。求められているのは、実効性のある措置です。
重要な情報
Talos は最近、新たな攻撃グループ「Starry Addax」を発見しました。主に狙われているのはサハラ・アラブ民主共和国(SADR)を支持している人権活動家です。Starry Addax が主に使用しているのは新しいモバイルマルウェアです。フィッシング攻撃を仕掛けてユーザーをだまし、「FlexStarling」という悪意のある Android アプリケーションをインストールさせて感染に至らせます。Talos が最近分析した悪意のあるモバイルアプリケーション(APK)「FlexStarling」は、サハラウィ通信社 Sahara Press Service(SPSRASD)のアプリを装っています。
注意すべき理由
この攻撃では、西サハラの人権問題に取り組んでいる、監視対象となるリスクが高い人物が標的になっていると考えられます。FlexStarling は特定の層に対象を絞って使用されていますが、非常に高い能力を持つインプラントであり、他の攻撃で使用された場合にも危険な脅威となり得ます。感染した場合、Starry Addax はマルウェアを使用して重要なログイン情報を盗んだり、リモートコードを実行したり、デバイスを他のマルウェアに感染させたりする可能性があります。
必要な対策
この攻撃の感染チェーンは、攻撃者が関心を持つ個人、特にモロッコと西サハラ地域の人権活動家に送り付けられるスピアフィッシングメールから始まります。フィッシングメールの標的になる可能性があるユーザーは、これらのテーマを含むメールで使用されている URL や添付ファイルに細心の注意を払い、信頼できるサイトのみにアクセスするようにしてください。攻撃に使用されたさまざまなアーティファクトに関連するタイムラインから判断すると、この攻撃は始まったばかりで初期段階にあると思われ、もっと多くのインフラストラクチャがあり、Starry Addax が新たなマルウェア亜種を開発中である可能性があります。
今週のセキュリティ関連のトップニュース
今年初めに発生したテキサス州の地方水道施設のネットワーク侵入事件は、ロシアとつながりのある攻撃グループの犯行か。今年 1 月にテキサス州ミュールシューの小さな町でハッキング事件が発生し、給水塔から水があふれ出しました。この不審な攻撃が起きたのは、近隣にある 2 つの町のネットワークへの侵入が発生したのと同じタイミングでした。攻撃によって断水が発生することはありませんでしたが、米国の重要インフラを偵察して遮断しようとするロシアの APT の取り組みがエスカレートしていることが明らかになりました。セキュリティ研究者らは今週、この活動の成果を発表していた Telegram チャネルを、ロシア連邦軍参謀本部情報総局(GRU)に関係するグループと結びつけました。攻撃グループは、ICS で使用されているリモートログインシステムに侵入し、給水塔の制御を行えるようにしました。当局がマシンをオフラインにして手動操作に切り替えるまでの約 30 ~ 45 分間水があふれました。CNN の報道によると、近くにあるロックニーという町の SCADA システムで「不審な活動」が検出されました。また、ヘイルセンターという町でも、攻撃グループがネットワークのファイアウォールを突破しようとしたため、SCADA システムへのリモートアクセスが無効にされました。(情報源:CNN、Wired)
ウクライナにおけるロシアの目標を遂行する主要な攻撃グループとしても、ロシアの Sandworm APT が浮上。新たな調査によると、2022 年 2 月のロシアによる侵攻以来、ウクライナで発生した妨害的または破壊的なサイバー攻撃のほぼすべてに同グループが関与していることがわかっています。Sandworm(別名 APT44)が関与したある攻撃では、ロシアの冬季攻勢中にウクライナの電力施設が妨害され、同国のエネルギー網を標的とした一連のドローン攻撃が行われました。最近、同グループは、ロシア軍が戦場で有利に動けるように情報を収集するスパイ活動に以前より重点を置いています。米国は 2020 年に Sandworm で活動している人物を数名特定しましたが、同グループは 10 年以上活動を続けています。研究者らはまた、同グループが使用していると思われる「CyberArmyofRussia_Reborn」という Telegram チャネルを公開しました。このチャネルは通常、妨害行為の証拠を投稿するために使用されます。(情報源:Dark Reading、Recorded Future)
イランがイスラエルに無人機やミサイルによる集中攻撃を行ったことを受け、イスラエルとイランの間で激烈なサイバー攻撃が増加するとセキュリティ専門家と政府当局者が警鐘。両国は最近、緊張の高まりに対処してきましたが、先週土曜日の夜、ついにイランによる攻撃が行われました。イスラエルの指導者らはすでにこの攻撃に対するさまざまな対応を検討しており、新たな戦闘行為だけでなく、イランを標的としたサイバー攻撃が行われる可能性があります。イスラエルとイランの間では長年、秘密工作や破壊的なサイバー攻撃などを伴う緊張関係が続いていました。専門家らは、両国はどちらもワイパーマルウェア、ランサムウェア、サイバー攻撃を仕掛ける能力を有しており、その一部は重要インフラや軍事作戦を妨害する可能性があると述べています。緊張の高まりにより、実際には発生していないさまざまなサイバー攻撃やネットワーク侵入について、多くの攻撃グループが犯行を主張する可能性も出てきました。(情報源:Axios、Foreign Policy)
Talos が発信している情報
- シスコ、VPN や SSH サービスを狙ったブルートフォース攻撃が世界的に急増していると警告
- ウクライナ警察の悩みの種は 10 年前のマルウェア
- 世界中のネットワークを狙い、攻撃者が何百万回ものログインを試行
- OfflRouter ウイルスが原因でウクライナのユーザーが VirusTotal に機密文書をアップロード
- 一般的に使用されるログイン情報を使った大規模ブルートフォース攻撃が増加、VPN や SSH サービスが標的に
- 『Talos Takes』エピソード #179:aaS 型のグループの解体を「解体」とは呼べない理由
Talos が参加予定のイベント
Botconf(4 月 23 ~ 26 日)
コート・ダジュール、ニース(フランス)
Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
いくつかの技術的な問題に対処するため、このセクションは一時的に休止します。
本稿は 2024 年 04 月 18 日にTalos Group のブログに投稿された「Could the Brazilian Supreme Court finally hold people accountable for sharing disinformation?」の抄訳です。