現在組織が抱えるサイバーセキュリティ上の大きな問題の 1 つは、何がわからないのか組織自身わかっていないことです。この問題は、特に組織の規模が小さい場合に顕著になります。
数多くのソフトウェアが実行され、IoT デバイスによりネットワークの範囲がこれまでになく広がっている状態では、すべてを常時監視するのは困難です。
この問題の解決策(しかも無料!)として有望視されているのが、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の新プログラムです。このプログラムは、攻撃者に悪用される可能性のあるパッチ未適用の脆弱性を抱える企業や組織にアラートを出します。
パイロットプログラムは 2023 年 1 月から提供されており、CISA がまとめている「悪用が確認された脆弱性カタログ(KEV)」に掲載されている脆弱性でパッチ未適用なものがあった場合、登録した組織にアラートが送られます。これまでに通知された件数は 2,000 件以上にのぼっています。ご存じない方のために説明すると、KEV カタログは、実際によく悪用されていることが知られているあらゆるセキュリティ問題を収載したデータベースです。定期的に公開される脆弱性の中でも特に重大な脆弱性が何件か含まれていることが多く、中には何年にもわたって掲載され続けている脆弱性もあります。
CISA 長官の Jen Easterly 氏によると、先月 CISA がアラートを送った脆弱性の 49% は、パッチ適用やその他の手段によって緩和されたとのことです。このプログラムは今年後半の早いうちにリリースされる予定ですが、7,000 以上の組織がすでにパイロットプログラムに登録しています。
コスト負担なしで、組織が気づいていない可能性の高い脆弱性について政府が情報を提供してくれるわけなので、これほどの人気があるのも当然のように思えます。これらの脆弱性は、ソフトウェアやハードウェアのパッチ適用で簡単に修復できるものです。
そこで特に私が気がかりなのは、このプログラムに登録してアラートを受け取れる対象を広げるにはどうしたらよいかということです。
本プログラムに関する CISA の Web ページによると、このアラートを現時点で受け取れるのは「連邦政府、州政府、地方自治体政府、部族政府、準州政府、官民の重要インフラ組織」のみとなっています。
このプログラムが成功を収め続ければ、いずれは対象が拡大されることになるだろうとは思います。なお、ここで言う「重要インフラ」が何を意味するのかについては、必ずしも明確なガイドラインは存在しません(たとえば地域の ISP がこのプログラムに参加できるのかについて、私は ISP は重要インフラだと思っていますが、連邦政府の見解はわかりません)。
現在のところ、このアラートプログラムへの登録は、メールを送るだけで簡単にできるようです。また、CISA はこれまでのところ、Shodan によるスキャンで発見された脆弱なシステムにもアラートを送っています。プログラムへの参加を義務づけることは、どこかで法制化しない限り難しいでしょうが、義務化すべきだと思えます。
ネットワークに実際に悪用されている脆弱性が存在した場合、連邦政府から無料でアラートを送ってもらえるのですから、参加したくない組織はないでしょう。パイロットプログラムの対象となった地方自治体政府や州政府のチームの多くは、スタッフも資金も不足しており、パッチ適用にもなかなか手が回らず、最新の状態に更新するまでに数か月かかることもあるような状態にあります。ただ、この種の組織はあまりに忙殺されすぎていて、CISA のプログラムのことを知りもしない可能性もあります。そこで、CISA のプログラムについて本ニュースレターで取り上げた次第です。この呼びかけに応え、1 つでも多くの組織に登録してもらえましたら幸いです。
重要な情報
Cisco Talos の脆弱性調査チームはこのほど、3 件のゼロデイ脆弱性を公開しました。このうち 2 件には、5 月 8 日時点ではまだパッチが適用されていません。ゼロデイ脆弱性の 2 件(1 件は Tinyproxy の HTTP プロキシデーモン、もう 1 件は stb_vorbis.c ファイルライブラリに存在)は、任意コードの実行につながる危険性のある脆弱性です。どちらも CVSS スコアは 10 点中 9.8 点となっています。Talos はどちらの保守管理者とも連絡が取れませんでしたが、その後、Tinyproxy の保守管理者はこの問題に対するパッチを適用しています。もう 1 件のゼロデイ脆弱性は、ワイヤレスルータの Milesight UR32L に存在します。以上の脆弱性については、関係ベンダーが 90 日間の期限内にパッチを適用するか連絡をするという対応を取らなかったことから、シスコのサードパーティ脆弱性開示ポリシーに定めるタイムラインに従って公開しました。
注意すべき理由
Tinyproxy は、比較的小規模なネットワーキング環境での使用が想定されています。最初のバージョンがリリースされたのは 10 年以上前です。解放済みメモリ使用の脆弱性である TALOS-2023-1889(CVE-2023-49606)は、クライアントから提供される「Connection」ヘッダーに存在します。この脆弱性は、未認証の HTTP 要求によってトリガーされます。その結果、解放済みメモリの再利用が引き起こされてメモリが破損し、リモートで任意コードを実行される危険性があります。今週 Talos が公開した脆弱性のうち 4 件については、まだパッチが公開されていません。影響を受けるソフトウェアを使用している場合、パッチ以外の緩和策を見つけるようにしてください。
必要な対策
これらの脆弱性のエクスプロイトを検出できる Snort カバレッジについては、Snort.org から最新のルールセットをダウンロードしてください。Talos Intelligence の Web サイトにも、Talos による最新の脆弱性アドバイザリを常時掲載しています。
今週のセキュリティ関連のトップニュース
各国の法執行機関が、ランサムウェアグループ LockBit のリーダーと目される人物を特定し、制裁措置を取って起訴。LockBit の創始者であり首謀者であるユーザー名「LockBitSupp」という攻撃者の正体が、ロシア国籍の Dmitry Yuryevich Khoroshev であったことが明らかになりました。このランサムウェアグループは、活動していた数年の間に、被害者から推定 5 億ドルを脅し取りました。報道によると、Khoroshev は、身代金を得るたびにその 20% を受け取っており、グループのデータリークサイトを運営していたとのことです。米国連邦政府は、Khoroshev の逮捕につながる情報の提供者に、最高 1,000 万ドルの報奨金を出すとしています。Khoroshev は計 26 件の犯罪で米国で起訴されており、最高刑は懲役 185 年になります。2018 年頃に創設された LockBit は「サービスとしてのランサムウェア」モデルで運営されており、他の攻撃者も対価を払えば LockBit のマルウェアや感染ツールを利用できるようになっています。同グループは、ここ数年の間に複数の大規模なランサムウェア攻撃に関与してきました。英国の Royal Mail サービス、カナダのオンタリオ州にある小さな町、シカゴの小児病院に対するものなどです(情報源:Wired、The Verge)。
最近発生した軍事請負業者へのデータ侵害について、中国政府が支援する攻撃者によるものと英国が非難。このデータ侵害により、英国軍に所属する約 27 万人の個人情報が窃取されました。影響を受けた可能性がある情報は、常勤の軍人、非常勤の予備役、2018 年 1 月以降に退役した退役軍人の名前と銀行情報などです。また、影響を受けた人物の中には、現職の英国会議員もいます。英国国防省のある幹部は、この侵害を「非常に重大な事件」とし、請負業者は侵害を受けたシステムを直ちにオフラインにしたと語りました。英国政府はまだ、この攻撃に関与した攻撃者について公式に発表していませんが、複数のレポートを見ると、中国の攻撃者によるものと考えているようです。攻撃者は、侵害を受けたネットワーク上に最長で数週間にわたって存在していた可能性がありますが、情報がコピーされたり削除されたりした証拠は今のところありません(情報源:The Guardian、Financial Times)。
VPN の効果が完全に無効化されてしまう新しい攻撃ベクトルをセキュリティ研究者が発見。この手法は「TunnelVision」といい、一部もしくはすべてのトラフィックを、VPN サービスで作成される暗号化トンネルの外側で送受信させます。もともと VPN は、トラフィックをスヌーピングや改ざんから保護したり、物理的な場所を隠したりするために利用されます。現在利用可能な VPN アプリケーションはすべて、攻撃者が管理するネットワークにつながれば、TunnelVision により侵害できると研究者は考えています。VPN が Linux または Android 上で実行されている場合を除き、現時点では TunnelVision を利用した攻撃を防止することも回避することもできません。TunnelVision は遅くとも 2002 年には利用可能でしたが、実際にどれだけの頻度で使用されてきたかは明らかではありません。VPN ユーザーでこの攻撃が心配な方は、ネットワークアダプタがブリッジモードになっていない仮想マシン内で VPN を実行するか、携帯端末の Wi-Fi ネットワーク経由で接続するようにしてください。攻撃者がネットワークを完全にコントロールしなければこの攻撃は効力を発揮しませんが、接続が影響を受けてもユーザーは全く気付かず、VPN も変更があったというアラートをユーザーに出すことはありません(情報源:Ars Technica、ZDNet)。
Talos が発信している情報
- 『Talos Takes』エピソード#182:Talos IR が現場で注目している 4 つのポイント
- ClamAV 1.4.0 リリース候補が公開!
- Tinyproxy に存在する重大な欠陥により、5 万以上のホストでリモートのコード実行が可能に
- 従業員管理システムの脆弱性、リモートのコード実行やログイン情報の窃取につながる可能性も
Talos が参加予定のイベント
ISC2 SECURE Europe(5 月 29 日)
アムステルダム(オランダ)
Talos インシデント対応チームの Gergana Karadzhova-Dangela が「EU におけるサイバーセキュリティ人材とスキルのギャップを減らすための ECSF の活用」というパネルに参加します。Karadzhova-Dangela は、EU のサイバーセキュリティ フレームワークの開発に参加しており、新しい人材の募集および採用の方法として、シスコが社内の取り組みで同フレームワークをどのように活用しているかを説明します。
Cisco Live(6 月 2 ~ 6 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:W32.File.MalParent
SHA 256:d529b406724e4db3defbaf15fcd216e66b9c999831e0b1f0c82899f7f8ef6ee1
MD5:fb9e0617489f517dc47452e204572b4e
一般的なファイル名: KMSAuto++.exe
偽装名: KMSAuto++
検出名 W32.File.MalParent
SHA 256:abaa1b89dca9655410f61d64de25990972db95d28738fc93bb7a8a69b347a6a6
MD5:22ae85259273bc4ea419584293eda886
一般的なファイル名: KMSAuto++ x64.exe
偽装名: KMSAuto++
検出名: W32.File.MalParent
SHA 256:8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5: 0e4c49327e3be816022a233f844a5731
一般的なファイル名: aact.exe
偽装名: AAct x86
検出名: PUA.Win.Tool.Kmsauto::in03.talos
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5:df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
本稿は 2024 年 05 月 09 日にTalos Group のブログに投稿された「A new alert system from CISA seems to be effective — now we just need companies to sign up」の抄訳です。