2024 年オリンピックの開会式まであと 2 週間となった今、伝統的に何が起こるか予測不可能なこのビッグイベントであっても絶対に起こると断言できることが 1 つあります。それはサイバー攻撃です。
オリンピックが新たに開催されるたびに、攻撃者、ハクティビスト、国家の支援を受けたグループが、何らかの方法でオリンピックを妨害しようと準備を進めているという新たな議論が巻き起こります。2018 年に韓国で開催された冬季オリンピックの開会式は、Olympic Destroyerという大規模なサイバー攻撃による妨害を受け、チケット販売業務が一時停止し、オリンピック関連の Web サイトがいくつかダウンしました。
そして今年の夏季オリンピックについて、開催国フランスのサイバーセキュリティ機関の責任者は、同国が「前例のないレベルの脅威」に直面していると懸念を表明しています。
というのも、現代では、保護しなければならないものがあまりにも多いからです。特に国際的なイベントの場合、現代のコミュニケーションの 99% はネットワーク経由で行われます。つまり、個人の受信トレイ、メールサーバー、サードパーティのメッセージングアプリ、オンライン会議などを保護する必要があります。
オリンピックの参加者もそれぞれ自分のデバイスを持ち込み、競技が行われるアリーナや競技場に設置される公共ネットワークに接続します。これは、攻撃者にとって潜在的な侵入口が何万も存在することを意味します。
また、オリンピック競技では、ドメイン、サブドメイン、ホスト、Web アプリケーション、サードパーティのクラウドリソースも使用され、それらすべてには独自の攻撃対象領域があります。
今年初めに Outpost24 が行った調査で、これらすべての要素に対するセキュリティは、状況や人気がオリンピックとよく似ている 2018 FIFA ワールドカップ ロシア大会の時よりも強化されていることが判明しました。
国際的な見出しを飾るような大規模な侵害を成功させられないとしても、規模の小さい攻撃グループですら混乱を引き起こそうとしています。
先月、AI が生成した偽の映画予告編の内容は、有名俳優のトム・クルーズが国際オリンピック委員会を非難しているように見える Netflix の偽ドキュメンタリーでした。この予告編は、テロ攻撃をめぐる多くの脅迫とともに Telegram で拡散されましたが、観客を怖がらせてオリンピックの来場者数を減らすことを目的としたものでした。
フランスでの最近の抗議デモや選挙に乗じて、同国がすでに混乱している時期にさらなる混乱をもたらそうとして、一般的な誤情報を広めている攻撃者もいます。
フランスは、オリンピックを安全に開催するために何百もの侵入テストや机上訓練、そしてもちろんシスコとのパートナーシップを活用して、多くの脅威に備えてきました。
重要な情報
Talos は、十数の有名なランサムウェアグループに関する包括的なレビューに基づいて、各グループの戦術、手法、手順(TTP)にいくつかの共通点があることを突き止めました。同時に、注目すべき相違点や特異な TTP も明らかになっています。Talos の調査から、非常に活発な動きを見せているランサムウェアグループは、標的のネットワークへの初期アクセスの取得を優先していることがわかりました。最も一般的な手段として、有効なアカウントが使用されています。多くの場合、攻撃の前にログイン情報のフィッシングが行われます。これはインシデント対応業務全般に見られる傾向であり、Talos の 2023 年版『一年の総括』レポートの内容とも一致しています。この 1 年の間に、公開アプリケーションの既知の脆弱性やゼロデイ脆弱性が多くのグループによって悪用される事例が増えており、これが初期アクセスを取得する一般的な手段となっています。
注意すべき理由
主要な調査結果から、ランサムウェア界隈の最も有名なグループの多くが、攻撃チェーンにおいて初期アクセスの確立と防御の回避を優先していることが判明し、これらの段階が戦略上の焦点であることが浮き彫りになっています。この 1 年の間に、多くのグループが公開アプリケーションの重大な脆弱性を悪用しており、これが一般的な攻撃手段になっています。その後 Talos もこの問題に対処しました。こうした状況から、適切なセキュリティ管理やパッチ管理の必要性が増していることがわかります。ランサムウェア攻撃者は、被害者のネットワークに長くとどまるために、防御回避手法にも重点を置き続けています。
必要な対策
Talos のブログ記事には、ランサムウェアグループが使用する TTP から身を守るための推奨事項をいくつか記載しています。たとえば、すべてのシステムとソフトウェアにパッチとアップデートを確実に適用することによって、脆弱性に迅速に対処し、エクスプロイトのリスクを軽減する、強力なパスワードポリシーを導入して、複雑で一意のパスワードを個々のアカウントに設定することを必須にする、多要素認証(MFA)を必須にしてセキュリティを強化する、などです。
今週のセキュリティ関連のトップニュース
Apple ID が SMS を使用する新たなフィッシング詐欺の標的に。セキュリティ研究者によると、詐欺犯は Apple からのメッセージのように見せかけて米国の iPhone ユーザーにテキストメッセージを送信していますが、実際には Apple のログイン情報を窃取することを目的としたものです。ユーザーに偽の CAPTCHA を完了させるようにして、フィッシングメッセージを正当なメッセージのように見せかけています。その後ユーザーは、古い iCloud のログインページに似た悪意のある Web ページに誘導され、Apple ID を入力するよう求められます。Apple ID の情報がわかれば、標的ユーザーの iPhone や iPad にログインして個人情報にアクセスしたり、不正な購入を行ったりできるので、詐欺犯にとっては価値があります。Apple は、見知らぬデバイスでログイン情報を使用されないようにするためにデバイスに MFA を実装するか、Face ID や Touch ID を使用してデバイスにログインするようユーザーに警告しました。iPhone ユーザーが Apple から ID を要求するテキストメッセージを受け取る可能性は低いですが、万一そのようなことがあれば、メッセージ内のリンクをクリックするのではなく、目的の Web サイトに手動でアクセスする必要があります。(情報源:CBS News、Forbes)
5 年以上にわたって中東全域の軍人をスパイしていた可能性があるスパイウェアが新たに発見される。GuardZoo と呼ばれるこのツールを作成したのは、イエメンのフーシ派の攻撃者のようです。GuardZoo は Android のカスタム監視ツールであり、文書、写真、部隊の所在地に関するデータなど、潜在的に価値のある情報や軍事情報を窃取するために使用されます。GuardZoo に感染するきっかけとなるのは、WhatsApp メッセージで送信される悪意のあるリンクです。これらのフィッシングリンクによって、Google Play ストア外のさまざまな偽アプリの 1 つに誘導されます。これらのアプリは、コーランを読むためのアプリであったり、デバイスの位置追跡や、イエメン軍とサウジアラビアの軍指揮幕僚大学に関連するテーマなど、さまざまなサービス提供を偽装したアプリだったりします。GuardZoo は、以前から知られている Dendroid リモートアクセス型トロイの木馬の修正版であったため、数年間検出をすり抜けることができました。GuardZoo はデバイスに侵入すると、すぐにローカルロギングを無効にし、被害者の過去 7 年間のファイル(KMZ、WPT、RTE、TRK ファイル)をすべて窃取します。これらはいずれも GPS およびマッピングアプリに関連したファイルです。(情報源:Dark Reading、SC Media)
2022 年にさかのぼる一連のサイバー攻撃とデータ侵害に中国政府が支援する攻撃グループが関与していると豪政府が非難。APT40 として知られるこのグループは、2 年前に 2 つのオーストラリアのネットワーク(名前は未公開)からユーザー名とパスワードを窃取したと考えられています。オーストラリアのサイバー セキュリティ センターが新たに発表したレポートによると、APT40 は中国の国家安全部(対外工作を担当する中国の主要機関)のために悪意のあるサイバー活動を行っています。APT40 は機密性の高いネットワークに依然として接続されている古い(場合によっては非アクティブな)コンピュータを感染させることで、機密情報を窃取しようとしているとレポートでは指摘されています。中国当局は直ちにこの告発を否定しました。このレポートはカナダ、ニュージーランド、米国、英国の諜報機関が共同執筆したものです。ニュージーランド政府は以前、APT40 が 2021 年に同国の議会サービスと議会法制局を標的にし、機密情報を窃取したと非難していました。(情報源:NBC News、Voice of America)
Talos が発信している情報
- Upstream の 2024 年グローバル自動車業界サイバーセキュリティ レポート(Cisco Security からの寄稿を特集)
- タグの間に潜む脅威:HTML スマグリング攻撃でスパム送信者が用いる回避手法の詳細
- 暗号通貨ドレイナーを利用したフィッシング詐欺の仕組み
- ワイヤレスルータのソフトウェア開発キットに 15 件の脆弱性を発見
- 「緊急」の脆弱性 5 件を含む、ここ 3 か月で最大規模のセキュリティ更新プログラム
- Cisco Talos、活発な動きを見せているランサムウェアグループが使用する最新の戦術を詳述
- ランサムウェアグループはデータ漏洩のために防御回避を優先
Talos が参加予定のイベント
BlackHat USA(8 月 3 日~ 8 日)
ネバダ州ラスベガス
Defcon(8 月 8 日~ 11 日)
ネバダ州ラスベガス
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5:e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201
SHA 256:8a366b1d30dd4d03ad8c5c18d0fb978d00d16f5f465bd59db6e09b034775c3ec
MD5: 4fca837855b3bced7559889adb41c4b7
一般的なファイル名:UIHost32.exe
偽装名:McAfee WebAdvisor
検出名: Trojan.Miner.ED
SHA 256:a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0
MD5: b4440eea7367c3fb04a89225df4022a6
一般的なファイル名: Pdfixers.exe
偽装名:Pdfixers
検出名: W32.Superfluss:PUPgenPUP.27gq.1201
SHA 256:484c74d529eb1551fc2ddfe3c821a7a87113ce927cf22d79241030c2b4a4aa74
MD5: dc30cfd21bbb742c10e3621d5b506780
一般的なファイル名: KMS-R@1nHook.exe
偽装名:なし
検出名: W32.File.MalParent
本稿は 2024 年 07 月 11 日にTalos Group のブログに投稿された「Checking in on the state of cybersecurity and the Olympics」の抄訳です。