Cisco Japan Blog / 脅威リサーチ / 知らないうちにデータ漏洩に巻き込まれていると想定するのがベスト

Snowflake に端を発する AT&T 社などへのサイバー攻撃、Microsoft Outlook の事例などから判断して、現時点で自分の個人情報が知らないうちにデータ漏洩の被害に遭っていると想定すべきではないかと思います。

2024 年はまだ半ばを過ぎたところですが、過去最大規模のデータ漏洩がすでに発生しています。通信プロバイダーの AT&T は今月初め、同社の「ほぼすべて」の顧客の電話番号と通話履歴が含まれるデータのキャッシュが窃取されたと公表しました。該当者は約 1 億 1 千万人にもなります。

定型文のようなあの恐ろしい通知メールをまだどの企業からも受け取っていなくても、過去数年のうちに個人情報の一部がすでにアクセスまたは窃取され、流出しているか、いつかそうなると想定しておいたほうがよいでしょう。

これを機に、自分の個人情報についてチェックすることにしました。広く利用されている Have I Been Pwned? で調べてみたところ、私の個人用メールアドレスは 14 件の侵害に巻き込まれたとあります。古くは 2017 年に被害に遭っており、最近では 6 月でした。

幸いなことにトレンドマイクロ ID プロテクションによると、私の個人用携帯電話はどのデータ漏洩にも巻き込まれていませんでしたが、相変わらずそれなりの数のスパムテキストや着信を受けています。

今回はせっかくの機会なので、ご紹介した 2 つの検索エンジン以外にも、役に立つリソースとアドバイスを読者の皆様に提供できればと思います。最近多発するデータ漏洩には巻き込まれていないとしても、次にいつ漏洩が起こるかわからないので、今のうちに対策をしておいたほうがよいでしょう。

• パスワードの再利用はやめましょう。無料のパスワードマネージャを使用し、作成する新規アカウントごとにランダムでセキュアなパスワードを生成してください。そうすれば、万が一パスワードが流出した場合でも、攻撃者は漏洩したログイン情報を使用して別のアカウントに不正アクセスすることができません。
• パスワードマネージャに登録したら、パスワードを頻繁に更新し、ローテーションしてください。
• 多要素認証（MFA）を登録しましょう。どのタイプであっても MFA を使用すれば、漏洩したログイン情報を使った他のデバイスへのアクセスはできなくなるので、ユーザー名とパスワードがセットで漏洩しても、不正なログインを防止できます。
• 信用調査機関の詐欺アラートに加入しましょう。当然のことながら、これは米国に住むユーザーにのみ適用されます（他の国でも同様のサービスはあると思いますが、確信を持って書けるのは米国でのプロセスのみです）。あなたが不正行為の被害者である可能性を金融機関が認識できるようになるので、与信取引申請書を記入する人物が本当にあなたであると確認するための追加手順を設けるはずです。
• あなたの情報を流出させた企業が無料で信用監視サービスを提供している場合は、積極的に活用しましょう。明日朝の Talos Takes のエピソードで、ユーザーが活用できるアイデンティティ モニタリングの機能を取り上げますので、ぜひご注目ください。
• 特定のアカウントに対し変更を加える際に必要となる一意のパスコードを設定しましょう。AT&T が顧客に対し詳細にアドバイスしているのは、アカウント上の重要な変更（電話番号を別のキャリアに移行するなど）を阻止するのに必要なパスコードを設定することです。

重要な情報

攻撃者は、ユーザーと企業がデータ漏洩の脅威に対し意識を高めていることを認識しており、それをフィッシング攻撃や詐欺で利用しています。Talos の研究者は最近、早くも 2024 年 1 月には暗号通貨強奪詐欺が進行中であったことを確認しました。ビッシングやスピアフィッシングなどのハイブリッド ソーシャル エンジニアリング手法が詐欺の手口として用いられ、個人や正規の機関になりすました詐欺犯が言葉巧みに相手の心理を操り信頼を得て、情報を引き出します。詐欺犯は CySEC（キプロス証券取引委員会）の調査官になりすまし、Opteck 取引プラットフォームでの不正取引が発覚したために差し押さえた金額を返金すると申し出て被害者を騙し、損害を与えようとしています。

注意すべき理由

特にこの事例については、詐欺グループに紐づいたウォレットにイーサリアムの暗号通貨で数万米ドルが入金されたから成功したと考えられます。ただし、これは脅威環境の広範にわたるトレンドでもあります。攻撃者はデータ漏洩を将来的な脅威や誘い込みに使用するでしょう。データ漏洩を心配するユーザーは、流出に関する情報を掲載しているとするフィッシングメールやおとり文書をクリックする可能性が高いと言えます。もしくは「無料」のアイデンティティ モニタリングを実施できるとするリンクなら、より安心してクリックするかもしれません。

必要な対策

データ侵害の深刻さが詐欺を助長しており、詐欺を働くのに必要な情報を詐欺犯に提供し、個人や組織に多大な経済的損害をもたらし、評判を毀損し、心理的ダメージを与えています。したがって、人々にセキュリティ意識を持たせることは、組織とセキュリティコミュニティの基本的な責任です。一人ひとりがセキュリティ意識を持てば自分自身を保護することができ、組織のセキュリティ対策の後押しにもなります。セキュリティ意識を持つ文化を育むことで、データ侵害や詐欺に関連するリスクを軽減できます。

今週のセキュリティ関連のトップニュース

最近公開された脆弱性に関し、Trend Micro 社の Zero Day Initiative（ZDI）が同社の研究者の功績を Microsoft 社が認めていないと公に指摘。ZDI のセキュリティ研究者は、Microsoft 社に最初に脆弱性を報告したのは 5 月のことで、Microsoft 社による今月のセキュリティ更新プログラムで公開されるまで、報告に対する反応は何もなかったと語っています。ZDI のブログ記事は、協調的脆弱性開示（CVD）に関する賛否や、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）の CVD プログラムに存在する既存の問題について、セキュリティコミュニティにさらなる議論を巻き起こしました。また、脆弱性 CVE-2024-38112 の実際の性質については、まだ不確定な面があります。最初の発見者は「緊急」とみなされるべきリモートコード実行の脆弱性だと言っていますが、Microsoft 社が公開した内容では、CVSS スコアが低く、スプーフィングの脆弱性として特定されていました。Trend Micro 社はブログ記事で、「研究者だけが協調的であるなら CVD は機能しません。これらは Microsoft 社の例ですが、さまざまなベンダーでよく起こっていることであり、その場合に「協調」が意味するのは「問題について把握したことをすべて報告すれば何かが起こるかもしれない」ということでしかありません」と投稿しました。（情報源：Zero Day Initiative、The Register）

あるデータ漏洩事件により、スパイウェア mSpy の開発会社と同社の顧客リストが明らかに。データ流出サイト Have I Been Pwned? によると、未知の攻撃者が数百万件のカスタマーサポートチケットを窃取し、結果として 142GB のデータが流出する事態に至りました。顧客の個人情報、mSpy のサポートチーム宛の電子メール、添付ファイルなどの情報が漏洩しています。mSpy は、ユーザーの子どもや従業員を追跡できる電話機監視アプリケーションだと謳っていますが、たいていのスパイウェアと同様、監視対象者の同意がない状態で使用されるケースがほとんどです。窃取されたデータの中には、顧客とユーザーがサードパーティ製ソフトウェア Zendesk を介して mSpy サポートに送信した電子メールがあります。漏洩した電子メールには、ジャーナリストや、同社に対し召喚状や法的要求を提出しようとしている米国の法執行機関など、デバイスの追跡を望まなかった監視対象者が含まれています。デバイスが mSpy に感染すると、キーストロークの監視、テキストメッセージの確認、ユーザーの位置の追跡が行えるようになるほか、ソーシャルメディアのアカウント情報の収集や、監視対象者が送受信した写真の閲覧も可能になります。（情報源：TechCrunch、PC World）

イランの APT である MuddyWater が、BugSleep という新しいバックドアをマルウェアの攻撃手法に追加。セキュリティ研究者は BugSleep について、攻撃者が従来から使用する正規のリモートモニタリングツールに「部分的に置き換わる」ものだと述べています。MuddyWater は、イランの情報安全保障省（MOIS）とつながっていることで知られています。同グループの最近の攻撃では、イスラエル企業 10 社にフィッシングメールが送信されており、その内容はオンラインクラスやウェビナーに招待するというものでした。BugSleep の一部のバージョンにはカスタムのマルウェアローダーが付属しており、Microsoft Edge、Google Chrome、Microsoft OneDrive などの広く普及しているソフトウェアのアクティブなプロセスにバックドアを仕掛け、検出を回避できるようになっています。Talos は、米国、ヨーロッパ、中東、南アジアに広がる組織に対して過去数年にわたり MuddyWater が展開した複数の攻撃についてレポートしてきました。同グループによる攻撃の主な目的は、機密情報の窃取か、攻撃対象のネットワーク上でのランサムウェア実行のどちらかです。（情報源：The Register、Bleeping Computer）

Talos についての関連情報

• Cisco Talos のレポートにより、ランサムウェアの動向に関する重要なインサイトが明らかに
• Cisco Talos が攻撃チェーンとネットワークランサムウェアの戦術を分析
• よく使用されるランサムウェア TTP を Cisco Talos が公開
• 『Talos Takes』エピソード#190：最も活発な 14 のランサムウェアグループが用いる TTP を調査してわかったこと

Talos が参加予定のイベント

BlackHat USA（8 月 3 日～ 8 日）

ネバダ州ラスベガス

Defcon（8 月 8 日～ 11 日）

ネバダ州ラスベガス

BSides Krakow（9 月 14 日）

クラクフ（ポーランド）

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5： 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Dropper.Generic::1201

SHA 256：161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5： fd743b55d530e0468805de0e83758fe9
一般的なファイル名： KMSAuto Net.exe
偽装名：KMSAuto Net
検出名： W32.File.MalParent

SHA 256：24283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fe
MD5： 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名： nYzVlQyRnQmDcXk
偽装名：なし
検出名：Win.Dropper.Scar::tpd

SHA 256：bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5： 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名： lsgkozfm.bat
偽装名：なし
検出名： Win.Dropper.Scar::tpd

SHA 256：9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5：e4acf0e303e9f1371f029e013f902262
一般的なファイル名： FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名：FileZilla
検出名： W32.Application.27hg.1201

本稿は 2024 年 07 月 18 日にTalos Group のブログに投稿された「It’s best to just assume you’ve been involved in a data breach somehow」の抄訳です。

Authors

TALOS Japan