AI は「暗号通貨」や「ブロックチェーン」に取って代わり、誰もが聞きたがるサイバーセキュリティのバズワードになりました。
暗号通貨の採掘者や、ブロックチェーンのセキュリティリスクと約束がニュースの見出しを飾ったり、『サタデーナイトライブ』で NFT(非代替性トークン)が取り上げられたりする
ことはそれほど多くはありません。
3 月に公開されたレポートによると、2020 年以降、暗号通貨プロジェクトの 72% が終了しており、その多くは暗号通貨取引プラットフォームを提供する FTX の経営破綻によって一挙に消滅しました。これに伴い、暗号通貨のマイニングマルウェアが実際に展開される事例も減少しています。暗号通貨の価値がそれほど高くないのであれば、詐欺犯にとって投資対効果はほとんどありません。
それでもなお、暗号通貨やブロックチェーンの領域を利用した別種の詐欺が行われており、最近のいくつかのインシデントでは、消費者が何百万ドルもの損害を被ったことが明らかになりました。
多くの詐欺犯が、主要な暗号通貨を狙う代わりに「ミームコイン」を開発しています。ミームコインとは、通常は特定のインターネットミームやキャラクターをテーマにした暗号通貨であり、手っ取り早く誇大宣伝を生み出すことを狙ったものです。最も有名な例である Dogecoin は「Doge」というミームをテーマにしており、水曜日の時点で、その価値がピーク時から 72% 下落しています。
一時期、Dogecoin には少なくとも何かしらの価値がありました。何かしらと言っても、最近売り出された他のミームコインのほとんどとは比べ物にならないほどの価値です。暗号通貨のニュースサイト CoinTelegraph によると、ミームをテーマにして新しく売り出された暗号通貨の 6 分の 1 は明白な詐欺であり、ユーザーに現実世界のお金を使って暗号通貨に投資させた後、開発者が資金を持ち逃げすることが詐欺の主な目的です。
また、同社が調査したミームコインの 90% には、ユーザーを悪用や盗難の危険にさらす可能性のあるセキュリティ上の脆弱性が少なくとも 1 件含まれていました。
歌手の Jason Derulo でさえ、Solana ブロックチェーン プラットフォーム上の自身の「JASON」ミームコインについて詐欺疑惑に直面しています。このコインは、6 月 23 日に 500 万ドルの時価総額を記録した後、その日のうちに価値がほぼすぐに下落しています。これとは別に、ラッパーの 50 Cent の Twitter アカウントが何者かにハッキングされ、「$GUINT」というミームコインの宣伝に利用されました。アカウントを取り戻した 50 Cent が語ったところによると、詐欺犯は 30 分で 300 万ドルを稼ぎ出しています。消費者はそれが正当なものだと思いミームコインに資金を投入しましたが、その後、コインの開発者がすぐに資金を持ち逃げし、ユーザーは資金にアクセスできなくなりました。
この領域でいまだに広くはびこっているもう 1 つの詐欺が「ラグプル」といわれるものです。暗号通貨や NFT の開発者が、投資家の資金を集めるために新しいプロジェクトの誇大宣伝を開始し、数日から数週間後にそのプロジェクトを完全に閉鎖して投資家の資産を持ち去ります。
Web3 のセキュリティ会社 Blockfence 社は、このような詐欺犯の集団を今年初めに発見しました。同集団が複数のラグプル詐欺を行って、42,000 人以上から 3,200 万ドル相当を盗んだと報告しています。管理されていないソーシャルメディア プラットフォームでは、この種の詐欺を働くためにプラットフォームの悪用が多発しています。多くのフォロワーを持つ半匿名のユーザーなら、自分の最新の「プロジェクト」が何であれ、短時間でかなり簡単に大勢の関心を集めることができるからです。
最後に紹介する事例が詐欺かどうかはまだわかりません。最近、『Banana』という新しいビデオゲームが Steam オンラインストアで爆発的な人気を博しました。かろうじてビデオゲームと言えるような作品です。ユーザーが一定の間隔でゲームを開いてボタンをクリックすると Steam アカウントに「バナナ」が届きます。このバナナは、たいていは別々のアーティストが描いた果物の画像です。中には非常に希少なものがあり、Steam の内部マーケットプレイスで再販売して現実世界のお金に換金できます。
1,000 ドル以上で取引されているバナナもありますが、普通のものは数セントの価値しかありません。私には、これは NFT のように見えるし、その匂いがします。過去に暗号通貨詐欺に関与したことのある人物がかつてこのプロジェクトに関係しており、その後ゲーム開発者と袂を分かっています。
私には確かめるすべがありませんが、このゲームの開発者たちが不正な操作を行い、自分たち自身または親しい友人だけに希少性の高いアイテムのコピーを渡せるようにする安全な方法はなさそうです。また、『Banana』は無料でダウンロードして「プレイ」できるため、開発者の最終目的が何なのかが私にはよくわかりません。
ありがたいことに、親戚から NFT や「暗号」について以前ほど多くの質問を受けることはなくなりました。ただ、多くの人の意識から消えたからといって、詐欺犯がこの領域を忘れたわけではありません。
重要な情報
Cisco Talos はこのほど、新たに発見された攻撃者 SneakyChef による、SugarGh0st マルウェアを使用した攻撃活動が続いていることを確認しました。SneakyChef は政府機関の文書をスキャンしたものをおとりとして使用しており、そのほとんどが各国の外務省や大使館と関連しています。Talos は最近、SneakyChef が、EMEA とアジアの国々の政府機関を標的に SugarGh0st マルウェアを送り込む攻撃を続けていると明らかにしましたが、さらに「SpiceRAT」という新たなマルウェアも、同じ攻撃で配信していることがわかりました。
注意すべき理由
SneakyChef はすでに東半球の十数の政府省庁を攻撃しています。攻撃者が使用しているおとり文書を Talos は発見しました。内容を確認したところ、アンゴラ、インド、カザフスタン、ラトビア、トルクメニスタンの外務省や、在アブダビ サウジアラビア大使館などが標的になっている可能性があります。数年前に Talos が SugarGh0st の存在を初めて公開して以来、攻撃者は同じ TTP と C2 を使用してほぼ同じ手法で活動を続けており、あまり動じていないようです。
必要な対策
Talos で確認した限り、おとりの元になった文書が実際に使用されている様子はありません。おそらくは、スパイ活動によって盗まれ、わずかに修正されたものです。これが原因でおとり文書やスパムメールを見つけることが一層難しくなっている可能性があるため、メッセージを不審に思ったら、送信者の電子メールアドレスに細心の注意を払う必要があります。SneakyChef の攻撃活動や SpiceRAT マルウェアを検出しブロックできる OSQuery、Snort ルール、ClamAV のシグネチャも Talos は公開しています。
今週のセキュリティ関連のトップニュース
サイバー攻撃を受け全米各地の自動車ディーラーで通信と販売が停止、今月末まで復旧の見込みはたたず。この攻撃で被害を受けた CDK Global 社は、月末の財務諸表作成に代替手段を用意するよう顧客に伝えたと報じられています。自動車ディーラーは販売、財務情報の処理、車両の保証やリコールの調査に CDK のソフトウェアを使用しています。この障害は、米国におけるアウディのディーラーの 60% 以上、フォルクスワーゲンのディーラーの約半数に影響を及ぼしており、各ディーラーでは紙とペンによる取引や契約に切り替えるか、販売を完全に停止することを余儀なくされています。影響を受けたディーラーのあるセールスマネージャーはこの障害の財務的影響について「修正するには数年とは言わないまでも、数か月はかかる」だろうと CNN に語りました。CDK は先週、連続した 2 件のサイバー攻撃を初めて公表しました。いずれも 6 月 19 日に発生しています。CDK に対する集団訴訟がすでに 2 件起きており、原告側は、今回の侵害によって顧客や従業員の氏名、住所、ソーシャルセキュリティ番号、財務情報などが流出した可能性があると主張しています。(情報源:Reuters、CNN)
クラウドストレージ プロバイダー Snowflake 社で発生したデータ流出による被害がいまなお増加。オーストラリアのチケット販売プラットフォームを運営する Tiketek 社は今週、データ流出の可能性があることを顧客に通知しましたが、Snowflake 社との関連はすぐには明らかにしませんでした。小売業の Advance Auto Parts 社も今週、ソーシャルセキュリティ番号など政府発行の身分証明書の情報を含め、従業員や申請者のデータが今回の流出で盗まれたと発表しました。衣料品チェーンの Neiman Marcus 社も、Snowflake の情報流出により 64,000 人以上の個人情報がアクセスされた可能性があることを開示する書類をメイン州とバーモント州の規制当局に提出しました。氏名、連絡先、生年月日、ギフトカード番号などの情報が流出した可能性があります。Mandiant 社のセキュリティ研究者は当初、Snowflake 社の 165 もの顧客が影響を受けた可能性があると推定しました。Snowflake 社は今回の情報漏洩について、「Snowflake のプラットフォームの脆弱性、設定不備、侵害」によるものではないことが内部調査で明らかになったと発表しています。(情報源:The Register、The Record by Recorded Future)
ファイル転送ソフトウェア MOVEit のもう 1 つの脆弱性公開からわずか数時間後、攻撃者がすぐに悪用を開始。この深刻度の高い脆弱性(CVE-2024-5806)によって、攻撃者が同ファイル転送プラットフォームで、付随する権限を持つ有効なユーザーとして認証できるようになる可能性があります。これは MOVEit の SFTP モジュールに不適切な認証の問題があることに起因する脆弱性であり、ソフトウェア開発元である Progress 社は、「限定的なシナリオで認証バイパスにつながる可能性がある」と述べています。MOVEit の別の脆弱性は、Clop ランサムウェアによる相次ぐ攻撃の標的となりました。一連の攻撃の影響で、メイン州、カリフォルニア大学ロサンゼルス校、英国航空など、最終的に 160 以上の組織や企業が被害を受けました。MOVEit のようなマネージドファイル転送ソフトウェア(MFT)には大量の機密情報が含まれているので、攻撃者がよく標的にします。攻撃者は機密情報を盗み出して、被害者を恐喝するために使用します。The Shadowserver Foundation は火曜日、CVE-2024-5806 の詳細が明らかになった直後からエクスプロイト試行が確認されるようになったと Twitter に投稿しました。(情報源:Dark Reading、SecurityWeek)
Talos が発信している情報
- Cisco Talos:攻撃者が MFA を攻撃する方法
- 主要な攻撃で MFA が果たす役割が高まっていることが調査で判明
- Cisco Talos が新しいトロイの木馬 SpiceRAT への注意を呼びかけ
- 水と電気がハッキング、これは神話かそれとも現実か
- TP-Link Omada システムに複数の脆弱性、ルートアクセスが取得される可能性も
- 『Talos Takes』エピソード#188:2024 年のサービス拒否攻撃について Talos が知っているすべて
Talos が参加予定のイベント
BlackHat USA(8 月 3 日~ 8 日)
ネバダ州ラスベガス
Defcon(8 月 8 日~ 11 日)
ネバダ州ラスベガス
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5:e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0
MD5: b4440eea7367c3fb04a89225df4022a6
一般的なファイル名: Pdfixers.exe
偽装名:Pdfixers
検出名: W32.Superfluss:PUPgenPUP.27gq.1201
SHA 256:484c74d529eb1551fc2ddfe3c821a7a87113ce927cf22d79241030c2b4a4aa74
MD5: dc30cfd21bbb742c10e3621d5b506780
一般的なファイル名: KMS-R@1nHook.exe
偽装名:なし
検出名: W32.File.MalParent
SHA 256:9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5: e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201
本稿は 2024 年 06 月 27 日にTalos Group
Authors