お約束したように、今週は Black Hat と DEF CON で盛り上がりを見せた話題をいくつか振り返ります。
これもお伝えしていたとおり、Hacker Summer Camp の期間中、ラスベガスでは AI が話題になりました(私は現地にはいませんでしたが、少なくともニュースや記事などで見聞きしたところではそうだったようです)。
両カンファレンスのいくつかの展示や講演で紹介されていたのは、ディープフェイク動画を作成するのがいかに簡単で、フェイクニュースや偽情報の拡散に使用される可能性があるかということです。ある 2 人のセキュリティ研究者は、自分たちのディープフェイク動画を作成し、ビデオ通話に映っているのは本人たちだと相手に見事に信じ込ませていました。
展示フロアでは、米国防総省高等研究計画局(DARPA)の協力で、ディープフェイク動画を作成してみることもできました。ひときわ目立っていたのは、英国王室の一員であったメーガン・マークル氏のフェイク動画です。レポーターの顔がマークル氏の顔と入れ替えられており、同氏とほぼそっくりの声で何でも好きなことを話せるようになっていました。
今のところは幸いにも、この種のディープフェイクは、ツールで検出することも人間が見分けることも非常に簡単です。
たとえば Adobe 社の Content Authenticity Initiative では、元々人間が作成したものであることを示すラベルを画像に付ける取り組みを行っています。画像をクリックすると詳細情報が表示され、画像の来歴や、どこでどのように作成されたのかを確認できます。
そしてメーガン・マークル氏のディープフェイク動画の場合は、DEF CON の AI Village に展示されていた SemaFor ツールが、その評価システムを使って画像を偽物として適切に検出しました(ディープフェイク動画の作成者が「動画クリエーター」が眼鏡をかけている事実を考慮できなかったせいで検出されやすくなりました)。
また、セキュリティ研究者は、DEF CON と Black Hat の場を利用して、AI ツールや AI ソフトウェアの増加に伴う潜在的なセキュリティの落とし穴がどこに存在するかを指摘しました。
ある講演の焦点は、Microsoft 社の AI Copilot が、個人情報の漏洩によって本質的に「自動フィッシングマシン」になってしまう可能性があることでした。学習済み言語モデル(LLM)に過度に頼って書かれたソフトウェアコードには脆弱性やエラーが含まれることが多いと警鐘を鳴らす研究者もいました。
DEF CON の Voting Village では、セキュリティ研究者がいつものように脆弱性を多数発見しました。これらの脆弱性が、2024 年の米大統領選でおそらく使用される一般的な投票機やその他のハードウェアに対して悪用される可能性があります。発見された具体的な脆弱性の詳細は不明ですが、Voting Village の共催者である Harri Hursti 氏が Politico 誌に語ったところによると、脆弱性のリストは「複数ページ」に及ぶとのことです。
この調査結果やバグ探索の記事を読んでいると、問題がいくつかあることがわかります。その 1 つは、11 月の選挙前に多くの脆弱性やバグを修正するには時間が足りないことです。あまりにも多くのさまざまな機器やメーカーがあり、すべてのデバイスを厳密に検査することは不可能です。これについては後で詳しく書かなければならないと感じていますが、私が興味深く思うのは、携帯電話については、国民全体が基本的に 2 つのメーカー(Apple 社と Google 社)から購入すると決めているのに、選挙で使用するデバイスについては、種類や年式、ベンダーに標準がないこと、そして、使用されていないときは、ただ倉庫に眠っているだけだということです。
重要な情報
今月の Microsoft セキュリティ更新プログラムには、Office、Visual Studio、Azure、CoPilot、Teams などのセキュリティ脆弱性が含まれています。Microsoft 社が定期的なパッチ適用の中で公開した 6 件のゼロデイ脆弱性のうち、半数はローカルでの特権昇格の脆弱性です。つまり、攻撃者が他の欠陥と組み合わせ、より深刻な攻撃を加えることや、より高レベルの権限で攻撃することが可能になります。Cisco Talos の脆弱性調査チームは、Microsoft 社が今週パッチを当てた脆弱性のうち、CVE-2024-38184、CVE-2024-38185、CVE-2024-38186、CVE-2024-38187 の 4 件を発見しました。これらは、攻撃者によるシステムレベルの権限取得につながりかねない Microsoft Windows カーネルモードドライバの特権昇格の脆弱性です。Talos の研究者は、CLIPSP.SYS に存在する 8 件の脆弱性も発見しました。CLIPSP.SYS は、Windows 10 および 11 でクライアント ライセンス システム ポリシーの実装に使用されるドライバです。
注意すべき理由
Talos は、TALOS-2024-1971(CVE-2024-38062)、TALOS-2024-1970(CVE-2024-38062)、TALOS-2024-1969(CVE-2024-38187)の 3 件の脆弱性を発見しました。これらの脆弱性は、攻撃者が細工されたライセンス BLOB を標的のシステムに送信することでエクスプロイトされ、サービス拒否につながるおそれがあります。TALOS-2024-1964(CVE-2024-38184)も同様の方法でエクスプロイトされますが、攻撃者が通常は行われるセキュリティチェックを回避し、ライセンスが改ざんされるおそれがあります。ライセンスの改ざんによって、攻撃者はライセンスの有効期限といったプロパティを変更できるようになります。さらに、新しいライセンスを作成して、それを Windows ストアからダウンロードした他のアプリケーションで使用する可能性があります。他の 2 件の境界外書き込みの脆弱性、TALOS-2024-1966(CVE-2024-38186)、TALOS-2024-1988(CVE-2024-38062)は、特権昇格につながるおそれがあります。どちらのケースも、脆弱性のある関数がサンドボックスエスケープ攻撃に利用される可能性があります。
また Microsoft 社は、すでに実際に悪用され、公開されているゼロデイ脆弱性に対するパッチも提供しました。同社は先週、CVE-2024-38200 が原因で攻撃者に機密情報が不正に開示されかねないと警告していました。
必要な対策
Talos は、火曜日に公開された脆弱性に対するエクスプロイト試行を検出する新しい Snort ルールセットをリリースしました。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63858 ~ 63861 と 63864 ~ 63878 です。Snort 3 ルール 300980 ~ 300988 もあります。また、Talos の『脆弱性のまとめ』にも、CLIPSP.SYS の 8 件の脆弱性に関する技術的な詳細を掲載しています。
今週のセキュリティ関連のトップニュース
セキュアなメッセージアプリの Signal がベネズエラとロシアでブロックされ、両国の活動家や抗議行動への参加者に広く使われている通信チャンネルが制限される事態に。ロシアでは、政府関係者が同アプリは国の個人情報保護法に違反していると述べ、ベネズエラでは、争点となっている大統領選挙の結果を巡る抗議デモが数週間続いた後にアプリがブロックされました。Signal は、メッセージを暗号化したいユーザーや政府の検閲を回避したいユーザーに広く使用されています。同アプリの運営者は、アプリの「検閲回避」設定をオンにするか、VPN を使用して新しいアカウントを作成すればブロックを回避できるとユーザーに説明しました。ベネズエラの与党は、X/Twitter へのアクセスも 10 日間制限するように命じました。また、ロシアでは YouTube の障害も広範囲で発生しましたが、「当社側の技術的な問題や当社が取った措置の結果ではない」と YouTube は述べています。(The Verge、Engadget)
ランサムウェアグループ Radar(別名 Dispossessor)に関連する数十台のサーバーと主要なリークサイトを FBI が閉鎖。Radar は当初、LockBit ランサムウェア攻撃者が盗んだデータを取得してダーク Web フォーラムで販売する攻撃者として知られていましたが、やがて独立したランサムウェアグループになりました。FBI は、摘発について発表した週末のプレスリリースで、Radar が特に重点を置いていたのは、生産、教育、医療、金融サービスおよび運輸部門の中小企業や組織だったと述べました。米国、英国、アルゼンチン、オーストラリア、ブラジル、カナダ、ポーランド、ドイツなどで 43 件の被害が確認されています。同グループのインフラストラクチャには、米国の 3 台のサーバー、英国の 3 台のサーバー、ドイツの 18 台のサーバー、米国を拠点とする 8 つのドメインがあり、これらはすべて差し押さえられ、摘発時には FBI による摘発メッセージが表示されました。(Dark Reading、Inc. )
米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)長官が Black Hat のカンファレンスで「セキュリティバイデザイン」プラクティスの採用をソフトウェア開発企業に要請。世界最大規模のサイバーセキュリティ カンファレンスの基調講演に登壇したジェン・イースタリー長官は、「私たちが抱えているのはサイバーセキュリティの問題ではなく、ソフトウェアの品質問題です」と述べました。多くのテクノロジー企業が CISA のセキュリティバイデザイン基準を自主的に採用し、すべての新しいハードウェア製品とソフトウェア製品の設計プロセスにサイバーセキュリティと脆弱性のレビューを確実に組み込んでいる、と長官は指摘しました。「サイバーセキュリティ業界は、別のベンダー、つまりテクノロジー企業とソフトウェア開発企業が生み出した問題を解決するために生まれました。数十年もの間、テクノロジーベンダーは安全ではないソフトウェアを作ることが許されてきました」と発言しています。長官はまた、自身が言うところの「責任制度」の確立も議会に求めました。これは、安全でない製品を設計する企業に責任を取らせ、サイバーセキュリティ基準を順守する企業を支援するものです。(Inside AI Policy、CyberScoop)
Talos についての関連情報
- Talos のオープンソースツールとオープンソースコミュニティの重要性の再確認
- 攻撃や標的など、脅威環境の現在の動向
- 人工知能によってサイバーセキュリティが変化していることを踏まえ、シスコの Martin Lee が IT 管理者に一言だけアドバイス:想定外を予測せよ
- シスコ、全 Splunk ユーザーを対象に、Talos 脅威インテリジェンスを統合
Talos が参加予定のイベント
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
LABScon(9 月 18 日~ 21 日)
アリゾナ州スコッツデール
VB2024(10 月 2 日~ 4 日)
ダブリン(アイルランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
SHA 256:161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5: fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: W32.File.MalParent
SHA 256:24283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fe
MD5: 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名:Win.Dropper.Scar::tpd
SHA 256:bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5: 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2024 年 08 月 15 日にTalos Group のブログに投稿された「AI, election security headline discussions at Black Hat and DEF CON」の抄訳です。