Cisco Japan Blog / 脅威リサーチ / 米国民すべてのソーシャルセキュリティ番号が盗まれたわけではないので、冷静な対処を

先週、米国民のソーシャルセキュリティ番号がすべて盗まれた、あるいは攻撃者によって閲覧された可能性があるという話が、報道記事やソーシャルメディアの投稿や動画で大量に拡散される事態となりました。私としては、心底残念に思っています。

この話の元となったのは、8 月 1 日に National Public Data 社というデータブローカーに対して起こされた集団訴訟です。訴えの内容は、同社が米国民のソーシャルセキュリティ番号を安全に保管していなかったというものです。USDoD という攻撃者が 4 月に、米国、カナダ、英国のあらゆる人の情報を含むデータベースにアクセスしたと主張していました。

今回の訴訟では、National Public Data 社が受けた侵害により、すべてのソーシャルセキュリティ番号を含む個人記録が（明らかに現時点の米国人口を上回る数である）30 億件以上漏洩したとしています。これが本当なら恐ろしい話です。そして多くの人がこの話を事実として受け止め、あなたのソーシャルセキュリティ番号も間違いなく漏洩しているから今すぐ対処する必要があるという警告を発するに至りました。

ただし、この訴訟の訴えについては、まだ確証がありません。情報漏洩は一切なかったとか、公的記録は「一部たりとも」盗まれたりアクセスされたりしなかったなどと言うつもりはありません。ただ、文字通りすべてのソーシャルセキュリティ番号が漏洩したわけではないことは、ほぼ間違いないはずです。

そこで、私は手始めに、セキュリティ企業 Pentester 社のツールを利用しました。自分のソーシャルセキュリティ番号や生年月日などの機密情報が National Public Data 社から漏洩した情報に含まれているかどうかを検索できます。近親者、両親、義理の両親の全員について検索してみましたが、一切見つかりませんでした。何らかの理由で私の家族だけが情報漏洩を免れたということもあり得なくはありませんが、可能性は低いでしょう。

TechCrunch の記者も、盗まれたとされるデータを確認し、正規の情報も一部含まれるものの、多くは不完全または不正確な情報だと判断していました。

ハッキングや侵害の程度を誇張して世間の関心を引き、あわよくばデータの買取や身代金の支払いに持ち込もうとする攻撃者は珍しくありません。だからこそ、すべての米国民が今回の情報漏洩の被害を受けたと多くの人がこぞって主張することになった今回の事態に、私としては歯噛みする思いです。

個人情報の保護を強化するために講じることのできる対策はいくらでもあります。ですから、全員が絶対に安全だとは思ってほしくありませんし、普段通りにしていればよいということでもありません。先ほど挙げたリンク先のツールを使い、自分の情報が National Public Data 社の情報漏洩によって影響を受けた可能性があることがわかった方は、クレジットの凍結や銀行口座の厳重監視を行うようおすすめします。

しかし、すべての米国民がソーシャルセキュリティ番号を盗まれたと主張する LinkedIn の投稿やバイラル動画は、不安を煽ることにしかなりません。これでは、攻撃者の術中にまんまとはまってしまいます。不安が広がれば、アイデンティティ保護に関する詐欺のメッセージを送ったり、盗まれたとされるデータに関する新情報を提供したりといった、今回の情報漏洩を利用しようとする別の詐欺に引っかかりやすくなります。

重要な情報

Cisco Talos は、「MoonPeak」という新たなリモートアクセス型トロイの木馬（RAT）ファミリを発見しました。XenoRAT ベースのマルウェアであり、Talos が「UAT-5394」と呼んでいる北朝鮮の攻撃者グループによって積極的に開発が進められています。攻撃で使用されたインフラストラクチャを分析したところ、UAT-5394 のインフラストラクチャとのさらなる関連性と、攻撃者の新たな戦術、手法、手順（TTP）が明らかになりました。一連の活動は、北朝鮮政府の支援を受けている APT グループ「Kimsuky」と TTP やインフラストラクチャのパターンが一部共通していますが、この攻撃を同グループと関連付ける実質的な技術的証拠はありません。

注意すべき理由

UAT-5394 の実態については 2 つの可能性があります。1 つは、実際は Kimsuky（または Kimsuky のサブグループ）であり、QuasarRAT を MoonPeak に置き換えているというものです（Talos は UAT-5394 が最終的に XenoRAT と MoonPeak を使用するようになる前に、QuasarRAT C2 サーバーを積極的に設置し、運用していたことを確認しています）。もう 1 つは、UAT-5394 は北朝鮮の APT 組織内の Kimsuky とは別のグループであり、Kimsuky から TTP とインフラストラクチャ パターンを借用しているというものです。北朝鮮に関係していると見られる攻撃者グループは、国家のために金銭や知的財産、データを絶えず狙っているため、常に監視すべきです。国家の支援を受けている攻撃グループ同士の連携の仕方に関する新たな動向は、防御側にとってもユーザーにとっても重要です。

必要な対策

Talos は、今週公開された新たなマルウェアを検出する新しい Snort ルールセットをリリースしました。MoonPeak の事例のように、新しいマルウェアを一貫して使用していること、およびその進化の様子を時系列的に見てみると、UAT-5394 がより多くのツールを自分たちの戦力に追加し、強化し続けていることがわかります。また、UAT-5394 が新たなサポート インフラストラクチャを急速に構築していることは、同グループがこの攻撃を急速に拡散させ、より多くのドロップポイントと C2 サーバーの設置を目指していることを示しています。同グループの活動については、引き続き監視して読者の皆様にご報告します。

今週のセキュリティ関連のトップニュース

Microsoft 社が今月初めにパッチをリリースしたゼロデイ脆弱性を、北朝鮮の支援を受けた攻撃者がエクスプロイト。セキュリティ研究者によると、北朝鮮の APT グループの中でも最も活発に活動している有名な Lazarus Group に関係のある攻撃者が、CVE-2024-38193 を積極的にエクスプロイトしていました。これは解放済みメモリ使用 （use-after-free）の脆弱性であり、本質的に Winsock API 用のカーネルエントリポイントのバイナリファイルである AFD.sys に存在します。攻撃者は、この脆弱性をエクスプロイトした後、2022 年に発見された FudModule マルウェアをインストールしました。FudModule は、検出を逃れる新たな方法を編み出したことで、他のマルウェアよりもステルス性が高くなっています。Microsoft 社は今月初め、定例のセキュリティ更新プログラムの一環として CVE-2024-38193 を公開し、パッチをリリースしました。この時点でゼロデイ脆弱性に分類されたということは、パッチがリリースされる前にエクスプロイトされたことがあるということです。これは、今月のセキュリティ更新プログラムに含まれていた 6 件のゼロデイ脆弱性のうちの 1 件です。エクスプロイトされると、Windows へのほぼ完全なアクセス権を攻撃者に取得され、大抵の場合、信頼されないコードを実行される危険性があります（Ars Technica、PC World）。

米大統領選の主要陣営双方を標的とした最近のサイバー攻撃の背後にはイランが存在すると、FBI をはじめとする米国連邦政府機関が公式に発言。公式声明で、イラン政府の支援を受けた攻撃者が「不和を煽り、民主主義制度に対する信頼を損なおうとしている」と警告しています。攻撃者は、ドナルド・トランプ前大統領陣営のスタッフのメールアカウントを侵害し、情報を漏洩させることに成功しました。なお、多くの主要報道機関は、情報の入手方法を理由に、漏洩した情報に関する報道を一切公開していません。米情報当局者はこの声明の中で、「[某情報機関] は、イラン人がソーシャルエンジニアリングなどの手口を使って、大統領選挙の両政党陣営に直接アクセスできる個人へのアクセスを試みたと確信している」と述べています。また、民主党と共和党の両陣営とも、この攻撃に関連があると見られるスピアフィッシングメールが届いたことを発表しています（Associated Press、BBC）。

2017 年以降の Google Pixel デバイスのほぼすべてに、休眠アプリのエクスプロイトが可能になる脆弱性が存在。セキュリティ研究者は先週、Showcase.apk に存在する脆弱性を公表しました。このソフトウェアパッケージは、デバイスで Verizon の店頭デモを行えるようにするもので、すべての Pixel スマートフォンにインストールされています。正確な脆弱性の種類に関する詳細はまだ明らかになっていません。ただ、iVerify 社のレポートによると、このソフトウェアの動作方式は Android オペレーティングシステムの動作を根本的に変えるものであり、Pixel デバイスが中間者攻撃やスパイウェアのインストールの被害を受けやすくなるということです。Google 社はその後、当該ソフトウェアパッケージはすでに使用されていないことから、すべてのデバイスから削除しました。同社は Recorded Future 社の取材に対し、当該ソフトウェアがエクスプロイトされたことを示す情報は一切確認されていないと語っています。また、仮にエクスプロイトするならば、デバイスに物理的にアクセスできる必要があり、ユーザーのデバイスパスコードを知っていなければならないと述べました。このアプリは、Google 社が今週発表した最新機種「Pixel 9」には搭載されていません（Wired、The Record）。

Talos についての関連情報

• macOS 向け Microsoft アプリケーションに潜む複数の脆弱性により権限が奪取される仕組み
• 『Talos Takes』エピソード#194：Talos VP の Matt Watchinski とのサシでの対談
• 北朝鮮の攻撃グループが使用するマルウェア MoonPeak により、攻撃者のインフラストラクチャに関する新たな詳細が明らかに
• Microsoft 社の macOS 向けアプリケーションに、知らぬ間に権限を乗っ取られる可能性のあるバグが残存
• Microsoft 社の macOS 向けアプリケーションに、潜在的リスクがあるにもかかわらずパッチ未適用の欠陥が複数存在
• Microsoft 社の複数の macOS 向けアプリケーションに、ライブラリインジェクション攻撃の脆弱性が存在

Talos が参加予定のイベント

BSides Krakow（9 月 14 日）

クラクフ（ポーランド）

LABScon（9 月 18 日～ 21 日）

アリゾナ州スコッツデール

VB2024（10 月 2 日～ 4 日）

ダブリン（アイルランド）

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：70ff63cd695033f624a456a5c8511ce8312cffd8ac40492ffe5dc7ae18548668
MD5： 49d35332a1c6fefae1d31a581a66ab46
一般的なファイル名： 49d35332a1c6fefae1d31a581a66ab46.virus
偽装名：なし
検出名： W32.Auto:70ff63.in03.Talos

SHA 256：db697b450d015ee948bb50d895acca3e27058b6d546d93212791b9f5ff31c0a3
MD5： 391b3770ab60f9e535fbf3db70c89b04
一般的なファイル名： vt-upload-o0OJb
偽装名：なし
検出名： W32.Auto.db697b.181952.in01

SHA 256：a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0
MD5： b4440eea7367c3fb04a89225df4022a6
一般的なファイル名： Pdfixers.exe
偽装名：Pdfixers
検出名： W32.Superfluss:PUPgenPUP.27gq.1201

SHA 256：c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5： 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Dropper.Generic::1201

SHA 256：161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5： fd743b55d530e0468805de0e83758fe9
一般的なファイル名： KMSAuto Net.exe
偽装名：KMSAuto Net
検出名： W32.File.MalParent

本稿は 2024 年 08 月 22 日にTalos Group のブログに投稿された「No, not every Social Security number in the U.S. was stolen」の抄訳です。

Authors

TALOS Japan