先週、11 月の米大統領選を前に 6 人の州務長官が米国連邦議会で選挙のセキュリティの現状
について証言しました。
話題に出たのはいつもと同じように、虚偽情報の拡散、外国勢力の影響、選挙日の投票所係員の物理的な保護といった内容でした。
2016 年の大統領選挙後に発覚したさまざまな問題を受けて、こうした議論が続いているのは良いことです。また、選挙のセキュリティは世界的な問題であり、特に今年は多くの国で主要な選挙が行われることもあり、注目が高まっています。
ただし、政治や生活におけるあれこれと同じで、問題となるのはやはり資金です。
選挙のセキュリティの重要性についての議論が有益だとはいえ、州や自治体で必要となるのは、結局のところ資金と人材です。適切な防御策を実施し、投票機からオンラインの票集計システムまであらゆるものを保護し、ソーシャルメディア上の虚偽情報に対抗するには資金と人材が必要なのです。
アリゾナ州の Adrian Fontes 州務長官は議会での演説で、追加資金の助成を求めました。同州では選挙のセキュリティ目標をすべて達成できていなかったからです。
「関連費用はどれも無料ではなく、しかも安くありません」と長官は述べました。「選挙運営、管理、セキュリティは、議会から時折支給されるアメリカ投票支援法(HAVA)の助成金でまかなっています。これはまれに支給される断続的なもので、その金額は決して十分ではありません」。
2017 年の米国の選挙では、国土安全保障省が選挙システムを重要なインフラとみなしたことにより、連邦政府から追加資金が助成されました。しかし今年は、選挙のセキュリティやその他の対策のために連邦政府から州に割り当てられた助成金は、わずか 5,500 万ドルでした。比較で言うと、米大統領候補者と連邦議会議員候補者は、選挙キャンペーンに 140 億ドルかけており、2016 年の 2 倍以上の額になっています。
当時、下院の共和党議員は、2002 年から交付されている HAVA 助成金を完全にゼロにすることを投票で決定しました。
あるロビイストは今年初め、報道機関 Stateline に対し、「多くの州が今後の選挙サイクルで資金不足になることを懸念し、HAVA プログラムから提供される資金を複数年にわたって利用しようとしている」と語りました。
アリゾナ州務長官の副広報部長である JP Martin 氏は同記事の中で、アリゾナ州(ほとんどの大統領選挙において勝敗の鍵を握る重要な州)は連邦政府からの資金不足により採用停止を余儀なくされていると述べています。
選挙のセキュリティを確保するための議論、意識向上、計画は、すべて有益なものです。しかし結局、これらのテクノロジーやソリューション、そしてそれらを提供する人には、すべて費用がかかります。
重要な情報
Cisco Talos の脆弱性調査チームは、ここ数週間で 2 件の脆弱性が公開され、修正されていることを明らかにしました。具体的には、現在利用できる最も一般的な PDF リーダーの 1 つである Adobe Acrobat Reader の Time-of-check Time-of-use(TOCTOU)脆弱性と、Microsoft Windows AllJoyn API の情報漏洩の脆弱性です。
注意すべき理由
AllJoyn は、分散バス上のアプリケーション間でメソッドコールを作成したり、一方向シグナルを送信したりするための DCOM ライクなフレームワークです。主に IoT(モノのインターネット)デバイスで使用され、照明の ON/OFF や空間の温度の読み取りなど、特定のタスクを実行するようデバイスに指示します。TALOS-2024-1980(CVE-2024-38257)は、標的のマシン上の初期化されていないメモリを攻撃者に閲覧される可能性がある脆弱性です。現在利用できる PDF 読み取りソフトの中で最も一般的なものの 1 つである Adobe Acrobat Reader には、Time-of-check Time-of-use(TOCTOU)脆弱性が含まれています。メモリ破損を引き起こす脆弱性であり、最終的には任意のコード実行につながるおそれがあります。
必要な対策
これらの脆弱性のエクスプロイトを検出できる Snort カバレッジについては、Snort.org から最新のルールセットをダウンロードしてください。Talos Intelligence の Web サイトにも、Talos による最新の脆弱性アドバイザリを常時掲載しています。
今週のセキュリティ関連のトップニュース
中東で相次いでいるポケベルや携帯ラジオの爆発について、専門家と政府は今も原因を解明中。火曜日、数百台の機器が同時に爆発し、複数の死者が出ました。この事件は、レバノンの武装組織ヒズボラのメンバーを狙ったもののようです。国際社会では、これは一種のサイバー攻撃なのか、あるいは物理的な何かを意図的にデバイスに仕掛けたものなのか、と疑う声が上がっています。攻撃時に送信されたメッセージはヒズボラの指導者からのメッセージに見えましたが、実際にはこれが爆発の引き金となりました。大半のアナリストは、これはハードウェアのサプライチェーン攻撃であり、ポケベルは製造中または輸送中に何らかの方法で改ざんされたと推測しています。サプライチェーン攻撃は通常、ソフトウェアレベルで実行されます。現時点では攻撃の犯行声明は出ていませんが、ヒズボラは主な敵対国であるイスラエルを非難しています。(情報源:Reuters、BBC)
被害者の情報を盗み出して保存するために、ランサムウェア集団が Microsoft Azure を利用する事例が増加。新たな調査結果によると、BianLian や Rhysida などのグループが Microsoft Azure Storage Explorer や AzCopy を使用して侵入先のネットワークからデータを盗み出し、自分たちが管理するネットワークに転送できるようになるまでデータを Azure Blob ストレージに保存していることが明らかになりました。Azure は人気が高く信頼されているサービスであるため、企業のファイアウォールやセキュリティツールでブロックされる可能性が低く、データ転送が検出されずに通過する可能性が高まります。Azure を使用していて標的となる可能性のある組織では、攻撃者がアクティブなセッションを利用してファイルを盗み出すことを防ぐために、使用後はアプリケーションから毎回ログアウトすることが推奨されます。(情報源:Bleeping Computer、modePUSH)
ランサムウェア攻撃者の主な標的は依然として医療施設や医療機器。この状況を受け、業界リーダーが米国連邦政府に支援拡大を要請。今年、世界中で複数の大規模な医療機関がサイバー攻撃の被害を受け、手術日や診療予約の変更を余儀なくされる事例が多発し、機密性の高い医療記録が危険にさらされました。これまでに被害を受けた医療機関には、Change Healthcare、Kaiser Permanente、Ascension などがあります。ある医療機関の幹部は NPR(米国公共ラジオ放送)に対し、Change Healthcare が受けた攻撃の財務上の影響(保険会社からの支払いが数か月間停止)を現在も試算中であると語りました。7 月に実施したサービスに対する支払いが、今ようやく行われているところです。米上院財政委員会委員長の Ron Wyden 上院議員は先ごろ、現行のシステムは「きわめて不十分であり、犯罪者や外国政府のハッカーに対して医療システムが脆弱な状態になっている」として、保健福祉省(HHS)にサイバーセキュリティに対する現在のアプローチを改めるよう正式に呼びかけました。HHS は従来、地震や暴風雨、停電などの物理的な災害に重点を置いており、サイバー空間にはあまり対策をしてこなかったと指摘する専門家もいます。(情報源:NPR、Security Intelligence)
Talos についての関連情報
- ロシアの警告にもかかわらず、欧米の重要インフラは依然として対策不足
- サイバーセキュリティをめぐる、いたちごっこのような攻防
- DragonRank、SEO ランキングを操作して悪意のあるサイトへユーザーを誘導
Talos が参加予定のイベント
VB2024(10 月 2 日~ 4 日)
ダブリン(アイルランド)
MITRE ATT&CKcon 5.0(10 月 22 日~ 23 日)
バージニア州マクリーン(オンラインあり)
Nicole Hoffman と James Nutland が Akira ランサムウェアの簡単な歴史と、Linux ランサムウェアの状況についての概要を紹介します。その後、ATT&CK フレームワークを使って最新の Linux 亜種を技術的に深く掘り下げ、その手法、戦術、手順を明らかにします。
misecCON(11 月 22 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が DFIR(デジタルフォレンジックとインシデント対応)の核心に迫ります。DFIR ではデジタルフォレンジックが捜査活動、インシデント対応が消火活動に相当します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:b9ddbd1a4cec61e6b022a275d66312b5b676f9a0a9537a7708de9aa8ce34de59
MD5: 3b100bdcd61bb1da816cd7eaf9ef13ba
一般的なファイル名: vt-upload-C6In1
偽装名:なし
検出名: Backdoor:KillAV-tpd
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
一般的なファイル名: VID001.exe
偽装名:なし
検出名:RF.Talos.80
SHA 256:70ff63cd695033f624a456a5c8511ce8312cffd8ac40492ffe5dc7ae18548668
MD5: 49d35332a1c6fefae1d31a581a66ab46
一般的なファイル名:49d35332a1c6fefae1d31a581a66ab46.virus
偽装名:なし
検出名: W32.Auto:70ff63.in03.Talos
SHA 256:3a2ea65faefdc64d83dd4c06ef617d6ac683f781c093008c8996277732d9bd66
MD5: 8b84d61bf3ffec822e2daf4a3665308c
一般的なファイル名: RemComSvc.exe
偽装名:なし
検出名:W32.3A2EA65FAE-95.SBX.TG
SHA 256:35dcf857f0bb2ea75bf4582b67a2a72d7e21d96562b4c8a61b5d598bd2327c2c
MD5: fab8aabfdabe44c9a1ffa779fda207db
一般的なファイル名:ACenter.exe
偽装名:Aranda AGENT
検出名: Win.Trojan.Generic::tg.talos
本稿は 2024 年 09 月 19 日にTalos Group
Authors