優れた考察のほとんどは日常的なことがきっかけとなりますが、私が最近セキュリティについてじっくり考えることになったきっかけも、ゲーム『ファンタジーフットボール』でした。
Yahoo Sports アカウントにログインする必要があったのですが、正直なところ、このアカウントには年に最大 3 回くらいしかログインしていません。毎年、このプラットフォームで『ファンタジーフットボール』のドラフトを行うので、そのときに 1 回ログインします。5 か月間は毎週出場選手を調整しているのですが、ときどきスマホが自動的にログアウトしてしまうので、数回ログインし直すというわけです。
正直、私は自分の Yahoo Sports アカウントのセキュリティについて深く考えたことがありませんでした。このアカウントには機密情報が一切紐づけされていませんし、万一誰かが侵入したとしても、その人のほうがおそらく過去数年間の私よりも、リーグで上手にチームを運営できると思うからです。「見えないものは忘れられていく」と昔から言われているように、普段はこのアカウントのセキュリティのことを忘れています。毎朝ログインする仕事用の電子メールアカウントや、週に何度も使用するインターネットバンキングとは話が違うのです。これらのアカウントのログイン情報は、自分の経済的な幸福感と結びついているという認識を持っています。
そうは言っても、私のアカウントの安全性が低いことに Yahoo が対処してくれたことには感謝しています。今週末、おそらく今年の 1 月以来初めてログインした際、ホームページが表示される前か、『ファンタジーフットボール』のドラフトを始めようとしたときに、アカウント管理ページに画面が切り替わりました。そこでは、私が「安全性の低い」パスワードを使用しており、まだ多要素認証に登録していない、という警告が表示されました。より安全なパスワードに更新するのには 1 分もかからず、パスコードによる MFA に登録するのにかかった時間も 2 分程度だったと思います。
アカウント管理ページには、前回のパスワード変更からどのくらい経過しているかや、サードパーティのアプリケーションでパスワードを管理する機能、MFA を設定するための複数のオプションなど、役立つ情報もありました。MFA の設定オプションとしては、Yahoo Sports アプリケーションをそのまま使用することも可能です(スマホに別の MFA アプリケーションをダウンロードする必要がないので、私にとってはこちらのほうが魅力的です)。
また、これをきっかけに、MFA への登録を求められたり、登録を促すリマインダーを受け取ったりするのが嫌な理由についても考えました。サイトで MFA の登録を求められる際、ユーザーがクリックすればその画面から離れられるという仕組みはまったく無意味だと思っていました。必須にしないのなら、登録を求めてほしくありません。また、インターネットを利用していて非常にイライラするのは、使用しているのが個人デバイスであることを確認されることや、次回ログインしたときのために「ログイン情報を記憶する」ように設定しても、実際にはサイトが記憶しておらず、同じ日に同じ承認プロセスを何度も実行しなければならないことです。
Cisco Duo の仲間たちも、MFA に登録してもらうためにさまざまな素晴らしい提案
をしていますが、個人的には、登録を必須にすることが最も効果的な方法だと考えています。Yahoo のログインページであの画面が表示されなかったら、自分のアカウントの安全性について改めて考えることはなかったでしょう。また、パスワードの横に赤い「!」が表示されていたので、パスワードを改善する必要があることが一目でわかりました。ぜひ他のサイトでもそうしてほしいと思います。
『ファンタジーフットボール』のログイン情報が漏洩したからといって世界が終わるわけではありませんが、もっと重大な事態について考えると、サイト側が UI を少し改良することで、ユーザーを正しい方向へ導くことができるに違いありません。
重要な情報
以前からある MacroPack というレッドチーム演習用のツールを攻撃者が利用して、新しいマルウェアペイロードを作成する事例が増えています。ポストエクスプロイト フレームワークの Havoc および Brute Ratel、リモートアクセス型トロイの木馬(RAT)である PhantomCore の新しい亜種など、複数のペイロードがこれらの悪意のあるファイルによって送り込まれます。VirusTotal にアップロードされたファイルを Talos が分析したところ、複数の異なる攻撃グループがこの戦術を使用していることが判明しました。ファイルで使用されている言語が異なっており、別々の地域に関連した異なるテーマが使用されていることから、個別に実行された攻撃であると考えられます。
注意すべき理由
インターネットからダウンロードした Microsoft Office ドキュメント内のマクロの実行がブロックされるようになってからというもの、VBA マクロの脅威は減少しています。ただし、すべてのユーザーが最新バージョンの Office を使用しているわけではなく、依然として脆弱である可能性があります。MacroPack では、一般的な Office サポート形式、スクリプトファイル、ショートカットなど、さまざまなファイルタイプにパッケージ化された複数の種類のペイロードを生成できます。このフレームワークによって生成されたコードにはいくつか特徴があり、それが原因で、ファイルコンテンツの署名を使用して検出することがより困難になります。
必要な対策
Talos は、この調査の一環として Talos が分析した悪意のあるファイルを検出してブロックするために、新しい Snort ルールセットといくつかの ClamAV シグネチャをリリースしました。また、Talos のブログ記事に、悪意のあるドキュメントで使用されている 4 つの主要なテーマの詳細な分析を掲載しています。これらの脅威にさらされる可能性のある人にとっては、参考になる非常に重要な情報となり得ます。
今週のセキュリティ関連のトップニュース
有名なスパイウェアベンダー 2 社がエクスプロイトしている脆弱性のいくつかを、ロシアの APT29 もエクスプロイトしていることが Google の脅威分析グループ(Google TAG)の新たなレポートにより判明。これは、研究者らが 2023 年 11 月から 2024 年 7 月にかけて実際に確認した水飲み場型攻撃(標的はモンゴル政府の Web サイト)の分析結果です。ロシア政府とつながりがあると広く考えられている APT29 が、Apple iOS WebKit と Google Chrome の脆弱性をエクスプロイトしました。Intellexa 社と NSO Group 社(いずれもスパイウェアベンダー)も同じ脆弱性を使用していることが知られています。APT29 グループ(別名 Cozy Bear、Midnight Blizzard)は、政府が管理する Web サイトを侵害し、Web ページ上の隠し iframe に悪意のあるペイロードを埋め込んでいました。この iframe により、攻撃者が管理する Web サイトにユーザーが誘導されています。このサイトでは、iOS デバイスと Android デバイスからユーザーデータを盗むためにエクスプロイトが展開されました。Intellexa 社については、数回にわたって Cisco Talos がレポートしていますが、Predator スパイウェアの作成と配布に関与したとして、最近米国政府がブラックリストに載せています。またイスラエルの NSO Group 社は、Pegasus スパイウェアで悪名高い企業です。このスパイウェアは、ジャーナリスト、政治家、活動家など、危険にさらされている個人に対してよく使用されます。(情報源:Google TAG、The Record)
北朝鮮政府が支援する攻撃グループ Citrine Sleet が、Google Chrome Web ブラウザのゼロデイ脆弱性を積極的にエクスプロイトして、ユーザーの暗号通貨を窃取。この脆弱性(CVE-2024-7971)に関する Microsoft 社のアドバイザリには、ユーザーがゼロデイ攻撃の「標的にされ、被害を受けた」と記載されています。Google 社はその後、この問題に対するパッチをリリースしました。CVE-2024-7971 は、V8 JavaScript および WebAssembly エンジンにおける型の取り違え(型混乱)の脆弱性であり、攻撃者がリモートから標的のマシンでコードを実行する可能性があります。Citrine Sleet は北朝鮮を拠点にしていると考えられており、金融機関(特に暗号通貨アカウントを管理する金融機関)を主な標的にしています。同グループのソーシャルエンジニアリングの手口は、暗号通貨業界とそれに関連すると考えられる個人に重点を置いたものです。この脆弱性のエクスプロイトは、攻撃者が管理する Web サイトにアクセスするように被害者を誘導することから始まります。その後、Windows カーネルの別の脆弱性を使って、標的のコンピュータにルートキットをインストールし、実質的にマシンを完全に制御できるようにします。暗号通貨は長らく、北朝鮮政府が支援する攻撃グループの標的にされてきました。盗まれた暗号通貨は多くの場合、北朝鮮の軍事作戦の資金源となっています。(情報源:TechCrunch、Decipher)
FBI が今週新たな警告を発表、「大量の暗号通貨関連資産や製品にアクセスできる組織」を狙った一連のサイバー攻撃を北朝鮮の攻撃グループがまもなく開始する可能性があると指摘。火曜日に発表された PSA(公共サービス告知)によると、攻撃グループは数か月間にわたって、暗号通貨業界に関与していると思われる個人や、暗号通貨を取り扱う金融機関の従業員に対し、偵察関連のソーシャルエンジニアリング攻撃を仕掛けていたということです。攻撃グループは、特に専門家のネットワーキングや雇用関連のプラットフォームでのソーシャルメディア活動を監視して、標的にする人物の大半を見つけています。また、これらの攻撃グループは、偽名や偽のアイデンティティとプロフィールを使って正規の従業員になりすまし、標的の企業でリモート雇用を得ようとしています。PSA には、「この悪意のある活動の規模と継続性を考えると、サイバーセキュリティの実践に精通しているとしても、暗号通貨資産関連のネットワークを侵害するという北朝鮮の決意に対抗できない可能性がある」と記載されています。(情報源:Dark Reading、FBI)
Talos についての関連情報
- macOS 向け Microsoft アプリケーションに、権限が奪取される脆弱性が存在
- BlackByte ランサムウェアグループが狙う VMware ESXi のバグ
- シスコ:BlackByte ランサムウェアグループが公表するのは、成功した攻撃の 2 ~ 3 割のみ
- Microsoft 社の macOS 向けアプリケーションに、知らぬ間に権限を乗っ取られる可能性のあるバグが残存
Talos が参加予定のイベント
LABScon(9 月 18 日~ 21 日)
アリゾナ州スコッツデール
VB2024(10 月 2 日~ 4 日)
ダブリン(アイルランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名:rcx4d83.tmp
偽装名:なし
検出名:Win.Dropper.Pykspa::tpd
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
SHA 256:161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5:fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: W32.File.MalParent
本稿は 2024 年 09 月 05 日にTalos Group
Authors