脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。
年末年始の休業期間が終わって、当ブログの更新も再開です。中東での緊張が高まり続けていることから、2020 年は早くも急展開の様相を見せています。
イランと米国が互いをミサイル攻撃するに至った現在、イランを発信源とするサイバー攻撃を懸念すべきなのかどうか、お客様やユーザからの質問が相次いでいます。しかし率直に言うと、国家が支援する攻撃者からの攻撃に対して現時点で準備に着手していない場合、遅すぎるかもしれません。現状に関する Talos の見解については、こちらで手短にご説明しています。
また、本年 1 本目の『Beers with Talos(Talos とビールを)』のエピソードも配信しました。Talos のスタッフが 2019 年に現れた手強い脅威を挙げ、得られた教訓について話しています。
今後予定されている公開イベント
イベント:Talos Insights:「The State of Cyber Security at Cisco Live(Cisco Live 開催時のサイバーセキュリティの状況)」(Cisco Live Barcelona)
会場:Fira Barcelona(バルセロナ、スペイン)
会期:1 月 27 ~ 31 日
講演者:Warren Mercer
概要:Cisco Talos は、安全なネットワークの維持に欠かせない早期警告インテリジェンスと攻撃分析に特化しています。攻撃者がスキルを高めるにつれて、セキュリティ上の脅威の構図が絶えず変化していることを実感しつつ、ネットワークの防衛に携わっています。Talos は、データの集約、セキュリティのエキスパートで構成されるチームとの連携、セキュリティに対する最先端のビッグデータテクノロジーの応用を手段として、シスコの全セキュリティ プラットフォームの全体的な有効性を引き上げています。今回の講演では、昨今の脅威を詳細に分析し、製品の向上とリスク軽減戦略の実践に向けて Talos が大規模なデータセットをどのような形で活用しているかをご紹介します。
1 週間のサイバーセキュリティ概況
- 米国国土安全保障省、イランからのサイバー攻撃のリスクに備えるよう、今週になって米国企業に警戒情報を発表。米国のドローン攻撃によってイランの司令官が殺害されたことを受け、中東地域の国家が支援する攻撃者が報復行動に出ることが予想されます。
- 水曜日の時点で、米国とイランは双方への物理的な報復攻撃を一歩手前で踏み止まる一方、サイバー攻撃の脅威は依然として残る。多くの研究者は、今回の衝突を機に、両国間で長年にわたって痛烈な代理サイバー戦争が続いていることを防御担当者に喚起しています。
- 国際為替市場である Travelex 社、今月に受けたランサムウェア攻撃から依然として復旧中。Sodinokibi と目される攻撃者は、600 万ドルの身代金の支払いを求めています。
- ラスベガス市、行政機能の多くが停止するおそれのあったサイバー攻撃を阻止することに成功したと発表。同市の関係者は 1 月 7 日に侵入を検知し、被害の発生前にマルウェアを除去したと述べました。
- Mozilla 社、Web ブラウザ Firefox について、すでにエクスプロイトが確認されているバグを修正する緊急アップデートを公開。CVE-2019-17026 は型の取り違え(Type Confusion)型の脆弱性で、通常であれば隔絶されているメモリロケーションに対してデータの読み書きが行われる可能性がありました。
- 利用者数の多いソーシャルメディアアプリ TikTok、SMS メッセージ 1 通でユーザがアカウントを完全に乗っ取られる危険性が発覚。攻撃者は、一連の脆弱性をエクスプロイトすることでユーザのモバイルデバイスに侵入し、TikTok アカウントへのアクセスを取得して、動画を追加、削除、編集できます。
- 1 月 1 日に米国カリフォルニア州のプライバシー法が発効。多くの巨大企業が一部のプライバシーポリシーの整備に追われています。新法の下では、代表的なインターネット企業がどのような個人情報を保存し、その個人情報を利用してどのような形で収益を得ているのかについて、ユーザが開示を要求することが可能になります。
- Google Chrome に配信予定の新しいアップデート、通知を利用したスパムの削減が期待される。Chrome については、通知がユーザの妨げとなっている現状を緩和し、サイバー犯罪集団による通知の悪用が困難となるよう、通知 API の変更が進められています。
- 米国の FBI 、Apple 社に対して iPhone のロック解除を再び要請。米海軍基地で起きた銃乱射事件に関連して、FBI は犯人が所持していたデバイスへのアクセスを試みています。
最近の注目すべきセキュリティ問題
件名:シスコ、Cisco Data Center Network Manager の 12 件の脆弱性に対するパッチを公開
説明:シスコは、先週リリースした複数のセキュリティアドバイザリにおいて、Cisco Data Center Network Manager ソフトウェアの 12 件の脆弱性に対するパッチを発表しました。このソフトウェアは、ユーザによるシスコ製スイッチとファブリックエクステンダの管理を可能にするものです。開示された脆弱性のうち 3 件(CVE-2019-15975、CVE-2019-15976、CVE-2019-15977)がエクスプロイトされると、デバイス上で未認証のリモート攻撃者が認証を迂回し、悪意の各種タスクを管理者権限で実行できます。
Snort SID:52530 ~ 52547
件名:OpenCV におけるバッファオーバーフローの脆弱性
説明:Cisco Talos は先日、OpenCV のライブラリに 2 件のバッファオーバーフローの脆弱性を発見しました。脆弱性をエクスプロイトされるとヒープが破損し、攻撃者により任意コードが実行される危険性があります。OpenCV は当初、Intel Research 社により 1999 年に開発されましたが、現在は非営利組織の OpenCV.org によって維持管理されています。OpenCV は、顔認識技術やロボット工学、モーショントラッキング、各種機械学習プログラムなど、幅広い用途に使用されています。
Snort SID:50774、50775(発見:Dave McDaniel)
今週最も多く見られたマルウェアファイル
SHA 256:d73ea76f6f07f96b337335213418b58e3fbc7e4b519fec0ef3fbd19c1d335d81
MD5:5142c721e7182065b299951a54d4fe80
一般的なファイル名:FlashHelperServices.exe
偽装名:Flash Helper Service
検出名:PUA.Win.Adware.Flashserv::1201
SHA 256:5fc600351bade74c2791fc526bca6bb606355cc65e5253f7f791254db58ee7fa
MD5:121e1634bf18768802427f0a13f039a9
一般的なファイル名:AA_v3.exe
偽装名:Ammyy Admin
検出名:W32.SPR:Variant.22fn.1201
SHA 256:1c3ed460a7f78a43bab0ae575056d00c629f35cf7e72443b4e874ede0f305871
MD5:c2406fc0fce67ae79e625013325e2a68
一般的なファイル名:SegurazoIC.exe
偽装名:Digital Communications Inc.
検出名:PUA.Win.Adware.Ursu::95.sbx.tg
SHA 256:d8b594956ed54836817e38b365dafdc69aa7e07776f83dd0f706278def8ad2d1
MD5:56f11ce9119632ba360e5b3dd0a89acd
一般的なファイル名:xme64-540.exe
偽装名:なし
検出名:PUA.Win.Tool.Coinminer::100.sbx.tg
SHA 256:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f
MD5:e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:W32.AgentWDCR:Gen.21gn.1201
Talos からの最新情報は Twitter でフォローしてください。 Snort、ClamAV と Immunet の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちら(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらからご登録ください。
本稿は 2020年1月9日に Talos Group のブログに投稿された「Threat Source newsletter (Jan. 9, 2019)」の抄訳です。