Cisco Japan Blog

脅威情報ニュースレター(2020 年 1 月 23 日)

1 min read



 

脅威情報ニュースレターでは、Talos からの最新情報を週ごとにお伝えします。

米国とイランの緊張が緩和し始める一方、サイバー紛争への不安は未だに消えていません。いったい何が起こるのか?今からの対策では遅すぎるのか?最新話の『Beers with Talos』ポッドキャストpopup_iconは、こうした疑問を中心に取りあげます。

言うまでもないことですが、いかなるサイバー脅威も決して無視すべきではありません。仮想通貨の人気は低下していますが、被害者のコンピュータをハイジャックして増殖しようとする攻撃者は依然として存在しています。 その一つが Vivin ですpopup_icon。Vivin は Talos が発見した最新のクリプトマイナーで、活動を開始したのは 2017 年ですが、2020 年の活動(悪意のあるアクティビティ)は始まったばかりです。

Snort.org に追加する変更popup_iconについては、Snort ブログで情報を発信していきますので、そちらにご注目ください。詳細は割愛しますが、現在は検索機能が正常に機能していません。他にも不安定な挙動が確認されるかもしれません。あらかじめご了承ください。

最新号の脅威のまとめ記事では、過去 1 週間で Talos が確認してブロックした主な脅威についてまとめています。

今後予定されている公開イベント

イベント:Talos Insights:「The State of Cyber Security at Cisco Live Barcelona(Cisco Live Barcelona:サイバーセキュリティ概況)」popup_icon
会場:Fira Barcelona(スペイン、バルセロナ)
期間:1 月 27 日~ 31 日
講演者:Warren Mercer
概要:Cisco Talos は、安全なネットワークの維持に欠かせない早期警告インテリジェンスと脅威分析を専門としています。攻撃者がスキルを高めるにつれて、セキュリティ上の脅威の構図が絶えず変化していることを実感しつつ、ネットワークの防衛に携わっています。Talos は、データの集約、セキュリティのエキスパートで構成されるチームとの連携、セキュリティに対する最先端のビッグデータテクノロジーの応用を手段として、シスコの全セキュリティ プラットフォームの全体的な有効性を引き上げています。今回の講演では、昨今の脅威を詳細に分析し、製品の向上とリスク軽減戦略の実践に向けて Talos が大規模なデータセットをどのような形で活用しているかをご紹介します。

イベント:A World of Threats:「When DNS becomes the new weapon for governments at Swiss Cyber Security Dayspopup_iconSwiss Cyber Security DaysDNS が政府機関の新兵器になるとき)」 
会場:Forum Fribourg(スイス、グランジュ=パコ)
期間:2 月 12 ~ 13日
講演者:Paul Rascagnères
概要:Cisco Talos が追跡している、DNS システムを操作する 2 組みの攻撃者を紹介します。米国国土安全保障省は 2019 年 1 月 22 日に、関連する攻撃ベクトルについて指令を発表しました。本講演ではこの一連の攻撃と、攻撃手口の詳細についてお話します。1 組の攻撃者は、Talos が「Sea Turtle(ウミガメ)」と名付けた攻撃の背後にいます。この攻撃者は、過去に確認されたどの攻撃者よりも高度で攻撃的です。複数のレジストラと 1 つのレジストリに容赦なく直接攻撃を仕掛けてきたからです。今回の公演では、これら 2 組の攻撃者と、彼らの攻撃手法について解説します。

1 週間のサイバーセキュリティ概況

  • 国連の専門家、Amazon CEO ジェフ・ベゾス氏の携帯電話へのハッキングを調査popup_icon。報道によれば、スパイウェアに感染した悪意のある動画を 2018 年に視聴したことが原因で、同氏のデバイスは 2019 年 2 月までの 9 ヵ月間にわたって監視されていました。2 人のセキュリティ専門家は、ハッキングの起源がサウジアラビア政府であるという調査結果を伝えています。
  • NPR(米公共ラジオ局)と PBS(公共放送サービス)による新たな世論調査で、2020 年の米国大統領選挙における最大の懸念が誤報の拡散popup_iconだと判明。これを懸念する割合は、外国の干渉(15%)と投票所での問題(5%)を大幅に上回っています。
  • テクノロジー企業 Citrix、Application Delivery Controller と Citrix Gateway の重要な脆弱性を修正する第 2 弾のパッチをリリースpopup_icon。コンセプト実証コードが 12 月にリークされてからパッチが配布されるまでの間に、この脆弱性をエクスプロイトしたマルウェアの感染がすでに Citrix サーバで確認されています。
  • アメリカ大統領のドナルド・トランプと司法長官のウィリアム・バー、犯罪被疑者が所有していた iPhone のロック解除を求めて Apple 社への圧力を再び強化popup_icon。問題の渦中にあるのは、昨年に海軍基地で複数人を殺害した男の iPhone です。
  • 一方で新たな報道によると、FBI の苦情を受け、Apple 社は iCloud バックアップを暗号化する以前の計画を断念popup_icon。この決断は 2 年以上前に下されたものでしたが、今になって明るみに出た形です。
  • Apple への指摘は、Google 社からも。Web ブラウザ「Safari」にユーザのデータを危険にさらす複数の脆弱性が発見されたpopup_iconとして、Google が調査文書を準備しています。ユーザがロケーション トラッキング機能を無効にしている場合でも、これらの脆弱性はエクスプロイト可能です。第三者企業により「ユーザのブラウジング履歴に関する個人情報」を盗み出される危険性があります。
  • 外貨両替サービスの Travelex 社、ランサムウェア攻撃から数週間が経ち、最初の顧客向けサービスpopup_iconがオンラインで復旧したと発表。同社は依然として「データ漏えいの痕跡はない」としています。
  • 米国のインテリジェンス コミュニティの脅威担当エグゼクティブ、Shelby Pierson 氏が、米国政府は 2016 年の失敗から学び、選挙に対する脅威をより迅速に開示popup_iconできるよう備えると発表。バラク・オバマ前大統領政権は、2016 年の大統領選挙におけるロシア干渉で、政府が持っていた情報を開示するまで長時間を要したことで非難を浴びました。
  • Microsoft 社、現在被害が出ている Internet Explorer の重大な脆弱性を警告popup_iconするも、23 日朝の時点でパッチは未提供。脆弱性がエクスプロイトされてメモリ破損が発生すると、現在のユーザの権限で任意コードを実行される危険性があります。

最近の注目すべきセキュリティ問題

件名:月例セキュリティ更新プログラム公開後も、Microsoft 社製品で暗号化関連の脆弱性が残るpopup_icon
説明:米国国家安全保障局は先週後半に、Microsoft 社製品を早急にアップデートするよう警告を発しました。警告の原因は、暗号化証明書の署名機能に存在する脆弱性です。脆弱性がエクスプロイトされると、ユーザが気付かないうちに悪意のあるプログラムへの署名が行われ、あたかも信頼できる送信元のプログラムのように表示されます。コンセプト実証でセキュリティ研究者がこの脆弱性を使用したところ、アメリカ国家安全保障局(NSA)のウェブサイトに人気のインターネット ミームを表示できました。NSA は声明の中で、「この脆弱性は深刻なものであり、高度な技術を持つサイバー攻撃者であれば性質をあっという間に理解するだろう。脆弱性がエクスプロイトされると、Microsoft 社製品のセキュリティは根底から覆される」と述べています。
Snort SID52617 ~ 52619

件名:Emotet continues to grow, spike in spam to start off 2020 
説明:Emotet が世界中の個人および組織への感染を続ける一方で、Cisco Talos は最近、.mil(米軍)および .gov(米国政府/州政府)のトップレベル ドメイン(TDL)と Emotet の新しい関連性を発見しました。Emotet が「夏休み」から戻った 2019 年 9 月中旬は、.mil および .gov のトップレベル ドメイン宛てに送信されたメールが少なめでした。しかしここ数ヵ月の間に、米国政府で勤務する人または米国政府と関係のある人で Emotet に感染する人が増えています。その裏付けとして、Talos は、2019 年 12 月に .mil と .gov TLD 宛に送信された Emotet の感染メッセージ数が急増していることを確認しています。
Snort SID51967 ~ 51971、52029

今週最も多く見られたマルウェアファイル

SHA 25685b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名: eternalblue-2.2.0.exe
偽装名:なし
検出名:W32.85B936960F.5A5226262.auto.Talos

SHA 256: 1c3ed460a7f78a43bab0ae575056d00c629f35cf7e72443b4e874ede0f305871popup_icon
MD5c2406fc0fce67ae79e625013325e2a68
一般的なファイル名:SegurazoIC.exe
偽装名:Digital Communications Inc.
検出名:PUA.Win.Adware.Ursu::95.sbx.tg

SHA 2563f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 256c0cdd2a671195915d9ffb5c9533337db935e0cc2f4d7563864ea75c21ead3f94 popup_icon
MD57c38a43d2ed9af80932749f6e80fea6f
一般的なファイル名:xme64-520.exe
偽装名:なし
検出名:PUA.Win.File.Coinminer::1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon 
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名:mf2016341595.exe
偽装名:なし
検出名:W32.Generic:Gen.22fz.1201

Twitterpopup_iconで Talos をフォローして最新情報を入手してください。 Snortpopup_iconClamAVpopup_icon と Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020年1月23日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter (Jan. 23, 2020)popup_icon」の抄訳です。

コメントを書く