Cisco Japan Blog

脅威情報ニュースレター(2020 年 8 月 13 日)

1 min read



Talos 読者の皆様、こんにちは。

サイバー攻撃の犯人を特定するのは非常に困難です。それは皆さんもご存知のとおりです。ですが、いったいなぜでしょう。そしてなぜ、犯人を特定しようと躍起になるのでしょうか。Talos の最新のブログ記事では、サイバー攻撃の犯人特定(アトリビューション)が難しい理由と、民間の研究者や政府機関が一様に惑わされる罠について説明しています。  

Microsoft 製品の更新はもうお済みですか。今週火曜に月例の Windows セキュリティ更新プログラムアップデートがリリースされ、注意が必要が 100 以上の脆弱性が公表されました。今回の記事では、その中でも特に注目すべき脆弱性と、それらに対応する Snort ルールをご紹介します。

1 週間のサイバーセキュリティ概況

  • コロナ禍により、2020 年米大統領選挙のセキュリティ対策で新たなレベルの課題popup_iconが浮上。先週開催された Blackhat と DEFCON では、郵便投票の落とし穴やコロナ禍に関連したフェイクニュースについて複数の講演で解説されました。
  • 米国各州で選挙に先駆け電子投票機の撤廃popup_iconが進む。完全にペーパーレスにするには課題が多く、対応状況も地域差が激しいのが現状です。
  • 今年の米大統領選挙でドナルド・トランプを再選させようと、ロシアが介入する動きpopup_iconがあると報告するホワイトハウス機密文書が一部漏洩。2016 年の選挙時にも同様の報告が漏洩しました。
  • Windows 2000 にまで遡るpopup_icon Windows の脆弱性を、複数のセキュリティ研究者が発見。この脆弱性がエクスプロイトされた場合、プリンタに情報を送信するスプーラサービスが攻撃者によって停止される可能性があります。
  • 米国における TikTok の処遇はいまだ不透明。 popup_iconトランプは中国製アプリ TikTok を排除する構えを崩していませんが、TikTok 社はアプリストアでの配信継続を求めて訴えを起こす構えです。
  • 複数世代にまたがる一部の Qualcomm 製チップで合計 400 以上の脆弱性popup_iconが発見される。その中でも特に深刻な脆弱性がエクスプロイトされると、Google や Samsung 製のスマートフォンからユーザの個人情報が盗み出される可能性があります。
  • イスラエル、北朝鮮政府の支援を受けたハッカー集団による攻撃を撃退したpopup_iconと発表。イスラエル当局によると、攻撃者は国防関連の受託業者から情報を窃取しようとしていました。
  • 約 7,000 ドル相当の機器を使用することで携帯電話の盗聴popup_iconが可能であることが判明。研究者たちは、この攻撃方法を実際に使用するにはさまざまな制約があるとしていますが、コンセプト実証テストはこれまでのところ成功しています。

最近の注目すべきセキュリティ問題

タイトル:Microsoft 社がセキュリティ更新プログラムの一環として 16 件の重大な脆弱性を公表
詳細:Microsoft 社は今週火曜日に、月例のセキュリティ更新プログラムをリリースし、同社製品で確認された 120 件の脆弱性についての情報を公開しました。うち 16 件は「緊急」に分類され、中には、現在実際にエクスプロイトが確認されている脆弱性も含まれます。Microsoft 社および Windows 製品のユーザはできるだけ早急に使用中のソフトウェアを更新して、これらすべてのバグのエクスプロイトを防ぐ必要があります。今回「緊急」に分類された脆弱性を最も多く含む製品は Microsoft Media Foundation です。攻撃者はこれらの脆弱性(CVE-2020-1379、CVE-2020-1477、CVE-2020-1492、CVE-2020-1525、CVE-2020-1554)をエクスプロイトしてメモリを破損させ、任意コードをリモート実行できる可能性があります。いずれの脆弱性も、細工されたドキュメントまたは Web ページを開いたときにトリガーされる可能性があります。
Snort SID54733 〜 54746、54753、54754

タイトル:シスコ製の AnyConnect VPN とスモールビジネス向けスイッチおよびルータに含まれる重大度「高」の脆弱性が公開 popup_icon
詳細:シスコは先週、同社の複数のスイッチ製品、ルータ製品、および VPN サービスを更新するようユーザに呼びかけました。影響を受ける製品の一部は、攻撃者によって強制的に再起動され、オフラインにされる可能性があります。また、Windows 用 AnyConnect VPN クライアントでは、ダイナミック リンク ライブラリ(DLL)ハイジャック攻撃を可能にする脆弱性も見つかっています。攻撃の標的にされた Windows システムからログイン情報が盗み出されると、システムレベル権限で悪意のあるコードが実行される危険性があります。
Snort SID54698 〜 59702

今週最も多く見られたマルウェアファイル

SHA 256: 85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5popup_icon
MD58c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名:Eter.exe
偽装名:なし
検出名:Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256: 3f6e3d8741da950451668c8333a4958330e96245be1d592fcaa485f4ee4eadb3popup_icon
MD547b97de62ae8b2b927542aa5d7f3c858
一般的なファイル名:qmreportupload.exe
偽装名:qmreportupload
検出名:Win.Trojan.Generic::in10.talos

SHA 2568b4216a7c50599b11241876ada8ae6f07b48f1abe6590c2440004ea4db5becc9popup_icon
MD534560233e751b7e95f155b6f61e7419a
 一般的なファイル名:SAService.exe
 偽装名:SAService
 検出名:PUA.Win.Dropper.Segurazo::tpd

SHA 256c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048fpopup_icon
MD5e2ea315d9a83e7577053f52c974f6a5a
一般的なファイル名:c3e530cc005583b47322b6649ddc0dab1b64bcf22b124a492606763c52fb048f.bin
偽装名:なし
検出名:Win.Dropper.Agentwdcr::1201

SHA 25615716598f456637a3be3d6c5ac91266142266a9910f6f3f85cfd193ec1d6ed8bpopup_icon
MD5799b30f47060ca05d80ece53866e01cc
一般的なファイル名mf2016341595.exe
偽装名:なし
検出名:Win.Downloader.Generic::1201

最新情報を入手するには、Twitterpopup_icon で Talos をフォローしてください。Snortpopup_iconClamAVpopup_icon および Immunetpopup_icon の独自アカウントもぜひフォローし、最新情報をご確認ください。また、こちらpopup_icon(またはお使いのポッドキャストアプリ)から『Beers with Talos』のポッドキャストを購読することもできます。『脅威情報ニュースレター』を未購読であれば、ぜひこちらpopup_iconからご登録ください。

 

本稿は 2020 年 8 月 13 日に Talos Grouppopup_icon のブログに投稿された「Threat Source newsletter for Aug. 13, 2020popup_icon」の抄訳です。

 

コメントを書く