Cisco Japan Blog / 脅威リサーチ / 脅威情報ニュースレター（2023 年 3 月 30 日）：家庭用防犯カメラやドアベルを設置すれば絶対に安全だとは言えない理由

今週も脅威情報ニュースレターをお届けします。

冬の凍った階段で滑っている人の映像を見るのは楽しいものです。そうした映像は家庭用防犯カメラやスマートドアベルで撮影されているわけですが、カメラが機能せず、愛犬がリスを追いかけて飛びつく瞬間を捉えないとしたらどうでしょうか。

家庭に設置される防犯カメラや録画機器をめぐる状況は、日ごとに怪しさを増しています。法執行機関は現在、これらの機器を製造、管理する企業に住宅所有者の映像の引き渡しを強制する方法を探っています。たとえ住宅所有者の同意がなくてもです。

そして、現時点でこの分野における最大手である Amazon Ring が、ランサムウェアの攻撃対象になっているとの噂もあります。

つまり、これらの機器を消費者が購入する理由は物理的なセキュリティを確保するためでしょうが、ではオンラインセキュリティに適した製品かというと、大きな疑問符が付くのです。

Talos の Joe Marshall が今週 Dark Reading のゲストコラムで書いているように、「IoT ベンダーは、強固なサイバーセキュリティ対策の実施について、私たちの期待を裏切り続けています」。最も資金力が豊富で、機器が市場に出回る前にセキュリティの確保やテストへの投資が可能だと考えられている世界最大手の一部ハイテク企業であってもこの状況は変わりません。

専門知識を持つ脆弱性研究者でもない限り完全に吟味することは不可能な格安オプションが、市場には大量に存在します。今週、Amazon の Web サイトで「スマートドアベル」を検索してみたところ、最初のページに表示されたベストセラー商品のうち、3 つの商品の宣伝用サムネイル画像はほぼ同じでした。ところが商品ページを見てみると、各商品は別の会社が製造、販売していることが分かります。

もし、自分に合った商品を探すために商品レビューを読んでいるだけなら、あるいはインターネットで他の人のレビューを検索しているだけなら、解像度が十分かどうかや、アプリが正常に機能するかといった情報は見つけられるかもしれません。しかし、機器を物理的に分解して脆弱性を探したり、セキュリティホールがないかを API で調べたりする時間がレビュアーにあるとは思えません。また、機器製造企業を信頼して見た目でその会社の商品だと判断することもできないとしたら、データ侵害への対応に各社がどう備えているか、あるいは法執行機関との映像共有に対して各社がどのようなスタンスをとっているかについては知る由もありません。

防犯カメラも同様です。Amazon の検索ページで「家庭用防犯カメラ」をスポンサーなしで検索すると、上位 5 つはすべて別の会社が製造した商品であり（Ring はその 1 社）、フォームファクタの違い以外に各商品の機能に基づいて区別することはほぼ不可能です。こうした機器を購入しようとする人の中に、商品が安全かどうかを判断できる人はほとんどいませんし、もし判断できるとしたら、そもそも購入しない方がよいことくらいは分かるはずです。

家族の安全を守れると本当に思うのであれば、家庭用防犯カメラを購入することを決して止めはしません。しかし、どのブランドの防犯カメラを買うにせよ、押し込み強盗犯の映像と引き換えにプライバシーやオンライン上のセキュリティでリスクを負っていることについては、今や誰もが想定しておく必要があると思います。

重要な情報

Emotet が活動休止を終え、復活を遂げました。活動再開以来、Emotet は複数の異なる感染チェーンを利用しています。このことから、新しいシステムへの感染に成功すると判断した手法に切り替えようとしていることがうかがえます。被害者に最初に送りつけられた電子メールは、過去数年間の Emotet の攻撃で確認されたものと一致しています。

注意すべき理由

脅威環境における最も悪名高いボットネットが Emotet であることは間違いないため、復活したとなれば嫌でも目につきます。同ボットネットは活動休止期間を経て復活することが知られており、復活自体は特に驚くようなことではないのですが、注意すべき理由があります。Emotet の作成者が戦術を変えつつあり、新しいタイプのおとり文書に切り替えているからです。これは検出を回避するためであり、悪意のある Office の添付ファイルを使用する攻撃者を阻止しようと Microsoft 社が最近マクロに加えた変更を受けてのことです。

必要な対策

Emotet はもう長い間活動しているので、Cisco Secure と Talos は、Emotet のスパムから身を守るための、あらゆる方法を提供しています。ただし一般的な注意事項として、電子メールの「差出人」は必ず三重にチェックして、メールを送った本人だと思われる人が差出人であることを確かめてください。また、差出人やリンク先が正しいか判断できない限り、決して添付ファイルを開いたり、電子メールのリンクをクリックしたりしないでください。

今週のセキュリティ関連のトップニュース

先週、人気ソーシャルメディアアプリ TikTok の CEO が米国議会の委員会で証言、TikTok 擁護派も否定派も動じる様子なし。データ保護とプライバシーに関する懸念から米国での同アプリの全面禁止に賛成している議員たちは、周受資 CEO が行った答弁に納得しませんでした。一方、禁止賛成派の議員たちの質問を小ばかにするような態度をとり、データプライバシー法の拡大を提唱する議員もいました。共和党議員は依然として TikTok を禁止する法案に取り組む予定で、ケビン・マッカーシー下院議長は、「我々がすでに真実だと知っていること、つまり中国が TikTok のユーザーデータにアクセスしていることを TikTok の CEO が正直に認めないのは非常に憂慮すべきことだ」とツイートしています（情報源：Buzzfeed、The Hill、The New Yorker）。

人気の AI ツール ChatGPT のバグにより、他のユーザーのメッセージ履歴が閲覧できる事態が発生。プレミアムユーザーの支払い情報や電子メールアドレスなどの機密情報も流出した可能性があります。ChatGPT を運営する OpenAI は、この問題を認識した後、今週火曜日に緊急メンテナンスのため同ツールをオフラインにしました。同社の発表によると、情報が流出したのは 3 月 20 日の 9 時間ですが、それ以前にも流出していた可能性があります。今回のデータ流出を受け、ChatGPT のようなツールの使用によって機密情報や潜在的に機密性の高い情報が共有されてしまうことに多くのユーザーが懸念を示しています（情報源：SecurityWeek、Engadget）。

個人向け融資会社 Latitude Financial のデータ侵害により、ニュージーランドとオーストラリアの数百万人のデータが流出。データ漏洩は 2005 年までさかのぼる可能性があります。同社によると、約 790 万件の運転免許証番号と 53,000 件のパスポート番号が盗み出されたとのことです。盗まれたデータには、名前、住所、電話番号、生年月日も含まれています。Latitude 社がこの攻撃について最初の発表を行ったのは 3 月 16 日で、この時点では、影響を受けた顧客は 30 万人だと推定していました。同社は情報公開前に侵害を食い止めたものの、調査が進むにつれて流出件数は増えています。今回の情報漏洩を受け、顧客が融資を申し込んだ後、金融機関がこれほど長い間記録を保持する理由とデータの保管方法について疑問が投げかけられています（情報源：The Guardian、Yahoo Finance）。

Talos が発信している情報

• 『Talos Takes』エピソード#132：ウクライナにおける Talos の 1 年間の活動を振り返る
• 漫画：Talos ウクライナタスクユニットの日々の活動
• プロアクティブなセキュリティを可能にするインシデント対応リテーナー
• 3 月 17 日から 3 月 24 日の 1 週間における脅威のまとめ
• パッチ未適用の Netgear Orbi ルータを使用している場合は直ちにアップデートを

Talos が参加予定のイベント

RSA （4 月 24 日～ 27 日）

カリフォルニア州サンフランシスコ

Cisco Live U.S. （6 月 4 日～ 8 日）

ラスベガス（ネバダ州）

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5： d47fa115154927113b05bd3c8a308201
一般的なファイル名： mssqlsrv.exe
偽装名：なし
検出名： Trojan.GenericKD.65065311

SHA 256：de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5：954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名： teams15.exe
偽装名： teams15
検出名： Gen:Variant.MSILHeracles.59885

SHA 256：c74e7421f2021b46ee256e5f02d94c1bce15da107c8c997c611055412de1ac1
MD5： 2d16d0af6183803a79d9ef5c744286c4
一般的なファイル名： nano_download.php
偽装名：Web Companion Installer
検出名： W32.1C74E7421F-100.SBX.VIOC

SHA 256：5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5： 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名： IMG001.exe
偽装名：なし
検出名： Win.Dropper.Coinminer::1201

本稿は 2023 年 03 月 30 日に Talos Group のブログに投稿された「Threat Source newsletter (March 30, 2023) — It’s impossible to tell if your home security camera or doorbell is truly safe」の抄訳です。

Authors

TALOS Japan