Tile や Apple AirTag などの製品(いずれも財布や鍵、コインケースなど、失くしやすい物の位置を把握するために使用される)が登場して以来、攻撃者や犯罪者はこれらを悪用する手口を見つけ出してきました。
攻撃者の目的はさまざまです。種々の理由で違法なことに手を染めようとしている犯罪者もいれば、物理的な物を盗もうとしている人間もいるでしょう。単なる嫉妬心から、あるいは何らかの疑いを抱いて、配偶者やパートナーが大切な相手を監視しておきたいと考えているケースもあり得ます。
こうしたデバイスを製造している Apple 社をはじめとしたメーカーの側も、デバイスの悪用を防いで安全性を高めるべく、さまざまな対策を講じてきました。そしてこのほど、Google 社と Apple 社が、新たなアラート機能を発表しました。Android や iOS デバイスの位置情報と何らかの位置情報追跡デバイスの間に関連性が見られた場合にアラートを出すというものです。
この発表の中で Apple 社は、「この新機能により、時間が経過しても不明な Bluetooth の追跡デバイスがユーザーと一緒に移動していると見られる場合に、そのデバイスとペアリングしているプラットフォームを問わず、ユーザーは「[追跡アイテム] はあなたと一緒に移動しています」という警告を自分のデバイスで受け取るようになります」と述べています。
Motorola 社、Jio 社、Eufy 社もこの新たな規格に従う
としており、間もなく規格に準拠した製品を発表する予定です。
確かに、AirTag や Samsung 社の追跡デバイスなど、企業が直接管理している製品については安全性が高まり、攻撃者に悪用される可能性は低くなると期待されます。しかし、この種の製品がもたらす問題を完全に解決できるわけでは決してありません。
オンラインストアにはこの手の製品が大量に出品されており、スマートフォンや財布、鍵など日々の暮らしでよく使う私物を失くさないようにアプリを使って追跡することができると謳われています。以前私は、防犯カメラなどインターネット接続型デバイスについて指摘したことがありますが、それと同様の状態です。
Amazon の「ロケーションタグ」カテゴリには、無名のメーカー製のさまざまな AirTag 類似製品が数え切れないほど出品されています。中には、財布のカード入れやコインケースにちょうど入るくらい薄いものもあれば、平均的な AirTag より小さく車の中に隠しておけると宣伝している製品もあります。
膨大にあるデバイスの 1 つひとつについて詳しく調べられてはいません。ただ、一部の製品は、独自のサードパーティアプリを搭載し、セキュリティについての注意事項も独自のもので、プラットフォームの開発者の管理を完全に離れてしまっています。
これとは別に、単に小型タグを購入するのとは違った「デバイスを探す」系のサービスが新たなセキュリティ上の懸念を生んでいます。Android に新たに実装された「デバイスを探す」という高度なネットワーク機能は、iOS の「探す」アプリに似たクラウドソース ソリューションです。紛失したデバイスを探し出すのに役立つと思われます。
「デバイスを探す」の仕組みは、他の Android デバイスを使って登録デバイスのおおよその位置を匿名で中継するというものです。対象デバイスがオフラインであっても電源オフであっても機能します。悪意のある人間の手にかかれば、このサービスだけでさまざまに悪用できます。
とはいえ、AirTag のようなデバイスを使う以上に有効な鍵紛失防止策がどうしても思いつかないという人もいるでしょう。そこで、開発者やメーカー頼みでこうしたサービスの安全性を高めてもらわずとも安全に利用できるようになるヒントをいくつか紹介します。
- 不審な追跡デバイスがないかチェックします。iOS では、「探す」アプリを開き、[持ち物を探す(Items)] > [あなたが所持中の見つかった持ち物(Items Detected Near You)] に移動します。ここに表示される AirTag で、身に覚えがないものがないか確認します。Android では、[設定(Settings)] > [安全性と緊急情報(Safety & Emergency)] > [不明なトラッキングアラート(Unknown Tracker Alerts)] > [スキャン開始(Scan Now)] と進めば確認できます。
- iOS の「探す」アプリを使い、自分のスマートフォンの信頼できる連絡先のもの以外の「共有グループ」から自分を削除します。
- 最大の目的が位置情報の追跡なら(特に親子間の場合)、アプリストアからダウンロードしたサードパーティ製アプリや Bluetooth 接続に頼るより、iOS や Android の「探す」アプリを使用した方が、一般的には安全性が高いでしょう。
- 個人のアプリ設定を管理し、自分のデバイスの物理的な位置を追跡する必要が「本当に」あるサービスのみを使用するようにします(たとえば Facebook は位置情報を追跡する必要はないはずです)。
- AirTag は自分の Apple ID に接続されるので、多要素認証(MFA)やパスキーによりログインの安全性を確保します。
重要な情報
シスコはこのほど、電子メールでのブランドなりすましを検出する新機能を開発してリリースしました。攻撃者はブランドになりすまして正当な企業を装おうとします。攻撃者はさまざまな手法を用いてブランドのロゴを電子メールに埋め込みます。単純な手法としては、ブランドに関連した言葉を電子メールの HTML ソースに挿入するというものがあります。Talos の新しいデータにより、PayPal 社、Microsoft 社、NortonLifeLock 社、McAfee 社などの有名ブランドが、この種のフィッシングメールのなりすましに特に頻繁に使われていることが判明しました。
注意すべき理由
ブランドのなりすましは、ソーシャルメディア、Web サイト、電子メール、モバイルアプリケーションなど、多くのオンラインプラットフォームで発生する可能性があります。この種の脅威は、人気のあるブランドのロゴの親しみやすさと正当性を悪用し、被害者から機密情報を引き出そうとします。電子メールセキュリティの文脈においては、ブランドのなりすましはフィッシングメールでよく見られます。攻撃者は、有名ブランドの知名度を悪用することで、被害者をだましてログイン情報などの機密情報を提供させようとします。
必要な対策
有名ブランドは、資産の保護によってもこの種の脅威から身を守ることができます。ドメイン名をさまざまな拡張子で登録することで、類似ドメインを悪意のある目的に用いようとする攻撃者を阻止できます。ブランドが講じることのできる極めて重要な別の手段としては、プライバシー保護によって WHOIS の記録から情報を隠すことが挙げられます。Cisco Secure Email Threat Defense のブランドなりすましの新しい検出ツールについて詳しく知りたい方は、こちらのサイトをご覧ください。
今週のセキュリティ関連のトップニュース
携帯電話通信のバックボーンを攻撃者が密かに悪用し、長年にわたって米国人の位置情報を追跡。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の情報です。CISA の当局者が所属機関の方針に逆らって、この情報を連邦通信委員会(FCC)に共有したと報道されています。当局者が語ったところによると、攻撃者は、SS7 プロトコルの脆弱性を使用して位置情報データを窃取し、音声メッセージとテキストメッセージを監視し、スパイウェアを配信していたとのことです。偽ニュースや偽情報を含むテキストメッセージが届いた被害者もいます。SS7 は、テキストメッセージのルーティングや別のデバイスとの通話のために世界中で使用されているプロトコルですが、しばしば攻撃者の標的になってきました。過去には、SS7 の別の脆弱性が通信事業者のネットワークへのアクセス権を取得するために悪用されたこともあります。同当局者は FCC に宛てた意見書の中で、これらの脆弱性は、米国市民に対して使われた SS7 関連のエクスプロイトの「氷山の一角」だと綴っています(情報源:404 Media、The Economist)。
FBI が、盗まれた個人情報を売買する人気プラットフォーム BreachForums のメインサイトを再び差し押さえ。昨年、国際的な法執行機関がこのサイバー犯罪サイトの旧バージョンを閉鎖に追い込み、管理者を逮捕しました。しかし、前回のサイト停止後、3 つの異なるドメインを使った新しいページがすぐに出現していました。米国の法執行機関も、BreachForums の公式 Telegram アカウントと、新たに BreachForums の管理者となった「Baphomet」のチャンネルを掌握しました。ただし FBI は、今回の差し押さえや逮捕の可能性について公にはまだ発言していません。もう 1 人の管理者である「ShinyHunters」が、近々新しい Onion ドメインでサイトが復活すると主張していることから、これで BreachForums が長期間にわたって姿を消すわけではないでしょう。ShinyHunters は、今回差し押さえられた BreachForums のクリアネットドメインへのアクセスを再度試みたと主張しています。ただ、具体的な手法は明らかにしてません。BreachForums は、攻撃者が盗んだデータを売買したり、ハッキングサービスを提供したり、新しい TTP を共有したりできるとして悪名高いサイトです(情報源:TechCruch、HackRead)。
他人になりすまして米国でリモートの仕事を得た罪で 3 人の北朝鮮人を米国司法省が起訴、収益は北朝鮮軍の資金に。3 人の北朝鮮人と 1 人の米国市民が、実在する 60 人の米国人のものに偽装した ID を使い、複数の米国企業や政府機関で不正な仕事を手に入れた罪で起訴されました。司法省は、今回の犯罪について「驚異的な詐欺」と表現しています。起訴された米国市民は、さまざまな住宅に米国企業のラップトップを配置し、北朝鮮がこの 3 人の本当の居場所を秘匿できるようにしたとされています。北朝鮮の国家的支援を受けた攻撃者は、長年にわたりこの種の戦術を使ってきました。よく見られるのは、LinkedIn などのソーシャルメディア ネットワークを活用し、個人情報を偽って職を得たり、企業の機密情報を盗み出したりする手口です。司法省によると、被害を受けた可能性がある企業は 300 社以上にのぼり、犯人らが得た 680 万ドル以上の収益は、ほとんどが「北朝鮮政府と同政府が推進する不正な核開発計画のための財源」に使われたということです(情報源:ABC News、Bloomberg)。
Talos が発信している情報
Talos が参加予定のイベント
ISC2 SECURE Europe(5 月 29 日)
アムステルダム(オランダ)
Talos インシデント対応チームの Gergana Karadzhova-Dangela が「EU におけるサイバーセキュリティ人材とスキルのギャップを減らすための ECSF の活用」というパネルに参加します。Karadzhova-Dangela は、EU のサイバーセキュリティ フレームワークの開発に参加しており、新しい人材の募集および採用の方法として、シスコが社内の取り組みで同フレームワークをどのように活用しているかを説明します。
Cisco Live(6 月 2 ~ 6 日)
ネバダ州ラスベガス
Cisco Live では、Talos 戦略コミュニケーションチームの Bill Largent が、6 月 4 日(火)午前 11 時(太平洋時間)に毎年恒例の「サイバーセキュリティの現状」講演を行います。また、Talos アウトリーチチームの Jaeson Schultz が、6 月 6 日(木)午前 8 時 30 分(太平洋時間)に自身の講演を行います。そのほか、Cisco Secure ブースでは、カンファレンス期間中、Talos IR に内容を絞った簡単なプレゼンテーションを複数回行う予定です。
AREA41(6 月 6 ~ 7 日)
チューリッヒ(スイス)
Talos インシデント対応チームの Gergana Karadzhova-Dangela が、組織の全体的な対応準備を整えるためには、実用的なインシデント対応手順書が根本的に重要であることについて説明します。インシデント対応手順書を作成する際によく見られる間違いと、その回避方法について紹介する予定です。Gergana は、実際のサイバーセキュリティ侵害発生時や事前の侵害対策で、お客様と協力して業務に当たっています。そうした対応担当者としての経験を活かした講演になります。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5:e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201
SHA 256:a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0
MD5: b4440eea7367c3fb04a89225df4022a6
一般的なファイル名: Pdfixers.exe
偽装名:Pdfixers
検出名: W32.Superfluss:PUPgenPUP.27gq.1201
SHA 256:1fa0222e5ae2b891fa9c2dad1f63a9b26901d825dc6d6b9dcc6258a985f4f9ab
MD5:4c648967aeac81b18b53a3cb357120f4
一般的なファイル名: yypnexwqivdpvdeakbmmd.exe
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:d529b406724e4db3defbaf15fcd216e66b9c999831e0b1f0c82899f7f8ef6ee1
MD5: fb9e0617489f517dc47452e204572b4e
一般的なファイル名: KMSAuto++.exe
偽装名:KMSAuto++
検出名: W32.File.MalParent
SHA 256:abaa1b89dca9655410f61d64de25990972db95d28738fc93bb7a8a69b347a6a6
MD5: 22ae85259273bc4ea419584293eda886
一般的なファイル名: KMSAuto++ x64.exe
偽装名:KMSAuto++
検出名:W32.File.MalParent
本稿は 2024 年 05 月 23 日にTalos Group
Authors