Cisco Japan Blog

知らないうちにデータ漏洩に巻き込まれていると想定するのがベスト

1 min read



Snowflakepopup_icon に端を発する AT&T 社popup_iconなどへのサイバー攻撃、Microsoft Outlookpopup_icon の事例などから判断して、現時点で自分の個人情報が知らないうちにデータ漏洩の被害に遭っていると想定すべきではないかと思います。

2024 年はまだ半ばを過ぎたところですが、過去最大規模のデータ漏洩がすでに発生しています。通信プロバイダーの AT&T は今月初め、同社の「ほぼすべて」の顧客popup_iconの電話番号と通話履歴が含まれるデータのキャッシュが窃取されたと公表しました。該当者は約 1 億 1 千万人にもなります。

定型文のようなあの恐ろしい通知メールをまだどの企業からも受け取っていなくても、過去数年のうちに個人情報の一部がすでにアクセスまたは窃取され、流出しているか、いつかそうなると想定しておいたほうがよいでしょう。

これを機に、自分の個人情報についてチェックすることにしました。広く利用されている Have I Been Pwned?popup_icon で調べてみたところ、私の個人用メールアドレスは 14 件の侵害に巻き込まれたとあります。古くは 2017 年に被害に遭っており、最近では 6 月でした。

幸いなことにトレンドマイクロ ID プロテクションpopup_iconによると、私の個人用携帯電話はどのデータ漏洩にも巻き込まれていませんでしたが、相変わらずそれなりの数のスパムテキストや着信を受けています。

今回はせっかくの機会なので、ご紹介した 2 つの検索エンジン以外にも、役に立つリソースとアドバイスを読者の皆様に提供できればと思います。最近多発するデータ漏洩には巻き込まれていないとしても、次にいつ漏洩が起こるかわからないので、今のうちに対策をしておいたほうがよいでしょう。

  • パスワードの再利用はやめましょう。無料のパスワードマネージャを使用popup_iconし、作成する新規アカウントごとにランダムでセキュアなパスワードを生成してください。そうすれば、万が一パスワードが流出した場合でも、攻撃者は漏洩したログイン情報を使用して別のアカウントに不正アクセスすることができません。
  • パスワードマネージャに登録したら、パスワードを頻繁に更新し、ローテーションしてください。
  • 多要素認証(MFA)を登録しましょう。どのタイプであっても MFA を使用popup_iconすれば、漏洩したログイン情報を使った他のデバイスへのアクセスはできなくなるので、ユーザー名とパスワードがセットで漏洩しても、不正なログインを防止できます。
  • 信用調査機関の詐欺アラートに加入popup_iconしましょう。当然のことながら、これは米国に住むユーザーにのみ適用されます(他の国でも同様のサービスはあると思いますが、確信を持って書けるのは米国でのプロセスのみです)。あなたが不正行為の被害者である可能性を金融機関が認識できるようになるので、与信取引申請書を記入する人物が本当にあなたであると確認するための追加手順を設けるはずです。
  • あなたの情報を流出させた企業が無料で信用監視サービスを提供している場合は、積極的に活用しましょう。明日朝の Talos Takes のエピソードで、ユーザーが活用できるアイデンティティ モニタリングの機能を取り上げますので、ぜひご注目ください。
  • 特定のアカウントに対し変更を加える際に必要となる一意のパスコードを設定しましょう。AT&T が顧客に対し詳細にアドバイスしているpopup_iconのは、アカウント上の重要な変更(電話番号を別のキャリアに移行するなど)を阻止するのに必要なパスコードを設定することです。

重要な情報

攻撃者は、ユーザーと企業がデータ漏洩の脅威に対し意識を高めていることを認識しており、それをフィッシング攻撃や詐欺で利用しています。Talos の研究者は最近、早くも 2024 年 1 月には暗号通貨強奪詐欺が進行中であったことを確認しました。ビッシングやスピアフィッシングなどのハイブリッド ソーシャル エンジニアリング手法が詐欺の手口として用いられ、個人や正規の機関になりすました詐欺犯が言葉巧みに相手の心理を操り信頼を得て、情報を引き出します。詐欺犯は CySEC(キプロス証券取引委員会)の調査官になりすまし、Opteck 取引プラットフォームでの不正取引が発覚したために差し押さえた金額を返金すると申し出て被害者を騙し、損害を与えようとしています。

注意すべき理由

特にこの事例については、詐欺グループに紐づいたウォレットにイーサリアムの暗号通貨で数万米ドルが入金されたから成功したと考えられます。ただし、これは脅威環境の広範にわたるトレンドでもあります。攻撃者はデータ漏洩を将来的な脅威や誘い込みに使用するでしょう。データ漏洩を心配するユーザーは、流出に関する情報を掲載しているとするフィッシングメールやおとり文書をクリックする可能性が高いと言えます。もしくは「無料」のアイデンティティ モニタリングを実施できるとするリンクなら、より安心してクリックするかもしれません。

必要な対策

データ侵害の深刻さが詐欺を助長しており、詐欺を働くのに必要な情報を詐欺犯に提供し、個人や組織に多大な経済的損害をもたらし、評判を毀損し、心理的ダメージを与えています。したがって、人々にセキュリティ意識を持たせることは、組織とセキュリティコミュニティの基本的な責任です。一人ひとりがセキュリティ意識を持てば自分自身を保護することができ、組織のセキュリティ対策の後押しにもなります。セキュリティ意識を持つ文化を育むことで、データ侵害や詐欺に関連するリスクを軽減できます。

今週のセキュリティ関連のトップニュース

最近公開された脆弱性に関し、Trend Micro 社の Zero Day InitiativeZDI)が同社の研究者の功績を Microsoft 社が認めていないと公に指摘。ZDI のセキュリティ研究者は、Microsoft 社に最初に脆弱性を報告したのは 5 月のことで、Microsoft 社による今月のセキュリティ更新プログラムで公開されるまで、報告に対する反応は何もなかったと語っています。ZDI のブログ記事は、協調的脆弱性開示(CVD)に関する賛否や、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の CVD プログラムに存在する既存の問題について、セキュリティコミュニティにさらなる議論を巻き起こしました。また、脆弱性 CVE-2024-38112 の実際の性質については、まだ不確定な面があります。最初の発見者は「緊急」とみなされるべきリモートコード実行の脆弱性だと言っていますが、Microsoft 社が公開した内容では、CVSS スコアが低く、スプーフィングの脆弱性として特定されていました。Trend Micro 社はブログ記事で、「研究者だけが協調的であるなら CVD は機能しません。これらは Microsoft 社の例ですが、さまざまなベンダーでよく起こっていることであり、その場合に「協調」が意味するのは「問題について把握したことをすべて報告すれば何かが起こるかもしれない」ということでしかありません」と投稿しました。(情報源:Zero Day Initiativepopup_iconThe Registerpopup_icon

あるデータ漏洩事件により、スパイウェア mSpy の開発会社と同社の顧客リストが明らかに。データ流出サイト Have I Been Pwned? によると、未知の攻撃者が数百万件のカスタマーサポートチケットを窃取し、結果として 142GB のデータが流出する事態に至りました。顧客の個人情報、mSpy のサポートチーム宛の電子メール、添付ファイルなどの情報が漏洩しています。mSpy は、ユーザーの子どもや従業員を追跡できる電話機監視アプリケーションだと謳っていますが、たいていのスパイウェアと同様、監視対象者の同意がない状態で使用されるケースがほとんどです。窃取されたデータの中には、顧客とユーザーがサードパーティ製ソフトウェア Zendesk を介して mSpy サポートに送信した電子メールがあります。漏洩した電子メールには、ジャーナリストや、同社に対し召喚状や法的要求を提出しようとしている米国の法執行機関など、デバイスの追跡を望まなかった監視対象者が含まれています。デバイスが mSpy に感染すると、キーストロークの監視、テキストメッセージの確認、ユーザーの位置の追跡が行えるようになるほか、ソーシャルメディアのアカウント情報の収集や、監視対象者が送受信した写真の閲覧も可能になります。(情報源:TechCrunchpopup_iconPC Worldpopup_icon

イランの APT である MuddyWater が、BugSleep という新しいバックドアをマルウェアの攻撃手法に追加。セキュリティ研究者は BugSleep について、攻撃者が従来から使用する正規のリモートモニタリングツールに「部分的に置き換わる」ものだと述べています。MuddyWater は、イランの情報安全保障省(MOIS)とつながっていることで知られています。同グループの最近の攻撃では、イスラエル企業 10 社にフィッシングメールが送信されており、その内容はオンラインクラスやウェビナーに招待するというものでした。BugSleep の一部のバージョンにはカスタムのマルウェアローダーが付属しており、Microsoft Edge、Google Chrome、Microsoft OneDrive などの広く普及しているソフトウェアのアクティブなプロセスにバックドアを仕掛け、検出を回避できるようになっています。Talos は、米国、ヨーロッパ、中東、南アジアに広がる組織に対して過去数年にわたり MuddyWater が展開した複数の攻撃についてレポートしてきました。同グループによる攻撃の主な目的は、機密情報の窃取か、攻撃対象のネットワーク上でのランサムウェア実行のどちらかです。(情報源:The Registerpopup_iconBleeping Computerpopup_icon

Talos についての関連情報

Talos が参加予定のイベント

BlackHat USApopup_icon8 3 日~ 8 日)

ネバダ州ラスベガス

Defconpopup_icon8 8 日~ 11 日)

ネバダ州ラスベガス

BSides Krakowpopup_icon9 14 日)

クラクフ(ポーランド)

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0popup_icon
MD5 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201

SHA 256161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72dpopup_icon
MD5 fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: W32.File.MalParent

SHA 25624283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fepopup_icon
MD5 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名:Win.Dropper.Scar::tpd

SHA 256bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138apopup_icon
MD5 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd

SHA 2569be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202popup_icon
MD5e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201

 

本稿は 2024 年 07 月 18 日にTalos Grouppopup_icon のブログに投稿された「It’s best to just assume you’ve been involved in a data breach somehowpopup_icon」の抄訳です。

 

コメントを書く