まとめこれまでに詳しく取り上げた内容に加えて、今週の情報セキュリティニュースの概要を紹介します。
チップの欠陥を悪用した攻撃がウイルス対策業界を不安にさせる
まず、1 月の Meltdown および Spectre プロセッサのセキュリティ設計上の欠陥が、IT 業界を悩ませ続けています。
フォーティネットは火曜日、CPUのセキュリティ上の欠陥を悪用するコードの変種が先月119種類出回っているのが検出されたと警告する勧告を発表した。
サンプルはセキュリティラボのAV-Testによって収集されました。フォーティネットは、そのうち83%が概念実証型のエクスプロイトであることを確認しましたが、残りの17%はテスト対象として見つけることができませんでした。
この発見はいくつかの興奮を呼ぶ見出しを生みましたが、重要なのは、これはMeltdownやSpectreを悪用できるかどうかをテストする概念実証コードだということです。ハードウェアの欠陥を悪用してアプリケーションやOSからパスワードなどの機密情報を盗み出す、119個の新しいマルウェアではありません。
もちろん、概念実証コードはソフトウェアの脆弱性に埋め込まれ、システムに感染した後に悪用される可能性があります。しかしながら、今のところMeltdownやSpectreを悪用するマルウェアは知られておらず、少なくともアンチウイルスソフトウェアはプロセッサの欠陥を悪用しようとするコードを特定することで、この問題に対処しつつあります。
「サンプルは、脆弱性が悪用されるかどうかを確認するだけです。PoCは、サイドチャネル攻撃によってリアルタイムでデータを取得すること以外、いかなる損害も与えません」と、フォーティネットのディレクター、ジョン・ウェルトン氏はThe Registerに語った。
「私たちが調べたサンプルはすべて無害であり、概念実証コードに基づいていました。」
IntelおよびAMD搭載ハードウェアにおけるSpectreのパッチ適用プロセスは、多くの問題を抱え、多くの失敗も伴ってきました。問題の規模の大きさを考えると、ほとんどのプロセッサは当分の間、脆弱な状態が続くことになります。また、パッチ適用によってパフォーマンスに多大な影響が出るという問題もあり、本来適用すべきでないパッチ適用をためらう人もいます。
ありがたいことに、その点については朗報がありました。Linuxカーネル安定版のメンテナーであるGreg Kroah-Hartman氏がベンチマークを実施した結果、最新バージョンのカーネル(4.15)にアップグレードすることで、Spectreの脆弱性を修正することによるデメリットがほぼすべて軽減されることが分かりました。
バージョン4.15は、4.11ビルドと比較して7~9%高速化されているとのことです。Spectreパッチを追加すると新しいビルドの速度は低下しますが、速度向上により、パフォーマンスの低下はごくわずか、1~2%程度にとどまるはずです。ただし、ユーザーによってパフォーマンスの低下は異なる場合があります。
「過去1年間で7~9%の増加を達成するために懸命に努力した開発業者らは必ずしも満足していないかもしれないが、これは悲観的な報道に終止符を打つことになるだろう」とクロー・ハートマン氏は述べた。
「しかし、古いカーネル バージョン (つまり、3.10.y、4.4.y、4.9.y など、ディストリビューションが今後 10 年間使用するバージョン) に固執している場合は、まったく別の話になります。」
つまり、バックポートされたパッチを適用した古い Linux カーネルを実行しているシステムでは、基盤となるハードウェアと実行中のワークロードに応じて速度低下が発生します。
最高の韓国がさらに良くなった
Adobe 社は木曜日、Flash の厄介なバグが悪用され、被害者の Windows PC が乗っ取られているという韓国からの報告を認めた。
北朝鮮のハッカーがこの脆弱性を悪用し、暗黒の独裁政権、特に韓国の人々をスパイしていると考えられていました。そして今、シスコのセキュリティチーム「タロス」が、それを裏付けるさらなる証拠を発見しました。
Talosチームは、このエクスプロイトコードを韓国政府が支援するハッカー集団「Group 123」と関連付けました。このグループは、侵入したシステムを制御するためにROKRATと呼ばれるリモート管理ツールを使用することで知られており、前述のAdobeの脆弱性を悪用したのもこのソフトウェアでした。
どうやら、これによってノルウェー人は下級リーグの地位から卒業したようだ。
「グループ123は、ROKRATの最新ペイロードを使用して、一部の犯罪エリート集団に加わった」とタロスチームは金曜日に述べた。
彼らはAdobe Flashのゼロデイ脆弱性を利用しており、これは彼らのこれまでの能力の範囲を超えていました。過去の攻撃でもエクスプロイトは使用していましたが、今回のような全く新しいエクスプロイトを使ったことはありませんでした。この変化はGroup 123の成熟度における大きな変化を示しており、Group 123は高度なスキルと高いモチベーションを持ち、非常に洗練されたグループであると確信しています。
FireEyeのセキュリティ研究者によると、標的の選択からも攻撃者が北朝鮮出身であることが示唆されています。このコードは、政府、軍事、防衛産業、そして統一活動や脱北者に関する情報を狙って使用されました。
「これは、オリンピックに関して我々が懸念している北朝鮮の攻撃者の一つだ。情報収集や攻撃の実行に利用される可能性がある」と、ファイア・アイの情報分析ディレクター、ジョン・ハルトキスト氏は述べた。
「我々は、この攻撃を他の北朝鮮の攻撃者と関連付けていますが、この攻撃者が混乱や破壊活動に従事している様子は確認していません。実際に実行した様子は確認していませんが、ワイパー型マルウェアを展開している様子は確認しています。」
サイバー保険請求の急増
専門保険会社ビーズリーによると、いわゆるビジネスメール詐欺の増加により、サイバー保険の請求が大幅に増加したという。
こうした詐欺の典型的な手口は、次のようなものです。企業の幹部を装った悪意ある人物が従業員にメールを送信し、従業員の税金や銀行口座情報などの情報を要求します。従業員は騙され、機密情報のアーカイブを返信します。このような手口は頻繁に発生しています。
ビーズリー社に報告された不正指示事案は2017年に4倍に増加し、保険契約者の損失額は数千ドルから300万ドルに上ると伝えられています。米国に拠点を置く同社が収集した保険金請求データによると、昨年の平均損失額は35万2000ドルでした。
サイバー保険会社ビーズリーによると、詐欺的な指示による詐欺が増加しているという。
昨年、詐欺被害に遭った上位3つの業界は、専門サービス(ビーズリーに報告された全体の22%)、金融サービス(21%)、小売(12%)であったが、すべての業界で事件が増加しており、特に不動産購入などの単一の大規模取引が関係するところで事件が増加している。
Beazley Breach Response Servicesのグローバルヘッド、キャサリン・キーフ氏は次のように述べています。「サイバー犯罪者は、組織から苦労して稼いだお金を奪い取るための新たな手段を見出しています。2017年には、詐欺的な指示が新たなトレンドとして出現しました。これは、犯罪者にとってはほとんど労力をかけずに多額の報酬を得る一方で、被害者にとっては壊滅的な経済的損失をもたらす可能性があります。」
サーバーとドライブをロックする
あまり優秀ではないIT管理者を襲う、新しく、特に悪質なランサムウェアが蔓延しています。通常、ランサムウェアは、恐喝ソフトウェアを添付したスパムメールを送信し、賢くない人がクリックすることを期待して拡散します。しかし、Scarabの最新亜種であるScarabeyでは、首謀者たちは異なる手法を取っています。
「オリジナルのScarabのようにNecursマルスパム経由で配布されるのではなく、Scarabeyはロシアのユーザーをターゲットにしており、RDPまたはサーバーやシステムへの手動ドロップ経由で配布されていることが判明した」とMalwarebytes Labのリバースエンジニアリング担当者Vhioureas氏は水曜日に警告した。
ネット上では、Scarabey がバックドアとして機能し、リモートアクセスを可能にし、機密データを収集する可能性があるという記事がいくつか見られました。しかし、当社の分析では、これは事実ではないと考えています。
Scarabeyは非常に悪質なコードです。インストールされて文書を暗号化すると、時間の経過とともに復号料金が引き上げられ、一部のファイルが削除され始めます。このランサムウェアを退治したいなら、バックアップを常に準備し、検証済みでオフラインの状態に保つことを忘れないでください。
ウエスタンデジドー!
しかし、ネットワークストレージとしてWestern Digital製品を使用している場合、バックアップに問題が生じる可能性があります。Trustwaveの研究者は、WDが販売するMyCloudデバイスに2つの深刻な脆弱性を発見しました。
最初の問題は、MyCloudデバイスのWebベースのインターフェースにハードコードされた管理者認証情報が見つかり、ネットワーク上の誰でも、あるいは外部からアクセス可能なユーザーも、ユーザー名mydlinkBRionygを使用してアクセスできたことです。2つ目の問題は、ログインした一般ユーザーがWebコントロールパネルに任意のコマンドを挿入し、ガジェットのルートアクセスを取得できることです。
Trustwaveによると、WDは責任ある情報開示を実践しているにもかかわらず、対応が非常に面倒な存在となっているという。研究者たちはドライブメーカーに問題を報告し、修正方法を検討したものの、結局は拒否された。WDの最新ファームウェアをチェックして初めて、欠陥が修正されていたことが判明したのだ。パッチを適用するには、少なくともバージョン2.30.172がインストールされていることを確認してください。
感謝 – WDはそれを聞いています。®
