グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見

Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。

Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。

EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。

この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer(ウィートランスファー)やMicrosoft OneDrive(マイクロソフト・ワンドライブ)などの公開ファイル共有サービスにアップロードしたマルウェアをダウンロードさせるという手口を用いる。そのメール送信などの活動時間帯から、グループは中央または東ヨーロッパで活動している可能性が高いと、Googleは考えている。

Googleの研究者であるVlad Stolyarov(ヴラド・ストリャロフ)氏とBenoit Sevens(ブノワ・セブンス)氏は、公開前にTechCrunchに共有したブログ記事で「大規模な作戦に焦点を当てたサイバー犯罪グループにとって、このレベルの人的交流はかなり珍しい」と指摘している。

これらの悪意のあるペイロードは、当初はマイクロソフトのMSHTMLブラウザエンジンに存在するゼロデイ脆弱性(CVE-2021-40444として追跡されている)を悪用した文書の形をとっていたが、最近では攻撃者が「BazarLoader(バザーローダー)」マルウェアを隠したISOディスクイメージの配信に切り替えている。この移行から、Googleの研究者は、EXOTIC LILYが「WIZARD SPIDER(ウィザード・スパイダー)」という名称で追跡されているロシアのサイバー犯罪集団と関係があることが確認されたと述べている。UNC1878としても知られるWIZARD SPIDERは、2018年以降、企業や病院(米国のUniversal Health Services[ユニバーサル・ヘルス・サービス]を含む)、政府機関を標的に使用されてきた悪名高い「Ryuk(リューク)」ランサムウェアを使うサイバー攻撃組織だ。

この関係の性質は依然として不明だが、EXOTIC LILYはメール送信活動による初期アクセスの獲得に重点を置いており、Contiや「Diavol(ディアヴォル)」ランサムウェアの展開を含むその後の活動とは、別の独立した組織として運営されているようだと、Googleは述べている。

Googleによると、2021年9月に初めて観測され、現在も活動を続けているEXOTIC LILYは、活動のピーク時には1日に5000通以上のフィッシングメールを650もの組織に送信していたという。同グループは当初、ITやサイバーセキュリティ、ヘルスケアなど特定の業界をターゲットにしていたようだが、最近では、あまり特定の焦点にこだわらず、さまざまな組織や業界を攻撃し始めている。

Googleは、組織のネットワーク防御に役立てるため、EXOTIC LILYの大規模な電子メール活動から得たIOC(セキュリティ侵害インジケーター)も公開している

画像クレジット:Yasin Ozturk / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

中国が支援するサイバー攻撃グループAPT41、「少なくとも」米国6州のネットワークに侵入

サイバーセキュリティ大手Mandiant(マンディアント)によると、金銭的動機に基づく活動と並行してスパイ活動を行うことで知られる、活発な中国のハッキンググループ「APT41」が、米国の複数の州政府のネットワークに侵入した。

このグループは、2020年にAPT41のメンバー5人が米国で起訴されたことにもめげず、少なくとも米国6州のネットワークを標的にして数カ月にわたる活動を行い、侵入に成功した。これらの州にはMandiantから通知が送られたが、州名は明かされなかった。

2021年5月から2022年2月にかけてこのハッキンググループは、脆弱なインターネット向けウェブアプリケーションを利用して、州ネットワークへの最初の足がかりを得た。これには、18の州が動物の健康管理に使用しているUSAHerdsというソフトウェアアプリケーションのゼロデイ脆弱性や、ユビキタスJavaロギングライブラリであるApache Log4jの、現在有名になっているいわゆるLog4Shellの脆弱性の悪用が含まれていた。

Mandiantによると、APT41は2021年12月にApache Foundationがこの脆弱性について公に警鐘を鳴らしてから数時間でLog4Shellを悪用し始め、2州の政府ネットワークや保険・通信業界の他のターゲットが侵害されるに至った。ネットワークへの足がかりを得たAPT41は「大規模」なクレデンシャル収集を行った。

今回の調査ではまた、APT41が使用するさまざまな新しい技術、回避方法、能力も明らかにされた。ある事例では、APT41が独自ウェブアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後(この活動はMandiantによって阻止された)、2週間後に再び戻ってきて、まったく新しいゼロデイ・エクスプロイトでネットワークを再び侵害した。また、このグループは、マルウェアを被害者の環境に合わせ、特定のフォーラムの投稿で暗号化されたデータを頻繁に更新し、マルウェアが攻撃者のコマンド&コントロールサーバから指示を受けることができるようにしていた。

Mandiantは、ハッカーが個人を特定できる情報を流出させた証拠を確認したと述べたが、これは一般的にスパイ活動によくあることで、活動の目的は依然として不明だ。

Mandiantの主席脅威アナリストであるGeoff Ackerman(ジェフ・アッカーマン)氏は、ウクライナ侵攻を受けて世界がロシアのサイバー脅威の可能性に注目している一方で、今回の調査は、世界中の他の主要な脅威要因が通常通り活動を継続していることを思い出させるものだ、と述べた。

「特に、最も活発な脅威組織の1つであるAPT41の活動が今日まで続いているという我々の調査を踏まえると、他のサイバー活動を見過ごすことはできません」とアッカーマン氏は話した。「APT41はまさに持続的な脅威であり、直近の活動は、米国の州レベルのシステムがロシアだけでなく、中国などの国家支援ハッカーから容赦なく圧力を受けていることを改めて認識させるものです」。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

Google Playで発見されたデータ窃盗アプリ、数千回ダウンロードされる

パスワードやテキストメッセージなどのユーザーデータを盗むよう設計された悪名高いAndroidバンキングトロージャンがGoogle Playで発見され、すでに数千回ダウンロードされた。

AnatsaやToddlerとしても知られるTeaBotバンキングトロージャンは、2021年5月に初めて発見され、テキストメッセージで送られた2要素認証コードを盗み出すことで欧州の銀行をターゲットにしている。オンライン詐欺の管理および防止ソリューションを提供するCleafyの新しいレポートによると、現在、このマルウェアは第2段階の悪意のあるペイロードを介して配布されるように進化しており、ロシア、香港、米国のユーザーを標的にしているとのことだ。

Cleafyによると、以前はTeaTV、VLC Media Player、DHLやUPSといった配送アプリなど、一般的なアプリを餌にしたSMSベースのフィッシングでマルウェアが配布されていたが、アプリ内の偽アップデートという方法でTeaBotを配布するためにGoogle Playの不正アプリが「ドロッパー」として機能していた、と同社の研究者は指摘する。ドロッパーは、正規のアプリに見えるが、実際には第2段階の悪意のあるペイロードを配信するアプリだ。

アプリ「QR Code & Barcode – Scanner」は削除されたが、発見されるまでに1万回超ダウンロードされた。しかし、このアプリは約束された機能を提供しているため、アプリのほぼすべてのレビューが肯定的な評価だ。

このアプリは正規のものに見えるが、すぐに2つ目のアプリ「QR Code Scanner: Add-On」のダウンロード許可を要求してくる。アドオンは、複数のTeaBotのサンプルを含んでいる。インストールされると、TeaBotはログイン情報、SMSメッセージ、2要素コードなどの機密情報を取得するために、デバイスの画面を表示し、制御する許可を求める。また、他の悪意のあるAndroidアプリと同様、Androidのアクセシビリティサービスを悪用して、マルウェアがキーボード入力を記録できるよう権限を要求する。

「公式Google Playストアで配布されるドロッパーアプリは、いくつかの許可を要求するだけで、悪意のあるアプリは後からダウンロードされるため正規のアプリに紛れてしまい、一般のウイルス対策ソリューションではほとんど検出できません」とCleafyは警告している。

TechCrunchはGoogleにコメントを求めたが回答は得られなかった。しかし、このアプリはGoogle Playから削除されたようだ。

Cleafyによると、TeaBotは現在、ホームバンキングアプリ、保険アプリ、暗号資産ウォレット、暗号資産取引所など400以上のアプリを標的にしていて、1年未満で500%以上増加している。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米政府機関が警告、ウクライナを標的にしているワイパー型マルウェアは他国にも飛び火する可能性

米国サイバーセキュリティー・インフラセキュリティー庁庁(CISA)および連邦捜査局(FBI)は、ウクライナ国内組織の攻撃に用いられているワイパー型マルウェアが米国内の企業に影響を及ぼす可能性があると警告する共同勧告を発表した。

週末に公開された勧告は、WhisperGate(ウィスパーゲート)およびHermeticWiper(ハーメティック・ワイパー)という最近ウクライナ国内組織に対する攻撃で使われたことがわかった2つの破壊的マルウェア種に関する情報を提供している。

WhisperGateはワイパー型マルウェアの一種で、ランサムウェアを装っているが、ファイルを暗号化するのではなく、システムのマスターブートレコードを破壊の標的にしている。このマルウェアを最初に見つけたのはMicrosoft Threat Intelligence Center(マイクロソフト脅威インテリジェンス・センター)で、去る1月にウクライナの政府、非営利団体、テック企業を含むターゲットに対する複数のサイバー攻撃で使用されていた。

もう1つの破壊的ワイパー型マルウェアであるHermeticWiperは、ロシアによる侵攻が開始される直前にウクライナ企業を標的にして使用された。セキュリティ製品企業のESETが発見したこのマルウェアは、コンピュータを制御不能に陥らせる。ESETが観察したウクライナ国内数百のコンピュータを標的としたその攻撃は、国のいくつかの重要なウェブサイトをオフラインに追いやった一連の分散型サービス妨害(DDoS)攻撃の数時間後に出現した。

共同勧告は、米国企業に対する脅威でロシア・ウクライナ緊張に直接結び付くものは見つかっていないが、各企業は防御体制を強化し、警戒を強める必要があると警告している。

「破壊的マルウェアは組織の日常業務に直接的脅威をもたらし、重要な資産やデータの利用に影響を及ぼす可能性がある」とCISAおよびFBIは勧告で言った。

「ウクライナ国内組織に対するさらなる破壊的サイバー攻撃が起きる可能性は高く、意図せず他国の組織に波及することもありうる。組織は警戒を強め、そのような事象に対する計画、準備、発見、対応の能力を確認すべきだ」と付け加えた。

米国は、一連のワイパー攻撃を正式にロシアに結びつけていないが、マルウェアを拡散する脅威の行為者は、ロシアの「いわれなきウクライナ侵攻」につながっている、と勧告は述べている。

CISAとFBIは、組織が破壊的ワイパー型マルウェアから身を守るためのセキュリティ侵害インジケーター(IOC)を提供するとともに、多要素認証を有効化し、アンチウイルス・アンチマルウェア・プログラムの導入、スパムフィルターの設定、あらゆるソフトウェアのアップデート、ネットワークトラフィックのフィルタリングなどの対策を講じることで、自らを保護するよう企業に要求した。

関連記事:ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

横浜国立大学とゼロゼロワン、家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」を無料提供開始

横浜国立大学とゼロゼロワン、家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」を無料提供開始

横浜国立大学ゼロゼロワンは2月24日、家庭用ルーターやスマート家電を始めとしたIoT機器のマルウェア検査サービス「am I infected?」(アム・アイ・インフェクテッド)の提供を開始したと発表した。費用は無料で、オプションなどによる追加料金は発生しない。

両者は、同サービスの提供により、脆弱なIoT機器の根本原因の解決や効果的な注意喚起手法などに向けて、さらなる研究開発に活かすとしている。今後もサイバーセキュリティの研究を通じて、安全・安心な社会の実現に貢献する。

「am I infected?」は、家庭用ルーターやスマート家電などIoT機器がマルウェアに感染していないか、脆弱な状態で利用していないかを利用者自身で検査・対策できる無料サービス。

専用サイトにおいて、検査結果を送信するメールアドレスの入力と、検査を実施する環境に関するアンケートに回答することで、同ウェブサイトにアクセスした際に利用しているIPアドレスに対して検査を実施する。

検査結果は、入力したメールアドレス宛てに検査結果ページへのリンクが送付される。万が一、マルウェアへの感染が疑われる場合は同ページの推奨対策を参考に利用者自身で対策を行う。

横浜国立大学とゼロゼロワン、家庭用ルーターなどIoT機器のマルウェア検査サービス「am I infected?」を無料提供開始

安全な状態の表示例

マルウェア感染が疑われる際の表示例

マルウェア感染が疑われる際の表示例

同サービスは、横浜国立大学 情報・物理セキュリティ研究拠点が運用しているハニーポットのほか、ゼロゼロワンが開発・提供するIoT検索エンジン「Karma」(カルマ)のデータ、情報通信研究機構(NICT。エヌアイシーティー)が開発・運用するサイバー攻撃観測・分析システム「NICTER」(ニクター)のデータを利用している。

横浜国立大学 情報・物理セキュリティ研究拠点とゼロゼロワンは、2021年6月より横浜国立大学内外のセキュリティスキャンに関する共同研究を行っており、今回のサービスは学外のIPアドレスに対するセキュリティスキャンの成果を活用しているという。

また横浜国立大学は、NICTが2021年4月に創設した産学官連携拠点「CYNEX」(サイネックス。Cybersecurity Nexus)に参画しており、CYNEXのサブプロジェクト「Co-Nexus S」(Security Operation & Sharing)よりNICTERの観測データの提供を受けている。

横浜国立大学 情報・物理セキュリティ研究拠点では、サイバー攻撃の実観測、分析に基づき、対策を導出する研究を行っている。IoT機器のウェブインターフェースを模倣したハニーポットと、Telnetと呼ばれる脆弱なサービスを動作させたハニーポットを運用しており、IoT機器の脆弱性を利用した攻撃や、IoT機器に感染するマルウェアを収集しているそうだ。

同ハニーポットによりサイバー攻撃をひきつけ、詳細に観測する受動的観測や攻撃の対象となる脆弱なシステムを探索する能動的観測により、これらの状況を把握し、独自の分析により、そのメカニズムを明らかにすることで、効果的な対策を導出するという。また、これまでIoTにおけるサイバー攻撃やマルウェア感染の蔓延、超大規模サービス妨害攻撃の観測、分析を行い、その観測・分析結果を多数の公的機関・民間企業・研究コミュニティに提供している。

ゼロゼロワンは、IoT機器開発事業者向けに設計段階におけるセキュリティ面での不安解消や想定外の脅威を作らないための支援を行うとともに、IoT機器を安全・安心に利用してもらうための啓蒙活動を行う会社。

公開情報を情報源とするOSINT(オシント。Open Source INTelligence)を含む様々な情報を可視化する検索エンジンであるKarmaと、より安全な製品開発のためのコンサルティングサービスを事業の柱としている。

消費者を守るために、米国議会はアプリストアのサプライチェーンを保護するべきだ

2022年2月上旬、ユーザーの携帯端末に未審査のアプリケーションをインストールできるようにすることなどを端末メーカーに義務づける法案「Open App Markets Act」が、米国上院司法委員会で承認された

この法案は、スマートフォン黎明期から続く、公式アプリストアからしかアプリケーションをインストールできない「壁に囲まれた庭」のようなアプリ流通モデルに対峙する。多くの人が、アプリストアの競争によって消費者にもたらされる潜在的な利益に注目しているが、本法案の一部は、監視されていないルートでのアプリ配信を可能にすることで、意図しない、しかし潜在的に重大なデバイスセキュリティのリスクを導入するものだ。

今日の「壁に囲まれた庭」モデルからの脱却は、ユーザーに新たなセキュリティリスクをもたらし、ユーザーはより多くの悪質なアプリが存在するストアを利用することになるかもしれない。Apple(アップル)、Microsoft(マイクロソフト)、Google(グーグル)などの大手ソフトウェア企業が運営するアプリストアでは、販売するアプリにマルウェアや脆弱性がないかどうかを審査している。

このような審査は、特に人による審査がない場合、不完全である可能性があるが、これらのストアの管理された性質は、悪意のあるサイバーアクターがアプリを使用してユーザデータを盗んだり詐欺を行ったりする能力を大幅に低下させる。

これに対し、中国に多く存在するような規制の緩いアプリストアは、マルウェアを含む危険なアプリの温床となる。最も基本的なセキュリティチェックが行われていない規制の不十分なアプリストアは、データを盗んだり詐欺にあったりする危険なアプリをユーザーが簡単にダウンロードできるようになるため、消費者のリスクが増大する。

アプリストアは、現代のソフトウェアサプライチェーンの中心的な役割を担っている。アプリストアが消費者に提供するアプリは、私たちの日常生活に欠かせないものであると同時に、非常に機密性の高いデータと結びついている金融、健康、個人向けサービスなどを含んでいる。

個人および中小企業は、大企業が自社のデバイスにインストールできるソフトウェアを管理するためにつかうのリソースを持たないため、悪意のあるアプリによってデータを盗まれたり、詐欺にあったりするリスクが高くなる。

例えば、最近のFlubotマルウェア攻撃は、標的型テキストメッセージを利用して受信者に不正アプリをダウンロードさせ、攻撃者が金融情報を盗み出したりメッセージを傍受したりすることを可能にするものだった。このマルウェアは、Googleのアプリストア以外からのアプリのインストールを許可するようユーザに要求するもので、不正アプリが無防備なユーザにいかに大損害を与えるかを示す例になっている。

Flubotは、危険なソフトウェアを使用して機密データを盗んだり、データの身代金を要求したりする、より大きなトレンドの一部に過ぎない。このような傾向の危険性は、公式ストアのようなアプリ審査やセキュリティスクリーニングがない無規制のマーケットプレイスへの移行によってさらに拡大します。

アプリの自由な「サイドローディング」(公式アプリストア以外からアプリをインストールすること)を許可すると、ウェブ上のどこからでもアプリをインストールできるようになり、さらに大きなリスクが生じる。これにより、ユーザはより多くの無料アプリにアクセスできるようになるかもしれないが、同時に、ユーザを騙してマルウェアが仕込まれたアプリをインストールさせる攻撃の重大な機会を生み出すことにもなる。そのインストールの結果が銀行口座が空っぽの銀行口座であれば、無料アプリは無料とは言えない。

幸いなことに、米国議会は、消費者であるエンドユーザーを保護するために、新しいアプリストアに対してセキュリティ基準を課すことができる。

まず、アプリストアに対して、人間によるレビューを含む、基本レベルのセキュリティレビューとアプリの監視を義務付けることができる。人間による審査は、アプリが使用する権限がアプリの広告を反映していることを確認するのに役立ち、悪意のあるアプリが想定外のことを行うのを防ぐのに不可欠なステップとなる。

第二に、米国やその他の政府は、無制限の「サイドローディング」を義務付ける計画を断念すべきだ。一般的なエンドユーザが、付随するセキュリティリスクを理解しないまま、数回のクリックで未知のアプリをインストールできるとしたら、そのリスクはあまりにも大きすぎる。

最後に、悪意のあるアプリをインストールするリスクを減らすために、公式アプリストアにこだわることを選択するユーザもいるかもしれないが、これらのストア以外からアプリをインストールすることにしたユーザは、信頼できないソースからのアプリのインストールをブロックし、オープンウェブや信頼できないアプリストアからのアプリを避けることによって、リスクを減らすために、デバイスの衛生状態をよく保たねばならない。

悪意のあるアプリがもたらすリスクは常に存在するが、政策立案者とユーザは、競争が激化するアプリストア空間がユーザの個人データへの脅威を最小限に抑えることを保証するために、より多くのことを行うことができる。上記のような基本的なセキュリティ基準を既存の提案に追加することで、アプリストアの新たな選択肢がもたらすセキュリティリスクを最小化することができる。

編集部注:執筆者のMichael Chertoff(マイケル・チェルトフ)氏は元国土安全保障長官で、「Exploding Data:Reclaiming Our Cyber Security in the Digital Age」の著者。現在はテクノロジー分野を顧客とするセキュリティおよびリスク管理会社Chertoff Group(チェルトフ・グループ)の会長。

画像クレジット:Jorg Greuel / Getty Images

原文へ

(文:Michael Chertoff、翻訳:Yuta Kaminishi)

キャノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される

Maze、Egregor、Sekhmetランサムウェアファミリーのデクリプターが公開された。これはサイバー犯罪者が最近の法執行機関の動きに脅かされていることを示している。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

Mazeは、かつて最も活発で悪名高いデータ窃盗ランサムウェアグループの1つとされていた。2019年5月に活動を開始したこのギャングは、ハッカーがまず被害者のデータを抽出し、身代金を支払わなければ盗んだファイルを公開すると脅すという、二重恐喝モデルを導入したことで悪名を馳せた。典型的なランサムウェアグループは、ファイルを暗号化するマルウェアを被害者に感染させ、ファイルを人質にして暗号資産を要求する。

2020年11月に閉鎖を発表したこのグループは、Cognizant(コグニザント)、Xerox(ゼロックス)、LG、Canon(キャノン)など、数多くの著名企業を被害者にした。

関連記事
悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言
IT最大手のCognizantがランサムウェア攻撃を受けたことが判明

Egregorは2020年9月、Mazeの活動が停止し始めた頃に現れ、前身と同じ二重恐喝の手法を採用した。Ubisoft(ユービーアイソフト)、Barnes & Noble(バーンズ・アンド・ノーブル)、Kmar(Kマート)、バンクーバーの地下鉄システムなど、多くの被害者を出したものの、2021年2月にEgregorのメンバー数名がウクライナで逮捕されたため、活動は短命に終わった。

2020年3月に活動を開始したSekhmetは、MazeやEgregorと多くの類似点を持っている。後者よりも先に登場しているが、サイバーセキュリティ研究者は、類似した戦術、難読化、APIコール、身代金要求メッセージを観察している。

米国時間2月9日、これら3つのオペレーションの開発者を名乗る「Topleak」と名乗る人物が、Bleeping Computerフォーラムへの投稿で、3つすべてのランサムウェアファミリーの復号鍵を公開した。

Topleak は「多くの疑惑を招くことになり、そのほとんどが虚偽となるため、強調しておく必要がありますが、これは計画的なリークであり、最近の逮捕やテイクダウンとは何の関係もありません」と述べ、チームメンバーの誰もランサムウェアに戻ることはなく、ランサムウェアのソースコードはすべて破棄したと付け加えた。

復号鍵が正規のものであることを確認したEmsisoft(エムシソフト)は、Maze、Egregor、Sekhmetの被害者が無料でファイルを復元できるようにデクリプターをリリースした。

Emsisoftのランサムウェア専門家であり、脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、復号鍵の公開は、サイバー犯罪者が動揺していることを示す1つの兆候であるとTechCrunchに語っている。

「復号鍵を公開したことは、最近のREvilの逮捕とは何の関係もないとギャングは主張していますが、そんなわけありません。現実には、彼らのコストとリスクがともに増加しているのです」とキャロウ氏はいう。「ランサムウェアがこれほど大きな問題になったのは、サイバー犯罪者がほとんど完全に無罪放免で活動できたからです。しかし、もはやそれは通用しません。問題が解決されたわけではありませんが、リスクとリターンの比率において、(犯罪者にとって)より多くの『リスク』が存在するようになりました」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

【コラム】「セキュリティ・バイ・デザインの時代がやってきた

近年、サイバー犯罪者の手口はますます巧妙になっている。最新のトレンドや世間の関心が高い問題を悪用してマルウェアを拡散し、無防備なユーザーから個人情報を盗むのである。

お気に入りのテレビ番組に関するアプリであろうと、新型コロナ関連の政府の健康情報であろうと、荷物の不在配達の追跡であろうと結果はどれも同じで、結局はデバイスを感染させて詐欺や盗難を行うのだ。

ごく一般的な種類のマルウェアからデバイスを保護するためには、日頃からの基本的なサイバーセキュリティ衛生が鍵となる。しかし、非常に巧妙なサイバー攻撃を防ぐためには、テクノロジーにあらかじめ組み込まれたセキュリティが欠かせないのである。

シークレットサービスは大統領を守ることで有名だが、彼らの別の主要任務には米国の金融インフラと決済システムを保護し、米国の偽造通貨、銀行・金融機関詐欺、不正資金操作、ID窃盗、アクセス機器詐欺、サイバー犯罪など、幅広い金融・電子犯罪から経済の健全性を維持するというものがある。

モバイル機器が広く普及した現在、国土安全保障省(DHS)が推奨しているように「ユーザーはアプリのサイドロードや未承認アプリストアの使用を避けるべきであり、企業もデバイス上で禁止すべき」なのである。

サイバー犯罪者にとって今回のパンデミックは実に好都合であったと話すのは連邦捜査局のPaul Abbate(ポール・アベイト)副局長だ。「社会のテクノロジー依存から利益を得る機会を利用して、インターネット犯罪が盛んになった」のである。

FBIのインターネット犯罪苦情センターに寄せられた苦情は、2020年には79万1790件を記録し、前年の約2倍、前年比で過去最大の伸びを記録している。特に陰湿な例としては、ワクチン予約のためのアプリをダウンロードするよう促すテキストメッセージが送られるというもので、そのユーザーの連絡先にあるすべてのデバイスにマルウェアを送り、個人データや銀行情報を盗み出すというものがあった。

2021年初め、英国の国家サイバーセキュリティセンター(NCSC、National Cyber Security Centre)は、パンデミック時に多発した不在配達の荷物の追跡リンクを装った新種のマルウェアについて注意を呼びかけた。このリンクは、FluBotと呼ばれるマルウェアアプリケーションをダウンロードさせ、ユーザーの銀行口座やその他の金融口座の詳細を危険にさらすのである。サイバーセキュリティの研究者によると「悪意のあるSMSメッセージ(FluBot)の量は、1時間あたり数万件に上ることがある」という。さらにハッカーたちは大ヒットテレビ番組「イカゲーム」の人気に乗じて、同番組に関連するアプリに隠されたマルウェアを使ってモバイル機器を狙うというサイバー犯罪の新風を巻き起こしてさえいるようだ。

モバイル端末は今やインターネットの主要なアクセスポイントとなっており、2020年の米国におけるウェブサイトアクセス数の61%はモバイル端末によるものである。これは2019年に多数派に転じたばかりの傾向だが、すでに確固たる事実として確立されている。これを反映するかのようにモバイル端末へのサイバー攻撃が増加し、FBIに寄せられたフィッシングやスミッシング攻撃(悪意のあるリンクが貼られたメールやSMSテキストメッセージ)の苦情は2020年には倍以上に増え、2019年の11万4702件から2020年は24万1342件となっている。

ある調査によると、年末商戦を迎えるにあたり、買い物客の55%以上が少なくとも1回はモバイル端末で買い物をすると言われており、端末の所有者が攻撃から身を守るための予防策を講じることが不可欠だと言える。

NCSCが推奨する対策は、頻繁にデバイスのバックアップを取る、ウイルス検出ソフトウェアを使用する「メーカーが推奨するアプリストアからのみ新しいアプリをインストールする」などのごく基本的な保護策だ。DHSの指針も同様だが、加えてOS、アプリ、その他のソフトウェアを定期的に更新することの他、ユーザーと企業が多要素認証を採用することなどの勧告も含まれている。

サイバー衛生のシンプルな推奨事項を実行することで攻撃に対する防御の層を形成し、モバイル機器への不正アクセスの脅威を劇的に減少させることができる。しかし、このようなユーザーの行動が重要かつ効果的であるのと同時に、サイバー犯罪者は人間の心理や行動を利用した高度な技術を駆使してユーザーを欺き、デバイスに侵入するのである。

ソーシャルエンジニアリング攻撃と呼ばれるこの種の攻撃は、人間同士の交流や社会的スキルを利用してユーザーを騙し、攻撃者がデバイスやシステムにアクセスできるようにするだけでなく、時にはオプションのセキュリティ保護をユーザー自らに無効化させてしまうことさえある。FluBot、偽の予防接種サイト、悪意のある「イカゲーム」アプリなどの攻撃は、すべてソーシャルエンジニアリングの一例だ。

DHSのサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)によると、モバイル機器の所有者は、テキストメッセージを通じたソーシャルエンジニアリング攻撃に対してより脆弱である可能性があるという。モバイル機器は「メール、音声、テキストメッセージ、ウェブブラウザの機能を統合しているため、操作された悪質行為の犠牲になる可能性が高くなる」のである。

2021年初めに開催されたホワイトハウスのサイバーセキュリティサミットでは、不正アクセスから保護するための、サイバー衛生に留まらない方法が話し合われた。「今後、テクノロジーの安全性はデフォルトとして構築されていく必要があります。我々は皆、安全な技術を購入していることを確信できなければならないのです」とホワイトハウスの高官は述べている

セキュリティ・バイ・デザインのモバイル機器は、サイバー衛生管理をあらかじめデバイスに組み込み、セキュリティの方程式から人間の心理を排除するのである。シートベルトやエアバッグも当初は自動車購入者のオプションとして始まったが、今ではすべての自動車に必須の安全装備となっているのである。

多要素認証や公式アプリストア以外からのアプリのダウンロード禁止など、基本的なサイバー衛生管理は、設計上システムに組み込むことが可能である。このような保護機能が最初から組み込まれているモバイル端末であれば、端末所有者が人気番組に興味を持ったりパンデミックを心配したりしたとしても、ソーシャルエンジニアリング攻撃に対して脆弱になることはないだろう。

確かに市民は、サイバーセキュリティ機関が推奨する基本的なサイバー衛生に従うべきである。しかし、作り手が高度なソーシャルエンジニアリング攻撃を回避し、技術の設計に高度なセキュリティ保護を組み込むことが必要不可欠なのではないだろうか。

画像クレジット:Andriy Onufriyenko / Getty Images

原文へ

(文:Mark Sullivan、翻訳:Dragonfly)

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

マイクロソフトが中国が支援するハッカーたちのウェブサイトを掌握

Microsoftは、中国政府が支援するハッキンググループが米国を含む29カ国の組織を標的にしていた多数のウェブサイトを掌握した。

MicrosoftのDigital Crimes Unit(DCI)の米国時間12月6日の発表によると、バージニア州にある連邦裁判所の許可により同社は、ウェブサイトのコントロールを奪いトラフィックをMicrosoftのサーバーへリダイレクトすることを認められた。同社によると、これらの悪質なウェブサイトは、国をスポンサーとするNickel(APT15)と呼ばれるハッキンググループが使用して、各国の政府機関やシンクタンク、人権団体などから情報を収集していたという。

MicrosoftはNickelのターゲットの名前を挙げていないが、同グループが米国とその他28カ国の組織を標的としていたという。。また「Nickelのターゲットと中国の地政学的関心の間に関連があることが多かった」とのこと。

2016年からNickelを追っていたMicrosoftはこの前の報告書で同グループを、政府機関を狙う「もっとも活発な」ハッキンググループと呼び、侵入と監視とデータの窃盗を可能とする検出困難なマルウェアをインストールする「高度に洗練された」攻撃を観察したという。ときには、Nickelの攻撃を利用してサードパーティの仮想プライベートネットワーク(VPN)の提供企業を侵害したり、スピアフィッシング作戦で認証情報を取られたこともあるとMicrosoftは述べた。さらに他のケースでは、Microsoft自身のExchange ServerやSharePointシステムの脆弱性を利用して企業への侵入が行われた。ただしMicrosoftの話では「これらの攻撃の一環としてMicrosoft製品の新たな脆弱性が見つかったことはない」とのことだ。

Microsoftのカスタマー・セキュリティ&トラスト副社長であるTom Burt(トム・バート)氏は次のように述べている。「悪質なウェブサイトのコントロールを掌握し、それらのサイトからのトラフィックをMicrosoftの安全なサーバーにリダイレクトすることにより、既存および今後の被害者を保護し、また同時に、Nickelの活動について詳しく知ることができます。私たちの妨害行為でNickelの今後の他のハッキング行為を防ぐことはできませんが、この集団が最近の一連の攻撃で依存していたインフラストラクチャの重要な部分を取り除いたと信じています」。

Nickelが標的とした組織は米国以外ではアルゼンチン、バルバドス、ボスニアとヘルツェゴビナ、ブラジル、ブルガリア、チリ、コロンビア、クロアチア、チェコ共和国、ドミニカ共和国、エクアドル、エルサルバドル、フランス、ホンジュラス、ハンガリー、イタリア、ジャマイカ、マリ、メキシコ、モンテネグロ、パナマ、ペルー、ポルトガル、スイス、トリニダード・トバゴ、英国そしてベネズエラといった国のものだ。

Microsoftによると、同社のDigital Crimes Unitは、24の訴訟を通じて、サイバー犯罪者たちが使っていた1万ほどの悪質なウェブサイトと、国民国家の関係者たちのおよそ600のウェブサイトを打倒した。そして2021年初めには、62カ国の被害者を偽メールで攻撃した大規模なサイバー攻撃で利用された悪質なウェブドメインを掌握している

画像クレジット:ilkaydede / Getty Images(Image has been modified)

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

米オリンパスへのサイバー攻撃は米制裁対象のロシア製ランサムウェアグループと関連か

日本の大手企業Olympus(オリンパス)に対する「進行中」のサイバー攻撃は、米国政府による制裁対象となったロシアのランサムウェアグループによって引き起こされたと、この事件を知る2人の人物が語った。

10月10日に始まったこの攻撃では、「Macaw」と呼ばれる新しいマルウェアの亜種が使用され、米国、カナダ、ラテンアメリカにあるオリンパスのシステムが暗号化されている。Macawは、マルウェア「WastedLocker」の亜種で、いずれも2019年に米財務省の制裁を受けたロシアを拠点とする犯罪グループ「Evil Corp」が作成したものだ。

関連記事
オリンパスが米国での新たなサイバー攻撃を認める、ランサムウェア「BlackMatter」がEMEA地域のシステムを攻撃した数週間後に
Garminがサービスダウンはランサムウェアによるものと認める(一部機能は未復旧)

オリンパスにとってこの数カ月で2度目のランサムウェア攻撃となった。9月にも、ランサムウェアグループ「BlackMatter」によって欧州、中東、アフリカのネットワークがオフラインになっていた(BlackMatterとEvil Corp.の関連性は不明)。

「オリンパスは先月BlackMatterの攻撃を受け、1週間ほど前にもMacawの攻撃を受けました」とセキュリティ会社Recorded Futureのシニア脅威アナリストであるAllan Liska(アラン・リスカ)氏はTechCrunchに話した。リスカ氏によると、Macawは、ハッキングされたコンピューターに、被害者からデータを盗んだと表明する身代金請求書を残すという。

オリンパスは10月19日の声明で「データ流出の可能性」を調査しているとした。これは「二重恐喝」と呼ばれるランサムウェア・グループの一般的な手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、ファイルを復号するために身代金を支払わなければ、ファイルをオンラインで公開すると脅す。

オリンパスの広報担当者Jennifer Bannan(ジェニファー・バナン)氏は、TechCrunchが10月20日に問い合わせた際、質問には答えず、同社が身代金を支払ったかどうかについても言及しなかった。

同社は「当社のシステム、顧客、その患者の安全のため、犯罪者とその行動についてはコメントしません。当社は、影響を受ける関係者に適切な通知を行うことを約束します」との声明を発表した。

財務省の制裁措置により、米国を拠点とする企業はファイルを取り戻すために身代金を支払うことが難しくなっている。これは、米国人が制裁対象の企業と取引することは「一般的に禁止」されているためだ。Evil Corpは、米国の制裁措置を回避するために、これまでに何度もマルウェアの名前を変えたり、修正したりしてきた。

ブルームバーグが10月20日に報じたところによると、先週、80以上の市場で185のテレビ局を所有または運営しているSinclair Broadcast Group(シンクレア・ブロードキャスト・グループ)に対してもMacawが使われ、広い範囲で混乱を引き起こした。Sinclairは10月18日の声明で、同社のネットワークからデータが盗まれたものの、どのような情報が盗まれたのか正確にはわからないと述べた。

Evil Corpは、2020年にランサムウェア攻撃を受けて約1週間サービスを停止したGarmin(ガーミン)や、保険大手のCNAにも攻撃を仕掛けた。

関連記事:ランサムウェア攻撃によってGarminのサービスが世界的に停止

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker, Carly Page、翻訳:Nariko Mizoguchi

【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている

何十万人もの人々の個人的な電話データが危険にさらされている。通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報、通話録音など、広く使われている消費者向けスパイウェアにおけるセキュリティ上の問題から、人の電話からすべてのデータが引き出される可能性がある。

しかし、私たちが伝えることができるのはその程度のことなのだ。TechCrunchは、身元が明らかになっていない開発者に、判明しているメールアドレスと非公開のメールアドレスすべてを使って何度もメールを送ったが、この問題を明らかにするための糸口は見えなくなってしまった。メールが読まれたかどうかを確認するために、オープントラッカーを使ってメールを送ったが、これもうまくいかなかった。

この問題が解決されるまでは、何千人もの人々のセキュリティとプライバシーが危険にさらされていることになるため、我々はスパイウェアの開発者へ連絡を試みた。スパイウェアやその開発者の名前を出すと、悪意のある者が安全ではないデータにアクセスしやすくなるため、ここで名前を出すことはできない。

TechCrunchは、消費者向けのスパイウェアに関する広範な調査の一環として、このセキュリティ問題を発見した。これらのアプリは、子どもの追跡や監視のためのソフトウェアとして販売されていることが多いのだが、本人の同意なしに人を追跡したり監視したりすることから「ストーカーウェア」と呼ばれることもある。これらのスパイウェアアプリは、無言で継続的に人の携帯電話のコンテンツを吸い上げ、その運営者が人の居場所や通信相手を追跡できるようにしてしまう。これらのアプリは、発見されたり削除されたりしないように、ホーム画面から消えるように設計されているため、多くの人は自分の携帯電話が危険にさらされていることに気づかない。

関連記事:「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

電子フロンティア財団のサイバーセキュリティ担当ディレクターで、ストーカーウェア反対連合の立ち上げを主導したEva Galperin(エヴァ・ガルペリン)氏は、TechCrunchとの電話で「失望しましたが、少しも驚いていません。このような行為は、怠慢であると考えるのが妥当だと思います。悪用を可能にする製品を作っている企業があるだけでなく、流出した情報を保護するための対策があまりにも不十分なため、悪用された情報をさらに悪用する機会を与えてしまっているのです」と述べている。

TechCrunchは、開発者のスパイウェアのインフラににホスティングを提供しているウェブ企業のCodero(コデロ)にも連絡を取ったが、Coderoはコメント要請に応じなかった。Coderoはストーカーウェアのホスティングに精通している。このウェブホストは2019年にストーカーウェアメーカーの「Mobiispy」に対して、数千枚の写真や電話の記録を流出させていたことが発覚し「行動を起こした」という。

「あるストーカーウェア企業をホストしているウェブホストが、他のストーカーウェア企業をホストするのは当然だと思いますし、以前に反応を示さなかったのであれば、今回も反応を示さないのは当然でしょう」とガルペリン氏は述べている。

このように簡単に手に入るスパイウェアが蔓延していることから、業界全体でこれらのアプリを取り締まる取り組みが行われている。アンチウイルスメーカーは、ストーカーウェアを検出する能力の向上に努めており、また、Google(グーグル)は、スパイウェアメーカーに対して、配偶者の携帯電話を盗み見る方法として製品を宣伝することを禁止しているが、一部の開発者は、Googleの広告禁止を逃れるために新たな戦術を用いている。

関連記事:グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止

モバイルスパイウェアは、セキュリティ上の問題として他人事ではない。ここ数年の間に「mSpy」「Mobistealth」「Flexispy」「Family Orbit」など、10社以上のストーカーウェアメーカーがハッキングされたり、データが流出したり、人々の携帯電話のデータを危険にさらしたりしたことが知られている。別のストーカーウェア「KidsGuard」では、セキュリティの不備により何千人もの人々の電話データが流出し、最近では、配偶者のデバイスをスパイできると宣伝している「pcTattleTale」が、推測されやすいウェブアドレスを使ってスクリーンショットを流出させていた。

連邦規制当局も注目し始めている。2021年9月、米連邦取引委員会は、2000人以上の電話データを流出させたストーカーウェアアプリ「SpyFone」の使用を禁止し、被害者に電話がハッキングされたことを通知するよう命じた。これは、当委員会がスパイウェアメーカーに対して行った2回目の措置で、1回目は、何度もハッキングされ、最終的に閉鎖に追い込まれたRetina-Xだ。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

あなたやあなたの知り合いが助けを必要としている場合、日本の内閣府のDV相談+ (0120-279-889)は、家庭内の虐待や暴力の被害者に対して、24時間365日、無料で秘密厳守のサポートを提供しています。緊急事態の場合は、110に電話してください。

また、ストーカーウェア反対連合では、自分の携帯電話がスパイウェアに感染していると思われる場合に役立つ情報を提供しています。この記者の連絡先は、SignalおよびWhatsAppでは+1 646-755-8849、Eメールではzack.whittaker@techcrunch.com。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、Akihito Mizukoshi)

独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。

被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っていた。マイアミに本社のある同社は、企業のITネットワークとデバイスをリモートで管理するために使うソフトウェアを開発している。そのソフトウェアはマネージドサービスのプロバイダーに販売されており、実質的にIT部門をアウトソーシングし、プロバイダーはそのソフトウェアを使って顧客のネットワークを管理している。顧客は小規模の企業が多い。

しかし、ロシアと結びついているランサムウェア・アズ・ア・サービスのグループであるREvilと関係のあるハッカーたちは、そのソフトウェアのアップデートの仕組みに存在する、誰にも見つかっていなかったセキュリティの脆弱性を利用してランサムウェアをKaseyaの顧客企業にプッシュし、さらに、下流に位置する彼らの顧客へとそれは拡散したと信じられている。最終的にこの犯行の被害者になった企業の多くが、自分のネットワークをKaseyaのソフトウェアがモニターしていることすら、知らなかっただろう。

Kaseyaは7月2日に顧客(サービスプロバイダー)たちに、彼らのオンプレミスのサーバーを「IMMEDIATELY(ただちに)」シャットダウンするよう警告し、同社のクラウドサービスは(無事と信じつつ)用心のためオフラインにされた。

今回の攻撃をいち早く明らかにした脅威検知会社Huntress LabsのシニアセキュリティリサーチャーであるJohn Hammond(ジョン・ハモンド)氏は、約30社のマネージドサービスプロバイダーが攻撃を受け、ランサムウェアが「1000社をはるかに超える」企業に拡散したと述べる。セキュリティ企業のESETは、英国、南アフリカ、カナダ、ニュージーランド、ケニア、インドネシアなど17カ国の被害者を把握しているという。

7月5日の夜、Kaseyaはアップデートで、約60社のKaseyaの顧客が影響を受け、被害者の数は1500社未満であると発表した。

また現在、史上最大規模のランサムウェア攻撃をハッカーがどのように成功させたかが明らかになりつつある。

オランダの研究者は、ウェブベースの管理ツールのセキュリティに関する調査の一環として、Kaseyaのソフトウェアにいくつかのゼロデイ脆弱性を発見したと述べている(ゼロデイとは、企業が問題を修正するのに0日しか与えられないことから、そのように名付けられている)。これらのバグはKaseyaに報告され、ハッカーが攻撃してきたときには修正されている最中だったと、研究者グループを率いるVictor Gevers(ビクター・ゲバーズ)氏はブログ投稿で述べている。

Kaseyaの最高経営責任者であるFred Voccola(フレッド・ヴォコラ)氏は、The Wall Street Journalに対し、同社の企業システムは侵害されていないと述べた。これにより、セキュリティ研究者たちが、Kaseyaの顧客が運営するサーバーが、共通の脆弱性を利用して個別に侵害されたという定説をより確かなものにした。

同社によると、被害に遭ったソフトウェアが動いているすべてのサーバーが、パッチができるまでオフラインにされる。ヴォコラ氏はWSJに、パッチは7月5日中にリリースされるだろうと述べている。

犯行は7月2日の午後遅くに始まり、その頃は何百万人もの米国人が週末の7月4日に始まる連休に備えてログオフしていた。つまりCrowdStrikeの上級副社長Adam Meyers(アダム・マイヤーズ)氏が指摘するように、慎重に時間を選んで行われた犯行だった。

マイヤーズ氏は「今回の攻撃のタイミングと標的は、決して偶然ではありません。この攻撃は、我々が定義する『ビッグゲーム・ハンティング(大物狩り)』というもので、企業がガードを下げている週末に、サプライチェーンを通じて影響と利益を最大化するためにターゲットに対して仕かけられたものです」という。

週末にREvilが運営していると思われるダークウェブサイトにポストには、この犯行の声明と7000万ドル分(約77億6000万円)のBitcoin(ビットコイン)を支払えば、ランサムウェアグループが暗号解除ツールを公開リリースするとある。

同グループは投稿で「100万台以上のシステムが感染した」と主張している。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

カテゴリー:セキュリティ
タグ:Kaseyaランサムウェアゼロデイ攻撃マルウェア

画像クレジット:Ali Lorestani/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

Google Workspaceの暗号化キーをエンタープライズ顧客が自ら保存可能に

2020年1年間でGoogleドキュメントは至るところで使われるようになったが、Googleドキュメントを使用している無数の職場で見落とされがちな大きな批判は、エンド・ツー・エンド暗号化(E2EE)されていないため、Google(グーグル)やまたは要請する政府機関が企業のファイルにアクセスできてしまうということだ。しかしGoogleは今回の一連のアップデートにより、この重要な不満にようやく対処することになった。企業顧客は、自らの暗号化キーを保存することでデータを保護できるようになる。

企業のデータがGoogleには解読不能になるよう、Googleドキュメント、スライド、スプレッドシートを含む企業向けサービスであるGoogle Workspace(旧G Suite)にはこれからクライアントサイド暗号化(CSE)機能が追加される。

Google Workspaceを利用している企業は、現在4社あるパートナーのうちの1社を使い暗号化キーを保存できる。Flowcrypt、Futurex、Thales、Virtruの4社が、Googleの仕様に対応している。この動きは、金融、医療、防衛など、知的財産やセンシティブなデータがプライバシーやコンプライアンスに関する厳しいルールにさらされている規制産業を主な対象としている。

画像クレジット:Google

本当に重要な部分は、年内にグーグルがAPIの詳細を公開し、企業顧客が独自の社内鍵サービスを構築できるようにすることで、そうなれば各企業が暗号化キーを直接管理できるようになる。つまり、政府が企業のデータを欲しがっている場合、その企業の玄関を正面からノックしなければならず、裏口からこそこそ鍵の所有者に法的要求を出せなくなるというわけだ。

Googleはクライアントサイド暗号化がどのように機能するかの技術的な詳細を公開しており、今後数週間のうちにベータ版として提供開始する予定だ。

テック企業が法人顧客に自分の暗号化キーを管理させる例は、近年増加傾向にある。Slack(スラック)やクラウドベンダーのEgnyteは、企業ユーザーが独自の暗号化キーを保存できるようにし、事実上監視ループから自らを切り離すことでこのトレンドをリードした。しかしGoogleは長い間、暗号化について腰を上げようとしなかったため、数々のスタートアップ企業は、最初から暗号化を組み込んだ代替手段を構築しようとしている。

同社は、Googleドライブでのファイル共有に関する新たな信頼ルールを導入し、管理者がさまざまなレベルの機密ファイルの共有方法をより細かく設定できるようにした他「secret(機密)」や「internal(内部)」など、ドキュメントの機密レベルを示す新たなデータ分類ラベルを導入したと述べた。

また、マルウェア対策の強化として、組織内から共有されるフィッシングやマルウェアをブロックする機能を追加したという。これは、従業員が悪意のある文書を誤って共有するのを防ぐことを目的としている。

関連記事
グーグルの「Workspace」アプリが相互連携を強化し12の新機能を追加、囲い込みがさらに進む
GoogleがWorkspaceの新機能を発表、現場で働く従業員向けのWorkspace Frontlineも追加
G SuiteがGoogle Workspaceにリブランド、チャットルームでドキュメント作成コラボも可能に

カテゴリー:セキュリティ
タグ:GoogleGoogle WorkspaceGoogleドキュメントGoogleスライドGoogleスプレッドシート暗号化エンド・ツー・エンド暗号化マルウェアフィッシング

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)

悪名高いMacマルウェアファミリーがこれまでになかった脆弱性を悪用して、macOSのセキュリティ防御を回避し、何の影響も受けずに動作していることが研究者によって明らかにされたのはちょうど1カ月ほど前だった。そして今、同じ研究者たちが、異なる脆弱性を利用した別のマルウェアがmacOSシステムに忍び込むことができると発表した。

Apple(アップル)デバイス管理を専門とするJamfによると「XCSSET」というマルウェアが、マイクやウェブカメラへのアクセス、画面の録画など、許可が必要なmacOSの一部に、許可を得ることなくアクセスできる脆弱性を悪用している証拠を発見したとのこと。

XCSSETは、Trend Microが2020年に最初に発見したApple開発者、特に彼らがアプリのコーディングやビルドに使用するXcodeプロジェクトを標的としたマルウェアだ。これらのアプリ開発プロジェクトを感染させることで、開発者たちは知らず知らずのうちにユーザーにマルウェアを配布してしまう。Trend Microの研究者たちはこれを「サプライチェーン的攻撃」と表現している。このマルウェアは継続的に開発されており、最近では新しいM1チップを搭載したMacをターゲットにしたものも存在する。

このマルウェアは、被害者のコンピュータ上で実行されると、2つのゼロデイを利用する。1つは、SafariブラウザーからCokkieを盗み、被害者のさまざまなオンラインアカウントにアクセスするもので、もう1つは、Safariの開発バージョンをこっそりインストールし、攻撃者がほぼすべてのウェブサイトを変更したり、そこから盗み見できるようにするものだ。

しかしJamfによると今回のマルウェアは、被害者の画面のスクリーンショットを密かに撮影するために、これまで発見されていなかった第3のゼロデイを悪用していたという。

macOSは、悪意のあるものであれそうでないものであれ、どんなアプリでも、画面の録画、マイクやウェブカメラ、またはユーザーのストレージにアクセスする前に、ユーザーに許可を求めることになっている。だがこのマルウェアは、正規アプリに悪意のあるコードを挿入することで認知されないように忍び込み、許可プロンプトを回避していた。

Jamfの研究者であるJaron Bradley(ジャロン・ブラッドリー)氏、Ferdous Saljooki(フェルドゥス・サリョーキ)氏、Stuart Ashenbrenner(スチュアート・アッシェンブレナー)氏は、TechCrunchと共有したブログ記事の中で、このマルウェアは、被害者のコンピュータ上でZoom(ズーム)、WhatsApp(ワッツアップ)、Slack(スラック)など、画面共有アクセス権が頻繁に与えられている他のアプリを検索し、それらのアプリに悪意のある画面録画コードを挿入すると説明している。これにより、悪意のあるコードが正規のアプリを「ピギーバック」し、macOS全体でそのアクセス権を継承する。そしてこのマルウェアは、macOSに内蔵されているセキュリティ保護機能のフラグが立たないように、新しい証明書を使用して新しいアプリバンドルを署名する。

研究者らは、このマルウェアが許可プロンプトのバイパスを「特にユーザーのデスクトップのスクリーンショットを撮影する目的で」使用したとしながらも、影響はスクリーンキャプチャに限定されないと警告している。言い換えれば、このバグを利用して、被害者のマイクやウェブカメラにアクセスしたり、パスワードやクレジットカード番号などのキーストロークを取得したりすることも可能だったということだ。

この手法でマルウェアが何台のMacを感染させることができたのかは不明だ。しかし、AppleはTechCrunchに対し、米国時間5月24日にアップデートとして提供されたmacOS 11.4でこのバグを修正したことを確認した。

関連記事
macOSにマルウェアがセキュリティ保護を回避できるバグ(macOS 11.3で修正済み)
さらばIE、25年以上にわたるセキュリティバグの思い出

カテゴリー:セキュリティ
タグ:macOSマルウェアAppleゼロデイ攻撃スクリーンショット

画像クレジット:Made Kusuma Jaya / EyeEm / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

さらばIE、25年以上にわたるセキュリティバグの思い出

そのスピード、信頼性、そしておそらく最も有名なのはセキュリティについて数え切れないほどのジョークのネタにされてきた長命インターネットブラウザー「Internet Explorer(IE)」が、25年以上の歴史を経て2022年に引退することになった。敬意を表して一杯捧げよう。

Microsoft(マイクロソフト)によると、2022年6月に同ブラウザーの生命維持装置のプラグを引き抜くとのことで、最後に残った5〜6人のユーザーには、ChromeやFirefoxに移行するための猶予期間がまるまる1年与えられる(正直な話、他にも優れたブラウザーは存在するが)。このブラウザーが動作に必要な産業用機械など、サポート終了計画には一部例外もある。

Microsoftは長年にわたりInternet Explorerのユーザーに対して、より信頼性と安全性の高い新しいブラウザーであるEdgeへの移行を促してきたが、ライバルのブラウザーを使おうとした瞬間に画面上に広告を表示するなど、可能な限り不愉快な方法をとってきた。ウェブ上でのIEの支持率が低下していく中、多くの企業も同ブラウザーのサポートを終了し始めている。

Microsoftは、IEのサポートを終了することで、同社の歴史の中で最も問題が多かったセキュリティの頭痛の種と決別することになる。

事実上、Internet Explorerほど多くのセキュリティバグに悩まされてきたソフトウェアは他にない。Microsoftは過去20年間、ほぼ毎月IEにパッチを当ててきた。これは、ブラウザーの脆弱性を見つけて悪用し、被害者のコンピュータにマルウェアをドロップするハッカーの一歩先を行くためだ。IEは長年にわたって強化されてきたが、ほとんど目に見えないほど頻繁に行われるセキュリティアップデートや、ユーザーのコンピュータ上でマルウェアが実行されるのを防ぐためのより厳しいサンドボックス化などで先行する競合他社に比べて遅れをとっていた。

関連記事:マイクロソフトがWindowsの脆弱性パッチを緊急リリース、ユーザーは即刻適用を

Internet Explorerの悪口をいうのは簡単だが、Windows 95に搭載されて以来、30年近くも我々の生活に溶け込み貢献してくれた。10代から20代にかけてインターネットで育った我々の世代のユーザーの多くは、Internet Explorerを最初に、そして唯一のブラウザーとして使ってきた。我々のほとんどが、最初にHotmailのメールアドレスを登録したのもInternet Explorerだった。そのブラウザーを使ってMyspaceページをコーディングする方法を学び、怪しげなマルウェア入りの「ゲーム」を大量(実に大量)にダウンロードしてコンピュータの動作をナメクジ並みに遅くしても、何とも思わなかった。

昔、10歳くらいの子どもだった頃、実家の寒い屋根裏部屋にあった明るいティール色の壁紙のCRTモニタに、ピクセル化されたInternet Explorerのアイコンを初めて見た時のことを私はよく覚えている。なぜ記憶に残っているかというと、インターネットが何かよく知らなかった私は、父にこう文句をいったから。「ただインターネットだけを探検(Explore)したいんじゃない。僕は全部を見たいんだ」。

Internet Explorerのおかげで、私はその大部分を見ることができた。

関連記事
Internet Explorerが2022年6月15日にサポート終了、ただしEdgeのIEモードは2029年までを予定
Microsoft Edge、Chromiumベースに――旧Windowsでも作動、macOS版も登場へ

カテゴリー:ソフトウェア
タグ:MicrosoftInternet Explorerバグマルウェアウェブブラウザー

画像クレジット:Louis Douvis / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼

オーストラリアのセキュリティソフトウェアハウス、Click Studios(クリック・スタジオ)は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。

先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20~22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。

関連記事:アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。

しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。

Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。

Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。

「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。

侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。

また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR(一般データ保護規則)に違反した場合、企業は世界年間売上の最大4%を罰金として支払わなくてはならない。

Click StudiosのCEOであるMark Sanford(マーク・サンフォード)氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。

TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃SNS

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

macOSにマルウェアがセキュリティ保護を回避できるバグ(macOS 11.3で修正済み)

Apple(アップル)は何年もかけてmacOSのセキュリティ機能を強化し、マルウェアの侵入を困難にしてきた。しかし、新たに発見された脆弱性は、macOSの最新セキュリティ保護のほとんどを、悪意あるアプリをダブルクリックするだけで通過させてしまう。Appleの監視の下であってはならない事態だ。

さらに悪いことに、悪名高きMacマルウェアの一族が、この脆弱性を今週Appleが修正する何カ月も前から利用していたことを示す証拠が見つかった。

ここ数年、Macはほとんどのタイプのマルウェアを技術的障壁を設けることで防いできた。実際、macOSは、インターネットからダウンロードされたドキュメントになりすました悪意あるアプリに警告フラグをつけている。また、Appleが「notarization(公証)」と呼ぶプロセスによって、Appleがレビューしていないアプリや、デベロッパーを確認できなかったアプリは、ユーザーが確認しない限りmacOSでは実行されない。

しかし、セキュリティ研究者のCedric Owens(セドリック・オーエンス)氏は、一連のチェックを逃れて悪意あるアプリが実行できるようになるバグを2021年3月に発見したと語った。

オーエンス氏はTechCrunchに、そのバグによって彼は、一見無害なドキュメントに見えるが開くとmacOSに組み込まれた防御をすり抜ける悪意あるアプリを作ることができたと語った。

「ユーザーに必要なのはダブルクリックすることだけで、macOSからはプロンプトも警告も出きません」と彼はTechCrunchに話した。オーエンス氏は、無害なドキュメントがバクを利用して計算機アプリを立ち上げる概念実証アプリを作った。実際にマルウェアを仕込むことなくバグの仕組みをデモする方法だ。しかし悪意あるアタッカーはこの脆弱性を利用して、なりすましドキュメントを標的に開かせるだけで、遠隔からユーザーの機密情報をアクセスできると彼は説明した。

無害なドキュメントになりすまして、修正前のmacOS機で実行する概念実証アプリ。作者より提供

この脆弱性をアタッカーが悪用することを恐れたオーエンス氏は、Appleにバグを報告した。

AppleはTechCrunchに、バグはmacOS 11.3で修正したと伝えた。さらにAppleは、旧バージョンのmacOSの悪用も防ぐためにパッチを施し、更新されたルールをmacOSの内蔵アンチマルウェアエンジンであるXProtectにプッシュ配信してマルウェアが脆弱性を利用するのを防いだ。

オーエンス氏はMacセキュリティ研究者のPatrick Wardle(パトリック・ウォードル)氏に、このバグがどうやって、なぜ動くのかを調査するよう依頼した。米国時間4月26日の技術的ブログ記事でウォードル氏は、脆弱性がmacOSに内在するコードのロジックバグのために発生することを説明した。つまりmacOSが一部のアプリの分類を誤り、セキュリティ・チェックをスキップしたため、オーエンス氏の概念実証アプリが妨害されずに実行できた。

わかりやすくいうと、macOSアプリは単一のファイルではなくアプリの動作に必要な複数のファイルの集合体で構成されており、アプリケーションが依存しているファイルの場所を教えてくれるプロパティリストファイルもその1つだ。しかしオーエンス氏はこのプロパティリストファイルを取り出して特定の構造の集合体を作ることによって、macOSを騙して中にあるコードを警告を出さずに実行させる方法を見つけた。

ウォードル氏は、そのバグはmacOSのセキュリティ機能を「まったく無意味」にすると評した。Appleのセキュリティアップデートがこのバグを修正したことを同氏は確認した。「アップデートされた結果アプリケーションは正しく分類されるようになり、信頼されていない公証されていないアプリケーショっは(再び)ブロックされ、ユーザーは保護されます」と同氏がTechCrunchに話した。

バグの仕組みを知ったウォードル氏は、Macセキュリティ会社のJamfに、オーエンス氏の発見以前に悪用された証拠がないか尋ねた。Jamfの発見ツール責任者、Jaron Bradley(ジェロン・ブラッドリー)氏は、Shlayerマルウェアファミリーのがバグを利用している例を2021年1月に、オーエンス氏の発見より数カ月早く見つけられていたことを確認した。Jamfはこのマルウェアに関する技術的ブログ記事も公開している。

「このテクニックを使う私たちの見つけたマルウェアは、Shlayerという2018年に最初に発見されたマルウェアファミリーのアップデート版です。ShlayerはmacOSでもっともよく見られるマルウェアの1つであり、そのため私たちはその数多くの変種を発見する方法を開発して進化の過程を綿密に監視しました」とブラッドリー氏がTechCrunchに話した。「発見ツールの1つがこの新たな変種を見つけ、詳しく調べたところ、それがこの変種が抜け穴を使ってインストールされ、ユーザープロンプトも表示されないことを発見しました。さらに分析した結果、マルウェアの開発者はゼロデー脆弱性を見つけ、それを利用するように自分たちのマルウェアを調整したものと考えます」。

Shlayerは、暗号化されたウェブトラフィック(HTTPS利用サイトを含む)を横取りして独自の広告を埋め込み、運用者に詐欺広告マネーをもたらすアドウェアだ。

「多くの場合、ユーザーに偽のインストーラーやアップデートをダウンロードさせることでインストールされます」とブラッドリー氏はいう。「この技法を用いるバージョンのShlayerはそうやってOSのマルウェア検査をかいくぐり『本当にいいですか?』のプロンプトをユーザーに表示することなく実行されます」と彼は言った。

「この変種で最も興味深いのは、作者は旧バージョンをわずかに修正してmacOSのセキュリティ機能を回避することです」と言った氏はいう。

ウォードル氏は、ユーザーが過去に悪用されたかどうかを検出するためのPythonスクリプトも公開している。

ShlayerがmacOSの防御をすり抜けたのはこれが初めてではない。2020年、ウォードル氏はセキュリティ研究者のPeter Dantini氏と協力して、Appleが “notarization”プロセスで誤って承認したShlayerのサンプルを見つけた。デベロッパーがアプリをAppleに送り、セキュリティチェックを受けて、何千万台ものMacの上で邪魔されずの動作できるようにするためのプロセスだ。

【Japan編集部】本稿で触れているmacOSのバグは、現在配布済みのmacOS 11.3にアップデートすることで修正される。

関連記事:アップルが悪名高いMac用マルウェアを誤って承認してしまう

カテゴリー:セキュリティ
タグ:ApplemacOSマルウェアバグ

画像クレジット:Jack Carter / Unsplash

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

企業向けパスワードマネージャー「Passwordstate(パスワードステート)」を開発しているオーストラリアのソフトウェアハウスClick Studios(クリック・スタジオズ)は、同社のパスワードマネージャーがサイバー攻撃を受けたため、顧客に組織全体のパスワードをリセットするよう警告を出した。

Click Studiosが顧客に送信した電子メールによると、同社は攻撃者が顧客のパスワードを盗むためにパスワードマネージャーのソフトウェアアップデート機能を「侵害」したことを確認したという。

ポーランドのニュースサイト「Niebezpiecznik」が現地時間4月23日にTwitter(ツイッター)に投稿したこのメールには、悪意のあるアップデートによって4月20日から22日の28時間の間に、Passwordstateの顧客が無防備な状態になったと書かれている。この悪意のあるアップデートは、一度インストールされると、攻撃者のサーバーに接続してマルウェアを取得。このマルウェアがパスワードマネージャーの情報を盗み出し、攻撃者に送り返すという仕組みだ。メールでは「Passwordstateに含まれるすべてのパスワードのリセットを開始する」ように顧客に伝えている。

パスワードマネージャー「PasswordState」がハッキングされ、顧客のパソコンが感染した。

メーカーは被害者にメールで通知している。

このパスワードマネージャーは「企業向け」なので、この問題は主に企業に影響を与える…これは痛い!

(情報元:謎めいたペドロ)

Click Studiosは、攻撃者がどのようにしてパスワードマネージャーのアップデート機能を侵害したかについては明らかにしていないが、顧客にはセキュリティ修正プログラムをメールで送信している。

同社によると、攻撃者のサーバーは4月22日に遮断されたという。しかし、攻撃者がシステムを再びオンラインにすれば、Passwordstateのユーザーは依然として危険にさらされる可能性がある。

企業向けパスワードマネージャーは、それを使用する企業の従業員たちが、ファイアウォールやVPNを含むネットワーク機器、共有の電子メールアカウント、内部データベース、ソーシャルメディアアカウントなどのパスワードやその他の機密情報を、組織全体で共有できるようにするものだ。Click Studiosの主張によると、Passwordstateはフォーチュン500企業、政府機関、銀行、防衛・航空宇宙そしてほとんどの主要産業を含む「2万9000以上の顧客」に使用されているという。

被害に遭った顧客には、米国時間4月23日早朝に通知が届いたが、この侵害のニュースが広く知られるようになったのはその数時間後、デンマークのサイバーセキュリティ企業であるCSIS Group(CSISグループ)が攻撃の詳細をブログに掲載してからだ。

Click Studiosの最高経営責任者であるMark Sanford(マーク・サンフォード)氏は、オーストラリアの営業時間外に行われたコメントの要請に応じなかった。

関連記事:インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

Androidの人気野良アプリストア「APKPure」公式クライアントに悪質なアドウェアが含まれていたと発覚

セキュリティ研究者らによると、Google(グーグル)のアプリストア以外から古い / 打ち切られたAndroidアプリをインストールするための非公式マーケットとして広く普及している「APKPure」の公式アプリに、被害者のデバイスに不要な広告を氾濫させる悪意のあるアドウェアが含まれていたという。

Kaspersky Labによると、APKPureアプリの直近のバージョンである3.17.18には、被害者の知らないうちに端末からデータを吸い上げ、端末のロック画面やバックグラウンドにプッシュ型の広告を表示し、バックグラウンドでアドウェア運営者に不正な収益をもたらす悪意のあるコードが含まれていると米国時間4月8日に開発者に通知したとのこと。

しかもこの悪質なコードには他のマルウェアをダウンロードする機能があり、被害者をさらに危険にさらす可能性があると研究者らは述べている。

研究者らによると、APKPureの開発者はおそらく、検証されていないソースから新しいアドウェアSDK(ソフトウェア開発キット)を実装した際に、この悪意のあるコードを導入した可能性が高いとのこと。APKPureは悪質なコードを削除して新しいバージョンである3.17.19をリリースしており、悪意のあるバージョンは現在サイトに掲載されていない

APKPureは、Androidユーザーが古いバージョンを含むAndroidアプリやゲームの膨大なリポジトリにアクセスできるようにするため、2014年に設立された。また、Androidの公式アプリストアであるGoogle Playに掲載されなくなった他地域のアプリバージョンにもアクセスできる場所として知られる。その後、それ自体もGoogle Playの外でインストールする必要があるAndroidアプリをリリースし、ユーザーが古いアプリをAndroid端末に直接ダウンロードできる独自のアプリストアとして機能している。

APKPureは、ネット上で最も人気のあるサイトの1つとされている。

しかしAndroidのマルウェアの多くは、被害者にアプリストア外から悪意のあるアプリをインストールさせるため、品質や安全性に大きなばらつきがあるとして、セキュリティ専門家は長い間、公式アプリストア以外からアプリをインストールしないよう警告してきた。GoogleはGoogle Playに登録されるすべてのAndroidアプリをスキャンしているが、これまでにも一部のアプリはその隙間をすり抜けていた

TechCrunchはAPKPureにコメントを求めたが、返答は得られなかった。

関連記事
「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する
Androidユーザー800万人がGoogle Playから85種の新手のアドウェアをダウンロードしていた

カテゴリー:セキュリティ
タグ:APKPureアドウェアAndroidアプリマルウェアGoogle

画像クレジット:SOPA Images / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)