特集 (1) ノースダコタ州が描くサイバーセキュリティの大いなるビジョン (2) CIOが取締役会のメンバーになるには (3) 超予測: リスク評価で超高精度を追及する

アプリケーションやツールをため込むことには意味がない / すべての企業がデータ企業になったときに直面する厳しい現実とは / SOC 勝利の方程式

新規登録ドメイン(NRD)は、悪意のある攻撃を仕掛けるために、脅威攻撃者によって多く利用されていることが確認されています。学術機関と産業界の調査レポートでは、NRDのリスクが高いことを示す統計的な証拠が示され、フィッシング、マルウェア、詐欺などにNRDが悪用されていることが明らかになりました。

この調査では、Amazon AWS、Microsoft Azure、およびGoogle Cloud Platformでホストされていて、インターネットに接続しているサービスのセキュリティの現状について説明します。パブリック クラウドはますます広く使用されるようになり、2018年にはクラウド インフラストラクチャにかける総費用が45.6%増加したことが報告されています。クラウド サービス プロバイダ(CSP)の市場シェアは、Amazon AWS(31.3%)がトップを維持し、その後にMicrosoft Azure(16.5%)、Google Cloud Platform(9.5%)が続きます。企業は、CSPで提供されているさまざまな「as a service」モデルを利用することで、ITインフラストラクチャについて心配することなく、業務の規模を俊敏かつ柔軟に拡張できます。しかし、安全でない構成が1つ存在するだけで、インフラストラクチャ全体がリスクにさらされます。

「クラウド」という用語はAmazon Web Services（AWS）がElastic Compute Cloud（EC2）を発表した2006年以来ビジネス用語として広く使われるようになりました。2019年7月24日にリリースされたUnit 42の最新のクラウド脅威レポートは、EC2の公開からおよそ13年がたったいまも、組織がパブリック クラウド プラットフォームのセキュリティ確保に苦労し続けているようすを示しています。本レポートは、2018年1月から2019年6月下旬までに複数のデータソースから収集されたインテリジェンスに基づき、クラウドの脅威に関する主な洞察を明らかにしています。

Unit 42は6ヶ月かけて中国を拠点とするサイバー犯罪グループRockeの調査を行いました。Rockeはクラウドをターゲットとして暗号通貨マイニング処理を行っている最も悪名高い脅威攻撃グループです。調査から判明した内容をまとめたものは最近のクラウド脅威レポート(英語版。日本語版を近日公開予定)からご覧いただけます。

「アクションに落とし込める、本当に使える脅威インテリジェンスを提供する」という弊社ミッションの一環として、パロアルトネットワークス脅威インテリジェンスリサーチチーム Unit 42は米国時間で2019 年7月30日、『Adversary Playbooks(攻撃者のプレイブック)』に新たに11の脅威攻撃者グループを追加して公開しました。

MyDoom は悪名高いコンピュータワームで2004年初めに最初の記録があります。このマルウェアは、 最も破壊的なコンピュータウイルスのトップ10リストに数えられており、推定で380億ドルの被害を出しています。全盛期を過ぎたいまでも同マルウェアはサイバー脅威の界隈でその存在感を示し続けています。

USBCreator D-Bus インターフェースの脆弱性により、sudoer グループのユーザーにアクセスできる攻撃者は、sudo プログラムに課されたパスワードセキュリティポリシーを回避できるようになります。この脆弱性により、攻撃者はパスワードを入力せず、root として任意のファイルを任意の内容で上書きすることができます。

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。

2018年12月、「SandboxEscaper」というエイリアスで知られるハッカーが Windows エラー報告 (Windows Error Reporting, WER) コンポーネントに存在するゼロデイ脆弱性を一般に公開しました。SandboxEscaper の公開内容をさらに深く掘り下げた結果、筆者はその脆弱性とはべつにもうひとつのゼロデイ脆弱性があることを発見しました。

Go は GoLang と呼ばれることもあるプログラミング言語で 2009 年に Google によって作成されました。近年 Go はマルウェア開発コミュニティでも人気を集め、Go マルウェアファミリについて扱ったブログも増えています。そこで、マルウェア開発という意味で当該プログラミング言語が実際にどの程度普及しているのか、実際にどのマルウェアファミリが最も流行しているのかを調査しました。

本稿では、パロアルトネットワークス脅威インテリジェンス調査チーム Unit 42 のリサーチャーがトンネリングソフトウェア X-VPN について調査した結果を共有します。同ソフトウェアは様々なテクニックを駆使し、セキュリティ対策、ポリシー実施対策を回避していました。 X-VPN は、インターネット検閲やトラフィック ポリシー適用ポイントを回避するために使用可能な仮想プライベートネットワーク (VPN) のひとつで、ネットワークオペレータや VPN ユーザーに大きなリスクをもたらします。

Linux システムのカーネル脆弱性、CVE-2019-11477、CVE-2019-11478、CVE-2019-11479 が新たに見つかりました。これらの脆弱性は カーネル 2.6.29 (2009 年 3 月公開) とそれ以降にリリースされた新しい Linux オペレーティングシステムのすべてに影響します。

パロアルトネットワークス脅威インテリジェンス調査チームUnit 42のリサーチャーが発見した新しい脆弱性が1件マイクロソフトセキュリティレスポンスセンター(MSRC)による2019年6月のセキュリティ更新プログラムリリースの一部として修正されました。このほか同社による2019年5月の修正では弊社リサーチャーが確認した9件の脆弱性が追加で修正されています。発見された脆弱性の深刻度はいずれも「Important(重要)」とされています。

Hide 'N Seek ボットネットが最初に発見されたのは2018年1月で、ボット間の通信にピアツーピアを使うユニークな通信方法で知られています。本稿では、2019年2月21日に最初に確認された 2 つの新しいエクスプロイトを組み込んだファミリ亜種について詳しく説明します。1 つ目は CVE-2018-20062 の ThinkPHP のインストールをターゲットにしたもの、2 つ目は CVE-2019-7238 のリモートコード実行 (RCE) の脆弱性で、Sonatype Nexus Repository Manager (NXRM) 3 のソフトウェアインストールをターゲットにしたものです。

クラウド セキュリティにまつわる通説

IT業界の大半がコンテナベースのインフラストラクチャ(クラウドネイティブ ソリューション)の導入を進める中、このテクノロジの限界を知ることが目下の課題となっています。Docker、Linux Containers (LXC)、Rocket (rkt)といった従来型のコンテナはホストのOSカーネルを共有するため、完全にサンドボックス化されているとは言えません。これらはリソース効率が高い反面、攻撃対象領域が広く、特にさまざまな顧客が所有するコンテナが混在するマルチテナント型のクラウド環境ではその傾向が顕著です。

コンテナ構成がデフォルトのままになっているコンテナ ホスティング デバイスは、個別に4万台以上存在し、これらのインスタンスは簡単に特定できる状況にあります。コンテナ プラットフォーム KubernetesとDocker については、それぞれやはり個別に2万以上のインスタンスが存在しています。

新たなMirai亜種 8つのエクスプロイトを追加 新たなIoTデバイスを標的化

パロアルトネットワークス脅威インテリジェンス調査チームUnit 42のリサーチャーは、日々さまざまな製品の脆弱性に関する調査を行っています。こうした調査の一環として、同チームはAdobe製品に28個の新しい脆弱性を発見しました。

パロアルトネットワークス脅威インテリジェンス調査チームUnit 42では、定期的に弊社Email Link Analysis(ELINK)システムのデータを分析評価しています。収集されたデータ(電子メールから抽出されたURL、またはAPIによって送信されたURL)を調査することで、一般的なWebの脅威を識別するのに役立つパターンや傾向を特定することができます。本稿は、弊社が年間を通じて追跡している Webベースの脅威に関する一連の記事の4回目（2018年の第4四半期）にあたり、とくに、悪意のあるURL、ドメイン、エクスプロイトキット、CVE、これにくわえてフィッシング詐欺に関する統計について取り上げています。

2019年4月、Unit 42はEmissary Panda脅威グループ(別名APT27、TG-3390、Bronze Union、Lucky Mouse)が、中東のある2国の政府組織の侵害を目的とし、Sharepointサーバーにwebshellをインストールした様子を観測しました。これらの侵害されたSharePointサーバーで私たちが観測したツールと戦術の詳細を示し、これらがEmissary Pandaの脅威グループとどのように関連すると考えられるかを説明し、その調査結果をSaudi Arabian National Cyber Security CenterとCanadian Center for Cyber Securityの調査内容と相関し、調査で得られたIOCを提供します。

Shadeランサムウェアは老舗のランサムウェアファミリーでMicrosoft Windowsを実行しているホストをターゲットにします。ロシア語圏を中心に配信されているという報告が最近公表されましたが、実際には英語圏の配信も活発であることが分かりました。

本稿は「My Career in Cybersecurity: Finding My Way As a Woman」からの転載です。執筆者は Manija Poulatova で、彼女は New York 在住のリードチャネルセールスエンジニアとして、Palo Alto Networks に勤務しています。

パロアルトネットワークス脅威インテリジェンスリサーチチームUnit 42は、ナイジェリアのサイバー犯罪に重点を置き、ビジネスメール詐欺(BEC)の進化を積極的に監視してきました。BECは世界的な脅威で、弊社はこれまでナイジェリアをサイバー犯罪の上位5のホットスポットとして位置付けてきた悪意ある活動についての考察を提供します。

2016年5月に初めてOilRigグループを発見して以来、Unit 42は、彼らの活動と経時的な進化を監視、観察、追跡し続けてきました。

2019年2月、パロアルトネットワークス脅威インテリジェンス調査チームUnit 42は、BabySharkマルウェアファミリと、それに関連する米国のシンクタンクを標的としたスピアフィッシングキャンペーンについてのブログを公開しました。それ以来、BabySharkを悪用した悪意のある攻撃は、2019年3月から4月まで継続しています。当該攻撃者は暗号通貨業界にもターゲットを拡大しており、これらの攻撃の背後にいる人々が金銭的利益についても関心を寄せています。

Unit 42は、Oracle WebLogic Serverに存在するCriticalなゼロデイのデシリアライゼーション脆弱性が活発に悪用されている様子を確認しています(CVE-2019-2725)。当該脆弱性の悪用はOracleによる緊急パッチリリース以前から発生しており、今後の急増が見込まれます。

Unit 42はLinuxボットネットMuhstikの新しい亜種を発見しました。この新しいバージョンは、2019年4月26日に公開された最新のWebLogic Server脆弱性CVE-2019-2725を悪用して脆弱なシステムに自分自身をインストールします。同社は緊急パッチを公開済みで、弊社でも同社の緊急パッチによりMuhstik最新亜種から正しく保護されることを確認済みです。