監視ソフトのリストに仏、南ア首脳の電話番号　欧米報道
https://www.nikkei.com/article/DGXZQOGR2103A0R20C21A7000000/

『【ニューヨーク=中山修志、パリ=白石透冴】米紙ワシントン・ポストなど欧米メディアは20日、イスラエルのサイバー企業NSOグループの犯罪監視用ソフト「ペガサス」の標的になっていた可能性のある電話番号のリストに、マクロン仏大統領ら各国首脳・元首脳14人のものが含まれていたと報じた。ペガサスについて犯罪やテロ防止を目的とした利用以外は認めないという同社の説明と食い違う。

ワシントン・ポストなど十数社の報道機関からなる国際調査報道チームが、ペガサスの顧客から流出したとされる5万人以上の電話番号を分析した。番号が確認されたのはマクロン氏のほか、イラクのサレハ大統領、南アフリカのラマポーザ大統領、パキスタンのカーン首相ら。これらの番号のスマートフォンがペガサスに感染して監視下にあったかは確認できていない。

調査報道チームはインドやメキシコ、サウジアラビアやアラブ首長国連邦（UAE）など少なくとも10カ国・地域がNSOの顧客だった証拠をつかんだとしている。リストには180人を超えるジャーナリストのほか、政府関係者や企業経営者、宗教家、非政府組織（NGO）の活動家らが含まれる。

仏紙ルモンドなどの報道によると、モロッコの情報機関が「ペガサス」を使い、マクロン大統領ら仏政府幹部10人以上を狙っていた疑いがある。ソフトはスマートフォンから情報を抜き出すことができるが、漏洩が起きたかは分かっていない。

情報機関が2019年に狙ったとされる電話番号の中に、マクロン氏、ルドリアン外相、ルメール経済・財務相、ドルジ元環境相などのスマホの番号が含まれていた。ドルジ氏が自身のスマホを分析に出したところ、情報漏洩はなかったがソフトが攻撃を試みた形跡があったという。

仏大統領府関係者は「もし事実なら深刻だ。報道の事実関係を調べる」などと語った。モロッコ側はペガサスを使ったことはないと主張しているという。』

イスラエル製監視ソフト、記者のスマホに悪用　海外報道
https://www.nikkei.com/article/DGXZQOGN190MG0Z10C21A7000000/

　※　『十数社の報道機関からなる調査報道チームはNSOのハッキング用スパイウエア「Pegasus（ペガサス）」の顧客らが集め、外部に流出したとされる5万件以上の電話番号を分析した。「iPhone」や「Android（アンドロイド）」搭載スマホがペガサスに感染すると、攻撃者側から通話や電子メール、端末に保存された写真の傍受などが可能になるという。』とか、こえー話しだ…。

　※　いずれ、こういうスパイウエアは、西側・東側双方で開発され、全世界のデバイスに感染しまっくているんだろう…。

　※　「iPhone」も、「Android」も、Linuxカーネルだから、同根だ…。

　※　大体、「オープンソース」なんてものは、「腕に覚えがあるハッカー（いい意味での）」が、寄ってたかって作ったものだから、「でき上がったもの」に「最終責任を負う者」なんてのは、最初から存在せんのだ…。

『【シリコンバレー=白石武志】イスラエルに本社を置くNSOグループが開発した犯罪監視用のスパイウエアが中東などの政府に販売され、世界各地のジャーナリストや人権活動家らのスマートフォンのハッキングに使われていたことが18日、米紙ワシントン・ポストなどの調査報道で明らかになった。2018年に殺害されたサウジアラビア人記者、ジャマル・カショギ氏の近親者らのスマホも標的となっていたという。

十数社の報道機関からなる調査報道チームはNSOのハッキング用スパイウエア「Pegasus（ペガサス）」の顧客らが集め、外部に流出したとされる5万件以上の電話番号を分析した。「iPhone」や「Android（アンドロイド）」搭載スマホがペガサスに感染すると、攻撃者側から通話や電子メール、端末に保存された写真の傍受などが可能になるという。

リストには米ニューヨーク・タイムズや米ウォール・ストリート・ジャーナル、英フィナンシャル・タイムズ、仏ルモンド、中東のアルジャズィーラなどに所属する180人超のジャーナリストの電話番号が掲載されていたという。政府関係者や企業経営者、宗教家、非政府組織（NGO）活動家らも含まれていた。

リストに電話番号が含まれていても、そのスマホがペガサスに感染していたかどうかは分からないという。調査報道チームがリストに電話番号が記載されていた少数のスマホを分析したところ、半数以上でペガサスがハッキングに成功したり、侵入を試みたりした形跡があることが判明した。

調査報道チームが専門家と組んだ分析では、カショギ氏に最も近い2人の女性がペガサスを使った攻撃の標的になっていた証拠が見つかったという。カショギ氏の殺害の数日後に婚約者の携帯電話がペガサスに感染していたほか、殺害される数カ月前には同氏の妻の携帯電話もペガサスに狙われていた。

NSOは自社の顧客を明らかにしていないが、ペガサスの販売にあたってはイスラエル政府の輸出許可が必要になるという。調査報道チームはアゼルバイジャンやバーレーン、ハンガリー、インド、カザフスタン、メキシコなど少なくとも10カ国・地域がNSOの顧客だった証拠を見つけたとしている。

NSOは18日に公表した声明の中で、今回の調査報道について「間違った仮定や裏付けのない理論に満ちている」と指摘し、名誉毀損での訴訟を検討していると述べた。同社の技術は犯罪捜査や人命救助に使われているといい、カショギ氏の殺害についても「当社の技術は一切関係ない」としている。

米国家安全保障局（NSA）の職員だったエドワード・スノーデン氏が13年に米国政府などによる個人情報収集を暴露した事件は、世界に衝撃を与えた。米国の大規模な情報監視活動に触発され、多くの国家情報機関がスパイウエアを使った監視能力の強化に乗り出したとされる。

その後、グーグルやアップルなどの米IT（情報技術）大手はスマホの暗号化技術を強化しており、従来の技術では通信の傍受は難しくなったとされる。その結果、ペガサスのような影響力のある人物らのスマホを狙ったスパイウエアへの投資が拡大している。

調査報道の根拠となった流出データの分析ではパリを拠点とする非営利団体「フォービドゥン・ストーリーズ」が、ペガサスに感染したスマホの分析は国際人権団体アムネスティ・インターナショナルが中心となった。調査報道にはワシントン・ポストや英ガーディアンなどが加わった。

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

池内恵のアバター
池内恵
東京大学先端科学技術研究センター　教授

コメントメニュー
分析・考察　イスラエルのサイバーテクノロジーは防御だけでなく攻撃能力も高い。そもそもサイバーディフェンスはオフェンスなしでは成り立たない、と公然と認める人たちが多い。イスラエルのNSOグループのハッキング・ソフト「ペガサス」については、外国政府に技術・サービスが供与されて抑圧的な政権による国民弾圧に使われているという疑惑が以前から報じられていた。代表的なのは2019年5月14日のフィナンシャル・タイムズの報道。これまでの報道に関わっていた記者を含んだNGOが、より深く包括的にこの問題を追った報告書が発表された。イスラエルの外交力は、情報セキュリティ分野で依存関係を作ることにも支えられている。
2021年7月19日 20:29いいね
27

石倉洋子のアバター
石倉洋子
一橋大学　名誉教授

コメントメニュー
ひとこと解説　この報道を見て、早速テルアビブの友人に聞いて見たところ、一面に出ているわけではないが、このソフトについては、かなり前から色々疑惑があったとのことです。それでどんな影響が実際にあったのか、具体的な事件への関与まではわかりませんが。
2021年7月19日 21:04いいね
9　』

Katy LEE 記者による2021-7-19記事「Pegasus spyware: how does it work?」。
https://st2019.site/?p=17180

『どうやら世界中の政府が、イスラエル開発のスパイウェア「ペガサス」をありがたく採用し、反政府系の不審人物の監視に役立てていた――とわかってしまった。

　そもそも、まずいったいどうやってそんな「監視ソフト」をまんまとターゲット人物のスマホに潜り込ませるのだろうか？
　2016年頃だと、テキスト・メッセージにリンク先を表示して、そのリンクを踏ませる必要があった。
　しかしさすがにそんな手口には相手はすぐにひっかからなくなる。
　そこで、イスラエルの「ＮＳＯグループ」という会社が新技法を編み出したのである。

　「ワッツアップ」というメッセージングサービスアプリの脆弱性につけこむ方法だった。スマホに「ワッツアップ」を入れているユーザーならば、簡単に、「ペガサス」も仕込まれてしまう。本人がまったく知らぬうちに。

　すなわち政府機関は、ワッツアップ経由でターゲットのスマホに電話をかけるだけ。なんと、本人がそれに応答しなくても、「ペガサス」はそいつのスマホに滑り込み、こっそりと定着してしまう。

　2019年にワッツアップはこれに気付き、ＮＳＯを告訴した。１４００人がスパイウェアを仕込まれたという。

　その後、ＮＳＯ社は、アップル製の「ｉメッセージ」を使っているスマホに対しても、同様に「ペガサス」を送り込めるようになった。ユーザーは、クリックひとつ、するまでもなく、これにやられてしまう。

　「ペガサス」を埋め込まれたスマホは、政府機関によって、監視し放題になる。すべての通話・通信・位置情報が、筒抜けだ。テロ予防の担当者としては、まことに便利。

　スマホユーザーが収集し記録している写真や動画や音声も、仔細に確認が可能である。

　げんざい、わかっているだけでも全世界で５万人が、「ペガサス」を埋め込まれた。しかしこのマルウェアは非常に気付かれ難い挙動なので、知らずに使い続けている者もきっと多いであろう。

　アムネスティ・インターナショナルのセキュリティ研究所によると、今月、「アイホン」に関しては「ペガサス」の埋め込みの試みを見破れるソフトができるそうである。
　だが、すでに埋め込まれている人の場合は、検知は難しい。

　このマルウェアは、常駐を確かめることすら困難なので、「除去」ができたかどうか、確かめるすべも無い。
　隠れている場所は、スマホのハードウェアであることもあるのだそうだ。バージョンによって違いもあるという。

　もしメモリー内に隠れているのならば、スマホの電源を完全に切って、また電源を入れなおす（リブート）すれば、マルウェアは消えるはずだという。理論上は。
　したがって、秘密を多く抱えている企業幹部や政治家たちは、スマホをスリープさせるのではなく、頻繁に、リブートすることが推奨されるのである。』

マカフィー創業者が死亡　スペイン拘置所で自殺か
https://www.nikkei.com/article/DGXZQOGN2403R0U1A620C2000000/

『【ニューヨーク=野村優子】米サイバー対策大手マカフィー創業者のジョン・マカフィー被告（75）が23日、スペインの拘置所で死亡しているのが見つかった。スペイン紙エル・ムンドなどが報じた。自殺とみられている。同被告は米国で脱税の罪で起訴されており、スペインの裁判所は同日朝、米国への身柄引き渡しを承認していた。

ロイター通信は同被告の弁護士の話として、独房で首をつって自殺したと報じている。マカフィー被告は米当局に脱税の疑いで国際指名手配され、昨年10月にバルセロナの空港からイスタンブールに向かう便に乗ろうとしていたところを拘束された。所得を第三者名義の暗号資産（仮想通貨）として隠し、納税を免れたといった疑いがあった。

同被告はマカフィーでの成功の後、仮想通貨の宣伝、コンサルタント業務などで稼いでいたという。2016年、米大統領選に出馬すると表明して注目を集めたこともある。』

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月～20年6月にかけて200以上の組織を攻撃。8月18日～9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」（マイクロソフト）という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁　ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3～9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5～6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/080700061/

※「ゼロトラスト」で、認証発行の山、「多要素認証」で防御しようとしても、この有様だ…。

※　もっとも、「閉鎖予定の拠点」の「防御体制」が脆弱で、そこを突かれた…、という事情もあるようだ…。

『NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。

　「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。

　NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。

　一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外部に流出した可能性がある。河野太郎防衛大臣は2020年5月29日の閣議後記者会見で、不正アクセスの報告を受けたと明らかにしたうえで「しっかり調査していただきたい」と要請した。監督官庁の総務省幹部も「現状把握と顧客対応をしっかりやってほしい」とくぎを刺す。

撤去予定の海外サーバーに「隙」
　社内調査により、攻撃者の侵入経路は2通りあったことが判明している。

　1つが顧客向けサービスの監視や障害の切り分けなどを担うシンガポールの運用サーバーを踏み台としたルートだ。攻撃者は2019年9月ごろに同サーバーに侵入。その後、タイなど複数の海外拠点を経由し、2019年12月に法人向けクラウドサービス「Bizホスティング エンタープライズ（BHE、2018年3月にサービスの提供を終了）」と「Enterprise Cloudオプションサービス」の運用サーバーに入り込んでいた。ここを足掛かりに法人向けクラウドの工事情報管理サーバーのほか、社内セグメントのアクティブディレクトリー（AD）運用サーバーや社内ファイルサーバーへと触手を伸ばしていた。

　NTTコムは2020年5月7日、社内セグメントのADサーバーに対する不正な遠隔操作を試みたログを検知した。遠隔操作の踏み台になった同セグメントのAD運用サーバーを同日中に緊急停止し、社内調査を進めた。その後、AD運用サーバーのアクセス元だった法人向けクラウドの運用サーバーを停止したり、マルウエアによる外部サイトとの通信を遮断したりした。

　実は、最初に侵入を許したシンガポールの運用サーバーは撤去予定だった。同サーバーを収容するデータセンターが老朽化し、2019年10月に新データセンターへの移転を計画していた。同サーバーも新しいものに切り替わる予定だった。まさに撤去直前のタイミングを攻撃者に突かれた。

　同サーバーは撤去を間近に控えていたこともあり、セキュリティー上の脅威を検出するEDR（Endpoint Detection and Response）を導入できていなかった。NTTリミテッド・ジャパンの飯田健一郎社長は「もっと対策の感度を上げておくべきだった」と悔やむ。

　攻撃者がどういった脆弱性を突いてシンガポールの運用サーバーに侵入したかについては「継続調査を実施したが、機器の撤去でログを確認できないため、原因を特定できなかった」（NTTコム）と説明する。』

『社員になりすまし
　もう1つは日本にあるVDI（仮想デスクトップ基盤）サーバー経由だ。シンガポールの運用サーバーを踏み台にした不正アクセスを調査する過程で、複数の社員が勤務日以外に社内のファイルサーバーにアクセスしていることを2020年5月25日に突き止めた。翌26日にはファイルサーバーのアクセス元がすべてVDIサーバーだったことが判明。さらに27日、何者かが社員になりすましてVDIサーバーにログインしていた事実を確認した。

　NTTコムは社員がVDIサーバーにログインする際、IDとパスワードとは別に、ランダムに並んだ数字の表を使う「マトリクス認証」を導入していた。同社の久野誠史デジタル改革推進部情報システム部門担当部長は「攻撃者は特殊な方法でVDIサーバーに接続していた」と打ち明ける。

　特殊な方法とは、マトリクス認証を無効化し、主にIDとパスワードだけでVDIサーバーにログインできるというものだ。久野担当部長は「我々も認識していなかったVDI全体の抜け道があった。攻撃者はちょっとした（システム上の）『穴』をいくつも組み合わせていた」と語る。

　攻撃者はこの抜け道を見つけ出し、不正入手した社員のIDとパスワードを使って自身の端末でVDIサーバーの認証を突破していた。しかもNTTコムはVDIサーバーへの接続時に端末のウイルス対策ソフトの種類やバージョンもチェックしていたが、攻撃者はこれらも把握し、インストールしたうえで侵入していた。2020年8月6日時点で社員のIDとパスワードの流出経路は判明していないが、社内セグメントのADサーバーからは流出していないことを確認している。

　NTTコムは緊急対応を既に済ませ、2020年5月26日時点でVDI全体の利用を停止した。翌27日に全社員のパスワードも強制リセットした。同社によると、27日以降、不正ログインがないことを確認できているという。

　ルートが異なる2つの不正アクセスに関連はあるのか。NTTコムの小山覚情報セキュリティ部部長は「（攻撃者が同一かどうかは）何とも言えない。攻撃元のアトリビューション（特定）は実施していない」と話す。ただ、どちらも「サイバー攻撃の専門集団」（同社）としている。

　あるサイバーセキュリティーの専門家は「同一の攻撃主体ではないか」としたうえで、「攻撃の途中でユーザーの認証情報を入手し、VDIサーバー経由の接続に切り替えたのではないか。正当なアカウントとパスワードを使ったアクセスのほうがより隠密な行動ができるからだ」と分析する。実際、攻撃者は日勤の時間帯しか動かず、「ばれないようにひっそりと活動していた」（久野担当部長）。攻撃者はメール送信といった目立つ行動も控えていた。

　別のサイバーセキュリティーの専門家は「BlackTechによる攻撃の可能性がある」と指摘する。BlackTechとは、中国政府との関係が噂されるサイバー攻撃集団だ。既に明らかとなっている三菱電機に対するサイバー攻撃にも関与したとされる。BlackTechの攻撃の特徴は「海外拠点の通信機器の脆弱性を利用する」（同）点にあり、特に情報通信や製造業、学術機関が狙われる傾向にある。

UEBAやEDRを導入
　NTTコムは再発防止を急いでいる。まず社員の正当なIDとパスワードを使った「なりすまし攻撃」により、影響範囲の特定に時間がかかった反省から、攻撃者の振る舞いを細かく把握できる「UEBA（Userand Entity Behavior Analytics）」を2021年3月までに本格導入する計画だ。EDRも2020年秋までに、サーバーも含めて全端末への導入を終える。

　サイバー攻撃の動向や企業のセキュリティー対策に詳しいラックの西本逸郎社長は「被害範囲の特定や封じ込めにEDRは有効だ」と語る。パソコンなどのログを詳細に洗い出す「フォレンジック」には、パソコン1台当たり2週間かかるケースもある。「EDRを導入すれば、こうした時間を大幅に短縮できる」（西本社長）。

　NTTコムはセキュリティー対策の有効性を検証する「Red Team」の人員拡充も検討する。社内のITやOT（制御技術）システムに対して、疑似的なサイバー攻撃を仕掛け、対策の実効性を評価する「TLPT（Threat Led Penetration Test）」のプランを策定し、それに合わせるような形で、Red Teamの体制の詳細を詰める。「今後は撤去予定の設備に対するセキュリティー対策も徹底する」（小山部長）。

　NTTコムで判明した今回のサイバー攻撃は多くの企業にとって対岸の火事ではない。新型コロナウイルスの流行により、企業はいや応なく在宅勤務の拡充などを迫られている。そんな中で、利用範囲が拡大するIT機器のセキュリティー水準をどう担保するか。早急に対策が求められる。』

（グーグル翻訳文）7月の最も望まれる（※「Wanted」だ…。お尋ね者の…、という感じだろう）マルウェア：Emotetが5か月の不在後に再び攻撃
https://blog.checkpoint.com/2020/08/07/julys-most-wanted-malware-emotet-strikes-again-after-five-month-absence/

『Check Point Researchは、銀行の認証情報を盗み、ターゲットネットワーク内に拡散することを目的とした、非活動期間後のEmotetボットネット拡散スパムキャンペーンの急激な増加を発見しました

2020年7月の最新のグローバル脅威インデックスは、5か月の不在の後、Emotetがインデックスの1位に急上昇し、世界の5％の組織に影響を与えていることを明らかにしました。

2020年2月以降、Emotetの活動（主にマルスパムキャンペーンの波を送る）は鈍化し始め、7月に再び出現するまで最終的には停止しました。このパターンは、Emotetボットネットが夏季に活動を停止したが、9月に再開した2019年に観察されました。

7月、Emotetはマルスパムキャンペーンを広め、被害者にTrickBotとQbotを感染させました。これらは、銀行の資格情報を盗んだり、ネットワーク内に広まったりするために使用されています。一部のマルスパムキャンペーンには、「form.doc」や「invoice.doc」のような名前の悪意のあるdocファイルが含まれていました。研究者によると、悪意のあるドキュメントはPowerShellを起動して、リモートのWebサイトからEmotetバイナリをプルし、マシンに感染してボットネットに追加します。Emotetの活動の再開は、ボットネットの規模と能力を世界的に強調しています。

Emotetが今年の数か月間休止していて、2019年に最初に確認されたパターンCheck Pointを繰り返したのは興味深いことです。CheckPointの研究者は、ボットネットの背後にいる開発者が機能と機能を更新していると想定しています。しかし、それは再びアクティブになるため、組織はこれらの脅威を運ぶマルスパムのタイプを特定する方法について従業員を教育し、電子メールの添付ファイルを開いたり、外部ソースからのリンクをクリックしたりするリスクについて警告する必要があります。企業は、そのようなコンテンツがエンドユーザーに到達するのを防ぐことができるマルウェア対策ソリューションの展開も検討する必要があります。

調査チームはまた、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44％の組織に影響を及ぼし、次に「OpenSSL TLS DTLSハートビート情報開示」が世界中の42％の組織に影響を与えると警告しています。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38％です。

上位のマルウェアファミリ

*矢印は、前月と比較したランクの変化に関連しています。

今月、Emotetは最も人気のあるマルウェアであり、組織の5％が世界的に影響を及ぼし、続いてDridexとAgent Teslaがそれぞれ4％の組織に影響を及ぼしています。

１、↑Emotet – Emotetは高度な自己増殖型のモジュール型トロイの木馬です。Emotetは元々はバンキング型トロイの木馬でしたが、最近では他のマルウェアや悪意のあるキャンペーンの配布元として使用されています。検出を回避するために、永続性と回避技術を維持するために複数の方法を使用します。さらに、悪意のある添付ファイルやリンクを含むフィッシングスパムメールを介して拡散する可能性があります。
２、↑Dridex – DridexはWindowsプラットフォームを標的とするトロイの木馬で、スパムメールの添付ファイルを介してダウンロードされると報告されています。Dridexはリモートサーバーに接続し、感染したシステムに関する情報を送信します。また、リモートサーバーから受信した任意のモジュールをダウンロードして実行することもできます。
３、↓エージェントテスラ –エージェントテスラは、被害者のキーボード入力、システムクリップボードを監視および収集し、スクリーンショットを撮り、被害者のマシンにインストールされているさまざまなソフトウェア（以下を含む）に属する資格情報を持ち出すことができる、キーロガーおよび情報スティーラーとして機能する高度なRATです。 Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアント）。
４、↑Trickbot – Trickbotは、新しい機能、機能、および配布ベクトルで常に更新されている主要な多機能ボットです。これにより、Trickbotは柔軟でカスタマイズ可能なマルウェアになり、多目的キャンペーンの一部として配布できます。
５、↑Formbook – Formbookは、さまざまなWebブラウザーから資格情報を収集し、スクリーンショットを収集し、キーストロークを監視および記録し、C＆Cの注文に従ってファイルをダウンロードして実行できるinfoStealerです。
６、↓XMRig – XMRigは、Monero暗号通貨のマイニングプロセスに使用されるオープンソースのCPUマイニングソフトウェアであり、2017年5月に初めて公開されました。
７、↑Mirai – Miraiは、有名なモノのインターネット（IoT）マルウェアで、Webカメラ、モデム、ルーターなどの脆弱なIoTデバイスを追跡し、ボットに変えます。ボットネットは、事業者が大規模なサービス拒否（DoDoS）攻撃を仕掛けるために使用します。
８、↓Ramnit – Ramnitは、銀行の資格情報、FTPパスワード、セッションCookie、個人データを盗む銀行用トロイの木馬です。
９、↓Glupteba – Gluptebaは、徐々にボットネットに成熟したバックドアです。2019年までに、公開のBitCoinリストを介したC＆Cアドレス更新メカニズム、統合されたブラウザスティーラー機能、ルーターエクスプロイトが含まれていました。
１０、↑RigEK – RigEKは、Flash、Java、Silverlight、およびInternet Explorerのエクスプロイトを提供します。感染チェーンは、脆弱なプラグインをチェックしてエクスプロイトを配信するJavaScriptを含むランディングページへのリダイレクトから始まります。

よく利用される脆弱性

今月は、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44％の組織に影響を及ぼし、続いて「OpenSSL TLS DTLSハートビート情報開示」が世界中の42％の組織に影響を及ぼします。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38％です。

１、↑MVPower DVRリモートコード実行 – MVPower DVRデバイスに存在するリモートコード実行の脆弱性。リモートの攻撃者は、この脆弱性を悪用して、巧妙に細工されたリクエストを介して、影響を受けるルーターで任意のコードを実行できます。
２、↓ OpenSSL TLS DTLSハートビート情報漏えい（CVE-2014-0160; CVE-2014-0346） – OpenSSLに存在する情報漏えいの脆弱性。この脆弱性は、TLS / DTLSハートビートパケットを処理する際のエラーが原因です。攻撃者はこの脆弱点を利用して、接続されているクライアントまたはサーバーのメモリの内容を公開することができます。
３、↑ HTTPペイロードを介したコマンドインジェクション– HTTPペイロードを介したコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に細工したリクエストを被害者に送信することにより、この問題を悪用できます。悪用に成功すると、攻撃者はターゲットマシンで任意のコードを実行できるようになります。
４、↔ 茶山（※英文だと、「Dasan」だ…。DASAN Network Solutionsのことか…。韓国の会社だ…。「通信事業者向けのネットワークソリューションに注力し、グローバル企業として成長しています。 KT、SKB、LGU+など、韓国通信事業者における市場シェアは1位です。また、日本の通信事業者、台湾のCHT、ベトナムのViettelなど、グローバル通信事業者にもソリューションを提供し、世界市場での競争力を認められています。」ということだ…。）GPONルータ認証バイパス（CVE-2018から10561） -認証バイパスの脆弱性が茶山GPONルータに存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。
５、↑HTTPヘッダーのリモートコード実行（CVE-2020-13756）– HTTPヘッダーにより、クライアントとサーバーはHTTPリクエストで追加情報を渡すことができます。リモートの攻撃者は、脆弱なHTTPヘッダーを使用して、犠牲ＰＣで任意のコードを実行する可能性があります。
６、↑ Apache Struts2コンテンツタイプのリモートコード実行– Jakartaマルチパートパーサーを使用したApache Struts2にリモートコード実行の脆弱性が存在します。攻撃者は、ファイルアップロードリクエストの一部として無効なコンテンツタイプを送信することにより、この脆弱性を悪用する可能性があります。悪用に成功すると、影響を受けるシステムで任意のコードが実行される可能性があります。
７、↓ Webサーバーに公開されたGitリポジトリの情報漏えい– Gitリポジトリで情報漏えいの脆弱性が報告されています。この脆弱性の不正利用に成功すると、アカウント情報が意図せずに開示される可能性があります。
８、↑SQLインジェクション（いくつかの手法）–アプリケーションのソフトウェアのセキュリティの脆弱性を利用しながら、クライアントからアプリケーションへの入力にSQLクエリのインジェクションを挿入します。
９、↑ PHP php-cgiクエリ文字列パラメーターのコード実行 –リモートコード実行の脆弱性がPHPで報告されています。この脆弱性は、PHPによるクエリ文字列の不適切な解析とフィルタリングが原因です。リモートの攻撃者は、巧妙に細工されたHTTPリクエストを送信することにより、この問題を悪用する可能性があります。悪用に成功すると、攻撃者はターゲット上で任意のコードを実行できるようになります。
１０、↓WordPress portable-phpMyAdminプラグインの認証バイパス– WordPress portable-phpMyAdminプラグインに認証バイパスの脆弱性が存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。

トップモバイルマルウェアファミリー

今月はxHelperが最も人気のある（※「流行している」だろう…）マルウェアで、NecroとPreAMoがそれに続きます。

１、xHelper –他の悪意のあるアプリをダウンロードして広告を表示するために使用される、2019年3月以降に流行した悪意のあるアプリケーション。アプリケーションはユーザーから身を隠すことができ、アンインストールされた場合に備えて再インストールされます。
２、Necro – NecroはAndroidトロイの木馬ドロッパーです。他のマルウェアをダウンロードし、侵入型の広告を表示したり、有料サブスクリプションを請求することでお金を盗んだりできます。
３、PreAMo – PreAmoはAndroidマルウェアで、Presage、Admob、Mopubの3つの広告代理店から取得したバナーをクリックしてユーザーを模倣します。』

　※　まあまあ、ありとあらゆる「コード」に脆弱性があり、「機密情報」が盗まれる危険性がある…、ということだ…。特に、「リモート」で「操作可能なもの」は、危ない…、ということだ…。

　そういうことに「無頓着な」ヤカラが、爆発的に増加しているのが「現状」だ…。「ＩｏＴ」とは、そういうことだ…。「対策」なるものも、そういうのが「現状」だということを前提に、立てないとならないという話しになる…。あらゆる端末の９０％以上（９８％くらいもか）は、「抜かれている」と考えた方がいい…。

https://xtech.nikkei.com/atcl/nxt/column/18/00001/04385/

『サーバー用OSのWindows Serverに危険な脆弱性が見つかった。悪用されるとコンピューターを乗っ取られる恐れなどがある。危険度を表す指標CVSSは最大値の10.0。米国土安全保障省（DHS）は政府機関に対策を命じる緊急指令を発令した。悪用した攻撃は未確認だが近いうちに出現する可能性は高い。攻撃が出回る前にセキュリティー更新プログラムや回避策を適用する必要がある。

17年前から存在する
　今回の脆弱性はWindows Serverに含まれるWindows DNS Serverに見つかった。Windows DNS Serverは米Microsoft（マイクロソフト）製のDNSサーバーソフト。発見者である米Check Point Software Technologies（チェック・ポイント・ソフトウェア・テクノロジーズ）によると17年前から存在するという。

同社によれば、Windows Server 2003から最新版のWindows Server 2019までが影響を受けるとしている。つまり全てのWindows Serverが対象になる。

　マイクロソフトはこの脆弱性を修正するセキュリティー更新プログラムを2020年7月14日（米国時間、以下同）に公開した。現在サポート期間中のWindows Serverに加え、2020年1月に延長サポートが終了しているWindows Server 2008および2008 R2に対しても更新プログラムを提供している。一方、それ以前の古いWindows Serverはサポート期間が終了しているため提供していない。

　今回の脆弱性はDNSのSIGレコードが関係する。このためチェック・ポイントは脆弱性を「SIGRed」と名付けた。細工が施されたデータを送信されるとバッファーオーバーフローが発生し、任意のプログラムを実行される恐れがある。その結果、コンピューターを乗っ取られたり、ウイルス（マルウエア）に感染させられたりする可能性がある。

　この脆弱性を修正するセキュリティー更新プログラムの公開を受けて、前述のようにDHSは7月16日に緊急指令を発令。政府機関に対策するよう命じた。

　緊急指令は法令で定められていて強制力がある。今までに3回しか発令されていない。初めて発令されたのは2019年1月。このときはDNSの改ざんが相次いだための対応だった。2度目は2020年1月。WindowsのRDPに見つかった脆弱性に関して発令された。そして今回が3度目である。

ワームに悪用される
　今回の脆弱性に対して緊急指令を発令したのは、まず第一に危険度が高いためだ。コンピューターを乗っ取られるだけではなく、ワームに悪用される恐れもある。ここでのワームとは、ネットワーク経由で勝手に感染を広げるウイルスのこと。今回の脆弱性を悪用すれば、人手を介することなく感染を拡大できる。このような脆弱性は「ワーム可能な（wormable）脆弱性」と呼ぶ。

　影響範囲も広い。前述のようにWindows Serverの全てのバージョンが影響を受ける。また、DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁（CISA）クリストファー・クレブスディレクターは7月16日付の公式ブログにおいて、政府機関の多くがWindows Serverを利用していると述べている。

緊急指令 20-03を解説するブログ
（出所：DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁）
[画像のクリックで拡大表示]

　脆弱性を悪用する攻撃が出現する可能性も高いとしている。セキュリティー組織の米SANS Institute（サンズインスティチュート）はセキュリティー更新プログラムの公開直後時点で、「DoSエクスプロイト（脆弱性を突いてコンピューターを正常に動作させなくするプログラム）」は確認したが、コンピューターを乗っ取るようなプログラムは未確認としていた。

　緊急指令の発令時点でCISAも悪用を認識していないとしているが、公開されているセキュリティー更新プログラムをリバースエンジニアリングすることで脆弱性の詳細は明らかにされるだろうとしている。

　前出のクレブスディレクターも「今のところ出現していないが、今回の脆弱性を悪用するプログラム（エクスプロイト）が現れるのは時間の問題」と公式ブログで強調する。

国内でもすぐに対策を
　もう1点気になるのが、今回の脆弱性はサーバーOSが対象であることだ。クライアントに比べて台数は少ないものの、セキュリティー更新プログラムの自動更新を有効にしていない可能性が高い。「セキュリティー更新プログラムは事前に検証したうえで適用する」という運用にしている組織は、今回のセキュリティー更新プログラムをまだ適用していない恐れがある。

　DNSの緊急指令は米国政府機関向けだが、当然のごとく対岸の火事ではない。国内でも対策が急務だ。今回の脆弱性対策としては、セキュリティー更新プログラムの適用のほかに、レジストリーを変更するという回避策がある。セキュリティー更新プログラムをすぐに適用できない組織は回避策でしのごう。

　詳細はマイクロソフトの情報（https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1350）などを参照してほしい。攻撃が出回ってからでは遅い。』

最近、三菱電機がサイバー攻撃された話しがあった…。

三菱電機にサイバー攻撃　中国系か、防衛情報流出恐れ（2020/1/20 10:38）

https://www.nikkei.com/article/DGXMZO54586740Q0A120C2MM0000/

それで、ちょっと情報を集めてみた。

「情報流出は完全には防げない」、三菱電機にサイバー攻撃の衝撃　セキュリティー対策にはコスト上昇の課題も
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/03510/?P=1

ログ消去もされていた三菱電機の不正アクセスについてまとめてみた – piyolog　（※　画像元のサイトです）
https://piyolog.hatenadiary.jp/entry/2020/01/20/172436

この「ログも消去されていた」と言うことで、思い出したのが、「エモテット（Emotet）」と言うマルウエアの話しだ…。

エモテット（Emotet）は、単なる「マルウエア」と言うよりも、「標的メール自動作成ツール群」「標的メール自動作成プラットフォーム」とでも言うべきものだ…。

ある日、何の変哲もない、日常の業務に関係したメールが送られて来る…。

黒塗り部分は、全て通常業務で自分がやり取りしている関係先のものだ…。取り引き先の会社、出席したセミナーの関係者、出席した学会の関係者とか…。メールの「住所録」に記載のあるものだ…。それで、信用して（真正のメールだと思って）、記載されているリンクをクリックして、リンク先に飛んでみると、大変なことになる…、と言うパターンだ…。

個人でも、油断できないぞ…。今どきは、「ネット通販」やらない人はいない御時世だ…。普段よく利用しているネット通販会社から、メールが送られて来る…。次のような文面だ…。

『Аmazon お客様

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ： Amazonカスタマーサービス。

お知らせ:　

パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon　』

ご丁寧に「ログイン・ボタン」まで作られていて、「パスワードは誰にも教えないでください。」とかご親切にも「お知らせ」してくれている…。

それで、「こりゃ、大変だ…。」とか思って、リンク先に飛んでみると、大変なことになる…、というパターンだ…。

エモテット（Emotet）は、こういう「標的メール」作成の元になる、メール・ソフトのユーザーの「個人情報」を窃取するマルウエアなんだ…。