News

セキュリティエンジニアが気になったニュースまとめ 2023/3/20~3/26
2023.03.30

セキュリティエンジニアが気になったニュースまとめ 2023/3/20~3/26

最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。

2023/03/20

マルウェアEmotetの感染再拡大に関する注意喚起。【.one】拡張子ファイルを添付する新たな手口)

https://www.jpcert.or.jp/at/2022/at220006.html

Emotetの感染に至るMicrosoft OneNote形式のファイルを添付するメールが観測されています。
ファイルを実行後に画面上のボタンを押下すると、ボタンの裏に隠れているスクリプトが実行され、Emotetの感染に繋がる可能性があります。

当ブログでは何度か取り上げていますが、
Emotetとは、感染者のメールに関する情報を収集し、主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとして添付したなりすましメールを送り、受信者がファイルを開封後にマクロを有効化する操作を実行することで感染に繋がるとされているマルウェアの一種です。
Emotetから送信されるなりすましメールには、件名やメール末尾の引用のような部分で全体的に、返信メールのように見せかける巧妙な文章が記載されています。

今回新たな配布手法として、Microsoft OneNote形式(.one)のファイルが添付されたメールが観測されています。
また、今月メールに添付されるZIPアーカイブを展開すると500MBを超えるdocファイルが展開されるケースが確認されており、これはサイズを大きくすることでアンチウイルス製品の検知回避を狙う為の変化と考えられています。
JPCERTコーディネーションセンターではEmotet感染をチェックする無料ツール『EmoCheck』を公開していますが、Emotetを検知できないケースも確認されており、検知回避の為あらゆる手法が考えられているようです。
(EmoCheckで検知できないケースは最新版「EmoCheck v2.4.0」で対応されているようです。)
不審なメールの添付ファイルは開かないようにし、確実な手段で送信元へ確認する等の対策を日々意識するように心掛けましょう。

 

2023/03/22

ゲームをする子どもたちを狙うサイバー攻撃調査レポート

https://www.kaspersky.co.jp/about/press-releases/2023_vir22032023

Kasperskyのセキュリティチームは、2022年にサイバー犯罪者が子どもたちに人気のあるゲームタイトルを悪用し、700万件を超える攻撃を仕掛けたことを突き止めました。これは2021年と比較して57%の増加です。
その中には3歳から8 歳向けのPoppy Playtime と Toca Life Worldも含まれており、この年齢の子どもは保護者のデバイスでゲームをすると考えられるため、サイバー犯罪者は保護者のクレジットカードや認証情報を窃取しようとした可能性があります。

子どものプレーヤーを標的とした一般的なソーシャルエンジニアリング手法の一つとして、人気のあるゲームのチートやソフトウェアの動作を改変するMODをダウンロードさせようとするものがあります。
特に興味深いのは、疑わしいファイルをインストールする手順に、ウイルス対策ソフトウェアをオフにする指示があることです。
これは子どものプレーヤーに向けたものではないかもしれませんが、感染したデバイスでマルウェアが検知されることを避ける目的が考えられます。

最近は子ども達の間でオンラインゲームが流行っている印象がありますが、ゲームに関する事であれば興味本位で簡単に怪しいサイトにアクセスしたり、面白そうなMODを不用意にインストールしてしまう事は想像がつきますね。
情報端末の取り扱いには十分気を付けるよう、早くから教育していくことが大事そうです。

 

2023/03/23

メールの宛先入力についての注意

https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2023/03/17/24.html

「ウクライナ避難民支援連携フォーラム」について、参加者及び登壇者に資料の事前配布のメールを送信するところ、誤ってメールアドレスをBCC欄ではなく宛先欄に入力して送信。
すぐに、メールの送信取消機能による処理を実施した結果、宛先欄にメールアドレスが入力された状態で、再度、メールが自動送信されてしまった。
メールの送信取消機能による処理を、再度実施。結果、宛先欄にメールアドレスが入力された状態で、3回目のメールが自動送信されてしまった。
取消処理のメールに対して、参加者の一人が全員宛に返信。その結果、宛先欄にメールアドレスが入力された状態でメールが送信された。

連鎖的に複数回に渡って参加者のメールアドレスが送信されてしまう事象が発生したようです。
Outlookには送信取り消し機能が設けられていますが、 受信者が既にメッセージを開封している場合は取り消すことが出来ないなど、取り消しを行うには条件があり上手くいかない場合があります。
今月は他にも同じパターンの『送信先をBCCではなく誤って宛先に設定』するケースのニュースがいくつか目につきました。

 

2023/03/24

Windows Snipping Tool 編集前の画像データを復元、情報漏洩の可能性

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28303

※Google翻訳
既存のイメージが部分的に上書きされた場合、攻撃者は特別なツールを使用して元のイメージの一部を復元できる可能性があります。
たとえば、銀行取引明細書のスクリーンショットを撮ってデスクトップに保存し、同じ場所に保存する前に口座番号を切り取った場合、切り取った画像に口座番号が非表示の形式で含まれている可能性があり、これを復元できます。

Windows 10 以前のバージョンの既定の Snipping Tool は影響を受けません。この脆弱性の影響を受けるのは、Windows 10 の Snip & Sketch と Windows 11 の Snipping Tool のみです。
これらのアプリケーションのセキュリティ更新プログラムがリリースされており、Microsoft Store から入手できます。

今月、Google Pixelに標準搭載の画像編集ツール「マークアップ」でも同様の画像復元ができる脆弱性が確認されています。(CVE-2023-21036)
復元するには色々条件が必要なようですが、画像を加工して共有する際は復元される可能性を少し考えるようにしておきたいですね。

本件はCVE-2023-28303として報告されており、Microsoftからは既に修正されたバージョンが配布されていますが、
アップデート後も既に保存済みの画像ファイルが更新されるわけではありませんので、加工済みの画像の取り扱いには気をつけた方が良いかもしれません。

対応済みのバージョン
・Snipping Tool/Windows 11:11.2302.20.0以降
・Snip & Sketch/Windows 10:10.2008.3001.0以降

まとめのまとめ

メール送信や加工画像の取り扱いなど、日常の身近な事からも情報漏洩の可能性があることを日々意識しておきたいですね。

担当:YA

Recent News

Recent Tips

Tag Search