今週も脅威情報ニュースレターをお届けします。
今週は「愛」が話題になっています。でも待ってください。それは「愛」なのでしょうか。それとも、(直接会いたいと心から思うけれども今週は会えないと言う)住宅開発会社を経営しているどこかテック系の男が、自分の暗号通貨スキームでの投資話について電子メールで連絡してきたのでしょうか。
バレンタインデーの時期には、「ロマンス詐欺/豚の屠殺詐欺に注意」といった記事をよく目にするかもしれません。この記事はそういった注意喚起ではありませんが、もしそのテック系の男が甘い言葉を畳みかけながら電信送金を要求してきたら、とにかく即座にその男を通報してください。
最近 The Hacker News
で、インターポールが豚の屠殺詐欺の「言い換え」を推進しているという記事を見かけました。代わりにインターポールが提唱している名称が「ロマンス詐欺」です。
インターポールは、声明でその理由をこう述べています。
「『豚の屠殺詐欺』という名称は詐欺の被害者から人間性を奪い、侮辱するものなので、人々が助けを求めて当局に情報提供するのを阻んでいます」
豚の屠殺詐欺という言葉は中国語由来で、「豚を太らせてから屠殺する」という意味です。この言葉をオンライン詐欺の文脈に置き換えると、被害者に焦点が当たっており、あまり好ましくない言外の意味(および、それにまつわるある種の避け難い感覚)を伴っています。
インターポールは、この見方をひっくり返して、豚の屠殺詐欺をロマンス詐欺に名称変更することで、標的にされたことの心理的な本質にプラスに働く可能性があると示唆しています。
「言葉は重要です。暴力的な性犯罪や家庭内暴力、オンライン児童搾取についても同じことが言えます。詐欺の被害者にとっては、使用される言葉も重要であることを認識する必要があります」とインターポールの警察サービス担当エグゼクティブディレクター代理、Cyril Gout 氏は述べています。
「被害者への敬意と共感に重きを置いた言葉に改め、詐欺犯たちに自分が犯した罪の責任を負わせる時が来たのです」
私はこれに全面的に賛成します。被害者を責めると、問題は大きくなる一方です。人々が恥ずかしいと思わずに加害者を通報できるようにするために、できる限りのことをしたほうがよいのです。
読者の皆様はいかがでしょうか。次にロマンス詐欺を話題にする時は、焦点を変えて表現を改めようと思いますか。攻撃者よりも被害者に焦点が当たっているような言葉は、この業界に他に何かあるでしょうか。
重要な情報
最新の『Talos Vulnerability Deep Dive(脆弱性の詳細)』では、macOS の印刷サブシステムに関する先の調査中に Talos チームが注目していた IPP over USB の仕様について取り上げました。USB 接続のプリンタが Internet Printing Protocol(IPP)経由でのネットワーク印刷のみをサポートする方法を定義しているものです。今回新たに調査を行う中で、同じ機能が他のオペレーティングシステムではどのように扱われているかを調べることにしました。
結果はというと、実はかなり良いニュースとなっています。Talos がこちらの記事で説明している潜在的な脆弱性は非常に現実的なものではありますが、緩和策を有効にしていれば、それほど深刻ではありません。この脆弱性は最新のコンパイラ機能によって検出され、エクスプロイト対策ができます。記事では、このまれに見る、コンパイラ機能による緩和策の成功例を取り上げています。
注目すべき理由
ソフトウェアのあらゆる欠陥、脆弱性、緩和策の回避についてはよく耳にしますが、今回はその逆の事例であり、この機会に強調しておくべきだと思いました。この事例では、最新のコンパイラ機能(-Wstringop-overflow による静的分析と FORTIFY_SOURCE による強力な緩和策)が脆弱性のエクスプロイトを防いでいました。
必要な対策
上記の最新のコンパイラ機能は、常にデフォルトで有効にしておくべきです。また、コンパイラが警告を表示したとしても、実際に確認しなければ役に立たないことに留意する必要があります。この脆弱性とコンセプト実証に関するこちらの優れた記事をご確認ください。
今週のセキュリティ関連のトップニュース
サイバー部隊の推進で議員が団結:「下院議員のグループは、米国国防総省にサイバー部隊を創設する構想を、今年も米国連邦議会におけるサイバー政策の最重要議題に据えるべく動いています」(情報源:Politico)
当局が 8Base ランサムウェアを解体:「国際的な法執行機関であるユーロポールの発表によると、8Base ランサムウェアグループのインフラストラクチャが解体され、リーダーが逮捕されました」(情報源:Security Week)
Magecart の攻撃者が Google 広告のツールを悪用してデータを窃取:「攻撃者は Google タグマネージャの広告ツールを悪用して、Magento ベースの e-コマースサイト上の決済ページに、カード情報を抜き取る悪意のあるコードを忍び込ませています」(情報源:Dark Reading)
今すぐ iOS 18.3.1 にアップデートを。「高度な攻撃」のリスクを Apple が発表:「物理的な攻撃によって、ロックされたデバイスの USB 制限モードが無効化される可能性があります。Apple 社は、特定の個人を標的にした非常に高度な攻撃にこの問題が悪用された可能性があるという報告を認識しています」(情報源:Vice)
Talos 関連の情報
Cloud Build を使用した Google Cloud Platform のデータ破壊
Web シェルの急増、新たなランサムウェア Interlock の登場、ハッカーのサイバーセキュリティが最悪な理由:2024 年第 4 四半期の Talos IR の動向
『Talos Takes』ポッドキャストで最新エピソードをお聴きください。
Talos が参加予定のイベント
RSA(2025 年 4 月 28 日~ 5 月 1 日) カリフォルニア州サンフランシスコ
TIPS 2025(2025 年 5 月 14 日~ 15 日) バージニア州アーリントン
Talos のテレメトリでこの 1 週間に最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA256:873ee789a177e59e7f82d3030896b1efdebe468c2dfa02e41ef94978aadf006f
MD5:d86808f6e519b5ce79b83b99dfb9294d
VirusTotal:
https://www.virustotal.com/gui/file/873ee789a177e59e7f82d3030896b1efdebe468c2dfa02e41ef94978aadf006f
一般的なファイル名:なし
偽装名:なし
検出名:Win32.Trojan-Stealer.Petef.FPSKK8
SHA256:6adbdd262a335eb59c55ca1c8b21efc1cc5a8bf0f8f5662e78fd9f00141feed1
MD5:35f8db3dde368c6d25239d27fd79a4a7
一般的なファイル名:なし
偽装名:なし
検出名:easysmartpdf.msi
本稿は 2025 年 2 月 13 日にTalos Group
Authors