このページは、以下のサイトの和訳を中心として、セキュリティ関連のニュースを発信していくことにします。

Archive
2007まで
2008年
2009年
2010年
2011年
2012年
2013年
2014年
2015年
2016年

セキュリティ・メーカー関連
• ・　Emsisoft : Blog
• ・　ESET WeLiveSecurity
• ・　Kaspersky SecureList
• ・　Websense　Security Labs
• ・　McAfee Blog Central
• ・　Sophos Naked Secuirty
• ・　Bitdefender : HOTforSecuirty
マスメディア
• ・　BBC
• ・　The Washington Post
• ・　The Gurdian
• ・　The Register
情報サイト等
• ・　Graham Cluley
• ・　Krebs on Security
• ・　The PC Informant
• ・　BleepingComputer

【訳者より】　諸般の事情から長らくお休みしていましたが、少しづつになると思いますが始めていきます（2020/10/20）

---

毒性化されたCCleanerの検索結果は情報窃取マルウェアを拡散する
BleepingComputer : News>Security（2022/06/08）
　パスワード、クレジットカード、仮想通貨ウォレットを盗むマルウェアは、検索結果をWindows最適化プログラムCCleaner Proの海賊版コピーに振り向けることで促進されている。
　この新しいマルウェア拡散キャンペーンは、“FakeCrack”と称され、Avastのアナリストによって発見された。彼らは、顧客の遠隔測定データから平均10，000感染／日の企てを検出しているとレポートしている。この犠牲者の殆どは、フランス、ブラジル、インドネシア、インドである。
　このキャンペーンで拡散されているマルウェアは、個人データ、仮想通貨資産を取得する強力な情報窃取マルウェアであり、インターネット トラフィックをデータ窃取用のプロクシに送る。

Black Hat SEOキャンペーン

　この脅威のアクターは、Googleの検索結果で彼らのマルウェア配布サイトが上位にランクされるようにするためにBlack Hat SEOテクニックに従っている。そのため、多くの人々が毒物が混入された実行ファイルをダウンロードするように欺かれている。
　Avastによって発見されたこの誘惑は、Windowsのシステムクリーナであり、依然として多くのユーザが「持っておくべき」ユーティリティとして考えられているパフォーマンス最適化ツールであるCCleaner Professionalのクラックされたバージョンで発見された。

悪意あるサイトを指し示すGoogle検索結果（画像をクリックすると拡大表示されます）

　このキャンペーンで悪用されている他のソフトウェアとしては、"cracked", "serial key", "product activator", "free download"のキーワードで宣伝されているMicrosoft OfficeとMovavi Video Editorがある。
　この毒性化された検索結果は、ZIPファイルのダウンロードを提供しているランディングページ（【訳注】検索結果や広告などを経由して訪問者が最初にアクセスするページ（DS Magazineより））を表示する幾つかのWebサイトに犠牲者を導く。このランディングページは一般的にfilesend.jp や mediafire.comのような正当なファイル ホスティング プラットフォーム上にホストされている。

マルウェア配布ポータル（画像をクリックすると拡大表示されます）

　このZIPは、“1234”のような脆弱なPINを使用してパスワード保護をしている。これは単に、アンチウィルス検出からペイロードを保護するために存在している。
　このアーカイブ中のファイルは、通常“setup.exe”あるいは“cracksetup.exe”と名付けられているが、Avastは、8つの異なる実行ファイルがこのキャンペーンで使用されていることを確認している。

危険な情報窃取マルウェア

　このマルウェアは、Webブラウザに格納されている情報（アカウント パスワード、保存されているクレジットカード、仮想通貨ウォレット認証のような）を窃取するために犠牲者を欺きインストールさせようとする。
　更に、ウォレット アドレスがコピーされていないかクリップボードを監視し、それらをマルウェア オペレーターの制御下にあるアドレスに置き換えて支払いを迂回させる。 このクリップボードハイジャック機能は、Bitcoin, Ethereum, Cardano, Terra, Nano, Ronin, Bitcoin Cashアドレスなど、様々な仮想通貨アドレスで機能する。

クリップボード監視スクリプト（画像をクリックすると拡大表示されます）

　このマルウェアはまた、犠牲者が検出したり認識したりすることがほぼ出来ない中間者攻撃（【訳注】通信者同士の間に第三者が勝手に割り込むタイプの攻撃（日経クロステックより））を使用して仮想通貨マーケットアカウント認証を盗むためにプロクシを使用している。
　「攻撃者は、IPアドレスを設定し悪意あるProxy Auto-Configurationスクリプト(PAC)をダウンロードすることができる」と、「このIPアドレスをシステムに設定することによって、犠牲者がリストされているドメインの何れかにアクセスするたびに、このトラフィックは攻撃者の制御下にあるプロクシサーバにリダイレクトされる」と、Avastはそのレポートで説明している。
　このプロクシのメカニズムは、新しいレジストリキー “HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”を追加する。
　犠牲者は、Windows Settings（Windows設定）のNetwork & internet（ネットワークとインターネット）に移動し、“Use a proxy server”（プロクシサーバを使用）オプションをOFFにすることで、これを無効化することができる。
　このキャンペーンは既に広範に拡散しており、感染レートは「高」なので、あらゆる場所からクラックされたソフトウェアをダウンロードしないようにしなさい。たとえGoogle検索で上位にランクされているダウンロードサイトであろうとも。

---

Windows MSDT 0-Dayの脆弱性用のフリーで非公式のパッチがリリースされた
BleepingComputer : News>Security（2022/06/01）
　'Follina'として知られる緊急の0-Dayの脆弱性を標的にWindowsシステムへの攻撃をブロックするフリーで非公式のパッチが利用可能になっている。
　CVE-2022-30190として追跡され、Microsoft Windows Support Diagnostic Tool (MSDT)リモートコード実行のフローとしてMicrosoftによって説明されるこのバグは、セキュリティアップデートを受け取るまで全てのWindowsのバージョン（Windows 7+、Server 2008+）に影響を与える。
　この0-Dayを成功裏に攻撃できた攻撃者は、呼び出し元アプリケーションの権限で任意のコードを実行することができ、プログラムをインストール、閲覧、変更、データの削除や、ユーザ権限で可能な新しいWindowsアカウントを作成することができる。
　Microsoftは、この激しく悪用されている0-Dayを解決するためのセキュリティアップデートをリリースしていないが、悪意ある攻撃者が脆弱性のあるシステムでコードを実行するために使用するMSDT URLプロトコルを無効化することで攻撃をブロックする緩和策をMicrosoftは公開している。
　悪意あるドキュメントを表示しているときに悪用可能な追加の攻撃ベクトルを削除するためにWindows ExplorerのプレビューペインをOFFに切り替えることが推奨される。

公式の修正が利用可能になるまでシステムを安全にするには

　Follinaセキュリティバグの影響を受ける以下に示す一部のWindowsバージョン用のフリー（非公式）マイクロパッチが、0patchマイクロパッチサービスに出現した。

 

・　Windows 11 v21H2
・　Windows 10 (v1803 ~ v21H2)
・　Windows 7
・　Windows Server 2008 R2

 

　MSDT URLプロトコル ハンドラを無効にする（Microsoftの推奨方法）代わりに、0patchは、ユーザー提供のパス（現在Windowsスクリプト中に見つからない）のサニタイゼーション（【訳注】Webアプリケーションにおけるセキュリティ対策の1つ。SNSや掲示板から投稿された文字列に含まれる有害な文字・文字列を検知して無害化すること（ITトレンドより））することで、全てのアプリケーションに関してOS全体でWindows診断ウィザードを操作不能にすることを回避している。
　「インストールされているOfficeのバージョンは重要なことではない、また、Officeがインストールされている場合には、他の攻撃ベクトルを介して、この脆弱性は悪用される可能性がある」と、「それ故、我々はms-msdt: URLハンドラが全く登録されていないWindows 7もパッチした」と、0patchの共同創設者Mitja Kolsekは発言している。
　このマイクロパッチをWindowsシステムに配備するには（Microsoftの公式のパッチがリリースされるまで）、0patchにアカウントを登録し、0patchエージェントをインストールしなければならない。
　このエージェントを起動すると、ローカルセキュリティポリシーが、このエージェントを妨げない限り、このパッチは自動的にダウンロードされ適用される。

進行中の攻撃で悪用されている

　月曜日、企業向けセキュリティ企業Proofpointは、中国に関連しているTA413ハッキンググループが、彼らのお気に入りのターゲット（チベット人ディアスポラ反対派、【訳注】チベット人ディアスポラとは. 難民は故郷たる常居所から国境を越え、他国へと流入した者のことを指すが、亡命チベット人の場合、一九五九年以降帰るべき「チベット」はもはや存在せず、現在そこは中国領になっている。父祖の地を離れ、世界に離散している状態をディアスポラという（「北米のチベット人ディアスポラ」名古屋市立大学大学院人間文化研究科 榎木美樹より））への攻撃に現在この脆弱性を悪用している。
　セキュリティ研究者MalwareHunterTeamもまた、http://coolrat[.]xyzを介してパスワード窃取トロイを配備するために広く使用されている中国語のファイル名のドキュメントにスポットを当てている。
　しかしながら、一月以上前、最初のCVE-2022-30190攻撃は、セクストーション脅威（【訳注】性的脅迫、インターネット上で「出会った」異性に対して性的行為の写真や動画を撮らせ、その公開を材料に脅迫を行う手口（Trend Microより））とSputnik Radioインタビューへの招待を餌として使用していた。これは、このフローが他の脅威のアクターによって悪用されていることを示している。
　CISAはまた、Microsoftがオンライン上でこの脆弱性が積極的に悪用されていることを報告した後、Windows管理者とユーザーにMSDTプロトコルを無効にするように促した。
　4月に、この0-Dayを通知したセキュリティ研究者Shadow Chaser GroupのCrazymanArmyは、Microsoftは「セキュリティに関連する問題」ではないとして、彼の具申を拒否したと発言している。しかしながら、Microsoftは後で、リモートコード実行の影響があるとして、この脆弱性具申レポートに応じている。

---

パスワードマネージャが思われているほど安全とは言えない8つの理由
MUO : Security（2022/05/25）
　パスワードマネージャを使用すれば安全なのか？　パスワードマネージャには多くの利点があるが、それらは、それらの問題を依然として持っている。以下が、認識する必要のあることである。
　パスワードマネージャは、パスワードを保持するために推奨されるオプションである。パスワードマネージャは、使用しているあらゆるサービス用の強固で一意のパスワードを格納することを可能にしている。パスワードマネージャはまた、毎回パスワードをタイプすることなくログインすることが可能なので、キーロガーからあなたを保護する。
　しかしながら、パスワードマネージャは完全ではない。また、全ての人が単一の場所に彼らのパスワードの全てを格納するという考えを好んでいるわけではない。パスワードマネージャを使用しセキュリティ侵害された場合、ハッカーは、あなたの全てのアカウントへのアクセスを取得する可能性がある。
　では、パスワードマネージャは、どれほど安全なのか？　どれかのパスワードマネージャを使用する必要はあるのだろうか？

パスワードマネージャを安全とする4つの理由

　パスワードマネージャは広く推奨されている。以下にパスワードマネージャを使用する幾つかの利点を示す。
1. 256-bit AES
　全てのパスワードマネージャは256-bit Advanced Encryption Standards（【訳注】高度暗号化標準、アメリカが2001年に標準暗号として定めた共通鍵暗号アルゴリズム（Wikipediaより））を使用している。これは、あなたが提供したあらゆる情報を暗号化するために使用され、クラックできないと考えられている。これは、あなたのパスワードマネージャがハッキングされたとしても、あなたのパスワードの全ては依然として入手され難い。

2. ゼロトラスト（Zero Trust）
　全てのパスワードマネージャはゼロトラストを使用する。これは、あなたのマスターパスワードがあなたのデバイスを離れる前に暗号化されることを意味している（【訳注】PCやスマホ上で暗号化された後に送信される）。このため、パスワードマネージャを運営している企業のスタッフでさえアクセスすることはできない。

3. 二要素認証
　殆どのパスワードマネージャは、二要素認証を使用することを可能にしている。これは追加の防御ラインの提供である。これは、二要素認証デバイスにアクセスできない限り、いかなる者もあなたのパスワードマネージャにアクセスできないようにする。これは、ハッカーがどうにかしてあなたのパスワードを解析した場合でも、依然としてそれを使用して、あなたのアカウントにアクセスできないことを意味している。

4. 優れた代替案
　パスワードマネージャは、あなたがパスワードを覚えておく必要がないので強固なパスワードを使用することを可能にしている。また、全てのアカウントに対して異なるパスワードを使用するように奨励している。全てのパスワードを一つの場所に保持することは理想的ではない。しかし、脆弱なパスワードの使用をしなくて済むのであれば、実行する価値のある妥協である。

パスワードマネージャが思われているほど安全ではない8つの理由

　 　パスワードマネージャは人気があるが、欠陥がないわけではない。適切に使用されていない場合は、あなたのアカウントは安全性が実際に悪くなる。パスワードマネージャの使用に関連する幾つかのリスクについて述べる。

1. 全ての物が一つの場所に
　パスワードマネージャは、情報の全てを一つの場所に格納するよう促す。これはしばしば、パスワードだけでなく支払い情報の詳細も含んでいる。パスワードマネージャは、非認証アクセスを防御するように設計されているが、理想的ではない。パスワードマネージャは、ハッキングされる可能性を減少するが、あなたがハッキングされたなら、ダメージの可能性は増大する。

2. キーロガーはより危険な存在になる
　パスワードマネージャは、多くの場合あなたをキーロガーから保護する。パスワードマネージャは、自動入力を使用してアカウントにログインすることを可能にしているので、キーロガーは役に立たない。しかし、あなたがパスワードマネージャにパスワードを入力している時はどうだろうか？
　このシナリオではキーロガーは有用であり、あなたのアカウントへの一つへのアクセスを取得するというより、ハッカーは全てのパスワードへのアクセスを取得することが可能になるだろう。パスワードマネージャの一つを使用するのであれば、マルウェアに汚染されているコンピュータの使用を回避する必要がある。

3. 簡単なアカウントへのアクセス
　個人のデバイスでパスワードマネージャにログインしたままにしている人々がよく見られる。これは便利であるが、誰かがそのデバイスにアクセスすると、その人達はパスワードと支払い情報の詳細の全てにアクセスできることを意味している。これは、あなたがパスワードマネージャを使用したい時だけパスワードマネージャにログインすることによって軽減される。しかし、これは間違いなくソフトウェアの有用性を低下させる。

4. 一部の機能は有料バージョンだけ
　パスワードマネージャは、大抵有用な追加機能を持っている。例えば、ある追加機能は、あなたのパスワードがダークWeb上にリークされているか否かを告げてくれる。他には、あなたのパスワードを評価し、それが如何に安全かを告げてくれるものもある。これらの機能の問題点は、あなたが特別料金を支払った場合にのみ利用可能になっていることである。無料のパスワードマネージャを使用しているのであれば、あなたは可能な限りの最高の防御を得ることができていない。

5. バックアップは常時利用されているわけではない
　殆どのパスワードマネージャは、あなたのパスワード金庫をバックアップすることを可能にしている。しかし、誰もがこの機能を使用しているわけではない。パスワードマネージャがあなたのパスワードの唯一のコピーであるのなら、あなたがそのパスワードを忘れたり、サーバーがダウンしたりすると、あなたは全アカウントへのアクセスを失う。これは定期的にパスワードをバックアップし、そのバックアップを何処か安全な場所に保持することによって回避することができる。

6. パスワードマネージャはハッキングされる
　パスワードマネージャは安全な製品であるが、それはパスワードマネージャを所有する企業がハッキングされないということを意味してはいない。実際、パスワードマネージャにはハッキングされた歴史がある。LastPassは2015年にハッキングされ、OneLoginは2017年にハッキングされている。いずれの場合も、顧客のパスワードが晒されることはなかったが、これは、パスワードマネージャを所有する企業がハッカーをシャットアウトできないことを示している。

7. 二要素認証はオプションになっている
　二要素認証はパスワードマネージャのオプショナル機能である。二要素認証を使用していないのであれば、あなたのパスワードは安全ではない。ハッカーが、あなたのマスターパスワードをなんとか解析した場合、あなたのパスワード金庫へのアクセスを停止する手段はない。これは、過去に様々な場所で同じパスワードを使用していた場合、あなたがフィッシング詐欺に引っかかった場合、あるいはコンピュータにキーロガーが存在していた場合に発生していたことである。

8. パスワードを忘れる可能性
　全てのパスワードマネージャは同じ弱点を持っている。マスターパスワードを失うと、あなたは全てのパスワードへのアクセスができなくなる。この問題は、バックアップを保持し、マスターパスワードを安全な場所に格納することによって軽減することができるが、一つの場所にパスワードの全てを格納する危険性を浮き立たせることになる。

パスワードマネージャは安全なのか？

　パスワードマネージャには固有の欠陥があるものの、ほとんどの人々はパスワードマネージャを使用することで便益を得るだろう。パスワードマネージャは、覚え難い複雑で一意のパスワードを設定することを可能にする。
　これらの製品を避けるのではなく、欠陥を理解した上で、それに応じて使用する必要がある。
　パスワードマネージャーは、キーロガーに対する完全な保護を提供していない。また、パスワードマネージャをパスワードの唯一のコピーとして使用してはならない。パスワードリストは定期的にバックアップし、マスターパスワードのコピーは安全な場所に格納する必要がある。

---

Windows 11 KB5014019はTrend Microの身代金要求型マルウェア防御を破壊する
BleepingComputer : News>Security（2022/05/26）
　今週のWindowsオプションの累積アップデートプレビューは、Trend Microのセキュリティ製品の一部で互換性の問題（身代金要求型マルウェア防御機能を含む一部の互換性を破壊）を発生させている。
　「Trend Microの幾つかの末端機器及びサーバ保護製品によって使用されているUMHコンポーネントは、身代金要求型マルウェア防御のような幾つかの高度な機能を担っている」と、このアンチウィルス企業は明らかにしている。
　「Trend Microは、Microsoft Windows 11及びWindows 2022のオプショナル プレビューパッチ(KB5014019)を適用し再起動するとTrend Micro UMHドライバが停止する潜在的な問題を認識している。 」
　この既知の問題は、Apex One 2019, Worry-Free Business Security Advanced 10.0, Apex One as a Service 2019, Deep Security 20.0, Deep Security 12.0, Worry-Free Business Security Services 6.7を含む幾つかのTrend Micro末端機器用に使用されているUser Mode Hooking (UMH) コンポーネントに影響を与える。
　この日本のサイバーセキュリティ企業は、2022年6月の定例パッチの一部として、このアップデートプレビューが全てのWindowsユーザに押し付けられる前に、現在この問題の解決に取り組んでいる。

Trend Microの末端機器用ソフトの機能を復元する方法

　幸いにも、通常の定例Windowsアップデートと異なり、今週のプレビューアップデートはオプションである。プレビューアップデートは、一般にリリースする前にバグの修正とパフォーマンスの改善をテストするために発行される。
　Windowsユーザは、設定 > Windows Updateからオプショナル アップデートを手動に変更する必要がある。これで、「今すぐダウンロード」ボタンをクリックするまでオプショナルアップデートはインストールされないので、影響を受ける可能性のあるユーザの数が制限される。
　影響を受けるWindowsプラットフォームは、Windows 11, Windows 10 version 1809, Windows Server 2022を稼働しているシステムであり、クライアントとサーバの両方を含んでいる。
　このWindowsのオプショナル パッチをインストールしてしまったTrend Microの顧客は、このパッチを一時的にアンインストールするか、Trend Microのサポートに連絡し、彼らのセキュリティソフトの機能を回復するUMHデバッグモジュールを取得しなさい。
　Windowsユーザは、管理者権限のコマンドプロンプトから以下のコマンドを使用して、このプレビューアップデートを削除することができる。

Windows 10 1809: wusa /uninstall /kb:5014022
Windows 11: wusa /uninstall /kb:5014019
Windows Server 2022: wusa /uninstall /kb:5014021

---

フィッシングWebサイトは今、あなたの認証を盗むためにチャットボットを使用している
BleepingComputer : News>Security（2022/05/19）
　フィッシング攻撃は今、自動化されたチャットボットを使用して訪問者のログイン情報を脅威のアクターに手渡すようにガイドしている。
　このアプローチは攻撃者のためにプロセスを自動化しており、チャットボットが一般的に正当なブランドのWebサイトに見られることから、悪意あるサイトを訪問した者に正当なサイトであるという感覚を与えている。
　この新しいフィッシング攻撃の開発は、Trustwaveの研究陣によって発見され、このレポートの公開前にBleeping Computerと共有された。

これはE-Mailで始まる

　このフィッシングプロセスは、DHL（【訳注】航空機を主体とした国際宅配便、運輸、ロジスティクスサービスを扱うドイツの国際輸送物流会社（DHLより））配送ブランドを装い小包の配達に関する情報を含んでいると主張するE-Mailで始まる。

フィッシング E-Mailのサンプル（画像をクリックすると拡大表示されます）

　E-Mail中の'Please follow our instructions'をクリックすると、フィッシングサイトへのリンクを含むPDFファイルがロードされる。脅威のアクターがPDFドキュメント中にフィッシングリンクを表示させるのは、E-Mailセキュリティソフトウェアをバイパスするためである。

悪意あるリンクを含むダウンロード可能なPDF（画像をクリックすると拡大表示されます）               

　しかしながら、このPDF中のURLボタン（URLリンク）は、未配達の小包に発生している問題を解決すると装うフィッシングサイト（dhiparcel-management[.]support-livechat[.]24mhd[.]com）に犠牲者を連れて行く。
　ここでチャットボットに引き継がれる。

チャットボットは、あなたの認証情報を盗む

　フィッシングページがロードされると、訪問者は一般的に認証情報を盗むために使用されるインチキのログインフォームの代わりに、その小包が配達されない理由を説明するWebチャットに出迎えられる。
　このWebチャットは、配達できないのは小包のラベルが破損しているからであると説明する。このWebチャットは、このスカムの正当性を更に追加するために、申したてられている小包の写真も表示する。

フィッシングサイトのチャットボット（画像をクリックすると拡大表示されます）               

　このバーチャル アシスタントは、訪問者に予め定められた対応を行うので、会話は固定されており、常に申し立てられている小包の破損したラベルの写真を表示するようになっている。
　この問題のために、このチャットボットは、犠牲者に住所や勤務先の住所、姓名、電話番号等のような詳細な個人情報を与えるように要求してくる。
　その後、この配達はスケジュールされたことになり、このフィッシングページがより正当なものであるかのように振る舞うために、偽のCAPTCHAステップが表示される。
　次に、犠牲者は、DHLアカウント認証情報の入力を要求するフィッシングページにリダイレクトされる。最後に、おそらく配送コストを贖うための支払いのステップに導かれる。
　最後の"Secure Pay"ページは、カード所有者名、カード番号、有効期限、セキュリティコードを含む典型的なクレジットカード決済フィールドを含んでいる。

クレッジットカード支払いフィールド（画像をクリックすると拡大表示されます）               

　個人情報の詳細が入力され、"Pay Now"ボタンがクリックされると、犠牲者は提供したスマートフォンにワンタイム パスワード（OTP）をSMSを介して受け取る。これは正当性の感覚を追加する。

ワンタイム パスワード検証画面（画像をクリックすると拡大表示されます）               

　Trustwaveのアナリストはランダムな文字列を入力してテストした。このシステムは不正なセキュリティコードとするエラーを戻してきた。OTP検証の実装は本物である。
　正しいコードが入力されると、このインチキのページは"Thank you!"メッセージを表示し、提出が受け付けられたことを確認する。

キャンペーンは「本物」になりつつある

脅威のアクターは、CAPTCHA、OTPs、チャットボットのような一般的に本物のWebサイトで発見されるメカニズムの使用を増加させているので、犠牲者は情報窃取の企てに気がつくことが困難になってきている。
　これは、即座のアクションを要求する一方的な通信を受信したとき、特にメッセージ中にボタンやURLリンクが埋め込まれている場合には、警戒を強化する必要がある。
　DHLや他の配送サービスが、あなたに何らかの対応を要求している場合、提供されているリンクをクリックするのではなく、必ずブラウザの新しいタブで実際のWebサイトを開きなさい。
　次に、その間違いのないプラットフォームであなたのアカウントにログインしなさい。そして、全ての保留中のアイテムや警告をチェックしなさい。あるいは、顧客サポートに自分自身でコンタクトしなさい。
　いつもどおり、フィッシングページを発見する最高の方法は、そのWebサイトのURLを検証することである。それが疑わしく見えたり、あるいは正当なドメインに一致しない場合は、そのページにいかなる個人情報も入力してはならない。
　この場合、成り済ましているDHLのURLは、"24mhd.com"ドメインで終わっている。これは明らかにDHLのWebサイトではない。そして、フィッシングの企ての明らかな兆候である。

---

Windows 11のKB5013943アップデートは0xc0000135アプリケーションエラーを発生させる
BleepingComputer : News>Security（2022/05/11）
　Windows 11のユーザは、最近のWindows 11 KB5013943累積アップデートをインストールした後にアプリケーションの起動を試みた時、0xc0000135エラーを表示されている。
　昨日、Microsoftは、新しいWindows 11累積アップデートをリリースした。これは、セキュリティの脆弱性と2022年05月の定例パッチの一部のバグを修正するものである。
　これらのアップデートには、Windows 11 KB5013943アップデートが含まれている。このアップデートは、.NET Framework 3.5アプリケーションが、Windows Communication Foundation (WCF)とWindows Workflow (WWF)コンポーネントを使用している場合には、それらのアプリケーションが起動しない問題を発生させるバグの修正を含んでいた。

KB5013943アップデートは .NET アプリケーションを破壊する

　しかしながら、Microsoftの修正は、さらなる問題を発生させたかのようである。現在、Windows 11のユーザは、KB5013943アップデートをインストールした後、もはや起動しなくなった広範な種類のアプリケーションを報告している[1, 2, 3, 4, 5]。
　影響を受けるアプリケーションはユーザにより様々であるが、報告されている問題あるアプリケーションの一部には、ProtonVPN, PowerShell, Event Viewer, Sound Blaster Command, KeePass, Visual Studio, Discord, ShareX等が含まれる。
　このアプリケーションを開こうとすると、Windows 11は、以下に示す「"The application was unable to start correctly (0xc0000135、【訳注】アプリケーションを正しく初期化できませんでした). Click OK to close the application."というエラーを表示する。」

アプリケーション起動時に表示されるWindows 11 0xc0000135エラー（画像をクリックすると拡大表示されます）

　「私のラップトップを最新のWindows 11のバージョンにアップデートしただけなのに、多くのアプリケーションエラーと複数のアプリケーションの自動起動エラーが表示されるようになった。エラー0xc0000135を修正する方法はありますか？」これはMicrosoft Answer Forumへのユーザの投稿である。
　「KB5013628 / KB5013943の後にエラーが発生している人はいますか ー このアプリケーションは正しく初期化できなかった（0xc0000135）、あらゆる.NET 4.8プログラムは初期化できない ー bing/visual studio等」と、他のユーザがTwitterで説明している。
　0xc0000135エラーは、プログラムが正しく操作するために要求するDLLファイルの発見に失敗したことを示しているので、このプログラムは起動しない。この特定の問題では、アプリケーションが.NET DLLsを探し、それを発見できなかったようである。
　Windows 11 KB5013943アップデートをアンインストールすると、この問題は解決するが、そのデバイスは新しくパッチされた脆弱性に対して無防備なまま放置される。
　Windows 11のユーザは、NET 3.5を有効にするか再インストールすることで、この問題が修正されることを発見した。
　これを実行するには、コントロールパネル > プログラム > Windows機能の有効化または無効化　に進み、必ず、.NET Framework 3.5 (includes .NET 2.0 and 3.0) 及び Net Framework 4.8 Advanced Servicesをチェックしなさい。以下の画像参照。

コントロールパネルのWindows機能の有効化または無効化（画像をクリックすると拡大表示されます）

　代替方法としては、Windows 11の管理者権限でのコマンドプロンプト（管理者としてcmd.exeを実行）を起動し、以下のコマンドを実行して、この機能を有効にする。

dism /online /enable-feature /featurename:netfx3 /all
dism /online /enable-feature /featurename:WCF-HTTP-Activation
dism /online /enable-feature /featurename:WCF-NonHTTP-Activation

　これが動作しない場合は、コントロールパネルから .NET 機能をアンインストールし、次に、それらを再インストールして、修復プロセスを実行しなさい。
　最後に、他の全てのことも失敗したなら、KB5013943アップデートをアンインストールしなさい。しかしながら、この操作は、最新のセキュリティの驚異からデバイスを無防備にしたままにするので強く反対する。

---

インチキのWindows 10アップデートはMagniber身代金要求型マルウェアに感染させる
BleepingComputer : News>Security（2022/04/30）
　今月始めに始まった巨大なキャンペーンであるインチキのWindows 10アップデートは、Magniber身代金要求型マルウェアを拡散するために使用されていた。
　ここ数日に渡り、BleepingComputerは、世界中のユーザをターゲットにした身代金要求型マルウェア感染に関する多くの支援要請を受け取った。
　このキャンペーンを解析中に、我々はWindows 10累積アップデートもしくはセキュリティアップデートであると信じてインストールした後、Magniber身代金要求型マルウェアに感染したとする読者の報告を我々のフォーラム トピックに発見した。
　これらのアップデートは、最も一般的であるWin10.0_System_Upgrade_Software.msi [VirusTotal] 、 Security_Upgrade_Software_Win10.0.msiのような名前で配布されている。
　以下に見られるように、他のダウンロードはインチキのknowledge baseを使用してWindows 10累積アップデートを装っている。

・　System.Upgrade.Win10.0-KB47287134.msi
・　System.Upgrade.Win10.0-KB82260712.msi
・　System.Upgrade.Win10.0-KB18062410.msi
・　System.Upgrade.Win10.0-KB66846525.msi

　VirusTotalへの提出によると、このキャンペーンは、2022年04月08日に開始されたようであり、それ以来、世界中に大拡散しているようである。
　インチキのWindows 10アップデートが促進されている方法は100%明らかになっているわけではないが、このダウンロードは、偽のWarez and Crack（【訳注】インターネットなどを用いて非合法的に配布・販売されている商用ソフトウェアとクラックツールを配布しているサイト）サイトから配布されている。

Magniberを押し付けてくる偽のWarez and Crackサイト（画像をクリックすると拡大表示されます）

　一旦インストールされると、この身代金要求型マルウェアは、シャドーボリュームコピーを削除し、次にファイルを暗号化する。ファイルを暗号化している時、この身代金要求型マルウェアは、以下に示したように、.gtearevfのようなランダムな8文字の拡張子を追加する。

Magniberで暗号化されたファイル（画像をクリックすると拡大表示されます）

　この身代金要求型マルウェアはまた、各フォルダ内に身代金支払い用のMagniber Tor支払いサイトへのアクセス方法への指示を含むREADME.htmlと名付けられた脅迫文を作成する。

Magniber脅迫文（画像をクリックすると拡大表示されます）

　Magniber支払いサイトは'My Decryptor'と題されており、犠牲者に無料で一つのファイルを復号することや、サポートへのコンタクトを可能にしており、犠牲者が支払いを実行するための身代金額とBitcoinアドレスを定めている。

Magniber支払いサイト（画像をクリックすると拡大表示されます）

　BleepingComputerが支払いページを確認したところによると、ほとんどの身代金の要求金額は、およそ2,500 USD（324,858円、1$=129.94円換算）もしくは0.068 Bitcoinであった。
　Magniberは安全であると見なされる。つまり、ファイルを無料で回復するために悪用される可能性のある弱点は含まれていないことを意味している。
　残念ながら、このキャンペーンは、企業ではなく主に学生と消費者をターゲットにしているため、身代金の要求額は多くの被害者にとってあまりに高額である。

---

注意：　Onyx身代金要求型マルウェアはファイルを暗号化する代わりに破壊している
BleepingComputer : News>Security（2022/04/27）
　新しいOnyx身代金要求型マルウェアは、2MBより大きなファイルは暗号化するのではなく破壊しているので、身代金を支払ったとしても、これらのファイルが復号されることはない。
　先週、セキュリティ研究者MalwareHunterTeamは、Onyxと呼ばれる新しい身代金要求型マルウェアが稼働していたことを発見した。
　今日の殆どの身代金要求型マルウェアのように、Onyxの脅威のアクターは、デバイスを暗号化する前にネットワークからデータを盗む。このデータは、身代金が支払われなければ、このデータを公開すると脅す二重の脅迫（Double-Extortion）に使用される。

Onyx身代金要求型マルウェアのデータリーク サイト（画像をクリックすると拡大表示されます）

　この身代金要求型マルウェアのギャングは、今までかなり成功しており、彼らのデータリークのページには6人の犠牲者がリストされている。

Onyx身代金要求型マルウェアは殆どのデータを破壊する

　Onyx身代金要求型マルウェアの技術的機能面に関しては、MalwareHunterTeamが暗号化ツールのサンプルを発見した今日時点で分かっていない。
　判明していることで懸念されるのは、この身代金要求型マルウェアがファイルを暗号化する代わりにランダムなジャンク データで多くのファイルを上書きすることである。
　以下のソースコードから分かるように、Onyxは2MBより小さなファイルは暗号化する。しかしながら、MalwareHunterTeamによれば、Onyxは、2MBより大きなファイルは全てジャンク データで上書きする。

Onyx身代金要求型マルウェアのソースコード（画像をクリックすると拡大表示されます）

　これはランダムに作成されたデータであり暗号化ではないので、2MBを超えるファイルに関しては復号する方法はない。
　犠牲者が身代金を支払ったとしても、復号ツールは2MBより小さな暗号化されたファイルだけしか復号しない。
　チェコCERTのフォレンジック（【訳注】デジタル機器から 法的証拠に関わる情報を抽出しハッキングやマルウェアなどのセキュリティを脅かす脅威の特定に活用される技術（デジタルデータ フォレンジックより））アナリストJiri Vinopalによると、この身代金要求型マルウェアは、Chaos身代金要求型マルウェアに基づいている。同じダメージを与える暗号化ルーチンを含んでいることによる。
　暗号化ルーチンにおける破壊の本質は、バグではなく作為なので、身代金を支払わないように犠牲者に強く忠告する。

2022/04/28 Update　破壊されるのは2MBより大きなファイルであり、このマルウェアはChaos身代金要求型マルウェアの亜種である。

---

アニメーションQRコード： 動作方法と作り方
BleepingComputer : News>Security（2022/04/23）
　QRコードでより目立つものと認識されている二次元バーコード（2D）は、最近すべてのものに関して「非接触」が要求されていることもあって再流行している。
　Coinbase（米国の暗号資産取引所）も、この機会を掴むために時間を無駄にしなかった。Superbowl 2022 TV広告は、全体的にあなたの注意を惹きつける目的で真っ黒な背景にミステリアスなQRコードがあることを除いて何もなかった。
　これらの奇妙な正方形がどのように機能するのかを正しく理解できていない人々でさえ、いずれかの段階で頻繁に使用している。
　しかし、QRコードに動いたり、アニメーションしたりしているものがあるだろうか？ どのように動作しているのか？

スキャンしてみよう

　今週、科学技術者であり、"cyborg hardware hacker"であり、YouTuberであるZack Freedmanは、Repeated Failureによって作成され、バズっているGIFをツイートした。
　以下に示すこのGIFは、一部の人が認識できるかもしれない移動フレームを備えたアニメーションQRコードを含んでいる。これは、Rick Astleyの有名なNever Gonna Give You Up（ギヴ・ユー・アップ）ミュージックビデオのシーケンスである
　曲の歌詞とミュージックビデオは、netizens（【訳注】ネチズン。ネット市民）にもハッキングされた企業をトローリングしている悪意のアクターにも、長い間人気のあるミーム（【訳注】模倣によって伝えられる情報）であった。
　しかし、このGIFは、芸術化したバーコードではなく、実際にQRコードとして動作する。自分自身でスキャンしてみよう！

動作しているアニメーションQRコード            

　あなたのQRコード スキャナが機能しているのなら、上のGIFはYouTube上の公式のNever Gonna Give You Upに導くだろう。
　この予期せぬ変化は多くの人々を驚かせた。ある人はこれを"weird wizardry（奇妙な魔法）" だの"LEGEND（伝説）"だのと言い、また、多大なトラフィックのためにYouTubeがこのビデオの「レート制限」を開始したと不満を言う者もいた。
　実際に、QR4とソフトウェアエンジニアJeroen Steemanによって作成されたもののようなオンライン ツールが存在しているので、あなた独自のアニメーションQRコードを作成することが可能である。

中央に豹のいるアニメーションQRコード            

バーコードを掘り下げる

　 　バーコードの起源は1950年台に遡る。Drexel University（ドレクセル大学）の二人の大学院生が電子製品情報のカタログ化と検索のためのシステムの特許を取得したことに始まる。
　しかしながら、本来在庫追跡コンセプトとして始まったこのシステムは、2Dバーコードの誕生により複雑性、利用可能なフォーマット、縦横比の点で徐々に進化した。
　一般的にQR（クイック レスポンス）として知られるこれらのマトリックスは、2Dバーコードの一種であり日本の自動車関連企業Denso Wave（デンソーウェーブ）によって発明されたものである。この企業は、依然として'QR Code'という用語の商標と技術特許を保持している。
　書籍の表紙や商品に見られるUPC（【訳注】アメリカ、カナダで使用されている統一商品コード（バーコード講座より））のような一次元バーコードは、SKU（【訳注】ストックキーピングユニット(Stock keeping Unit)の略。在庫管理上の最小の品目数を数える単位を表す。噛み砕いていうと、全く同じ商品としてお客様にお渡しできるものをSKUと言う（物流現場通信より））、商品番号、特定の文字数まで（約85文字）の他のセットのような単純な一行文字列を保持する能力を持ったものである。対して、2Dバーコードは、データ保持能力、様々なタイプのデータ保持能力、その中に組み込まれている様々なエラーチェックと修正メカニズムで遥かに広範な用途がある。

一次元バーコードの例            

　名前が現しているように、2Dバーコードは複数の次元を持ち、一行（一次元）だけでなく、マトリックス全体に渡ってデータを格納できる。QRコード マトリックスの各部分は、特別な意味と役割があり、コンテンツを保持するセクションはマトリックス全体の一部に過ぎない。
　2Dバーコードのエラーチェックと修正の側面は、QRコードの一部が切り取られたり破損している場合でさえ、そのQRコードは正しくスキャンされ、その内部に格納されているコンテンツを保持している可能性があるという意味において重要である。試してみよう。

破損しているが機能するQRコード            

　これは一次元バーコードには当て嵌まらない。一次元バーコードは、スキャナが隣り合った直線バーの幅の比率を計算することによって機能する。そこで、一次元バーコードの一部を隠したり破壊したりすると、正しくスキャンすることができない場合がある。
　しかし、まさしくQRコードに組み込まれているエラー修正メカニズムは、バーコード作成者が創造性を発揮することを可能にしている。マトリックスの小さな部分に機能的なコンテンツ（URLやもう一つのデータのような）をパックしたり、それ以外のマトリックスの部分は芸術的な画像を提供できる空白のキャンバスとして機能させることができる。

正しくスキャンされるアートで装飾されたQRコード            

　これは、上に示したような芸術的バーコードや最初に示した豹のQRコードGIFが、正しくスキャンできる可能性を説明している。つまり、機能データ（URL）を含んでいるQRコードの領域はマトリックス全体のごく一部である。
　上の豹のQRコードGIFの場合、豹が動いている周囲のピクセル（QRコードの領域）は、相対的に静的である。これは、（アニメーションが再生されている中央ではなく）コンテンツが存在している可能性のある場所である。
　しかし、Freedmanによって共有されたGIFで発生していることは多少複雑に見える。GIFの各フレームは、ピクセルを再配置することでQRコードをほぼ完全に変更している。
　画像認識に精通した人のために、Twitterユーザであり技術ブロガーであるBenBEが、あなたに代わって答えを持っているかもしれない。

BenBEのTweet

　 　バズった”Never Gonna Give You Up” QRコード中の全ての小さな正方形に関して、スキャナは、その正方形（全体で3✕3、もしくは、9ピクセルで構成される）の中央だけを確認する。即ち、バーコードのコンテンツ部分（YouTubeのURL）はこれらのピクセル中に格納されている。残りのピクセルは空白のキャンバスとして提供されアニメーションに使用されている。
　「ディザリング」とそれが提供する多くの可能性についての詳細を読みたい人々は、2年前のYCombinatorHackerNewsスレッドへの再訪に心が動くかもしれない。

ピクチャQRコード            

　ここでは、QRPictureジェネレータについて説明する。ソースコードはGitHubで入手できる。
　このジェネレータを使用すると、可能な限り実際の写真のように見え、完全に機能するQRコードを作成し、好みに合わせてアニメーション化することもできる。

訳者より、アニメーションQRコードについて学問的知見を求めたいのであれば、こちら（「最適化アルゴリズムを用いたアニメーションQRコードの作成」鹿児島大学 工学部 情報工学科、小野 智司、森永 健介、中山 茂、芸術科学会論文誌 Vol. 8, No. 1, pp. 25 – 34）を参照してください。

---

Spring4Shell（CVE-2022-22965): 詳細と緩和策
Kaspersky : SecureList（2022/04/04）
　先週、研究者はSpring（オープンソースJavaフレームワーク）中に緊急の脆弱性 CVE-2022-22965 を発見した。この脆弱性を使用して、攻撃者はリモートWebサーバ上で任意のコードを実行できる。これは、Springフレームワークの人気を考えると、 CVE-2022-22965を緊急の脅威にした。悪名高いLog4Shellの脅威と類似していることから、この脆弱性は Spring4Shellと名付けられた。

CVE-2022-22965とCVE-2022-22963: 技術的詳細

　CVE-2022-22965 (Spring4Shell, SpringShell)は、HTTPリクエスト中に格納されているデータをアプリケーションによって使用される特定のオブジェクトにバインディングするためのデータバインディング機能を使用するSpring Framework中の脆弱性である。このバグは getCachedIntrospectionResultsメソッド中に存在している。これは、HTTPリクエストを介してクラス名を渡すことで、そのようなオブジェクトに対する不正アクセスを取得するために使用される。これは、特別なオブジェクト クラスが使用されると、データリークやリモートコード実行のリスクを生成する。この脆弱性は、ずっと前に終わった CVE-2010-1622に類似している。そこで、その名前が classLoaderやprotectionDomainに一致しないようにクラス名チェックが修正として追加された。しかしながら、JDKの新しいバージョンでは、例えば、 Java 9 Platform Module System機能を介して、このような脆弱性攻撃が行える代替方法が存在している。
　攻撃者は、Tomcat（【訳注】Webサーバー上で実行されるJavaのプログラムであるJavaサーブレットを動かすときに必要なソフト（A-Starより））ログ出力設定を上書きし、次に、このフレームワークの脆弱性バージョンを稼働しているサーバ上で任意のコマンドを実行するためにJSP Web Shellをアップロードすることができる。

脆弱な設定は以下で構成されている

• • JDK version 9+
  • アプリケーションをサーブするためのApache Tomcat
  • Spring Framework versions 5.3.0 to 5.3.17、5.2.0 to 5.2.19、及び、それ以下
  • WARファイル（【訳注】Java EEで開発されたWebアプリケーションを一つのファイルにパッケージする標準形式の一つ（e-Wordより））としてビルドされたアプリケーション

  　CVE-2022-22963は、特別なpring.cloud.function.routing-expressionヘッダをHTTPリクエストに追加することによてSpring Expression Language (SpEL)を介してコードの挿入を可能にする Spring Cloud Functionのルート制御機能中の脆弱性である。SpELは、実行時にクエリとオブジェクトグラフ管理をサポートするSpring Framework用に作成された特別な式言語（【訳注】式の文脈の中で代入を行うことができるプログラム言語（Weblioより））である。この脆弱性はまた、リモートコード実行にも使用することができる。

  • Spring Cloud Function 3.1.6, 3.2.2とそれ以前のバージョン

Spring脆弱性攻撃に対する緩和策

　CVE-2022-22965は、2.6.6で修正された。詳細は the Spring blog for details参照。
　CVE-2022-22963を修正するには、新しい Spring Cloud Functionのバージョンをインストールする必要がある。VMware website for details参照
　脆弱性攻撃を検出するには、 必ずAdvanced Exploit PreventionとNetwork Attack Blocker機能を有効にする。脆弱性攻撃中に使用されるテクニックの一部は、我々が検出した他の脆弱性攻撃中に見ることができる。これがVerdict名が異なる理由である。

改竄の兆候

Verdicts
PDM:Exploit.Win32.Generic
UMIDS:Intrusion.Generic.Agent.gen
Intrusion.Generic.CVE-*.*

脆弱性攻撃のMD5ハッシュ
7e46801dd171bb5bf1771df1239d760c – shell.jsp (CVE-2022-22965)
3de4e174c2c8612aebb3adef10027679 – exploit.py (CVE-2022-22965)

Kaspersky EDR Expertでの脆弱性攻撃プロセスの検出（画像をクリックすると拡大表示されます）

---

新しいBoratリモートアクセス マルウェアが大変なことに
BleepingComputer : News>Security（2022/04/03）
　Boratと名付けられた新たなリモートアクセス トロイがダークネット マーケット（【訳注】暗号マーケットとも呼ばれる。TorやI2Pなどのダークネットを介して運営されるダークウェブ上の商業ウェブサイト。主に合法商品の販売に加えて、ドラッグ、サイバー兵器、武器、偽造通貨、盗難クレジットカード情報、偽造文書、無許可の医薬品、ステロイドなどの違法商品の販売または仲介取引を行うブラックマーケットとして機能する（Wikipediaより））に現れた。Boratは、簡単で使い易いDDoS攻撃の実行、UAC（【訳注】User Account Control、Windowsのセキュリティ機能の一つで、管理者権限を持つユーザーに普段は一般ユーザーと同じ権限しか与えず、管理者権限の必要な処理を実行しようとした際に画面に警告ダイアログを表示して本当に実行してよいか確認する機能（e-Wordより））のバイパス、身代金要求型マルウェアの配備を提供している。
　RATとして、Boratはリモートの脅威のアクターが犠牲者のマウスやキーボードを制御し、ファイル、ネットワークポイントにアクセスし、彼らの存在のあらゆる兆候を隠蔽することを可能にしている。
　このマルウェアは、そのオペレータが彼らのコンパイル オプションを選択することを可能にしているので、高度で注文仕立てされた攻撃に必要で正確に機能する小さなペイロードを作成することを可能にしている。
　Boratは、オンライン上のBoratに焦点を当て、その機能を明らかにする技術研究用のマルウェアを採取したCybleの研究者によって解析された。

Boratの機能の一部（画像をクリックすると拡大表示されます）

多くの機能

　Borat RATがサイバー犯罪者の間で販売されているのか、無料で共有されているのかは定かでないが、Cybleは、ビルダー、そのマルウェア モジュール、サーバー証明書を含んだパッケージの形式で提供されていると発言している。

Boratアーカイブ中のファイル（画像をクリックすると拡大表示されます）

このトロイの機能は、夫々、専用のモジュールを持っており以下を含んでいる。

• ・ Keylogging ー 押したキーを監視し記録し、それらをテキストファイルに保存する
  ・ Ransomware ー 犠牲者のマシンに身代金要求型マルウェアを配備し、Broatを介して自動的に脅迫文を生成する
  ・ DDoS ー セキュリティ侵害したマシンのリソースを使用してターゲットのサーバにガーベッジ トラフィックを送信する
  ・ Audio recording ー 利用可能であれば、マイクロフォンを通して音声を記録し、wabファイルに保存する。
  ・ Webcam recording ー 利用可能であれば、Webカメラからビデオをレコーディングする
  ・ Remote desktop ー 非表示でリモートデスクトップを起動し、ファイル操作、インプット デバイスの使用、コードの実行、アプリケーションの起動等を実行する
  ・ Reverse proxy ー （【訳注】リバースプロキシとは、特定のサーバの代理として、そのサーバへの外部からのすべての接続を中継するプロキシサーバ。当該サーバへアクセスしようとするクライアントはすべてリバースプロキシを経由するよう誘導される（e-Wordより））リモートオペレータが身元の漏洩を防御するためにリバースプロキシをセットアップする
  ・ Device info ー 基本的なシステム情報を入手する
  ・ Process hollowing ー 正当なプロセス中にマルウェアコードを挿入して検出を回避する
  ・ Credential stealing ー ChromiumベースのWebブラウザに格納されているアカウント認証を盗む
  ・ Discord token stealing ー 犠牲者からDiscord（【訳注】アメリカ発のボイスチャット サービス）のトークンを盗む
  ・ 他の機能 ー 音声の再生、マウスボタンの交換、デスクトップの非表示、タスクバーの非表示、マウスが動かなくなる、モニターのオフ、空白画面の表示、システムのハングアップによって、犠牲者を混乱させる

Boratが宣伝している多くの機能（画像をクリックすると拡大表示されます）

　Cybleの分析で指摘されているように、上述の機能によりBoratは本質的にRAT、スパイウェア、身代金要求型マルウェアになるため、デバイス上で様々な悪意ある行動を実行する可能性のある強力な脅威である。
　全体として、RATの開発者は、Sacha Baron Cohenによって具現化されたコメディ映画Boratの主人公に因んで名前を付けていたとしても、このマルウェアは冗談では済まされない。
　Bleeping Computerは、このマルウェアの素性を発見しようとして深く掘り下げ、実行されるペイロードが最近同定されたAsyncRATであったことを発見した。この作成者はAsyncRATに基づいて作業を行った可能性がある。
　一般的に、脅威のアクターは、実行可能ファイルやゲームやアプリケーションのクラックを装ったファイルを介してこれらのツールを拡散させている。トレント（torrent）や胡散臭いサイトのような信頼できないソースから如何なるものもダウンロードしないよう注意しなさい。

---

10の悪名高い身代金要求型マルウェアの暗号化スピードテストが実施された
BleepingComputer : News>Security（2022/03/23）
　研究者たちは、10の身代金要求型マルウェアの変種がファイルを暗号化する速度をテストし、それらの攻撃に対してタイムリーに対応することがどのように実行できるのかを評価する技術的な実験を行った。
　身代金要求型マルウェアは、セキュリティ侵害したマシン上のファイルやディレクトリを列挙し、効果的な暗号化のターゲットを選択し、そのデータを暗号化するマルウェアである。そこで、対応する復号キーなしでは、これらのファイルは利用できなくなる。
　これで、データの所有者はファイルにアクセスできなくなる。そこで身代金要求型マルウェア攻撃は、データの破壊や運用の中断、あるいは、復号キーと引き換えに身代金の支払いを要求する金銭的な恐喝のどちらかを実行する。
　デバイスを如何に早く暗号化するかは重要なことである。検出が早ければ早いほどダメージはより少なく、復元に必要なデータ量は最小となる。

身代金要求型マルウェアをテストする

　Splunkの研究者達は、400の暗号化テストを実行した。このテストは、10の異なるマルウェアファミリーから、ファミリーあたり10サンプルを採用し、パフォーマンス仕様の異なる4つの異なるホストプロファイルで構成されている。
　「我々は、Windows 10とWindows Server 2019からなる4つの異なる『生贄』プロファイルを作成した。夫々のプロファイルは、顧客の環境からベンチマークされた2つの異なるパフォーマンス仕様が付属している」と、「次に、10の異なる身代金要求型マルウェアファミリーとこれらのファミリー毎にテスト用の10のサンプルを選択した」と、Splunkは彼らのレポートの中で説明している。
　これらのテストの間、研究者達は、様々なツール（Windows logging, Windows Perfmon statistics, Microsoft Sysmon, Zeek, stoQのような）を使用して98,561ファイル（トータル 53GB）に対する暗号化速度を評価した。
　ホストシステムは、実際の企業ネットワーク設定を反映するように変更された。解析者は、全ての暗号化時間を計測し、各変種が暗号化するための中央値を導いた。
　テスト装置上にある10の異なる身代金要求型マルウェア株の全100種のサンプルの中央値は42分52秒であった。
　しかしながら、以下の表に見られるように、身代金要求型マルウェアのサンプルの一部は、明らかにこの中央値から乖離している。

各株の平均暗号化時間（画像をクリックすると拡大表示されます）

　「勝者」、応答タイムマージンにおいて致死的な株はLockBitであり、平均5分50秒で達成している。最も高速なLockBitの変種は、1分間に25,000ファイル暗号化した。
　LockBitは、アフィリエイト プロモーションのページで、30を超える様々な身代金要求型マルウェア株に対する独自のベンチマークをリリースし、ファイルを暗号化する最速の身代金要求型マルウェアであると長い間自慢してきた。
　かつて多くの変種を生み出したAvaddonは、平均13分余りで達成し、REvilは、約24分でファイルを暗号化し、BlackMatterとDarksideは、45分で暗号化を完了した。
　遅い方では、Contiが54GBのテストデータの暗号化にほぼ1時間を要し、MazeとPYSAはほぼ2時間を要している。

時間要素

　時間は重要なファクターであるが、身代金要求型マルウェア攻撃における唯一の検出機会ではない。一般的には、偵察期間、横展開、認証の窃取、特権の昇格、データ漏洩、シャドーコピーの無効化などが含まれる。

身代金要求型マルウェア攻撃における可能な全検出機会（画像をクリックすると拡大表示されます）

　暗号化が終了した後、攻撃がどれくらい長持ちするのかや、管理の容易さを決定するのは暗号化スキーム自体の強度なので、強度はスピードより重要である。
　身代金要求型マルウェアが最終的に配備された時の応答時間の短さは、特定の検出と緩和の機会に焦点を当てることが非現実的であり、最終的には誤りであることを強調している。
　Splunkのレポートに記されているように、この研究は、組織が重大事案の対応から身代金要求型マルウェア感染の防止に焦点をシフトする必要があることを示している。
　セキュリティ侵害の検出に平均3日かかるとする今までの研究を考慮すると、全体の中央値である43分は、ネットワーク防御側が身代金要求型マルウェアの活動を検出するためのチッポケな手段にすぎない。
　殆どの身代金要求型マルウェア グループは、ITチームが人員不足になっている週末に攻撃してくる。殆どの暗号化の企ては、成功裏に完了する。暗号化の時間は防衛側にとって重要な考慮のファクターではない。
　最終的に、最善の防衛は、身代金要求型マルウェアが配備される前の偵察段階で通常ではない活動を検出することである。
　これには、疑わしいネットワーク活動、通常ではないアカウント活動を探し、攻撃の前に一般的に使用されるツール（Cobalt Strike, ADFind, Mimikatz, PsExec, Metasploit, Rclone）の検出を含んでいる。

---

新しいフィッシング ツールキットは誰もがインチキのChromeブラウザ ウィンドウの作成を可能にしている
BleepingComputer : News>Security（2022/03/19）
　レッドチーム（【訳注】 ある組織の効率性を改善するように挑む独立したグループで、対象組織に敵対した役割あるいは視点を持つことを前提とする（Wikipedia））のメンバーやインチキのChromeブラウザ ウィンドウを使用して効果的なシングル サイン オンのフィッシィング ログイン フォームを作成したい野心的なサイバー犯罪者に作成することを可能にするフィッシングキットがリリースされた。
　Webサイトにサインインするとき、Google, Microsoft, Apple, Twitter, あるいはSteamでさえ、認証オプションが表示されることが一般的である。
　例えば、DropBoxのログイン フォームは、以下に示すようにAppleやGoogleアカウントを使用してログインすることが可能になっている。

DropBoxログイン フォーム（画像をクリックすると拡大表示されます）

　GoogleやAppleのボタンでログインをクリックすると、シングル サイン オン（SSO）ブラウザ ウィンドウが表示され、あなたの認証情報を入力してアカウントでログインするように促される。
　これらのウィンドウは、ログインフォームと、ログインフォームのURLを表示するアドレスバーだけを表示するようになっている。

Googleの正当なサインイン ウィンドウ（画像をクリックすると拡大表示されます）

　このアドレスバーは、これらのSSOウィンドウで無効にされているが、表示されたURLを使用して正当なgoogle.comドメインが、サイトへのサインインに使用されていることを確認することができる。このURLは更に、フォームの信頼性を追加し、あなたに快くログイン認証を入力させるようにしている。
　驚異のアクターは、過去にもHTML, CSS, JavaScriptを使用してインチキのSSOウィンドウを作成することを企てているが、通常そのウィンドウには少し疑いをもたせるものが存在している。

ブラウザ攻撃へのブラウザの導入

　これは、新しい"Browser in the Browser Attack"（【訳注】GoogleやMicrosoftのようなサイトの小さなブラウザウィンドウを真似ることでログイン認証を盗む方法（The Registerより））が、フィッシング攻撃に使用することのできるカスタム アドレスURL、タイトルを含むインチキではあるがリアルなChromeポップアップ ウィンドウを作成するために予め作られているテンプレートの使用が役に立つ場所である。
　基本的に、この攻撃は説得力のあるフィッシング攻撃を作成するために、実際のブラウザウィンドウにインチキのブラウザウィンドウを作成する（Browser in the Browser）。
　このBrowser in the Browser攻撃テンプレートは、セキュリティ研究者mr.d0xによって作成された。そして、彼はGitHub上にこのテンプレートをリリースした。これらのテンプレートは、Windows用のGoogle ChromeとMac用があり、ダークモードとライトモードのバリエーションを含んでいる。

Facebook用のBitB Chromeフィッシングウィンドウの例（画像をクリックすると拡大表示されます）

　mr.d0xは、このテンプレートは大変簡単なので、あらゆるオンライン プラットフォーム用のシングル サインオンのログインフォームを表示するための説得力のあるChromeウィンドウの作成に使用することができるとBleepingComputerに告げている。
　この研究者は、レッドチームのメンバーが、このテンプレートを単純にダウンロードし、それらを希望するURLとWindowsタイトルを含めるように編集し、iframeを使用してログインフォームを表示することができていると発言している。
　また、直接ログインフォーム用のHTMLをこのテンプレートに追加することも可能であるが、mr.d0xは、使用しているCSSとHTMLを適切にこのフォームと提携させる必要があるとBleepingComputerに告げている。
　Evilginxフィッシィングツールキットの作成者であるKuba Gretzkyは、この新しい方法をテストし、Evilginxプラットフォームで完璧に動作する方法を示している。これは、フィッシング攻撃中に二要素認証キーを盗むように改造することができることを意味している。

この件に関するKuba GretzkyのTweetは、こちら。

Spoofing the reverse-proxied Sec-Fetch-Dest value to "document" worked like a charm and it's beautiful 🔥

Evilginx loves it! ❤️

Kudos again to @mrd0x 🍻 pic.twitter.com/ODjblvNvho

— Kuba Gretzky (@mrgretzky) March 15, 2022

。

　mr.d0xは、これは新しいテクニックではなく、Steam認証を盗むために2020年にインチキのゲームサイトによって使用されたもので、Zscalerによって報告されていると、BleepingComputerに告げている。

この件に関するTheAppleFreakのTweetは、こちら。

Huh, looks like Steam scams are evolving. Someone tried phishing me with this really clever fake Steam login page earlier today, which mostly failed because I opened the window on my small second monitor. Watch out, everyone. pic.twitter.com/npGbmAqjgH

— TheAppleFreak (@theaaplfreak) January 5, 2020

　しかしながら、現在インチキのChromeウィンドウ用の予め作成されたテンプレートは利用可能であり、レッドチームのメンバーは、彼らの顧客や彼らの所有する企業の従業員の防衛力をテストするために説得力のあるフィッシング サインイン フォームを作成するために、このテンプレートを使用することができる。
　この新しいBrowser in the Browserフィッシング攻撃を試したい人々のために、 GitHubからこのテンプレートを入手することができる。

---

TargetCompany身代金要求型マルウェアの犠牲者用の無料の復号ツールがリリースされた
BleepingComputer : News>Security（2022/02/07）
　チェコのサイバーセキュリティ ソフトウェア企業Avastが、TargetCompany身代金要求型マルウェアの犠牲者のファイルを無料で復号する復号ユーティリティをリリースした。
　しかしながら、Avastは、この復号ツールは「特定の環境の下」で暗号化されたファイルを復元するためにのみ使用することができると警告している。
　この復号ツールを使用してファイルを復元したい犠牲者は、このツールがリソースを消費し時間のかかるプロセスになる可能性があることに注意する必要がある。
　「パスワードをクラッキングしている間、利用可能な全てのプロセッサのコアは、殆どの演算能力を復号パスワードを発見するために消費する。このクラッキング プロセスは10時間以上の膨大な時間がかかるかもしれない」と「この復号ツールは、定期的に進捗を保存する。これを中断させ、後でこの復号ツールを再起動させた場合は、以前開始されたクラッキング プロセスを復活させるオプションを提供してくる」とAvastは発言している。
　TargetCompany身代金要求型マルウェア復号ツールは、暗号化されたファイルとオリジナルの暗号化されていないファイルとを比較した後、パスパードをクラックすることによって機能する。
　Avastによると、これはTargetCompany身代金要求型マルウェアによって暗号化されたデバイス毎に一回実行する必要があり、この復号ウィザードは"I know the password for decrypting files"を選択することによって今までにクラックされた暗号化パスワードの入力を可能にする。

TargetCompany復号ツール（画像をクリックすると拡大表示されます）

　TargetCompany身代金要求型マルウェアの犠牲者は、Avastサーバからこの復号ツール（64-bitもしくは、32-bit）をダウンロードし、この復号ツールのユーザインターフェイス中に表示されている指示を使用してディスクパーティション全体を復号することができる。
　「このウィザードの最後のページで、暗号化されたファイルをバックアップするか否かを決定することができる。これらのバックアップは、復号プロセス中に何らかの不都合が発生した場合に役に立つ可能性がある」と「このオプションはDefaultでONになっている。これは我々も推奨していることである。'Decrypt'をクリックすると、復号プロセスが開始される。復号ツールが作業しているので、終了するまで待ちなさい」と、Avastは追加している。
　AvastのTargetcompany身代金要求型マルウェア復号ツールの使用方法に関する更なる指示は、こちらで見つけることができる。
　Targetcompanyは、比較的新しく発見された身代金要求型マルウェア株であり、2021年06月中旬以来活動している。このマルウェアは、暗号化されたファイルに .mallox, .exploit, .architek, .brg拡張子を追加する。

TargetCompany身代金要求型マルウェア サブミッション（画像をクリックすると拡大表示されます）

　また、このマルウェアは暗号化したファイルのある全てのフォルダに"HOW TO RECOVER !!.TXT"と名付けた脅迫文を投下する。
　これは、ボリューム シャドウ コピーを削除し、ブート オプションを再構成し、機密情報のデータベース（例えば、MySQL, Oracle, SQL Server）をロックする可能性のあるプロセスをKillした後に発生する。
Avastは、2021年10月に、Babuk, AtomSilo, LockFile身代金要求型マルウェアに関して、犠牲者が身代金を支払うことなくファイルの復元を可能にする無料の復号ツールをリリースしている。

---

注目される新しいSugar身代金要求型マルウェアの低い身代金要求額
BleepingComputer : News>Security（2022/02/04）
　新たなSugar身代金要求型マルウェア作戦は、企業ネットワークよりはむしろ積極的に個人のコンピュータを低い身代金額で攻撃している。
　Walmart Security Teamによって最初に発見された'Sugar'は、新しいRansomware-as-a-Service (RaaS)であり、2021年11月に始まり、徐々にスピードアップしてきている。
　この身代金要求型マルウェアの名前は、Walmartによって発見されたこの作戦のアフィリエイト サイト 'sugarpanel[.]space'に由来する。
　このニュースに関して、貴方方が読んできた殆どの身代金要求型マルウェアと異なり、Sugarは企業ネットワークをターゲットにしておらず個人のデバイス、おそらくコンシューマ（【訳注】在宅ビジネスを含む、自宅で使用するために製品を購入する顧客（Microsoft用語集より））や中小企業をターゲットにしているようである。
　この身代金要求型マルウェアが、どのように拡散し、あるいは犠牲者に感染しているのか明らかではない。

Sugar身代金要求型マルウェア

　起動すると、Sugar身代金要求型マルウェアは、そのデバイスのIPアドレスと地理的場所を取得するために whatismyipaddress.com と ip2location.com に接続する。
　次に、http://cdn2546713.cdnmegafiles[.]com/data23072021_1.datから76MBのファイルをダウンロードして続行するが、このファイルがどのように使用されるのかは不明である。
　最後に、この身代金要求型マルウェア作戦のコマンドアンドコントロールサーバに、この攻撃に関連するデータを送受信する場所である179.43.160.195に接続する。この身代金要求型マルウェアは、実行時にコマンドアンドコントロールサーバにコールバックし続ける、おそらく攻撃の状況からRaaSをアップデートするために。

Sugar身代金要求型マルウェアによって生成されたネットワーク トラフィック（画像をクリックすると拡大表示されます）

　ファイルを暗号化する時、この身代金要求型マルウェアは、以下のフォルダ中にリストされているファイルや以下のファイル名を持つものを除く全てのファイルを暗号化する。

除外されるフォルダ:


　\windows\
　\DRIVERS\
　\PerfLogs\
　\temp\
　\boot\


除外されるファイル:

　BOOTNXT
　bootmgr
　pagefile
　.exe
　.dll
　.sys
　.lnk
　.bat
　.cmd
　.ttf
　.manifest
　.ttc
　.cat
　.msi;

　Walmartの研究者は、この身代金要求型マルウェアはSCOP暗号化アルゴリズムを使用してファイルを暗号化していると発言している。この暗号化されたファイルは、そのファイル名に .encoded01 拡張子を持っている。

Sugarに暗号化されたファイルは .encode01拡張子が付く（画像をクリックすると拡大表示されます）

　この身代金要求型マルウェアは、そのコンピュータ上でスキャンされたファイルの各フォルダにBackFiles_encoded01.txtと名付けた脅迫文もまた作成する。
　この脅迫文は、犠牲者のファイルに発生したことに関する情報、一意のID、身代金の支払い方法に関する情報のあるTorサイトへのリンクを含んでいる。このTorサイトは、chat5sqrnzqewampznybomgn4hf2m53tybkarxk4sfaktwt7oqpkcvyd.onionである。

Sugarの脅迫文（画像をクリックすると拡大表示されます）

　Torサイトに訪問すると、犠牲者は身代金を送信するためのビットコインのアドレス、チャットセクション、無料で5ファイルを復号するための機能を含む犠牲者独自のページが表示される。

SugarのTor支払いサイト（画像をクリックすると拡大表示されます）

　この作戦の身代金額は非常に低い。BleepingComputerによって確認された攻撃でのキーを受け取るための要求額は、数百ドルであった。不思議なことに、我々のテストボックスでの結果として得られた要求額は、僅か0.00009921ビットコイン（$4.01=462.05円、本日15:22時点の換算）
　BleepingComputerは少数のファイルを持つ仮想マシンでこの身代金要求型マルウェアをテストしたので、この身代金要求型マルウェアは暗号化したファイルの数に基づいて身代金額を生成していることを示している可能性がある。

Sugar身代金要求型マルウェアのテストで要求された身代金（画像をクリックすると拡大表示されます）

　殆どの身代金要求型マルウェア感染とは異なり、このマルウェア実行ファイルは、暗号化を終了した後でさえ起動する。しかしながら、自動起動設定は作成されていない。そして、新しいドキュメントの暗号化の継続はしないようである。
　この時点で、この身代金要求型マルウェアが無料で復号を可能にする何らかの弱点を持っているか否かは不明である。さらなる情報が利用可能になれば、この記事はアップデートされる。
　更に、この身代金要求型マルウェアに感染した場合は、どのように感染したのかを我々に知らされたい。

---

Microsoft: Windowsは確実なアップデートをするには少なくとも8時間を必要とする
BleepingComputer : News>Security（2022/01/29）
　Windowsアップデートを介してアップデートがリリースされた後、Windowsデバイスが最新のアップデートを取得し、間違いなくインストールするには少なくとも8時間オンライン上に存在していることが必要であると、Microsoftは発言している。
　Windowsを実行しているデバイスに電源が入り、Windowsアップデートに接続されている総時間は'Update Connectivity'としてMicrosfotによって追跡されている。
　この測定値は、システムの接続時間の不足と、システムがアップデートされていない理由を相互に関連付けているので、一部のデバイスが、最近リリースされたアップデートを正常に取得できない理由であることの解りやすい説明となっている。
　David Guyer（MEM（【訳注】Microsoft Endpoint Manager、すべてのエンドポイントを管理するための単一の統合エンドポイント管理プラットフォーム（Microsoftより））のWindows Updatesに関するMicrosoft Program Manager）によると、Windows Deviceが最新のアップデートを取得し、成功裏にインストールするには少なくともオンライン上に8時間を必要とする。
　「我々の調査で最も影響力のあることの一つは、QualityとFeatureのアップデートが正常にインストールできるようになるにはデバイスの電源をONにし、そして、Windows Updateに接続している必要時間であった」と「我々が発見したことは、接続時間が必要時間に満たないデバイスは、正常にアップデートされそうもない。具体的には、データは、デバイスが確実に更新されるためには、最低2時間の継続的な接続とアップデートがリリースされた後、合計6時間の接続を必要としていることを示している」と、更に「これは、正常なダウンロードとバックグラウンド インストレーションを可能にするので、デバイスがアクティブであり、接続されている限り、再起動もしくはレジューム（【訳注】コンピュータの実行状態を保存して停止させ、次に使用するとき即座に停止直前の状態に復帰する機能（e-Wordより））することができる」とGuyerは発言している。
　Guyerはまた、アップデートをダウンロードし適切にインストールするには、デバイスは電源ONのまま一晩中Internetに接続していたほうがいいと発言している。

更新プログラム用のIntuneコンプライアンス警告（画像をクリックすると拡大表示されます）

　デバイス > モニター に移動して、Featureアップデートの失敗もしくは、Windows Expeditedアップデート失敗レポートの何れかを選択することによってMicrosoft Intuneを介してUpdate Connectivityが十分でないデバイスを追跡することができる。
　Update Connectivity不十分警告は、Reports > Windows updates > Reports > Windows Expedited update report に進みIntune中のSummaryレポートを介して発見することもできる。
　完全にアップデートされず、最小接続要求未満のWindows 10デバイスを検証した時、Microsoftは以下のように理解していた：

・　Windows 10のビルドをサービスされないデバイスの凡そ50%は、最小Update Connectivity計測値を満たしていない。
・　ビルドがサービスされたWindows 10デバイスの凡そ25%は60日の期限を越えたセキュリティアップデートを持っており、これは、最小Update Connectivityを超えている。

　「アップデートの問題をトラブルシューティングするとき、十分なUpdate Connectivityを持つデバイスを選択することが最善であることが分かった」と「デバイスのUpdate Connectivityが不十分な場合、他の更新の問題の調査は複雑になる。これは、不十分なUpdate Connectivityが、新しい問題を作成することが理由である。この新しい問題は十分な接続が確立されると解消される」と、Guyerは付け加えている。
　関連するニュースに於いて、Microsoftは、'Update Stack Package'と呼ばれる、Windows Update改善のためのよりスマートな配信方法のテストを開始した。これは、Windowsの月例もしくはFeatureのアップデートに先立ち、メジャーなOSアップデートを除くアップデート エクスペリエンスを改善するだろう。
　Microsoftはまた、Windows 11の累積アップデートをWindows 10コンピュータより凡そ40％小さくすることで、セキュリティとQualityアップデートをより高速にアップデートすることができるように再設計している。
　昨年、MicrosoftはWindows Updateを管理するための新しいAPIをリリースした。これは、開発者やITプロフェッショナルが、エンタープライズ環境で迅速なWindows10 セキュリティ アップデートを有効にするものである。

---

Windows Defenderの弱点はハッカーにマルウェアの検出をバイパスさせることを可能にしている
BleepingComputer : News>Security（2022/01/13）
　脅威のアクターは、Windows上のMicrosoft Defenderアンチウィルスの欠点（このアンチウィルスがスキャンしていないロケーションがあることを学習）を悪用し、そこにマルウェアを植え付けている。
　一部のユーザによると、この問題は少なくとも8年間続いており、Windows 10 21H1とWindows 10 21H2に影響を与える。

緩いパーミッシヨン

　他のあらゆるアンチウィルス同様に、Microsoft Defenderは、マルウェアのスキャンから除外されるシステム上の場所（ローカルやネットワーク）を追加することをユーザに許可している。
　人々は一般的に、正当なアプリケーションの機能がマルウェアとして誤検出され、その機能に影響が及ぶことを防ぐために除外設定を実行している。
　スキャン除外リストはユーザによって異なるが、システム上の攻撃者にとって有用な情報である。このスキャン除外リストは、検出される恐れなしに悪意あるファイルを格納できる場所を攻撃者に与えている。
　セキュリティ研究者は、Microsoft Defenderのスキャンから除外される場所のリストが保護されておらず、あらゆるローカルユーザが、このファイルにアクセスできることを発見した。
　無頓着なパーミッションで、ローカルユーザはレジストリを検索したり、Microsoft Defenderがマルウェアもしくは危険なファイルのチェックを許されていないパスを認識することができる。

（画像をクリックすると拡大表示されます）

　Antonio Cocomazzi（RemotePotato0脆弱性に関するレポートで有名なSentinelOneの脅威研究者）は、この情報が保護されていないと指摘し、機密として考慮されるべきものであり、“reg query”コマンドを実行すると、Microsoft Defenderがスキャンしないように命令されている全てのもの（ファイル、フォルダ、拡張子、プロセス）が明らかになると指摘している。

（画像をクリックすると拡大表示されます）

　他のセキュリティエキスパートNathan McNultyは、この問題はWindows 10のバージョン21H1と21H2に存在するが、Windows 11には影響を与えないことを確認している。
　McNultyはまた、誰もがGroup Policy設定を格納しているエントリのあるレジストリツリーから、除外リストを入手できることも確認している。この情報は、複数のコンピュータに関して除外を提供しているときには、より機密性が高くなる。
　Microsoftスタックの保護に精通したセキュリティアーキテクトであるMcNultyは、サーバー上のMicrosoft Defenderには「特定の役割または機能がインストールされたときに有効になる自動除外」があり、これらはカスタム ロケーションをカバーしていないと警告している。
　脅威のアクターは、Microsoft Defenderの除外リストを取得するためにローカルアクセスを必要とするが、これはハードルと言うには程遠い。多くの攻撃者は既にセキュリティ侵害したた企業ネットワークに存在しており、可能な限りステルスに横方向に移動する方法を探している。
　Microsoft Defenderの除外リストを知ることによって、Windowsマシンを既にセキュリティ侵害している脅威のアクターは、検知される恐れなしに除外されているフォルダにマルウェアを格納し実行することができる。
　Bleeping Computerが実行したテストでは、除外フォルダから実行されたマルウェアは、Windowsシステムですいすいと稼働し、Microsoft Defenderからの警告を発生させなかった。
　我々がConti身代金要求型マルウェアのサンプルを使用し、これを通常のロケーションから実行すると、Microsoft Defenderは、効力を生じこのマルウェアをブロックした。
　Conti身代金要求型マルウェアを除外フォルダに配置した後、このマルウェアを実行すると、Microsoft Defenderは如何なる警告も表示せず、如何なるアクションも取らず、このマルウェアがマシンを暗号化することを許した。
　このMicrosoft Defenderの欠点は新しいものではなく、過去にPaul Boltonによって公にされている。

（画像をクリックすると拡大表示されます）

或る上級セキュリティコンサルタントは、彼らは、およそ8年前にこの問題に気づき、マルウェア開発者にこれを提供する利点を認識していたと発言している。

　「もしも私がマルウェア開発者だったなら、Windows Defenderの除外を検索し、間違いなく私のペイロードを除外フォルダにドロップするか、ドロップするペイロードに除外されているファイル名と同じ、もしくは拡張子と同じ名前を付けるように常に自分自身に言い聞かせる - Aura」

　この長きに渡り、Microsoftがこの問題を未だに解決していないので、ネットワーク管理者は、グループポリシーを介してサーバーとローカルマシンでMicrosoft Defenderの除外を適切に構成するためのドキュメントを参照する必要がある。

---

Windowsの新しいKB5009543, KB5009566アップデートはL2TP VPN接続を破壊する
BleepingComputer : News>Security（2022/01/12）
　Windows 10のユーザと管理者が、最近のWinodows 10用のKB5009543とWindows 11用のKB5009566累積アップデートをインストールした後に、L2TP VPN（【訳注】「L2TP」と「IPsec」の2つのプロトコルを併用したVPN接続方式。モバイル端末(スマートフォン、PCなど)から、インターネット経由で企業などのプライベートネットワークへ安全に通信(リモートアクセス)できる仕組み（YAMAHAより））接続に問題が発生したと報告している。
　昨日、Microsoftは、2022年1月の定例パッチの一部としてセキュリティ上の脆弱性とバグを修正するWindows Updateをリリースした。
　これらのアップデートは、Windows 11用のKB5009566と、Windows 10 2004/20H1/21H1用のKB5009543を含んでいる。

アップデートはL2TP接続を破壊する

　昨日のアップデートをインストールした後、Windowsユーザは、Windows VPNクライアントを使用して接続しようとした時、L2TP VPNが破壊されていることを発見した。
　VPNデバイスに接続しようとした時、彼らは、以下に示す"Can't connect to VPN. The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer（VPNに接続できません。リモートコンピュータとの最初の交渉中にセキュリティ層が処理エラーに遭遇したため、L2TP接続の試行に失敗しました（和訳はソフトアンテナより引用） ）"というエラーメッセージを表示された。

L2TP VPN接続時のWindowsエラー（画像をクリックすると拡大表示されます）

　このイベントログは、エラーコード789（VPN接続に失敗した）と述べるエントリをログしている。

L2TP VPN接続の失敗に関するWindowsイベントログ（画像をクリックすると拡大表示されます）

　このバグは全てのVPNデバイスに影響を与えるのではなく、接続を確立するために組み込みのWindows VPNクライアントを使用したユーザにのみ影響するようである。
　Twitter上でRonnyとして知られるセキュリティ研究者は、このバグはWindows VPNクライアント使用している人々のUbiquiti（【訳注】米国に本拠を置くテクノロジ企業）のClient-to-Site VPN接続に影響を与えているとBleepingComputerに話した。
　多くのWindows管理者もまたRedditに、このバグはSonicWall, Cisco Meraki, WatchGuard Firewallへの接続に影響を与えており、後者のクライアントもこのバグの影響を受けていると報告している。
　多くのユーザは未だリモートで作業しているので、管理者はKB5009566とKB5009543アップデートを削除せざるをえない。これで再起動すると直ちにL2TP VPN接続は修復される。
　Windowsユーザは、管理者に特権を昇格させたコマンドプロンプトで以下のコマンドを使用することでKB5009566とKB5009543を削除することができる。

Windows 10: wusa /uninstall /kb:5009543
Windows 11: wusa /uninstall /kb:5009566

　しかしながら、Microsoftは単一のWindows累積アップデートに全てのセキュリティアップデートを同梱しているので、このアップデートを削除すると、1月の定例アップデートでパッチした脆弱性に関する全ての修正が削除される。
　それ故、Windows管理者は、パッチが適用されていない脆弱性のリスクと、VPN接続に接続できないことによって引き起こされる混乱のリスクを比較検討する必要がある。
　どれがこのバグを引き起こしているのかは明らかではないが、Microsoftの1月の定例パッチはWindows Internet Key Exchange (IKE)プロトコル中の多くの脆弱性(CVE-2022-21843, CVE-2022-21890, CVE-2022-21883, CVE-2022-21889, CVE-2022-21848, CVE-2022-21849)を修正している。また、この問題を発生させる可能性があるWindows Remote Access Connection Manager中の脆弱性(CVE-2022-21914、CVE-2022-21885) を修正している。
　残念ながら、現時点でL2TP VPN接続の修正もしくは解決策は分かっていない。
　BleepingComputerは、このバグに関してMicrosoftに尋ねたが、未だに返答はない。

---

新しいSysJokerバックドアはWindows, macOS, Linuxをターゲットにしている
BleepingComputer : News>Security（2022/01/11）
　'SysJoker'と名付けられた新しいマルチプラットフォーム バックドアが、オンライン上に出現した。このバックドアはWindows, Linux, macOSをターゲットにしており、三つのオペレーティングシステム全てで検出を回避する能力を持っている。
　この新しいマルウェアの発見は、LinuxベースのWebサーバへの攻撃を調査していた2021年12月、この行動の兆候を最初に発見したIntezerの研究者からである。
　VirusTotalへのこのマルウェアサンプルの最初のアップロードは、2021年下半期に発生している。これはまた、C2ドメイン登録時間と一致している
　このセキュリティ アナリストは、SysJokerに関する詳細な技術情報を公開している。研究者達は、公開前にBleepingComputerとこの情報を共有していた。

Jokerは注目を集めるのが嫌い

　このマルウェアはC++で書かれており、各変種はターゲットのオペレーティングシステム用に適合されているが、それら全てがVirusTotal（57の異なるアンチウィルス検出エンジンを使用するオンライン スキャンサイト）で未検出である。 　Windowsで、SysJokerは第一段階でDLLの形式でドロッパーを使用する。これは、以下に示すことを実行するためにPowerShellコマンドを使用する。

・　GitHubレポジトリからSysJoker ZIPを掴む
・　"C:\ProgramData\RecoverySystem\”に、これを解凍する
・　このペイロードを実行する

　次に、このマルウェアは最大2分間ほど活動しない。その後、新しいディレクトリを作成し、Intel Graphics Common User Interface Service ("igfxCUIService.exe”)としてそれ自身をコピーする。

Windows上でのSysJokerの全実行プロセス（画像をクリックすると拡大表示されます）

　「次に、SysJokerはLiving off the Land (LOtL、【訳注】自給自足/環境寄生と訳され、マルウェアが既存のリソースを利用して溶け込み、AV やサンドボックスの解析による検出を回避するための手法（Deep Instinctより）)コマンドを使用してマシンに関する情報を収集する。SysJokerは、このコマンドの結果をログするために様々な一時テキストファイルを使用している」と、「これらのテキストファイルは即座に削除され、JSONオブジェクトに格納される。次にエンコードされ、"microsoft_Windows.dll”と名付けられたファイルに書き込まれる」とIntezerのレポートは説明している。
　システムとネットワークデータを収集した後、このマルウェアは、新しいレジストリキー（HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run）を追加することで永続性を作成する。全ての機能がこの段階に到達する間は、ランダムな活動しない時間が挿入される。
　このマルウェアの次のステップは、そのアクターが制御しているC2サーバと心を通わせることである。これはハードコードされたGoogle Driveリンクを使用している。

ハードコードされたGoogle Driveリンクの解明（画像をクリックすると拡大表示されます）

　このリンクは、アクターが利用可能なサーバをライブビーコンに提供するために恒常的にアップデートしている"domain.txt”ファイルをホストしている。このリストは検出とブロックを回避するために、しょっちゅう変更されている。
　感染の初期段階で収集されたシステム情報は、最初のハンドシェイク（【訳注】通信する前に制御情報を交換すること）としてC2に送信される。このC2は感染した末端の同定子として一意のトークンで応答する。
　そこから、このC2は、追加のマルウェアをインストールしたり、感染したデバイス上でコマンドを実行したり、あるいは、バックドアがそれ自体をこのデバイスから削除するようにこのバックドアに命令する。けれども、この最後の二つの指示は未だ実装されていない。

SysJoker C2通信ダイアグラム（画像をクリックすると拡大表示されます）

　LinuxとmacOS用の変種は初期段階でDLL形式のドロッパーを持っていないが、最終的には感染したデバイス上で同じ悪意ある挙動を実行する。

検出と防御

　Intezerは、彼らのレポート中にあらゆるIndicators Of Compromise（IOCs、【訳注】侵害の痕跡 (IOC) により、差し迫った攻撃、ネットワーク侵害、マルウェア感染を把握できる（Intsightsより））を提供しているので、管理者は感染したデバイスにSysJokerの存在を検出するために使用することができる。
　以下に、各オペレーティングシステムに関するIOCの一部を概要する。

　Windows、このマルウェアのファイルは"C:\ProgramData\RecoverySystem"フォルダの下、C:\ProgramData\SystemData\igfxCUIService.exe,とC:\ProgramData\SystemData\microsoft_Windows.dllに配置される。
　永続性のために、このマルウェアは、igfxCUIService.exeマルウェア実行ファイルを起動する"igfxCUIService"のAutorun "Rnu"値を作成する。

　Linux、このファイルとディレクトリは"/.Library/”の下に作成され、永続性は以下のcronジョブ： @reboot (/.Library/SystemServices/updateSystem)を作成することで確立される。

　macOS、このファイルは"/Library/”に作成され、永続性は、パス：　/Library/LaunchAgents/com.apple.update.plistの下のLaunchAgentを介して達成される。

　Intezerレポートで公開されたC2ドメインは以下である：

・　https[://]bookitlab[.]tech
・　https[://]winaudio-tools[.]com
・　https[://]graphic-updater[.]com
・　https[://]github[.]url-mini[.]com
・　https[://]office360-update[.]com
・　https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
・　https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu

　SysJokerにセキュリティ侵害されたことを発見した場合には、以下の三つのステップに従いなさい：

1　このマルウェアに関連する全てのプロセスをKILLしなさい。そして、手動でファイルと関連する永続性メカニズムを削除しなさい
2　メモリ スキャナを実行し、悪意ある全てのファイルが感染したシステムから根こそぎ削除されていることを確実にしなさい
3　潜在的なエントリポイントを調査する、ファイアーウォールの設定をチェックする、全てのソフトウェアツールを利用可能な最新バージョンにアップデートする

---

Microsoft: KB5008212 Windowsセキュリティ アップデートはOutlookの検索を破壊する
BleepingComputer : News>Security（2022/01/06）
　Microsoftは、12月の定例パッチでリリースされたWindows 10 バージョン21H2セキュリティアップデートによって発生する問題（Microsoft 365用のOutlookに検索トラブルを導く）を認識していた。
「KB5008212アップデートをインストールすると、その後のeMailは検索結果に表示されない可能性がある」と、Microsoftは最近公開したOfficeサポートドキュメントで説明している。
　Microsoftは、現在調査中であり可能な限り早急に詳細な情報とアップデートを提供すると発言している。
　この新たに知られた問題は、Windows 11にアップグレードしたシステム上で発生する別の問題と大変類似しており、同様に検索トラブルを引き起こしている。
　この新しいバグと同じではないが、これらの問題は、Windows 11 プレビュービルドをユーザがインストールし始めた2020年6月に表面化し始めた。この時は、アップグレードプロセス中にWindows検索インデックスを削除していた。
　顧客は現時点で、Windows Desktop Searchを無効にしOutlookの検索エンジンに切り替えるようにレジストリキーを設定することで、Outlookの検索が結果を返してこない問題は修正できるとアドバイスされている。
　組み込みの検索が開始されると、Outlookは、"search performance will be impacted because a group policy has turned off the Windows Search service."を表示し、パフォーマンスに影響がでると警告してくる。

Outlookの検索が機能しない問題に関する一時的な解決策

　MicrosoftはWindows 10 KB5008212セキュリティアップデートによって発生した検索トラブルの修正が利用可能になるまでの解決策として同じアプローチを推奨している。
　Outlook用のWindows Desktop Searchを無効にするには以下の手順に従う必要がある：

1．ログイン後、Startボタンを右クリックし、Runを選択する。開いたダイアログボックスでregeditとタイプしOKをクリックする。これでレジストリエディタが起動する。
2．以下に記すレジストリ中のサブキーを発見し、クリックする。

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
3．Edit > New > Key をクリックし、この新しいキーをWindows Searchと名付ける。
4．新しいWindows Searchキーを選択する。
5．Edit > New > DWORD Value をクリックする。
6．このDWORDの名前にPreventIndexingOutlookとタイプし、Enterをクリックする。
7．PreventIndexingOutlookを右クリックし、次にModifyをクリックする。
8．Valueデータボックスで、このレジストリ エントリを有効にするために 1 をタイプし、OKをクリックする。
9．レジストリエディタを終了する。次にOutlookを再起動する

　Windows Desktop Searchを復活させたい場合は、0をタイプし、OKをクリックすることでPreventIndexingOutlookを無効化する必要がある。
　Microsoftはまた、以下の問題を含む他の既知のOutlook問題に関する解決策を公開している：

・　会話内の関連メッセージの検索の検索結果が不完全であるか、欠落しています
・　Outlook でホストされているアプリケーション エラー: 現在、Teams アプリを開くことができません。 後でもう一度お試しください。
・　Outlook タスクの競合
・　Outlook では Microsoft 365 にゲスト グループを追加できません

---

米国の警察はフィッシング用QRコードの付いたパーキングメータを警告している
Bitdefender : Industry News（2022/01/05）
　急いで車を駐車したい？　パーキングメータ用の現金を探すためにポケットを探し回りたくない？ あるいは、電話に正しい支払いアプリケーションをインストールしていない？
　ところで、メータの側面に貼り付けてある支払いQRコードを慌ててスキャンする前に注意深く考えよう。それは、あなたの金融情報を釣り上げるために詐欺師によって企てられたものかもしれないと。
　警察は、パーキングメータにQRコードが貼り付けられておらず、コイン、カード、スマートフォンアプリでのみ支払うことができるテキサス州オースティンで、公共のパーキングメータに貼り付けられたインチキのQRコードを発見したと警告している。

2022/01/03 オースティン警察Twitter（画像をクリックすると拡大表示されます）

　この都市の訪問者や疑うことを知らない急いでいる人々が、考えもなしにこのインチキのQRコードを単純にスキャンしたら何が起こるのだろうか？
　オースティン警察が発見したこのQRコードは、疑うことを知らないユーザを詐欺のためのWebサイトに連れて行く、そして、希望の駐車時間の料金が支払われるという偽の契約で支払い情報の詳細を訪ねてくる。
　オースティン市役所は、サン アントニオの職員によって類似のQRコードスカムを通知された後、そのパーキングメータをチェックした。彼らは、12月下旬同様に貼られた100を超えるパーキングメータを発見した。
　サン アントニオ警察のMarcus Booth警部補は、このWebページは希望する駐車時間用の支払いを受け入れるように装っており、金銭は市の財源になるのではなくスカマーの手に落ちるとレポータに告げている。
　簡単に言えば、窃取の犠牲者は車の運転手だけでなく、市もまた犠牲者である。
　二つの市でパーキングメータに貼り付けた攻撃が関連しているのか、模倣なのかは不明である。しかし、明らかに、他のグループが他のアメリカの都市や世界の他の場所で実際に複製することが難しいスカムではない。
　結果として、パーキングメーターの代金は現金もしくは適切なスマートフォンアプリを介して支払う方が賢明であるかもしれない。
　当局は、詐欺用のパーキングメーターのQRコードにだまされた可能性があると思われる人は誰でも、警察に報告し、直ぐに支払いカードの発行者に通知するように勧めている。
　他方、バッジを付けた市職員以外の者がパーキングメーターを弄っているのを発見したなら、やるべきことをして、警察に電話しなさい。

---

RedLineマルウェアはパスワードをブラウザ中に保存してはならないことを示している
BleepingComputer : News>Security（2021/12/28）
　RedLine情報窃取マルウェアは、Chrome, Edge, Operaのような人気のWebブラウザをターゲットにしており、ブラウザ中にパスワードを格納することが悪い考えであることを証明している。
　しかしながら、AhnLab ASECからの新しいレポートは、Webブラウザの自動ログイン機能を使用する便利さが、組織と個人の両方に影響を与える重大なセキュリティ問題になりつつあると警告している。
　アナリストが提示した例では、リモートの従業員は、VPNアカウント認証情報を失い、これを窃取したRedLine Stealerのアクターが、この情報を使用して三ヶ月後にこの企業のネットワークをハッキングしていた。
　感染したコンピュータにアンチマルウェア ソリューションがインストールされている場合でも、RedLine Stealerの検出と削除に失敗している。
　このマルウェアは、ChromiumベースのWebブラウザ中に見出される「ログインデータ」をターゲットにしている。そして、このデータはユーザ名とパスワードを保存しているSQLiteデータベースである。

データベース ファイルに格納されている認証情報（画像をクリックすると拡大表示されます）

　Chromiumベースのブラウザに使用されているようなブラウザ パスワードストアは暗号化されているが、情報窃取マルウェアは、同一のユーザとしてログインしている限りプログラムを使用してストアを復号することができる。RedLineは感染したユーザとして実行されているので、感染したユーザのブラウザ プロファイルからパスワードを抽出することができる。
　「Google ChromeはWindows組み込みのCryptProtectData関数でパスワードを暗号化する。現在、この関数はtriple-DESアルゴリズム（【訳注】共通鍵ブロック暗号であるDESを3回施す暗号アルゴリズム（Wikipediaより））を使用し、データを暗号化するためにユーザ特定のキーを作成する非常に安全な関数であるが、パスワードを暗号化したユーザと同じアカウントでログインした場合にはパスワードを復号することができる」と、「このCryptProtectData関数は、その逆を実行するCryptUnprotectDataとの双子である。想像しているように、この関数はデータを復号する。これは明らかに、格納されているパスワードを復号するために大変有用である」と、'chrome_password_grabber'プロジェクトの著者は説明している。
　ユーザがブラウザ中にこの認証情報の格納を拒否した場合でさえ、このパスワード管理システムは、特定のWebサイトが「ブラックリストに登録されている」ことを示唆するために依然としてエントリを追加する。
　この脅威のアクターは、この「ブラックリストに登録されている」アカウント用のパスワードを持っていない可能性があるが、それは、そのアカウントが存在していることを彼らに告げているので、認証情報要素や、ソーシャルエンジニアリングやフィッシング攻撃を実行することを可能にしている。

RedLine Stealerの機能（画像をクリックすると拡大表示されます）

　盗んだ認証情報を収集した後、脅威のアクターはそれらを将来の攻撃に使用するか、あるいはダークWeb市場でそれらを販売することによって現金化しようとする。
　RedLineがハッカーに広汎に普及している例は、'2easy'ダークWeb市場の台頭である。此処で販売されていたデータの半分がこのマルウェアを使用して盗まれたものである。
　RedLine拡散の最近の他のケースは、パスワード窃取マルウェアをダウンロードしインストールさせるExcel XLLファイルを使用するWebサイト コンタクト スパムキャンペーンである。
　RedLineは今、何処にでもいるかのようである。この主たる理由は、最先端のWebブラウザが解決することを拒否している広汎に利用可能なセキュリティギャップのセキュリティ侵害に効果的なことにある。

代わりに実行すること

　ログイン認証情報を格納するためにWebブラウザを使用することは、魅力的であり便利であるが、これを十個刷ることはマルウェア感染していなくても危険である。
　これを実行することによって、あなたのマシンにアクセスを持っているローカルもしくはリモートアクターは数分のうちにあなたの全てのパスワードを盗むことができる。
　代わりに、専用のパスワードマネージャを使用することが最善である。専用のパスワードマネージャは暗号化された金庫室にすべてのものを格納し、金庫室を解錠するにはマスターパスワードが要求される。
　更に、e-バンキング ポータルや企業資産のWebページのような重要なWebサイト用に特別なルールを設定する必要があり、手動で認証情報をインプットすることが要求される。
　最後に、これが利用可能な場合は常に多要素認証をアクティブにしなさい。この追加のステップで認証情報がセキュリティ侵害された場合でもアカウント乗っ取り事案からあなたは保護される。

---

ステルス性BLISTERマルウェアはWindowsシステムに気づかれずに潜り込む
BleepingComputer : News>Security（2021/12/23）
　セキュリティ研究者は、悪意あるコードを正当な実行ファイルのように装うために有効なコードサイニング証明書（【訳注】コンピュータプログラムを配布・販売する際に、利用者が発行元の確認や改竄検知ができるように付与されるデジタル署名の証明書（e-Wordsより））に依存する悪意あるキャンペーンを発見した。
　この研究者達がBlisterと呼んだペイロードの一つは、他のマルウェア用のローダーとして挙動し、低い検出率を楽しむ新しい脅威のようである。
　Blisterの背後にいる脅威のアクターは、彼らの攻撃を探知されないようにする複数のテクニックに依存しており、コードサイニング証明書は彼らのトリックの一つに過ぎない。

署名、シール化、拡散

　Blisterマルウェアの背後にいる者は、検索会社Elasticの研究者達が発見した、遅くとも9月15日以降少なくとも三ヶ月間キャンペーンを実行してきている。
　この脅威のアクターは8月23日から正当なコードサイニング証明書を使用している。この証明書はロシアのプロバイダーMail.RuのeMailアドレス付きでBlist LLCと呼ばれる企業のためにデジタルアイデンティティ プロバイダSectigoによって発行されていた。

　正当な証明書をマルウェアにサインして使用することは、脅威のアクターが数年前に学習した古いトリックである。その時点に戻る。彼らは正当な企業から証明書を盗んで使用していた。今日、脅威のアクターは彼らがセキュリティ侵害した企業もしくは、隠れ蓑の企業の詳細を使用して正当な証明書を要求している。
　今週のブログへの投稿に於いて、Elasticは、証明書の悪用をSectigoに対して責任を持って通知したので、この証明書は取り消される可能性があると発言している。
　この研究者達は、この脅威のアクターが複数のテクニックに依存して攻撃を検出されないようにしていると発言している。その一つの方法が、Blisterマルウェアを正当なライブラリ（例えば、colorui.dll）に埋め込むことであった。
　このマルウェアは、次にrundll32コマンドを介して特権の昇格を実行する。正当な証明書付きでサインされ管理者特権で配備されると、Blisterはセキュリティソリューションをすり抜ける。
　次のステップで、Blisterは、リソースセクションから「高度に難読化」されたブートストラッピング コードを平文化すると、Elasticの研究者達は発言している。10分間、このコードは、おそらくSandobox解析を回避するために睡眠状態のままになっている。
　次に、行動を起こし、リモートアクセスを提供するために埋め込まれているペイロードを復号し、水平方向への移動（過去、複数の脅威のアクターによって使用されたCobalt StrikeやBitRAT同様に）を可能にする。
　このマルウェアは、rundll32.exeのように装いProgramDataフォルダや他のフォルダにコピーすることで永続性を達成している。これは、スタートアップの場所に追加されるのでブートの度にexplorer.exeのチャイルドとして起動される。
　Elasticの研究者達は、Blisterローダの署名されたバージョンと未署名のバージョンを発見している。そして、共にVirusTotalスキャンニングサービスのアンチウィルスエンジンで低い検出率を誇っている。

未署名Blisterマルウェアのサンプルの検出率（画像をクリックすると拡大表示されます）

　初期感染ベクトルのこれらの攻撃の目的は不明なままであるが、正当なコードサイニング証明書、正当なライブラリへのマルウェアの埋め込み、メモリ中でのペイロードの実行を組み合わせることによって、この脅威のアクターは攻撃の成功率を高めている。
　Elasticは、Blisterの挙動を同定するためにYara（【訳注】マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム（SIOS SECURITY BLOGより））ルールを作成し、組織がこの脅威を防衛するための支援となる改竄の兆候を提供している。

---

新しいステルス性DarkWatchmanマルウェアはWindows Registryに隠れいている
BleepingComputer : News>Security（2021/12/19）
　'DarkWatchman'と名付けられた新しいマルウェアが、サイバー犯罪地下組織に出現した。このマルウェアは、C#キーロガーと組み合わされており軽量で高い能力を持つJavaScript RAT (Remote Access Trojan)である。
　Prevailionの研究者による技術レポートによると、この著名なRATは、主にロシアの組織をターゲットにしているロシア語で意思の疎通ができる攻撃者によって使用されている。
　DarkWatchmanの存在の最初の兆候は、脅威のアクターが悪意あるZIP添付ファイル付きのフィッシングeMailを介して、このマルウェアを拡散し始めた11月初めであった。

DarkWatchman拡散に使用されているフィッシングeMailのサンプル（画像をクリックすると拡大表示されます）

　これらの添付されているZIPファイルには、アイコンを使用してテキストドキュメントに偽装した実行ファイルが含まれている。これらの実行ファイルは、RATとキーロガーをインストールする自己インストール型WinRARアーカイブである。

ダウンロードされた添付ファイルのコンテンツ（画像をクリックすると拡大表示されます）

　このZIPファイルを開くと、ユーザは"Unknown Format"と記された囮のポップアップメッセージを表示される。しかし、実際にはペイロードがバックグラウンドでインストールされている。

ステルス性「ファイルレス」RAT

　DarkWatchmanは大変軽量のマルウェアである、このJavaScript RATは32Kbのサイズであり、使用スペースは8.5Kbに過ぎないようにコンパイルされている。
　これは、"living off the land"（【訳注】マルウェアが既存のリソース（Microsoft Windowsに組み込まれた機能や信頼できるツール）を利用して溶け込み、AV やサンドボックスの解析による検出を回避するためのもの（DeepInstinctより））バイナリ、スクリプト、ライブラリの大きなセットを悪用し、モジュール間でのデータ転送のためにステルス性の手法を組み込んでいる。
　DarkWatchmanの魅力的な側面は、キーロガー用にWindows Registryファイル-レス（【訳注】ユーザに何らかの方法でソフトウェアをインストールさせて攻撃行動を実行するが、ディスクには痕跡を残さず、メモリ内だけに常駐して、攻撃を実行する手法（NECソリューションイノベータより））ストレージ メカニズムを使用していることである。
　ディスク上にキーロガーを格納する代わりに、ユーザがWindowsにログインする度にDarkWatchman RATを稼働するスケジュール タスクが作成されている。

永続化のために追加されたスケジュール タスク（画像をクリックすると拡大表示されます）

　一旦起動すると、DarkWatchmanは、.NET CSC.exeコマンドを使用してキーロガーをコンパイルするPowerShellスクリプトを実行し、このキーロガーをメモリ中にロードする。
　「このキーロガーは、難読化されたC#ソースコードとして拡散し、Base64でエンコードされたPowerShellコマンドとして処理されレジストリに格納される。このRATが起動すると、このPowerShellスクリプトを実行し、次に、キーロガーをコンパイルし実行する」続いて「このキーロガー自体はC2（コマンドアンドコントロール サーバ）と相互通信はしないし、ディスク上への書き込みもしない。代わりに、このキーロガーがバッファとして使用しているレジストリキーにキーログを書き込む。この操作の間、このRATはログしたキーストロークをC2サーバに送信する前に、このバッファをスクレイピング（【訳注】必要なデータをWeb等から取得する行為）しクリアする」と、Prevailionの研究者Matt StaffordとSherman Smithは彼らのレポートの中で説明している。

キーロガーをコンパイルするBase64でエンコードされたPowerShell（画像をクリックすると拡大表示されます）

　このように、レジストリはエンコードされた実行コードを隠すための場所としてだけではなく、C2に抽出した機密情報をコッソリ渡すまで、盗んだデータを保持するための一時領域でもある。
　C2コミュニケーションとインフラストラクチャに関して、DarkWatchmanのアクターは、10項目のシードリストと共にDGA（ドメイン生成アルゴリズム）を使用して、毎日最大500個のドメインを生成している。
　これにより、優れた作戦回復力が得られると同時に、通信のモニタリングと分析が非常に困難になる。
　DarkWatchmanの機能は以下である。

　・　EXEファイルを実行します（出力が戻されるか否かに関係なく）
　・　DLLファイルをロードする
　・　コマンドラインでコマンドを実行する
　・　WSHコマンドを実行する
　・　WMIを介して多方面のコマンドを実行する
　・　PowerShellコマンドを実行する
　・　JavaScriptを評価する
　・　犠牲者のマシンからC2サーバーにファイルをアップロードする
　・　RATとキーロガーをリモートから停止したりアンインストールする
　・　C2サーバーアドレスまたはcall-home（【訳注】マルウェアがコンピュータや各種デバイスへの侵入に成功した後、追加的なファイルや情報などをダウンロードするためにC2サーバーに接続すること（@kkoichi1のTwitterより））タイムアウトをリモートからアップデートする
　・　RATとキーロガーをリモートからアップデートする
　・　自動起動JavaScriptをRAT起動時に実行するように設定する
　・　C2を切り替えるためのドメイン生成アルゴリズム（DGA）
　・　ユーザーが管理者権限を持っている場合、vssadmin.exeを使用してシャドウコピーを削除する。

この身代金要求型マルウェアの仮説

　Prevailionは、DarkWatchmanが、強力でステルスなツールで能力の低いアフィリエイトに権限を与える必要がある身代金要求型マルウェア グループによって（もしくは、身代金要求型マルウェア グループのために）テーラーメイドされた可能性があると理論付けしている。
　このマルウェアは、追加のペイロードをリモートでロードできるので、後続の身代金要求型マルウェアの配備のためのステルス性第1段階感染として使用される可能性がある。
　DarkWatchmanは、最初の足掛かりを作った後、このアクターが制御するドメインとコミュニケーションできるため、この身代金要求型マルウェアのオペレータは、ランサムウェアを接収したり配備したり、あるいは、ファイルの抽出を直接処理したりできる。
　このアプローチは、アフィリエイトの役割をネットワーク侵入者の役割にまで低下させ、同時にRaaSのオペレーションをより臨床的かつ効率的にしている。

---

クレジットカード スティーラでハックされたサイトは数カ月間未検出だった
BleepingComputer : News>Security（2021/12/15）
　脅威のアクターは顧客から盗んだ支払い情報が数カ月間未検出だったことから、この休日期間にクレジットカード スキミング攻撃を準備しているだろう。
　Megacartスキミングは、ターゲットのWebサイトに悪意あるJavaScriptコードを挿入することに関連する攻撃である。このJavaScriptは、訪問者がチェックアウトのページに存在している時に実行される。
　このコードは、クレジットカード番号、所有者名、住所、CVV（セキュリティコード）のような支払い情報の詳細を窃取する。そして、それらの情報をこのアクターに送信する。
　脅威のアクターは次に、この情報をオンラインでのグッズの購入に使用したり、地下フォーラムや"carding"サイトとして知られる暗黒Web市場で他のアクターに販売するために使用する。

SCUFコネクション

　2021年10月、カスタムPCとコンソールコントローラのリーディング企業であるSCUF Gaming InternationalはMegacartで攻撃され、結果として32,000人の財務情報の詳細がセキュリティ侵害されていたことがAkamaiの研究者によって発見された。
　詳細な調査によって、このアナリスト達は、複数のサイトからクレジットカードの詳細を盗んだスキマーの広範なネットワークを運用している者が、SCUFに対する攻撃の責任者と同じ人物であることを発見した。
　被害を受けたサイトは以下である。

・　whitemountainshoes.com - 靴、履物類 (Alexa rank: 425k)
・　goldboutique.com - 宝石 (Alexa rank: 1.4 M)
・　nafnaf.com - ファッション性衣類 (Alexa rank: 85k)
・　schlafstaette.de - 睡眠製品
・　proaudiostar.com - プロ向けオーディオ機器 (Alexa rank: 150k)
・　truebrands.com - プロ向け飲料関連付属品 (Alexa rank: 113k)
・　loudmouth.com - 衣料品および特別なアパレル (Alexa rank: 1.2 M)

　Alexa rank番号が小さいほど、Webサイトが受け取るトラフィックが多いので、スキマーが未検出のまま存在する時間が長くなる、そこでMegacartのアクターが盗むクレジットカードの詳細が多くなる。
　このように、アクターは、スキマーが感染したサイト上で隠れるためにスクリプトの行動を価値のあるページに制限しているため、Akamaiの調査を困難にしている。
　「スキマーのコマンドアンドコントロール（C2）サーバーは、機密性の低いページで実行するとクリーンなコードで応答していることを発見した...」と、「...そして（スキマーは）クレジットカード情報が見つけられることのできるチェックアウトのページで実行された場合にのみ、悪意のあるコードを送信する」とAkamaiのレポートは説明している。
　Magecartのアクターが実行しているもう一つの検出防止手段は、ターゲットにしているWebサイト毎に新しいスキミング ドメインを登録していることである。
　スキミング操作が露見/発見された場合、そのドメインを非アクティブ化し他のサイトで悪意のある行動を続行している。
　この特定のケースでは、アクターは4つのWebサイトに同じC2ドメインを使用したため、小さなクラスターがほぼ同時に明らかになった。

クリスマスの期間は警戒するようにアドバイスされている

　オンラインショッピングに耽っている消費者は、Magecartのアクターが積極的に活動するであろうクリスマスの間、特に注意するようアドバイスされている。
　スキマーの検出は、Eコマースサイト所有者の責任であり、訪問者の責任ではない。訪問者は代わりに次のことを行うことができる。

　最新（【訳者補注】もしくは、アップデートして）のインターネット セキュリティ ソリューションを使用する
カードの代わりに電子的方法で支払う
一回限りのバーチャル カードを使用する
　可能であれば代金引換で支払う

　今年、上記7つのWebサイトからクレジットカードを使用して何かを購入した場合は、支払いの詳細が危険にさらされていると考え、銀行に電話し、カードの交換を依頼しなさい。

---

現在、新しい身代金要求型マルウェアがLog4Shell攻撃で配備されている
BleepingComputer : News>Security（2021/12/14）
　身代金要求型マルウェアをダウンロードしインストールするために使用されているLog4j Log4Shell脆弱性の最初に公開されたケースは研究者たちによって発見された。
　先週の金曜日、公開された脆弱性攻撃は、Apache Log4j Javaベース ログイン プラットフォームで'Log4Shell'と名付けられた緊急の0-Day脆弱性に関するものであった。Log4jは、開発者のJavaアプリケーションにエラーやイベントログを追加することを可能にする開発フレームワークである。
　この脆弱性は、Log4jによって読み込まれた時、このプラットフォームが含まれているURLに接続しコードを実行するための特別なJNDI（【訳注】Java Naming and Directory Interfaceの頭文字）文字列を脅威のアクターが作成することを可能にしている。これは攻撃者が、簡単に脆弱性のあるデバイス検出したり、リモートサイトやBase64でエンコードされた文字列を介して供給されるコードを実行することを可能にするものである。
　この脆弱性は、Log4j 2.15.0で修正されLog4j 2.16.0で更に強化されたが、様々なマルウェア（coin miners, botnets, Cobalt Strike beaconsを含む）インストールするために脅威のアクターによって広範な脆弱性攻撃に使用されている。

身代金要求型マルウェアをインストールする最初のLog4j脆弱性攻撃

　昨日、Bitdefenderは、Log4Shell脆弱性攻撃を介して直接身代金要求型マルウェアファミリーをインストールする最初のケースを発見したとレポートした。
　この脆弱性攻撃は、Log4jアプリケーションによってロードされ実行されるhxxp://3.145.115[.]94/Main.classからJavaクラスをダウンロードする。
　一旦ロードされると、'Khonsari'と名付けられた新しい身代金要求型マルウェア[VirusTotal]をインストールするために同じサーバから .NETバイナリをダウンロードする。
　この同じ名前はまた、以下に示すように暗号化されたファイルの拡張子や脅迫文としても使用されている。

Khonsariの脅迫文（画像をクリックすると拡大表示されます）

　その後の攻撃に於いて、BitDefenderは、この脅威のアクターがOrcus Remote Access Trojanを拡散させるために同じサーバを使用していたことに気づいた。

ワイパーの可能性が高い

　身代金要求型マルウェアのエキスパートMichael GillespieがBleepingComputerに告げたところによると、Khonsariは確固たる暗号化を使用しており、安全である。これはファイルを無料で復号することが不可能であることを意味している。
　しかしながら、この脅迫文には一つ奇妙な点がある。身代金を支払うために脅威のアクターに接触する情報が含まれていないようである。
　EmsisoftのアナリストBrett CallowがBleepingComputerに指摘したところによると、この身代金要求型マルウェアは、脅威のアクターではなくLouisianaアンティークショップのオーナーへの接触情報に因んで名付けられているとしている。
　それ故、この人が、この身代金要求型マルウェア攻撃の実際の犠牲者なのか、囮としてリストされているのかは不明である。
　理由の如何を問わず、これは脅威のアクターへの正当な接触情報を含んでいないので、我々は、これは身代金要求型マルウェアではなくワイパーであると確信している。
　これは、身代金要求型マルウェア（ワイパー？）を直接インストールするLog4j脆弱性攻撃の最初に知られたインスタンスである可能性がある。Microsoftは既に、この脆弱性攻撃がCobalt Strike beaconを配備するために使用されていることを確認している。
　従って、より高度な身代金要求型マルウェア オペレーションが彼らの攻撃の一部としてこの脆弱性攻撃に既に使用されている可能性がある。

---

STOP身代金要求型マルウェアのワクチンが暗号化をブロックするためにリリースされた
BleepingComputer : News>Security（2021/12/07）
　ドイツのセキュリティソフトウェア企業G DATAは、STOP身代金要求型マルウェアが感染後犠牲者のファイルを暗号化することをブロックするワクチンをリリースした。
　「このツールは感染自体を防ぐものではない。STOP身代金要求型マルウェアは、依然として脅迫文を配置し、システムの設定を変更するかもしれない」と、続けて「しかし、STOP身代金要求型マルウェアは、そのシステムがこのワクチンを持っていたなら、最早ファイルを暗号化することはない。この脅迫文は、個人IDの代わって、ファイルはワクチンによって保護されたとする文字列を含んでいる」と、G DATAのマルウェア解析者Karsten HahnとJohn Parolは説明している。
　あなたは、ここからSTOP身代金要求型マルウェアのワクチンをダウンロード（コンパイルされた .EXE もしくは Pythonスクリプトとして）することができる。
　このワクチンは、あなたのセキュリティソフトにシステムが感染されたと思わせる可能性がある。これは、そのデバイスが既にセキュリティ侵害されていると、STOP身代金要求型マルウェアを欺くために、通常感染させられたシステムにこのマルウェアが配備するファイルを追加することによって動作する。
　148の変種によって暗号化されていたファイルを無料で復号するためにEmsisoftとMichael Gillespieによって2019年10月にStop身代金要求型マルウェア用の復号プログラムもリリースされたが、新しい変種に対しては最早機能しない。他方、この身代金要求型マルウェア株に対する防御をのぞむのであれば、G DATAのワクチンは確実な方法である。

STOP Ransomewareワクチン（画像をクリックすると拡大表示されます）

　しかしながら、脅威のアクターはワクチンがリリースされた後、一般的にはワクチンをバイパスするため、このワクチンは、この身代金要求型マルウェアの将来のバージョンでは機能しなくなる可能性がある。
　したがって、ワクチンを適用した後は、重要なファイルがバックアップされていることを確認する必要がある!

STOP Ransomware ― 誰も語っていない最もアクティブなランサムウェア

　他の身代金要求型マルウェア株がメディアの注目を浴びているが、STOP身代金要求型マルウェアは、近年ID Ransomeware（【訳注】身代金要求文、及び／又は、暗号化されたファイルのサンプルをアップロードすることでランサムウェアを特定するためのサイト、このサイトは言語を選択することで日本語化できます）への登録とBleepingComputerのフォーラムでのサポートリクエストの最も重要な一部である。
　積極的に活動している身代金要求型マルウェアの中で、一日あたりのID Ransomewareへの数千の送信のうちの60～70％がSTOP身代金要求型マルウェアに関するものである。

STOP身代金要求型マルウェアの活動（画像をクリックすると拡大表示されます）

　これは、この身代金要求型マルウェアが、怪しげなサイト、悪意あるソフトウェアクラックもしくは、アドウェアに同梱されたフリープログラムを装うものを押し付けることを通じて、主にホーム ユーザをターゲットにしているためである。
　後者は通常、ユーザーのコンピューターに様々な望みもしないソフトウェアをインストールする。多くの場合、インストールされるプログラムの1つは、STO身代金要求型マルウェア等のマルウェアである。
　STOP身代金要求型マルウェアの拡散に使用されているものとして報告されているクラックは、KMSPico, Cubase, Photoshop, アンチウィルスソフトが含まれている。
　この展開手法を使用することの他に、STOPは、一般的な身代金要求型マルウェア同様にファイルを暗号化し、拡張子を追加し、500USDから1000USDの範囲で身代金を要求する文書をドロップする。
　そこで、これを成功させるために、大量の変種を絶えずリリースし検出を回避している。

---

悪意あるExcel XLLアドインが、パスワード窃盗マルウェアRedLineを押し付けている
BleepingComputer : News>Security（2021/12/05）
　サイバー犯罪者は、Webサイトのコンタクト フォームやディスカッション フォーラムをスパミングし、パスワードと情報を盗むマルウェアであるRedLineをダウンロードさせインストールさせるためにExcell XLLファイルを配布している。
　RedLineは、クッキー、ユーザ名とパスワード、Webブラウザ中に保存されているクレジットカード並びに感染したデバイスからFTP認証とファイルを盗む情報窃盗トロイの木馬である。
　データの窃取に加えて、RedLineは、コマンドを実行し更なるマルウェアをダウンロードし稼働し、アクティブWindowsスクリーンのスクリーンショットを作成することができる。
　この全てのデータは集められ、犯罪者マーケットで販売するためにこの攻撃者に送り返されたり、他の悪意ある行為や詐欺行為に使用される。

コンタクト フォームやディスカッション フォーラムをスパミングする

　ここ2週間に渡り、BleepingComputerのコンタクト フォームは様々なフィッシングの疑似餌で多大な回数スパムされた（インチキの広告リクエスト、クリスマスプレゼントの案内、Webサイト プロモーションを含む）。
　この疑似餌を研究したところ、BleepingComputerは、パブリックフォーラムや記事コメントシステムを使用している多くのWebサイトをターゲットにした広範なキャンペーンの存在を発見した。
　BleepingComputerが発見したフィッシングの疑似餌の中には、脅威のアクターがインチキのWebサイトを作成し、マルウェアをインストールするために使用される悪意あるExcel XLLファイルをホストしていた。
　例えば、或るキャンペーンは、以下のスパムメッセージと正当なPlutio（【訳注】フリーランサーや中小企業向けに設計されたオールインワンのビジネス管理プラットフォーム（Capterraより））のサイトを真似たインチキのWebサイトを使用していた。

　Everything you need to run your business. Manage projects, create dazzling proposals and get paid faster. Black Friday! All plans are FREE, no credit card required.

悪意あるXLLファイルを押し付けるために開発されたインチキのPlutio（画像をクリックすると拡大表示されます）

　他のスパムメッセージは、支払い報告、広告の要求、以下に示したように、Google Drive上にホストされた悪意あるXLLファイルへのリンクが付属するギフトガイドであることを装っている。

Google Driveにホストされた悪意あるXLLファイル（画像をクリックすると拡大表示されます）

　特段の興味を惹いたのは、サイトの所有者をターゲットにした疑似餌である。これはサイトの所有者に広告の掲載を要請し、オファーの条件を確認するよう依頼している。これはマルウェアをインストールする悪意ある'terms.xll'ファイルを導入することになる。

　Sell us advertising space on your site from $ 500
You can read our terms on the link below
https://drive.google[.]com/file/d/xxx/view?usp=sharing

　今週BleepingComputerが発見した別の疑似餌は、

　Thanks for using our app. Your payment has been approved. You can see your payment report on the link below https://xxx[.]link/report.xll

　Google just revealed the 100 hottest gifts of 2021

I won $10.000. Want it too? Read and accept the terms
https://drive.google[.]com/file/d/xxx/view?usp=sharing

Excel XLLファイルの悪用

　これらのスパムキャンペーンは、犠牲者のWindowsデバイスにRedLineマルウェアをダウンロードしインストールする悪意あるExcel XLLファイルを押し付けるように設計されている。
　XLLファイルは、開発者がデータの読み込み・書き込み、他のソースからのデータのインポート、様々なタスクを実行するためのカスタム機能を作成することでExcelの機能の拡張を可能にするアドインである。
　XLLファイルは単純なDLLファイルであり、そのアドインが起動された時に、Microsoft Excelによって実行される'xlAutoOpen'関数を含んでいる。

Excelで悪意あるアドインを開いている（画像をクリックすると拡大表示されます）

　BleepingComputerとTheAnalyst（一緒にこの攻撃に関して論議しているセキュリティ研究者）とで実行したテストでは、このXLLファイルは正しくロードされなかったが、Microsoft Excelの他のバージョンでは動作するかもしれない。
　regsvr32.exeコマンドもしくは、'rundll32 name.xll, xlAutoOpen'コマンドを手動で実行すると、 %UserProfile%フォルダにwget.exeプログラムを抽出する。このファイルは、リモートサイトからRedLineバイナリをダウンロードするために使用される。

wgetを使用してRedLineマルウェアをダウンロードしているXLL DLL（画像をクリックすると拡大表示されます）

　この悪意あるバイナリは、%UserProfile%\JavaBridge32.exe [VirusTotal] として保存され、実行される。
　レジストリのautorunエントリにも、犠牲者がWindowsにログインする度にRedLine情報窃盗マルウェアが自動的に起動するように作成される。

Windowsレジストリに追加されたRedLineのautorun（画像をクリックすると拡大表示されます）

　このマルウェアが実行されると、盗む価値のあるデータ（Chrome, Edge, Firefox, Brave, Operaブラウザに格納されている認証とクレジットカードを含む）が検索される。
　あなたがこのキャンペーンの犠牲者になったのであれば、あなたが格納しているパスワードはセキュリティ侵害されていると思わなければならない、直ちにそれらを変更しなさい。更に、あなたがブラウザ中にクレジットカードを格納していたのであれば、あなたのクレジット会社にコンタクトし、この重大事案を注意喚起すべきである。
　XLLファイルは実行可能ファイルなので、脅威のアクターは、デバイス上で様々な悪意ある挙動を実行するためにXLLファイルを使用することができる。それ故、信頼されるソースからのものを除いて、XLLファイルを決して開いてはならない。
　これらのファイルは一般的に添付ファイルとして送信されることはないが、代わりに、他のプログラムやあなたのWindows管理者を介してインストールされる。
　それ故、この種のファイルを配布するeMailやメッセージを受け取った場合には、単純にそのメッセージを削除し、スパムとして報告しなさい。

---

Emotetは現在、インチキのAdobe Windows App Installerパッケージを介して拡散している
BleepingComputer : News>Security（2021/12/01）
　Emotetマルウェアは現在、Adobe PDFを装う悪意あるWindows App Installer（アプリ インストーラ）を介して拡散している。
　Emotetは、フィッシングeMailや悪意ある添付ファイルを介して拡散している悪名高きマルウェア感染である。一旦インストールされると、このマルウェアは他のスパム キャンペーンのために犠牲者のeMailを盗み、一般的に身代金要求型攻撃を導くTrickBotやQbotのようなマルウェアを配備する。
　Emotetの背後にいる脅威のアクターは、Windows 10やWindows 11の組み込み機能であるApp Installerを使用して悪意あるパッケージをインストールすることでシステムに感染している。
　研究者達は今までに、Microsoft Azureでホストされている悪意のあるパッケージをインストールするBazarLoaderマルウェアを配布するために、これと同じ方法が使用されていたことを確認している。

Windows App Installerの悪用

　EmotetトラッキンググループのCryptolaemusによって提供されたURLとeMailを使用して、BleepingComputerは、以下に示すように、この新しいeMailキャンペーンの攻撃フローをデモした。
　この新しいEmotetキャンペーンは、既存の通信に対する返信のように見せかける盗まれたリプライチェーンeMailで始まる。
　これらの返信は、単純に "Please see attached"（添付ファイルを確認してください）と受信者に告げている。そして、このeMail通信に関連付けられて述べられているPDFへのリンクを含んでいる。

EmotetのフィッシングeMail（画像をクリックすると拡大表示されます）

　このリンクがクリックされると、ユーザはインチキのGoogle Driveページに連れて行かれ、PDFドキュメントを表示するためのボタンをクリックするように促される。

PDFをプレビューするように促しているフィッシングページ（画像をクリックすると拡大表示されます）

　この'Preview PDF'ボタンは、ms-appinstaller URLである。これは、*.web.core.windows.netのURLを使用しているMicrosoft Azureにホストされているappinstallerファイルを開こうとする。
　例えば、Adobeのリンクは、この例の URL: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller でappinstallerパッケージを開くだろう。
　appinstallerファイルは、単純なXMLファイルであり、署名した発行者に関する情報とインストールされるバンドルされているアプリケーションへのURLを含んでいる。

Emotetのappinstaller XMLファイル（画像をクリックすると拡大表示されます）

　.appinstallerファイルを開こうとすると、WindowsブラウザはWindows App Installerプログラムを開いて進行することを希望するか否かを確認してくる。
　同意すると、App Installerウィンドウは'Adobe PDF Component'をインストールすることを促してくる。

インチキのAdobe PDFコンポーネントのインストールを促してくるApp Installer（画像をクリックすると拡大表示されます）

　この悪意あるパッケージは、正当なAdobe PDFアイコン、'Trusted App'としてマークされている有効な証明書、インチキの発行者情報が付いているので正当なAdobeアプリケーションのように見える。このWindowsからのこの種類の確認は、多くのユーザがそのアプリケーションを信頼しインストールするのに十分過ぎるものである。
　ユーザが'Install'ボタンをクリックすると、App Installerがダウンロードされ、Microsoft Azureにホストされている悪意あるappxbundleがインストールされる。このappxbundleは、%Temp%フォルダにDLLをインストールし、以下に示す rundll32.exe で、それを実行する。

Emotet感染のインストール（画像をクリックすると拡大表示されます）

　このプロセスは、ランダムに名前付けされたファイルとしてこのDLLをコピーし、以下に示すように、%LocalAppData%の下のフォルダにコピーされる。

ランダムなファイル名で保存されたEmotet（画像をクリックすると拡大表示されます）

　最後に、autrunは、ユーザがWindowsにログインした時に自動的にこのDLLが起動するようにHKCU\Software\Microsoft\Windows\CurrentVersion\Runを作成する。

Windowsが起動した時にEmotetが起動するためのRegistry autrun（画像をクリックすると拡大表示されます）

　Emotetは、法執行機関がシャットダウンし、ボットネットのインフラを奪うまで、最も激しく拡散したマルウェアであった。10ヶ月後、Emotetは、TrickBotトロイの木馬の助けを得て再構築を開始し復活した。
　1日後、Emotetスパムキャンペーンは、様々な誘惑とマルウェアをインストールする悪意あるドキュメントでユーザのメールボックスを攻撃するeMailで始まった。
　これらのキャンペーンにより、Emotetはその存在感を迅速に構築し、TrickBotとQbotをインストールする大規模なフィッシングキャンペーンを再度実行できるようになった。
　Emotetキャンペーンは通常、身代金要求型マルウェア攻撃につながる。 Windows管理者は、マルウェアが配布される方法を常に把握し、Emotetキャンペーンを見つけるように従業員をトレーニングする必要がある。

---

脆弱性攻撃が公開されている新しいWindowsの0-Dayは管理者になることを可能にしている
BleepingComputer : News>Security（2021/11/22）
　セキュリティ研究者は、Windows 10, Windows 11, Windows Serverにおいてローカル特権を管理者特権に昇格させる新しいWindowsの0-Dayを公開した。
　BleepingComputerは、この脆弱性攻撃をテストし、ローレベルの「標準」特権しか持たないアカウントからシステム特権付きのコマンドプロンプトを開くために使用した。
　この脆弱性を使用すると、セキュリティ侵害したデバイスに対して限定的なアクセスしか持たない脅威のアクターが、彼らの特権を簡単に昇格させることができ、ネットワーク中で水平方向に拡散する助けとなる。
　この脆弱性は、サポートされているWindowsの全てのバージョン（Windows 10, Windows 11, Windows Server 2022）に影響を与える。

研究者はパッチされた脆弱性に対するバイパスをリリース

　2021年11月の定例パッチの一部として、Microsoftは、CVE-2021-41379として追跡される'Windows Installer Elevation of Privilege Vulnerability'（Windows インストーラーの特権の昇格の脆弱性）に関する脆弱性を修正した。
　この脆弱性は、セキュリティ研究者Abdelhamid Naceriによって発見された。彼は、Microsoftの修正を検証した後、このパッチはバイパスでき、より強力な新しい0-Dayの特権昇格の脆弱性を発見した。
　昨日、Naceriは、GitHub上にこの新しい0-Dayに関するproof-of-concept（概念の実証）を公開し、これがサポートされているWindowsの全てのバージョンで動作することを説明している。
　「この別形は、CVE-2021-41379パッチを解析している間に発見された。このバグは正しく修正されておらず、代わりにバイパスを投下している」と「私は、これがオリジナルの脆弱性よりももっと強力であるために、この別形を実際に投下することを選択した」と、彼の記事でNaceriは説明している。
　更に、Naceriは、「標準」ユーザをMSIインストーラの実行から妨げるためにグループポリシーを設定することは可能だが、彼の0-Dayは、このポリシーをバイパスし、ともかく機能すると説明している。
　BleepingComputerは、彼の'InstallerFileTakeOver'をテストした。結果、「標準」特権のテストアカウントからシステム特権を取得するまで僅か数秒であった。以下のビデオがデモンストレーションである。

　このテストは完全にアップデートされたWindows 10 21H1 build 19043.1348で実行された。
　BleepingComputerがNaceriに、この0-Dayを公開した理由を尋ねた時、彼は、MicrosoftのBug Bounty（脆弱性報奨金制度）の報奨金の減額に不満を持っていたためであると告げられた。
　「Microsoft報奨金は、2020年4月以来廃棄されている、Microsoftが、報奨金をダウングレードするような決定をしなかったなら、私はこのようなことをしなかっただろう」と、Naceriは説明している。
　研究者が報奨金の減額に感じている懸念はNaceri一人ではない。

Under Microsoft's new bug bounty program one of my zerodays has gone from being worth $10,000 to $1,000

— MalwareTech (@MalwareTechBlog) July 27, 2020

BE CAREFUL! Microsoft will reduce your bounty at any time! This is a Hyper-V RCE vulnerability be able to trigger from a Guest Machine, but it is just eligible for a $5000.00 bounty award under the Windows Insider Preview Bounty Program. Unfair! @msftsecresponse
@msftsecurity pic.twitter.com/sJw3cjsliF

— rthhh (@rthhh17) November 9, 2021

Microsoftは、この脆弱性が一般公開されたことを認識しているとBleepingComputerに告げている。

　「我々は、公開されたことに関して認識しており、顧客の安全と保護を維持するために必要なことを実行するだろう。説明されている方法を使用している攻撃者は、既にターゲットにした犠牲者のマシンに関するアクセスとコード実行の能力を既に取得しているに違いない」

　しかしながら、Naceriは、サードパーティのパッチ適用企業がバイナリにパッチを適用して、この脆弱性を修正しようとすることは、インストーラを壊す可能性があるため、推奨できないと警告している。
　「この記事を記述している時点で利用可能な最善の回避策は、この脆弱性が複雑であるために、Microsoftによるセキュリティパッチのリリースを待つことである」とNaceriは説明している。
　「バイナリに直接パッチを適用しようとする如何なる企ても、Windowsインストーラを破損させるだろう。そこで、待つことがより適切であり、Microsoftがパッチをどのように再度適用するのかを確認することである」

---

新しいEmotetスパム キャンペーンは世界中のメールボックスを攻撃している
BleepingComputer : News>Security（2021/11/16）

（画像をクリックすると拡大表示されます）

　Emotetマルウェアは昨日、10ヶ月に及ぶ複数のスパムキャンペーンの活動休止後、世界中のメールボックスに悪意あるドキュメントの配布を開始した。
　Emotetは、悪意ある添付ファイルによるスパムキャンペーンを介して拡散するスパム感染である。ユーザがこの添付ファイルを開くと、悪意あるマクロやJavaScriptが、Emotet DLLをダウンロードし、PowerShellを使用して、それをメモリにロードする。
　一旦ロードされると、このマルウェアは、将来のスパムキャンペーンに使用するためにeMailを探して盗み、一般的に身代金要求型マルウェアを導くTrickBotやQbotのような追加のペイロードを投下する。

再び開始されたEmotetスパム

　昨夜、サイバーセキュリティ研究者Brad Duncanは、EmotetボットネットがEmotetマルウェアでデバイスに感染するために複数のeMailをスパミングするキャンペーンをどのように始めたかに関するSANS Handler Diaryを公開した。
　Duncanによると、このスパムキャンペーンは、受信者を誘惑し添付された悪意あるWord, Excel, パスワードで保護されたZIPファイルを開かせるためにリプレイチェーンeMailを使用している。
　リプレイチェーン フィッシングeMailは、今までに盗まれたeMailスレッドが、成り済ましの返信で使用され、他のユーザにマルウェアを拡散するものある。
　Duncanによって公開されたサンプルで、我々は「失くした財布」、CyberMondayセール（【訳注】 米国で感謝祭の次の月曜日から始まる大規模なオンラインショッピング上でのセール（Wikipediaより））、キャンセルされた会合、政治献金の推進、歯科保険の終了に関連するリプライチェーンが使用されていることを確認できる。
　これらのeMail添付ファイルは、以下に示すように、悪意あるマクロの付属したExcelやWordドキュメント、あるいは、悪意あるWordドキュメントを含むパスワードで保護されたZIPファイルである。

Excel添付ファイルのEmotet eMail（画像をクリックすると拡大表示されます）

Wordドキュメントが添付されたEmotet eMail（【訳注】文末に 失くした財布 の記載）（画像をクリックすると拡大表示されます）

パスワードで保護されたZIP添付ファイルのEmotet eMail（画像をクリックすると拡大表示されます）

　現在、新しいEmotetスパムキャンペーンで拡散されている二つの異なる悪意あるドキュメントがある。
　一つ目は、このドキュメントはデスクトップもしくはラップトップのみで動作し、そのユーザがコンテンツを適切に閲覧するには「コンテンツの有効化」をクリックする必要があると述べているExcelドキュメント テンプレートである。

悪意あるMicrosoft Excel添付ファイル（画像をクリックすると拡大表示されます）

　悪意あるWord添付ファイルは、'Red Dawn'テンプレートを使用しており、このドキュメントは"プロテクト"モードなので、正しく閲覧するには「コンテンツの有効化」と「編集を有効にする」を実行しなければならないと述べている。

Microsoft WordのRed Down添付ファイル（画像をクリックすると拡大表示されます）

Emotet添付ファイルはどのようにしてデバイスに感染するのか

　Emotet添付ファイルを開くと、このドキュメント テンプレートは、プレビューが可能ではなく、コンテンツを適切に閲覧するには「編集を有効にする」と「コンテンツの有効化」をクリックする必要があると言ってくる。
　しかしながら、これらのボタンをクリックすると、悪意あるマクロが有効になり、PowerShellコマンドが起動し、セキュリティ侵害されたWordPressサイトからEmotetローダーDLLがダウンロードされ C:\ProgramData フォルダに保存される。

Emotet DLLをダウンロードし実行するPowerShellコマンド（画像をクリックすると拡大表示されます）

　ダウンロードされると、このDLLは、C:\Windows\SysWo64\rundll32.exe を使用して起動する。これは、%LocalAppData%にあるランダムなフォルダにこのDLLをコピーし、次に、そのフォルダからこのDLLを再起動する。

リネームされたEmotet DLLを含むフォルダ（画像をクリックすると拡大表示されます）

　その後、Emotetは、Windowsが起動した時にこのマルウェアが起動するようにHKCU\Software\Microsoft\Windows\CurrentVersion\Runの下にスタートアップ値を構築する。

起動時にEmotetをロードするためのRegistryのRunエントリ（画像をクリックすると拡大表示されます）

　そのコマンドとコントロール サーバからコマンドが実行されるのを待っている間、Emotetマルウェアは、バックグラウンドで密かに稼働し続けている。
　これらのコマンドは、eMailを検索して盗んだり、他のコンピュータに拡散したり、あるいは、TrickBotやQbotトロイの木馬のような追加のペイロードをインストールしたりするためのものである。

Emotetの攻撃フロー（画像をクリックすると拡大表示されます）

　この時点で、BleepingComputerはEmotetによって投下される如何なる追加のペイロードも確認していない。これはDuncanのテストでも確認されている。
　「私は、私の最近のEmotet感染ホストからのスパムボットの挙動を確認しただけである」と「私は、今週Emotetが再構築されるものと考えている」と、DuncanはBleepingComputerに告げている。
　「おそらく、今後数週間幾つかの追加のマルウェア ペイロードを確認することになるだろう」と、この研究者は追加している。

Emotetに対する防御

　マルウェアとボットネットモニタリング組織であるAbuse.chは、コマンド&コントロールサーバとの相互通信を防ぐために境界ファイアーウォール（perimeter firewall）がブロックできる245のコマンド&コントロールサーバのリストをリリースした。
　C2との相互通信をブロックすることは、セキュリティ侵害されたデバイス上にEmotetが更なるペイロードを投下することを防ぐことでもある。
　国際法執行機関の作戦は、2021年1月にEmotetボットネットを取り潰した。その後10ヶ月間、このマルウェアは活動していなかった。
　しかしながら、日曜日の夜に開始された、アクティブなTrickBot感染が既に感染しているデバイスにEmotetローダーを投下することを開始し、スパム活動のためにボットネットが再構築された。
　Emotetの復活は全てのネットワーク管理者、セキュリティ専門家、Windows管理者が新たな開発を監視しなければならない重要なイベントである。
　過去、Emotetは最も広く拡散しているマルウェアと考えられていた、そして、以前のランキングを取り戻す可能性が高い。

---

悪意あるChrome拡張は悪。それなら、ハイジャックされる可能性のある無害なものはどうだろうか？ それらの拡張にスポットを当てた新しいツールがある
The Register : Security（2021/11/11）
　ドイツのCISPA Helmholtz Center for Information Securityのセキュリティ研究者は、悪意あるWebページや他の拡張によってセキュリティ侵害される脆弱性を持つChrome拡張の同定を支援するソフトウェアを開発した。
　2018年に戻る。Googleは彼らのブラウザ拡張プラットフォームをより安全にするために再設計する計画をアナウンスした。彼らの古いルール（Manifest v2として知られる）の下で、Chrome拡張は、簡単に誤用される可能性のある幅広い機能があった。
　そして、多くの悪漢共はこれらの機能を乱用した。例えば2020年2月、Googleは500を超える悪意ある拡張を削除した。これは、支払い詐欺と戦う新しい拡張のために、GoogleがChrome Web Storeを閉じた一ヶ月後であった。2020年の4月と5月には、更に多くの削除があった。この時は、暗号通貨ウォレット認証を盗むように設計された拡張関連であった。2020年6月と12月にもこのような事案があった。そして、この種のことは何年も続いている。
　Chrome Web Storeを綺麗にする努力に加えて、この3年の間に、GoogleはManifest v3を開発してきた。これはより制限した能力を提供する拡張APIセットの改訂版であり、コンテンツのブロックとプライバシーツールの犠牲の上に、セキュリティの危険性とプライバシーの潜在的危険性を向上させたものである。
　Googleは、2021年1月、再調査するためにManifest v3拡張の受け入れを開始した。それであるにも拘わらず、このより先進的な拡張にも脆弱性がないわけではなく、以前のManifest v2拡張は依然として出回っている。
　CISPA Helmholtz boffins Aurore FassのDoliere Francis Some, Michael Backes, Ben Stock（前二人の名前は、ウムラウトを省略しています）は、この状況に対処するための支援としてDoubleXと呼ばれるツールの開発に応じた。
　彼らは、その取り組みを"DoubleX: Statically Detecting Vulnerable Data Flows in Browser Extensions at Scale"と題した論文（PDF）で説明している。これは、the Proceedings of the 2021 ACM SIGSAC Conference on Computer and Communications Security（来週、韓国で開催されるバーチャルイベント）に掲載された。
　悪意のある拡張は、セキュリティとプライバシーの懸念を示す拡張のほんの一部にすぎないと彼らは発言している。
　一方、無害な拡張機能には、ユーザーがインストールした他の拡張や、ユーザーによって訪問された悪意のあるWebページによって、実行すべきでない悪意あるスクリプトを実行したり、データを抽出したり、ダウンロードをトリガーする等に悪用される危険なコードを含んでいる可能性がある。DoubleXが探しているのは、これら無害ではあるが悪用可能な拡張である。
　DoubleXは、データフローの脆弱性にフラグを立てるように設計されたオープンソースの静的アナライザである。言い換えれば、悪意ある拡張を発見するためだけのものでなく、善意や無害のアドオンに存在する悪用可能なデータパスを探すものである。
　これらの欠陥はどのように悪用されるのか？　この研究者達の説明によると、eval関数が含まれていることは、攻撃者が脆弱性のある拡張のパーミッションを潜在的に乗っ取ることができることを意味している。また、JavaScriptを挿入するtabs.executeScriptを含む拡張は、そのページ自体に脆弱性を与えることなく全てのWebページに任意のコードを実行する可能性を提供する。

・　Googleが以前の拡張の終了日を設定すると、Ad-Blockerの拡大が起こるのではないかということが懸念される。
・　広告ブロックブラウザ拡張は実際には広告を追加すると、Impervaの研究者達は発言している。
・　マズいことに、Chromeサミットで、開発者は、何故誰もがGoogleを使用する必要があるのか？ と質問している。
・　ChromeがWebの機能を侵害し、Googleが誰かに伝えることを忘れた場合はどうなるのか？ 待って、それは当に実際に発生していることである。

　DoubleXに多数のChromeアプリケーションを食わせた時、実際に幾つかの問題が発見された。もっとも、Chrome Web Storeの栄光の歴史に期待する人は、おそらく一人未満であろうが。
　「我々は、154,484のChrome拡張を解析した。そのうちの278は外部からのデータ制御可能なデータフローを持っている、もしくは、重要なユーザ情報を抽出するものとしてフラグされた」と「このデータフローの89%が攻撃者によって影響を受けることが確認されている。これはDobuleXの正確性を際立たせている」と、この論文は述べている。
　「更に、我々の脅威モデルのもとで悪用可能（例えば、あらゆるWebサイトで任意のコード実行を導く）な184の拡張（209の脆弱性と共に）を検出した。」
　これら184の拡張（172の拡張は攻撃者の影響を受けやすく、12の拡張は特権を必要としない拡張を介して悪用可能）は、240万から290万ユーザに影響を与える。
　2020年10月から2021年5月まで、この科学者達は責任感から、連絡先情報が分かった場合には、彼らが発見したことを開発者に、それ以外の場合はGoogleに公開した。2021年7月、報告された脆弱性のある48の拡張のうち45が依然としてChrome Web Storeに存在していると主張している。
　「それらの中13は、公開されてからアップデートされたが、修正されたのは5つ（ユーザ数30万以上、ユーザ数3000以上、ユーザ数2000以上、ユーザ数35）に過ぎない」と、この論文は述べている。

---

注意： Google Play中のAndroidアプリケーションSmart TV remote'はマルウェアである
BleepingComputer : News>Security（2021/11/11）
　Google Playストアで利用可能になっている二つのAndroidアプリケーションが今週、マルウェアを含んでいることが発見された。
　これらのアプリケーションは'Smart TV remote'と'Halloween Coloring'と呼ばれれいるアプリケーションであり、前者は少なくとも1000ダウンロードされている。

'Smart TV remote'アプリケーションは'Joker'マルウェアを同梱している

　今週、KasperskyのAndroidマルウェア アナリストTatyana Shishkovaは、Jokerマルウェアを織り交ぜている二つのGoogle Playアプリケーションの名前を公開した。
　少なくともこれらのアプリケーションの一つである'Smart TV remote'は、10月29日の公開以来これまでに1000回以上インストールされている。
　Shishkovaによると、これらのアプリケーションはJokerマルウェアでトロイの木馬化されている。

　Tatyana ShishkovaのTwitter

　BleepingComputerによって以前報道されたように、Jokerマルウェアの背後にいる脅威のアクターは、無害のアプリケーションと見せかけるために悪意のあるコードを隠し、公式のアプリケーションストアでこれらを公開している。今年始め、500,000を超えるHuawei AndroidデバイスがJokerに感染していることが発見された。
　このマルウェアは、ユーザの同意や認識なしにユーザをプレミアム モバイルサービスに申し込みすることで知られている。

難読化されたコードはELFを同梱しAPKをダウンロードする

　悪意あるコードをより適切に解析するために、BleepingComputerはAndroidアプリケーションを入手し、これらのAPK（【訳注】Android Application Packageの略称。圧縮ファイルの一種でありその内部にはアプリがデバイスで正しくインストールされ起動するのに必要となるすべてのコンポーネントが保存されている（Malavidaより））を逆コンパイルした。
　また、Shishkovaによっても確認されたこととして、この悪意あるコードはSmart TV remoteアプリケーション中の"resources/assets/kup3x4nowz"ファイルに存在している。Halloween Coloringアプリケーションに関しては、同じファイルが、同じロケーションに存在し"q7y4prmugi"と名付けられている。
　このファイルはBase64コードを含み、以下に示すようにLinux ELF（【訳注】 Linux／UNIX プラットフォームにおいて、実行可能プログラムのために文書化されたファイル形式（Trendmicroより））バイナリを同梱している。

悪意あるアプリケーション内部にELFをパックしたBase64（画像をクリックすると拡大表示されます）

　このELFバイナリは更に、Amazon AWS（【訳注】 アマゾン ウェブ サービス、Amazonのクラウドコンピューティングサービスのこと（Amazonより））インスタンス上にホストされている第二段階のペイロードをダウンロードする。これらのURLは、以下に示す第二段階のペイロードをELF中に含んでいる。

Smart TV remote app: https://50egvllxk3.s3.eu-west-3.amazonaws[.]com/yr41ajkdp5
Halloween Coloring app: https://nwki8auofv.s3.sa-east-1.amazonaws[.]com/vl39sbv02d

AWSサーバからダウンロードされる第二段階のペイロード（画像をクリックすると拡大表示されます）

　BleepingComputerによって確認されたこととして、それら自身を排他的論理和暗号化（XOR-encrypted）したこれらのファイル yr41ajkdp5 と vl39sbv02d は、これまで主要なアンチウィルスエンジンをもってしても検出されていない。
　但し、XORキー'0x40'でこれらのファイルをデコードすると、APKアーカイブが生成される。本質的に擬似良性である 'Smart TV remote'と'Halloween Coloring'アプリケーションは、Androidデバイスに悪意あるコードをダウンロードするアプリケーションの代表である。
　先月、悪意ある"photo editor"アプリケーションがGoogle Playストア上に存在していることが、 ShishkovaとMaxime Ingrao（モバイル決済サイバーセキュリティ企業Evinaのセキュリティ研究者）によって発見された。
　BleepingComputerは、公開に先立ってGoogle Playに対して'Smart TV remote'と'Halloween Coloring'がマルウェアであると報告している。
　Google Play Protectは、Playストアへのアプリケーションの公開で最初に失敗しているにも拘わらず、まことしやかに、Google Play Protectは、最終的にこれらのアプリケーションを捕獲し、影響を受けるユーザに対して自動的な保護を提供する可能性があるらしい。
　「Google Play Protectはアプリケーションをインストールする時、それらをチェックする。また、定期的にあなたのデバイスをスキャンする。潜在的に有害なアプリケーションが発見された場合には、あなたに通知を送信する... あなたがそのアプリケーションをアンインストールするまで、そのアプリケーションは無効にされる、もしくは、自動的に削除される」とGoogleの公式ドキュメントは述べている。
　それまでの間、これらのアプリケーションの何れかをインストールしたユーザは、直ちにこのアプリケーションをアンインストールし、スマートフォンをクリーンアップし、あらゆる不正な申込み、もしくは、それらのアカウントから発生している請求行為を確認する必要がある。

---

日本でAndroidスパイウェアがアンチウィルスソフトとして拡散している
BleepingComputer : News>Security（2021/10/28）
　FakeCopと呼ばれるAndroid用の情報を盗み取るマルウェアの新しい変種が日本のセキュリティ研究者によって明らかにされた。この研究者は、悪意あるAPKの拡散が加速していると警告している。
　先週、日本のセキュリティ研究者Yusuke Osumiによって最初に発見されたこのマルウェアは、KDDIを装うフィッシング キャンペーンで拡散している。
　更に、このマルウェアはVirusTotalの62のアンチウィルスエンジンの内22でしか検出されていない。これは隠されたままにする脅威のアクターによる一致協力の努力を示している。

　このマルウェアを発見したセキュリティ研究者のTwitterへのリンク

人気のあるセキュリティツールの仮面を被っている

　サイバーセキュリティ企業Cybleによる新しいレポートに於いて、研究者達は、このマルウェアを'FakeCop'と名付けていた。このマルウェアが日本において人気のあるアンチウィルス'Anshin Security'（あんしんセキュリティ）を装っている。
　このマルウェアを解析した後、この研究者達は、この新しいスパイウェアの変種は以下の能力を持っていると述べている。

・　SMS（ショートメッセージサービス）、コンタクト、アカウント情報、アプリケーションリストを収集する
・　デバイス データベース中のSMSを改竄もしくは削除する
・　デバイス ハードウェア情報（IME）を収集する
・　ユーザの認識なしにSMSを送信する

　このスパイウェアは、以下に示したように、この機能を実行するために多数の重要なパーミッションを承認するようにユーザに要求する。

FakeCopによって要求されるパーミッション（画像をクリックすると拡大表示されます）

　ユーザがアンチウィルスソフトによってこのような要求に遭遇した時、彼らは、セキュリティソフトは一般的にスキャンし検出された脅威を削除するためにより高い権限を必要とするために、ほぼ間違いなくこのような要求を承認する。

検出の回避を企てている

　このマルウェアの製作者は、静的検出を阻止しながら、彼らのアプリケーションの実際の挙動を隠蔽するために専用パッカーを使用している。
　この悪意あるコードは、暗号化されたビット排他的論理和であり、assetsフォルダ中のファイル内に格納されていて、特定のアプリケーション サブクラスによってコールされた場合にのみ解凍される。
　更に、FakeCopは積極的にデバイスアプリケーションリストをスキャンし、何らかのアンチウィルスを発見したなら、それらをアンインストールするようにユーザに通知する。
　このマルウェアがユーザに削除を促すためにハードコードされているアンチウィルス ソリューションは、Anshin Security、McAfee Security、Docomo Anshin Scanが含まれる。

アンチウィルスツールの存在をチェックするコード（画像をクリックすると拡大表示されます）

　FakeCopが犠牲者に到達する方法に関して、CybleのOSINT（【訳注】オープン・ソース・インテリジェンス(open source intelligence)の略称。諜報活動の一種で、一般に公開され利用可能な情報を情報源に、機密情報等を収集する手法を指す（ニュートン・コンサルティングより））リサーチは、拡散の二つのチャンネルを明らかにした。一つは悪意あるリンクの付いたSMSであり、もう一つは、フィッシング メールに依存するものである。
　拡散メカニズムとして使用される'duckdns.org'フリー ダイナミックDNSは、MedusaやFlubotを拡散させるために今まで使用されていたので、現在のキャンペーンは同じオペレータの可能性がある。
　一般的なルールとして、求めていないSMSやeMailを介して届くURLリンクをクリックしないようにしなさい。また、Google Playストアの外部からAPK（Android application packageの略）ファイルをインストールすることは控えなさい。
さらに、あなたのデバイス上でGoogle Playプロテクトがアクティブになっていることを定期的にチェックし確認し、新しいアプリをインストールするときには、常にパーミッション リクエストを精査しなさい。

---

大規模なマルウェアキャンペーンがYouTubeを使用してパスワードを盗むマルウェアを押し付けようとしている
BleepingComputer : News>Security（2021/10/21）
　広範なマルウェアキャンペーンがYouTubeビデオに作成され、疑うことを知らない閲覧者にパスワードを盗むトロイの木馬を配布している。
　パスワードを盗むトロイの木馬は、パスワード、アクティブウィンドウのスクリーンショット、クッキー、ブラウザに格納されているクレジットカード、FTP認証、脅威のアクターによって決定された任意のファイルを盗むために、コンピュータ上で静かに実行されるマルウェアである。
　インストールされると、このマルウェアはコマンド&コントロールサーバと双方向に通信する。コマンド&コントロールサーバとは、攻撃者によって、追加のマルウェアの実行を伴うコマンドが実行されることを待っている場所である。

悪意あるYouTubeビデオの狂乱

　脅威のアクターは、ビデオ デスクリプションに埋め込んだリンクを介してマルウェアを拡散するための方法として長きに渡りYouTubeビデオを使用している。
　しかしながら今週、Cluster25のセキュリティ研究者Frostは、YouTubeでパスワードを盗むトロイの木馬を押し付ける悪意あるキャンペーンが顕著な上昇を示しているとBleepingComputerに告げた。
　Frostは、これはおそらく、二つのマルウェアのクラスター（RedLineマルウェアと、もう一つはRacoon Stealerを押し付ける）が一斉に実行されたことによるとBleepingComputerに告げた。
　この研究者は、数千のビデオとチャンネルが、この大規模なマルウェアキャンペーンの一部（20分間に100の新しいビデオと81のチャンネルが作成されている）として実行されていると話している。
　Frostは、脅威のアクターは、エンドレスでずっと成長し続けるサイクルを作成するために、彼らが盗んだGoogleアカウントを使用して、マルウェアを拡散するために新しいYouTubeチャンネルを稼働していると説明している。
　「脅威のアクターは毎日新しいクライアントに感染しているので、数千の新しい利用可能なチャンネルを所有している。彼らは攻撃の一部として犠牲者のGoogle認証を盗む。そしてこれは次に、マルウェアを拡散するための新しいYouTubeビデオを作成するために使用される」と、FrostはBleepingComputerに説明している。
　この攻撃は、脅威のアクターが、ソフトウェアクラック、ライセンス、ハウツーガイド、暗号通貨、マイニング、ゲームチート（【訳注】ゲーム著作権の侵害行為）、VPNソフトウェア、他の多くの人気あるカテゴリに関するビデオで満たされた多数のYouTubeチャンネルを作成することで始まる。

悪意あるYouTubeチャンネルの例（画像をクリックすると拡大表示されます）

　これらのビデオは特定のプログラムやユーティリティを使用してタスクを実行する方法の説明を含んでいる。更に、これらのYouTubeビデオのデスクリプションは、マルウェアを拡散するために使用される関連ツールへのリンクと主張されるものを含んでいる。

RedLineスティーラを押し付けてくる悪意あるYouTubeビデオ（画像をクリックすると拡大表示されます）

　ビデオにbit.ly（上図参照）リンクが含まれている場合には、パスワードを盗むRedLineマルウェア感染をホストしている別のファイル共有サイトに誘導する。しかしながら、それが短縮されていないドメインを含んでいる場合には、以下に示すように、Racoon Stealerを押し付けてくるtaplink[.]ccのページにリダイレクトされるだろう。

Racoon Stealer用のランディング ページ（画像をクリックすると拡大表示されます）

　一旦、ユーザが感染させられると、このマルウェアはインストールされている全てのブラウザと暗号通貨のウォレット、クレジットカード、パスワード、他のデータをスキャンすることを続行し、攻撃者にこのようなデータを返送する。
　Googleは、このキャンペーンを認識しており、この行為を粉砕するためのアクションをとっているとBleepingComputerに告げている。

　Googleは、このキャンペーンを認識しており、現在この脅威のアクターによる行為をブロックするアクションをとっており、Safe Browsing（【訳注】安全ではないウェブサイトを特定し、ユーザーやウェブサイトの所有者にその有害性を知らせる機能（Googleより））のために全てのリンクにフラグを立てている最中である。いつもどおり、我々は検出方法を改善し、このような脅威のリンクを自動的に同定し停止する新しいツールや機能に投資している。また、ユーザーが、このようなタイプの脅威を認識し、自分自身をさらに保護するために適切なアクションを実行することもまた重要である。-Google

　Googleはまた今週、YouTubeクリエイターの盗難アカウントを使用したパスワードを盗むトロイの木馬を拡散させるフィッシングキャンペーンを公開している。これらのアカウントは次に、ダークWebマーケットで販売されたり、暗号通貨スカムを実行するために使用されている。

ソフトウェアのダウンロードは危険である

　これらのキャンペーンは、YouTubeのようなサイトがビデオ発行者によって追加された全てのリンクを精査できるわけではないので、インターネットから手当たりしだいにプログラムをダウンロードしないことがいかに重要であるかを示している。
　それ故、ユーザは、そのサイトから何かをダウンロードしインストールする前にそのサイトを検証し、評判が良く信頼できるか否かを決定する必要がある。それでも、そのプログラムを実行しても安全か否かを確認するために、最初にVirusTotalのようなサイトに、そのプログラムをアップロードすることが常に提案されている。
　偶、この攻撃の餌食になり、類似のリンクからプログラムをインストールさせられた場合には、アンチウィルス プログラムでコンピュータをスキャンすることが強く推奨される。
　ウィルススキャンで検出されたあらゆるマルウェアを削除した後、直ちにブラウザに保存してある全てのパスワードを変更する必要がある。

---

研究者は身代金要求型マルウェアのコード中の欠陥を発見したと発言した後、BlackByteの復号プログラム（無料）をリリースした
Graham Cluley : News（2021/10/19）
　見出しは毎日身代金要求型マルウェアに関する悪いニュースがほとんどだが、偶には良いニュースがある。
　Trustwaveのセキュリティ エキスパートはBlackByte身代金要求型マルウェアの犠牲者が、彼らのファイルを復号し復元するために使用することのできる無料の復号ツールをリリースした。そう、身代金を支払う必要はない。
　彼らのSpiderLabsブログへの一連の投稿に於いて、TrustwaveのRodel MendrezとLloyd Macrohonは、BlackByte身代金要求型マルウェアの暗号化アルゴリズム中に存在する「奇妙」な設計決定を明らかにしたと説明している。

　各セッションに一意のキーをもたせる他の身代金要求型マルウェアと異なり、BlackByteはファイルを暗号化するために同じRaw Keyを使用しており、対照鍵アルゴリズム（AES）を使用している。ファイルを復号するには、ただ、そのホストからRaw Keyをダウンロードする必要があるだけである。ダウンロードした .PNGファイルが同じである限り、我々は、この同じキーを使用して暗号化されたファイルを復号することができる。

　身代金要求型マルウェアのギャングが企業犠牲者のデータを暗号化する前に、そのデータを盗み、身代金が支払われない場合には他のオンライン犯罪者に販売すると主張することは珍しいことではない。
　BlackByteもこの点では違いはない、そして犠牲者はダークWeb上のサイトにリダイレクトされる。そこは、彼らのデータがオンラインオークションに掛けられるために準備されているように思われる。

（画像をクリックすると拡大表示されます）

　しかし、このセキュリティ研究者によると、この身代金要求型マルウェアは、データを盗み出すための如何なる機能も含んでいない。そして、この主張は、犠牲者を脅して支払わせるためだけの可能性がある。
　Trustwaveの無料復号ツールは、この身代金要求型マルウェアの設計上の弱点を利用したと主張し、GitHubからダウンロードすることができる。
　予想通り、BlackByte身代金要求型マルウェアのギャングは、Trustwaveの復号化ツールのリリースに対応し、被害者に使用しないよう警告するメッセージをWebサイトに公開した。

（画像をクリックすると拡大表示されます）

　我々の身代金要求型マルウェアの復号を幾つかの場所で発見した。我々は、あなた方がそれを使用することを推奨しない。それは、我々は一つのキーだけを使用しているわけではないからである。あなた方のシステムで間違ったキーを使用した場合には、全てのものが破壊されるだろう。そして、あなた方はシステムを二度と復元することは出来ない。あなた方に警告する。この復号プログラムを使用することを決定したなら、あなた方自身がリスクを背負わなければならない。

　ありがとうSpiderLabs”（別名ClownLabs）、あなた方の所為で、多くのシステムが破壊され、あらゆる復元のチャンスを失うだろう。

　あなたのコンピュータに感染し、次に、あなたのデータの健全性を大いに気遣いながら金銭を強要するこの犯罪者はなんて優しいのだろう。言うまでもなく、如何なる復号ツールも、それを実行する前に重要なデータをバックアップする必要がある。

---

新しいWindows 10 KB5006670アップデートはネットワーク印刷をできなくする
BleepingComputer : News>Security（2021/10/15）
　今週リリースされたKB5006670累積アップデートとたのアップデートをインストールした後、Windows 10ユーザとアドミニストレータは、世界規模でネットワーク印刷問題を報告している。
　火曜日、Microsoftは、2021年10月の定例アップデートの一部としてバグとセキュリティ上の脆弱性を修正するWindowsアップデートをリリースした。
　これらのアップデートは、Windows 11用の KB5006674、Windows 10 2004, 20H1, 21H1用の KB5006670、Windows 10 1909用の KB5006667、Windows 8用の KB5006714 を含んでいる。
　KB5006670アップデートをインストールした後、ユーザはネットワーク印刷サービスで印刷することができないと報告している。また、一部のユーザは印刷しようとした時に 0x00000709 もしくは 'Element not found' エラーを受け取っている。
　BleepingComputerのフォーラムトピックの8ページに於いて、Windowsアドミニストレータ達は印刷バグでのフラストレーションを詳しく話し、この問題を解決するには今週のアップデートをアンインストールすることという同じ結論に至っている。
　7月以来、MicrosoftはWindows Print SpoolerのPrintNightmare脆弱性を修正するセキュリティアップデートを定期的にリリースしてきた。
　身代金要求型マルウェアのギャングを含む脅威のアクターは、これらの脆弱性を積極的に悪用しているので、Microsoftは、Point and Print印刷機能を徹底的に変更した。残念ながら、これらの変更は幾つかの脆弱性を修正したが、ネットワーク印刷サーバに対する印刷問題を導いた。
　今週、Microsoftは、CVE-2021-41332 と CVE-2021-36970 として追跡されるWindows印刷脆弱性に関する更なるセキュリティアップデートをリリースした。
　報告されている問題の殆どは、Windows 10の KB5006670 アップデートに関連しているが、おそらくこれは、Windows 10が、現時点で最も広汎に使用されているWindowsのバージョンだからと思われる。
　同じセキュリティ フィックスが、Windows 10 1909 と Windows 11用にリリースされている。そして、これらのWindowsバージョンでも類似の問題が多分発生するだろう。

KB5006670ネットワーク印刷問題を修正する方法

　9月の累積アップデートが印刷問題を発生させた時、非アドミニストレータがプリンタドライバをインストールすることを可能にするか、'RpcAuthnLevelPrivacyEnabled'レジストリ値を無効にすることによって問題を修正することは可能だった。
　しかしながら、このレジストリキーは10月のアップデートによって発生した問題には最早動作しない。そこで、ユーザは、他の方法を使用してこの問題を修正することが要求されている。
　このBleepingComputerフォーラムトピックは、Windows 10 KB5006670アップデートによって発生したネットワーク印刷問題を解決するための方法に関するWindowsアドミニストレータからの沢山の提案を含んでいる。残念ながら、これらの提案は、このセキュリティアップデートを削除するか、常に上手く行くとは限らないものなので、これらの提案は、この問題を解決する理想的なものではない。
　これらの印刷問題を引き起こしフラストレーションを起こさせているものは、Microsoftの明瞭なガイダンスの欠乏と、Windows印刷機能に対して毎月発生させている沢山の変更にある。
　これらの変更は全てWindows Print Spoolerの様々な脆弱性の側面を解決すると同時に、Windowsアドミニストレータが、印刷問題を修正するか否かを判断する必要のある個々の修正を台無しにしている。
　BleepingComputerは、これら全ての問題を解決するための公式ガイダンスをMicrosoftに問い合わせたが、現時点で回答はない。

方法 1：　KB5006670アップデートをアンインストールする 　殆どの一般的な提案は、単純にKB5006670アップデートをアンインストールすることである。そしてこれは、管理者特権でのコマンドプロンプトで以下のコマンドを使用することで実行できる。

wusa /uninstall /kb:5006670

　しかしながら、このアップデートをアンインストールすることは、74の脆弱性（積極的に悪用されているものを含む）用のセキュリティフィックスを削除するので、これは危険な方法である。

方法 2：　C:\Windows\System32\Win32spl.dllを置き換える 　別の方法は、ネットワーク印刷問題を修正する2021年9月のアップデート バージョンにあるWin32spl.dll ファイルを置き換えることが発見されている。

「KB5006670は、印刷を停止するC:\Windows\System32\Win32spl.dllのバージョン10.0.19041.1288に置き換える。
　このDLLを9月の累積アップデートでインストールされたバージョン10.0.19041.1237に置き換える。
　この添付されたバッチスクリプトは、これを実行した各コンピュータにサーバ ロケーションから適切なDLLファイルをコピーし、印刷問題を発生するDLLをリネームする。私は簡単に起動スクリプトとして実行した」

　このDLLは、おそらくセキュリティアップデートの一部を変更するので、これもまた将来可能な脆弱性の悪用に対する防御の減退が、あなたのコンピュータに発生するだろう。

方法 3：　プリントサーバにプリンタキューを再作成する 　一部のユーザは、プリントサーバに彼らのプリンタを削除し、再インストールすることで問題が解決されたと報告している。
　アドミニストレータとして、プリンタを削除し再インストールすると、このキューは再構築される。もしかすると、再び印刷が動作する可能性がある。
　しかしながら、ワークステーションは、新しいプリンタキューを使用するために再設定を必要とする可能性がある。これは、一部の組織にとっては多くの時間を消費する業務になる可能性がある。

方法 4：　CopyFiles機能を再び有効にする 　最後に、ヒューレットパッカードの一部のプリンタドライバはCopyFiles機能を要求する。これは、Microsoftが9月にDefaultで無効にしている。
　この機能を依然として必要としているユーザのために、この機能を再び有効にすることができるようにMicrosoftは非表示のGroup Policyを導入している。
　Copy Files機能を有効にするにはHKLM\Software\Policies\Microsoft\Windows NT\Printersの下に、CopyFilesPolicyと名付けたキーを作成し、Windowsレジストリの値を作成する。この値を"1"に設定すると、Copy Filesは再び有効になる。

---

Google Play上に存在しているAndroidアプリケーションPhoto editorはマルウェアである
BleepingComputer : News>Security（2021/10/12）
　注意：　このアプリケーションは、BleepingComputerがPlayストアを介してGoogleに通知した後、直ちに削除された。

　Google Playストアで客引きしているAndoroidアプリケーションは、それ自体は画像編集ソフト（以下、Photo Editor）である。しかし、このアプリケーションはFacebook認証情報とユーザの支払い情報を盗み、ユーザの代わりに広告キャンペーンを実行する可能性のあるコードと含んでいる。
　このアプリケーションは"Blender Photo Editor-Easy Photo Background Editor"と名付けられており、これまでに5,000回以上インストールされている。
　先週、500,000回以上インストールされている類似の悪意あるアプリケーションもまた、Play Storeで発見されている。

Facebookでのログインは、ログインだけではない

　多くのAndroidアプリケーションの様に、"Blender Photo Editor-Easy Photo Background Editor"アプリケーションもFacebook機能付きのサインインを備えている。ただし、Fecebook認証情報を利用して何らかの悪事を働く。
　KasperskyのAndoroidマルウェアのアナリストTatyana Shishkovaは、今週（記述している時点で）Google Playストア上で利用可能なままになっている「トロイの木馬」アプリケーションを発見した。

AndroidアプリケーションでGoogle Play上に居座るPhoto Editor（画像をクリックすると拡大表示されます）

　このアプリケーションには、Evina（モバイル決済サイバーセキュリティ企業）のセキュリティ研究者であるMaxime Ingraoが、先週類似の"photo editor"アプリで発見したものと同じ悪意のあるコードが含まれていた。
　これらのAndroidアプリケーションは、AndroidユーザにFacebookアカウントを介してサインインし、これらのアプリケーションにアクセスするように要求している。しかし次に、暗黙のうちに、このアプリケーション中に隠されている暗号化されたJavaScriptコマンドを介して認証情報が収集される。
　次に、このアプリケーションは、ユーザのFacebookアカウントを覗き見し、あらゆる広告キャンペーンを探すためにFacebook Graph APIへのリクエストを実行し、そして格納されている支払い情報を盗む。
　Ingraoによると、このマルウェアは「あなたが行った可能性のある広告キャンペーンと、登録済みのクレジットカードを持っているか否かに非常な関心を示している」。 これは、これらのアプリケーションの背後にいる攻撃者が、ユーザーのFacebook認証情報、および関連する支払い情報を介して独自の広告キャンペーンの作成が可能である。

同様のアプリケーションは500，000回以上インストールされている

Ingraoは以前、 "Magic Photo Lab - Photo Editor"と"Pix Photo Motion Edit 2021"と呼ばれる類似の悪意あるアプリケーションを発見しており、後者は500,000インストールされている。
　この二つのアプリケーションは、既にGoogle Playストアから削除されている。

Google Playストアで50万回以上ダウンロードされた悪意あるAndroidアプリケーション（画像をクリックすると拡大表示されます）

　この研究者は、これらのアプリケーションが不正であることを発見した方法に関してBleepingComputerと見識の一部を共有した。
　Ingrao（フランスのセキュリティ研究者）は、eMailインタビューに於いてBleepingComputerに対して「私は最初に、動的解析を実行することによって疑わしいコードに気がついた」と、続けて「私はWebViewが認証情報を取得するためにJavaScriptを実行することに気がついた。次に、コードをダウンロードしコード内部のテキストを復号する関数をコーディングし直した。これが実行されたJavaScriptとFacebook Graph APIコールを発見した方法である」と述べている。
　BleepingComputerはまた、依然としてGoogle Playに存在している"Blender Photo Editor-Easy Photo Background Editor"用のAPK（Android Programing Package）を解析した。そして、このアプリケーション中に同じ悪意あるコードを確認した。
　我々が解析している間に、我々はコンパイルされたAPK（Java仮想マシンの命令セット）からAndroidアプリケーションのJavaソースコードをザッと再構築することを企てた。
　この疑わしいクラス"sources/com/easyblender/blendphoto/Blends/ext/AnaActivity.java"は、Ingraoによって言及されたWebViewを含んでいる。更に、我々は、m.facebook.comやm.fb.comドメインを参照する "m.face" や "m.f" のような部分文字列に気がついた
　様々な場所に於いて難読化されたコードは、このアプリケーションが実行されている最中にのみ復号されるJavaScriptコードと共に暗号化された文字列を含んでいる。Facebook APIに対して本物であることを証明するためにユーザのFacebookの"access_token"を入手し、"c_user"のようなFacebookセッションクッキーにアクセスするようにコード中で指示している。そして、これらの全ては、通常の"Sign-in with Facebook"ワークフローの一部として表示される可能性がある。

このアプリケーション内部で発見された難読化の様々なインスタンスと暗号化されたコード（画像をクリックすると拡大表示されます）

　しかし、実行時に、Ingraoによって発見された以下のJavaScriptコードは、追加のスパイを実行する。このアプリケーションによって起動されたWebViewは、このJavaScriptコードを実行し、ユーザーが入力したFacebookの認証情報を取得する。
　そしてこれは、FacebookのGraph APIに対する前述のリクエストが実行されたときであり、ユーザーのアカウント中に存在するFacebook広告キャンペーンと関連する支払い情報を覗き込む。

実行時に復号される悪意あるJSコード（画像をクリックすると拡大表示されます）

　Androidユーザーは、最近GooglePlayストアで見られるこのような"Photo Editor"アプリケーションに注意する必要がある。このようなアプリを既にインストールしている人達は、即座にこのアプリケーションをアンインストールし、スマートフォンをクリーンアップし、Facebookの認証情報をリセットする必要がある。

---

Brother製USB接続プリンタ、Windows11で稼働しない可能性（2021/10/14）
　タイトルの通り、Brother製USB接続プリンタが、Windows11で稼働しない可能性が発表されています。以下のサイトを確認してください。
　Brotherホームページ（和文）：　https://support.brother.co.jp/j/b/oscontents.aspx?ossid=14
　Brotherホームページ（英文）：　https://help.brother-usa.com/app/answers/detail/a_id/175628

---

Windows 0x0000011b ネットワーク プリント エラーの修正方法
BleepingComputer : News>Security（2021/09/20）
　1月にリリースされ、今月完全に施行されたWindowsセキュリティアップデートは、Windowsユーザがネットワーク プリンタで印刷している時に 0x0000011b エラーを発生させている。
　2021年01月に、MicrosoftはCVE-2021-1678として追跡される'Windows Print Spooler Spoofing Vulnerability'を修正するためのセキュリティ アップデートをリリースした。
　「セキュリティがバイパスされる脆弱性は、Printer Remote Procedure Call (RPC)バインドがリモート Winspoolインターフェイスの認証を処理する方法中に存在している」と、この脆弱性に関するサポート ブレティンは説明している。
　セキュリティ アップデートがリリースされた時、このアップデートは、デバイスをこの脆弱性から自動的に保護しなかった。しかしながら、管理者が、ネットワーク プリンティングが使用するRPC認証レベルを増大するために新たなレジストリキーを追加することで、この脆弱性を軽減できた。
　言い換えれば、このセキュリティ アップデートは、Windows管理者が、以下のレジストリキーを作成した場合を除き、脆弱性を修正していなかった。

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]"RpcAuthnLevelPrivacyEnabled"=dword:00000001

　しかし、今月9月14日の定例のセキュリティアップデートで、Microsoftは、このレジストリ設定が作成されていない場合も含め、全てのWindowsデバイスにこの設定をDefaultで有効にした。
　この軽減策をDefaultで有効にしたことで、ネットワークプリンタで印刷している時に、Windowsユーザは、　0x0000011b エラーを受け取ることが始まった。
　この印刷エラーは、WindowsドメインのKerberos（【訳注】ネットワークを通じてコンピュータ間で利用者の認証を行う方式の一つ。複数のサーバで共通に認証情報を利用することができ、通信経路を暗号化して認証情報を安全に送受信することができる（IT用語辞典より））セットアップを利用できない中小企業やホームネットワークで主に見られる。
　9月のWindowsセキュリティアップデートをアンインストールするとこの問題は修正されるが、それに伴い、そのデバイスは、脅威のアクターが積極的に脆弱性攻撃している二つの脆弱性（PrintNightmareとMSHTML）を開くことになる。
　より良い方法は、Microsoftが新しいガイダンスを公表するまで、CVE-2021-1678用の軽減策を無効にすることである（この脆弱性は、積極的に攻撃されていないので）。

0x0000011b 印刷エラーの修正方法

　現在のWindowsアップデート（KB5005565）を削除せずに 0x0000011b 印刷エラーを修正するには、今月Defaultで有効にされたCVE-2021-1678軽減策を無効にすることである。
　これを実行するには、Windowsレジストリ エディタを開き、 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print keyに移動する。次に、新しくRpcAuthnLevelPrivacyEnabledという名前でDWORD-32bit値を作成し、0に設定する。レジストリファイルは以下のようになる。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]"RpcAuthnLevelPrivacyEnabled"=dword:00000000

　より簡単にこの変更を追加するには、あなたに代わって追加してくれる fix-0x0000011b.reg レジストリ ファイルを使用することができる。
　あなたのプリント サーバと、それに接続しているあなたのWindowsデバイスの両方にこのファイルをダウンロードし、このファイル上をダブルクリック、そして、このデータを統合することを許可しなさい。

無効化されたRpcAuthnLevelPrivacyEnabled軽減策（画像をクリックすると拡大表示されます）

　この軽減策を無効化すると、もはやこの脆弱性は保護されない。しかし、再び印刷は可能になる。
　これが、あなたの問題を解決しない場合には、enable-RpcAuthnLevel.reg を使用してWindowsのDefaltに戻しなさい。

---

新しいZloader攻撃は検出を回避するためにWindows Defenderを無効にしている
BleepingComputer : News>Security（2021/09/14）
　現在進行中のZloader作戦は、検出を回避するために犠牲者のコンピュータ上のMicrosoft Defender Antivirus（以前のWindows Defender）を無効にする新しい感染チェーンを使用している。
　Microsoftの統計によれば、Microsoft Defender Antivirusは、実行されている10億を超えるシステムにプレインストールされているアンチマルウェア ソフトである。
　攻撃者達は、このマルウェアの拡散方法をスパムやeMailから、ターゲットをインチキのダウンロードサイトにリダイレクトするために、Google Adwordsを介して公開されるTeamViewer Google広告に変更している。
　そこから、ターゲットにされた人たちは、彼らのコンピュータにZloaderマルウェア ペイロードをインストールするように署名され設計された悪意あるMSIインストーラをダウンロードするように欺かれる。
　「この調査で解析されたこの攻撃チェーンは、ステルス性のより高いレベルに到達し、この攻撃の複雑さがどのように成長したかを示している」と、SentinelLabsのセキュリティ研究者Antonio PirozziとAntonio Cocomazziは本日公開されたレポートで述べている。
　「第一段階のドロッパーは、古典的な悪意あるドキュメントからステルスで署名付きのMSIペイロードに変更された。これは、防御を損ないペイロードの実行を代行させるためにバックドア化されたバイナリと一連のLOLBASを使用する。」

Zloader攻撃チェーン（画像をクリックすると拡大表示されます）

この攻撃はオーストラリアとドイツの銀行顧客に焦点を当てている

　Zloader（TerdotやDELoaderとしても知られる）は、本来はバンキング トロイであり、幾つかの英国金融機関の顧客をターゲットにした攻撃に使用された2015年08月に発見された。
　Zeus PandaやFloki Botのように、このマルウェアは10年ほど前にソースコードがオンラインにリークされた Zeus v2 Trojanにほぼ完全に基づいている。
　オーストラリア、ブラジルから北アメリカに至るまで世界中の銀行をターゲットにしているこのマルウェアは、Webインジェクション（【訳注】正規サイトを表示した際に、偽表示を付け加えて情報を詐取する手法（Trend Micro is702より））を介して金融データを収穫しようとし、認証コードと資格情報を手渡すように感染した顧客を説得するためにソーシャルエンジニアリングを使用する。
　最近では、RyukやEgregorのような身代金要求型マルウェアのペイロードを拡散するために使用している。Zloaderはまた、バックドアとリモートアクセス機能と共に出現した。また、感染したデバイス上に更なるペイロードをドロップするためにマルウェエア ローダとして使用することもできる。
　SentinelLabsの調査によると、この最新のキャンペーンは、ドイツとオーストラリアの金融機関の顧客を基本的にターゲットにしている。
　「ZLoaderキャンペーンで、この攻撃チェーンを観察したのはこれが初回である」と、SentinelLabsの研究者は結論付け、「記述している時点で、我々は、拡散チェーンが特定のアフィリエイトによって実装されているのか、あるいは、メインのオペレータによって提供されているのか否かの証拠を持っていない」と述べている。
　2020年の初めから、彼らがMalsmokeと名付けたこの悪意ある広告キャンペーンを追跡しているMalwaerBytesは、脅威のアクターがアダルトをテーマにしている悪意あるサイトを介してFallout脆弱性攻撃キットを使用してSmoke Loaderマルウェア ドロッパーで彼らのターゲットに感染しているのを見つけた。
　セキュリティ研究者nao_secによると、彼らは2021年8月末から、Discord、TeamViewer、Zoom、QuickBooksを模倣したサイトに切り替えており、個人ではなく企業をターゲットにしていると思われる。

---

ボットネットはRealtek SDKを使用している数十万のデバイスをターゲットにしている
BleepingComputer : News>Security（2021/08/23）
　MiraiをベースとするボットネットはRealtekベースの数十万のデバイスに使用されているソフトウェアSDK中の緊急の脆弱性を、今ターゲットにしている。これはAsus, Belkin, D-Link, Netgear, Tenda, ZTE, Zyxelを含む少なくとも65のベンダからの200モデルを含んでいる。
　IoT Inspectorセキュリティ研究者が発見したこのセキュリティフローは、現在CVE-2021-35395として追跡され、緊急度10段階のうち9.8が割り当てられている。
　レジデンシャル ゲートウェイ、トラベルルータから、Wi-Fiリピータ、IPカメラ、スマート照明ゲートウェイ、ネットに接続可能なおもちゃに至るまでインターネットに晒されている多くのワイアレスデバイスに影響を与える。

攻撃は一般公開後、僅か2日で始まった

　このバグは管理Webインターフェースに影響を与えるので、リモート攻撃者は、スキャンし、ハッキングを試み、パッチが適用されていないデバイスに対して任意のコードをリモードで実行し、影響を受けるデバイスを乗っ取ることが可能になる。
　Realtekは、この脆弱性のあるSDKのパッチしたバージョンを08月13日にリリースしたが、IoT Inspectorセキュリティ研究者が、彼らのアドバイザリを公開する前の3日間に脆弱なデバイスの所有者が、このパッチを適用するにはあまりにも時間がなかった。
　「08月18日現在、我々は、オンライン上でCVE-2021-35395を脆弱性攻撃する目論見を同定している」と先週レポートを公開したSAMは述べている。
　このボットネットによってターゲットにされているバグだらけのRealtek SDKを使用している大多数の汎用デバイスは、Netis E1 +エクステンダー、EdimaxN150とN300Wi-Fiルーター、および、主にWi-Fi受信を強化するために使用されるRepotecRP-WR5444ルーターであると、SAMは述べている。

ボットネットはアップデートされており新しいデバイスをターゲットにしている

　このMiraiベースのボットネットの背後にいる脅威のアクターは、2週間前以前に、緊急の認証バイパス脆弱性（CVE-2021-20090）を攻撃するために彼らのスキャナをアップデートし、Arcadyanファームウェアを使用している数百万のホームルータに影響を与えられるようにしている。
　現時点でJuniper Threat Labsの研究者が明らかにしているように、この脅威のアクターは、少なくとも2月以来ネットワークとIoTデバイスをターゲットにしている。
　「このイベントのチェーンは、ハッカーがコマンド挿入脆弱性を積極的に探し、広汎に使用されているマルウェアを素早く拡散しようとしていることを示している」とSAM Seamless NetworkのOmri Mallis（chief product architect）は発言している。
　「これらの種類の脆弱性は、悪用することが容易であり、デバイスにパッチが適用され、セキュリティベンダが対応できるかなり前に、攻撃者が採用している既存のハッキングフレームワーク中に簡単に統合することができる。」
　影響を受けるデバイスの完全なリストは、ここに記載するにはあまりにも膨大なので、IoT Inspectorレポートの末尾を参照されたい。

---

カード市場を宣伝するために盗まれた100万のクレジットカードがリークされた
BleepingComputer : News>Security（2021/08/09）
　脅威のアクターは、2018年から2019年に盗んだ100万のクレジットカードをハッキングフォーラムにリリースすることによって、新しい犯罪Carding（不正取引）市場を宣伝している。
　Cardingとは、盗んだクレジットカードを不正取引し使用することである。これらのクレジットカードは、point-of-sale malware, magecart attacks on websites, 情報窃取トロイの木馬を介して盗んだものである。
　これらの盗まれたクレジットカードは、次に犯罪不正取引市場で販売される。この市場は、脅威のアクターがオンライン購入を、より一般的には、追跡困難なプリペイド ギフトカードを購入するためにそれらを購入する場所である。
　All World Cardsと名付けられた新しいカード犯罪不正取引市場は、多数のハッキングフォーラムに投稿され、そこで、彼らは100万のクレジットカードを無料でリークした。
　フォーラムの投稿によると、これらのクレジットカードは、2018年から2019年に盗まれたものである。

All World Cardsを宣伝するハッキングフォーラムへの投稿（画像をクリックすると拡大表示されます）

　ランダムに選んだ98のカード（盗んだカードのおよそ27%）は、依然として使用可能であると、この脅威のアクターは述べている。
　しかしながら、イタリアのセキュリティ企業D3Labsは、50%が依然として使用可能であり、当初示されていた値より遥かに大きいとレポートしている。
　「現時点で、我々解析チームへのフィードバックは依然として限定的であるが、カードのおよそ50%が未だ使用可能であり、未だセキュリティ侵害されたと特定されていない」と、D3Labは、このリークに関してブログに投稿している。
　サイバーセキュリティ企業Cybleはクレジットカードのダンプを解析し、このリークは、クレジットカード番号、有効期限、セキュリティコード、名前、国名、州、市、住所、各クレジットカードの郵便番号、eMailと電話番号を含んでいるとBleepingComputerに告げている。
　Cybleは今までに、40万のカードを解析しただけであるが、関連する銀行のトップ5は以下である。

・　STATE BANK OF INDIA (44,654 cards、インドステイト銀行、インド)
・　JPMORGAN CHASE BANK N.A. (27,440 cards、JPモルガン・チェース銀行、米国)
・　BBVA BANCOMER S.A. (21,624 cards、BBVAバンコメル、メキシコ )
・　THE TORONTO-DOMINION BANK (14,647 cards、トロント・ドミニオン銀行、カナダ)
・　POSTE ITALIANE S.P.A. (BANCO POSTA) (14,066 cards、ポステ・イタリアーネ、イタリア)

　あなたのカードが、この漏洩の一部であるか否かをチェックするするために、Cybleは彼らのAmIBreachedサービスにそのデータをインポートしている。
　あなたの情報が、この漏洩中に見つかった場合には、クレジットカード会社に連絡を取り新しいクレジットカードと番号を再発行してもらうように強くアドバイスする。
　また、クレジットカードの明細書を徹底的に確認して過去の不正請求と今後の請求を確認する必要がある。

All World Cards市場

　All World Cardsのサイトは、カード不正取引市場では比較的に新参者である。そして、この宣伝は、このダンプをダウンロードした脅威のアクターの賞賛を受けている。
　この不正取引サイトは2021年05月に始まり、クレジットカードの在庫数は2,634,615である。カード最大の国は米国であり、1,167,616カードが販売されている。

All World Cards市場（画像をクリックすると拡大表示されます）

　カードの販売価格は、$0.30から$14.40（33.20円から1594円）であり、その70％は＄3.00から＄5.00（332.02円から553.37円）である。
　All World Cardsは、サイバー犯罪企業やThreat Intelligence（【訳注】スレットインテリジェンスとは、「脅威情報」とも呼ばれるもので、サイバーセキュリティ関連の多くの情報を収集、蓄積し、それらを分析することで、脅威に対抗するための方法に生かしていくもの（Cyber Security.comより））企業が注目する新しい市場である。
　彼らは大物になることを目指しており、この100万の無料ダンプにより、他の多くの脅威アクターを彼らの市場に引き付ける可能性がある。

---

コンピュータハードウェア大手GIGABYTEがRansomEXX身代金要求型マルウェアに攻撃された
BleepingComputer : News>Security（2021/08/06）
　台湾のマザーボードメーカGigabyteが、RansomEXX身代金要求型マルウェアのギャングによって攻撃された。このギャング共は身代金が支払われない場合には、盗んだ112GBのデータを公開すると脅している。
　Gigabyteはマザーボードで著名であるが、グラフィックスカード、データセンターサーバ、ラップトップ、モニターのような他のコンピュータ コンポーネントやハードウェアも生産している。
　この攻撃は先週の火曜日の夜から水曜日にかけて発生し、この企業に台湾にあるシステムをシャットダウンさせた。この事件はまた、この企業のサポートサイトや台湾のWebサイトの一部を含む複数のWebサイトに影響与えた。

身代金要求型マルウェア攻撃によるGigabyteサポートのダウン（画像をクリックすると拡大表示されます）

　顧客はまた、サポートドキュメントへのアクセスやRMA（【訳注】Return Merchandise Authorization、返品保証）に関するアップデート情報の入手に関する問題も報告している。
　中国語のニュースサイトUnited Daily News（【訳注】聯合報、台湾の新聞）によると、Gigabyteは、サイバー攻撃で影響を受け幾つかのサーバが影響を受けたことを認めている。
　彼らのネットワークの異常な挙動を検出した後、GigabyteはITシステムをシャットダウンし、法執行機関に通知した。

　当該サイバー攻撃または、他の報告されていないサイバー攻撃に関する直接情報がある場合は、Signal +16469613731、または、Wire @lawrenceabrams-bc で内密に連絡することができる。

GigabyteはRansomEXX身代金要求型マルウェア攻撃で損害を被っている

　Gigabyteは、どの身代金要求型マルウェア作戦が攻撃を実行したのかは、公式には発表していないが、BleepingComputerはRansomEXXギャングによるものと認識している。
　RansomEXXオペレータはネットワークを暗号化する時、暗号化された各デバイス上に脅迫文を作成する。
　これら脅迫文には、犠牲者が一つのファイルを復号するテストをするためにアクセス可能な非公開のページへのリンクが含まれている。
　本日、ある情報筋がBleepingComputerにGigabytes Technologies用の非公開のRansomEXXリークページへのリンクを送信してきた。このページには、この脅威のアクターが攻撃を通して112GBのデータを盗んだと主張している。

非公開のGigabyteデータリークページ（画像をクリックすると拡大表示されます）

　このプライベートのリークページで、この脅威のアクターは、Gigabyteネットワークの内部、並びにAmerican Megatrends Git Repositoryから112GBのデータを盗んだと主張している。

　我々は、112GB（120,971,743,713 bytes）のファイルをダウンロードした。そして、これを公開する準備ができている。
　それらの殆どはNDA（Intel, AMD, American Megatrends）下にある。
　リークソース： newautobom.gigabyte.intra, git.ami.com.tw等

　この脅威のアクターは、攻撃中に盗み出しNDA下にある四つのドキュメントのスクリーンショットを公開している。
　我々はリークされた画像を投稿しないが、この機密のドキュメントはAmerican Megatrendsデバッグ ドキュメント、Intelの「潜在的な問題」ドキュメント、"Ice Lake D SKU stack update schedule"、AMD改訂ガイド、を含んでいる。
　BleepingComputerは、この攻撃に関してGigabyteにコンタクトしたが、現時点で回答はない。

RansomEXXについて知る必要のあること

　RansomEXX身代金要求型マルウェア作戦は本来、2018年にDefrayという名前で開始されたが、彼らがより積極的になった2020年6月、RansomEXXに名称変更されている。
　他の身代金要求型マルウェア作戦同様に、RansomEXXは、リモートデスクトップ プロトコルを介してネットワークに侵入し、攻撃し、機密データを盗む。
　彼らがネットワークへのアクセスを取得すると、彼らはゆっくりとWindowsドメイン コントローラの制御を奪うので、多くの機密ファイルを収穫するだろう。ネットワークを介しての、この水平拡散の間に、この身代金要求型マルウェア ギャングは身代金恐喝の効果を持たせるために暗号化されていないデバイスからデータを盗み出す。
　RansomEXXはWindowsデバイスだけをターゲットにしているわけではなく、VMware ESXiサーバを稼働しているバーチャルマシンを暗号化するためにLinux暗号器も作成している。
　過去一ヶ月に渡り、RansomEXXギャングは、イタリアのラツィオ州、エクアドルの国家電気通信会社（Corporacion Nacional de Telecomunicaciones：CNT）への最近の攻撃に見られるように、より積極的になっている。
　身代金要求型マルウェアのギャングによる他の注目を集める攻撃には、ブラジル政府のネットワーク、Texas Department of Transportation（TxDOT、テキサス運輸省）、コニカミノルタ、IPGフォトニクス、Tyler Technologies（タイラー テクノロジーズ）が含まれる。

---

WindowsへのPetitPotam攻撃は新しい方法でブロックすることができる
BleepingComputer : News>Security（2021/08/02）
　セキュリティ研究者たちは、最近公開されたPetitPotam攻撃ベクトル（ハッカーがWindowsドメインコントローラの制御を簡単に取得することを可能にする）をブロックする方法を考案した。
　先月、セキュリティ研究者GILLES Lionelは、PetitPottamと名付けられた新しい方法を公開した。PetitPottamは、Microsoft Encrypting File System Remote Protocol (EFSRPC)を使用して、脅威のアクターの悪意あるNTMLリレーサーバに対してWindowsドメインコントローラを含むWindowsマシンに認証を強制するものである。
　脅威のアクターは次に、この認証要求をHTTPを介して標的にしているドメインのActive Directory Certificate Servicesにリレーする。ここで、攻撃者はKerberos ticket-granting ticket (TGT)を与えられる。これで、彼らはそのドメインコントローラのIDを引き継ぐことが可能になる。
　このベクトルが公開された後、研究者は直ちに、この方法のテストを開始し、認証をダンプしWindowsドメインを乗っ取ることがいかに簡単であるかを説明した。

PetitPotam NTLM relay attack demonstration from BleepingComputer.com on Vimeo.

上の動画が表示されない場合はこちら

　この攻撃を使用して、脅威のアクターは、Windowsドメインを完全に制御することができる（新しいグループポリシー、スクリプトを押し付けたり、身代金要求型マルウェアのようなマルウェアを全てのデバイスに配備することを含む）。
　先週、MicrosoftはNTMLリレー攻撃を緩和する方法を説明した 'Mitigating NTLM Relay Attacks on Active Directory Certificate Services (AD CS)'と題されたアドバイザリをリリースした。
　「NTLMが有効にされたネットワーク上でNTLM Relay Attacksを防ぐには、ドメイン管理者は、NTLM認証を許可するサービスがExtended Protection for Authentication (EPA)のような防御を使用するか、SMB署名のような署名機能を使用する必要がある」と「PetitPotamは、Active Directory Certificate Services (AD CS)がNTLMリレー攻撃用の防御に設定されていないサーバを悪用している。KB5005413で概要されている緩和策は、顧客にこのような攻撃から彼らのAD CSサーバを防御する方法に関して説明している」と、Microsoftのアドバイザリは説明している。
Microsoftの提案は、NTLMリレー攻撃を妨げるかもしれないが、彼らはPetitPotamのブロックに関しては何のガイダンスも提供していない。
　「NTLMv1のダウングレードや、このマシンアカウントがローカル管理者であるコンピューターのマシンアカウントにリレーするような様々な攻撃に使用できる」と、この攻撃ベクトルを彼が最初に公開した時、LionelはBleepingComputerに告げている。
　PetitPotam, SeriousSAM, PrintNightmareのような最近の脆弱性に対するMicrosoftの対応は、Microsoftの顧客保護は不十分であると感じているセキュリティ研究者を大変心配させている。

Florian RothのTweetはこちら。

NETSHフィルタを使用してPetitPotam攻撃をブロックするには

　グッドニュースは、研究者が、ローカルEFS機能に影響を与えることなくNETSHフィルターを使用することでリモート非認証PetitPotam攻撃をブロックする方法を発見したことである。
　NETSHは、管理者がネットワーク インターフェースを設定する、フィルターを追加する、Windowsファイアーウォール設定を変更することができるWindowsのコマンドライン ユーティリティである。
　この週末、Craig Kirbyは、MS-EFSRPC APIに対するリモートアクセスをブロックするNETSH RPCを公開した。これは、非認証のPetitPotam攻撃を効果的にブロックする。
　セキュリティ研究者Benjamin Delpyによると、あなたは、以下の内容を'block_efsr.txt'と名付けたファイルにコピーし、それをデスクトップに保存することで、このフィルターを使用することができる。

rpc
filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=c681d488-d850-11d0-8c52-00c04fd90f7e add filter
add rule layer=um actiontype=block
add condition field=if_uuid matchtype=equal data=df1941c5-fe89-4e79-bf10-463657acf44d
add filter
quit

　特権が昇格されたコマンドプロンプトが開くのでNETSHを使用して、このフィルターをインポートするために以下のコマンドをタイプする。

netsh -f %userprofile%\desktop\block_efsr.txt

　以下のコマンドを実行することで、このフィルタが追加されたか否かを検証することができる。

netsh rpc filter show filter

　このコマンドを実行すると、netshは、二つのフィルタ（c681d488-d850-11d0-8c52-00c04fd90f7e と df1941c5-fe89-4e79-bf10-463657acf44d）を以下の画像のように表示するはずである。

設定されたPetitPotamをブロックするNETSH RPCフィルタ（画像をクリックすると拡大表示されます）

　このフィルタが適切であれば、PetitPotamはもはや動作しないが、EFSは、そのデバイス上で通常通り操作を継続する。
　何時かMicrosoftが、この攻撃を防御するためにこのAPIを修正したなら、以下のコマンドを使用してこのフィルタを削除することができる。

netsh rpc filter delete filter filterkey=[key]

　フィルタキー（filterKey）は、上述したように、設定されたフィルタのリストが表示された時に見つけることができる。

---

Registry Explorerは全てのWindowsユーザ必須のレジストリエディタである
BleepingComputer : News>Security（2021/08/01）
　先週、新しいオープンソースのRegistry Editorがリリースされた。これは、WindowsのRegeditソフトウェアを凌ぐものであり、高度な機能を提供しており、今までより簡単にレジストリを編集することができる。
　Windowsのレジストリは、中央集権化されており、システム設定、ハードウェア設定、ユーザ設定を格納するためにオペレーティングシステムによって使用される階層化されたデータベースである。
　あなたがシステム管理者あるいは、パワーユーザであるのなら、ある時にWindows組み込みのレジストリエディタ（Regedit.exe）を使用してバグや設定を修正するためにレジストリを変更したことがあるだろう。
　しかしながら、Microsoftは、数年間彼らのレジストリエディタに対して、このアプリケーションを最新にするための多くの変更を実行していない、そして、人々が望む多くの有用な機能は無いままである。

Registry Explorerを論じる

　先週、Windows InternalsのエキスパートPavel YosifovichはRegistry Explorerと名付けたプログラムをリリースした。このプログラムは、新しい豊富な機能を搭載しレジストリエディタの最新化を目的としている。
　Registry ExplorerはオープンソースプロジェクトとしてGitHub上にリリースされた。依然として、コンパイルすることを望まない人々のために、Yosifovichは、ダウンロードして即座に稼働できるプレコンパイルされたベータバージョンもリリースしている。
　Registry Explorerを起動した後、全てのレジストリハイブが表示されるので、ユーザーはこれを展開して、標準のWindowsレジストリエディタ同様にサブキーと値を表示できる。

Windows Explorer（画像をクリックすると拡大表示されます）

　しかしながら、このプログラムが優れているところは、含まれているダークモード、キーと値を様々な場所にコピー&ペーストする能力、Undoチェンジボタン、高度な検索機能にある。
　Registry Explorerの検索機能は、Regeditの検索機能より遥かに高度であり、以下に示すように検索した結果を単一のダイアログボックスで全ての検索結果を表示する。次に、検索結果を確認し、エントリをダブルクリックすることで、そのレジストリのキーまたは値を自動的に開くことができる。

一つのウィンドウにレジストリ検索結果の全てを示しているRegistry Explorer（画像をクリックすると拡大表示されます）

　レジストリで誤った変更をすると、Windowsは正しく操作できなくなる。Registry Explorerは、Read Only Mode（読み込み専用モード）で起動する。このモードをOFFにするまで変更の実行は妨げられる。
　Registry Explorerの全機能のリストを以下に示す。

・　実際のレジストリを表示する（標準のレジストリだけでなく）
・　リストビューを任意の列で並べ替える
・　ハイブ、アクセスできないキー、およびリンクのキーアイコン
・　キーの詳細：最終書き込み時間とキー/値の数
・　MUIおよびREG_EXPAND_SZの拡張された値を表示
・　全検索（全てを検索する / Ctrl+Shift+F）
・　バイナリ用の拡張された16進エディタ
・　Undo/Redo
・　キーや値のコピー&ペースト

　更に良いのは、あなたがRegistry Explorerを本当に好むのであれば、WindowsのRegistry Editor（Regedit.exe）を、このプログラムに自動的に置き換え、.regファイル用のDefaultのファイルハンドラにするるための設定をすることができる。
　あなたが、しばしばWindows Registryを編集したり、値を検索したり、.regファイルの設定をエクスポートしているのであれば、Registry Explorerを試すことを強く推奨する。あなたは多くの機能が非常に有用であることを多分発見するだろう。
　Registry Explorerを試すには、このプロジェクトのGitHubのページを訪ねなさい。

---

Kaseyaは、REvil身代金要求型マルウェア犠牲者向けのユニバーサル復号プログラムを入手した
BleepingComputer : News>Security（2021/07/22）
　Kaseyaは、7月2日のREvil身代金要求型マルウェア攻撃の犠牲者がファイルを無料で復号できるユニバーサル復号プログラムを受け取った。
　7月2日、Revil身代金要求型マルウェア作戦は、およそ60の管理サービスプロバイダと1500と見積もられる企業を暗号化するKaseya VSAリモートマネージメント アプリケーション中の0-Dayの脆弱性を攻撃する巨大な攻撃を起動した。
　この攻撃の後、この脅威のアクターは、ユニバーサル復号プログラムに関して7000万$、MSP（マネージド・サービスプロバイダ）に関して500万$、犠牲者のネットワーク上の暗号化された拡張毎に4万$を要求した。

Revilの7000万$身代金要求（画像をクリックすると拡大表示されます）

　その後直ぐ、REvil身代金要求型マルウェアのギャングは不思議なことに姿を消し、脅威のアクターは彼らの支払いサイトとインフラをシャットダウンした。
　殆どの犠牲者は支払いをしていないが、このギャングが姿を消したことは、復号プログラムを購入する必要があったかもしれない企業が、そうすることを不可能にした。
　本日、Kaseyaは「信頼できるサードパーティー」からこの身代金要求型マルウェア攻撃のユニバーサル復号プログラムを受け取っり、現在影響を受けた顧客に、この復号プログラムを配布していると述べている。
　「我々は信頼できるサードパーティーから復号プログラムを入手したが、そのソースについては一切公開することはできない」と「別のサードパーティーによってこのツールの確認が行われ、影響を受けている我々の顧客にこの復号プログラムの配布を開始した」と、Kaseyaの企業マーケティング上席副社長Dana LiedholmはBleepingComputerに告げた。
　Kaseyaは、このキーのソースに関する情報を公開しないだろうが、BleepingComputerと共に確認したところによると、これは、この攻撃全体のユニバーサル復号キーであったので、全てのMSPと彼らの顧客がファイルを無料で復号することが可能になる。
　彼らが復号プログラムを入手するために身代金を支払ったのか否か尋ねたところ、Kaseyaは「肯定も否定もできない」とBleepingComputerに告げた。
　EmsisoftのCTOであるFabian WosarがBleepingComputerに告げたことによると、Emisisoftが、このキーを検証したサードパーティーであり、Kaseyaの復旧作業の支援を継続している。
　「我々はKaseyaの顧客の契約上の取り組みをサポートするためにKaseyaと協働している。我々はこのキーが犠牲者のロックを外すことに効果的であることを確認した、我々はKaseyaとその顧客に対するサポートを引き続き提供する」と、WosarはBleepingComputerに告げている。
　REvil身代金要求型マルウェア作戦に何が起きてシャットダウンし姿を消したかは不明である。そして、複数の国際的法執行機関がBleepingComputerに告げたところによると、彼らは、この脅威のアクターが姿を消したことに関与していないということであった。
　JBS（【訳注】ブラジルに本拠を置く世界最大級の食肉会社）とKaseyaが攻撃された後、ホワイトハウスは、この身代金要求型マルウェアのギャングがロシア国内に存在すると確信し、何かを実行するようにロシア政府に圧力をかけた。
　ロシア政府は米国と共同歩調をとっていることを示すために、REvil身代金要求型マルウェアのギャングにシャットダウンし姿を消すように告げたと信じられている。
　この復号プログラムがREvil身代金要求型マルウェアのギャングが姿を消した後に入手されたので、ロシアが直接この身代金要求型マルウェアのギャングから受け取り、誠意の仕草として米国の法執行機関と共有した可能性がある。
　我々が、復号キーの長短に関係しているか否かをFBIに尋ねた時に告げられたことは、捜査中のことはコメントできないであった。
　「米国司法省（DOJ）とFBIは、REvil/Sodinokibi身代金要求型マルウェアの亜種の背後にいる犯罪企業と、取り分けKaseya身代金要求型マルウェア攻撃に関する責任あるアクターの犯罪調査を実行中である」と「DOJの方針に従い、この捜査中の案件についてこれ以上コメントすることはできない」と、FBIはBleepingComputerに告げている。
　REvilが姿を消したのは、このギャングのオンライン活動が終わったのではない可能性がある。
　過去に、GandCrabランサムウェア作戦がシャットダウンされ、REvilとしてブランド名が変更されている。また、REvilが新しいランサムウェア作戦として再び登場することは予想されることである。

---

脆弱性攻撃されているPrintNightmareの0-Dayに非公式のパッチがリリースされた
BleepingComputer : News>Security（2021/07/02）
　積極的な脆弱性攻撃の下にあるWindows Print Spoolerサービス中のPrintNightmare 0-Day脆弱性を解決するフリーのマイクロパッチが、0patchプラットフォーム上で利用可能になっている。
　このリモートコード実行のバグ（CVE-2021-34527として追跡される）の背後にあるバグだらけのコードは、Windowsの全てのバージョンに存在しているが、Microsoftは、この脆弱性が、彼らの全てのプラットフォームで脆弱性攻撃可能か否かなのかを依然として調査中である。
　CVE-2021-34527は、攻撃者がSYSTEM権限でRCEを介して影響を受けるサーバを乗っ取り、プログラムのインストール、データの表示、変更、削除、完全なユーザー権限を持つ新しいアカウントの作成を行うことが可能である。
　現時点でPrintNightmareセキュリティフローを解決できるセキュリティアップデートは存在していないが、Microsoftは脆弱性のあるシステムがセキュリティ侵害されることから攻撃者をブロックするための緩和策を公開し、修正作業に取り組んでいる。
　そこで、0patchマイクロパッチ サービスがフリーのマイクロパッチ提供している。このマイクロパッチは、Windows Serverのバージョン2019, 2016, 2012（2021年6月にアップデートされた）,2008 R2（2020年1月のアップデートでインストールされたが、拡張セキュリティアップデートではない）用である。

　0patchのTweeterはこちら

　0patchによると、「上述のパッチの一部は、記述している時点では発行されていないかもしれないが、数時間後には発行されているだろう」としている。
　関連するニュースで、CISAは印刷に使用していないサーバ上のWindows Print Spoolerサービスを無効にするように管理者に促すPrintNightmare通知を発行した。
　Microsoftもまた、Print Spoolerサービスを有効にしているDomain Contorollerのリスクの緩和に関するサポートドキュメントにおいて、この印刷サービスを全てのDomain ControllersとActive Directory管理システムで無効にするように推奨している。
　この企業のアドバイスは、殆どのWindowsクライアントとサーバープラットフォームでデフォルトで有効になっているという事実（このサービスが、脆弱なシステムを標的とする将来の攻撃のリスクを大幅に高める）を考慮に入れている。
　公式のセキュリティアップデートが利用可能になるまで、0patchのマイクロパッチ、もしくはMicrosoftが提供する緩和策を適用し、PrintNightmare脆弱性攻撃を使用してネットワークに侵入されることから攻撃者をブロックすべきである。

---

ハッカーは0-Dayの脆弱性を使用してMy Book Liveデバイスのデータを消失させている
BleepingComputer : News>Security（2021/06/29）
　Western DigitalのMy Book Live NASデバイス中の0-Dayの脆弱性は、先週、攻撃者がデバイスの大規模な工場出荷状態へのリセットを実行することを可能にしていたため、データの損失に繋がった。
　先週、我々はWestern DigitalのMy Book Live NASの所有者が、奇妙なことに保存していたファイルの消滅が突然発生したという話を公開した。残念なことに、この工場出荷状態へのリセットは管理者パスワードもリセットするので、ユーザはWebダッシュボードやSSHを介してデバイスにログインすることができなくなる。
　一部のユーザがデバイスのログを解析した後、彼らは、6月24日にデバイスのファイルを消去するfactoryRestore.shと呼ばれるスクリプトが彼らのデバイス上で実行されていたことを発見した。

　Jun 24 00:26:53 MyBookLive factoryRestore.sh: begin script:
　Jun 24 00:26:53 MyBookLive shutdown[5033]: shutting down for system reboot
　Jun 24 00:26:53 MyBookLive logger: exit standby after 9674 (since 2021-06-23 21:45:39.926803414 +0100)

　Western Digitalは、BleepingComputerに、この攻撃はCVE-2018-18472として追跡される2018年の脆弱性を介して実行されていると当初告げていたが、2015年以降サポートされていなかったため、この脆弱性は修正されていなかった。
　攻撃者がMy Book Liveデバイスに対する攻撃に、この脆弱性を使用したことは判明したが、実際には、工場出荷状態にリセットする原因となる別の0-Dayの脆弱性が存在していた。

工場出荷状態にリセットするために使用された0-Day

　Censysの最高技術責任者（CTO） Derek Abdineは、My Book Liveデバイスの最新のファームウェアが、リモート攻撃者がインターネットに接続されているデバイスを工場出荷状態にリセットすることを可能にする0-Dayの脆弱性を含んでいることを明らかにした。
　工場出荷状態へのリセットは、一般的にリモート管理コンソールを介して可能であるが、それらは最初に管理者自体をデバイスに認証させることを常に要求する。
　My Book Liveのファームウェア中の適切に名付けられたsystem_factory_restoreスクリプトでは、この認証チェックはコメントアウトされていたので、誰もがそのデバイスにアクセスし工場出荷状態にリセットすることが可能になっていた。
　この0-Dayを自主的に通知したArs TechnicaのDan Goodinが公開したスクリプトにおいて、get()とpost()関数で、何らかの理由からWestern Digitalの開発者によって認証チェックがコメントアウトされていることを確認することができる。

工場出荷状態へのリセットを発生させるコメントアウトされた認証チェック（画像をクリックすると拡大表示されます）

　攻撃者がエンドポイントに対する正しいパラメータを見つけ出すことができれば、彼らは世界中のデバイスを工場出荷状態にリセットする大規模な引き金を弾くことができる。

NASの制御のための戦い

　ハッカーはデバイスを工場集荷状態にリセットするために、この0-Dayの脆弱性を使用したが、その前のかなり長い間、悪意ある活動があったと思われる。
　Abdineによって行われた研究から、攻撃者は、2018年のCVE-2018-18472リモードコード実行脆弱性を大規模に悪用し、大っぴらに露出しているMy Book Liveデバイスに感染し、それらにボットネットを追加していた。
　以下に示すように、この脆弱性を使用して攻撃者はNASデバイス上でコマンドを実行し、リモートサイトからスクリプトをダウンロードし実行していた。

CVE-2018-18472を使用した大規模脆弱性攻撃のデモ（画像をクリックすると拡大表示されます）

　影響を受けたユーザによってVirus Totalにアップロードされ確認されたペイロードの一つは、DrWebによってLinux.Ngioweb.27（IoTデバイスをターゲットにする既知のLinuxボットネット）の変種として検出された。他のペイロードもこの攻撃で確認されているが、どのマルウェアファミリーに属するのか明らかになっていない。
　一旦、ボットネットにリスト化されると、攻撃者は遠隔からMy Book Live NASデバイスを使用して、DDoS攻撃、他のデバイスへの攻撃、コマンドの実行、ファイルを盗むことさえ実行できる可能性がある。
　この攻撃はまた、様々なスクリプトをパスワードで保護し、ライバルのボットネットや他の攻撃者によって、このデバイスが乗っ取られることを防いでいる。
　我々は今、My Book Liveデバイスを標的にした様々な攻撃に対する何らかの洞察は持っているが、攻撃者がNASデバイスのデータを大規模に消去する動機に関しては分かっていない。
　Abdineは、この0-Dayを使用した大規模なデータ削除は、他の攻撃者、あるいはライバルのボットネットがデバイスをリセットすることで、このデバイスを乗っ取ろうとした可能性があると考えている。
　「大規模にこのエンドポイントにPOSTする動機に関しては不明であるが、これらのデバイスを乗っ取ったり、使用できないようにしようとしている（おそらく、ユーザー名とパスワードをDefaultのadmin/adminにリセットすることで、別の攻撃者が制御を奪うことが可能になるので）ライバルのボットネット オペレーターや、これらの問題が2015年以降存在しているため、しばらくの間存在していたであろうボットネットを他の方法で粉砕したい者が企てている可能性がある」と、Abdine氏は説明している。
　消費者向けIoTデバイスは、攻撃者が気付かれずに攻撃を実行できるためサイバー犯罪の世界で価値のある商品である。
　IoTデバイスには、セキュリティ侵害されたことを示す外部信号が殆ど無いので、攻撃者は検出されることなく悪意あるキャンペーンの一部としてそれらを長期間使用することができる。
　現時点では、ユーザーはMy Book Liveデバイスを大ぴらなアクセスから防御すべきであり（【訳注】インターネット接続を切断するということ）、ローカルネットワークやVPNの下でのみ使用すべきである。
　BleepingComputerはWesternDigitalに連絡を取り、この脆弱性のパッチをリリースするかどうかを確認したが、このデバイスは6年間サポートされていないため、パッチのリリースはないと思われる。

---

フィッシング攻撃の一般的ではない添付ファイルは諸刃の剣である
BleepingComputer : News>Security（2021/06/24）
　脅威のアクターはセキュリティソフトウェアをバイパスするために一般的ではない添付ファイルを使用しているが、これは、彼らに対しても作用する可能性のある諸刃の剣である。
　安全なeMailゲートウェイとセキュリティソフトウェアが、より高度になり絶えず変化するフィッシングキャンペーンに対応するようになるにつれ、脅威のアクターは検出をバイパスするために、より一般的ではないファイルフォーマットに頼っている。
　従来より、フィッシングスカムは、ISOやTARファイルのようなeMailの添付ファイルとしては一般的ではない添付ファイルに切り替えてきていた。
　しかしながら、脅威のアクターが新しく一般的ではない添付ファイルを採用したので、サイバーセキュリティ企業は、それらをブロックするために更なる機能を追加している。

セキュリティをバイパスするために使用されているWIM

　Trustwaveの新しいレポートによると、研究者は、脅威のアクターがAgent Teslaリモートアクセス トロイを拡散させるためにWIM（Windows Imaging Format）を添付ファイルとして悪用し始めていると説明している。
　「我々がサンプルから収集した全てのWIMファイルはAgent Teslaを含んでいた。この脅威は.NETで書かれたRemote Access Trojan（RAT）であり、セキュリティ侵害したシステムを完全に制御し、HTTP, SMTP, FTP, Telegramを介してデータを密かに抽出することができるものである」と、Trustwaveのセキュリティ研究者Diana Loperaはこのレポートの中で説明している。
　これらのキャンペーンは、以下に示すようにDHL（【訳注】航空機を主体とした国際宅配便、運輸、ロジスティクスサービスを扱うドイツの国際輸送物流会社）やAlpha Trans（【訳注】米国を本拠とする輸送会社）からのシッピング情報を装うフィッシングeMailで開始される。

WIMファイルを拡散するフィッシングeMail（画像をクリックすると拡大表示されます）

　このeMailに含まれているのは .wim添付ファイル（末尾は時々、.wimや.wim.001になっている）でありセキュリティソフトをバイパスするように設計されている。
　Windows Imaging Format（WIM）ファイルは、Windows Vistaとその後のオペレーティングシステムに採用することを目的にMicrosoftが開発したファイルベースのディスクイメージフォーマット（【訳注】殆どのディスクメージ形式はセクターベースイメージフォーマット）である。
　WIMファイルは、配布を簡単にするために、その全てのファイルやフォルダを単一ファイルにパックするために使用される。
　以下の画像に見られるように、Hex Editor（16進エディタ）でこれらWIM添付ファイルの一つを開くと、その中に実行ファイルが包含されていることが明らかに示されている。

Hex Editorで表示したWIM添付ファイル（画像をクリックすると拡大表示されます）

　しかしながら、WIMファイルが検出される可能性は低いかもしれないが、WIMファイルを使用したフィッシングキャンペーンは、WindowsがWIMファイルを開くための組み込みメカニズムを持っていないので、より大きな問題を抱えることになる。
　それ故、ユーザがWindowsでこの添付ファイルを開こうとした時、ユーザは、以下に示すようなWIMファイルを開くためのプログラムを選択するように要求するメッセージが表示される。

Windowsでのプログラム選択の要請（画像をクリックすると拡大表示されます）

　このファイルフォーマットは次ぎに、横道にそれて7-zipのようなプログラムを使用してこのファイルを解凍し、次に、その中にあるファイルをダブルクリックすることを受信者に要求するだろう。これはまず発生しない。

7-zipを使用して解凍したWIMファイル（画像をクリックすると拡大表示されます）

一般的ではない添付ファイルは諸刃の剣

　一般的ではないファイルを使用することは、一部のセキュリティフィルタをバイパスするかもしれないが、これはまた脅威のアクターにとっても、おそらく諸刃の剣である。
　これは、このファイルが、7-zipのような特定のプログラムを持っていない殆どのデバイスで開かれることがなく、このファイルを解凍するために特別な努力を受信者に強いることが理由である。
　「一般的ではないアーカイブ ファイル フォーマットでカプセル化されたマルウェアは、ゲートウェイとスキャナをバイパスする一般的な方法の一つである。しかしながら、この戦略はまたハードルもある。ターゲットシステムはファイルタイプを認識するか、少なくともファイルを解凍して処理できるツールを備えている必要がある」と、続けて「.IMG や .ISOディスクイメージファイルとは対照的に、WIMファイルは、ディスクイメージファイルをマウントするための組み込み機能がWindowsに用意されていない。更に、他の一般的なアーカイブユーティリティWinRARとWinZipは、WIMディスクイメージを認識しない。WIMファイルは広汎に使用されている7Zipで処理することができる」と、Loperaは発言している。
　安全なeMailゲートウェイが、未だ実行されていないのであれば、直ちにこれらの添付ファイルをブロックするだろう。しかしながら、あなたがWIM添付ファイル付きのeMailに遭遇した場合には、正当な電子メールは、このファイルフォーマットを使用しないので単純に削除しなさい。

---

Windows 10 PCでMicrosoft Storeが世界中でクラッシュしている
BleepingComputer : News>Security（2021/06/23）
　Windows 10ユーザは現在Microsoft Storeで、アプリケーションのダウンロードとインストールができず、繰り返し試みるとクラッシュする問題に遭遇している。
　Microsoft Storeからアプリケーションをダウンロードしようとすると、ユーザはロード中、あるいは、フリーズしたページを表示される。具体的には、ユーザがアプリケーションやゲームをダウンロードするために"Get"ボタンをクリックしても何も発生しない。
　様々なMicrosoft Store機能にアクセスしても、ダウンロードセクション同様に、このプログラムは回転するローディングシンボルを画面に居座らせるだけである。

永久に続くMicrosoft Storeのローディング（画像をクリックすると拡大表示されます）

　やがては、Microsoft Storeは完全にハングし、Windowsがアクティブであれば、Task ManagerもしくはAlt+F4を使用することによってのみ閉じることができる。
　クラッシュすると、エラーメッセージがEvent Viewerに記録される。今回の場合は、Windows Storeがオペレーティングシステムと相互対話できなかったと述べている。

Windows Storeのハングを示すEvent Viewer（画像をクリックすると拡大表示されます）

　BleepingComputerによって確認されたレポートによると、この動作不能状態は、ここ4時間以内（本記事の配信は、日本時間 2021年06月23日 14：40）に始まっている。
　この問題に関して、Windows 10累積アップデーに起因する問題でのメンテナンス作業が計画されていたのか否か、あるいは、Microsoft Azureネットワークの問題なのかは分かっていない。

---

Windows 10のオプショナルアップデート機能が壊れていた、その理由
BleepingComputer : News>Security（2021/06/13）
　Windows 10は毎度厄介な問題を抱える。今回の問題は、Windows Updateは一回に一つのオプショナルアップデートしか提供していない。
　一般的にMicrosoftは、Windows Updateによって自動的にインストールされない任意の新しいアップデートをリリースする。
　オプショナルアップデートは、新しいWindows 10の機能更新プログラム、Windows 10プレビュー累積アップデート、機能エクスペリエンスパック、オペレーティングシステムの特定のバグに向けた幾つかの定例外の修正が含まれる。
　しかしながら一年以上に渡り、Windows 10は、あなたのWindows 10用に利用できる複数のオプショナルアップデートがある場合でさえ、一回に一つのオプショナルアップデートしか提供していない。
　例えば、最近リリースされたWindows 10 21H1アップデートは、Windows Updateで優先的に扱われ、他の利用可能なオプションの更新プログラムに関係なく提供される。

オプショナルアップデートとして提供されているWindows 10 21H1機能更新プログラム（画像をクリックすると拡大表示されます）

　今週、Microsoftは、インストールしている、あるいは、起動しているゲームからユーザを妨げるXbox Game Passバグを修正する定例外のKB5004476 Windows 10アップデートをリリースした。
　苛立たしかったことは、このアップデートをWindows 10 20H2に適用しようとした場合、私がWindows 10 21H1アップデートを最初にインストールするまで、Windows Updateが私のデバイスにこのアップデートの提供を拒否したことであった。
　Microsoftは2019年、Windows 10に新しい"Optional Update Experience"を導入した。これは、この問題を解決し、あなたがインストールしたいオプショナルアップデートの選択を可能にすると思われていた。
　この機能は、我々がWindows 10 21H1機能更新プログラムをインストールする前でさえ見事なまでに動作しなかった。以下に示すように、我々は依然としてOptional Update画面にKB5004476オプショナルアップデートを提供されていない。

Windows 10オプショナルアップデート画面（画像をクリックすると拡大表示されます）

　オプショナルのWindows 10 21H1機能更新プログラムをインストールすると、Windows Updateは、オプショナルの新しいKB5004476定例外アップデートを我々に提供した。

Windows 10 21H1インストール後に表示されるWindows 10 KB5004476定例外アップデート（画像をクリックすると拡大表示されます）

　BleepingComputerは、複数のデバイスでこの同じステップを試みた、結果、Windows 10は全て同じ挙動を呈した。
　これらのオプショナルアップデートの一部は、Microsoft Catalogで利用可能であるが、多くの人々はWindows Updateの手動インストールに不慣れである。
　MicrosoftがOptional Update機能で全てのオプショナルアップデート提供していない理由は定かでない。しかしながら、現在の形式では、ユーザーは実際に希望するアップデートにアクセスする前に、機能更新プログラムをインストールする必要がある。

---

Microsoft OfficeのMSGraphにコード実行を導く脆弱性
BleepingComputer : News>Security（2021/06/08）
　Microsoftは本日、Microsoft OfficeのMSGraphコンポーネント（グラフとチャートの表示を担当する）に影響する脆弱性に対するパッチをリリースするだろう。この脆弱性はターゲットにされたマシン上でコードを実行される可能性があった。
　このコンポーネントは殆どのOfficeドキュメント中に組み込まれているため、攻撃者は、特別な機能を必要とすることなく、これを使用して悪意あるペイロードを配布することができる

レガシーコード

　 CVE-2021-31939として追跡されるこのセキュリティフローは、Check Pointの研究者がMSGraph中に発見しMicrosoftに通知したセキュリティ脆弱性の大きなセットの部分である。
この研究者がMSGraphのセキュリティフローのテストに注目した理由は、少なくとも17年前のコードが含まれていたことにあり、Microsoft Equation Editorに似たアタックサーフェス（【訳注】攻撃領域、つまり何らかの攻撃の対象となり得る領域のこと（三和コムテックより））を持っていたことにある。そして、2017年に修正されたバグは今日まで大量に悪用され続けている。

Microsoft Ecelドキュメントに組み込まれているMSGraphエディタ（画像をクリックすると拡大表示されます）

このバグがアイデンティファイアを最近取得したばかりなので、この脆弱性に関する詳細は現時点では不足している。しかしながら、Check Pointは本日のレポートで、CVE-2021-31939は、UseーAfter-Free（【訳注】解放後のメモリ領域を参照するダングリングポインタを悪用し任意のコードを実行する攻撃(CiNiiより））と記している。
　このタイプのフローは、プログラム オペレーション中にダイナミックメモリの不正使用で構築され、そのシステム上で任意のコード実行を導くことができるものである。
　研究者によると、この問題はMSGraphファイル構文解析機能中に存在しており、「一般的に、Excel（EXCEL.EXE）, Office Online Server（EXCELCNV.EXE）, Excel for OSXのような様々なMicrosoft Office製品で使用されている。」
　Check Pointの本日の公開には、Microsoft OfficeのMSGraph中に発見された他の三つのセキュリティフローが含まれている。これらの全ては先月パッチされている。

・　CVE-2021-31174：　Microsoft Excelでの情報漏洩につながる範囲外読み取り(OOBR)の脆弱性 (重大度中)。 MSGraph、Office Online、Microsoft Excel に影響を与える
・　CVE-2021-31178：　情報漏洩につながる範囲外読み取り (OOBR)脆弱性(重大度中)による整数アンダーフロー（【訳注】Integer Underflowとは、結果が最小許容整数値未満になり、正しい値とは異なる値が生成されること）
・　CVE-2021-31179：　リモートでコードが実行されるメモリ破損の脆弱性(重大度高)

全てのフローは、ファジングによって発見された。ファジングとは、コードに様々な入力を加えてエラーやセキュリティの脆弱性を発見するテスト手法である。この方法で生成される例外には、脆弱性攻撃を導くことが可能なクラッシュやメモリリークが含まれる。
　研究者は、４つの脆弱性の全てが、ほとんどのOfficeドキュメントに埋め込まれる可能性があり、被害者が悪意のあるOfficeファイルを開くと、脆弱性がトリガーされる複数の攻撃シナリオの余地があると述べている。
　「この脆弱性が悪用された場合、攻撃者は特別に細工されたOfficeドキュメントを介して、ターゲット上で悪意あるコードを実行することができる」と、Check PointはBleepingComputerに語った。

　「全てのOfficeスイートはExcelオブジェクトを埋め込める（これは攻撃ベクトルを広げる）ので、Word, Outlook等を含む殆ど全てのOfficeソフトウェアに対して、このような攻撃を実行することを可能にしている」- Check Point

　Check Pointは2月28日に、この脆弱性をMicrosoftに通知し、そのうちの3件は先月パッチが適用された。 CVE-2021-31939は後日、追跡アイデンティファイア（ID）を受け取った。本日パッチを受け取ることが予定されている。

---

注意：　これらのオンラインカジノのeMailは、決して彼らの約束通りにはならない
BleepingComputer : News>Security（2021/06/05）
　スパマーは誤解しやすいeMailで、 Raging Bull Casino, Sports and Casino, Ducky Luck, Royal Ace Casinoのようなオンラインカジノを奨励するためにアフィリエイト・プログラムを乱用している。
　大手のオンラインカジノの多くは、他のWebサイトやインフルエンサが、彼らの製品を宣伝したり、アカウントをサインアップした人々から手数料を稼ぐことを可能にするためにアフィリエイト・プログラムを活用している。
　ユーザを紹介するために、このアフィリエイトは、アフィリエイトIDを含む特別に細工されたURLを作成したり、紹介者が新しいアカウントを登録した時に、このカジノが彼らにクレジットを与えることを可能にするクッキーをドロップする。
　今週、BleepingComputerは、オンラインカジノのアフィリエイトによって実施されているオンラインキャンペーンについて告げられた。その内容は、大金の支払いが準備されている「大賞」を勝ち取ったと述べたり、あるいは、受信者がアカウントを確認する必要があるとする、誤解させるようなeMailでユーザを爆撃しているとするものであった。
　このキャンペーンについて告げられた後、我々のeMailアカウントの一つのスパムフォルダを検証することで、我々もこのスパムキャンペーンのかなりのターゲットになっていることを確認した。

オンラインカジノスパムの定常的な流れ（画像をクリックすると拡大表示されます）

　Gmailは、eMailのこのようなタイプをスパムとしてマークする優れた仕事を実行しているが、他のフリーeMailサービスは、あなり役に立たないかもしれないので、このスパムは一般メールボックスに入る可能性がある。
　例えば、以下にRaging Bull CasinoとRoyal Ace CasinokaranoアフィリエイトスパムeMailを示す。彼らが$3,500（383,268円）の支払いを約束したり、オンラインアカウントを確認した後、ベッティングストラテジ（【訳注】ベッティングシステムとも呼ばれ、カジノなどの賭博で、どのような賭け方（ベット）をするかの戦略（Qiitaより））が共有されることを確認できる。

Raging Bull CasinoアフィリエイトからのスパムeMail（画像をクリックすると拡大表示されます）

Royal Ace CasinoアフィリエイトからのスパムeMail（画像をクリックすると拡大表示されます）

　このリンクをクリックすると、ユーザはアフィリエイトクッキーをドロップする別のサイトにリダイレクトされた後、このカジノにリダイレクトされる。
　以下の画像に見られるように、Raging Bull Casinoへのリダイレクトは、アフィリエイトがサインアップのクレジットを取得できるようにURLにアフィリエイトID（affid）を含んでいる。

URLにアフィリエイトIDが付属するRaging Bull Casinoサイト（画像をクリックすると拡大表示されます）

　想像されているように、あなたが素敵な支払いを期待しているこのアカウントにサインアップしても、期待している支払いはない。代わりに、金銭を稼いでいるのは、あなたにeMailを送信したアフィリエイトだけである。
　BleepingComputerは、この記事にリストされているオンラインカジノとそれらのアフィリエイトマネージャに接触したが、回答をを受け取れなかった。
　これらの種類のeMailを受信した場合は、それらをスパムとしてマークすることでeMailプロバイダーのスパムフィルターが将来それらを認識するようにトレーニングされる。

---

身代金要求型マルウェアのギャングの復号プログラムの遅さは、犠牲者に代替方法を探させている
BleepingComputer : News>Security（2021/05/28）
　最近大きく報道された二つの身代金要求型マルウェアの犠牲者が受け取った復号プログラムは、あまりにも遅く犠牲者のネットワークを素早く復帰させるには程遠いものだった。
　最初の犠牲者はColonial Pipelineである。DarkSide身代金要求型マルウェア オペレーションによって攻撃された後、彼らは復号プログラムを得るために440万$（約 4億8300万円）の身代金を支払った。
　しかしながら、この復号プログラムは大変遅いので、この企業はバックアップからの復元に頼るほどであった。
　「ハッカーは支払いを受け取ると、無効になったコンピュータ ネットワークを復元するための復号ツールをオペレーターに提供した。このツールはあまりにも遅かったため、この企業はシステムの復元に独自のバックアップを使用し続けることになったと、この企業の取り組みに精通する関係者の一人は語った」と、Bloombergは報道している。 　つい最近の犠牲者はHSE（アイルランドの保健サービス委員会）である。HSEは、Conti身代金要求型マルウェアによって攻撃されたが、身代金の支払いは拒否している。
　おそらく、攻撃者は間違えて政府機関をターゲットにしたことを認識し、この攻撃に関する復号プログラムをリリースした。
　しかしながら、この復号プログラムをテストしたところ、あまりにも遅いことが分かったので、HSEは、独自の復号プログラムを使用するために、ニュージーランドのセキュリティ企業Emsisoftと協働した。このプログラムはギャングが提供した復号プログラムに比べ2倍高速であったと主張している。

EmsisoftのUniversal Decryptor

　Emsisoftの復号プログラムを知った後、BleepingComputerは、HSEがこの復号プログラムを使用した方法について詳細に知るためにEmsisoftのCTO Fabian Wosarに接触した。
　Wosarは、HSEとの協働に関する情報の共有は拒否したが、この身代金要求型マルウェア オペレーションがファイルを復号するにあたり酷い仕事を実行するので、Emsisoftが、Universal Decryptorを作成したと説明した。
　例えば、Ryuk身代金要求型マルウェアの復号プログラムは、大きなファイルを復号する時にデータ損壊に導く問題が知られている。同様に、Babuk Lockerの復号プログラム中のバグは、ESXiサーバを復号する時にデータロスが発生する。
　Emsisoftの復号プログラムは、データセーフティーに設計されており、ギャングの復号プログラムよりとても高速でもある。このツールは著名で評判の高いサイバーセキュリティ企業によって提供されているものなので、脅威のアクターからの復号プログラムに悪意ある挙動が有るか無いかをチェックする必要もない。

Emsisoft復号プログラム 対 脅威のアクターの復号プログラム（画像をクリックすると拡大表示されます）

　「我々は通常日数を短縮する。その理由は、安全か否か確認するためにリバーシングする必要がない、最初にバックアップする必要もない、配備が簡単、より良いログが取れ、最終的には大変高速になる」と、WosarはBleepingComputerに話た。
　Wosarはまた、犠牲者が複数の身代金要求型マルウェアで一斉攻撃されることは前例のないことではないと述べ、そして、このことは、Emsisoftが、彼らの復号プログラムを様々な身代金要求型マルウェアファミリーからの複数の復号キーを読み込み、一度にファイルを復号できるようすることを決定した。
　「50を超える身代金要求型マルウェアファミリーとメジャーな変種が、このプログラムによってサポートされている」と、Wosarは説明している。

Emsisoftの復号プログラムをテストする

　Wosarは、ContiとDarkSideの公に利用可能なサンプルと、今までマルウェア解析サイトで共有されてきた彼らの復号プログラムを、BleepingComputerが、彼らの復号プログラムをテストすることに同意した。
　我々のテストの一部として、使用したのはWindows 7 2CPU仮想マシン、小さな44.8GBドライブで使用済み領域35.1GBである。
　このスペックは現実に使用されるものとは大きく異なっているが、Emsisoftの復号ツールと身代金要求型マルウェアのギャングが提供する復号プログラムとの速度を比較することは可能である。
　最初のテストでは、Conti身代金要求型マルウェアで仮想マシンを暗号化した、これにはおよそ9分かかった。
　Contiが提供する復号プログラムでは、ファイルの復号に22分を要したが、Emsisoftの復号プログラムでは、脅威のアクターの復号プログラムより41%速い13分（9分速い）で、この仕事を終了させた。

Emsisoft復号プログラムを使用してContiで暗号化されたファイルを復号中（画像をクリックすると拡大表示されます）

　次に、DarkSide身代金要求型マルウェアのサンプルで類似のテストを行った。これは、我々のデバイスを僅か6分で暗号化した。
　DarkSideの復号プログラムは、我々のテストファイルを復号するのに29分を要したが、Emsisoftの復号プログラムでは僅か18分で復号した。我々のテストにおいて、Emsisoftの復号プログラムが37%速かったが、Wosarは、もっと多くのCPUを搭載したマシンでは、もっと優れたパフォーマンスになるだろうと述べている。

DarkSideが提供する復号プログラム（画像をクリックすると拡大表示されます）

　犠牲者は一般的に数千のデバイスと復号するための数テラバイトのデータを持っている。37％と41%速い復号速度は重要であり、リストアのプロセスを数週間とはならなくとも数日は短縮することができる。
　Emsisoftは、特定のランサムウェアを解析し、カスタマイズされた復号プログラムを作成する復元サービスには料金を請求するが、医療機関には無料でサポートを提供している。

---

世界中でWindows 10のPCでGoogle Chromeがクラッシュしている。その修正方法
BleepingComputer : News>Security（2021/05/21）
　Google Chromeが昨日、突然クラッシュし始め、世界中の多くのWindowsユーザが、このブラウザを利用できなくなっている。
　Googleは、5月10日にChrome 90.0.4430.212をリリースした。大部分に関しては、このリリースに関して昨日まで、何の問題も報告されていなかった。
　昨日の朝からWindows Leastによって最初に報告された後、ユーザは、このブラウザを使用中に、Google Chromeの拡張とタブが突然クラッシュしたことを報告し始めた。
　このクラッシュに起因して、Google subreddit（【訳注】Redditのウェブサイトで特定のトピックの議論を目的とするサブフォーラム（Weblioより））とGoogleの製品フォーラムは、この問題に遭遇した人々からの投稿で満たされ始めた。
　「15分前に突然に、Googleは動作を停止した。拡張機能はクラッシュし、全てのページ（設定などのChromeのページを含む）は読み込みを拒否した。画面はブランクになり、タブには「無題」というラベルが付けられ、その横にしかめっ面のフォルダがある」と、ユーザはRedditに昨日投稿している。

拡張機能がクラッシュしたと述べるGoogle Chromeアラート（画像をクリックすると拡大表示されます）

　BleepingComputer自体は、このような経験はしていないが、ユーザは、Chromeがグレー画面を表示しブラウザの設定や拡張のページを開くことができないと報告している。
　更に、ユーザは、これらのクラッシュが通常モードとシークレットモードの両方で発生すると報告している。
　これは、このクラッシュがGoogle Chromeの %UserProfile%\AppData\Local\Google\Chrome\User Dataフォルダ（このブラウザのあなたのデータ、拡張、設定を格納するために使用される）の問題によって発生していると信じられている。
　Google Product Expertは、ユーザが 'User Data'フォルダのバックアップを作成し、次に、このクラッシュを修正するために以下のステップの一つを実行するように推奨している。

　この問題はWindowsでのみ発生しているようなので、以下の指示を提供するが、これはオペレーティングシステム依存である。
１．　Sync（同期）データが、間違いなく https://chrome.google.com/sync に存在し、パスワードが https://passwords.google.com で表示されることを確認する（パスフレーズがある場合は表示されないが、Sync（同期）データリンクに反映されている必要がある）
２．　開いているChromeを全て閉じる
３．　ファイル エクスプローラーを開き、％LOCALAPPDATA％\Google\Chrome\User Data に移動する
４．　ディレクトリから'Local State'ファイルを削除する（バックアップをとっていることが前提条件）
５．　Chromeを再起動する
ただし、上記の手順で問題を解決できない場合は、以下の手順を試しなさい。
１．　ファイル エクスプローラーを開き、％LOCALAPPDATA％\Google\Chrome\User Data に移動する
２．　このディレクトリにあるすべてのもののコピーを取り、デスクトップのような場所に保存する
３．　"User Data"フォルダの名前を、User Data以外の名前に変更する
４．　Chromeを再起動する

　一部のユーザは、これらのステップを実行した後、Google Chromeがクラッシュしなくなったと報告している。
　他のユーザでは、Google Chromeを再起動したら、この問題が再び発生したと述べている。
　このクラッシュの原因は明らかになっていないが、最新のブラウザのリリース以来、Googleによって一部のユーザに対して変更が排除されたようである。
　Googleが限定的なテストだけで設定変更や新しい機能からGoogle Chromeユーザを排除するのはいつものことである。これらのテストや設定変更の一つが、大変多くのユーザによって確認されている問題を引き起こしている可能性がある。
　BleepingComputerは、このクラッシュに関する質問をするためにGoogleに接触したが、現時点で回答は得られていない。

---

大規模なマルウェア キャンペーンは偽の身代金要求型マルウェアを配布している
BleepingComputer : News>Security（2021/05/20）
　大規模なマルウェアキャンペーンは、JavaベースのSTRRATリモートアクセス トロイの木馬（RAT）を押し付けていた。このトロイの木馬は、データを盗む能力と偽の身代金要求型マルウェア攻撃の能力を持つことで知られている。
　一連のTweetで、Microsoft Security Intelligenceチームは、この「巨大なeMailキャンペーン」がセキュリティ侵害したeMailアカウントを使用して偽の身代金要求型マルウェア ペイロードを拡散した方法を概要している。
　このスパムメールは、PDF添付ファイルに見えるものを開くように受信者を誘惑している。しかし、この添付ファイルをクリックすると、代わりにRATマルウェアをダウンロードする画像である。
　「このeMailは、PDF添付ファイルを装う画像を含んでいるが、開くと、STRRATマルウェアをダウンロードする悪意あるドメインに接続する」と「このRATは、実際にファイルを暗号化することなしに、身代金要求型マルウェアのように挙動し、ファイルに .crimson 拡張子を追加する悪名高いものである」と、Microsoftは発言している。

Microsoft提供の画像（画像をクリックすると拡大表示されます）

　Microsoft Security Intelligenceチームは、Tweetで言及しているように、STRRATマルウェアはバックグラウンドで犠牲者のデータを盗んでいる間、偽の身代金要求型マルウェア攻撃しているように設計されている。
　G DATAのマルウェア アナリストKarsten Hahnは、2020年06月に、このマルウェアはeMailキャンペーンでWindowsデバイスに感染し、VBScriptスクリプトの二つのステージを介した後に、最終的にRATペイロードを配布する悪意あるJAR（Java ARchive）パッケージを押し付けると発言している。
　STRRATはキーストロークをログし、そのオペレータが遠隔からコマンドを実行することを可能にし、eMailクライアントとブラウザ（Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbirdを含む）から認証を含む機密情報を収穫することを可能にしている。
　これはまた、リモートアクセスを持つ攻撃者が、侵害されたWindowsシステムでRemote Desktop Hostのサポートを有効にするために、オープンソースRDP Wrapper Library（RDPWrap）をインストールすることで感染したマシンへのアクセスすることを提供している。

STRRAT感染チェーン（画像をクリックすると拡大表示されます）

　しかしながら、他のRATから目立たせたことは、この身代金要求型マルウェアモジュールが、ファイルに ".crimson" 拡張子を追加するだけで、如何なるファイルも暗号化していないことである。
　これはファイルのコンテンツへのアクセスをブロックすることはないが、一部の犠牲者は、ペテンに引っ掛り、攻撃者の身代金要求に応えている可能性がある。
　「このようなファイルはダブルクリックではもはや開かないので、この恐喝が成功する恐れがある」と「Windowsはファイルの拡張子でファイルを開くための正しいプログラムを関連付けているので、もしも拡張子が削除されていると、ファイルは通常のように開かない」と、Hahnは発言している。
　Microsoftは、先週の大規模なSTRRATキャンペーンを分析しているときに発見したように、このマルウェアの開発者は、それを改善し、難読化を追加し、モジュラーアーキテクチャを拡張し続けている。
　それでも、ブラウザや電子メール クライアントの認証情報を盗んだり、リモートコマンドやPowerShellスクリプトを実行したり、被害者のキーストロークを記録したりする、このRATの主な機能は殆ど変更されていない。

---

最近のWindows 10アップデートはMicrosoft Teams, Outlookのログインをブロックする
BleepingComputer : News>Security（2021/05/19）
　最近のWindows 10 1909累積アップデートは、Microsoft 365デスクトップユーザがMicrosoft Teams, Microsoft Outlook, Microsoft OneDrive for Businessへのログインを妨げている。
　ログインを試みた時、ユーザは、 "We ran into a problem. Reconnecting…"とするメッセージが表示され、このプログラムを再起動するようユーザに要請される。
　この画面はまた、下図に示すようにエラーコード80080300を画面の左下隅に表示している。

Microsoft Teams 80080300エラー（画像をクリックすると拡大表示されます）

　この問題は、先週リリースされた2021年05月の定例アップデートの一部であるWindows 10 1909 KB5003169累積アップデートによって発生する。
　この問題を修正するために、Microsoftは、このアップデートのインストールが終了した後、もう一度Windows 10を再起動する必要があると述べている。
　「我々は、Windows Update KB5003169を適用した一部のユーザが、Microsoft Teams, Outlook, OneDrive for Businessを含む様々なMicrosoft 365デスクトップ クライアントに接続できないとするレポートを受け取っている」と、「我々の調査によると、最近配備されたWindows Updateによって明らかになったコードの問題（KB5003169で詳細に説明している）が、この問題の原因であることが判明した」と、Microoftは最近のMicrosoftアドバイザリで説明している。
　Microsoftは、彼らのテレメトリ（遠隔測定法）は、ごく僅かなパーセンテージのユーザが、Windows 10を再起動するまで、このバグによる影響を受けていることを示していると、述べている。
　Windows 10を再起動しても、この問題が解決されない場合、Microsoftが、この問題を調査している間は、 Microsoft Teams, OneDrive for Business, OutlookのWebバージョンを使用するように推奨している。

---

Windows 10 KB5003173アップデートはエラー0x800f0922で失敗する。修正する方法
BleepingComputer : News>Security（2021/05/14）
　Windows 10 KB5003173累積アップデートは、Microsoft Edgeをこれまでにアンインストールしていた場合には、0x800f0922エラーを表示してインストールに失敗する可能性がある。
　Microsoftが今週、2021年05月の定例アップデートの一部としてWindows 10 KB5003173累積アップデートをリリースした後、一部のユーザは、このアップデートをインストールできないことを発見した。
　代わりに、このアップデートをインストールした後に、0x800f0922エラーが発生し、このアップデートのインストールが妨げられたとするメッセージがWindows Updateに表示される。

0x800f0922エラーでの失敗を表示しているWindows Update（画像をクリックすると拡大表示されます）

　BleepingComputerの読者は、Windows 10から提供されている新しいMicrosoft Edgeをこれまでにアンインストールしたユーザに関して、このアップデートに失敗するとレポートしている。
　9月以来、Microsoftは、Windows 10にこの新しいMicrosoft Edgeを強制的にインストールしてきたが、ユーザは依然として、望むのであればEdgeブラウザを手動削除することができた。
　この新しいMicrosoft Edgeをアンインストールすると、Edgeのアンインストーラは、関連する全てのファイルを削除するが、幾つかの空のフォルダを残したままにする。

空のEdgeフォルダ（画像をクリックすると拡大表示されます）

　Windows 10 KB5003173アップデートは新しいMicrosoft Edgeを含んでおり、Edgeを再インストールするはずであるが、これらの空のフォルダが、0x800f0922アップデートを吐いてこのアップデートを失敗させる。
　このバグの修正には、Windows 10のユーザは二通りの選択肢がある。

1．Microsoft Edgeを手動でダウンロードしインストールする。次に、Windows 10 KB5003173累積アップデートをもう一度インストールする。
2． "C:\Program Files (x86)\Microsoft\Edge"フォルダを削除する。次に、Windows 10 KB5003173累積アップデートをもう一度インストールする。

　この二つのオプションの何方かが機能し、最新の累積アップデートは成功裏にインストールできる。

---

新たなMoriyaルートキットは、Windowsシステムにバックドアを開けるためにオンライン上で使用されている
BleepingComputer : News>Security（2021/05/06）
　未知の脅威のアクターはターゲットのWindowsシステムにバックドアを空けるためにステルス性のルートキットを使用している。これは、少なくとも2018年以降のTunnelSnakeと名付けられた進行中のスパイ キャンペーンのように見える。
　ルートキットは、オペレーティングシステムの深層に隠れることによって検出を回避するように設計された悪意あるツールである。ルートキットは、攻撃者が検出が回避されている間は、攻撃者が感染したシステムを完全に乗っ取るために使用することができる。
　以前の未知のマルウェア（オンライン上で発見されKaspersky研究者によってMoriyaと名付けられた）は、攻撃者が犠牲者のネットワークトラフィックを秘密裏にスパイし、セキュリティ侵害されたホストにコマンドを送信することを可能にする受動的バックドアである。

異常な程こ狡いスパイ バックドア

　Moriyaは、TunnelSnakeオペレータが「Windowsカーネルのアドレス空間、オペレーティングシステムのカーネルに存在し、一般的に特権コードと信頼コードを実行するメモリ領域から」のインカミング ネットワークトラフィックを捕獲し解析することを可能にした。
　このバックドアが、コマンドアンドコントロールサーバに到達する必要なしに、犠牲者のネットワークトラフィック中に隠されているカスタムクラフトされたパケットの形式でコマンドを受け取っていた方法に、更にオペレーションのステルス性が追加された。これは、脅威のアクターの重点が検出回避にあることを示している。
　「我々は、TunnelSnakeのような大変秘密裏に行なわれているキャンペーンを確認している。このキャンペーンでは、攻撃者は可能な限りレーダーに見つからずに存在するために、ツールセットに投資し、より調整し、複雑にし、検出を困難にするための追加のステップとをとっている」と、KasperskyのGlobal Research and Analysis Teamの上級セキュリティ研究者Mark Lechtikは述べている。

Moriyaルートキット アーキテクチャ（画像をクリックすると拡大表示されます）

　Kasperskyのテレメトリ（遠隔測定装置）によると、このマルウェアは、標的を絞った攻撃で10未満のエンティティのネットワーク上に配備されていた。
　この脅威のアクターは、アジアとアフリカの外交組織やその他の著名な組織に属するバックドア化されたシステムを使用して、ネットワークを制御し検出されることなく数か月間持続した。
　この攻撃者はまた、改竄されたシステム（カスタムメイドで以前は中国語圏の攻撃者によって使用された）の攻撃後のステージの間に、追加のツール（China Chopper, BOUNCER, Termite, Earthwormを含む）を配備した。
　これは、犠牲者のネットワーク上をスキャンし新しく脆弱性のあるホストを発見した後、文字通り彼らはネットワークを移動することが可能になる。

攻撃者が中国語圏であることを示す全ての証拠

　Kasperskyの研究者は、キャンペーンを特定の脅威アクターに帰することはできなかったが、攻撃で使用された戦術、技術、手順（TTP）と、標的となるエンティティが、攻撃者が中国語圏である可能性が高いことを示唆している。
　KasperskyのGlobal Research and Analysis Teamの上級セキュリティ研究者であるGiampaoloDedolaは、「2018年のスタンドアロン攻撃で使用された古いバージョンのMoriyaも発見した。これは、少なくとも2018年以降、この攻撃者が活動していたことを示している」と、「ターゲットのプロファイルと悪用されたツールセットは、このキャンペーンにおける攻撃者の目的が、スパイであることを示唆してるが、実際に吸い上げたデータの認知度の欠如により、この件に関しては部分的にしか証明できない」と、付け加えている。
　Moriyaルートキットに関する技術的な詳細とTunnelSnakeキャンペーンに関連するセキュリティ侵害の痕跡は、Kasperskyのレポートに見出すことができる。
　10月、Kasperskyは、2つの非政府組織（NGO）に対しての2019年からの攻撃を調査しているときに、オンラインで使用された過去2番目のUEFIルートキット（MosaicRegressorとして知られる）も発見している。
　オンラインで使用されていたこれまでのUEFI Bootkitは、LoJaxとして知られており、ロシア政府系のAPT28ハッキンググループによって、合法的なLoJack盗難防止ソフトウェアに注入されていた2018年にESETによって発見されている。

---

Windows DefenderのバグがWindows 10ブートドライブを数千のファイルで満たしている
BleepingComputer : News>Security（2021/05/05）
　Windows Defenderのバグは、数千の小さなファイルを作成し、Windows 10ハードドライブで数Gバイトの保存スペースを浪費している。
　このバグは、Windows Defenderアンチウィルス エンジン1.1.18100.5に始まり、MD5ハッシュであるかのような名前の数千のファイルで、C:\ProgramData\Microsoft\Windows Defender\Scans\History\Storeフォルダを満たそうとする。

小さなファイルで満たされたWindows Defenderフォルダ（画像をクリックすると拡大表示されます）

　BleepingComputerによって確認されたシステムでは、作成されたファイルのサイズは、600バイトから1KBを少し超える程度の範囲である。

これらのファイルの一つのプロパティ（画像をクリックすると拡大表示されます）

　我々が検証したシステムでは、およそ1MBのファイル群で満たされていただけだったが、他のWindows 10ユーザは、彼らのシステムが数千のファイルで満たされ、或る場合では、30GBのストレージ容量が使用されていたと報告している。
　容量の少ないSSDシステムドライブ（C:）では、ストレージのかなりのスペースが不要なファイルで浪費されることが懸念される。
　この問題を最初にレポートしたDeskmodderによると、このバグは現在、最新のWindows Defender, version 1.1.18100.6で修正されている。
　Windows 10ユーザは、画面左下隅にある設定用の歯車アイコン（Settings cog icon）をクリックしAboutを選択することで、Windows Securityに移動し、Windows Defenderのバージョンをチェックすることができる。

Windows Defenderのバージョンチェック（画像をクリックすると拡大表示されます）

　エンジンのバージョンが1.1.18100.6未満で示された場合は、Windows Updateに移動し、アップデートの確認（Check for Update）をクリックし、最新のセキュリティ インテリジェンス更新プログラム（Security Intelligence Update for Microsoft Defender Antivirus）アップデートをダウンロードしなさい。
　このアップデートが有効であれば、Windows Updateは自動的にアップデートをインストールし、Windows 10の再起動を要求することはない。

---

脆弱性のあるDellドライバが数億のシステムを危険にさらしている
BleepingComputer : News>Security（2021/05/04）
　過去12年に渡り、一般消費者用と企業用のDellコンピュータデバイスに搭載されていたドライバは、そのシステム上で特権の昇格に導く可能性のある複数の脆弱性を含んでいる。
　デスクトップ、ラップトップからタブレットに至る数億のDellコンピュータが、BIOSアップデートを介して脆弱性あるドライバを受け取ったと見積もられている。

1つの中に5つのフロー

　まとめてCVE-2021-21551として追跡される5つのフローのコレクションは、DellマシンがBIOSアップデートプロセス中にインストールされロードされ、次の再起動時にはロードされないドライバであるDBUtil中に発見された。
　サイバーセキュリティ企業SentinelOneのセキュリティ研究者Kasif DekelよるDBUtilドライバの詳細な検証の結果、「非管理者ユーザからカーネルモード特権（【訳注】マイクロプロセッサ（CPU/MPU）の実行モードの一つで、すべての命令を制限なく実行できるモード（e-Wordより））に特権を昇格させる」悪用が可能であることが発見された。
　このレベルのパーミッションで行動している攻撃者のコードは、あらゆるメモリアドレス参照を含むそのシステム上で利用可能な全てのハードウエアに無制限にアクセスできる。
　この種の脆弱性は、攻撃者が悪用するには事前にそのコンピュータを改竄する必要があるために緊急とは考えられていない。しかしながら、脅威のアクターとマルウェアは感染したシステムに永続性を獲得することが可能である。
　追跡番号は1つであるが、そこには5つの個別のフローがあるとDekelは発言している。脆弱性の殆どは、特権の昇格を導くものであり、1つのコードロジック問題は、Denial of Service（DoS）を導くものである。

CVE-2021-21551	ローカルの特権昇格	メモリ損壊
CVE-2021-21551	ローカルの特権昇格	メモリ損壊
CVE-2021-21551	ローカルの特権昇格	入力検証の欠如
CVE-2021-21551	ローカルの特権昇格	入力検証の欠如
CVE-2021-21551	Denial of Service	コードロジック問題

　この研究者は、本日のブログへの投稿で技術情報を提供しているが、ユーザにパッチを適用する時間を与えるために、このフローをトリガーしたり悪用したりするための詳細は控えている。彼は6月1日に概念の実証エクスプロイト コードを共有する計画である。
　DekelはDellがこの脆弱性用のセキュリティアドバイザリを準備していると発言している。この救済策は、修正されたドライバであるが、この研究者は、このレポートを記述している時点で、Dellは脆弱性のあるドライバに関する証明書を無効にしていなかったと、つまり、ネットワーク上の攻撃者は依然として攻撃にこの脆弱性を使用することができることを意味していると発言している。

　「組織のネットワークにアクセスできる攻撃者は、未パッチのDellのシステムで、コードを実行するためのアクセス権を取得し、この脆弱性を利用してローカルの特権昇格を取得する可能性がある。次に、攻撃者は他のテクニックを活用して、横断的により広範なネットワークに方向転換することができる」- SentinelOne

　脆弱なDBUtilドライバーが長寿命であり、潜在的な被害者が多数いるにもかかわらず、SentinelOneは、すぐに変更される可能性があものの、これらの脆弱性が実際に悪用されていることを示す指標は見られないと述べている。
　SentinelOneは、脆弱なDBUtilドライバーを悪用して、ターゲットシステムでローカルの特権の昇格を達成できることを示すビデオを公開した。

---

Windows 10 DefenderがMicrosoftへのファイル アップロードを停止する方法
BleepingComputer : News>Security（2021/05/02）
　他のアンチウィルス プログラムのように、Microsoft Defenderも、それらが悪意あるものか否かを決定するためにMicrosoftにファイルをアップロードする。しかしながら、これをプライバシーリスクと見做し、サードパーティーにアップロードするより、自身のコンピュータ上に置いたままにしておきたいとする人々がいる。
　Microsoft Defenderはデバイスをスキャンすると、Defaultで、ファイルが悪意あるものであると疑われる時、そのファイルをMicrosoftサーバにアップロードするために「自動サンプル送信」機能を使用する。
　Microsoftのクラウドベースの保護は、ファイルを解析し悪意あるものであれば、Microsoft Defenderは、そのデバイス上にそのファイルを隔離する。
　ファイルを送信する時、Microsoft Defenderは実行ファイルとスクリプトは自動的にアップロードするが、ドキュメントのような個人情報を含む恐れのあるファイルをアップロードするときには最初にユーザに警告している。

Microsoft Defender自動サンプル送信プロンプト（画像をクリックすると拡大表示されます）

　「Windows Defender ウイルス対策がオンの場合は、デバイスのセキュリティ状態を監視します。Windows Defenderによって、マルウェアの疑いがあるソフトウェアやその他の望ましくないソフトウェアについて Microsoft に送信するレポートが自動的に作成されます。このレポートには、マルウェアが存在する可能性があるファイルが含まれる場合もあります」と、「ユーザ データが含まれる可能性が低いファイルは自動的に送信されます。ただし、Windows Defenderウイルス対策がドキュメント、スプレッドシート、またはその他の種類の個人用コンテンツが含まれる可能性があるファイルを送信しようとする場合には、許可を求められます（【訳注】共にMicrosoft日本語ホームページより引用）」と、MicrosoftのWindows 10とオンラインサービスでMicrosoftは説明している。

プライバシーリスクの可能性？

　私は、解析のために疑わしいファイルをアップロードすることは大変役に立つ機能だと考えるが、一部のアンチウィルスユーザは、これをプライバシーリスクと捉え無効化したいかもしれない。
　「おそらく、最も重要なのはプライバシーである。これらは私のコンピュータ上の私のファイルなので、人が読もうが読むまいが、私の許諾なく送信されたくない」と、この機能を無効化したいWindows 10ユーザは説明している。 　自動ファイル送信はまた、米国政府とロシアのアンチウィルス企業Kasperskyとの間での仲違いを発生させる可能性もある。
　2015年、Kasperskyは、ミステリアスな"Equation Group"に関連する一連のNSA（米国家安全保障局）の監視とハッキングツールを検出したと公開した。
　これらのツールは、これらのツールを持ち帰り、Kasperskyアンチウィルスを稼働させている自身のPCにそれらを格納したNSAの協力者のPCから繰り返しアップロードされた。このアンチウィルスは、これらのファイルを疑わしいものとして検出し、当時ロシアにあったKasperskyのサーバにアップロードした。

Microsoft Defenderの自動ファイルアップロードを無効にする方法

　我々は、依然としてユーザのコンピュータのセキュリティを向上させるために自動サンプル送信を可能にするように提案するが、あなたがMicrosoft Defenderの機能を無効にしたいのであれば、以下のステップを使用する。

１.　スタートメニューをクリックし、"Windows Security”で検索する。検索結果にこれが表示されたら、これを開く。
２.　Windows Securityが開いたら、'Virus & threat protection'（ウイルスと脅威の防止）をクリックする。
３.　Virus & threat protection（ウイルスと脅威の防止）が開いたら、Virus & threat protection（ウイルスと脅威の防止）カテゴリの下にある'Manage Settings'（設定の管理）をクリックする。


設定の管理オプション（画像をクリックすると拡大表示されます）

４.　Virus & threat protection（ウイルスと脅威の防止）で、スクロールダウンし、以下の図に示したように 'Automatic sample submission'（自動サンプル送信）を無効にする。


自動サンプル送信の無効化（画像をクリックすると拡大表示されます）

５.　無効に設定したら、User Account Control（UAC、ユーザアカウント制御）が表示されるのでYesボタンをクリックする。

　自動サンプル送信は、これで無効化された。上記ステップを逆にすることで再び有効にすることができる。

---

MicrosoftがIoT、OTデバイス中に緊急のコード実行のバグを発見
BleepingComputer : News>Security（2021/04/29）
　Microsoftの研究者は、Internet of Things (IoT)デバイスとOperational Technology (OT) 産業システム中に、2ダースに及ぶ緊急のリモードコード実行の脆弱性を発見した。
　これら25のセキュリティフローは、まとめてBadAllocとして知られており、メモリアロケーションのInteger OverflowやWraparoundバグを原因として発生する。
　脅威のアクターは、脆弱性のあるIoTとOTシステム上でシステムクラッシュのトリガーにし、リモートから悪意あるコードを実行するために、これらの脆弱性を悪用することができる。
　この脆弱性は、Microsoftの研究者が、複数のリアルタイム オペレーティングシステム(RTOS), C標準ライブラリ(libc)実装, 組み込みソフトウェア開発キット(SDKs)で広汎に使用されている標準メモリアロケーション関数中に発見したものである。
　「我々の調査によると、IoTデバイスと組み込みソフトウェアの一部として長年にわたって記述されていたメモリアロケーションの実装には、適切な入力検証が組み込まれていない」と、「これらの入力検証がないので、攻撃者は、メモリアロケーション関数を悪用し、ヒープオーバーフローを発生させ。結果として、ターゲットののデバイス上で悪意あるコードを実行することができる」と、Microsoftセキュリティ レスポンスセンターのチームは発言している。

BadAlloc攻撃に対して脆弱なデバイス

　BadAlloc脆弱性によって影響を受ける脆弱性のあるIoTとOTデバイスは、消費者、医療、産業用ネットワークに見つけることができる。
　BadAllocによって影響を受けるデバイスの完全なリストは、以下を含んでいる（パッチへのリンクはCISAのアドバイザリ中で利用できる）。

・　Amazon FreeRTOS, Version 10.4.1
・　Apache Nuttx OS, Version 9.1.0
・　ARM CMSIS-RTOS2, versions prior to 2.1.3
・　ARM Mbed OS, Version 6.3.0
・　ARM mbed-uallaoc, Version 1.3.0
・　Cesanta Software Mongoose OS, v2.17.0
・　eCosCentric eCosPro RTOS, Versions 2.0.1 through 4.5.3
・　Google Cloud IoT Device SDK, Version 1.0.2
・　Linux Zephyr RTOS, versions prior to 2.4.0
・　Media Tek LinkIt SDK, versions prior to 4.6.1
・　Micrium OS, Versions 5.10.1 and prior
・　Micrium uCOS II/uCOS III Versions 1.39.0 and prior
・　NXP MCUXpresso SDK, versions prior to 2.8.2
・　NXP MQX, Versions 5.1 and prior
・　Redhat newlib, versions prior to 4.0.0
・　RIOT OS, Version 2020.01.1
・　Samsung Tizen RT RTOS, versions prior 3.0.GBB
・　TencentOS-tiny, Version 3.1.0
・　Texas Instruments CC32XX, versions prior to 4.40.00.07
・　Texas Instruments SimpleLink MSP432E4XX
・　Texas Instruments SimpleLink-CC13XX, versions prior to 4.40.00
・　Texas Instruments SimpleLink-CC26XX, versions prior to 4.40.00
・　Texas Instruments SimpleLink-CC32XX, versions prior to 4.10.03
・　Uclibc-NG, versions prior to 1.0.36
・　Windriver VxWorks, prior to 7.0

BadAlloc緩和策

　この脆弱性は、発見されCISAに通報された、IoT研究グループのMicrosoftの'Section 52' Azure Defenderのセキュリティ研究者David Atch, Omri Ben Bassat, Tamir Arielによってベンダに強い衝撃が与えられた。
　このセキュリティ侵害のリスクを軽減するために、CISAは、BadAlloc攻撃に対して脆弱性のあるデバイスを使用している組織に以下を実行するよう推奨している。

・　利用可能なベンダのアップデートを適用する
・　全ての制御システムデバイスやシステムのネットワークへの露出を最小限に抑え、インターネットからアクセスできないようにする
・　制御システムネットワークとリモートデバイスをファイアウォールの背後に配置し、ビジネスネットワークから分離する
・　リモートアクセスが必要な場合は、仮想プライベートネットワーク（VPN）等の安全な方法を使用する。VPNは脆弱性が存在する可能性があるため、利用可能な最新バージョンに更新する必要がある。また、VPNは接続されたデバイスと同等の安全性しかないことに注意する

　脆弱性のあるデバイスが即座にパッチできないのであれば、Microsoftは以下のことをアドバイスしている。

・　脆弱性のあるデバイスがインターネットへの露出を最小化したり排除したりすることによって、攻撃される対象領域を減少する
・　重要な資産を保護するためにネットワーク セグメンテーション（【訳注】大規模なネットワークを小規模なネットワークに分割して管理すること(IT用語辞典より)）を強化する。
・　

　CISAはまた、実行が推奨される制御システムセキュリティと標的型サイバー侵入検知と緩和戦略に関する技術情報論文も提供している。
　これまでのところ、Microsoftは、BadAllocの積極的な悪用を検出していないが、CISAは、追跡を容易にするために、組織を標的とした悪意のある活動を報告するよう組織に求めている。
　米国国家安全保障局（NSA）は本日早く、ITおよびOTコネクションのリスクを評価し、悪意のある活動の防御と検出に関するセキュリティ アドバイザリを公開した。

---

Twitter誤ってアカウント確認を依頼する疑わしいメールを送信
BleepingComputer : News>Security（2021/04/21）
　Twitterは、彼らがユーザにアカウントの確認を要請するeMailを誤って送信したことで、木曜日の夜、完全なパニックに陥った。このメールはフィッシング攻撃のように見えるものである。
　これらのeMailは、多数のTwitterアカウントを持つBleepingComputerで、そのライターが受け取ったは米国東部時間の10時頃のことである。
　これらのeMailは、 件名に"Confirm your Twitter account" （日本では、「Twitterアカウントを確認してください」）が使用されており、'Confirm Now'とラベルされたボタンが含まれている。eMail中のリンクは全て正当なもののように見えるが、我々にとって予期しないeMailであったので、即座にフィッシング攻撃ではないかと疑った。

木曜日の夜に送信された疑わしいTwitterのアカウント確認メール（画像をクリックすると拡大表示されます）

　ユーザがこのメールに対する懸念をTwitterに照会したので、このeMailに疑いを持ったのは我々だけではなかったことが判明した。

Bailey's CometのTweet
Dan Santos, NovelistのTweet
Laura GのTweet

　この確認メールは、Twitterによる単純な誤りであることがTwitter Supportアカウントによって確認されたので、フィッシング攻撃ではないことが判明した。
　受信トレイにTwitter確認eMailの存在を見つけた人は、このメッセージを確実に無視し削除しなさい。

【訳者補注】この件に関する日本語情報としては、こちらのサイトもあります.

---

大規模なQlocker身代金要求型マルウェア攻撃は7zipを使用してQNAPデバイスを暗号化している
BleepingComputer : News>Security（2021/04/21）
　世界中のQNAPデバイスをターゲットにした大規模な身代金要求型マルウェアキャンペーンが進行中であり、ユーザは、パスワードで保護された7zipアーカイブ中に彼らのファイルが格納されていることを発見している。
　この身代金要求型マルウェアは、Qlockerと呼ばれており、2021年04月19日にQNAPデバイスを標的にし始めた。それ以来、我々のサポートフォーラムは大変な活況を呈し、ID-Ransomware（【訳注】被害者がファイルを暗号化したランサムウェアを特定できる、BleepingComputerのWebサイト）では被害者からの投稿が急増している。

Qlocker犠牲者からのID-R投稿（画像をクリックすると拡大表示されます）

　BleepingComputer Qlockerサポートトピックへの犠牲者からのレポートによると、攻撃者は7zipを使用してQNAPデバイス上のファイルをパスワードで保護されたアーカイブに移動する。ファイルがロックされている間に、QNAP Resource Monitorは、7zipコマンドライン実行である多数の'7z'プロセスを表示する。

QNAP Resource Monitorに見られる稼働中の7zip（画像をクリックすると拡大表示されます）

　この身代金要求型マルウェアが終了すると、QNAPデバイスのファイルは、.7z拡張子で終了するパスワードで保護された複数の7-zipアーカイブに格納される。この複数のアーカイブを解凍するには、犠牲者は、攻撃者のみが知っているパスワードを入力する必要がある。

パスワードで保護された7zipアーカイブ（画像をクリックすると拡大表示されます）

　QNAPデバイスが暗号化されると、ユーザは!!!READ_ME.txt脅迫文を残される。この脅迫文は、犠牲者がTor支払いサイトにログインするために入力する必要のある一意のクライアントキーを含んでいる。

Qlocker脅迫文（画像をクリックすると拡大表示されます）

　BleepingComputerが確認したQlocker脅迫文から、犠牲者は、アーカイブファイル用のパスワードを得るために0.01 Bitcoin（およそ、$557.74。60,289円）の支払いを告げられている。

QlockerのTor支払いサイト（画像をクリックすると拡大表示されます）

Update 4/22/21 12:44 AM（米国東部時間）:　弱点が発見された可能性がある。犠牲者は無料でファイルを復元できる可能性がある。依然として調査中なので、10 AM（米国東部時間）くらいにアップデートを投稿する。

Update 4/22/21 09:15 AM（米国東部時間）:　今朝早く、BleepingComputerは、Jack CableからQlockerのTorサイトで、ユーザーが7zipパスワードを無料で復元できるバグを発見したと連絡を受けた。

QNAPは最近の脆弱性を使用されている

　最近QNAPは、リモート攻撃者がデバイスへのフルアクセスを取得し、身代金要求型マルウェアを実行することが可能な緊急の脆弱性を解決した。
　QNAPは、以下の説明と共に二つの脆弱性を4月16日に修正した。

CVE-2020-2509: QTSとQuTS hero中のコマンド インジェクションの脆弱性
CVE-2020-36195: Multimedia ConsoleとMedia Streamingアドオン中のAQLインジェクションの脆弱性

　これらの脆弱性に関する詳細な情報は、QNAPに対してバグを公開したSAM Seamless Network研究チームによるブログの投稿中に見出される。
　QNAPがBleepingComputerに告げたところによると、彼らは、脆弱性のあるデバイスに身代金要求型マルウェアを実行できるCVE-2020-36195脆弱性をQlockerに攻撃されたと確信している。
　これにより、QTS, Multimedia Console, Media Streamingアドオンを最新バージョンにアップデートすることが強く推奨されている。
　これはファイルを復元することはないが、この脆弱性を使用する将来の攻撃からあなたを守ることになるだろう。

Qlocker IOCs:

関連するファイル !!!READ_ME.txt

脅迫文 !!! All your files have been encrypted !!!
All your files were encrypted using a private and unique key generated for the computer. This key is stored in our server and the only way to receive your key and decrypt your files is making a Bitcoin payment.
To purchase your key and decrypt your files, please follow these steps:
1. Dowload the Tor Browser at "https://www.torproject.org/". If you need help, please Google for "access onion page".
2. Visit the following pages with the Tor Browser:
gvka2m4qt5fod2fltkjmdk4gxh5oxemhpgmnmtjptms6fkgfzdd62tad.onion
3. Enter your Client Key:
[client_key]

---

偽のMicrosoft Store, Spotifyサイトが情報を盗むマルウェアを拡散している
BleepingComputer : News>Security（2021/04/18）
　攻撃者は、Webブラウザに保存されているクレジットカードやパスワードを盗むためのマルウェアを配布するためにMicrosoft Store, Spotify, オンライン ドキュメント コンバータを装うサイトを宣伝している。
　この攻撃は、サイバーセキュリティ企業ESETによって発見され、昨日Twitterで悪意あるキャンペーンに注意せよとする警告が発せられた。
　ESETの脅威検出研究所の所長Jiri Kropacとの会話で、BleepingComputerは、この攻撃が正当なアプリケーションであるかのように宣伝する悪意ある広告を介して運営されていることを認識した。
　例えば、この攻撃に使用されている広告の一つは、オンラインChessアプリケーションを宣伝している。
　しかしながら、ユーザがこの広告をクリックすると、ユーザはインチキの'xChess 3'オンライン チェス アプリケーション用の偽のMicrosoft Storeのページに連れて行かれ、Amazon AWSサーバから自動的にダウンロードされる。
　ダウンロードされたZIPファイルは、'xChess_v.709.zip' [VirusTotal]と名付けられている。これは実際には'Ficker'もしくは'FickerStealer'である。このソフトはBleepingComputerによって作成された Any.Run reportに示されているように、偽装した情報を盗むマルウェアである。

Fickerマルウェアを配布している偽のMicrosoft Storeページ（画像をクリックすると拡大表示されます）

　このマルウェア キャンペーンの他の広告は、Spotify（下図参照）やオンライン ドキュメント コンバータを装っている。訪問すると、ユーザが到着したページもFickerマルウェアを含むZIPファイルを自動的にダウンロードする。

到着した偽のSpotifyページ（画像をクリックすると拡大表示されます）

Fickerマルウェアはどのようなものか

　Fickerは、開発者が別の脅威のアクターにこのマルウェアを有料で貸出を始めた1月にロシア語で意思の疎通をするハッカーフォーラムにリリースされた情報を盗むためのトロイの木馬である。
　フォーラムへの投稿で、この開発者は、このマルウェアの能力を説明し、他の脅威のアクターが1週間から6ヶ月、誰かからこのソフトウェアを借りることを可能にしている。

FickerStealerマルウェアをマーケティングしているフォーラムへの投稿（画像をクリックすると拡大表示されます）

　このマルウェアを使用して、脅威のアクターは、Webブラウザ、デスクトップ メッセージング クライアント（Pidgin, Steam, Discord）、FTPクライアントに保存されている証明書を盗むことができる。
　パスワードを盗むことに加えて、この開発者は、このマルウェアが15以上の暗号通貨ウォレットを盗むことができ、ドキュメントを盗むことができ、犠牲者のコンピュータで稼働中のアクティブなアプリケーションのスクリーンショットを撮ることができると主張している。
　この情報はZIPファイルにコンパイルされ攻撃者に送り返される。そこで彼らはデータを解凍し、他の悪意ある行動に使用することができる。
　Fickerマルウェアの拡張された機能により、このキャンペーンの犠牲者は、即座にオンラインパスワードを変更し、ファイアーウォールで疑わしいポート フォワーディング ルールをチェックし、更なるマルウェアをチェックするためにアンチウィルススキャンを実行すべきである。

---

WordPressはそのWebサイトでGoogle FLoCを自動的に無効化する
BleepingComputer : News>Security（2021/04/18）
　WordPressは、Googleの新しいFLoCトラッキング テクノロジをセキュリティ上の懸念事項として取扱、WordPressサイトでDefaultでブロックする可能性があることを本日アナウンスした。
　かなりの期間、各ブラウザは、関心に基づく広告のために広告主によって使用されるサードパーティのブラウザクッキー[1，2，3]のブロックが増加していた。
　これに応えて、GoogleはFederated Learning of Cohorts（FLoC）と呼ばれる新しい広告追跡テクノロジーを導入した。このテクノロジは、Webブラウザを使用して、ユーザがWebをブラウズする方法に基づいて、ユーザを匿名で関心や挙動のグループに分けるものである。
　Googleが、今月Google ChromeでFLoCをテストし始めた後、GoogleのFLoCの実装は、或るプライバシーリスクを別のリスクに置き換えるだけであるとするプライバシー擁護派のコンセンサスがあった。
　「FLoCは、サード-パーティー トラッカーが、それ自体で行っていたプロファイリングを、個々人のブラウザに実行させる新しい方法であり、このケースでは、最近のブラウジング行為を挙動別にラベル付し、これをWebサイトや広告主と共有することを意味している。」
　「このテクノロジは、サードパーティークッキーのリスクは回避するだろうが、このプロセス中で新しいリスクを作成するだろう。これは、差別や略奪をターゲットにすることを含む挙動広告で多くの最も酷い非プライバシー問題を悪化させる可能性がある」と、Electronic Frontier Foundation (EFF、電子フロンティア財団)は最近のブログへの投稿で説明している。
　それ以来、Brave Browser, DuckDuckGo, Vivaldiのような他のプライバシーブラウザと検索エンジンの開発者は、彼らのソフトウェアや、それをブロックするために作成したソフトからFLoCを完全に削除した。

WordPressはFLoCをブロックすることを計画している

　本日の新しいアナウンスで、WordPressは、GoogleのFLoCテクノロジにセキュリティ上の懸念があり、このブログ用ソフトウェアの来るバージョンで、このテクノロジをブロックするつもりであると述べている。
　「WordPressはWebの約41%を支えている。このコミュニティは、4行のコードで人種差別、性差別、反LGBTQ+差別、精神障害者に対する差別と闘うことを支援している」と、WordPressは発言している。
　WordPressは、以下の4行のコードを使用してFLoCを無効化することを計画している。これにより、FLoCをそのサイトで無効化するように告げるHTTPリクエストヘッダーを発行することを、このブログ プラットフォームに発生させる。

function disable_floc($headers) {
$headers['Permissions-Policy'] = 'interest-cohort=()';
return $headers;
}

add_filter('wp_headers', 'disable_floc');

　WordPressは、一部の管理者が、このテクノロジを有効にしたいだろうと、これらの管理者は多分上述のコードをオーバーライドする技術的なノウハウを持っているだろうと説明している。WordPressはまた、管理者がFLoCを許可するか否かを制御することを可能にする設定を追加する可能性があると指摘している。
　しかしながら、WordPressの懸念は、この新しいトラッキング テクノロジを認識していない人々が、このテクノロジが何を伴うのかを完全に理解することなく自動的にこれを選択することである。それ故、WordPressに関するこれらユーザの最大の関心事は、このテクノロジを自動的に無効化することである。
　「関係者の利害や、これが緩和のための対応が必要な問題であることに、そもそも気がづいていないウェブサイト管理者のニーズ、これらのサイトのユーザーや訪問者の利害のバランスを考慮すると、そのような対応を取る方が適切である」とWordPressは説明している。
　WordPressは、このブロックは、2021年7月にリリースがスケジュールされているWordPress5.8で計画されているが、提案された変更を実装する前にフィードバックを要求している。
　FLoCは、もう直ロールアウトすると思われているので、WordPressは、このブログ プラットフォームの現在のバージョンへの「影響を増幅」するために、このコードを以前のバージョンにバックポート（【訳注】ソフトウェアの新しいバージョンの機能や、そのバージョン向けに開発されたプログラムなどを、古いバージョンで利用できるように移植すること（e-Wordsより））することを検討している。

---

Microsoft Edgeのアップデート サーバーがダウン
BleepingComputer : News>Security（2021/04/16）
　Microsoft Edgeのアップデートサーバは、世界的な停止に見舞われており、ユーザーは新しくリリースされた、このWebブラウザのバージョン90に更新できないでいる。
　昨日、Microsoftは、Kids Mode、新しいダウンロード ポップアップ、より良いフォント レンダリング、改善されたPDF印刷のような新しい機能の付属するEdge 90をリリースした。
　このアップデートはまた、今週Twitterでリリースされた0－Dayのリモートコード実行の脆弱性を修正しているので、早急にアップデートすることが多分適切な考えである。
　残念ながら、今朝から、ユーザはバージョン90にMicrosoft Edgeを自動アップデートすることが不可能になっており、代わりに、アップデートを実行した時に、以下の0x800421F7エラーが表示される。

「更新プログラムの確認中にエラーが発生しました: インターネットに接続できません。ファイアウォールを使用している場合は、MicrosoftEdgeUpdate.exe を許可リストに登録してください。 (エラー コード 7: 0x800421F7 -- system level)」

　今当に、BleepingComputerのテストで、このアップデートサーバは、以下に示すように依然として問題を持っている。

機能していないMicrosoft Edgeアップデートサーバ（画像をクリックすると拡大表示されます）

　この停止が長く続くとは思えないので、今日の後半には、ブラウザのヘルプ -> バージョン情報 に移動してMicrosoftEdgeの自動更新を試みることができるだろう。
　アップデート：　Microsoftはこの問題を認識しており、この問題の解決に向けて作業中である。一部の人達は、数回アップデートを実行することで、アップデートに成功している。

Edit：　我々は本日のカナリアアップデートでも、この問題が発生しているとする報告を確認しています。安定版のエラーに加えて、この問題を調査していることを全ての方々が認識していること確認したかった。以下の潜在的な回避策を引き続き試してください。しばらく待ってから再度更新を試みるようにしてみてください。

　Edit:　一部のユーザーは、数回再試行することでこれが解決したことを発見しています。 引き続きアップデートをチェックして、機能するかどうかを確認してください。ただし、すべての人が機能するとは限りません。 詳細がわかり次第、この投稿を更新し続けます。

---

Adobe: PhotoshopとDigital Editionの緊急の脆弱性を修正
BleepingComputer : News>Security（2021/04/13）
　Adobeは、Adobe Photoshop, Adobe Digital Editions, Adobe Bridge, RoboHelp中のセキュリティ上の脆弱性を解決するセキュリティアップデートをリリースした。
　全体で、Adobeは、4つの製品に影響する10のセキュリティ上の脆弱性を解決した。それらのうちの7つは、任意のコード実行や任意のファイルを書き込むことを可能にする緊急と評価されるものである。
　本日セキュリティアップデートを受け取った全製品中、Adobe Bridgeが最も多く、4つの「緊急」のコード実行のバグと、「重要」と評価される2つの脆弱性が修正されている。
　コード実行のバグは、攻撃者がWindows中の殆ど全てのコマンド（マルウェアのインストールやコンピュータの乗っ取りを含む）を実行することが可能なので、最も深刻なものである。
　Adobe Bridgeのバグに追加して、Adobeはまた、以下を含む彼らの製品群の他の脆弱性も修正した。

・ Adobe Photoshop中の2つの緊急の脆弱性
・ Adobe Digital Editions中の1つの緊急の脆弱性
・ RoboHelp中の1つの重要な脆弱性

　Adobeは、脆弱性のある製品を使用している顧客に、未パッチのインストレーションの脆弱性攻撃を成功に導くことが可能なこのバグを修正するために、可能な限り早急に、この最新バージョンにアップデートするようアドバイスしている。
　殆どの場合、ユーザは、その製品の自動アップデート機能を使用することによって、そのソフトウェアをアップデートすることができる。そのためには以下を使用する。

・ ヘルプ > アップデートの有無をチェック を実行する
・ 完全なアップデート インストーラは、Adobeのダウンロードセンターからダウンロードすることができる
・ 製品の自動アップデートを有効にする。この機能は、ユーザの介在を要求することなく、アップデートが検出されると自動アップデートされる。

　この新しいアップデートが自動アップデートを介して利用できない場合は、上述の最新のダウンロード リンクに関連付けられているセキュリティ ブレチンをチェックしなさい。

---

Google ChromeはNATスリップストリーミング攻撃を防止するためにポート10080を封鎖
BleepingComputer : News>Security（2021/04/09）
　Google Chromeは現在、NATスリップストリーミング2.0攻撃において悪用されているポートを防衛するために、HTTP, HTTPS, FTPのTCPポート10080へのアクセスをブロックしている。
　昨年、セキュリティ研究者Samy Kamkarは、NATスリップストリーミング脆弱性の新しいバージョンを公開した。これは、悪意あるWebサイト上のスクリプトが、訪問者のNATファイアーウォールをバイパスすることができ、訪問者の内部ネットワーク上のあらゆるTCP/UDPポートへのアクセスの取得を可能にするものである。
　これらの脆弱性を使用すると、脅威のアクターは、ルータ設定の改竄、プライベート ネットワーク サービスへのアクセスの取得を含む幅広い攻撃を実行することができる。

NATスリップストリーミング2.0攻撃のデモンストレーション（画像をクリックすると拡大表示されます）

　この脆弱性は、ルータのApplication Level Gateway (ALG)によってモニターされている特定のポート上でのみ機能するので、ブラウザ開発者は、多くのトラフィックを受け取らない脆弱なポートをブロックしてきた。
　現在、Coogle Chromeは、ポート69, 137, 161, 554, 1719, 1720, 1723, 5060, 5061, 6566へのFTP, HTTP, HTTPSアクセスをブロックしている。
　本日、Googleは、ChromeのTCPポート10080をブロックするつもりであると述べた。このポートに関しては、Firefoxが2020年11月に既にブロックしている。
　このポートをブロックすべきか否かの議論において、ブラウザ開発者は、AmandaバックアップソフトウェアとVMWare vCenterが、このポートを活用しているが、このポートのブロックによって影響を受けないと結論した。
　ポート10080をブロックした場合に最も懸念される点は、一部の開発者がポート80の代わりに、このポートを使用している可能性であったことである。
　「このポートは、末尾が"80"であり、UNIXシステムとの結びつけにルート権限を必要としないので魅力的なポートであった」と、Google Chromeの開発者Adam Riceは説明している。
　開発者が、このポートの継続使用を可能にするために、Riceは、開発者が、このブロックをオーバーライドするために使用できるエンタープライズ ポリシーを追加するだろう。
　ポートがブロックされると、ユーザは、このポートにアクセスを試みた時に、以下に示す 'ERR_UNSAFE_PORT'というエラーメッセージを表示される。

危険なポートへのアクセスをブロックしているGoogle Chrome（画像をクリックすると拡大表示されます）

　あなたが現在、ポート10080上のWebサイトをホストしているのであれば、別のポートを使用して、Google Chromeが、そのサイトに継続してアクセスできるようにすることを検討しなさい。

---

Facebookのデータリークであなたの情報が晒されたか否かを確認する方法
BleepingComputer : News>Security（2021/04/04）
　データ漏洩通知サービスHave I Been Pwnedは、昨日の5億を超えるユーザの電話番号と情報を含むFacebookのデータリークで、あなたのデータが晒されているか否かをチェックすることを可能にした。
　昨日、脅威のアクターは、533,313,128のFacebookユーザの個人情報（【訳注】 4/5日付毎日新聞朝刊は、日本人のデータ漏洩は42万人と報道しています）をハッキングフォーラムにリリースした。このデータには、携帯電話番号、名前、性別、場所、既婚や未婚の状況、職業、生年月日、eMailアドレスを含んでいる。
　このデータは、Facebookの'Add Friend'機能のバグを使用して2019年に収集された後、当初は、個人随意契約で販売された。これが発見された後、Facebookは直ちにこの脆弱性を閉じたが、脅威のアクターは、昨日最終的に実質無料（$2.19）になるまで、このデータを流し続けた。
　それ以来、Troy Huntは、Faceookメンバーのデータがこのリーク中で晒されているか否かをユーザが決定する支援として、彼が所有するHave I Been Pwnedデータ漏洩通知サービスにリークされたデータを追加した。
　Have I Been Pwnedに精通していない人々のために、このサイトは、データ漏洩で晒されたデータをインデックス化しているので、ユーザはメールアドレスをインプットしデータが晒されているデータ漏洩を一覧表示できる優秀なリソースである。
　Faceookリークが、あなたのメールアドレスを含んでいるか否かチェックするには、Have I Been Pwnedにアクセスし、検索フィールドにeMailアドレスを入力する、'pwned?'ボタンをクリックすると、eMailが晒されているデータ漏洩の全てのリストが表示される。
　例えば、以下の画像は、私が昨日のFacebookリークで晒されたことが判明しているeMailアドレスを使用した検索結果である。見ての通り、、Have I Been Pwnedは、このeMailアドレスが昨日リリースされたFacebookのデータ中に発見されたと通知してきている。

晒されたFacebookユーザを表示しているHave I Been Pwned（画像をクリックすると拡大表示されます）

　残念ながら、昨日のFacebookリークで最も一般的なユーザー識別が可能なフィールドは電話番号である。 ただし、5億3300万のFacebookメンバーのレコードのうち、eMailアドレスが含まれているものは250万にすぎない。
　このことから、あなたのeMailアドレスを検索し、Have I Been Pwnedが一致しないとする結果を戻してきたにしても、あなたは依然として、昨日のリークの一部である可能性は存在している。
　Troyは、ユーザーが電話番号を入力して、Facebookのリークで晒されているか否かを確認する方法を検討しているとツイートしている。
　Huntは昨日「それがロードされたメールアドレスだ」と、そして「私はまだ電話番号をどうするか考えている」とツイートしている。

---

5億3300万Facebookユーザの電話番号がハッカーフォーラムにリークされた
BleepingComputer : News>Security（2021/04/03）
　世界中のおよそ5億3300万Facebookユーザの携帯電話番号と他の個人情報が、人気のあるハッカーフォーラムに無料でリークされた。
　この盗まれたデータは、2020年6月にハッキングコミュニティに現れたのが最初であり、この時はFacebookデータを他のメンバーに販売していた。このリークを目立たせているものは、各アカウントに関連付けられている公開されているプロファイルと個人の携帯電話番号から取得することのできるメンバー情報を含んでいることにある。

2020/06のFacebookデータの当初のセール（画像をクリックすると拡大表示されます）

　この販売されたデータは、533,313,128 Facebookユーザの情報（メンバーの携帯番号、Facebook ID、名前、性別、場所、既婚や未婚の状況、職業、生年月日、eMailアドレス）を含んでいた。
　BleepingComputerによって確認されたFacebookデータのサンプルから、殆ど全てのユーザのレコードは、携帯電話番号、Facebook ID、名前、性別を含んでいる。
　以下は、米国のレコードの小さなサンプルであり、ニューヨークの917モバイル市外局番で始まる訂正済みの携帯電話番号を示している。

携帯電話番号付きでリークされた米国Facebookユーザのサンプル（画像をクリックすると拡大表示されます）

　Alon Gal（サイバー犯罪インテリジェンス企業のCTO、Hudson Rock）によると、脅威のアクターは、2019年に現在はパッチされてているが、脅威のアクターがメンバーの電話番号にアクセスすることを可能にしていたFacebookの"Add Friend"機能を脆弱性攻撃したと信じられている。
　この主張されている脆弱性が、脅威のアクターにリークされたデータ中の全ての情報を取得することを可能にしたのか、あるいは、電話番号だけなのかは分かっていない。そして、これらの情報は公開されているプロファイルから収集された情報と結合された。
　当初のデータの販売（$30,000と信じられている）の後、他の脅威のアクターは、プライベートTelegramボットを作成した。これは、他の脅威のアクターが金銭を支払うことでFacebookデータを介した検索を可能にするものである。

Facebookデータ リークは無料でリリースされた

　本日、このFacebookデータ リークは、ハッカーフォーラムの貨幣形式である 8 site 'credits'（およそ$2.19）で同じハッカーフォーラムに実質無料でリリースされた（この部分は和訳を変更しています）。
　データ漏洩は、当初高価格で随意契約売買されていたが、これは、ハッカーコミュニティ内で評判を得るための方法として、それらが最終的に無料になるまで低価格化されて販売されることが通常である。
　「毎度のことであるが、それが無料でリークされるまで、より安価で販売し始める」と、GalはBleepingComputerとの会話の中で述べている。

ハッカーフォーラムに無料で共有されたデータリーク（画像をクリックすると拡大表示されます）

　このデータリーク中には、Facebookの三人の共同設立者Mark Zuckerberg, Chris Hughes, Dustin Moskovitzの電話番号も含まれていた。このデータは、Facebookに最初に登録された4番目、5番目。6番目のメンバーである。

データリーク中のFacebook設立者（画像をクリックすると拡大表示されます）

　このデータリークに関連する我々の質問に対応して、Facebookは、このデータは2019年に収穫されたものと同じデータであるとBleepingComputerに告げた。
　「これは以前、2019年に報道された古いデータである。我々は発見し、2019年8月にこの問題を修正した」とFacebookのスポークスマンはBleepingComputerに告げている。
　このデータは2019年のものかもしれないが、電話番号やeMailアドレスは長年に渡り同じままであるのが一般的であるので、これは脅威のアクターにとって価値のあるものである。
　脅威のアクターによって説明されているように、漏洩されたメンバーの地勢学上のTop20のリストは以下である。

国名・地域	ユーザ数
エジプト	44,823,547
チュニジア	39,526,412
イタリア	35,677,323
アメリカ	32,315,282
サウジアラビア	28,804,686
フランス	19,848,559
トルコ	19,638,821
モロッコ	18,939,198
コロンビア	17,957,908
イラク	17,116,398
アフリカ	14,323,766
メキシコ	13,330,561
マレーシア	11,675,894
イギリス	11,522,328
アルジェリア	11,505,898
スペイン	10,894,206
ロシア	9,996,405
スーダン	9,464,772
ナイジェリア	9,000,131
ペルー	8,075,317

データは攻撃を指揮するために使用される

　このリリースは、ハッカーフォーラムの他の脅威アクターに熱狂的に受け入れられている。これは、彼らがデータリークにリストされている人々に攻撃を仕掛けるために使用できるからである。
　例えば、脅威のアクターは、フィッシング攻撃に電子メールアドレスを、スミッシング（モバイルテキスト フィッシング）攻撃に携帯電話番号を使用することができる。
　脅威のアクターは、SIMスワップ攻撃（【訳注】SIMスワップ攻撃に関する詳細な情報は、Sophosのサイトを参照）を実行するために携帯電話番号と漏洩した情報を使用することで、SMSを介して送信される多段階認証コードを盗むことができる。
　全てのFacebookユーザーは、詳細情報を要求したり、メール内のリンクをクリックするように指示したりする奇妙な電子メールやテキストに注意することを勧める。
　BleepingComputerはデータリークついてFacebookに連絡したが、現時点では回答を受け取っていない。

---

REvil身代金要求型マルウェア、「Windowsセーフモード」暗号化モードを搭載
BleepingComputer : News>Security（2021/03/21）
　REvil身代金要求型マルウェアは、おそらくセキュリティソフトの検出を回避し、ファイルの暗号化の大きな成功をもたらすために、Windowsセーフモードでファイルを暗号化する機能を追加した。
　Windowsセーフモードは、ユーザが管理者特権で実行でき、オペレーティングシステム上のタスクを調査することを可能にする特別な起動モードである。このモードは、オペレーティングシステムが動作するために要求される最小のソフトウェアとドライバでロードされる。
　更に、Windowsにインストールされ自動的に起動するように設定されているあらゆるプログラムは、それらプログラムのautoun（自動起動）が、特定の方法で設定されている場合を除いて、セーフモードでは起動することはない。
　Windowsでautorunを作成する方法の一つは、レジストリで以下のようなエントリを作成することである。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　'RunOnce'キーは一度だけプログラムを起動し、次にレジストリからこのエントリを削除するが、'Run'キーは、ユーザがログインする度にプログラムを起動する。
　例えば、以下のレジストリキーは、ユーザがログインするとC:\Users\test\test.exeプログラムを自動的に起動する。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Startup"="C:\Users\test\test.exe"

　しかしながら、このオートランは、以下のようにバリュー名の冒頭にアスタリスク（＊）を追加した場合を除き、セーフモードでは起動しない。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "*Startup"="C:\Users\test\test.exe"

REvilは現在「セーフモード」モードを搭載している

　MalwareHunterTeamによって発見されたREvilの新しいサンプルで、新しく追加された -smode コマンドライン引数は、デバイスを暗号化する前にセーフモードで再起動することをコンピュータに強制する。
　これを実行するために、REvilは、Windowsが再起動した時にSafe Mode with Networkingで強制的にコンピュータをブートするために以下のコマンドを実行する。

bootcfg /raw /a /safeboot:network /id 1
bcdedit /set {current} safeboot network

　次に、ユーザーがセーフモードでログインした後、'bcdedit / deletevalue {current} safeboot'を実行する'* franceisshit'と呼ばれる'RunOnce'オートランを作成する。

削除されるRunOnceエントリ（画像をクリックすると拡大表示されます）

　最後に、この身代金要求型マルウェアは、ユーザが中断できないWindows再起動を強制的に実行する。
　このプロセスが終了する直前に、考えようによってはワクチン使用に関するフランスの最近の審議に関する可能性のある'AstraZeneca'（アストラゼネカ）と名付けられた追加のRunOnceを作成する。
　このautorunは、デバイスが再起動された後、次にユーザがログインした時に -smode 引数なしにREvil身代金要求型マルウェアを再起動する。

AstraZenecaオートラン エントリ（画像をクリックすると拡大表示されます）

　これら二つの'RunOnce'エントリが、セーフモードでログインした後に実行され、次に自動的にWindowsによって削除されることを憶えておくことは重要である。
　再起動で、このデバイスはSafe Mode With Networkingで起動する。そして、ユーザはWindowsにログインすることを促される。一旦ログインすると、REvil身代金要求型マルウェアは、-smode 引数なしに実行され、そのデバイス上のファイルの暗号化を開始する。
　Windowsはまた、この身代金要求型マルウェアが終了した時に、通常モードでこのマシンを再起動するように'*AstraZeneca'レジストリキーによって設定された 'bcdedit /deletevalue {current} safeboot'を実行する。
　REvilがファイルを暗号化している間、セーフモード画面はブランクになるが、Windowsタスクマネージャを起動するためのCtrl+Alt+Deleteを使用することは依然として可能である。そこから、ユーザは、実行中の実行ファイルを確認できる。我々のテストにおいて、以下に示すように、これは'smode.exe,'と名付けられていた。

セーフモードで実行中のREvil身代金要求型マルウェア（画像をクリックすると拡大表示されます）

　起動している間、この身代金要求型マルウェアは、このデバイスの暗号化を終了するまで、タスクマネージャからあらゆるプログラムを起動することを妨げる。
　このデバイスが暗号化されると、残りのブートアップシーケンスを実行できるようになり、このデスクトップには、脅迫文が表示され、ファイルは暗号化されている。

セーフモードで暗号化されたデバイス（画像をクリックすると拡大表示されます）

異常なアプローチ

　REvilの新しいセーフモード オペレーションは、セーフモードで再起動した後、ユーザがこのデバイスにログインすることを要求するので多少奇妙である。
　更に、ユーザがセーフモードにログインすると、ブランク画面が表示される。そして、この身代金要求型マルウェアがこのデバイスを暗号化する時、デバイスに大きなスラッシング（【訳注】 コンピュータが搭載するメインメモリの容量に対して実行中のプログラムが使おうとするメモリ容量が過大なため、メモリとストレージとの間で内容の入れ替え（ ページング /スワッピング）が頻繁に起き、処理がなかなか進まない状態のこと（IT用語辞典より））が発生する。
　この挙動は、即座にユーザに疑念を発生させ、彼らのコンピュータを安全にするためにハイバーネートやシャットダウンを行うことになる。
　この理由から、攻撃者は、問題を発生させることなく暗号化したい特定のコンピュータ（仮想マシンやサーバのような）に対して新しいセーフモードコマンドを手動で実行することを可能にしている。
　この理由にも拘わらず、これは、身代金要求型マルウェアのギャングが、常に彼らの戦略を発展させていることなので、セキュリティ専門家やWindowsの管理者が監視しておく必要のある攻撃の新手法である。
　REvilはデバイスを暗号化するためにセーフモードを悪用する唯一のオペレーションではない。
　2019年に、'Snatch'として知られる別の身代金要求型マルウェアが、Windowsサービスを使用してセーフモードでデバイスを暗号化する機能を追加している。

---

Microsoft: 3月のアップデートで発生する更なる印刷問題を警告
BleepingComputer : News>Security（2021/03/18）
　Microsoftは、今月初旬にリリースしたWindows 10のアップデートをインストールした後、顧客は死のブルースクリーンの他に、更なる印刷問題が発生するかもしれないと発言している。
　Microsoftによると、これら最近のWindows 10アップデートは、幾つかのアプリケーションからの印刷時に、あるいは一部のプリンタへの印刷時に問題を発生する。これらの問題は、グラフィックの欠落や単色化、位置ズレや書式設定問題、ページやラベル印刷で空白印刷されるなどの問題が含まれる。
　「2021年03月09日もしくは03月15日にリリースされたアップデートをインストールした後、一部のアプリケーションから印刷した時、ユーザは予期しない結果を得るかもしれない」と、このアップデートに関してWindows 10 Health Dashboardで発言している。
　Microsoftによって強調された印刷問題は、

・　バーコード、QRコード、ロゴのようなグラフィックスを含むドキュメントの要素が、白黒やカラーボックスで印刷される、あるいは欠落する可能性がある。
・　表の枠線が欠落する。位置ズレや書式設定不良が発生する可能性がある。
・　一部のアプリケーションからの印刷や一部のプリンタでの印刷は結果として空白のページやラベルとなる可能性がある

影響を受けるプラットフォームと問題となっているアップデート

　影響を受けるプラットフォームは、Windows 7以降のWindowsバージョンの広汎な範囲のクライアント版とサーバ版が含まれる。

・　クライアント版：　Windows 10, version 20H2; Windows 10, version 2004; Windows 10, version 1909; Windows 10, version 1809; Windows 10 Enterprise LTSC 2019; Windows 10, version 1803; Windows 10 Enterprise LTSC 2016; Windows 10, version 1607; Windows 10 Enterprise 2015 LTSB; Windows 8.1; Windows 7 SP1
・　サーバ版：　Windows Server, version 20H2; Windows Server, version 2004; Windows Server, version 1909; Windows Server, version 1809; Windows Server 2019; Windows Server, version 1803; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

　印刷時に問題を発生させる累積アップデートは、

・　Windows 10 2004/20H2 と Windows Server 2004/20H2用のKB5000802
・　Windows 10 1909 と Windows Server 1909用のKB5000808
・　Windows 10 1809 と Windows Server 2019用のKB5000822
・　Windows 10 1803 と Windows Server 1803用のKB5000809

　Microsoftは、これらの問題に関する修正を作業中であり、近日中に解決策が提供されるだろう。

進行中のWindows印刷問題

　Windowsデバイス上で印刷に影響を与えるこれらの新しい問題は、印刷時に死のブルースクリーンを発生させるバグを修正した複数の定例外Windows 10累積アップデートのリリースと続いた。
　クラッシュ問題の修正を主張したにも関わらず、複数のBleepingComputerの読者は、依然としてMicrosoftが本日の更新で発言したブルースクリーン クラッシュと一部の問題を経験しているとレポートしていた。
　Microsoftは、BleepingComputerが印刷中のシステムクラッシュに関する一連のユーザーからの苦情を報告した後、Windows 10のBSODクラッシュを引き起こす既知の問題を確認した。
　OOB（定例外）更新プログラムを発行する前に、Microsoftは、一部の顧客があまりにも複雑とした手順を改良したこのクラッシュの一時的な修正も提供している。 　

---

BlenderのWebサイトはハックングを企てられた後メンテナンスモードに
BleepingComputer : News>Security（2021/03/15）
　Blender.org（人気のある3Dコンピュータ グラフィックソフトウェアBlenderの公式Webサイト）は、サイトに表示されているメッセージによると現在メンテナンスモードになっている。
　「 http://blender.org Webサイトは、ハッキングを企てられたことによりメンテナンス下にある」と、本日早朝Twitter上のBlender公式アカウントは表明しており、更に「このWebサイトは可能な限り早急に復活するだろう」と追加している。
　「 Wiki, 開発者ポータル, git（【訳注】 分散型バージョン管理システム）リポジトリ, http://blender.chat等を含む殆どの基本的な機能は、通常通り利用可能である」とBlenderは追加している。
　Blenderによると、blender.orgのWebサイトの一部とブログの一部が依然としてダウンしたままであり、数時間オフラインのままになっている。
　このサイトのホームページは、通常通り稼働し続けているが、このサイトの他の部分では、"This page is not available"エラーを表示し、訪問者には"a copy on the Internet Archive."（インターネット・アーカイブのコピー）をチェックするよう訪問者に促している。

Blender.orgのメンテナンスモード メッセージ（画像をクリックすると拡大表示されます）

　Blenderは、ダウンロードできる全てのファイルに関してchecksum（チェックサム）が検証され、ダウンロードしても安全であると考えていると発言している。
　また、download.blender.org/release/や公式のダウンロードページ（再び利用可能になった後）に、Linux, Windows, macOS用の全てのリリースで利用可能なMD5やSHA256ハッシュを使用して、Blenderのサーバや他の全てのミラーからダウンロードできる全てのファイルのチェックサムをチェックすることができる。
　「http://blender.org Webサイト（そして、他のブログ）は、もう数時間オフラインのままだろう」と、「チェックサムは検証された、Blenderのダウンロードは安全であると考えられる」と、Blenderは追加している。
　cloud.blender.orgにホストされているBlenderトレーニングビデオにアクセスするためのBlender Cloud Webベースサービスは、この攻撃の影響を受けていない。このハッキングの試みは、このWebサイトの www サブドメインに影響を与えただけである。

　BlenderのTwitterへのリンク

　BleepingComputerは詳細に関してBlenderのスポークスマンに問い合わせているが、回答は戻ってきていない。
　これは現在進行中の問題である。

---

Windows 10はMicrosoftの3月の定例パッチにより印刷している時にクラッシュする
BleepingComputer : News>Security（2021/03/10）
　昨日リリースされたWindows 10の KB5000802とKB5000808累積アップデートは、ネットワークプリンタに印刷している時にBlue Screen of Death（死のブルースクリーン）を発生している。
　昨日、2021年3月の定例アップデートの一部として、Microsoftは、Windows 10 KB5000802とKB5000808累積アップデートをリリースした。
　それ以来、印刷している時、Windows 10で"APC_INDEX_MISMATCH for win32kfull.sys"死のブルースクリーンクラッシュが発生するという定常的な不平不満の流れがある。

APC_INDEX_MISMATCH for win32kfull.sysの例（画像をクリックすると拡大表示されます）

　Reditでのシステム管理者の投稿[1,2]によると、昨日KB5000802とKB5000808のアップデートをインストールし、印刷しようとすると、Windows 10のクラッシュは即座に始まった。
　「ハイ、Jen。私自身を含めr/sysadminにいる何人かは、京セラKXドライバ タイプ3を使用してWindows Serverプリンタシェアに印刷ジョブを送信している時に、アップデート後（少なくともWin10 20H2以降）BSODを見ている（即ち、KXドライバ タイプ4や他の一般的なタイプ3/4ドライバは、この問題を提示しない）」と、あるRedditのユーザは投稿している。 　「KB5000802は、私の或るクライアントのところの全ての京セラの印刷を切断した。昨年6月の印刷の問題と同じ形でのBSODである」と、他のユーザは確認している。通常の修正方法は何れも機能しないようだと述べている。
　影響を受けることが認識されているプリンタメーカーの一部には、京セラ、リコー、ダイモが含まれている。
　昨日これらのアップデートを受信した仮想マシンを使用して、BleepingComputerは、3月のプレビュー版のアップデートに戻したところ、最早昨日のようにKB5000802累積アップデートは提供されなかった。
　これは、Microsoftが問題を調査している間に、このアップデートをWindows Updateから引き抜いたことを示している。しかしながら、このアップデートは依然として、Microsoft Update カタログから入手可能である。
　更に、我々の一部のマシンは、2月24日にリリースされたKB4601382プレビュー版の累積アップデートを提供されているが、昨日のKB5000802は存在していない。これは、おそらくセキュリティアップデートがクラッシュを発生させている可能性を示している。

新しいWindows 10 KB5000802 updateは提供されていない（画像をクリックすると拡大表示されます）

　昨日、Microsoftは、Windowsプリントスプーラの特権の昇格の脆弱性を修正する二つのセキュリティアップデート（CVE-2021-1640、CVE-2021-26878として追跡される）をリリースした。
　Microsoftは、先月に提供したプレビュー版の累積アップデートにはセキュリティアップデートを含めていなかった。これが、おそらくプレビュー版のユーザが印刷時に同じクラッシュを経験をしなかった理由である。
　2020年6月の定例アップデートで、ユーザが印刷できないようにするバグもまた導入された。この印刷問題を解決するために、MicrosoftはWindowsユーザのために定例外アップデートをリリースした。

印刷時にwin32kfull.sysクラッシュを修正する方法

　残念ながら、プリンタドライバをアップデートすることでこの問題の修正を試したが、大概は不成功であった。
　代わりに、Windows 10ユーザは、KB5000802もしくはKB5000808アップデートを強制的にアンインストールすることで、印刷は再び正しく動作するようになる。
　印刷バグで影響を受けているのであれば、アプリケーションを終了させ、コマンドプロンプトを起動することでWindows 10 KB5000802累積アップデートをアンインストールすることができる。コマンドプロンプトで、以下のコマンドを入力しなさい。

wusa /uninstall /kb:5000802

　Windows 10 KB5000808累積アップデートをアンインストールするには、以下のコマンドを代わりに使用する

wusa /uninstall /kb:5000808

　アップデートをアンインストールする詳細なヘルプに関しては、このガイドを使用しなさい。
　BleepingComputerはさらなる情報を求めてMicrosoftにコンタクトしたが、未だ回答はない。

---

TikTocを使用しているか？ 6つのセキュリティチップをチェックしよう
Sophos : Naked Security（2021/03/04）
　TikTokは、中国企業ByteDanceが所有し、ユーザが3秒～1分の長さの範囲の短いビデオを作成・共有するビデオ-シェアリング サービスである。
　TikTokは、2005年のMySpace、2008年のFacebook、最近では2014年頃のInstagramとSnapchatに続いてソーシャルメディアの王座にある最新のアプリケーションである。
　否が応でも、TikTokの最近の人気を否定することはできない。TikTokの成功の大部分は、他の人気あるアプリケーションが今まで実行したことのない相互通信のより新しく、より一意の方法を提供しているためである。
　このアプリケーションは、2016年に稼働したが、2020年はTikTokが支配した年であった。これは、おそらく新型コロナウィルスのパンデミックに起因して、多くの人々が突然、馬鹿げたビデオを視聴し、それらを友人に送る、あるいは、馬鹿げたビデオの作成に参加したりするための多くの時間を持ったことを意味している。

味方か敵か？

　世界的な人気にも関わらず、多くの人々と政府は、2020年6月にインド政府が、他の58の中国系電話アプリケーションと共にソーシャルメディアプラットフォームを締め出したこともあり、TikTokに関するサイバーセキュリティ上の懸念を持っている。
　セキュリティ上の懸念の大部分は、TikTokが中国企業であることに集中している。インド政府によると、中国の法律が、その国の企業は政府と情報を共有する必要があるとしているために、TikTokは安全保障上の脅威となった。
　このアプリケーションの人気は継続し、米国の10代の間で成長しているので、米国は、中国政府にこれまで以上に及ぶ範囲の巨大化の可能性を懸念して、2019年にTikTokの調査を発動した。
　Wells Fargoを含む幾つかの米国企業は、企業所有のデバイスからTikTokアプリケーションを削除するように従業員に求めた。既に米軍は官給の電話からTikTokを締め出している。
　これらの懸念にも関わらず、TikTokが誰かから情報を「盗んだ」とする確たる証拠を共有した者はいない。
　そうは言っても、あなたが使用しているプラットフォームが何であれ（TikTok, Facebook, Twitter等）、常に、あなたが共有している全てのデータは、いつか公開されたり他の人々の手に渡る可能性があるということを疑うことから始めるのがベストである。
　TikTokを使用することを決めたのであれば（全てのソーシャルメディア プラットフォームで同じことがあてはまる）、あなたが何を共有しているのかに注意しなさい、そして、如何なる（【訳者補注】モバイル・アプリケーションの）固有セキュリティやプライバシーを想定しないようにしなさい。

TikTokを安全にする6つのヒント

　TikTok上であなた自身の安全を守りたい、あるいは、子供や若い人々を保護したいかに拘わらず、TikTokを使用している時に、あなたのセキュリティとプライバシーを最大にするための支援となる幾つかのヒントを以下に示す。

1.　必ずTikTokアカウントをPrivate（非公開）にする
　本質的にあなたのアカウントをPrivate（非公開）にすることは、誰かがフォローする前に、その人が承認される必要があることを意味している。これは、あなたのビデオや「いいね」に友人だけがアクセスできることを保証することになる。
　Settings > Privacy and Safety（設定 > プライバシー設定）に進み、見出しのDiscoverability（見つけやすさ）を探しなさい。
　この機能をアクティベートするには、Private Account（非公開アカウント）オプションをONにしなさい。

2.　他の人があなたを見つけることを許可しない
　Defaultで、TikTokは、あなたが知らない人々の"For you"ページに、それを掲載することによってあなたのコンテンツを共有する。あなたが見知らぬ人にビデオを見られたくないのであれば、上図に示したSuggest your account to others（あなたのアカウントを他のユーザにおすすめ表示する）オプションをOFFにしなさい。
　この設定をOFFにすることで、あなたのアカウントは他のユーザに推奨されなくなり、他の人々が検索エンジンを介してあなたのアカウントを発見することができなくなる。

3.　双方向通信を許可しない
　TikTokユーザは、複数の方法であなたのアカウントとコンテンツと双方向に通信することができる（それを閲覧したり、ダウンロードしたり、あなたに直接メッセージしたり、ビデオでデュエットしたり）。
　これら双方向通信のDefault設定はONである。しかし、あなたは、Friend（即ち、あなたのアカウントをフォローすることを許可した人々のみ、あなたのコンテンツと双方向通信することができる）やOFFに変更するオプションを持っている。
　他のユーザがあなたのビデオと相互通信することができる方法を制限するには、Privacy（プライバシー設定）ページのSafety（安全フィルター）セクションに進む。

　双方向通信をブロックすると、コメント、デュエット、リアクションを停止し、他の人があなたのメッセージや「いいね」したビデオの閲覧を妨げることになる。
　メッセージをブロックすることは、TikTokユーザがプライベートにチャットする方法（悪意ある誰かによって簡単に悪用される機能）なので特に重要である。

4.　利用時間を管理する
　TikTokは中毒性の高いものであり、平均的ユーザは短いビデオのスクロールに1日52分費やしている。
　このアプリケーションの時間を制限したいのであれば、Settings & Privacy（プライバシー設定）のページのDigital Wellbeing（デジタルウェルビーイング）セクションに進む。時間制限するには Screen Time Management（使用時間制限モード）を使用する

　この制限を1日30分に設定したなら、この制限に到達すると1日の残りの時間はカットオフされる。
　設定している間に、将来子供がこの設定を変更することを妨げるパスコードを選択することが可能である。

5.　子供達のアカウントにはRestricted Mode（制限モード）を使用する
　これは、TikTokを使用する子供を持つ親にとって最も重要な設定の一つである。
　制限モードは、子供に見せるにはふさわしくないコンテンツをストップする。100％正確ではないが、かなり良い仕事をする。
　子供が後にこの設定を変更することを防ぐためにパスコードを設定することも可能である。
　この設定はまた「利用時間を管理」セクションでも発見される。

6.　ファミリーセーフティーモードの利用
　これは、あなたが少年のアカウントを‘Parent’もしくは‘Teen’に割り当て、そのTikTokアカウントにアクセスできるようにすることを可能にする重要な設定である。
　そのアカウントに接続すると、あなたは以下のことを制御できる:

・　利用時間管理：　子供が毎日どのくらいの時間TikTokに費やせるのかを設定する。
・　ダイレクトメッセージ：　子供に誰がメッセージできるのかを決定する。もしくは、ダイレクトメッセージを完全にOFFにする。
・　制限モード：　子供に不適切と思うコンテンツのタイプを制限する。

　これら全てを自分のデバイスから管理できので、子供を常に保護することができる。
　この設定は、デジタルウェルビーイングのファミリーセーフモード セクションにある。

---

ハッカーはペイメントカードの3Dセキュアをバイパスする方法を共有
BleepingComputer : News>Security（2021/03/03）
　サイバー犯罪者は、オンラインカード取引認証に使用される3Dセキュア（3DS）プロトコルを回避する方法を常に模索し文書化している。
　地下フォーラムでの論議は、ソーシャル・エンジニアリングとフィッシング攻撃を結びつけることによって、最新のセキュリティ機能をバイパスする方法に関するアドバイスを提供している。
　複数のダークWebフォーラムの個人が、顧客の取引を保護するために実装されたショップで不正な購入を実行することに関する彼らの知識を共有している。
　3DSは、クレジットカードやデビットカードを使用するオンライン購入のためのセキュリティレイヤーを追加する。これは支払いを認証するためにカード所有者に直接確認を要求する。
　この機能は、銀行が取引を承認するためにコードや静的パスワードをユーザに要求した最初のバージョンから進歩している。スマホ向けに設計された二度目のバージョン（3DS 2）では、ユーザは、彼らの生体データ（指紋、顔認証）を使用するバンキング・アプリケーションで認証することによって購入を確認することができる。
　3DS 2が提供する高度なセキュリティ機能にも関わらず、最初のバージョンは、依然として広く採用されたままであり。彼らのソーシャル・エンジニアリングのスキルを使用するチャンスや、取引を承認するためのコードやパスワードを与えるようにユーザを欺くチャンスをサイバー犯罪者に与えている。

ソーシャル・エンジニアリングは3DSコードを取得する

　本日のブログへの投稿で、脅威インテリジェンス企業Gemini Advisoryは、サイバー犯罪者が3DSを実装されたオンラインストアで偽の購入を実行することに関してダークWebフォーラムで議論している方法の一部を共有した。
　これは全て、少なくとも名前、電話番号、eMailアドレス、住所、母親の旧姓、ID番号、運転免許証番号を含むカード所有者の完全な情報で始まる。 　同じ戦術は、最新の3DSで機能し、リアルタイムで購入することができる可能性がある。ハッカーは一流の地下フォーラムへの投稿でこの方法を説明している。

（画像をクリックすると拡大表示されます）

　カード所有者の完全な詳細、ボイスチェンジャー、電話番号なりすましアプリを使用して、詐欺師はサイトで購入を開始し、次に犠牲者に電話して必要な情報を引き出す。

「最終段階で、ハッカーは、最終的な本人確認用の確認コードを受け取るように犠牲者にアドバイスする。その時点で、サイバー犯罪者はその店に注文する必要がある。犠牲者の電話に送信された確認コードの入力を促されたなら、詐欺師は犠牲者からそのコードを取得する必要がある」Gemini Advisory。

　3DSコードを入手することは、フィッシングやインジェクションのような他の方法で可能である。犠牲者がフィッシングサイトで購入を実行すると、犯罪者は正当な店にその詳細全てを渡してその製品を取得する。
　Gemini Advisoryの発見によると、サイバー犯罪者の一部が、盗んだクレジットカードデータをPayPalアカウントに追加し、それを支払い方法として使用している。
　他の方法は古典的であり、セキュリティコードを傍受し、詐欺師にそれを渡すマルウェアで犠牲者の電話番号を侵害することを伴っている。
　あるいは多くの店舗では、取引が特定の制限を下回っている場合には3DSコードを要求しないため、詐欺師は複数の小規模な購入を持ち逃げすることができる。
　これらの手法の殆どは、以前のバージョンの3DSが存在している場合に機能する。3DS 2が広く採用されるまでには未だ長い道のりがある。ヨーロッパはより安全な標準（PSD2規制-3DS 2で満たされる強力な顧客認証）への移行を主導している一方、米国では3DS 1を使用する加盟店の不正責任保護は、2021年10月17日に期限切れになる。
　しかしながら、Gemini Advisoryは、サイバー犯罪者もソーシャルエンジニアリングを通じてより安全な3DS 2を攻撃するだろうと確信している。

---

Microsoftは積極的に脆弱性攻撃されているExchangeの0-Dayのバグを今パッチした
BleepingComputer : News>Security（2021/03/02）
　Microsoftは、標的型攻撃において積極的に脆弱性攻撃されている4つの0-Dayを修正したMicrosoft Exchangeの全てのバージョンをサポートする定例外のセキュリティ アップデートをリリースした。
　これら4つの0－Dayの脆弱性は、Microsoft Exchangeサーバへのアクセスを取得し、eMailを盗み、ネットワークへのアクセスを増加させるためのさらなるマルウェアを植え付けるものと結び付けられている。
　この攻撃が動作するには、リモート攻撃者は、オンプレミスのEicrosoft Exchangeサーバのポート443へのアクセスを必要とする。このアクセスが可能なら、脅威のアクターは、リモートアクセスを取得するために以下の脆弱性を活用する。

CVE-2021-26855は、攻撃者が任意のHTTPリクエストを送信し、Exchangeサーバとして認証されることを可能にするExchange中のserver-side request forgery (SSRF、【訳注】SSRFの詳細に関してはCyber Security.comのこちらのページを参照してください)である。
CVE-2021-26857は、Unified Messagingサービス（【訳注】電話、 FAX 、電子メールなど異なる通信手段のメッセージをデータ化して、 サーバー 上で 一元 管理すること（コトバンクより））中の逆デジタル化の危険な脆弱性である。危険な逆デジタル化は、信頼できないユーザ制御可能なデータがプログラムによって逆デジタル化されることである。この脆弱性を悪用することで、ExchangeサーバのSYSTEMとしてコードを実行する能力をHAFNIUM（【訳注】中国政府系ハッカーグループの名前）に与える。これは、管理者パーミッションもしくは、悪用可能な他の脆弱性を要求する。
CVE-2021-26858は、Exchangeにおける認証後の任意のファイル書き込みの脆弱性である。HAFNIUMが、Exchangeサーバに認証されると、次に彼らは、サーバ上の任意のパスにファイルを書き込むためにこの脆弱性を使用する。彼らは、CVE-2021-26855 SSRF脆弱性を悪用することによって、あるいは、正当な管理者証明書を改竄することで認証されることができる。
CVE-2021-27065は、Exchangeにおける認証後の任意のファイル書き込みの脆弱性である。HAFNIUMが、Exchangeサーバに認証されると、次に彼らは、サーバ上の任意のパスにファイルを書き込むためにこの脆弱性を使用する。彼らは、CVE-2021-26855 SSRF脆弱性を悪用することによって、あるいは、正当な管理者証明書を改竄することで認証されることができる。

　Microsoftは、データを盗むために米国組織に対してこれらの攻撃を悪用しているHAFNIUMとして知られる中国政府系ハッカーグループを検出した。
　「歴史的にHAFNIUMは、主に米国企業体を攻撃しており、感染症研究者、法律事務所、高等教育機関、防衛関連契約業者、政策シンクタンク、NGO法人を含む数多くの産業から情報を盗み出すことを目的にしている」と「HAFNIUMは中国に拠点を置いているが、主に米国でリースされた仮想プライベートサーバ（VPS）から作戦は指揮されている」と、Microsoft は本日のブログへの投稿で明らかにしている。
　脆弱性のあるMicrosoft Exchangeサーバへのアクセスを取得すると、HAFNIUMは、Webシェルをインストールし、データ、アップロードファイル、セキュリティ侵害されたシステム上でほぼ全てのコマンドを実行することが可能になる。
　HAFNIUMは、Webシェルを使用してキャッシュされている証明書を収穫するためにLSASS.exe実行ファイルのメモリダンプを実行する。
　彼らは、Exchangeサーバからメールボックスと盗んだデータをエクスポートし、彼らが後に取得することのできるMEGAのようなファイルシェアリングサービスに、そのデータをアップロードする。
　最後にHAFNIUMは、そのマシンと内部ネットワークにアクセスするために彼らのサーバに戻るリモートシェルを作成する。
　この攻撃の申告性に起因して、Microsoftは、これらの攻撃からExchangeサーバを保護するために、管理者は「直ちにこれらのアップデートをインストールする」ように推奨している。
　Microsoftの上級脅威情報分析官Kevin Beaumontは、Nmap Scriptを作成した。このスクリプトは潜在的な脆弱性のあるMicrosoft Exchangeサーバのネットワークをスキャンする。
　このスクリプトを使用するには、彼のGitHubのページからNmap Scriptをダウンロードする。このファイルを/usr/share/nmap/scriptsに格納し、nmap --script http-vuln-exchange コマンドを使用する。

Microsoft Exchangeサーバの潜在的な脆弱性を示すNmapスクリプト（画像をクリックすると拡大表示されます）

　Exchangeサーバが更新される必要があると決定したなら、サーバに現在サポートされている累積アップデートと更新プログラム・ロールアップがインストールされていることを確認する必要がある。
　管理者は、サポートされているアップデートに関する詳細情報と、パッチをインストールする方法に関しては本日公開されたMicrosfot Exchangeチームの記事中に見出すことができる。
　これらの脆弱性を使用してMicrosoft Exchangeサーバーがセキュリティ侵害されたか否かを検出するために、Microsoftは、攻撃の痕跡を確認するためにイベントログ/Exchange ServerのログをスキャンするPowerShellおよびコンソールコマンドを提供している。

---

MicrosoftはWindows 10ドライブ損壊のバグを修正 - 知る必要のあること
BleepingComputer : News>Security（2021/02/27）
　Microsoftは、単に特定のパス、もしくは特別に細工されたファイルを閲覧することでNTFSボリュームが損壊することになるWindows 10のバグを修正した。
　先月、BleepingComputerは、低い特権のユーザを含むあらゆるユーザが、NTFSボリュームをダーティーとしてマークできる新たなWindowsのバグをレポートした。
　全てのWindowsユーザが、このバグの引き金を引くために実行する必要のあることは、以下の画像に示したように、特定のパスにアクセスすることである。

パスにアクセスするとドライブは損壊としてマークされる（画像をクリックすると拡大表示されます）

　一旦、Windowsがこのパスにアクセスしようとすると、"The file of directory is corrupted and unreadable."と宣言される。次に、このドライブは損壊しているので修復の必要があるとしてマークされる。
　Windowsは次に、コンピュータを再起動し損壊を修復するためにchkdskするように促してくる。
　Microsoftは、そのドライブは実際には損壊していない、そして、chkdskはこの問題を修正するだろうと発言していた。残念ながら、我々と他のテストにおいて、chkdskは、この問題を修正することはなく、Windows 10は再起動することを拒否した。

【訳者より】動画に関しては、こちらのサイト中程にあります

MicrosoftはNTFS損壊のバグを修正

　このバグが公開されて以来、Microsoftが2月の定例パッチの一部として修正をリリースするのではないかという期待があった。
　この期待が裏切られたので、Mozilla Firefox 85.0.1は、このパスへのアクセスを妨げるためのチェックを追加したし、OSRは、Windows中にこのパスをブロックするための非公式のパッチをリリースした。
　今週のWindows 10 Insider build 21322のリリースで、Microsoftは、このパスへのアクセスを妨げるundocumentedの修正を含めている。
　これで、あなたが、c:\:Si30:$bitmapにアクセスしようとすると、Windows 10は以下に示すように"The directory name is invalid,"を戻してくるので、最早NTFSボリュームを損壊としてマークすることはない。

NTFS損壊のバグはWindows 10 'Dev'チャンネルでは修正された（画像をクリックすると拡大表示されます）

　残念ながら、この修正はWindows 10 Insider 'Dev'チャンネルにのみ存在しており、Windows 10 21H1 'Beta'プレビュー（この春にリリースされる次の機能アップデート）には存在していない。
　Microsoftが、より早くリリースされるWindowsバージョンにこの修正を引き上げた場合を除き、しばらくの間、このバグで立ち往生することになるだろう。

---

大手認証企業Underwriters Laboratoriesが身代金要求型マルウェアによって攻撃された
BleepingComputer : News>Security（2021/02/21）
　Underwriters Laboratoriesとして知られる UL LLCは、身代金要求型マルウェアの攻撃を受けサーバーが暗号化された。そして、修復期間中システムのシャットダウンが発生していた。
　ULは、米国最大で最古の安全性承認企業であり、14,000人の従業員と40を超える国々に事務所を持っている。
　今までに電気機器（ラップトップ、TVのリモコン、白熱電球、AppleのUSB充電器）の背面に注目したことがあるのなら、そのデバイスに印刷されたULのロゴを即座に認識できたはずである。

FiosルータのUL証明（画像をクリックすると拡大表示されます）

　企業が新しい製品をリリースする時、その企業は一般的に、全国的に認証される安全性と持続性の基準に基づいてテストされ認証されるためにULに製品を提出する。テストがどのように実施されたのかと、その結果に基づいて、その製品は、多様なUL証明書を受け取る。
　製品の安全性証明書に加えて、ULは、大変人気のある 3DMark, PCMark, VRMarkや、PCとグラフィックス ベンチマーク ユーティリティもまた開発している。

ULは先週末、身代金要求型マルウェアに攻撃された

　BleepingComputerは、先週末身代金要求型マルウェア攻撃を受け、彼らのデータセンター中のデバイスを暗号化されたことを認識した。
　攻撃のさらなる拡大を防ぐために、この企業はシステムをシャットダウンしたので、従業員の一部は仕事をすることができなくなった。
　ULは、この脅威のアクターに接触しないように、この身代金要求型マルウェア オペレーションに関連する如何なるサイトも訪問しないように従業員に命じた。
　この攻撃に精通している情報筋によると、ULは身代金を支払わずに、バックアップから復元することを決定した。
　デバイスの復元には時間がかかるので、この攻撃は、ULが復元している間myULクライアントポータルをオフラインのままにせしめた。

myULクライアントポータルの停止メッセージ（画像をクリックすると拡大表示されます）

　BleepingComputerへの声明において、ULは、この攻撃が2月13日に発生したことと、現在攻撃を調査中であることを認めている。

「ULは、2021年2月13日にシステム上に異常な挙動を検出した。即座にこの状況を解決するための予防策を取った。これには、システムのシャットダウン、大手サイバーセキュリティ企業との協力、所轄官庁への通報が含まれる。我々の当面の優先事項は、顧客への影響を最小限に抑えるために、システムを復元することである。」

　「我々は調査から詳細を認識するまで、影響を受けた可能性のある情報の種類を推測できない。影響を受けたデータが判明次第、適切なアクションを取る。」 - UL LCC

　どの身代金要求型マルウェア オペレーションがこの攻撃を指揮したのか、攻撃者は暗号化されていないファイルを盗んだのか否かは判明していない。
　大部分の企業をターゲットにした身代金要求型マルウェア オペレーションは、二重強請作戦を使用するために暗号化されていないファイルを盗むので、ギャングは、おそらくこの攻撃の間にデータを盗んでいるだろう。

---

ハッカーはCSPをバイパスしクレジットカードを盗むためにGoogleのApps Scriptを悪用している
BleepingComputer : News>Security（2021/02/18）
　攻撃者は、オンラインショッピングをしている間に、eコマースWebサイトの顧客によって提出されたクレジットカード情報を盗むために、GoogleのApps Script商用アプリケーション開発プラットフォームを悪用している。
　彼らは、script.google.comドメインを使用することで、マルウェアスキャンエンジンから彼らの悪意ある行為を上手く隠蔽し、Content Security Policy (CSP、【訳注】コンテンツセキュリティポリシーとは、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーのこと（MDN Web Docsより）) をバイパスしている。
　犯罪者は、オンラインストアがGoogleのApps ScriptドメインをTrustとして考えており、オンラインストア サイトのCSP設定（Webアプリでの信頼できないコードの実行をブロックするためのセキュリティ標準）が、Googleの全てのサブドメインをホワイトリストに登録している可能性があるという事実を悪用している。
　クレジットカードスキマーは（Magecartスクリプトやペイメントカードスキマー）は、サイバー犯罪者のグループ（Magecartグループとして知られる）によって挿入されるJavaScriptベースのスクリプトであり、Webスキミング(eスキミングとしても知られている)攻撃の一部としてハッキングされたオンラインストアに挿入される。 　一旦配備されると、このスクリプトは攻撃者が支払いとハッキングされているショップの顧客によって提出された個人情報を収穫し、彼らの制御下にあるサーバにそれを収集することを可能にする。

Google Apps Scriptドメインは、抽出エンドポイントとして使用された

　この新しい支払い情報を盗む戦略は、デジタルスキミングとの戦いに重点的に取り組んでいるセキュリティ企業Sansecによって提供されたEarly Breach Detectionデータを解析している間に、セキュリティ研究者Eric Brandelによって発見された。
　彼が発見した時、悪意のある難読化されたスキマースクリプトは、攻撃者によってユーザが提出した支払い情報を横取りするためのeコマースサイトに挿入されていた。
　セキュリティ侵害されたオンラインショップから盗まれた全ての支払い情報は、base64でエンコードされたJSONデータとしてGoogle Apps Scriptカスタム アプリケーションに送信される（抽出エンドポイントとしてscript[.]google[.]comを使用して）。
　Google Apps Scriptのエンドポイントに到達した後、このデータは攻撃者によって制御されている他のサーバ（イスラエルに本拠を置くanalit[.]tech）に転送される。
　「このマルウェアドメインanalit[.]techは、以前発見されたマルウェアドメインhotjar[.]hostとpixelm[.]techと同日に登録されており、同じネットワー上にもホストされている」と、Sansecは発言している。

攻撃者のカスタムGoogle Apps Scriptアプリケーションにアクセスした時に表示されたエラー（画像をクリックすると拡大表示されます）

　これは、このGoogleサービスが悪用された初回ではない。過去にFIN7サイバー犯罪者グループによって、 マルウェアのコマンドアンドコントロールサーバ用にGoogle SheetsとGoogle Formsサービスとが一緒に使用されている。
　2015年の半ば以降、FIN7 (別名Carbanak あるいは Cobalt) は、Carbanakバックドアを使用して銀行とEUと米国企業のPoint of Sale（【訳注】 店舗販売時点情報管理）端末をターゲットにした。
　「この新しい脅威は、信頼できないドメインとの通信からWebストアを単に保護するだけでは不十分であることを示している」と、「eコマースのマネージャは、そもそも攻撃者が認証されていないコードを挿入できないことを保証する必要がある。サーバーサイドマルウェアと脆弱性をモニタリングすることは、あらゆる現代のセキュリティポリシーで必須のものである」と、Sensecは付け加えている。

Google Analyticsもまた、クレジットカードを盗むために悪用されていた

　他のGoogleサービスもまた、Magecart攻撃に悪用されていた。Google Analyticsプラットフォームも攻撃者によって使用され、数十ダースのオンラインストアから支払い情報が盗まれていた。
　これらの攻撃を更に悪化させているのは、Google Analytics APIを悪用することによって、Webストアが、訪問者を追跡するために、CSP設定でGoogleのWeb Analyticsサービスがホワイトリストに登録されていることを確認し、脅威のアクターがCSPを回避する可能性があることである。
　当時、SansecとPerimeterXが発見したように、インジェクションベースの攻撃をブロックする代わりに、Google Analyticsスクリプトを許可することは、攻撃者がそれらを活用しデータを盗み抽出することを可能にした。
　これは、盗んだデータをエンコードし、暗号化された形式で攻撃者のGoogle Analyticsダッシュボードに、それを送信するように特別に設計されたWebスキマースクリプトを使用して実行される。
　BuiltWithによって提供された統計に基づくと、現在2800万を超えるサイトがGoogleのGA（Google Analyticsの略） Web Analyticsサービスを使用している。PerimeterXの統計によると、2020年3月にHTTPArchiveスキャンを介して到達可能な17,000のWebサイトが、google-analytics.comドメインをホワイトリストに登録している。
　「一般的に、デジタルスキマー（別名Magecart）は、タックス・ヘイブンにある危険なサーバーで実行され、その場所は、極悪な意図を顕にしている」と、当時Sansecは説明していた。
　「しかし、スキミングキャンペーンが全体的に信頼されているGoogleサーバで実行されると、殆どのセキュリティシステムは『不審なドメイン』（'suspicious'）とするフラグをたてることはない。より重要なのは、サイトの管理者がGoogleを信頼すると、Content-Security-Policy (CSP) のような人気のある対抗策が機能しなくなることにある」
　「CSPは信頼できないコードの実行を制限するために発明された。しかし、殆ど全ての人がGoogleを信頼しているので、このモデルは欠陥がある」と、SansecのCEOで設立者であるWillem de GrootはBleepingComputerに話した。

---

Microsoft、Windows 10のWiFiクラッシュを修正する緊急の定例外アップデートをリリース
BleepingComputer : News>Security（2021/02/11）
　Microsoftは、WPA3 WiFiネットワークに接続する時、Windows 10がクラッシュを発生するバグに関する緊急の定例外アップデート（KB5001028）をリリースした。
　MicrosoftのWindows Message Centerに投稿された新しいサポートによると、このバグは、最近のWindows 10 1909累積アップデート（特に、2021年01月21日にリリースされたKB4598298と、先週の火曜日（2021年02月09日）にリリースされたKB4601315）で導入された。
　このバグは、WPA3 WiFiネットワークに接続しようとした時に、デバイスにBlue Screen of Death (BSOD、死のブルースクリーン)を発生させる。WPA3は、現時点で強力なセキュリティを持っているので推奨されているワイアレス暗号化プロトコルである。
　Microsoftが本日公開したことによると、「あなたが、Wi-Fi Protected Access 3 (WPA3)に接続しようとした時、ブルースクリーンと共にnwifi.sysに0x7Eストップ エラーを受け取っている場合がある」と、「切断したり、スリープやハイバーネーションから復帰しWiFiネットワークに再接続しようとした時この問題に遭遇するだろう。殆どのWiFiネットワークは現在WPA2を使用している、そして、WPA2はこの問題の影響を受けないことに注意しなさい」とある。
　定例外アップデートに加えて、Microsoftは、以下の軽減するためのステップも提供している。これは特定のユーザにとっては望ましいものではない可能性がある。

・　デバイスをWindows 10, version 2004または、Windows 10, version 20H2にアップデートする
・　WPA2を使用してWiFiに接続する。これを実行するには、アクセスポイントとルータ設定を再設定する必要があるかもしれない
・　有線イーサネット接続を使用して接続する

　定例外アップデートKB5001028は現在、Windows Update, WSUS, Microsoft Updateカタログを介して利用可能になっている。

---

ダークサイドに結びついているAndroidアプリケーションは数百万ユーザに対してマルウェアアップデートを送信していた
BleepingComputer : News>Security（2021/02/08）
　Googleは、Play Storeから1000万を超えてインストールされている人気あるAndroid barcode scanner（バーコードスキャナ）を削除した。これに先立って、研究者は、2020年12月のアップデートで悪意あるものに変換されたことを発見していた。
　数年間の休眠の後、LAVABIRD LTDによって開発され以前は正当なものであったBarcode Scannerアプリケーションは、セルフアップデートされ、現在セキュリティベンダによってトロイの木馬とタグ付けされている悪意あるコードを使用してユーザのデバイスを乗っ取っている。
　数百万のユーザによって経験された悪意ある挙動は、ユーザと何ら対話することなくDefaultブラウザを起動したり、他の潜在的に悪意のあるAndroidアプリケーションを宣伝する広告を表示したりすることが含まれている。
　「所有者の多くは、長期間彼らのモバイルデバイスにこのアプリケーションをインストールしていた（あるユーザは数年間インストールしていた）」と、「前触れもなく、12月のアップデートの後、Barcode Scannerは、無害なスキャナから完全に悪意ある物に変わった」と、Malwarebytesのマルウェア研究者Nathan Collierは発言している。

（画像をクリックすると拡大表示されます）

　これは、悪意あるコードがAndroidアプリケーション中で発見された初めてのことではないが、このような事案は通常、収益を上げるために広告を表示するフリーのアプリケーションによって使用されるサードパーティのソフトウェア開発キット（SDK）の使用に関係している。
　しかし、今回の場合、難読化と署名された悪意あるコードはアプリケーションに同梱され、1000万ユーザを超えるデバイスに一挙にインストールされている。
　「これが同じアプリケーションの開発者からのものであるか否かを検証すると、以前のクリーンなバージョンと同じデジタル証明書でサインされていることが確認された」、更に、「Android/Trojan.HiddenAds.AdQRを検出したので、その悪意の目的のために、我々はアドウェアのオリジナルの検出カテゴリを越えてトロイの木馬に直接ジャンプした」と、Collierは追加している。 　Googleは、12月のMalwarebytesの発表を受け取った後、Play StoreからLAVABIRDのBarcode Scannerアプリケーションを削除した。
　それであるにも拘わらず、依然として影響を受けたまま、知らないうちにユーザベースに不要な広告を表示されている数百万のデバイスが存在している可能性がある。
　LAVABIRDのスポークスマンは、BleepingComputerは本日早朝コメントを求めて接触したが即座の回答は得られていない。

---

新しいフィッシング攻撃は悪意あるURLを非表示にするためにモールスコードを使用している
BleepingComputer : News>Security（2021/02/07）
　新しいターゲット フィッシングキャンペーンは、eMail添付ファイル中の悪意あるURLを非表示にするために、新奇な難読化テクニックであるモールスコードを使用している。
　Samuel MorseとAlfred Vailは、電信でメッセージを送信する方法としてモールスコードを発明した。モールスコードを使用すると、各文字と数字は、一連のドット（短点）とダッシュ（長点）で暗号化される。
　先週始め、脅威のアクターは、モールスコードを悪用し、電子メールセキュリティとメールフィルタをバイパスするために、フィッシング フォーム中の悪意あるURLを非表示にすることを始めた。
　BleepingComputerは、過去のフィッシング攻撃中に、この新奇な難読化テクニックであるモールスコードへの参照を見つけることができなかった。

新奇なモールスコード フィッシング攻撃

　Redditの投稿でこの攻撃を最初に認識した後、BleepingComputerは、2021年02月02日以降VirusTotalにアップロードされたこのターゲット攻撃に関する多くのサンブルを発見することができた。
　このフィッシング攻撃は、'Revenue_payment_invoice February_Wednesday 02/03/2021'のような件名で企業の請求書を装うeMailで開始される。

フィッシング メール（画像をクリックすると拡大表示されます）

　このeMailは、企業のExcel請求書であるかのように名付けられたHTML添付ファイルを含んでいる。これらの添付ファイルは、'[company_name]_invoice_[number]._xlsx.hTML'の形式で名付けられている。
　例えば、BleepingComputerが騙られている場合であれば、添付ファイルは、'bleepingcomputer_invoice_1308._xlsx.hTML'と名付けられるだろう。
　この添付ファイルをテキストエディタで表示すると、このメールには文字と数字をモールスコードにマップするJavaScriptを含んでいることが分かる。例えば、以下に示すように、文字'a'は'.-'にマップされ、文字'b'は'-...'にマップされる。

HTMLフィッシング添付ファイルのソースコード（画像をクリックすると拡大表示されます）

　このスクリプトは次に、モールスコード文字列を16進数文字列に復号するためにdecodeMorse()関数をコールする。この16進数文字列は更にHTMLページに挿入されるJavaScriptタグに復号される。

復号されたJavaScriptタグ（画像をクリックすると拡大表示されます）

　HTML添付ファイルとこの挿入されるスクリプトの組み合わせは、インチキのExcelスプレッドシートを表示し、サインインがタイムアウトしたと主張してパスワードの再入力を促すために必要な様々なリソースを含んでいる。

フィッシング ログインフォームを表示するHTML添付ファイル（画像をクリックすると拡大表示されます）

　ユーザがパスワードを入力すると、このフォームは攻撃者がログイン認証を収集しているリモートサイトに、このパスワードを送信する。
　このキャンペーンは大変標的型である。脅威のアクターは説得力を高めるためにlogo.clearbit.com（【訳注】簡単にプロジェクトに企業のロゴを埋め込むことができるツール（Clearbitより））サービスを使用して、騙られている企業のロゴを挿入している。企業のロゴを使用できない場合は、上の画像に示したように一般的なOffice365のロゴを使用している。
　BleepingComputerは、このフィッシング攻撃のターゲットにされた11の企業（SGS, Dimensional, Metrohm, SBI (Mauritius) Ltd, NUOVO IMAIE, Bridgestone, Cargeas, ODDO BHF Asset Management, Dea Capital, Equinti, Capital Four）を確認した。
　メールゲートウェイが悪意あるeMailをより良く検出するようになっているので、フィッシング詐欺は、日々より複雑化してきている。
　これに起因して、全ての人々は、いかなる情報も送信する前にURLと添付ファイルの名前に細心の注意を払う必要がある。何か疑わしいのであれば、受信者は更に調査するためにネットワーク管理者にコンタクトする必要がある。
　今回のフィッシングeMailは、添付ファイルに二重拡張子（xlxsとHTML）を使用しているので、Windowsファイル拡張子が有効になっていることの確認は、疑わしい添付ファイルを見つけやすくするので重要なことである。

---

Fonix身代金要求型マルウェアがオペレーションを終了。マスター復号キーをリリース（概要）
BleepingComputer : News>Security（2021/01/29）
　Fonix身代金要求型マルウェアのギャングが、本日の午後（米国時間）オペレーションの終了をTwitter上で表明した。但し、メンバーの一部にオペレーションの終了に反対した者がいたことも明らかにしている。
　別のTweetで、'Fonix_decrypter.rar'と名付けられたRARアーカイブへのリンクが共有されている。このアーカイブは復号ツールとマスター秘密復号鍵の両方を含んでいる。
　今夜リリースされた復号ツールは、犠牲者の幾つかのファイルを無料で復号してみせるためのツールであり、犠牲者がコンピューター全体を復号することはできない。
　マスターキーの方は、Fonix身代金要求型マルウェアの一部のバージョンでだけ動作する。
　Emsisoftの復号プログラムは、.Fonix, .FONIX, .repter, .XINOF拡張子を含む全てのバージョンを復号する。
　現在、暗号化トラフィック分析（ETA）がなされていない。あなたが犠牲者であれば、解決策はもう直リリースされるだろう。

---

Windowsインストーラの0-Dayの脆弱性にフリーのマイクロパッチがリリースされた
BleepingComputer : News>Security（2021/01/29）
　Windowsインストーラ コンポーネント中の脆弱性は、Microsoftが数回修正を企てたものの役に立たなかったが、本日、セキュリティ侵害されたシステム上で最高の特権を取得するオプションをハッカーに取得させないようにするマイクロパッチを受け取った。
　この問題はWindows 7から10に影響する。この問題を解決しようとするMicrosoftの最も最近の努力は10月だった。2020年12月下旬に、概念の実証（PoC）エクスプロイト コードを備えたバイパスが登場した。

パッチ、バイパス、繰り返し

　MSIパッケージのインストール中、Windowsインストーラは、その過程で上手く行かなかった場合、あらゆる変更を元に戻すために‘msiexec.exe’を介してロールバックスクリプトを作成する。
　ローカル特権のハッカーは、ロールバックスクリプトを彼らのペイロードに差し向けるようにレジストリ値を変更したものに置き換えることができたなら、SYSTEMパーミッションで実行可能ファイルを稼働することができる。
　この脆弱性は、Microsoftの探査網に現れ、2019年4月(CVE-2019-0841)に修正がなされた。脆弱性研究者Sandbox Escaperは、5月末にバイパスできることを発見し、技術的詳細の一部を公開した。
　このストーリは4回も繰り返された（CVE-2019-1415, CVE-2020-1302, CVE-2020-0814, CVE-2020-16902）。そして、依然としてWindowsインストーラは、セキュリティ侵害されたマシンで最高のパーミッションを取得できる特権の昇格のための攻撃が可能である。
　最新のバイパスは、セキュリティ研究者Abdelhamid Naceriによって、複数のセキュリティソフトに影響を与える脆弱性と共に彼のブログで公開された。

一時的な修正が利用可能に

　Mitja Kolsek（ACROS SecurityのCEで、マイクロパッチサービス0patchの共同設立者）は、Naceri’s PoCがこの脆弱性に関してどのような作業をしたのか説明している。

「この概念の実証は、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Fax\ImagePath を c:\Windows\temp\asmae.exe に値を変更したロールバックスクリプトを使用している。このサービスが起動すると、攻撃者のasmae.exeを使用したFax Service（【訳注】 Outlook、Word、Excel、PowerPoint のファイルをインターネットFAXとして送信できるMicrosoft Officeの機能（Microsoftサポートより））という結果になる。このサービスは、あらゆるユーザが、それを起動することを可能にするために使用される。そして、これはローカルシステムで実行される」- Mitja Kolsek

Microsoftの永続的なパッチが出現するまで、この一時的な修正が、0Patchプラットフォームから利用可能である。この一時的な修正は、システム再起動を伴わない単一命令の修正である。 　このビデオ（リンク）は、ローカルの非管理者ユーザによるFaxService実行ファイルに差し向け、攻撃者のコードを実行するレジストリ値の改竄を、このマイクロパッチが妨げていることを示している。
　0Patchからのフリーで一時的な修正は、以下のシステムで動作する。

・ Windows 10 v20H2, 32/64bit, updated with January 2021 updates
・ Windows 10 v2004, 32/64bit, updated with January 2021 updates
・ Windows 10 v1909, 32/64bit, updated with January 2021 updates
・ Windows 7, 32/64bit, with ESU, updated with January 2021 updates
・ Windows 7, 32/64bit, without ESU, updated with January 2020 updates

---

Perlドメインが盗まれ、現在マルウェアに結び付けられたIPアドレスが使用されている
BleepingComputer : News>Security（2021/01/29）
　ドメイン名Perl.comが今週盗まれ、現在マルウェアキャンペーンに関連付けられたIPアドレスに振り向けられれている
　Perl.comは、Perl Foundationによって所有されているサイトであり、1997年以来、Perlプログラミング言語に関するニュースと記事を投稿するために使用されてきた。
　1月27日、Perl NOC（the perl.org infrastructure weblog!）サイトに、perl.comドメインがハイジャックされ、現在ユーザは別のIPアドレスに振り向けられていると投稿された。
　「perl.comドメインは、今朝ハイジャックされ、現在ユーザは構築中のサイトに振り向けられている。修復に向けて作業中」と、Perl.orgはポストしている。
　本来のperl.comサイトのIPアドレスは、151.101.2.132であったが、ハイジャックされて以来、現在Google Cloud IPアドレス 35.186.238[.]101 にホストされている。
　サイトを訪問した時、ユーザはブランク ページで迎えられる。このページのHTMLは、このドメインがレジストラkey-systems(.)netに登録されている場合でさえ、GoDaddy（【訳注】 米国 スコッツデールに本社を置くドメイン レジストラ・レンタルサーバ サービス（Wikipediaより））パークドメイン（【訳注】 機能していないサイトを指し示すドメイン。多くの場合、訪問者にドメインが構築中であるか、広告でいっぱいのページであることを知らせるページが表示される（EsDifferent.comより））スクリプトを含んでいる。
　Perl言語の開発者brian d foyは、ドメインが修復されるまで、このサイトにアクセスしたいユーザのために、彼らが一時的にperl.comをhttp://perldotcom.perl.orgにセットアップしていたとTweetしている。
　ハイジャックされたドメインが修復されるまで、Perl Foundationは、CPAN（【訳注】 Perlのライブラリ・モジュールやその他のPerlで書かれたソフトウェアを集めた巨大なアーカイブ（Wikipediaより））ミラーとして、以下のコマンドを使用して、それをアップデートするためにperl.comを使用ないようにユーザに、要請している。

# perl -MCPAN -eshell
cpan shell -- CPAN exploration and modules installation (v2.20)
Enter 'h' for help.

cpan[1]> o conf urllist http://www.cpan.org/
Please use 'o conf commit' to make the config permanent!
cpan[2]> o conf commit
commit: wrote '/root/.cpan/CPAN/MyConfig.pm'

　現時点で、ドメインが盗まれた方法は未知である。BleepingComputerは、Perl Foundationにこの件に関する質問状を送付したが、回答は受け取っていない。

マルウェアに結び付けられた新しいperl.comのIP

　perl.comが現在ホストしているIPアドレスは、古いマルウェアキャンペーンとより新しいマルウェアキャンペーンとで使用されてきた長い歴史を持っている。
　2019年、IPアドレス 35.186.238[.]101 は、現在は消滅しているLocky身代金要求型マルウェアの実行ファイル（VirusTotal）を配布するためのドメインに結び付けられていた。
　より最近では、ad clickerのように見えるマルウェア（VirusTotal）が、コマンドアンドコントロールサーバとして以下のドメインを使用していた。

www.supernetforme[.]com
www.superwebbysearch[.]com

　これらのドメイン名は共に、以下に示すように、35.186.238[.]101 に解決される。

35.186.238[.]101をホストしているコマンドアンドコントロールサーバ（画像をクリックすると拡大表示されます）

　マルウェアが、これらのドメインでURLに接続しようとすると、現在perl.comを訪問するために使用されているものと同じパーク ドメイン スクリプトを受け取るだろう。
　これらHTMLレスポンスは、C2（コマンドアンドコントロールサーバ）の指示ではなく、このIPアドレスが、異なる脅威のアクターの制御下にあることを示している可能性がある。
　現在に関しては、このドメインをPerl Foundationが取り戻すまで、perl.comを訪問しないよう強くアドバイスする。攻撃者は、このドメインを多くの悪意ある目的のためのサイトに簡単に切り替えることができるのだから。

---

新しいLinuxのSUDOフローは、ローカルユーザがルート権限を取得することを可能にしていた
BleepingComputer : News>Security（2021/01/26）
　既に修正されているSudoの脆弱性は、全てのローカルユーザが認証を要求されることなく、Unix-likeなオペレーティングシステムでルート権限を取得することを可能にしていた。
　Sudoは、sudoersファイルにリストされた通常ユーザに対して限定的にルート権限を提供してシステム管理者にするUnixプログラムである。
　これは、このプログラムがローカルユーザに対してシステム全体のセキュリティを改竄することなく作業を実行するために必要なパーミッションだけを付与するとする最小権限の原則（Principle of Least Privilege）で動作する。
　Unix-likeなOS上でコマンドを実行すると、非特権ユーザが、パーミッションを持っているか、ルートユーザパスワードを知っている場合には、sudo（superuser do）コマンドを使用してルートとしてコマンドを実行することができる。ルートはシステムのスーパーユーザであり、特別なシステム管理アカウントである。
Sudoはまた、sudoers設定ファイルに特別な命令を含ませることによって、通常ユーザが他のユーザとしてコマンドを実行できるように設定することができる。

ローカルユーザ用のルート特権

　CVE-2021-3156(別名、Baron Samedit) として追跡されるSudoの特権昇格の脆弱性は、Qualysのセキュリティ研究者によって発見された。彼らは、1月13日に明らかにし、パッチが利用可能になったことを確認した後に、彼らの調査結果を公開した。
　Qualysの研究者によると、この問題は、攻撃者がこのフローを成功裏に攻撃するためにユーザのパスワードを知る必要はないので、任意のローカルユーザ（通常ユーザ、システムユーザ、sudoersファイルにリストされているか否かに関わらず）によって悪用できるヒープベースのバッファオーバーフローである。
　任意のローカルユーザにルート特権の取得を可能にするこのバッファオーバーフローは、引数中のバックスラッシュを不正にエスケープされない形に戻したSudoによってトリガーされる。
　「通常、Sudoはシェル（sudo -s もしくは sudo -i）を介してコマンドを実行している時、特別な文字をエスケープする」と、1.9.5p2チェンジログにある。
　「しかしながら、Sudoは、-s もしくは -iフラグ付きでsudoeditを実行することも可能である。この場合に、実際にはエスケープが実行されないので、バッファオーバーフローが可能になる。」
　Qualysは、潜在的な攻撃者によって、この脆弱性が成功裏に悪用される方法を示すために、三つのCVE-2021-3156に対するエクスプロイトを作成した。
　これらのエクスプロイトを使用することで、この研究者は複数のLinuxディストリビューションで完全なルート権限を取得することができた。この中には、Debian 10 (Sudo 1.8.27), Ubuntu 20.04 (Sudo 1.8.31), Fedora 33 (Sudo 1.9.2)が含まれる。
　Qualysによると、Sudoをサポートする他のオペレーティングシステムとディストリビューションも、おそらくCVE-2021-3156に対するエクスプロイトを使用して脆弱性攻撃することが可能である。
　CVE-2021-3156を脆弱性攻撃する方法の技術的な詳細は、火曜日に公開されたQualysのCVE-2021-3156セキュリティ アドバイザリを参照されたい。
　緊急のCVE-2021-3156を脆弱性攻撃する方法のデモンストレーション ビデオは、こちらのリンク参照。

Baron Sameditフローは公開される前に修正された

　この脆弱性は、9年前（2011年7月）にSudoプログラムに導入された（付託8255ed69）、そして、1.9.0から1.9.5p1までの全ての安定版と1.8.2から1.8.31p2までの全てのレガシーバージョン（【訳注】 ベンダーのサポートが終了したバージョン（Wikipediaより））の設定に影響を与える。
　Sudo貢献者は、先程この脆弱性を修正したバージョンsudo 1.9.5p2をリリースした。同時にQualysは、彼らの調査結果を公開した。
　あなたのシステムに脆弱性が存在するか否かをテストするには、非ルートユーザとしてログインし、"sudoedit -s /"コマンドを実行する。脆弱性のあるシステムは、"sudoedit:"で始まるエラーを投げてくる。また、パッチされているシステムは、"usage:"で始まるエラーを表示する。
　ユーザにルート権限を渡すためにSudoを使用しているシステム管理者は、即座にSudo 1.9.5p2もしくは、それ以降のバージョンにアップグレードしなさい。
　2019年、別のSudo脆弱性（CVE-2019-14287として追跡された）は、非特権ユーザにルートとしてコマンドを実行することを可能にしていた。
　幸いなことに、このフローは非標準設定でのみ脆弱性攻撃される。このことは脆弱性のあるSudoを稼働している殆どのシステムでは影響を受けないことを意味している。

---

Windows 10のNTFS破損のバグに非公式の一時的な修正がリリースされた
BleepingComputer : News>Security（2021/01/25）
　開発者は、特別に細工されたファイルを単に閲覧するだけでNTFSボリュームを破損に導くWindowsのバグに関する非公式の修正をリリースした。
　今月始め、BleepingComputerは、Windows 10のバグがセキュリティ研究者Jonas Lykkegaardによって発見されたことをレポートした。このバグは、特権のないユーザーがNTFSボリュームを破損としてマークすることを可能にするものである。
　このボリュームが破損としてマークされると、Windowsは、そのドライブが損壊しているのでコンピュータを再起動してchkdskを実行し、この破損を修正するように促すエラーを表示する。
　殆どの人々に関しては、Windowsがchkdskを実行するとオペレーティングシステムは直ぐに通常通りにブートするだろう。残念ながら、BleepingComputerのテストでは、chkdskを実行した後でさえ、オペレーティングシステムは適切に動作しなかった。

BleepingComputerが後に学んだことだが、このバグはまたWindows XPを含むWindowsの過去のバージョンにも影響を与える。

サードパーティーがNTFSバグの修正をリリースした

　Windows内部に特化したソフトウェア開発企業OSRは、Microsofstからの公式の修正を待っている間に、このNTFSバグが悪用されることを妨げるために、オープンソース フィルタードライバをリリースした。
　'i30Flt'と呼ばれるこのフィルタードライバは、“:$i30:"で始まるストリームへのアクセスを監視する。検出された場合には、このバグの引き金を引かれる前に、それらをブロックする。
　「OSRDrivers/i30Flt: これは“:$i30:"で始まるストリームへの如何なるアクセスもブロックする単なるフィルターである。これは、特定のWindows10のバージョンでトリガーされる偽の破損警告を停止する（github.com）」と、OSRはこのバグに関するブログへの投稿で述べている。
　BleepingComputer同様に、OSRはこのバグをひねくり回していた時に、chkdskを実行した後にも最早ブートしなくなったシステムに遭遇した。

「また、OSRには、このバグをひねくり回している間に2回chkdskを行ってもブートしないシステムがある。酷い警告と破損したシステムの間で、我々は本物の修正がリリースされるまで緩和策を取ることは有益であると考えた。」- OSR

　このドライバをインストールするには、このプロジェクトのGitHubページから、このドライバをダウンロードし、管理者特権でコマンドプロンプトを起動する。次に、このファイルを解凍したフォルダに移動する。
　このファイルの存在するフォルダに入ったら、このドライバをインストールするために以下のコマンドを実行する。

RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultInstall 132 .\i30flt.inf
wevtutil im i30flt.man
fltmc load i30flt

　ドライバをインストールした後に、Windowsを再起動する必要はない。
　OSRのドライバがインストールされ、"$i30:"を含むパスへアクセスしようとする行為が検出されると、この企てはブロックされ、以下に示すイベントログが生成される。

このフィルタードライバによって作成されたイベント（画像をクリックすると拡大表示されます）

　Microsoftがこのバグを修正する用意があるとBleepingComputerに告げてきているので、パッチされたなら以下のコマンドを使用して、このフィルタドライバーを削除しなさい。

RUNDLL32.EXE SETUPAPI.DLL,InstallHinfSection DefaultUninstall 132 .\i30flt.inf

　以下に示したように、このバグが修正される前に、このドライバをアンインストールすると、このバグは直ちにドライバを破損としてマークするために使用される。

このフィルタードライバをアンインストールすると（画像をクリックすると拡大表示されます）

　Microsoftが、このバグをいつ修正する計画なのか不明である。あなたのコンピュータで脅威のアクターが、このバグを悪用する可能性が懸念されるのなら、このドライバは、待っている間の適切な代替である。

---

別の身代金要求型マルウェアのギャングは、犠牲者に支払いを強制するために現在DDoS攻撃を使用している
BleepingComputer : News>Security（2021/01/20）
　別の身代金要求型マルウェアのギャングは、犠牲者に彼らと接触することを矯正し、身代金交渉を行うためにDDoS攻撃を現在使用している。
　2020年10月、我々は身代金要求型マルウェアのギャングが、犠牲者に身代金を支払わせるための追加のツールとして、犠牲者のネットワーク、もしくはWebサイトに対してDDoS攻撃を悪用し始めたとレポートした。この時点で、この二つの戦術を使用していたオペレーションはSunCryptとRagnarLockerであった。
　distributed denial of service (DDoS、分散型DoS攻撃)は、脅威のアクターが、サービスを不可能にするためにWebサイトが取り扱えない過剰なリクエストでWebサイトやネットワーク接続を機能不全に追い込むものである。
　企業が身代金要求型マルウェアの被害を受けた時、多くの犠牲者はバックアップからリストアし、攻撃者との接触を行わない。
　Avaddon身代金要求型マルウェアのギャングは、犠牲者がこのギャングと接触し交渉を開始するまで、犠牲者のサイトやネットワークを引きずり倒すために現在DDoS攻撃を使用している。
　「また、彼らのサイトは現在DDoS攻撃下にある、我々は、彼らが接触してくるまで攻撃する」と、Avaddonは彼らの身代金要求型マルウェアのデータリークサイトで述べている。

Avaddonデータリークサイト（画像をクリックすると拡大表示されます）

　Avaddonに現在DDoS攻撃を実行されている犠牲者の方々に、貴方方は、このWebサイトを最早見ることはできない。

DDoS攻撃を実行しているAvaddon（画像をクリックすると拡大表示されます）

　BleepingComputerとこの展開を共有しているEmsisoftの脅威のアナリストBrett Callowは、「脅威のアクターが、身代金要求型マルウェアとDDoS攻撃を組み合わせていることを見るのは全く驚くようなことではない。DDoSは安価で簡単であり、場合によっては、迅速な支払いが最も苦痛の少ないオプションであると、一部の企業に納得させる役に立つ可能性がある。犯罪者が企業に圧力をかければかけるほど、 支払わせる可能性がより高くなる」と、CallowはBleepingComputerへのメールで述べている。
　Mazeが二重脅迫戦略を導入したとき、他の身代金要求型マルウェアのギャングは、直ちにこの方法を採用した。脅威のアクターが、同じ様にDDoS攻撃を採用するか否かを判断することは時期尚早である。

---

ハッカーは、Nitro PDFの7700万ユーザレコードを含む全データベースをリークした
BleepingComputer : News>Security（2021/01/20）
　Nitro PDFサービスユーザの7700万レコードを超えるeMailアドレス、名前、パスワードを含むデータベースが、本日無料でリークされた。
　リークされた14GBのデータベースは、ユーザのeMailアドレス、フルネーム、bcryptでハッシュされたパスワード、職名、企業名、IPアドレス、他のシステム関連情報を含む77,159,696レコードで構成されている。
　このデータベースは、ユーザーが、このセキュリティ侵害で自分の情報が危険にさらされ、インターネット上に漏洩されたか否かを確認できるHave I been Pwnedサービスにも追加されている。
　Nitroは、PDFとデジタルドキュメントを作成、編集、署名の手助けをするアプリケーションであり、Nitro Softwareが、10，000を超えるビジネスカスタマー（事業者顧客）と、凡そ180万のライセンスユーザ（使用権が認められているユーザ）を持つと主張するアプリケーションである。
　Nitroはまた、顧客がドキュメント作成のプロセスで、関連する共同作業者やあらゆる他の組織とドキュメントを共有するために使用できるクラウドサービスも提供している。

Nitro PDFユーザレコードの内容（画像をクリックすると拡大表示されます）

Nitroのデータ漏洩

　BleepingComputerが昨年報道した巨大なNitro PDF情報漏洩は、Google, Apple, Microsoft, Chase, Citibankを含む多くの著名な組織に衝撃を与えた。
　Nitro Softwareは、2020/10/21にオーストラリア株式取引所へのアドバイザリにおいて"low impact security incident"（低位影響セキュリティ事案）であり、影響を受けた顧客データはないと述べていた。
　しかしながら、BleepingComputerが後で発見したことだが、7000万のNitro PDFユーザレコード情報を含むデータベースと見做されているものが、1TBのドキュメントと共にオークションにかけられ、初値は$80,000（8,286,400円）であった。
　BleepingComputerは、Nitroアカウントの既知のeMailアドレスがオークションにかけられたデータベース中に存在していることを確認した後、盗まれたデータベースが本物であると断定した。

盗まれたユーザレコードは無料でリークされた

　現在、ShinyHuntersの一員であると主張する脅威のアクターは、ハッカーフォーラムに無料で全データベースをリークした（この脅威のアクターは、ダウンロードリンクへのアクセス料を$3に設定している）。
　ShinyHuntersは、オンラインサービスをハッキングし、情報漏洩ブローカーや個人での販売を介して盗んだ情報を販売することで知られる悪名高い脅威のアクターである。
　以前、ShinyHuntersは、Homechef, Wattpad, Minted, Tokopedia, Dave, Promo, Chatbooks, Mathway,その他多くを晒した背後に自分たちが存在していると発言していた。この情報は真実であることが証明されている。

無料でリークされたNitro PDFデータベース（画像をクリックすると拡大表示されます）

　悪意ある攻撃者は、漏洩されたユーザーの詳細を使用して、より信頼性の高いフィッシング攻撃、あるいはクレデンシャルスタッフィング攻撃（【訳注】 別名パスワードリスト型攻撃と呼ばれ、ユーザーアカウント情報の流出を悪用し、自動でさまざまなサービスに不正アクセスしようというサイバー攻撃（飛天ジャパンより））、を開始するので、影響を受けるNitro PDFユーザーは、パスワードを強力で一意のものに変更することを強く勧める。
　ユーザーは、パスワードを他の如何なるWebサイトやオンラインサービスでは使用していない一意で強力なものに変更する必要がある。
　パスワードマネージャーを使用することも推奨される。これは夫々のサイトで一意のパスワードを管理・生成する手助けとなる。

---

VLCメディアプレイヤー 3.0.12： 複数のリモートコード実行のフローを修正
BleepingComputer : News>Security（2021/01/20）
　先週、VideoLanは、多くの改善、機能、セキュリティフィックスを実行したWindows,Mac、Linux用のVLCメディアプレーヤー3.0.21をリリースした。
　このリリースは、Apple Siliconのネイティブサポートを改善し、macOSでのオーディオ音声歪を修正しているので、Macユーザにとっては重要なアップグレードである。
　バグの修正と改善に加えて、このリリースは、NSFOCUS Security TeamのZhen Zhouによってレポートされた多くのセキュリティ上の脆弱性を修正している。
　これらのバッファオーバーフローもしくは無効な間接参照の脆弱性は、「VLCのクラッシュか、ターゲットユーザの特権で任意のコード実行かのいずれかを実行することができた。」
　VideoLanのセキュリティブレチンによると、リモートユーザは、特別に細工されたメディアファイルを作成し、ユーザを欺いてVLCでそれを開かせることによって、この脆弱性を攻撃することができる。
　VideoLanは、この脆弱性が、VLCメディアプレーヤーをクラッシュさせるだろうと述べ、攻撃者は情報をリークしたり、リモードからそのデバイス上でコマンドを実行するために、この脆弱性を使用できると、彼らは警告している。

成功した場合、悪意あるサードパーティは、VLCのクラッシュを引き起こすか、ターゲットユーザーの特権で任意のコードを実行する可能性があります。
これらの問題自体が、このプレーヤーをクラッシュさせる可能性が最も高いのですが、ユーザー情報の漏洩とリモートコード実行を組み合わす可能性を排除することはできません。ASLRとDEPは、コード実行の可能性を減らすのに役立ちますが、バイパスされる可能性があります。

　VideoLanは、オンライン上でこれらの脆弱性が悪用した攻撃を確認していないと述べている。
　この脆弱性の緊急性とVLC 3.0.12の改善により、全てのユーザはバージョン3.0.21をダウンロードしインストールするよう強くアドバイスする。
　以下で、バージョン3.0.21の全てのチェンジログを読むことができる

Access:
* Add new RIST access module compliant with simple profile (VSF_TR-06-1)

Access Output:
* Add new RIST access output module compliant with simple profile (VSF_TR-06-1)

Demux:
* Fixed adaptive's handling of resolution settings
* Improve Bluray tracks support
* Improve WMV seeking and DASH support
* Fix crashes in AVI, MKV modules

Audio output:
* Fix audio distortion on macOS during start of playback

Video Output:
* Direct3D11: Fix some potential crashes when using video filters

macOS:
* Add native support for Apple Silicon / ARM-64
* Visual UI adaptations for macOS Big Sur
* Fix displaying EQ bands in the UI depending on which frequency presets are set for the EQ in advanced preferences
* Fix UI issues in bookmarks window

Misc:
* Several fixes in the web interface, including privacy and security improvements
* Update YouTube and Vocaroo scripts
* Fix rotation filter mouse handling
* Update translations

---

IObitフォーラムがハックされ身代金要求型マルウェアがメンバーに拡散している
BleepingComputer : News>Security（2021/01/18）
　Windowsユーティリティ・デベロッパIObitが週末に渡ってハックされ、そのフォーラムのメンバーに奇妙なDeroHE身代金要求型マルウェアを配布する広汎な攻撃が実行されている。
　IObitは、Advanced SystemCareのようなWindowsシステムの最適化とアンチマルウェア プログラムで知られるソフトウェア・デベロッパである。
　週末に渡り、IObitフォーラムのメンバーは、フォーラムメンバーの特別な特典として、ソフトウェアの1年間の無料ライセンスを取得できると題されたIObitからと主張するeMailを受け取り始めた。

IObit「販促」eMail（画像をクリックすると拡大表示されます）

　このeMailに含まれている'GET IT NOW'リンクは、hxxps://forums.iobit.com/promo.htmlにリダイレクトする。このページは最早存在していないが、攻撃の時点では、hxxps://forums.iobit.com/free-iobit-license-promo.zipファイルを配布していた。
　このzipファイル[VirusTotal]は、正規のIObit License Managerプログラムからのデジタル署名されたファイルを含んでいたが、下図に示したように、IObitUnlocker.dllは、未署名の悪意あるバージョンに置き換えられていた。

悪意あるIObitUnlocker.dll（画像をクリックすると拡大表示されます）

IObit License Manager.exeが実行されると、悪意あるIObitUnlocker.dllが実行され、C:\Program Files (x86)\IObit\iobit.dll[VirusTotal]にDeroHE身代金要求型マルウェアがインストールされ、実行される。
　殆どの実行ファイルは、IOBitの認証で署名され、このZipファイルがIObitのサイトにホストされていたので、ユーザは、これが正規の販促であると考えて、この身代金要求型マルウェアをインストールした。
　IObitと他のフォーラム[1,2]のレポートに基づくと、これは、全てのフォーラムメンバーをターゲットにした広汎な攻撃である。

DeroHE身代金要求型マルウェアの詳細な検証

　BleepingComputerは、この身代金要求型マルウェアが犠牲者のコンピュータで実行された時に何が発生するのかを説明するために、この身代金要求型マルウェアを解析した。
　最初に起動した時、この身代金要求型マルウェアは、Windowsにログインしたときに"rundll32 "C:\Program Files (x86)\IObit\iobit.dll",DllEntry"コマンドを実行する"IObit License Manager"と名付けられたWindows autorunを追加する。
　この身代金要求型マルウェアを解析したEmsisoftのアナリストElise van Dorpは、この身代金要求型マルウェアが、このDLLの実行を可能にするためにWindows Defenderの排除を追加すると述べている。

@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"\Temp\\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionExtension=\".dll\"
@WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionProcess=\"rundll32.exe\"

　ここで、この身代金要求型マルウェアは、"Please wait. It may take a little longer than expected. Keep your computer running or screen on!'と述べるIObit License Managerからとするメッセージボックスを表示する。この警告は、この身代金要求型マルウェアが終了する前に、犠牲者が彼らのデバイスをシャットダウンすることを妨げるために、このマルウェアが表示するものである。
　犠牲者のファイルを暗号化すると、この身代金要求型マルウェアは、暗号化したファイルに .DeroHE拡張子を追加する。

DeroHE身代金要求型マルウェアによって暗号化されたファイル（画像をクリックすると拡大表示されます）

　以下に示したように、暗号化されたファイルは夫々、情報文字列をファイルの末尾に追加されている。この身代金要求型マルウェアは、身代金が支払われた場合に、ファイルの復号にこの情報を使用する可能性がある。

暗号化されたファイルのバイナリ表示（画像をクリックすると拡大表示されます）

　Windowsデスクトップに、この身代金要求型マルウェアは、暗号化されたファイルのリストを含むFILES_ENCRYPTED.htmlと、脅迫文READ_TO_DECRYPT.htmlの二つのファイルを作成する。
　この脅迫文は、'Dero Homomorphic Encryption'というタイトルであり、DEROという暗号通貨を推奨している。この脅迫文は、犠牲者に対して復号プログラムを得るにはリストされているアドレスに200コイン（およそ100$）送信するように告げている。

DeroHE身代金要求型マルウェアによって暗号化されたファイル（画像をクリックすると拡大表示されます）

　この脅迫文に含まれているのは、この身代金要求型マルウェアのTorサイトhttp://deropayysnkrl5xu7ic5fdprz5ixgdwy6ikxe2g3mh2erikudscrkpqd.onionである。これは支払いを実行するために使用される。
　特に興味を惹くのは、IObitがDEROで$100,000支払えば、全ての犠牲者を復号できると、このTorサイトで述べていることである。
　「このアドレスへ100000DEROコイン我々に送信するようにiobit.comに告げる。dERopYDgpD235oSUfRSTCXL53TRakECSGQVQ2hhUjuCEjC6zSNFZsRqavVVSdyEzaViULt
CRPxzRwRCKZ2j2ugCg26hRtLziwu」
　「支払いが到着次第、暗号化された全てのコンピュータは復号される。これは、貴方方のコンピュータが感染したのはIOBITの失敗によるものである」と、DeroHEのTor支払いサイトは述べている。

Dero身代金要求型マルウェアのTor支払いサイト（画像をクリックすると拡大表示されます）

　この身代金要求型マルウェアは弱点が解析されており、無料で復号できるか否かは不明である。
　更に、脅威のアクターが約束をまもり、支払いが実行された場合に復号プログラムを提供するか否かは不明である。

Iobitフォーラムはセキュリティ侵害されたようである

　インチキの販促ページを作成し、悪意あるダウンロードをホストするために、攻撃者はIObitフォーラムをハックし、管理者アカウントへのアクセスを取得したと思われる。
　この時点で、このフォーラムは依然として改竄されたままのようである。恰も、削除されたページを訪問したような404エラーコードを戻してくる。このWebページはブラウザ通知に同意するためのダイアログを表示する。あなたのブラウザが同意すると、アダルトサイト、悪意あるソフトウェア、他の好ましからざるコンテンツを奨励するデスクトップ通知を受け取ることになる。

セキュリティ侵害されたIObitフォーラムのページ（画像をクリックすると拡大表示されます）

　更に、このページの何処かをクリックすると、アダルトサイトの広告を表示する新しいタブが開く。他のサイト セクションも、フォーラムリンクをクリックすると、似たようなアダルトページにリダイレクトされるようにセキュリティ侵害されているようである。
　以下に示したように、全てのページに発見されていない悪意あるスクリプトを挿入することで、このフォーラムをセキュリティ侵害した。

セキュリティ侵害されたIObitフォーラムのページ（画像をクリックすると拡大表示されます）

　BleepingComputerは、この攻撃に関連する質問をIObitに送ったが、回答は未だない。

2021/1/19 アップデート：　Ronnyとして知られるセキュリティ研究者は、IObitはフォーラムのソフトウェアとしてｖBullentin 5.6.1を使用中であると、BleepingComputerに告げてきた。
　ｖBullentinのこのバージョンは、リモートアタッカーがこのフォーラムの制御を取得することが可能な既知の脆弱性を持っている。

---

サイバー犯罪者は多要素認証をバイパスし、組織のクラウドサービスにアクセスしている
Tripwire : The State of Security（2021/01/14）
　米国の国土安全保障省国家保護・プログラム総局（Cybersecurity and Infrastructure Security Agency、CISA）は、最近幾つかの攻撃の成功を受けて、企業が、彼らのクラウドベース アカウントをより適切に防御するための警告を発行した。
　公開されたCISAのアドバイザリによると、COVID-19（【訳注】 新型コロナウィルス感染症の病名）パンデミックの間に、多くの従業員が様々なラップトップや個人のデバイスでリモートワークを始めた時に攻撃数は増加している。
　CISAは、攻撃者達が、人間の弱点を攻撃するフィッシングや、企業のクラウドアカウントのセキュリティ設定への攻撃を企てるブルートフォース ログインを含む様々なテクニックを使用していたことに気づいた。
　このアドバイザリにおいて説明されている或る場合において、組織は、そのネットワークにアクセスする時にVPNの使用を要求しておらず、意図的にリモートワーカーがシステムにアクセスし易いように設計された緩い設定が、組織のネットワーク脆弱性を残したままにしていたために、誰もがブルートフォース ログイン攻撃を介してアクセスできた。
　他の攻撃では、悪意あるハッカーは、ユーザがログイン時に要求される正当なサイトにホストされている「安全なメッセージ」へのリンクであると主張するeMailフィッシング攻撃を介して、ユーザのクラウドサービスアカウント ログイン認証をフィッシングしていることが確認されている。 　CISAの警告で最も興味を惹くことは、強く推奨されているセキュリティ基準である多要素認証をバイパスし、クラウドサービス アカウントをセキュリティ侵害した証拠が確認されていることである。

　先述のケースでは、悪意あるハッカーは他要素認証を回避するために“pass-the-cookie”攻撃を使用していたと確信していると、CISAは発言している。

　多要素認証はセキュリティを強固にし、犯罪者がアカウントに侵入することをより困難にする優れた方法であるが、成功への強い意欲があるハッカーにとってセキュリティ侵害を不可能にしていることを意味していない。このことを心に留めおくことは価値あることである。
　例えば、2018年3月、暗号通貨取引所Binanceは、緊急システムが2分間の異常な取引を確認した後、全ての引き出しを停止した。
　その後、このフィッシング攻撃は、Binanceを装うサイトにユーザを連れ込み、彼らのパスワードと多要素認証のコードを入力するように求めることが判明した。多要素認証コードは30秒間有効であったため、攻撃者は本物のサイト用の取引APIキーを生成し使用することができた。
　攻撃者がソーシャルエンジニアリングや技術的な攻撃を介して他要素認証を回避できることは明らかであるが、このことは、貴方方が他要素認証を使用しても仕方がないということを意味していない。Microsoftの言葉を借りれば、「多要素認証を使用すると、アカウントがセキュリティ侵害される可能性は、99.9％以上低くなる。」
　明らかに、ユーザは、攻撃者が作成したインチキのサイトに多要素認証のコードを入力しているのではなく、本物のサイトにのみ多要素認証のコードを入力しているという注意が必要である。
　攻撃者が、企業のクラウドベースのサービスへのアクセスを獲得すると、組織に関する情報の収集、データの盗用、他の従業員やパートナーのシステムを攻撃、今後のアクセスがブロックされるようにログイン認証が変更された場合でさえ、機密情報に継続してアクセスできるようにメール転送ルールを設定するなど、多くの奥の手を所有することができる。
　CISAは、そのWebサイトに、組織が彼らのクラウドセキュリティ慣行を強固にすることに役に立つ長大な勧告リストを公開した。このリストには、多要素認証の実施、eMail転送に関する制限、仕事に個人のデバイスを使用しないことの推奨、従業員へのセキュリティ意識向上のためのトレーニングが含まれている。

---

Microsoft： 現在脆弱性攻撃されているDefenderの0-Dayをパッチ
BleepingComputer : News>Security（2021/01/12）
　Microsoftは、Microsoft Defender中の0-Dayの脆弱性を解決した。ただ、このパッチをリリースする前に脅威のアクターによる攻撃は行われていた。
　0-Dayとは、そのベンダーが公式のパッチをリリースする前にオンライン上で積極的な脆弱性攻撃が行われている脆弱性、あるいは、公開されている概念の実証の脆弱性攻撃があるバグのことである。
　Microsoftが本日パッチした0-Dayは、CVE-2021-1647として追跡されている。この脆弱性は、Malware Protection Engineコンポーネント(mpengine.dll)中に発見されたリモートコード実行（RCE）の脆弱性である。

利用できる概念の実証

　 　この0-Dayに関する概念の実証(PoC)の脆弱性攻撃は可能だが、脆弱性攻撃は、殆どのシステムで不可能であったり、幾つかのシチュエーションでは、このPoCは失敗する可能性があると、Microsoftは発言している。
　この脆弱性によって影響を受ける最新のMicrosoft Malware Protection Engineは、バージョン1.1.17600.5である。この0-Dayは、バージョン1.1.17700.4では解決されている。
　Microsoft Malware Protection Engineのバージョン番号を調べる方法の詳細に関しては、こちらを参照されたい。この脆弱性の影響を受けないシステムは、Microsoft Malware Protection Engineのバージョン1.1.17700.4以降を実行しているはずである。
　「お客様は、Microsoft Malware Protection Engineの最新バージョンと定義の更新が、Microsoftマルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります」と、Microsoftは発言している。

Defenderのセキュリティアップデートは自動的にインストールされる

　 　このMicrosoftのアドバイザリは、脆弱性のあるMicrosoft Defenderのバージョンを実行しているシステムには、自動的にインストールされるので、顧客はCVE-2021-1647セキュリティアップデートをインストールするために、如何なるアクションも必要としないと追加している。
　「絶えず変化する脅威の状況に対応して、Microsoftは頻繁にマルウェア定義とMicrosoft Malware Protection Engineをアップデートしている」と、Microsoftは発言している。
　Microsoft Defenderは、Microsoft Malware Protection Engine（スキャン、検出、クリーニングに使用されるコンポーネント）とマルウェア定義の2つを、企業とエンドユーザの両方に対し自動的にアップデートし続けている。
　通常、Microsoft Malware Protection Engineアップデートは、一月に一度、もしくは、マルウェア定義が一日に3回アップデートされる間に、新たに発見された脅威に対して保護する必要がある時にリリースされる。
　Microsoft Defenderはエンジンと定義の更新を一日に数回チェックできるが、ユーザが、セキュリティアップデートを即時にインストールしたいのなら、あらゆる時に手動チェックすることもできる。
　Microsoftは、Microsoft PSExecユーティリティ中にある0-Dayの特権の昇格に関する脆弱性の公式パッチを未だリリースしていない。このバグは先週、0patchプラットフォームを介して無料のマイクロパッチを受け取っている。

---

それはトランプのセックスビデオではない、RATである
Threat Post : News（2021/01/06）
　退任するドナルド・トランプ大統領が引き続き見出しの大半を占めているため、サイバー犯罪者はマルウェアを配布するための疑似餌としてトランプのセックスビデオに着目した。
　Trustwaveの研究者の新しいレポートによると、このキャンペーンは、マルウェアダウンローダーにファイル名“TRUMP_SEX_SCANDAL_Video”とラベリングしていることが明らかにされた。これはeMail中の悪意あるリンクを介して拡散するものである。
　クリックすると、ユーザに猥褻なビデオをもたらすのではなく、犯罪者に、感染したシステムに総合的なリモートアクセスを提供するためのQRATをインストールする。

QRAT

　 　Quaverse Remote Access Trojan (QRAT)は、2015年に発見されたJavaベースのリモートアクセス トロイ（RAT）でありQuaverseのプラグインによって強化されていると、Trustwaveは説明している。
　昨年の8月の始め、Trustwaveの研究者は、QRATを押し付けようとするフィッシングスカムが増加しているとレポートしていた。Trustwaveの研究者Diana Loperaによると、この最新のフィッシングの企てで興味深いのは、件名とファイル名が無関係なことだとしている。

eMail（画像をクリックすると拡大表示されます）

　件名が“GOOD LOAN OFFER!!”になっているこのeMailは、一瞥して通常の出資スカムである。「このeMailの件名も本文もありきたりのものである。興味あることは、このeMailに添付されているアーカイブが“TRUMP_SEX_SCANDAL_VIDEO.jar”と名付けられたJava Archive（JAR）ファイルを含んでいることにある」と、Loperaは、この発見をレポート中で発言している。
　Loperaは、選挙を取り巻く最近の見出しが、悪意のある攻撃者が詐欺を行うために十分な隠れ蓑を提供したと付け加えている。
　「添付ファイルに使用されているファイル名は、メールのテーマとは全く無関係であるため、悪漢共は、最近終了した大統領選挙によって齎された狂乱に乗じようとしているのではないかと疑っている」と、Loperaは発言している。

QRATの変種

　このQRATは、前身のマルウェアから幾つかの変種が発生しているため悪名高いものであると。Loperaは説明している。
　「この脅威は、我々が最初に調査して以来ここ数カ月間で顕著に拡大している」と、更に「 QNode RATでシステムに感染するという同じ最終目標を達成するために、JARファイルダウンローダーの特性と挙動は改良されている」とLoperaは発言している。
　このコードのバージョンは、base64で暗号化されている。このモジュールは、Allatori Obfuscator（【訳注】 第2世代の難読化ツールのファミリーに属するJava難読化ツール（Updatestarより））で隠されている。犠牲者のネットワーク情報は、ここで“hxxps://wtfismyip[.]com”から取得される。最後に、パスワード リカバリもまたChrome, Firefox, Thunderbird, Outlookでサポートされていると、このレポートは説明している。
　「このダウンローダーの悪意あるコードは、追加されたジャンクデータと共に番号付けされたファイルに分割されている」と、Loperaは記述している。
　最新の.JAR変種も詐欺用のMicrosoft ISCライセンスを含んでいる。これは、ユーザに、この.JARファイルがリモート侵入テスト（【訳注】 通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つ（IT用語辞典より））のために実行されると告げるメッセージを提供していると、このレポートは発言している。
　“TRUMP_SEX_SCANDAL_VIDEO.jar”ファイルの実行時に、そのコピーが作成され次に、%temp%（【訳注】 C:\Windows\TEMP（システム）、C:\Users\ユーザー名\AppData\Local\Temp（ユーザ））フォルダから実行される」更に、「次に、侵入テスト用に使用されるリモートアクセスソフトウェアであるこの悪意あるJARファイルが実行される。このサンプルの悪意ある挙動は、‘Ok, I know what I am doing’ボタンをクリックすると現れ始める」と、Loperaは発言している。
　この変種と今までの既知の.JARファイルとのもう一つの相違は、コードの文字列が欠如していることである。
　彼女の観察では、「第三、この脅威に関連するファイルを以前同定した文字列“qnodejs”は、この変種中には存在していない。」
　この.JARファイルの早期のバージョンは、C2サーバ（コマンドアンドコントロール サーバ）とコミュニケーションするために必須のQHubサブスクリプションに関する情報を含んでいたと、このレポートは発言している。
　「我々が早期の変種中に観察したQHubサブスクリプション ユーザに関する情報は、このJARファイルには最早含まれていない」と、Loperaは発言している。

「アマチュア」の試み

　この最新のQRAT変種からシステムを保護するために、Loperaは、電子メール管理者がセキュリティ ゲートウェイで.JARファイルをブロックすることを推奨している。
　「添付ファイルのペイロードは、今までの変種に比べ幾つかの改悪が見られるが、このeMailキャンペーン自体は、むしろアマチュアっぽいものであり、もしも、このeMailがより洗練されたものであったなら、この脅威が成功裏に拡散するチャンスは高いと確信している」と、「悪意あるJARファイルからのスパムは、非常に一般的なものであり、このようなRATにしばしばつながっている」と、Loperaは記述している。

---

クロスプラットフォームのElectroRATマルウェアは暗号通貨のウォレットを空にする
BleepingComputer : News>Security（2021/01/05）
　セキュリティ研究者は、数千人のWindows, Linux, macOSユーザの暗号通貨ウォレットを空にするために使用されている新しいリモートアクセス トロイ（RAT）を発見した。
　12月に発見されElectroRATと名付けられたこのクロスプラットフォームRATマルウェアは、Go言語で書かれており、2020年初頭以来、暗号通貨ユーザをターゲットにした作戦の一部として使用されている。

一年に数千人が感染している

　 　ElectroRAT作戦の背後にいる攻撃者は、このRATを作成し、カスタムElectron（【訳注】 旧称: Atom-Shell。Atomエディタを開発するために生まれたクロスプラットフォームデスクトップアプリケーションエンジン（Qiitaより））アプリケーション中に挿入した。このRATは、暗号通貨取引管理ツール（JammやeTrade）のように表示及び動作する、また、暗号通貨ポーカーアプリケーション（DaoPoker）のように動作するものもある。
　犠牲者のコンピュータ上で起動すると、これらのアプリケーションは、悪意あるElectroRATバックグラウンドプロセスから、犠牲者の注意をそらすために設計されたユーザインターフェイスを前面に表示する。

（画像をクリックすると拡大表示されます）

　今週はじめBleepingComputerとシェアしたIntezerのレポートによると、潜在的な犠牲者を誘惑するために、この脅威のアクターはソーシャルメディア（Twitter、Telegram）や専用のオンラインフォーラム（bitcointalk、SteemCoinPan）でトロイの木馬化したアプリケーションを宣伝している。
　この悪意あるアプリケーションは、2020年1月から12月の間に数千の犠牲者によってダウンロードされ、コマンドアンドコントロールサーバ（C2）アドレスを取得するために、このマルウェアによって使用されたPatebin（【訳注】 ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション(Wikipediaより)）ページの一つでのアクセス回数は、年間におよそ6500回になっている。
　「このトロイ化されたアプリケーションとElectroRATバイナリは、記述の時点で、VirusTotalでは、検出率は低いか、完全に未検出かのいずれかである」とIntezerは発言している。
　感染すると、このマルウェアのオペレータによって、犠牲者のウォレットは空にされる。一部の犠牲者は、この危険なアプリケーションを他の人に警告している。

（画像をクリックすると拡大表示されます）

既製品からカスタムマルウェアに

　ElectroRAT C2情報をアップロードした同じユーザによって公開されたC2 Pastebinページは、この攻撃者が既成のAmedeyとKPOT情報を盗むトロイも利用していることも示している。
　どちらのスティーラーもWindowsプラットフォームのみを標的にしており、感染後も殆ど検出されないようにしている著名なトロイである。
　この新しいGo言語ベースで未検出のElectronRATマルウェアは、同様の能力を持ち複数のプラットフォームををターゲットにすることが可能なので、ステルス作戦には大変効果的である。 　ElectroRATは、Windows, Linux, macOSの亜種に共通する多くの機能を詰め合わせている(「キーロガー、スクリーンショットの取得、ディスクのファイルのアップロード、ファイルのダウンロード、犠牲者のコンソール上でコマンドを実行することを含む」)ので大変侵略的なマルウェアである。
　「スクラッチから書かれたRATを見ることは、そして、暗号通貨ユーザの個人情報を盗むために使用されたのは大変珍しい」とIntezerは結論している。
　「偽のアプリケーションやWebサイトのような様々なコンポーネントを含み、関連するフォーラムとソーシャルメディアを介してマーケティング/宣伝を行うこのような広汎な標的型キャンペーンを見るのは大変稀である。」

（画像をクリックすると拡大表示されます）

あなたのコンピュータ上でトロイ化されたJamm, eTrade, DaoPokerアプリケーションをダウンロードし起動したのであれば、即座にこれらのプロセスを終了させ（Kill）し、システムから全ての関連するファイルを完全に削除しなさい。
あなたの暗号通貨ウォレットが未だ空っぽになっていないのであれば、即座に全ての財産を新しいウォレットに移動させ、可能な限り早く全てのパスワードを変更しなさい。
　Intezerはまた、インメモリアーティファクトであらゆるElectornRATの検出を支援するYARAルール（【訳注】 マルウェアの研究者たちのために作られた、マルウェアを検知・解析・分類するための、オープンソースのプログラム（SIOSセキュリティブログより））も提供している。
　12月、Intezerはまた、自己拡散能力を持つGo言語ベースの別のマルウェアを発見している。このマルウェアは、WindowsとLinuxサーバでXMRig暗号通貨採掘者（マイナー）を配備するために使用されている。

---

注意： PayPalフィッシング テキストは、あなたのアカウントは'limited'（制限されている）と述べている
BleepingComputer : News>Security（2020/12/31）
　PayPalテキストメッセージ フィッシングキャンペーンが進行中であり、あなたのアカウント認証や、なりすまし犯罪に使用することのできる他の重要な情報を盗もうとしている。
　Paypalが、疑わしい、もしくは、不正な行動をアカウント上で検出したとき、そのアカウントのステータスは、一時的に金銭の引き出し、送金、受取が制限される'limited'に設定されていた。
　新しいSMSテキストフィッシング（Smishing、【訳注】 スミッシングとはSMSを用いたフィッシング詐欺（Wikipediaより））キャンペーンは、PayPalからであると装っており、リンクをクリックしてアカウントを確認した場合を除き、あなたのアカウントは永久に制限されると述べている。
　"PayPal: We've permanently limited your account, please click link below to verify,"（PayPal： 我々は永久的にあなたのアカウントを制限した。確認するには、以下のリンクをクリックしなさい）と、スミッシング テキストは表示している。
　以下に示したように、囲みの中にあるリンクをクリックすると、フィッシングページに飛ばされアカウントにログインするよう促される。

PayPalスミッシング テキストと飛ばされるページ（画像をクリックすると拡大表示されます）

　フィッシングページにログインすると、入力されたPayPal認証は脅威のアクターに送信される。このフィッシングページは、更に次のステップに進み、あなたの名前、誕生日、住所、口座情報などを含む詳細を収集しようとする。

犠牲者から個人情報を収集（画像をクリックすると拡大表示されます）

　収集された情報は、あなたの他の口座へのアクセスを獲得したり、標的型スピアフィッシング攻撃を実行するための、なりすまし攻撃を実行するために使用される。
　昨日、私の知り合いの二人が、このようなフィッシングテキストを受け取った。これは大変活動的なキャンペーンなので、誰もがこれらのメッセージに注意する必要がある。
　スミッシング詐欺は、人気あるものとして増加中なので、リンクを含むあらゆるテキストメッセージを疑わしいものとして処理することは常に重要である。全てのフィッシングeMail同様に、疑わしいリンクをクリックするのではなく、必ず、そのメインサイトのドメインを訪問し、あなたのアカウントに問題があるか否か確認しなさい。

このリンクに情報を入力した場合、何をすべきか

　このテキストメッセージを受取、誤ってPayPalアカウントにログインしたり、他の情報を提供した場合は、直ちにPaypal.comに行きパスワードを変更しなさい。
　他のサイトでも同じパスワードを使用している場合には、そこも同様にパスワードを変更しなさい。
　最後に、提出したデータを使用した別の標的型スピアフィッシングに注意しなさい。BleepingComputerは、クレジットレポートを監視し、不正な口座があなたの名前で作成されていないことを確認するように提案する。
　なりすまし詐欺を防ぐには、クレジットレポートを一時的に凍結して、銀行や他の会社があなたの名前でクレジットを発行するのを防ぐこともできる。

---

SolarWindsハッカーは、Microsoftのソースコードにアクセスしていた
BleepingComputer : News>Security（2020/12/31）
　SolarWinds攻撃の背後にいる脅威のアクターは、Microsoft製品のソースコードを閲覧できる内部Microsofstアカウントをセキュリティ侵害していた可能性がある。
　今月始め、Microsoftは、彼らの環境中でSolarWinds Orionプラットフォーム サプライチェーン攻撃の間にダウンロードされた悪意ある実行可能ファイルを検出したことを確認した。

SolarWindsサプライチェーン サイバー攻撃（画像をクリックすると拡大表示されます）

　本日公開されたブログへの投稿で、Microsoftは、プロダクションサービスや顧客データが漏洩していた（偽造されたSAMLトークン（【訳注】 Security Assertion Markup Language)はService ProviderとIdentity Provider の 2 つの企業間の行われる認証と許可のための XML ベースのフレームワーク（Auth0より））が彼らのドメインに対して使用されていた、あるいは、彼らのシステムが顧客を攻撃するために使用されていた）という証拠は発見されなかったと述べていた。
　しかしながら、Microsoftの調査は、この攻撃が内部Microsoftアカウントをセキュリティ侵害でき, 　そのアカウントでMicrosoftのソフトウェアのソースコードを閲覧するために使用できる可能性を発見した。しかし、この攻撃者は、あらゆるソースコードやエンジニアリングシステムを改竄するために要求されるパーミッションを所有していない。
　「我々は、少数の内部アカウントで尋常でない行動を検出した、検証したところ、あるアカウントが、幾つかのソースコード リポジトリ中のソースコードを閲覧するために使用されていたことを発見した。このアカウントは、いかなるコードもエンジニアリングシステムも改竄するためのパーミッションを所有していなかった。我々のさらなる調査は、いかなる変更も実行されていないことを確認した。これらのアカウントは調査され、正しく設定された」と、Microsoftはブログポストで述べている。
　Microsoftは更に、セキュリティ上からの難読化は実行しないと、ソースコードの閲覧をセキュリティリスクと考えていないと述べている。

---

Adobeは、Windows 10でFlash Playerをアンインストールするように警告を開始
BleepingComputer : News>Security（2020/12/30）
　Flash Playerは明日（12/31）公式に終焉を迎える。Adobeは、ユーザがFlash PlayerをアンインストールするようWindowsコンピュータで警告を表示することを開始した。
　Flash Playerがインストールされるとき、以下のコマンドを実行する'Adobe Flash Player PPAPI Notifier'と名付けられたスケジュールタスクが作成される。