──────────────────────────
■■SANS NewsBites Vol.16 No.09
（原版: 2021年 2月23日、26日）
──────────────────────────


◆ マルウェア「Silver Sparrow」、3万台のmacOSデバイスを感染
(2021.2.19 & 20 & 22)
AppleのmacOSを標的としたマルウェアが、3万台のmacコンピューターで発見された
。Silver Sparrowと呼ばれるこのマルウェアがどのような影響を及ぼすかは不明と
される。感染した機器は1時間に1度、コマンドを制御サーバーでチェックしている
が、研究者によるとペイロードの証拠は未確認だという。マルウェアには2つのバ
ージョンがあり、1つはx86ベースの機器を対象とし、もう1つはx86ベースの機器と
M1ベースの機器の両方を対象としている。
- https://threatpost.com/silver-sparrow-malware-30k-macs/164121/
- https://www.zdnet.com/article/30000-macs-infected-with-new-silver-sparrow-malware/
- https://www.theregister.com/2021/02/22/silver_sparrow_malware_for_apple_m1_silicon/
- https://arstechnica.com/information-technology/2021/02/new-malware-found-on-30000-macs-has-security-pros-stumped/
- https://www.darkreading.com/endpoint/attackers-already-targeting-apples-m1-chip-with-custom-malware/d/d-id/1340209
- https://www.securityweek.com/mysterious-mac-malware-infected-least-30000-devices-worldwide
- https://www.bleepingcomputer.com/news/security/new-silver-sparrow-malware-infects-30-000-macs-for-unknown-purpose/

【編集者メモ】(Neely)
このマルウェアの目的は、まだ明らかになっていないが、X86とM1プロセッサの両
方をサポートし、AWSのC&Cフレームワークを含んでいたことから、拡張性、可用性
、延命を向上させる意図があったのではないかと思われる。マルウェアの署名に使
用された開発者証明書はAppleが失効させ、現在のパッケージはシステムにインス
トールできない。Red Canaryの報告に、侵害の指標（IOC）や、空のファイル~/Library/._insu
が存在する場合にマルウェアが自らアンインストールされることなどが記されてい
る。
「macOSのマルウェアが作動する前に追い出す方法」
https://redcanary.com/blog/clipping-silver-sparrows-wings/
─────────────

◆ 中国のハッカー、2014年にNSAハッキングツールのクローンを構築 (2021.2.22)
セキュリティ会社Check Pointの研究者により、中国のハッキンググループがNSAの
ハッキングツールを入手し使用していた証拠が公開された。Equation Groupが開発
したこのツールはEpMeと呼ばれ、権限を昇格させて取得するために使用されている
。中国のハッカーらは、2013年のEpMeコードを使って2014年にクローンを開発し、
2015年から2017年3月にMicrosoftがこのツールによって悪用された脆弱性にパッチ
を適用するまで使用していたという。
- https://research.checkpoint.com/2021/the-story-of-jian/
- https://www.wired.com/story/china-nsa-hacking-tool-epme-hijack/
- https://www.zdnet.com/article/chinese-hackers-cloned-attack-tools-belonging-to-nsas-equation-group/
- https://www.bleepingcomputer.com/news/security/chinese-hackers-used-nsa-exploit-years-before-shadow-brokers-leak/
- https://www.cyberscoop.com/chinese-hack-nsa-tool-check-point/
─────────────

◆ Underwriters Laboratories、ランサムウェア攻撃を受ける (2021.2.19)
Underwriters Laboratories (UL) がランサムウェア攻撃を受け、ITシステムを停
止した。侵害は2月13日に発生し、ULのデータセンター内の機器が暗号化された。
ULはマルウェアの拡散を防ぐため、すべてのシステムを停止した。現在バックアッ
プからシステムを復旧中で、身代金を支払う予定はないという。
- https://www.bleepingcomputer.com/news/security/underwriters-laboratories-ul-certification-giant-hit-by-ransomware/

【編集者メモ】(Pescatore)
2016年にULは主にIoTデバイスを対象に、一連のサイバーセキュリティ規格と共に
、試験・認証サービスのためのサイバースセキュリティ保証プログラムを立ち上げ
ている。ULが認証した機器はまだ少ないが、自社のITシステムが侵害された今、こ
れからのビジネスの成長は難しくなるだろう。
─────────────

◆ 支払処理業者AFTS、ランサムウェア攻撃を受ける (2021.2.17 & 19)
ランサムウェアの犯人らが、シアトルの支払処理業者Automatic Funds Transfer Services
（AFTS）を標的にし、同社のファイルを盗み出し、ITシステムを暗号化した。AFTS
は全米の政府機関やその他の組織の支払い処理や住所確認を担っており、顧客はカ
リフォルニア州陸運局をはじめ、カリフォルニア州とワシントン州の多数の自治体
や機関も含まれる。カリフォルニア州自動車局は、住民に今回の侵害に関する通知
を送信した。
- https://www.bleepingcomputer.com/news/security/us-cities-disclose-data-breaches-after-vendors-ransomware-attack/
- https://www.govtech.com/security/California-DMV-Contractor-Hack-May-Have-Exposed-Driver-Info.html
- https://statescoop.com/cuba-ransomware-attack-state-local-government/
- https://www.scmagazine.com/home/security-news/payment-processor-used-by-state-municipal-agencies-hit-by-cuba-ransomware-gang/
- https://www.govinfosecurity.com/cuba-ransomware-gang-hits-payment-processor-steals-data-a-16027

【編集者メモ】(Neely)
本攻撃の狙いはDMVシステムではなく、AFTSの支払い処理と住所確認サービスであ
る。侵害されたデータには、氏名、住所、電話、ナンバープレート、車体番号、ク
レジットカード情報、スキャンした小切手などの請求情報が含まれている可能性が
ある。キューバのランサムウェア攻撃者グループはデータ漏洩サイトでデータを販
売しており、買い手が見つからない場合は、他の犯罪者らに無料で提供すると考え
られる。データ漏洩の被害を最小限に抑えるために、データ保護ポリシーを見直し
、決められた年数を過ぎたらすぐにデータを削除することが求められる。
─────────────

◆ サウスカロライナ州ジョージタウン郡自治体、いまだランサムウェア攻撃から
回復せず (2021.2.22)
ランサムウェア攻撃によってITシステムが制御されてから1ヶ月が経過したサウス
カロライナ州ジョージタウン郡は、今もシステムの復旧に取り組んでいる。郡は、
要求された身代金を支払わなかったという。現在、従業員の約半数が郡の電子メー
ルアカウントにアクセスできている。
- https://www.securityweek.com/south-carolina-county-rebuilds-network-after-hacking
─────────────

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃OUCH! 3月号「情報が盗まれる　～自分自身を保護する」について
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
インターネットサービスを利用する機会が増えてきましたが、IDの管理はどのよ
うに行っていますか？攻撃者によってIDが盗まれると、ひとつひとつのIDが被害
に遭うだけではなく、あなた自身の個人情報が明らかになってしまうリスクがあ
ります。
今月は、IDが盗まれてしまった場合に、不正利用などを遅らせるといった被害を
最小限にする方法や。ID盗難を検出するためにできることを、初心者にもわかり
やすく解説します。社内の意識啓発資料としてご活用ください。

https://www.sans.org/sites/default/files/2021-03/OUCH%20Mar%2C%202021%20-%20Identity%20Theft_v3-Japanese.pdf
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

◆ 米連邦準備銀行が一時停止 (2021.2.24)
米連邦準備銀行で2月24日（水）に障害が発生し、連邦準備銀行の口座サービス、
中央銀行、小切手21、小切手調整、FedACH、FedCash、FedLine Advantage、FedLine Command
、FedLine Direct、FedLine Web、Fedwire Funds、Fedwire Securities、National Settlement Services
など複数のサービスが影響を受けた。本障害は操作上のミスによるものと判断され
、水曜日の午後にほぼ解決した。
- https://arstechnica.com/tech-policy/2021/02/fed-outage-shuts-down-us-payment-systems-for-more-than-an-hour/
- https://www.bleepingcomputer.com/news/government/federal-reserve-nationwide-outage-impacts-us-banking-system/
- https://www.govinfosecurity.com/federal-reserves-money-transfer-services-suffer-outage-a-16060
- https://www.frbservices.org/app/status/serviceStatus.do

【編集者メモ】(Pescatore)
一般的に、システムダウンタイムの60%近くが人為的ミスに起因するものであり、
残りの30%弱はセキュリティ関連事象が原因であるとされる。経営陣は、このこと
を頭の片隅に入れておくと良い。事業の継続、災害復旧、そして今月注目の「回復
力」のための投資の大部分は、定期的にIT予算から調達するべき。ランサムウェア
やDDoSのようなインシデントが発生した場合にも役立つだろう。
【編集者メモ】(Neely)
この記事と次のTD銀行の記事は、サイバーセキュリティ以外のセキュリティメカニ
ズムでもサービスが中断されることがあり、リグレッションテストを行っても、変
更が本番環境に展開された際、影響を及ぼす可能性があることを示唆している。ロ
ールバック機能がMTD内かを確認すること。顧客への通知も重要だが、連邦準備銀
行のように顧客がアクセス可能なステータスダッシュボードがあれば、顧客対応窓
口やその他のスタッフが復旧に集中できる。これらのサービスを使用する金融機関
は、すべての取引が想定通りに行われたか確認する必要がある。
─────────────

◆ 2月24日(水)、TD銀行が一時停止 (2021.2.25)
2月24日（水）、TD銀行の銀行口座のオンラインアクセス、ATM、電話での残高確認
ができなくなる障害が発生した。システムには「計画的なメンテナンス作業のため
、アクセスが一時的に停止しています」というメッセージが表示されたという。サ
ービスは水曜日の夕方に復旧したが、その日の入金分が口座に預金されなかったと
いう。TD銀行は、今回のサービス停止に関する追加情報は提供していない。
- https://www.bleepingcomputer.com/news/technology/td-bank-suffered-systemwide-banking-outage-services-now-recovered/
─────────────

◆ バックドア型マルウェア「ThreatNeedle」、防衛関連企業を標的に(2021.2.25)
Kasperskyのセキュリティ研究者らは、北朝鮮のハッカーがThreatNeedleとして知
られるバックドア型マルウェアを使い、12カ国の防衛請負業者から機密情報を盗み
出した手法を詳細に報告した。Lazarusグループのハッカーらは、スピア・フィッ
シング攻撃で標的のネットワークにアクセスしたという。Kasperskyは、ハッカー
らが「内部のルーターマシンにアクセスしプロキシサーバーとして設定することで
、ネットワークのセグメント化を逃れ、イントラネットネットワークからリモート
サーバーに盗んだデータを流出させた」と指摘している。
- https://securelist.com/lazarus-threatneedle/100803/
- https://www.bleepingcomputer.com/news/security/north-korean-hackers-target-defense-industry-with-custom-malware/
- https://www.scmagazine.com/home/security-news/apts-cyberespionage/threatneedle-malware-tied-to-year-long-north-korean-espionage-campaign-against-global-defense-industry/

【編集者メモ】(Neely)
Lazarusグループは米国の諜報機関の間で「Hidden Cobra」という名で知られてお
り、ThreatNeedleのバックドア型攻撃は、セキュリティ研究者を標的にしているこ
とが確認されている。ルーターの設定に加え、境界制御や安全なインターフェイス
として機能する他のデバイスなどの変更を検出できるか確認する必要がある。設定
による変更だけでなく、ケーブルなど物理的な手段によって制御をバイパスし、「
何かが悪用される」ことがないよう確認することが大事だ。
─────────────

◆ ハッカーによるAccellionのFTA欠陥を悪用、サイバーセキュリティ当局が発表
（2021.2.23 & 24 & 25）
米国サイバーセキュリティインフラセキュリティ庁（CISA）と豪州、ニュージーラ
ンド、シンガポール、英国のサイバーセキュリティ当局が、攻撃者がAccellionのFile Transfer Appliance
（FTA）の脆弱性を悪用していることに関する共同警告を発表した。この勧告には
、侵害指標（IoC）や推奨される緩和策が含まれている。関連記事によると、他に
も2つの組織、豪ニューサウスウェールズ州運輸省とカナダ航空機メーカーBombardier
社も、これらの攻撃の被害を受けたという。
- https://us-cert.cisa.gov/ncas/alerts/aa21-055a
- https://www.govinfosecurity.com/cybersecurity-agencies-warn-accellion-vulnerability-exploits-a-16057
- https://healthitsecurity.cm/news/cisa-warns-of-accellion-fta-exploit-centene-among-breach-victims
- https://www.zdnet.com/article/transport-for-nsw-confirms-data-taken-in-accellion-data-breach/
- https://www.zdnet.com/article/airplane-maker-bombardier-data-posted-on-ransomware-leak-site-following-fta-hack/

【編集者メモ】(Neely)
CISAのレポートには、技術的情報およびログファイルで注意すべき点が記載されて
いる。悪用は頻発しており、自分がターゲットではないと思い込み何もしないのは
危険である。緩和策として、FTAバージョンFTA_9_12_432以降へのアップデートや
、サポートされているファイル共有プラットフォームへの移行ソリューションの検
討が推奨される。
─────────────



━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃申込受付中のオンラインセミナー（無料） ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇3月9日(火)
　ユーザ企業が語るBox導入事例ウェビナー
　～あの企業はどのようにしてセキュリティと生産性を両立できたか～
　https://www.nri-secure.co.jp/seminar/2021/box0309?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

○3月11日(木)
　ニューノーマル時代におけるセキュリティ対策ウェビナー
　～独自調査から見えてきたセキュリティ課題と対策～
　https://www.nri-secure.co.jp/seminar/2021/insight0311?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇3月17日(木)
　GROUPSプランWEB説明会
　グループ会社や外部委託先のセキュリティリスクをいかに一元管理するか
　～2021年度から始める効率的なサプライチェーンリスク管理～
　https://www.secure-sketch.com/seminar/groups-webinar-form-20210317?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇3月25日(木)
　CISSP講師によるパネルディスカッション
　「CISSPは3年後のセキュリティをこう考える」
　https://www.nri-secure.co.jp/seminar/2021/cissp0325?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃ebook（無料ダウンロード)　　　　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRI Secure Insight 2020
　～企業における情報セキュリティ実態調査～
　https://www.nri-secure.co.jp/download/insight2020-report?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇Boxまるわかりガイド ～働き方改革を支えるデジタルワークプレイス～
　https://www.nri-secure.co.jp/download/box_pamphlet?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇NRIセキュア ソリューションガイド 2021年3月号
　https://www.nri-secure.co.jp/download/nrisecure-solution-guide?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

＞＞ダウンロード資料一覧
　https://www.nri-secure.co.jp/download?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃解説（NRIセキュア ブログ）　　　　　　　　　 ＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇2021年コロナ禍のサイバーセキュリティ月間｜重要視される９つの対策
　https://www.nri-secure.co.jp/blog/cyber-month-2021?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇企業の情報セキュリティ実態調査レポート｜
　DXとテレワークが加速するもセキュリティに課題
　https://www.nri-secure.co.jp/blog/nri-secure-insight2020?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

○デジタルアイデンティティ入門｜DXに不可欠な重要概念を解説
　https://www.nri-secure.co.jp/blog/digital-identity?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇クラウドの「管理者アカウント」を管理する方法｜
　ポイントはクラウドの責任分界点
　https://www.nri-secure.co.jp/blog/manage-cloud-administrator-accounts?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

＞＞ブログ記事一覧
　https://www.nri-secure.co.jp/blog?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃お知らせ　　　　　　　　　　　　　　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇NRIセキュア、ID管理・認証基盤ソリューション「Okta Identity Cloud」の
　導入支援サービスを提供開始
　～IDやパスワードの管理負担を低減し、安全で快適なアプリ利用環境を実現～
　https://www.nri-secure.co.jp/news/2021/0224?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇NRIセキュア、「マネージドEDRサービス」を拡充し、
　マルウェアに感染したPCやサーバの復旧をリモートで支援可能に
　～「復旧支援対応」と「ログ長期保存対応」の2機能を追加～
　https://www.nri-secure.co.jp/news/2021/0210?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇ハッキングトーナメント「NRI Secure NetWars 2020」 開催報告
　https://www.nri-secure.co.jp/news/0226?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

＞＞ニュース一覧
　https://www.nri-secure.co.jp/news?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃NRIセキュア メールマガジン 無料購読　　　　　　　　＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
セキュリティの最新情報やトレンド解説など、セキュリティ担当者やCISOの
業務に役立つ情報を月に３～４回お届けします。
　https://www.nri-secure.co.jp/mail?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

━┳━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆┃無料でセキュリティを自己診断！ Secure SketCH 無料登録受付中＜NRIセキュア＞
━┻━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇30分でわかる！貴社に必要なセキュリティ対策
　https://www.secure-sketch.com?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans

〇Secure SketCHサービス紹介資料：無料ダウンロード
　https://www.secure-sketch.com/ebook-download/secure_sketch_explanation-material?utm_source=sans&utm_medium=mail&utm_campaign=20210303sans


--

NRI Secure SANS NewsBites 日本版は、米国の情報セキュリティの専門機関である
SANS Instituteが配信するコンテンツ (SANS NewsBites)をベースに、NRIセキュア
テクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキ
ュリティのあらゆるトピックと専門家のコメントが掲載されています。原版は、お
よそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソ
ースとして活用されています。組織のセキュリティ管理に関する参考情報としてお
役立てください。掲載されている情報は、e-mailを介して自由に他の方に再送して
いただいて結構です。ただし、サイトへの掲載は禁じます。日本語版の無料購読を
希望される方は、弊社ホームページの以下のページよりお申込みください。
https://www.nri-secure.co.jp/news_letter

本ニュースレターは、メールマガジン配信を申し込まれた方、弊社からの情報を希
望された方、SANS関連のイベントに参加された方、その他イベント等において弊社
講演枠に登録された方に配信しています。
今後、配信をご希望されない方は会社名と御氏名を本文に明記のうえ、件名に【配
信不要】、配信先変更をご希望の方は【配信先変更希望】とご記入頂き、新旧のご
連絡先も記載のうえ、info@sans-japan.jp までご返信をお願い致します。なお、
情報の反映までにお時間を頂戴する場合がございます。