9月14日:注目のサイバー関連ニュース
LockBitの展開に失敗したハッカーが新たなランサムウェア「3AM」を使用
BleepingComputer – September 13, 2023
「3AM」と呼ばれる新たなランサムウェアの存在が発覚。このランサムウェアは、標的ネットワーク上にLockBitランサムウェアを展開しようとして失敗した攻撃者により、予備手段として利用されていたという。Symantecは、3AMを使った攻撃は非常に稀であり、インシデントは上記の1件しか観測していないと述べている。
3AMはRustで書かれており、既知のランサムウェア種との関連はないものとみられ、完全に新しいランサムウェアであるとされる。3AMはまず、のちに恐喝に用いるためにデータを窃取し、その後暗号化を開始する。暗号化されたファイルには拡張子「.THREEAMTIME」が追加されるほか、データ復元を困難にするためシャドウコピーも削除される。そして攻撃者はランサムノート「RECOVER-FILES.txt」を投下してその中でデータを盗んだ旨を主張し、要求に応じなければこのデータをダークウェブ上で売りに出すと脅して、Tor上の身代金交渉サイトへアクセスするよう被害者に求めるという。
新種のランサムウェアは頻繁に登場するものだが、中でも3AMはLockBitの代替手段として使われたことから、他の攻撃者からも関心を集める可能性が高い。しかし上記のインシデントにおいて3AMは限定的な成功しか収められなかったことから、この脅威には既存のソリューションなどで十分に対抗できるものとみなされている模様。このほかの詳細やIoCは、Symantecのレポートで確認可能。
フランス、RF放射レベルが高いとしてアップルにiPhone12の回収を要請
BleepingComputer – September 13, 2023
フランスの全国周波数庁(ANFR)は、iPhone 12が基準値を超える高周波エネルギーを発しているとして、フランス市場からiPhone 12を回収するようアップルに要求した。同機関は、様々なベンダーの140台を超える携帯端末をテストし、これらが比吸収率(SAR)値の基準に準拠しているのかをチェックした。
SARとは、測定源から人体に吸収されるRF(高周波)エネルギーの割合を示す指標。欧州連合理事会は、SARを体組織に対しては2.0W/kg、手や手首など影響を受けやすい肢体に対しては4.0W/kgまでに抑えることを推奨している。
ANFRによると、iPhone 12の手足に対するSAR値は5.74W/kgで、制限値の4.0W/kgを43.5%上回っていたという(体組織に対するSAR値は、2.0W/kg以下と許容範囲内であったとのこと)。そのため同機関はアップルに対し、フランス市場からすべてのiPhone 12を回収し、ヨーロッパの規制に適合させるために必要な措置をとるよう要求している。
SAR値を下げることについて、すでに発売された携帯電話のSAR値を下げることは困難だが、ソフトウェアやファームウェアのアップデートによって対応できる可能性はあるとのこと。またアップルがSAR値の超過について改善を行わない場合、同機関は製品の強制回収を行うと警告している。これが現実化すれば、現在iPhone 12を所有しているユーザーはアップルに端末を返却し、代替品を受け取らなければならなくなる。
BleepingComputerはアップルにコメントを求めたが、声明はすぐに得られなかったとのこと。
エアバスがデータリークの混乱に見舞われ、サイバー犯罪者らが歓喜
The Register – September 13, 2023
航空宇宙大手のエアバスが、サードパーティの不注意によりデータ侵害の被害に遭った。サイバー犯罪情報を扱うイスラエル企業ハドソン・ロックによると、「USDoD」として知られるサイバー犯罪者が、ハッキングフォーラム上でエアバスのベンダー3,200社の個人情報を投稿したという。USDoDは「Ransomed」ランサムウェアグループのメンバーであることを公表しているが、今回リークされたものは単純なデータダンプだと思われる。また同グループは、サイバーアクターにしては珍しくアクセスの入手方法についても説明していて、今回はターキッシュエアラインズの従業員のアクセスを悪用することでエアバスへの不正アクセスに成功したという。この従業員のコンピューターは、Microsoft .NETフレームワークの未承認バージョンのダウンロードが試みられたことで情報窃取型マルウェアに感染したとされている。
エアバスはThe Registerに対して調査を開始したことを明らかにした。またエアバスの顧客に関連するアカウントが攻撃されたと述べたが、どの顧客が影響を受けたかは明言していない。さらにシステムが侵害されるのを防ぐため、セキュリティチームが迅速な是正措置とフォローアップ措置を講じたとも述べている。
一方で、攻撃者はロッキード・マーチンとレイセオンが次のターゲットになる可能性があると主張している。
今回の侵害は、情報窃盗マルウェアがもたらす脅威を思い起こさせるものであると同時に、組織のセキュリティがどれほど強固なものであっても、パートナーやベンダー、あるいはサプライチェーン内のいずれかの組織でいい加減な慣行が行われていれば、攻撃者に容易に侵入できるエントリポイントを与える可能性があることを浮き彫りにしている。