Categories: セキュリティ

群衆からの攻撃による新たな危機拡大リスク

By Matt Olney.

  • ほぼ予測不可能でほぼ実態が知られていないアクターは、時には素朴なテクニックにもかかわらず、組織に対する大きな脅威となります。一般に、国家が主導する一流の攻撃に注目しているお客様は、このような意欲的な脅威アクターにも注意を払う必要があります。
  • これらのアクターの活動を誤って理解してしまう場合、ウクライナの紛争をさらに悪化させる危険性があります。
  • Cisco Kenna のフェローリサーチャーのデータによると、最近公開されたいくつかの脆弱性を悪用する脅威は最も懸念すべきであり、ソフトウェアと関連システムを常に更新することが重要であると強調されています。
  • このような脅威の高まりと多様化に伴い、防御側はセキュリティの基礎に立ち返り、積極的にパッチを適用、完成したインテリジェンスレポートや、その他の脅威情報に関わるソースを活用して、リアルタイムに状況について理解を深めることをお勧めします。

 

しかし、このような取り組みには、すでに危険な状況をエスカレートさせる危険性があります。 Talos のにとって、支援とは、常にウクライナのパートナーや顧客に寄り添い、テレメトリーやコンソールに注視し、ウクライナで展開されているマルウェアの個々の指示を何時間もかけて検証している、ということを意味します。この地域の情報を監視しているうちに、ウクライナやロシアの重要なインフラを攻撃しようとするグループが集結していることが分かってきたのです。

Conti のロシア連邦への支援表明

 

今の我々のかつてない懸念は、アクターのあらゆる技術レベルを含めサイバー脅威の状況が急速に変化していることです。ここ数日、長年のよく知られた敵であるランサムウェア集団「Conti」は、ロシアのウクライナ侵攻を妨害しようとする者を攻撃すると警告しています。Conti は、グループのスタンスに反対する一部のメンバーがグループに関する重要な情報をリークし始めたため内部抗争で分裂しており、また、双方に対する攻撃を調整するために複数の新しい Telegram チャンネルが出現しています。また、ウクライナの支持者や擁護者の間でも動きがあり、同国警察のサイバー部隊が「有志」とともに「占領者」のインフラをターゲットにしたことをネットに投稿しています。また、いわゆる「IT 軍」を結成したウクライナシンパや、ロシアにサイバー戦争を宣言した有名なハクティビスト集団「Anonymous」のレベルの低い活動も見られます。

 

私たちから見ると、現在の政治情勢を考えると、技術のレベルが大きく異なる、モチベーションの高いさまざまなアクターが突然出現することは、特別な危険性をはらんでいるように思われます。技術の低いアクターであっても、運が良ければ成功する可能性があり、運が悪い場所で成功すれば、現実的な被害がもたらされる可能性があるということです。こうした集団は、自分たちがどのような反応を引き起こすかを理解しないまま、国家が支援する組織と勘違いされてしまうかもしれないという危険性があります。誤解された攻撃への対応が、紛争の激化につながること、これが私たちの最大の懸念です。

 

インターネット全般の脅威レベルが上がっていることを、各組織が理解することが重要です。今、人々は正義への怒りを感じており、残念ながら誤った判断を下す人々が居ることを理解する必要があります。防御側の視点に立つと、これは基本的なことに注意を払い、低いところにあるターゲットにならないようにすることを意味します。これは、パッチを当てることから始まり、CISA の「Known Exploited Vulnerabilities Catalog」をガイドラインとして参考にし、それらの優先順位を確実に上げることが重要です。

 

さらに、シスコの Kenna グループのフェローリサーチャーは、現在脅威アクターが悪用する可能性がある脆弱性トップ 10 を挙げています。 以下のリストのように、脆弱性は最近のもの、また、最も古いものでは 2020 年のものがあります。Windows と Chromium のセキュリティ欠陥に集中しています。

 

脅威の状況は非常に速く変化しています。現在、ロシアやウクライナのシステムを標的にしているグループがいるようですが、特にロシアが前例のない制裁の影響を受け始めると、標的がより多くの国や産業に変化しないとは言い切れません。今一度、基本的なセキュリティ衛生のチェックを行い、自分の組織を外から見て、どこを改善すべきかを理解するようにしてください。

 

積極的なパッチ適用に加え、私たちがお客様と一緒に推進している分野のひとつに、積極的な情報収集活動があります。ベンダーのブログ、セキュリティ研究者のレポートなどから情報を抽出し、それを防御態勢の重要な変更につなげることは、最新の防御作戦の重要な部分です。情報収集活動の成功は、その結果、どれだけ頻繁に防御体制を変更できるようになったかで測ることができます。

 

私たちは長年にわたり、紛争時には誰もが傍観者になるわけではないことを警告してきました。今回の紛争では、そのスピードが速く、正直言って驚かされました。私たちは、ロシアとウクライナの両政府が、敵対勢力に対する攻撃に従事するために、無関係の活動家を積極的に勧誘していると認識しています。私たちは、このような安易な理念をモチベーションとする予測ができない、かつ、知られていないアクターをハイライトすることによって、トップレベルの国家主導型攻撃の可能性に対峙するお客様が、このようなアクターに足元をすくわれないよう活動しています。

 

今後も調査を続け、世界情勢の変化に応じて、ロシアのウクライナ侵攻に関連する知見をこちらのメインブログで更新していきます。

 

この記事は、Nick Biasini によるブログ「Crowd-sourced attacks present new risk of crisis escalation」(2022/3/1)の抄訳です。

 

木村 滋

2000 年シスコシステムズ入社。テクニカルアーキテクト/エバンジェリスト。セキュリティ ソリューション専任技術担当として、大手データセンター/キャリア ビジネスのプロジェクトをサポート。データセンター/VDI/デスクトップ仮想化/ネットワーク仮想化に従事、普及活動、ソリューション開発を担当

CCIE#19521

著書:「Cisco ISR ルータ教科書」、「Cisco WAN 実践ケーススタディ」、「実践Cisco IPSec VPN 教科書」等

NPO法人日本ネットワークセキュリティ協会(JNSA)幹事