By Matt Olney.
しかし、このような取り組みには、すでに危険な状況をエスカレートさせる危険性があります。 Talos のにとって、支援とは、常にウクライナのパートナーや顧客に寄り添い、テレメトリーやコンソールに注視し、ウクライナで展開されているマルウェアの個々の指示を何時間もかけて検証している、ということを意味します。この地域の情報を監視しているうちに、ウクライナやロシアの重要なインフラを攻撃しようとするグループが集結していることが分かってきたのです。
Conti のロシア連邦への支援表明
今の我々のかつてない懸念は、アクターのあらゆる技術レベルを含めサイバー脅威の状況が急速に変化していることです。ここ数日、長年のよく知られた敵であるランサムウェア集団「Conti」は、ロシアのウクライナ侵攻を妨害しようとする者を攻撃する
私たちから見ると、現在の政治情勢を考えると、技術のレベルが大きく異なる、モチベーションの高いさまざまなアクターが突然出現することは、特別な危険性をはらんでいるように思われます。技術の低いアクターであっても、運が良ければ成功する可能性があり、運が悪い場所で成功すれば、現実的な被害がもたらされる可能性があるということです。こうした集団は、自分たちがどのような反応を引き起こすかを理解しないまま、国家が支援する組織と勘違いされてしまうかもしれないという危険性があります。誤解された攻撃への対応が、紛争の激化につながること、これが私たちの最大の懸念です。
インターネット全般の脅威レベルが上がっていることを、各組織が理解することが重要です。今、人々は正義への怒りを感じており、残念ながら誤った判断を下す人々が居ることを理解する必要があります。防御側の視点に立つと、これは基本的なことに注意を払い、低いところにあるターゲットにならないようにすることを意味します。これは、パッチを当てることから始まり、CISA の「Known Exploited Vulnerabilities Catalog
さらに、シスコの Kenna グループのフェローリサーチャーは、現在脅威アクターが悪用する可能性がある脆弱性トップ 10 を挙げています。 以下のリストのように、脆弱性は最近のもの、また、最も古いものでは 2020 年のものがあります。Windows と Chromium のセキュリティ欠陥に集中しています。
脅威の状況は非常に速く変化しています。現在、ロシアやウクライナのシステムを標的にしているグループがいるようですが、特にロシアが前例のない制裁の影響を受け始めると、標的がより多くの国や産業に変化しないとは言い切れません。今一度、基本的なセキュリティ衛生のチェックを行い、自分の組織を外から見て、どこを改善すべきかを理解するようにしてください。
積極的なパッチ適用に加え、私たちがお客様と一緒に推進している分野のひとつに、積極的な情報収集活動があります。ベンダーのブログ、セキュリティ研究者のレポートなどから情報を抽出し、それを防御態勢の重要な変更につなげることは、最新の防御作戦の重要な部分です。情報収集活動の成功は、その結果、どれだけ頻繁に防御体制を変更できるようになったかで測ることができます。
私たちは長年にわたり、紛争時には誰もが傍観者になるわけではないことを警告してきました。今回の紛争では、そのスピードが速く、正直言って驚かされました。私たちは、ロシアとウクライナの両政府が、敵対勢力に対する攻撃に従事するために、無関係の活動家を積極的に勧誘していると認識しています。私たちは、このような安易な理念をモチベーションとする予測ができない、かつ、知られていないアクターをハイライトすることによって、トップレベルの国家主導型攻撃の可能性に対峙するお客様が、このようなアクターに足元をすくわれないよう活動しています。
今後も調査を続け、世界情勢の変化に応じて、ロシアのウクライナ侵攻に関連する知見をこちらのメインブログ
この記事は、Nick Biasini によるブログ「Crowd-sourced attacks present new risk of crisis escalation
」(2022/3/1)の抄訳です。