今週も脅威情報ニュースレターをお届けします。
ジョー・バイデン米大統領が発表した予算案では、連邦政府の IT 予算が 11% 増加しており、合計 109 億ドルがサイバーセキュリティのために計上されています。これは表面的には素晴らしいことです(政府債務と支出のギャップに関する議論はここでは控えておきます)。
予算が確定するまでにはまだまだ長い道のりが残っています。大統領の予算案がそのまま可決されることはめったになく、幾度にもわたる交渉や議会の投票を経る必要があります。ともあれ、サイバーセキュリティに積極的に投資して、絶えず狙われている連邦政府ネットワークの欠陥に対処していこうとする政府の姿勢がうかがわれるのはよいことです。FBI ではすでに、ランサムウェア攻撃者の追跡に予算を充てる準備をしています。
しかし、セキュリティの問題はお金だけですべて解決できるわけではないことに注意する必要があると思います。新しいテクノロジーや優れた設備を導入したり、人員を増強したりできる資金があるのは素晴らしいことですが、そうした人員には適切なトレーニングを施さなければなりません。またエンドユーザーについても、襲って来る可能性がある最新の脅威や詐欺について継続的に教育する必要があります。ゼロトラストフレームワークに何百万ドル投資しても、そのフレームワークを実装して監視する人員が適切なトレーニングや教育を受けていなければ、ゼロトラストモデルが効果を発揮する可能性はありません。
情報システムセキュリティ協会(ISSA)が 2021 年夏に発表した調査によると、サイバーセキュリティのスキルギャップは 5 年連続で悪化しました。これは、サイバーセキュリティチームが備えているスキルと所有しているリソースとの間の格差が広がり続けていることを示しています。調査の回答者は、このギャップの主な原因として、仕事量の増加、人員不足、従業員の燃え尽きの 3 つを指摘しています。
人員不足の問題は、政府からの資金提供が増えることで改善されるかもしれません。たとえば従業員の給与や福利厚生が手厚くなって、サイバーセキュリティの分野に応募する人が増えたり、他の分野に流出する人が減ったりするかもしれません。しかし、燃え尽きや仕事量の多さはお金では簡単に解決できません。それらの問題は従業員の上司や会社が解決に当たらなければなりません。同様に、会社がいくらお金をかけて最新のツールをサイバーセキュリティチームに与えても、それを使いこなすのに必要な適切なトレーニングや教育を実施しなければ意味がありません。
というわけで、財政面で業界を潤してくれそうなこの新しい政策は喜ばしいのですが、ソフトスキルの問題をセキュリティ業界やエンドユーザーが依然として抱えていることを考えると、諸手を挙げて喜ぶにはまだ早いように思います。
重要な情報
サイバーセキュリティの次の大改革は、ある日突然やってくるかもしれません。量子コンピューティング実現の機運が現在高まっており、大きなブレークスルーが起きれば、暗号化に関するこれまでの常識がすべて覆される可能性があります。
Martin Lee が今週のブログ記事で説明しているように、「世界の超大国が開発中の量子技術は、現在使用されている暗号化アルゴリズムの多くを一夜にして葬り去る力を持っています。実用化された場合、量子技術を操ることができれば誰でも、暗号化されたデータやメッセージをほぼすべて自由に読めるようになります。(中略)強力な量子コンピュータがいつ実用化されるかはまだ分かりませんが、セキュリティに対する影響を予測して事前に防御を固めることはできます」。
情勢を注視すべき理由
「量子コンピューティング」というと仰々しく聞こえるかもしれませんが、理解するのはそれほど難しくはありません。本質的には、次にやって来ようとしているコンピューティングパワーの波のことです。この技術が実用化されると現在使用されている暗号化アルゴリズムを簡単に突破できるようになるので、セキュリティ環境にあらゆる種類の問題を引き起こします。
すでに各国政府がこの技術に取り組んでおり、いつ実用化されてもおかしくありません。悪意のある人間の手にこの技術が渡った場合には、悪用されるのは時間の問題でしょう。したがって、セキュリティ分野に携わっている方は、量子コンピューティングの発展を注視し続けることが重要です。また Talos では、現在の暗号化方式を強化しておく必要があることをさまざまな機会に警告していますので、そちらも参考になさってください。
必要な対策
ここでも Martin の記事を引用します。
「現在使用されている暗号化アルゴリズムの多くは、適切な能力を備えた量子コンピュータが開発された時点ですぐに脆弱なものになります。量子コンピュータの登場を見越した暫定的な対策として、公開キー暗号化で実装するキーのサイズを 3,072 ビット以上に拡張することを検討する必要があります。可能であれば、AES-256 暗号化を使用するようにシステムを移行し、ハッシュには SHA-384 または SHA-512 を使用することをお勧めします。暗号化ソフトウェアの開発企業には、アルゴリズムの寿命を考慮して、暗号化の強度とアルゴリズムを必要に応じて変更できる機能をユーザーに提供することが求められます」。
その他の注目情報
セキュリティ業界では Spring4Shell の脆弱性を引き続き監視しており、実際にどれくらい深刻なのかについて常に議論を交わしています。Spring Framework for Java で発見されたこのエクスプロイトの脆弱性の 1 つである CVE-2022-22965 は、現在 Kenna リスクスコアが最高値の 100 と評価されています。これは極めてまれなスコアです。184,000 件の CVE のうち、スコアが 100 に達したのは 415 件(0.22%)しかありません。この脆弱性の重大さと潜在的な影響の大きさが分かります。Spring4Shell は実際にはそれほど深刻ではないという報告が以前に行われたことがありましたが、それとはかけ離れた評価になっています。今週、このエクスプロイトの追加情報が公開されており、エクスプロイトされた既知の脆弱性のリストに CISA がこのエクスプロイトを追加しました。また Microsoft 社は、同社の一部のクラウドサービスを標的とした攻撃においてこの脆弱性が積極的にエクスプロイトされているとユーザーに警告しています(情報源:Talos、ZDNet、Microsoft)。
米国務省がサイバー空間・デジタル政策局(CDP)を正式に発足させました。サイバー外交への取り組みを強化するバイデン政権の姿勢が示されています。同局の説明によると、CDP は「サイバー政策やデジタル政策の問題に関する米国の外交を主導する役割」を担っています。この機関は、ロシアのウクライナ侵攻を巡って米露間の緊張が高まっている重要な時期に開設されたことになります。この 1 年間、国家の支援を受けた大規模なランサムウェア攻撃や、ウクライナ侵攻の先駆けとなるサイバー攻撃が多数発生しました(情報源:Washington Post、米国務省)。
ランサムウェア集団「Conti」は最近、大規模なデータ漏洩に見舞われましたが、依然として活発に活動しており、感染を拡大させています。ウクライナのハッカーが Conti に初めて侵入して大量のデータとチャットログを漏洩させて以来、セキュリティ企業はこのグループの戦術について多くのことを学びましたが、Conti の攻撃は衰えを見せておらず、Log4Shell などの一般に知られている脆弱性をエクスプロイトし続けています。また、Conti が最近の攻撃で IcedID というバンキング型トロイの木馬を展開したことが研究者によって確認されました。2017 年に初めて発見された IcedID は、組織の連絡先電子メールフォームを使用して偽の法的通知を標的に送り付けて、悪意のあるリンクやファイルをクリックするように仕向けます(情報源:CNN、ZDNet、TechTarget)。
Talos が発信している情報
- 注目の脅威:新バージョンの 3LOSH 暗号化ツールを使用した AsyncRAT 攻撃
- 脅威アドバイザリ:Spring4Shell
- 『Talos Takes』エピソード#90:Kenna Security の基礎知識
- 『Beers with Talos』エピソード #119:黒猫に要注意、ランサムウェアグループ「BlackCat」が活動中
Talos が参加予定のイベント
RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ
CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5:3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201
SHA 256: 1a234656f81e870cdeb0e648a6b305a41452c405cca21124de26b54f79d55ad0
MD5:10f1561457242973e0fed724eec92f8c
一般的なファイル名:ntuser.vbe
偽装名:なし
検出名:Auto.1A234656F8.211848.in07.Talos
SHA 256:12459a5e9afdb2dbff685c8c4e916bb15b34745d56ef5f778df99416d2749261
MD5:3e2dbdfa5e58cb43cca56a3e077d50bf
一般的なファイル名:NirCmd.exe
偽装名:NirCmd
検出名:Win.PE.SocGholish.tii.Talos
本稿は 2022 年 04 月 07 日に Talos Group のブログに投稿された「Threat Source newsletter (April 7, 2022) — More money for cybersecurity still doesn’t solve the skills gap problem」の抄訳です。