Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

脅威情報ニュースレター（2022 年 4 月 28 日）：2022 年サイバーセキュリティ模擬ドラフトを開催

TALOS Japan
2022年5月9日

今週も脅威情報ニュースレターをお届けします。今回はいつもと少々趣が違いますが、どうぞお付き合いください。

4 月 28 日夜から、米プロフットボール NFL のドラフト会議が始まります。シスコがこの会議のセキュリティ確保に一役買っているという縁もあり、今回はサイバーセキュリティチームをゼロから構築する場合に何を優先すべきかについて考えてみたいと思います。NFL の熱烈なファンの 1 人としては（頑張れ、クリーブランド・ブラウンズ！）、自分がゼネラルマネージャでドラフトルームにいたならどうするだろうと考えずにはいられません。今年、もし自分でアメフトチームを作るとしたら、エッジのエイダン・ハッチンソンやトラヴォン・ウォーカーを早い段階で指名するのは避けて、クリス・オレイヴやギャレット・ウィルソンのようなレシーバーの獲得に動くでしょう。

それはともかく、サイバーセキュリティもチームスポーツです。日々直面する脆弱性から国家の支援を受けている攻撃者まで多岐にわたる脅威から組織を守るには、チームの層を厚くする必要があります。そのためには、組織のセキュリティを確保するために誰もが必要とする究極のセキュリティツールとスキルを持った最高の人材を 7 巡目までの指名で獲得し、選手登録しなければなりません（当然ですが、これは冗談半分です。セキュリティに関するアドバイスが本当に必要な場合は Cisco Talos インシデント対応チームにお問い合わせください）。サイバーセキュリティ ドラフトの 1 巡目で指名するツール（あるいはチーム）が決まったら、threatsource@cisco.com までメールでお知らせください。

1 巡目：多要素認証（MFA）

MFA は、セキュリティの現場最前線で日々ともに戦ってもらいたい存在です。セキュリティホールを悪用しようとする者たちの攻撃から重要なシステムを守ってくれます。チームをゼロから構築しようとするなら、基本を確実に押さえる必要があります。この時点でチームに MFA がないなら、オフシーズンのフリーエージェントの中から認証方式を探すことになりますが、3 年契約のパスワード方式を誰が採用したいと思うでしょうか？

2 巡目：インシデント対応計画

インシデント対応計画は、ドラフト選手たちが高校時代を過ごしていた数年前まではあまり起用されていませんでした。しかし、この数年間でランクを上げ、2021 年には「ハイズマン賞」（米国でカレッジフットボールの年間最優秀選手に贈られる賞）ならぬ、Wi-Fi（ワイハイ）業界の「ワイハイズマン賞」を獲得しています。チームが劣勢で、急いで巻き返す必要がある場合にはインシデント対応計画が役に立ちます。あらゆる攻撃に迅速に対応して被害を最小限に抑えるための基盤となるのが強力なインシデント対応計画であり、うまくいけば第 4 クォーターで逆転を狙うことも可能です。独自のインシデント対応計画のドラフトを作ろうとしている場合も、Talos インシデント対応チームまで問い合わせていただければゼロから策定しますのでどうぞお任せください。

3 巡目：ユーザートレーニング

トレーニングというと、大学時代は「つまらない」という理由であまり注目されていなかったと懸念する人は多いと思います。しかし、実際にはひと工夫してユーザーの興味を引く方法がいろいろあります。トレーニングの威力は決して侮れないというのが私の意見です。世の中に存在するリスクについて、面白くてためになる方法でしっかりユーザーに情報を伝えておきさえすれば、セキュリティの最前線で MFA が想定どおりに機能するようになります。

4 巡目：エンドポイント検出

エンドポイント検出は、2022 年のサイバーセキュリティ ドラフトではもっと早く指名されるものと予想されます。ただ個人的には、このところ EDR（Endpoint Detection and Response、エンドポイントにおける検出および対応）への注目は薄れていると思うので、4 巡目あたりの指名でも遅くはないと考えた次第です。EDR は、アメフトでいうところのディフェンスバックであり、攻撃側の動きを監視します。異常なアクティビティ、ユーザー、接続があれば、チームの他のメンバーに知らせるという役割です。

5 巡目：脆弱性管理プログラム

Kenna Security のような脆弱性、アセット、パッチ管理プログラムを指名すれば、守りのスターティングメンバーは勢ぞろいです。フィールドを縦横無尽に駆け巡り、敵がおいそれとラインを突破してネットワークのエンドゾーンに近づけないようにします。こうしたソフトウェアを導入することで、仮に大きなセキュリティホールがあっても、敵チームのリーダーに確認される前に即座に修復できます。何より良いのは、このプロセスは自動化できるため、セキュリティ担当チームへの細々とした指示出しが必要ないという点です。

6 巡目：ペネトレーションテスト

6 巡目では遅いように思えますが大丈夫です。優秀な選手は何巡目でも見つかります。ペネトレーションテストは、2000 年の NFL ドラフトで 6 巡目で指名を受けプロ入りした名選手、トム・ブレイディのような存在になるはずです。テストを担当するペンテスターを数人ディフェンスラインに配置し、チームの鼻先まで近づいて、敵より先にチームの弱点を見つけ出します。1 週間も練習すれば、敵と対戦して弱点を突かれる前に、何を改める必要があるのかをすぐに把握できます（蛇足ですが、ペネトレーションテストでは Talos はレッドチームになるので、最高に格好いいアトランタ・ファルコンズの旧ユニフォームのような赤いユニフォームを着ることができます）。

7 巡目：物理的バックアップ

物理的バックアップドライブはサイバーセキュリティのキッカー的な存在です。試合のラスト数秒でキッカーに頼らざるを得ない事態は避けたいところですが、うまくいけば救いの手になってくれます。データと対応計画を物理的にバックアップしておけば、最悪の状況にも対応できます。敵に身代金を払ってボール（データ）を取り戻そうと考える必要はなく、スピードが重要になる正念場でも迅速にデータを復旧できます。クラウドバックアップでも良いのですが、長年にわたってバックアップに役立ってきた物理ドライブの実績を Talos は高く評価しています。

その他の注目情報

新しい調査によると、NSO Group のスパイウェア「Pegasus」の使用が引き続き拡大しており、民主国家でも広がっています。スペイン政府は最近、スペインからの分離独立を目指すカタルーニャの市民に対して Pegasus を展開しました。スパイウェアは、世界中で引き続き問題視されています。The New Yorker 誌の新たな報道によると、少なくとも 45 か国で Pegasus が使用されていることを示す証拠があるとのことです。米国とヨーロッパでも同様のツールが法執行機関によって使用されていますが、これらの地域では政府がスパイウェアの取り締まりを誓っています（情報源：The New Yorker、CNET）。

ロシアによるウクライナ侵攻が長引く中、ロシア政府の支援を受けた攻撃者が今後数週間のうちに重要インフラをサイバー攻撃の標的にする可能性があると、西側諸国の政府が警告を強めました。また、米国、カナダ、オーストラリアなど各国のサイバーセキュリティ機関が、国際制裁に対するロシアの対抗措置として攻撃が行われる可能性があるという警告を新たに発しています。「最近、他のサイバー犯罪グループがウクライナの Web サイトを停止させる攻撃を行ったが、その目的はおそらくロシアの軍事攻撃を支援することである」という記載があります（情報源：CISA、Reuters）。

ボットネットの「Emotet」が新しい手法をテストしている可能性があり、今後数か月以内に大規模な攻撃を展開するための準備だと見られています。セキュリティ研究者は最近、悪意のある Microsoft Excel ファイルを含む ZIP ファイルをホストする OneDrive の URL を電子メールで送りつける攻撃を発見しました。この Excel ファイルは、攻撃対象のマシンに Emotet をインストールします。2021 年 1 月の法的措置によって Emotet が停止に追い込まれて以来、最大規模の活動再開です。Talos はこれまでも、Emotet とその背後にいる攻撃者が、ボットネット解体後も活動を停止しそうにないことを示す兆候を確認しています（情報源：Cybersecurity Dive、ZDNet、Talos）。

Talos が発信している情報

• 注目の Talos セキュリティ研究者：Liz Waddell（CTIR プラクティスリード）
• 4 月 15 日～ 4 月 22 日における脅威のまとめ
• 『Talos Takes』エピソード#93：Kenna の基礎知識 — パッチ適用のベストプラクティスと緩和戦略
• 四半期レポート：インシデント対応の動向（2022 年第 1 四半期）

Talos が参加予定のイベント

BSIDES CHARM（2022 年 4 月 30 日～ 5 月 1 日）
メリーランド州タウソン

RSA 2022（2022 年 6 月 6 日～ 9 日）
カリフォルニア州サンフランシスコ

CISCO LIVE U.S. （2022 年 6 月 12 日～ 16 日）ネバダ州ラスベガス

BLACK HAT USA 2022（2022 年 8 月 6 日～ 11 日）
ネバダ州ラスベガス

DEF CON 2022（2022 年 8 月 11 日～ 14 日）
ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5：93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名：Wextract
偽装名：Internet Explorer
検出名：PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5：2c8ea737a232fd03ab80db672d50a17a 
一般的なファイル名：LwssPlayer.scr
偽装名：梦想之巅幻灯播放器
検出名：Auto.125E12.241442.in02

SHA 256：792bc2254ce371be35fcba29b88a228d0c6e892f9a525c330bcbc4862b9765d0
MD5：b46b60327c12290e13b86e75d53114ae 
一般的なファイル名：NAPA_HQ_SetW10config.exe
偽装名：なし
検出名：W32.File.MalParent

SHA 256：59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5：df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名： DOC001.exe
偽装名：なし
検出名：Win.Worm.Coinminer::1201

SHA 256：1a234656f81e870cdeb0e648a6b305a41452c405cca21124de26b54f79d55ad0
MD5：10f1561457242973e0fed724eec92f8c 
一般的なファイル名：ntuser.vbe
偽装名：なし
検出名：Auto.1A234656F8.211848.in07.Talos

本稿は 2022 年 04 月 28 日に Talos Group のブログに投稿された「Threat Source newsletter (April 28, 2022) — The 2022 Cybersecurity Mock Draft」の抄訳です。

• 脅威情報ニュースレター