Categories: 脅威リサーチ

注目のセキュリティ研究者:貴社を襲ったその攻撃、Lurene Grenier が何年も前から警告していました

Talos の前身の組織でキャリアを始めたこのエクスプロイト研究者は、最近 Talos に再入社しました。

Lurene Grenier は、国家の支援を受けた攻撃者を長年にわたって調査し追跡してきましたが、今でも眠れない夜を過ごしていると言います。

彼女はセキュリティの仕事に携わりながら、こうした攻撃者が問題をもたらすことを人々に注意喚起してきました。

今、どこかの組織が潤沢な資金を持つ国家の支援を受けた攻撃者に侵害されても、彼女は心配はするでしょうが、同情はしないかもしれません。もう何年もの間、このことについてセキュリティコミュニティに警告してきたからです。

「『何かに騙された場合、一度目は騙した方が悪いが、二度目は騙された方が悪い』という言葉をご存じかと思います。5 年前に攻撃を受けてどちらが悪いかという議論になったら、『中国が悪い』ということになったでしょう」と彼女は言います。「今、攻撃を受けて誰に落ち度があったかという議論になったら、私たちに落ち度があったということになるのです」。

Grenier は、国家の支援を受けた攻撃者の動向を調べて、そうした攻撃者を阻止する検出コンテンツを作成する仕事に携わってきました。

彼女は、Sourcefire Vulnerability Research Team(VRT)という小規模な調査部門の初期メンバーでした。このチームはその後、他のいくつかのチームと合併して Talos を設立しています。Grenier は、現在 Talos のバイスプレジデントを務めている Matt Watchinski に脆弱性エクスプロイトの研究者として採用されました。この職務は、現在 Talos で 10 人以上が携わる業務になっています。

Grenier は、Microsoft 社の月例セキュリティ更新プログラムなどの定期的なパッチサイクルで公開された脆弱性を詳細に調べ、それらの脆弱性に対する独自のエクスプロイトコードを作成しました。それらのコードは、こうした問題を悪用しようとする攻撃者を阻止するための検出コンテンツに反映されます。彼女は VRT とともに成長していき、最終的にアナリストチームの責任者になりました。現在、Cisco Secure 製品と Snort の検出コンテンツを主に作成しているのはこのチームです。

その後、シスコや Talos から離れてセキュリティ分野でさまざまな活動を展開しましたが、最近、Watchinski の特別顧問として Talos に再入社しました。Talos のデータやテレメトリを利用して、国家の支援を受けた攻撃者や主要な攻撃者の動向を調査しています。

「私の主な任務は、私たちが収集した山のようなデータから具体的な計画を導き出すことです」と Grenier は言います。「入手したデータを調べて、そこからどのような成果をお客様に提供できるか考えます。侵害を受けたときの半自律的なメディエーション計画のようなものを策定できないだろうか?攻撃者をより詳細に追跡して、過去に確認したのと同じ攻撃者であることを判別できないだろうか?といったことを検討します」。

Grenier は Talos を離れていたときもつながりを保っており、Cisco Live で開かれた 2 つの Talos Threat Research Summit で講演しました。2018 年には、国家の支援を受けた攻撃者がもたらす脅威を組織があまり真剣に受け止めていないことについてプレゼンテーションを行い、知的財産の窃取について警告しました。米国と英国の政府機関が今年初めに行った注意喚起では、彼女がその講演で警告したのと同じ手法や攻撃者がいくつか取り上げられており、中国政府の支援を受けた攻撃者が重要な知的財産を窃取して詐欺的な「技術移転」契約を結んでいると述べています。

Grenier は今でもそれらの攻撃者を日々追跡していますが、そうした攻撃活動は最悪のシナリオを招く可能性がある天災のようなものであり、現時点では逃れることが不可能であると考えています。

「地震や飢饉のようなもので、本当に恐ろしいものだと思います」と彼女は言います。

現在 Grenier は、攻撃を完全に回避しようとするのではなく、可能な限り大きなコストが攻撃者にかかるようにすることに焦点を当てています。彼女の研究によって攻撃の速度が少しでも落ちたり、次回攻撃するときにより多くのリソースを費やしたりするようになれば、それは小さな勝利であり、次につながります。

「こうした侵害のコストを人々は認識する必要があります」と彼女は言います。「潮目が変わるのはかなり先になると思いますが、最終的には非常に明確になるでしょう」。

彼女は Talos から数年離れていましたが、Sourcefire で培われた企業文化が現在の経営陣に引き継がれていたため、(彼女のいない間に数百人の研究者が加わりましたが)簡単に組織に戻ることができました。「賢く働き、とことん遊ぶ」姿勢を最も楽しんでいると Grenier は語っています。今後も深夜に及ぶ作業やきつい日が待っているでしょうが、そうした仕事は決して無駄にはなりません。また、現在のリモートロールによって実現されたワークライフバランスや、新しいことに挑戦したり新しい研究の道を模索したりできる柔軟性も楽しんでいます。

エンドユーザー向けの「プラグアンドプレイ」ソリューションの販売に注力する業者がセキュリティコミュニティには多いと彼女は指摘します。Talos が他社と違うのは、Cisco Secure ソリューションを導入したユーザーや管理者に調査結果を報告して、Talos のインテリジェンスがより広いコンテキストの中でどのような意味を持つのかを説明していることです。

「自分がそもそも何をしているのか理解していない人に製品を売りつける商売をしているのではないのです」と彼女は言います。「『この脅威を何とかしてほしい』という声に応えるだけでなく、実際にインパクトを与える仕事をすることが大切です。また、有益なこと、実現されるべきことを実現するために頭を働かせることも Talos では求められます」。

Grenier は、仕事以外の場面でもさまざまな形で頭を働かせようとします。自由な時間には音楽の演奏を楽しんでいます。特に、ジャズの影響を受けたブルース音楽が好みです。このテンポの速い形式にとらわれないジャンルは、国家の支援を受けた新しい攻撃者が新しい戦術や手法を開発してきたときに行う必要がある学習や反応とつながっています。ただし、こうした洞察を彼女が Twitter で共有することは当分期待できません。

「ソーシャルメディアは、人間がこれまでに犯した最大の過ちです」と彼女は言います。

Lurene Grenier のファンは、次回の Talos Threat Research Summit で会えるときまで待つ必要がありそうです。そこでは、次の 5 年間に関する彼女の予言を聞くことができるでしょう。

 

本稿は 2022 年 08 月 01 日に Talos Group のブログに投稿された「Researcher Spotlight: You should have been listening to Lurene Grenier years ago」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。