注目のセキュリティ研究者:Asheer Malhotra が脅威ハンティングで即座に満足感を得る方法
リバースエンジニアリングが趣味だったインド出身研究者が、わずか数年で講演者に
Asheer Malhotra の仕事の 90% は日の目を見ることはありません。それでも、新しいものを探し続けるモチベーションを保っていられるのは、世間に認められる 10% があるからです。
Talos アウトリーチチームの研究者は、新たな脅威になりそうなことの調査にほとんどの時間を費やしています。いろいろ調べてみても、すでに発見され阻止されていたり、さらなる解明の糸口にはならないケースばかりです。
ですがいつかは、「ピンとくる」ことがあると言います。多くの人に広く知ってもらうべき新たな脅威だというサインです。Talos での業務で Malhotra は、サイバー攻撃や国家の支援を受けアジアで活動する攻撃者の調査に打ち込んできました。たとえば Transparent Tribe グループについて、何度か記事も書いています。
「ある時点で、『あれ、これは見たことないな』と思うのです。そこで公開情報の分析を始めます。そして徐々に確信が出てきて、特定の攻撃者やマルウェア攻撃の動機と戦術についての説明ができるようになります」と彼は言います。
Transparent Tribe については、アジアの脅威状況における主要なプレーヤーとしての成長ぶりを追跡してきました。同グループは、複数のリモートアクセス型トロイの木馬を武器として新たに採用し、インドの有名な政府関連組織を標的にしています。そしてさらに、攻撃範囲をアジア全域に拡大しています。
脅威ハンティングをしていないときには、シスコのお客様にブリーフィングでサイバーセキュリティの現状についてお伝えする仕事もしています。また、世界各地で開催される会議でプレゼンテーションを行うこともあります(コロナ禍の最中は主にバーチャルで参加)。
「私はいつも最新の話題を見つけようとしています。(中略)自分のスキルを磨いた上で、人前で話すときには自信をもって話すよう努めてきました。うまくお話しできるのは、適切な知識と脅威インテリジェンスに裏打ちされた自信を持っているからこそです」と彼は語ります。
Malhotra はインド出身で、ほぼずっとインドで暮らしていましたが、ミシシッピ州立大学で修士号を取得するために渡米しました。それまで彼が知っていたものとはあらゆる面でかけ離れた場所でしたが、馴染むのに時間はかかりませんでした。
「そこは米国の中でも保守的な色合いの濃い『ディープサウス』でした。ですからカルチャーショックはありましたが、南部のもてなしの心は本物で、そこではごく自然に感じられました」と語っています。
Malhotra は、子供のころからずっとコンピュータを使った仕事をしたいと思っていました。10 代になると、インターネットで話題になっていたエクスプロイトをリバースエンジニアリングしてみたり、小規模なアプリケーションを調べ回ったりするようになります。その後政治と国家安全保障についても関心を持つようになり、両者を組み合わせ、国家の支援を受けた攻撃者について重点的に研究するようになります。彼にとって、これは自然な流れでした。
Malhotra は、インド亜大陸で研究を続けていますが、インドと米国の安全保障の状況には多くの類似点が見られると言います。
「最近インドのセキュリティ市場が台頭してきており、有名な会議もインドで数多く開かれるようになっています。インドの巨大な IT、コンピューターサイエンス、テクノロジー市場に着目し、多くのテクノロジー企業がオフィスを構えています」と彼は言います。
インドにはハイテク企業、高等教育機関、政府の請負業者が集中しています。そこで現在彼が大きな関心を抱いているのが、知的財産の盗難です。サイバーセキュリティ関係でこのところ注目を集めているのは「人目を引く」最新のランサムウェア攻撃ですが、Malhotra が特に懸念を抱いているのは、攻撃者による二重恐喝戦術です。
攻撃者がファイルを人質にして身代金を要求する点は、従来のランサムウェア攻撃と同じです。ただ問題なのは、多くの攻撃者が、盗んだ情報をインターネット上で広く流出させ、誰でも見られるようにする(盗んだり購入したりできるようにする)というやり方で脅迫するようになってきたことです。
Malhotra は、ランサムウェアについて「今そこにある危機」と表現しました。二重恐喝の手口は、多くの経営者にとって最重要事項になりつつあります。
彼自身がセキュリティに関する経験を積んできた一方で、アジア太平洋地域で追跡している国家の支援を受けた攻撃者(Transparent Tribe や MuddyWater など)も年月を経て成長してきました。
「能力やスキルセットのレベルがそれぞれに異なるこれらのグループが標的を感染させる方法を調べるのが好きなんです」と彼は言います。「それと、どうやって進化を遂げているかですね。たとえば 2016 年以降(中略)攻撃対象が拡大していて、戦術の進化を目の当たりにできます。攻撃の展開方法を知るのは、本当に面白いですよ」。
Malhotra が発見した攻撃グループや攻撃が、ある種のエンターテインメントになることも珍しくありません。たとえば最近発見された Manjusaka フレームワークについての彼の研究成果から、Talos の Twitter で今や有名となった「牛の糞」のイラストが生まれました。また Transparent Tribe のヒョウも、Talos の「マルウェアマスコット」ステッカーコレクション
で人気を博しています。
こうした発見に至る手段はさまざまです。Malhotra によれば、オープンソース インテリジェンス、Talos ハニーポット、テレメトリソース、独自調査など、あらゆるものを駆使しているとのことです。彼の調査結果が表に出る場は、Talos のブログ投稿かお客様へのプレゼンテーションのどちらかであることがほとんどです。攻撃者が再攻撃しにくくなっているのが分かるのが一番の感動だと言います。防御側の私たちは、あらゆるサイバー脅威を検出して阻止することはできないかもしれません。ですが Malhotra は、攻撃者がサイバー攻撃を展開するたびに厄介な思いをする上にコストもかかるという状況を作ることが目標だと語ります。
「ある作戦や攻撃についての情報を公開するのは、その攻撃に大きなダメージを与えるためです。そうして攻撃者を、改めて新しいやり方を取り入れ、新しい TTP(戦術、手法、手順)を考え出さなければならない状態へと追い込みます。攻撃者のモチベーションを下げる、それこそが私たちの狙いなのです」。
本稿は 2022 年 09 月 06 日に Talos Group
Tags:
