今週も脅威情報ニュースレターをお届けします。
ここしばらくチームで取り組んできたプロジェクトについてまとめた動画を公開しましたので、ぜひご覧ください。以前私は、フェイクニュースに関する記事を書きました。この記事を土台として、動画では、ロシアのウクライナ侵攻中にソーシャルメディア上で拡散されたプロパガンダと実質的に同じものと言えるフェイクニュースの例を検証しています。
兵士が踊るフェイク動画から、レーザーを探知するウクライナ軍のネコだとする偽の投稿、かなり説得力のあるディープフェイク動画まで、さまざまな例を取り上げています。
ロシアのサイバーセキュリティに関するニュースは他にもあります。ここ 1 か月、国家の支援を受けた攻撃者が活発に活動しています。たとえば最近では Killnet グループ
が、米国のいくつかの地方選挙事務所と主要な空港を標的に攻撃を展開しました。これまでのところ大きな影響や混乱は生じていないようですが、こうしたグループが依然として活発な動きを見せている点は注目に値すると私は考えています。米国政府も、ロシアの侵攻が始まって以来同じように警告を発してきました。
注目度の高い攻撃を実行しようとしている、極めて高度な技術を備えたロシアの攻撃者は数多く存在します。ただし Killnet の場合、「正式な」グループというよりは、何でもいいから大混乱を引き起こそうとしているネット上の暴徒の群れといったほうがよいでしょう。特にこれといった目標があるわけではなく(動機は特定の国家の利益でも巨額の利益を得ることでもない)、混乱を引き起こして標的とする人々の生活を乱したいだけのようです。
同グループが次にどこを攻撃するかは予測できないため、ある意味、防御者にとってはさらに質が悪いと言えます。「新学期が始まったので教育機関が狙われる可能性が高い」と言うほど簡単なことではありません。
Killnet のようなグループは、特定のタイミングを狙ったり、「鉄は熱いうちに打て」と考えたりはしないようです。先週発生した空港に対する攻撃も、米国が旅行シーズンにあったため、航空業界の打撃が最も大きくなるタイミングを狙って攻撃しようとした、という感じではありませんでした。
ロシアの支援を受けた攻撃者が西側の組織を標的にしているという警告を何度も聞かされればうんざりするでしょう。ですが、繰り返しになるかもしれませんが、こうした警告は実例に裏付けられたものです。あらゆる業界のユーザーと防御者が、常に目を光らせておく必要があります。
重要な情報
「Alchimist」という攻撃および C2 フレームワークが新たに登場し、Windows、Linux、macOS システムを標的としたさまざまなサイバー攻撃で活発に展開されています。中国語(簡体字)の Web インターフェイスが用意されており、Talos が最近発見した別の新しいフレームワークである Manjusaka にそっくりです。現在、中国の攻撃者の間で急速に普及しています。この 2 つのフレームワークの間には明らかに類似点がありますが、技術的な差はかなりあるため、別々の開発者が作成したものだと Talos は考えています。
今週のセキュリティ関連のトップニュース
Qakbot は、企業ネットワークへのアクセス情報を販売する AaaS グループです。数か月にわたり目立った動きは見せていませんでしたが、再び活動が活発化しました。今回は第 2 ステージのペイロードの種類を増やし、侵入後に他のグループがさらなる攻撃を展開できるようにしています。Qakbot に感染したシステムでは、ペネトレーションテスト(侵入テスト)の担当者がよく使用するシミュレーション プラットフォームである Brute Ratel や、Emotet ボットネット、Cobalt Strike が使用されていました。Black Basta は、Qakbot から標的のシステムへのアクセス権を取得したことが確認されているグループの 1 つです。同グループの場合、Brute Ratel を使用してネットワーク上の他のシステムに横展開したうえで、さまざまな悪意のあるペイロードを実行します(情報源:Dark Reading、Decipher)。
オーストラリアは、攻撃者にますます狙われるようになっています。最近も、有名企業数社がサイバー攻撃を受けました。新しい調査によると、オーストラリアでは、2021 年 7 月から 2022 年 6 月の間にサイバーセキュリティ インシデントが 81% 増加しています。増加分の大半は、2022 年に発生したものです。オーストラリア政府はすでに、新しいサイバーセキュリティの基準と法律を検討しています。データ侵害が発生した場合、すみやかに銀行に通知することをサイバー攻撃の標的となった企業に義務付ける新たな規制も検討内容に含まれています。特に念頭に置かれているのが、同国最大の通信企業 Optus 社で最近発生したデータ侵害です。今週は、大手健康保険会社 Medibank もサイバー攻撃に見舞われました。なお、同社によれば、現在のところ機密情報や顧客データに影響が及んだ証拠はないとのことです(情報源:Computer Weekly、Reuters、Bloomberg)。
ソーシャルメディアとオンライン広告プラットフォームでは、避妊や中絶に関連するフェイクニュースおよび偽情報に関する新しい規則や規制の導入がなかなか進んでいません。最高裁判所がロー対ウェイド判決を覆してから数か月が経ちましたが、オンラインプラットフォームには、誤解を招くような広告、フェイクニュースのリンク、誤った情報が、何のフラグも立てられないままあふれています。判決が出て以降、問題は悪化の一途をたどっていると中絶の権利擁護派が語っています。Institute for Strategic Dialogue 社の新しい調査によると、TikTok、YouTube、Meta などのサイトでは、中絶の権利や法律に関するデマや誤情報の収益化と拡散が容認されたままとなっています(情報源:Axios、Institute for Strategic Dialogue)。
Talos が発信している情報
- 『Talos Takes』エピソード#117:サイバーセキュリティ分野のキャリアをスタートさせるためのヒント
- ビジネスメール詐欺の検出にインテントベースのアプローチを使うメリットとは
- 10 月 7 日から 10 月 14 日の 1 週間における脅威のまとめ
- Windows、macOS、Linux を標的とする新しい C2 攻撃フレームワークについて、研究者が詳しく解説
- EMEA 向け月例 Talos Threat Update(2022 年 10 月):ランサムウェアの現状の概観
- インテントベースのアプローチでニューラルネットワークを活用し、対象を絞って BEC を分類
Talos が参加予定のイベント
Conference On Applied Machine Learning For Information Security (10 月 20 日~ 21 日)
バージニア州アーリントン郡、Sands Capital Management 社
クリックオアトリート?ハロウィンのフィッシング攻撃に引っかからないために (10 月 31 日)
オンライン
BSides Lisbon (11 月 10 日~ 11 日)
ポルトガル、リスボン、Cidade Universitária
本稿は 2022 年 10 月 20 日に Talos Group
Authors