今週も脅威情報ニュースレターをお届けします。
今月は全米サイバーセキュリティ啓発月間です。サイバーセキュリティの「啓発」に関するジョークがいろいろと飛び交っていますが、サプライチェーン攻撃については、啓発が足りないのではないかという疑問がわいてきました。
サプライチェーン攻撃は、2020 年の SolarWinds 攻撃で頂点に達したと思われました。当時、この種の攻撃がニュースの見出しを飾り、サプライチェーン攻撃への備えが重要だと声高に叫ばれるようになりました。
その数か月後、Kaseya に対する攻撃が発生しました。このときは、攻撃者が別の方法を見つけ出し、正規のパッチに見せかけた悪意のある更新プログラムを展開しています。
そして今もなお、サプライチェーン攻撃が蔓延していること、またサプライチェーン攻撃の手法に誰もが備える必要があることについて警告がなされています。では、Kaseya と SolarWinds に対する攻撃は何だったのでしょうか。あれがサプライチェーン攻撃の限界点ではなかったのでしょうか。
大規模なランサムウェア攻撃が何度も発生し、どうにもならない状況に追い込まれても、攻撃者は数週間後にはまた別のランサムウェア攻撃を仕掛けてくるように思えます。
Talos アウトリーチチームの Jaeson Schultz が最近の投稿で概説したように、サプライチェーン攻撃の問題を解決するには、克服すべきハードルが残っています。ただ、サプライチェーン攻撃が収まる気配がないことが明らかである以上、防御側としても警告を続ける必要があります。
10 月初めの投稿にも書きましたが、サイバーセキュリティを「啓発する」ことの意味を明確にすることがそもそも不可能なため、サイバーセキュリティ啓発月間を揶揄する向きがあるのも仕方ないかもしれません。とはいえ、サイバーセキュリティに関する啓発はまだ不十分であり、サプライチェーン攻撃やランサムウェアをはじめとするほぼすべてのサイバー攻撃について、今後も認識を高めていく必要があることは間違いありません。
重要な情報
Cisco Talos インシデント対応チーム(以下、Talos IR)がデータを収集するようになって以来初めて、ランサムウェアの件数とランサムウェア感染前のインシデントの件数が同数となり、2022 年第 3 四半期に確認された脅威の 40% 近くを占めました。ランサムウェアが実行されず、暗号化も行われていない場合、ランサムウェア感染前の攻撃の内容を見極めるのは困難ですが、Cobalt Strike、Mimikatz などのログイン情報収集ツール、列挙や検出の手法が組み合わせて使用されている場合、最終的な目的はランサムウェアの感染である可能性が高いと Talos IR では判断しています。
注意すべき理由
このデータは Talos IR がこの数か月間、実際に目の当たりにしているものであり、より広範な脅威の状況を示しています。
必要な対策
MFA が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つです。対応した約 18% のインシデントでは、MFA が導入されていないか、ごく少数のアカウントや重要なサービスでしか有効化されていませんでした。エンドポイント検出対応(EDR)ソリューションなどの重要なサービスで、MFA が適切に有効化されていれば防げたはずのランサムウェアインシデントやフィッシングインシデントをたびたび目にします。二要素認証を使用していない全アカウントに対して VPN アクセスを無効にすることをお勧めします。
今週のセキュリティ関連のトップニュース
中間選挙まで数日となり、バイデン政権は選挙の安全に関する最新のガイドラインと警告を発表する準備を行っています。現在作成が進められているとされる速報には、ロシアや中国など、国家が支援する攻撃者の脅威に関する情報が含まれています。ボランティアの数が減少する中、選挙スタッフと地方公務員は、投票所のスタッフと投票所に対する物理的な脅威に対処しなければなりません。今月初め、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は、悪意のあるサイバー活動が「投票を妨害または阻止する可能性は低い」とする PSA を発表しました(情報源:Politico、Axios、Voice of America)。
Apple 社は今週、iOS および iPadOS オペレーティングシステムのセキュリティアップデートをリリースしました。これには、「活発に悪用されている可能性がある」脆弱性の修正が含まれています。今回のアップデートでは、合計で 20 件の脆弱性が修正されています。最も注目すべき脆弱性が CVE-2022-42827 です。自分で管理するアプリを介して、攻撃者がカーネル権限でコードを実行する可能性があります。カーネル関連の境界外メモリの脆弱性はこれで 3 件目です。最初の 2 件については、以前のセキュリティアップデート(CVE-2022-32894 および CVE-2022-32917)でパッチが適用されています。CVE-2022-32917 は、実際の攻撃で使用されています(情報源:Forbes、The Hacker News)。
Microsoft 社の Mark of the Web(MoTW)セキュリティ機能の 2 件の脆弱性により、攻撃者が JavaScript ファイルを送信してセキュリティブロックをバイパスできる可能性があります。報告によると、両方の問題が攻撃者によって活発に悪用されていますが、同社はこの脆弱性に対する正式な修正プログラムをまだ発行しておらず、回避策がありません。Mark of the Web は、ファイルのソースが信頼できない場合にユーザーを保護する機能ですが、この 2 件の脆弱性によって Windows のセキュリティ機能が適切に働かず、攻撃者がファイルを実行できるようになる可能性があります。攻撃者が通常使用するのは .js ファイル(添付ファイルまたはダウンロードとして配布)で、Web ブラウザの外部で実行できます(情報源:Dark Reading、Bleeping Computer)。
Talos 関連の情報
- 『Talos Takes』エピソード#118:脅威ハンティング 101
- 『Beers with Talos』エピソード#127:スクリプトキディには誰もがなれる!
- ハッカーがリモートでカメラの電源をオフにできる Abode 社のホームセキュリティシステムのバグ
- Talos インシデント対応チーム四半期レポート(2022 年第 3 四半期)
Talos が参加予定のイベント
クリックオアトリート?ハロウィンのフィッシング攻撃に引っかからないために(10 月 31 日)
オンライン
BSides Lisbon (11 月 10 日~ 11 日)
ポルトガル、リスボン、Cidade Universitária
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
SHA 256:58d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681
MD5: f1fe671bcefd4630e5ed8b87c9283534
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: PUA.Win.Tool.Hackkms::1201
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5: 2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名: Auto.125E12.241442.in02
本稿は 2022 年 10 月 27 日に Talos Group のブログに投稿された「Threat Source newsletter (Oct. 27, 2022): I thought we were already aware of supply chain attacks?」の抄訳です。