今週も脅威情報ニュースレターをお届けします。
RSA カンファレンスが幕を閉じました。私自身は会場に出向かなかったばかりか、開催期間中は NFL ドラフトに参加していました。先週、サンフランシスコで開催された年 1 回のセキュリティカンファレンスで行われた主要な講演、パネルディスカッション、プレゼンテーションは見れていなかったので、ここ数日は、重要そうな話題に追いつくために時間を使っていました。
予想どおり、AI があちらこちらで話題になったようです。現在、テクノロジー業界の重鎮たちが意見を求められることと言えば AI ですし、株主の関心は ChatGPT のような AI ツールに後れを取らないようにするために各企業が何を行っているかに向いているようです。
シスコの元 CEO である John Chambers 氏は、「防御のあらゆる側面で」AI はインターネットとクラウドを合わせたものよりも大きな存在になると述べました。
カンファレンス会場で theCUBE からインタビューを受けた同氏は、「AI とサイバーセキュリティを独自に組み合わせることができたら凄いことになるだろう」と語っています。
長年 RSA のパネリストを務める Adi Shamir 氏は、昨年のカンファレンスで、AI がサイバーセキュリティに及ぼす影響については過度に心配していないと語っていましたが、今年は 180 度意見を変え、警鐘を鳴らすようになりました。
主要な暗号専門家とのパネルディスカッションに参加した Shamir 氏は、「今となっては、完璧な英語で人と会話できる ChatGPT の能力が、非常に大規模に、誤った形で使用されると確信している」と語り、これらのツールが「ソーシャルエンジニアリングに重大な影響をもたらすだろう」とも述べました。
この意見は、多くの人が AI に関して現時点で感じているものと同じです。テクノロジー業界の重鎮たちは、規制されていない AI ツールや AI ボットに対して警告を発しています。G7 のリーダーたちも、各国が AI の規制に向けた「リスクベース」の取り組みを行うという新たな協定を締結しました。
AI 以外で私が注目した RSA の話題は、サイバー攻撃とサイバー犯罪を阻止する取り組みについて米国政府が示した新たなレベルの透明性です。RSA の合同パネルディスカッションで、米国国土安全保障省とサイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、イラン政府の支援を受けた攻撃者が地方政府の選挙サイトに侵入するのを防いだことを公表しました。これまで公にされていなかったことです。カンファレンスに登壇した当局者らは、投票の集計や報告が行われる前に、米国政府が攻撃を阻止したと発表しました。
バイデン政権でサイバーセキュリティを担当する複数の高官がサイバー犯罪に対する統一見解を示し、ダーク Web フォーラムや闇サイトを閉鎖することの重要性を強く訴え、サイトの背後にいる人物の逮捕より優先すべきだと述べています。
重要な情報
Talos インシデント対応チームの最新データによると、サイバー攻撃での Web シェルの使用が増加しています。Talos IR の最新の四半期レポートが公開されました。2023 年第 1 四半期に最も多く確認された脅威は Web シェルで、Talos IR が対応したインシデントの約 4 分の 1 を占めていたことが報告されています。一方、第 1 四半期に確認された脅威のうちランサムウェアが占めた割合は 10% 程度で、前四半期の 20% から低下しました。ただし Talos は、このデータは現在の脅威環境を反映したものではなく、実際より割合が低くなっていると考えています。理由は単純で、第 1 四半期に Talos IR でランサムウェアインシデント対応業務を開始したものの、まだ収束していないインシデントが数件あるからです。
注意すべき理由
攻撃者がどのような戦術、手法、手順(TTP)を積極的に使っているかを理解するうえで、Talos IR のレポートが非常に役に立つことは間違いありません。Talos IR が第 1 四半期に観測した Web シェルの種類や、使用が確認された件数から判断すると、攻撃者が複数のアクセス手段やツールを組み合わせるスキルを有していることは明らかです。また、攻撃者が他のマルウェアを展開したり、機密情報や個人情報を取得したりできるようになる可能性が高まっています。
必要な対策
多要素認証(MFA)が導入されていないことは、企業のセキュリティにとって依然として最大の障害の 1 つです。対応した約 30% のインシデントでは、組織に MFA が導入されていないか、ごく少数のアカウントや重要なサービスでしか有効化されていませんでした。Talos IR は、エンドポイント検出対応(EDR)ソリューションや VPN などの重要なサービスで、MFA が適切に有効化されていれば防げたはずのランサムウェアインシデントやフィッシングインシデントをたびたび目にしています。初期アクセスベクトルを最小限に抑えられるよう、MFA を使用していない全アカウントの VPN アクセスを無効にすることをお勧めします。
今週のセキュリティ関連のトップニュース
Meta 社が、3 月以降 1,000 以上のドメインにフラグを設定したことを発表、問題のドメインでは ChatGPT のように見えるものの実際にはマルウェアを含むツールなどを拡散。Facebook と Instagram の親会社である同社が発行した最新の四半期セキュリティレポートによると、ChatGPT や類似のツールに見せかけてユーザーアカウントを不正に入手するマルウェアファミリを、両プラットフォーム上で少なくとも 10 種類発見したとのことです。これらの脅威の多くは偽のブラウザ拡張機能です。ユーザーにはあくまでも ChatGPT のように振る舞いますが、実際には、ログイン情報、銀行情報、その他のユーザーデータといった機密情報を窃取します。Meta 社の最高情報セキュリティ責任者 Guy Rosen 氏は記者会見で、攻撃者にとって「ChatGPT は新たな暗号」だと述べました(情報源:Axios、Reuters)。
今週、連邦裁判所判事が、情報窃取マルウェア CryptBot に関連する既存および将来のドメインを削除する許可を Google に付与。CryptBot はこの 1 年で 67 万人以上のユーザーに感染したと推定され、Google Chrome ブラウザのデータなど、被害者の機密情報を窃取したと考えられています。この裁判所命令により、Google は直接的または間接的にマルウェアを拡散させるサービスを提供しているネットワークプロバイダーを特定し、問題のトラフィックを直接ブロックできるほか、マルウェアを使う攻撃者が代わりに利用する可能性がある他のサーバーを停止させることができます。CryptBot は、ログイン情報と個人を特定できる情報(PII)を窃取することで知られています。盗まれた情報は他の攻撃者に販売され、より大規模なデータ侵害を行うために使用されます(情報源:Decipher、SC Media)。
よく知られている Illumina 社の DNA シーケンシングデバイスに重大な脆弱性が発覚。機密性の高い患者の医療データが攻撃者に変更または窃取される可能性があります。米 CISA の新たな警告によると、この脆弱性の重大度は 10 点中 10 点(最大)となっています。パスワードがなくても、攻撃者がインターネット経由で影響を受けるデバイスにリモートからアクセスできるようになるとのことです。CISA は、「この脆弱性がエクスプロイトされると、オペレーティングシステム レベルのあらゆる操作が可能になる」と勧告しています。Illumina 社の技術により、研究者や科学者は DNA 配列を明らかにし、病気や特定の健康状態の研究に役立てることができます(情報源:TechCrunch、CISA)。
Talos が発信している情報
- Talos IR On Air:第 1 四半期に最も多く見られた脅威を振り返る
- 動画:世界中のネットワークインフラを狙った、国家支援の攻撃
- 『Talos Takes』エピソード#136:最近の人気ダーク Web フォーラムの閉鎖に関する分析
Talos が参加予定のイベント
BSidesFortWayne (5 月 20 日)
フォートウェイン(インディアナ州)
Cisco Live U.S. (6 月 4 日~ 8 日)
ラスベガス(ネバダ州)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.ex
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:59f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5: df11b3105df8d7c70e7b501e210e3cc3
一般的なファイル名: DOC001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
本稿は 2023 年 05 月 04 日に Talos Group のブログに投稿された「Threat Source newsletter (May 4, 2023) — Recapping the biggest headlines to come out of RSA」の抄訳です。