Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

再び瀬戸際に追い込まれた米政府のサイバーセキュリティ政策

TALOS Japan
2023年7月26日

今週も脅威情報ニュースレターをお届けします。

バイデン政権は先週、サイバーセキュリティへの投資を促進し、米国の重要インフラのセキュリティを強化することなどを目的とした国家サイバーセキュリティ構想の正式なロードマップを発表しました。

これはバイデン政権が今年初めに発表した計画の実現に向けて重要な役割を果たすロードマップであり、構想の多くを実行に移すための具体的な目標とプログラムが定められています。しかし、政治に関しては何事も迅速には進まないため、このロードマップと関連計画はすでにいくつかの障害にぶつかっています。

まず問題なのは、党派政治が常態化していることです。環境保護庁は、衛生調査を実施する際に水道システムのサイバーセキュリティ体制と保護の現状を評価することを各州に求める規則を出していましたが、共和党の州議会議員は、これを阻止するために裁判所に提起された法的異議申し立てを支持しています。個人的には、重要インフラに通常のプロセスの一環としてサイバーセキュリティを考慮するよう求めることは何も問題ないように思えますが、米国控訴裁判所はこの規則を一時差し止めにする判決を下しました（判決時に明確な理由は示されていません）。

何か新しいことが持ち上がるたびに議員たちがこの種の規制を法廷で争っているようでは、制定された規則が実際に施行される段階には決して到達できないでしょう。

バイデン政権がロードマップを発表した数時間後には、共和党の有力下院議員 2 人が、それぞれが委員長を務める各下院委員会で、策定された政策の多くを実施するための「CISA の取り組みを厳しく監視」していくと発言しています。

政治的な立場がどちらであろうと、サイバーセキュリティは議員全員が同意できるものであるべきです。

この議論が 2024 年の大統領選まで続くとして、ホワイトハウスや議会の支配権が政党間で入れ替わったらどうなるのでしょうか。そして 2026 年にはまた状況が変わるのでしょうか。変化には時間がかかるので、どの構想も一夜にして実行に移されるものではありません。

サイバーセキュリティの重要性、そして国の目標達成のために官民連携を推し進める方法について米国政府が何らかの合意に達することができなければ、このロードマップは法的異議申し立て、予算交渉、公聴会、論戦によって妨げられ、党派が対立する新たな火種になるだけでしょう。そしてすべてが一段落する頃には、サイバーセキュリティの目標を策定し、実施する責任者が変わっている可能性が十分あります。

ですから、このロードマップに描かれている内容が最終的にどこに行きつくのかについて少し懐疑的になるのも無理はないと思っていただければ幸いです。

重要な情報

Talos の研究者は最近、ウクライナとポーランドの政府機関、軍事組織、民間ユーザーに対してさまざまな攻撃を仕掛けている攻撃グループを発見しました。最近の報告によると、これらの攻撃作戦の目的は、情報の窃取と持続的なリモートアクセスの獲得である可能性が濃厚です。Talos が分析した活動は 2022 年 4 月には早くも開始されています。最近では今月の初めにも発生しており、攻撃者が持続的に活動していることがうかがえます。最終的なペイロードには、AgentTesla というリモートアクセス型トロイの木馬（RAT）、Cobalt Strike ビーコン、njRAT などがあります。

注意すべき理由

これは明らかにウクライナやポーランドのユーザー、特に政府や軍関係で働いている人を標的にしたスパム攻撃です。自分は当事者ではないという方であっても、この攻撃グループが Office でマクロを有効にしているユーザーを今もまだ狙っている以上、無関係とは言えません。今年の初めには、Microsoft 社はデフォルトでマクロを無効にしているのです。比較的説得力のある内容でユーザーを騙そうとする高度な標的型電子メールが送りつけられていることもあり、背後に誰が隠れているにせよ無視することはできません。

必要な対策

Cisco Secure では、このような攻撃に使用される種類のスパムを防御するための保護手段を複数提供しています。他にも、Snort のルールと検出コンテンツにより、最終的なペイロードとして使用されるマルウェアの実行を防ぐことができます。また、最初のフィッシングメールでユーザーを騙すために使用される画像やドキュメントの例を Talos の研究者が公開しているので、そちらをご覧いただけば何に注意すべきかがわかります。

今週のセキュリティ関連のトップニュース

中国政府の支援を受けた攻撃者が、米国に拠点を置く複数の組織や連邦政府機関の電子メールアカウントにアクセスしたとの報道、国務省も標的に。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）が攻撃の詳細なタイムラインを発表しています。Microsoft 365 のクラウド環境で不審な動きがあったことがユーザーから報告された後、Microsoft 社が調査を実施したところ、「APT（高度標的型攻撃）グループが機密扱いでない Exchange Online Outlook のデータにアクセスして流出させた」ことが明らかになったとのことです。ハッキングの全容はまだ調査中ですが、攻撃者の主な目的は機密情報の窃取だったと報じられています。攻撃者がエクスプロイトした具体的な脆弱性を CISA と Microsoft 社はまだ明らかにしていませんが、CISA の報告書によると、攻撃者は Microsoft アカウントのコンシューマーキーを使用してトークンを偽造し、標的ユーザーになりすましていたとのことです。「Microsoft 社は、攻撃者が入手したキーを使用して発行されたトークンを真っ先にブロックし、次にキーを交換することで問題を修復して継続的な悪用を防止した」と報告書は伝えています（情報源：CISA、CNN）。

Google や Meta などのソーシャルメディアサイトと個人情報を共有しているとして、議員らが人気の納税申告書作成ソフト会社を非難。民主党の議員数名が先週、TaxAct、H&R Block、TaxSlayer が Meta や Google のトラッキングピクセルを自社のサイトに埋め込んでおり、米国の法律に違反して納税者の情報をこれらの企業と共有している可能性があると非難する報告書を発表しました。データの匿名性は保たれていたものの、その情報を使えば「簡単に」個人を特定でき、特定の個人向けのターゲティング広告を作成できるとのことです。また同報告書では、内国歳入庁が独自の無料オンライン確定申告サービスを米国の消費者に提供することが新たに要請されています（情報源：Vox、USA Today）。

多発する WebKit の脆弱性のエクスプロイトに対処したセキュリティアップデートを Apple 社がロールバック、その後再リリースへ。Apple 社は当初、iPhone と iPad 向けの緊急セキュリティ対応のパッチを 7 月 11 日にリリースしました。これは、Safari などの Web ブラウザで使用されている WebKit ブラウザエンジンにおけるリモートコード実行の脆弱性 CVE-2023-37450 を修正するためのものでした。しかし、この修正によって Safari が Facebook、Instagram、Zoom などの主要な Web サイトに正常に接続できなくなったとの報告がユーザーから寄せられ、パッチを撤回することになりました。その後 Apple 社は、脆弱性を確実に修正する新たな修正プログラムを iOS、iPadOS、macOS 向けに再リリースしました。CVE-2023-37450 についての詳細は現在ほとんど明らかになっていませんが、Apple 社はこの脆弱性が実際に悪用されていること、また細工された Web コンテンツを脆弱なブラウザが処理することで脆弱性がエクスプロイトされる可能性があることを指摘しています（情報源：Forbes、Gizmodo）。

Talos が発信している情報

• 脆弱性のまとめ：Microsoft Edge でメモリ破損の脆弱性を発見、MilesightVPN とルータが乗っ取られる可能性
• 悪意のある Microsoft の署名付きドライバが数千に上る可能性：Cisco Talos
• 新たな攻撃者がウクライナとポーランドにサイバー攻撃を開始
• Apple macOS と VMware vCenter の弱点を発見：RPC の実装に 12 件の脆弱性
• 知っておきたいこと：MaaS（Malware as a Service）製品がなぜこれほど多いのか
• ISO に準拠した脅威インテリジェンスプログラムの導入
• 『Talos Takes』エピソード#147：「傭兵」グループとそのグループが作るスパイウェアの危険性

Talos が参加予定のイベント

BlackHat （8 月 5 日～ 10 日）

ネバダ州ラスベガス

Grace Hopper Celebration （9 月 26 日～ 29 日）

フロリダ州オーランド

Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく：脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。

今週はメンテナンスのため、「最も多く確認されたマルウェアファイル」は掲載していません。

本稿は 2023 年 07 月 20 日に Talos Group のブログに投稿された「The federal government’s cybersecurity policies are falling into place just in time to be stalled again」の抄訳です。

• 脅威情報ニュースレター