Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

スキルギャップの解消に寄与すると期待される大学のサイバーセキュリティ ホットライン

TALOS Japan
2023年7月3日

今週も脅威情報ニュースレターをお届けします。

最近、テキサス大学オースティン校が、同大学の教員およびセキュリティと IT を学ぶ学生によって運営されるサイバーセキュリティ クリニックを新たに立ち上げるというニュースを偶然目にしました。コミュニティ組織、非営利団体、中小企業などは通常、民間企業が提供するサイバーセキュリティ サービス（インシデント対応、一般的な助言、ランサムウェアの防御策など）の利用料を支払う余裕がありませんが、同クリニックでは、そうしたサービスが無償で提供されます。

このニュースでは、他にも発見がありました。実は、このようなクリニックは思った以上にたくさんあるのです。

米国ではテキサス大学オースティン校のクリニックが最も新しいものの 1 つですが、カリフォルニア大学バークレー校とインディアナ大学にも同じようなプログラムがあり、4 年以上続いています。そして 2021 年には、複数の大学が集まって、サイバーセキュリティ クリニック コンソーシアムを設立しました。現在、このコンソーシアムには 14 校が加盟しており、各大学が同様のクリニックを開設し、同種のサービスを無償で提供しています。

多くの読者の皆さんにとっては今さらの話かもしれませんが、私にとってはまったくの初耳でした。ただ、至極当然のようにも思えます。

サイバーセキュリティ業界で常に話題になっているのが、スキルギャップの存在と防御担当者のバーンアウト率の高さです。これらの問題が民間部門と公共部門でのセキュリティ担当者の不足につながっています。この種のクリニックは、スキルギャップを解消する一助となります。学生は実地訓練で経験を積み、最終的にその経験を現場で活かすことができます。同時に、往々にして最もサイバー攻撃の被害に遭いやすい組織を支援することにもなります。小規模な組織にはセキュリティプログラムを構築するための従来のリソースがありません。ランサムウェア攻撃を受けた場合、できるだけ早く「通常」に戻せるのであれば手段は問わないと考えがちで、身代金を払うことも少なくありません。

大学は長い間、医療や法律の分野で将来の専門家を養成するためにクリニック方式を採用してきたため、この種のプログラムを支援するためのインフラがすでにあり、資金も確保されています。

クリニックの記事を読んでいたら、大学新聞の仕事を思い出しました。学生自治会について記事を書くことは、ランサムウェア攻撃から復旧を試みることほど危険ではありません。それでも、実社会の経験を積むことは、教室で学ぶどんなことよりもはるかに価値があると自信を持って言えます。

大学新聞の仕事では、うまくコミュニケーションを取る方法と公平に人と接する方法を学べましたし、繰り返し書くことでライターとしての力が全般的に向上しました。

サイバーセキュリティの教育を受けるために私が大学に戻ったのはもう 2 年前のことですが、教科書を 1 冊多く読んだり、コーディングの練習を 1 回多く行ったりするよりも、クリニックで訓練を受ける機会があったら良かったと思います。

サイバーセキュリティ クリニックの存在を知るのが遅かったのは私だけではないと思います。この記事が公共サービス広告として誰かの役に立ち、学生や組織に門戸が開かれていることが知れ渡ったら幸いです。

重要な情報

Cisco Talos は、CVE-2023-34362 に対するエクスプロイトの試みに関する最近のレポートをモニタリングしています。これは、マネージドファイル転送（MFT）ソリューションである MOVEit Transfer に存在する SQL インジェクションのゼロデイ脆弱性で、2023 年 5 月下旬以降、何度も標的にされています。エクスプロイトが成功するとリモートコード実行（RCE）につながる危険性があります。その結果、認証されていない攻撃者が任意のコードを実行できるようになり、ウイルス対策ソリューション（AV）の無効化やマルウェアのペイロードの展開など、悪意のある活動を行いやすくなります。ランサムウェアグループ Clop が、この脆弱性を悪用したという声明を公開しました。これまで確認されていなかった LemurLoot という Web シェルを展開し、被害者のデータを流出させて身代金を要求したとのことです。

注意すべき理由

この脆弱性が悪用されたことで、すでに世界中の多くの組織に影響が及んでいます。BBC、British Airways 社、ノバスコシア州政府、英国の薬局チェーン Boots など、この脆弱性の影響が広範囲に及んでいるのは明らかです。一方、セキュリティ研究者はすでに MOVEit の別の脆弱性を発見していますが、今のところ、それらの脆弱性が実際に悪用された事実は確認されていません。

必要な対策

Talos は、攻撃を受ける可能性のある組織が取るべき推奨事項のリストをブログに掲載しています。ですが何よりもまず、Progress Software 社がリリースした CVE-2023-34362 のパッチを当てるようにしてください。Talos も ClamAV の新しいシグネチャと Snort ルールをリリースしていますので、MOVEit の脆弱性のエクスプロイトを検出し防止するためにお役立てください。

今週のセキュリティ関連のトップニュース

ウクライナの政府機関や IT ベンダーに対するサイバー攻撃の急増の背後に、ロシア連邦軍参謀本部情報総局（GRU）とつながりのある攻撃者グループがいることを Microsoft 社が確認。同報告書は、「Cadet Blizzard」という攻撃者グループが、昨年ロシアがウクライナに侵攻する直前に行われた一連のデータ消去攻撃に関与していたとしています。ロシアと軍事衝突しているウクライナを支援し、同国に援助を行っている NATO 加盟国も Cadet Blizzard の攻撃対象になっているようです。同グループは通常、盗んだログイン情報を使用して、標的とするネットワークの境界線にあるインターネット上のサーバーにアクセスします。その後、Web シェルを使用して永続性を維持し、さまざまな悪意のある行動を実行します。2022 年に行われたデータ消去攻撃を別にすれば、GRU とつながりのある他の攻撃者と比べて Cadet Blizzard の攻撃は成功していないと見る向きが大勢です（Microsoft、Yahoo! News）。

米国司法省が、サイバー攻撃の背後にいる国家支援型脅威グループや個人の訴追に重点的に取り組む新部門の設置を発表。新たに設置される国家安全保障サイバー部門は、他の種類の犯罪やテロ行為の訴追も担う同省の別の 3 部門と同格になります。司法省の発表によると、この新組織は「FBI や（インテリジェンス コミュニティの）パートナーがサイバー攻撃の脅威を特定したら直ちに行動できるよう設置するものであり、捜査や混乱の収拾を支援する立場になる」とのことです。ここ数か月、司法省はサイバー攻撃に対する姿勢を厳格化させており、バイデン政権になってから、知名度の高い攻撃者数名を起訴し、逮捕しています（Recorded Future、CyberScoop）。

今週、ジョー・バイデン米大統領が AI の専門家や企業から成るグループを招集、新テクノロジーがプライバシーや米国経済などにもたらす危険性について議論。バイデン大統領は会議後、「プライバシーの保護から、偏見や偽情報への対処、AI システムがリリースされる前の安全性確認まで、現政権はアメリカの権利と安全を守ることに尽力している」と述べました。カマラ・ハリス副大統領も、公民権指導者、消費者保護団体、AI 専門家との会談を予定しています。AI モデルに内在する偏見や、主流文化におけるこうしたテクノロジーの台頭について議論がなされる見込みです（NBC News、Politico）。

Talos が発信している情報

• 『Talos Takes』エピソード#143：ソフトウェア サプライチェーンに潜む思わぬ脅威
• 脅威のまとめ（2023 年 6 月 9 日～ 6 月 16 日）
• 『No Password Required』シリーズ：自らコーヒー豆を焙煎する、最も有名なサイバーインシデントを経験した Cisco Talos の脅威研究者
• シスコ、Cisco Live 2023 で新たなセキュリティ製品をリリース
• 動画：サイバーレジリエンスの向上に役立つ Talos のオープンソースツール

Talos が参加予定のイベント

BlackHat （8 月 5 日～ 10 日）

ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5： 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名： c0dwjdi6a.dll
偽装名：なし
検出名：Trojan.GenericKD.33515991

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5： a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名： AAct.exe
偽装名：なし
検出名： PUA.Win.Tool.Kmsauto::1201

SHA 256：00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5： d47fa115154927113b05bd3c8a308201
一般的なファイル名： mssqlsrv.exe
偽装名：なし
検出名： Trojan.GenericKD.65065311

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5：93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名： Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5： 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名： c0dwjdi6a.dll
偽装名：なし
検出名：Trojan.GenericKD.33515991

本稿は 2023 年 06 月 22 日に Talos Group のブログに投稿された「Cybersecurity hotlines at colleges could go a long way toward filling the skills gap」の抄訳です。

• 脅威情報ニュースレター