今週も脅威情報ニュースレターをお届けします。
先週は誰もがラスベガスに出かけていたので、かなり疎外感を感じていました(会議疲れに陥らなかったのは良かったのですが、その代わりに素晴らしい時間を逃してしまったような気がします)。
それでも、私と仕事をしている人なら分かると思いますが、ソーシャルメディアやニュースの報道を通じてオンラインで情報を詳しく追っていました。私と同じように Black Hat や DEF CON に足を運べなかった方もいらっしゃると思うので、この記事では、カンファレンスで発表されたさまざまな新しい研究、講演、インタビューなどの中から、個人的に一番の盛り上がりを見せたと思う話題やニュースをまとめて紹介したいと思います。
驚くことではありませんが、話題の中心となったのは AI だったようです。あるパネルディスカッションにはオバマ政権時代のサイバーセキュリティ政策担当官が登壇し、AI およびサイバーセキュリティと AI との関わりについてバイデン政権が対策を講じると断言
しました。大統領令の内容も、安全保障に対する米国のより広範なアプローチに関する過去の大統領令と同じくらい幅広いものになるようです。
AI をめぐっては他にも数々のパネルディスカッションと講演が行われました。すでにかなりの数の企業が ChatGPT 風の独自 AI を開発しており、AI 技術は頭打ちになったのではないかとの質問も出ました。
分散型サービス妨害(DDoS)攻撃についての FBI 捜査官のインタビューと講演も興味深い内容でした。このところ DDoS 攻撃、特に有名企業や話題のゲームを標的にした攻撃に再び関心が集まっていることについては、以前も記事で取り上げました。
Black Hat では、政府高官 2 人が共同で講演を行い、DDoS 攻撃の大半は商取引における紛争の結果であるか、ビデオゲームで優位に立つために攻撃が仕掛けられていると述べました。
この両氏は、FBI が DDoS 攻撃を阻止するにあたってどのように優先順位をつけているかについても詳細に説明しています。もしこの記事を DDoS 攻撃でニュースになるような人物が読んでいるとしたら、連邦政府はもうすぐそこまで迫っているかもしれません。
毎年のことですが、両カンファレンスで紹介される一風変わった脆弱性やハッキング方法にも興味は尽きません。個人的なハイライトと言えば、最も普及している自動カードシャッフルマシンの 1 つをハイジャックする方法を発見した研究者グループでした(ラスベガスにぴったりの話題です)。ギャンブルゲームでカードが配られる前にその順番が分かるということでした。
ただこの場合、実際のアタックサーフェス(攻撃対象領域)がどの程度かについてはよく分かりません。というのも、ハッキングするとしたら物理的な小型 USB デバイスをシャッフルマシンに取り付ける必要があるからです。何者かが床を這っているのを見て、カジノの従業員が大喜びするとも思えません。とは言え、何にでも USB ポートを搭載することの弊害が明らかになるのは良いことだと思います。
また DEF CON では、短時間ながらも混乱を招く事態が発生しました。付近に置かれていた Apple TV とのペアリングを要求するポップアップ通知が iPhone ユーザーに表示されたのです。これは、カンファレンスに参加した研究者の 1 人による害のない悪ふざけだったことが判明しています。目的は、コントロールセンターの小さなボタンをクリックするだけでなく、設定画面から実際に Bluetooth をオフにすることが重要だということをユーザーにはっきりと理解してもらうことだったようです。
最後になりましたが、ウクライナ国家特殊通信・情報保護局副会長兼デジタル トランスフォーメーション最高責任者の Viktor Zhora 氏が展示会場でわざわざ声を掛けてくださったことに感謝の意を述べたいと思います。同氏は、かねてからウクライナ支援に貢献してきた Talos のリーダーの 1 人である Matt Olney に会うために、ご多忙にもかかわらず時間を割いてくださいました。Black Hat で講演を行い、メディアに何度も登場するなど非常に慌ただしいスケジュールをこなしていた Viktor 氏が Matt に会う時間を確保してくださったことを光栄に思います。
重要な情報
Black Hat と DEF CON では AI がすでに話題をさらっていたので、ここからは、AI ツールと AI がサイバーセキュリティに与える影響について見ていきたいと思います。Talos のインシデント対応担当者の 1 人が『On the Radar』シリーズの最新記事で取り上げたように、AI の影響はセキュリティ分野全体に広がっており、サイバー犯罪者にも防御側にも大きな意味をもたらしています。犯罪者は、混乱を招いて利益を得るためにさまざまな方法で AI を使用できるため、最近の AI の普及により、サイバーセキュリティに対する大きな懸念が生じています。
注意すべき理由
犯罪者は AI を利用して効率よく活動できるようになります。これまで以上に巧妙で拡張性のある攻撃を効率的に仕掛けつつ、検出と犯人の特定も回避することが可能になるのです。サイバー犯罪者は、流出データも含め膨大な情報を AI で分析することによって、別の形で攻撃を仕掛けられるようになります。情報を分析することで脆弱性や価値の高い標的を特定することができ、より多額の金銭が得られそうな、効果的で精度の高い攻撃が可能になります。一方、防御側にとっても、AI は新たな防御策や防御ツールへの扉を開くものであり、セキュリティにおける AI のプラス面とマイナス面の両方を知ることが重要です。
必要な対策
現時点では、一般ユーザーが何らかの対策をしなくてはならないということはありませんが、AI について、また AI とセキュリティとの関わりについて現在知っていることと知らないことを、一歩下がって考えてみる良い機会ではないかと感じています。
今週のセキュリティ関連のトップニュース
英国の 2 つの警察署が、犯罪事件に何らかの形で関連した人物の個人情報を数年にわたり誤って流出させていたことが判明。英国のノーフォーク警察署とサフォーク警察署は、2021 年 4 月から 2022 年 3 月にかけて、情報公開法(FOIA)に基づく開示請求の一環で配布された犯罪統計に、個人情報が誤って添付されていたことを明らかにしました。流出したデータには、家庭内暴力、暴行、窃盗、ヘイトクライムなど、さまざまな犯罪の目撃者、容疑者、被害者に関する、個人を特定できる情報が含まれています。現在、影響を受けた可能性のある 1,200 人以上に連絡を取っているとのことです。両警察署は、「公開されたデータが警察以外の何者かにアクセスされていないか鋭意調査中であり、現段階では、データにアクセスされたことを示唆する証拠は見つかっていない」という声明を発表しています(情報源:CSO Online、Politico)。
ウクライナのサイバーセキュリティ高官の 1 人である Viktor Zhora 氏が Black Hat に登壇し、ロシア政府が支援する攻撃グループによる戦争犯罪とみなされるものを記録に残すための手段を講じていると表明。Zhora 氏が語ったところでは、重要インフラや民間向けの通信に影響を与える攻撃がそうした戦争犯罪に該当する可能性があり、物理的な軍事衝突が続く中、同氏が指揮を執るチームは精力的に証拠を集めているとのことです。Zhora 氏と並んで登壇した米国のサイバーセキュリティ長官 Jen Easterly 氏は、米国はロシアのウクライナ侵攻からいくつかの教訓を得たとして、そのうちの 1 つが民間のサイバーセキュリティ企業による支援の大切さだと述べました(情報源:CyberScoop、The Record)。
数年分の Intel 製チップに「Downfall」という欠陥が新たに発覚、数年前に見つかった Meltdown と Spectre のバグに類似。Google のセキュリティ調査チームの報告書によると、CVE-2022-40982 として識別されているこの問題に起因して、CPU が「意図せずに内部のハードウェアレジスタをソフトウェアに公開する」可能性があるとのことです。概念実証コードでは、Downfall を使って、サーバー上の他のユーザーから暗号化キーやその他の機密データを盗み出せることが確認されています。Downfall は、Intel のコンシューマ PC 向け第 6 世代~第 11 世代 Core ラインナップのほとんどの CPU に影響を与えます。影響を受けるデバイスのほとんどは 2015 年から販売されており、今もシステムで利用されている可能性があります。この問題に対処する Intel のパッチは CPU の性能に悪影響を及ぼすとのことで、性能が 40% 低下するという調査結果もあります(情報源:Ars Technica、PC World)。
Talos が発信している情報
- Cisco XDR:検出と対応からサイバー攻撃後の事業継続までをサポート
- ランサムウェア集団がデータ窃盗による恐喝にシフトする中、新たな手口として「カスタマーサービス」を使う攻撃グループが登場
- 『Talos Takes』エピソード#150:データ窃盗による恐喝とランサムウェアの違い
Talos が参加予定のイベント
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:1c25a55f121d4fe4344914e4d5c89747b838506090717f3fb749852b2d8109b6
MD5: 4c9a8e82a41a41323d941391767f63f7
一般的なファイル名: !!Mreader.exe
偽装名:なし
検出名: Win.Dropper.Generic::sheath
本稿は 2023 年 08 月 17 日に Talos Group
Authors