今週も脅威情報ニュースレターをお届けします。
今年もラスベガスでハッカーサマーキャンプが開催されます。私を含めた多くの Talos 関係者がこぞって参加する予定です。今後数週間にわたり、Cisco Talos の多くのメンバーが BlackHat と DEF CON に参加し、セキュリティコミュニティ向けにプレゼンテーションやデモ、講演などを数多く実施します。
Talos の場所は、例年と同じく BlackHat の正面入口のすぐ北にあるシスコのブース(ブース番号は 1532)です。ブースが見つからない場合は、BlackHat アプリをダウンロードして会場全体の地図をご確認ください。カンファレンス期間中は Talos の研究者がブースに常駐し、機械学習からフィッシングメールの見分け方の基本まで、幅広いトピックについて各々 5 分程度のプレゼンテーションを行います。また水曜日の午前 10 時(現地時間)からは、30 分おきに新しいプレゼンテーションを予定しています。
また、カンファレンス期間中、展示会場の Startup City の対角線上にある BlackHat Career Zone にもブース(番号は CZ2)を出展します。ここでは、現在募集中の求人情報の確認やキャリアアップの相談ができます。将来 Talos チームの一員になりたいとお考えの方もお気軽にお立ち寄りください。8 月 10 日(木)午前 10 時~正午(現地時間)には、Talos の採用担当者数名がシスコのブースに常駐しています。そちらのブースでも、担当者と雇用機会についてお話しいただけます。
BlackHat のハイライトは、8 月 9 日午前 11 時 30 分(現地時間)から開催されるシスコ主催の講演(会場は Business Hall Theater A)です。Talos アウトリーチの責任者 Nick Biasini が、シスコの脅威、検出、対応製品管理担当バイスプレジデントの A.J. Shipley と共に Cisco XDR について講演します。Cisco Secure が提供するこの最新製品は、複数のソースから収集したテレメトリを統合し、分析を適用して悪意のあるアクティビティと攻撃者の戦術、手法、手順(TTP)を検出します。その仕組みについてご紹介しますので、ぜひご参加ください。
翌週の DEF CON では、Vitor Ventura と Asheer Malhotra が Crypto and Privacy Village に登場し、「サイバー傭兵」の実態と、サイバー傭兵企業が開発するスパイウェアについて、カンファレンス期間中の土曜日午後 6 時(現地時間)に講演を行います。Asheer と Vitor はこのトピックについて幅広い執筆を行っており、サイバー傭兵企業が開発、販売しているマルウェアが「従来の」スパイウェアと比べて潜在的な危険度が高い理由を説明しています。
『Beers with Talos』ポッドキャストのライブ録音と、研究者に質問できる他の機会については Talos の Twitter(現 X)をご覧ください。
いずれかのカンファレンスに参加するためにラスベガスにお出かけの方は、移動中に読めるよう、Talos の半年の総括をブックマークするのをお忘れなく。この記事では、2023 年上半期に最も多く確認された脅威の概要をまとめ、サイバーセキュリティ情勢が今後どのように展開していくかを考察しています。
重要な情報
2018 年に VPNFilter マルウェアが発見され注目を集めて以来、Talos の脆弱性調査チームは、小規模オフィスやホームオフィス向けの SOHO ワイヤレスルータの調査に改めて注力してきました。現代社会においては、ほぼすべての家庭や企業でワイヤレスルータが利用されています。今日誰もが保有し、なくてはならないものになっている各種デバイスをインターネットに接続するために必要だからです。これまで 4 年以上にわたり、Talos はベンダー各社と協力し、ワイヤレスルータに使用されている広範囲な製品とライブラリに存在する 290 件近くの CVE を開示し、パッチを適用してきました。今週、Talos はこれらの脆弱性の全容と、ユーザーと製品メーカーが注意しなければならない重要なポイントをまとめてリリースしました。
注意すべき理由
ルータがネットワークで果たす特権的役割を考えると、攻撃者にとってルータは格好の標的だと言えます。つまり、そのセキュリティ態勢は何にも増して重要なのです。ところが、脆弱性を軽減するための高度なセキュリティチームを配置することなくルータが導入されることも少なくありません。通常、ルータはインターネットに直接接続され、ローカルのネットワークトラフィックはすべてルータを通過します。VPNFilter が発見されて以来、Talos はベンダー数社の 13 機種の SOHO ルータと産業用ルータを調査してきました。Talos がベンダー各社に報告した結果、Snort ネットワーク侵入検知のカバレッジが適切に拡張され、各ベンダーからセキュリティ修正プログラムが提供されました。これらの修正プログラムは Cisco Secure ソリューションを導入しているお客様の役に立つものであり、パッチを適用すれば、脆弱性のあるルータを使用しているすべてのユーザーにとってセキュリティ態勢が改善します。
必要な対策
こうしたデバイスを使用しているユーザーが講じることのできる最も重要なセキュリティ対策は、デバイス上に存在する各サービスを評価することです。個々のデバイスを日常的に操作するうえで実行中の各サービスが必要なのかを確認し、不要なサービスはすべて無効にします。サービスを無効にできない場合は、最小限のアクセスに徹底的に制限するか、代替手段(トラフィックをブロックするファイアウォールルールなど)を用いて完全にブロックする必要があります。可能であれば取得プロセス中に基本的な調査を行い、正常で安全なデバイスのデフォルト設定が有効になっていることを確認するようにしてください。たとえば、リモートアクセスと管理には暗号化プロトコルを使用するといったことです。
今週のセキュリティ関連のトップニュース
米軍当局者とサイバーセキュリティの専門家が、米軍基地にサービスを提供する主要な電力事業者、水道事業者、通信事業者のシステムにロードされているとされるマルウェアを精力的に調査。New York Times 紙は新たなレポートで、そうしたマルウェアは「時限爆弾」であり、中国との直接的または間接的な軍事衝突が発生した場合、米軍の作戦を混乱させかねないと伝えています。同紙が報じた消息筋情報によると、問題のマルウェアを送り込んでいるのは中国政府の支援を受けた攻撃者であり、人民解放軍のために活動していると思われるとのことです。米国政府は今なお精力的に悪意のあるコードを調査していますが、標的のネットワークの奥深くに隠されているらしく、発見には数か月を要しています。Microsoft 社とホワイトハウスは、中国政府の支援を受けた攻撃者が少なくとも 20 のアメリカの組織の電子メールにアクセスしたことを明らかにしました。その中には複数の連邦政府機関が含まれています(情報源:New York Times、CNN)。
MOVEit のデータ侵害の影響が引き続き拡大。政府機関の業務を請け負う Maximus 社は先週、ランサムウェア集団 Clop によるファイル転送ソフトウェア MOVEit への攻撃によって、同社のシステムは直接影響を受けなかったものの、800 万人から 1,100 万人もの個人情報が流出した可能性があることを明らかにしました。同社は、米国証券取引委員会に提出した書類の中で、「ソーシャルセキュリティ番号や保護対象保健情報といった個人情報をはじめ、少なくとも 800 万人から 1,100 万人の個人情報を含む」ファイルに攻撃者がアクセスした可能性があると報告しました。Clop は自分たちのリークサイトで、Maximus 社から 169 GB のデータを盗み出したと犯行表明を行っています。報告によると、200 以上の組織が MOVEit のデータ侵害の影響を受けたということです(情報源:TechCrunch、Dark Reading)。
水曜日、イタリアの複数の銀行に対する一連のサービス妨害攻撃が発生、ロシア政府の支援を受けた攻撃グループの関与が疑われる。この攻撃を受け、多くの利用者が口座にアクセスできなくなりました。イタリアのサイバーセキュリティ機関によると、少なくとも 5 つの銀行が影響を受けたものの、かなり早くサービスを復旧させることができたとのことです。NoName057(16) グループは Telegram チャネルで犯行声明を出し、イタリア政府当局者が反ロシア的であり、ウクライナを支援しているとして非難しました。セキュリティ研究者は、この DDoS 攻撃が引き起こした「混乱はすぐに収まり、影響は皆無あるいは軽微だった」と指摘しています。ゲーム会社の Blizzard 社や Microsoft Outlook に対する攻撃など、最近話題になったサービス妨害攻撃の背後にいるグループは、ロシアとの関係が疑われています(情報源:Reuters、The Record by Recorded Future)。
Talos が発信している情報
- 半年の総括:2023 年上半期に最も多く確認された脅威とセキュリティ動向のまとめ
- Talos IR On Air:第 2 四半期に最も多く確認された脅威を振り返る
- 『Beers with Talos』エピソード#137:ヤー!公海に傭兵あり
- 『Beers with Talos』エピソード#138:ソーシャルエンジニアリング対策に取り組む Rachel Tobac 氏、サイバーセキュリティ分野で女性の活躍機会を拡大
- 『Talos Takes』エピソード#148:Talos IR On Air の音声配信
Talos が参加予定のイベント
BlackHat (8 月 5 日~ 10 日)
ネバダ州ラスベガス
Grace Hopper Celebration (9 月 26 日~ 29 日)
フロリダ州オーランド
Caitlin Huey、Susan Paskey、Alexis Merritt が、「情報チェックをお忘れなく:脅威インテリジェンスでインシデント対応を加速」と題した「レベルアップラボ」を開催します。セキュリティインシデント調査における脅威インテリジェンスの重要性に重点を置いたアクティビティを速いペースで進行します。参加者はインシデント対応者として、このセッションを通して展開する模擬インシデントを調査していきます。定期的にチェックポイントを設け、インシデント対応と脅威インテリジェンスが実際のセキュリティ調査でどのように補完し合うかについてディスカッションを行います。
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
SHA 256:7bf7550ae929d6fea87140ab70e6444250581c87a990e74c1cd7f0df5661575b
MD5: f5e908f1fac5f98ec63e3ec355ef6279
一般的なファイル名:IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::tpd
SHA 256:5616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD5: 3e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名:IMG001.exe
偽装名:なし
検出名: Win.Dropper.Coinminer::1201
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 08 月 03 日に Talos Group のブログに投稿された「Previewing Talos at BlackHat 2023」の抄訳です。