Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

サイバー攻撃にかかる損害の予測はどれほど有益なのか

TALOS Japan
2023年11月9日

新聞社やメディア業界出身者としては、目立つ見出しをつけたくなる人の気持ちがよくわかります。「誰それの邸宅、X 百万ドルで売約」などという記事を書いたこともあります。 

ですが最近、サイバーセキュリティに関するこうした「大きな数字」は全く役に立たないのではないかと思うようになりました。たとえそれが報道機関にとってクリック数を稼ぐことになるとしてもです。

複数のメディアが、企業保険市場のロイズ・オブ・ロンドンによる新たな予測を報告しています。それらによると、国際的な支払いシステムに対するサイバー攻撃は、グローバルで 3.5 兆ドルの損害を招き、世界経済に打撃を与える可能性があるということです。

額面どおりに受け取ると、これはまずい話です。役員会や、意思決定者がサイバーセキュリティについて話し合う場で話題になることは間違いないでしょう。

家で新聞の見出しをざっと読んでいる読者の目にも留まると思われます（私の父のように、いまだに紙の新聞を読んでいればの話ですが）。

しかし、こうした数字を発表することに意味はあるのでしょうか。気候変動や、他の途方もなく大きく感じられる問題についての議論を思い出させます。私はいつも、世間をにぎわす最悪のシナリオの報道について思い悩みすぎないようにしています。こうした話題に触れると、人は打ち負かされたように感じることが多いからです。問題があまりに大きく、個人の努力ではどうにもならないため努力しても意味がない、それなら何もしないのが一番だと考えてしまいがちです。

大規模なサイバー攻撃が発生するたび、何百万ドルもの損失を出したと指摘し標的にされた企業を責めるのは、公衆の面前で恥をさらすのと同じです。以前も書いた事がありますが、これではサイバー攻撃を公表することが不名誉であるとなりかねません。

ロイズ・オブ・ロンドンによる報告だけが問題なのではありません。こうした数字はいつでもどこでも現れます。特に年末が近づくと、報道各社はその年のサイバー攻撃が消費者にどれほどの損害を与えたかについて書きたがります（2022 年は 70 億ドルから 100 億ドルの間と予測）。

こうした数字は、サイバーセキュリティに対する恐怖、不安、疑念（FUD）を煽るだけだと私は考えます。サイバーセキュリティを世界の政府が解決すべき 1 兆ドル規模の問題だと考えている中小企業の経営者は、店舗のワイヤレスルータにもっと強力なパスワードを適用することが攻撃回避に役立つとは思いもしません。ある日突然 POS システムが一斉にダウンすれば、どのみち世界経済は悪化するからです。

報告や予測の多くは、自分の主張を把握している専門家によって、信義に従い誠実に作成されているはずです。大きな視野で見れば、世界のどこに住んでいようと、すべての人にとってこれが深刻な問題であると認識させることが重要です。

ですが、起こるかわからないグローバルなハッキングについて思い悩むよりも、サイバーセキュリティで容易に勝利を勝ち取る方法について話し合う方が有益だと考えます。

重要な情報

新たな Talos の調査によると、YoroTrooper の攻撃者はカザフスタンから攻撃を行っているようです。YoroTrooper に関する最新のブログ記事では、攻撃者がスパム攻撃を拡大し、アゼルバイジャンからの攻撃であるかのように偽装して研究者を欺こうとしていると述べています。また、攻撃者は alfachange[.]com などのオンラインの両替システムを使用して、Visa カードや Mastercard カード経由でカザフスタンテンゲからビットコインへの両替を行っています。

注意すべき理由

YoroTrooper は攻撃対象を独立国家共同体（CIS）諸国に絞っているようです。2023 年 5〜8 月にかけて、複数の国有 Web サイトや政府高官のアカウントを侵害しています。このカテゴリに属する組織はいずれも注意する必要があります。しかし、YoroTrooper はかなり長期にわたって活動を継続しており、いつどのように戦略を転換するかまったくわかりません。Talos は、YoroTrooper がコモディティマルウェアやカスタムマルウェアに加え、被害者を認証情報収集サイトに誘導するフィッシングメールを継続して活用する可能性が高いと考えています。

必要な対策

Talos では、YoroTrooper のアクティビティを確認するために、ネットワークで実行できる侵害の新たな指標に関する包括的なリストを用意しています。一連の新たな Snort ルールと ClamAV 署名では、このアクティビティと共に、YoroTrooper が攻撃で使用する傾向のある多くの情報を盗むマルウェアも検出できます。

今週のセキュリティ関連のトップニュース

ChatGPT のような AI ツールは悪意のあるコードやスパムメールを書くのがますます上手になっていると新たに 2 つの調査で判明。IBM の内部調査によると、ChatGPT が作成したスパムメールの標的となった従業員は、人間が作成した場合と同じようにスパムメールをクリックする可能性が高いことがわかりました。実験のリーダーによれば、チームが ChatGPT に問題のスパムメールを書かせるのに 5 分程度しかかからなかったとのことです。チャットボットがこのような用途でエクスプロイトされないように対策が講じられているにもかかわらずです。先週発表されたシェフィールド大学の別の調査では、ChatGPT やその他の AI アプリケーションに一連の特定プロンプトを求めると、悪意のあるコードを作成できることも明らかになりました。このコードが実行されると、データベースの機密情報が漏洩したり、データベースの正常なサービスが中断されたり、データベースが破壊されたりします。この調査では、特に Text-to-SQL システムに重点を置いています。Text-to-SQL システムとはユーザーが簡単な言葉で質問してデータベースを検索できる AI のことです。（Axios、TechXplore）

ランサムウェア犯罪組織、Ragnar Locker のリーダーと見られる人物が今月初めにパリで逮捕。11 の法執行機関が協力してデベロッパーと疑われる人物を捜索し、Ragnar Locker に関連するインフラストラクチャを押収しました。さらに 5 名の容疑者がスペインとラトヴィアで尋問を受けています。当局はグループのリークサイトも押収し、被害者向けに解体通知を投稿しました。しかし攻撃者と交渉しようとしている人や、現在 Ragnar Locker に感染している人のためのリソースはまだ提供されていないようです。Ragnar Locker は 2019 年から活動しており、エネルギー業界、病院、空港などを攻撃の対象としてきました。二重脅迫型の戦術を用いて、身代金が支払われない場合、盗んだデータを漏洩させると脅迫していました。たとえばカプコン社が開発していた複数のビデオゲームに関する情報が流出したことが挙げられます。（Dark Reading、CPO Magazine）

攻撃者がソフトウェア企業 Okta 社のネットワークに侵入。アクセストークンが盗まれ、少なくとも 2 週間、企業のカスタマーサポート プラットフォームに居座り続ける。Okta 社によると、攻撃の被害にあったのは数人の顧客のみとのことです。しかし、パスワード管理サービスの 1Password 社は、今週、盗まれたトークンを使用した後続攻撃の標的になったと発表しました。ただし、顧客のログイン情報は影響を受けなかったとのことです。Okta 社は世界中の大企業に、多要素認証やシングルサインオンなどの ID やログインツールを提供しています。Okta 社による発表の数週間前には、MGM Resorts International 社と Caesars Entertainment 社が大規模なサイバー攻撃を受けていました。攻撃者は Okta 社の多要素認証の管理者を騙して要件を再設定し、標的のカジノやホテルのネットワークに容易に侵入しました。（Krebs on Security、Ars Technica）

Talos が発信している情報

• Cisco IOS XE ソフトウェア、Web 管理 UI の脆弱性が悪用される
• 第 3 四半期は Web アプリケーションへの攻撃が急増したことが Talos IR の新たなデータで判明
• 知るべき情報：Cracktivator ソフトウェアとは
• VPN ソフトウェアで 9 件の脆弱性を発見、うち 1 件はリモートコード実行につながる「緊急」の脆弱性
• 『Talos Takes』エピソード #159：[スパムを報告] ボタンをクリックすると何が起こるのか

Talos が参加予定のイベント

Black Hat Middle East and Africa （11 月 16 日）

サウジアラビア、リヤド

Talos インシデント対応チームの Rami Atalhi が、生成系 AI がサイバーセキュリティのレッドチームとブルーチームに影響を与える方法について話します。生成系 AI がこれらのチーム間の架け橋となり、チームワークと革新的な戦略を促進する方法をご覧ください。実際の事例から、生成系 AI がどのように成功を導くのかを説明し、レジリエンスのあるサイバーセキュリティ計画を構築するためのインサイトを提供します。

misecCON （11 月 17 日）

ミシガン州ランシング

Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験（と災難）から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：b9ddbd1a4cec61e6b022a275d66312b5b676f9a0a9537a7708de9aa8ce34de59
MD5：3b100bdcd61bb1da816cd7eaf9ef13ba
一般的なファイル名： vt-upload-C6In1
偽装名：なし
検出名：Backdoor:KillAV-tpd

SHA 256：85b936960fbe5100c170b777e1647ce9f0f01e3ab9742dfc23f37cb0825b30b5
MD5： 8c80dd97c37525927c1e549cb59bcbf3
一般的なファイル名： Eternalblue-2.2.0.exe
偽装名：なし
検出名： Win.Exploit.Shadowbrokers::5A5226262.auto.talos

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
VirusTotal：一般的なファイル名：Wextract
偽装名：Internet Explorer
検出名： PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：744c5a6489370567fd8290f5ece7f2bff018f10d04ccf5b37b070e8ab99b3241
MD5： a5e26a50bf48f2426b15b38e5894b189
一般的なファイル名： a5e26a50bf48f2426b15b38e5894b189.vir
偽装名：なし
検出名：Win.Dropper.Generic::1201

SHA 256：1fa0222e5ae2b891fa9c2dad1f63a9b26901d825dc6d6b9dcc6258a985f4f9ab
MD5： 4c648967aeac81b18b53a3cb357120f4
一般的なファイル名： yypnexwqivdpvdeakbmmd.exe
偽装名：なし
検出名：Win.Dropper.Scar::1201

本稿は 2023 年 10 月 26 日に Talos Group のブログに投稿された「How helpful are estimates about how much cyber attacks cost?」の抄訳です。

• 脅威情報ニュースレター