Cisco Japan Blog

2023 年を締めくくる個人的な一年の総括

1 min read



もうご覧になった方もいらっしゃると思いますが、先週 Talos は 2023 年版『一年の総括』レポートpopup_iconをリリースしました。今年の重大脅威、攻撃者の動向、マルウェアファミリを、未公開の Cisco Talos のテレメトリとともにご紹介する包括的なレポートです。

ポッドキャストpopup_icon長編ビデオpopup_icon、さらには Reddit AMApopup_icon で、最新情報のほか、レポートの内容を簡潔にまとめたダイジェストをご確認いただけます。コーヒーでも飲みながらゆっくりとレポート全文をお読みいただくことも可能ですので、ご都合に合わせてお選びください。

今回が今年最後の脅威情報ニュースレターとなるため、自分なりに『一年の総括』をしたいと思います。私がここでご紹介する内容については、裏付けとなるデータがあるわけではなく、実際に調査を行ったわけでもありません。とても感覚的なもので、この 1 年間で気付いたことや私のサイバーセキュリティにおける習慣の中で発見した内容です。そのため、ご紹介する内容をファイアウォールに展開することはできないかもしれませんが、新しい年を前にセキュリティについて考える際に、何らかの役に立てれば嬉しく思います。

  • まずは、反面教師にしていただきたいことからご紹介します。娘が生まれる前にこちらのニュースレターで書いたのですが、娘がまだスマートフォンが何かすら理解できないほど幼いうちに顔がわかる写真をオンラインに投稿し、各種プラットフォームで個人データを入力することに対して、当時の私は疑問を抱いていました。しかし娘が笑顔を見せるほど成長するとすぐに、投稿せずにはいられなくなりました。娘の写真を Instagram に何度も投稿し、年 1 回開催される Gerber Baby コンテストへのエントリーのために娘の個人情報を提供し(優勝の Maddie ちゃんにはあと一歩届かなかったpopup_iconようです)、1 本目の歯が生えたときには、どうしても質問したいことがあったので、回答を得ようと午前 2 時に手あたり次第にいろいろなサイトに個人情報を提供したことは認めざるを得ません。長い目で見れば特にスマートなやり方ではありませんでしたが、先入観のない者として自信を持って言えるのは、インターネット上の娘の可愛らしさは、単にインターネットをより良いものにしているだけです。
  • パスワードは外部に流出すると考えたほうがよいでしょう。今年、複数の大手パスワード管理サービスpopup_iconがデータ侵害の被害に遭いました。そして、総当たり攻撃によるパスワードの推測popup_iconがいかに他の被害をもたらすかについて、数え切れないほどの記事を目にしてきました。パスワードマネージャーの基本的な考えは、同じパスワードを繰り返し使用したり、物理的に紙に書いたり、ログイン情報を覚えておこうとしたりするよりも、本質的に安全性が高まる点にあります。現時点では、パスワードは最も安全なオプションではないと考えた方が無難だと思います。パスキーやパスワードレスでセキュリティを確保する方法が主流になりつつあるため、使用できる場合は使用した方がよいでしょう。一方、これまでのようにユーザー名とパスワードの組み合わせしか選択肢がない場合は、どのパスワード管理サービスを使用していてもpopup_icon、できる限り頻繁にパスワードを変更し、多要素認証を導入してください。
  • Twitter をやめる時が来ました。現在は X ですが、呼び方は何でもよいでしょう。このプラットフォームは現時点でもう流行は過ぎ去っていて、誤った情報で溢れかえっています。同社は、フェイクニュースや詐欺に立ち向かってきた社内のチームを完全に解体したpopup_iconので、文字どおり何を検索しても誤解を招くような情報が表示されpopup_icon、明らかな嘘や不快なコンテンツを目にすることになります。Twitter にアクセスし、トピックを検索して特定のニュースに関する更新情報を得ていた頃を懐かしく思います。この記事は 12 月 13 日に書いているのですが、Twitter では「#cyberattack」がトレンド入りしていました。当然ですが、把握しておくべき内容があるか確認したいと思いました。理由は言うまでもありません。実際に見てみると、上位にあったのは、イングランド銀行についての不可解な内容popup_icon(英国の重要インフラに対するサイバー攻撃に同行が関与したというもの)や、コメンテーターのダン・ボンジーノ氏の意味不明なクリップ映像popup_icon(急進派が新作映画でサイバーパンデミックを描いているという内容)、さらにはその新作映画『終わらない週末』にまつわる驚くほどの数の陰謀論popup_iconでした。ここで思い出すのは、『アレステッド・ディベロプメント』でのマイケル・ブルースのセリフpopup_icon。冷蔵庫から袋を取り出した際に、そこに書かれていた「死んだハト。食べるな」というメッセージを見て放った一言です。
  • 脅威が永遠になくなるとは考えないようにしましょう。今年は、一度は排除できたと思った主要な攻撃者やマルウェアの多くが復活しました。8 月、FBI による Qakbot ボットネット解体のニュースが大きな話題になりました。そして、記事の概要を読んだ人なら誰しも「素晴らしい。これでもう心配する必要はない」と思ったでしょう。ところが、その後の Talos の調査他のセキュリティ企業による調査popup_iconで、Qakbot の残骸がまだ残っており、それがスパムを送り込む機能を有していることが判明しました。大物狩りで知られる主要な攻撃者グループ Trickbot は、連邦政府の摘発を受けて開発者が逮捕popup_iconされ、複数の罪を認めるに至ったものの、最近になってその手口を変えてウクライナの組織を積極的に狙っていますpopup_icon。活動を停止しては復活を繰り返すことで知られる Emotet は、今でこそ比較的落ち着いていますが、今年の初めに一度活発になりましたpopup_icon。法執行機関によるサーバーの停止や逮捕に意味がないわけではありません。攻撃者の活動が難しくなるように打てる手をすべて打つことは最終的には勝利に結びつくのです。ただそれは、本当の意味で脅威を完全に排除することはできないという変わらぬ現実でもあります。

重要な情報

Cisco Talos は最近、Lazarus Group による新しい攻撃を発見しました。Talos では「Operation Blacksmith」と呼んでいる攻撃で、D 言語をベースとした新しいマルウェアファミリを少なくとも 3 つ使用しています。2 つはリモートアクセス型トロイの木馬(RAT)で、このうち 1 つは Telegram ボットと Telegram チャネルをコマンドアンドコントルール(C2)通信の媒体として使用しています。Talos の最近の調査結果で、北朝鮮政府が支援する悪名高い攻撃者の手口に決定的な変化があったことが示されています。

注意すべき理由

この特定の活動は、Lazarus Group から派生した Andariel によるものと考えられます。Andariel は、事実上あらゆる所にある Log4j の脆弱性「Log4Shell」を積極的に悪用しています。頼みの綱は、2021 年後半にこの脆弱性が発見されて以降、多くの人がパッチを適用していることですが、テレメトリは脆弱なインスタンスがまだ多く残っていることを示しています。一度感染すると、Andariel は攻撃対象のマシン上に他のマルウェアローダーのインストールを試みて、システムの詳細を把握できるリモートコードを実行します。

必要な対策

Talos のブログでは、Lazarus Group による Operation Blacksmith や他の活動に対抗するために、Cisco Secure 製品を使用して保護を実現するさまざまな方法について概要を説明しています。

今週のセキュリティ関連のトップニュース

さまざまなメーカーの何百もの Windows Linux のデバイスが、新たに発見された「LogoFAIL」攻撃に対して脆弱であることが判明。この攻撃では、マシンの起動シーケンス中に悪意のあるファームウェアが実行されます。従来の検出方法ではブロックすることが困難なうえに、攻撃されていることをユーザーが気付きにくいのが特徴です。このエクスプロイトを発見した研究者の論文によれば、ドライバ実行環境フェーズで攻撃者が LogoFAIL を使用してリモートコードを実行すると、「プラットフォームのセキュリティが崩壊」してしまいます。この攻撃が実際に使用された形跡はありませんが、複数の CVE で追跡されています。影響を受ける可能性があるユーザーは、ファームウェアをアップデートし、AMI、Intel、Insyde、Phoenix、Lenovo が配布する新しいパッチを適用して、最新バージョンの UEFI にアップデートする必要があります。マシンの EFI システムパーティション(ESP)をロックダウンして攻撃者がアクセスできないようにすることもできます。LogoFAIL を実行するには、ESP へのアクセスが必要です(情報源:ArsTechnicapopup_iconZDNetpopup_icon)。

長年にわたり展開された、英国政府関係者や著名な一般市民が標的となったスパイ活動について、ロシアの諜報機関 FSB によるものだと英国が公に告発。英国外務省は、2019 年の国政選挙に関連した情報窃取など、FSB が数年にわたって「英国の政治プロセスに干渉しようとする成功率の低い試み」を行っていたと述べています。政治家、ジャーナリスト、活動家、学者のメールへの不正アクセスや、ソーシャルメディアで偽のプロフィールを設定してなりすまし行為を行った疑惑があるとのことです。英国のある国会議員は、メールが盗まれたと語っています。Star Blizzard というグループに属する複数人が、これらの活動に関与したとして制裁措置を受けています(情報源:BBCpopup_iconPoliticopopup_icon)。

今週、複数の主要なハードウェアとソフトウェアのベンダーが今年最後となるパッチをリリース。Microsoft 社は、月例セキュリティ更新プログラムで 4 件の「緊急」の脆弱性を公開しました。このうちの 3 件はリモートコード実行に至る可能性があるものです。ただし、12 月に公開された脆弱性は 33 件で、2019 年 12 月以降、単月では最も少ない件数となりました。一方、月曜日には Apple 社が主要ハードウェア向けにパッチをリリースし、iPhone や Mac などのセキュリティの問題を公開しました。macOS の脆弱性の 1 つ CVE-2023-42914 はカーネルの問題で、アプリがサンドボックスから脱出する可能性があります。さらに、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁は、攻撃者が Adobe ColdFusion の脆弱性を積極的に悪用しており、政府機関にとって脅威となる可能性があるとするアドバイザリをリリースしました。CVE-2023-26360 は、任意のコード実行に至る可能性のある不適切なアクセス制御の問題です(情報源:Dark Readingpopup_iconTalosSecurity Boulevardpopup_icon)。

Talos についての関連情報

Talos が参加予定のイベント

NIS2 指令:コンプライアンスとセキュリティを確保するために今すぐ行動しなければならない理由popup_icon2024 1 11 日午前 10 時(GMT))

オンライン

NIS2 指令は、相互接続が進む世界において、欧州の重要インフラと必要不可欠なサービスを守るための重要な一歩です。新しい要件に備え、事業活動を守り、堅牢なサイバーセキュリティ態勢を維持するために、今すぐ行動しなければなりません。Talos インシデント対応チームの Gergana Karadzhova-Dangela をはじめとするシスコの専門家が、来るべき規制に対して組織はどう備えればよいのかについて語ります。 

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 25600ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725popup_icon
MD5 d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311

SHA 2565e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cfpopup_icon
MD5 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名: Win.Dropper.Pykspa::tpd

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon
MD5 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201

SHA 2565a6b089b1d2dd66948f24ed2d9464ce61942c19e98922dd77d36427f6cded634popup_icon
MD5 05436c22388ae10b4023b8b721729a33
一般的なファイル名: BossMaster.txt
偽装名:なし
検出名: PS1.malware.to.talos

SHA 256975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aapopup_icon
MD5 9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名: Win.Dropper.Scar::tpd

 

本稿は 2023 年 12 月 14 日に Talos Grouppopup_icon のブログに投稿された「A personal Year in Review to round out 2023popup_icon」の抄訳です。

 

 

コメントを書く