Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

何もかもを大規模でグローバルなサイバー攻撃だと考える必要はない

TALOS Japan
2024年3月28日

最近一部では、カナダを非難するミームや、国家の支援を受けた攻撃者が何らかの大規模な攻撃を行っているという憶測で盛り上がっています。 

数週間前に AT&T 社などの通信事業者の携帯電話サービスが広範囲にわたって障害に見舞われたとき、アメリカ人の日常生活になくてはならないサービスを妨害するための、ある種の組織的な攻撃だと人々は思い込みました。障害は約 11 時間続き、同社はその後、問題の埋め合わせとして、顧客に 5 ドルのクレジットを提供すると発表しました。連邦通信委員会も先週、この障害について正式な調査を開始すると発表し、正確な原因や影響を受けたユーザーの数について詳細な情報を求めました。

それから約 2 週間後、Meta 社の多くのプラットフォームが障害に見舞われたとき、Talos のチームに同様のメッセージや質問が殺到しました。とりわけ多かったのが Facebook、Instagram、Threads の障害に関するものです。障害はほんの数時間続いただけでしたが、アメリカ人がインスタグラムのフィードにアクセスできなくなると、いつもトップニュースになります。

どちらの場合も、すぐに利用者は原因探しを始めました。障害の背後にいるのは誰なのか、なぜこの障害に関する情報が少ないのか、TikTok の強制売却に対する中国の報復なのか、この背後にある大きな陰謀は何なのか、といった具合です。この障害はまた、誤報やフェイクニュースを拡散する世界の主要人物やメディアの一部に陰謀論を広める機会を与えました。

問題は、すべての技術的問題をサイバー攻撃では説明できないし、説明する必要もないということです。国家が支援する APT が現在もたらしている危険や、いつかこのような混乱を引き起こす「可能性があり得る」という事実を過小評価しているわけではありません。しかし、毎回毎回、障害に関する口コミをまとめている Downdetector の情報に飛びついても、恐怖や不安、疑念を広め、偽情報のさらなる拡散に寄与するだけです。

そんなことをしていると、実際に大規模なサイバー攻撃が発生し、一般利用者がソフトウェアやハードウェアを即時アップデートしなければならなくなったときに「オオカミ少年」のような状況になり、信用されなくなります。

私たちが「サイバー攻撃だ」という結論に飛びつきやすいのには、いくつかの理由があります。1 つは、ハリウッドがここ何年もの間、大規模なサイバー攻撃や大きな混乱のイメージを「膨らませて」描いてきたことです。Netflix の『終わらない週末』のような映画やテレビ番組は、大規模なサイバー攻撃やインターネット障害がどのようなもので、それがいかに早く文明の崩壊につながるかをドラマチックに描いています。現在は人々が悪いニュースばかりチェックしてしまう傾向があるため、何かがサイバーイベントであるように見えた瞬間、経済も社会も終わったと言ってしまいがちです。

サイバー攻撃となると、人々の関心はさらに高まります。AT&T 社は、今回の障害はネットワークの容量を増強しようとした際に発生した技術的なエラーによるもので、ネットワーク障害を狙った攻撃やサイバー攻撃によるものではないと明言しています。Meta 社は、今回の障害を単に「技術的な問題」だと説明しています。

この手の発表が大きく取り上げられることはありませんが、時には最も単純な説明が疑う余地のないものであることもあります。私たちは皆、あちこちで間違ったボタンを押したことがあるし、インターネット上では常にさまざまな理由で何かが壊れます。ただ、「Meta 社の従業員が Enter キーを押すのが早過ぎたのが原因で、ユーザーが Instagram からログアウト」という見出しは、「Instagram と Facebook がダウンしたのはサイバー攻撃が原因か？」という見出しほど人目を引きません。

これら数十億ドル規模の企業が嘘をついているということがあり得るでしょうか。そうなのかもしれません。ですが、Meta 社で起きた障害が単純な技術的問題でなかったら利用者にはすぐに真実は伝わらなかったということも考えにくく、AT&T 社も、自分たちの力ではどうにもならないことについて顧客に返金しなければならないとは考えないでしょう。

そして、Facebook や Instagram からログアウトされたとしても、『終わらない週末』でマハーシャハラ・アリ演じる男がすぐに別荘のドアをノックしたのを思い浮かべて何かが起きたと心配するよりは、とにかく数時間はオフラインでいる方がいいのかもしれません。

重要な情報

Talos は、ネットワークインフラを更新し、アップグレードするようユーザーに注意を喚起し続けたいと思います。世界中で使用されている老朽化したスイッチやルータなどのデバイスは、標的とするネットワークへの最初の足がかりを得るために攻撃者が常に狙っている脆弱な領域です。Talos は最近、この種の脆弱なデバイスを侵害した後に攻撃者が実行する最も一般的な 3 つの戦術を取り上げました。具体的には、デバイスのファームウェアの改造、古いパッチを削除してエクスプロイト可能な新しい脆弱性への扉を開くためのファームウェアのダウングレードなどです。Talos アウトリーチの Nick Biasini も、NetworkWorld の記事で、この問題について語っています。

注意すべき理由

Hazel Burton は、上記リンク先のブログ記事でこう述べています。「攻撃者、特に APT はこの状況に乗じて、ネットワークへの初期アクセスを獲得すると、身を隠したまま侵害後の活動を行っています。その目的は、より大きな足がかりを得ること、活動を隠蔽すること、そして、スパイ活動を行ったり、ネットワーク障害を引き起こしたりするのに役立つデータとインテリジェンスを手に入れることです。たとえば、強盗が水道管から住居に侵入する様子を思い浮かべてみてください。攻撃者は、店の窓ガラスを叩き割って品物を奪うといった「従来の」方法は用いません。ドアや窓を壊すのではなく、尋常でないルートを使います。というのは、水道管から強盗が家に入ってくるとは誰も考えないからです。その狙いは、最も価値のあるものを時間をかけて見つける間、内部に身を潜めていることです」

必要な対策

サポートが終了し、パッチを当てることができない脆弱性があるネットワークインフラを使用しているのであれば、今こそ、そうしたデバイスを交換すべきです。セキュアブートの実行など、セキュア・バイ・デザインの原則に基づいて構築されたネットワーク機器を使用し、堅牢な設定とパッチ管理のアプローチをとることが、この種の脅威に対抗するための鍵となります。ネットワーク機器に対する設定変更を注意深く監視し、新たな脆弱性が発見された場合は速やかにパッチを適用するようにしてください。

今週のセキュリティ関連のトップニュース

ほぼすべての主要 CPU メーカー製チップに影響を与える新たな脆弱性「GhostRace」をセキュリティ研究者が発見。CVE-2024-2193 として識別されているこの脆弱性をエクスプロイトするには、攻撃者が競合状態に勝ち、標的となるマシンへの物理的または特権的なアクセス権を持っている必要がありますが、エクスプロイトすれば、パスワードや暗号化キーのような機密である可能性が高い情報をメモリから窃取できます。この脆弱性は、Intel 製、AMD 製、Arm 製、IBM 製など多くの CPU アーキテクチャに影響を及ぼします。また、一部のハイパーバイザベンダーや Linux オペレーティングシステムにも影響がありました。AMD は今週アドバイザリを発表し、過去に CPU に影響を与えた Spectre のような他のセキュリティの欠陥に対応した以前の防御ガイダンスを参考にするよう顧客に通知しました。Vrije Universiteit Amsterdam は、GhostRace の情報を公開したブログ記事の中で、「Linux カーネル内の他の一般的な書き込み側同期プリミティブは、最終的にすべて条件分岐を通じて実装されるので、投機的競合状態に対して脆弱だということが分析で明らかになった」と述べています。（SecurityWeek、Vrije Universiteit Amsterdam）

Change Healthcare 社へのサイバー攻撃で、医療提供者がいまだに混乱。同社は United HealthGroup Inc. 傘下の保険会社です。デジタルヘルスリスク保証会社 First Health Advisory による最近の推計によれば、保険会社からの支払いをいまだ処理できないため、医療提供者は 1 日あたり約 1 億ドルの損失を被っています。Change Healthcare 社は 2 月下旬にランサムウェア攻撃の疑いを初めて公表し、3 月 5 日には米国政府が、この障害により資金不足に直面している医療提供者に救済金を支給する計画を発表しました。多くの病院やクリニックが家賃の滞納や請求書の未払いに直面しています。また、この攻撃により、一部の患者が特定のサービスや手術の事前承認を得られなくなっており、病院で処方薬を出してもらえない患者もいます。米国議会も、ハッキングに関する質問に答えるために委員会に出席するよう United HealthGroup 社 CEO に求めています。（CBS News、Bloomberg）

スパイウェア Predator の開発と配布を担う Intellexa Consortium に関与している 2 人の個人と 5 つの事業体に対し、正式な制裁を米国が発表。Talos は以前、Intellexa 社のツールについて報告し、同社のスパイウェアがどのような方法で標的となるデバイスにひそかにロードされているか説明しました。財務省がスパイウェア組織に制裁を発動し、公に発表したのは今回が初めてです。制裁の対象となるのは、Intellexa 社と協力してスパイウェアを販売しているベンダー 5 社で、いずれもヨーロッパ全土に展開しています。Intellexa 社自体はギリシャに本拠を置いています。民間企業が開発する Predator などのスパイウェアは多くの場合、政治家やジャーナリスト、活動家、政治的反体制派など、監視対象となるリスクが高い人物の通信や動向を追跡するために使われます。今回の制裁は、米国内の誰であっても、Intellexa 社、その関連会社、関係する個人と取引することを禁じるというものです。バイデン政権は以前から、スパイウェア Pegasus を配布しているイスラエルの NSO Group など、スパイウェアメーカーに対する追加措置を強く求めてきました。（Voice of America、Axios）

Talos が発信している情報

• ドキュメント パブリッシング サイトを利用してログイン情報とセッショントークンを窃取するフィッシング攻撃が継続
• 注目のセキュリティ研究者：Heather Couk がサイバーインシデントの緊急対応中に皆を鼓舞するとき、欠かせないのは『ロッキー』のあの曲
• Microsoft 社が公開した月例セキュリティ更新プログラムにゼロデイ脆弱性がないのは今年 2 回目、重大な脆弱性は 2 件のみ
• 『Talos Takes』エピソード #175：GhostSec の RaaS（Ransomware as a Service）モデルに関する新情報

Talos が参加予定のイベント

Botconf（4 月 23 ～ 26 日）

コート・ダジュール、ニース（フランス）

Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。

CARO ワークショップ 2024（5 月 1 ～ 3 日）

バージニア州アーリントン

比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体（CIS）に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。

RSA（5 月 6 ～ 9 日）

カリフォルニア州サンフランシスコ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5： 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名：c0dwjdi6a.dll
偽装名：なし
検出名：Trojan.GenericKD.33515991

SHA 256：24283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fe
MD5： 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名： nYzVlQyRnQmDcXk
偽装名：なし
検出名：Win.Dropper.Scar::tpd

SHA 256：e38c53aedf49017c47725e4912fc7560e1c8ece2633c05057b22fd4a8ed28eb3
MD5： c16df0bfc6fda86dbfa8948a566d32c1
一般的なファイル名： CEPlus.docm
偽装名：なし
検出名： Doc.Downloader.Pwshell::mash.sr.sbx.vioc

SHA 256：9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5： 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名： VID001.exe
偽装名：なし
検出名： Win.Worm.Coinminer::1201

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5： 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名： Wextract
偽装名：Internet Explorer
検出名：W32.File.MalParent

本稿は 2024 年 03 月 14 日に Talos Group のブログに投稿された「Not everything has to be a massive, global cyber attack」の抄訳です。

• 脅威情報ニュースレター