従業員をオフィスに呼び戻さずにサイバーセキュリティを向上させる方法とは
上司も知っていることですが、私は会社のオフィスで働くのがあまり好きではありません。こだわりが強く、ワークスペースは冷え冷えとしているくらいが好みで、どんなソフトウェアでもダークモードにするのは嫌いです。照明は全部、明るさを最大に設定したいと思っています。
考え方がこのように偏っているからなのかもしれませんが、私にはどうしても納得できないことがあります。2024 年に入り、多くの企業がサイバーセキュリティを口実にしてオフィス勤務を再開する方針を打ち出していることです。
私がこれについて考え始めたのは、ビデオゲーム開発会社 Rockstar のことがあったからです。同社は、『レッド・デッド・リデンプション』や『グラント・セフト・オート』など、世界最大級のビデオゲームフランチャイズを複数所有しています。
ファン待望の『グランド・セフト・オート VI』の完成を推し進めている同社は最近、生産性とセキュリティを理由に、会社のオフィスに週 5 日出勤するよう従業員に求め始めました。
Rockstar 社は、2022 年に『グランド・セフト・オート VI』の初期開発中のゲームプレイ映像やその他の機密データが大量にリーク
されるなど、長年にわたってサイバーセキュリティに関する多くの懸念に見舞われてきました。結局、この攻撃は Lapsus$ グループによるものであることが判明し、加害者は起訴されて有罪判決を受けました。ゲームの最初の公開トレーラーも事前にリークされています。
ここ 2 年の間に他にも多くの企業が、従業員の生産性、対人関係(仲間意識)、不動産コストなど、さまざまなことを理由に挙げてオフィス勤務を再開する方針を打ち出すようになりました。私はこうした問題についての議論に耳を傾けるつもりではいますが、すべての従業員を 1 つの物理的なスペースに集めればセキュリティ問題が解決するという単純な考え方には、かなり無理があると思います。
コロナ禍が始まってからというもの、テレワークがサイバーセキュリティにさまざまな形で影響を与えてきたことについて Talos は記事や講演で伝えてきました。世界中でテレワークを開始する人が増えてから、管理者が新しいログイン方法、セキュリティ管理、ポリシーを導入しなければならなくなったのは確かです。しかし、この傾向が始まって 4 年が経過した今、リモートワーカーを受け入れる準備ができていないという言い訳はできません。
2023 年 4 月にケント州立大学が実施した調査で、リモートワーカーはオフィスワーカーよりもセキュリティ脅威に対する警戒心が強く、脅威を回避するための行動をとる可能性が高いことがわかりました。
テレワークの増加に伴い、多要素認証の使用が急増していますが、ユーザーが社内のオフィスにいる場合や、社内のマシンにアクセスしている場合は、実際には多要素認証が実施されていないことがよくあります。オフィスにいれば安全だという認識があるからです。
会社のオフィスであれば安全だという認識は、管理者に誤ったセキュリティ意識を抱かせることがあります。社内のマシンには、リモートワーカーのデバイスで一般的に見られるブート前認証や暗号化が備わっていない場合があるからです。
オフィス勤務はテレワークよりも安全性が低いとまでは言いませんが、リスクは本質的に同じだと考えています。従業員がどこで働いているかに関係なく、すべてのサービスにアクセスする際にはアプリベースの多要素認証を使用する必要があります。機密性の高いソフトウェアやハードウェアは、簡単に推測できたり共有できたりするテキストベースのパスワードを作成する古いパスワードポリシーに依存するのではなく、パスキーや物理トークンを使用したアクセスに依存すべきです。
そしてセキュリティを理由にオフィス勤務に戻るよう従業員に要求する場合は、それに伴う金銭的投資も発生することになります。
シスコが最近発表したハイブリッドワークに関するグローバル調査によると、会社のオフィスの「プライバシーとセキュリティ機能」について「非常に良い」と評価した従業員はわずか 28% でした。つまり、たとえ会社が従業員をオフィスに戻したいと考えていても、そのためにはセキュリティをアップグレードしなければならず、多くの資金と人員が必要になるということだと思います。
従業員がどこにいても、セキュリティの基本が変わらないようにしなければなりません。「従来の」オフィス勤務型のライフスタイルに戻したいと考えている企業にとって、セキュリティが最大の懸念事項であるとします。その場合、断言してもいいのですが、まだ克服すべきセキュリティギャップがあります。このギャップは、従業員がオフィスにいればフィッシングメールをクリックしないように目を光らせておけると考えて解決できるようなものではありません。
重要な情報
2020 年以降、AnyDesk や TeamViewer といったリモートシステム管理ツール/デスクトップアクセスツールの人気が高まっています。こうしたソフトウェアには正しい使い道が数多くあるのですが、攻撃のコマンドアンドコントロールとして悪用する方法も見つかっています。Talos インシデント対応チーム(Talos IR)が確認したところでは、ネットワークへの初期アクセスを獲得したり、ユーザーのアクションを監視したりする方法として、この種のソフトウェアを使用する攻撃者が最近急増しています。Talos IR は 2023 年第 3 四半期の四半期動向レポートで、「ランサムウェアおよびランサムウェア感染前のインシデント対応業務のすべてで AnyDesk が確認されており、ランサムウェアの攻撃チェーンにおける AnyDesk の役割が明確になっています」と報告しています。
注意すべき理由
コロナ禍が始まり、テレワークが一般的になってからというもの、この種のツールの使用が増加しています。正規のソフトウェアなので、攻撃者は簡単に侵入し、従来のブロック方法をバイパスしてネットワーク上で検出されないようにすることができます。これらのツールを使用すれば、攻撃者はシステムを完全にリモート制御できます。ツールのダウンロードとインストールは簡単であり、正規のソフトウェアとみなされるので、検出が非常に困難になることがあります。
必要な対策
承認済みのリモート管理ソリューションを 1 つ(多くても 2 つ)採用すれば、徹底的にテストを行ったうえで、可能な限り安全な設定で導入できます。組織で特定のソリューションを承認して推進しているのであれば、その他のリモート管理/アクセスツールはポリシーで明示的に禁止する必要があります。これらすべての制御を導入すると複雑になってしまうので、攻撃者がこうした緩和策を回避する方法を見つけた場合のバックアップとして検出ルールを活用できます。
今週のセキュリティ関連のトップニュース
米英、中国政府が支援する攻撃グループ APT31 を共同告発し、制裁を発動。同グループは、中国国家安全部(MSS)との関連が疑われる、湖北省における大規模なスパイ活動で告発されています。米国内外の政治家、外交政策の専門家、その他の著名人物など数千人を標的にしていたと報告されています。ホワイトハウスや米国国務省の職員に加え、政府高官の配偶者も狙われていました。この攻撃は、米国との経済的緊張、南シナ海の支配権をめぐる議論、2019 年の香港での民主化デモなど、中国に影響を与える地政学的な出来事と同じ時期に行われました。いわゆる「世界的な大規模ハッキング作戦」と呼ばれるものであり、1 万通を超える悪意のある電子メールが複数の大陸の標的に送信されたと米国司法省が発表しています。告発によると、APT31 は政府機関のネットワークを侵害し、企業秘密を盗もうとしていたとのことです。新たに制裁の対象となったのは APT31 との関わりが疑われている中国人 7 人で、同グループと関係のある企業「武漢 XRZ」の関係者も含まれています。(情報源:Reuters、米国司法省)
ソフトウェア アップデートに隠された悪意のあるコードを開発者が発見、Linux マシンを密かに狙ったバックドアで危うく大規模なサプライチェーン攻撃に。この悪意のあるコードは xz Utils の 2 つのアップデートに隠されていました。xz Utils は、Linux などの Unix 系オペレーティングシステムのほぼすべてのインストールで利用可能なオープンソースデータ圧縮ユーティリティです。攻撃者がコードの展開に成功していたら、悪意のあるコードを SSH ログイン証明書に隠してアップロードし、バックドアが仕掛けられたデバイスで実行することが可能でした。このコードは何年もかけて開発された可能性が高く、オープンソースのアップデートは 2021 年まで遡ります。この悪意のあるコードが実際に利用されたことはないので、攻撃者が何をアップロードするつもりだったのかは不明です。研究者らは最終的に、この脆弱性を CVE-2024-3094 として特定しました。米国サイバーセキュリティ インフラセキュリティ庁は政府機関に対し、xz Utils を古いバージョンにダウングレードするよう警告しました。(情報源:Ars Technica、Dark Reading)
National Vulnerabilities Database(NVD)に未登録の脆弱性が大量に発覚、新たな全脆弱性のリストを MITRE が作成できない事態に。Flashpoint 社が実施した最近の調査で、CVE 番号のない未処理の脆弱性が 10 万件以上存在し、NVD に登録されていなかったことが判明しました。そのうち 330 件の脆弱性は実際に悪用されていましたが、防御側はその存在に気付いていませんでした。米国立標準技術研究所(NIST)はこの原因として、一般に公開されているソフトウェアの量が増加し、それに伴って脆弱性の数が増えたこと、および「省庁間のサポートに変化」があったことを挙げています。NIST は、2024 年に提出された 8,700 件を超える脆弱性のうち、約半分しか分析していません。また、3 月に限って言えば、提出された 3,370 件の脆弱性のうち、分析されたのは 199 件のみです。NVD に代わる独自の代替策を立ち上げようとしている組織もありますが、導入には時間がかかる可能性があります。NIST は、NVD に引き続き協力していくことを約束し、現在の取り組みを再編成していることも明らかにしました。(情報源:SecurityWeek、The Record by Recorded Future)
Talos についての関連情報
Talos が参加予定のイベント
Botconf(4 月 23 ~ 26 日)
コート・ダジュール、ニース(フランス)
Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll |
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:744c5a6489370567fd8290f5ece7f2bff018f10d04ccf5b37b070e8ab99b3241
MD5: a5e26a50bf48f2426b15b38e5894b189
一般的なファイル名: a5e26a50bf48f2426b15b38e5894b189.vir
偽装名:なし
検出名: Win.Dropper.Generic::1201
SHA 256:3a2ea65faefdc64d83dd4c06ef617d6ac683f781c093008c8996277732d9bd66
MD5: 8b84d61bf3ffec822e2daf4a3665308c
一般的なファイル名: RemComSvc.exe
偽装名:なし
検出名: W32.3A2EA65FAE-95.SBX.TG
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5: bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:62dfe27768e6293eb9218ba22a3acb528df71e4cc4625b95726cd421b716f983
MD5:0211073feb4ba88254f40a2e6611fcef
一般的なファイル名: UIHost64.exe
偽装名:McAfee WebAdvisor
検出名:Trojan.GenericKD.68726899
Tags:本稿は 2024 年 04 月 04 日にTalos Group
