机上訓練に効果があることについては、誰もが同意するのではないでしょうか。机上訓練はあらゆる規模の組織が取り入れることができ、実際のサイバー攻撃や侵入による壊滅的な影響を受けることなくインシデント対応計画をテストできます。
私は Talos での業務の一環として、Talos インシデント対応チームのお客様に対して実施してきた机上訓練の資料に幾度となく目を通してきましたが、そこで紹介されている知識と推奨事項は非常に役立つものばかりです。インシデント対応計画に書かれている内容を見ると万全に思えますが、改善できる部分は常に存在します。机上訓練は、潜在的な欠陥や改善点を特定するのに役立ちます。
ただ、先週のニュースをチェックしていたところ、机上訓練が文字通り太陽に近づきすぎているように感じました。
米国国立科学財団が最近、カリフォルニア州立工科大学の研究者の協力を得て、宇宙空間でのサイバー攻撃の可能性に関する調査結果を発表しました。
このレポートには複数のサイバー攻撃シナリオが記載されており、宇宙空間で起こり得る攻撃や、地球の大気圏外での社会活動に影響を及ぼしかねない攻撃の概要がまとめられています。そうした仮定の 1 つとして、攻撃者が分散型サービス拒否(DDoS)攻撃を実行し、月面居住地の電子ドアの制御を無効化するというものがあります。そうなると、人が施設内に閉じ込められたり、過酷な月面に締め出されたりします。
研究者のレポートには、こうしたシナリオが、「机上シミュレーションや戦争ゲーム演習の実施」を含め、宇宙でのあらゆる活動におけるセキュリティのニーズを考慮するよう民間企業や米国政府に促すきっかけになることを期待していると書かれています。
確かに、どのような状況に対しても十分に準備をしておくことは決して悪いことではありませんし、こうしたシナリオに対して慎重であるのに越したことはありません。ただこのシナリオに関しては、少し先走り過ぎている感も否めません。最近、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が机上訓練を実施しました。AI を活用したサイバー攻撃を想定したもので、まだこちらのほうが現実的な問題ではありますが、現時点で攻撃者が AI ツールの恩恵をどれほど得ているかについては疑問を抱いています。
カリフォルニア州立工科大学が概説した宇宙ベースのシナリオの中には、少なくとも 20 年以上は起こりそうにないとされているものもありますが、今後 5 年以内に起こり得るとされているものもあります。ただ、「なぜ?」という疑問を抱かざるを得ません。地球上のユーザーに、Microsoft Office を最新のバージョンに更新するプログラムを適用させることすらできていないのです。ましてや、月面コロニーの宇宙ネットワークの保護となると、難易度が上がるでしょう(もしそこまで技術が進歩しているのなら、ついでに PowerPoint に代わるより優れたアプリケーションも開発できるとよいのですが)。
95 ページもあるレポートですが、ざっとでもいいので全体に目を通すことをおすすめします。次の机上訓練の参考にはならないかもしれませんが、一部のマシンのパスワードポリシーが不十分だとしても、誰かを月面に締め出して酸素を奪うような致命的な影響を与えないことは少なくともわかるでしょう。
重要な情報
多要素認証に関する Talos の最新のブログ記事では、攻撃者が MFA「プッシュスプレー」攻撃を試みる時間帯と攻撃手法、MFA を完全にバイパスするために使用されるソーシャルエンジニアリングの手口について傾向を調査しています。現在私たちが直面している問題の多くは、攻撃者が MFA をバイパスするために創造性を働かせていることと、ソリューションの導入における全体的な不完全さ(たとえば、外部公開されたアプリケーションやサポートが終了したソフトウェアに導入しないこと)によるものです。レポートでは、最もよく使用されている MFA バイパス手法の種類、攻撃が行われる時間帯、標的となっているユーザーなどについて取り上げています。
注意すべき理由
最新の Talos インシデント対応チーム四半期動向レポートでは、2024 年第 1 四半期にチームが対応した全セキュリティインシデントの半数近くが、多要素認証(MFA)に関連したものでした。インシデント対応業務の 25% は、攻撃者を発信元とする不正な MFA のプッシュ通知をユーザーが受け入れたことが根本的な原因です。また 21% は、MFA が適切に導入されていなかったことがインシデントの根本的な原因でした。MFA は、さまざまな Web アプリケーション、ログイン情報、さらには日常業務に欠かせないサービスへのアクセスにも使用されています。防御担当者は、攻撃者が引き続き多要素認証(MFA)を標的にしているという事実を常に念頭に置いて監視する必要があります。
必要な対策
Cisco Duo などの MFA アプリケーションで確認番号の入力を求めるようにすることでセキュリティを強化し、ユーザーが悪意のある MFA プッシュ通知を受け入れないようにすることをご検討ください。リモートアクセスとアイデンティティアクセス管理(IAM)のサービスを含む、すべての重要なサービスに MFA を導入してください。MFA は、リモートベースの侵害を防止するための最も効果的な方法です。また、すべての管理者ユーザーに第 2 の認証方法を要求することで、ネットワークを横断的に移動するラテラルムーブメントも防止できます。こちらの Talos のブログには、他にも推奨事項が記載されています。
今週のセキュリティ関連のトップニュース
広範囲に影響が及ぶ Snowflake の情報流出に関与した攻撃者が被害企業に圧力をかけ、データ漏洩を回避するための多額の身代金の支払いを要求。新たな報告によると、10 社もの企業が現在も金銭の支払いを迫られており、攻撃者からの要求額は 30 万ドルから 500 万ドルに及ぶとのことです。160 社以上の企業に影響を与えているこのハッキング計画は現在新しい段階に入っているようで、攻撃者は今回流出したデータからどのように利益を得るかを模索しています。犯人は流出の経緯についても公にしており、まず Snowflake と提携しているサードパーティの請負業者のアカウントを侵害してテラバイト単位のデータを窃取したと Wired 誌に語っています。その後、Ticketmaster 社などの企業が Snowflake インスタンスに保存しているデータにアクセスできたとのことです。窃取したデータを攻撃者がダーク Web のフォーラムに掲載し、最高額の入札者に売却するとも見られています。(情報源:Wired、Bloomberg)
オランダ軍当局者が今週、中国政府が支援する攻撃グループによるサイバースパイ活動が、これまで知られていたよりも広範囲に及んでいると警告。当局は 2 月にこの活動を公表し、2022 年と 2023 年に攻撃者が FortiOS/FortiProxy の重大なリモートコード実行の脆弱性(CVE-2022-42475)を悪用して脆弱な Fortigate ネットワーク セキュリティ アプライアンスにマルウェアを展開したと警告しました。オランダの軍情報保安局(MIVD)は当初、約 14,000 台のデバイスが攻撃を受けたと推定していましたが、現在、影響を受けたデバイスの数は 20,000 台以上に拡大しています。数十の政府機関、国際機関、防衛請負業者が標的になっていると報じられています。MIVD が新たな警告を発表した理由は、中国の攻撃グループが今も多くの被害者のネットワークにアクセスできていると考えているからです。この攻撃で使用されている Coathanger マルウェアは、その存在がユーザーに警告されないようにシステムコールを傍受するため、検出が容易ではありません。しかも、オペレーティングシステムのファームウェアをアップグレードしてもこのマルウェアはなくなりません。MIVD は最新の声明で「NCSC とオランダの諜報機関は、ファイアウォール、VPN サーバー、ルータ、電子メールサーバーなど、一般にアクセス可能なエッジデバイスの脆弱性が悪用されている傾向をしばらく前から確認している」と述べました。(情報源:Bleeping Computer、Decipher)
人気のあるダーク Web マーケットプレイス「Empire Market」を運営していたとして、米連邦当局が 2 名の人物を逮捕、起訴。同サイトは、違法薬物取引、偽造貨幣、盗み出されたクレジットカード情報の販売などで 4 億 3,000 万ドル以上の売上を生み出し、組織化するのに一役買っていました。連邦検察は、2018 年から 2020 年にかけて Empire Market を運営していた罪で、Thomas Pavey(別名「Dopenugget」)と Raheim Hamilton(別名「Sydney」および「Zero Angel」)を起訴しました。今週初めに起訴状が発表され、この 2 人が AlphaBay というサイト(2017 年に閉鎖)でサービスや窃取したデータの宣伝を行っていたこと、その後 Empire Market を立ち上げたことが明らかになっています。サイトでは、Empire Market の管理者、仲介者、買い手、売り手の身元だけでなく、取引の性質も隠すために、支払いには暗号通貨だけが使用されていました。逮捕時に、連邦当局は 7,500 万ドル相当以上の暗号通貨とその他の貴重品を押収しました。(情報源:CBS News、Bloomberg)
Talos についての関連情報
- パキスタンとつながりのある攻撃グループが、インド政府に対する 6 年間に及ぶ攻撃で Android マルウェアを使用
- パキスタンの攻撃グループがインド政府機関を標的にしていたことが判明
- CyberScoop Safe Mode ポッドキャスト:戦争中もウクライナの電力供給を維持、Snowflake の顧客が攻撃対象に
- 悪意のある Windows ドライバに関する分析(パート 2):I/O システム、IRP、スタック位置、IOCTL ほか
- Microsoft 社のセキュリティ更新プログラムで公開された「緊急」の問題は 1 件のみ
- 『Talos Takes』エピソード#187:LilacSquid の多様な側面
Talos が参加予定のイベント
CISCO CONNECT U.K. (6 月 25 日)
ロンドン(英国)
Cisco Talos のエキスパートである Martin Lee と Hazel Burton が座談会を行います。近い将来特に顕著となるサイバーセキュリティ脅威の動向と、それらが今後数年間の間に英国の組織に与える影響、安全を確保するための対策について取り上げます。
BlackHat USA(8 月 3 日~ 8 日)
ネバダ州ラスベガス
Defcon(8 月 8 日~ 11 日)
ネバダ州ラスベガス
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5:e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201
SHA 256:a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0
MD5: b4440eea7367c3fb04a89225df4022a6
一般的なファイル名: Pdfixers.exe
偽装名:Pdfixers
検出名: W32.Superfluss:PUPgenPUP.27gq.1201
SHA 256:2d1a07754e76c65d324ab8e538fa74e5d5eb587acb260f9e56afbcf4f4848be5
MD5: d3ee270a07df8e87246305187d471f68
一般的なファイル名: iptray.exe
偽装名:Cisco AMP
検出名: Generic.XMRIGMiner.A.A13F9FCC
SHA 256:9b2ebc5d554b33cb661f979db5b9f99d4a2f967639d73653f667370800ee105e
MD5: ecbfdbb42cb98a597ef81abea193ac8f
一般的なファイル名:なし
偽装名: MAPIToolkitConsole.exe
検出名: Gen:Variant.Barys.460270
本稿は 2024 年 06 月 20 日にTalos Group のブログに投稿された「Tabletop exercises are headed to the next frontier: Space」の抄訳です。