今週から来週にかけて、世界最大級のサイバーセキュリティ カンファレンスである Black Hat と DEF CON がラスベガスで開催されます。
製品発表はもちろんのこと、バズワードが飛び交い、「〇〇のスマート家電で家が全焼するかもしれない」といった話で盛り上がることでしょう。この 2 週間、この場を借りて、Hacker Summer Camp で発信される主要なトピック、トレンド、話題のポイントを紹介したいと思います。ラスベガスにいらっしゃるなら、Talos の Twitter
をフォローし、講演やイベント関連の情報にぜひご注目ください。
案の定、AI 関連、なかでも特に生成 AI が会期を通じて注目を集めそうです。多くの企業は、これらのツールを使用して新しいサイバーセキュリティ製品や保護機能の開発周期を短縮するでしょうし、研究者は最新テクノロジーに潜むセキュリティ上の落とし穴を間違いなく指摘するでしょう。
終日開催の Black Hat の特化型ワークショップでは、生成 AI モデルの学習方法や、誰のコンテンツをどのように使用しているのかの要点をまとめた法案など、生成 AI に対する責任についての議論が行われます。また、DEF CON の AI Village では、AI ツールの脆弱性が多数発見されるとは思いますが、同時に研究者がそうしたセキュリティの問題をどうすればベストな形で公開し、パッチの適用を支援できるかにも注目が集まるはずです。
以前取り上げた「〇〇をハッキングする方法」の見出しの流れをくみ、Talos の Dan Mazzella が、一部の自動車に搭載されている Android ベースのインフォテインメント システムを乗っ取ってユーザーデータを窃取する方法についてのリサーチを発表します。
フォード車、ホンダ車、GM 車で使用されている一部のシステムがエクスプロイトされると、「ヘッドユニット」と車に接続されたモバイルデバイス間で転送されるデータ(テキストメッセージ、連絡先情報、写真、その他のユーザーの個人情報)が盗まれる可能性があります。
現代のすべてのことについて言えますが、必ず政治も絡んでくるでしょう。次期米大統領選に向けてカマラ・ハリス氏が民主党候補に指名された最近のニュースを受け、専門家や規制当局は、ハリス氏が大統領に就任した場合はサイバーセキュリティと AI 政策にどのような影響があるのかを探ろうとしています。
また、ハッカーらは大統領候補者のためのサイバーセキュリティに特化した資金調達イベントを今年初めて主催する予定です。DEF CON 運営側は、過去数年にわたって選挙セキュリティのコミュニティを支持してきたハリス氏を率先して支援しています。
Black Hat の基調講演で米国サイバーセキュリティ インフラストラクチャ セキュリティ庁のジェン・イースタリー長官(ほか複数の登壇者)が取り上げるように、世界中で実施されている他の選挙においてもサイバーセキュリティは重要な意味を持ちます。国を問わず、候補者にまつわるデマ情報やフェイクニュースが常にオンラインにはびこっており、AI やディープフェイクによって問題は深刻化する一方です。
そしてこれは、投票結果の改ざんや投票システムのハッキングを実際に試みる前の段階で起こっています。
重要な情報
Cisco Talos は、NetSupport RAT を利用して持続感染を引き起こす複数のマルウェア攻撃を積極的に追跡しています。これらの攻撃では、難読化とアップデートによって検出を回避しています。Talos の研究者は、攻撃で使用されている複数の難読化や回避の手口を特定して、ユーザーを保護し続けるための適切な検出方法を編み出しました。攻撃の難読化の手口に存在する具体的な弱点と侵害の指標(IOC)を特定することで、この攻撃を高い精度で検出することができます。
注意すべき理由
NetSupport Manager は、リモートデバイス管理用として 1989 年から市販されているツールです。IT リモートサポート業界の多くのツールと同様、NetSupport Manager も、独自の RAT を開発できない、あるいは開発したくない攻撃者に武器として利用されてきました。NetSupport が初めて悪意のある目的で利用されたのは 2017 年のことでした。現在では、大半のセキュリティベンダーに、RAT として広く認知されるようになっています。2020 年代には、多くのオフィスワーカーがテレワークにシフトしました。その結果、フィッシング攻撃やドライブバイダウンロード攻撃で NetSupport RAT が使用されることが増えました。また、他のローダーと併用されるようにもなりました。今回の攻撃は、近年で最も注目すべき NetSupport RAT の使用事例です。悪意のある大規模な広告キャンペーンで、数十ものドメインに散らばる数百もの既知のステージャの亜種が使用されています。幸いなことに、Snort が提供する強力な防御により、マルウェアがエンドポイントに到達する前に検出できます。
必要な対策
新連載のブログ(「Talos ネットワーク検出・対応チームによる詳細解説」)の最初の投稿で、Talos のアナリストが NetSupport RAT に対する保護と最新の Snort ルールをいかに入念に構築し、脅威からユーザーを守っているかを紹介しています。
今週のセキュリティ関連のトップニュース
フランスのオリンピック会場と文化施設が週末にサイバー攻撃を受けたものの、影響は限定的。セキュリティ専門家とオリンピック主催者は、ほぼ確実に大会を妨害する動きがあると予想していました。フランス国立美術館連合グラン・パレが所有するデータが攻撃者により暗号化されたという誤った報道がありましたが、施設側は月曜朝の時点ではデータの抜き取りは確認されていないとするコメントを出しました。この組織は、世界で最も名の知られたルーブル美術館を管理しています。施設ではオリンピック関連の展覧会やイベントをこの 1 週間のうちに複数主催しており、フェンシングやテコンドーの競技会場としても使用されました。フランスのサイバーセキュリティ庁(ANSSI)の捜査が続いてはいるものの、ランサムウェア攻撃は未遂に終わったと考えられます。「今回の件はショップの内部ネットワークに限った話であり、フランス国立美術館連合グラン・パレの他の活動には関係ありません。極めて重要な資産を直ちに切り離し、この手の問題を専門に扱うサイバーセキュリティ庁に捜査を依頼しました」と攻撃が未遂に終わった後にグラン・パレのディレクターは語りました。(情報源:CyberScoop、Dark Reading)
英国で使用されているモバイルデバイス管理ソフトウェア Mobile Guardian がサイバー攻撃の被害に。この影響は大きく、被害はシンガポールの学生や教育機関に及び、同国教育省によると何千もの学生のデバイスが完全にワイプされる事態になりました。Mobile Guardian は、初等/中等教育機関で使用されるデバイスをモニターおよび管理するためのクロスプラットフォーム ソリューションとして宣伝されています。「初動対応で行った確認では、26 の中等教育機関の生徒約 13,000 人のデバイスが犯人によってリモートでワイプされたことが判明しました」とシンガポール教育省は述べました。標的となったデバイスは Mobile Guardian のネットワークから削除され、完全にワイプされたようです。同社は今週、障害により北米、ヨーロッパ、シンガポールのインスタンスが影響を受けたと語っています。このインシデントは、7 月 30 日の IT 障害の原因となった設定不備に端を発していると考えられています。(情報源:TechCrunch、Bleeping Computer)
献血を推進する非営利団体へのランサムウェア攻撃により、多くの病院で緊急用血液の利用と献血車の緊急配置を余儀なくされる事態に。米南東部の多くの病院に血液サンプルを提供している非営利団体 OneBlood がランサムウェア攻撃を受け、大部分のネットワークが強制的にオフラインになりました。同団体は数日間にわたって、独自にラベルの印刷を行ったり、献血者に紙の書類に記入してもらったりと、手作業による処理を余儀なくされたため、各病院への通常のサプライチェーンに遅れが生じました。一部の医療施設では、血液の供給が通常の状態に戻るまで、緊急でない処置を遅らせる必要がありました。先週後半、OneBlood は 250 を超える提携病院に対し緊急血液不足プロトコルを発動するよう伝えました。これには、献血車の緊急配置や献血の早急な呼びかけなどが含まれます。水曜の時点で、OneBlood はソフトウェアが復旧しつつあると述べています。フロリダ州とジョージア州(OneBlood の障害で深刻な影響を受けていた州)を通過し、豪雨を降らせ、洪水を引き起こしたハリケーン「デビー」のせいで復旧プロセスはさらに困難になりました。(情報源:Axios、CBS News)
Talos についての関連情報
Talos が参加予定のイベント
Defcon(8 月 8 日~ 11 日)
ネバダ州ラスベガス
BSides Krakow(9 月 14 日)
クラクフ(ポーランド)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256: c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201
SHA 256:161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72d
MD5: fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: W32.File.MalParent
SHA 256: 24283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fe
MD5: 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名:Win.Dropper.Scar::tpd
SHA 256:bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a
MD5: 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd
本稿は 2024 年 08 月 08 日にTalos Group
Authors