Cisco Japan Blog

週末の大規模なコンピュータ障害はサイバー攻撃ではなかったと何回言えばいいのか

1 min read



信じられないかもしれませんが、CrowdStrike/Microsoft の大規模な障害が発生した先週末、ソーシャルメディアには多くの誤情報が流れました。 

航空会社はフライトをキャンセルpopup_iconし、病院は患者の診療スケジュールを変更せざるをえず、一部の企業は金曜日に一切の業務を行えなくなったため、実際には CrowdStrike Falcon のアップデートの不具合が原因で発生したpopup_icon障害を、人々がサイバー攻撃だpopup_iconと早合点したのです。

メディアは「サイバー攻撃か、それとも障害か?popup_icon」という見出しで取り上げ、ソーシャルメディアの投稿者popup_iconはすぐに、何らかの「ハッキング」であると思い込みました。

こうした反応については、理解できなくもありません。解読不能に見えるコードが表示されることが多い「ブルースクリーン」が発生すると、それが「ハッキング」であるという考えが私たちの頭に刷り込まれています。フィクション作品で、あるいは実際にサイバー攻撃が発生したときの「ハッキング」の一般的なイメージとして、常にそのように描かれてきたからです。

今回の障害から学ぶべき教訓もたくさんpopup_iconありますが、それについてはまた別の機会に詳しくお話ししましょう。しかし、これをサイバー攻撃と呼ぶことは不必要な不安を広めることにもなりかねません。特に攻撃者がこうした障害を利用して実際のサイバー攻撃popup_iconでマルウェアを拡散しようとしている場合はなおさらです。

重要な情報

2024 年第 2 四半期に Talos インシデント対応チーム(Talos IR)が最も頻繁に確認した脅威はビジネスメール詐欺(BEC)とランサムウェアで、対応業務の 60% を占めました。ビジネスメール詐欺への対応業務は前四半期より減少したものの、2 四半期連続で依然として大きな脅威となっています。ランサムウェアはわずかに増加し、Talos IR は今四半期に初めて Mallox および Underground Team ランサムウェアに対応したほか、以前に確認されていた Black Basta および BlackSuit ランサムウェア攻撃にも対応しました。

注意すべき理由

ビジネスメール詐欺では、攻撃者は正当なビジネス電子メールアカウントを侵害し、それを使用してフィッシングメールを送信することによって、アカウントのログイン情報などの機密情報を取得します。侵害したアカウントを使用して、不正な財務要求を含む電子メールを送信することもあります。たとえば、給与やベンダーの請求書に関連する銀行口座情報の変更を依頼するといったことです。従業員の個人用モバイルデバイスを狙うことは、初期アクセスを得るための効果的な方法だと言えます。個人用デバイスの場合、会社のデバイスのようなセキュリティ管理がなされていない可能性があるからです。組織は、従業員のセキュリティ意識向上トレーニングに SMS フィッシング詐欺を含める必要があります。

必要な対策

MFA が導入されていないことが、企業のセキュリティ面で依然として最大の障害の 1 つとなっています。Cisco Duo など何らかの MFA の導入を、すべての組織が検討する必要があります。MFA とシングルサインオンシステムを導入すれば、信頼できる当事者だけが企業のメールアカウントにアクセスできるようになるので、ビジネスメール詐欺の拡大を防げます。

今週のセキュリティ関連のトップニュース

サウスウエスト航空は非常に古いバージョンの Windows を使用していたから CrowdStrike 関連の障害を免れたという誤情報が週末に広まる。サウスウエスト航空のシステムでは 20 年以上前にリリースされた Windows 3.1 が使用されていると多くの報道機関が報じましたが、実際は報道内容とは異なるようです。とはいえ、競合他社に比べるとサウスウエスト航空のシステムは時代遅れなのかもしれません。むしろ、単に CrowdStrike を使用していないからという理由で、サウスウエスト航空が障害の影響をほとんど受けなかった可能性があります。デルタ航空、アメリカン航空、スピリット航空、フロンティア航空、ユナイテッド航空、アレジアント航空といった航空各社はすべて、今回の障害の影響を受けて世界中で何千ものフライトのキャンセルを余儀なくされたと報道されています。サウスウエスト航空が Windows 3.1 を使用しているという話の出所はソーシャルメディアの投稿のようですが、元の投稿ではこれを裏付ける情報源、リンク、背景情報は提供されていませんでした。また、広範囲に及んだこの障害の間に広まったもう 1 つのフェイクニュースは、ラスベガスの球体型アリーナ「スフィア」が障害の被害を受けたというもので、コンサートとイベント会場の外に「ブルースクリーン」が映っているように見えるフェイク画像がネット上で拡散されました。(情報源:Kotakupopup_iconOSNewspopup_icon

ハッキンググループ「Scattered Spider」のメンバーで、昨年の大規模な MGM ランサムウェア攻撃の実行犯と疑われる 10 代の少年を英国警察が逮捕。英国家犯罪対策庁と米国 FBI が、ネットワークへの侵入、データの窃取、ランサムウェアの展開で知られるハッキンググループについて大規模な捜査を行っており、その一環で今回の逮捕に至りました。逮捕発表時にグループ名は明かされませんでしたが、一般に Scattered Spider として知られているグループです。同グループは昨年、MGM のネットワークに侵入し、ホテルとカジノのサービスを数日間オフラインにし、一部のカジノの運営を完全に停止させました。MGM は最終的に、数百万ドルの身代金を攻撃グループに支払いました。Scattered Spider は英語を話す攻撃者のグループで、中には 16 歳の若者も含まれており、通常は Telegram のチャンネルや Discord のサーバーを介して連絡を取り合っています。捜査に関わったイギリスのある刑事は、逮捕された 17 歳の少年は「ランサムウェアを使って有名な組織を標的にした」グループの一員であり、「同グループは世界中の複数の標的組織から多額の金銭を奪うことに成功した」と述べています。(情報源:Bleeping Computerpopup_iconDark Readingpopup_icon

ロシアの国家支援攻撃グループやハクティビストグループが、サイバー攻撃、偽情報の拡散、ディープフェイクの写真や動画によって、フランスで開催されるオリンピックの妨害を試みる可能性が濃厚。ロシアは、自国選手のドーピング疑惑に関与したため夏季オリンピックから除外されており、ウクライナを支援している西側諸国に対してますます敵対的になっています。ロシアの攻撃者はすでに誤情報を拡散しており、Microsoft 社は、一部の攻撃者が人工知能を駆使するインフルエンサーを使って「(国際オリンピック委員会の)評判を落とし」、オリンピックでの「暴力行為に対する期待を煽っている」と警告しています。また、フランス当局はすでに 1 人のロシア人を逮捕しています。このロシア人はオリンピックを「不安定化」させるためにさまざまなイベントを計画していたとフランス政府は主張しています。FortiGuard Labs の研究者らは、Cyber Army Russia Reborn や LulzSec などの既知のロシアの攻撃グループの間でダーク Web の活動が急増しており、オリンピックを狙った攻撃計画について具体的に言及していると報告しています。ロシアはまた、ハクティビストグループに対する影響力を利用して命令を実行させ、あらゆる活動へのロシア政府の関与を否認しようとしている可能性があります。(情報源:Forbespopup_iconFinancial Timespopup_icon

Talos 関連の情報

Talos が参加予定のイベント

BlackHat USApopup_icon8 3 日~ 8 日)

ネバダ州ラスベガス

Defconpopup_icon8 8 日~ 11 日)

ネバダ州ラスベガス

BSides Krakowpopup_icon9 14 日)

クラクフ(ポーランド)

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 2569f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon
MD5 2915b3f8b703eb744fc54c81f4a9c67f f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201

SHA 256c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0popup_icon
MD5 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Dropper.Generic::1201

SHA 256161937ed1502c491748d055287898dd37af96405aeff48c2500b834f6739e72dpopup_icon
MD5 fd743b55d530e0468805de0e83758fe9
一般的なファイル名: KMSAuto Net.exe
偽装名:KMSAuto Net
検出名: W32.File.MalParent

SHA 25624283c2eda68c559f85db7bf7ccfe3f81e2c7dfc98a304b2056f1a7c053594fepopup_icon
MD5 49ae44d48c8ff0ee1b23a310cb2ecf5a
一般的なファイル名: nYzVlQyRnQmDcXk
偽装名:なし
検出名:Win.Dropper.Scar::tpd

SHA 256bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138apopup_icon
MD5 200206279107f4a2bb1832e3fcd7d64c
一般的なファイル名: lsgkozfm.bat
偽装名:なし
検出名: Win.Dropper.Scar::tpd

 

本稿は 2024 年 07 月 25 日にTalos Grouppopup_icon のブログに投稿された「The massive computer outage over the weekend was not a cyber attack, and I’m not sure why we have to keep saying thatpopup_icon」の抄訳です。

 

コメントを書く