2024年12月2日 Leave a Comment

情報セキュリティにおける双方向コミュニケーションをドラム演奏の例で解説

1 min read

TALOS Japan

今週も脅威情報ニュースレターをお届けします。

どのような環境であれ、チームがうまく機能するための基盤となるのが双方向のコミュニケーションです。情報セキュリティにおいては、上司への報告や部下への伝達を推奨し、その中で重要な要素を見失わないことが大切です。意思決定に関わるすべての関係者が、脅威の進化がもたらす高度な技術的課題を認識しなければなりませんが、これはサイバーセキュリティチームが直面する最も困難な課題の 1 つです。チームと、脅威から保護するためのツールを絶えず進化させるという課題への対処には、多くの場合、かなりの困難が伴います。この双方向のコミュニケーションのあり方について、ドラム演奏を例に挙げて説明したいと思います。これまでニュースレターを担当してきた Jon Munshaw ならプロレスを例に出すのかもしれませんが、私はプロレスには詳しくないので、これでご容赦いただければ幸いです。

複雑な問題を特定し、双方向から問題について話し合うための簡単な方法として、ドラム演奏を例に説明することにしたのには理由があります。ドラム演奏は音楽になじみがない人にとってもわかりやすく、意見が白熱しがちなギター演奏よりも、論争に発展することがはるかに少ないからです。それでは、簡単な概念から始めましょう。

難しそうで、実際に難しい。
難しそうで、実際は簡単。
簡単そうで、実際は難しい。
簡単そうで、実際に簡単。

難しそうで、実際に難しい。この選曲は簡単です。Meshuggah の Tomas Haake が演奏する「Bleed」が良い例です。ポリリズム、スタミナ、スピード、両手両足の自在な動き、複雑さ。これは、難しそうで、実際に難しい例です。この曲をマスターしようとする人は、あまり普通ではないかもしれません。

簡単そうで、実際に簡単。Phil Rudd の演奏を例に取りましょう。AC/DC のアルバム「Back in Black」の収録曲ならどれでもかまいません。簡単そうで、実際に簡単という良い例です。完璧にリズムを刻み、グルーブに乗っています。

簡単そうで、実際は難しい。これは少し選曲が難しく、異論が出そうですが、気にしないことにします。Toto の Jeff Porcaro が演奏する「Rosanna」と、Sting に参加した Vinnie Colaiuta が演奏する「Seven Days」、この 2 曲を例に取りたいと思います。どちらの曲も非常に聴きやすく、難しい要素は何もないように思えます。しかし実際に演奏してみると、簡単そうだと思ったことを後悔して泣きたくなるでしょう。

難しそうで、実際は簡単。少し厄介な状況になりそうですが、Travis Barker と Dave Lombardo の曲はどれも該当すると思います。ご批判は受け付けます。彼らのドラムが下手だと言っているわけではありません。ただ、実際よりも難しく聞こえる、ということです。

ここまで紹介しましたが、これらの例は実際にどのように役に立つのでしょうか？

組織内で情報セキュリティのミーティングを行う際、少し時間をとって、アジェンダと具体的に話し合う内容を確認し、上記のドラム演奏のどのパターンになるか考えてみてください。環境やチームによって、トピックは次のようなカテゴリに自ずと分類されます。パッチと脆弱性管理、交換が必要な EOL（生産終了）デバイス、エンドポイントの検出と対応、アクションが必要なトラフィックの特定とセキュリティ情報イベント管理（SIEM）での定義、フォレンジック分析、脅威ハンティング、イベント対応などです。実際の会話の内容は脅威の状況に応じて変わってきます。

防御するのが非常に難しく、防御にあたってスキルの高い防御担当者と複雑なツールを必要とするものを環境の中から特定するのは簡単です。これは、ジュニアアナリストも最高責任者も簡単に納得できる話であり、「難しそうで、実際に難しい」タイプの会話です。「簡単そうで、実際に簡単」という会話も同様で、どちらの方向においても簡単に理解してもらえます。伝えるのが最も難しいトピックは「難しそうで、実際は簡単」または「簡単そうで、実際は難しい」パターンです。私の経験では、このような会話は通常、一方の方向では非常に簡単に伝えることができるのに対し、もう一方の方向では伝えるのが非常に難しくなります。ジャズが好きな人は Colaiuta の演奏の機微を楽しめますが、Lombardo のドラムは理解し難いでしょう。一方、メタルファンは Lombardo を愛してやまないものの、繊細なゴーストノートには興味を示しません。少し時間をとってトピックを分析し、「難しそうで、実際は簡単」または「簡単そうで、実際は難しい」部分がどこか判断することで、伝えるのが難しい会話に備えることができます。そうすれば、高度に専門的な会話を最高責任者と交わす際にストーリーを組み立てておくことで、失われがちなニュアンスをうまく伝えたり、アナリストが必要としている新しいツールを次の財務四半期まで待つことにした理由を上手に説明したりすることができます。

正直に言って、このように準備しても聞く耳を持ってもらえないこともあります。また、人間は間違うこともあるので、必要な労力が過小評価されることもあります。ですが少し準備をして相手のことを理解していれば、最高責任者とポリリズムについて議論することも、Vinnie Colaiuta のようなアプローチでジュニアアナリストの理解を引き出すことも、Phil Rudd のように誰にでもわかりやすく伝えることもできます。

重要な情報

Cisco Talos は、ベトナム語話者の攻撃者が展開している新たな情報窃取攻撃を発見しました。欧州およびアジアの政府機関や教育機関が標的にされています。PXA Stealer の標的は被害者の機密情報で、さまざまなオンラインアカウント、VPN、FTP クライアントのログイン情報、財務情報、ブラウザクッキー、ゲームソフトウェアのデータなどが狙われています。PXA Stealer には被害者のブラウザのマスターパスワードを復号する機能もあります。このパスワードを使用して、保存されているさまざまなオンラインアカウントのログイン情報を窃取します。

注意すべき理由

収集したログイン情報を使用すれば、攻撃者は被害者の環境に直接アクセスできます。脆弱性を悪用したり、防御アーキテクチャに対処したりすることなく、ただログインするだけでよいのです。Talos インシデント対応チームは、このような攻撃事例が増えていることを確認しています。

必要な対策

Cisco Talos は、PXA Stealer を検出して防御するための Snort ルールと ClamAV シグネチャをいくつかリリースしました。

今週のセキュリティ関連のトップニュース

オープンソースのノードパッケージマネージャー（NPM）リポジトリに悪意のある数百のパッケージをアップロードする攻撃が継続中。狙いは、ライブラリを利用している開発者のデバイスを感染させることです。（情報源：Ars Tecnica ）

次期米大統領ドナルド・トランプ氏の就任日に、サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）のジェン・イースタリー長官が辞任することを同庁が確認。（情報源：Dark Reading ）

Palo Alto Networks 社がファイアウォール管理インターフェイスの一部のインスタンスにおける重大な脆弱性を修正するパッチをリリース。ファイアウォール管理インターフェイスに対して、認証されていないコマンドをリモートで実行できるという脆弱性であり、同社は実際にこの脆弱性が悪用されていることを確認しています。（情報源：Bleeping Computer 、Dark Reading ）

Talos についての関連情報

Talos が参加予定のイベント

CyberCon Romania （11 月 21 日～ 22 日）
ルーマニア、ブカレスト

Cisco Talos の Martin Lee がパネルディスカッション「Maintaining Resilience for a Secure Cyber Infrastructure」に登壇します。

misecCON （11 月 22 日）
ミシガン州ランシング

Talos インシデント対応チームの Terryn Valikodath が DFIR（デジタルフォレンジックとインシデント対応）の核心に迫ります。DFIR ではデジタルフォレンジックが捜査活動、インシデント対応が消火活動に相当します。

AVAR （12 月 4 日～ 6 日）
インド、チェンナイ

Cisco Talos の Vanja Svancer と Chetan Raghuprasad がプレゼンテーションを行います。Vanja は「Exploring Vulnerable Windows Drivers」、Chetan は「Sweet and Spicy Recipes for Government Agencies by SneakyChef」について講演します。