今週も脅威情報ニュースレターをお届けします。
英国の国家サイバー セキュリティ センターの新たなリーダーに任命された Richard Horne 氏は最近、「私たちは脅威にさらされており、防御策が講じられてはいるものの、その間にあるギャップは明らかに広がりつつある」と見解を述べました
。
サイバーセキュリティの仕事に就いている人間にとって、脅威は明らかです。常に攻撃者の行動を追い、新しい攻撃手法を分析することに人生をささげています。脅威がいかに進化しているかを理解しているからこそ、この思いと行動が生まれるのでしょう。残念ながら、予算の割り当てを決定する方々にとっては必ずしもそうであるとは限りません。
侵害を受けたい人などいませんが、セキュリティチームがフラストレーションを感じる場面は少なくありません。予算の要求で対立することもあれば、複雑なリスク軽減策について、優先事項や関心事が異なる相手に説明するのは難しいからです。
常に情報を把握しておくことがギャップを埋める解決策の半分だとしたら、残りの半分は、私たちは全員人間であると認識することです。誰もが入手可能な情報をもとにできる限りのベストを尽くしています。不合理に見える行動でも、別の視点から見ればそうすることが当たり前であることもあります。
組織が良好なセキュリティ態勢を維持するためには、どのように攻撃者が変化し、攻撃が進化しているかについて、継続的に説明することが極めて重要です。さまざまな立場の人に、それぞれが使い慣れている言葉や言い回しでサイバーセキュリティについて説明するのは、サイバー攻撃を打ち負かすための解決策の一部です。
サイバーセキュリティの不安がない世界を実現しようとするなら、脅威と防御のギャップを埋めなければなりません。そのために重要なのがコミュニケーションと理解であり、脅威を伝えるだけではなく、意思決定者が直面している制約にも理解を示す必要があります。それと同時に、侵害を阻止し事業を継続させるためにサイバーセキュリティチームが行っている努力を認め、評価しなければなりません。時には、英雄的な行為も行っているのです。
特に休暇期間中はそうで、他の人たちが楽しい時間を過ごせるよう、多くのエンジニアやアナリストがシステムを監視したり、常に待機してシステムを正常に稼働させたりしています。読者の皆様がその立場だとしたら、大切な存在だと思われていることを忘れないでください。
重要な情報
ネットワークトラフィックの送信元と接続先を隠すことは、証拠を隠滅し、行動を追跡されにくくするうえで、攻撃者にとって極めて重要です。従業員による正当な接続と同じ IP 空間からの悪意ある接続は、遠く離れた国からの接続に比べてセキュリティチームの目にとまりにくいものです。同様に、データを小さな塊にして国内の多くの住宅用 IP アドレスに流出させる行為も、単一のアドレスに流出させる場合に比べて警戒される可能性は低いと言えます。
サイバー犯罪者は、消費者向けデバイスや IoT デバイスをこれまで以上に侵害するようになっています。プロキシシステムの広範なネットワークを構築して活動を隠し、乗っ取った IP アドレスのグローバルプールを介して悪意のあるトラフィックをルーティングしているのです。
注意すべき理由
疑われにくいネットワーク経由で悪意のあるトラフィックがルーティングされているので、攻撃の検出と特定が困難になります。侵害を受け、プロキシとして機能させるために利用されたシステムの所有者と運用者は、パフォーマンスの低下や、ネットワークリソースと CPU リソースの不正使用に悩まされています。
必要な対策
まず、パッチの適用を確認します。デフォルトのログイン情報や推測が容易なログイン情報を使用している場合は変更し、問題を極力解消します。ゼロトラストの原則を適用し、アクセス日時を考慮して MFA でユーザーを認証します。接続するデバイスがポリシーに準拠していること、また、会社のシステムへの接続が許可されていることを確認することが重要です。この脅威への対応方法の詳細については、こちらのブログ記事をご覧ください。
今週のセキュリティ関連のトップニュース
ルーマニア大統領選がサイバー攻撃の標的に
ルーマニア大統領選の第 1 回投票が、選挙結果を左右する国外からの攻撃と選挙人データを狙ったサイバー攻撃があったとして、同国の憲法裁判所によって無効とされました。
犯罪者向けのセキュアチャットシステム「Matrix」が法執行機関によって使用停止に
犯罪者に暗号化メッセージ機能を提供するセキュア通信システムの Matrix が法執行機関によりサービスの提供停止を求められ、数百万件のメッセージが捜査のために押収されました。EncroChat、Sky ECC、Ghost など、犯罪者向けの他のメッセージシステムでも同様の成果が上がっており、今回はそれに続くものです。
(情報源:The Register)
指名手配中のロシア人ランサムウェア攻撃者を逮捕
ロシア当局は、複数のランサムウェア攻撃(LockBit、Hive、Babuk)に関わった疑いで米国で指名手配中だった Mikhail Matveev 容疑者を逮捕しました。今回の逮捕がロシアでどのような意味を持つのかはまだ明らかではありませんが、ロシア国内に拠点を置くサイバー犯罪者の行為に対する当局の寛容さにも限度があるということになります。
(情報源:SecurityWeek)
Talos についての関連情報
Talos が参加予定のイベント
Cisco Live EMEA(2025 年 2 月 9 日~ 14 日)
アムステルダム(オランダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Bitmin-9847045-0
SHA256:3294df8e416f72225ab1ccf0ed0390134604bc747d60c36fbb8270f96732e341
MD5:b6bc3353a164b35f5b815fc1c429eaab
VirusTotal:
https://www.virustotal.com/gui/file/3294df8e416f72225ab1ccf0ed0390134604bc747d60c36fbb8270f96732e341
一般的なファイル名:b6bc3353a164b35f5b815fc1c429eaab.msi
偽装名:なし
検出名:Simple_Custom_Detection
SHA256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名:img001.exe
偽装名:なし
検出名:Win.Trojan.Miner-9835871-0
SHA256:3a2ea65faefdc64d83dd4c06ef617d6ac683f781c093008c8996277732d9bd66
MD5:8b84d61bf3ffec822e2daf4a3665308c
一般的なファイル名:RemComSvc.exe
偽装名:なし
検出名:W32.3A2EA65FAE-95.SBX.TG
本稿は 2024 年 12 月 12 日にTalos Group
Authors