Cisco Japan Blog

Cisco Japan Blog / 脅威リサーチ / いつまでも同じやり方を続ける必要があるのか?

2025年1月17日 Leave a Comment
脅威リサーチ

いつまでも同じやり方を続ける必要があるのか?

1 min read



2025 年最初の脅威情報ニュースレターをお届けします。

リンツのチョコレートを食べ過ぎてしまった休暇が終わり、今週から仕事が始まりました。仕事始めに執筆したのがこのニュースレターです。真っ白なテンプレートを前にインスピレーションが舞い降りてこないかと願っていたのですが、セキュリティの専門家なら年始に(実際には年中いつでも)必ずやるであろうことをしました。ウェンディ・ネイサーの講演を視聴したのです。

セキュリティ業界の殿堂入りを果たしたウェンディが BSides NYC で基調講演を行い、その動画がちょうど公開されたpopup_iconのです。講演のテーマは「いつになったらイージーモードでプレイできるようになるのか?」です。つまり、セキュリティはなぜいまだにこれほど難しいのかという話でした。

ウェンディは、2005 年の InfoSec Research Council の「難しい問題」のリストを紹介していました。以下の中で、どれか見覚えのあるものがあるでしょうか?

  • グローバル規模のアイデンティティ管理
  • 組織内に潜む脅威
  • 時間の要件が厳しいシステムの可用性
  • 拡張性のある安全なシステムの構築
  • 攻撃元の特定と状況の把握
  • 情報の出所と履歴の追跡
  • プライバシーを考慮したセキュリティ
  • 企業レベルのセキュリティ指標

2025 年に私たちが直面する最も困難な課題が 20 年前と同じものだとしたら、どんな希望があるというのでしょうか。

むしろ、セキュリティは当時よりも複雑になっているため、対応はさらに困難になっています。サプライチェーン、窃取されたログイン情報の売買、共有インフラストラクチャなどが要因で、侵害による影響は拡大しているともウェンディは指摘しました。

2025 年を気が滅入るような話題で始めてしまい恐縮です。

ですが、今年はもう少しイージーにセキュリティに取り組んでもよいのではないでしょうか。また、しばらく試してきたことがうまくいかず、フラストレーションがたまるだけなら、別のアプローチを考えてみるのもありかもしれません。

別のやり方もあるとしてウェンディが取り上げた例の 1 つが、ユーザー意識向上トレーニングです。基調講演で述べられていたように、誰かにリンクをクリックさせるのは簡単です(これを読んでいる攻撃者には悪いのですが、フィッシング詐欺で攻撃者が行っていることは大したことではありません)。

1,000 人にリンクを「クリックしない」ようにさせるほうが、はるかに難しいのです。ウェンディが以前勤めていた企業では、サイバーセキュリティ意識向上トレーニングに参加した人のほうが、悪意のあるリンクをクリックする確率が高かったとのことです。参加者はセキュリティチームを本当に助けたいと思い、自分のパスワードの強度をテストしてほしいというメールでの依頼に喜んで応じたのです。

そこで、防御する側のソーシャルエンジニアリングが役立ちます。「誠実に向き合えば、人は最大の資産になる」ということです。

現在、「2025 年をどう乗り越えるか」という投稿がたくさん見受けられます。まだその準備ができていない人や、疲弊しきっている人には、私も同じ気持ちだとお伝えしたいです。ただ、「新年になってもどうせ問題は同じ」と感じているなら、今年こそその状況を変えるために選べることが 1 つあるかもしれません。

ウェンディの基調講演popup_iconには、知識の共有の仕方、採用の方法、複雑さへの対応など、防御担当者がどういった点を変更または改善すればよいのかについて多くのインサイトが含まれています。また、ウェンディが委員を務める米国科学アカデミーの「サイバーセキュリティの難問」に関するレポートが近日発表予定なので、読むのを楽しみにしているところです。

基調講演の全編をぜひご覧ください。ウェンディがちょっと脅かしながら実際にハンマーを振りかざしているシーンpopup_iconを見るためだけでも十分価値があります。

重要な情報

既知の脆弱なドライバを意図的にインストールし、時間をおいてエクスプロイトする手法は、Bring Your Own Vulnerable Driver(BYOVD)と呼ばれています。

Cisco Talos は最近、BYOVD 手法の実際の応用に関する調査結果を発表しました。使用された 3 つの主要なペイロードと、ランサムウェアグループに関連する最近の活動が明らかになっています。

注意すべき理由

脆弱なドライバをエクスプロイトするツールが普及したことで、高度な攻撃者の領域から、ランサムウェアを主とする一般的な脅威の領域へとエクスプロイトが移行しました。攻撃者は、改ざんされたドライバを使用して、特権昇格、未署名の悪意のあるコードの展開、さらには EDR ツールの停止など、攻撃目的を達成するための数々のアクションを実行します。

必要な対策

リスクを軽減し、BYOVD 手法を使用した潜在的な攻撃を検出するためにできることがいくつかあります。 具体的には、拡張検証(EV)証明書で署名され、Windows Hardware Quality Labs(WHQL)認定を受けたドライバにのみアクセスを許可するポリシーを適用して、レガシードライバに関連するリスクを防止することが考えられます。すべてのレガシードライバをブロックすることが不可能な場合は、Windows Defender Application Control(Windows セキュリティ)ドライバブロックリストを導入して、既知の脆弱なドライバの実行を阻止するとよいでしょう。詳しくは、Talos のブログをご確認ください。

今週のセキュリティ関連のトップニュース

  • 財務省以外の米政府機関が広範にハッキングされた形跡は「確認されていない」と CISA が発表。12 月に、同省が「重大なインシデント」の標的になったことが明らかになったのを受けてのことです。(情報源:TechCrunchpopup_icon
  • FireScam Android スパイウェア攻撃で、Telegram Premium アプリケーションを装って情報窃取マルウェアを配布。日常的なアプリケーションが悪用される事例が増えている典型的な例だと研究者らは指摘しています。(情報源:Dark Readingpopup_icon
  • Meduza スティーラーの分析:その手法と攻撃ベクトルの詳細。(情報源:Splunk 脅威リサーチpopup_icon

Talos についての関連情報

  • 『Talos Takes』が動画形式になりました。最新のディスカッションpopup_iconでは、ランサムウェアが初めて登場してから 35 年以上にわたり遂げてきた大きな変化や変遷について取り上げられています。どうぞご覧ください。

Talos が参加予定のイベント

Cisco Live EMEApopup_icon(2025 年 2 月 9 日~ 14 日)

アムステルダム(オランダ)

今週最も多く見られたマルウェアファイル

SHA 256
9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5 2915b3f8b703eb744fc54c81f4a9c67f

VirusTotalhttps://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507popup_icon
一般的なファイル名: VID001.exe
検出名: Simple_Custom_Detection

SHA 256
7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5 ff1b6bb151cf9f671c929a4cbdb64d86

VirusTotalhttps://www.virustotal.com/gui/file/7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5popup_icon
一般的なファイル名: endpoint.query
偽装名: Endpoint-Collector
検出名: W32.File.MalParent

SHA 256 a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376

VirusTotalhttps://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details%C2%A0popup_icon
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991

SHA 25647ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5: 71fea034b422e4a17ebb06022532fdde

VirusTotalhttps://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8capopup_icon
一般的なファイル名: VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos

SHA256873ee789a177e59e7f82d3030896b1efdebe468c2dfa02e41ef94978aadf006f
MD5: d86808f6e519b5ce79b83b99dfb9294d

VirusTotalhttps://www.virustotal.com/gui/file/873ee789a177e59e7f82d3030896b1efdebe468c2dfa02e41ef94978aadf006fpopup_icon
一般的なファイル名:なし
偽装名:なし
検出名: Win32.Trojan-Stealer.Petef.FPSKK8

 

本稿は 2025 年 1 月 09 日にTalos Grouppopup_icon のブログに投稿された「Do we still have to keep doing it like this?popup_icon」の抄訳です。

 

 

Authors

Avatar

TALOS Japan

コメントを書く