今週も脅威情報ニュースレターをお届けします。
今さら言うまでもないことですが、セキュリティの状況は絶えず変化していて、さらなる変化も待ち構えています。新しい AI システムの導入が勢いを増すのに伴い、サイバーセキュリティチームへの要求も必然的に高まると思われます。AI システムを導入したら、現行システムにとっての脅威ばかりでなく、AI モデルを標的とする新たなタイプの脅威からも保護する必要が生じるからです。AI モデルを不正に操作して運用者の利益に反するような働きをさせることを狙った攻撃は、今後ますます効力が増して、攻撃者に資するところも大きくなるでしょう。
幸いな点は、AI を活用したセキュリティシステムが、攻撃からの保護、侵入の検知、影響を受けたシステムの修復の指揮に役立つと期待できることです。しかし、最終的な結果には引き続き人間が関与することになりますし、投資を行うのもやはり人間であるという事実を忘れてはいけません。AI を活用した未来において、システムのセキュリティに責任を負うのは CISO になるでしょう。また、多くのアナリストが、今後発生する攻撃を予測して防ぐとともに、システムの正常な運用を維持する業務に従事することになるはずです。
遠い未来における攻撃の性質を予測することはできなくても、そうした攻撃に対抗するうえで必要となるスキルをいくつか予測することはできます。脅威インテリジェンスは、将来のセキュリティ専門家が身につけるべき必須のスキルです。対峙する攻撃者の目的を理解できるようになるだけでなく、目的に関連付けて攻撃の状況を分析できるようになります。この理解力を武器にできれば、セキュリティチームは、攻撃に対して最適な防御体制をとるために、どのようにリソースを割り当て、優先順位を付けるかについて、より適切な判断を下せるようになるはずです。
将来のサイバーセキュリティ専門家に必要な脅威インテリジェンススキルの育成は、今このときから始まっています。職に就いて間もない人や未就業の学生を育成することは、将来の脅威からの回復力を育む最善の投資の 1 つになります。
将来のアナリストのスキルアップの一助となるよう、Cisco Networking Academy との協力のもと、同僚たちと共に脅威インテリジェンスの入門コース
を開発しました。予備知識のない方向けに脅威インテリジェンスの概要を説明していますので、さらなる学習や就業に向けた第一歩としてご活用いただけます。登録さえしていただけば、どなたでも無料で受講できます。
また、2 月 9 日(日)の Cisco Live EMEA で、サイバーセキュリティ戦略の一環として脅威インテリジェンスプログラムの開発を検討している方々を対象に、テクニカルセミナーを開催します。「Establishing a Threat Intelligence Program, Why its Necessary, What to Expect and How to Go about it [TECSEC-2003]」と題したセッションで、経営陣が攻撃者への対抗手段の 1 つとして脅威インテリジェンスチームを立ち上げる方法と、どのような成果が期待できるかについて説明します。
重要な情報
Talos は最近のブログ記事で、スパムメールで使用されているある手口を取り上げました。これは、AI システムに対する将来の脅威の性質を示唆するものです。受信者に表示されるコンテンツの性質をスパム対策システムから隠す手口は、新しいものではありません。隠しテキストを仕込んだりフォーマット規則を利用したりして実際のメッセージを隠し、スパム対策分析機能による検出を回避するというものであり、スパム送信者が数十年にわたって用いてきた手口ですが、2024 年後半は、こうした手口の使用が増加しています。
注意すべき理由
パーサーは、コンピュータがテキストの内容を理解するために必要なプログラムですが、人間とはまったく違う形でコンテンツを認識します。人間の目では、極小文字は無視されますし、黒い背景上の黒い文字は認識できませんが、パーサーは必ずしもそうではありません。人間の目には読みやすく見えるテキストでも、パーサーにはスパム送信者がパーサーを混乱させるために仕込んだ意味不明の文字列が見えている場合があります。逆もまた然りで、人間には意味不明に見える文字列が、言語解析ソフトウェアにとっては読みやすいテキストのように見えている場合もあります。
つまり、機械による分析や人間の監視の目からコンテンツを隠せるということです。私たちの暮らしにおける AI システムの重要性が高まるにつれ、この手口は AI システムを標的とする攻撃手法としてますます有効なものになっていくと思われます。
必要な対策
幸い、この種の難読化を検出する技術はよく知られており、Cisco Secure Email Threat Defense などのスパム検出システムにもすでに搭載されています。逆に言えば、コンテンツをこの手口で難読化しようとした痕跡があれば、そのメッセージは悪意のあるものであり、明らかにスパムとして分類してよいということになります。
今週のセキュリティ関連のトップニュース
バルト海の海底通信ケーブルが切断される事件が再び発生(情報源:CNN)。組織は、大規模な通信障害が発生したり、インターネット帯域幅が制限されたりした場合にビジネスにどのような影響が出るかを考慮し、計画を立てておく必要があります。
ロシアの軍参謀本部情報総局(GRU)の将校 3 名が制裁の対象に(情報源:SecurityAffairs)。2020 年にエストニアに対してサイバー攻撃を行った疑いがもたれています。身元を隠蔽しようとする可能性がありますが、最終的には明らかにされ、犯罪行為の責任を問われることになるでしょう。
史上最大規模の DDoS 攻撃の裏に、感染した IoT デバイスで構成されたボットネットが存在(情報源:Help Net Security)。サイバーセキュリティ戦略において、小規模なネットワーク接続デバイスは見落とされがちですが、攻撃者による侵害を受けて悪用される可能性があります。
Talos 関連の情報
本日、Cisco Talos の四半期動向レポートをリリースしました。2024 年 10 月~ 12 月に対応したインシデントを取り上げています。注目すべき点として、脆弱な Web アプリケーションを狙って Web シェルを展開する手口がますます増えています。脆弱性があるかパッチ未適用の公開アプリケーションを主なエクスプロイト対象として初期アクセスを獲得しようとするものです。これは、前四半期までの状況からの大きな変化です。
Hazel、Joe、Craig がこのレポートについて詳しく説明している動画もありますので、ぜひご視聴ください。Web シェルの追跡、Interlock ランサムウェア、ランサムウェア攻撃におけるリモートアクセスツールの使用の増加について取り上げています。
Talos が参加予定のイベント
Talos チームメンバーの Martin Lee、Thorsten Rosendahl、Yuri Kramarz、Giannis Tziakouris、Vanja Svajcer が、Cisco Live EMEA で講演します。開催場所はアムステルダム(オランダ)、開催期間は 2 月 9 日~ 14 日です(Cisco Live EMEA)。
今週最も多く見られたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名: VID001.exe
検出名: Simple_Custom_DetectionClaimed Product:
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal: https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
一般的なファイル名: VID001.exe
偽装名:なし
検出名Coinminer:MBT.26mw.in14.Talos
SHA 256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
本稿は 2025 年 1 月 30 日にTalos Group
Authors