今週も脅威情報ニュースレターをお届けします。
読者の皆さま、お久しぶりです。今回のニュースレターは、私 Joe が担当します。凍てつく寒さの米北部ノースダコタ州ファーゴから戻ってきたばかりです。極寒の地である米国中西部を実際に訪れたのは初めてでしたが、桁違いの寒さでした。今回、ノースダコタ州立大学(同大学のアメリカンフットボールのチーム、バイソンズには頑張ってもらいたいところです)主催の第 32 回 Crop Insurance Conference(農作物保険カンファレンス)に招待いただき、サイバーセキュリティについて講演してきました。
このようなニッチな業界で、なぜサイバーセキュリティの話をするのかと思われるかもしれませんが、それに対する答えは単純です。一見関係なさそうに思えることであっても、あらゆるものはセキュリティと切り離せないのです。農業とその周辺産業は、米国の GDP の約 6 パーセント、米国の全雇用の約 10 パーセントを占めています。農業が生み出す何兆ドルもの資金が、サイバー犯罪を企む攻撃者や、米国農業の弱体化を狙う国家に狙われています。
また、農業のコミュニティや業界には、サイバーセキュリティに関するサービスが十分に行き届いていません。これは、一般的なセキュリティリテラシーの面でも、セキュリティ投資の面でも言えることです。ですから私は、農業のような最も脆弱な産業を食い物にしようとする攻撃者に立ち向かう人たちには特別な思いを持っています。私が知識を共有することでそうした人たちやその事業の安全性が高められるのであれば、やりがいがあるというものです。
ここでちょっとしたアドバイスを。もしカンファレンスで講演することになったら、登壇後も残って他の人の講演を聞くとよいでしょう。セキュリティに関するカンファレンスはもちろん、非常にニッチなカンファレンスや、業界に特化したカンファレンスであれば、なおさらのことです。私は農家でも農業関係者でもありませんが、ノースダコタでは多くのことを学びました。ですから、他の人の講演も最後まで聞くことをおすすめします。サイバーセキュリティと関係がない話であればあるほど勉強になります。この業界には、マルウェア分析や攻撃者のクラスタ追跡、インシデント対応とは異なる、さまざまなテーマがあります。たとえば今回のカンファレンスでは、農業に影響を与える気候変動、貿易関税、農学、保険について学ぶことができました。そうした知識が、いつかサイバーセキュリティの研究に役立つかもしれません。好奇心を持ち続け、いつまでも学生の心を忘れず、学び続けたいものです。
重要な情報
「Good luck, I’m behind seven proxies(7 つのプロキシを越えて追って来い。幸運を祈る)」という古いインターネットミームを覚えているでしょうか。こちらの Talos のブログ記事で取り上げていますが、いまだにプロキシが悪用されています。プロキシチェーンについては、Talos はずっと前から注目してきました。注目し始めたのは VPNFilter と同じくらい前のことになるので、2018 年まで遡ります。匿名性確保を何より重視するならば、プロキシチェーンを使用するのは賢い方法です。TOR をはじめとするプロキシソリューションの脆弱性によって攻撃が露呈するリスクがあることから、こうしたソリューションはますます巧妙なものへと進化してきました。今や、匿名性確保のための一般的な VPN サービスとはかけ離れた存在になっています。プロキシを使っている場合、ネットワーク防御者は、ネットワークに対する悪意のある接続を判別しようとする際に、フォレンジック的にどうにもならない状況に追い込まれかねません。
注意すべき理由
プロキシの悪用は、ネットワーク防御者にとって常に悩みの種です。攻撃を仕掛けるために、攻撃者はあらゆる種類のプロキシサービスを使用し、悪用します。これは分かり切ったことです。しかし、従業員が利用している接続も悪用されてしまうと厄介なことになります。ブログ記事にも書かれているとおり、「どこからでも攻撃され得ること、さらには、従業員が VPN に接続する IP 空間も攻撃の発生元になる可能性を認識したうえで、計画を立てる必要があります」。
必要な対策
追加のセキュリティ対策を講じ、フォレンジックデータを利用することが必須となります。ID とアクセス管理は、モバイルデバイス管理やアプリケーション ソリューションと組み合わせることが重要です。エコシステムをできる限り制御するようにしましょう。費用はそれなりにかかりますが、MFA を導入してうまくいくように願っているよりは、確実に対策を強化できます。
今週のセキュリティ関連のトップニュース
- 衝撃ニュース:Mirai が 5.6Tbps の大規模な DDoS 攻撃を展開し、大変な事態に。これまで記録されている中で最大規模の攻撃となりました。(情報源:Hacker News
) - 医療データ漏洩に関する厳しい統計が発表。「2009 年から 2023 年にかけて、公民権局(OCR)には医療データ漏洩(500 件以上の医療記録漏洩)が 5,887 件報告されました。その結果、519,935,970 件に及ぶ医療記録の漏洩または許されざる開示につながりました。この件数は、米国の人口の 1.5 倍以上に相当します」(情報源:HIPAA Journal)
- サイバー攻撃による企業の倒産が増加の一途。そのほとんどが中小企業であり、Talos が目にしている状況と完全に合致しています。ランサムウェア集団は、中小企業を非常に好んで標的にします。サイバー保険が救いとなるかもしれません。(情報源:Bloomberg Law)
Talos についての関連情報
- 同僚の Martin Lee が、脅威インテリジェンス入門に関して素晴らしい Net Academy シリーズを担当しました。NetAcad 会員の方は、ぜひご視聴ください。会員でない方は、ぜひご登録を。無料です。
- 私は今も Talos のポッドキャストに出演しています。前回に引き続き、これまでになくふざけた内容になっています。クロスワードパズルと、ポーリー・ショアが悪評を被っている理由について同僚たちと語っていますので、ぜひお聞きください。
Talos が参加予定のイベント
Cisco Live EMEA(2025 年 2 月 9 日~ 14 日)
アムステルダム(オランダ)
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256: 7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5: ff1b6bb151cf9f671c929a4cbdb64d86
VirusTotal:https://www.virustotal.com/gui/file/7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
一般的なファイル名: endpoint.query
偽装名:Endpoint-Collector
検出名: W32.File.MalParent
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名: VID001.exe
検出名: Simple_Custom_Detection
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Coinminer:MBT.26mw.in14.Talos
SHA 256: a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5: 7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details%C2%A0
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名: Trojan.GenericKD.33515991
本稿は 2025 年 1 月 23 日にTalos Group
Authors