今週も脅威情報ニュースレターをお届けします。
「明日、また明日、そしてまた明日と、時は小刻みな足取りで 1 日 1 日を歩み、ついには歴史の最後の一瞬にたどりつく」- シェイクスピア『マクベス』
「だが、今日は気分がすぐれず、頭も働かず、何もかもが嫌になっている。人生とは、ただ失敗を重ねるためにあるようなものだ」- チャールズ・ダーウィンがチャールズ・ライエルに宛てた手紙
「また別の日に、別のペンの箱が盗まれる」- ホーマー・シンプソン
単調な作業を難なくこなせる人もいれば、苛立ちを抑えきれない人もいます。情報セキュリティの世界でも、野球の世界でも、単調さを克服する能力が最も重要です。「とても優れている」というレベルではなく、「偉大である」というレベルに到達するには、周囲が想像もできないような努力が必要です。
鈴木一朗(イチロー)氏は、野球史に名を残す偉大な選手のひとりであり、並外れた打者でした。毎日献身的に素振りの練習を行い、左打者であったにもかかわらず、右打ちも練習に取り入れ、合わせて何百回もバットを振っていました。バランスをとるためだけに、右打ちの練習もしていたのです。イチロー氏は、視点を変えると長所を伸ばせることを理解していました。
サイバーセキュリティの世界では、環境寄生型バイナリ(LoLBin)を追跡し防御する能力が、殿堂入りを果たせるほどの、単調さを克服する能力にあたります。サイバー犯罪者や国家支援の攻撃者は、信頼された通常のトラフィックのノイズに隠れながら、あらゆるプラットフォームで組み込みのツールを悪用します。有効なログイン情報が使用されることが多いのですが、一度ログインされてしまうと、その活動を検出して阻止するのが一層困難になり、単調なゲームをしているかのようになります。アナリストになったばかりであれば、なおさら退屈に感じるでしょう。
視点を変えて、異なるソースから相関付けされたデータを見る時間を毎日作りましょう。普段、特定のデバイスの偵察活動を監視しているとしたら、セキュリティ保護がかかっていないデバイスで攻撃者がたどった経路を追跡し、詳細に把握することに少し時間を割いてみるのです。
イチロー氏が単調な作業を通して自分のスイングを極めたように、最終的には、自分の環境を把握することが重要です。いつも同じ視点でバットを振り続けるのではなく、学びの時間を設けて、複数の視点から見極められるようにするのです。何もかもがうまくいかないときは、一旦その場所を離れて深呼吸してから、またバッターボックスに戻ってさらに 500 回素振りします。そうすれば、打率 3 割台のバッターになれるはずです。
さて、唆すわけではないのですが、今日の単調な作業を後回しにして、Talos が何をしているかや、最新のサイバー攻撃からどのように組織を守っているかを知りたくはないでしょうか。こちらに掲載している新しいアニメーションビデオをぜひご覧ください。脅威ハンティング、検出方法の構築、脆弱性の発見、インシデント対応など、Talos は毎日インターネットをより安全な空間にするために取り組んでいます。
重要な情報
Cisco Talos は、台湾の重要インフラ組織を標的にする UAT-5918 についてのリサーチをまとめたブログを公開しました。UAT-5918 の侵害後の活動内容、戦術、手法、手順(TTP)、被害状況には、Volt Typhoon、Flax Typhoon、Earth Estries、Dalbit による、Talos が確認した過去の侵入事例との共通点が多々あります。
注意すべき理由
明確な目的を持った能力の高い攻撃者の行動を理解することが、防御の核心です。攻撃者は、ネットワークを偵察し、侵害した企業内を移動するために、さまざまなオープンソースのツールを使用します。これは UAT-5918 にも見られることです。UAT-5918 の侵入事例では、ログイン情報を収集してローカルレベルとドメインレベルのユーザーログイン情報を取得します。また、新しい管理者ユーザーアカウントを作成して、攻撃者にとって重要なエンドポイントへの追加のアクセスチャネル(RDP など)を確立します。
UAT-5918 が使用する典型的なツールには、FRPC、FScan、In-Swor、Earthworm、Neo-reGeorg などのネットワークツールがあります。レジストリハイブや NTDS をダンプし、Mimikatz やブラウザログイン情報抽出プログラムなどのツールを使用することで、UAT-5918 はログイン情報を収集します。収集されたログイン情報は、RDP、WMIC(PowerShell リモート処理)、Impacket を使用したラテラルムーブメントの実行に使用されます。
必要な対策
ブログ記事に掲載している、攻撃に関連する IOC を使用して、自社環境への侵入の証拠を調査します。この調査を通じて、ネットワーク上のシステムを可視化できているかどうか、また、プラットフォームやデータセット全体で、既知の悪意のある IOC を検索できるかを確かめてください。
今週のセキュリティ関連のトップニュース
新たな ChatGPT 攻撃:ChatGPT の欠陥が積極的に悪用されています。ユーザーを、人工知能(AI)チャットボット アプリケーションから悪意のある URL にリダイレクトする手口です。単一の不正な IP アドレスから 1 週間で 10,000 回以上のエクスプロイト試行が確認されました(情報源:DarkReading
)。
尋常ではないスパム攻撃:生成 AI を使用するスパマーが、気味の悪い動画を使ってソーシャルメディアや検索アルゴリズムに対するブルートフォース攻撃を仕掛けており、拡散されています(情報源:404 media)。
Windows のゼロデイ脆弱性:Microsoft Windows に影響を与える、パッチ未適用のセキュリティ上の弱点が、2017 年から続くデータ窃取、スパイ活動、金銭目的の攻撃の一環として、中国、イラン、北朝鮮、ロシアの 11 の国家支援グループにエクスプロイトされてきました(情報源:The Hacker News)。
Talos についての関連情報
Talos が参加予定のイベント
Amsterdam 2025 FIRST Technical Colloquium Amsterdam(2025 年 3 月 25 日~ 27 日)アムステルダム(オランダ)
RSA(2025 年 4 月 28 日~ 5 月 1 日)カリフォルニア州サンフランシスコ
CTA TIPS 2025(2025 年 5 月 14 日~ 15 日)バージニア州アーリントン
Cisco Live U.S. (2025 年 6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5:ff1b6bb151cf9f671c929a4cbdb64d86
VirusTotal:https://www.virustotal.com/gui/file/7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
一般的なファイル名:endpoint.query
偽装名:Endpoint-Collector
検出名:W32.File.MalParent
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details%C2%A0
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
検出名:Simple_Custom_Detection
本稿は 2025 年 3 月 20 日にTalos Group
Authors