Cisco Japan Blog / 脅威リサーチ / 共有する情報にはぜひご注意を

今週も脅威情報ニュースレターをお届けします。

日々のルーチンをこなしていく中で、特にそれが仕事の一部となっている作業であれば、意識しなくても自然にできるようになることがあります。しかし、自分にとっては当たり前のことでも、他の人にとっては馴染みのないものである場合があります。この違いは、熟練した音楽家が複雑なメロディーを難なく演奏する一方で、楽器演奏を学んだことのない人が別の方法で音楽を愛でるのと似ています。どちらも音楽を楽しんでいるかもしれませんが、体験の仕方が異なるのです。

最近、オンラインでのやり取り、特に検索エンジンとの関わり方において、こうした違いについて考えるようになりました。検索エンジンが購買行動に影響を与えようとしたり、AI を使って検索結果を「強化」しようとしたりすることに、不満が募っています。皆さんも経験されているように、たいていは的外れです。以前、義父のために何かを検索していたら、その後何週間も、私にまったく関係のない広告ばかりが表示されるようになりました。

検索エンジンを使う場合、知識のやり取りが決して一方的ではないという点をつい見落としがちです。インデックスされたコンテンツから知識を得ているのはユーザーだけではありません。検索エンジンもユーザーの行動や嗜好に関する詳細なインサイトを得ています。気づかないうちに機密情報を共有してしまい、その情報が長期間保存されたり、広告などの目的で第三者と共有されたりする可能性があります。私はプライバシー重視の検索エンジンに切り替えることでこの問題を回避しようとしましたが、インデックスが小さかったり、インデックスが異なっていたり、母国語では検索結果が出てこなかったりして、満足のいく体験にはなりませんでした。

幸いなことに、SearXNG というオープンソースプロジェクトに出会いました。これは「最大 229 の検索サービスから検索結果を集約する無料のインターネットメタ検索エンジンであり、ユーザーは追跡もプロファイリングもされません」。

この検索エンジンを気に入っている理由は 3 つあります。

1. 本格的に使用する前に、公開インスタンスの 1 つを試してみて、自分に合っているかどうかを確認できます。
2. ベアメタルや Docker、LXC 上でセルフホスティングできるため、データ管理の自由度が高まります。
3. Opensearch を使用することで、既存のブラウザとシームレスに統合できます。

慣れるまで数日かかりましたが、今では本当に気に入っています。完璧ではありませんが、本当に時間の節約になります。そのうえ、高度な検索構文も覚えやすいのが魅力です。

• 特定の言語で検索するには「:en」、「:de」または「:fr」を使用
• 特定のカテゴリだけを検索するには「!social_media」または「!news」を使用

クエリを処理する AI や大規模言語モデル（LLM）が増加している現状にも、同じ原則が当てはまります。つまり、AI や LLM もユーザーに関する情報を集めているのです。GitHub には Perplexica のような、AI 支援型検索のギャップを埋めることを目指す取り組みがあるようですが、私はまだ詳しく調べていません。さらに、単純な検索にとどまらず、LLM に人生の意味について尋ねるなど、より深い問いかけにまで及ぶ場合は、まずそのエンジンやその背後にある企業の信頼性を評価するのが賢明です。共有する情報にはぜひご注意を。

重要な情報

現在、Talos のレポート 2024 年版『一年の総括』について、各セクションの内容を詳細に掘り下げながら解説を進めています。今週はランサムウェアについて考察します。

注意すべき理由

2024 年は、ランサムウェア攻撃グループが有効なアカウントを使用して初期アクセスを取得する事例が圧倒的に多かった年であり、関連する事例の約 70% でこの手口が確認されました。

ランサムウェア攻撃グループは全体の約 20% で、外部公開されたアプリケーションをエクスプロイトしていました。2024 年の「悪用が確認された脆弱性カタログ」には、2012 年から 2024 年（2015 年を除く）までの 186 件の脆弱性のうち、28 件が「ランサムウェア攻撃で使用されたことが判明している」脆弱性として CVE ID とともに掲載されています。

必要な対策

これらは重大なリスクですが、基本的なサイバー対策を徹底することで軽減できます。ソフトウェアをアップデートし、パッチを適用し、ログイン情報を保護してください。来週は、多要素認証（MFA）とアイデンティティ脅威について、そして MFA を有効にするだけでは不十分な理由についてご説明します。

今週のセキュリティ関連のトップニュース

• OpenAI、安全性テストを短縮するという「無謀な」AI の推進へ。記事によると、テスト期間が 6 ヵ月から数日に短縮されたとのことです。どんなモデルでも、6 ヵ月かけてテストを重ねても完璧にはならないことは周知の事実です（情報源：MSN）。そしてさらに問題を複雑にしているのが、以下のことです。
• AI が勝手に作り出したコードの依存関係が、新たなサプライチェーンリスクに。「スロップスクワッティング」（タイポスクワッティングの派生語）が注目を集めています。攻撃者は、AI モデルが生成する実在しないパッケージ名を確認し、その名前を付けた悪意のあるパッケージを PyPI や npm にアップロードできます（情報源：BleepingComputer）。
• Windows Recall が再復活か。プライバシー関連のニュースです。記憶が正しければ、Microsoft は昨年 5 月に Recall を導入しました。これはスクリーンショットを常時撮影し、インデックスを付けて検索可能にする機能です。コミュニティからの激しい反発を受け、また TotalRecall のようなツールが開発されたこともあり、Microsoft は昨年 6 月にリリースを一時停止していました（情報源：BleepingComputer）。
• 25 年の歴史を持つ CVE プログラムが危機に直面。MITRE は 4 月 15 日、Common Vulnerabilities and Exposures（CVE）プログラムの保守契約が 4 月 16 日に期限切れになると警告しました。これは大きな出来事でした。第 1 四半期だけでも、約 11,781 件の脆弱性がデータベースに追加されました（うち 415 件は却下）。もし停止していたら、問題が多発していたでしょう（情報源：Krebs on Security）。しかし、サイバーセキュリティ インフラストラクチャ セキュリティ庁（CISA）は、MITRE との契約を延長したと発表しました。複数の情報筋によると、契約期間は 11 ヵ月延長されたとのことです。

Talos についての関連情報

• 新たな XorDDoS コントローラとインフラストラクチャの正体を解明。Cisco Talos は、米国を主な標的とした XorDDoS マルウェアが世界的に拡散していることを確認しました。中国語を話す攻撃者が高度なツールを使用して広範囲にわたる攻撃を仕掛けていることを示唆する証拠が見つかっています。
• Talos Takes：一年の総括スペシャル版（パート 2）。Azim Khodjibaev、Lexi DiScola、Hazel の 3 人が、最も活動的なランサムウェアグループについて（そして LockBit が 2024 年とは全く違う形で今年を終える可能性がある理由について）話し合っています。

Talos が参加予定のイベント

• RSA（4 月 28 日～ 5 月 1 日）カリフォルニア州サンフランシスコ
• PIVOTcon（5 月 7 日～ 9 日）スペイン、マラガ
• CTA TIPS 2025（5 月 14 日～ 15 日）バージニア州アーリントン
• Cisco Connect UK & Ireland（5 月 20 日）英国、ロンドン
• Cisco Live U.S. （6 月 8 日～ 12 日）カリフォルニア州サンディエゴ

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507 
MD5：2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal：https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名：VID001.exe
検出名：Win.Worm.Bitmin-9847045-0

SHA 256：2e964c017df8b7d56600a5d68018f9f810a1c7dd3da800b5b5dfe85e9ce6b385 
MD5：01b521c78f5bbdaba0cc221bc893e2b8
VirusTotal：https://www.virustotal.com/gui/file/2e964c017df8b7d56600a5d68018f9f810a1c7dd3da800b5b5dfe85e9ce6b385
一般的なファイル名：toyboy.exe
検出名：Gen:Variant.Tedy.758566

SHA 256：2462569cf24a5a1e313390fa3c52ed05c7f36ef759c4c8f5194348deca022277 
MD5：42c016ce22ab7360fb7bc7def3a17b04
VirusTotal：https://www.virustotal.com/gui/file/2462569cf24a5a1e313390fa3c52ed05c7f36ef759c4c8f5194348deca022277
一般的なファイル名：Rainmeter-4.5.22.exe
検出名：Artemis!Trojan

SHA 256： a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91   
MD5：7bdbd180c081fa63ca94f9c22c457376
VirusTotal：https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名：IMG001.exe
検出名：Win.Trojan.Miner-9835871-0

本稿は 2025 年 4 月 17 日にTalos Group のブログに投稿された「Care what you share」の抄訳です。

Authors

TALOS Japan