今週も脅威情報ニュースレターをお届けします。
「決めつけずに、好奇心を持て」。これは、ドラマの主人公テッド・ラッソが詩人ウォルト・ホイットマンの言葉として引用するセリフですが、実際はホイットマンの言葉ではありません。でも、目くじらを立てるようなことではないでしょう。テッド・ラッソなんですから。
『テッド・ラッソ』のシーズン 1 を観ていない方のために説明すると、横柄な態度で自分を見下す人物にテッドが立ち向かう印象的なシーンがあります。やんわりと相手をうまく諭しながら、テッドはこの言葉を引用します。テッド自身だけでなく、その場にいる他の登場人物たちにとっても重要な場面です。私が公の場でよく聞かれる質問の 1 つに、「どうすれば Talos に入れますか?」というものがあります。新たなキャリアを考えている人であれば、「どうすればサイバーセキュリティ業界に転職できるのでしょうか?」という問いになるでしょう。こうした質問すべてに対する私の答えは、「決めつけずに、好奇心を持ちましょう」です。
セキュリティ分野において、知的好奇心よりも大切なスキルはないと考えています。それさえあれば、他のことは学べるからです。Talos に入るための採用プロセスは非常に厳しく、応募してくる人たちも優秀な方ばかりです。だからこそ、私が Talos でいろいろな職種の採用候補者と面接をするとき、専門分野のスキルセットに固執することはほとんどありません。代わりに重視するのは、その人の知的好奇心です。具体的な職務とは関係なさそうな、ちょっと変わった質問をするようにしています。それは相手を困惑させたいからではなく、単に私自身が好奇心旺盛で、相手にもそうであってほしいからです。
読書は好きですか?普段読まない専門分野の本を読むことはありますか?どんなフィクションやノンフィクションがお気に入りですか?好きな手工芸や趣味はありますか?何種類くらいの Linux ディストリビューションをインストールしたことがありますか?お気に入りのボードゲームを 5 つ挙げてください。ゲームはしますか?それぞれのプラットフォームや年代ごとに好きなゲームをいくつか教えてください。
こういった質問をすると、採用候補者が生まれつきどんな好奇心を持っているかが見えてきます。そして、答えを聞いているうちに話が脱線していくのが常で、同僚たちからは呆れたような目を向けられてしまいます。
もう 1 つ、いいなと思うのは「わかりません。でも…」という返し方です。答えにくい質問に対して、「わかりません。でもたぶんこうやってみます」とか「わかりません。でもぜひ学んでみたいです」という答え以上に好ましいものはありません。
これでうまくいくはずです。
重要な情報
Cisco Talos は、「ToyMaker
」という初期アクセスブローカー(IAB)に関するブログ記事を公開しました。ToyMaker は金銭目的の攻撃グループであり、独自のバックドア「LAGTOY」を展開して被害企業からログイン情報を抜き取ります。LAGTOY は、リバースシェルを作成し、感染したエンドポイント上でコマンドを実行するために使用されます。
注意すべき理由
LAGTOY による侵害は、他の攻撃グループへのアクセスの引き渡しにつながる可能性があります。具体的なところでは、ToyMaker が Cactus という二重恐喝を行う犯罪グループにアクセスを引き渡した事例を Talos は確認しています。Cactus は独自の戦術、手法、手順(TTP)を用いて、被害者のネットワーク上で悪意のある行動を実行していました。Talos のブログで、ToyMaker から Cactus へのアクセスの引き渡しを含め、タイムラインを詳述しています。
必要な対策
Cisco Talos は、使用された手法や関連する IOC など、確実に保護するうえで役立つ情報を公開しています。詳細はブログ記事をご覧ください。
今週のセキュリティ関連のトップニュース
Apple、iOS を使用する「特定の標的ユーザー」を狙ってゼロデイ脆弱性が悪用されたと発表。Apple 社が、全製品ラインを対象とした新しいソフトウェア アップデートをリリースしました。これは、同社のモバイルソフトウェアである iOS を使用しているユーザーをハッキングするために悪用されたとされている 2 件のセキュリティ脆弱性を修正するものです(情報源:TechCrunch)。
Microsoft、Storm-0558 の影響を受け、数百万のクラウドテナントを削除。Microsoft 社は、予防可能なセキュリティ問題に起因する国家支援型の活動を抑止する取り組みの一環として、非アクティブな Azure クラウドテナントの削除と、クラウドおよびネットワーク資産の包括的なインベントリ作成に尽力しています(情報源:DarkReading)。
Erlang OTP SSH で見つかった重大な脆弱性について研究者らが警告。この脆弱性により、認証されていない攻撃者がデバイスにフルアクセスできるようになる可能性があります。影響を受けるデバイスの多くは、IoT や通信プラットフォームで広く利用されています(情報源:cybersecuritydrive)。
CISA、活発に悪用されている SonicWall SMA デバイスの脆弱性について注意喚起。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)は、SonicWall Secure Mobile Access 100 シリーズ ゲートウェイに影響を及ぼすセキュリティ上の欠陥が実際に悪用されていることを受け、同庁の「悪用が確認された脆弱性(KEV)」カタログにこの脆弱性を追加しました(情報源:The Hacker News)。
Talos が発信しているその他の情報
Talos が参加予定のイベント
- RSA(4 月 28 日~ 5 月 1 日)カリフォルニア州サンフランシスコ
- PIVOTcon(5 月 7 日~ 9 日)スペイン、マラガ
- CTA TIPS 2025(5 月 14 日~ 15 日)バージニア州アーリントン
- Cisco Connect UK & Ireland(5 月 20 日)英国、ロンドン
- BotConf(5 月 20 日~ 23 日)フランス、アンジェ
- Cisco Live U.S. (6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA256:2462569cf24a5a1e313390fa3c52ed05c7f36ef759c4c8f5194348deca022277
MD5:42c016ce22ab7360fb7bc7def3a17b04
VirusTotal:https://www.virustotal.com/gui/file/2462569cf24a5a1e313390fa3c52ed05c7f36ef759c4c8f5194348deca022277
一般的なファイル名:Rainmeter-4.5.22.exe
検出名:Artemis!Trojan
SHA256:7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
MD5:ff1b6bb151cf9f671c929a4cbdb64d86
VirusTotal:https://www.virustotal.com/gui/file/7b3ec2365a64d9a9b2452c22e82e6d6ce2bb6dbc06c6720951c9570a5cd46fe5
一般的なファイル名:endpoint.query
検出名:W32.File.MalParent
SHA256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal: https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
検出名:Win.Worm.Bitmin-9847045-0
SHA256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名:IMG001.exe
検出名:Win.Trojan.Miner-9835871-0
本稿は 2025 年 4 月 22 日にTalos Group
Authors