今週も脅威情報ニュースレターをお届けします。
権威バイアスは、人の思考に影響を与える数ある要素の 1 つです。権威ある人物のアドバイスに従うことは、そのアドバイスを裏付ける理由や論理の調査に時間と労力を費やすよりもはるかに簡単な場合が多く、一般的により良い結果につながります。分かりやすく言えば、医師の健康に関するアドバイスに従うのは、なぜそのようなアドバイスをされるのかを医学部で何年もかけて学ぶよりも簡単だということです。
権威に対して従順であるこの傾向は、コンピュータを利用する場合にも当てはまります。たとえばこの投稿を読んでいる方は、友人や家族からコンピュータに関する質問を何度も受けたことがあるでしょう。ただし、そうした信頼が悪用される可能性もあるので、知識が豊富で立派に見える人物であっても油断は禁物です。
攻撃者は、銀行員、税務職員、IT 専門家など、何らかの権威を持つ人物になりすますことで、被害者に自分の利益に反する行動を取らせることができると知っています。最新のインシデント対応の四半期動向では、ランサムウェア攻撃者が IT 担当者になりすまして被害者に接触し、リモート アクセス ソフトウェアをインストールするよう指示していた事例を紹介しています。この手口により攻撃者は、デバイスへの長期的なアクセスを確保し、悪意のある目的を追求し続けることができます。
IT 担当者や銀行員、税務職員を名乗る人物が突然連絡してきて、急を要するとか、役立つからと言って何かを指示してきた場合は、すぐに会話を終了して公式の連絡先に電話をかけ、本当にそのチームや組織からの連絡だったのかを確認してください。詐欺に使用される手口を知り、広く注意喚起しましょう。攻撃者は、人間の本質的な部分や弱点につけ込もうとするのです。
重要な情報
脅威ハンティングはサイバーセキュリティ戦略に欠かせないものです。なぜなら、不正侵入されている可能性を早期に特定することで、被害が発生する前に問題をすばやく解決できるからです。脅威ハンティングにはさまざまなアプローチがあり、それぞれのやり方で異なる脅威を発見できます。
注目すべき理由
攻撃者による環境寄生型バイナリ(LOLBin)の使用(デュアルユースツールまたは侵害を受けたシステムにすでに存在するツールの使用)が増えています。侵入者の存在を検出するには、もはやマルウェアを発見するだけでは不十分です。
攻撃者を見つけるには、攻撃者が使いそうな手口の証拠を探したり、不自然な状況の証拠を見つけたりするなど、少し違ったアプローチが必要になります。
必要な対策
Talos IR チームが使用するさまざまな脅威ハンティング戦略についての記事を読み、これらの戦略を自社の環境で使用する方法を調査してください。侵入を早期に発見できる可能性が高まります。
今週のセキュリティ関連のトップニュース
MySQL が 30 周年
1995 年 5 月 23 日に公開された MySQL は人気の高いデータベースであり、Facebook、Netflix、Uber、Airbnb、Shopify、Booking.com などアクセス数の多いアプリケーションの中核を担っています。(情報源:Oracle
)
ディズニーへの Slack 攻撃はロシア系ハッカー集団によるものではなく、カリフォルニア州出身の男性によるマルウェア攻撃
カリフォルニア州在住の男性が 1.1TB のデータ窃取攻撃を行った罪を認めました。AI 画像生成アプリケーションを装ってトロイの木馬をリリースするという攻撃でした。(情報源:The Register)
ランサムウェアグループ、英国小売企業への攻撃を主張
ランサムウェアグループの DragonForce が、英国小売企業の Co-op、Harrods、Marks & Spencer(M&S)のサービスを停止させたサイバー攻撃を行ったと主張しています。(情報源:Security Week)
開発者の秘密情報を狙った攻撃が増加
本番環境やオンラインコードリポジトリに誤って公開された秘密鍵やトークンを盗み出そうとする攻撃が増えています。(情報源:Dark Reading)
Talos が発信しているその他の情報
ブラジルが RMM ツールを悪用したスパム攻撃の標的に
ブラジルのユーザーが、巧妙な手口を用いた新しいスパム攻撃の標的になっています。信頼できるリモートモニタリングツールの無料トライアル期間と同国の電子請求書システムを悪用して、悪意のあるエージェントが拡散されています。今すぐ読む
Talos IR による脅威ハンティング
Talos は最近、脅威ハンティングサービスのフレームワークに関するブログ記事を公開しました。以下の説明動画をご覧ください。
Talos が参加予定のイベント
- CTA TIPS 2025(5 月 14 日~ 15 日) バージニア州アーリントン
- Cisco Connect UK & Ireland(5 月 20 日)英国、ロンドン
- BotConf(5 月 20 日~ 23 日)フランス、アンジェ
- Cisco Live U.S. (6 月 8 日~ 12 日)カリフォルニア州サンディエゴ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507/
一般的なファイル名:VID001.exe
検出名:Win.Worm.Bitmin-9847045-0
SHA256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名:img001.exe
検出名:Simple_Custom_Detection
SHA256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
一般的なファイル名:VID001.exe
検出名:Coinminer:MBT.26mw.in14.Talos
SHA256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5:8c69830a50fb85d8a794fa46643493b2
VirusTotal:https://www.virustotal.com/gui/file/c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
一般的なファイル名:AAct.exe
検出名:W32.File.MalParent
本稿は 2025 年 5 月 8 日にTalos Group
Authors