今週も脅威情報ニュースレターをお届けします。
サイバーセキュリティに携わる人にとって、燃え尽き症候群は現実的な問題です。私たちは、現代社会を支えるシステムを守るという責務を負っています。勤務時間は長く、責任は重く、あまりの重責に押しつぶされそうになることもあります。ミスをしてしまい、攻撃を防げなかったときは、誰もがその事態に気づきますが、最高の 1 日、つまり複雑な脅威を検知し無力化できた日は誰の目にも止まりません。失敗は目立ちますが、成功は誰にも気づかれないのです。さらに、最悪の事態を常に想定するという職業的な特性も、メンタルヘルスを悪化させる要因となっています。まして、起きている時間のほとんどは画面の前で機械と向き合って過ごすのですから、なおさらです。
変化をもたらし、不正侵入を食い止めるには、サイバーセキュリティに長期的な視点で取り組むことが不可欠です。新たな対策の導入やインシデントの解決を通じて、経験が蓄積されていきます。最悪のインシデントが、後から振り返ると最も学びの多い経験になることもあります。専門的な経験は、長年の苦労を通じて得られるものです。燃え尽きによってチームメンバーを失ったり、この分野でのキャリアを継続できなくなったりするのは、個人的な悲劇であるだけでなく、サイバーセキュリティのコミュニティ全体にとっても大きな損失です。
サイバーセキュリティチームが感じる強いストレスには、さまざまな要因が関係しています。その多くは、攻撃の性質や頻度など、私たちの力ではどうにもできないものです。一方、予算の承認やプロジェクトの適切な優先順位付けなど、一見コントロールできそうに思えても、何らかの理由で結局うまくいかない問題もあります。
外部要因をコントロールすることはできなくても、ストレスにどう向き合うかは自分で管理できます。まず、境界線を決め、それを守ることです。勤務時間が終わったら、仕事をやめましょう。仕事のことを考えるのもやめましょう。言うは易く行うは難しですが、本当の緊急時でない限り、勤務が終わったら仕事から離れることを意識的に練習してみてください。仕事を持ち帰らないことで、自由時間にしっかりストレスを解消できます。
次に、仕事やコンピューターとは無関係な楽しい時間を優先しましょう。週のどこかで、自分が楽しめることに時間を割いてください。日々の生活の中でいろいろなことをして、趣味を持つことで、バランスが保てます。人生のある側面が特につらいときは、うまくいっている別の面でバランスを取るようにしましょう。ちなみに私はトレイルランニングが好きで、日常を離れてリフレッシュする時間にしています。コンピューターの画面からできるだけ離れ、田舎の奥深くで過ごすことで、エネルギーを充電し、リフレッシュすることができます。
脅威を検知し、不正侵入を阻止するには、技術的な能力だけでは不十分です。この仕事を長く続けていくには、自分自身とチームの仲間を大切にしつつ、仕事への情熱から意識的に距離を置くことが必要なのです。
重要な情報
Cisco Talos は 2025 年初めに、Emmenhtal ローダーと Amadey マルウェアを使用してウクライナの組織を標的とした悪意のあるペイロードを送り込む Malware-as-a-Service(MaaS)攻撃を特定しました。この攻撃では多くの場合、GitHub の公開リポジトリが利用されていました。Talos は GitHub と連携してこれらの悪意のあるアカウントを削除しました。また、同様の脅威を防ぐためのセキュリティソリューションを推奨しています。
注意すべき理由
この攻撃は、GitHub のような信頼できるプラットフォームを利用してマルウェアを送り込むことがいかに容易であるかを示しています。特に、正当な目的で GitHub にアクセスする必要がある組織にとって、脅威を検出してブロックすることがより困難になります。
必要な対策
組織は、GitHub アクセスに関するセキュリティポリシーを見直し、高度なセキュリティ対策を導入し、公開リポジトリを悪用するフィッシング攻撃やマルウェアに対し常に警戒し続けることで、侵害のリスクを最小限に抑える必要があります。
今週のセキュリティ関連のトップニュース
M&S と Co-op へのサイバー攻撃に関与したとして 4 人が逮捕
英国犯罪対策庁(NCA)によると、スタッフォードシャーで 20 歳の女性が逮捕され、ロンドンとウェスト・ミッドランズで 17 歳から 19 歳の男性 3 人が拘留されました(情報源:BBC
)。
今すぐパッチの適用を:CVE-2025-25257 の PoC により Fortinet FortiWeb でリモートコード実行が可能に
この脆弱性により、認証されていない攻撃者がサーバーのファイルシステムに悪意あるファイルを書き込むことでリモートからコードを実行できるようになり、完全なリモートコード実行につながる可能性があります(情報源:Security Affairs)。
列車のブレーキが無線経由でハッキング可能、業界は 20 年前から事実を把握
「この脆弱性が悪用されると、列車の最後尾に連結される装置に対して攻撃者が独自のブレーキ制御コマンドを送信できるようになり、列車を突然停止させて運行障害やブレーキ故障を引き起こす可能性がある」と CISA が声明を出しています(情報源:SecurityWeek)。
Episource、数百万人の医療データが盗まれたことを報告
この侵害は 540 万人以上に影響を与えており、今年最大級の医療情報漏洩事件の 1 つとなっています。攻撃者は個人情報および保護された医療データを窃取しました(情報源:TechCrunch)。
Talos が発信しているその他の情報
迅速なインシデント対応の重要性
Cisco Talos IR が、実際に対応した 2 件のランサムウェア事例を比較し、組織の対応時間が攻撃の結果にどれほど大きな違いをもたらしたかを説明しています。
Talos Takes:攻撃者がリモートアクセスツールを好む理由
IT チームが日々使用しているリモートアクセスツールを、攻撃者が悪用する事例が増えています。このエピソードでは、Hazel が Talos のセキュリティ研究者 Pierre Cadieux と対談し、こうした正規のツールが攻撃者にとって非常に効果的な戦術となっている理由を詳しく説明します。
TTP:LLM の悪用が次のフェーズへ
サイバー犯罪者は、LLM(大規模言語モデル)を攻撃のワークフロー全体に統合し始めており、LLM が依存するデータの改ざんさえも試みています。Talos の研究者、Jaeson Schultz がその実態を明らかにします。
Talos が参加予定のイベント
- NIRMA(7 月 28 日~ 30 日)フロリダ州セントオーガスティン
- Black Hat USA(8 月 2 日~ 7 日)ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
VirusTotal:https://www.virustotal.com/gui/file/a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91/details
一般的なファイル名:IMG001.exe
偽装名:なし
検出名:Simple_Custom_Detection
SHA256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
本稿は 2025 年 7 月 17 日にTalos Group
Authors