今週も脅威情報ニュースレターをお届けします。
サイバーセキュリティのスキルギャップや雇用を巡る議論が最近盛んに行われています。先日はホワイトハウスで会議が開かれましたし、カンファレンスでは数々の公演が行われています。サイバーセキュリティ担当者の燃え尽き症候群を警告する報告書も次々に発表されています。
クライアントを攻撃にさらしかねないスキル不足の人材の採用を避けながらサイバーセキュリティ部門の人員を増やせる魔法のような方法はないものかと誰もが考えています。人材不足はサイバーセキュリティに限った問題ではありません。ただ、サイバーセキュリティの担当者が抱えている問題について散々議論されているのに、実際の解決策についてあまり話し合われていないのは興味深いことです。
私が考えているのは、セキュリティ分野の「エントリレベル」の職務要件を変えることから始めてはどうかということです。私はジャーナリズムの分野から経験ゼロの状態でセキュリティ分野に転向しました。家族は、私がコンピュータに詳しいと思っていましたが、ジャーナリストとしてインターネットで公開情報を探すのが得意だっただけです。この 4 年間でセキュリティの専門家になれたわけではありませんが、社内のメンターシップや社外の教育サポートを受けたおかげで、基本的な ClamAV シグネチャを作成することや、ランサムウェアとビジネスメール詐欺の違いを CEO に説明することくらいはできるようになりました。Kali Linux とは何か程度のことは入社する前に知っていた人間が、同じ時間で何ができるか想像してみてください。
そこで LinkedIn にアクセスし、検索機能のボックスをクリックして「エントリレベル」のサイバーセキュリティの求人を検索してみました。LinkedIn のアルゴリズムは私の経験レベルに最も合った求人を探してくれたのかもしれませんが、「エントリレベル」の求人なのに、私には満たせないような資格要件が記載された求人票が数えきれないくらい見つかりました。応募して面接までたどり着く人もいるかもしれませんが、経験の浅い人は、自分には資格が足りないと感じて応募することさえ諦めてしまうのではないでしょうか?
たとえば、とある中規模企業(名前を挙げるのは控えます)の求人票で募集していたのは、「エントリレベル」のサイバーセキュリティ アナリストです。最も重要な要件は、「サイバーセキュリティ関連の一般的な技術的問題を分析する 3 年以上の経験」と「サイバーセキュリティまたは関連分野」の学士号を持っていることで、修士号やさまざまな認定を「取得していればなお可」と記載されていました。
別のアナリスト職では、経験年数は問わないものの、次の要件を満たす求職者が理想的であるとしていました。
- エンドポイント保護の管理に関する豊富な経験。
- 電子メールセキュリティ製品の管理に関する豊富な経験。
- インシデント対応の手順、ID 管理、多要素認証に関する詳しい知識。
Talos で長年経験を積んだ人でも、このいずれかの分野で「豊富な経験」を持っていない人がいるはずです。チームメンバーの中には大学でセキュリティを専攻しなかった人もいます。軍隊などまったく別の分野でキャリアを始めてセキュリティ分野にやって来た人もいるでしょう。
Fortune 500 企業の SOC チームの責任者を誰にでも任せられると言うつもりはありませんが、次世代のセキュリティ担当者を育成したいのなら、サイバーセキュリティのエントリレベルの間口を広げる必要があります。採用担当マネージャの皆様には、セキュリティ分野の「伝統的な」バックグラウンドがない人にもチャンスを与え、認定資格は持っていなくても熱心で意欲のある従業員に時間とお金を投資してトレーニングを行うことを切に願います。資格などといったものは後からついてくるものです。
「エントリレベル」のすべての求人で何年もの経験が必要とされるのであれば、セキュリティ分野で最初の仕事にありつくにはどうすればよいのでしょうか?「無給のインターンシップで下積みから始めてくれ」と言うのはやめていただきたいものです。
重要な情報
ロシアのウクライナ侵攻が始まって以来、ウクライナの人々は大量のサイバー攻撃にほぼ絶え間なくさらされてきました。Cisco Talos はウクライナの組織と協力して、GoMet バックドアというかなり特殊なマルウェアがウクライナを標的にしていることを発見しました。この攻撃では大手ソフトウェア開発会社が標的になっています。同社のソフトウェアはウクライナのさまざまな政府機関で使用されています。標的となったのがソフトウェア開発会社であるため、サプライチェーン型の攻撃を展開するための足掛かりを築こうとしている可能性を無視できませんが、現時点ではサプライチェーン攻撃が成功したという証拠は得られていません。
注意すべき理由
ウクライナの人々を心配する理由を説明する必要はないかと思いますが、戦争や付随するサイバー攻撃が世間で話題になることが減ってきているにもかかわらず、脅威はまだ消え去っていないことが今回の攻撃から分かります。
必要な対策
今回の攻撃ではソフトウェア開発会社が標的になっており、永続アクセスを強化するように設計されたバックドアが展開されています。この攻撃で確立されたアクセスはさまざまな方法で悪用される可能性があります。たとえば、アクセスのさらなる拡大や追加攻撃が行われたり、ソフトウェア サプライチェーンが侵害されたりする可能性があります。ウクライナに対するサイバー活動は多くの人が予想したレベルまで達していないかもしれませんが、ウクライナは依然として断固とした意志を持つ資金豊富な敵に直面しており、さまざまな形で損害を被る可能性があることが分かります。今回の攻撃はその最新の事例にすぎません。Talos は今後も、ウクライナが直面している脅威と Cisco Secure による適切な保護に関する記事を継続的に更新していきます。
その他の注目情報
スパイウェアが政府関係者、政治家、活動家にとって最大の脅威の 1 つであることに変わりはないようです。EU は最近、NSO Group 社の Pegasus スパイウェアが数人の職員のモバイルデバイスにインストールされていることを発見しました。それらのデバイスにスパイウェア関連の侵害の兆候があることを Apple 社が EU に事前に警告していました。これを受けて欧州委員会はイスラエルに連絡を取り、「同国の製品が EU で悪用されるのを防止」するように求めました。一方、カナダ議会は、国家警察が監視活動の一環として Pegasus を使用しているかどうかを調査しています。以前、王立カナダ騎馬警察は、重大なケースでのみ Pegasus を使用し、2018 年から 2020 年にかけて 10 回展開したと述べていました(情報源:Reuters、Politico)。
ある攻撃者が 540 万人を超す Twitter ユーザーのデータを窃取したと主張し、ダーク Web で 3 万ドルで販売しています。「devil」というユーザー名を使用しているこの人物は、「著名人、企業、一般ユーザー、各界の重鎮など」がデータに含まれていると主張しています。Twitter 社は調査を開始してデータの真正性を確認中であり、影響を受けた可能性があるアカウントのユーザーに通知すると述べています。攻撃者がエクスプロイトした脆弱性は、Twitter 社のバグ報奨金プログラムを通じて数か月前に同社に報告されており、その後修正されています。今年初めに 10 億人の中国市民に関する 23 TB のデータが Breached Forums で流出しましたが、今回のデータも同サイトで売りに出されています(情報源:Fortune、The Register)。
「Knotweed」という新しいマルウェアツールブローカーが、Microsoft 製品と Adobe 製品のゼロデイ脆弱性を悪用した攻撃やスパイウェア攻撃を仕掛けていたことが判明しました。Microsoft 社の新しい報告書では、同グループは「Subzero というマルウェアツールセットの開発と販売に関係している」と考えられ、「Subzero を使用すると、標的のコンピュータ、スマートフォン、ネットワーク インフラストラクチャ、インターネット接続デバイスに侵入できる」と言及されています。このグループが販売したエクスプロイトの一部は、オーストリア、パナマ、英国に対するサイバー攻撃で最近使用されています(情報源:Microsoft、Dark Reading)。
Talos が発信している情報
- 『Talos Takes』エピソード#105:Transparent Tribe 第 3 弾
- 四半期レポート:インシデント対応の動向(2022 年第 2 四半期)
- 古い電子メールスレッドを乗っ取る最近の Qakbot 攻撃の注目すべき特徴
- 注目の脆弱性:コードの再利用によって複数の製品に脆弱性が発生
- EV 充電ネットワークがハッキングされるリスクは?
Talos が参加予定のイベント
BlackHat U.S. (2022 年 8 月 6 日~ 11 日)
ネバダ州ラスベガス
DEF CON U.S. (2022 年 8 月 11 日~ 14 日)
ネバダ州ラスベガス
Security Insights 101 ナレッジシリーズ (2022 年 8 月 25 日)
オンライン
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201
SHA 256: e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名: LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
本稿は 2022 年 07 月 28 日に Talos Group のブログに投稿された「Threat Source newsletter (July 28, 2022) — What constitutes an “entry-level” job in cybersecurity?」の抄訳です。