Cisco Japan Blog / 脅威リサーチ / 脅威情報ニュースレター（2022 年 9 月 15 日）：IT 管理者の役割まで担う学校教員

今週も脅威情報ニュースレターをお届けします。

米国の公立学校の教員は、すでにさまざまな役割を担っています。教育者であるのはもちろん、状況に応じて保護者、看護師、安全管理者、法執行官などといった役割もこなさなければなりません。今、この教師の役割のリストに「IT 管理者」が加わろうとしています。

教育機関がランサムウェア攻撃の標的になることが増えています。今年度はすでに、カリフォルニア州のロサンゼルス統一学区が大規模なサイバー攻撃に見舞われており、大きく報道される事態となっています。各学校ではまだ復旧作業が続いています。

被害を受けた学校の教師によると、攻撃を受けた週は出欠の入力ができず、授業計画やプレゼンテーションにアクセスできなくなり、宿題計画も破棄せざるを得なくなりました。テクノロジーは教育現場に欠かせないものになっており、学校のネットワークやソフトウェアが少しでも中断すると、ほとんど何もできなくなってしまうことがあります。

何千マイルも離れた場所で暮らしているであろう潤沢な資金を持つ攻撃者から身を守ることまで教師が心配している余裕はないのですが、負担を緩和するような施策は行われていないのが現状です。

幼稚園で教育補助員をしている母にこのことを尋ねてみたところ、園児たち（ほとんどは 5 歳児や 6 歳児です）は自分の Chromebook を持っており、家に持ち帰って宿題をこなすのに利用しているそうです。母が勤めている小学校には、6 学年で 500 人を超す生徒がいますが、IT やネットワーク全体を管理している人は、学校全体で 1 人しかいません。つまり、500 台を超すラップトップの管理が 1 人の人間に任されているのです。さらに、高学年になると iPad やスマートボードといったデバイスがこれに加わるようになります。社会人でさえ、サイバー攻撃の危険性やスパムテキストの見分け方を教わる必要がある人が大勢いるというのに、幼稚園児に同じことを期待できるでしょうか？

簡単に解決できる問題だと言うつもりはありません。全国の学校のセキュリティインフラに投資し、これらのデバイスを管理するのに必要な職員を雇ったら、数百万ドルはかかるでしょう。しかし、教師がすでに背負っている負担を考えると、荒唐無稽な案とは言い切れないのではないでしょうか？

教職に就いている友人の多くは優れた教師ですが、コンピュータのエキスパートにはほど遠いのが実情です。生徒がラップトップにログインするのに使用しているパスワードの安全性について考えたことがある人は 1 人もいないだろうと思います。

FBI が先週発表した警告によると、Vice Society というランサムウェアグループが全米の学校を狙って攻撃を仕掛けることが増えており、新年度を迎えた後も攻撃が続くものと予想されています。この勧告では、「サイバーセキュリティ機能やリソースに制約がある学区は、最も脆弱であることが多い」と指摘されています。これが事実であるとした場合、その資金不足の学区がサイバー攻撃に襲われたらどうなるでしょうか？1 年かけて推進するはずだったセキュリティ強化や新ポリシーの導入はお預けとなり、攻撃から回復して元の状態に戻すためにすべての時間やリソースを費やす羽目になります。

教師、IT 管理者、学校管理職はただでさえ余裕がないのですから、サイバー攻撃に見舞われたらさらに余裕がなくなるのは目に見えています。教室の生徒にテクノロジーを与えるためにさらなる資金を投じる前に、それらのデバイスをどのように保護し、誰がその保護状況を監視するのかを検討したほうがよいと思います。

重要な情報

悪名高い Lazarus グループの調査を続けていたところ、3 種類のトロイの木馬を使用したマルウェア攻撃について新たな詳細が判明しました。標的となったのは米国、カナダ、日本のエネルギー企業です。MagicRAT という最新のマルウェアが発見されており、Lazarus グループが使用している他の 2 つの RAT とともに展開されています。3 つのマルウェアはどれも、VMware Horizon の Log4j 脆弱性をエクスプロイトして侵入する標的型攻撃を通じて配布されています。

注意すべき理由

先週のニュースレターでも説明しましたが、Lazarus グループの動向には逐一注意を払って警戒を怠らないことが必要です。同グループはエネルギー企業を標的にしています。重要インフラが国家の支援を受けた攻撃者の標的になる危険性があるため、特に注意が必要です。また、Lazarus グループがマルウェアを継続的に更新して、検出を回避する新しい手法を開発していることも Talos の調査によって判明しています。

必要な対策

この攻撃では主要な感染手法として Log4j が悪用されています。これまで何度もお話ししていますが、Log4j のパッチを適用していないソフトウェアがある場合は、適用するようにしてください。また Talos では、これらの攻撃で使用されているマルウェアを検出して防止する Cisco Secure 向けの新しいソリューションもいくつかリリースしています。

今週のセキュリティ関連のトップニュース

Twitter 社の元セキュリティ責任者が、危険を招きかねない、このソーシャルメディアの巨大企業のセキュリティ態勢について米国議会で警告しました。メインカルチャーで取り上げられるようになった最初の「ハッカー」の 1 人であるピーター・「マッジ」・ザトコ氏は、今回の証言の中で、Twitter 社の従業員の約 50% がユーザーの機密情報にアクセスできる可能性があり、同社での在籍時にこの問題の解決を図ったが阻止されたと述べています。ザトコ氏は、出席した米国上院議員に向かって、同社のこうした態勢によって議員たちの個人データも危険にさらされている可能性があると訴え、同社は「一般市民、議員、規制当局、さらには同社の取締役会さえも欺こうとしている」と述べました。この証言は、不調に終わったイーロン・マスク氏の Twitter 社買収提案を巡って現在展開されている法廷闘争に影響を与える可能性があるため、さらなる精査の対象となっています（情報源：Vox、Politico）。

モンテネグロ政府に対する大規模なサイバー攻撃が依然として続いています。政府機関のさまざまなサービスが停止し、銀行、水道、電力システムといった同国の重要インフラが危険にさらされています。この攻撃はロシアの支援を受けた悪名高い攻撃者による他の攻撃に似ていると政府当局者は述べています。FBI は、回復および修復プロセスを支援するために特別なサイバーセキュリティチームを同国に派遣しました。キューバのランサムウェアグループが攻撃を行ったと主張しており、この攻撃のための特別なマルウェアを作成したと語っています。モンテネグロやアルバニアなどの NATO 諸国に対する最近のサイバー攻撃がきっかけとなって、集団的自衛権の行使を定める NATO 第 5 条がサイバー攻撃に対して発動可能かどうかが問われています（情報源：Associated Press、NPR）。

Apple 社は今週、同社のモバイルおよびデスクトップ オペレーティング システムに対するセキュリティアップデートをリリースして、実際に悪用されているゼロデイ脆弱性を修正しました。Apple 社によると、CVE-2022-32917 がエクスプロイトされるとカーネル権限で任意のコードが実行される危険性があります。Apple 社が今年公開したゼロデイ脆弱性はこれで 8 件目です。iOS をアップデートするときに iOS 16 へのアップグレードが可能です。iOS 16 でもいくつかの新しいセキュリティ機能が提供されています。この新しいオペレーティングシステムでは、一元化されたプライバシーダッシュボード、デバイスがスパイウェアに感染する危険性を抱えているユーザーのための安全性チェック、一部サイトでのパスワード不要のログインが提供されています（情報源：9to5Mac、New York Times Wirecutter）。

Talos 関連の情報

• 北朝鮮とつながりがある Lazarus が VMware の Log4j 脆弱性をエクスプロイトしてエネルギー企業を攻撃
• 『Talos Takes』エピソード#112：新年度を迎えた教員、学生、保護者、管理者、その他関係者へのアドバイス
• 北朝鮮の Lazarus ハッカーが Log4j の欠陥をエクスプロイトして米国のエネルギー企業をハッキング
• Cisco Talos、Lazarus グループの新たな RAT を捕獲
• Microsoft セキュリティ更新プログラム（月例）：2022 年 9 月に公開された脆弱性と、対応する Snort ルール
• EMEA 向け月例 Talos Threat Update：サイバー保険は必要か？

Talos が参加予定のイベント

シスコ セキュリティ ソリューション エキスパート セッション（10 月 11 日、13 日）

オンライン

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256：e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c

MD5：a087b2e6ec57b08c0d0750c60f96a74c

一般的なファイル名：AAct.exe

偽装名：なし

検出名：PUA.Win.Tool.Kmsauto::1201

SHA 256：e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5：93fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名：Wextract
偽装名：Internet Explorer
検出名：PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 256：c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0

MD5： 8c69830a50fb85d8a794fa46643493b2

一般的なファイル名：AAct.exe 

偽装名：なし

検出名：PUA.Win.Dropper.Generic::1201 

SHA 256：58d6fec4ba24c32d38c9a0c7c39df3cb0e91f500b323e841121d703c7b718681

MD5：f1fe671bcefd4630e5ed8b87c9283534

一般的なファイル名：KMSAuto Net.exe 

偽装名：KMSAuto Net

検出名：PUA.Win.Tool.Hackkms::1201

SHA 256：8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7

MD5：0e4c49327e3be816022a233f844a5731 

一般的なファイル名：aact.exe 

偽装名：AAct x86

検出名：PUA.Win.Tool.Kmsauto::in03.talos 

本稿は 2022 年 09 月 15 日に Talos Group のブログに投稿された「Threat Source newsletter (Sept. 15, 2022) — Teachers have to be IT admins now, too」の抄訳です。

Authors

TALOS Japan