今週も脅威情報ニュースレターをお届けします。
今、ChatGPT に関する大げさな見出しがあちこちにあふれています。ChatGPT をはじめとする AI ツールによって人間のあらゆる仕事が奪われる、大学の小論文が過去の遺物となる、私たちの知るサイバーセキュリティの様相が変わるなど、どんなことでも記事になっています。
話題にしているのは、どうにかして「ChatGPT」を見出しに入れたいと考えている世界中の SEO マネージャたちです。そしてセキュリティコミュニティでは、AI モデルの活用によって攻撃者がさらに狡猾になり、すばやい動きを見せ、危険度が増すことを誰もが懸念しています。
この状況について私が最も問題視している点は、こうした AI ツールがさほど賢くはないということです。
これらの AI モデルが創造的な文章の執筆や人間の感情の理解を苦手とすることについては、ここで手短に説明するよりも、はるかに説得力のある興味深い記事がすでに書かれています。それでも、ChatGPT に対する私個人の実にニッチな興味と使用事例を紹介し、独自の視点をもたらしたいと考えました。
まず、このニュースレターの執筆を手伝ってほしいと ChatGPT に頼んでみました。すると ChatGPT は、Talos の代理で何かを作成することはできないという理由で、すべてを任されることについては丁重に断ったものの、「the top stories we’re following this week(今週確認している重要なトピック)」のリストをまとめ始めました。
これらの見出しには、2021 年 11 月からの攻撃に言及していると思われる Cring マルウェアの最新情報、16 か月前に確認された Microsoft 関連の CVE、2019 年 1 月に発覚した「Fortnite」でのマネーロンダリングに関する話が含まれていました。
次に、この週末に『AEW レボリューション』を観戦したばかりだったこともあり、レスリングについて ChatGPT に尋ねてみることにしました。最終的にマックスウェル・ジェイコブ・フリードマン(MJF)を破って AEW のタイトルを獲得するのは誰かと質問してみたのです。Google で検索した方が正確な情報が得られたことを考えると、ChatGPT の回答はひどく出来の悪いものでした。
ChatGPT が提示した可能性の 1 つは、ブライアン・ダニエルソンが最終的に MJF の王座を奪うかもしれず、そして「もし」両者が対決することがあれば「必見」の試合になるだろうということです。問題は、この両者が日曜日の夜に文字通り対決していて、ダニエルソンが負けたことです。ChatGPT はもう 1 つの可能性として、もし CM パンクが AEW のタイトルを勝ち取ることがあれば同団体にとって「大きな出来事」になるだろうと答えています。しかしこれは CM パンクがすでに 2 回成し遂げていることです(さらに言えば彼はもう二度とテレビに出ないかもしれないのですが、話が長くなるのでここでは書きません)。
これらは非常に限定的な 2 つの例にすぎませんが、ChatGPT の実際の動作を見て、なんだか気持ちがすっきりしました。ChatGPT などの AI によって今にも仕事を奪われ、さらにはレスリングファンとしての楽しみも失われてしまうなどと考えて気をもむ必要はなかったのです。
重要な情報
米国のジョー・バイデン政権は 3 月 2 日、新しい国家サイバーセキュリティ戦略を発表しました。この戦略では、サイバー犯罪者に対抗し、重要インフラを守り、標的になりやすい業界でセキュリティ規制を施行するために連邦政府が今後行う措置について述べられています。同政権は、適切なサイバーセキュリティ保護機能を備えていないテクノロジーを販売するソフトウェア企業に責任を負わせる法律の制定を目指すとともに、国家の支援を受けている攻撃者を「国力」を挙げて阻止するとしています。
注意すべき理由
これは、米国政府が 5 年ぶりに発表した新しいサイバーセキュリティ政策です。この政策から、今後数年間のサイバーセキュリティ政策の動向や、仮にバイデン政権が 2 期目に入った場合に他にどのような目標が掲げられるのかが大まかにわかります。いずれ適切な法律が議会を通過して施行されれば、デジタル サービス プロバイダーに対する人々の見方が大きく変化するとともに、政府や民間組織がサイバーセキュリティをどう捉えるべきかも見直されることになるでしょう。
必要な対策
今のところ、この戦略によって一般のユーザーが受ける影響はあまりありません。ただし近い将来、SaaS(サービスとしてのソフトウェア)業界に対する規制や、バイデン政権が示した数々の課題への対処に必要な金銭的投資について、激しい議論が交わされることになるでしょう。
今週のセキュリティ関連のトップニュース
Meta や Google などのソーシャルメディアサイトが、人工妊娠中絶が違法とされている州で、個人を起訴するためのユーザーデータとチャットログを法執行機関に共有。昨年、米国最高裁が妊娠中絶に関する国内法を覆す判決を下して以降、オンライン薬局やソーシャルメディアの投稿、ユーザーデータ要求によって収集されたデータをもとに、中絶を希望する女性を検察官が起訴した事例が複数出てきました。中絶薬を販売するオンライン薬局は、ユーザーの Web アドレスや相対的位置、検索データを含む機密情報を Google などの第三者サイトと共有しています。これらの第三者は最終的に、共有された機密情報を法執行機関に提出するよう求められることがあります。こうしたデータを管理する大企業が、法執行機関によるデータ要求を断ることはめったにありません(情報源:Insider、Mashable)。
ロシアによるウクライナ侵攻から 1 年を迎えたことを受け、今回の侵攻が世界初のハイブリッド戦争の 1 つに発展するに至った経緯を専門家たちが調査。この 1 年でウクライナに展開されたロシアの数々のサイバー兵器に関する調査も進行中です。国家による大規模なサイバー攻撃を受けやすいことについて危惧している他の国々(中国から狙われる台湾など)が、ロシアの攻撃に対するウクライナのこれまでの対応から学べることは多々あります。新しい詳細レポートでは、ロシアがわずか数日で地上侵攻の準備を整える上で、Viasat 社の衛星ネットワークに対するサイバー攻撃がどれほど重要な役割を担ったのかについても概説しています(情報源:NPR、Bloomberg)。
パスワード管理会社の LastPass 社が、8 月に従業員の自宅用コンピュータが攻撃者にハッキングされ、自社のごく一部の開発者しか利用できないはずの復号された Vault(保管庫)にアクセスされたと発表。数か月前に同社が初めて公表したデータ侵害について、詳細が新たに判明した形です。同社によると、正体不明の攻撃者が開発チームのシニアエンジニアから有効なログイン情報を盗み、LastPass のデータ Vault の中身にアクセスしたとのことです。同社では顧客の Vault のバックアップを暗号化して Amazon S3 バケットに保存しています。今回侵害を受けた Vault には、その暗号化キーを保管している共有クラウドストレージ環境へのアクセス情報が含まれていました。報告によると、攻撃者はまず、メディア共有ソフトウェアである Plex の欠陥をエクスプロイトし、標的ユーザーの自宅用デバイスにアクセスしたようです。Plex 社は 8 月下旬に自社のデータ侵害について公表していました(情報源:Ars Technica、Wired)。
Talos が発信している情報
Talos が参加予定のイベント
WiCyS (3 月 16 日~ 18 日)
デンバー(コロラド州)
RSA (4 月 24 日~ 27 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:00ab15b194cc1fc8e48e849ca9717c0700ef7ce2265511276f7015d7037d8725
MD5: d47fa115154927113b05bd3c8a308201
一般的なファイル名: mssqlsrv.exe
偽装名:なし
検出名: Trojan.GenericKD.65065311
SHA 256:de3908adc431d1e66656199063acbb83f2b2bfc4d21f02076fe381bb97afc423
MD5: 954a5fc664c23a7a97e09850accdfe8e
一般的なファイル名: teams15.exe
偽装名:teams15
検出名: Gen:Variant.MSILHeracles.59885
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5:2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名: VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 03 月 09 日に Talos Group のブログに投稿された「Threat Source newsletter (March 9, 2023) — Stop freaking out about ChatGPT」の抄訳です。