今週も脅威情報ニュースレターをお届けします。
サイバーセキュリティ啓発月間となりました。セキュリティに携わっている身近な人たちを労わっていただきたい時期です。おそらく疲れていて、燃え尽き寸前かもしれません。もしかしたら、コーヒーを飲み過ぎただけかもしれませんが。
現在、有能なアナリスト、研究者、セキュリティ担当者が仕事を見つけるのに苦労していて、サイバーセキュリティ情勢は以前にも増して不安定になっています。大手のセキュリティ会社の中には、最近レイオフを実施した会社や完全に閉鎖した会社がいくつかあります。その一方で、セキュリティコミュニティはサイバーセキュリティのスキルギャップと労働者不足に悩まされています。
先週、TechCrunch の「Disrupt」カンファレンスを視聴していたところ、あるパネルに興味を持ちました。サイバーセキュリティ分野における現在の採用の課題について話し合っていたのですが、パネルの司会者が、重大な侵害やセキュリティインシデントを経験したことのある労働者の雇用は避けるべきかと問いかけたのです(たとえば SolarWinds 社のソフトウェアを標的とした大規模なサプライチェーン攻撃が発生していた期間に同社で働いていた従業員を想定してみてください)。
そんなことをセキュリティ分野の採用担当者が懸念しているとは考えたこともないですし、何が問題なのかもまったく理解できません。そこで、求人掲示板の投稿記事やセキュリティフォーラムを調べてみたところ、実際にセキュリティの仕事を探している人の多くが、注目されたインシデントが発生した時期にその会社で働いていたとしたら、そのことは履歴書には書けないと思っていることがわかりました。たとえば 1 年前の投稿ですが、r/cybersecurity のこちらのユーザーは、もし重大なデータ侵害が発生したときにその会社で働いていたとしたら、たとえ直接的にはまったくその侵害には関わっていなかったとしても、そのことを履歴書には書かない方がよいかと質問しています。
仮に直接関わっていたとしても、いったい誰が気にするのでしょうか。
これに対しては、Microsoft 社の脅威インテリジェンス戦略部長である Sherrod DeGrippo 氏が、先述の TechCrunch のパネルで完璧な回答をしています。同氏は、もし採用候補者がセキュリティの「ひどい火災」が起きた会社でその頃働いていたとしたら、「その人は最前線に立って火消しにあたっていたわけであり、何をすべきかを知っています。実際に経験したからこそ、そこから学んでいるはずです」と述べました。
企業も従業員も、データ侵害を公表するとなると悪いイメージは避けられません。データ侵害やサイバー攻撃を受けた人は、それを公に認めることでなされるネガティブな報道や詮索を恐れるのです。
採用面接でそのことに触れたくない理由も理解できます。ひどい目に遭ったり、それが原因で大量のネガティブな報道をされた企業で働いていたことから生じる独特の「不快さ」があるのかもしれません。ただ、もしセキュリティコミュニティがスキルギャップの問題を解決したいと本当に望むなら、そうした悪いイメージは直ちに払拭する必要があると思います。
たくさんの Talos のインシデント対応者と直接話をしているのでわかるのですが、重大なセキュリティイベントを経験した人は皆、ポジティブなものであれネガティブなものであれ、その経験から必ず何かを学んでいます。これはどの分野でも同じです。
私がジャーナリストだった頃、自分が書いた記事の訂正を出さなければならないことや、間違って引用してしまい情報提供者に謝罪しなければならないことがまったくなかったとは言えません。若い職業人として経験する必要があり、そこから学ばなければならない間違いでした。今の仕事でも間違ったら誠実に情報を共有してきましたし、おそらく今後も間違うことは多いでしょう。重要なのは、その間違いから学び、今後はプロセスを変更して同じ間違いをしないことです。
これと同じことがすべてのエンジニアにも当てはまると思います。コードの脆弱性を間違ってそのままにしたとか、本物だと思っていたソフトウェア アップデートをダウンロードしたら実際はマルウェアが入っていたといったことです。
セキュリティ分野で長く働いていれば、どの会社にいたとしても、重大なセキュリティインシデントを経験したことがあると思います。だからといって、それが採用の妨げになることがあってはならないし、履歴書に書かないというのはお勧めできません。
実際に問題とされ悪いイメージになっているのかを知りたいので、採用担当の方やこのような経験をしたことのある求職者の方は Twitter(現 X)で DM を送ってください。
重要な情報
FBI と各国の法執行機関によって巨大ボットネット Qakbot を解体する取り組みが行われたにもかかわらず、Qakbot は現在も活動中のようです。Talos の研究者が確認したところによると、2023 年 8 月初旬から Qakbot マルウェアの背後にいる攻撃者が活動を続けており、ランサムウェア Ransom Knight とバックドア Remcos をフィッシングメールで配布しています。注目すべきは、FBI が Qakbot のインフラを差し押さえた 8 月下旬よりも前にこの攻撃活動が始まったと思われ、それ以来続いていることです。ここから見えてくるのは、法執行機関の取り締まり作戦は、Qakbot の攻撃グループがスパムメールを配信しているインフラではなく、コマンドアンドコントロール(C2)サーバーに影響を与えたにすぎないということです。
注意すべき理由
現在の情勢では、最も注目すべき最大のマルウェアネットワークの 1 つが Qakbot なので、同グループの活動はすべて注意が必要です。ただ、今特に注目する必要があるのは、FBI の捜査活動後に同グループがあまりにも早く回復できたことです。最近のニュースの見出しでどのように扱われていようと、同グループは今もスパムを盛んに配信しています。インフラ差し押さえ後に同グループが Qakbot を配布している状況は確認していないものの、今後も Qakbot は重大な脅威の進展をもたらし続けるというのが Talos の見解です。
必要な対策
Qakbot の攻撃グループが活動を続けていることを考えれば、差し押さえ前の活動を完全に再開するために同グループが Qakbot のインフラを再構築する道を選ぶ可能性があるので、Talos のブログや他のセキュリティリサーチをチェックして新たな動きがないか確認することが重要です。Talos は、現在の攻撃に関連するマルウェアを検出できる新しい ClamAV シグネチャをリリースしました。今回の攻撃を取り上げた Talos のブログ記事の末尾には、ブロックリストやその他の検出に追加する必要がある IOC の一覧も記載しています。
今週のセキュリティ関連のトップニュース
ファイル転送ソフトウェア MOVEit の開発元企業が、同社の他の製品に存在する複数の脆弱性について情報を公開。大規模なデータ侵害で話題になり、その後多数の攻撃を招いた MOVEit の開発元である Progress Software 社が、WS_FTP サーバーに直ちにパッチを当てるようユーザーに要請しました。CVE-2023-40044 は、WS_FTP サーバーのアドホック転送モジュールに存在する逆シリアル化の脆弱性です。攻撃者は認証なしでこの脆弱性をエクスプロイトすることができ、リモートでコードを実行する可能性があります。先週同社は全部で 8 件の脆弱性を開示し、すべてのバージョンのソフトウェアに対しホットフィックスをリリースしました。同社の Web サイトによると、WS_FTP サーバーは「重要なデータを信頼性が高く安全な方法で確実に転送するために必要な独自のビジネス品質の機能」を提供しています。同サイトには NFL のデンバー・ブロンコスや衣料品小売 H&M など、影響のあるソフトウェアを使用している大手顧客企業が複数記載されています(情報源:The Record by Recorded Future、Decipher)。
Google と Yahoo が大量メール配信に新たなルールを導入、ユーザーが受信するスパムの削減と多くのユーザーにスパム報告を促すことを意図。2024 年の初めから、1 日に 5,000 通以上のメッセージを送る場合は、SPF や DKIM のような現在の認証プロトコルを使用してすべてのメッセージを認証する必要があります。メールの受信者に対し、ワンクリックの配信停止オプションも提供しなければなりません(メールの設定ページに「本当に停止しますか?」といった困惑するメッセージが表示されなくなることも期待します)。この発表の中で Google は、現在の AI ベースのスパムフィルタはスパムメールを 99.9% ブロックしていると述べていますが、攻撃者が従来のブロック方法をバイパスする新たな方法を開発したり、受信者が騙されやすい巧妙なスパムメールを作成しているので、ブロックはますます難しくなっています(情報源:The Verge、ZDNet)。
大手政府請負業者で発生したデータ侵害により、政府庁舎の見取り図など物理的なセキュリティ情報が影響を受けていないか米国国土安全保障省(DHS)が調査中。物理的なオフィスにとって重要なセキュリティシステムなどのハードウェアを製造している Johnson Controls International 社は今週、「どの情報に影響があったかを評価するために」サイバー攻撃を精力的に調査しており、「当社のインシデント管理および防御計画を実施している」と公表しました。CNN が入手した DHS の内部メモには、「追って通知があるまで、DHS の見取り図と契約に関連するセキュリティ情報は、請負業者が自社のサーバーに保存しているものとする」と記載されています。このメモの時点では米国政府機関が閉鎖され調査が遅れる可能性を DHS は懸念していましたが、議会が週末にかけて暫定支出法案を成立させ閉鎖は回避されました(情報源:CNN、Axios)。
Talos が発信している情報
- 知っておきたいこと:ダーク Web とは
- 9 月 22 日~ 9 月 29 日の 1 週間における脅威のまとめ
- 『Talos Takes』エピソード #156:Talos インシデント対応チームの緊急対応イベントの裏話
- サイバーセキュリティ啓発月間に関するシスコのホームページ
Talos が参加予定のイベント
Bsides PDX (10 月 6 日 ~ 10 月 7 日)
ポートランド州立大学、米国オレゴン州
シスコ サイバーセキュリティ デイ (10 月 11 日)
ニュルンベルク エキシビションセンター、ドイツ
ATT&CKcon 4.0 (10 月 24 日~ 25 日)
バージニア州マクリーン
Nicole Hoffman と James Nutland が「1 つの拠り所:ATT&CK を活用した攻撃者追跡の実践」と題したプレゼンテーションで、MITRE ATT&CK フレームワークについて解説します。MITRE ATT&CK はサイバー脅威インテリジェンス報告の業界標準となっていますが、その手法が何のコンテキストもなくレポートやブログの末尾に付記されていることが多々あります。レポートやブログが配布された後に ATT&CK の手法が再び目にされることはなく、インテリジェンスの作成者にとっても利用者にとっても有益ではありません。このプレゼンテーションでは Nicole と James が、ATT&CK をガイドラインとして使用してコンテキストに基づいたナレッジベースを構築し、攻撃者を追跡する方法をアナリストに紹介します。
misecCON (11 月 17 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が講演を行い、長年の経験(と災難)から学んだ最良の分析方法についてアドバイスします。適切に分析を行うために Talos インシデント対応チームのメンバーと自身がやり通さなければならない日常の業務を紹介する予定です。計画の立て方、悪事の見つけ方、調査結果の記録、相関関係、自分独自のタイムラインの作成方法などについて取り上げます。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:975517668a3fe020f1dbb1caafde7180fd9216dcbf0ea147675ec287287f86aa
MD5:9403425a34e0c78a919681a09e5c16da
一般的なファイル名: vincpsarzh.exe
偽装名:なし
検出名: Win.Dropper.Scar::tpd
SHA 256:4c3c7be970a08dd59e87de24590b938045f14e693a43a83b81ce8531127eb440
MD5: ef6ff172bf3e480f1d633a6c53f7a35e
一般的なファイル名: iizbpyilb.bat
偽装名:なし
検出名:Trojan.Agent.DDOH
SHA 256:7f66d4580871e3ee6a35c8fef6da7ab26a93ba36b80279625328aaf184435efa
MD5: e9a6b1346d1a2447cabb980f3cc5dd27
一般的なファイル名: профиль 10 класс.exe
偽装名:なし
検出名:Application_Blocker
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5:93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5: a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名: AAct.exe
偽装名:なし
検出名: PUA.Win.Tool.Kmsauto::1201
本稿は 2023 年 10 月 05 日に Talos Group のブログに投稿された「Is it bad to have a major security incident on your résumé? (Seriously I don’t know)」の抄訳です。