RSA カンファレンスは、サンフランシスコで開催される米国最大規模のセキュリティカンファレンスです。いつかは足を運んでみたいと思っているのですが、まだ叶っていません。
そういうわけで、一般の方々と同様、毎日遠くからインターネットで情報をチェックするしかありませんでした。ただ、現地に出向いてカンファレンスに参加するとなると 1 日がかりになってしまうので、この点についてはインターネットでの情報収集に軍配が上がります。少なくとも講演や発表、話題の要点は見逃していないはずです。今回はこの場を使って、先週の RSA で話題になったニュースやトレンドを振り返ってみたいと思います。
では、カンファレンスの内容を追いきれていない方のために、見逃してしまったかもしれない情報をいくつかまとめてご紹介しましょう。
AI の話題でもちきり
RSA で誰もが触れたのが AI についてです
。今年に入って以来、AI 以外のテクノロジーに焦点を当てたカンファレンスや講演が軒並み消えてしまったことを思えば、当然と言えるでしょう。
あらゆる種類の製品発表に、AI と AI 関連のツールが含まれていました。マーケティング目的で流行のキーワードを取り入れただけというものもありましたが、セキュリティ環境を本当に向上させるために使われているものもありました。
シスコの Jeetu Patel は、新たに発表された Hypershield 製品で Cisco Secure が AI をどう活用しているかについての基調講演を行いました。この講演で Jeetu が主張したのは、攻撃者に対抗するための「追加」機能として AI を使うのではなく、ネットワーク インフラストラクチャには標準で AI を活用すべきだということです。
アントニー・ブリンケン米国務長官は、米国のグローバル サイバーセキュリティ政策を概説する講演を行い、この週の話題の人となりました。同氏の講演時間は 30 分でしたが、かなりの部分を AI の話題に費やしています。米国は AI と量子コンピューティングの分野で最先端の座にあり続ける必要があるとし、中国など地政学的な競合国に敗北を喫すれば、米国の国家としての安全や経済に壊滅的な影響が生じると警告しました。
RSA での個々の講演における AI の評価は、「AI ほどセキュリティに効果的なものは未だかつてない」と大絶賛するものから、「AI がすべてを台無しにしようとしている」と批判するものまで、さまざまでした。たいていの物事と同様、AI の評価も、両極端な考え方の間の中間あたりに落ち着いていくのでしょう。
RSA で発表された IBM 社の調査は、AI を導入するとなった場合に、企業の経営幹部の多くがいかに向こう見ずかを明らかにしています。生成 AI のモデルとツールを作成する際、セキュリティは後回しにされがちなことが調査で示されており、回答した経営幹部のうち、直近の生成 AI プロジェクトにセキュリティコンポーネントを組み込んだと答えたのは、わずか 24% でした。
ベンダー各社が製品設計にセキュリティを組み込むと誓約
テクノロジー企業 68 社が新たに米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)の誓約書に署名し、設計プロセスの初期段階から製品にセキュリティを組み込むことを誓約しました。
署名企業には、シスコのほか、Microsoft 社、Google 社、Amazon Web Services 社、IBM 社など、大手テクノロジー企業が名を連ねています。誓約書には、署名した企業は今後 12 か月間の取り組みで、自社製品に新たなセキュリティ保護策を組み込むと明記されています。具体的には、多要素認証(MFA)の利用を増やす、デフォルトパスワードの使用を減らす、といったことです。
しかし、設計からセキュリティを考慮する「セキュア・バイ・デザイン」というこの誓約書にどれだけの強制力があるのか、また誓約を守らなかった企業にはどのような不利益が課せられる可能性があるのかとなると、はっきりした見込みは立っていません。
ディープフェイクに対抗する新技術
ディープフェイクの画像や動画が急速にインターネット上に広まり、多くの人の中ですでに薄れつつあったインターネットに対する信頼感にさらなる打撃を与えています。
デジタル加工された画像や動画を目にした時、それに気づくのは、一般的な危険の兆候について教育を受けているか、問題のテーマについて特に詳しい人でなければ難しいでしょう。今では、実の親であっても我が子のフェイク動画に引っかかってしまうほど出来が良くなっています。
RSA では、解決策となり得る手法がいくつか議論されました。たとえば仮想会議や録画データに、変更できないメタデータを使ってデジタルの「透かし」を入れるというのもその 1 つです。
また、RSA の「Most Innovative Startup 2024」に、ディープフェイク検知を扱うスタートアップ企業が選出されました。同社の開発したマルチモーダルソフトウェアは、AI が生成して改変したコンテンツを検知して警告を出すことができます。McAfee 社も独自のディープフェイク検知機能である Deepfake Detector を提供しています。同社によると、「高度な AI 検出モデルを利用して動画内に存在する AI が生成した音声を識別することで、人々がデジタル世界を理解し、コンテンツの信憑性を評価できるようにする」ツールだということです。
攻撃者はディープフェイク技術の開発を進め、大規模に展開しています。検知技術がそのペースについていけるかどうかは、まだわかりません。
重要な情報
Microsoft 社は、月例セキュリティ更新プログラムの一環として、攻撃者にシステムレベルの特権を取得される危険性のあるゼロデイ脆弱性を公開しました。4 月のセキュリティ更新プログラムは脆弱性の数が多かったのですが、今月は大規模な製品とサービス群での「緊急」の脆弱性は 1 件のみでした。Microsoft 社が 5 月に発表した脆弱性には、全部で 59 の CVE が含まれており、そのほとんどのシビラリティ(重大度)は「重要」となっています。「警告」の脆弱性は 1 件のみです。
注意すべき理由
「緊急」のセキュリティ問題(CVE-2024-30044)は 1 件だけで、SharePoint サーバーにおけるリモートのコード実行の脆弱性です。サイト管理者またはそれ以上の権限を取得して認証された攻撃者が、標的の SharePoint サーバーに細工されたファイルをアップロードし、この脆弱性をエクスプロトする可能性があります。攻撃者は次に、細工された API リクエストを送信して対象ファイルのパラメータの逆シリアル化をトリガーする必要があります。これにより、SharePoint サーバーのコンテキストで、リモートでコードが実行される可能性があります。前述のゼロデイ脆弱性(CVE-2024-30051)により、攻撃者はシステムレベルの特権を取得できる可能性があります。攻撃者がさらに他の攻撃を実行したり、その他の脆弱性をエクスプロイトした場合、壊滅的な影響が生じる危険性があります。
必要な対策
Microsoft 社が今月公開した他の脆弱性の一覧については、更新ページをご覧ください。Talos では今回公開された脆弱性の一部に対して、エクスプロイト試行を検出できるように新しい Snort ルールセットをリリースしました。今後、ルールが追加されたり、追加される情報によっては現行のルールが変更されたりする場合がありますのでご注意ください。Cisco Security Firewall のお客様は SRU を更新し、最新のルールセットをご使用ください。オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。今回のセキュリティ更新プログラムに対応してエクスプロイトを検出する Snort ルールは、63419、63420、63422 ~ 63432、63444、63445 です。Snort 3 ルール 300906 ~ 300912 もあります。
今週のセキュリティ関連のトップニュース
先週の終わりに発生した大規模なネットワーク侵入により、全米の数十の病院の業務が混乱。救急車のルート変更を余儀なくされた病院も。Ascension 医療ネットワークによると、侵入を最初に検知したのは 5 月 8 日のことで、その後は手動システムに戻さざるを得なくなったいうことです。今回の混乱により、一部の診療予約がキャンセルやスケジュール変更を余儀なくされ、患者は医療記録のオンラインポータルである MyChart にアクセスできなくなりました。また医師も、患者の記録を紙とペンで取らざるを得なくなりました。Ascension は、全米 19 州で 140 以上の病院を運営するほか、8,500 以上の医療機関と提携しています。同社は、今回の混乱の原因がランサムウェア攻撃なのか、それ以外の何らかの標的型サイバー攻撃なのかについて、まだ明らかにしてはいません。今週初めの時点では、サービス復旧の目途は立っていません。今年の初め、Change Healthcare 社がランサムウェア攻撃を受け、全米の医療システムが混乱した際には、医療機関が受け取るはずの支払いが多数滞る事態になりました。Change Healthcare 社の親会社である UnitedHealth Group 社は、先日議会の委員会で、要求された身代金 2,200 万ドルをビットコインで攻撃者に支払ったと語りました。(情報源:CPO Magazine、The Associated Press)
Google 社と Apple 社、モバイル OS で新たなアラート機能の運用開始へ。望ましくない可能性のある位置情報追跡デバイスについてユーザーに警告。この新機能が特にターゲットとしているのは、Bluetooth Low Energy(LE)対応のアクセサリです。Apple AirTag など小型なデバイスであれば、たいていは相手に気づかれることなく具体的な位置情報を追跡できてしまいます。Android と iOS のユーザーには、こうしたデバイスが所有者のスマートフォンから離れているのに移動し続けている場合、アラートが届くようになります。このアラートは、攻撃者や悪意を持った人間が相手に気づかれないように位置情報を追跡するのを防止するためのものです。1 年前に両社がこうしたデバイス追跡の新ルールを提案し、他のデバイスメーカーも、今後自社の製品にこのアラート機能を追加することに合意しました。Apple 社は、機能の運用開始の告知で、「このクロスプラットフォーム コラボレーションは、コミュニティや業界からの意見を採り入れた業界初の取り組みでもあり、望ましくない追跡へのアラート機能を自社製品に組み込むことにしたメーカーに、手順やベストプラクティスを提供するものです」と述べています。(情報源:Security Week、Apple)
オークションハウスの Christie’s が運営する人気のオンライン アート マーケットプレイスでサイバー攻撃の疑いのあるインシデントが発生、水曜午後の時点でもサービスを停止中。富裕な著名人のクライアントが多いことで知られる同サイトは、今週少なくとも 5 億 7,800 万ドル相当の美術品の販売を予定していました。Christie’s 社は技術的なセキュリティインシデントの検知について木曜日に初めて発表しましたが、何らかの標的型サイバー攻撃を受けたのかデータ侵害だったのかについては、まだコメントしていません。クライアントやユーザーのデータが危険にさらされた可能性があるかどうかについても、情報はありません。現在売りに出されている品には、フィンセント・ファン・ゴッホの絵画、F1 のスタードライバーだったミハエル・シューマッハが所有していたものを含む希少な時計のコレクションなどがあります。購入希望者は、オークション会場に行くか電話で入札できます。(情報源:Wall Street Journal、BBC)
Talos が発信している情報
- Talos が CISA と連携、非営利団体や活動家などリスクの高いコミュニティへのサイバー脅威に対抗
- 『Click Here』エピソード#130:五次元世界のぼうけん:ウクライナにおける GPS 妨害とその波及効果
- 『Talos Takes』エピソード#184:CoralRaider があなたのログイン情報を盗もうとする理由
- 生成 AI の偽情報の脅威は「誇張されすぎ」、一流のサイバー専門家が語る
Talos が参加予定のイベント
ISC2 SECURE Europe(5 月 29 日)
アムステルダム(オランダ)
Talos インシデント対応チームの Gergana Karadzhova-Dangela が「EU におけるサイバーセキュリティ人材とスキルのギャップを減らすための ECSF の活用」というパネルに参加します。Karadzhova-Dangela は、EU のサイバーセキュリティ フレームワークの開発に参加しており、新しい人材の募集および採用の方法として、シスコが社内の取り組みで同フレームワークをどのように活用しているかを説明します。
Cisco Live(6 月 2 ~ 6 日)
ネバダ州ラスベガス
AREA41(6 月 6 ~ 7 日)
チューリッヒ(スイス)
Talos インシデント対応チームの Gergana Karadzhova-Dangela が、組織の全体的な対応準備を整えるためには、実用的なインシデント対応手順書が根本的に重要であることについて説明します。インシデント対応手順書を作成する際によく見られる間違いと、その回避方法について紹介する予定です。Gergana は、実際のサイバーセキュリティ侵害発生時や事前の侵害対策で、お客様と協力して業務に当たっています。そうした対応担当者としての経験を活かした講演になります。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:9be2103d3418d266de57143c2164b31c27dfa73c22e42137f3fe63a21f793202
MD5:e4acf0e303e9f1371f029e013f902262
一般的なファイル名: FileZilla_3.67.0_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.Application.27hg.1201
SHA 256:a024a18e27707738adcd7b5a740c5a93534b4b8c9d3b947f6d85740af19d17d0
MD5: b4440eea7367c3fb04a89225df4022a6
一般的なファイル名: Pdfixers.exe
偽装名:Pdfixers
検出名: W32.Superfluss:PUPgenPUP.27gq.1201
SHA 256:1fa0222e5ae2b891fa9c2dad1f63a9b26901d825dc6d6b9dcc6258a985f4f9ab
MD5:4c648967aeac81b18b53a3cb357120f4
一般的なファイル名: yypnexwqivdpvdeakbmmd.exe
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:d529b406724e4db3defbaf15fcd216e66b9c999831e0b1f0c82899f7f8ef6ee1
MD5: fb9e0617489f517dc47452e204572b4e
一般的なファイル名: KMSAuto++.exe
偽装名:KMSAuto++
検出名: W32.File.MalParent
SHA 256:abaa1b89dca9655410f61d64de25990972db95d28738fc93bb7a8a69b347a6a6
MD5: 22ae85259273bc4ea419584293eda886
一般的なファイル名: KMSAuto++ x64.exe
偽装名:KMSAuto++
検出名:W32.File.MalParent
本稿は 2024 年 05 月 16 日にTalos Group
Authors