このニュースレターでは、憂慮すべき「サイバーセキュリティのスキルギャップ」について何度か取り上げてきましたが、またこの話題を取り上げるべきときが来たようです。
というのも、ホワイトハウスが先週、サイバーセキュリティ分野での新規労働者の育成を目的に「Service for America」イニシアチブ
という米国政府の新たな取り組みを発表したからです。これは、米国連邦政府機関に対し、学位要件を一部撤廃してスキルに基づく採用を重視することで、サイバーセキュリティと AI 関連の仕事を求める米国人の採用と就労準備の支援を指示するものです。うまくいけば、サイバーセキュリティ業界へ踏み出そうとしている人々にとってさらなる教育リソースになります。
一見すると素晴らしいことのように思えます。私自身、最終的に大学に戻ってサイバーセキュリティの準学士号を取得しましたが、サイバーセキュリティ分野について学んだものの多くは、Talos で働き、有能で聡明な同僚たちと過ごした時間から得たものです。同僚の多くもサイバーセキュリティを専攻して大学に通っていたわけではありません。
米国政府には、セキュリティ分野の仕事を希望するニューロダイバージェントの求職者や、視覚障がいのある求職者を支援する別のイニシアチブもあります。
私が懸念しているのは、たとえ従業員を育成して適切なスキルを与えたところで、最終的な雇用判断は企業に委ねられているということです。
6 月に CyberSeek 社が発表したレポートによると、米国ではサイバーセキュリティの仕事に必要な熟練労働者のうち 85% しか確保できていません。それなのに、サイバーセキュリティの非営利団体である ISC2 のレポート(間もなく公開予定)によると、業界の雇用は横ばいのままです。今年のセキュリティ分野の労働者数は世界全体で 550 万人と推定されており、前年比 0.1% 増にすぎないことがレポートで明かされています。
この調査に回答した世界 15,000 人以上のサイバーセキュリティ従事者のうち、38% が過去 1 年間に自社でサイバーセキュリティ人材の採用凍結があったと回答しています(2023 年から 8% 増加)。セキュリティプログラムへの予算が削減されたとの回答は 37% で、チームでレイオフがあったとの回答は 25% でした。
さきほどの CyberSeek 社のレポートによると、米国ではサイバーセキュリティ関連の求人情報が前年比で 29% 減少しています。
そのため、スキルギャップを埋めるプログラムが始まるにあたって、経営者が従業員にどのようなスキルを身につけさせたいのかを具体的に考える必要があります。セキュリティ業界で働きたい人々と、雇用したい企業や経営者との間にある種の断絶があるのは明らかです。あるいは、今はサイバーセキュリティチームに人員を増やすための十分な資金がないだけであり、それが今の米国や世界経済の現状ともいえます。
私はセキュリティ業界へ踏み出すのを思いとどまらせたいわけでも、将来に希望がないという考えを広めたいわけでもありません。しかし、すでに研さんを積んでスキルを身につけた労働者の多くが仕事を見つけられないか、一縷の望みをかけて何十枚もの応募書類を送り続けているということを認識しておくことが重要だと思います。
最近、LinkedIn にサイバーセキュリティの仕事を探して投稿している人をあまりにも多く見かけるので、セキュリティ業界に 10 年いる人と同じ求人枠で競う、同じスキルセットを持つ「別の」労働者を採用することがセキュリティを強化するための解決策とは思えません。
重要な情報
Talos はこのほど「DragonRank」という新たな脅威を公開しました。主にアジア諸国とヨーロッパの数か国を標的とし、PlugX と BadIIS を利用して SEO(検索エンジンの最適化)のランキングを操作しています。DragonRank は標的の Web アプリケーションサービスを悪用して Web シェルを展開し、それを利用してシステム情報を収集します。さらに PlugX や BadIIS などのマルウェアを起動し、さまざまなログイン情報収集ユーティリティを実行します。DragonRank の PlugX は、よく使用されるサイドローディング手法だけでなく、Windows の構造化例外処理(SEH)メカニズムも使用していました。これにより、正規のファイルが怪しまれずに PlugX をロードできるようにしています。
注意すべき理由
DragonRank は、企業の Web サイトをホストしている Windows インターネット インフォメーション サービス(IIS)サーバーを侵害し、BadIIS マルウェアを埋め込みます。BadIIS は、検索エンジンのクローラを操作し、影響を受けたサイトの SEO を混乱させるために使用されるマルウェアです。DragonRank は侵害した IIS サーバーを使用して詐欺サイトを展開し、疑いを持たないユーザーをサイトに誘導しています。また、検索エンジンのアルゴリズムを改変または悪用して SEO を操作し、検索結果で特定の Web サイトのランキングが上がるようにしています。攻撃の目的は、悪意のあるサイトにトラフィックを誘導したり、不正なコンテンツが上位に表示されるようにしたり、ランキングを人為的に上下させて競合他社の邪魔をしたりすることです。このような攻撃は Web 上での企業の存在感を低下させ、金銭的な損失をもたらす可能性があります。また、詐欺的な行為や有害な行為がブランドに結びついてしまい、評判が傷つくおそれがあります。攻撃者は、これらの侵害した Web サイトを利用して宣伝することで、サイトを詐欺用のプラットフォームへ効果的に変貌させています。
必要な対策
Talos は攻撃で使用されたマルウェアを検出してブロックするために、新しい Snort ルールセットといくつかの ClamAV シグネチャをリリースしました。この攻撃により、タイ、インド、韓国、ベルギー、オランダ、中国など、さまざまな地域で 35 台以上の IIS サーバーが侵害され、BadIIS マルウェアが展開されていることを Talos は確認しました。攻撃はいまだ活発で、拡大する可能性があることは明らかです。
今週のセキュリティ関連のトップニュース
「RAMBO」という新たなタイプの攻撃により、RAM 無線信号を利用してエアギャップネットワークからデータを盗むことが可能に。イスラエルの学術研究者は最近、RAMBO(Radiation of Air-gapped Memory Bus for Offense)の発見を発表しました。これにより、攻撃者がデバイスの RAM から電磁放射を発生させ、エアギャップコンピュータからデータを送信する可能性があります。エアギャップシステムとは、極端に隔離されたオフラインネットワークのことで、政府機関、兵器システム、原子力発電所などの重要な環境でよく使用されています。インターネットアクセスを利用するハッカーについては、RAMBO は脅威とはなりませんが、組織内に潜む脅威がネットワークにアクセスできる場合、USB ドライブなどの物理メディアやサプライチェーン攻撃を通じてマルウェアが展開される可能性があります。RAMBO を利用すれば、エアギャップシステムからエンコードされたファイル、暗号化キー、画像、キーストローク、生体認証情報を 1,000bps の速度で盗み出すことができます。研究者らは最大 23 フィート(約 7 メートル)の距離でこのタイプの攻撃に関するテストを実施しました。本件を発表した技術論文には、RAM ジャミング、外部電磁波のジャミング、標的となる可能性のあるシステムを電磁波を遮蔽するファラデーケージで囲むことなど、緩和策となり得る対策がいくつか記載されています。(情報源:Bleeping Computer、SecurityWeek)
商用スパイウェアの開発元は今なお政府の制裁を回避する方法を模索中、一部でツールの検出がより困難に。シンクタンク Atlantic Council の新しいレポートによると、「入手可能な証拠の大部分は、スパイウェアの販売が現実のものであり、今後も続く可能性が高いことを示唆している」とのことです。レポートでは、特に Intellexa と NSO Group の活動が盛んになっていることが強調されています。スパイウェアツールの開発と販売で知られるこの 2 社は、過去数年間にわたって国際的な制裁の対象となっていました。両社、特に Intellexa は、複数の地域にまたがる子会社、パートナー、その他の関係先との事業を再編することで、制裁を回避する方法を見つけました。Intellexa が Predator スパイウェアの開発で知られているのに対し、NSO Group は Pegasus スパイウェアで悪名を馳せています。どちらのソフトウェアも、よく標的にされるのは、ジャーナリストや政治家、活動家などリスクの高い個人であり、政府が使用する場合もあります。また最近、セキュリティ研究者は Intellexa がコンゴ民主共和国とアンゴラに新たなインフラストラクチャを構築したことを発見し、「Predator の拡散を研究者やサイバーセキュリティ担当者が追跡することがより困難になっている」と指摘しています。(情報源:Dark Reading、The Register)
ウクライナへの人道支援活動の妨害を目的にサイバー攻撃を実行したとして、複数の欧米諜報機関がロシア連邦軍参謀本部情報総局(GRU)を正式告発。米国、英国、他数か国の政府機関が GRU の 29155 部隊を非難しました。同部隊は、2022 年にロシアがウクライナに侵攻した後、西ヨーロッパ、EU、NATO の政府、民間機関、市民社会団体を標的にした過去のスパイ活動に関与したとされています。この宣言には、オランダ、チェコ共和国、ドイツ、エストニア、ラトビア、カナダ、オーストラリアの諜報機関も署名しています。欧米諜報機関は、WhisperGate 攻撃についても 29155 部隊を正式に非難しました。この攻撃は、2022 年 1 月に発生したウクライナ政府機関に対する組織的な攻撃であり、物理的な地上侵攻の舞台を整えるためだったと考えられています。発表によると、以来、WhisperGate はウクライナへの援助物資の「偵察と妨害」に使用されてきたとのことです。2022 年、Talos が最初に WhisperGate についてレポートした際、「攻撃で盗んだログイン情報を使用して、実際に攻撃する前に数か月間被害者のネットワークにアクセスしていたと考えられます。これは高度な Advanced Persistent Threat(APT)攻撃に見られる典型的な特徴です」と Talos の研究者は指摘していました。(情報源:Reuters、BBC)
Talos についての関連情報
- 2024 年の脅威の現状
- Tencent 社の WeChat カスタムブラウザの脆弱性により、リモートでのコード実行が可能に
- Talos の新しいドキュメンタリー動画、『我々が守る明かり:Project PowerUp の事例紹介』
- Acrobat Reader にリモートコード実行につながる脆弱性:Microsoft 社が Windows API の情報漏洩問題を修正
- Microsoft 社が 79 件の脆弱性を公開、ゼロデイ脆弱性は 4 件で、うち 1 件はシビラティ(重大度)スコアが 9.8 点
Talos が参加予定のイベント
LABScon(9 月 18 日~ 21 日)
アリゾナ州スコッツデール
VB2024(10 月 2 日~ 4 日)
ダブリン(アイルランド)
MITRE ATT&CKcon 5.0(10 月 22 日~ 23 日)
バージニア州マクリーン(オンラインあり)
Nicole Hoffman と James Nutland が Akira ランサムウェアの簡単な歴史と、Linux ランサムウェアの状況についての概要を紹介します。その後、ATT&CK フレームワークを使って最新の Linux 亜種を技術的に深く掘り下げ、その手法、戦術、手順を明らかにします。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
一般的なファイル名: VID001.exe
偽装名:なし
検出名:RF.Talos.80
SHA 256:3a2ea65faefdc64d83dd4c06ef617d6ac683f781c093008c8996277732d9bd66
MD5: 8b84d61bf3ffec822e2daf4a3665308c
一般的なファイル名: RemComSvc.exe
偽装名:なし
検出名:W32.3A2EA65FAE-95.SBX.TG
SHA 256:35dcf857f0bb2ea75bf4582b67a2a72d7e21d96562b4c8a61b5d598bd2327c2c
MD5: fab8aabfdabe44c9a1ffa779fda207db
一般的なファイル名:ACenter.exe
偽装名:Aranda AGENT
検出名: Win.Trojan.Generic::tg.talos
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5:bbcf7a68f4164a9f5f5cb2d9f30d9790
一般的なファイル名: bbcf7a68f4164a9f5f5cb2d9f30d9790.vir
偽装名:なし
検出名: Win.Dropper.Scar::1201
SHA 256:5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名: Win.Dropper.Pykspa::tpd
本稿は 2024 年 09 月 12 日にTalos Group
Authors