ポケベルを爆発させるという先ごろ中東で発生した攻撃
により、物理的なハードウェアのサプライチェーン攻撃に対する新たな懸念が生じています。
サイバーセキュリティでは、サプライチェーン攻撃の標的となるのは通常はソフトウェアだと考えられています。攻撃者が悪意のある偽のアップデートを使用して正規のツールを感染させ、それによって感染したデバイスにマルウェアを拡散させるという手口です。SolarWinds、Log4j、MOVEit などを思い浮かべてみてください。
ハードウェアのサプライチェーン攻撃の場合、攻撃者はデバイスの供給元やハードウェア部品の物理的な製造プロセスに侵入し、セキュリティの欠陥、不良部品、または将来的に利用できるバックドア(回路基板上の悪意のあるマイクロチップなど)を意図的に組み込みます。
シスコでは、Cisco Trustworthy テクノロジープログラム(セキュアブート、Cisco Trust Anchor モジュール(TAm)、ランタイムディフェンスなど)により、シスコの正規品であるという信頼をお客様に提供しています。
ハードウェアのサプライチェーン攻撃の脅威について考えていたら、この問題は誰が解決すべきなのかという疑問が残りました。そして、その責任は複数のセクターにある、という考えに至りました。
ハードウェアのサプライチェーン攻撃では、攻撃者は物理的に施設内に侵入するか、製造プロセスを改ざんしなければならない可能性が高いため、単なるサイバーセキュリティの問題として考えるべきではありません。製造施設など物流チェーンの拠点に侵入するには、ある程度のネットワークレベルの操作が必要となります。たとえば、カードリーダーを偽造したり、物理的な防御をかいくぐる方法を見つけたりといったことです。そのため、Talos インシデント対応チームのパープルチーム演習では、こうした要素を考慮しています。
一方で、物流と保管の問題もあります。出荷待ちで倉庫に保管されている間にデバイスが改ざんされたり、デバイスを運搬中のトラックの荷台に誰かが乗り込んだりする可能性が考えられます。あるいは、携帯電話の EID(eSIM の識別番号)や SIM カードなど、デバイスの情報を盗み撮りされる可能性もあります。
残念ながら、サプライチェーンのハードウェア攻撃から保護するためのプロセスは簡単ではありません。物流企業、サイバーセキュリティ企業、製造企業間の連携や提携はほとんどないのが現状です。
スマートコンテナ、リアルタイム監視システム、セキュリティ チェックポイントの自動化など、物理的な改ざんから保護するための新たなテクノロジーもありますが、これらはすべて、すでに予算と人的資本が逼迫している(物理レベルとネットワークレベルの)セキュリティチームにとっては高価なソリューションです。
サイバーセキュリティ業界が、あらゆる種類のサプライチェーン攻撃に対処する役割を担っているのは確かですが、この業界だけで解決できるものではありません。
重要な情報
攻撃者はインターネット上の正当な Web サイトの機能を悪用してスパムを送信しています。Talos の新たな調査によると、この Web インフラストラクチャと関連する電子メールインフラストラクチャは、本来は正当な目的で使用されるため、防御側がこれらのメッセージをブロックすることは、より困難になっています。
注意すべき理由
スパム送信者にとって、メール配信用の独自のアーキテクチャを構築する際の問題の 1 つは、スパムの送信が始まるとこれらの送信元(IP/ドメイン)がブロックされる可能性があることです。多くのスパム送信者はこのことを理解しているため、正当な組織の Web ページやメールサーバーを攻撃し、迷惑メールの送信にこれらの「海賊版」リソースを使用することがあります。攻撃者は今も、電子メールシステムの既存のツールや構造を利用してスパムや悪意のある添付ファイルを送信する新しい方法を探しています。そうした方法は、防御側が普通は考えないものです。
必要な対策
大量のスパムを受け取ったり、「従来の」電子メールツールを使用している攻撃者に騙されたりしないようにするために、ユーザーが対策できることがいくつかあります。電子メールのアカウントに強力なパスワードを設定することで、アカウントのセキュリティを確保できます。パスワードマネージャを利用すれば、さらに安全になります。すべてのサイトで固有のログイン情報を使用していれば、1 つのアカウントが侵害されても、その被害者の他のオンラインアカウントには影響しません。管理者や防御側にとって、電子メールの不審なメッセージに注意するようユーザーを教育することは、ユーザーが電子メールによるフィッシングやその他の攻撃の被害に遭わないようにするための良策となります。
今週のセキュリティ関連のトップニュース
今年 7 月、全米の Windows マシンをシャットダウンさせた欠陥アップデートについて、サイバーセキュリティ企業 CrowdStrike の代表者が今週議会で証言。このインシデントにより、民間航空便、公共交通機関、小売業など、複数の業界で混乱が生じました。議員らは、影響を受けたソフトウェアはコンピュータの基幹システムにアクセスする必要があるのかと問いただし、また、AI が作成したコードによって将来的に生じる可能性のある脅威について質問しました。CrowdStrike の経営陣は今回の障害の責任を認め、同様のインシデントが再発しないようにあらゆる手を尽くしており、さまざまな「教訓」プロセスを実施していると説明しました。このインシデントにより、800 万台以上の Microsoft Windows マシンで恐ろしい「死のブルースクリーン」が発生する事態になっています。インシデント発生から 24 時間は、ユーザーが特定のプロセスを実行した場合のみシステムを再起動できました。このプロセスは複雑で、専門家による説明が必要でした。最終的には自動更新が展開され、問題は解決しています。(情報源:Washington Post、BBC)
イラン政府支援の新たな攻撃グループをセキュリティ研究者が発見、イラン国内で他の有名な APT に初期アクセスを提供。攻撃グループ UNC1860 はイランの情報安全保障省(MOIS)とつながりがあると考えられており、OilRig や Scarred Manticore などのイランの他の攻撃グループにアクセスを提供しています。UNC1860 の主な目的は、ネットワークに侵入し最初の足がかりを確立することであり、政府機関、メディア、教育、重要インフラ、通信などさまざまなセクターを標的にしていると報告されています。研究者によると、UNC1860 はイラク、サウジアラビア、カタールの組織を標的とした攻撃のために組成され、アルバニアとイスラエルではワイパー攻撃の基盤を築いたとのことです。同グループの活動は、今までほとんど確認されていませんでした。理由はインプラントが完全にパッシブであり、標的のネットワークからは情報を送信しないためです。この APT グループは、いかなる種類のコマンド & コントロール(C2)インフラストラクチャにも依存していません。(情報源:Dark Reading、SecurityWeek)
人気の AI チャットツール ChatGPT に欠陥が発覚、攻撃者が偽の「記憶」を植え付けてユーザーデータを永続的に窃取する可能性あり。間接的なプロンプトインジェクションにより、ユーザーの長期記憶設定に偽の情報や悪意のある命令を保存できる概念実証(POC)をセキュリティ研究者が発見しました。この研究者が ChatGPT の開発元である OpenAI にこの脆弱性を最初に報告したのは 5 月でしたが、その時点では安全性の問題であってセキュリティの問題ではないとみなされ、いったんはクローズしました。POC を開発した後、同社は最終的に、メモリ機能が流出経路として悪用されるのを防ぐ部分的な修正をリリースしました。今月初めのことです。ただし、メモリ機能を標的としたプロンプトインジェクションを通じて、攻撃者が長期的な情報を ChatGPT に埋め込む可能性は依然として残っています。この手法は、ほとんどのユーザーがメモリ機能へのアクセスに利用している ChatGPT の従来の Web インターフェイス経由ではありません。(情報源:Ars Technica、wunderwuzzi’s blog)
Talos についての関連情報
Talos が参加予定のイベント
VB2024(10 月 2 日~ 4 日)
ダブリン(アイルランド)
MITRE ATT&CKcon 5.0(10 月 22 日~ 23 日)
バージニア州マクリーン(オンラインあり)
Nicole Hoffman と James Nutland が Akira ランサムウェアの簡単な歴史と、Linux ランサムウェアの状況についての概要を紹介します。その後、ATT&CK フレームワークを使って最新の Linux 亜種を技術的に深く掘り下げ、その手法、戦術、手順を明らかにします。
misecCON(11 月 22 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が DFIR(デジタルフォレンジックとインシデント対応)の核心に迫ります。DFIR ではデジタルフォレンジックが捜査活動、インシデント対応が消火活動に相当します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名:c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
一般的なファイル名: VID001.exe
偽装名:なし
検出名: RF.Talos.80
SHA 256:76491df69a26019139ac11117cd21bf5d0257a5ebd3d67837f558c8c9c3483d8
MD5: b209df2951e29ab5eab4009579b10b8d
一般的なファイル名: FileZilla_3.67.1_win64_sponsored2-setup.exe
偽装名:FileZilla
検出名: W32.76491DF69A-95.SBX.TG
SHA 256:5e537dee6d7478cba56ebbcc7a695cae2609010a897d766ff578a4260c2ac9cf
MD5: 2cfc15cb15acc1ff2b2da65c790d7551
一般的なファイル名: rcx4d83.tmp
偽装名:なし
検出名: Win.Dropper.Pykspa::tpd
SHA 256:581866eb9d50265b80bae4c49b04f033e2019797131e7697ca81ae267d1b4971
MD5: 4c5fdfd4868ac91db8be52a9955649af
一般的なファイル名:なし
偽装名:なし
検出名:W32.581866EB9D-100.SBX.TG
本稿は 2024 年 09 月 26 日にTalos Group
Authors