国営の水道システムなどの重要なインフラストラクチャが、依然として国家の支援を受けた攻撃者に狙われる危険にさらされています。これについて、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)が改めて警告
しました。
先週、CISA がアドバイザリを公開しました。その数日前に、カンザス州の小規模な水処理施設がサイバー攻撃を受けて手動での操業を余儀なくされています。
2021 年に Colonial Pipeline 社が攻撃を受け、米国東部全域がガソリン不足に見舞われて以来、Talos は何度も警告を発してきました。私としては、今回のこともその流れの一環にすぎないと感じています。重要なインフラストラクチャを保護することの重要性は、ここ何年にもわたってお伝えしてきたわけですが、今回、新たに何をお伝えできるでしょうか?
まず、こうした攻撃の発生頻度は増加傾向にあると見られます。業界では、サイバーセキュリティのポリシーや手順を策定するためのさまざまな取り組みをしていますが、これまでのところ効果は出ていません。
報道によると、ホワイトハウスは、11,000 人分の公共水道に影響を及ぼしたカンザス州での攻撃を受け、水処理施設向けに第 2 弾のサイバーセキュリティ勧告を発表すべく取り組んでいるとのことです。今回のサイバー攻撃では、実際に水が利用できなくなった人はいませんでした。しかし、もし国家の支援を受けた攻撃者が人口の多い町の水処理施設を標的にしていたら、あるいは施設を手動で操業するためのバックアップ計画がなかったら、どれほどの大問題になったことでしょう。今回の攻撃により、そうした問題が浮き彫りになったことになります。
米国環境保護庁(EPA)は昨年、州議員や連邦議員、民間の水道会社からの訴訟が絶えなかったため、水処理場のサイバーセキュリティ基準をまとめた覚書を撤回せざるを得なくなったと発表しました。また、米国水道協会(5 万人以上の会員を擁する非営利のロビー団体)は、水処理施設のサイバーセキュリティ ポリシーは、米国政府任せにせず、水処理施設や米国水道協会のような団体が独自に策定すべきだと訴えています。
つまり、Colonial Pipeline 社の一件からさまざまな教訓を得たはずなのに、何一つ実践できておらず、サイバーセキュリティのポリシーと規制は、依然として 3 年前のままの状態にあるということです。
業界や一部の議員からの働きかけにもかかわらず、こうした団体が独自のポリシーを策定しているのを私はまだ見たことがありません。そうした団体が仮にその権限を持っていたとしても、有効に活かしているようには見えないのです。この先また何らかのインシデントが発生して、数か月後に CISA が同種の警告を再度発することになったなら、あらゆる関係団体は、攻撃は起こり得るし、いずれ発生するという警告の言葉をまた繰り返すだけでなく、さらなる対策を講じてくれるものと期待しています。
重要な情報
Talos は最近、MedusaLocker ランサムウェアの亜種である「BabyLockerKZ」を展開するための攻撃を確認しました。この攻撃者は、遅くとも 2022 年後半には活動を開始しており、世界中の組織を標的に攻撃を展開しています。被害者の数は、2023 年半ばまでは欧州諸国が、それ以降は南米諸国が平均よりも多くなっています。この攻撃者は、おそらく初期アクセスブローカー(IAB)またはランサムウェアカルテルの実行集団として金銭目的で活動していると Talos はある程度の確信を持って判断しています。
注意すべき理由
Talos のテレメトリによると、この攻撃を展開している攻撃者は特に活発に活動していると見られます。1 か月あたり 100 以上の組織に感染を広げていることから、この攻撃が専門的かつ攻撃性の高い性質のものであることがわかります。また、初期アクセスブローカー(IAB)あるいはランサムウェアの実行集団に想定される活動内容とも合致します。BabyLockerKZ の狙いは、他のランサムウェアと同様、標的のファイルを暗号化し、要求した身代金が支払われるまでファイルをロックすることです。
必要な対策
Talos は、この攻撃者グループと BabyLockerKZ の活動を検出する新しい Snort ルールと ClamAV シグネチャをリリースしました。同グループは、公開ツールを攻撃に使用していることもわかっています。たとえば現在セキュリティコミュニティではよく知られている Mimikatz も使用しています。こうした攻撃者による使用が増えている環境寄生型バイナリ(LoLBin)について、詳しくは Talos のこちらのブログ記事をご覧ください。
今週のセキュリティ関連のトップニュース
LockBit ランサムウェアグループの関係者と思われる 4 人の人物を、各国の法執行機関が協力して逮捕し、正体を暴く。この捜査の一環で、LockBit のメンバーの 1 人とロシアの支援を受けたサイバー犯罪組織 Evil Corp との間につながりがあることが明らかになっています。今回の逮捕を発表した記者会見で、英国の国家犯罪対策庁(NCA)の代表者は、Evil Corp はロシア政府と「特権的な」関係を維持しており、NATO 諸国に対する標的型サイバー攻撃の実行をたびたび依頼されていたと述べました。LockBit はこれまで、居住する国に関係なく、金銭目的で民間企業を標的とするランサムウェア攻撃に関与していました。一方、欧州警察機構、英国 NCA、米国 FBI、日本の警察庁も、LockBit のランサムウェアの被害を受けたファイルのロックを解除できる復号ツールの開発とリリースを連携して進めてきました。昨年からは、LockBit が所有する資産やサーバーを押収するための取り組みも行っています。LockBit は、過去数年の間に発生した複数の大規模攻撃を展開したと考えられています。標的とされたのは、ボーイング社、フォルクスワーゲン社、複数の主要国際空港、ジョージア州フルトン郡が所有するコンピュータなどです(情報源:欧州警察機構、TechCrunch)。
米国国立標準技術研究所(NIST)のパスワードに関する勧告の最新版では、複雑なパスワードの推奨を削除し、長いパスワードを推奨。NIST のパスワードガイドライン最新版では、パスワードでは複数の文字種を組み合わせて使い、頻繁に変更することを推奨する記述が削除されました。その代わり、ログイン情報サービスプロバイダー(CSP)はユーザーに対し、ASCII 文字または Unicode 文字を含む 15 文字から 64 文字のパスワードの作成を推奨するようにという旨の記述があります。旧バージョンの NIST 規格を受けて、多くのユーザーは、「Password1234!」のような推測しやすいパスワードを採用するか、複雑なパスワードを参照しやすい場所に保管(コンピュータの近くの紙に書き留めるなど)したりしていました。CSP に対しては、その他にも、パスワード選択の際に知識ベースの認証を行ったりセキュリティに関する質問を出したりするのをやめるようにという指導も出されています。NIST 規格は、米国政府と Microsoft や Google などの大手テクノロジー企業が広く採用している原則を公式化したものなので、重要です。最新版には、ユーザーがパスワードを変更する必要があるのはデータ侵害の発生が公表された場合のみとする記述もあります(情報源:Infosecurity Magazine、Dark Reading)。
起亜自動車の Web アプリケーションの脆弱性が判明、ナンバープレートの読み取りやドアのロック解除が可能になるほか、遠隔でエンジンを始動される恐れも。起亜自動車の Web ポータルに存在していたこの脆弱性には、すでにパッチが適用されています。脆弱性をエクスプロイトすると、攻撃者は実質的に独自の Web アプリケーションを構築して展開し、起亜自動車の最新の車両に搭載されているインターネット接続機能の制御を再割り当てできます。標的車両の位置情報を即座に探知したり、ナンバープレートを読み取ったりできるほか、クラクションを鳴らすことさえ可能になります。研究者グループが現代自動車傘下の企業の脆弱性を公開するのは、この 2 年間で 2 件目となります。今回判明した脆弱性は、今の時代の自動車が抱えるリスクを浮き彫りにしています。今では、自動車の多くが機能の一部にインターネット接続を活用したり、Web アプリケーションや Web サイト、携帯電話アプリケーションとのインターフェイスを持ったりするようになっており、リスクを抱えているのです。研究者による概念実証には、ナンバープレートから読み取った番号を入力すると所有者の個人情報を取得できるダッシュボードもありました。これを使って自分自身を車の「所有者」として追加すれば、車両でコマンドを実行できるようになります(情報源:Wired、Security Week)。
Talos についての関連情報
- 復活するスパム:Cisco Talos が新たな手口に警鐘
- OpenPLC で重大なリモートコード実行の脆弱性が発見
- SMTP を使用した海賊行為:サードパーティのインフラを悪用してスパムを送信する手口
Talos が参加予定のイベント
MITRE ATT&CKcon 5.0(10 月 22 日~ 23 日)
バージニア州マクリーン(オンラインあり)
Nicole Hoffman と James Nutland が Akira ランサムウェアの簡単な歴史と、Linux ランサムウェアの状況についての概要を紹介します。その後、ATT&CK フレームワークを使って最新の Linux 亜種を技術的に深く掘り下げ、その手法、戦術、手順を明らかにします。
it-sa Expo & Congress(10 月 22 日~ 24 日)
ニュルンベルク(ドイツ)
White Hat Desert Con(11 月 14 日)
ドーハ(カタール)
misecCON(11 月 22 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が DFIR(デジタルフォレンジックとインシデント対応)の核心に迫ります。DFIR ではデジタルフォレンジックが捜査活動、インシデント対応が消火活動に相当します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
一般的なファイル名: VID001.exe
偽装名:なし
検出名: RF.Talos.80
SHA 256:76491df69a26019139ac11117cd21bf5d0257a5ebd3d67837f558c8c9c3483d8
MD5: b209df2951e29ab5eab4009579b10b8d
一般的なファイル名: FileZilla_3.67.1_win64_sponsored2-setup.exe
偽装名: FileZilla
検出名: W32.76491DF69A-95.SBX.TG
SHA 256:c20fbc33680d745ec5ff7022c282a6fe969c6e6c7d77b7cfac34e6c19367cf9a
MD5: 3bc6d86fc4b3262137d8d33713ed6082
一般的なファイル名: 8c556f0a.dll
偽装名:なし
検出名: Gen:Variant.Lazy.605353
SHA 256:f0d7a2bb0c5db162332418747ba4987027b8a746b24c919a24235ff3b70d25e3
MD5: 0d849044612667362bc88780baa1c1b7
一般的なファイル名: CryptX.dll
偽装名:なし
検出名: Gen:Variant.Lazy.605353
SHA 256:331fdf5f1f5679a6f6bb0baee8518058aba8081ef8f96e57fa3b74291fcbb814
MD5: f23b90fc9bc301baf3e399e189b6d2dc
一般的なファイル名: B.dll
偽装名:なし
検出名 Gen:Variant.Lazy.605353
本稿は 2024 年 10 月 03 日にTalos Group
Authors