Cisco Talos での職を求めて初めて Joel Esler と面接したとき、印象に残ったことがあります。私が質問をする番になったとき、サイバーセキュリティについて学ぶためにどんなリソースを利用できるかと尋ねました。この分野での経験がまったくなかったからです。
すると彼はこう答えました。「人間です」と。この質問をしたとき、オフィス全体が私のための図書館だと Joel は言い、できるだけ多くの質問をするよう勧めてくれました。
私はジャーナリズム出身で、地方自治体、金融、銀行、芸術、文化、スポーツなど、さまざまなトピックについて報道していましたが、サイバーセキュリティはまったく未知の世界でした。それから約 7 年が経ち、200 回近くエピソードを配信したポッドキャストのホストを務め、サイバーセキュリティのニュースレターを再開し、盗んだ個人情報を売買する悪質な Facebook グループを調査し、ClamAV シグネチャの書き方まで習得しました。
残念ながら、今週を最後に私は Talos を離れますが、サイバーセキュリティの世界から離れるわけではありません。新たな道に進むにあたり、この場をお借りして、Talos でのキャリアで学んだことをご紹介したいと思います。
これは、読者の皆さんの参考になる話だと思うのですが、サイバーセキュリティの分野で働きたいのであれば、経歴や学歴は関係ありません。ちゃんと働けます。私は Talos で、テロ対策、ドイツとロシアの歴史、政治学を学んだ同僚たちと出会いました。では自分はどうかというと、サイバーセキュリティについてほとんど何も知らないまま、私は初出社日を迎えました。文章は書けるので、Talos の記事の作成を手伝える(そして、Talos のブログ記事に時々見られる受動態を排除できる)とは思っていましたが、リモートアクセス型トロイの木馬についてはそれまで一度も聞いたことがありませんでした。
これからお伝えする内容が、皆さんや皆さんのチーム、あるいは皆さんが次にサイバーセキュリティ業界に採用しようと考えている人の心に響くことを願っています。
- 人がいなければ何もできません。人工知能(AI)の到来により、今年はこれが非常に重要な意味を持つようになりました。私は個人的に「AI」という言葉に抵抗があります。なぜなら、サイバーセキュリティの分野ではもう何年も前から機械学習が使用されており、それこそが現在「AI」というバズワードが本質的に意味するものだからです。といっても、サイバーセキュリティの検出を機能させているのは、結局のところ人間なのです。(AI かどうかに関係なく)セキュリティ製品に搭載されるインテリジェンスの作成、テスト、改善に必要な努力を惜しまないチームがなければ、失敗するのは目に見えています。これらのツールの効果はどれも、ツールに情報を落とし込む人々の能力にかかっています。私は、Talos の全員が持つ経験、仕事に向き合う姿勢、知識に非常に感銘を受けています。彼らがエンジンを動かすのであって、彼らがいなければ、エンジンはまったく機能しません。
- サイバーセキュリティで自分のニッチな分野を切り開くことができます。と言っても、サイバーセキュリティの分野で働くためにはコーディングの知識が必須ということではありません。誰もが自分のスキルセットを活かして、ニッチな分野を独自に切り開くことができます。私はいまだに Python の書き方をほとんど知りませんが、自分が持っているスキル(リサーチ、執筆、ストーリーテリング、オーディオ編集など)を活かして、サイバーセキュリティ分野での自分の居場所を見つけることができました。マルウェアのリバースエンジニアリングの方法を知らなくても、セキュリティの問題や解決策について同僚と知的な会話をすることができます。また、技術的な面においても、誰もが自分の専門分野を切り開くことができます。Talos には電子メールスパムの専門家がいて、誰も知らないような特殊な電子メールスパムの専門家すらいます。さらに、特定の地域を専門とする人もいます。その地域の言語を話せるので、表面的なものの奥にある、ネイティブスピーカーにしか分からない背景情報を明らかにすることができるのです。
- スポンジのように吸収しましょう。今週のニュースレターの冒頭の話に戻りますが、私は Talos で働き始めた最初の数か月で何百もの質問をする必要がありました。何も知らないと思われることへの恐怖を克服するのにはかなりの時間がかかりました。そのため、質問を口に出せなかったり、Google 検索で正しい答えが得られたと単純に思い込んだりして、最初の頃はチームメイトとあまり知的な会話をすることができませんでした。セキュリティ分野で何年仕事をしていたとしても、学ぶべき新しいことは常にあります。特定のトピックについて自分が何でも知っていると思い込まないでください。情報を吸収するスポンジのようになれば、その過程でどのような新しいスキルを習得できるか、誰にも分からないのです。ジャーナリズムの学位を取得して大学を卒業した当時、原子時計が送電網を稼働させる仕組みを理解しなければならなくなると言われたとしても、私は決して信じなかったでしょう。しかし、ブログ記事をご覧いただけばお分かりのとおり、今は違います。
脅威情報ニュースレターは、リニューアルのため数週間休止しますが、新しくなって再開される予定です。
長年にわたって、このニュースレターを成長させ、形にするのに手を貸してくださったすべての皆さんに感謝を述べたいと思います。おかげさまで、購読者数は何千人にも増えました。そしてもちろん、長年にわたってこのニュースレターを愛読し、共有してくださった読者の皆さんにも感謝します。
重要な情報
Cisco Talos は、遅くとも 2023 年後半から活発化している新たな一連の攻撃を確認しました。Talos が「UAT-5647」として追跡しているロシア系の攻撃グループによるもので、ウクライナの政府機関とポーランドの組織(詳細不明)が標的になっています。最新の一連の攻撃では RomCom マルウェアの更新バージョンが展開されており、Talos はこれを「SingleCamper」として追跡しています。このバージョンはレジストリから直接メモリにロードされ、ループバックアドレスを使用してローダーと通信します。
注意すべき理由
攻撃グループ UAT-5647 には複数の目的があり、ランサムウェア攻撃とスパイ活動を行っていると長い間考えられてきました。しかし、ここ数か月の間は、長期的なアクセスを確立して戦略的に重要なデータを漏洩させることに明確な重点を置き、攻撃を拡張しています。UAT-5647 はツールも進化させており、RustClaw および MeltingClaw(ダウンローダー 2 種、Talos はこの名前で追跡中)、DustyHammock(RUST ベースのバックドア、Talos での呼称)、ShadyHammock(C++ ベースのバックドア、Talos での呼称)の 4 つのマルウェアファミリを追加しています。
必要な対策
Cisco Talos は、UAT-5647 が使用する複数のマルウェアファミリを検出して防御するための Snort ルールと ClamAV シグネチャをいくつかリリースしました。
今週のセキュリティ関連のトップニュース
最近明らかにされている、中国政府支援の複数の攻撃グループによる米国のネットワークへの侵入事件の真相解明に向けて、政府当局と安全保障当局が調査を継続中。直近では、新たな攻撃グループ Salt Typhoon についての情報が公開されており、外国情報監視システムや、Verizon 社や AT&T 社など一部の ISP が米国の裁判所命令に基づいて収集する電子通信にアクセスした可能性があるとされています。報道によると、Salt Typhoon は機密性の高い情報や法執行データにアクセスしたとのことです。今年初め、中国政府が支援する他の攻撃グループ Volt Typhoon と Flax Typhoon による米国政府のネットワークおよび軍事基地のシステムへの攻撃が報じられましたが、今回の報道はそれに続くものです。最近発見された Salt Typhoon についてある情報筋は「壊滅的な事態につながる可能性がある」と Wall Street Journal に語っています。攻撃グループは、Verizon 社、AT&T 社、Lumen Technologies 社が米国の通信支援法(CALEA、法執行機関の要求に応じて盗聴を事実上合法化する法律)に準拠するために使用しているシステムを悪用して不正アクセスした疑いがあります。(情報源:Axios
、Tech Crunch)
ゼロデイ脆弱性が悪用されたことを半導体メーカー Qualcomm が公表、人気の Android デバイスで使用されている同社製チップセット数十個に影響。この脆弱性(CVE-2024-43047)について、現時点では詳細はほとんど明らかになっていませんが、Google と Amnesty International の研究者らは、Qualcomm と連携して修復を進めており、責任を持ってより多くの情報を開示すると述べています。Qualcomm は、多くの Android スマートフォン(Motorola 製、Samsung 製、ZTE 製など)で使用されている同社の Snapdragon 8 モバイルプラットフォームを含む、64 種類のチップセットがこの脆弱性の影響を受けるとしています。米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)も、悪用が確認された脆弱性カタログ(KEV)にこの問題を追加し、実際の悪用が確認されたと発表しています。Qualcomm は、9 月に修正プログラムを公開しており、デバイスメーカー各社が現在、影響を受けるデバイスの顧客にパッチを提供しているところだと述べています。(情報源:Android Police、Tech Crunch)
世界中で 14,000 台もの医療機器がオンライン接続しており、多数のセキュリティの脆弱性やエクスプロイトにさらされていることが新しい調査で判明。セキュリティ調査会社 Censys は最近、医療機器が攻撃されるおそれがあり、「不正アクセスやエクスプロイトのリスクが著しく高い」状態にあることを発見しました。攻撃のリスクにさらされている機器の 49% は米国に設置されています。米国の分散型医療システムが、こうした脆弱なデバイスの数の多さに影響していると見られています。英国のように政府が一元的に医療システムを組織し管理している国とは違って、米国では脆弱性が公表された場合に機器を隔離したり、パッチを適用したりするための調整があまり行われていないからです。Censys による調査で、小規模な医療機関に属するネットワークの多くは住宅用 ISP を使用しており、本質的に安全性が低いことが判明しました。事前設定済みのログイン情報を変更せずに、あるいは接続を暗号化せずに、機器を設定しインターネットに接続している医療機関もあります。中には単に、機器の設定が間違っていた事例もありました。医療画像の共有や表示を目的としたオープン DICOM および DICOM 対応の Web インターフェイスが脅威リスクの 36% を占めており、これらのシステムをホストしている IP の数は 5,100 に上ります。(情報源:CyberScoop、Censys)
Talos についての関連情報
Talos が参加予定のイベント
MITRE ATT&CKcon 5.0(10 月 22 日~ 23 日)
バージニア州マクリーン(オンラインあり)
Nicole Hoffman と James Nutland が Akira ランサムウェアの簡単な歴史と、Linux ランサムウェアの状況についての概要を紹介します。その後、ATT&CK フレームワークを使って最新の Linux 亜種を技術的に深く掘り下げ、その手法、戦術、手順を明らかにします。
it-sa Expo & Congress(10 月 22 日~ 24 日)
ニュルンベルク(ドイツ)
White Hat Desert Con(11 月 14 日)
ドーハ(カタール)
misecCON(11 月 22 日)
ミシガン州ランシング
Talos インシデント対応チームの Terryn Valikodath が DFIR(デジタルフォレンジックとインシデント対応)の核心に迫ります。DFIR ではデジタルフォレンジックが捜査活動、インシデント対応が消火活動に相当します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
今週はお知らせする新しいデータがありません。このセクションは、脅威情報ニュースレターの次号で全面的に刷新される予定です。
本稿は 2024 年 10 月 17 日にTalos Group
Authors