今週も脅威情報ニュースレターをお届けします。
私が今の仕事に就けているのは信じられないくらい幸運なことだと思います。正式な肩書は「シニア セキュリティ ストラテジスト」です。どこか洒落た響きを持つ肩書ですが、基本的な業務内容は、人々の安全を守るために同僚や仲間と一緒に Talos で脅威リサーチを行うことです。お客様やコミュニティのもとに足を運んで、リサーチの内容や、どのように脅威に取り組んでいるかについて話をする機会もあります。これまでに、ウクライナからカリフォルニアまで、さまざまな興味深い場所に仕事で出向きました。アラバマ州の小さな町出身の人間にしてみれば、悪くないと思っています。
この仕事は誰にでも向いているわけではありません。ある程度外向的な性格である必要があり、若者言葉で言うところの「カリスマ性」がそこそこ求められます。たとえばランサムウェアについて話せば十分かというと、そんなことはありません。必要に応じて高度な技術的詳細を説明できなくてはなりませんし、最高責任者レベルの役員に相応のビジネス用語を駆使して説明できる能力も必要です。それから、聞き手を引き込むような魅力的な方法で説明することが重要です。つまり、セキュリティ担当者としての専門知識と、それを相手に伝える能力の両方が求められます。伝える内容は、必ずしも技術的なものばかりではありません。
ハリウッド俳優並みの整った容姿とカリスマ性を持つ、ソーシャルメディアのインフルエンサーである必要があるかと聞かれれば、決してそんなことはありません。私はセキュリティのインフルエンサーには程遠く、話すのが好きなただのセキュリティオタクです。繰り返しになりますが、私は非常に恵まれています。
仕事の内容によっては意外な場所に行くことがあります。数週間前、フォード財団の Center for Social Justice
に行く機会がありました。NGO-ISAC の年次サミットに参加して支援を行うことが目的でした。NGO-ISAC は、米国に拠点を置く非営利団体のサイバーセキュリティの改善を図っている NPO です。非政府組織(NGO)のサイバーセキュリティをサポートし、市民社会の保護と活性化に貢献する素晴らしい活動を行っています。幸いなことに Talos は NGO-ISAC とパートナー関係にあり、支援する側をサポートするという使命を支えるために時間とリソースを無償で提供しています。
NGO-ISAC とそのメンバーのパートナーであること、そしてボランティアとして共に活動できることに誇りを持っています。心から謙虚な気持ちになりたいなら、どこか 1 つの NGO で時間を過ごし、どのような取り組みを行っているかを見てみると良いでしょう。活動している人々のエネルギーと思いやりは驚くほどで、影響を受けずにはいられないはずです。満足に食べられない人々に食事を提供したり、ホームレスの人たちに衣服を提供したり、難民を保護したり、民主主義を促進したり、さまざまな取り組みが行われています。そして多くの場合、私たちの社会が依存している立場の弱い人々や組織の支援を行っています。一方で、従来からサイバーセキュリティには悪戦苦闘してきました。活動費を寄付に頼っているので、セキュリティに対する投資と専門知識を確保するのは容易ではありません。彼らの取り組みはまさに善意の活動そのものであり、Talos は他者を支援している人々をいつでもサポートできるようにしています。
滞在中、私が NGO-ISAC との共同開発に関わった Backdoors & Breaches(インシデント対応のカードゲーム)の NGO 版を初披露しました。かなり好評だったのでゲームのデモをお見せしたところ、強い共感を得られました。NGO にサイバーセキュリティについて理解を深めてもらうのは素晴らしいことです。NGO がセキュリティを確保できれば、それによって救われる人が多くなります。1 月のブログ記事で、Backdoors & Breaches のカスタム拡張をどのように設計および作成したかを紹介しますので、どうぞご注目ください。
フォード財団ビルについても触れておくと、本当に素晴らしい建物です。ニューヨーク市の中心部にあるのですが、静けさに包まれています。屋内の吹き抜け部分は公園になっていて、時代の先を行っています。建物全体に流れるジャズと装飾が相まって、これまで旅先で経験したことがほとんどないような高級感が漂っていました。毛布に包まるように、素晴らしい雰囲気に浸りきりたいと思わせる場所です。
重要な情報
本当の QR コードなのか、注意が必要です。スマートフォンでスキャンするとチーズバーガーを無料でもらえる場合もあれば、Office 365 のフィッシングサイトに誘導される場合もあります。電子メールにある QR コードが厄介なのは、スパムフィルタを簡単に回避できる点です。同僚の Jaeson Schultz が、電子メールのメッセージ内にある QR コードについて、攻撃の手口、メールに含まれている割合、検出に関する素晴らしいリサーチを行いました。AI が生成した QR 画像は必見です。巧みに作られているので、スキャンする際は注意するようにしてください。
注意すべき理由
電子メールによるフィッシングと防御の回避は、攻撃者が試行錯誤の末に確立した戦略です。QR コードもまた、攻撃手法の 1 つです。コードの無害化や検出が困難なので、この手の脅威を理解して防止するにはさらなる対策が必要になります。
必要な対策
QR コードをスキャンする際は特に注意を払いましょう。可能なら、不審な QR コードが含まれる電子メールについては、Threat Grid などのサンドボックスで検出して分析するようにしてください。
今週のセキュリティ関連のトップニュース
米国の少なくとも 97 の主要水道システムに、重大なサイバーセキュリティ上の脆弱性が発覚。コンプライアンスの問題があることもわかり、サイバー攻撃により、企業や産業、さらには数百万人にのぼる市民の生活が混乱に陥る懸念が生じています。(情報源:Dark Reading)
NSA が、モバイルデバイスのセキュリティに関するベストプラクティスレポートを更新。少なくとも週に一度はスマートフォンを再起動するようにしましょう。(情報源:ZDNet)
米国と西側諸国が、中国とつながりのあるグループを強制排除するためのガイダンスを公開。注目を集めたハッキング事件を受けての対応です。(情報源:CyberScoop)
Talos についての関連情報
- 新たに発見された PXA Stealer が狙うのは政府機関や教育機関の機密情報
- TTP エピソード 7:MITRE ATT&CK に照らした今年の評価結果の解説
- 特別編成のチームでお届けする『Beers with Talos』エピソード:失敗談、セキュリティに関する深掘り
Talos が参加予定のイベント
AVAR(12 月 4 ~ 6 日)
インド、チェンナイ
Cisco Talos の Vanja Svancer と Chetan Raghuprasad がプレゼンテーションを行います。Vanja は「Exploring Vulnerable Windows Drivers」、Chetan は「Sweet and Spicy Recipes for Government Agencies by SneakyChef」について講演します。
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647
MD5:bbcf7a68f4164a9f5f5cb2d9f30d9790
VirusTotal:https://www.virustotal.com/gui/file/0e2263d4f239a5c39960ffa6b6b688faa7fc3075e130fe0d4599d5b95ef20647/details
一般的なファイル名:cwjhtmbwgyomzrhbo.exe
偽装名:なし
検出名:Win.Dropper.Scar::1201
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507/detection
一般的なファイル名:VID001.exe
偽装名:なし
検出名:Coinminer:MBT.26mw.in14.Talos
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:200206279107f4a2bb1832e3fcd7d64c
VirusTotal:https://www.virustotal.com/gui/file/47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca/details%C2%A0
一般的なファイル名:lsgkozfm.bat
偽装名:なし
検出名:Win.Dropper.Scar::tpd
SHA 256:47ecaab5cd6b26fe18d9759a9392bce81ba379817c53a3a468fe9060a076f8ca
MD5:71fea034b422e4a17ebb06022532fdde
VirusTotal:https://www.virustotal.com/gui/file/bea312ccbc8a912d4322b45ea64d69bb3add4d818fd1eb7723260b11d76a138a/details
一般的なファイル名:VID001.exe
偽装名:なし
検出名:RF.Talos.80
SHA 256: 3a2ea65faefdc64d83dd4c06ef617d6ac683f781c093008c8996277732d9bd66
MD5:8b84d61bf3ffec822e2daf4a3665308c
VirusTotal:https://www.virustotal.com/gui/file/3a2ea65faefdc64d83dd4c06ef617d6ac683f781c093008c8996277732d9bd66/details%C2%A0
一般的なファイル名:RemComSvc.exe
偽装名:なし
検出名:W32.3A2EA65FAE-95.SBX.TG
本稿は 2024 年 12 月 05 日にTalos Group
Authors