原文のブログはこちらからご覧いただけます。
(本ブログ記事は、Forcepoint 社 が BlackBerry のサイバー脅威インテリジェンス担当シニアディレクター Dmitry Bestuzhev を迎えて 2023 年 6 月 21 日に配信したポッドキャスト「Anticipation and Preparation: The Science Behind Cyber Threat Intelligence with Dmitry Bestuzhev」の書き起こしから、許可を得て抜粋したものです。ポッドキャストと関連コンテンツはこちらでご視聴いただけます。)
Petko Stoyanov氏(以下Petko、敬称略):本日は素晴らしいゲストにお越しいただきました。技術的な話題にも及びそうで楽しみです。お話を伺うのは、BlackBerry サイバー脅威インテリジェンス(CTI)担当シニアディレクター、Dmitry Bestuzhev (以下Dmitry)氏です。BlackBerry に入社される前は、Kaspersky社の グローバル調査分析チームの責任者のひとりとして、マルウェア対策を開発する技術部門を監督されていました。
この分野で働くDmitryは、これまで国家によって引き起こされるさまざまな出来事や攻撃の手法を目にしてきました。しかし彼自身は 20 年間、もっぱら IT セキュリティとその他さまざまな役割に従事しています。
今回、この専門分野について、また政府やその他あらゆる分野で私たちが目にしてきた詐欺や攻撃に関する知見について、彼とお話しできることを楽しみにしています。さて Dmitry さん、まずお伺いします。ご自身の経歴や研究について、何か補足すべき点があれば教えてください。また現在は何に取り組まれているのでしょうか ?
Dmitry:Petko さん、ありがとうございます。お招きいただき光栄です。現在ですが、とても大変な状況です。脅威アクターに関して言えば、脅威環境はいっそう奇妙なものになっています。またツールや武器に関しては、金銭目的の脅威アクターや国家が同じツールに依拠する度合いを強めています。
こうなると私たち CTI リサーチャーの業務は少し難しくなります。それぞれの攻撃の背後に誰がいるのか、今やその境界線が非常に曖昧になっているためです。私たちはそうした攻撃の標的を全世界のすべての地域で追跡しています。脅威アクターがスペイン語、ロシア語、中国語、英語、フランス語などいずれの言語圏に属するかに関わりません。
Dmitry:私たちは技術的な観点から、そうした知識や情報を実用的なものに変換します。これを活用して具体的な行動につなげることで、組織の各種機能や予防、検知、対応、復旧の能力をテストできます。これが、私がチームとともに取り組んでいることです。
Petko:Dmitry さん、今伺ったのはCTIについてですよね。一般的に、CTIは何をもたらすのでしょうか ? つまり、脅威インテリジェンスと聞くと私たちはそのスピードや費用面について考えがちですが、それだけではないと私は思っています。
Dmitry:その通りです。
Petko:CTI をどのように定義しますか ?
Dmitry:そうですね、CTI はいわば学問分野、あるいは知識であり、常に実用的なものに変換できなくてはなりません。また、単にフィードや IOC[MY1] [PK2] 、ハッシュ、ドメインがあれば良いわけではなく、コンテキスト、すなわち文脈や背景が必要です。効果的な CTI プログラムを構築したいのであれば、業界全体ではなく特に自組織を狙う攻撃の予測に役立つコンテキストの把握が欠かせません。
その予測もまた、極めて具体的である必要があります。誰が、なぜ組織を攻撃するのかだけでなく、どのように攻撃するのか。この「どのように」が答えるべき問いなのです。誰が、どのように、いつ、何をするのか。これらすべての情報について、CTI レポートのさまざまなセクションにおいて答えを出す必要があります。十分ハイレベルな情報が得られることもあれば、中程度や極めて低いレベルの情報に留まることもあります。そして、その情報を CTI の 4 つの小分類、つまり戦略的、戦術的、技術的、および運用的インテリジェンスに変換するという考え方です。
そうすれば、経営陣、システム管理者、ネットワーク管理者、インシデント対応チーム、SOC、ブルーチームの防御担当者など、すべての人員が各自のレベルに応じた必要なすべての情報を得て、それによって攻撃を予測し、自らの職能をテストして、経営陣の場合には今後の展開を知ることが可能になるでしょう。
Dmitry:資金はどの程度必要となるか ? リスクと影響はどのようなものか ? 重要なのは、従来のフィードなど私たちが普段目にするものだけではありません。それらは一部分に過ぎないのです。
Petko:CISO や CIO に対して防御インフラの状況をありのままに伝えることが重要ということでしょうか ? たとえば、私たちは現にこのような脅威に直面しており、それを防御できるかどうかというように。現在はこうした点に注力されているのでしょうか ?
Dmitry:そうです。現に私たちは日々攻撃を受けていますよね。それらの攻撃を一目見て、「ああ、これはマルウェアだ。この手口は見たことがある。しかし、背後にいるのは誰 ? なぜ ? どうやって ?」などと言うことはできません。こうした情報が収集、処理され、レポートの形へとまとめられます。
これらのレポートは各業界につながっており、また攻撃者を動機付けている地域にもつながっています。そうして、企業が最初に確認すべき技術的かつハイレベルな情報が得られます。組織の保護状況はどうでしょうか ? つまり、自社の製品や現在使用している製品は、攻撃を阻止するように作られているでしょうか ? もしそうでないなら、攻撃を検知できるでしょうか ? つまり、「保護はできないが、ログがあるから検知はできる」と言えるだけの可視性を確保できているでしょうか ?
得られる情報は、攻撃やツール、使用される技術に関するものかもしれませんし、顧客の保護の対象外かもしれません。これらすべては常に実用的である必要があります。CTI には実用性が不可欠なのです。実用性がなければ CTI とは言えず、単なるマルウェア解析にしかなりません。
Petko:組織、あるいはユーザーが CTI を実用に移す方法について、最近の実例をいくつか挙げていただけますか ?
Dmitry:もちろんです。私たちは最近、ウクライナで多くの攻撃、地政学、そして戦争を見てきました。ウクライナへの攻撃の背後にいる脅威アクターは、NATO 加盟国も標的にし始めています。その手口は、NATO 加盟国がウクライナ支援に用いているソフトウェアを偽装するというものです。
私たちが顧客、つまり CTI の顧客に提供するのは、情報を記載した文書です。たとえば、何が、いつ、どのように発生したかの概要をまとめます。
様式にはルールがあり、まず初めに結論を述べます。次に MITRE ATT&CK® 情報の概要です。すなわち、武器化の技術的解析、初期攻撃ベクトルの技術的概要、ネットワークインフラ、さらに標的や帰属について記載し、結論を述べます。
結論には何をすべきかを記載します。そして付録です。技術的な付録として、IoC、適用される対策、MITRE ATT&CK の詳細なマッピングを含めます。実際の顧客側の流れを説明しましょう。まず、何が起きているかを把握します。組織が攻撃を受けているかどうかはわからないので、脅威ハンティングを開始します。
どのように ? Sigma ルールと Suricata ルールがあります。エンドポイントレベルでの挙動を見て、Sigma ルールや Suricata ルールに基づき、何らかの一致があるかどうかを確認します。次にネットワークレベルに移行し、さまざまな攻撃についての記述に見られるような、悪意あるトラフィックの挙動があるかどうかを確認します。
あるいは、YARA ルールも使用できます。ファイルについてはどうでしょうか ? システムで実行されているファイルに、何らかの共通点や関連性はあるでしょうか ? 予防的なハンティングもできますし、感染が確実ならその対処も可能です。しかしコンテキストが把握できていれば、探すべきものも、それがどのように動作するかも自明になります。
何が動機かも把握できているため、攻撃を完全に緩和できます。
Dmitry:こうした理解の上で、たとえば標的が政府機密や軍事機密だったとして、それらの情報が侵害された場合には運用も侵害されていると想定すべきでしょうか ? つまり、あらゆる現場が侵害されていると。この場合の復旧対策として、単に「パスワードを変えよう」とか、「アクセスを無効にしよう」というわけにはいきません。
重要なのは、現実世界も含め、おそらく全体が侵害されていると理解することです。その理解が、非常に具体的かつ明確な態度で優れた対策を取る支えとなり、現実世界とサイバー空間にプラスの効果をもたらすでしょう。
Petko:Dmitry さん、私が SOC を運用していた頃、今伺ったようなレポートを受け取り、エンドポイントで脅威をブロックしたと思い込んでいたことがあります。そして、実際には気づいていなかったのですが、その脅威は Active Directory サーバーに侵入し、ユーザー名とパスワードを公開する特定のファイルをコピーしていました。
私たちは 1 つのエンドポイントだけではなく、全ユーザー名とパスワードをクリーンアップし、サービスアカウントやその他すべてをリセットしなくてはなりませんでした。
Dmitry さんは最先端で働き、常に新しいものを目にされていて素晴らしいです。最新の動向はいかがでしょう ? 企業レベルでは、私たちはサイバー脅威インテリジェンスに取り組んでいます。
個人を狙った攻撃といったものについてはいかがですか ? 今では多くの人が旅行をしています。旅行者が気をつけるべきことはありますか ?
Dmitry:はい。旅行分野は多くの脅威アクターが標的とするエコシステムの 1 つであり、さまざまな手法が見られます。それが金銭目的のマルウェアといった従来型のものに過ぎない場合もありますが、地域によって事情は異なります。
また、脅威アクターもさまざまです。しかし旅行者として私たちが数多く直面するのは、バッテリー切れの問題です。空港では、携帯電話を充電しようと充電ステーションを探している人をよく見かけます。もし見つかれば、携帯電話の持ち主は一安心です。
Petko:携帯電話を充電してはいけないのですか ? 充電する必要があるのに、携帯電話を充電プラグに挿してはいけない理由は何でしょう ?
Dmitry:充電はできますし、現に誰もがそうしています。しかし、そこには現実的なリスクがあります。理論上の話ではなく、「ジュースジャッキング」と呼ばれる手法についての話です。
ジュースジャッキングは悪意ある手法の一種で、デバイスの接続ケーブルなどの物理的な接続手段によって、攻撃を支援または実現します。携帯電話、Apple®製品、Android™ デバイス、あるいはタブレットなど、あらゆるデバイスが対象となり得ます。
そうしたデバイスが悪意のある、または侵害された充電ステーションに接続されると、攻撃者にとってのチャンスが生まれます。単に携帯電話やタブレットのバッテリーが充電されるだけでなく、攻撃者がデータ転送モードを有効化し、デバイス操作や、何らかを窃取またはインストールする機会です。
つまり二重利用です。バッテリーを充電するだけでなく、何らかの悪意ある理由からデバイスに直接アクセスするのです。
Petko:なるほど。私たちが携帯電話を充電するとき、ほとんどの場合は少し放置した後で再び手に取り、使い始めにロックを解除するものだと思います。そしてロックを解除すると、私も何度か見たことがある気がしますが、「この USB ケーブルへのアクセスを許可しますか ?」などと確認されます。
Dmitry:そうですね。
Petko:持ち主としては、もちろん充電がしたいわけです。また、アクセスを許可しないと充電が始まらないこともあります。しかし今の話では、単に充電を許可しただけでなく、その USB ケーブルと接続先の何かに対し、携帯電話のオペレーティングシステムや連絡先へのフルアクセスも許可したということですね。
さらには、携帯電話の中にあり得るその他すべてのものへのアクセスも。先ほど Android や iPhone も、と仰っていましたが、対象はそれに限らずすべてのデバイスですよね ?
Dmitry:はい。実際、携帯電話が Linux で動作していても同じです。これは物理ケーブルを用いた低レイヤーの攻撃なので、専用のブロッカーでデータ転送を厳密にブロックしない限り同じことです。
Petko:物理的なブロッカーですか ?
Dmitry:その通りです。
Petko:つまり、それはソフトウェアではなく、携帯電話やデバイスと USB との間に挟んで使う必要があるもので、これでデータではなく電力だけが供給されるようにするわけですね。
Dmitry:はい。ですから、そうしたブロッカーは旅行に必ず持っていくべきです。飛行機の中で接続するだけであっても。
Dmitry:これを使わない手はありません。何かと引き換えにデータを渡すリスクを冒す必要はないのです。必要なのは、何かを同期することではありません。何も同期したくはなく、ただの電力を求めています。それなのになぜリスクを冒し、自分のデバイスがデータを送受信することはないと想定するのでしょうか。一体何のために ?
Petko:Dmitry さん、あなたは今、私がこれまで気づかなかったことに言及されました。リスナーの皆様はお気づきでしょうか。私たちは空港で携帯電話を充電することを想定しがちですが、機内についてはいかがですか ?
Dmitry:そうですね、目の前にあるコンピューターを見て、人々は「エンターテインメントシステムだ」とか、「ただの座席だ」などと言います。しかし現実として、それはコンピューターです。以前はこうした機内端末は Linux で動作していました。今では OSとしてAndroid の採用がますます増えています。問題は、それらが操作され、または感染する可能性があるかということです。
もちろんその可能性はあります。結局のところオペレーティングシステムなので、何かをインストールやコピーするなど、さまざまなことができます。
AC 電源に接続する場合は問題ありません。単なる AC 電源なら接続して大丈夫です。しかし USB ケーブルを介して機内システムに接続する場合には、常にリスクがあると理解する必要があります。
Petko:なるほど、ATM のようなものですね。数年前のことだと思いますが、そうした ATM がある地域では今も発生しているかもしれません。ATM の端末上に何らかの仕掛けを施し、ATM カードやクレジットカードを実際にスキャンしてコピーするというものでした。
Petko:しかし、同じことが機内や空港でも起こり得るのですね。普通の USB 充電ステーションだと思っていたら何かが仕掛けられ乗っ取られていると。しかも、場合によってはそれに気づくまでに数か月かかることもある。
Dmitry:その通りです。そして飛行中にも別の問題があります。他の乗客が同じネットワークに接続していても把握できません。つまり、Wi-Fi ネットワークも悪意ある脅威アクターに利用される可能性があります。ネットワークをスキャンして、誰が接続しているかを確認するわけです。
機内エンターテインメントを管理するコンピューターはネットワーク内のホストでもあるので、悪意ある旅行者をも含め、乗客の誰もが接続します。このコンピューターもやはり侵害される可能性があります。そうなると、さらなる行動や次のステップとして何が行われるか、誰にもわかりません。
Petko:以前、1 日に TSA 検査を通過する人数を調べたことがあります。世界は今コロナ前に戻っており、TSA検査を通過する人数は1 日あたり約 250 万人~ 260 万人です。その全員が最終的に飛行機に乗ると仮定すると、毎日 260 万人が機内座席に座っていることになります。そのうちのひとりが座席を1、2回変えるだけで、影響は拡大します。
Dmitry:そうですね。データをどうやって抜き出すのか疑問に思う人もいるでしょう。機内にもまたインターネットがあり、利用できるリンクがあります。方法は数多くあります。情報を盗むだけでなく、悪意のある脅威アクターの元へと情報を抜き出す方法です。
Dmitry:ですから従来のコンセント、つまり AC 電源のコンセントだけを使用する方がはるかに良いのです。実際こうしたコンセントは空港にあり、機内でも通常は前の座席の下部にあります。これらをUSB の代わりに使用しましょう。
USB ケーブルを使用する場合は、データブロッカー、つまり物理的なデータブロッカーを挟みましょう。一般的にこれは USB ポートとケーブルの間に接続するので、物理的なブロックになります。電子回路がいずれの方向へのデータ転送も阻止します。
Petko:充電器を持ち歩くことですね。充電器を持っていない場合はブロッカーを。
Dmitry:そうです。
Petko:そう願います。さて、私は今 iPhone と Android だけを想定して話しています。他の個人用デバイスに対する攻撃も確認されているのでしょうか ? 以前お話しした際、macOS が標的になることが増えているとの話題になりました。それは事実でしょうか ?
Dmitry:事実ですし、テレメトリで証明されています。私たちの解析でも証拠が取れています。基本的には macOS ユーザー、特に暗号通貨投資を行うユーザーが標的となります。その背後にいる中心的存在は、北朝鮮への帰属が公にされている Lazarus Group です。また、AppleJeus と呼ばれるグループも確認されています。彼らはソーシャルエンジニアリングを起点としてmacOS ユーザーを積極的に狙っており、非常に悪質です。
インターネット上には、暗号通貨の現金化や別の暗号通貨への換金を行いたいユーザーに対し、取引に関する情報や、さらにはセキュリティツールまで提供しているという建前の Web サイトも存在します。彼らの活動は非常に活発です。
Dmitry:さらに、LinkedIn を介した感染もあります。履歴書を送ったり、暗号通貨業界のサイバーセキュリティの専門家を募集する求人を送ったりするのです。重要なのは、感染すると暗号通貨ウォレットが窃取されてしまうということです。暗号通貨の投資家にとって、これはあらゆる影響を伴う大きなリスクとなります。自分の Mac が感染しただけで、すべての投資や資金を失う可能性があるのです。
Petko:暗号通貨に対する金銭的な動機は理解できます。金銭的動機という観点から、脅威アクターが求めているものは他にもあるのでしょうか ?
Dmitry:はい。良い例が 1 つあります。最近の攻撃で記憶に新しいのは、ある VoIP 企業の事例です。この企業が侵害され、悪意あるアップデートが全員、つまり世界中のすべての人に配布されました。
Windows ユーザーだけでなく Mac ユーザーも対象となりました。これはサプライチェーン攻撃と呼ばれるものですね。ここでも背後にいたのは北朝鮮でした。
もしあなたが「私は暗号通貨を持っていないし、セキュリティには非常に長けている」と言えるとしても、サードパーティアプリを使用していたらどうでしょうか。私たちは皆そうしたアプリを使用していますので、サプライチェーン攻撃に備える必要があります。アップデートを受信する場合、そこに何が含まれていてもおかしくありません。それがインプラントであれば、バックドアとして、あるいは RAT、リモートアクセスツールとして使用することもできるでしょう。あらゆる可能性が考えられ、すべては攻撃者の動機次第です。
Petko:すると、macOS ユーザーはこの種の攻撃を予防するために何ができるのでしょうか ? どうすれば身を守れるのでしょう ? アップデートについて話されましたが、アップデートはしない方が良いのでしょうか ? すべきでしょうか ?
Dmitry:すべきです。従来そう教わってきましたし、脆弱性の修正のためにアップデートはインストールするものだと常に言われています。その通り、間違いではなく、アップデートのインストールは必須です。ただし、提携先のソフトウェアベンダーや使用中のソフトウェアが侵害された場合は話が異なります。
完全に自動化されていても、アップデートの侵害は起こり得ます。許可するかどうかの問題ではなく、アップデートは自動的に行われます。
知らない間にインストールが行われるのです。これはWindows ユーザー以上に macOS ユーザーにとって難しい課題です。なぜならWindows にはハンティングや監視用のツールを含め、非常に多くのツールがあります。一方Mac では、一般的には内部コマンドやネイティブコマンドを使用します。他には Objectives by the Sea による非常に優れたツールもあります。これは無料でダウンロードして使用できる素晴らしいものです。しかし通常、macOS ユーザーにとって、自身の感染の有無を調べることは非常に困難です。そこで、物事を組み合わせて考えます。
つまり、脅威インテリジェンスを活用してネットワークを監視するのです。なぜなら多くの場合、もしインプラントがインストールされていれば、必然的に外部の C2 との通信があるはずです。ネットワークをよりよく可視化し、特に受信接続ではなく送信接続に着目して、コンピューターから外部に何が送信されているかを明らかにしましょう。
そしてコンテキストの把握です。ホスト、IP、URL に関するコンテキストの理解に努めましょう。確認し、把握するのです。また、ユーザーエージェントを取得して調べましょう。たとえばあなたのコンピューターがリモートホストと接続している場合、それは悪意のないものと考えられます。
Dmitry:しかし、自分に関係のないユーザーエージェントが使用されていたらどうでしょう。つまり、あなたのシステムにはそのようなブラウザーがないにもかかわらず、システム内でそのユーザーエージェントが使われている場合です。これも危険信号の 1 つです。
Petko:あらかじめ、自分のシステム内に何があるかを把握しておく必要がありますね。それは結局、自分のラップトップに何が入っているのか、そこでどんなアプリケーションが実行されているのか、把握することになりそうです。それもかなり詳細に。
Dmitry:そうですね。嬉しいことに、macOS でも YARA ルールが使えます。同じように実行できるのです。YARA ルールはディスクに対してだけでなく、コマンドなどメモリ上のものに対しても記述、使用できます。こうしたコマンドは通常悪意あるもので、メモリ上ではすべてがアンパックされているので容易に特定できます。YARA ルールも素晴らしい手法なのでおすすめします。
Rachael Lyon氏:名残惜しいところですが、本日のポッドキャストはそろそろ終了となります。リスナーの皆様、今週もご視聴いただきありがとうございました。そして新しいリスナーの皆様、今後の配信にもぜひご期待ください。
.png)
