Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サイバーセキュリティニュース: NIST のサイバーセキュリティフレームワークが大幅に更新、APT29 と ALPHV Blackcat に関する勧告が公表される

NIST のサイバーセキュリティフレームワークが大幅に更新、APT29 と ALPHV/BlackCat に関するアドバイザリが公開される

大幅に更新された NIST のサイバーセキュリティフレームワークの最新情報を紹介します。 サイバー攻撃グループ APT29 と ALPHV/BlackCat についての最新のガイダンスや、 生成 AI LLM のサイバーセキュリティ機能の評価方法、 第 4 四半期に最も蔓延したマルウェアについても解説します。 そのほか豊富な内容を掲載しています。

3 月 1 日までの 1 週間の 6 つの主要トピックスを詳しくご紹介します。

1 - NIST のサイバーセキュリティフレームワーク 2.0 はガバナンス重視が強まり、対象範囲の広範化が特徴

米国国立標準技術研究所 (NIST) のサイバーセキュリティフレームワーク (CSF) の改訂は長らく待たれていましたが、ついに実現しました。 

1 年間にわたる改訂の過程を経て、NIST は今週、CSF のバージョン 2.0 を公開しました。CSF は、サイバーセキュリティリスクを評価、管理、低減するために組織で広く使用されているものです。 これは CSF のバージョン 1.0 が 2014 年に発表されて以来初の大幅な更新になります。

2018 年にリリースされた CSF 1.1 からの主な変更点は、重要インフラにとどまらない対象範囲の拡大、ガバナンス重視の強化、導入促進のためのガイダンス、ツール、リソースの拡充です。

CSF 2.0 の対象範囲については、 組織の規模、種類、業種、サイバーセキュリティの知識の程度に関係なく、世界中のすべての組織に対して広く関連性と有用性を持つよう作成されています。 当初、CSF は特に重要インフラ組織のサポートに重点を置いていました。

「CSF 2.0 は、以前のバージョンを基に作成されましたが、1 冊の資料という意味にとどまりません。 組織のサイバーセキュリティニーズの変化や機能の進化に合わせてカスタマイズ可能で、単独でも他との組み合わせでも長期的に利用できる一連のリソースに関するものです」と NIST 所長の Laurie E. Locascio 氏は CSF 2.0 についての声明の中で述べました

一方、CSF 2.0 の新しい「ガバナンス」機能は、リスク管理戦略、組織の文脈、サプライチェーンリスク、ポリシー、プロセス、手順などの領域に対応しています。 

「CSF のガバナンスのコンポーネントでは、サイバーセキュリティが企業の主なリスクの源泉であり、上級幹部は財務や評判といったその他の要素と並行してこれを考慮する必要があるということを強調している」と NIST の声明文には記されています。

CSF 2.0 のその他 5 つの機能は以下のとおりです。

  • 識別: 組織のサイバーリスクの評価に重点を置く
  • 防御: サイバーリスクの予防と削減のための対策の導入について 
  • 検出: サイバー攻撃と侵害の発見および分析を中心とする 
  • 対応: サイバーインシデント発生後の処置に専念
  • 復旧: 影響を受けた資産と業務の復旧に重点を置く
NIST のサイバーセキュリティフレームワーク 2.0 はガバナンス重視が強まり、対象範囲の広範化が特徴

幅広い種類の組織が CSF 2.0 をより簡単に導入できるようにするために、NIST は特定の対象組織に合わせてカスタマイズしたクイックスタートガイド、導入の成功事例を紹介するケーススタディ、検索可能な参考資料のカタログを作成しました。

詳しくは、CSO MagazineThe RegisterSC MagazineHelp Net Security の CSF 2.0 に関する説明や分析をご確認ください。以下の動画も併せてご覧ください。

The Cybersecurity Framework at 10...and Beyond (サイバーセキュリティフレームワークは 10 年目を迎え、その先へ) (The Aspen Institute)

NIST Cybersecurity Framework 2.0 - What Changed? (NIST サイバーセキュリティフレームワーク 2.0 の変更点) (Optic Cyber)

2 - 調査: 生成 AI LLM のサイバー機能を評価する方法

OpenAI の ChatGPT が世界的なセンセーションを巻き起こしたその瞬間から、サイバーセキュリティ専門家たちは、大規模言語モデル (LLM) を基盤とした生成 AI ツールがサイバー防衛に利用できるか否か、またどのように利用できるのかを詳しく探ってきました。

当初から存在してきた核心的な問題は、 LLM のサイバーセキュリティ機能とリスクをどのようにテストし、評価するのかということでした。 そこで、OpenAI とカーネギーメロン大学 (CMU) の研究者たちがこの問題に取り組み、具体的な評価基準の概要を説明した研究結果を最近発表しました。

これらの研究者が執筆した論文「Considerations for Evaluating Large Language Models for Cybersecurity Tasks (大規模言語モデルのサイバーセキュリティ業務への利用を評価する上での考慮事項)」では、現在の評価手法は要求される水準に達していないと述べられています。その理由には、現手法では、サイバーセキュリティの認定試験を課すことなどによって LLM の事実的知識を評価することに重点が置かれていることが挙げられています。

生成 AI LLM のサイバー機能を評価する方法

同論文には、「根本的に、LLM のサイバー機能を理解するためには、実用的な現実世界の評価が必要であり、事実ベースの試験では不十分であると我々は主張する」と書かれています。

この論文では、以下の領域がカバーされています。

  • サイバーセキュリティ業務の性質と、その業務遂行に LLM を用いるメリットとデメリット
  • LLM がサイバーセキュリティの知識を獲得し、応用する方法
  • 具体的なサイバーセキュリティ業務を LLM でサポートする方法
  • サイバーセキュリティ専門家による LLM のサイバー機能の評価に役立つ推奨事項

以下のような推奨事項が記載されています。

  • 「人間ならどのように実行するか」などを考慮したり、関連ステップをリストアップしたりすることで、評価の対象とすべき実際の業務を定義する
  • 業務の対象範囲を適切に定義することなどによって、実際の細かい特徴や複雑性を捉えた方法で業務を表現する
  • 入力する質問の修正や多様化を、単語の変更、語句の言い換え、綴り間違いへの対応を実施することなどによって、厳密な評価を計画・実行する

「LLM が実際のサイバーセキュリティ業務でどのように機能するかを理解することで、方針の策定や意思決定を行う担当者は、LLM の機能や、とても機密性の高い文脈でこれらのテクノロジーを使用することによるリスクを、より明確に認識できるようになる」とも書かれています。

詳しい内容については、以下をご覧ください。

生成 AI LLM のサイバーセキュリティへの利用について詳しくは、以下をご参照ください。

動画

サイバーセキュリティにおける生成 AI の実践的応用

3 - CISA と NCSC、ロシアの支援する APT29 についてのクラウドセキュリティアドバイザリを発行

いまクラウドセキュリティチームの皆様にご注目いただきたいのは、 ロシアの対外情報庁 (SVR) から資金提供を受けている悪名高いサイバー犯罪グループである APT29 が、クラウドコンピューティング環境に関心を移しつつあるということです。

今週、オーストラリア、カナダ、ニュージーランド、英国、米国のサイバー機関が発表した共同アドバイザリ「SVR Cyber Actors Adapt Tactics for Initial Cloud Access (SVR のサイバー攻撃者が戦術をクラウドへの初期アクセスに適応させている)」の中でそのように述べられていました。 このアドバイザリには、過去 12 か月間に観測された戦術、技術、手順 (TTP) が、検出と緩和についての推奨事項とともに詳細に記述されています。

この 8 ページの資料には、「組織がシステムの最新化と、クラウドベースのインフラへの移行を続けるのに伴い、SVR は運用環境におけるこうした変化に適応してきた」と記されています。

Dukes、CozyBear、Nobelium/Midnight Blizzard としても知られている APT29 は、SolarWinds のサプライチェーン攻撃や、Microsoft や Hewlett-Packard Enterprise などを標的とした、世間の注目を集めたその他のハッキング事例に関与していました。

APT29 によって使用された TTP を以下にいくつか示します。

  • 総当たり攻撃やパスワードスプレー攻撃を使用したサービスアカウントへのアクセス。これらのアカウントはアプリケーションやサービスを実行・管理するのに使用される
  • 標的となる組織を離職したユーザーに属しているにもかかわらず無効化されていない、休止状態のアカウントの侵害
  • 有効で期限の切れていないトークンを使用した、アカウントへのアクセス

推奨される軽減策は以下のとおりです。

  • 多要素認証を使用し、強力な一意のパスワードの設定を必須化する
  • 組織に在籍していないユーザーを特定してアカウントを無効化するためのプロセスを整備する
  • サービスアカウントに対して最小権限の原則を適用し、リソースに対してアクセスできる範囲を限定する
  • ユーザーセッションを実務上可能な限り短くし、窃取されたセッショントークンが攻撃者に使用される可能性を減らす

APT29 について詳しくは、以下をご参照ください。

4 - Tenable がアイデンティティセキュリティの課題と戦略に関する調査を実施

当社は最近のウェビナー「Securing Identities Across Your Entire Attack Surface (アタックサーフェス全体のアイデンティティの保護)」で、参加者を対象に、アイデンティティセキュリティ戦略のさまざまな側面に関する調査を実施しました。 参加者の回答で明らかになった、最も大きな課題やアプローチ方法などを紹介します。

Tenable がアイデンティティセキュリティの課題と戦略に関する調査を実施

(Tenable が回答者 64 人を対象に実施した調査、2024 年 2 月)

アイデンティティセキュリティの課題と戦略に関する Tenable の調査

(Tenable が回答者 67 人を対象に実施した調査、2024 年 2 月)

アイデンティティセキュリティの課題と戦略に関する Tenable の調査

(Tenable が回答者 76 人を対象に実施した調査、2024 年 2 月)

マルチクラウド環境とオンプレミス環境全体にわたるアイデンティティリスク管理の細かな特徴について詳しくは、 オンデマンドウェビナー「Securing Identities Across Your Entire Attack Surface (アタックサーフェス全体のアイデンティティの保護)

5 - 米国が ALPHV/BlackCat に関するガイダンスを更新し、ヘルスケア企業に注意を喚起

米国政府は、特にヘルスケア企業に対して、サービスとしてのランサムウェア (RaaS) グループである ALPHV/BlackCat による脅威について注意を喚起しています。このグループは今週、Change Healthcare に対する攻撃に関与していたと主張しました。

CISA、FBI、米国保健福祉省 (HHS) は、更新された共同アドバイザリの中で、ALPHV/BlackCat に関連する新たなセキュリティ侵害の痕跡 (IoC) と、戦術、技術、手順 (TTP) を発表しました。 このアドバイザリには、緩和とインシデント対応についての推奨事項も含まれています。

約 2 か月前、FBI は ALPHV/BlackCat の活動を中断させたと発表しましたが、このランサムウェア集団は最近になって再結成し、大きな騒動を引き起こしています

ALPHV/BlackCat に関係するサイバー犯罪者は、初期アクセスを行うために、高度なソーシャルエンジニアリング技術や、企業に関する公開済みの情報を使用します。

「犯罪者は企業の IT やヘルプデスクの担当者になりすまし、電話や SMS メッセージを用いて従業員から認証情報を入手して、標的となるネットワークにアクセスする」とアドバイザリには記されています。

緩和についてのアドバイスは以下のとおりです。

  • IT 資産とデータのインベントリの定期的な更新を維持し、許可されたデバイスやソフトウェアと無許可のものを特定する
  • 既知の悪用された脆弱性の修正を優先する
  • リモートアクセスプログラムを許可リストに加えるなどのアプリケーション管理を実施することで、リモートアクセスツールのセキュリティを確保する
  • 耐フィッシング多要素認証を導入する
  • 職員に対して、不審なメールの見分け方など、ソーシャルエンジニアリング攻撃についての訓練を行う

詳しくは、更新されたアドバイザリをご一読ください。「#StopRansomware: #StopRansomware: ALPHV Blackcat」には、「FBI と CISA は重要インフラ組織に対し緩和策セクションの推奨事項を実施するよう奨励している」と書かれています。

ALPHV/BlackCat について詳しくは、以下をご参照ください。

6 - SocGholish が第 4 四半期におけるマルウェアインシデントリストのトップに

SocGholish は偽ブラウザ攻撃に使用されるマルウェアの亜種であり、第 4 四半期のマルウェアインシデントの大部分を占めています。

これらの攻撃では、ユーザーは騙されて、実際にはコンピューターに感染するマルウェアであるものを正規のブラウザアップデートだと思ってインストールします。

SocGholish は、今週「Top 10 Malware Q4 2023 (マルウェアのトップ 10 (2023 年第 4 四半期))」リストを公開した Center for Internet Security (CIS) によって観測された全マルウェアインシデントの 60% を占めています。

一躍登場した形の SocGholish が最初に CIS のリストに載ったのは第 3 四半期で、マルウェアインシデントの 31% を占めていました。

偽のブラウザアップデート攻撃のあおりで、RogueRaticate マルウェアの亜種も、第 3 四半期に初めて CIS のリストに加わりました。 これは第 4 四半期のトップ 10 にも再度ランクインしました。

SocGholish が第 4 四半期におけるマルウェアインシデントリストのトップに

(出典: Center for Internet Security、2024 年 2 月)

上位から順に並べた全リストは以下のとおりです。

  • SocGholish: 悪質なウェブサイトを通じて配布されるダウンローダー。偽のソフトウェアアップデートを勧めることでユーザーを騙してダウンロードに誘導する
  • Arechclient2 (別名 SectopRAT): 複数のステルス機能を含む、.NET のリモートアクセス型トロイの木馬 (RAT)
  • Agent Tesla: 認証情報、キーストローク、スクリーンショットを取得する RAT
  • CoinMiner: Windows Management Instrumentation (WMI) を使用して拡散する暗号通貨マイナー
  • NanoCore: マルウェアスパムを介して、悪質な Excel スプレッドシートとして拡散する RAT
  • RogueRaticate: 偽のブラウザアップデートを使用して、悪質なウェブサイトや侵害されたウェブサイトを通じて配布されるダウンローダー 
  • ViperSoftX: トレントやファイル共有サイト内で拡散し、多段感染する暗号通貨スティーラー
  • ReverseRAT: 不正アクセスされたシステムをハッカーに侵害させる RAT。多くの場合、情報の窃取や被害者へのスパイ行為に使用される
  • Gh0st: 感染したエンドポイントデバイスをコントロールするように設計された RAT
  • Pegasus: iOS と Android のデバイスからデータを窃取するスパイウェア

詳しくは、各マルウェア系統の詳細、文脈、セキュリティ侵害の痕跡を記載した CIS のブログレポートをご確認ください。

偽のブラウザアップデート攻撃について詳しくは、以下をご参照ください。

動画

Fake Chrome Update Malware (偽の Chrome アップデートのマルウェア) (The PC Security Channel)

Apple Mac OS users falling for fake browser update that installs malware (Apple Mac OS ユーザー、マルウェアをインストールする偽のブラウザアップデートに騙される) (Windows, Computers and Technology)

 

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加