ChatGPTを使ったIoC検知の実験

山口 Tacos

2023.02.16

サイバーアラートについて

サイバーセキュリティ最新ニュースのまとめを平日毎日更新。

各見出しの末尾に、情報源のWebサイトへのリンク（赤字）が貼られています。

なお、リンク先のほとんどが、英語のニュースサイトやブログですが、クリックについてはあくまで自己責任で行っていただくようお願いいたします。

注目のニュースをピックアップ

2023年2月16日のサイバーアラートの中から、注目のニュースをピックアップしました（その他のニュースはページ後半に記載）。

ChatGPTを使ったIoC検知の実験

Kaspersky Lab – Feb 15 2023 10:00

カスペルスキー社が、ChatGPTを使ったIoC検知の実験結果をブログに公開した。

セキュリティ研究者らはIoCやTTPに関する調査結果を、レポートやブログ記事、ツイート、その他の形式でネット上に公開している。この現状を踏まえ、以下4種類の実験が行われた。

・MimikatzやFast Reverse Proxyといったツールをハッキングツールとして判別できるか。悪意あるファイル名をIoCとして判別できるか（結果：成功）

・有名ランサムウェアWannacryのハッシュ値を判別できるか（結果：失敗）

・APTグループ関連の既知のドメインを判別できるか（結果：失敗。おそらく正規ドメインばかりを回答）

・FIN7グループのドメインを判別できるか（結果：有害ドメインと判断したが、FIN7のものとは特定せず）

レポートは、単純なインジケーターよりもホストベースのアーティファクトで良い結果が出たことに着目。テスト用Windowsシステムから複数のメタデータを抽出するコードを書き、メタデータがIoCかどうかを回答させるなど、さらに詳細に検討した。

最後に、ChatGPTを使ったIoCスキャニングの完全実装は、コストに見合った結果が得られないかもしれないと指摘しつつ、想定される活用例として以下の4つを挙げた。

・IoCに関するシステムチェック（特に、検知ルールが全て揃ったEDRを持っていない場合、DFIRをする必要がある場合）

・現行のシグニチャベースのルールとChatGPTの出力内容の比較によるギャップの特定

・コード難読化の検知

・類似性の検知（マルウェアバイナリをChatGPTに与え、新たなバイナリが他のバイナリと似ていないかを訊ねる）

患者百万人の保健情報がGoAnywhereの重大な脆弱性を使って窃取される（CVE-2023-0669）

ArsTechnica – Feb 15 2023 21:05

米国最大規模の病院チェーンの1つであるCommunity Health Systems（CHS）は、患者100万人分の保護対象保健情報や個人情報をハッカーが取得していたことを明かした。同院によれば、これらのデータはサードパーティプロバイダーFortraでのセキュリティ侵害により盗まれたのだという。

この侵害は、Fortra社のエンタープライズ向けソフトウェア製品GoAnywhereのゼロデイ脆弱性CVE-2023-0669の悪用によって行われた可能性が高い。CVE-2023-0669は2週間前にジャーナリストBrian Krebs氏によって公表されたもので、「リモートコードインジェクションの脆弱性」と説明されている。（詳しくはこちらの記事で：アトラシアン製ソフトウェアJiraに重大な認証不備の脆弱性（CVE-2023-22501））

CHSの報告内容を踏まえると、この侵害はFortraから同院へ直接通知されたものとみられる。

ゼロデイ脆弱性CVE-2023-0669をめぐっては、最近、Clopランサムウェアグループが「同脆弱性を悪用して130以上の組織をハッキングした」と主張したが、その真偽は不明。（詳しくはこちらの記事で：Clopランサムウェア、 GoAnywhereのゼロデイを使い130組織を侵害したと主張（CVE-2023-0669））

シーメンス、シュナイダーエレクトリックが脆弱性100件に対処：ICS Patch Tuesday

Security Week – Feb 15 2023 12:07

シーメンスとシュナイダーエレクトリックは、2023年2月の月例パッチにおいて合わせて約100件の脆弱性に対処した。

＜シーメンス＞

シーメンスは新たなアドバイザリを13件公開し、合計86件の脆弱性に対処。この中には、CVSSスコアが10/10の重大な脆弱性が含まれていた。この脆弱性はメモリ破損の問題であり、プラントエンジニアリングソフトウェアCOMOSにおけるDoS状態や任意のコード実行につながる恐れがあるという。

また、Brownfield Connectivityにおける深刻度の高い脆弱性も十数件修正された。これらの欠陥が悪用され得ると、DoS状態が引き起こされる恐れがある。

このほかシーメンスは最新の定例パッチの中で、BIOS関連の深刻度の高い脆弱性数件にも対処している。さらに、Tecnomatix Plant Simulation、JT Open Toolkit、JT Utilities、Parasolid、Solid Edge、Simcenter Femapにおける深刻度の高い脆弱性数件も修正された。これらの脆弱性は、悪用されるとコード実行やDoS攻撃が可能になる恐れがある。

シーメンスのアドバイザリはこちら。

＜シュナイダーエレクトリック＞

シュナイダーエレクトリックは3件のアドバイザリを公開し、脆弱性10件に対処した。アドバイザリの1つは、モニタリングソフトウェアStruxureWare Data Center Expertで見つかった深刻度が中程度および高い脆弱性9件に関するもの。これらの脆弱性が悪用されると、リモートコード/コマンド実行や特権昇格が可能になる恐れがある。

2つ目のアドバイザリは、Merten KNXに影響を与える不適切な認証の脆弱性に関するもの。

また3つ目のアドバイザリは、EcoStruxure Geo SCADA Expertにおける深刻度が中程度の問題について顧客へ通知する内容。

シュナイダーエレクトリックのアドバイザリはこちら。

2023年2月16日

ハイライト

Cisco Email Security ApplianceとCisco Secure Email and Web Managerに脆弱性（High：CVE-2023-20009、CVE-2023-20075）

Cisco Security Advisory – Feb 15 2023 16:00

マイクロソフト月例パッチの脆弱性のうちゼロデイ2件は、権限をSYSTEMレベルにまで昇格可能（CVE-2023-23376、CVE-2023-21823）

SC Magazine US – Feb 15 2023 22:37

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。