Categories: セキュリティ

ウクライナのお客様とともに歩むシスコ

この記事は、Talos Intelligence Group の Director である Matt Olney によるブログ「Cisco stands on guard with our customers in Ukraine」(2022/3/3)の抄訳です。

 

まとめ

 

  • ロシア主導の侵攻が激化する中、ウクライナは物理攻撃(爆撃・銃撃)とサイバー攻撃による被害を受けています。シスコは、ウクライナのお客様を保護し、何事も問題が起きないようにするため、24 時間体制で全社的な取り組みを行っています。
  • Cisco Talos は、ウクライナの重要な顧客のためにセキュリティ製品を 24 時間 365 日直接運用するという特別な手段を講じるとともに、シスコ全体で 500 人以上の社員による公開情報・インテリジェンスを収集し支援しています。
  • ウクライナの重要なネットワークでは、収集されたインテリジェンスに基づき、高度な製品機能を活用してウクライナに特化した保護機能を構築しています。
  • 我々は関連するテレメトリーを注意深く監視し、ウクライナと世界のお客様の双方を守るために、脅威を積極的に特定しています。
  • 熟練されたセキュリティモデルを利用するお客様は、インテリジェンスプログラムを設計し、その結果に基づいて組織の防御態勢を変更する必要があります。
  • シスコはこれまでウクライナでの活動で成功を収めており、今後も同国のパートナーを支援していきます。

 

イントロダクション

皆さんはお気づきでないかもしれませんが、この 1 ヶ月間、シスコはいつもと違う場所に立たされていました。ウクライナへの不当な侵攻と、私たち全員が感じた無力感によって、多くの人がこれまで行ったことのない世界の一部で、生活を少しでも安全で楽にするために働くシスコ社員の意欲的な集団が生まれました。あるチームは通常の業務を脇に置き、ウクライナのネットワークを監視、あるチームは難民のケアと保護に注力、またあるチームはソーシャルメディアへ注力されたオープンソース情報の収集に重要な要素として変えています。これらの計画は独創的で、ほんの1週間前には考えられなかったようなものも多くありましたが、承認は非常に迅速に行われ、我々の誰もが通常の仕事量よりはるかに多い時間を費やしています。

現在のウクライナの状況は、各種システムのアップタイムに生命と生活がかかっています。列車は稼働し、人々はガソリンや食料品を買い、政府は市民の士気と安全のためにメッセージを発信する必要があります。サイバーセキュリティは、これらすべての背後に見え隠れしています。このブログでは、この危機に対するシスコの対応のごく一部について語ります。これは、シスコがこれまで前例のない危機に直面したとき、どのようにそれに対応してきたのかという多くのストーリーの一つに過ぎません。防御する側の人間にとっても、防御すべきネットワークと優れたセキュリティ・ツールを手にしたとき、ワールドクラスのインテリジェンスチームに何ができるのか、という教訓がここにあります。しかし、ほとんどの場合、これは、職場からシスコ製品群に至るまで、できる限りのことをしようとする人々についてのストーリーです。

 

嵐の前の静けさ

この取り組みはシスコのあらゆる部門におよんでおり、シスコのインテリジェンスである Talos により一ヶ月前から活動を開始しました。大規模なイベントを管理するために社内プロセスとともに開始したときです。我々はまずロシア軍の増強が続くウクライナでの監視を強化しました。ウクライナ国内のお客様からのテレメトリーは、脅威インテリジェンスアナリストと SecureX Threat Hunting チームによって詳細に調査されています。この時点では、私たちは直接お客様と活動することはなく、静かにお客様の情報を見守っていました。

ロシアが侵攻してくるという現実的な可能性が明らかになるにつれ、我々の脅威インテリジェンスチームは静かな活動を開始しました。他の多くの情報に触れることはできませんが大まかに説明するとすれば、どのような大きな出来事でも互いに信頼し合うようになった多くの研究者による小規模なグループが協力し公になっていない情報を共有するようになったということです。こうしたグループのほとんどは非公式なものですが、新しいものでは米国サイバーセキュリティ&インフラセキュリティ庁 Cybersecurity and Infrastructure Security Agency(CISA)から活動する、合同サイバー防衛共同体 Joint Cyber Defense Collaborative(JCDC)が、官民のパートナー間の協力のためのプラットフォームとして機能していることが公表されています。組織的か非公式か、公的か私的かを問わず、これらのグループはすべて、ロシアのオンライン侵略からウクライナと世界を守るために協力することに積極的です。

1 月中旬にウェブサイトの改ざんと最初の WhisperGate マルウェアの展開が発生したとき、過去に連携したウクライナ政府の 3 つの機関から連絡を受けました。それ以降、ウクライナ国家特殊通信サービス State Special Communications Service of Ukraine(SSSCIP)、ウクライナ国家警察サイバーポリス部 Cyberpolice Department of the National Police of Ukraine 、サイバーセキュリティ国家調整センター National Coordination Center for Cybersecurity(NCCC at the NSDC of Ukraine)の支援を続けています。この支援は主にインシデントレスポンスという形で行われ、そこで得られた教訓をすべてのお客様の保護に活用することができます。

ウクライナの政府パートナーとの調査は、世界中のお客様のための追加保護につながるとともに、我々が認識していた脅威とその脅威に対する私たちの見解を世界に発信するためのブログ投稿につながりました。これは、WhisperGate の導入前と導入後の両方で繰り返されてきた共通のサイクルです。ウクライナはある事象を経験し、私たちは調査を手伝い、私たちが学んだことに基づいて新しい保護策を発表し、何が起こったのかについての私たちの理解を共有するのです。

 

脅威の拡大

侵攻が近づくにつれ他にも小規模なイベントがありました、ただし大きな影響を与えるようなものは観測されていません。分散型サービス妨害(DDoS)攻撃や、ワイパーマルウェアによる攻撃の失敗、BGP(Border Gateway Protocol)のルーティングハイジャックなどがそれに該当します。我々の評価結果としては、ロシアのサイバー攻撃にかかわる能力の主たるものは、ロシアの侵攻に対する世界の反応を理解しようとする諜報活動など、別の目的に集中していたと思われます。理由はともかくとして、侵攻までの数日間、ウクライナに対する大規模なサイバーインシデントは発生していません。

しかし、侵攻が始まると、事態は急速に進展しました。ウクライナで何が起きているのか、処理すべき情報の量が爆発的に増え始めたのです。Talos は、情報収集チームが見落としが無いように、ウクライナに関するオープンソースの情報を共有するための専用スペースに参加しました。さまざまな経歴とさまざまなスキルセットを持つ 500 人を超えるシスコの関係者に感謝します。

初期の段階では、新規環境のデモライセンス期限切れを迎えるお客様に対して Secure Endpoint を導入しました。ウクライナのすべてのシスコのお客様に対して、すべてのセキュリティライセンスを延長することが決定されました。このように、この混乱期の中で、すべての保護がなされ、保護がされないお客様はいませんでした。

 

重要ネットワークの保護

さらに、ウクライナの重要な組織にも新たな提案を行いました。それは Talos が彼らの Secure Endpoint の設定を監視し、我々のインテリジェンスに基づいて設定を変更し、その環境で積極的に Talos が Threat Hunting を行うことをコストをかけず実施しています。この提案を受け入れた各組織には、保護と設定を管理するエンジニアと、その特定のデータを扱う Talos の脅威ハンターの 2 名をアサインしました。

私たちが成熟した組織に対して頻繁に推奨していることの 1 つは、防御ツールに重要な保護機能を組み込むための情報オペレーションを持つことです。なぜこのような推奨をしているのか、その一例をご紹介します。あるマルウェアを調査したところ、あるネットワークに複数のコマンド&コントロール(C2)サーバがあることがわかりました。通常、私たちはこれらの IP をブロックし、次に進みます。しかし、国家存亡の危機に瀕している状況下では、シスコが管理する Secure Endpoint のインストールによって、ネットワーク全体をブロックし、C2 通信がさらに開かれたとしても、すでにブロックされるようにしました。しかし、ウクライナの重要なインフラに対してのみ決定を下すという任務がある場合、これは容易な判断です。

もう一つの例は、HermeticWiper のケースです。このマルウェアは、その活動の一環として、削除の動作をサポートするために、複数のドライバのうちの 1 つをダウンロードします。ウクライナでは、私たちが積極的に保護しているネットワークに対して、これらのドライバをすべてブロックすることを選択しました。しかし、世界的に見ると、そのようなことはできない可能性があります。シスコのお客様の中には、これらのドライバが盗まれたソフトウェアを使用している場合もあり得ます。しかし、ウクライナの視点に立てば、ネットワークを素早くチェックし、これらのハッシュが使われていないことを確認し、ブロックすることができるのです。

どちらの場合も、Defense in Depth の防御を構築しています。理想的なのは、HermeticWiper やその亜種が落ちてきたときにブロックすることですが、そうしなければ、ドライバがブロックされてしまいます。理想的には、ローダーによってドロップされたときに、上記で説明したネットワークを使用するトロイの木馬をブロックしますが、そうでなければ、C2 通信自体がブロックされることになります。我々は常に防御を重ねる方法を模索しており、攻撃者がある領域で我々を出し抜いたとしても、その先に防御を用意しています。

これまでのところ、この活動は、攻撃チェーンの非常に早い段階でワイパー攻撃と判断されるものをブロックするなど、お客様を守ることに成功しています。Talos インテリジェンスグループ(シスコ以外の組織や個人との協力も含む)の活動により、いくつかの異なる攻撃の連鎖について洞察することができました。情報共有の制限(主に運用セキュリティの保護)により、この情報を公表することはできませんが、特定のネットワークでこの情報を活用し、特定のものをブロックし、特定のパターンを探す高度なコンテンツ・シグネチャを記述したりすることができます。このような諜報活動が、ウクライナでの防衛成功に直接つながっています。その点で、私たちと静かに協力してくれた企業や個人など、名もなきすべてのパートナーに感謝しています。

 

皆様へのガイダンス

今はすべてのストーリーをお伝えする時期ではありませんが、この紛争がウクライナ国内への拡大する危険性があるため例を紹介しました。世界中の組織は、自社のインテリジェンスチームを見直し、その組織の防御態勢を直接的に推進していることを確認するよう努めるべきです。組織は現在の脅威環境を踏まえて、誤検知に対する許容範囲がどのように変化したかを検討し、可能であればチームがより積極的に動けるようにする必要があります。

世界の現状況はここ数十年で最も危険であり、組織は防御体制を再構築する方法について創造的である必要があります。我々はよく「最終的には人間が防御の最も重要な部分である」と説明しています。このような脅威は、私たちがこの言葉を発するときに念頭に置いているものです。

私たちシスコは、お客様がレジリエントなネットワークを構築し、目の前にある多くの可能な未来に立ち向かえるよう、今後もお客様の側に立ち続けます。


 

補足情報

世界最大の非政府系脅威情報機関である Cisco Talos は、新しい脆弱性を積極的に発見し、悪意のある行為者やマルウェアキャンペーンをハントし、世界中の政府やサイバー情報機関と協力して、インターネットをより安全な空間にするために活動しています。

Talos は現在進行中のロシア紛争のサイバー攻撃に関する現在の調査結果の各種コンテンツを ウクライナ情勢の進展に関する Talos の見解 で紹介しています。

 

木村 滋

2000 年シスコシステムズ入社。テクニカルアーキテクト/エバンジェリスト。セキュリティ ソリューション専任技術担当として、大手データセンター/キャリア ビジネスのプロジェクトをサポート。データセンター/VDI/デスクトップ仮想化/ネットワーク仮想化に従事、普及活動、ソリューション開発を担当

CCIE#19521

著書:「Cisco ISR ルータ教科書」、「Cisco WAN 実践ケーススタディ」、「実践Cisco IPSec VPN 教科書」等

NPO法人日本ネットワークセキュリティ協会(JNSA)幹事