編集者注:本稿は、サイバーセキュリティのさまざまな話題について Talos が大局的な観点から解説していく新しいブログシリーズの最初の記事です。Talos の研究者は、長年培ってきた専門知識やデータに裏打ちされた高度な状況把握能力を備えています。このブログシリーズでは、過去の事例、調査、分析を紐解きながら、今話題になっているセキュリティ上の課題への対応策を紹介していきます。「On the Radar」の今後の投稿にご期待ください。
今日のサイバー世界では、国家の支援を受けた攻撃や犯罪活動が増加し続けることで混迷を深めており、セキュリティ担当者の仕事は困難を極める一方です。また、3 年目に突入したコロナ禍のせいで状況はさらに複雑になっており、私たちの働き方も完全に変わりつつあります。しかし、絶望的な状況から粘り強く戦って事態を好転させるのは、セキュリティ業界に身を置いてきた私たちにとって言わばお家芸のようなものです。この働き方の変化は、私たちのセキュリティ態勢を強化する好機となっています。
コロナ禍とそれに伴うハイブリッドワークへの移行によって新たな課題が浮上しただけでなく、これまで抱えてきた問題も悪化しています。たとえば、ストレスを抱えた従業員がコロナ禍にまつわる文面に誘い込まれてランサムウェア攻撃を受けることがあります。テレワーク中、脆弱性の修復を担当している開発チームが主要なツールやリソースにアクセスできないという事態も発生しています。ソフトウェアベンダーの従業員ですら、社外で作業する際に適切なセキュリティ対策を行わずにセキュリティ侵害を受け、サプライチェーン攻撃を招いてしまっているという状況です。ここに挙げたことは、組織で現在発生している無数の事例のほんの一部にすぎません。恒久的なハイブリッドワーク環境への移行が進むにつれて、既存のアーキテクチャは解体され、新しいアーキテクチャが構築されることになります。これは、現在直面している脅威に対する保護を強化する機会となります。サプライチェーンは、国家の支援を受けたグループや金銭詐取を目論むグループの標的になっており、既知の脆弱性や未知の脆弱性が常に業界を脅かしています。国家の支援を受けた攻撃者はますます攻撃をエスカレートさせ、数十億ドル規模のクライムウェア業界を犯罪組織が牛耳っています。残念ながら、先行きはあまり明るくありません。
私たちが直面している未解決の課題や脅威の中には、政府による対応が必要なものがあります。国内で対応に当たれる場合もあれば、各国のパートナーとの連携が必要な場合もあります。米国のバイデン政権は、ランサムウェアの脅威に政府一丸となって対抗していくアプローチを打ち出しています。たとえば、REvil、NetWalker、DarkSide などの主要なランサムウェアグループに対して法執行活動を実施しており、同時に新しい政策を採用して、ランサムウェア攻撃者に身代金を支払わないように企業に勧告し、政府の請負業者がデータ侵害を報告しなかった場合に法的責任を問うものとしています。国際的な活動としては、10 月に初のグローバル ランサムウェア サミットが開催され、30 か国以上が参加しました。最近では、REvil ランサムウェアグループの多数のメンバーがロシア当局によって逮捕されています。2021 年には各国のパートナーが連携して悪名高い Emotet ボットネットを阻止し、活動を一時的に停止させました。
このように積極的な努力がなされていますが、こうした重要な取り組みは実施に時間がかかります。また、攻撃者は対策を練って新しい方法を常に開拓しているため、成果が挙がっても長続きしないか、すぐに次の脅威に取って代わられてしまうことがあります。したがって、組織やネットワークのセキュリティ担当者は、ポリシーとテクノロジーの観点からセキュリティを強化し、変化を推進する必要があります。Cisco Talos インシデント対応チーム(CTIR)が行った取り組みや脅威調査の結果によると、多要素認証(MFA)の統合、ゼロトラストフレームワークの実装、セキュア アクセス サービスエッジ(SASE)アーキテクチャの構築といったポリシーを採用することが、ハイブリッドワーク環境の保護強化に不可欠であることが分かっています。また、これらの対策は単独で実施してもあまり効果はなく、強力なセキュリティ基盤を整備した上で運用していく必要があります。
増加するサプライチェーン攻撃
サプライチェーン攻撃の頻度が増加していることから、組織はアクセスを再評価し、ベンダーの水準を高め、ゼロトラストフレームワークを実装してこの拡大する攻撃対象領域を緩和する必要があります。
2017 年に NotPetya によってソフトウェアのサプライチェーンが攻撃されて以来、サプライチェーン攻撃はここ数年間で顕著に増加しています。ソフトウェアは今や攻撃者の格好の標的になっており、CCleaner や SolarWinds などの管理ツールが攻撃されて侵害された事例があります。警戒心の薄い大量の標的に攻撃を仕掛けられるというのが、ソフトウェアが狙われる理由です。ユーザー数やアクセスレベルが申し分なく、スキャンを回避できる可能性があることから、この種のソフトウェアは標的として理想的です。大手セキュリティ企業が防御態勢を強化させ続けていることから、サプライチェーンを利用した攻撃は最もセキュリティを突破しやすい経路になりつつあります。
サプライチェーン攻撃について人々がよく誤解している点が 2 つあります。1 つは、この種の攻撃は国家の支援を受けた攻撃者しか行わないというものです。以前はそうだったかもしれませんが、REvil ランサムウェアグループが Kaseya を侵害した事例があるように、サイバー犯罪集団もサプライチェーンの脆弱性をエクスプロイトしようとしています。また、ソフトウェアを狙って犯罪行為を仕掛けるさまざまなサプライチェーン攻撃も行われており、特に NPM、GitHub、YARN といったオープンソースのパッケージマネージャやブラウザ拡張機能が標的となっています。ソフトウェアのサプライチェーンは国家がらみの攻撃しか受けないという認識は通用しなくなっているのです。
よくある誤解の 2 つ目は、サプライチェーン攻撃で狙われるのはソフトウェアのみで、より高度な防御機能が必要であるというものです。実際には、さまざまなサービスも標的になっています。Talos が発見した Sea Turtle による攻撃が格好の例です。これはサービスベースのサプライチェーン攻撃であり、なおかつインターネットの基盤である DNS を標的にしていました。サプライチェーン攻撃には他にもさまざまな種類がありますが、ソフトウェアやサービスを狙った攻撃が最もよく確認されています。
この種の攻撃を行うには計画と開発が必要になります。SolarWinds のインシデントで利用された手法からもこのことは明らかです。攻撃者は SolarWinds のパケット構造を模倣したパケットを構築して、検出を難しくしていました。サービスベースの Kaseya 攻撃が始まる前には、複数のゼロデイ脆弱性がエクスプロイトされてネットワークが侵害されていました。これは、攻撃者が十分な偵察を事前に行って脆弱な侵入経路を特定していた可能性があることをうかがわせます。ゼロデイ脆弱性のエクスプロイトを開発または購入していたとも考えられます。
このようにサプライチェーン攻撃の事例や規模が拡大していることから、ベンダーの言葉を鵜呑みにして無条件に信頼するのではなく、「信頼するが検証もする」モデルに移行する必要があります。攻撃のリスクを完全になくすのは不可能かもしれませんが、ベンダーが示したすべての要件を疑いもせず監視もせずに受け入れる必要はありません。
ベンダーが自分の組織に匹敵するセキュリティ態勢や要件を備えていない可能性があることを認識することが重要です。セキュリティリーダーとしてこの可能性を認識し、セキュリティギャップを埋めるために必要な対策を講じる必要があります。監視、ネットワークレベルの分離、ユーザーレベルの分離は、このような脅威を防ぐための強固な基盤になります。またゼロトラストアーキテクチャを導入して、攻撃者のラテラルムーブメントを困難にすることも重要です。
ここでは最後に、Extended Detection and Response(XDR)における除外設定について説明しておきます。製品ドキュメントを読むと、セキュリティソリューションで誤検出されないようにソフトウェアを除外グループに登録するように説明されていることがよくあります。しかし、除外したソフトウェアが実際に侵害された場合には重大な結果を招くことになります。この種の除外を必要とするソリューションには注意する必要があります。多くのネットワークに死角を作り、サプライチェーン攻撃を受けた場合に壊滅的な結果をもたらす恐れがあるからです。SolarWinds のインシデントで明らかになったのは、ネットワーク全体に対して高レベルのアクセス権限を持つソリューションが侵害された場合、大きな被害が発生するということです。XDR でソリューションをスキャンしていないと事態はさらに悪化します。
パッチを適用していても世界を揺るがす脆弱性
最近では Log4j や Microsoft Exchange Server などで深刻な脆弱性が発覚して、多大な影響をもたらしています。そのため、ソフトウェアのオプションを検討する際には、ソフトウェア部品表(SBOM)の提供をベンダーに求めることをお勧めします。そうすれば、特定のライブラリやオープンソースソフトウェアで脆弱性が見つかった場合に日常業務への影響を素早く判断できるようになります。より徹底的かつ賢明な対応も可能になるかもしれません。2020 年には Microsoft Exchange Server で「Hafnium」という脆弱性が見つかっており、国家の支援を受けた攻撃者が最初にこれを悪用した後、インターネット上で大規模なエクスプロイトが展開されました。Log4j は、私たちがこれまで確認してきた中でも最も広範囲に影響が及ぶ脆弱性になる可能性があります。
一般に、脆弱性は 2 つのカテゴリに大別できます。1 つは、組織とベンダーの両方で頻繁に使用されているライブラリやソフトウェアで見つかった公開済みの脆弱性です。もう 1 つが膨大な数のゼロデイ脆弱性で、2021 年には標的型攻撃でゼロデイ脆弱性がエクスプロイトされるのを目の当たりにしました。ゼロデイ脆弱性は、世界各国の反体制派や活動家に対して工作活動を行う際に悪用されることが多く、主にモバイルプラットフォームが狙われます。Hafnium は、標的型攻撃で悪用されて発覚したゼロデイ脆弱性です。発覚後にインターネット上で大規模なエクスプロイトが展開され、大きな混乱をもたらしました。これを受け、Cisco Talos IR の対応件数も急増しました。
2021 年には、ゼロデイ脆弱性が実際に悪用された事例が 50 件以上確認されています。2021 年に実際に悪用されたゼロデイ脆弱性の件数は、2020 年と 2019 年を合わせた件数を上回っています。さらに、2021 年 10 月に中国で開催された天府杯ハッキングコンテストでは、十数件の標的に対するエクスプロイトに 30 回も成功しています。最新バージョンの Windows や iOS でも数回のエクスプロイトが成功しました。その少し前に規制が変更されたため、これらのエクスプロイトはすべて中国政府に報告された可能性があります。最近も、Log4j を中国政府に事前に開示しなかったことで Alibaba 社が処罰を受けています。
ゼロデイ脆弱性を狙った攻撃は新しい活動ではありませんが、脅威の状況にそれなりの影響を及ぼしており、結果として振る舞いベースの検出に注目が集まっています。振る舞いベースの検出では、悪意のある活動を見逃さないようにすれば誤検出が増え、誤検出を減らそうとすれば悪意のある活動を見逃す可能性が高くなるという問題があります。さらに、ユーザー本人であっても悪意があるように見える活動を行うことがあるため、この種のルールには常に誤検出がつきまといます。しかしその反面、レッドチーム演習やネットワークで活動を始めたばかりのランサムウェアグループを捕捉できる可能性があります。たとえば Talos では、ランサムウェアグループが使用したメカニズムに基づいて社内のプレイブックを作成しました。このプレイブックでは、ランサムウェアグループの戦術、手法、手順(TTP)を解説しており、ランサムウェアが展開される前に振る舞いを特定して阻止するのに役立っています。
ランサムウェアグループが莫大な金額の身代金を稼いでいることも、攻撃能力の向上に拍車をかけています。Kaseya の事例で見たように、ランサムウェアグループは攻撃に悪用するゼロデイ脆弱性のエクスプロイトを購入または開発する能力を備えています。これはすべての組織が警戒すべき状況であり、振る舞い検出は 2022 年以降も引き続き重要な検出手法になると考えられます。
MFA を基盤にして保護態勢の強化を図る
組織は保護対策が必要な脅威の状況に対して計画を立てる必要があります。つまり、MFA を導入してセキュリティ基盤を整備し、ゼロトラストフレームワークを可能な限り実装するといった対策を行う必要があります。また、脅威の状況だけでなく人々の働き方も変化しているため、SASE アーキテクチャへの移行を進めてこの変化に対応していく必要があります。
このセキュリティアプローチでは、Sea Turtle のようなインフラ攻撃に対する復元力を確保するとともに、国家の支援を受けた攻撃者や犯罪者が行うエクスプロイト攻撃やサプライチェーン攻撃を検出して阻止する必要があります。また、資金力のある犯罪組織が世界中で行っている不正なレッドチーム演習に耐えられるようにネットワークのセキュリティ態勢を整備する必要もあります。これはなかなか大変な作業です。
Talos は、過去の侵害事例から学んだ教訓や知識を豊富に備えています。Talos のインシデント対応チームは長年にわたって数え切れないほどの事例に対応し、貴重な経験を積み重ねてきました。そうしたインシデントから学んだ教訓の 1 つが、MFA さえ導入していれば攻撃を緩和できた事例が多いということです。MFA は、リソースにアクセスしようとするユーザーに 2 つ以上の認証要素を提供するように要求するので、攻撃者が最初のアクセスを行いづらくなり、特権昇格の影響も大幅に緩和できます。Cisco Talos インシデント対応チーム(CTIR)では、重要なサービスで MFA を利用していれば防止できたはずのランサムウェアなどのインシデントを数多く見てきました。
2020 年から 2021 年にかけて、政府機関で SAML トークンが侵害されて MFA などの認証手段が回避されるというインシデントが注目を集めました。こうしたインシデントから、MFA の重要さと、攻撃を阻止する上で認証が大切な役割を果たしていることが分かります。国家がスパイ攻撃を仕掛けてきた場合でも、ランサムウェアグループがさらなる侵害の足がかりを確立しようとしてきた場合でも、MFA を導入していれば、実際に被害を発生させるのに必要なアクセスを食い止めることができます。
MFA をあらゆる場所に導入するのは不可能ですが、導入の目的は、こうした例外的な状況に対する監視を強化し、侵害を素早く特定して阻止することです。MFA が有効な実際の事例として Sea Turtle 攻撃があります。攻撃者に DNS がハイジャックされて標的のログイン情報が取得されても、MFA が導入されていれば、攻撃者が目的を達成することはできなかったはずです。また、DNS レコード自体の改ざんも阻止できた可能性があります。
セキュリティ基盤がインシデント発生時の明暗を分ける
最新のセキュリティテクノロジーをインストールすればセキュリティは大幅に向上するかもしれませんが、企業を適切に保護するにはセキュリティ基盤を整備することが必要であり、どんなテクノロジーに置き換えることもできません。正確なアセットリストを作成し、ドキュメントとポリシー(特にパッチの適用に関するルール)を最新に保つことがインシデントに備えるための基本になります。実際にインシデントに見舞われたときに、正確なアセットインベントリがなかったり、6 か月もパッチが適用されていないことが判明したりするのは避けたいものです。ネットワーク セグメンテーションや適切なアクセス制御といったセキュリティ基盤を整備しておけば、侵害の影響を抑え込むことができます。
常に、いつか侵害されるだろうという想定に基づいて計画を立てるべきであり、プロセスの関係者全員を巻き込んだサイバーセキュリティ インシデント対応計画を策定しておく必要があります。インシデントが発生したときは、1 分 1 秒が明暗を分けます。適切な部署が決定を下して対応に当たり、できる限り迅速に封じ込められる態勢を築いておくことが非常に重要になります。インシデントに関連するプロセスを整備して実施することで、侵害を受けたシステムで影響を緩和できるか、完全に侵害されてしまうかの違いが生まれます。
もう 1 つの重要な教訓は、ログに関連するものです。ログを記録するのは難しく、費用もかかることがありますが、インシデントに対応する際にはログが記録されていることが重要になります。ログがなければ、最初に侵入されたエンドポイントや感染経路などを特定できない可能性があります。未発見の同じ弱点を複数の攻撃者が悪用できる場合には、ログがないことによって壊滅的な結果を招く恐れがあります。
このプロセスには、セキュリティ態勢とリスクの評価も含まれます。その方法にはさまざまなものがありますが、最初はレッドチームを検討することをお勧めします。社内でレッドチームを編成して拡大していくこともできますし、このサービスを提供している外部のグループを雇うこともできますが、その両方を行えれば理想的です。社内のレッドチームには組織として知識を獲得できるという利点がありますが、外部のグループにも別の観点を提供してくれるという利点があります。いずれにせよ、このプロセスで最も大切なのは、レッドチームで判明した課題に実際に対処することです。それらの課題に体系的かつ経済的に取り組むことで初めて進歩が望めます。その結果、将来大きな利益がもたらされるはずです。
今すぐゼロトラストに移行を
国家はスパイ活動、破壊、妨害といった目的を達成するために信頼を悪用してきました。企業が成功するためには、他の企業やパートナーを何らかの形で信頼する必要がありますが、攻撃者もこの信頼を悪用しようとします。よく悪用されるのが、アクセスに対する信頼です。最近のサプライチェーン攻撃でも、この信頼が言わば仇となって広範な被害をもたらしています。
ゼロトラストの概念では、信頼は獲得されたものであっても再評価が必要だとされています。その頻度も、毎年、毎四半期、毎月といった間隔では悠長すぎ、今となっては接続するたびに再評価が必要です。最先端のセキュリティテクノロジーを導入し、強固なセキュリティ基盤を整備していても、信頼しているパートナーが一度でも侵害されれば壊滅的な被害に遭う恐れがあります。SolarWinds、Kaseya、NotPetya など、この数年にわたって攻撃者が繰り返し悪用してきたのは、この信頼なのです。
組織は信頼だけでなく、検証も行う必要があります。このアプリケーションは管理者として実行してほしいとか、スキャンから除外してほしいなどとベンダーが言っているからといって、疑いもせずにそのような特権を与えてよいわけではありません。ソフトウェアのサプライチェーンを保護するのはただでさえ難しいのですから、監視や権限の制御を弱めても何の利益もありません。サービスサプライチェーン攻撃については、サービス全体が完全に外部のインフラで提供されているので監視するのはさらに難しいと言えますが、それでも可能です。監視していれば、Sea Turtle のような攻撃を緩和できていた可能性があります。
ゼロトラストの大きな利点の 1 つは、内部や外部のアセットも精査されることです。攻撃者が環境内に足がかりを築こうとしている場合やすでに築いてしまった場合でも、また従業員が攻撃者であったとしても、ゼロトラストアーキテクチャを導入すれば、不正な振る舞いを検出し、大きなインシデントになる前に抑え込むことができます。ユーザーのセキュリティ態勢を評価して、信頼するかどうか接続のたびに判断することで、感染したラップトップ、最新のパッチが適用されてない PC、セキュリティツールが更新されていないパソコンからのアクセスを阻止することができます。ユーザーの信頼性を継続的に評価するこの種の仕組みは、深刻な侵害の発生を未然に防ぐ上で重要な役割を果たします。
ハイブリッドワークは機会だけでなく固有の課題ももたらす
このようにゼロトラストは今や必須となっていますが、その背景にある事情、つまりさまざまな企業が恒久的なハイブリッドワークモデルへの移行を進めていることにも注意を向ける必要があります。セキュリティリーダーにとっては、これだけでも十分に革命的な出来事です。今までは、物理的なオフィスで提供される保護が私たちを守ってきました。オンプレミスのセキュリティやテクノロジーなどがオフィスで働く人たちを保護してきたわけです。しかし、ハイブリッドワーク環境ではオフィスを利用する人はほぼいなくなり、従業員はあらゆる場所で働くようになるので、それに対応できる保護が必要になります。そこで活躍するのが SASE アーキテクチャです。
SASE は、攻撃を防ぐ上で重要なもう 1 つのセキュリティ概念です。2019 年に Gartner 社が提唱したこの新しいフレームワークは、ネットワーク機能とセキュリティ機能を単一の統合されたクラウドサービスに集約したものであり、企業がクラウド化を通じて進めているデジタル トランスフォーメーションを保護することができます。テレワークポリシーがさまざまな組織で採用され定着してきている今、SASE を導入することで、あらゆる場所にあるアプリケーションにユーザーやデバイスがどこからでも安全にアクセスできるようになります。
SASE のもう 1 つの利点として、オンプレミスの機器を使用するよりもはるかに高い復元力を確保できる点があります。先ほど説明したとおり、オンプレミス環境に依存するわけにはいかない点も課題の 1 つでした。国家の支援を受けた攻撃者による標的やインフラへの攻撃は苛烈さを増す一方となっており、壊滅的な被害に遭う危険性は日増しに高まっています。
侵害に適切に対応する上で重要になるログなどのテクノロジーについてはすでに説明してきましたが、次のような課題も検討する必要があります。
- オフィスに物理的に配置されておらず企業の VPN にも接続されていないアセットのログをどのように処理するか?
- アセットがネットワークにバインドされていない場合でも XDR ソリューションで可視化できるか?
- ゼロトラストを実装して、デバイスがネットワークに接続するたびにそのセキュリティ態勢を評価する必要があるか?
まとめ
未来を予測するのは本当に難しいということを私たちはこの数年間で学びました。この 10 年間、モバイルの脅威がやがて猛威を振るうだろうと思われてきましたが、実際に活動を活発化させたのは国家の支援を受けた攻撃者でした。新しいトレンドが見えてきており、気になる指標もいくつか確認されています。現在、ゼロデイ脆弱性を悪用してサービスプロバイダーを侵害しているのは国家の支援を受けた攻撃者だけではありません。10 年や 20 年にわたって堅牢な機能を築き上げてきた歴戦の強者だけでなく、新参の攻撃者も APT 攻撃に多数参加しています。その結果、巻き添え被害が出ようがお構いなく、攻撃者はこれまでよりもリスクの高い行動を取るようになりました。このことは、Sea Turtle が DNS を狙ったことで証明されています。
かつて、ゼロデイ脆弱性は主にスパイ活動のために悪用されてきたわけですが、今では自国の国境と利益を脅かす国家だけでなく、反体制派や活動家も標的にされています。そうした攻撃では、純粋なスパイ活動だけでなく、破壊活動や業務の混乱を狙った活動も行われています。
これに加え、今まで存在しなかった暗号通貨の収益化機能を利用して、犯罪組織が年に数十億ドルも稼ぎ出しています。セキュリティの確保はかつてないほど難しくなっていますが、有効と思われる解決策があります。まずは、最も大きな効果が期待できるテクノロジーの導入をご検討ください。MFA を導入し、ゼロトラストへの移行を開始し、適切なインシデント対応に必要なセキュリティ基盤を整備します。攻撃者の活動を阻止するために必要な法整備や政府の対応は遅れているため、今後数年は厳しい状況が続くものと思われます。しかし、コロナ禍によってこれまでにない働き方の変化が起きており、それによってセキュリティに対するアプローチを見直す新しい機会が生まれています。
本稿は 2022 年 02 月 22 日に Talos Group のブログに投稿された「Time to secure hybrid work for 2022, not 2002」の抄訳です。