ネットワークインフラに対する高度な攻撃の割合が増加しており、シスコは事態を重く受け止めています。これは Talos が直接確認しているほか、各国の諜報機関からの数多くのレポートによっても裏付けられています。国家的な支援を受けた攻撃者が世界的に暗躍し、ルーターやファイアウォールを標的にしているのです。もちろんインフラのセキュリティが長年の懸念だったのは事実です。しかし、世界の各地でネットワークインフラに関わる Talso は、将来の破壊活動を視野に入れたスパイ活動と、明らかな標的型攻撃の両方を目の当たりにしています。パートナーとの共同作業では、運用上の障壁により、セキュリティチームがネットワークインフラを適切に保護するのが遅れたり、場合によっては妨げられたりする事態も経験してきました。今回のレポートでは、トップレベルの攻撃者の観察結果や、彼らによるネットワークデバイスの操作、およびネットワークインフラのレジリエンスを向上させるための推奨事項とリソースについてご紹介します。
バックグラウンド
最近、英国の National Cyber Security Center(NCSC)は、シスコが 2017 年に修正パッチを公開したルーターの脆弱性を狙った、ロシアの諜報機関による継続的な攻撃に関するレポートを発表しました。これは「Jaguar Tooth」と呼ばれており、将来の破壊活動の下準備やスパイ活動の一貫として、高度な攻撃者がネットワークインフラを標的にした攻撃の一種です。ただし同様の攻撃は広まりつつあります。攻撃を受けているインフラの種類は多様ですが、古いソフトウェアを使用しているインフラでは攻撃の成功率が目立って上がる傾向にあります。
シスコのネットワークインフラは世界中で利用されているため、ネットワークインフラに対する持続的な攻撃では特に狙われやすいのですが、シスコ製の機器だけが標的になるということは決してありません。最近 Cisco Talos とサンプルが共有されたロシアの諜報契約文書に関するレポートでは、1 つのスキャン コンポーネントにより、ほぼ 20 社のルーター・スイッチメーカーを標的にする事例が確認されました。これはつまり、ベンダーを問わずインフラが狙われることを示しています(下の画像を参照)。遡ること 2018 年に Talos は、同じくロシア起源とされる VPNFilter の攻撃を調査しています。これも、Asus、Huawei、Linksys、MikroTik、Netgear、QNAP、TP-LINK、Ubiquiti、Upvel 社製のデバイスを標的とした高度な攻撃でした。
黒幕はロシアだけではありません。CISA によれば、中国の攻撃者も同様に幅広いメーカーのネットワーク機器を標的にしています。もちろんロシアや中国以外の国家がネットワーク機器を標的にすることもあります。十分な技術のある国家諜報機関であれば、敵国の通信インフラに侵入するためのツールを開発して、実際に運用しているであろうことは容易に想像できます。
Talos の調査結果は、上述のようなレポート内容と合致しています。ネットワーク機器を狙った攻撃者によるトラフィックの操作やコピー、隠し設定、ルーターマルウェア、インフラの偵察、積極的な防御の弱体化などは、Talos も観測してきたからです。こうした手口の幅広さを考えると、攻撃者は、狙ったネットワーク機器について非常に高いレベルの技術と専門知識を有していると考えられます。
導き出される結論は明確です。世界中の国家情報機関や、国家が支援する攻撃者が、ネットワークインフラを第一優先で狙っているのです。ルーターやスイッチは動作が安定しており、セキュリティの観点から検証される機会は稀であり、修正パッチが適切に適用されていないことが多く、しかもネットワークを細部まで可視化できるからです。重要度の高いネットワークへの侵入経路を探し、機密情報に秘密裏にアクセスすることを狙っている攻撃者にとって、そうしたルーターやスイッチは格好の標的だと言えます。
攻撃の観察結果
さまざまなインフラ機器上で確認された攻撃アクティビティの種類について、一部をご紹介します。一連の分析の対象となったケースでは、攻撃者は(インシデントに応じて)スパイ活動を行っているか、破壊的な攻撃などの下準備を含む戦略的目標に基づいて活動していました。彼らの活動は複数のインシデントや攻撃にまたがっていますが、攻撃者の技術力の高さは十分に判断できます。つまり簡単に言えば、重要なインフラを狙った攻撃では次のような手口が観察されたのです。
- Generic Router Encapsulation(GRE)トンネルの作成と DNS トラフィックのハイジャックにより、DNS 解決を監視して制御する
- メモリの改ざんにより、パッチが適用された脆弱性を再現して別のアクセス経路を確保する
- 構成の改ざんにより、侵入したデバイスを脆弱な状態にし、追加のエクスプロイトを実行してアクセス可能な範囲を広げる
- インフラ機器に悪意のあるソフトウェアをインストールし、次のような操作を可能にする:
- 通常のコマンドでは表示されないように、特定の構成をマスキングする
- トラフィックがルーター本来の動作によってブロックされないように ACL をバイパスする
- 通常の SSH/Telnet メソッド以外による、デバイスへの認証済みアクセスを許可する
- 新しい機能が必要になった(または登場した)場合に、それらを簡単に導入できるモジュール機能を追加する
- インフラ機器を破損して無効化できる機能を追加する
- 攻撃者が定義したトラフィックを、攻撃者が制御するインフラにリダイレクトする
- VPN を介して対象のネットワークセグメントから標的トラフィックを吸い上げるためのハブ・アンド・スポーク VPN を作成する
- 将来的に複合することを狙った、ネットワークトラフィックの傍受(多くの場合、特定の IP またはプロトコルを狙い撃ちにします)
- ネットワークパケットで特定の機能を有効 / 無効化できるよう、多様なロジックを導入する
- インフラ機器を使用して攻撃を実行するか、または攻撃で使われる C2 を維持する
TACACS+ サーバー、エンタープライズ管理サーバー、ジャンプホストといった、インフラ機器のバックボーン環境を狙っていることが明らかな旧来のエンタープライズ攻撃も確認されています。さらに企業ネットワーク上では、資格情報、ネットワークダイアグラム、ネットワーク顧客との契約、構成情報などのネットワークデータを中心に探るスパイ活動も確認されています。
つまり非常に洗練された攻撃者が、あらゆるメーカーのネットワークインフラ機器を標的にしており、しかもその数は増えているのです。懸念されるのは、現状の認識とパッチの適用が不十分で、サポートが切れた機器が今でも使われており、常時接続が求められているなどの理由で、あまりにも多くのインフラ機器が攻撃の餌食になることです。いったん餌食になると、知らないうちに犯罪活動の拠点にされる場合もあれば、国家の安全保障を脅かす場合もあるなど、さまざまな影響が及ぶことになります。
資格情報の保護
Jaguar Tooth は、実際には一連の攻撃を指します。攻撃はまず、不適切に選択された SNMP コミュニティストリングがないか探します。該当のコミュニティストリングが見つかると、攻撃者は CVE-2017-6742 をエクスプロイトします。これは 2017 年 6 月 29 日に公表された脆弱性で、その後、製品をお使いのお客様すべてにソフトウェアパッチが提供されています。ただしパッチが適用されていなくても、SNMP コミュニティストリングが適切に選択されていえれば、この攻撃は阻止されます。また、SNMP v3 を使用していない場合は、適切に選択された資格情報も平文で送信される(つまり傍受される危険性がある)ことにも注意してください。 NETCONF(ネットワーク構成プロトコル)と RESTCONF は、古い対応する SNMP よりも優れたセキュリティと機能を提供する、最新のネットワーク管理プロトコルです。通常、NETCONF は SSH 経由で実行されますが、RESTCONF は HTTPS 経由で実行されます。SSH と HTTPS はどちらも強力な暗号化メカニズムと安全な認証手法であり、交換されるデータの機密性、整合性、および信頼性を保証します。SNMP、特に古いバージョン(v1 および v2c)は、適切な暗号化と認証が欠けているため、サイバー攻撃に対して脆弱です。
他のインシデントでは、内部環境への既存のアクセス権を手に入れたことで、TACACS+/RADIUS サーバーを標的にして資格情報を取得できる、絶好のスポットにいた攻撃者も観察されています。こうした攻撃者は、資格情報サーバーが適用するセキュリティ制御を把握できる有利な立場にあるだけでなく、ジャンプサーバーを使用したり、一般的なネットワーク管理者が使用する他の手法を採用したりすることで、トラフィックを「正常」に見えるように欺くことができます。
実際にエクスポートが確認されたエクスプロイトの多くは、侵入の後に起きています。つまり攻撃者は、内部でエクスプロイトを突いて奥深くまでアクセスできるだけの、何らかの形の認証情報を持っていたことになります。Talos としては、複雑なパスワードとコミュニティストリングを選択し、可能な場合は多要素認証を利用し、デバイスの構成時と監視時に暗号化を要求し、TACACS+ やジャンプホストなどの資格情報システムをロックダウンして積極的に監視することを推奨します。
現実に対応できるよう最新状態を保つ
ネットワークインフラは長持ちするように構築されています。しかも今日の常時接続の世界では、パッチを適用するタイミングさえ見つからない場合もあります。しかし昨今のレポートや Talos の調査からは、ネットワークを実行するハードウェアとソフトウェアの両方を更新することが不可欠だと言えます。パッチによって既知の脆弱性が排除されるだけでなく、アップグレードによって、以前は利用できなかった新しいセキュリティ機能と制御が追加されるというメリットもあります。
シスコでは、製品のセキュリティを向上させる多くのテクノロジーとプロトコルを長期にわたって導入してきました。こうした進化の中には、ソフトウェアのアップグレードで提供できるものもあれば、最新のネットワーク機器を必要とするものもあります。たとえば特定のサプライチェーン攻撃に対抗するために、シスコは一連の技術を導入しました。これらの技術には、トラストアンカーモジュールなどのハードウェアの改善や、セキュアブートなどのソフトウェアの変更が含まれます。ハードウェアとソフトウェアを更新しなければ、パッチが適用されていないセキュリティ脆弱性の犠牲になる可能性が高まるだけでなく、攻撃に対抗するための手段も減るのです。シスコのお客様は、こちらでソフトウェアのバージョンをチェックして、既知の脆弱性が存在するかどうかを確認できます。シスコの trustworthy 技術の詳細については、こちらをご覧ください。いくつかの関連リソース、ツール、およびサービスは、こちらのセキュリティセンターでご確認いただけます。
環境の監視とポリシーの適用が重要な理由
実行している構成を普段から把握し、その状態から逸脱していないか監視することで、初期段階から攻撃を検知できる可能性が高くなります。たとえば NetFlow 分析で未承認の GRE トンネルまたは静的 VPN が発見された場合、調査を開始する根拠になります。あるいは未知の外部 IP からエッジルーターへの接続を監視すれば、上述のような不正アクティビティを検出できるでしょう。構成の監視と変更に関する基本的な警告でさえ、多くの場合に役立ちます。
ポリシーの適用が役立つ別の分野は、認証、許可、およびアカウンティング(AAA)ツールです。過去の攻撃ではルーター上で異常なアクションが観察されてきましたが、それらは AAA ログから特定可能であり、(理想的には)適切な AAA 設定によって排除できるものです。その一例は、「no aaa accounting」コンフィグコマンドを発行してログを停止しようとする試みです。適切に設定されている場合、AAA の機能を無効にしようすればログに記録され、AAA システムによって拒否されます。
Talos では、動作や構成の異常な変化について環境を監視するよう組織に勧めてきましたが、これは難易度で言えば最も高い部類に入ります。監視環境を構築して、実装環境に合わせて調整するには、十分に文書化されたネットワークインフラ環境、ネットワークエンジニアリング、優れたセキュリティ運用の組み合わせが不可欠だからです。お客様をサポートするテクノロジーは数多くありますが、成功を左右するのは、ネットワーク エンジニアリング チームとセキュリティチームの人材と協力意欲です。
サポートが必要な場合は、専門家の力を借りましょう
特殊なハードウェアが関係するインシデントへの対応は容易ではありません。シスコ製品が侵害された疑いがある場合は、サポートを受けられるよう、ぜひ TAC にご相談ください。シスコ製品に脆弱性があると思われる場合は、PSIRT が連絡先となります。一般的な質問について TAC に問い合わせる方法については、こちらをご覧ください。脆弱性についての報告やサポートが必要な場合、こちらからシスコの PSIRT にご連絡いただけます。
推奨事項のまとめ
- 複雑なパスワードとコミュニティストリングを選択し、デフォルトの資格情報を避ける
- 多要素認証を使用する
- すべての監視・コンフィグトラフィック(SNMPv3、HTTPS、SSH、NETCONF、RESTCONF)を暗号化する
- TACACS+ やジャンプホストといった資格情報システムをロックダウンし、積極的に監視する
- サポートが終了したハードウェアとソフトウェアの使用を避ける
- ソフトウェアを最新状態に保つ
- AAA を利用して、キー保護の構成変更を拒否する
- 異常なアクティビティがないか、syslog および AAA ログを監視する
- 動作または構成の異常な変更がないか環境を監視する
- シスコ製品に関連するセキュリティインシデントについてサポートが必要な場合は、シスコの TAC または PSIRT にお問い合わせください。
まとめ
ネットワークが安全でなければ、そのネットワーク上の何かを適切に保護することなど不可能です。もちろんネットワークインフラを完全に保護することは、無数の運用上の障害により並大抵のことではありません。しかしネットワークインフラへの侵入を許した場合のリスクと結果を考えれば、障害を乗り越えて防御を固める必要があると言えます。どのような状況であるにせよ、インフラの老朽化はリスクになります。旧式の機器に依存して、時代遅れのプロトコルやテクノロジーを利用すれば、最終的には組織がその対価を支払うことになります。環境をできるだけ確実に保護できるよう、しかるべきベンダーにご相談されることをお勧めします。
本稿は 2023 年 04 月 18 日に Talos Group のブログに投稿された「State-sponsored campaigns target global network infrastructure」の抄訳です。