A lighthouse on a rocky coast, with an overcast sky
セキュリティ運用

最前線から:ソフォス CISO の Pacific Rim に対する見解

「検出と対応」、「セキュアバイデザイン (Secure by Design)」のその先へ
作成者
2024、 10月 31
Security Operations Pacific Rim Pacific Rim thought leadership Sophos X-Ops セキュリティ運用

** 本記事は、From the frontlines: Our CISO’s view of Pacific Rim の翻訳です。最新の情報は英語記事をご覧ください。**

ソフォスは、自社のネットワーク境界製品が国家による持続的な攻撃の標的になっていることを発見した最初のサイバーセキュリティベンダーではありません。「Pacific Rim: 反撃の内幕—中国からの脅威を無力化した手法」で明らかにした一連の出来事において注目すべき点は、セキュリティ業界が直面している特定の攻撃者の意思や攻撃性などを正確に説明するために、現在進行中の調査からわかる範囲で、脅威ハンティングとハンティング対策のいたちごっこを詳細に報告しているということです。Pacific Rim への対応を通じて、私たちは対策について多くのことを学びました。本記事では、他の防御者にも応用できる 3 つの知見をご紹介します。

攻撃者の負担を増加させるには、能力を制限することです。 ソフォスは、緊急時に大規模なリソースを投入できるだけの規模でありながら、迅速かつ独創的な対応によって攻撃者に打撃を与えることができる俊敏性を持った企業です。今回の場合、ファイアウォールが比較的予測可能な環境であるという地の利を活かせました。ファイアウォール上での攻撃者は、汎用エンドポイントでの活動と比べて目立たないように努力せざるを得ません。強力な Linux デバイス、常時オン、良好な接続性、ネットワーク上の信頼できる場所というファイアウォールの標的としての価値の高さを考慮すれば、攻撃者がなぜファイアウォールを狙おうと思うのか、そしてなぜ私たちがその領域で効果的に攻撃者を迎え撃つことができたのかがおわかりいただけるでしょう。

確かに、攻撃者は創造性を高めており、驚かされた瞬間も何度かありました。たとえば、UEFI ブートキット (ファイアウォール上常駐するブートキットとして観測された最初の例だと考えられる) が代表的です。しかし、この種の創造性には高い代償が伴います。攻撃者がメモリに潜み、UEFI ブートキットを常駐化するために使用する方法を探さざるを得ないということは、ほとんどの防御者にとってやはり地の利があるということです。(そして、そのような極めて特殊な戦術を検出し、対応するプロセスに取り掛かれます。)

テレメトリは、攻撃者の活動開始以来、私たちが優位に立てる大きな要因となっています。Asnarök 活動の初期 (2020 年春) にソフォスが取った最初のアクションの 1 つは、CVE-2020-12271 の脆弱性にパッチを当てるだけでなく、全体的な観測可能性を向上させ、解析に利用するテレメトリの量と種類を増やすために、自動配信されるホットフィックスを発行することでした。その後数年間で、テレメトリおよび関連する検出・対応プロセスは、ソフォスの製品セキュリティプログラムの重要な柱となりました。プライバシーに関する懸念は、当然ながらソフォスの考え方の中心にありました (技術的な内部システムデータを取得する時にも、たとえば個人を特定できる情報にはアクセスしませんでした)。そのため、収集データが増加する中で、上述のような懸念とお客様の安全を保つことのバランスを取るのは、特に法執行機関の関与も相まって、骨の折れるプロセスでした。

もちろん、お客様環境のオンプレミスにあるデバイスを守るには、それなりの制約があります。多くの場合、これらは古いファームウェアを用いていたり、サポートが終了しているにもかかわらず使用されているハードウェアです。この一連の調査で得られた 2 つ目の教訓は、反エンドユーザー的あるいは実現不可能に見えるかもしれませんが、2024 年においては、真剣に議論する必要があります。

ユーザーのためにも、インターネット全体のためにも、ファイアウォールにはホットフィックスの配信やサポート期限の設定を義務付ける必要があります。購入後 5 年間アップデートされないファイアウォールは、もはやファイアウォールではありません。新しいホットフィックスを導入しない古いファイアウォールも、もはやファイアウォールではありません。

ハードウェアの耐用年数に関する問題については活発な議論が交わされていますが、まずはホットフィックスの問題を取り上げましょう。多くの管理者、特にパッケージソフトウェア時代に培われた習慣や慣習をいまだに守っている管理者は、(*-as-a-Service の時代になってそのプロセスがかなりスムーズになったとはいえ) 自らテストしていないパッチの適用には慎重です。本番システム上の他の多くのデバイスでは、パッチやホットフィックスに手動で対応することが公平かつ正当であることには同意します。しかし、ファイアウォールの管理者は、このような専門化されたシステムに対するアップデートには時間的制約があることを認識し、ベンダーを信頼して迅速な問題の修正を任せる必要があると考えます。もちろん、この信頼は勝ち取らなければなりません。最近のイベントによって、特に高い権限を与えられたアプリケーションの自動アップデートを信頼することの重要性が明らかになりました。ベンダーは、厳密なテスト、時期をずらした配信、すべての変更に対する透明性、そして、お客様の環境全体への被害を大幅に削減できるように構築された検出・対応プロセスによって、アップデートの責任を真剣に受け止める必要があります。

インターネットが進化するにつれて、最も念入りにアップデートされたハードウェアでさえ、いずれ費用対効果を高く保ったまま必要なアップデートや機能をサポートする能力の限界に達します。「タイムラインで見る Pacific Rim: 連携した複数の攻撃キャンペーンから得られた情報」で取り上げたように、これらの古いデバイスは、単に使用できなくなるだけでなく、復活して危険な存在となります。ファイアウォールは一種の「デジタルデトリタス」となります。何年も前に、期限が切れ、悪用されることが決まった存在と Jillian Burrowes が説明したような、古く放置されたデータのハードウェア版です。このようなデバイスがもたらす攻撃対象領域をどのように削減するかについての話し合いは、容易ではありませんが重要です。ソフォスはベンダーコミュニティや、さらにより大きな防御者コミュニティが遅かれ早かれ着手すべき問題だと考えています。

セキュリティはチームスポーツです。攻撃はチームワークによるものです。防御にもチームワークが必要です。「チーム」は重要なだけでなく、「必要な」要素です。ソフォスのストーリーは全員のストーリーです。ソフォスだけが狙われているわけではなく、情報セキュリティに携わる企業として最悪の状況にあるわけでもないことが、(公開されている情報だけでなく、非公開の情報からも) 明らかです。ソフォスの経験が示すように、ソフォスの境界デバイスへの攻撃は多面的なチームワークによるものであり、侵入と常駐化の方法は犯罪グループから犯罪グループへと受け継がれています。これらのグループと互角に渡り合うために、組織は同業他社、政府機関、法執行機関、さらには独立した、あるいは匿名のセキュリティ研究者とも交流を持つ必要があります。ヨーロッパや欧米を拠点とする企業は、官民関係の構造が中国のような国とは大きく異なっているかもしれません。しかし、私たち全員が、集合知を活用して反撃することが求められています。

発生したイベントの中で、ソフォスは非常に多くの、そしてさまざまな政府パートナーと協力してきました。メイン記事の末尾にそのいくつかを掲載しています。ソフォスが JCDC のような組織に参加するのは、それが正しいことだからです。さらにここ数年、利益、情報共有、分析、人材が攻撃者の壊滅に投入されるのをますます目にするようになりました。攻撃者の勢いが増すに連れて、防御者は、自社のビジネスにも沿った形でこれらの取り組みに参加できる効果的な方法を見つける必要があります。ソフォスの経験が示すように、攻撃者は躊躇しません。

しかし、防御側の連帯は特別な役職・役割を持つ人だけのものではありません。大きな論争を呼び、防御側の協力形態としては依然過小評価されているバグ報奨金も、強力な防御者コミュニティの一翼を担っています。今回のイベントの中で、攻撃者が使用していた脆弱性と類似した、あるいは同一の脆弱性を報告した研究者に報奨金を支払ったことが複数回ありました。少なくとも 1 件の事例で、報告された脆弱性はすでに価値の高い標的に対して使用されていたため、「なぜそのようなことが起こったのか」「研究者は攻撃者とどのように関係しているのか」という疑問が生じるかもしれません。

しかし、そうした疑問に対する私たちの答えは「どうでもいい」です。研究者と攻撃者がどのような関係にあるのか、私たちは知っているでしょうか。いいえ、知りません。では、今後知ることはできるでしょうか。おそらくできません。その関係を知ることは重要でしょうか。それほど重要ではありません。重要な点、および報奨金を支払う価値がある点は、現在進行中の攻撃を大幅に阻止し、標的が深刻な攻撃から立ち直るのを助けられたという事実だけです。もしこの問題 (CVE-2022-1040) がバグ報奨金プログラムを通じて私たちの目に触れなければ、さらに何人の犠牲者が出ていたでしょうか。

別の記事でも触れられているように、この物語は続いています。法の執行は時にゆっくりと進行するものであり、この数年にわたる取り組みの背後にいる組織は依然として活発に活動しています。(実際、すべてが始まった 5 年前より、世界的な紛争ははるかに複雑になっています。ソフォス内部では、攻撃の波を素早くかわすために必要な、複数のチームによる取り組みにより、大規模なものから非常に小規模なものまで社内のプロセスを改善・改良を図ってきました。こうした改善は現在も続いています。

業界全体に向けたソフォスの主張をは次のとおりです。攻撃者の能力を制限するという方法で攻撃者の負担を増加させることに一緒に取り組みましょう。かつてはインターネットを守るのに役立ったものの、今ではインターネットを害するだけとなったセキュリティ上の弊害を一掃する方法を探りましょう。攻撃者と同様、サイバー防御にチームで取り組みましょう。

Sophos X-Ops は他社との連携、およびケースごとに追加で詳細な IOC を共有することを歓迎しています。pacific_rim[@]sophos.com までお問い合わせください。

詳細については、こちらのランディングページをご覧ください: Pacific Rim: 中国の国家的攻撃者に対するソフォスの防御・反撃的オペレーション

著者について

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his 17 years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

関連記事を読む