ソフォスのお客様はご安心ください – Mandiant/FireEye ツールのハッキングについて

Mandiant/FireEyeは今週初め、FireEye Red Team が用いる攻撃的セキュリティツールが、国家の支援を受けた極めて高度な攻撃者によって窃取されたことを明らかにしました。

攻撃的なセキュリティツールを使用することは、サイバーセキュリティ業界では一般的です。ソフォスにおいても、サイバー攻撃シミュレーションに対する防御をストレステストする際に使用しています。

今回のハッキングを受けて FireEye は、対策ルールを公開しました。実際のツールは一般には公開されておらず、現在もテストに利用することはできません。にもかかわらず、セキュリティ業界は、FireEye が公開した情報に基づいて、公開されている他のソースから関連性のある IOC を収集することが可能でした。

入手可能だった攻撃サンプルの検出状態を検証したところ、圧倒的多数がソフォスの既存のアンチマルウェア定義によってすでに検出されていたことが分りました。

ソフォスでは、FireEye による情報開示後も検出の更新を継続しており、関連する可能性のあるその他のコンポーネントの検出を特定・検証している最中です。

以下に、盗まれたツールに関連する主要なソフォスの検出名を列記します。

• Mal/Swrort-AE,-L
• Troj/Rubeus-*
• BloodHoundAD (PUA)
• Troj/Seatbelt-A
• Mal/Zafkat-A
• ATK/Cobalt-A,-B,-V,-G
• Exp/20201472-A
• Troj/PrivEsc-*
• ATK/PrivEsc-*
• Troj/DocDl-ABQE
• Troj/Agent-BGFM
• ATK/Tlaboc-F
• Exp/20132465-A
• Harmony Loader (Hacktool)
• Troj/Agent-AYZU
• Troj/AutoG-ID

盗まれたツールセットの主要部は、攻撃後の手法 (手順) に関するものでした。FireEye によると、盗まれたコンポーネントにはゼロデイエクスプロイトは含まれていません。保護対象領域全体にセキュリティパッチを定期的に適用している企業組織は、これらのツールの悪用に対抗する準備が十分に整った状態になっています。

FireEye の「対策」ファイルに記載されている脆弱性を、Sophos XG Firewall と Sophos UTM で使用されているソフォスの IPS シグネチャデータベースと照合したところ、既存のシグネチャセットで強力にカバーできていることが確認されました。エンドポイント保護に関連するシグネチャの一部は、エンドポイント IPS でも利用可能です。

今後実際の攻撃でこれらのツールが使用される危険性について心配な方は、ソフォスの担当者にお問い合わせください。

また、すべてのお客様には、今回のインシデントをきっかけにして、セキュリティパッチがすべて最新の状態になっているかどうかを確認することをお勧めします。

ソフォスは、Cyber Threat Alliance に積極的に参加しているメンバー (英語) として、サイバーセキュリティ業界と連携し、サイバー犯罪と闘うことをお約束します。ソフォスは、情報開示した FireEye に称賛を送るとともに、同社のセキュリティチームに連絡を取り、当該のツールセットに関する詳細な情報を共有しています。