** 本記事は、Pacific Rim: What’s it to you? の翻訳です。最新の情報は英語記事をご覧ください。**
多くの人は、自分や自分が所属する組織が、国家レベルの攻撃者に狙われるほど魅力的な存在だとは思っていません。しかし、他の多くのセキュリティに関する自己評価と同様に、この評価も間違っているかもしれません。ソフォスのレポート「 Pacific Rim: 反撃の内幕—中国からの脅威を無力化した手法」で詳述したように、中国に支援された攻撃者は、エッジデバイスの制御権を巡ってソフォスと戦い続けています。攻撃者は標的を絞ってデバイスを侵害することも、無差別に侵害することもあります。
この種の敵対的活動は、ソフォスだけに向けられたものではありません。ソフォスは、インターネットに接続した他の標的が狙われるのも確認しており、攻撃者の多くが、家庭や小規模オフィス向けのデバイスを提供しているベンダーを含む、他のネットワークセキュリティベンダーに対する攻撃と関連することも確認しています。この攻撃キャンペーンが攻撃者にとって長期的な優先事項となっている理由を理解することは、この種の攻撃を無事回避できた企業が、旧来の企業リスク評価ルールがどのように変化しているのか、そしてその変化が今後何を意味するのかを理解するのに役立ちます。
攻撃パターンの根本的な変化
巨大な国家に仕える攻撃者が、小さな標的を気に掛けるのはなぜでしょうか。多くのセキュリティ専門家は、主な攻撃者はランサムウェアグループのように金銭的動機に基づき、簡単に手に入る利益を探し求める犯罪者だと考えています。この種の攻撃者はパッチが適用されていないネットワークデバイスを悪用することで知られていますが、ほとんどの場合、新しいゼロデイエクスプロイトを発見・利用して侵入を試みるほどの能力は持ち合わせていません。
対照的に、Pacific Rim では中国四川省の教育機関におけるゼロデイエクスプロイト開発ラインとの類似性を確認しました。ソフォスは観察と分析を通じて、その関係性を確信しています。これらのエクスプロイトは、国家に支援された攻撃者と共有されていると思われ、脆弱性公開法によって共有が義務付けられている国家としては理にかなっています。
さらに、Pacific Rim 調査の数年間を通じて、攻撃者たちが標的を定め直していることが確認されました。初期の攻撃は脆弱性のあるすべてのデバイスに影響を与えるように設定されていました。ソフォスが攻撃者への対抗措置を強化するにつれて、攻撃者はより標的を絞った攻撃を行うようになりました。
しかし、これらの出来事はほんの一部に過ぎません。無差別攻撃の開始前にも重要な段階が存在していました。今回のようなイタチごっこの分析からも明らかなように、この種の攻撃者はしばしば、まず標的型攻撃を行い、価値の高いゼロデイ脆弱性を目立たないように悪用します。攻撃者は当初の目的を達成した後、あるいは発見される可能性があると判断した後、利用可能なすべてのデバイスに対して攻撃を仕掛けて混乱を引き起こした後、攻撃の痕跡を消していました。
多くの攻撃が重複して試みられる中、攻撃者が何に狙いを定めているか次第で、どのようなデバイスも攻撃者を利する可能性があります。Pacific Rim に関与している攻撃者や他の攻撃者は、軍事機密や知的財産だけを狙っているわけではありません。より価値の高い活動を他の攻撃に紛れ込ませ、阻止を試みる人々を混乱させようとしています。この種の「難読化ネットワーク」を構築し、広く問題を引き起こすという目的のためには、可能な限り多くのデバイスを侵害し、悪用することが攻撃者にとって理にかなっています。
(以前確認された他の例としては、Microsoft が中国拠点のグループ「HAFNIUM」に帰属するとした ProxyLogon 攻撃が挙げられます。この攻撃は世界からの注目を集める前は、標的を絞って実行されていたようです。HAFNIUM は初期の限定的な使用の後、何年にもわたって世界中の Exchange サーバーに攻撃を仕掛け続けました。)
攻撃の目標やパターンが進化するにつれて、システムの維持に対する考え方も進化する必要があります。
オプトアウトはもはやオプションではない
上述のような理由で、ソフォスは多くのリソースを投入して積極的にプラットフォームを防御し、欠陥の修正だけでなく、早期発見と抑止のための機能強化にも取り組んできました。しかし、これらの修正プログラムを迅速に利用されないお客様も少数ながらいらっしゃいました。この一連のインシデントと、そのようなお客様の選択がインターネット全体の健全性に及ぼす影響を踏まえ、ソフォス CEO の Joe Levy は、ネットワークセキュリティデバイスのメンテナンスに関する現在の共有責任モデルの改善を呼びかけました。
ソフォスが観測した大規模攻撃 (無差別的で、発見可能なすべてのファイアウォールに感染しようとする攻撃) において、侵害された組織が受ける影響は大きく分けて 3 つありました。第一に、侵害されたデバイスのネットワークの中で、標的のリソースが攻撃者のトラフィックをプロキシノードとして偽装するために使用される可能性があります。第二に、攻撃者に対してデバイス自体へのアクセスを提供し、セキュリティポスチャを示すポリシーやローカルに保存された認証情報を攻撃者に窃取される可能性があります。第三に、ネットワーク境界の最も重要な部分を形成するデバイスは、さらなる攻撃への拠点となります。
このような状況は、責任感のある人や企業であれば誰もが望まないものです。ファイアウォールのアーキテクチャに組み込まれた防御の堅牢性を継続的に向上させる主要な製品アップデートを受け入れて適用するだけでなく、悪用されつつあるセキュリティ上の弱点を早急に修復したり、悪用を防ぐために緊急のアップデートが必要なセキュリティホットフィックスを自動的に使用したりできるようにすることが非常に重要である理由の 1 つです。ホットフィックスには広範な保護措置が採用されていますが、自動適用されるという性質上、必要最低限に抑えられています。2024 年に発生したイベントは、ベンダーがこの責任を真剣に受け止めなければならないことを浮き彫りにしました。責任とは、テストと配信のプロセスに注意を払い、ベンダーの行為について可能な限り透明性を確保することです。とはいえ、パッチがいつでもどこでも、慎重かつ迅速に適用される必要性がなくなるわけではありません。
真に重要なこと
お客様とパートナーが力を合わせるべきもう一つの分野は、攻撃対象領域の最小化です。これらの攻撃で狙われた脆弱性のいくつかは、オープンなインターネットに接続するように設計されていないユーザーや管理者用のポータルに存在していました。ソフォスは、あらゆる種類のサービスについて、インターネットに公開するのは最低限にすることを強く推奨しています。公開しなければならないものは、堅牢な FIDO2 準拠の多要素認証 (MFA) を使用して、ゼロトラストネットワークアクセス (ZTNA) ゲートウェイの背後に配置して、保護するのが最善です。MFA の導入は以前から推奨されていますが (2024 年初頭のアクティブアドバーサリレポートでも述べました)、セキュリティの基本であり、攻撃対象領域を最小限に抑えることが証明されています。Pacific Rim では、攻撃は手動での「アクティブアドバーサリ」モードに移行しました。侵害されたデバイスの一部は、認証段階以前の脆弱性ではなく、窃取された認証情報を介してアクセスされていました。
さらに、侵害されたデバイスへのアクセス権を得た後、一部の攻撃者はローカルに保存された認証情報を窃取し、これらのパスワードの組織ネットワーク内での再利用を試みていました。ファイアウォール自体にはシングルサインオン (SSO) を利用していない場合でも、多くのユーザーは Entra ID アカウントと同一のパスワードを使用しています。この事実が、システムに単にパスワードでアクセスするのではなく、マシン証明書、トークン、認証アプリなど複数の要素を用いて認証することが重要であるもう一つの理由です。
この問題は、上述のパッチ適用の問題とも関連しています。たとえば、CVE-2020-15069 の修正パッチは 2020 年 6 月 25 日にリリースされましたが、2021 年 2 月 18 日の時点でも、攻撃者がファイアウォールを侵害し、ローカルの認証情報を盗み出し、リモートでコマンドアンドコントロールを確立していることが確認されています。アップデートが即座に適用されることが理想です。その機能が無効化されている場合、攻撃者に対して将来の攻撃機会を提供する可能性があります。
小さなことが大きな意味を持つ
ソフォスの経験から得られるもう一つの教訓は、重要でない侵害などないということです。一見地味なツールやテクニックが複雑かつ大規模な戦略を使用しているのが初期調査の段階で発見されています。テレビ会議システム向けに設計された小さなコンピュータ (Pacific Rim の後に続いたすべての攻撃における最初の侵入経路) は、そのまま放置され、撤去されていてもおかしくありませんでしたが、最終的にはさらなる活動の発見につながりました。脅威ハンティングは、ソフォスが Cloud Snooper と名付けた高度なルートキットの発見、Amazon Web Services (AWS) を悪用するいくつかの斬新な方法、さらには 5 年間にわたる脅威ハンティングと脅威ハンティング対策のイタチごっこを通じて最高潮に達しました。
ビデオ会議機器のような非特権デバイスは監視されてないことが多く、専用に作られ、オーバースペックであるため、最近の攻撃者のお気に入りになっています。この種のデバイスはディスプレイの駆動といった単純な機能だけにもかかわらず、わずか 10 年前の強力なワークステーションに匹敵するフルコンピューティングパワーを備えています。過剰なマシンパワーに加え、監視や利用可能なセキュリティソフトウェアがないことは、身を隠したまま常駐化し、より価値のある他の資産を調査するのに最適な組み合わせです。攻撃者の魔の手は内部から迫っています。
バグの中にはサプライチェーンからもたらされるものもあり、その対処はさらに困難となります。そうしたバグは特に、防御側が問題を共有責任として扱う必要があります。たとえば、ソフォスは 2022 年 4 月、攻撃者がオープンソースの暗号化ライブラリである OpenSSL の未知の欠陥を悪用しているのを発見しました。ソフォスは 2022 年 4 月 2 日にこの問題を OpenSSL チームに報告しました。脆弱性には CVE-2022-1292 (CVSS ベーススコア: 9.8) が付与され、5 月 3 日に OpenSSL チームによって修正されました。当時すでに Pacific Rim 自体が話題となっていたため、ソフォスが時間を割いて OpenSSL チームに通知し、OpenSSL チームによるパッチの適用をサポートすることに疑問の余地はありませんでした。コミュニティメンバーとしては当然の行いです。
このような観点から、ソフォスでは社内でのアプリケーションセキュリティテストやレビューに加え、サードパーティによる評価やバグ報奨金プログラムの運営も行っています。バグ報奨金プログラムの範囲 (および報奨金の額) は 2017 年 12 月の開始以来、拡大し続けています。これらの取り組みは、ある程度は予防的なものですが、その他のものはその性質上、事後的なものです。繰り返しになりますが、ソフォスのお客様やパートナーは、速やかに修正プログラムを適用するか、理想的には緊急修正プログラムを自動的に展開できるように、ソフォスと協力する必要があります。
今すべきこと
Clifford Stoll の 『The Cuckoo’s Egg (カッコウはコンピュータに卵を産む)』を読まれた方は、セキュリティ上の巨大な問題は、時として小さく奇妙な出来事として最初に現れることをご存知でしょう。この本は、1980 年代半ばに起きた、おそらく史上初の国家による「ハッキング」の事例を記録しています。ソフォスは 35 年以上前、創業して数年しか経っていない頃に Stoll 氏が参加し、勝利したのと同じようなイタチごっこを続けています。『The Cuckoo’s Egg』に書かれていた 75 セントの会計上の不一致は、今回のビデオ会議機器に相当します。どちらの事例も最初は小さな出来事でしたが、結果として関係者にとって決定的な経験となりました。Stoll 氏が捜査で使用した手法の多くは、今日でも防御側のツールセットの一部となっています。防御者の仕事に終わりはないということを理解した上で、ソフォスは Paciric Rim の経験を、防御者が協力し、防御を改善する能力を再評価・拡大するための手段として活用しています。
Sophos X-Ops は他社との連携、およびケースごとに追加で詳細な IOC を共有することを歓迎しています。pacific_rim[@]sophos.com までお問い合わせください。
詳細については、こちらのランディングページをご覧ください: Pacific Rim: 中国の国家的攻撃者に対するソフォスの防御・反撃的オペレーション