2017年6月27日の朝、私がボストンで目を覚ますと、ウクライナの電力供給会社がサイバー攻撃を受けたというニュースがソーシャルメディア上で駆け巡っていました。約1時間後には、デンマークの電力供給会社も供給停止になったほか、デンマークの海運企業であるA.P. モラー・マースク社も被害を受けたことを発表しました。そして私が自分のデスクに着いたときには、世界中の企業が同じ攻撃により停止を余儀なくされていました。シマンテック社は、この攻撃がPetyaランサムウェアによるものだと発表しました。その日は、忙しくて興味深い一日になる予感がしました。

サイバーリーズンでは、この攻撃が実際にはPetyaランサムウェアではないことをすぐに発見しました。これはPetyaとは全く別の攻撃であり、混乱を引き起すためにPetyaに似せて作られたものでした。そのため、この攻撃は「NotPetya」と呼ばれるようになりました。サイバーリーズンの研究者たちは、数時間のうちにNotPetyaを停止させるために使える欠陥(キルスイッチ)を発見しました。そして、被害が拡大する前に脅威を軽減し阻止するためにその情報を素早く世界に発信しました。

最近、NotPetyaと同じような手口の攻撃が出現したので、私はちょっとしたデジャブを感じました。SolarWinds攻撃はNotPetyaと多くの類似点があり、ロシア国内にある同一グループがこれら2つの攻撃を実行したという証拠もあります。

2つの攻撃の共通点を導き出す

まず、NotPetyaとSolarWindsは両方ともサプライチェーン攻撃です。これは標的が使用しているソフトウェアをハッキングし、悪意あるコードを密かに挿入するという巧妙かつ複雑な攻撃です。NotPetyaの場合、ロシアの脅威アクターはウクライナにおける標的が使用している会計ソフトにバックドアを仕込みました。

SolarWinds攻撃の場合、SolarWinds社自体をハッキングすることが最終的な目標ではなく、それは目的を達成するための手段にすぎませんでした。攻撃者がSolarWinds社を攻撃しプログラムをハッキングした目的は、ソフトウェアに依存しており、ソフトウェアを暗黙のうちに信頼しているすべての政府機関や企業へのアクセスを取得することにありました。

これらの2つの攻撃に共通するもう1つの点は、SolarWindsとNotPetyaがどちらもロシアが発生源であるということです。NotPetyaとSolarWindsはどちらも、国家が支援する(または国家により認可された)攻撃でした。ただし、NotPetyaはウクライナを対象としており、SolarWindsは米国を対象としていました。

サイバーリーズンではSolarWindsとNotPetyaの両攻撃は、どちらもロシアが発生源というだけでなく、ロシア政府内の同じグループが作成したものであり、かつ同じ人物により実行されたと考えています。そしてNotPetyaのキルスイッチを発見して公開した後、実際に何が起こったのかを調査するためにウクライナにチームを派遣しました。

その結果、これがランサムウェア攻撃ではなく、目的を偽装するためにランサムウェアに見せかけるよう設計されたロシア政府による標的型攻撃であることを確認できました。また、SolarWindsとNotPetyaの共通点を導き出すために役立つ情報も収集できました。

次なるSolarWinds

次なるSolarWindsはすでに存在しています。ロシアやその他のサイバー攻撃者は、すでにどこかの企業や組織のネットワーク内に攻撃の構成要素を配置しています。実際、脅威アクターはSolarWinds社の内部で1年以上も発見されないままの状態でした。SolarWinds社が次なるSolarWindsになる可能性もあります。なぜなら、脅威が検知される前にどんなバックドアやゼロデイエクスプロイトが仕込まれていたかを知ることや、すべての悪意あるコードが根絶されたかどうかを確認することは難しいためです。

サイバーリーズンは、次なるSolarWindsに対応する準備ができています。当社の研究者は2017年にNotPetyaを停止する「ワクチン」を発見しており、エンドポイントを超えた未来志向の攻撃防御ソリューションを顧客に提供し続けてきました。我々にとって、SolarWindsはサプライズではありませんでした。SolarWindsの背後にいる攻撃者は、この攻撃がCybereasonにより検知され停止されることを避けるために、Cybereasonが標的の環境内で検知された場合には攻撃を停止して別の標的を見つけるように悪意あるコードを設計していました。

米国政府は、ロシアとの間で激化しているサイバー戦争に対処するための措置を講じていますが、ロシアからだけでなく他の国からの脅威も続いています。また、サプライチェーン攻撃も続くことでしょう。サプライチェーン攻撃は、悪意あるコードを広く流通させる効果的な手段です。問題は「攻撃に対する防御を任務とするCISOやその他のサイバーセキュリティの専門家は、そのような情報を使って何ができるのか」ということです。

まず、最初のハッキングが発生した際にSolarWinds社がどのようなセキュリティ管理を実施していたかを見てみましょう。なぜSolarWinds社による防御が失敗したのか、その防御のどこが不十分だったのかを理解することは、今後の攻撃に対するサイバー防御を改善するために役立ちます。

さらに、企業や組織は悪意あるオペレーション全体を可視化してくれるツールを導入する必要があります。多くの企業や組織が利用しているレガシーソリューションは、今日我々が直面している複雑な脅威を効果的に検知し対応するための機能を備えていません。企業や組織は、攻撃が成功した後で「侵害の痕跡(IOC=Indicators of Compromise)」に対応するのではなく、「振る舞いの痕跡(IOB=Indicators of Behavior)」をリアルタイムで検知した上で対応できるようにする必要があります。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT&CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。 https://www.cybereason.co.jp/product-documents/white-paper/3259/ ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」