SolarWindsのサプライチェーン攻撃については、まだ全容が明らかになっていません。単発的な報告例として、2021年1月11日に、SUNSPOTとして検知された悪質なツールの技術的な内訳がセキュリティ研究者によって発表されたことなどが挙げられます。SUNSPOTはIT管理ソフトウェアプロバイダーのOrionプラットフォームを攻撃した感染チェーンの構成要素でした。

その同日、米国土安全保障省のサイバーセキュリティーインフラストラクチャー・セキュリティー庁（CISA）は、攻撃の影響を受けた連邦政府機関のリストに含まれるのは、米国の商務省、エネルギー省、財務省、司法省だけでなく、さらに増える可能性があることを明らかにしました。

CISAのブランドン・ウェールズ局長代理は次のように述べています。「（被害に遭った連邦政府機関の）数については、今後の調査で増える可能性が高いとはいえ、この攻撃の標的は極めて絞られていたため、被害の規模は極めて小さいものにとどまるものと考えられます。これに関しては、攻撃を受けた政府機関と民間企業のどちらも同じ状況です。」

変化する攻撃の様相

しかし、何百、何千もの組織を標的にしていながら、その攻撃者たちが1年以上もまったく検知されなかったという事実が残ります。これには疑問が生じます。これほど広範囲にわたる攻撃が、どうしてこれほど長い間発見されずに来たのでしょうか？

「攻撃者は、SolarWindsの多くの利用顧客の複数のシステムを同時に攻撃していたようです。これらの攻撃は、IoC（痕跡情報）が数多く検知されていたにもかかわらず、攻撃が発見されなかったという事実の例証となっています。おそらく点と点を結びつけ、悪意のある攻撃の全体像を明らかにするために必要なコンテキストと相関関係が、手作業での調査を必要とするアラートが多発する状況に埋もれてしまっていたため」と、サイバーリーズンのCSO Sam Curryは説明します。

「侵害された組織のネットワークを監視しているセキュリティ専門家は、個々の孤立したイベントのトリアージ、優先順位付け、フォローアップに忙殺されていたことは間違いありませんが、複数のデバイス、プラットフォーム、ユーザーにわたって関連する活動を同時に検知して、攻撃を明らかにすることはできませんでした。」

これらの課題は、まさにこの数年でネットワーク環境がどれほど変化したかを示しています。モバイルデバイス、クラウドコンピューティング、IoT等、これらすべてがネットワークの境界を拡大しています。数台のラップトップとサーバーが明確な境界線の中に置かれていた時代は終わりました。今日のネットワークは、より複雑で侵入が容易な穴だらけのものとなっています。

このような複雑さが、セキュリティチームが受けるアラートの件数を押し上げています。これらのアラートの中には、セキュリティ専門家の調査によって最終的には誤検知とされる良性のネットワーク活動に属するものもあります。中には合法的なセキュリティ問題に関連するものもあるかもしれませんが、これらのアラートはコンテキストを欠いているため、問題の一面だけを指摘するものとなり、セキュリティチームに問題の全体像を提供するまでには至りません。その結果、セキュリティ担当者は、セキュリティインシデントを特定しても、その全範囲を理解できず、より悪質性の高い攻撃を発見できないことがあります。

問題はこれだけではありません。数年前、セキュリティの専門家は、デジタル攻撃から組織を保護するために、痕跡情報（IoC）に頼っていました。セキュリティ担当者は、攻撃の調査の過程で発見されたマルウェアファイル、関連ドメイン、その他のフォレンジックアーティファクトを分析しました。そして、攻撃から組織を保護するために、それらのIoCに基づいてシグネチャベースのデータベースを更新しました。

現在では、すべてが大きく変わっています。確かに、セキュリティ研究者は今でも「スプレー＆プレイ」攻撃キャンペーンや同様の一般的な攻撃に関連したIoCを利用していますが、SolarWindsに行われたようなより洗練された標的型の攻撃には適用できません。

「通常、高度な攻撃にはIoCは存在しません。悪意を持った個人がそのような攻撃のために特別な要素を考案しているからです。悪意のある機能を実行するために、PowerShellやWMIのようなネイティブのシステムコンポーネントを利用する「環境寄生型攻撃」のようなテクニックを使っています」とSam Curryは説明します。

「このような攻撃には、検知すべき悪意のあるコードはありません。この種の脅威を検知して修復するには、より微妙なIoB（Indicators of Behavior：行動情報）を活用することが重要です。これらの行動は一見合法的な活動に見えることがありますが、にもかかわらず、その活動が非常に稀であったり（発生率が低い）、その活動が攻撃者にとって潜在的に非常に価値のあるものであったり、その活動がネットワーク上の他の稀なイベントやありそうもないイベントと一緒に検知されたりするので、疑いが生じるのです。」

組織に与える影響

サイバーリーズンの共同創立者兼CEO Lior Divによると、コンテキストのないアラートに頼るという時代遅れのセキュリティアプローチでは、今日の高度な脅威には追いつけないとのことです。防御者の立場からすれば、関連性のないアラートを追いかけることで、攻撃者の立場を逆転させることも、悪意のある攻撃を迅速に発見することもないだろうと述べています。

Sam Curryは次のように説明します。「セキュリティアナリストが悪意のある攻撃を迅速に検知し、外科手術のような精度で対応できるようにするためには、共通点のないIoC同士を結び付け、さらに重要なのは、攻撃に関連したより微妙なIoB同士を結び付けることができるツールを装備する必要があります。」

「早期に発見し迅速に修復すること、攻撃者が戦術を調整しないうちに考え、適応し、行動すること、そして、攻撃が高額な侵害イベントのレベルに達する前に、新たな脅威を確実に阻止し、排除することができるという、防御者としての自信を持つこと、これが敵の優位性を逆転させる唯一の方法です。」

企業には、セキュリティに対してこれまでとは異なるアプローチ、つまり、データ侵害の発生後のメンタリティを想定することから始まるオペレーション中心のアプローチを採用することが推奨されます。このアプローチは、行動分析に基づいてネットワーク全体からコンテキストに沿ったインテリジェンスを提供するエンドポイントの遠隔測定を組み合わせたものです。これにより、エンドポイント、企業、ネットワーク全体にわたって検知と応答を組み合わせた機能を拡張することができます。

「こうすることで、あらゆるインシデントの背後にある攻撃の全容を理解する作業がかなり容易になります。コンテキストは、ネットワークで何が起こっているのかを把握するために必要な情報をセキュリティチームに提供します。これは、データ侵害の活動にIoCが含まれていない場合でも同じです」とSam Curryは指摘します。

「オペレーション中心のアプローチは、デバイスとユーザー間のIoB間の相関関係を活用し、従来のアプローチよりも迅速に攻撃を検知することができます。より迅速な検知は、より迅速な修復を意味し、それによって攻撃が侵害イベントとなる前に攻撃を終わらせることができます」と述べています。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/