- 2022/10/13
- ランサムウェア
ランサムウェア攻撃とサプライチェーン攻撃から身を守るには
Post by : Anthony M. Freed
最近の記事では、「ランサムウェアベースのサプライチェーン攻撃に関連する被害のレベルが、かつてないほど高くなっている」と警告されています。こうした攻撃がこれほど破壊的となる理由としては、あるコンサルタント会社が明らかにしたように、平均的な企業には、10億米ドルの支出ごとに3,000社のサプライヤーが存在していることが挙げられます。つまり、ランサムウェア攻撃に関しては、あなたの会社は、最大で数千件にも及ぶ、自社以外の企業ネットワークのセキュリティを考慮する必要があるのです。
ソースが何であるかにかかわらず、外部の攻撃から守る方法はあるのでしょうか?それとも、セキュリティ監査に調印するためには何百ものベンダーを追いかける必要があり、その結果、ビジネスを遅らせ、摩擦を増大させることを余儀なくされるのでしょうか?答えはどちらも「イエス」です。つまり、これら両方の可能性があります。しかし、ご安心ください。適切なテクノロジーとポリシーがあれば、自社以外の企業のセキュリティについて心配する必要はなくなるのです。
「サプライチェーン攻撃とは?」〜サイバーセキュリティ入門者向けトレーニング動画〜
シリーズ第12弾の「サプライチェーン攻撃とは?」では、サプライチェーン攻撃についての最新の動向、攻撃パターンや実際の対策などについて約3分で分かりやすく解説しています。
ランサムウェア攻撃とサプライチェーン攻撃
企業や組織に対する攻撃のうち、サードパーティであるパートナーやサービスプロバイダーを起点としたものが今後増加すると予想されます。なぜなら、攻撃者は、1つの企業への攻撃が他のすべての企業への攻撃へとつながるような「芋づる式」の攻撃を仕掛けるために、ソフトウェアサプライチェーンにおける脆弱なリンクを探しているからです。
欧州ネットワーク・情報セキュリティ機関(ENISA)の報告によると、2021年にはサプライチェーンへの攻撃件数が4倍に増加すると予想されており、現在でもそのリスクは、それを超えるとは言えないまでも、十分高いと感じられます。
サプライチェーン攻撃は、大部分がランサムウェア攻撃であり、特定のサプライチェーンをより上流へと昇りつつ攻撃を行うものです。下記に示すランサムウェア関連のリスクは、上流ベンダーの脆弱性に直接影響を与えます。
- ハイブリッドワークの隆盛やスポーツイベントの増加:これにより、安全性の低いネットワーク、エンドポイント、ユーザーをハッキングする機会が飛躍的に増加します。攻撃者は、これらを拠点としてサプライチェーン攻撃を仕掛けようとします。
- ITとOTのコンバージェンスが進行中:この結果、(特にレガシーシステムを抱える業界)古いファームウェアを搭載したホストに脆弱性がもたらされるほか、ハードウェアレベルのエクスプロイトが武器として使われることが多くなります。
- フィッシングが依然としてデータ漏洩の主な原因であり続けている:これは、攻撃者が、フィッシングを通じて社内ネットワークへのアクセスを取得していることを意味します。昨年だけでも、80%以上の企業がフィッシング攻撃を報告しています。
上記の問題は、複雑なRansomOps攻撃の増加やランサムウェア経済の成長と相まって、プライマリベンダーやサプライチェーンベンダーの内部でハッキングを行うための最悪の事態を引き起こしています。
最近のサプライチェーン攻撃の例
最近、私たちは、いくつかの注目を浴びた事例で、サプライチェーン攻撃による不幸な余波を目の当たりにしています。おそらく最も興味深いことは、サプライチェーンに対する数百万ドル規模のランサムウェア攻撃事例において、RaaS(Ransomware-as-a-Service)が利用されている点でしょう。この事例では、サードパーティへの攻撃を通じて、複数の大企業を屈服させる結果となりました。
サプライチェーン攻撃が増加する中、ベンダーを1社でも抱えている企業は、自社の防御策を検討する必要があります。その際、下記に示す最近注目を集めたいくつかのサプライチェーン攻撃から得られる教訓を、自らの防御策に活かす必要があります。
- Kaseyaへの攻撃:Kaseya社のリモート管理サービスであるVSAがREvilランサムウェアグループによりエクスプロイトされた結果、「同社の生産能力のかなりの部分が停止させられ」、同社のITサービスを利用していた17ヶ国の下流ベンダーに影響が及ぶことになりました。REvilは、サイバーリーズンのNocturnusチームが2019年からエクスプロイトを調査しているRaaSグループであり、一時は「現在まで活動を続けている最大ランサムウェアカルテル」とも呼ばれていました。マイアミに拠点を置くこのITサービス企業に対する攻撃は、同社の下流顧客1000社以上に影響を与えました。Bleeping Computerによれば、REvilがクリティカルな(既知の)脆弱性をエクスプロイトして攻撃した時点で、 Kaseya社はちょうどパッチを検証している最中だったとのことです。
- SolarWinds社への攻撃:SANS Instituteは、SolarWinds社へのサプライチェーン攻撃について、「最近見た中で最も潜在的な被害をもたらす攻撃の1つ」と表現しています。Nobeliumと呼ばれる国家レベルの攻撃者は、テキサスに拠点を置くソフトウェアサービスプロバイダーに侵入した後、SUNBURSTと呼ばれる悪意あるインプラントをインストールすることにより、同社が提供するOrion Platformに侵入しました。SUNBURSTはバックドアの一種であり、これを通じてOrionユーザーのネットワークに当該ランサムウェアが導入されることになりました。「このようなハッキングの規模は前例がなく、この種のものとしては最大級であり、3万件を超える公共および民間組織に影響を及ぼしました」。この「高度に洗練された手動によるサプライチェーン攻撃」は高度な検知回避手法を利用していましたが、フォレンジックの結果、適切なツールを用いて振る舞いの痕跡(IOB)を監視するならば、侵害の痕跡(IOC)の監視だけでは防げなかった攻撃を防げた可能性があることが示唆されています。
- Apple/Quantaへの攻撃:この攻撃は、ロシアからの国家レベルの攻撃ではないかと疑われており、ギャング自身により「過去最大の攻撃」として宣伝されているものです。この攻撃により、米国に拠点を置く企業から「すべてのローカルネットワークデータ」が窃取され、5000万ドルの身代金が要求されたと言われています。AppleのビジネスパートナーでもあるラップトップメーカーのQuanta社は、おそらく、より大規模な地政学的議論の矢面に立たされたことでしょう。ホワイトハウスがロシアに制裁を加えたことを受けて、攻撃者はAppleのイベントである「Spring Loaded」開催中に攻撃を開始しました。身代金の支払いを待つ間、攻撃者は、Apple製デバイスのプロプライエタリな設計図を複数流出させました。サイバーリーズンのCSOであるSam Curryは次のように述べています。「このAppleへの衝撃的なサイバー攻撃は、国家が西側の企業や政府機関に対して行っている新しいサイバー戦争の最前線にランサムウェアが置かれていることを思い出させます。REvilは、ロシアにおけるサイバー犯罪に関する「嫌われ者」的なポリシーから間接的に利益を得ているか、あるいは、全世界を通じてワシントンに向けて1つのメッセージを送ろうとしている政府から直接命令を受けているかのどちらかでしょう。いずれにせよ、これは現在進行形の話であるだけに、注目すべき一件です」。
XDRを使ってサプライチェーン攻撃やランサムウェア攻撃から身を守る
ランサムウェア攻撃やサプライチェーン攻撃の各段階で、企業や組織は自らの身を守ることができます。たとえば、主な標的(サプライヤー)は、XDRソリューションを使うことで、悪意あるリンクや悪意あるマクロが添付された文書を使用して最初の配信段階を検知、疑わしいメールをブロックすることができます。これにより、セキュリティチームは、新しいレジストリ値を作成しようとするファイルを検知するチャンスや、エンドポイントデバイス上の疑わしいアクティビティを見つけるチャンスを得ることができます。
攻撃者がコマンド&コントロールを確立しようとする段階において、セキュリティチームは、既知の悪意あるインフラへのアウトバウンド接続試行をブロックすることができます。その後、XDRを使用して脅威インジケーターを相互に関連付けることで、アカウントへのハッキングやクレデンシャルアクセスの試みを既知の攻撃キャンペーンへと結び付けることができるほか、予期せぬアカウントやデバイスから起動されたネットワークマッピングや検知の試みを調査することができます。
また、防御者はAI駆動型のXDRソリューションを利用して、通常はインタラクションを行わない自社以外のネットワークリソースへのアクセスを試みるリソースにフラグを立てることで、データの流出やファイルの暗号化の試みを検知できます。忘れないでいただきたいのは、実際のランサムウェアのペイロードが導入されるのはRansomOps攻撃における最終段階であること、そして、それ以前に数週間から数ヶ月の間に検知可能なアクティビティが存在しているため、標的とされた企業や組織に深刻な影響が及ぶ前に攻撃を阻止できるということです。
たとえば、SolarWinds社への攻撃で見られたように、自らが抱えるサプライヤーのうち1社に対するサプライチェーン攻撃により影響を受ける可能性がある顧客企業にとって、悪意あるペイロードが有効なデジタル証明書により署名された正規のソフトウェアアップデートの一部であるように見えたとしても、企業に深刻な影響が及ぶ前に攻撃を阻止することは可能です。
AI駆動型のXDRソリューションが攻撃を検知してブロックできる理由としては、それがネットワーク上におけるそれ以外のソフトウェアに関する信頼には本質的に依存していないこと、そして、それがシステムにより「正規の」ファイルやプロセスとして識別されたものを「信頼する」ことに依存しないことが挙げられます。それらのファイルやプロセスの振る舞いが統計的に稀である場合や、特にそれらの振る舞いが本質的に攻撃者にとって潜在的に高い価値を持つその他の振る舞いと相互に関連付けられている場合、XDRソリューションはソフトウェアの信頼状態にかかわらず、悪意ある振る舞いを検知できます。
Curryは次のように述べています。「大きな権力には大きな責任が伴います。今こそ、すべての企業が次のように真剣に自問すべき時なのです。すなわち、“自社が抱えるサプライチェーンが、自社への攻撃においていかに利用される可能性があるか?”そして“自社の供給先である企業への攻撃において、自社がいかに利用される可能性があるか?”と」。
このような疑問は、その答えにかかわらず、AI駆動型のXDRテクノロジーを使用することで払拭できます。XDRを使うと、サプライチェーン攻撃やランサムウェア攻撃の初期兆候を監視し、検知した上で、それらの攻撃を強制的に終了させることが可能となります。これにより、自社および自社につながりのある企業をすべてセキュアな状態に維持できるようになります。
【セッションサマリー】Cybereason Security Leaders Conference 2022春 〜トップランナーと考える〜
2022年5月に開催されたカンファレンス「Cybereason Security Leaders Conference 2022春」では①最新のサイバー脅威、②我が国の取組み、ガイドラインへの対応、③サイバーセキュリティと経営という、サイバーセキュリティを考察する上で重要な3つのテーマについて各界の第一人者が講演を行い、それぞれの立場から最新の知見を共有いただきました。
本資料ではそのセッション内容をわかりやすくまとめた資料になります。ご自身のセキュリティナレッジのアップデートや振り返り、今後のサイバーセキュリティ戦略の策定にお役立てください。
https://www.cybereason.co.jp/product-documents/white-paper/8951/