SolarWindsサプライチェーン攻撃の余波を受け、さまざまな組織が最近明らかになったある攻撃の影響を急遽、評価し直しています。2つのゼロデイエクスプロイトでMicrosoft Exchange Serverの脆弱性を狙うこの攻撃は、国家の支援を受けた中国のHAFNIUM APTグループによるものであるとされています。この戦いは今後も続くことが予想されます。巧妙な軍事行動レベルの攻撃の標的となって、さまざまな民間の企業が犠牲になるでしょう。おそらくは、これらを事実として受け入れるべきときなのです。

報告によれば、HAFNIUMによる攻撃の被害の規模はSolarWinds攻撃のときに匹敵するほど大きく、公共部門、民間部門を合わせて数万の組織が影響を受けたものと見られ、この中には、30,000に上る政府関係機関も含まれていると推定されます。どちらのケースでも、従来型、次世代両者のさまざまなセキュリティソリューションが、組織を攻撃から守るのに効果のないことが判明しました。

その中でも特に注目すべきソリューションの1つに、Microsoft Securityがあります。マイクロソフト自身の製品ラインに存在する脆弱性を突いてHAFNIUMが攻撃を仕掛けるのを、このソリューションは防げなかったのです。マイクロソフトから提供されている情報によれば、Microsoft ATPを使用していたユーザーはMicrosoft Exchangeサービスを標的とした攻撃を防御できなかったと言います。今のところマイクロソフトからは、この状況への対処や意図した取り組みに関して、何のガイダンスも提供されていません。

さらにマイクロソフトは最近、セキュリティ企業、FireEyeの社員による偶然の発見と、その後の情報共有によって注意を喚起されることがなければ、SolarWinds攻撃には気付けていなかったと認めています。「もしも、このような情報の透明性が確保されていなければ、今回の攻撃にはまだ気付いていなかったでしょう」と、SolarWinds攻撃についてマイクロソフトのプレジデント、Brad Smith氏は2月に議会で証言しています。

マイクロソフトの製品が脆弱性攻撃の標的になったのはこれが初めてではありません。そして、今回が最後とはならないでしょう。セキュリティソリューションを提供しているベンダーは、そのソリューションが自社のオペレーティングシステムや他の製品をサイバー攻撃から守ることも前提としている場合は特に、他のセキュリティベンダーよりもユーザーの組織から厳しい要求を求められて当然です。

マイクロソフトは、セキュリティ業界のリーダーでありたいと望むなら、もっと自社に厳しくなるべきです。そしてユーザーにもそうなってもらう必要があるのです。マイクロソフトほど、巨大な一大企業帝国として無制限に市場にアクセスできる企業はほとんどありません。法人向けシステムの分野で大きな影響力を持ち、バンドル製品のライセンシング（広く知られるE5ライセンスで使用されているような手法）を通じてセキュリティ機能を低価格または無償のアドオンとして提供しているような企業では、自社の製品やサービスの場合は特に、セキュリティ機能の効力が最低限に限られるのです。

国家主導のサイバー攻撃であったために、その防御が不可能だったという理屈は成り立ちません。攻撃者の攻撃能力が高かったとしても、それに対抗できる適切なサイバーテクノロジーがあれば、ユーザーを攻撃から守ることができたのです。攻撃者の能力の高さは、大規模なかたちでユーザーの保護に失敗した言い訳にはなりません。思ったとおり攻撃者の力が勝っていたと相手を称えて問題を軽視していい理由にもなりません。そのような考え方は、ユーザーに不利益をもたらす諦めの思考です。もしも、マイクロソフトがそのように考えているのだとしたら、マイクロソフトはサイバーセキュリティのビジネスから撤退して、ソフトウェアの問題の修復に専念するべきです。

誰でも失敗を犯します。しかし、誰もが失敗から学ぶわけではありません。「失敗」を、正すべき自らの過ちであると認め、次に攻撃を受けたときには確実にそれを防がねばならないと自らに圧力をかけるわけでもありません。ユーザーを守り、自社のソフトウェアの完全性に気を配ると、そう公言しながらそれを守らない企業に妥協して期待するのは、もうやめるべきです。肝心なときに大事なことが実践されているかどうかを見極める必要があります。ユーザーを脅威から守るセキュリティの現場ではそれが求められるのです。

たとえば、AppleやGoogleはセキュリティソフトウェアは開発していませんが、自社のソフトウェアのセキュリティをできる限り強化しようと取り組んでいます。これらの企業には、ソフトウェアの脆弱性の発見を業務にしているチームが存在し、脆弱性を見つけた従業員には高額な報奨が支払われます。そして、AppleもGoogleも、自社の製品の欠陥を補う使い方をユーザーに頼むほど大胆ではありません。両社とも、自社のソフトウェアやオペレーティングシステムをできるだけ高品質で安全性の高いものにするよう努めています。

Microsoft Securityが、数万に上るMicrosoft ExchangeのユーザーをHAFNIUMの攻撃から守ることができなかったのは明らかです。しかし、マイクロソフトは確かに、その製品の防御で有利に立てる状況にあったのです。HAFNIUMの活動を検知できなかったことも、SolarWinds攻撃と同様に、マイクロソフトは公に認めています。おそらくマイクロソフトは、Appleにならったモデルを採用すべきでしょう。本来の自社製品の安全を守ることに専念し、セキュリティのことはその道のプロに任せるのです。

ところで、私たちは、ソフトウェアのセキュリティを強固にするという考え方を放棄してしまったのでしょうか。ソフトウェアには脆弱性があるという事実に、慣れ過ぎてしまってはいないでしょうか。Exchangeの脆弱性やEternal Blueエクスプロイトに起因する問題の再発を絶対に防がねばならないと、マイクロソフトのようなプロバイダーが十分なプレッシャーを感じていないのは、こういった危機感のなさゆえではないでしょうか。このような脆弱性による問題の再発防止について、マイクロソフトは何も約束していません。

強固なセキュリティを確約するサイバーリーズンのソリューション

市場の他のソリューションとは異なり、Cybereason Defense Platformは、国家主導のサイバー攻撃の防御に精通したエキスパートによって設計されており、オペレーション中心のセキュリティアプローチを採用しています。このアプローチでは、攻撃の早期発見が可能であるため、攻撃が大きなセキュリティ侵害イベントに発展する前に、すばやく攻撃に対処できます。

それゆえに、サイバーリーズは常に、先進の攻撃からお客様を守ってきました。お客様と共に、お客様と弊社のために、戦っているのです。これらのことが実現できなければ、お客様は弊社から去っていくでしょう。マイクロソフトなどの企業と弊社との違いは、ここにあります。巨大なマーケットシェアを有し、自らの力を利用した経済的な圧力を通じてユーザーに製品やサービスのアップセルを迫り、自身が約束を果たせなかったときにはこれらの関係を利用して説明責任を逃れるような企業とは異なる点です。

サイバーリーズンは、SolarWinds攻撃とHAFNIUMの攻撃から、すべてのお客様を守ってきました。それが可能なのは、高度な攻撃を早期に検知し、攻撃に迅速に対処する能力を、弊社のソリューションが備えていることに加え、企業としての、弊社のコアバリューが、お客様をサイバー攻撃から守ることを第一に求めているからです。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/