著者紹介:職業ハッカーのDavid “Moose” Wolpoff(デビッド「ムース」ウォルポフ)氏は、自動レッドチーム演習プラットフォームを構築している企業、Randori(ランドリ)のCTO兼共同創設者である。
ーーー
セキュリティ業界では、FireEye(ファイアアイ)へのハッキング攻撃のニュースと、SolarWinds(ソーラーウィンズ)へのサプライチェーン攻撃が原因で(または、少なくともそれが一因で)米国財務省、米国国土安全保障省などのいくつかの政府機関がハッキングされたという発表が関心を呼んでいる。
これらの攻撃は、「誰もリスクやハッキングを免れることはできない」という現実を思い出させてくれるものである。ファイアアイもソーラーウィンズもセキュリティに真剣に取り組んでいることは間違いない。しかし、どの企業も「セキュリティ侵害は避けられない」という同じ現実にさらされている。
筆者はこうした攻撃を、「誰かがハッキングされたかどうか」ではなく、「セキュリティ侵害を成功させるために攻撃者がどれほどの労力を費やす必要があったか」という視点で判断することにしている。ファイアアイは機密性の高いツールやアクセスの保護に力を入れているため、ロシアのハッキング集団は侵入するために驚くほどの労力を投入せざるを得ないと聞いたことがある。
ファイアアイがセキュリティに熱心に取り組んでいることは、対策ツールの公開に向けた動きが速かったことからも明白だ。ソーラーウィンズへの攻撃は即座に甚大な影響を及ぼしたが、攻撃全体の詳細がわかるまでは、ソーラーウィンズについての意見を述べるのは差し控えることにする。サプライチェーンを横断する侵害は非常にめずらしいケースとはいえ、これからも続くからだ。
これだけは言っておくが、このニュースは筆者にとって意外なものではない。セキュリティ企業は攻撃者にとって最高の標的であり、ロシアのような国民国家は、ファイアアイの顧客保護能力を阻害するためにどんなことでもやるだろうと思っているからだ。ファイアアイは多くの企業組織と信頼関係を築いていることから、スパイ活動の格好の標的になっている。政府機関や大企業の顧客を数多く抱えているソーラーウィンズは、能力を最大限に発揮することを目指す攻撃者にとっては理想的な標的である。
画像クレジット:David Wolpoff
ロシアのハッキング集団は、ソーラーウィンズを一度ハッキングすれば、同社の重要な顧客の多くにも侵入できるようになる。国民国家の支援を受けた攻撃者がサプライチェーンを攻撃するのはこれが初めてではないし、最後でもないだろう。
セキュリティ業界の大企業にとって、今回の攻撃はテクノロジーソリューションへの信用と信頼について再考する良い機会だ。このような侵害は、目に見えない危険を確かに負っていることへの注意喚起である。つまり、組織は、概して適切なリスク回避策を講じていないプロバイダーを通じて蓄積されたリスクにより、甚大な危害を被る可能性があるということだ。
人は「マネージドセキュリティサービスプロバイダー(MSSP)、セキュリティベンダー、またはテクノロジーベンダーが侵害されたらどうなるだろう」と問うべきだ。ソーラーウィンズのハッキングだけを見ず、自分の環境にアップデートをプッシュできるすべてのベンダーを見直すべきである。
絶対に侵害されないツールなど1つもないのだ。
ファイアアイやソーラーウィンズなど、自社の環境内のすべてのベンダーがいつかは侵害されることを想定しておく必要がある。障害が発生したとき、「残りの対策だけで十分だろうか。組織には回復力があるだろうか」ということを確認しなければならない。
障害が発生した場合のバックアップ計画の内容を、あなたは知っているだろうか。
セキュリティプログラムがファイアアイに大きく依存している(つまりファイアアイが主なセキュリティプラットフォームである)場合、セキュリティプログラムはファイアアイのプログラムの実装、実行、監査をファイアアイ自体に任せることになり、担当者も経営者もそのことを受け入れる必要がある。
多くの場合、組織は、VPN、ファイアウォール、監視ソリューション、ネットワークセグメンテーションデバイスなどの複数の機能をカバーするために、単一のセキュリティソリューションを購入する。しかしその場合、単一障害点を持つことになり、コンピューターが動作しなくなると(またはハッキングされると)、環境全体で障害が発生してしまう。
構造的な観点から見た場合、ソーラーウィンズのようなものが侵入ポイントになると、影響が広範囲に及ばないようにするのは難しい。しかし環境内のすべてのものと通信、連携するソーラーウィンズのOrionプラットフォームを信頼したということはつまり、「今回のような侵害が発生することはないだろう」と考えてリスクを負ったということである。筆者は、ツール(またはサービス)の利用について考えるとき必ず、「これが故障したりハッキングされたりしたときに、どのようにそのことを知り、どう対処すればいいのか」という点について考える。
「保険をかけておけばいい」といった単純な答えが出ることもあるが、筆者がもっと頻繁に考えているのは、防衛者に何らかのシグナルを送るための別の方法だ。今回のようにソーラーウィンズが侵入経路になった場合に、ネットワークがロシアにトラフィックを送信していることを示すシグナルがスタック内の何か他のものによって防衛者に伝えられるようにする仕組みが、何かないだろうか。
耐障害性の高いセキュリティプログラムを構築するのは簡単ではなく、実際、乗り越えるのが非常に難しい課題である。完璧な製品やベンダーがないことは何度も証明されている。制御層を幾重にも重ねる必要がある。「何が起こり得るか」を想定したシナリオを一通り確認してほしい。多重防御と前方防衛に重点を置いている組織は、より強い回復力を持つことになる。重要なデータがあっさりロシアの手に渡ることがないよう、ハッカーが欲しいものにたどり着くまでに何度も失敗するような対策を講じる必要がある。
確率と可能性の観点から考えて、基本的なセキュリティの偶発的な変更を防止するための管理体制を整えることが非常に重要である。最小権限の原則を標準とし、多セグメント化によって、急速な横方向の動きを防ぐ必要がある。また、監視と警告に基づいて攻撃への対応を開始すべきだ。異常な逸脱が発生した場合は、フェイルセーフを起動する必要がある。レッドチーム演習(現実に近い攻撃を実際に行ってセキュリティ対策の実効性を検証するテスト)を実施して、攻撃にどれだけ太刀打ちできるかを確認し、失敗から学ぼう。
ファイアアイに対するセキュリティ侵害の影響は大きな注目を集めた。実際、ロシアにはすでにファイアアイのツールと同等のツールがある。そのため、専門家たちはツール自体のことで大げさに騒ぎ立てたいのかもしれないが、実のところ、今回の件は2017年に米国国家安全保障局(NSA)のツールが流出したときと同じ事態にはならなそうだ。
NSAから流出したエクスプロイトは非常に優れており、敵側がすぐにでも利用できるものだった。また、Shadow Brokers(シャドー・ブローカーズ)によるハッキングにこのエクスプロイトが使われたため、業界は一時的に、以前よりも高いリスクに直面することになった。しかし、このエクスプロイトは、今回ファイアアイから窃取されたルートキットやマルウェアとは異なる。ファイアアイのケースでは、ゼロデイ脆弱性に関する情報やエクスプロイトは盗まれていないようなので、今回の侵害が甚大な衝撃波を引き起こすとは考えにくい。
このような大規模な侵害はこれからも起こるだろう。あなたの組織が侵害に対して高い回復力を持っている必要があるなら、今から侵害に備えておくことをお勧めする。
関連記事:欧州医薬品庁が不正に操作された新型コロナワクチンデータのリークを警告
カテゴリー:セキュリティ
タグ:ハッカー コラム
[原文へ]
(翻訳:Dragonfly)
