コンテンツにスキップ
サイバースパイ活動

イラスト:セキュリティ管理; iStock

カジノサイト

サプライチェーンのスパイ

ミーガン・ゲイツ著
2021 年 3 月 1 日

印刷問題:2021 年 3 月/4 月

すべてのセキュリティ インシデントが同じように発生するわけではありません。それらすべてが CEO の注意を引くわけではありません。しかし、2020年の秋に起こった出来事がありました。サイバーセキュリティ企業 FireEye は、従業員が企業ネットワークにアクセスするために 2 台目のデバイスを登録したという通知を社内システムを通じて受け取りました。

奇妙に思えました。そこで CEO の Kevin Mandia 氏は説明を受け、セキュリティ チームは従業員をフォローアップして、職場ネットワークにアクセスするための代替デバイスを登録したかどうかを尋ねました。彼はノーと答え、FireEye は調査を開始しました。その結果、別の誰かが FireEye の 2 要素認証システムをバイパスして、デバイスを登録し、FireEye のシステムにアクセスし、同社のレッド チーム ツールを利用していたことが判明しました。

しかし、ハッカーはどのようにして侵入したのでしょうか?これを確認するために、ファイア・アイはシステムの徹底的な分析を実施し、最も初期の侵害点が 2020 年春に、ソーラーウィンズ社から購入した製品である Orion ビジネス ソフトウェアに接続されたシステムから発生したことを特定した、とマンディア氏は侵害に関するアスペン研究所の説明会で述べた。

FireEye は最終的に SolarWinds のソフトウェアをリバース エンジニアリングすることを決定し、Orion 自体が侵害されていることが判明しました。ハッカーがソフトウェア サプライ チェーンに侵入し、SolarWinds システムを侵害して顧客のシステムに密かにアクセスしました。

各国の相互スパイ.png

「最初の最大 2 週間の休止期間の後、[攻撃手法は] ファイルの転送、ファイルの実行、システムのプロファイリング、マシンの再起動、システム サービスの無効化などの機能を含む、『ジョブ』と呼ばれるコマンドを取得して実行します。」違反について。 「マルウェアは、ネットワーク トラフィックを Orion Improvement Program (OIP) プロトコルとして偽装し、正規のプラグイン構成ファイル内に偵察結果を保存することで、正規の SolarWinds アクティビティに混入できるようにします。バックドアは、複数の難読化されたブロックリストを使用して、プロセス、サービス、ドライバーとして実行されているフォレンジック ツールやウイルス対策ツールを識別します。」

そして、SolarWinds の著名な顧客は FireEye だけではありませんでした。また、多数の米国連邦政府省庁、通信会社、フォーチュン 500 企業、その他多くの企業とも取引がありました。

ファイア・アイが情報を開示するという決定をしたことにより、他のソーラーウィンズの顧客の間でも、自分たちも侵害されていたのではないかとの激しい議論が巻き起こった。米国国土安全保障省の一部である米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、米国政府機関に対し、ネットワーク上の SolarWinds Orion 製品の切断や電源の切断など、さまざまな措置を講じるよう要求しています。

「SolarWinds は非常に蔓延しており、組織における Kleenex のようなものです」と、SANS Institute のアナリスト兼上級講師であり、Rendition InfoSec の創設者である Jake Williams 氏は、この情報開示の直後に開催された SANS ウェビナーで述べました。 「これらは、300,000 を超える顧客を持つ事実上のネットワーク管理システムの 1 つです。」

SolarWinds はネットワーク管理システム (NMS) としての地位にあり、顧客のネットワーク上で管理または監視しているデバイスと通信できるため、他のネットワークに侵入するための格好の標的となったとウィリアムズ氏は説明しました。

また、侵入の巧妙さにより、顧客が検知することはほぼ不可能であり、これは「放置しておけば非常に機密情報へのアクセスと特権を獲得できるリソース、忍耐力、専門知識」を備えた脅威アクターの仕業であるとCISAは声明で述べた。

政府機関は後に、FBI、国家情報長官室、国家安全保障局(NSA)とともにサイバー統一調整グループと呼ばれるタスクフォースに加わり、事件の調査と修復を行うことになる。で、対策本部は、SolarWindsの侵害は、複数の米国政府機関を含む官民約18,000のSolarWindsの官民顧客に影響を与える情報収集活動の一環として、ロシアによるものであるとみなした。

国家に関連したサイバースパイ攻撃の 85 パーセント.png

は、SolarWinds の侵害とその後の政府および企業ネットワークへの侵入への関与を否定しました。ロシア通信社タス通信とのインタビューで、クレムリン報道官ドミトリー・ペスコフ氏は、「ロシアの関与に関するいかなる非難も完全に根拠がなく、何か事件が起きた場合に頼られる盲目的なロシア恐怖症の継続である可能性が高い」と述べた。

当初の懸念は、ハッカーがそのアクセスを利用して被害者のネットワークを妨害する可能性を指摘していましたが、米国政府の多くはこれをさらなる情報収集活動のためのスパイ行為だと主張しています。

2021年1月にアスペン研究所のパネルで講演し、米国上院情報委員会の次期委員長であるマーク・ワーナー上院議員(民主党-バージニア州)は、国民国家主体が政府や民間部門のネットワークに侵入する能力について米国人が懸念する必要があると述べた。

ワーナー氏はまた、この侵入が「容認できるスパイ活動の範囲内なのか?各国は互いにスパイしているが、政府機関と民間企業の量とレベルは…我々全員にとって憂慮すべきだ」との議論に拍車をかけているとも付け加えた。

規範を設定するという考えは、私たちにはデジタルローマ帝国の衰退の中にあるように感じます.png

SolarWinds の侵入範囲は独特かもしれないが、サイバースパイ攻撃の数は増加している、と Verizon の調査対応シニアマネージャーで Verizon の創刊本の主著者である John Grim 氏は述べています2020 年秋に発行。レポートは Verizon の年次報告書のために収集されたデータを分析しましたデータ侵害調査レポート (DBIR)世界中および官民部門内のサイバースパイ活動の状況を評価するため。

分析の結果、一般的に教育、金融、情報、製造、鉱業、公益事業、公共部門がサイバースパイ活動の最も大きな被害を受けていることが判明した。脅威アクターのほとんど (85 パーセント) は国民国家に関係しており、バックドア (91 パーセント)、フィッシング (90 パーセント)、ダウンローダー (89 パーセント) などのさまざまな手法を使用して、数秒から数日以内にターゲットを侵害することに成功しました。そして、攻撃者はいったん内部に侵入すると、被害者からデータを盗み出したり、リスクを検出したりするために、FireEye の SolarWinds 侵害に見られるように、多くの場合何か月も滞在します。

「現実の世界、ひいてはサイバー世界では、これを検出するのは困難です。これらの攻撃者は機密で専有的なデータを狙っています」とグリム氏は述べ、成功したサイバースパイ侵害の多くは、検出されないままであるか、個人を特定できる情報を侵害していないために開示する必要がない可能性があるため、報告されていないと付け加えた。

スパイ活動に従事する攻撃者は、IT 管理者権限などのネットワーク環境のツールを使用して、レーダーをかいくぐったり、紛れ込んだりすることもあるとグリム氏は説明します。

サイバースパイ侵入の増加と潜在的な深刻化に対処するために、ワーナーは事件の解明と規範の確立を提唱した。同氏は、セキュリティ担当者がシステムをより適切に保護できるよう、セキュリティ侵害を公開し、詳細を提供するという FireEye の Mandia の取り組みを称賛しました。しかしワーナー氏は、CEOの「善意と愛国心」に頼るだけでは十分ではなく、情報開示を義務付けるにはルールとポリシーが必要であると警告した。

同じくアスペン研究所のパネルで、Luta Securityの創設者兼最高経営責任者であるKatie Moussouris氏は、スパイ活動や武器に関するサイバーセキュリティの規範を作るという考えは人気があるが、関係者は選択肢をテーブルから外すことに躊躇していると付け加えた。

「基準を設けるという考えは、私たちがデジタルローマ帝国の衰退期にあり、人々にアルプス越えに象を使うのはダメだと伝えようとしているように感じます」と彼女は言う。 「その間、[敵は] 象を使ってアルプスを越えようとしており、私たちは圧倒されるでしょう。」

ムスリー氏はまた、特定の技術の使用や武器の開発を制限することに焦点を当てるのではなく、あらゆる規制や規範は行動やユースケースのシナリオに焦点を当てるべきだと述べた。

「これらの規範に従う必要があるのはテクノロジーではありません。世界秩序全体を維持するために私たちが制定する必要がある行動です。」と彼女は付け加えた。

それまでの間、セキュリティ担当者が脅威を制限し、システムへの侵入者を検出する能力を高めるために実行できる措置があります。グリム氏によれば、これは最も価値のあるデータ、そのデータを取り巻く保護手段、そのデータにアクセスできるツールと人々を評価することから始まります。

グリム氏はまた、第三者機関を精査し、そのような当事者に関連するセキュリティ条項について書面による合意を結ぶことをお勧めします。

「あなたの環境への彼らのアクセスを監視し、少なくとも年に一度は書面による契約を見直してください。」と彼は言います。 「そのため、外部エンティティから提供される可能性のあるアプリケーションについてさらに詳しく調査する際には、それらのアプリケーションがその義務を果たしているかどうかを確認しています。」

ウィリアムズ氏も SANS ウェビナーで同様の提案をし、この種の侵入は検出が非常に困難であり、場合によっては堅牢な対応計画を立てることが最善の行動であると付け加えました。

SolarWinds ハッキングによって侵害された組織に対して、「彼らがあなたの環境で何らかの厄介なことをしていなければ、これは私たちのほとんどが防ぐつもりのものではなかったと喜んで言います」とウィリアムズ氏は言いました。 「私の環境で SolarWinds を実行していたら、私も危険にさらされていたでしょう。」

arrow_upward