インシデント対応事例から学ぶ教訓 case2 「標的型攻撃の危険性 半年以上組織内に潜伏」
当社で実施するインシデント対応サービスで実際に発生した攻撃内容を元に、具体的な攻撃シナリオとそれにむけた対策、インシデント全体から得た教訓をご紹介します。
今回の事例の経緯(実話をもとにしたフィクションとなります。)
Nさんはある特定の業界で働くセキュリティ担当者です。
Nさんの勤め先はグローバル企業であり、いくつかの海外拠点を持っています。
普段の業務ではトレンドマイクロの提供するセキュリティソリューションを利用しており、特に大きなインシデント等が過去に発生したことはなく、事件発生当時には、新年度に実施予定の自社従業員向けセキュリティ教育の内容検討や準備を行っていました。
ある日、トレンドマイクロよりメールが入り、自社業界を狙った標的型攻撃に関連する検出名の情報が送られてきました。
ユーザー企業であるNさんの会社では、過去にもこうした連絡を受けたことがあるので、業務フローを事前にとりきめていました。
そのフローにならっていつも通り、各拠点で念のため該当の検出名の検知ログがないか確認を行うよう指示を出し、そのこと自体はあまり気に留めず通常業務を再開しました。
数日後、セキュリティ教育の委託先企業との打ち合わせが始まる5分ほど前に、海外拠点の担当者からメールが届きました。
「重要」のフラグが立てられたそのメールには「先日共有された検出名のファイルがこちらの拠点で確認されました」という旨の報告が記載されており、少し不審に思い詳しく中身を確認しようかと思いましたが、すぐに打ち合わせが始まる為、一旦頭を切り替えて会議に参加しました。
会議の後、席に戻りメールを再度確認し、検出が起きたことに対してどのように対処するかを考え始めました。
しかし、「この検出自体どれくらいリスクがある事なのか?」や「まずやるべきことは何か?」の判断にあたって、Web検索等行っても情報が少なく、判断しようがないと感じ、まず共有元のトレンドマイクロ担当者に連絡しリスクを調べてもらうこととしました。
数分後、担当者から折り返しがあり、すでに侵害されている可能性が高いこと、標的型攻撃の為長期間実施されている可能性もあること、などの事実を告げられました。
それを聞いて一気に危機感を覚えたNさんは、すぐにトレンドマイクロのインシデント対応支援のサービスを依頼し対応を行うこととしました。
調査には数日間かかりましたが、結果として
・海外拠点であるA支店を起点に、別の海外拠点も侵害されている可能性があること
・過去半年間以上攻撃者が潜伏していること
などがわかりました。さらに潜伏期間中には
・管理者権限のID/PWが盗まれた可能性があること
・攻撃者の用意したクラウドにNさんの会社しか持っていない機密情報が送出されていた可能性があること
・マルウェアを実行されていたこと
・不正に履歴が削除されていたこと
・セキュリティ製品が無効化されていたこと
などもわかりました。
これらの調査結果と提案された対策事項を受けて、Nさんは社内のセキュリティ部門と協力し、各拠点で複数の対策を行い、一旦侵入した脅威を社内から排除することに成功しました。
以上が今回の事の顛末となります。
本記事ではこの一連のインシデントの中でどういった攻撃が行われていたのか、またどのような対策を実施するべきだったか、に関して具体的に紹介しここから学び取れる教訓をご紹介したいと思います。
なお、本事案において注目すべきことの1つに、攻撃者の目的が直接的な金銭奪取ではなく、機密情報の窃取だったことが挙げられます。
実際の攻撃者とそれを指示した人物は異なる可能性もありますが、攻撃自体の最終目標として情報をなんらかの別の形で利用しようとしている可能性があり、その場合には今回のように侵害に気づいていない状態で長期間にわたって情報の探索や窃取が行われます。
またNさんが勤める会社のような特定の業界の、その企業しか持ちえない情報というものが標的型攻撃によってねらわれやすいということも事例から読み取られます。
今回主に侵害が確認されたデジタル機器は上記赤枠に含まれる3つの機器となります。
赤枠で示す範囲が組織内部のLANであり、通常攻撃者が経由するインターネットからはアクセスできない環境にありますが、SSL-VPN機器を経由して組織内部に侵入したと予想しています。
VPNを通して最初に侵害されたのは海外拠点Aの2台のサーバーであり、そこからさらに別の拠点のサーバー1台が侵害されたことがインシデント対応時の調査から明らかになりました。
対応支援の中で、初期侵入が起きた原因を特定できるログ等は残っていなかったため、明確な侵入原因は現在も不明なままです。
今回のインシデントの中で最も古い活動の履歴が確認できたのが①のVPNを通したネットワークスキャンでした。
これは初期侵入の手口としてVPN機器に対して何らかの手法(認証情報を窃取した、脆弱性を突いたなど)でログオンに成功し、侵害を開始した可能性が示唆されます。
また、この侵入の時点で攻撃者はドメイン管理者権限を取得していたことも予想されます。
なお、ネットワークスキャン自体は、ネットワーク内部の他に侵害できる端末がないか、横展開を意図していたとみられます。
次にサーバーA1において、同様のドメイン管理者権限を用いた③ウイルス対策ソフトの無効化が実施されていました。
管理者権限を用いて攻撃者の専用ツールを動かすと、ウイルス対策ソフトを停止されてしまう可能性があります。
この手法を早い段階で実行した意図としては長期間の潜伏を可能にする為、不審な挙動の検知を逃れる意図があったと考えられます。
ここから、すでに②サーバーA1への侵入も実施されていたことがわかります。
ただし、こちらも明確な接続ログを確認できたわけではないので点線で表示しています。
また④サーバーA1及びA2から横展開を実施した痕跡が確認されました。
具体的にはドメイン管理者権限を活用したA1⇒A2へのアクセスやA2⇒拠点BのサーバーBへのアクセスなどです。
さらに特徴的な挙動として、サーバーB上でクラウドへの情報送出が行われていました。
これは本工作活動の目的の1つが情報の窃取にあたることを示しています。
その後、サーバーA2では、⑥「SIGLOADER」というマルウェアが起動されたことも確認されています。
「SIGLOADER」は外部のC2サーバーと通信を行いコンピューター内部での様々な攻撃に利用できます。
今回、C2サーバーとの通信ログは確認できませんでしたが、おそらく通信を行っていたと予想されます。
最後に、⑦サーバーA1でログを削除したことも確認されています。
ログを削除することで、通信や挙動を確認する際に違和感を抱かせない、または追跡調査を行えなくする意図があったと考えられます。
なお、今回使用された「SIGLOADER」は中国が関与しているとされる「APT10」(別名、A41APT、Earth Tengsheなど)が攻撃活動に利用するとされているツールであり、2021年1月28日に実施された「Japan Security Analyst Conference 2021」で報告された攻撃手法と今回の侵害手順が酷似していることから、本攻撃キャンペーンとの関連が予想されます。
今回の侵害につながった防御体制上の脆弱性として、上記5つの点が挙げられます。
それぞれについて事前に対策することでリスクを低減できた点を表で記載します。
防げた可能性のある攻撃 | 御体制上の脆弱性 | 事前に行うべき対策 | |
---|---|---|---|
① |
VPN経由で拠点のサーバーにアクセスされた外部のC2サーバーと通信しリモートコントロールを実行された |
VPN機器に技術的脆弱性があった可能性がある 通常運用では発生しえない通信を制限していなかった |
・脆弱性を無くすために組織で利用しているIT機器のバージョンを漏れなく確認し、セキュリティパッチを適用する ・アカウント情報だけでは利用できないよう多要素認証方式を採用する ・最小権限の原則に基づき、運用に必要な通信のみ許可するアクセス制御を行う |
② | 管理者アカウントによってセキュリティ製品を無効化された |
管理者アカウントの堅牢性が十分でなかった可能性がある"セキュリティ製品の無効化"という不審な挙動に気づけなかった |
・管理者アカウントのパスワードの複雑性や定期変更ルールを見直す ・アカウント情報だけでは利用できないよう多要素認証方式を採用する ・エンドポイント端末の挙動の記録や監視を行う為にEDRソリューションを導入する |
③ | 運用で使用していないRDPサービスを悪用された |
運用で使用しない不要なポート(RDP)が制限されていなかった | ・運用に必要なければ、RDPサービス自体を停止する ・運用に必要であれば、最小権限の原則に基づき、運用に必要な通信のみを許可するアクセス制御を行う |
④ | 組織内のサーバー間で不審な通信を実行された |
ウイルス対策ソフトが導入されていないサーバー端末があった不審な通信に気づけなかった |
・海外拠点も含めてもれなくウイルス対策ソリューションを導入することで、全拠点のセキュリティレベルを向上させる ・拠点間など通常使用されない通信を特定するために、全拠点の通信ログを一元管理する |
⑤ |
追跡を困難にするためサーバーのログが削除された |
ログ管理が十分でなかった | ・有事の際に迅速に状況を確認できるようログを別途保全する |
標的型攻撃においては、攻撃者は長期の活動を実現するために、運用者に「気づかれないための工作活動」に注力します。
今回の事例で言えば、
・導入済みのセキュリティ製品を停止させ、アラートを発生させないこと
・セキュリティレベルの低い拠点を中心に侵害し、内部活動に気づかせないこと
・通信ログの管理体制が異なる拠点間を水平移動することで、不審だと思わせないこと
・ログ情報を削除し、通信や挙動を確認した際に違和感を覚えさせないこと
等があげられます。
このような工作活動の存在を踏まえた場合、「セキュリティ製品を導入しているから大丈夫だ」や「拠点はやられても本社は大丈夫だ」といった思い込みは正しい判断の妨げとなり、ひいては侵害の長期化や被害の深刻化につながります。
情報取得を目的とする標的型攻撃では、ランサムウェアと異なり、無差別に侵害範囲を広げる必要性も組織の業務を停止させるなどの致命傷を与える行為も必要ありません。
目的の情報が手に入ればやり方は問わないので、攻撃しやすいところ、つまりセキュリティレベルの低いところから侵入し、本命の情報を持つ領域にさえたどり着ければよいと言えます。
この場合、昨今被害が多く確認されているサプライチェーン攻撃の手法が採用されることも多く、今回は拠点間というサプライチェーンを使って侵害が行われたとも言えます。
こうした侵害への対処を可能な限り実現するために、国家を背景とした攻撃者にとって重要な情報を取り扱っている組織やそうした組織と関連性の深い団体の方においては、拠点ごとのセキュリティレベルに濃淡をつける方針を採用するのではなく、まずは今現在導入しているセキュリティソリューションの有効活用、必要/不必要のサービスの整理、最小権限の徹底、ログの一元管理など、自組織内のサイバー衛生の適切な管理にフォーカスをするといった基本的なセキュリティ施策を組織全体で統一することが推奨されます。
さらに今後も高度化し続ける標的型攻撃への対応を見据える場合には、業務で使用する様々なレイヤー(エンドポイント、サーバー、ネットワークなど)にセンサーを配置し、拠点全体の保護を包括的に支援するXDRを導入することで、迅速な検知と対応を実現することが可能です。
今回は標的型攻撃によって、長期間の侵害が起きた事例を紹介しました。
本事例から学び取れる教訓として以下3つが言えると思います。
・セキュリティレベルの低い拠点の対策優先度を検討しなおすこと
組織の拠点同士はネットワークでつながっている為、組織のセキュリティレベル=最も対策できていない拠点のセキュリティレベルとなる。
・拠点間の「正常な」通信を定義、監視しておくこと
標的型攻撃の場合、攻撃者は気づかれないことを重視する。まずは「異常」に気づく必要がある。
・組織特有の情報は価値が高く、標的型攻撃など高度な攻撃の対象となる可能性を想定しておくこと
APTの活動は国家事情を背景とした側面があり、社会情勢に応じて、固有の情報を持つ組織は標的型攻撃の対象となりうる。
本事例を踏まえると、実際に被害が起きたわけではないことや長年被害が発生していないことを理由として、今のところはとりあえずセキュリティ対策の優先度を下げて別の業務に取り組む、という考え方や戦略をとることは危険と言えます。
被害が将来起きる、またはすでに被害が起きているかもしれないという前提をもって、セキュリティ対策の優先度を検討し、組織の経営戦略に適合する形でセキュリティの戦略を決定していくことが最善と言えます。
今回のように攻撃シナリオを具体的に把握することで、致命的な被害につながり得る防御体制上の脆弱性を事前に把握し対処を施すことが可能になります。
他社のインシデント事例を参考に、自社にとって優先するべきリスク対応を決定することは有効な戦略の1つと言えるでしょう。
インシデント対応事例から学ぶ教訓 シリーズ
セキュリティインシデント事例集(セキュリティ対策状況チェックリスト付属)
Security GO新着記事
サイバー攻撃でよく悪用される正規ツールとは?
(2024年12月19日)
サイバー攻撃の被害に遭いやすい組織の特徴は?2024年の最新調査から考察
(2024年12月18日)
Webスキミングとはどのような攻撃なのか?~決済情報の非保持化でも被害に遭う脅威~
(2024年12月17日)