Solorigate事件の教訓 - サプライチェーンアタックを防ぐことは可能か
先月末、主要なLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、悪意あるコードが挿入された問題(CVE-2024-3094)が確認されたとして大きな波紋を呼んでいる。このコードが挿入されたバージョンのXZ Utilsがインストールされたシステムは、特定条件下で、SSHポート経由で外部から攻撃者が接続できるような改ざんが行われる可能性がある。
今回はすんでのところで気づいた人がおり(SSHによるログインが僅かに遅延することに違和感を持ったのがきっかけだったという)、全世界に配布される直前にストップがかけられたが、もしかすると気づいていないだけですでに商用で利用されているOSS製品に似たような悪意ある脆弱性が仕込まれているのではないか、という不安混じりの疑念を持った人は少なくないと思う。
実際に、OSSではないが多くの企業や政府機関で利用されていた製品に悪意ある脆弱性が仕込まれていたことで全世界をひっくり返すほどの大問題になった事件がある。2020年に起きたSolorigate事件である(この命名はマイクロソフトによる)。本稿ではこの事件の概略を振り返り、いま世界中のセキュリティ関係者を悩ませているサプライチェーンアタックと呼ばれる攻撃手法の厄介さを見ていこうと思う。
Solorigate事件
まずSolorigate事件の概略をタイムラインと共に見ていきたい。事件が発覚したのは2020年12月13日。Solarwinds社のネットワーク監視ソフトウェアOrionにトロイの木馬が仕掛けられていることが判明した。確認されたマルウェアは次の二つである:
SUNBURST:バックドアを仕掛け外部と通信する
TEARDROP:情報を窃取する
サプライチェーンアタックとは何か
全世界で18,000以上の組織が不正なアップデートをダウンロードし、最長9か月間にわたって米国司法省、財務省、国務省など少なくとも9つの連邦政府機関が危険に晒されたほか、NATO、英国政府、マイクロソフト、VMware、Intel、Ciscoなどの名だたる大企業も被害にあった。攻撃者は、入手したアクセス権を利用してIDやトークンを盗みだしたほか、正規ユーザになりすまして新たなデバイスを登録するなどして多要素認証をも突破した。従来の単純な攻撃とは異なる高度な技術を用いた攻撃であり、米国政府は実行者としてロシアを名指しで批判した。
危殆化から事件発覚までの時系列は以下の通りである(パロアルトネットワークスによるまとめ)。
Orionにトロイの木馬が仕掛けられたのち、発覚までの9か月間という長期にわたって木馬(マルウェア)が活動をつづけた可能性がある。正規のソフトウェア更新のルートでマルウェアが忍び込んでくるため、気づかれにくさがサプライチェーンアタックの特色の一つである。あなたが利用しているソフトウェアにも、すでにマルウェアが仕掛けられているかもしれない。
サプライチェーン攻撃は流通の中で関わった(主にセキュリティの緩い中小)企業へ侵入し、本命である大企業や官公庁へ攻撃を行う手法である。従来、マルウェアの侵入手口は標的型メールやUSBのバラマキといった単純な仕掛けによるソーシャルハッキングが主流だったが、Solorigate事件では、そのハッキングの技術力の高度さゆえに米国を震撼させることになった。
Solarwindsとはどんな会社か
不幸にもハッキングの対象となったSolarwindsという会社は、1998年創業のネットワーク分野に強みを持つ会社で、テキサス州オースティンに本社をかまえ、社員2000人という中堅企業である。しかしネットワーク監視の分野ではシェアが大きく、顧客の数は190か国で300,000社超え、Fortune 500の498社が同社のソフトウェアを利用していた。
事件発生後、米国連邦政府はOrionの利用を禁止し、同社のサイトからも製品名が削除されているが、信じがたいことに、まだ会社は潰れていない。ただ、当然のことだが事件発覚直後に株価は急落し、CEOも辞任した。
セキュリティ軽視がどれだけ経営者にとってリスクになるかを示す好例である。日本の経営者にも他山の石としてもらいたい。
なお、Solarwindsは具体的にどのように同社の製品にマルウェアが忍び込んだかの詳細は明らかにしていない。まあそれを公表すると今後の攻撃者にヒントを与えることになってしまうこともあるのだろう。
Solorigateの攻撃手段
Solorigate事件において具体的にどのような攻撃手段が取られたのだろうか。これは、被害にあった一人であるマイクロソフト社が詳細なレポートを公開しているので、それに則って見ていきたい。マイクロソフト社がこのような詳細な分析レポートを公表しているのは、Azure Active Directoryが狙われたからである。
まず、マルウェアのコードがOrionの更新ファイルへ埋め込まれる。これによって正規の電子署名を持ったファイル(DDL)として侵入が可能になる。次にC2サーバとのHTTP通信を成立させ、利用者の端末上で特権アクセス権を得る。これはSAML署名キーを盗むことで行われる。あとはメールなど様々なクラウドサービスの窃取を行うという流れだ。
Solorigate事件はなぜ米国を震撼させたのか
この事件が注目を集めたのは、被害の大きさもさることながら、その攻撃手法の斬新さにある。従来のサプライチェーン攻撃は標的型メール攻撃やフィッシングのように、攻撃される側の何らかのアクションを期待するものだった。そのため、不注意なアクションがなければ攻撃は発動しなかった。
ところが、Solorigateでは正規の電子署名を持つ更新ファイルにマルウェアが潜むことで、ユーザ側のアクションを必要としないまま広範囲に感染が拡大した。また、ファイアウォールやアンチウィルスソフトの監視を潜り抜けただけでなく、感染端末にインストールされているセキュリティツールのいくつかも無効化するなど、従来型の境界防御の監視の目を潜り抜ける高度な振る舞いをするマルウェアだった。
深く静かに激化するサイバー戦争
2021年4月12日、バイデン大統領はSolorigate事件(だけではないが)に対するロシアへの報復制裁を行うことを発表した。
詳しい情報は公開されていないが、ロシアの関与があるという確定的な情報が得られたのだろう。
5月12日にはサイバーセキュリティ強化を目的とした大統領令(EXECUTIVE ORDER 14028)を発令した。主な内容は以下のとおりである:
政府と民間企業の間の脅威情報共有の障害を取り除く
民間のITプロバイダは脅威に関する情報を積極的に政府に共有したがらない傾向がある。政府のネットワークに影響を与える可能性のある侵害情報を共有することをプロバイダに義務付ける。ソフトウェアのサプライチェーンセキュリティの向上
安全な開発環境やソフトウェアの構成要素に関する詳細、いわゆるソフトウェアBOM(SBOM)の開示についてNISTがガイドラインを順次公開していく。連邦政府におけるより強力なサイバーセキュリティ基準の近代化と導入
クラウドサービスとゼロトラストアーキテクチャに移行することを支援し、期間を定めて多要素認証と暗号化の導入を義務付ける。連邦政府ネットワーク上のサイバーセキュリティインシデントの検知を改善する。
従来のEDRでSolorigateを防げなかったことに対する危機感。ネットワーク上のサイバー活動の検知を強化する。
注目すべき点としては、大統領自らクラウドシフトとゼロトラストの推進に言及している点だ。レガシーなシステムと境界型防御の方が危険だとホワイトハウスは認識しているということである。米国政府はFedRAMPの整備によってクラウドサービスにはかなり厳しいセキュリティ要件を課しており、セキュリティの堅牢さに自信があるのだろう。これは本邦とかなり認識の温度差があるところだろう。
米国は一方的な被害者なのか
今日、我々は新しい時代の夜明けに立っており、戦争が性質を変えるという現実に直面している。戦闘領域としてのサイバースペースと宇宙の登場であり、その重要性は陸、海、空に匹敵する
Solorigateによって大規模な攻撃を受けた米国だが、サイバー戦争における一方的な被害者というわけではない。米国も6000人からなるサイバー軍(USCYBERCOM)を保有しており、高度なマルウェアを使って敵国のシステムを侵害している(可能性が高い)。
2009~10年にかけて、Windowsのゼロデイ脆弱性を利用して産業用制御システムの特定の標的を狙う巧妙なワーム「スタックスネット(Stuxnet)」がイランのウラン濃縮用遠心分離機1000台以上を攻撃し、実被害を発生させた。そのコードの精巧さと実行の用意周到さ、そして単なる情報窃取ではなく施設の「破壊」を目的としていたことから、 Stuxnetは「史上初のサイバー兵器」と呼ばれる。米国とイスラエルによる共同作戦という見方が有力であり、時期的にサイバー軍の創立とも関係が深いと推測される(両国は公式にこのウィルスに対する関与は認めていない)。
米国もSolorigate事件では被害者のような顔をしているが、やることはきっちりやっているのである。
どのようにして新たな脅威に対応するか
2018年のトランプ政権下において「2018 サイバーセキュリティ・インフラセキュリティ庁(CISA)設置法」が成立し、国土安全保障省に設置されていた国家防護プログラム局を改組して発足。2021年時点で職員2500人を擁する組織となっている。
CIASAは政府組織横断であらゆるレベルでのサイバーセキュリティの向上、米国の各州とのサイバーセキュリティプログラムの調整、民間および国家のハッカーに対する政府の重要インフラを中心とした資産に対してサイバーセキュリティ保護を担当する。2020年の大統領選挙においてSNSを中心にフェイクニュースやデマ情報が飛び交った際にはRumor Controlというウェブサイトを構築し、監視にあたった。また、ゼロトラスト成熟度モデルを公開しており、各官庁の到達度を測定する試みを行なおうとしている。
このモデルでは5個の重点領域対して3段階のレベルを設定し、目指すべき最高レベル(Optimal)として
認証におけるリアルタイムの機械学習による分析
デバイスの継続的な監視
データアクセスに対するリアルタイムのリスク評価
あらゆるデータの暗号化
などを挙げている。このあたりの資料は、日本の公共分野でサイバーセキュリティ対策を考える人たちにも参考になる取り組みではないかと思う。一読をお勧めする。
サプライチェーン攻撃にどう対応するか - ゼロトラスト
連邦政府がサプライチェーン攻撃に敏感なのは第1章で見たように、サプライチェーン攻撃の高度化を受けて大きな実被害が発生しているから、というのが一つ目の理由だが、もう一つの理由として、潜在的な仮想敵国である中国からハードウェアの調達を多く行っているため、バックドアが仕掛けられるリスクを恐れているというのもある。2019年9月のCISAによる報告によれば、サプライチェーンリスクは190個が報告されている。
俺たちのGAOもサプライチェーンリスクに関して警告を行うレポートを出している。上図は連邦政府の官庁が調達を行っているITハードウェアの国別の調達先である。さすがにロシアからの調達はないが、東欧や中国が含まれている。こうした状況から、すでに脅威は内部ネットワークに侵入している、という前提で対応策を考えなければならない、というのが連邦政府の認識でり、そのためのゼロトラスト推進である。
我が国のサプライチェーンは、ロシア、中国、イラン、北朝鮮など、海外の主要なサイバー脅威国を含む、洗練され資金力のある脅威主体に狙われている。このような主体による攻撃は、特に巧妙で検知が困難な場合が多い。
さらに、こうした国々は、サプライチェーンのすべての階層、およびシステム開発ライフサイクルの各段階で攻撃を行うため、連邦政府機関にとって大きなリスクとなっている。
ゼロトラストは、従来のリモートワーク環境である「VPN + DaaS」やその背後にある境界モデルのユーザビリティの悪さを解消する手段というDXの一環という解釈をされることもあるが(そしてその側面もあるが)、たびたび大規模かつ巧妙なサイバー攻撃に曝されている米国政府がゼロトラストを推進する背景にはより切迫した事情が存在する。
自分たちが利用する環境には敵国によるバックドアが仕掛けられており、マルウェアはすでに侵入していて、常に情報の窃取が行われている前提でそれらに対処するしかないという、新冷戦下における「ハイブリッド戦」を戦うために必要不可欠なセキュリティモデルが米国連邦政府のゼロトラストである。
総括
Solorigate事件に見られるように、(国家レベルの組織が開発している)マルウェアは急速に進化しており、高度化されたサプライチェーンアタックを完全に境界防御することは難しくなりつつある。また、米国といえども中国の技術革新は無視できず、サプライチェーンから完全に排除することは困難になりつつある。常にバックドアの危険性と隣り合わせというシナリオが現実味を帯びている
このような状況においては、すでに組織内のネットワークにマルウェアは侵入し、情報の窃取を行っているという前提にたって認証や監視を行う必要があり、米国の考えるゼロトラストモデルである。連邦政府のサプライチェーンリスク管理も現状あまり進んでおらず、対応に苦慮しているが、日本政府・企業のロールモデルとして今後も注視が必要である。
米国に対する中露を中心としたサイバー攻撃は高度化しており、ハイブリッド戦は激化の一途をたどると思われる。これに伴いゼロトラストモデルによる攻撃の減弱の重要性は一層高まり、米国サイバー軍による攻撃・反撃もまたエスカレートしていくと考えられる。
以上、Solorigate事件を中心に近年のサプライチェーンアタックの高度化とそれに対するゼロトラストセキュリティの重要性を見てきた。公共システムの構築に携わる方々の参考になれば幸いである。
。
この記事が気に入ったらサポートをしてみませんか?