「世界中の情シスが要対応!? SolarWindsのサプライチェーン攻撃」
昨年、大規模なサプライチェーン攻撃が発生しました。
SolarWinds Orion PlatformというITインフラ管理ソフトウェアが侵害されたのですが、その顧客の多さや影響度の高さから全米どころか世界を震撼させたトピックとなっております。発表から一ヶ月半ほど経っておりますので、本メルマガを読んでいただいている方々の中にも実際に対応を迫られた方、多いのではないでしょうか。内容をまとめました。
<概要>
SolarWinds社はアメリカのITベンダーで、組織のネットワークなどITシステムを統合的に管理するOrion Platformを提供しています。大手大企業に多数の顧客を持ち、勢いがある製品だったのですが今回、大規模な攻撃のプラットフォームになってしまいました。
攻撃の発覚は2020年12月13日にあったFireEye社の発表でした。*1
自身が世界的に有名なセキュリティ企業であるFireEyeは、この発表の直前にサイバー攻撃を受けて情報を盗まれてしまっていたのですが、その攻撃の調査を進めるうちにSolarWindsとの関係が明らかになっていったようです。
発表によると、
- SolarWinds Orionソフトウェアの公式アップデートの際に悪意あるコードが混入した
- いわゆるバックドアが仕込まれ、組織内への侵入を許してしまう状態になる
というものでした。
ソフトウェアの公式アップデートへマルウェア混入させる技はサプライチェーン攻撃と呼ばれ、ソフトウェアの提供元が侵害された後、提供するソフトウェアそのものに悪意あるコードを混ぜて顧客に配布するというものです。
そのソフトウェアを利用する顧客からすると、導入している製品から案内された正当なバージョンアップを実施しただけで自社内にバックドアを仕込まれてしまうということになる非常に厄介な攻撃です。
セキュリティ対策レベルの高い企業を直接狙うのではなく、サプライチェーンを通じて侵入するという流行りの手口で、SolarWinds Orion Platformを利用する、世界で18,000もの組織が危険にさらされていたということになります。同様の手口としては2017年にあったCCleanerへの攻撃などが記憶に新しいです。
実際に影響を受けた組織はFireEyeを始めMicrosoft、VMware 、Intel、Cisco、などそうそうたる大企業やアメリカの政府系組織ばかりです。18,000もの組織全てが攻撃されたわけではありませんが、少なくとも数十社は実際に被害を受けたと報じられています。
攻撃者も忙しいでしょうから、お金になりそうな情報をもっている企業から優先的に、コスパのいい攻め方をするのでしょうね。この18,000の中にあなたの組織が入っていなければいいのですが。入っているかの確認方法は下記です。
<情シスが確認するべき項目>
前述のとおり、企業のサイバーセキュリティ対策を100%ガチガチに固めていたとしても、SolarWinds Orion Platformを利用していて該当のバージョンにアップデートしている場合は即、ハッキングの被害を受けます。
まずは下記の製品を自社で使っていないことを確認して下さい。
影響を受ける製品一覧:
- Application Centric Monitor (ACM)
- Database Performance Analyzer Integration Module (DPAIM)
- Enterprise Operations Console (EOC)
- High Availability (HA)
- IP Address Manager (IPAM)
- Log Analyzer (LA)
- Network Automation Manager (NAM)
- Network Configuration Manager (NCM)
- Network Operations Manager (NOM)
- User Device Tracker (UDT)
- Network Performance Monitor (NPM)
- NetFlow Traffic Analyzer (NTA)
- Server & Application Monitor (SAM)
- Server Configuration Monitor (SCM)
- Storage Resource Monitor (SRM)
- Virtualization Manager (VMAN)
- VoIP & Network Quality Manager (VNQM)
- Web Performance Monitor (WPM)
また、現在使用しているSolarWinds Orion Platformのバージョンによって対処が異なるため、下記リンクのアクション対応表をご参照下さい。基本的にほぼ全てのユーザに対してアップデートを推奨しています*2。
最後に、管理者が把握していない範囲でSolarWinds Orion Platformを利用している社員がいる、ということにも留意する必要があります。これにはバックドアとして追加されているDLLファイルが任意のサーバに存在しないことを確認する、などといった対応があります。これらDLLファイルのハッシュ値なども公開されていますので合わせてご確認下さい*3。
影響を受けている企業が膨大なだけあって調査結果も膨大にありますね。上記リンクはマイクロソフト社の調査結果です。
<原因>
サプライチェーン攻撃ですので、最初に攻撃を受けて侵害されたのはSolarWinds社ということになります。
SolarWinds社がどういったセキュリティ対策を実施していたかは不明ですが、かなり甘いセキュリティであったというインタビューの情報もあります。
"セキュリティ研究者のVinothKumar氏は、昨年、パスワード「solarwinds123」を使用して誰でもSolarWindsのアップデートサーバーにアクセスできると同社に警告したとロイターに語った"
(引用元:*4)
どんな大きなサイバー攻撃キャンペーンも、元を辿ると基本的なセキュリティ違反が原因だったりするんですね。
セキュリティニュース(国内編)「日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了」
2021年、国内でも年明けからセキュリティに関するニュースが満載でした。
特に組織内の人間による内部情報漏えいの事件が連続して報じられておりましたので、記事にまとめました。(他記事1本)
日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
今やサイバーセキュリティに携わる人でなくとも知っている、ご存じ"PPAP"ですが、日立製作所が全社的に"PPAP"を禁止する宣言をして話題となりました*5。
2021年度から全社的にPPAPを禁止するよう社内規則を改変するようです。
PPAPは、
P:Passwordつきzip暗号化ファイルを送ります
P:Passwordを送ります
A:Aん号化
P:Protocol
の略であり、パスワード付きzipファイルを使ったファイル転送が安全でないので止めましょうという啓蒙活動を促進させるためのキャッチコピーです。
暗号化されているファイルは解析のしようがないため、入り口対策をすり抜けて社内にマルウェアの侵入を許してしまう点、PPAPが必ずしもセキュリティ的に安全であると言えない点などを鑑み、日本"のみ"でデファクトスタンダードの地位を築いていた本方式を批判する運動が広まっていましたが、日立の宣言によって今後、企業側も少しずつ対応を迫られることになりそうです。
なお、このニュースが報道された日、Twitterのトレンドトップは"PPAP全面禁止"が飾りました。
ピコ太郎氏はこれに対し困惑を示し、Twitterで「ぴこ?禁止?全面?面ってどこ?禁止って、歌うなってことピコ?困ったなぁ...あれ、口パクだとバレるのですピコ。...ん?」などと反応したとのことです*6。
ディー・エヌ・エー元従業員による不正行為
直近、大企業において社員による内部情報漏えいの事件が連続して発生しています。ディー・エヌ・エーとソフトバンクのプレスリリースをご紹介します。
■ディー・エヌ・エー:
当社元従業員による不正行為について*7
ディー・エヌ・エー社の元従業員はお客様の個人情報を不正に使用したことが判明しました。
- 個人情報を持ち出された人数 8名(可能性が高い方1名含む)
そのうち、カードローンの不正申し込みが確認された人数 6名。
- 不正持ち出しされた/持ち出しされた可能性のある情報の項目
氏名、生年月日、住所、電話番号、性別、銀行口座情報、顔写真、本人確認書類画像(運転免許証等)。
- 発覚の経緯
消費者金融事業者から身に覚えのない申込み確認の連絡が入ったお客様からお問い合わせがあり、ログの解析等を行い、当該元従業員へヒアリング調査を進めたところ、上記の不正行為が明らかになりました。
■ソフトバンク:
楽天モバイルへ転職した元社員の逮捕について*8
- 不正に持ち出された営業秘密
4Gおよび5Gネットワーク用の基地局設備や、基地局同士や基地局と交換機を結ぶ固定通信網に関する技術情報。
- 漏えい方法と発覚の経緯
男はソフトバンクに勤務していた令和元年12月31日、社外から自分のパソコンを使って同社が管理するサーバに接続。同社の営業秘密の5Gの技術情報などをメールに添付して自らに送り不正に持ち出した。男は同日付でソフトバンクを退社し、翌日、楽天モバイルに入社した。ソフトバンクから警視庁に相談があり発覚。*9
- 再発防止に向けた対策
- 情報資産管理の再強化(管理ポリシーの厳格化、棚卸しとアクセス権限の再度見直し)
- 退職予定者の業務用情報端末によるアクセス権限の停止や利用の制限の強化
- 全役員と全社員向けのセキュリティ研修(未受講者は重要情報資産へのアクセス不可)
- 業務用OA端末の利用ログ全般を監視するシステムの導入
どちらも流出したデータの機密性が高く、完全にアウトですね。被害を受けた人数が少ないのがせめてもの救いです。
まぁ、少なくても絶対にダメですが。海外では解雇予定者に解雇通告と同時に別室に移されてパソコンを一切触れなくさせる、なんてこともあるそうですが、解雇が難しい日本では厳しそうです。
内部情報漏えいの痕跡を常にログした上で適切なアクセスコントロールの実施、および漏えい行為をブロックするような対策が不可欠となります。
セキュリティニュース(海外編)「クレジットカード不正販売サイト「Joker's Stash」の閉鎖発表」
国内外を問わず、攻撃を受け情報漏えいが発生したというニュースが日々飛び込んできます。そして、漏えいした情報はダークウェブで売買され、新たな攻撃に活用されます。
そうやって違法でやり取りをしている老舗ダークウェブの一つ、「Joker's Stash」が閉鎖されるとのことで、内容が興味深かったので一つご紹介します。(他記事1本)
クレジットカード不正販売サイト「Joker's Stash」の閉鎖発表
2014年に開設されたダークウェブ「Joker's Stash」の閉鎖が発表されました*10。
本ダークウェブは攻撃者が盗んだクレジットカード情報を不正に売買する場として利用されてきましたが、以下の理由から閉鎖せざるを得なくなったとされています。
- 10月下旬、サイト運営者がCOVID-19に感染し、7日間サイト運営ができなかったことから顧客(不正売買者)への対応ができず、信頼を失った。
- 2020年12月に、FBIとインターポールがJoker's Stashのサーバのうち4つのドメインを押収した。*11
Joker's Stashの運営サイドには大きな影響がなかったものの、FBIやインターポールの手がついたという事実により、信頼性が低下し顧客が離れた。
- JokerStashのサイト運営者は暗号通貨で全ての収益を維持すると主張しており、コロナ禍によりビットコインが高騰したことで収益が何倍にもなった可能性がある。*12
つまり、これ以上働く必要がなくなった。
これらはあくまで予測であるため真相は闇の中ですが、クレジットカードの販売による利益増は向かい風となったものの、ビットコインで十分稼いだからダークサイト運営の必要がなくなった、という仮説が立てられます。なかなかに人間味が溢れていますね。
さて、有名なダークウェブが一つ閉鎖されることになりましたが、安心はできません。
過去にも、同様にドラッグやマルウェアなどを販売していた大規模サイト「Silk Road」が閉鎖されたとき、ダークウェブ市場全体に大きな影響を与えることはありませんでした。今回の件でも同様に、Joker's Stashが閉鎖されたとしてもクレジットカードの不正売買が別のダークウェブで行われるだけです。
クレジットカード情報を盗むようなサイバー犯罪自体が減るといったことはないでしょう。
ゲーム業界から従業員に関するログイン情報が50万件以上販売されていたことが判明
セキュリティ企業KELAがゲーム業界に対する脅威行動を監視した結果、従業員に関するログイン情報が50万件以上販売されていたことが判明しました*13*14。
ゲーム業界に対する攻撃はこの1年で過激化しています。
そもそも、ここ数年でe-sportsで盛り上がりを見せていたゲーム業界ですが、昨年からのコロナ禍の巣ごもり需要などにから拍車がかかり、オンラインゲーム業界にいたっては収益が1,960億ドルに達するとも言われています。
そのためか、攻撃者の目にも止まり標的としても注目を集めてしまっています。
今回の件とは別ですが、日本のゲーム業界だとカプコンの件や、コーエーテクモの欧州サイトへの攻撃が記憶に新しいかと思います。
2020年12月時点で、メジャーな25社のゲーム会社の従業員に関する情報が漏えい・販売されており、メールアドレスをはじめ、請求書や購入情報、人事情報など多種多様な情報が扱われています。
KELAの調査では、様々なサービスのログインに用いるメールアドレスとパスワードのセットが使いまわされている傾向が強いため、攻撃者の新たな活動を助長することを懸念しています。
そのため、このような漏えいした情報の悪用による攻撃を防止するために、
- フィッシングメールに引っ掛からないための教育
- 同じパスワードを使いまわさない
- MFAの使用
などをKELAは推奨しています。
基本的な対策ではありますが、情報はいつの間にか漏えいしているというケースが多く見受けられるため、特にMFAの導入に関してゲーム業界に関わらず重要になると思われます。
■ 関連リンク・引用
*01: Global Intrusion Campaign Leverages Software Supply Chain Compromise , Cyber Security Experts & Solution Providers | FireEye, 2021/01/25
*02: Security Advisory | SolarWinds, IT Management Software & Remote Monitoring Tools | SolarWinds, 2021/01/25
*03: Customer Guidance on Recent Nation-State Cyber Attacks, Microsoft Security Response Center, 2021/01/25
*04: Hackers used SolarWinds' dominance against it in sprawling spy campaign , ロイター | 経済、株価、ビジネス、政治ニュース, 2021/01/25
*05: 日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了 , 日経クロステック(xTECH), 2021/01/25
*06: ピコ太郎、"PPAP全面禁止"に「困ったなぁ...」, 日刊スポーツ, 2021/01/25
*07: 当社元従業員による不正行為について, 株式会社ディー・エヌ・エー【DeNA】 | Delight and Impact the World, 2021/01/25
*08: 楽天モバイルへ転職した元社員の逮捕について, ソフトバンク, 2021/01/25
*09: 5Gの営業秘密持ち出し転職、ソフトバンク元社員を逮捕 警視庁, 産経新聞, 2021/01/25
*10: Joker's Stash, the Largest Carding Forum Shutting Down, E Hacking News - Latest Hacker News and IT Security News, 2021/01/25
*11: FBI & Interpol disrupt Joker's Stash, the internet's largest carding marketplace, Technology News, Analysis, Comments and Product Reviews for IT Professionals | ZDNet, 2021/01/25
*12: Joker's Stash, the Largest Carding Marketplace, Shuts Down, Gemini Advisory
*13: Stolen employee credentials put leading gaming firms at risk, WeLiveSecurity, 2021/01/25
*14: Darknet Threat Actors Are Not Playing Games with the Gaming Industry, Kela, 2021/01/25
