「セキュリティ対策を政府と約束?Googleが1兆円!Microsoftは2兆円!」
アメリカ合衆国大統領のジョー・バイデン氏は2021年8月25日(水)に大手テクノロジー企業(Google・Microsoft・IBM・Apple・Amazon)のリーダー達との会議の中で昨今のサイバーセキュリティの脅威に対処する取り組みについて議論を行いました。 *1
また、会議の中でGoogle・Microsoft・IBMなどと協力をし、テクノロジーサプライチェーンのセキュリティを向上させる新たなフレームワークを構築することを発表しました。
この記事ではアメリカ合衆国で頻繁に発生しているサイバー攻撃の事例、および「サイバーセキュリティに100億ドルを投じる理由」を記載していきます。
過去10年で最も深刻なサイバー攻撃
近年アメリカ合衆国ではサイバー攻撃が頻繁に発生しており、昨年にはMicrosoftやCiscoなどの大手企業が「過去10年で最も深刻なサイバー攻撃の1つ」と言われる攻撃被害をうけています。
「過去10年で最も深刻なサイバー攻撃の1つ」それは、SolarWinds社が提供するネットワーク監視ソフトウェア「Orion Platform」のビルドシステムにアクセスし特定のファイルにバックドアを追加するマルウェアを仕込むというものです。
詳細な攻撃手法については以下に記載します。
"問題の攻撃はOrion Platformのビルドシステムにアクセスすることで、「SolarWinds.Orion.Core.BusinessLayer.dll」というファイルにバックドアを追加するマルウェアを仕込むというもので、このDLLを読み込んだ「SolarWinds.BusinessLayerHost.exe」を実行すると「avsvmcloud.com」というドメインのサブドメインに存在するサーバーにアクセスして、レジストリ操作やファイル操作、プロセスの実行/停止やシステムの再起動などの特定動作を強制させられるとのこと。"
(引用:「Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは?」)
※Orion Platformとは、オンプレミス、ハイブリッド、およびSaaS環境のIT管理を単一画面で簡素化するように設計された管理プラットフォームです。
SolarWinds社が昨年にリリースしたOrion Platformのソフトウェアアップデートがサプライチェーン攻撃によって改ざんされた可能性があると明らかにしています。
本ソフトウェアは大手企業(Microsoft・Cisco・FireEyeなど)、アメリカ合衆国の各省庁に導入されており、ソフトウェアアップデートは1万8000社にリリースされたとみられています。
攻撃の被害を受けた組織、企業はどのような攻撃を受けたかは不明のようで専門家は「リモートアクセスを行い別のマルウェアをダウンロードして実行させる」など何かしらデータを盗み悪用させているのではないかと推測しています。
本攻撃の対策としてMicrosoft社はMicrosoft Defenderに「バックドアが追加されたDLLが読み込まれている場合は、Orion Platformが起動している間でも強制停止して隔離する」という機能を追加しています。*2
サイバーセキュリティに100億ドルを投じる理由 *3
サイバーセキュリティを強化するにあたり政府と企業は以下3つの課題を抱えています。
- 多くの企業が最新のIT、およびセキュリティ製品を導入するのではなく、既存の知名度の高いセキュリティ製品やインフラを導入していることが見受けられる。その為コストが膨らみセキュリティのリスクが高まっている点。
- サイバー攻撃者はソフトウェアの脆弱性を標的にし続けており、多くのベンダーはそれらを阻止するためのツールや専門知識を持っていない点。
- サイバー攻撃の脅威を予測しその問題に対処するための訓練を受けた人が各国に存在しない点
上記課題に対して、アメリカ合衆国ではゼロトラストセキュリティモデルの拡張、ソフトウェアサプライチェーン保護の強化、アメリカ合衆国のセキュリティスキルの強化を図るそうです。
また、IBM社では2024年までに1万5000人に対しサイバーセキュリティに対する知識を強化する訓練を行いサイバーセキュリティ関連の労働力に多様性をもたらすことを約束しています。
Microsoft社では高度なセキュリティソリューションを提供するため、2026年までで200億ドルの投資を行うと発表しています。
Apple社では継続的なセキュリティ改善を推進するための新しいプログラムをサプライチェーン全体で確立させると発表しています。
Amazon社ではセキュリティ意識向上トレーニングの内容を一般に無料公開すると発表しています。
我々日本人も一人一人がセキュリティの重要性を認識し、自分の果たすべき責任と役割を理解するためにも、社員のセキュリティ意識、知識の向上施策を改めて考える必要が有りそうです。
セキュリティニュース(国内編)「2021年上半期のランサムウェア被害と再浮上する「QakBot」の脅威」
近年すっかり国内でもお馴染みとなってしまったランサムウェアによる被害ですが、今年に入ってからさらに被害が拡大し続けています。
今年公開されたIPAの「情報セキュリティ10大脅威 2021」でもランサムウェアによる被害が組織部門で脅威の一位となっている等、ランサムウェアは組織が最優先で対応すべきセキュリティ課題となっています。*4
また、10年以上前から存在が確認されている「QakBot」というマルウェアも、近年、脅威として再度猛威を振るい始めています。日々新たな脅威が登場してくるセキュリティ業界ですが、老舗のマルウェアも改良に改良を重ねて進化してきているようです。
本記事では、ランサムウェアの国内の被害状況や実例、「QakBot」の脅威についてご紹介します。
狙われるVPN 2021年上半期に61件のランサム被害報告
2021年上半期に警察庁が各組織から報告を受けたランサムウェア被害は61件となりました。*5
これは前期の2020年下半期の21件から約3倍にも上る数となっています。
攻撃手法としてはVPN機器からの侵入やリモートデスクトップ経由の攻撃が多くみられ、やはりテレワークが増加している現状に合わせた攻撃が仕掛けられているようです。
また、攻撃/金銭要求の手口としてはいわゆる「二重恐喝型」の手口が全体の8割近くに上り、金銭要求に応じてしまう可能性が高い手法が増えてきています。
〇 二重恐喝型とは?
従来の暗号化したデータの復元を目的とした金銭要求に加え、この暗号化したデータを外部に公表するとしてさらに金銭要求をする脅迫手法です。
この場合データのバックアップを事前にとっておいたとしても、二つ目の脅迫の情報流出を恐れ金銭要求に応じてしまうというケースが多くなっています。
このように国内のランサムウェア被害が新たな脅迫手法とともに拡大している状況です。本記事では実際のランサムウェア被害の事例を紹介します。
- オリエンタルコンサルタンツホールディングスのランサムウェア被害
東京都に本社を置くオリエンタルコンサルタンツホールディングス社で、複数のサーバーに対してランサムウェアによる被害が発生しました。*6本事例では同社やグループ会社で利用する複数のサーバーが、8月15日、19日の2度にわたりランサムウェアによる攻撃を受けたという内容です。
データの暗号化だけではなく、データの外部流出の可能性もあるとして、事態を公表し調査を進めている状況です。同社は複数の自治体から業務の委託を受けており、これら業務/事業に関連する図面や計算書等の建設にかかわる関連資料などが被害にあった可能性があるとのことです。
本記事でご紹介した事例以外にも国内で複数のランサムウェア被害がニュースで取り上げられており、企業のセキュリティ担当者の頭をますます悩ませるような状況となっています。
従来どおりのランサムウェア対策ももちろんですが、昨今増加してきているVPN経由の攻撃に備えVPN機器の脆弱性対策なども忘れずに実施していきましょう。
国内でも被害事例 バンキングマルウェア「QakBot」の脅威
Kasperskyの調査チームが、2021年1~7月にバンキングマルウェア「QakBot」の攻撃に遭遇したグローバルでのユーザー数が前年同期間と比較し1.65倍になったと報告しています。*7
日本のユーザーの被害件数も前年同期間と比較して5倍となっており、日本でも同マルウェアの被害が拡大しているようです。
〇 「QakBot」とは?
「QakBot」はバンキングマルウェアの一種で、金銭を目的とし標的のコンピュータに感染後、オンラインバンキングの口座やクレジットカードの認証情報を窃取する危険なマルウェアです。
本マルウェアは2007年ごろから存在を確認されていましたが、近年機能強化を続けており、同種のマルウェアの中でも最も強力なマルウェアであるとみられています。
十年以上前から存在する「QakBot」ですが、近年改良を続け最新バージョンでは仮想環境で実行しているかどうかを検知する機能や、定期的なセルフアップデートを行うなど、セキュリティソリューションを巧みに回避する機能を実装してきています。
また、上記機能に加え感染拡大を図った電子メールの窃取機能も実装してきています。本機能はEmotetのように攻撃対象の端末から、取引先や同僚を装ったメールを標的に送りつけることで感染拡大を図っています。
このように「QakBot」はセキュリティソリューションを回避するような機能や、感染拡大を図る機能を実装してきており、グローバル/国内ともに感染拡大しています。
「QakBot」への対策としては、一般的なマルウェア対策を含む以下の4点を実施していきましょう。
- 不審なメール等のリンクをクリックしない、添付されたファイルを開かない
- オンラインバンクの認証には多要素認証を利用する
- OSやソフトウェアのバージョンは最新の状態を保ち、脆弱性対策を行う
- サンドボックス回避型マルウェアにも対応した、マルウェア対策製品を導入する
これらの対策を行うとともに、最新のマルウェア情報を常にウォッチし日々進化するマルウェアの脅威に対抗していきましょう。
セキュリティニュース(海外編)「史上最大規模のDDoS攻撃『Mērisボットネット』の脅威」
2021年6月に、Cloudflareを利用している金融業界の顧客をターゲットとして毎秒1720万リクエストのDDoS攻撃が行われていたことが判明しました。
この攻撃は2016年以降、5年ほど収まっていた大規模DDoS攻撃を再度復活させた「Mēris」というボットネットの存在が指摘されています。*8
本記事では今回のDDoS攻撃に加え、過去の大規模DDoS攻撃の事例をまとめて紹介します。
2021年6月CloudflareへのDDoS攻撃-史上最大規模DDoS攻撃
Cloudflareによると*9*10、今回のDDoS攻撃は過去に受けたあらゆる攻撃と比べて3倍と大規模なもので、同時期の正当なHTTPトラフィック量と比較して68%増にも及ぶものだったとのことです。
攻撃トラフィックは世界125カ国の2万を超えるボットから発信されていました。
観測されたボットネットは「Mēris」という新種のボットネットであり、今年6月から何万ものホストデバイスが確認されています。全体像は不明ですが、20万台以上が組み込まれているとみられています。*8*11
過去の有名な大規模DDoS攻撃の事例 *12
① 2020年2月のAWSへの攻撃
- ハイジャックされたコネクションレスのLDAP(CLDAP)※注Webサーバーが使用され、ピーク時には着信トラフィックが2.3Tbpsに達しました。
- 近年、CLDAPは複数のDDoS攻撃で使用されています。
※LDAP(Lightweight Directory Access Protocol):ネットワーク機器やユーザーなどの情報を管理するディレクトリサービスへ接続するためのプロトコル
※CLDAP(Connection-less Lightweight Directory Access Protocol):プロトコルの旧バージョンであるLDAPの代替手段
② 2018年2月のGitHubへのDDoS攻撃
- 攻撃者は人気のデータベースキャッシュシステム「Memcached」の増幅効果を利用し、Memcachedサーバーをなりすましのリクエストで溢れさせることで、攻撃規模をおよそ50,000倍にも増幅させることに成功しました。
- Memcached DDoS攻撃であり、毎秒1億2,690万の速さでパケットが送信され、1.3 Tbpsに達しました。
- 幸運にもGitHubはDDoS保護サービスを利用しており、攻撃開始から10分以内に自動でアラートを発し、迅速に攻撃を阻止することができました。
③ 2016年のDynへの攻撃
- この攻撃は多数の大手サイト、Airbnb、Netflix、PayPal、Visa、Amazon、New York Times、Reddit、GitHubなどで混乱を引き起こしました。
- 攻撃には「Mirai」と呼ばれるマルウェアが使用されました。「Mirai」はカメラ、スマートテレビ、ラジオ、プリンターのモニターなどのIoTデバイスを侵害し、これらのデバイスからボットネットを作り出します。
④ 2015年のGitHubへの攻撃
- この攻撃は中国から発信され、特に国家検閲回避を目的とした2つのGitHubプロジェクトが標的となりました。
- 攻撃トラフィックは、中国の人気検索エンジンサイト、「百度」(バイドゥ)を訪問した人のブラウザにJavaScriptコードを挿入することで作成されました。また、「百度」の分析サービスを利用していた他のサイトにも悪意のあるコードが挿入されました。
⑤ 2013年のSpamhausへの攻撃
- この攻撃は、スパムに関連する挙動への対策をサポートする組織であるSpamhausを標的とした大規模なDDoS攻撃です。
- 攻撃が始まるとSpamhausはCloudflareにサインアップし、着信トラフィックが300Gbpsに達しました。
- ロンドンのインターネットエクスチェンジプロバイダーであるLINXにとって大きな問題の原因となりました。
⑥ 2007年のエストニアへの攻撃
- この攻撃はエストニアの政府機関や金融機関、メディアを標的とした大規模なDDoS攻撃であり、同政府はオンライン政府を採用しており、国政選挙でさえオンライン実施だったため、圧倒的な影響がありました。
⑦ 2000年のMafiaboyによる攻撃
- 「Mafiaboy」の名で知られる15歳のハッカーが、当時世界で最も人気のあった検索エンジン(CNN、Dell、E-Trade、eBay、Yahoo)のWebサイトをダウンさせました。
- この攻撃は株式市場に混乱をもたらすほどの衝撃的な影響を引き起こしました。
- サイバー犯罪法の多くが作成されました。
最後に
本記事では今年発生した史上最大規模のDDoS攻撃に加え、過去の大規模DDoS攻撃の事例を紹介しました。
2021年第2四半期にCloudflareのネットワーク上で観察されたDDoS 攻撃データによると*13、中国と米国の企業(中国企業:0.72%、米国企業:0.47%)がHTTP DDoS 攻撃に最も標的とされたことが示されています。
日本は攻撃対象となった国TOP10にはランクインしていませんでしたが、このような攻撃に無関係とはいえません。DDoS攻撃を防止するために"今一度"基本に立ち返り、次のことを心掛けてみてはいかがでしょうか。
- ネットワークデバイスは常に最新のファームウェアに更新する
- IPアドレスを制限する
- 国単位のIPアドレスでアクセス制限する
- DDoS対策ツールを導入する
セキュリティニュース(海外編)「Patch Now!! Appleの"zero-click"エクスプロイトとスパイウェア"Pegasus"(開発元NSO Group)とは」
日本でのシェアはAndroid OSの2倍以上の約68%*14とされ、着実にそのシェア率を伸ばしているスマートフォンOS のiOS。
このiOSを含む米Apple社提供の各種デバイスOSに脆弱性CVE-2021-30860、通称FORCEDENTRYの存在が、The Citizen Labにより確認・公表されました。*15(9月13日に脆弱性修正バージョンはリリース済み)*16
兼ねてよりMac OS、iOSのユーザーである筆者としても着目していたニュースでもあり、またその脆弱性とエクスプロイトが大変興味深いものであり、読者の皆さんともそのあらましを共有したく記事としてまとめてみようと思います。
Apple CVE-2021-30860 "FORCEDENTRY"とは?
今年2021年、当該脆弱性の存在を明らかにしたカナダのトロント大学に拠点を置く学際的な研究組織The Citizen Labによると、脆弱性CVE-2021-30860はApple社製品のうちiOS、MacOS、WatchOSの全てに対して有効なエクスプロイトであるとのことで、そのエクスプロイトの特性から、"FORCEDENTRY"といった俗称も付けられています。*15
当該脆弱性の発見に至る経緯とそのエクスプロイトチェーンの詳細はThe Citizen Labが公開している英文サイトに記されているのでご参考いただけたらと思いますが、要約してみますと、当該脆弱性は、イスラエルのNSO Group Technologies(NSO Group)により開発されたスパイウェアPegasusに感染したサウジアラビアの活動家の所持するスマートフォンを分析しているときに発見され、Pegasusを用いてiOSのチャットアプリiMessageの脆弱性を"Kismet"(2020年確認)と今年2021年発見された先述の"FORCEDENTRY"の2種のエクスプロイトで突くことが調査結果により明らかになっています。
このエクスプロイトチェーンのうち、特筆すべきはユーザーの操作を介することなく任意のコード実行が可能であり、強制的侵入(FORCEDENTRY)が行われてしまう点です。そのため、zero-click攻撃に位置付けられています。
筆者が記事執筆中(9月27日)にTrendMicro社が本件について大変わかりやすく、かつ詳細な手口の考察交えブログ内で解説*16していることに気付いてしまいましたので、Apple社の提供するエクスプロイト保護機能であり、実際にKismetを無力化することに成功したBlastDoorについてや、実際に"FORCEDENTRY"が実行されることにより引き起こされるクラッシュ(整数オーバーフロー起因)についてなど、詳細なレポート内容となっているので、ご興味ある方は是非ご一読ください。
Patch Now!! 対策は極めてシンプル:対象のAppleデバイス(OS)とバージョン情報
本件について、日本時間9月24日の10時よりライブ配信されたSANSのWebcast*17にて、Christopher Crowley氏もしきりに視聴者に向けPatch now!!とパッチの適用を急ぐよう訴えていました。
ただし、Apple社が公開している改修が盛り込まれたリリース済みバージョンについては、未だエクスプロイトチェーンの全貌が調査完了する途上のものであり、完全な根本原因へのソリューションとなるかは言い切れないとのことでもありますが、やはり改めてではありますが常に最新のOSを利用することに徹するといった、極めて基本的なアクションが対症療法としても有効であることを再認識しました。
おわりに
今回の筆者はApple社にまつわる脆弱性、エクスプロイトについて着目しましたが、どのようなデバイス、OS、アプリを利用していようが、セキュリティ対策基準を保って私含むユーザを脅威から守るための基本の基として、今自分が使っているデバイスのOSやファームウェア等が最新のものであるか、最新でなければ即時アップデートかけられるようにする意識と行動は大変重要であると更に認識を強めました。
また少々飛躍した話題であるかもしれませんが、先月に日本語訳が公開されたCIS Controls v.8のControl01~06を占める項目からもその重要度を増してきていると読める「サイバーハイジーン」の考え方を取り入れることで脅威に対抗するセキュリティ対策のレベルアップにつながるのではないかと考えます。
ここまでお読みになっていただきありがとうございます。それでは、みなさんもPatch Now!!
■ 関連リンク・引用
*01:Googleが1兆円・Microsoftは2兆円規模のセキュリティ対策を政府と約束、新たなフレームワークも構築へ,Gigazine,2021/9/29
*02:Microsoft社長が「過去10年で最も深刻なサイバー攻撃の1つ」と語るSolarWindsの「Orion Platform」に対する攻撃とは?,Gigazine,2021/9/29
*03:Why we're committing $10 billion to advance cybersecurity,Goolge,2021/9/29
*04: 情報セキュリティ10大脅威 2021 - 情報処理推進機構,IPA,2021/9/29
*05: 警察庁、2021年上半期に61件のランサム被害把握 - 目立つVPN経由の感染,Security NEXT,2021/9/29
*06: オリコンサルツHDのランサム被害、複数自治体が委託状況を説明,Security NEXT,2021/9/29
*07: 拡大を続けるバンキングマルウェア「QakBot」:2021年1~7月に攻撃に遭遇したグローバルでのユーザー数は前年同期間と比較し1.65倍に,Kaspersky,2021/9/29
*08: 史上最大規模のDDoS攻撃を行う「Mērisボットネット」が出現,Gigazine,2021/9/10
*09: Cloudflareが毎秒1720万リクエストのDDoS攻撃を検出、世界125カ国の2万超のボットからの攻撃,Gigazine, 2021/9/29
*10: Cloudflare thwarts 17.2M rps DDoS attack -- the largest ever reported,Cloudflare,2021/9/29
*11: Mēris botnet, climbing to the record,Qratorlabs,2021/9/9
*12: 有名なDDoS攻撃|史上最大のDDoS攻撃,Cloudflare,,2021/9/29
*13: 2021年第2四半期におけるDDoS攻撃の傾向,Cloudflare,2021/9/29
*14: 世界のiOSとAndroidシェア比まとめ,アイデアノート,2021/9/29
*15: NSO Group iMessage Zero-Click Exploit Captured in the Wild,citizenlab,2021/9/29
*16: スパイウェア「Pegasus」の攻撃で悪用されたiPhoneのゼロクリックエクスプロイト「ForcedEntry」を解説 ,トレンドマイクロセキュリティブログ,2021/9/29
*17: What you Need to Know about Apple CVE-2021-30860 aka FORCEDENTRY,SANS,2021/9/29
