イランのサイバー攻撃、重要インフラの枠を超えて標的を拡大

意見

多くのCISOにとって、イラン関連の攻撃が水道事業者や電力網を襲ったというニュースの見出しは、危険な安心感を呼び起こします。「うちは公益事業者ではないから標的にはならない」という思い込みです。こうした作戦は重要インフラという高リスクの舞台に限定された地政学的なパフォーマンスに過ぎない、という心地よい、しかし誤った前提があります。しかし現在の脅威環境において、目立たないことは防御にはなりませんし、「重要インフラではない」という立場も盾にはなりません。組織がデジタル上の生命線を持ち、インターネットに面した脆弱性を抱えているなら、自覚の有無にかかわらず、すでに複数の潜在的脅威にさらされているのです。

HandalaやAbabil of Minabをはじめ、イランのサイバー影響力工作のエコシステム内で活動するグループは、いずれもサイバー活動主義、いわゆる「ハクティビズム」の仮面をかぶっています。しかし実態としては、その多くが日和見的な存在です。特定の標的を狙って探索しているわけではなく、悪用しやすい脆弱性やセキュリティの甘いシステムを求めて「Shodanサファリ」を行っているに過ぎません。露出したプログラマブルロジックコントローラーやパッチ未適用のVPNを持つ法律事務所や物流拠点は、格好の標的となります。

多くの企業は、自社のインフラのどれほどが外部から到達可能なのか、また露出している部分がどれほどたやすく悪用されうるのかを把握していません。米司法省がイラン情報省(MOIS)に帰属すると認定しているHandalaは、3月に医療機器メーカーのStrykerを攻撃し、20万台を超えるホストを遠隔からワイプしました。この事件は製造業務を停止させ、同社の第1四半期決算にも影響を与えました。さらに最近では、Ababil of Minabが物流業界で使われているGPS追跡プラットフォームのVyncsを侵害し、システムをオフラインにした上でウェブサイトを改ざんしました。Strykerの事件では、コモディティマルウェアによって窃取された認証情報が違法な流通経路を通じて売買され、それが攻撃を可能にした可能性が高いとされており、こうした事件の日和見的な性質を裏付けています。

ハクティビストの「ノイズ」から本当の脅威の「シグナル」を見分ける

イラン関連のサイバー作戦をめぐる報道は、犯行声明が出るたびに差し迫った大惨事であるかのように扱うか、あるいはサービス拒否攻撃やウェブサイト改ざん程度の取るに足らない出来事として片付けるか、そのどちらかに偏りがちです。しかしどちらの反応も本質を見落としています。表面上「稚拙」に見える攻撃であっても、それが別の攻撃者の手に渡れば、被害組織にはるかに深刻な影響をもたらしかねない脆弱性を浮き彫りにしている場合があるのです。

運用技術(OT)関連の事案は、この問題をよく物語っています。攻撃者は通常、外部に露出したシステムにある古い既知の脆弱性やデフォルトの認証情報を突破口として、被害組織のネットワークに侵入します。これは懸念すべき事態であり、さまざまな結果につながりうるものですが、物理的な安全システムや工学的な制約により、攻撃者が実際に行えることには限りがあります。そのため彼らは、文脈のわからない機器のスクリーンショットをTelegramに投稿し、それを「インフラ攻撃」と称するのです。

影響そのものは限定的であっても、侵入を許した脆弱性が限定的というわけではありません。日和見的なスキャンによって見つかったのと同じ侵入口は、より高度な脅威アクターにも利用可能です。実際の専門知識を持つより有能な攻撃者が同じ初期侵入経路をたどれば、より深刻な被害をもたらす可能性があります。こうした低レベルな侵入が実務的な意味で明らかにしているのは、どの環境がアクセス可能なのかという情報です。そしてハクティビストが去った後も、その情報が消えてなくなるわけではありません。

まず自社の足元を固める

ここで見られる攻撃パターンは予測可能です。まずは次の点から着手すべきです。

  1. 攻撃対象領域の管理。 最初に問うべきはシンプルです。インターネット上の第三者は、自社の環境の何に実際にアクセスできるのか。その答えは、社内の資産台帳が示す内容としばしば異なります。忘れられたリモートアクセスポイントや管理されていないデバイスは、最も一般的な侵入口であり、同時に最も見落とされやすいものでもあります。

  2. 認証。 デフォルトの認証情報や、多要素認証(MFA)の脆弱さ・不在は、これらの事案に共通する要因として今も上位に挙げられます。外部からアクセス可能なものについては、フィッシング耐性のあるMFAを最低限の基準とすべきです。外部アクセス可能なシステムのうちMFAが未導入のものを洗い出し、そこから対策を始めてください。OTやリモートアクセスシステムに残るベンダー既定の認証情報は、開けっ放しの扉と同様に扱い、攻撃者による侵入を防ぐための代替統制を確実に講じる必要があります。

  3. パッチ管理。 標的にされる脆弱性は、たいてい新しいものでも高度なものでもなく、単に放置されているだけです。例えば、最近の米国内でのイラン関連攻撃では、5年前に発見された脆弱性であるCVE-2021-22681が悪用された可能性が高いとされています。まずは外部公開されている資産のパッチ適用と堅牢化を優先し、その後で重要システムなどへと対応を広げていくべきです。OTおよび関連技術については、メンテナンスサイクルなどのダウンタイムを活用し、可能な限りアップデートを適用してください。

  4. 脅威の把握。 ある業界で何が狙われているのか、そしてこれらのグループが自らの作戦をどのように発表し拡散しているのかを理解するには、事後ではなく、事態が進行している最中に脅威環境を可視化する必要があります。つまり、正式な注意喚起が出るのを待つだけでなく、これらのグループが実際に使用しているTelegramの投稿やリークサイトといったチャネルを監視することが求められます。政府機関からの注意喚起が公表される頃には、そこで説明されている活動はすでに数週間前から進行しているケースが少なくありません。

  5. 継続的な監視。 受動的な防御だけでは不十分です。セキュリティチームは、外部公開資産にまたがる異常な活動を検知し、迅速に対処できなければなりません。攻撃者が環境へのアクセスを試みているタイミングを特定するには、物理的に不可能な移動を伴うログインや、ブルートフォース攻撃の検知といった、通常とは異なるログオン活動の把握が欠かせません。外部公開資産における「通常の状態」を把握しておけば、異常を見抜くことができます。これらのグループが沈黙している時間は長くありません。初期侵入から数時間後には、犯行声明のTelegram投稿が出ることもあります。

現時点では、イラン関連のハクティビストグループによる活動の多くは、良くて中程度の混乱をもたらす程度にとどまっていますが、Strykerの事例のように、実際に深刻な被害をもたらすケースもあります。こうした事案の多くが「サイバー上の迷惑行為」の域にとどまっているとしても、そこから学ぶべき教訓は、これらの主体がどのようにして被害者へのアクセスを獲得しているかという点にあります。同じ侵入経路は、より懸念すべき攻撃者によっても(そして実際に多くの場合)利用され、より効果的な結果をもたらしうるのです。ハクティビストによる事案という全体的なノイズの中からこのシグナルを抽出することで、防御側や意思決定者は真の脅威に対してより的確に備えられるようになります。

翻訳元: https://www.darkreading.com/cyber-risk/iran-cyber-crosshairs-beyond-critical-infrastructure

ソース: darkreading.com