脆弱なセキュリティ対策が招くロシアのサイバー攻撃

米サイバーセキュリティ当局と同盟12カ国の関係機関が今週発表した共同勧告によると、ロシアの連邦保安庁(FSB)第16センターに関連する国家支援型の脅威アクターが、防御の甘いルーターなどのネットワーク機器を標的とした侵害を続け、世界各地の重要インフラネットワークへのアクセスを獲得していることが分かりました。

最もリスクが高いのは、防衛産業基盤、エネルギー、金融サービス、政府、医療の各セクターの組織であると、この勧告は指摘しています。

米国家安全保障局(NSA)は、ルーターのセキュリティ強化に関する関連ガイダンスの中で、この悪意ある活動は米国内外の組織に何年にもわたって影響を及ぼしてきた継続的な問題であると説明しています。「NSAおよび共同署名機関は、国家レベルのサイバーアクターを抑止する手段として、企業や組織における基本的なルーター衛生管理の重要性を強調します」と同局は述べました。

英国とEUによる初の共同サイバー制裁

この共同勧告は、英国とEUが欧州・英国全域にわたるサイバー攻撃の首謀、選挙介入、そしてウクライナ関連の偽情報キャンペーンへの関与を理由に、ロシアの個人・団体24件に制裁を科したとのニュースと時期を同じくして発表されました。制裁対象リストには、ロシア軍情報機関(GRU)の高官、サイバー犯罪の代理人、そしてロシアのサイバー作戦や影響工作を支援したとされる組織が含まれています。

英国とEUの当局者はまた、1月に発生したポーランド電力網への未遂攻撃についても、FSB第16センターの犯行であると正式に断定し、冬の真っただ中に50万人のポーランド国民を停電に陥れかねなかった「無謀な攻撃」だったと非難しました。「これは、欧州全域に混乱の種をまこうとするロシア国家の無責任な試みを示す、また一つの事例です」と、英国とEUの代表者は制裁公表の際の声明で述べています。

英国とEUが、サイバー攻撃をはじめとするロシア国家アクターおよびその代理人による悪意ある活動に対し、共同で制裁を科したのは今回が初めてです。今回の制裁により、ウクライナ戦争に関連して英国がこれまでに制裁を科した個人・団体の数は3,400件に達しました。

防御の甘いネットワーク機器を通じた初期侵入

セキュリティ対策の甘いルーターなどのネットワーク機器を標的としたロシアの攻撃に関する今回の共同勧告は、昨年発表された同種の脅威に関するFBI勧告を土台としたものです。FSB第16センターのアクター――Energetic Bear、Crouching Yeti、Ghost Blizzard(Turla)、Static Tundraなど様々な名称で追跡されています――が標的環境へのアクセスを獲得するために用いる手口について、詳細に解説しています。勧告によれば、最も一般的な手法は、工場出荷時のデフォルトパスワードや容易に推測可能なパスワードを許容する、外部に露出したSNMPサービスをスキャンすることです。その後、侵害した機器に対し、Trivial FTP(TFTP)またはFTPを使って設定ファイルを攻撃者が管理するサーバーへエクスポートするよう指示します。

こうした手法の多くは、Salt Typhoonなど他の高度標的型攻撃(APT)アクターが用いる手法と重なると勧告は指摘しています。侵害を可能にする主な要因は設定不備や脆弱なセキュリティ衛生管理ですが、これらの脅威アクターは既知のCisco製品の脆弱性を悪用したり、Cisco Smart Install(SMI)を悪用したりして初期侵入を図ることもあると、各機関は付け加えています。

リスク軽減の観点からは、重要インフラ組織はCisco Smart Installを無効化し、SNMPv1をより強固な認証・暗号化サポートを備えたSNMPv3(v2ではなく)に置き換えるべきです。勧告を発表した各機関はまた、すべてのネットワーク機器についてデフォルトパスワードを強力かつ固有のものに変更し、SNMP Setリクエストや不審なローカルアカウント活動を監視し、アクセス制御リストを利用し、ネットワーク境界において不要なTFTP・SNMP・Smart Installのトラフィックを遮断するよう求めています。

Black Hills Information Security, Inc.のオーナーであるJohn Strand氏は声明の中で、今回の勧告は、組織が十分に認識していながら何年も前に対処しておくべきだった問題を突かれる形で、国家アクターが依然として攻撃を成功させている現実を改めて示すものだと述べました。SNMPの悪用やCisco Smart Installの悪用といった手口は、セキュリティチームの間で10年以上前から知られており、対策できて然るべきだとStrand氏は指摘しています。

「大規模な国家主導キャンペーンを目にするたびに、最新のエクスプロイトや最も高度な手法に目を向けたくなるものです」と同氏は述べています。しかし実際には、こうしたキャンペーンは何年も前から公になっている脆弱性や安全性を欠いた設定を土台に組み立てられていることが多いのです。攻撃者が成功を収めているのは、「あまりにも多くの組織が、いまだにコンピューターセキュリティの基本すら徹底できずにいるからだ」と同氏は述べました。

翻訳元: https://www.darkreading.com/endpoint-security/weak-security-fuel-russian-cyberattacks

ソース: darkreading.com