問題が、ドアをこじ開けて侵入したのではなく、家の鍵を使って入り込んだのだと気づく瞬間がある。しかもそれは、たいてい手遅れになってからだ。システムを管理し、監視し、運用担当者の日々の作業を簡素化するために生まれたツールが、潜伏し続けるための完璧な乗り物へと変わるとき、まさにそれが起きる。Nezhaは派手な挙動で現れず、明確な痕跡も残さず、音も立てない。
静かにインストールされ、待ち、観察する。ログ上では通常の保守作業に見え、ダッシュボード上では何千回も見てきた存在のように映る。まさにそこで防御の反射が止まってしまう。毎日目にしているものが、疑われなくなった瞬間に。
攻撃者は、正規のサーバー監視ツールを、すでに侵害されたシステムを遠隔操作するための即席プラットフォームとして使い始めた。Ontinue Cyber Defense Centerによれば、新たなインシデントにはNezhaが関与している。Nezhaは、WindowsとLinuxの両方で動作する、人気のオープンソースの監視・管理システムである。
このキャンペーンにおいてNezhaは、用語の伝統的な意味でのマルウェアとしてではなく、侵害後の遠隔アクセス(ポストエクスプロイト)ツールとして機能する。その正当性とプロジェクトの活発なサポートにより、実質的に疑われにくい。VirusTotalの研究者によれば、そのコンポーネントはテストされた72のエンジンのいずれでも検知されなかった。
エージェントは静かにインストールされ、攻撃者がコマンドを出し始めるまで長期間見過ごされ得る。そのため、シグネチャに基づく従来型の防御手法は、この種のケースではしばしば効果を発揮しにくい。
専門家はこれを、攻撃者が「普通の」ソフトウェアを体系的に悪用してインフラに侵入し、ネットワーク内を移動することで検知を回避する、増加傾向にある手口の一例だと位置づけている。QualysのMaiuresは、Nezhaがすでに一般的なツールとして扱われている環境では、防御側が異常に気づかない可能性すらあると指摘した。活動が日常的な管理作業に見えてしまうからだ。
Nezhaはもともと中国のITコミュニティ向けに作られ、GitHubで約1万のスターを獲得している。そのアーキテクチャは同種のプラットフォームに典型的で、中央のコントロールパネルと、監視対象コンピュータ上の軽量エージェントから成る。エージェントはコマンド実行、ファイル転送、対話型ターミナルセッションをサポートする。管理者にとって有用な機能だが、攻撃者にとっても同じくらい都合がよい。
Ontinueの報告によれば、この攻撃ではBashスクリプトが使用され、エージェントの配布を試みつつ、攻撃者が管理するインフラへ接続させようとしていた。スクリプトには中国語のステータスメッセージと設定パラメータが含まれており、Alibaba Cloud上、特に日本にホストされたリモート管理パネルを指していた。ただし研究者は、メッセージに使われた言語は帰属(アトリビューション)の根拠として弱すぎると強調する。こうした「痕跡」は容易に偽装できるためだ。
特に注目すべきは、Nezhaのエージェントが高い権限で動作するよう設計されている点である。テスト環境では、Windows上のNezhaはNT AUTHORITYSYSTEM権限で対話型のPowerShellセッションを提供し、Linuxではrootレベルのアクセスを提供する。しかも、別途脆弱性のエクスプロイトや権限昇格を必要としない。
専門家によれば、問題はNezhaが「有害」だということではない。攻撃者が自前ツールの開発時間を節約し、遠隔コマンドの確実な実行、ファイル操作、侵害済みマシン上での対話型シェル取得を可能にしてしまう点にある。
調査の一環としてOntinueは、当該インシデントに関連する公開ダッシュボードも検証した。間接的な兆候から、数百のエンドポイントが接続していた可能性が示唆された。共有シークレットやアクセスキーが漏えいし、単一のダッシュボードが多数のマシンを制御し始めれば、この規模は起こり得る。
研究者が認めるとおり、セキュリティ上の最大の課題は、ツールの正当な利用と悪用を見分けることにある。こうしたケースでは文脈が決定的だ。誰がエージェントをインストールしたのか、いつ現れたのか、どこへ接続しているのか、どのコマンドが実行されているのか、そしてそれが管理者の通常業務にどれほど似ているのか。Qualysが結論づけるように、ツールを「善」と「悪」に分けるのをやめ、代わりにその振る舞いと利用シナリオを分析すべき時が来ている。