ハッカーたちは、昨年大手通信事業者への攻撃で話題となった中国のグループが用いた型破りな弱点を探す手法をますます採用するようになっていると、AT&Tの幹部が月曜日に述べました。
AT&Tは、Salt Typhoonとして知られるこのグループによる大規模な攻撃キャンペーンの被害を受けた主要プロバイダーの一つですが、その後同社はハッカーを自社ネットワークから排除したと発表しています。
「敵対者たちは、Salt Typhoonが行ったのと非常によく似た方法で、やり方を大きく変えてきています」と、AT&Tの最高情報セキュリティ責任者であるリッチ・ベイチ氏はGoogle Cloud Cyber Defense Summitで述べました。
Salt Typhoonの攻撃手法で際立っていた点は3つあったと彼は言います。1つは、電話やノートパソコンなどの物理デバイス上で悪意のある活動を発見・追跡する能力、つまりエンドポイント検知と対応(EDR)における弱点を探すことでした。
「従来、私たち実務者は、デバイスにエンドポイント検知を導入することに注力して、一定レベルの保護を提供しようとしてきました」とベイチ氏は述べました。「しかしSalt Typhoonのアプローチは少し違っていました。彼らは『従来EDRが導入されていない他のプラットフォームはどうだろう?』と考えたのです。そして、そうしたプラットフォームは様々な形で利用され、異なる種類の行動を実行することができます。」
「私たちが考えるべきことはこれです。エンドポイント保護を他の場所、異なるプラットフォームにも導入する必要があるのか?」とベイチ氏は付け加えました。「これが1つ目のポイントです。彼らは抵抗が最も少ない領域に狙いを定め、従来型のセキュリティコントロールと戦うことに時間を費やしていません。」
Salt Typhoonの攻撃以降、利用が増えているもう一つの手法は「ログが存在しない場所を探すこと」だと彼は述べました。攻撃者たちは「既知のコントロールを回避できるような手法を再設計し、考案しています。そして、私たちが現在行っていることでも、ネットワークの一部ではそれらが有効になっていない場合もあります。」
最後に、Salt Typhoonやそれを模倣する者たちは、被害者のネットワーク内に既に存在する正規のツールを利用する「リビング・オフ・ザ・ランド」攻撃に注目しています。
「3つ目は、私たちが実際に使っている管理ツール自体を使って機能を実行していることです。ですから(潜在的な被害者への教訓としては)それらが厳重に管理されているか、環境内にどんな管理ツールがあるかを把握しておくことが重要です」とベイチ氏は述べました。「彼らは実際にあなたのネットワークの一部になろうとしているのです。」
これらの手法の組み合わせに加え、デジタル・フォレンジック調査を回避するために痕跡を隠し、消去することに注力しているため、「私たちはこれまで以上に効率的な運用者になる必要があります」と彼は言います。「もっと柔軟な発想が求められます。単に技術を持っているだけでなく、その技術をどう使うか、そしてその技術がどのように悪用されうるかを理解することが重要です。」
皮肉なことに、ネットワーク防御者は自らの成功の犠牲になっているかもしれないと、国家安全保障局(NSA)の元サイバーセキュリティ部長であるロブ・ジョイス氏は述べました。
今日社会で最も使われている技術――モバイルフォンからウェブブラウザまで――の防御は非常に強固になったと、ジョイス氏は同じカンファレンスで語りました。脆弱性管理、パッチ管理、脅威インテリジェンス――これらすべてが防御を強化してきたといいます。
そのため、「成功するには複数の経路でエクスプロイトを連鎖させる必要がある」と、現在は自身のサイバーセキュリティコンサルティング会社を経営するジョイス氏は述べました。
「これらすべてが私たちを進歩させてきました」と彼は言います。「同時に、私たちはその活動を通じて攻撃者も進化させてしまいました。悪質な行為を指摘し、うまくいったこと・いかなかったことを強調することで、人々を新たなエクスプロイト手法へと追いやってしまったのだと思います。」