Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

FireEyeも侵害される「第5の戦場」

世界的なサイバーセキュリティ企業のFireEyeがAPT攻撃を受け、レッドチームの評価用ツール(ゼロディではない)が窃取されたとブログで発表しました。

jp.techcrunch.com

普段、サイバー攻撃の被害者が最初に電話をかける会社であるFireEye(ファイア・アイ)は、同社もハッカーの被害に遭ったことを認めた。「洗練された脅威活動者」と同社が呼ぶこのハッカー行為は、国家によって支援されている可能性がある。

同社の最高経営責任者であるKevin Mandia(ケビン・マンディア)氏は、今回の侵入を認めるブログ記事の中で、国家が支援するハッカーは「トップクラスの攻撃能力を持っている」と書いているが、攻撃の背後にある政府を非難したり、どの政府が攻撃の背後にいるのかを述べたりはしなかった。

2014年にFireEyeが買収したインシデント対応会社Mandiant(マンディアント)を設立したマンディア氏によると、これらのハッカーは「過去に当社やパートナーが目撃したことのない斬新な技術の組み合わせ」を用いて、通常レッドチームが使用しているハッキングツールを盗み出したという。

(Techcrunch記事より引用)

 

公式発表

 

キタきつねの所感

サイバー空間は、陸・海・空・宇宙空間に続く第5の戦場であると米国防総省が言ったのは2011年7月です。世界で最も著名なサイバーセキュリティ企業の1つであるFireEyeでもAPT攻撃を防ぎ切れなかったという事実から、私たちも、まさに戦場に立っているのだという事を改めて実感しました。

 

12/8にFireEyeのCEOであるKevin Mandia氏がブログで侵害を受けた事を発表した事を受けて、上記Techcrunchだけでなく、多くのメディアがこの内容を取り上げています。

日本でもこの事件によって流出した”レッドチームツール”が悪用されてしまう可能性があると思いますので、IT部門(セキュリティ担当)の方はFireEyeの発表(対策内容)を見ておく事を強く推奨します。

 

FireEyeが侵害を受けたのはレッドチームツール、つまり一部の内部システムのみに限られていた様で、顧客データやその他の機密データが侵害を受けた証拠、盗まれたツールが使用されたという証拠は現在までの所、見つかって無いとの事です。

 

そう考えるとFireEyeの防衛は成功している(被害が最小限である)とも言えそうですが、盗まれたレッドチームツールはゼロディ脆弱性が含まれてないものの、将来悪用されてしまう可能性は高いかと思います。

 

Kevin Mandia氏はブログの中で、300を超える対策を開発したと書いており、一見、顧客の事を考えた素晴らしい対応の様に思えますが、裏読みすると、それだけ悪用が怖いのだと私は思います。

攻撃者がRedTeamツールを使用するつもりなのか、それとも公開するつもりなのかはわかりません。それでも、これらのツールの盗難による潜在的な影響を最小限に抑えるために、十分な注意を払って、お客様およびコミュニティ全体に対して300を超える対策を開発しました

(公式発表より引用)※機械翻訳

 

「最近発生した事件」に対して、急遽300もの対策を発表する必要があるのか?と考えると私は疑問です。

 

対策が書かれたブログ記事を読むと、既に多くが公開済のツールとは言え、日本でもよく使われているCobaltStrikeやMetasploit等の利用が可能なツールも含まれている様です。しかし、怖いのはFireEye独自開発ツールかと思います。

盗まれたツールは、偵察を自動化するために使用される単純なスクリプトから、CobaltStrikeやMetasploitなどの公的に利用可能なテクノロジーに類似したフレームワーク全体にまで及びますレッドチームツールの多くはすでにコミュニティにリリースされておりオープンソース仮想マシンであるCommandoVMですでに配布されています。

一部のツールは、基本的なセキュリティ検出メカニズムを回避するように変更された、公開されているツールです。その他のツールとフレームワークは、レッドチームのために社内で開発されました。

(公式発表[対策]から引用)※機械翻訳

 

国家安全保障局NSA)の機密情報をスノーデン氏が暴露しましたが、このリークで存在が明らかになったNSAのハッキングツールが盗まれ、その後WannaCry拡散に影響していったのと似た構図になっていく可能性があるからこそ、FireEyeは早めに対策を発表(対策が準備できるまで発表を遅らせた?)したのではないでしょうか。

japan.zdnet.com

 

既に公開されているツールが多いとFireEyeは書いていますが、いち早く公開された対策(シグネチャ)について、企業側は早めにチェックしておくべきかと思います。

 

 

余談です。今回の攻撃者について、FireEyeは、特別に編成されたAPT攻撃チームによるものだったと分析していますが、特定国家による”支援”については書いていません。

この攻撃は、私たちが長年にわたって対応してきた何万ものインシデントとは異なります。攻撃者は、FireEyeを標的にして攻撃するためにワールドクラスの機能を特別に調整しました。彼らは運用上のセキュリティについて高度な訓練を受けており、規律と集中力を持って実行されます。彼らは、セキュリティツールと法医学検査に対抗する方法を使用して、秘密裏に活動しました。彼らは、過去に私たちや私たちのパートナーが目撃したことのない新しい技術の組み合わせを使用しました。

(公式発表より引用)※機械翻訳

 

とは言え、海外メディアは「ロシア」の関与ではないかという記事をいくつか出しています。

www.infosecurity-magazine.com

securityaffairs.co

 

そう多くは書かれてませんが、APT攻撃の内容について記事で書かれている部分を読むと、FireEyeだからこの程度の被害で済んだのであって一般企業であれば、検知も出来ずに終わったという事も十分に考えられそうです。

FireEyeに対する攻撃は非常に巧妙であり、脅威の攻撃者はレーダーの下を飛ぶために「並外れた長さになりました」

この攻撃には、これまで見られなかったIPアドレスが含まれ、その多くは米国内にありました。

(Security Affaires記事より引用)※機械翻訳

 

「第5の戦場」で生き抜く為には、最新情報の把握も含めて、多層防御を深めていく、これに尽きるのかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

サイバー戦争のイラスト

 

更新履歴

  • 2020年12月10日 AM