セキュリティソフトウェア会社もターゲットに、被害の拡大を抑えながら攻撃者の調査を進める手法
標的型攻撃「Abiss」で狙われたアバスト、CISOが実践した対策の裏側
2019年11月06日 07時00分更新
ウイルス対策ソフトウェアベンダーのアバスト(Avast Software)は、2019年10月21日、同社自身がターゲットとなった標的型攻撃の詳細をブログで公表した。社内ネットワークへの侵入を許してしまったのち、どのように対処して被害の拡大を防ぎつつ攻撃者の情報を収集したのか。今回のインシデント対応を指揮した同社CISOのジャヤ・バルー(Jaya Baloo)氏に話を聞いた。
同社公式ブログによると、社内ネットワーク上で最初に不審な活動を検知したのは9月23日のこと。モニタリングを強化し警戒していたところ、1週間ほど経った10月1日に「Microsoft Advanced Threat Analytics(MS ATA)」が、同社のVPNアドレス範囲に属する内部IPアドレスからディレクトリサービスが不正に複製されたことを検知した。
不審な行動の詳細を追うと、同社のVPNにおいて一時的なVPNプロファイルが手違いで有効なままになっており、しかも二要素認証も有効になっていなかったため、攻撃者がこの認証情報を利用して社内ネットワークにアクセス試行していた。管理者権限は付与されていなかったが、攻撃者は侵入後に権限昇格を実施しており、ある程度自由に社内ネットワークを偵察できる状態にあったことも判明した。
そしてさらに詳しく調べると、MS ATAは5月以降、合計7回も攻撃の兆候を検知していた。それが見過ごされていたというわけだ。
攻撃者の狙いは、アバストが2017年に買収したピリフォーム(Piriform)製のシステムクリーナーアプリ「CCleaner」を改竄することだったと推測されている。2017年9月にはリリース前のCCleanerバイナリがひそかに改竄され、この“バックドア入りアプリ”が正規のサイトから配信されるソフトウェアサプライチェーン攻撃が発生している。侵入後の活動や攻撃者の行動に類似点が見られるため、今回の攻撃もそれと同じ狙いだったと考えられている。ただし、特に高度な標的型攻撃ではアトリビューションの特定/断定は難しく、調査も継続中であることから、本インシデントは「Abiss」(「深淵」を意味する「Abyss」をもじったもの)と命名されている。
過去のインシデント対応経験をふまえ実行した“即席ハニーポット作戦”
前述したとおり、CISOのバルー氏がこのAbissにおけるインシデント対応を指揮することになった。バルー氏は、今年10月にオランダの通信事業者KPNからアバストへ移籍したばかりで、いきなり標的型攻撃の洗礼を受けることになってしまったわけだ。
攻撃者にとっての“誤算”は、バルー氏がKPN時代からこうしたインシデント対応を幾度となくこなしてきた人物であり、過去の経験から導き出した攻撃対応のプレイブックを擁していたことだろう。かつてKPNの通信網上でボットネットが構築された際、バルー氏はC2サーバーの通信をあえて遮断せずにIPSで監視を続け、その手口を洗い出すことで徹底的な防御を実践したと明かす。
「その当時はまだ戸惑いも多かったが、そうした経験を積んできたからこそ、今は自信を持って“即席ハニーポット作戦”を展開できるようになった」
今回のインシデント対応ではまず、管理者のログイン情報をすべて更新したうえで、あえて二要素認証を設定しないまま攻撃者のログイン試行を待った。いきなりブロックしてしまわない理由は、侵入時や侵入後にどんなツールを使うのか、C2サーバーとどんな通信を行うのか、そして彼らの狙う“本丸”は何なのか、といったことをを突き止めるためだ。
もちろん、無防備のままで攻撃者の行動を見守っていたわけではない。攻撃の痕跡が確認されてからすぐ、標的にされている可能性の高いCCleanerの開発を全面ストップし、予定していたリリースも延期した。そのうえで、前後のバージョンで何らかの不正な変更が加えられていないか、コードを徹底的に再検証。以前のコード証明書は破棄し、クリーンアップデートには新規発行の証明書で署名したうえで、CCleanerユーザーへは10月15日に自動アップデートをプッシュした。
ちなみに新しいコード証明書を割り当てた時点で、対策が始まったことが攻撃者に気付かれるだろうと考え、それまで利用可能にしていた(攻撃に悪用された)VPNプロファイルなどを削除、リセットした。さらに社内の開発者向けポータルへのアクセスも全面禁止、社員全員のパスワードもリセットした。念には念を入れて、考えられるリスク要因はすべて潰す必要があった。
こうした念入りな対応を実施するため、アバストは丸一日業務を停止し、セキュリティチームは毎日18時間、現場に詰めて強化策を実施していったという。
「一度起きたインシデントは“同じ轍を踏まない”ことが必須。(CCleanerの)新規リリースのために頑張ってきた開発チームには少し嫌われたかもしれないけれど、『ユーザーを守る』という最大の目的は達成できたと信じている」
また、全社の業務を丸一日停止させる大がかりな対策の実施を承認したCEOにも、バルー氏は感謝していると述べた。同社CEOのオンドレイ・ヴルチェク氏は、開発チームのインターンとして入社し、その後もCTOを務めるなどした技術畑の人間だ。テクノロジーを信頼し、同時に迅速なインシデント対応やユーザー保護の重要性を理解していたからこそ、バルー氏の判断を迷わず支持できたのは想像に難くない。
一方で、今回のインシデントからは課題も見つかった。前述したとおり、MS ATAが検出した数回に及ぶ攻撃の兆候が見過ごされていた。現在はセキュリティログの統合監視システムであるSIEMの見直しを始めているという。
「MS ATAが検知した最初のアラートは『誤検知』として処理されてしまった。ファイアウォールでもIPSでもVPNでも不審なアクセスは検知できていたのに、見過ごしてしまった。これがとても悔しい」
あらゆるセキュリティログを集約、統合してくれるSIEMは、ひとたび不審な行動に気付けば詳細な部分まで掘り下げて調査することができる。ただし、ふだんの業務ではどうしてもダッシュボードに表示される表層的な情報だけで判断してしまいがちであり、そこが今回の反省点だという。特に標的型攻撃の場合、攻撃者たちは気付かれないように細心の注意を払って活動する。ささいな兆候であっても、見逃してはならないのだ。
「弊社独自のSIEMツールもあるので、これをほかのツールとうまく組み合わせながら、攻撃を見逃さない適度な情報量と表示方法を探っていきたい」
知識は誰かと共有して初めて“力”になる――情報共有を始めよう
今回のインシデントでもう1つ、バルー氏が最大限に注力したのは「情報共有」だ。インシデント発覚から約1カ月で、公式ブログを通じてユーザーに最新状況を報告。また、他のアンチウイルスベンダーやセキュリティ企業などセキュリティコミュニティに対しては、今回の攻撃の特徴を示すIoC(Indicator of Compromise、侵害の痕跡)や詳細な手口といった情報を共有している。
「成熟した企業においては、外部への『透明性』が重要。特に、同じような攻撃は他社に対してもすぐに行われる可能性があり、情報共有は1年後などでなく、今すぐに行うべきだと考えた。そもそもハッキングされない企業など存在せず、わたしたちセキュリティ企業も例外ではあい。だからこそ、侵害を受けた企業がなすべきは迅速な対策と情報共有だ」
アバストではこれからも、共有可能な情報があればすぐに公開していく方針だと、バルー氏は明言した。「こうした情報共有を遅らせたり、拒んだりするような会社は、社会全体のセキュリティ向上よりも次の四半期の株価が心配なのかもね」。