ESET/サイバーセキュリティ情報局
実際の事件から学ぶサプライチェーン攻撃の脅威と対策
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「3CX社のハッキング被害から学ぶ、サプライチェーン攻撃の脅威と対策」を再編集したものです。
サポート対象外となったトレーディング・ソフトウェアが、トロイの木馬化されることによって攻撃が始まった事件がある。本記事では、3CX社の事件から得られた教訓について解説する。
3CX社のビジネスコミュニケーション・ソフトウェアを介した情報漏えいは、2つの異なるサプライチェーン攻撃を引き起こした事件として、初めて公式に文書化された。被害が確認されたのは、エネルギー業界の重要インフラを抱える2社と、金融業界の2社であった。
このサプライチェーン攻撃は、信頼できる外部ベンダーが提供するソフトウェア更新の仕組みを悪用して標的のシステムへ侵入し、サイバーセキュリティ防御策の回避を狙うものだ。
攻撃は、サポート対象外となったトレーディング・ソフトウェア「X_TRADER」をトロイの木馬化することから始まった。その後、3CX社と同社のソフトウェア、ならびに同社の顧客に対する不正アクセスへとつながったのだ。ESET社のテレメトリ(監視データ)によると、3CX社の侵害されたアプリケーションは数百のユーザーに使用されていた。
トロイの木馬化されたDLL(Dynamic Link Library)ファイルを含んだX_TRADERソフトウェアをインストールすると、保存されたアカウント情報をはじめとするデータが複数のWebブラウザーから窃取する仕組みだ。不正アクセスされた端末からは、攻撃者が任意のコマンドを実行できるようになる。3CX社のソフトウェア侵害にもこの上位権限が悪用され、同社の法人顧客へ情報窃取型マルウェアが拡散されてしまった。
この事件に関連し、ESET社の研究者はLinuxユーザーを標的にした「DreamJob作戦」と呼ばれる攻撃を調査する中、北朝鮮と連携した攻撃者であるLazarusグループの関与を突き止めた。
しかし、あらゆるセキュリティ対策を講じたにもかかわらず、信頼できるベンダーやパートナーから危険が及ぶ場合、企業はどのように防御策をとれば良いのだろうか。次に、マルウェア拡散の仕組みや3CX社からの教訓を紹介する。
マルウェアは、どのように拡散されるのか
X_TRADERは、Trading Technologies社が開発した専門家向けの金融取引ツールだ。2020年4月に同ソフトウェアのサポート期間が終了したが、2022年になってもダウンロードできる状態にあった。2020〜2022年の間に同社のWebサイトが不正に侵入され、悪意のあるファイルがダウンロードされるように置き換えられてしまった。Lazarusは、2022年にTrading Technologies社へ侵入したと考えられている。Trading Technologies社によると、2020年4月以降はX_TRADERのサポートは対象外となることを18ヶ月に及ぶ適用期間に何度も顧客に連絡していたという。しかし、その通知が聞き流された結果、ソフトウェアはダウンロードされ続け、不正侵入の被害へとつながった。
同社の声明では、「2020年初めにはX_TRADERのサポートとサービスを停止していたことを考えると、このソフトウェアをダウンロードする意味はなくなっていた」と述べている。また、2021年11月1日から2022年7月26日の間に、100人未満の個人ユーザーが、侵害されたX_TRADERをダウンロードしていたことを明らかにしている。少数ではあるが、累積的な影響が見込まれる。
X_TRADERをダウンロードした個人ユーザーの1人は3CX社の従業員で、侵害されたソフトウェアをパソコンにインストールしてしまった。このソフトウェアには、ESET社が検出したマルウェアであるWin32/NukeSped.MO(別名VEILEDSIGNAL)が含まれていた。
3CX社のチーフ・ネットワーク・オフィサーであるAgathocles Prodromou氏は、同社のブログで次のように説明した。「サイバーセキュリティ会社であるMandiant社の調査によると、従業員のパソコンに対するVEILEDSIGNALの不正侵入により、端末から3CX社の法人アカウントが攻撃者に盗まれた。VEILEDSIGNALは豊富な機能を有するマルウェアで、不正アクセスが続けられるよう攻撃者にコンピューターの管理者権限を付与してしまう。」
上記の事件から、いくつかの教訓が得られる。まずは、基本的な事項から順に解説する。
1. 信頼できる提供元から、検証済みの最新ソフトウェアを取得する
2020年4月以降サポート期間が終了したアプリケーションを、3CX社の従業員がダウンロードしたところから、すべての不正アクセスは始まった。サポート対象外のソフトウェアは容易に悪用されるため、検証済みの最新ソフトウェアを利用することの重要性について、認識を改めるべきだ。
ソフトウェアをダウンロードする際は、ベンダーから提供されるハッシュ値を比較すると良い。ベンダーはダウンロードリンクとともにハッシュ値を公開している場合がある。公開されていなければ、直接ベンダーへ問い合わせてみても良いだろう。ハッシュ値が合致しなければ、ダウンロードしているソフトウェアは改ざんされているということだ。
同様に、正規のWebサイトからソフトウェアをダウンロードしているかどうかを確認するべきだ。詐欺師が偽のWebサイトを作成して、正規のようになりすましている場合があるからだ。
ハッシュ値やWebサイトが正規のものか判別できない場合、VirusTotalの利用を検討してほしい。無料で利用できる検索エンジン型のツールで、70以上のウイルス対策スキャナーや、URLとドメインの禁止リストサービスを用いて検証が可能だ。加えて、既知のコンテンツからマルウェア感染の兆候を検出するツールが利用できる。ファイルやドメイン、IPアドレス、URLを対象に、送信されたファイルが悪意のあるものかどうかをウイルス対策製品が判定する仕組みだ。また、複数のサンドボックスによる試行も実施される。
2. 従業員の脆弱性を軽減する
3CX社の従業員が、悪意あるソフトウェアをパソコンにインストールしてから攻撃が進行した。結果として、攻撃者は従業員のアカウント情報を盗み、3CX社全体の企業システムへと侵入している。
このような状況を避けるベストプラクティスとして、データ暗号化と多要素認証が挙げられる。企業システムへの不正なアクセスを避け、攻撃者の侵入を防ぐ多層防御が実現する。
また、アクセス権限をより厳しく管理するべきだ。すべてのシステム環境で、全従業員が同じアクセス権限を持つ必要はない。管理者やソフトウェア開発者は上位のアクセス権限が求められるが、それぞれの範囲設定は異なる。
加えて、機密情報を従業員の端末に保存するのを避け、セキュアなクラウドシステムで共有するべきだ。高度なクラウドセキュリティ、ならびにサーバーセキュリティによって保護されることが望ましい。
3. 強固なパスワードポリシーに従う
強固なパスワードポリシーは、攻撃を回避するのに役立つ。しかし、定期的なパスワード変更や、厳しい要件に基づいた複雑なパスワード設定を従業員に強いる必要はない。最近のトレンドは、通常のパスワードをパスフレーズに置き換えることだからだ。パスフレーズは、パスワードに比べて推測しにくく、より安全性が高い。
これまでは、大文字と小文字、1つ以上の数字、記号を含んだ最低8桁の文字列が強固なパスワードだと考えられていた。しかし、すべてのWebサイトやデバイスに対し、数十個の異なる複雑なパスワードを記憶するのは困難だ。これまでの方法では、異なる場所で同じパスワードを使い回す傾向が高まり、ブルートフォース攻撃やクレデンシャルスタッフィング攻撃に対する脆弱性を生じさせてしまった。
そこで専門家は、ランダムな文字列を設定するのではなく、覚えやすいフレーズを推奨するようになった。しかしパスフレーズであっても、ツールを使って推測されないよう、記号や数字を含めるべきだ。また暗号化したパスキーも防御力が高く、検討に値する。
4. 特権アクセス管理の使用を検討する
特権アクセス管理(PAM:Privileged Access Management)は、機密情報へアクセスする管理職や監査役、管理者などの上位権限があるアカウントを攻撃者から保護するため、使用を検討すると良い。
重要なアカウントを不正アクセスから保護するには、防御策を高める必要がある。具体的には、極めて重要なリソースに対する一時的なアクセス権限付与、特権セッションの監視、より強固なパスワードポリシーなどが挙げられる。
サプライチェーン攻撃では、ベンダーやパートナー経由で自社のシステムに侵入されるリスクがある。そのため、厳しいセキュリティ要件を適用すると良い。攻撃者が悪用する前に情報漏えいやセキュリティホールを見つけられるよう、サードパーティーによる情報漏えいの検出やセキュリティアセスメントを実施する方法もある。
5. 最新のパッチを適用する
3CX社へのサプライチェーン攻撃では、2013年にマイクロソフト社が修正したWindowsの署名検証機能に関する脆弱性が悪用された。
ただし、これは任意の修正が行われたケースで、この事件に固有の事象かもしれない。修正を適用すると、準拠していないファイルの署名をWindowsで検証できなくなる恐れがあった。この修正により、3CX社のアプリケーションをトロイの木馬化する余地を与えてしまったのだ。脆弱性のあるWindowsシステムが署名を検証できるようにしたまま、攻撃者はアプリケーション内の2つのDLLファイルに悪意のあるコードを埋め込んだ。
脅威を防ぐには、ベンダーによる脆弱性の修正が重要だ。最新のセキュリティパッチやアプリケーション、OSの更新が提供されたらすぐに適用してほしい。
6. 高いセキュリティ水準を保つ
適切なマルウェア対策ソフトの利用から始めよう。最新のサイバーセキュリティソリューションでは、マルウェアのダウンロードや実行がされる前に、既知の脅威を検出する多層防御が提供されている。
既に端末がマルウェアに感染している場合、ファイル消去や不正な暗号化を試みるワイパー型マルウェアやランサムウェアなどを検出し、対処してくれる。
また、最新バージョンのエンドポイントセキュリティを使用していることを確認してほしい。
さらに、アタックサーフェス (サイバー攻撃の標的となる対象)の軽減が必要だ。3CX社への攻撃が示すように、脆弱性はソフトウェアだけの問題ではない。単純なヒューマンエラーも大きな被害をもたらす場合がある。
企業はインシデント・レスポンス・プランを準備しておくべきだ。インシデント・レスポンス・プランには、準備、検知、対処、回復、インシデント後の分析などのプロセスが含まれる。また障害が発生した場合でもビジネスの継続性を確保するために、定期的なファイルのバックアップも忘れてはならない。
【教訓】 サイバーセキュリティではソフトウェアだけでなく、ヒューマンエラーにも注意すべき
3CX社の攻撃で、サプライチェーン攻撃がいかに巧妙か理解できただろう。しかし注目するべき重要な点は、たった1つのヒューマンエラーによって、すべてが台無しになるということだ。
本記事では、ソフトウェアベンダーやサプライヤーを標的にした脅威に備える方法を紹介した。ヒューマンエラーを完全になくすのは難しいかもしれないが、少なくともサイバーセキュリティへ十分に備えることで、多くの脅威を軽減できるだろう。