「変わらない」と思い込んでるセキュリティの常識、実は変わってきてない？ 根岸氏、辻氏、piyokango氏が問う：ITmedia Security Week 2023 秋

2023年8月に開催された「ITmedia Security Week 2023 秋」において、セキュリティリサーチャーであり、そしてポッドキャスト「セキュリティのアレ」で活躍する、インターネットイニシアティブの根岸征史氏、SBテクノロジーの辻伸弘氏、そしてpiyolog主宰のpiyokango氏の3人が集い、「脅威と人の変化と不変」と題してパネルディスカッションを行った。

[宮田健，＠IT]

　これまでサイバー空間の脅威を追い掛け続けてきた、「ITmedia Security Week」ではおなじみの3人が、今回は“変わるもの、変わらぬもの”をテーマに、独自の視点でトピックを切り出したセッションとなった。

左からSBテクノロジー 辻伸弘氏、piyokango氏、インターネットイニシアティブ 根岸征史氏

“変わりゆくもの”の中にある変わらぬもの

　まずは変化したものを3人はピックアップする。最初の話題として取り上げたのは、日本ではあまり知られていないものの、海外では大きな問題となっている、ファイル転送ツール「MOVEit Transfer」（以下、MOVEit）のゼロデイ脆弱（ぜいじゃく）性に関する話題だ。

　2023年5月31日、MOVEitの脆弱性（CVE-2023-34362）について、開発元が注意喚起と対策を発表した。しかしその脆弱性はいわゆる「ゼロデイ」として攻撃が確認されており、それ以前から被害が発生していたと考えられる。当該脆弱性はランサムの攻撃グループ「Cl0p」が利用しており、ゼロデイ攻撃としてサーバに侵入し、かなりの数の組織が情報を窃取されたことが明らかになっている。

MOVEit関連と考えられる、Cl0pのリーク

　ここでのポイントとして、辻氏は「ゼロデイが使われたこと」そして「暗号化は伴わないこと」の2点を挙げる。ランサムがゼロデイ脆弱性を使用することはそれほど多くなかった。その理由は「ゼロデイは価値が高い」（辻氏）からだ。しかし、Cl0pがゼロデイ脆弱性を使うのは初めてではなく、「今回が3回目だ」（辻氏）という。

　そして、辻氏はこれまでのパネルディスカッションでも、ランサムウェアではなく「ランサム」（＝脅迫）と表現していたのは、今回のようにゴールとして暗号化が行われない場合もあるからだ。MOVEitではファイルを安全にやりとりする機能を提供しているが、攻撃者はこの転送されたファイルを盗むのみだ。それにより、組織に脅迫を行っている。こういった点も、過去のランサム被害と比べて変化している部分があるといえる。

　辻氏は続いて、自身が調査した集計結果を基に、この傾向をチェックする。2023年6月15日〜8月29日、リークサイトに掲載されていた被害状況を、所属する国および業種でまとめてグラフ化した結果、被害組織の業種に特徴が見られるという。

MOVEitの脆弱性を悪用したと思われるリークから被害組織業種をグラフ化する

　「これまで他のランサムで見られるような傾向と比較して、国には大きな違いはない。被害組織業種を見ると、1位から金融、IT／情報サービス、ソフトウェアに続いて、保険、銀行、教育と並んでおり、他とは傾向が異なっている。特定ソフトが狙われると、被害に遭う業種に変化が出てくる」（辻氏）

　これはつまり、「どの業界が狙われているのか」といった“ありがち”な傾向も、ひとたび特定のソフトウェア、特定の脆弱性を狙う攻撃が出てくると、大きく変わることを意味する。「●●の業種だから狙われない」とは限らないことを示唆している。

　「MOVEitだからという話ではなく、たまたま『ソフトウェアの●●を使っていた』というだけで被害につながることもおかしくない」（辻氏）

　さらに辻氏は、Cl0pからのリーク件数の推移をグラフ化する、これを見ると、これまで3回使われたゼロデイ脆弱性が、リーク件数を押し上げていることも分かる。通常期は1桁しかないリーク件数が、ゼロデイが絡むと跳ね上がっているのだ。特にこれまで話題になることが多かった「LockBit」によるリークを超える件数が、今回のMOVEitでは確認できている。

Cl0pのリーク数推移と、3回確認できている「ゼロデイ脆弱性」の関係

　この状況を踏まえ、辻氏、根岸氏、piyokango氏は4つのポイントを提示する。このようにランサムウェアによる暗号化を伴わない“ランサム”への対策として、これまでのようにバックアップやEDR（Endpoint Detection and Response）だけでよいのかどうかという点、ゼロデイ脆弱性への想定などだ。

　救世主となることも期待されているEDRについて、根岸氏は「EDRが暗号化を止めはしたが、情報が漏えいし、結局、脅迫された事例もある。自社が持つ仕組みでどこまで止めることができ、『何が対策できるのか』を把握しなければならない」と指摘する。辻氏も「社内での横展開（ラテラルムーブメント）を止めることができるかどうかなど『どこに対応しているか』という観点が重要だ」とした。

　MOVEitの課題の一つは「ゼロデイ」だが、ゼロデイ脆弱性の対策を想定していない利用者は多いだろう。しかし「こういうことが起きると想定することも重要」と根岸氏。加えて、「『本当に被害が起きたのはゼロデイ脆弱性だったのか』というケースもあるのではないか」と指摘する。

　今回、2023年5月31日にMOVEit製造元から注意喚起があったが、その前に被害に遭っていたとしたら対策は難しかったかもしれない。しかし、攻撃はその後も継続した可能性もある。いわゆる「Nデイ」となった脆弱性なら、対策は不可能ではない。

　根岸氏は「ゼロデイ脆弱性は『パッチが出る前にやられたから防ぐのが難しい』という点にフォーカスしがちだが、ベンダーがパッチを出せば既知の脆弱性となる。そのタイミングで適用ができれば間に合うこともあったのではないか。悪用されたときにはNデイだったかもしれない」と述べる。

　今回狙われたのがWindowsなどのOS脆弱性ではなく、企業の重要な情報である「ファイル」のやりとりに注目し、ピンポイントで狙ったものかもしれない。その意味で「狙い目としてはうまい」（根岸氏）し、「ゼロデイ脆弱性を買うにしても安いのかもしれない」（辻氏）。そのため、今後もこのような“狙い目”の機能への攻撃が続く可能性も否定できない。

議論のポイントは

　さらに辻氏は、かつて大きな話題となった「パスワード付きのzipをやめよう」というキャンペーンにも課題があったのではないかと提起する。

　かつてはメールにパスワードを施したzipファイルを添付し、パスワードを別送するという方法でのファイル転送に大きなリスクがあるとして、これを全社的に取りやめ、ファイル転送サービスに置き換える動きがあった。しかし、「単に変えただけで、ファイル転送サービスの監視や脆弱性管理をしなければ、このような事態を引き起こす可能性もある」と指摘する。もちろん、オンプレミスシステムを捨て、クラウドに移行しても問題はなくならない。

　「何かに変えればオールオッケーじゃない。新しいものを使うなら、これまで考えていなかったことも考えること。これも、1つの“変化”だ」（辻氏）

　「ランサムにおける脅威の変化を把握し、対応した方法を評価できているかどうかをもう一度チェックする。その意味では変化は大きいかもしれないが、基本的な考え方はほとんど不変ともいえる」（根岸氏）

“不変”の中にある変化

　続いてのテーマは“不変”だ。piyokango氏はこれまでのリサーチから、特徴ある事例を3つ紹介する。

テック企業を狙うGitHubのソーシャルエンジニアリング

　まずは「テック企業を狙うソーシャルエンジニアリング」の事例だ。これはターゲットに対し、攻撃者が開発者や採用担当者を演じて接近、GitHubリポジトリに招待しクローンを実行することを通じてマルウェアに感染させる。じっくり時間をかけ、信頼関係を作った上で仕掛ける攻撃だ。リポジトリを提供するGitHubは、ブログを通じて注意喚起している。

• Security alert: social engineering campaign targets technology industry employees

　piyokango氏はこのような、事前に信頼関係を作った上での攻撃は「システムでアラートが出ていたとしても、人を信頼しているとそれを誤検知と思ってしまうかもしれない。結構、怖い攻撃だ」と話す。今回は技術者が集まるGitHubでの事例だが、テック企業でなくても同様の攻撃は想定できるだろう。根岸氏も「人ごとではない。まさか自分がターゲットになるとは想像しにくい攻撃だ。攻撃の仕方として応用が利くものなので、こういった想定も必要だ」と述べる。

テック企業を狙うソーシャルエンジニアリング

組織にも影響が及ぶサポート詐欺

　2つ目の事例は「組織にも影響が及ぶサポート詐欺」だ。サポート詐欺といえば、一般ユーザー層がだまされる事例として報道されることが多い。しかし、piyokango氏は「組織にも大きな影響がある」と指摘する。

　これまでも組織に影響が及んだサポート詐欺事例も報告されており、個人、法人問わず誰にでも偽警告がブラウザで表示されるシーンが増えている。技術的な対策も進んでおらず、未然に防止するには人間側の対策が重要だ。被害に遭った端末が遠隔操作されるケースが多いことから、「組織でこの詐欺に遭ってしまうと、同じネットワーク上にある機密情報が流出する可能性を考えなくてはならなくなる」とpiyokango氏は述べる。

　根岸氏もこれに同意し、「詐欺の警告を基に、自らが遠隔操作のソフトウェアをインストールしているので、詐欺そのものに気が付けないことが多い。金銭を支払ってもバックドアが残ったままといったことも想定できる」とし、「『サポート詐欺は大したことがないものだ』と考えてしまうと問題になる。企業への侵入の手口と考えると、怖い方法だ」と述べる。

　「サポート詐欺の犯人の狙いはお金。ただ、企業からすると、金銭の支払いがなくても、情報が漏えいしていないかどうかや、『どんなリスクがあるか』を調査したり、侵害の事実を公表したりする手間など被害が大きい。もしこれまでマルウェアをカスタマイズするなど手間をかけていた攻撃者が、『そんなことしなくてもよいのでは？』と気が付いてしまうと問題かもしれない」（辻氏）

　重要なのは、サポート詐欺にだまされたとしても、後ろめたい気持ちによって隠蔽（いんぺい）することなく、きちんと報告しても受け入れられる組織にすることだ。piyokango氏は「個人に責任を取らせるようなことをしてはいけない」と述べる。

組織にも影響が及ぶサポート詐欺

電話後に送られてくるフィッシングメール

　3つ目の事例は「電話後に送られてくるフィッシングメール」。関係者を装って電話をかけ、油断させてフィッシングサイトに誘導するものだ。「あなたの組織から依頼を受けた」と虚偽の内容を従業員に伝え、その後電話の内容に合わせたフィッシングメールでフィッシングサイトに誘導する。

• 電話後にメールを送ってくるフィッシング攻撃についてまとめてみた - piyolog

　「これは嫌な事例だ。フィッシングサイトに誘導した後、何をしようとしているのかが見えない。個人情報だけという気がしないが、その次の攻撃が見えなくて怖い」（辻氏）

　本事例は、名刺管理サービス事業者がなりすましに使われている。しかし、「他のサービスの運営会社を装って……というやり方は通用するのではないか」と根岸氏は述べる。

　サポート詐欺の事例と同様に、詐欺と気が付かなければその後もズルズルと攻撃を受けてしまう。早い段階で気が付けないと防ぐことが難しい厄介なケースといえる。辻氏は以前にも触れた「通知ウザウザ詐欺」（MFA Fatigue）を再度紹介しつつ、「この手法なら疲労（Fatigue）させずに同じような攻撃ができてしまうのではないか」と述べる。

電話後に送られてくるフィッシングメール

　piyokango氏はこれら3つの攻撃を紹介した理由として、「それぞれは個別の事例として公表されているが、個別として認識することに加え、“横串で”見ることで、気を付けるべきポイントが見えてくる」と述べる。

　「気を付けるべき人、注意を促すべき人はこれらの情報をしっかりかみ砕き、リスク評価や対応につなげることが、対策方法の一つとしてあるのではないか」（piyokango氏）

　サポート詐欺も単なる一事例として見ると「自分には関係がないのではないか」と思ってしまう。全体の流れを見ることも重要だ。実はそれは、これまで根岸氏、辻氏、piyokango氏が言い続けてきたことでもある。知ることから始め、それを「自分に関係があることだ」と思うこと。無関係と思い込まないようにすることが脅威から身を守る方法の一つになる。

---

　辻氏は「変化と不変というテーマで語ってきたが、変化の中に不変があり、不変の中にも変化がある。これらはつながっている」と述べる。変化に追随できているかどうか、「不変だ」と思っているものが実は変わっていないかどうか――。それを繰り返し問い続けることこそが、脅威と付き合っていくための重要なプロセスなのだ。