Back to Blog

SUNBURST問題まとめ:

既存のアクセスモデルによる

世界最大のサプライチェーン

攻撃の経緯

By
Vectra
|
February 17, 2021

組織の検知能力を、現実的でかつ関連性の高い攻撃者の振る舞いに対して効果的にするためには、的確で十分な範囲をカバーする脅威対応モデルが必要です。攻撃者の振る舞いを優先するということは、組織のセキュリティ体制に広範な影響を与えることになります。それは、遭遇する可能性の高い最も一般的な脅威技術に対処することになるからです。

SUNBURST攻撃の目的は、データセンター内の信頼された特権的なインフラ(SolarWinds)に継続的で検知されないコマンド&コントロール(C2)チャネルを確立することでした。これにより、攻撃者は特権アカウントを取得するだけでなく、攻撃を成功させるための枢軸を得ることができます。

Vectra AIのリサーチャーは、SolarWindsのサプライチェーンへの侵害を、最初のバックドアからデータセンターやクラウド環境での永続的なアクセスの確立に至るまで分析しました。中でも攻撃の主要なターゲットとなっているMicrosoft Office 365に焦点を当てました。

図1:SolarWindsサプライチェーン侵害のフェーズとその説明、および関連する振る舞い

さらに弊社の顧客環境で生成されたクラウドやネットワークのメタデータを分析することで、社内での動きにおける振る舞いの傾向を特定しました。このデータにより、複数の業界や地域にまたがる組織内で、無害なもの、疑わしいもの、悪意のあるもの、意図的なものを問わず、振る舞いの量と頻度を定量化することが可能になりました。また、SUNBURSTのような攻撃で使用される技術や戦術と振る舞いの発生状況を組み合わせることで、組織にとって最大のリスクとなる攻撃の振る舞いパターンをより深く理解することができます。

SUNBURSTとSolarFlareの振る舞い分析

図2:「振る舞い」の週次頻度出現率

Vectra AIのリサーチャーが、2020年10月から12月までのクラウドとネットワークのメタデータを分析し、1週間あたりの発生頻度を調べたところ、SUNBURST攻撃で使用されたすべての振る舞いが、どの業界でも存在していることがわかりました。すべての業界において、特定のビジネスモデル、アプリケーション、ユーザーに関連するネットワークやユーザーの振る舞いのプロファイルがあります。慎重に観察することで、攻撃者はこれらの振る舞いを模倣して紛れ込ませることができ、それを見つけ出すことは困難です。

攻撃者は、正規のメカニズムを使用したり、通常のネットワーク・トラフィックやユーザーの行動の中に悪意のある戦術をカモフラージュしたりすることで、ターゲットの環境のノイズや複雑さの中に存在を隠します。これは、SolarWindsが2019年9月4日に最初にアクセスされ、1年以上後の2020年12月12日に侵害の通知を受けたという事実からも明らかなように、攻撃者には発見されるまでに、目的を達成する時間が十分にあることになります。

ある特定の振る舞いが検知されても必ずしも侵害があったわけではありませんが、現在の組織内部でその振る舞いが起こりうること、そして実際に起こっていることを示しています。

図2は、2020年10月から12月までの3ヶ月間に、SUNBURST攻撃ライフサイクルに関連した振る舞いが週に1回以上発生した組織の割合を詳細に示しています。幅広い組織の振る舞いデータを長期間にわたって調査することで、将来の発生頻度や発生率を予測することが可能になります。調査した中で2020年末までに3つを除くすべての振る舞いが上昇傾向にありました。これらの振る舞いの傾向は、組織内で何らかの対応や変更を行わなければ、2021年まで同じ値を維持もしくは上昇を続けると予想するのが妥当です。

内容を見てみると、モニター対象のほぼすべての組織において、10月初旬には 80%に過ぎなかったのに対し、12 月中旬には何らかの形の隠れたHTTPS C2 アクティビティを経験しています。これは心配すべき上昇傾向です。金融サービスやその他の企業がネットワーク内やアプリケーション間でデータを共有するために使用する正当なトンネルには、多くのタイプがあります。中には効率化のためにセキュリティ管理を迂回する通信手段として機能するものがあります。攻撃者がC2のために使用する隠れたトンネルは、残念ながら見た目が似ているのです。ただし、もちろんその目的は大きく異なります。

図3: 1週間あたりの平均相対的な頻度

「振る舞い」をコンテキストで考える

振る舞いの影響を評価するということは、その振る舞いがどの段階で最も起こりやすいかを理解することです。図3は、攻撃のライフサイクルにおける各振る舞いの発生頻度の週平均とそれに関連するステージを示しています。平均発生頻度が高いと、攻撃者が今後同じ戦術を利用するかどうかを予測することができます。(SolarWindsのサプライチェーン攻撃ではこれが悪用されました。)発生頻度が高ければ高いほど、成功する可能性が高くなります。

1週間あたりの平均相対的な頻度を見たときに最も目立ったのは、2位と3位の「不審な特権アクセス(Suspicious Privileged Access)」と「不審なAzure AD オペレーション(Suspicious Azure AD Operations)」の組み合わせです。

特権アクセスの悪用は、ラテラルムーブの重要な部分で、最も価値のある機能や情報にたどり着くことができます。攻撃者は、特権アカウントへのアクセスを得るために、資格情報を盗んだり、プロトコルの悪用、マルウェア、フィッシング、または単純なアカウント名やデフォルトのアカウント名とパスワードを推測するだけのものに至るまで、複数のテクニックを使用します。

特権アクセス管理ツールが導入されていても、これらのアカウントがどのように使用されているかを直接監督したり、管理したりすることはほとんどありません。このような監視の欠如が、組織にとって最大のリスクを生み出します。不適切に使用された場合、特権アカウントは、データの盗用、スパイ活動、破壊工作、身代金の要求などに使用される可能性があります。

リスクの管理と軽減

SUNBURST攻撃やSolarFlare攻撃のような振る舞いは、あらゆる組織で定期的に発生しています。これらの振る舞いの背景を理解することは、その影響を理解し、対策を講じる必要があるかどうかを判断するための鍵となります。クラウドネイティブおよびハイブリッド・クラウド環境を監視することは非常に重要です。また、セキュリティ・アナリストが実行可能な情報を得るために、クラウドネイティブおよびハイブリッド・クラウド環境のデータとコンテキストをどのように関連付けるかを定義する必要があります。

これは、ホストの監視に加えて、ローカル・ネットワーク、リモート・ワーカー、プライベート・データ・センター、およびクラウド・インスタンスで特権アクセスがどのように発生しているかを理解することを意味します。

特権アクセスやその他の攻撃者の振る舞いを可視化するには、企業ネットワークからデータセンター、IoT デバイス、クラウド環境に至るまで、今日のゼロトラスト・ネットワーク全体のデータを活用する適切なツールを導入する必要があります。これらを組み合わせることで、死角がなくなり、壊滅的な侵害が発生する前に攻撃者が侵害した後の活動を検知する可能性が高まります。

SolarWindsへの攻撃に対しVectra AIがどのように対応できるのかを知りたい方は、ぜひご連絡ください。

また、2月25日(日本時間10 am)にウェビナー「SolarFlareの分析と 未来を見極める方法 サプライチェーンのセキュリティ侵害」を行います。ご参加お待ちしております。*本ウェビナーは英語で行われます。